ぬぅぉぉぉおおおお!!!atiupdplとa349801
1 :
名無しさん@お腹いっぱい。:
なんだコイツら
知るか!
3 :
名無しさん@お腹いっぱい。:2005/05/16(月) 14:43:39
教えてくれ、何しても消えないこの糞ファイル!
5 :
名無しさん@お腹いっぱい。:2005/05/16(月) 16:09:07
そこでは解決しない
6 :
名無しさん@お腹いっぱい。:2005/05/16(月) 20:38:14
jgjfgux
7 :
名無しさん@お腹いっぱい。:2005/05/16(月) 21:53:46
俺のとこにもあった('A`)
8 :
名無しさん@お腹いっぱい。:2005/05/16(月) 23:01:15
頼む教えてクレー
10 :
名無しさん@お腹いっぱい。:2005/05/16(月) 23:24:36
どこで知り合ったんだ?
11 :
名無しさん@お腹いっぱい。:2005/05/16(月) 23:52:17
これは山田とは関係無いっぽ
h抜くの忘れました・・済みません。
14 :
名無しさん@お腹いっぱい。:2005/05/17(火) 00:59:38
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ミ.ツノ i i l'``゙゙ `"''⌒`ヽヾミ=ツ,ヽ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;'シ// /,! | ,., ! !ヾ;_'ノ)||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;l'//ツノノ,ノl l {,!ゝ、 ! l i ヽ_ヽ|;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;//彡'////..,,,,,_ ヽ, ''ヽ, ヾ;ヾ、;;_ヽ|;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;//`メ///"-=tッミ` ;;;;':, ,.ヾ_"`i.'、ヾ||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;///!`// ` ̄ ;;;;;;':, ヽ、ノ /.|||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;:;;:;;:;;:;;:;;:;;:;;:;;:''| |,// {´`'ヾ ヽ;'||||;;:;;:;;:;;:;;:;;:;;:;;:;;:;;:;;:
;:;:;:;:;:;:;:;:;:;:;:;:;:;:||| |// ヽ、,> 、 ヾ l|||:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:
;::;::;::;::;::;::;::;::;::| ||||/:':, .,,__'、 !||::;::;::;::;::;::;::;::;::;::;::;:
:::::::::::::::::::::::::::://|::::::::':, '─く " |ヽ::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::|||:::::::::::l ' , `ヽ !ヽ:::::::::::::::::::::::::::::::::
教えてくれ 完全削除の仕方を…
15 :
名無しさん@お腹いっぱい。:2005/05/17(火) 01:02:53
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ミ.ツノ i i l'``゙゙ `"''⌒`ヽヾミ=ツ,ヽ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;'シ// /,! | ,., ! !ヾ;_'ノ)||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;l'//ツノノ,ノl l {,!ゝ、 ! l i ヽ_ヽ|;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;//彡'////..,,,,,_ ヽ, ''ヽ, ヾ;ヾ、;;_ヽ|;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;//`メ///"-=tッミ` ;;;;':, ,.ヾ_"`i.'、ヾ||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;///!`// ` ̄ ;;;;;;':, ヽ、ノ /.|||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;:;;:;;:;;:;;:;;:;;:;;:;;:''| |,// {´`'ヾ ヽ;'||||;;:;;:;;:;;:;;:;;:;;:;;:;;:;;:;;:
;:;:;:;:;:;:;:;:;:;:;:;:;:;:||| |// ヽ、,> 、 ヾ l|||:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:
;::;::;::;::;::;::;::;::;::| ||||/:':, .,,__'、 !||::;::;::;::;::;::;::;::;::;::;::;:
:::::::::::::::::::::::::::://|::::::::':, '─く " |ヽ::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::|||:::::::::::l ' , `ヽ !ヽ:::::::::::::::::::::::::::::::::
これはウィルスではない、スパイウェアだと思われる それもかなり悪質な!
16 :
名無しさん@お腹いっぱい。:2005/05/17(火) 02:00:37
TROJ_SMALL.AOSを消しただけでは根絶は無理っぽ
a349801.exeがTROJ_SMALL.AOSをダウンしてきて
ついでにインターネットオプションのセキュリティ関連の値を変更してるね
この二つを消した後、インターネットオプションを設定しなおして
あとはAgent系のウィルスに掛かってないかチェック汁
18 :
名無しさん@お腹いっぱい。:2005/05/17(火) 17:12:47
そもそもatiupdplってなんだ・・・
19 :
名無しさん@お腹いっぱい。:2005/05/18(水) 12:00:28
20 :
名無しさん@お腹いっぱい。:2005/05/18(水) 19:38:01
駆除できないけど
21 :
名無しさん@お腹いっぱい。:2005/05/18(水) 21:36:08
>>19 駆除できねええええええええ
消しても何時の間にか涌いて来る(;つД`)
22 :
名無しさん@お腹いっぱい。:2005/05/18(水) 21:52:17
結局a349801を入り込まないようにすりゃ良いんだろうけど
ノーd先生もバスターも掛からないんだよね・・・
一度ノーdでa349801が「Downloader.Trajan」って引っかかって
これで救われたと思ったんだけど、それ以降また掛からなくなった・・・orz
ただ最近NOD32を入れたら「
http://66.98.144.29/avir.cn.bin」ってのが
入り込んでるのが分かった。これと同時に一応ルートにa349801が
出来るには出来るけどatiupdplは出来なくなったよ
23 :
名無しさん@お腹いっぱい。:2005/05/18(水) 21:54:18
あ・・・俺も↑h抜くの忘れたm(_ _)m
24 :
名無しさん@お腹いっぱい。:2005/05/18(水) 23:52:04
今のところ、一度発生してしまったら駆除できないという
結論なんでしょうか?
25 :
名無しさん@お腹いっぱい。:2005/05/19(木) 12:00:26
うわかああああ;;ぁs;lだああぁぁああああfdsfdfっさ
26 :
名無しさん@お腹いっぱい。:2005/05/19(木) 16:29:24
atiupdplが悪さをするんだよな
いちいちノーdに引っかかってマンドクセ('A`)
27 :
名無しさん@お腹いっぱい。:2005/05/19(木) 19:40:59
もうどうしようもないので、a349801.exeとatiupdpl.exeを削除して、
notepad.exeをa349801.exeとatiupdpl.exeにリネームしてリードオンリーにして
そのぞれのファイルが出来るフォルダに前もっておいているよ。
お陰で本当のa349801とatiupdplは起動しないで、数時間おきに
abyr.txtがありません、作りますか?というよなメッセージ出るよ。(どういうメッセージか確認しわすれ)
「はい」をクリックすると適当などっかのフォルダ内にabry.txtが作られるけど容量は0byte。
どのフォルダ内に作られるかはランダムみたいで、ノートパッドは起動もしないよ。
とりあえずこれでa349801とatiupdplに悪さはされなくなったよ。
ちなみにa349801が動作しなくなったせいかatiupdplは起動もしないね。
タスクマネージャー見る限りはa349801の起動後はアプリじゃなくプロセスの方だけに見えるよ。
システムスタートアップにatiupdplは組み込まれなくなったよ。
とりあえず応急処置としては起動しても問題ないプログラムをa349801とatiupdplの出来るフォルダに
ダミーとしてそれぞれの名前に変えて属性をリードオンリーにしておいておけばいいと思うよ。
>>27 THX。やってみた
経過が変だったら報告する
29 :
名無しさん@お腹いっぱい。:2005/05/19(木) 22:03:12
あまり情報がなく検索したらスレがあったのでびっくり
これって害はあるんですか?
>>29 なんかトロイの一種で「何か」をメール形式で送信しまくるらしい
31 :
名無しさん@お腹いっぱい。:2005/05/20(金) 00:05:55
32 :
名無しさん@お腹いっぱい。:2005/05/20(金) 23:28:24
a349801しね
33 :
名無しさん@お腹いっぱい。:2005/05/21(土) 18:06:24
これが山田ウイルス
34 :
名無しさん@お腹いっぱい。:2005/05/22(日) 01:49:48
俺もやられた。
これって本当にメール送信しまくってるのか?
くそー早く駆除してぇ
35 :
名無しさん@お腹いっぱい。:2005/05/22(日) 03:42:20
メール送信しまくってる様子はないけど
36 :
名無しさん@お腹いっぱい。:2005/05/22(日) 20:13:33
Win98se環境で以下の方法で離脱できました。
1.モデム電源を切る。
2.レジストリエディタ→検索で「a34」で検索。見つかれば削除の繰り返し。
3.レジストリエディタ→検索で「atiup」で検索。見つかれば削除の繰り返し。
4.ファイル検索で「a34」で検索。「a349801.exe」が見つかれば削除の繰り返し。
5.ファイル検索で「atiupdpl.exe」を検索。
これはwindows起動時には消せないのでDOSで再起動させて消去することになる。
このため、ファイルの場所をメモしておく。
6.DOSで再起動させて、メモを参考にディレクトリ移動し「atiupdpl.exe」を削除する。
7.モデム電源を入れ、をwindowsを再起動させる。
8.ファイル検索で「atiupdpl.exe」、「a349801.exe」が存在しないことを確認し終了。
38 :
名無しさん@お腹いっぱい。:2005/05/22(日) 22:00:30
>>37 36の方法で削除後3時間経過していますが
まだ作成はされていません。
大体どれくらいで新規作成されるのでしょうか?
40 :
名無しさん@お腹いっぱい。:2005/05/22(日) 23:18:54
41 :
名無しさん@お腹いっぱい。:2005/05/22(日) 23:56:29
シマンテックはいつ対応すんだ・・・
もうOS入れなおすかなぁ・・
42 :
名無しさん@お腹いっぱい。:2005/05/23(月) 01:30:00
>>40 初心者な質問ですみません。
アクセスしてるのを確認するのはどうすればいいんですか?
44 :
名無しさん@お腹いっぱい。:2005/05/23(月) 12:55:06
おれのPC98seなんだがwindows起動したらatiupdplがkarnel32にページ違反したらしくて
自滅するぞwんでそのまま応答停止状態w
だから被害はでてないかな??
45 :
誘導:2005/05/23(月) 12:58:48
46 :
名無しさん@お腹いっぱい。:2005/05/23(月) 13:20:19
山田じゃないですから
47 :
名無しさん@お腹いっぱい。:2005/05/23(月) 13:38:26
あ、今タスクマネージャにa349801.exeが現れた。
>27をやった後だったせいか、
atiupdpl.exeは作られず、レジストリにも何も書き込まれていなかったので、
a349801.exeのプロセスの終了をしておしまい。
なんだかなぁ・・・
48 :
誘導:2005/05/23(月) 14:13:57
49 :
名無しさん@お腹いっぱい。:2005/05/23(月) 16:13:06
あげ
何やったらこんな目に遭うの?
51 :
名無しさん@お腹いっぱい。:2005/05/23(月) 22:38:18
これはトロイなのか?
いまのところいきなり起動するだけで
悪さはしてない感じなのだが
何回も立ちあがるのがうざい
52 :
名無しさん@お腹いっぱい。:2005/05/23(月) 22:48:03
俺はエロサイトに行ってないのに感染しちまったorz
53 :
47:2005/05/24(火) 10:05:44
54 :
47:2005/05/24(火) 13:34:35
だめだった・・・orz
55 :
名無しさん@お腹いっぱい。:2005/05/24(火) 16:23:08
ていうかspybodもblasterも対応してないのか…
a349801.exeはローカルディスク(C:)に出来るんだけど
atiupdpl.exeが見つからない…
参考までに皆何処に出来てるか聞いていい?
なんだか手探り状態だな。みんなどこで拾ったんだ?
system32がデフォでないの?
というか、検索掛ければすぐに見つかるだろうに
59 :
名無しさん@お腹いっぱい。:2005/05/24(火) 17:21:00
おれ>>27の方法試した。んで、いちいちうざいからレジでatiupdplの
値を全部葬った。結果は快調!!感染前ほぼ同じに使える。
60 :
名無しさん@お腹いっぱい。:2005/05/24(火) 18:18:17
ただあらわれるだけで
被害ないよ
61 :
27:2005/05/24(火) 19:05:38
>>59 そうそうレジストリから削除というの書き忘れてた。
>>60 被害ありだよ。
何回もある場所へのアクセスを試み、PCの動作が、遅くなったり、不安定化する。
あと、何か感染したPCの情報を送信しているかもしれん。
不愉快極まりない。
>>27 俺も27の方法で、今のところ問題無くなった。感謝。
簡単な方法だが以外に効果的だ。
これで当面は、atiupを作った奴が、この対処法の対策をとるか、
新作を作らん限り、安泰だ。
当面は27の方法で大丈夫そうだが、
定期的(10:00くらいと13:30くらい)にa349801.exeがタスクに現れるのが気にくわんな
>>61 レジストリからの削除方法も教えて頂けないでしょうか?
シマンテックもパッチきてるね
66 :
59:2005/05/25(水) 18:59:55
>>64 regeditを起動させる。(ファイル名を指定して実行にregeditっていれるか、WINDOWSフォルダから探す。
んで、atiupdplとa349801の値を検索->でてきたキーを全消し。
これで おk(´∀`)bそ
今回は教えたが、次からはググってから質問しろ。すぐ見つかる。
遅れたが>>27THX!!
エクスプローラーで avir.cn[1].bin を検索して削除。
その後atiupdplとa349801を削除して、レジとスタートアップを掃除して終わり。
で、オレはもう出ないヨ。
スタートアップの掃除ってどうやるんでしょうか?
69 :
名無しさん@お腹いっぱい。:2005/05/26(木) 02:34:46
atiupdplっていつ出てくる?
スタートアップ時から出てくるんだけど
出ないように設定してもまた出てくる…
70 :
名無しさん@お腹いっぱい。:2005/05/26(木) 09:00:59
atiupdplってどう読んでる?
俺は「アティプドゥープル」って読んでる
どうだ かっこいいだろう
71 :
名無しさん@お腹いっぱい。:2005/05/26(木) 13:37:37
72 :
名無しさん@お腹いっぱい。:2005/05/26(木) 13:53:54
>>65 ウイルスの呼称は何て出されてる?
それらしいの見当たらないんだけど
>27の方法で駆除+レジ、それとavir.cn.binの発信元
66.98.144.29を「TCP Monitor Plus」のパケットフィルターで
TCP全ポート封鎖したら不正アクセスすら無くなったよ
今までルータで面倒なフィルタやってたから、目からウロコだった
>27感謝です。
トレンドマイクロでチェックしたら、
c:\winnt\system32\ctlopk.dll
TROJ_AGENT.J
こんなんが出てきた。
これを駆除(プログラマさんに駆除してもらったので方法は知らんが)。
現在様子見。
74 :
27:2005/05/27(金) 14:05:37
a349801.exe(中身はnotepad.exeに変更済み
>>27>>66参照)が定期的に起動して実害は
無いけどジャマなので、a349801のプロパティからセキュリティのタブを開くと、
名前の所にEveryoneとあるはず。
下に「継承可能なアクセス許可を親からこのオブジェクトに継承出来るようにする(H)」
のチェックを外すとウィンドウが出てきて、「コピー」「削除」「キャンセル」の3つの
ボタンが出るので削除をクリックすると、Everyoneが消えるはずです。
Everyoneが消えなかったらEveryoneをクリックしてから右の「削除」ボタンをクリックすると
消せます。
それから下の「OK」ボタンをクリックすると、「a349801へのすべてのアクセスが禁止
されました、誰もa349801にアクセスできなくなり、所有者だけがアクセス許可を変更出来ます。
続行しますか?」
と出るので、「はい(Y)」をクリックするとa349801は起動も出来なくなります。
とりあえずこれで昨日から一晩付けっぱなしだけど、いつもならとっくに起動しているけど
今の時点では起動しなくなったよ。
まぁ、誰もアクセスが出来なくなっているから起動する訳無いんだけどね。w
ちなみにWindows2000です。
75 :
27:2005/05/27(金) 14:17:00
>>74 ちょっと訂正。
プロパティ→セキュリティタブで下の方に
アクセス許可 許可 拒否
フルコントロール □ □←ここにチェック
変更 □ □
読み取りと実行 □ □
読み取り □ □
書き込み □ □
フルコントロールの拒否にチェックを入れるとすべての拒否にチェックが付くので
これだけでもこのファイルにアクセス出来なくなるので、この方法の方が楽です。
下にある「継承可能な〜〜〜」のチェックは外して下さい。
76 :
名無しさん@お腹いっぱい。:2005/05/27(金) 16:13:06
a349801って変更したnotepad.exeですか?
77 :
27:2005/05/27(金) 16:42:49
>>76 そうです。
まぁ、
>>75の方法なら結局アクセス出来なくなるので
どちらでもかまわないと思います。
ただ、精神衛生上本当のa439801はおいておきたくないので、
ダミーとしてnotepadをa349801にリネームしておいた方がいいと思います。
79 :
73:2005/05/27(金) 23:18:48
80 :
名無しさん@お腹いっぱい。:2005/05/27(金) 23:40:18
ウイルスバスターひっかからないよ
2〜3日前に体験版やったけど。
重くなるからすぐアンインストールした…
>>74 window2000ですがファイルのプロパティにそのような項目が無いです・・・・。
ノートンが期限切れして新しいのを購入する合間にやられました。
二日前に家族が海外サイトの動画サイトを見て
スパイウェアから感染したみたいなんですが
IE開いてないのにいきなりポップアップが出てきたりするぐらいで
あまり支障ないので来週ま購入するまで大丈夫だろうと思っていたら
海外のサイトで勝手にダウンロードしようみたいに出てきて
終いにはブラクラみたいになったり・・・
もー駄目だーと思って悩んで試しにセーフモードで起動後、
1週間戻ってシステムの復元を試みたら
なんか急に軽くなって、おかしな所はなくなって
スパイウェアも出なくなったし
これって元に戻ったって事でしょうか・・・・?
まだ心配ですがとりあえず来週までもってくれとか思いますよ・・・・
ちなみにMEです。
83 :
名無しさん@お腹いっぱい。:2005/05/28(土) 12:39:14
ここにいる奴等が皆27の方法に頼って
とりあえず応急処置してるんだから
そんな質問されても、返しようがないだろ
ここ気になって見てるんだが誰か早く感染源とかまとめろよ
漏れの経験だと、
デスクトップを表示しているときに突然ノートンが警告をだしたな。
だから、MAIL添付ソフトや有害サイトのスクリプトでは無いようだ。
考えられるのは、
1.空いているポートから入ってくる。
2.atiupdplでもa349801でもない、何かのウイルスに感染しているプログラムが呼び込んでいる。
この、どちらかなんだろうけど。
86 :
27:2005/05/28(土) 16:53:19
>>78 XPいじったことないので分かりません。
でも、探せばありそうだけどなぁ。
>>81 プロパティには何が表示されていますか?
>>84 すまん、残念ながら俺にはそれを特定するだけのスキルはない。
>>85 > 1.空いているポートから入ってくる。
> 2.atiupdplでもa349801でもない、何かのウイルスに感染しているプログラムが呼び込んでいる。
> この、どちらかなんだろうけど。
とりあえず今日の夜から一晩a349801を一旦削除して、ネットワークから切り離して
(LANケーブル抜いて)一晩様子見てみます。
これで明日a349801が起動していたら内部にa349801を作成(and起動))するプログラムが
入り込んでいると言うことですね。
a34901が無いままだったら外部から進入ということではないでしょうか?
88 :
85:2005/05/28(土) 17:36:27
> これで明日a349801が起動していたら内部にa349801を作成(and起動))するプログラムが
> 入り込んでいると言うことですね。
いや、内部のプログラムが外部のサイトに接続してい引き込んでいるという可能性もある。
漏れのときの警告でも、avir.cn関係の警告があったから。
89 :
81:2005/05/28(土) 18:04:23
>>27 「全般」と「バージョン情報」っていうタブしか無いです。
セキュリティータブが無いんですよねぇ・・・
a349801のプロパティというのは
エクスプローラかファイルを右クリックして出すプロパティーの事でいいんですよね?
90 :
名無しさん@お腹いっぱい。:2005/05/29(日) 03:07:39
>>88 指摘通りだと思うよ
空きポートからavir.cn.binが侵入してa349801作成されてる
こいつが起動してatiupdplを呼び込んでるから
>72が書いてるけど66.98.144.29からの不正アクセスは毎回ポート番号違うから
↑のIPを全ポート封鎖で解消されると思う
ちなみにウチはこれやって一週間立つけど入り込んでないよ
>>87のリンク見るとloading.exe spykiller.exe cfoppk.dllなんてファイル名もでてるけど感染した人にもこれらあったの?
話題に出てないからふと疑問に思った
>83 スミマセン、何せ27の方法が応急処置って事すらわからない
初心者なので・・・つまりわからないので27は試みずに復元しただけです。
とりあえずどうやら運良く消えて治ったようです。
アレからいきなりポップアップが出ることも
起動した時にatiupdplがなんたらかんたらと警告が出ることもなくなりました!
変な症状になってからやたらとどんな動作も重くなって固まったりしていたのに
前の状態のように戻りました。
一応、とても心配なのでノートンの新しいのを買って
ここもチェックして早く謎が解明されることを祈りたいです!
ルーターで66.98.144.29からのパケットを全て無視する設定にしたら
何も起動されなくなりました。
94 :
27:2005/05/30(月) 17:18:07
LANケーブル外しておいたらa349801は現れなっかたので、
外部から入ってきているようですね。
>>90>>93 今ルーター見たけど、パケットフィルタ?とかそういう設定無かった。orz
95 :
名無しさん@お腹いっぱい。:2005/05/31(火) 22:58:55
96 :
i219-167-113-150.s02.a027.ap.plala.or.jp:2005/05/31(火) 23:47:41
うちではa349801は出現しません。特定のプロバイダー(IPアドレス)経由で侵入してくるのでしょうか?
これはがいしゅつ?
http://pasokoma.jp/bbs8/lg259486.html ノートンが無い場合はewidoでもいけるかもよ
---------------------------------------------------------
ewido security suite - スキャンリポート
---------------------------------------------------------
+ 作成場所:1:27:08, 2005/06/01
+ レポートチェックサム:1510143E
+ データベースの日時:2005/05/30
+ スキャンエンジンのバージョン:v3.0
+ 期間:7 s
+ スキャンしたファイル:2
+ スピード:0.25 ファイル/秒
+ 感染ファイル:1
+ 削除したファイル:0
+ 保管庫のファイル:0
+ 開くことのできないファイル:0
+ 削除できないファイル:0
+ 隠れプログラムYes
+ 暗号:Yes
+ 書庫:Yes
+ スキャンしたアイテム:
E:\virus\TrojanProxy.Small.bo
+ スキャン結果:
E:\virus\TrojanProxy.Small.bo\avir.cn.bin.org -> TrojanProxy.Small.bo -> 無視
::リポート終了
SymantecAntiVirus (5/13〜24)
検疫 \IEキャッシュ\avir.cn[1].bin ウィルス名 Download.Trojan
検疫 C:\a349801.exe ウィルス名 Download.Trojan
放置 %system%\atiupdpl.exe ウィルス名 Download.Trojan
SymantecAntiVirus (5/25〜)
検疫 C:\a349801.exe ウィルス名 Trojan.Horse
放置 %system%\atiupdpl.exe ウィルス名 Trojan.Horse
仕事で見つけた
定義ファイルの日付でウィルス名が変わってた。
ただ、どちらも汎用名なのでなんともいえん。
あと、なぜかavir.cn[1].bin は25日以降発見されてない。
全部で6個発見
症状としては
・スタートページが書き換えられている
・デフォルトの検索エンジンが変更されている
・お気に入りに何かが追加されている
→変更してもIE再起動で元に戻る
・広告のウィンドウががんがん開く
99 :
97:2005/06/01(水) 20:34:21
avir.cn.binがBootVisに弾かれたんで、a349801もatiupdplも
出現しないという中途半端な状態になったんだけど、直後の
HijackThisのログにはIEの設定変更がしっかり記憶されて
いたよ。(O18 - 追加・ハイジャックされたプロトコル)
100 :
名無しさん@お腹いっぱい。:2005/06/03(金) 15:20:14
っつーことはもうダミーは消して復活した所をノーートン先生に
たおしてもらっていいのか?
自分はWin98使っていて、このatiupdplに感染(?)したのだが、結構変なところに引き込み役かもしれない
ウイルスなどがいた。
(まあ、古いPCだったので重くてウイルス対策ソフト等を入れていなかった(突っ込み不可(^_^;))
で、blank:search for型のスパイウェアに感染してその対応策としてオンラインのウイルススキャンを
かけてみた。
ゴミ箱フォルダ(Recycledフォルダ)に見えないようにしてトロイの木馬がいたり、
スパイウェア(CoolWebSearchの関連)がいたり・・・。
あとは、起動の際に使われるパスワードファイル(拡張子pwlのやつね)にも感染が
見つかった。こりゃぁ、なかなかいろいろと感染が防げないのも納得だ。
ちなみに、いろいろと感染中はIEを閉じてもタスク上は完全に閉じていなかったりと、
不穏な動作がいろいろとあったりしました。
102 :
97:2005/06/04(土) 18:31:53
avir.cn.binを極窓ったらavir.cn.exeだったので、セキュリティソフトを削除し
IEもデフォルトに戻して全てを受け入れてやった。atiupdplはできたけど
a349801ができん、何故だ?ルーターがブロックしてるのか?
またまた中途半端な状態だったけど、atiupdplだけだったらHijackThisだけ
で削除できるよ。「system scan」の
O4 - HKLM\..\Run: [atiupdpl] C:\WINDOWS\system32\atiupdpl.exe
O4 - HKLM\..\RunServices: [atiupdpl] C:\WINDOWS\system32\atiupdpl.exe
O4 - HKCU\..\Run: [atiupdpl] C:\WINDOWS\system32\atiupdpl.exe
の部分をFIXして、あとはatiupdpl本体とレジストリのごみを削除して再起動でok。
まあa349801との辛味でどうなるかは分からんけど、同時にやれば多分いけるん
ではないかと。
あとレジストリの項目を調べながら消していったんだけど、atiupdplはxpのファイアー
ウォールの例外に自分を登録するんだね。
結局、感染源は何だったんだ?(´・ω・`)
よーわからん。
未だに、感染源はわからない。
突然、ノートンがavir.cn[1].binの警告を出すんだけど。
そのときに表示されたフォルダを調べてもavir.cn[1].binは見つからない。
もっとも、これはノートンがブロックしているのかも知れない。
で、そのときにavr.txtを作りますか?というメッセージが出る。
これは多分、notepadにすり替えてあるa349801.exeが呼ばれたからなのだと思うんだが。
ただ、どのウイルスプログラムがa349801.exeを読んだのかが分からない。
俺もさっぱりだわ
>>106 おー、あったあった。って、喜んでど〜する!
さんきゅ。
108 :
名無しさん@お腹いっぱい。:2005/06/11(土) 18:52:58
coolwebsearchに感染してからこれが出てきたような。
一応収束したのかな?
シマンテックやトレンドマイクロなどのウイルス対策ソフトで対応されているようですからね。
収束しつつあるような気がします
27の方法やったんだけど1週間ぐらいしてからまたatiupdplとa349801が新しく出来てた。
notepad.exe自体が消えててダミーも作れ無いですorz
後atiupdplが出るようになってから20分置きぐらいに「warning」って言うポップアップウィンドウが出るんだけど
これって出てこないようにする方法って無いでしょうか?そのポップアップウィンドウに書いてる内容は英語で
「あなたのPCにスパイウェアがいます。今すぐ駆除するにはOKを押してく下さい」みたいな内容のが出てきます。
どうすればいいでしょうか?
113 :
名無しさん@お腹いっぱい。:2005/06/16(木) 01:54:47
>>112 ウイルスバスターやなんかのウイルス対策ソフトは入っている?
もちろんポップアップウインドウのOKは押すのは危険!
すまん上げちまった
対策ソフトは今は入れてないです。
毎日、ノートンが警告を出します。
avir.cn[1].binを探しても見つからない。
ノートンもブロックするだけで発生源のファイルは知らないのではないかと思う。
外部からの進入ではなくて内部から呼んでいる証拠は、同じLANのパソコンには何も出ない事。
もちろん同じOSで同じバージョンのノートン。
もちろんウイルス対策ソフトをウイルスパターン最新にしてチェックしてあるんだろうね?
119 :
117:2005/06/19(日) 06:54:52
>>118 ウイルスパターンは自動更新。頻繁にシマンテックから送られてくる。
もちろんウイルスチェックの総スキャンは毎週の定期的自動実行。
>>117 104のような症状ってことなんだろうか?
で、(既出応急処置のnotepad.exeに置き換えではない)atiupdplやa349801は存在している?
もしこのファイルがあってウイルス警告がされていないとすると、ウイルスチェックが
完全になされているかどうかは怪しいかも。
もちろん既出ログにあることをHijackThisを使うなどして把握・対処することもすすめます。
より詳しいことは既出のHPで見ると参考になると思われ。
121 :
117:2005/06/19(日) 15:13:50
いや、atiupdplもa349801も、notepadに置き換えてある。
確認で置き換えてあるexeを起動させるとnotepadが起動するし。
て、毎回、突然ノートンがavir.cn[1].binを出す。
問題のファイルの場所はインターネット一次ファイルの所のようだな。
その指示された所にウイルスのファイルが無いのは、ノートンがブロックしたんだろう。
avir.txtを作りますか?の窓が開くけど、偽装してあるnotepadが呼ばれたのだと思う。
そういうわけで、警告が出るだけでそれ以外には被害は無い。
問題は、警告の元になるプログラムを呼び出しているプログラムが分からないという事。
122 :
120:2005/06/19(日) 18:25:29
>>121 ん〜〜。この原因の根元はいまだにはっきりしていないのが(おそらく)現状。
1.この2ファイルが入り込んだのはおそらくはCoolWebSearch等のスパイウェア
もしくはそれと同時に混入の可能性が大
2.2ファイルを消してもいつの間にか入り込んでいる。
(内部のなにかが引き込んでいると思われる)
(既出のわたしのログにも書いたことも含んでいるが)
私の場合、Win98で感染。
諸般の事情(?)でウイルス対策ソフトを使用していない状況で感染混入。
CoolWebSearchのスパイウェア(=私の場合blank:for型)はどうにか
レジストリ・ファイル上から表面上は消すことができた。
2ファイルは消しても復活してくる。
※atiupdplを消すだけだとIEを終了したあとでもIEのタスクが残っていた。
試しにシマンテックのオンラインスキャン。
トロイの木馬(当時個体名未設定)が何ヶ所かから出てきた。
ゴミ箱(Recycledフォルダ)の中から“見えない”状態でトロイの木馬と
CoolWebSearchのスパイウェアが存在していたことだ。
(無いことになっているものは消せないと言うことらしい)
また、その時点で見つからなかったファイルがウイルスバスター体験版により
Win98のパスワードファイル(拡張子pwl)に感染していたことが判明。
これらの感染ファイルを全て削除。
その後2ファイルの復活やnotepad偽装したnotepadから「avir.txtを作りますか?」
の窓も出ていない。
123 :
120:2005/06/19(日) 19:16:29
そのPCにはセキュリティソフトは現在入っていないので、
引き込みソフトの発動の有無はわからず、
実際の所完全解決したかどうか不明である。
ただ、atiupdpl・a349801の復活は認められない。
(notepad偽装のこのファイルも既に削除済)
124 :
120:2005/06/19(日) 19:21:24
>>121 ダメ元ではあるが、オンラインスキャンサービスの方で
チェックさせてみるのも良いのではないか。どうだろう。
125 :
112:2005/06/19(日) 22:55:57
とりあえず体験版のウイルスバスターを入れときました。ところでatiupdplとa349801
は何をするスパイウェアなんですか?
126 :
120:2005/06/20(月) 00:47:50
スパイウェアを入れるためのトロイの木馬だと推測する。
>>106にあるリンク(トレンドマイクロのサイト)にウイルス情報
として載っています。
127 :
名無しさん@お腹いっぱい。:2005/06/21(火) 00:03:30
オレの場合はその2つのファイルの他に、「nft.msg」っていうのがいたぜ。
オレはアンチウイルスソフトを入れていなかったので、急遽AVGをダウンロードして
消去してそれからは問題が起きなくなったよ。
〜.binが出てウゼー
129 :
名無しさん@お腹いっぱい。:2005/06/27(月) 00:29:48
130 :
名無しさん@お腹いっぱい。:2005/07/01(金) 01:07:53
まだ消えねえ
131 :
名無しさん@お腹いっぱい。:2005/07/04(月) 23:55:32
結局、感染源はなんだったの?
AntiVir Guard が頻繁に検出するのですが。
解決した人と解決しない人がいるんだ代ねぇ・・・・
未だに悩まされてます ノ
134 :
ゆうこ:2005/07/07(木) 02:09:17
私も atiupdpl に困りんこ(..、もー プンプン(*'へ'*)
atiupdpl に困っている人たくさんいるのですね
135 :
?a¨???±:2005/07/07(木) 02:53:07
私のPC(WinMe)も立ち上げると「atiupdplが原因で…エラーが発生しました。
atiupdplは終了します。」の表示が出て毎度困ってました(・_*)
スタートアップの設定でatiupdplが入っていたのでチェックをはずして
再起動してもまた同じ状態でスタートアップの設定を見たらまた
チェックがついていての繰り返しプン。
閉じるをクリッして終了してくれるならいいんだけど、
この物体が起動と一緒に立ち上がる用になってから191MBあるPCのメモリが
すでに3MBしか空きがなくなっててメモリちゃんがいつも半べそ状態。
動作がおもおもプン。特にIEエクスプローラーは立ち上げて起動するまで
15秒以上もかかるの!おかしくないっ? で、3ページくらい見ると
「Iexplore が原因で….DLL にエラーが発生しました。
Iexplore は終了します。」の表示が出て Iexplore は固まって何もできなくな
るの。
しょうがないのでその表示の[閉じる]をクリッしたらIexplore が強制終了され
ちゃって
また起動しなおし。それを何回か繰り返していたらメモリ不足で固まってPC強制
再起動プン。
いつもそんな状況でインターネットまともに見れません。
さらにお気に入りにいつのまにかアダルトサイトのリンクがたくさんあるの。
なにこれーこわーい!削除しても削除しても削除しても現れるの。
136 :
ゆうこ:2005/07/07(木) 02:55:59
さらにお気に入りにいつのまにかアダルトサイトのリンクがたくさんあるの。
なにこれーこわーい!削除しても削除しても削除しても現れるの。
Iexplore の立ち上げのときのページも変えられなくなってます。
そして最近デスクトップのアイコンがM字開脚の女の子になってるの。
ほんとこわーい。なおらないのこれー?
PCのフォーマット初期化はリカバリCDを部屋移動の時になくしてしっまって
できない状態になってるんですよ。フォーマット初期化は無理んこ。
そんな弱体しきったPCのなか調べてスパイ星人だって事がわかったわ。
削除しても無駄ってこともわかったわ。
ウィルス対策ソフトもきかなくて駆除できないこともわかったわ。
a349801 も悪者だってこともわかったわ。
atiupdplって「アティプドゥープル」読んでるってこともわかったわ。
で、アプリを2コピダミー+レジで除去+スタートアップチェックしました。
atiupdpl 5月6日に製作されてましたよ。2ヶ月間っ?
スタートアップに4っつもatiupdplありました。
これ消したいね。消したいねー。
で、起動時の atiupdpl 表示なくなりました。やったー。
メモリも少し復活したかな〜。
でも肝心な Iexplore は上記の状態のまま(´〜`)
ネットでショッピングも通販もできません。
e-バンクのサイトはトップページからエラー表示がでて強制終了。
助けて〜 よろしくお願い致しマイケルっ☆彡
上記の対策を色々試したのですが一旦収束してもIEを立ち上げると
復活?するようで
最終手段で98をリカバリしてみて、試しに何も接続設定しないまま
IEを起動させてみる >レジストリにatiupdplの文字を発見orz
a349801 は見つからず。atiupdpl.exeは無し。IEはエラーでまくり
IE終了させてもIEのタスクは残る。
同じLANのPC(winXP)は全く無事
どこから感染してるんですか?(´・ω・`)
138 :
ゆうこ:2005/07/07(木) 23:49:19
うー 私のノウハウとスキルではもうどこいじっていいのかお手上げです(*~ρ~)
アイコンなんか直しても直しても起動したらM字開脚ってるの。
|´(・)`)
atiupdplとa349801以外にこれらのファイルを生成するファイルが
ハードディスク内にあるんだよ。
外からこの2つのファイルを読み込んでいるわけじゃないぞ。
すなおに無料のアンチウイルスソフトのAVGを使えばいいのさ。
もちろん、とりあえずオンラインスキャン(但しスキャンのみだが)でウイルスの有無を確認
するのも良し、体験版をとりあえず入れるのも良し。
既ログのアダルトサイト被害対策の部屋で対策や相談をするのはお勧めだと思われ
ati…とかa34…はスレ内の通りに削除。
coolとか付くリンクっぽいものほぼ全部レジストリから徹底的に排除して
tenpフォルダの中に出来てたse.dllとかいう変なのをそれ専用のツール落として排除したら
今んとこ怪しい動きはなくなったけど…。(検索してみると、これもスパイウェアらしい)
漏れの予想、他のよりサイズもでかいようだしコイツが生成の種だったんじゃないか…?と。
これでまた復活したら泣き言言いにきます。
規制解除ー
でもまだ検出される〜
144 :
142:2005/07/12(火) 05:29:00
今んとこ異常まったくないです。レジストリにも出なくなったようだし。
自動で開く変な広告も出なくなったみたい。ウチんとこは治った…と思うのですが…。
>>144 CoolSwitchってレジストリ値?
146 :
名無しさん@お腹いっぱい。:2005/07/17(日) 02:03:59
ぬおぉぉぉぉ消えん
まあ、XPなら無事なときまで戻って復元かけるのが手間かからないんちゃう?
現状からなら丹念にレジストリから、何から根気よく探す必要な場合も出てくると思うが・・・
>>142 se.dllが出たなら
Hijackthisつかって怪しげなレジストリのエントリを
片っ端から検索してFixした方がよさげ。
04-HKL\..\Run: [sp] rundll32 c:\DOUME~1\ユーザ名\LOCALS~1\
Temp\se.dll DllInstall
てのがあったらFixして
後は様子見。
149 :
名無しさん@お腹いっぱい。:2005/07/19(火) 22:15:15
se.dllが無いのに警告が出てくる…
ノートン先生の役立たずめ
150 :
名無しさん@お腹いっぱい。:2005/07/22(金) 22:35:38
あちアップドゥプルとa左翼やおい
151 :
名無しさん@お腹いっぱい。:2005/07/25(月) 00:06:03
もういやや
152 :
名無しさん@お腹いっぱい。:2005/07/28(木) 17:50:12
ウイルスバスターならおk?
試せる範囲で試してみよう。
ウイルスバスターも体験版でとりあえず試せるし・・・。
トレンドのオンラインスキャン始まる前にブラウザが落ちるのは仕様ですか?
156 :
名無しさん@お腹いっぱい。:2005/08/05(金) 21:56:06
まだ対応していなかったことに驚き
158 :
名無しさん@お腹いっぱい。:2005/08/06(土) 21:57:34
159 :
名無しさん@お腹いっぱい。:2005/08/10(水) 02:25:52
やっと対応か
160 :
名無しさん@お腹いっぱい。:2005/08/15(月) 00:19:36
まだ出るよorz
ヽ(・∀・)人(・∀・)ノナカーマ
162 :
名無しさん@お腹いっぱい。:2005/08/22(月) 22:38:41
いいかげん警告がウザくなってきた
163 :
名無しさん@お腹いっぱい。:2005/08/29(月) 00:41:30
消えたぁぁぁ
テラウレシス
164 :
名無しさん@お腹いっぱい。:2005/09/05(月) 10:05:54
ほしゅ
165 :
名無しさん@お腹いっぱい。:2005/09/12(月) 02:14:02
未だに警告が出る俺はいったい・・・
166 :
名無しさん@お腹いっぱい。:2005/09/14(水) 02:25:43
おれも、消したのにノートン先生が「削除しました」って出る。
保守age
168 :
名無しさん@お腹いっぱい。:2005/09/26(月) 09:54:33
まだまだ出るぞ〜
こいつと付き合い続けてかれこれ何ヶ月だろう
170 :
名無しさん@お腹いっぱい。:2005/10/03(月) 18:53:04
まだ出るぜ。しかもシステムに常駐しやがる
俺たち・・・もうダメなんかな・・・orz
172 :
名無しさん@お腹いっぱい。:2005/10/06(木) 19:38:49
atiupdpl.exeもa349801.exeもない
レジストリにもatiupdもa349801の名前はでてない
でもノートンの警告は毎日出るんだよー
しかも毎日ほぼ定時にでやがる
173 :
名無しさん@お腹いっぱい。:2005/10/07(金) 22:09:54
削除できた?っぽい
経過↓
知り合いのPC預かる(ウイルス感染したとかなんとか…)
ノートンで検索削除。
終わったな… 再起動。
でた! atiupdpl a349801 なぜだ?
シマンテックの言うとおり〜 やってみたがだめ…
ノートンの警告、警告うざい。
このスレ見つける、がどうもいけないっぽい…
仕方がないので、自分のPCで使っているAVG導入。
検索… 今度はbackdoor.Agent.BAなるモノ発見。
シマンテックより削除ツールダウン。
セーフモードにて実行。 再起動そして、も一回実行。
「もうないよ」の表示ででから、パッタリノートンの警告無し。
之が勝利なのか…
173はネ申
backdoor.Agent.Bバンバンでてきたぞ…
戦闘開始だ…
175 :
174:2005/10/09(日) 22:13:30
戦果はファイル1つにレジストリ1
C:\WINDOWS\System32\sqllbab.dll
レジストリはログ上書きで不明(スンマソ)
ちなみにAVG導入-検索せずにあてずっぽうで
シマンテックのbackdoor.Agent.B削除ツールなるものを実行してみました。
以前の状況は、Trojan.Jupillitesのシマンテックの対処法を全て実行し
ファイルもレジストリもatiupdとa349801がない状態で
atiupd.exeとa349801.exeの削除報告が不定期に出る状況でした。
どうやら収まったような…
様子見中
176 :
独り言:2005/10/09(日) 22:31:17
>>175 そういえば私が解決できたときにも、backdoor.Agentが「なにか」を
使って出てきてたなぁ。
やはり試せるものは試せってことなのかな。
177 :
174:2005/10/10(月) 01:55:23
どうやら解決したみたい。
その後一度もでません。
う〜ん、このバックドアのDLLって名前が可変なので
私の書いた「sqllbab.dll」は任意のファイル名になるらしい。
なのでdll名は参考になりません。
Windowsの起動時にロードされるって書かれてるけど
私は「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」に
一度も見かけなかったのでもっとマイナーなキーに書いてそう。
加えて動作を読むと、どうもatiupd.exeとa349801.exeを
単純じゃない方法でダウンロードしているんじゃないのかなぁと。
ファイルの操作や、exeの実行はスキャンにひっかかるけど
ダウンロードのリクエストするだけとかだと、
普通の方法じゃ検知できそうもないし。
まぁ、コンピュータの管理でロードされてるDLLを見れば表示されてそうだなぁ。
とか推測してみました。
ご参考になれば幸いです。でわでわ…
>>177 (174氏)
CONGRATULATION!
ちなみに(以前に書いたが)、私の場合はゴミ箱フォルダの中に見えない存在として
存在していた。(と、おぼろげな記憶)
179 :
173:2005/10/10(月) 20:02:05
>174
おめでと
自分とこも再発無し。どうやらコレが解決法みたいですな…
自分のとこは SQL.DLL だったんだけど色々調べたら任意のファイル名みたいですね。
自分もログ上書きしてしまって、レジストリまで覚えておりませんでした。
参考になれば、と書き込んだ甲斐がありました。
180 :
名無しさん@お腹いっぱい。:2005/10/12(水) 22:08:13
181 :
名無しさん@お腹いっぱい。:2005/10/23(日) 05:21:59
我々はついに克服した!
182 :
名無しさん@お腹いっぱい。:2005/10/30(日) 06:09:39
もう2週間ほど出てない
183 :
名無しさん@お腹いっぱい。:2005/11/02(水) 00:51:38
184 :
名無しさん@お腹いっぱい。:2005/11/03(木) 11:07:05
a349801は削除できたようだが、
atiupdplがまだ残ってる・・・なぜ・・・。
185 :
名無しさん@お腹いっぱい。:2005/11/05(土) 10:50:55
保守
186 :
名無しさん@お腹いっぱい。:2005/11/08(火) 20:24:34
完全に根絶したお
187 :
名無しさん@お腹いっぱい。:2005/11/16(水) 21:38:32
解決しないのは私だけ?
>>187 セーフモードでFxAgentB.exeを走らせてみたらどうかしら?
みんなもう消えたの?
190 :
名無しさん@お腹いっぱい。:2005/12/01(木) 09:47:50
まだいるって
191 :
名無しさん@お腹いっぱい。:2005/12/16(金) 02:32:46
まだ落ちてなかったのか・・・
192 :
名無しさん@お腹いっぱい。:2005/12/25(日) 17:00:29
クリスマスにも警告〜
運勢
194 :
名無しさん@お腹いっぱい。:2006/01/12(木) 08:33:38
もう終わりだ
195 :
名無しさん@お腹いっぱい。:2006/01/28(土) 17:38:47
落ちねぇぇぇ
196 :
名無しさん@お腹いっぱい。:2006/02/04(土) 16:26:26
すごいな、ここまだ落ちてないのナ。まだ困ってるひとがいるので…
>175 をやる前に、以下が前提となります。
・ファイルとしてatiupd.exeとa349801.exeがないこと。
・シマンテックのTrojan.Jupillites削除手順を全て実行していること。
・ワクチンソフトのフルスキャンでウィルスがないこと。
以上が満たされない場合、おそらくダメだと思います。
また、セーフモードでのフルスキャンでないと
削除できないウィルスがいるため、
通常+セーフモードでスキャンするのが無難です。
いい加減落ちろよ
まだ落ちない
がんばるな〜
200 :
名無しさん@お腹いっぱい。:2006/08/02(水) 09:09:04
落ちても困るからな
201 :
名無しさん@お腹いっぱい。:
しかたなくあげ