ウィルス情報質問 総合スレッド★Part37

このエントリーをはてなブックマークに追加
1名無しさん@お腹いっぱい。
ウィルスに関わる話題・質問はこちら。
Winny、P2P関連のウィルスは、Download板に専門スレッドがあります。

【  最  重  要  事  項  】
ウィスルやブラクラだと思われる物の直リンは厳禁!!!!!!!!!!
質問の時は頭の『ht』を抜いて貼り付ける事

【質問する前、書き込む前に必読する】 テンプレサイト
コンピュータウィルス総合スレッド テンプレミラーサイト(PC初心者板)
http://pcqa.tripod.co.jp/virus.htm
【警報】Winnyを狙ったワーム・ウイルス情報 テンプレまとめサイト(Download板)
http://www.geocities.jp/kemkzuenc/Antinny.html
http://www.geocities.jp/loftmanhoop/faq.html


尚、質問・回答が効率的に行えるよう、質問時には次のテンプレを使用してください。

【使用OS】
【WindowsUpdateしてるか】
【AntiVirusは何を使っているか】
【ちゃんとUpdateしてるか】
【スキャンした結果(ウイルス名・発見場所)】
【別のオンラインスキャンしたならその結果は】
【症状を具体的に、分かる限りすべて書く】
【何をしたらそんなことになったのか】
【これまでにとった措置】
【その他の質問】

前スレ
ウィルス情報質問 総合スレッド★Part36
http://pc8.2ch.net/test/read.cgi/sec/1146625920/
2名無しさん@お腹いっぱい。:2006/08/04(金) 11:38:33
■■ウィルス定義データは定期的に更新しよう■■
メーカー製パソコンにはウィルス監視ソフトがプリインストールされていることが多いです。
しかし、それだけでは万全ではありません。なぜなら、新しいウィルスが次々と登場するからです!
監視ソフトのデータベースに無ければ、新しいウィルスは検出できません。
そのため、ウィルス監視ソフトには 「データの更新」機能が用意されています。
監視ソフトのメーカーのコンピューターに接続し、最新のウィルス情報を手に入れることが重要なのです。

最近出来た新しいウィルスは、ウィルスデータを更新していなければ検出できません。
ウィルス監視ソフトを導入しているからと安心せず、必ず定期的にデータの更新を行ないましょう!
データ更新をしなければ、監視ソフトも役に立ちません。

■■ワクチンメーカーリンク集■■  ※ウィルス監視ソフトをワクチンソフトとも呼びます。

・トレンドマイクロ株式会社 http://www.trendmicro.com/jp/home/personal.htm
 製品名:ウイルスバスター2006インターネットセキュリティ他
・株式会社シマンテック http://www.symantec.com/region/jp/
 製品名:NortonAntiVirus、NortonInternetSecurity他
・VINTAGE SOLUTIONS, INC (バーテックスリンクより移管)
http://www.vintage-solutions.com/Japanese/
 製品名:ANTIDOTE (アンチドート)
・株式会社アラジンジャパン http://www.aladdin.co.jp
 製品名:eSafeProtect
・コンピュータアソシエイツ株式会社 http://www.caj.co.jp/
 製品名:InocuLAN、CheyenneAntiVirus
・マカフィー株式会社 http://www.mcafee.com/jp/default.asp
 製品名:McAfee VirusScan
※プリインストール版のMcAfee VirusScanは、古いバージョンのデータ更新が打ち切られています。
 http://www.nai.com/japan/download/dat3end.asp (リンク切れ)
 該当する場合は諦めてノートンかウィルスバスターを買いましょう。
3名無しさん@お腹いっぱい。:2006/08/04(金) 11:39:05
■■ウィルスに感染しないために■■
★ウィルス監視ソフトを常駐させよう。
 →常に見張っていてくれる監視ソフトを導入すれば、あなたの負担もグッと減ります。
★知らない人から届いた添付ファイルに注意!
 →知らない人からファイルをもらう理由はありません。
★添付ファイルのファイル名だけで信用しない!
 →ファイル名だけでは中身は分かりません。
★知り合いからの添付ファイルでも、注意しよう!
 →アドレス帳に登録されている人に送信するウィルスもあるので注意が必要です。
★怪しいファイルをダウンロードしない。
 →怪しいファイルにウィルスが混入しているケースもよくあることです。
  怪しいファイルや違法性のあるファイルはダウンロードしないようにしましょう。
■■ウィルスを発見・感染したら届け出を! ■■
 もしウィルスを発見したり、感染してしまったら届け出をしましょう!
★IPAセキュリティセンター コンピュータウイルスに関する届出について
 http://www.ipa.go.jp/security/outline/todokede-j.html
 こちらに届け出の方法などが記載されています。
 E-mail・郵送・FAXが利用できますので、ぜひ届け出ましょう。
4名無しさん@お腹いっぱい。:2006/08/04(金) 11:39:35
W32.Sasser.Wormとその亜種にご注意!!
このウイルスは、MS04-011 の悪用を試みるワームです。
ランダムに選択された IPアドレスを持つコンピュータを走査し、拡散します。
亜種も出現しているので、 出現後にウイルス監視ソフトの定義ファイルを 更新していない場合、 ウイルススキャンで検出できません。
最新の定義ファイルに更新しましょう。
●症状
ネットワークの反応が遅く、 メッセージボックスのシャットダウンへのカウントダウンが始まります。
下に「lsass.exeの異常終了です」などと表示されます。
もし「RPCの異常終了です」ならば、次のBlaster/Welchiaです。
「スタート」メニュー→「ファイル名を指定して実行」に
shutdown -a と入力し、[OK] する。これでカウントダウンは止まります。
●予防策
MS04-011のパッチを適用する。
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.mspx
●下記サイトにも情報が掲載されているので、参照して下さい。
Sasser ワームについてのお知らせ
http://www.microsoft.com/japan/security/incident/sasser.mspx
* Windows XP編
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
* Windows 2000編
http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
* シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.worm.html
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.b.worm.html
* トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.C
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
5名無しさん@お腹いっぱい。:2006/08/04(金) 11:40:06
Blaster / Welchia についての情報
このウイルスは、MS03-026 の悪用を試みるワームです。
●症状
ネットワークの反応が遅く、
シャットダウンへのカウントダウンが始まります。
メッセージボックスの下に「RPCの異常終了です」などと表示されます。
もし「lsass.exeの異常終了です」ならば、上のSasserです。
「スタート」メニュー→「ファイル名を指定して実行」に
shutdown -a と入力し、[OK] する。これでカウントダウンは止まります。

Blasterにはいくつかの亜種があります。
マイクロソフトの解説ページ
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
Blaster トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
Blaster シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html
Welchia トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.A
Welchia シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
6名無しさん@お腹いっぱい。:2006/08/04(金) 11:40:37
「W32/Netsky」ウイルスの亜種(Netsky.Q)に関する情報
http://www.ipa.go.jp/security/topics/newvirus/netsky-q.html
・差出人アドレスは詐称されます。
・件名: 以下のいずれかひとつ
  * Mail Delivery System (<受取人メールアドレス>)
  * Failure (<受取人メールアドレス>)
  * Delivered Message (<受取人メールアドレス>)
  * Deliver Mail (<受取人メールアドレス>)
  * Delivery Error (<受取人メールアドレス>)
・添付ファイル名: { message、data、mail、msg } + { ランダムな数字、なし } + { .pif , .zip }
   例: date7386.pif 、 message19392.zip など

「W32/Mydoom」(別名:Novarg)ウイルスに関する情報
http://www.ipa.go.jp/security/topics/newvirus/mydoom.html
・差出人アドレス(From): コンピュータから取得できたアドレスを詐称。
・件名:(以下の候補のいずれかを選択)
  * Error
  * Status
  * Server Report
  * Mail Transaction Failed
  * Mail Delivery System
  * hello
  * hi
  [ 任意の文字列 ]
・本文:(以下の候補のいずれかを選択)
  "test"
  "The message contains Unicode characters and has been sent as a binary attachment."
  "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."
  "Mail transaction failed. Partial message is available."
  [ 任意の文字列 ]  [ 空白 ]
・添付ファイル名: ランダムなアルファベット
7名無しさん@お腹いっぱい。:2006/08/04(金) 11:41:07
「既出です」Q&A
Q1.ノートンを使っていたら、2chのログからウィルスを発見しました。
   ノートンをインストールしたら2chに書けなくなりました。
A1.ここを読みましょう。
http://info.2ch.net/wiki/pukiwiki.php?%A5%CE%A1%BC%A5%C8%A5%F3%C6%FE%A4%EC%A4%BF%A4%E9%A3%B2ch%A4%CB%BD%F1%A4%AD%A4%B3%A4%E1%A4%CA%A4%A4%BF%CD%A4%D8

Q2.ウィルスを検出しましたが、どんなウィルスかわかりません
A2.各アンチウィルスベンダーのウィルス情報をまず確認しましょう。
・Symantec Security Response
http://www.symantec.com/region/jp/sarcj/vinfodb.html
・Trend Micro ウイルス情報
http://www.trendmicro.co.jp/vinfo/virusencyclo/default.asp
・McAfee ウイルス情報
http://www.mcafeesecurity.com/japan/security/vlibrary.asp

Q3.「世界の中心で生まれてきてすいません」という表示が出てきました 。
  デスクトップの背景が蓮画像になってしまいます 。
A3.Winny関連ウィルスですので、Download板へどうぞ。
  ブラクラに仕込まれている場合もあるので、心当たりがなくても一度参照して下さい。
Winnyを狙ったワーム・ウイルス情報 Part54
http://tmp6.2ch.net/test/read.cgi/download/1146159356/

Q4.アンチウィルスソフトを持っていないのですが、無料のものはないですか?
A4.このスレでフリーのアンチウィルスソフトを取り扱っていますので確認して下さい。
フリーのアンチウイルスソフト Part7
http://pc8.2ch.net/test/read.cgi/sec/1137773269/

Q5.ホームページが変なページになってしまいます
A5.ウィルスではなくスパイウェアですので、こちらへどうぞ
エロサイトを見たら…助けてください!Part61
http://pc7.2ch.net/test/read.cgi/pcqa/1141370819/
8名無しさん@お腹いっぱい。:2006/08/04(金) 11:41:56
関連スレッド

Winnyを狙ったワーム・ウイルス情報 Part54
http://tmp6.2ch.net/test/read.cgi/download/1146159356/
sasser【スタコラサッサ】sasser Part2
http://pc5.2ch.net/test/read.cgi/sec/1083839516/
Blasterスレ part5
http://pc8.2ch.net/test/read.cgi/sec/1065964513/
【緊急!】ウィルス即行駆除方法【助けて!】
http://pc8.2ch.net/test/read.cgi/sec/1091174837/
アンチウィルスソフトのウィルス誤検出
http://pc8.2ch.net/test/read.cgi/sec/1027753135/
毎日ウィルスメールが送られてくるのですが・・2通目
http://pc8.2ch.net/test/read.cgi/sec/1086494732/

関連スレは次スレに移行してる場合もあります。


質問する前に検索しましょう
http://www.yahoo.co.jp/
http://www.google.co.jp/

テンプレここまで。
9名無しさん@お腹いっぱい。:2006/08/04(金) 11:48:01
帰 っ て き た ウ イ ル ス 祭 り 9    .exe
http://ex16.2ch.net/test/read.cgi/news4vip/1154656012/l50

今一番ひどい事になっているウィルス
VIPかニュース速報でウィルスと検索すれば出てくる
10名無しさん@お腹いっぱい。:2006/08/04(金) 11:55:29
【使用OS】 Windows XP SP2
【WindowsUpdateしてるか】している
【AntiVirusは何を使っているか】ウイルスバスター2005
【ちゃんとUpdateしてるか】している
【スキャンした結果(ウイルス名・発見場所)】
【別のオンラインスキャンしたならその結果は】
【症状を具体的に、分かる限りすべて書く】
何かのダイアログが表示される
スタートアップにC:\WINDOWS:SVCHOST.exeが追加された
【何をしたらそんなことになったのか】
前スレのttp://up2.viploader.net/mini/src/viploader57529.lzhの中身を実行してしまったorz

【これまでにとった措置】
といあえず、タスクマネージャから殺して
スタートアップの C:\WINDOWS:SVCHOST.exe  ってのを消したけど・・
”:”と言うのはどういう事なんですか?

Windows Defenderで見たらこうなってました。

ファイル名: WINDOWS:SVCHOST.exe
表示名: WINDOWS:SVCHOST.exe
説明: 不明
発行元: 不明
デジタル署名元: 署名なし
ファイルの種類:
スタートアップの値: C:\WINDOWS:SVCHOST.exe
ファイル パス: C:\WINDOWS:SVCHOST.exe
ファイル サイズ: 812544 Bytes
ファイル バージョン: 不明
インストール日時: 2003/12/06 0:57:54
スタートアップの種類: レジストリ: Current User
場所: Software\Microsoft\Windows\CurrentVersion\Run
1110:2006/08/04(金) 11:57:04

それとsvchostで検索したらこんなのが出てきました。
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ServicePackFiles\i386\svchost.exe
C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
C:\WINDOWS\I386\SVCHOST.EX_

後、念のため2ch.netを制限サイトに追加しておきました・・・
12名無しさん@お腹いっぱい。:2006/08/04(金) 11:58:32
>>10 俺も 感染中
手の施しようがなくて困ってる
13名無しさん@お腹いっぱい。:2006/08/04(金) 11:58:43
>>11
http://127.0.0.1

を開いて表示されなければ大丈夫
1413:2006/08/04(金) 11:59:25
転載
20 名前:アラストル メール: 投稿日:2006/08/04(金) 10:34:11 ID:1Z/++3hJ0
43 名前:アパレルの女 メール: 投稿日:2006/08/04(金) 07:23:00 ID:/EKOcO+n0
俺のためにはっておく

localhostIP(自分のPCを指すIP)の
http://127.0.0.1
で何も表示されなければ感染してないことがチェックできる。

329 名前:名無したん(;´Д`)ハァハァ メェル:sage 投稿日:2006/08/04(金) 00:53:40 ID:UdWNDLPJ
このファイル名は全部ウイルスだぜ
812,544byte、CRC EA1438CC

これを起動して表示されるURLだぜ.exe
Nemu0.8 日本語化パッチ.exe
r00t hacker.exe
完全攻略5(ソフト版).exe (クリムゾンフォルダ内)
Yamada_Virus_Checker_ver1.0.2.exe
ポケットモンスター・リーフグリーン.exe
ゲームセンターCX ハッシュリスト.exe
新しいフォルダ           .exe
seisyun18              .exe
山田ウイルスチェッカー.exe
我が家のメイド  .exe
FFFightΩ.exe
炉.exe
image001.jpg           .exe(viploader38302フォルダ内)
15名無しさん@お腹いっぱい。:2006/08/04(金) 12:02:41
宇治キンタマウィルス(仮)

まとめwiki(現在発見されているウィルスの症状・対策を順次載せています)
http://www3.to/wiki-anti-virus

前スレ
帰 っ て き た ウ イ ル ス 祭 り 9    .exe
http://ex16.2ch.net/test/read.cgi/news4vip/1154656012/

・症状
2ch内の特定のスレッドや、jpg画像を開くことにより感染(2ch専用ブラウザ使用でも感染報告あり)
感染者のデスクトップ画面が定期的にアップローダへ公開される
また、2ch内のどこかに感染者のIPが公開串として判別され、書き込めなくなる場合がある
再起動後、C:\WINDOWS\SVCHOST.exeが起動時に読み込まれるように設定され、レジストリに以下の値が追加される
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SVCHOST

・対策
2006/08/04日現在、このウィルスに対応した市販の駆除ソフトの報告はありませんので、
有志の方が制作してくれた専用のウィルス駆除ソフトを使用してください。
http://v.isp.2ch.net/up/3591b0e4fdbc.exe(自己解凍版)
http://up2.viploader.net/mini/src/viploader57529.lzh(書庫圧縮版)
使い方
1 ダウンロードしたファイルをコンピュータ上にて、ダブルクリックするなどして実行してください。
2 自己解凍が開始され、システムの駆除処理が自動的に行われます。(エラー表示が出る場合は右クリックから実行してください)
3 駆除ツールによって作成されたログファイルを参照し、実行結果を確認してください。
4 ウイルスが検出され駆除処理が行われた場合、コンピュータを必ず再起動してください。
  再起動後に駆除ツールを再び実行し、何も検出されなければ駆除処理は完了です。
1610:2006/08/04(金) 12:03:09

山田ですか・・・
>>13は表示されませんでした。
ポート80も開いてないようです
17名無しさん@お腹いっぱい。:2006/08/04(金) 12:03:31
同じく感染者ですが>>13の「http://127〜」を開いても繋がりません
SSがUPされているのは確認しているので感染は確実にしています・・・
18名無しさん@お腹いっぱい。:2006/08/04(金) 12:05:01
>>17
>>13は?
19名無しさん@お腹いっぱい。:2006/08/04(金) 12:05:52
ミス。>>13じゃなくてこれ
・スタート→ファイル名を指定して実行で「cmd」を実行、コマンドプロンプトを表示して
 netstat -ano と入力。Local Addressの「:」の後が80や8000、8080などがあったらピンチ
 (Foreign Addressの方は80などがあっても無関係)
20名無しさん@お腹いっぱい。:2006/08/04(金) 12:08:34
駆除ソフトもう出来上がったんですか?
早速使わせてもらいます。
21名無しさん@お腹いっぱい。:2006/08/04(金) 12:09:29
>>20
>>15もウイルス
22名無しさん@お腹いっぱい。:2006/08/04(金) 12:10:31
>>19
無いようです

>>20
無限ループって怖くね?
23名無しさん@お腹いっぱい。:2006/08/04(金) 12:12:02
>>19
80系見当たりませんでした

・やったこと
山田ウィルスチェッカー.exeを踏む

実行してしまう

ウィルスと気づきプロセスの終了とレジストリの〜Version\Runに追加されていた不審な値を削除

本体と思われるC\WINDOWS:SVCHOST.exeを削除しようと思ったが見当たらない ←いまここ
24名無しさん@お腹いっぱい。:2006/08/04(金) 12:12:33
>>17
マイキャプチャーなど次々とデスクトップのスクリーンショットが見覚えのないファイル名で
作成されてますか?
25名無しさん@お腹いっぱい。:2006/08/04(金) 12:12:47
>>15のwikiってのも危ないの?
26名無しさん@お腹いっぱい。:2006/08/04(金) 12:13:07
avg実行しろ
27名無しさん@お腹いっぱい。:2006/08/04(金) 12:15:01
netstat -ano 

↑ o のオプションが有効なのは WindowsXP or Windows Server 2003のみ
その他のOSであれば

netstat -an がよろし
28名無しさん@お腹いっぱい。:2006/08/04(金) 12:16:14
>>24
これはスレ違いな質問かもしれませんが、マイキャプチャーとはなんでしょう?
マイドキュメントのことでしょうか?
>>26
3時間前に実行済みですが検出されませんでした
最新バージョン入れてます
29名無しさん@お腹いっぱい。:2006/08/04(金) 12:16:24
>>25
不安ならブラクラチェッカー通して味噌
ttp://so.7walker.net/index.php?site=http%3A%2F%2Fwww3.to%2Fwiki-anti-virus&hua=
30名無しさん@お腹いっぱい。:2006/08/04(金) 12:18:24
>>28
はい、そうです。マイドキュメントの中に見覚えのない名前のファイルのデスクトップのスクリーンショットはありますか?
31名無しさん@お腹いっぱい。:2006/08/04(金) 12:18:29
>>15のまとめwiki開いてポップアップブロックってでたんだけどコレ、アウト?
32名無しさん@お腹いっぱい。:2006/08/04(金) 12:18:51
ローカルに8080を発見したんだが、該当フォルダが見付からん。
33名無しさん@お腹いっぱい。:2006/08/04(金) 12:19:18
「バスターとノートンはまだ対応してない」って。。。
マカフィーもきちんと対応してくれますよね?
34名無しさん@お腹いっぱい。:2006/08/04(金) 12:20:24
wikiのアドレスふんでしまった;;;;;;;;;;;;;;;;;;;;;;;;
コマンドプロンプトでnetstat -ano実行したんだけど

内部コマンドまたは外部コマンド
操作可能なプログラムまたはバッチファイルとして認識されていません

って出るんですけど・・・
3513:2006/08/04(金) 12:20:36
>>15
マックですけどwikiも危ない。
ふんでもいいけどlzhはダウンしない様に。
36名無しさん@お腹いっぱい。:2006/08/04(金) 12:21:38
>>30
マイピクチャに4枚ほどありました
感染したのは昨日の夜23時ぐらいです

バッチリネトゲやってるところが映ってました・・・
リングメンバーにバレてたら確実に不正プレイヤーとか疑われそうだ
37名無しさん@お腹いっぱい。:2006/08/04(金) 12:21:51
>>35
ダウンまではしてしまったのですが・・・
実行はしていません。感染していますかね?
3813:2006/08/04(金) 12:22:39
>>37
してないはずだ
時々マイピクチャのなかを見ておいて
39名無しさん@お腹いっぱい。:2006/08/04(金) 12:22:45
ネットに繋いでても繋いでなくてもタスクマネージャーにsvchostのユーザー名でアウトですよね?
俺それないんですけどSSうpされました
正直把握できません
40名無しさん@お腹いっぱい。:2006/08/04(金) 12:22:50
>>30
>>28ではありませんがありました、どうすればよいでしょうか?
41名無しさん@お腹いっぱい。:2006/08/04(金) 12:23:56
>>36
お前VIPでヲチされてたぞ

VIPのスレに張ってあるのはほとんどウイルスだから間違っても踏むなよ
42名無しさん@お腹いっぱい。:2006/08/04(金) 12:24:34
>>15のwiki踏んだらどうなんの?
勝手にダウンロードするとか聞いたんだが、俺全然そんなんならんのだが
43名無しさん@お腹いっぱい。:2006/08/04(金) 12:24:38
qwd」
4413:2006/08/04(金) 12:24:44
>>39
ダウンしたウイルスくれ。
見つけたらAVGに送ってる。
4540:2006/08/04(金) 12:24:57
追記:
ファイル名は
【苺きんたま Re-birth】〜から始まるものでした
46名無しさん@お腹いっぱい。:2006/08/04(金) 12:25:59
やたらAVGを勧める書き込みが多いのは気のせいか('A`)

AVGへは検体2種類提出済
次のアップデートで対応すると昨日返信があった
次のアップデートというのがいつなのかは分からんが

ちなみにKasperskyは
「Trojan.Win32.Delf.wk」、「Backdoor.Win32.Delf.afu」として対応済
47名無しさん@お腹いっぱい。:2006/08/04(金) 12:26:57
>>44 ttp://up2.viploader.net/mini/src/viploader57529.lzh ですが
自分でも色々調べましましたが
もう送られてるのかな?
48名無しさん@お腹いっぱい。:2006/08/04(金) 12:27:07
>>44
avastにも送っていただけないでしょうか。
自分でもやるべきなのでしょうがチキンなもので…
49名無しさん@お腹いっぱい。:2006/08/04(金) 12:27:08
>>41
うは、これでECOの知名度と同時にうちのキャラの知名度も大幅うpですね・・・

VIPではなくほかの板に「ウィルス注意、最新のチェッカーで検索しよう」というレスが貼られていて油断しました
後で知った事ですがVIPPERがあちこちバラまいてるんですね
50名無しさん@お腹いっぱい。:2006/08/04(金) 12:28:45
>>45 俺もあったよぉwwww
今から感染してるかどうかわざとネットにつないで見るつもり
これ以上ふえたら・・・・・・・orz
5113:2006/08/04(金) 12:28:51
>>47
それ送ってる>>46でも対応してるのかも知れないが。
52名無しさん@お腹いっぱい。:2006/08/04(金) 12:29:44
>>49
確認したかぎりでは

山田チェッカー
各種ネトゲチートツール
ポケモングリーン etc
に偽装されてばらまかれてる
53名無しさん@お腹いっぱい。:2006/08/04(金) 12:30:26
とりあえず、現状での対処法は
マイピクチャ内にファイルが増えてないか確認
【苺きんたま Re-birth】〜から始まるファイルがあったら削除

でいいのでしょうか?
54名無しさん@お腹いっぱい。:2006/08/04(金) 12:31:25
Kasperskyのオンラインスキャン行ってきます
5513:2006/08/04(金) 12:32:42
>>48
アドレスが捜せなかった。
さよならw。
56名無しさん@お腹いっぱい。:2006/08/04(金) 12:34:12
>>52
チートツールにも含まれてるんですか・・・
なんかどんな言い訳しても確実に升er扱いされそうだ

とりあえず現状
・うpされたSSは4枚のみ
・ポート80、8080、8000は閉じている(らしい)
http://127.0.0.1には繋がらない
・本体ファイルが見つからない
57名無しさん@お腹いっぱい。:2006/08/04(金) 12:34:21
Kasperskyのオンラインスキャン初期化失敗とかうまくいかなかった・・
5813:2006/08/04(金) 12:35:54
新しいのはサーバにはなってないのかもね。
Firewallいれてる?>>56
59名無しさん@お腹いっぱい。:2006/08/04(金) 12:36:00
ウイルスおいときますね
間違って踏まないようにttp://up2.viploader.net/mini/src/viploader57529.lzh
VIPから拾ってきたけどウイルス多すぎてこれが本命かわからんが
感染者は検体送っとけ
60名無しさん@お腹いっぱい。:2006/08/04(金) 12:36:52
>>48
>>44ではないがavastには提出済
だがしかし、avastは検体送っても返信してくれないので
対応についての詳細はわからん
61名無しさん@お腹いっぱい。:2006/08/04(金) 12:37:22
>>57
同じく
62名無しさん@お腹いっぱい。:2006/08/04(金) 12:38:03
>>58
入ってないです
63名無しさん@お腹いっぱい。:2006/08/04(金) 12:42:21
>>60
以前jeneが誤検出されたときに送ったら
返信を貰った記憶がありますよ?
6454:2006/08/04(金) 12:43:37
俺もうまくいってない模様
6513:2006/08/04(金) 12:43:49
>>62
念のためFirewall入れて、ウイルスらしき接続を拒否しな。
もしかしたら亜種も防げるかも知れないし。
今のオイラにはそれくらいしかわからない。
66名無しさん@お腹いっぱい。:2006/08/04(金) 12:44:01
アンチドートはどうだろう
67名無しさん@お腹いっぱい。:2006/08/04(金) 12:47:30
>>65
WindowsファイアウォールってやつでOKですか?
6854:2006/08/04(金) 12:47:52
俺動きました
でも、オンラインスキャンのも対応してますよね?
6913:2006/08/04(金) 12:49:19
>>67
付属でもいいのかもな。
俺ならZonealarmかOutpostいれるけど。
70名無しさん@お腹いっぱい。:2006/08/04(金) 12:53:48
>>59
ttp://virusscan.jotti.org/ → ttp://upp.sakura.ne.jp/src/upp2719.gif
ttp://scanner.virus.org/ → ttp://upp.sakura.ne.jp/src/upp2718.gif
Virustotalは2時間待ちとか言われた('A`)ナニソレ

>>63
そうなのか・・・
もしかしてavastユーザーにしか返信くれないのかも
71名無しさん@お腹いっぱい。:2006/08/04(金) 12:55:07
連カキスマソ

>>66
AntidoteはKasperskyと同じスキャンエンジンを使ってるので、
最新版であればおそらく対応してると思う、が確認はしていない
72名無しさん@お腹いっぱい。:2006/08/04(金) 12:55:48
ごめんなさい、もう一度聞きます

とりあえず、現状での対処法は
マイピクチャ内にファイルが増えてないか確認
【苺きんたま Re-birth】〜から始まるファイルがあったら削除

でいいのでしょうか?
73名無しさん@お腹いっぱい。:2006/08/04(金) 12:56:30
とりあえず対応していると思われるウィルス対策ソフトをダウンロードしようと思ったのですが個人情報入力が・・・
74名無しさん@お腹いっぱい。:2006/08/04(金) 12:56:38
とりあえず俺は、自分のできる範囲で他スレに警告だしてる。
7513:2006/08/04(金) 12:57:06
>>72
> マイピクチャ内にファイルが増えてないか確認
> 【苺きんたま Re-birth】〜から始まるファイルがあったら削除
感染の確認だな。
駆除はできてないはず。
76名無しさん@お腹いっぱい。:2006/08/04(金) 12:58:35
netstat -ano

半角スペースが入ってたのを見逃してた;
ローカル80、8000、8080は無かったから、大丈夫と思っていいんだろうか・・・
7713:2006/08/04(金) 12:58:54
>>73
WWWWジレンマ発生ww
78名無しさん@お腹いっぱい。:2006/08/04(金) 13:03:42
>>73
怖いウイルスだなw
79名無しさん@お腹いっぱい。:2006/08/04(金) 13:08:10
>>75
ですよね。
このフォルダに新たな画像が作成されない限りは
新たなファイルのうpはないものとみて間違い無いのでしょうか?

それと、ウィルスの駆除ですが
AntidoteもしくはKasperskyのオンラインスキャンをすればよろしいのでしょうか?

ご教授願います
80名無しさん@お腹いっぱい。:2006/08/04(金) 13:08:12
キンタマ再来?新型ウイルス 【亀田ウィルス(仮称)】 大規模爆撃中 ★9
http://news20.2ch.net/test/read.cgi/news/1154663860/

1 名前:儲です[] 投稿日:2006/08/04(金) 12:57:40 ID:OSSldVCp0 ?PLT(10282) ポイント特典
・ユーザー名で動いているsvchost.exeがあったらピンチ
 ただし、ユーザー名以外のsvchost.exeは消すとPCが起動しなくなるので注意

・upされているexeは実行するな。面白がってウイルスなどを踏ませようとしている可能性が高い

・スタート→ファイル名を指定して実行で「cmd」を実行、コマンドプロンプトを表示して
 netstat -ano と入力。Local Addressの「:」の後が80や8000、8080などがあったらピンチ
 (Foreign Addressの方は80などがあっても無関係)

http://127.0.0.1/で何も表示されなければ感染してない

キンタマ再来?新型ウイルス 【亀田ウィルス(仮称)】 大規模爆撃中 ★8
http://news20.2ch.net/test/read.cgi/news/1154655090/

http://up.isp.2ch.net/upload/c=01owarai/index.cgi
81名無しさん@お腹いっぱい。:2006/08/04(金) 13:09:15
>>59
203.174.77.5:80
アクセス先

山田ウイルスチェッカー.exe
一丁前に80ポートでリッスンしてやがる

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
エントリ: DisableTaskMgr 0x00000001 (1)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
エントリ: SVCHOST "C:\WINDOWS:SVCHOST.exe"
これもパスを間違っているのかな? 多分このつもりなんだろうから 正 "C:\WINDOWS\SVCHOST.exe"
これもこんなファイルは作られないな?
どうせルーターでも使っていれば、外部から80ポートへのアクセスなんて通らないしな
これって不良プログラムなんじゃないのか?
8213:2006/08/04(金) 13:09:18
>>79
駆除は知らない。
Firewallでブロックして凌ぐことしかわからん。
83名無しさん@お腹いっぱい。:2006/08/04(金) 13:12:17
今さっき感染した人間ですが
レジストリ消したら【苺きんたま Re-birth】〜から始まるファイルが作成されることはなくなったようです
84名無しさん@お腹いっぱい。:2006/08/04(金) 13:17:03
>>82
ありがとうございます

>>83
どの値を削除すればよろしいのでしょうか?
85名無しさん@お腹いっぱい。:2006/08/04(金) 13:17:10
・ユーザー名で動いてるsvchost.exeがあった→消した
・コマンドプロンプト見た→無かった
http://127.0.0.1/を開く→ページを表示できません。
・マイピクに【苺きんたま Re-birth】〜あったので速攻消した

こんな感じなんですけど感染してるのでしょうか?
86名無しさん@お腹いっぱい。:2006/08/04(金) 13:17:10
shellsystem.exeってレジストリにあったら削除?
87名無しさん@お腹いっぱい。:2006/08/04(金) 13:19:00
バスター君ではまだ検出出来なかったので、トレンドマイクロに報告はしたけど、
どうせみんな送ってるんだろうなー

88名無しさん@お腹いっぱい。:2006/08/04(金) 13:19:04
>>81
>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
>エントリ: DisableTaskMgr 0x00000001 (1)
これ削除推奨?

>>85
SSあったらバリ感染っぽいです
89名無しさん@お腹いっぱい。:2006/08/04(金) 13:19:11
>>81にあったレジストリ削除しました
90名無しさん@お腹いっぱい。:2006/08/04(金) 13:24:50
まったりから来ますた
91名無しさん@お腹いっぱい。:2006/08/04(金) 13:26:02
面倒でもクリーンインスコした方が確実だろ
92名無しさん@お腹いっぱい。:2006/08/04(金) 13:27:22
>>90
一緒に帰ろうか・・・
93名無しさん@お腹いっぱい。:2006/08/04(金) 13:28:16
>>91
バックアップしたいファイルに感染してるかもしれないからそう簡単には・・・
94名無しさん@お腹いっぱい。:2006/08/04(金) 13:28:47
>>93
だな
95名無しさん@お腹いっぱい。:2006/08/04(金) 13:29:32
なんか感染しても自分ひとりじゃなければ怖くないね
96名無しさん@お腹いっぱい。:2006/08/04(金) 13:30:12
>>81読み直してみた
>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
>エントリ: SVCHOST "C:\WINDOWS:SVCHOST.exe"
>これもパスを間違っているのかな? 多分このつもりなんだろうから 正 "C:\WINDOWS\SVCHOST.exe"
>これもこんなファイルは作られないな?

つまりウィルス本体はWINDOWS:SVCHOST.exeじゃないって事ですか?
97名無しさん@お腹いっぱい。:2006/08/04(金) 13:36:54
現状は自分のデスクトップが勝手にうpされないようにすることしかできんな・・・
98名無しさん@お腹いっぱい。:2006/08/04(金) 13:37:43
速くマカフィーでアップデートしてくれないか待つばかり
何もできない自分が不甲斐ない



ところでやはり自分のマイピクチャにもアップされた画像がありました
しかしさっきからオンラインスキャンをするためにオンラインしてるんですが一向にアップされません
駆除されてなんかないですよね?
99名無しさん@お腹いっぱい。:2006/08/04(金) 13:38:24
>>88
そうですか・・・
100名無しさん@お腹いっぱい。:2006/08/04(金) 13:40:48
>>96
ie-spyadのレジストリスクリプトでも流し込んどけ
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\2ch.net\tmp6]
"*"=dword:00000004

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\2ch.net\up.isp]
"*"=dword:00000004

こんなのは制限付きサイトとして登録されるからcgiでアップされなくなるんじゃないのか?
101名無しさん@お腹いっぱい。:2006/08/04(金) 13:43:05
本スレで

▼━ウィルス感染ファイルの確認の仕方━━━━━━━━━━━━
以下を実行
セーフモードで起動してください
「スタート」メニューを開いて、ファイルを指名して実行をクリック
regeditと入力してOKをクリック(Win2000の場合は、regedt32と入力してOK)
レジストリエディタが開く
HKEY_LOCAL_MACHINE\Software\CLASSES\.dll
HKEY_LOCAL_MACHINE\Software\CLASSES\.exe
HKEY_LOCAL_MACHINE\Software\CLASSES\.sys
HKEY_LOCAL_MACHINE\Software\CLASSES\dllfile
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile
HKEY_LOCAL_MACHINE\Software\CLASSES\sysfile
HKEY_LOCAL_MACHINE\System\CurrentControlSet
上記のキーはウィルス、スパイウェア、ハイジャッカーなのであれば削除すること。

とのレスがあったのですが、本当なのでしょうか?
102名無しさん@お腹いっぱい。:2006/08/04(金) 13:43:14
>>100
すいません、言ってる事がよくわからない
ie-spyadのレジストリスクリプトとは?
流し込むとは?
10310:2006/08/04(金) 13:44:12
マイピクチャに画像があったがうpはされてないよう・・・

IE-SPYAD入れてたからだろうか・・
104名無しさん@お腹いっぱい。:2006/08/04(金) 13:44:34
105名無しさん@お腹いっぱい。:2006/08/04(金) 13:47:49
拡張子偽装有りか?
106名無しさん@お腹いっぱい。:2006/08/04(金) 13:48:27
>どうせルーターでも使っていれば、外部から80ポートへのアクセスなんて通らないしな
つまり人によってはマイピクチャに画像があってもうpされてないってことかな
107名無しさん@お腹いっぱい。:2006/08/04(金) 13:49:01
俺、亀田ウィルスに感染したよー
タスク

http://up.isp.2ch.net/up/482441655d76.jpg

マイピクにできたトップ画像

http://up.isp.2ch.net/up/b4ddb093c705.jpg

【苺きんたま Re-birth】[060804 034421] Owner.jpg
108名無しさん@お腹いっぱい。:2006/08/04(金) 13:50:38
>>104
ありがとう、でもこれIE用?
IE不便だから使ってないのだけど有効なのだろうか
109名無しさん@お腹いっぱい。:2006/08/04(金) 13:53:09
>>103
どこでうpされてるの?
110名無しさん@お腹いっぱい。:2006/08/04(金) 13:54:43
インターネットオプションの制限付きサイトに登録するんだから
IEじゃなくても大丈夫なんじゃない?
プニルつかってるからどうかわからないけど
111名無しさん@お腹いっぱい。:2006/08/04(金) 13:56:38
>>110
OK、御託並べる前にまず導入だな
112名無しさん@お腹いっぱい。:2006/08/04(金) 13:57:31
AVGは対応できるようになったらしい
113名無しさん@お腹いっぱい。:2006/08/04(金) 14:17:42
前回の祭りのときはキモヲタっぽいSSだらけだったが
今回はどうみても一般な人、女性っぽい人、まじめに仕事している人が多数ひっかかっているように見える
なぜここまで広まったんだ?
114名無しさん@お腹いっぱい。:2006/08/04(金) 14:18:30
ヒント:スレの>>1が釣り
115名無しさん@お腹いっぱい。:2006/08/04(金) 14:19:47
あちこち爆撃しまくってる馬鹿vipperがかなりいる模様
116名無しさん@お腹いっぱい。:2006/08/04(金) 14:20:05
様々な板や一般掲示板にウイルスが貼られまくってるから
117名無しさん@お腹いっぱい。:2006/08/04(金) 14:20:21
>>113 山田ウィルスチェッカー.exe
が効果大だったと思う
自分もそれにやられたし
118名無しさん@お腹いっぱい。:2006/08/04(金) 14:21:25
>>113

俺もvipperだが・・・
やりすぎだろ・・こりゃ
119名無しさん@お腹いっぱい。:2006/08/04(金) 14:21:47
>>113
おそらく「ウィルス蔓延中、このチェックソフトでチェック」というカキコを見て踏んでしまったのかと
VIPだけではなく、他の板にも偽警報文がコピペされているのでそれで被害が拡大したのかも
私もそのチェッカーにだまされた1人です
120名無しさん@お腹いっぱい。:2006/08/04(金) 14:22:51
俺はウイルスと分かっていながらダブルクリックorz
121名無しさん@お腹いっぱい。:2006/08/04(金) 14:22:59
カスペルスキーオンラインスキャンで一個発見されました
恐らくコレだと
avgは対応したと聞きましたが
既にインストールしてあるアンチウィルスソフトはアンインストールしたほうがいいですよね?
122名無しさん@お腹いっぱい。:2006/08/04(金) 14:23:03
バカしか引っかからないねこんなウィルス
123名無しさん@お腹いっぱい。:2006/08/04(金) 14:23:49
>>117
vipper自身の自爆も多いみたいだがな
124名無しさん@お腹いっぱい。:2006/08/04(金) 14:23:52
糞VIPPERはVIPの中で引き篭もってろよ
125名無しさん@お腹いっぱい。:2006/08/04(金) 14:29:08
>>107
その画像とかだと今v.isp.2ch.netに飛ばされるよね
だとするとこれで登録した方が今は安全なのかな?

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\2ch.net\up.isp]
"*"=dword:00000004

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\2ch.net\v.isp]
"*"=dword:00000004
126名無しさん@お腹いっぱい。:2006/08/04(金) 14:31:24
別にデスクトップ公開されても痛くも痒くもないんだが
127名無しさん@お腹いっぱい。:2006/08/04(金) 14:34:52
あちこちにウィルス貼り付けてるvipperは
大丈夫なのか?訴えられたら洒落にならんだろ。

別にどうでもいいが
128二時間前感染しますた:2006/08/04(金) 14:34:56
このウィルスはデスクトップの画像のみをupする奴なんですか?
>>85氏と同じ状況なのですが。
129名無しさん@お腹いっぱい。:2006/08/04(金) 14:35:01
じゃあ帰れ
130名無しさん@お腹いっぱい。:2006/08/04(金) 14:36:13
糞VIPPERはVIPの中で引き篭もってろよ
131名無しさん@お腹いっぱい。:2006/08/04(金) 14:37:11
ラウンジから来ますた。
132名無しさん@お腹いっぱい。:2006/08/04(金) 14:37:49
ν速から来ますた。
133名無しさん@お腹いっぱい。:2006/08/04(金) 14:38:01
ロビーから来ますた。
134名無しさん@お腹いっぱい。:2006/08/04(金) 14:41:32
とりあえずパソコンから書き込みできるようにだけでもできないですか?
教えてエロい人
135名無しさん@お腹いっぱい。:2006/08/04(金) 14:46:04
>>59 のファイルを解凍のみ実行では感染していないのでしょうか?
136名無しさん@お腹いっぱい。:2006/08/04(金) 14:47:10
タイミング次第でメルアドとかそういうの出ちゃうよね
137名無しさん@お腹いっぱい。:2006/08/04(金) 14:49:50
337拍子wwwwwwwwww
138名無しさん@お腹いっぱい。:2006/08/04(金) 14:50:21
誤爆スマソ
139名無しさん@お腹いっぱい。:2006/08/04(金) 14:50:48
>>135
解凍はセーフ
実行はアウト
140名無しさん@お腹いっぱい。:2006/08/04(金) 14:50:49
糞VIPPERはVIPの中で引き篭もってろよ
141名無しさん@お腹いっぱい。:2006/08/04(金) 14:52:42
引っ掛かる奴も少々あれだが
VIPPERもやり過ぎだな・・・
142135:2006/08/04(金) 14:53:25
>>139
dです。
とりあえず解凍した時点で全て消しました。
・・・ていうか解凍自体やったらNGですよね・・・。面目ない・・・。
143名無しさん@お腹いっぱい。:2006/08/04(金) 15:00:06
レジストリの
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
にctfmon.exeがあったんだが観戦してるかな?
svchostはユーザー名で実行してるのはなく、マイドキュメント、ピクチャにも怪しいのはなかった。山田系にも感染してないみたいなんだが不安で………

144名無しさん@お腹いっぱい。:2006/08/04(金) 15:01:33
>>143
それは大丈夫だとオモ
14513:2006/08/04(金) 15:02:57
>>121
yes
146名無しさん@お腹いっぱい。:2006/08/04(金) 15:07:21
カスペルスキーのオンラインスキャン対応済み
見事に山田ウィルス発見確認ができてよかった
今からavg導入しますが対応済みですよね
147名無しさん@お腹いっぱい。:2006/08/04(金) 15:08:09
カスペルスキーオンラインスキャナの初期化に失敗する
これもウィルス原因?
148名無しさん@お腹いっぱい。:2006/08/04(金) 15:08:41
>>146
発見してくれるけど完全駆除まではしてくれないよ
149名無しさん@お腹いっぱい。:2006/08/04(金) 15:09:56
>>147 俺は感染してたけど(現在も)動きましまよ
150名無しさん@お腹いっぱい。:2006/08/04(金) 15:13:13
>>148 やっぱりマカフィーの更新待った方がいいですよね?
151名無しさん@お腹いっぱい。:2006/08/04(金) 15:14:41
>>147
同じく、なぜ初期化に失敗ってなるんだろう・・。
152名無しさん@お腹いっぱい。:2006/08/04(金) 15:16:16


487 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2006/08/04(金) 15:06:28.33 ID:vlYwX1030
やっと分かった
ようはスタートアップのファイルを削除すればいい
easy cleanerってソフトWindows板でおとして
スタートアップ→赤いやつ削除でおk
153名無しさん@お腹いっぱい。:2006/08/04(金) 15:18:34
svchost.exe が見つからない。当方WinME。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

WINDOWS:SVCHOST
は削除した。
154名無しさん@お腹いっぱい。:2006/08/04(金) 15:18:46
>>151 見つかっても対処方法がなくて…
何もできません
155名無しさん@お腹いっぱい。:2006/08/04(金) 15:19:51
ノートンで例のvipロダのlzh落としたら
削除してくれた^^
156名無しさん@お腹いっぱい。:2006/08/04(金) 15:20:34
>>154
そうなんだ、ってかバスター家使ってるが発見されないってことはまだ対処に時間かかるってわけか・・
157名無しさん@お腹いっぱい。:2006/08/04(金) 15:23:48
>>144
サンクス
http://up.isp.2ch.net/upload/で自分のSSがないか調べたいんだが
数が膨大にあって困る。検索できないのは仕様?
158名無しさん@お腹いっぱい。:2006/08/04(金) 15:24:15
>>150
そのうち各ベンダーも駆除ツール出すだろうから、今できる対策を
自分でできてれば特に問題のあるウイルスでもないから待っててもいいと思うよ
感染して自分で対応できてないなら、AVG入れてれば実行時に遮断はしてくれるからいいかも
あと、FWでWINNT:SVCHOSTまたはWINDOWS:SVCHOSTの外部への通信を遮断すること。
159名無しさん@お腹いっぱい。:2006/08/04(金) 15:24:28
>>156 俺はマカフィー
国内のシェアウェアはまだ対処してないっぽいですね
情報を見続けて対応するのを待つばかりです
160名無しさん@お腹いっぱい。:2006/08/04(金) 15:24:43
svchostってなに??
161名無しさん@お腹いっぱい。:2006/08/04(金) 15:25:07
自分のSSって取られたらマイドキュメントに跡必ず残るの?何晒されてるか心配・・。
162名無しさん@お腹いっぱい。:2006/08/04(金) 15:26:19
>>161 俺はマイピクチャに残りました
163名無しさん@お腹いっぱい。:2006/08/04(金) 15:28:05
>>154
見つかった?
よければウィルスの場所教えて欲しい
164名無しさん@お腹いっぱい。:2006/08/04(金) 15:29:21
>>162
サンクス!自分は最初踏んだときの1枚あったけどもしも最初だけ跡残って後からのは残らなかったら恐い・。
撮られたやつってちゃんと跡は残るのかな・・。
165名無しさん@お腹いっぱい。:2006/08/04(金) 15:30:29
【苺きんたま Re-birth】〜から始まる名前のファイルが
消しても消しても作成されちゃうって人いる?
166名無しさん@お腹いっぱい。:2006/08/04(金) 15:32:20
>>155にも言ってるが例のLzhはノートン先生がbackdoor.Torojanで見つかったが、>>15にある自己解凍版には反応しなかった
つか今回出回ってるウィルスはマイドキュメント等にSSの残骸が残ってなかったら観戦してないと考えていいものなのか………どうなんだろう
167名無しさん@お腹いっぱい。:2006/08/04(金) 15:33:12
>>163 スイマセン
メモっないです・・・・

>>164 俺も一枚目しかありません
その後からのは残らないのか・・・・
そうだったら。。。。
168164:2006/08/04(金) 15:33:25
>>165
うん、それが知りたいよね。
自分のもそのタイプの作成されてた。
最初の踏んだときの1枚しかなかったけど削除一応しました。
作成はされてないけどいつSS撮られてるか恐いよね
169名無しさん@お腹いっぱい。:2006/08/04(金) 15:34:29
このウイルスはデスクトップを晒すだけなんですか?
170名無しさん@お腹いっぱい。:2006/08/04(金) 15:35:23
すぐ亜種で対応されそうな
171164:2006/08/04(金) 15:36:43
>>167
そうでしたか、他の人は何枚もファイルあるかちょっと気になりますね。
もし最初以降残らなかったら晒されるか恐いですね
17213:2006/08/04(金) 15:37:43
uploaderが止まった模様
173名無しさん@お腹いっぱい。:2006/08/04(金) 15:39:22
vipperの影響力に嫉妬
174名無しさん@お腹いっぱい。:2006/08/04(金) 15:41:51
>>172 アップされないってことで解釈していいんですか?

実際何枚もアップされてる人は気づいてないから聞きようがない。。。
175名無しさん@お腹いっぱい。:2006/08/04(金) 15:43:01
じゃ>>15の自己解凍版と
書庫圧縮版は別物なのか・・・
176名無しさん@お腹いっぱい。:2006/08/04(金) 15:45:46
あったあった「マイピクチャ」にスクリーンショットがあったよ やったー
名前が【苺きんたま Re-birth】[060803 233647] ユーザー名.jpg
アップ先がきっとここ http://error.uploda.org/503.html
177名無しさん@お腹いっぱい。:2006/08/04(金) 15:46:05
フレッツの方に、NTTからもらったルータ以外に市販のルータをもう一個つければウィルスが防げると聞きました。
パソコンに害を成すウィルスは、だいたいがメールに添付されていて、そういうのはプロバイダのメールのウィルスチェック機能で防げるとも言ってました。
以上のことをすればウイルスバスターを削除しても大丈夫だと聞いたんですが、マジですか?
今バスターのせいでネットに繋がらないんで、削除しちゃおうかと思っているんですが・・・
詳しいかた教えてください m(_ _)m
17813:2006/08/04(金) 15:48:35
>>177
バスター以外のプログラムをいれな。
179名無しさん@お腹いっぱい。:2006/08/04(金) 15:48:50
>>175
多分別物だと思う
176
ただの503の広告ページしか出ないんだが
180名無しさん@お腹いっぱい。:2006/08/04(金) 15:49:02
実行したけどどうすりゃいいの?
ヘルプエロい人
181名無しさん@お腹いっぱい。:2006/08/04(金) 15:52:25
>>178
ウイルス対策ソフト入れないとヤバイですか?
その人は、経験上それでほぼウイルスは防げると言っていたんですが・・・
182名無しさん@お腹いっぱい。:2006/08/04(金) 15:53:58
>>181
だまされるな
バスターの設定いじればネットできるようになる
183名無しさん@お腹いっぱい。:2006/08/04(金) 15:55:54
いれたほうがいい。詳しいことはもっとエロイ人に聞けば答えてくれるだろうがネット環境がないときでもウィルスに感染する可能性はある。
経験談で言えばダチから修学旅行のデジカメ画像の中にウィルスを仕込まれて半月ほど使い続けてしまった事がある。
184名無しさん@お腹いっぱい。:2006/08/04(金) 15:56:07
よくわからんな。2000で踏んじまった。

・ユーザー名で動いてるsvchost.exe→Win2kなんでよくわからない…ないと思う
・コマンドプロンプト見た→無かった
http://127.0.0.1/を開く→ページを表示できません。
・マイピクに増えたファイル・画像→ないっす

レジ等にも怪しい部分はなし。
うーーん??
185名無しさん@お腹いっぱい。:2006/08/04(金) 15:57:26
svchost.exe無いな
18613:2006/08/04(金) 15:58:35
>>183
気付かないよな普通w
187名無しさん@お腹いっぱい。:2006/08/04(金) 15:58:50
>パソコンに害を成すウィルスは、だいたいがメールに添付
いつの時代の事情だよ!
188名無しさん@お腹いっぱい。:2006/08/04(金) 16:01:41
>>182
・・・とりあえずまた後でバスターに電話してやり方聞いてみます(´・ω・`)
バスターを切るとページが表示できるんですが、その後起動させるとそのページのリンク先以外のページには繋がらないんです。。。
189名無しさん@お腹いっぱい。:2006/08/04(金) 16:02:23
>>185
ないよね。私も無い。
私はWindowsME使ってる
190名無しさん@お腹いっぱい。:2006/08/04(金) 16:03:49
>>184
俺とほぼ一緒の症状だ。OS以外は一緒だな。ちなみに当方XP
昨日の深夜に専ブラのビューワがスレ開いたときに開いちまったみたいだ。これって大丈夫なんかな?どう思う?
>>186
その後交友関係を絶った
191名無しさん@お腹いっぱい。:2006/08/04(金) 16:04:11
>>183
>>187
・・・フレッツのおじさん(´;ω;`)
バスターが4年保証ものなんで、もちょっと粘ってみます('A`)
ルータで済むんなら楽だと思ったんだけどなあ・・・
防げませんか?
192名無しさん@お腹いっぱい。:2006/08/04(金) 16:06:00
>>191
バスターの設定とかは変えてみたか?
193名無しさん@お腹いっぱい。:2006/08/04(金) 16:10:17
>>190
俺も同じくXPでSS画像開いてしまったぽいけど、>>80にあたる症状がどれも無い
SS画像見ただけでは感染しないのだろうか?心配・・・
194名無しさん@お腹いっぱい。:2006/08/04(金) 16:10:54
>>191
防げません。ホームページを見ただけで感染なんてことザラにあります。
195名無しさん@お腹いっぱい。:2006/08/04(金) 16:11:02
>>192
いろいろやってみますた(´・ω・`)
URLフィルタをオフにしてみたり、偽証URLフィルタ(?)をオフにしてみたり・・・
でもダメですた。
あとデスクマットの右下に、パソコンマークに黄色い三角の!マークが表示されていて、
それをクリックしたらローカルエリアネットワークがうんたらかんたらと出て
修復ボタンを押したら、IPアドレスの変更ができないという表示が出ました。
196名無しさん@お腹いっぱい。:2006/08/04(金) 16:12:06
>>194
orz
プロが言うから信じてしまった・・・・・
197名無しさん@お腹いっぱい。:2006/08/04(金) 16:17:22
山田ウイルスチェッカー.exe踏んじゃった!!
実行した瞬間NISが反応したので、ブロックはしたんだけど送信されたのかな?
マイピクチャにSSが一枚、127.0.0.1は無し、NETSTATで80、8000、8080ポート無し。
タスクマネージャでsvchost.exeが6個あるが自分のユーザー名のは無し。

198名無しさん@お腹いっぱい。:2006/08/04(金) 16:17:53
>>196
ウィルス対策のプロじゃねーじゃんw
199名無しさん@お腹いっぱい。:2006/08/04(金) 16:19:00
>>193
俺もだ。>>80だけじゃなく、キンタマ、山田などのウィルスの駆除方法を調べたが該当するものがない。
専ブラの画像ビューワがリンク先の.exeは踏んでなかったみたいなんだが、
拡張子を偽造してあるファイル(おそらく.exe)を読み込んだみたいだ。
訳わからん英語と数字の羅列がビューワに広がった。無論すぐに消したが………これなら大丈夫なのか?
>>195
バスター使ってる訳じゃないから詳しいことはバスターの関連スレッドやここのエロイ人に聞くといい。
でもバスタを切るとネットできるんならおおそらくバスタが原因だろう。あと力になれずにスマソ
200名無しさん@お腹いっぱい。:2006/08/04(金) 16:20:10
>190
同病相憐れむ仲かな?w
俺は
http://up2.viploader.net/mini/src/viploader57529.lzh
の中身をダブルクリックしちまったんだけど>190は何をしたんだ?
201名無しさん@お腹いっぱい。:2006/08/04(金) 16:20:58
>>198
その辺の違いがわかりませんでした(ノ∀`;)
202名無しさん@お腹いっぱい。:2006/08/04(金) 16:21:01
>>191
ttp://www.mcafee.com/japan/products/bof_faq.asp
おっさんにこれでも読め!って言っとけ
203名無しさん@お腹いっぱい。:2006/08/04(金) 16:22:13
>>199
>訳わからん英語と数字の羅列がビューワに広がった
バイナリで見ただけで、実行したわけじゃないので多分大丈夫
204190:2006/08/04(金) 16:22:31
>>200
>>199に書いたとおりだ。
ちなみに>>190=>>199
205名無しさん@お腹いっぱい。:2006/08/04(金) 16:22:57
>>189
2k、XP搭載のプロセスだからね
206名無しさん@お腹いっぱい。:2006/08/04(金) 16:26:27
>>202
読んだがサパーリわからん・・・
207名無しさん@お腹いっぱい。:2006/08/04(金) 16:27:15
一応NGワードに .exe 入れておいた・・・
208名無しさん@お腹いっぱい。:2006/08/04(金) 16:27:39
>>200
ちなみにそのlzhの中身はbackdoor.Torojan?(うろ覚え)だった。ノートン先生が反応した
自己解凍型は報告があるように別物みたいだ。こっちはノートン先生が反応しなかった。
>>203
そうなのか!情報サンクス!
リンク先の末尾が.exeのはビューワで開いてなかったみたいだ。
209名無しさん@お腹いっぱい。:2006/08/04(金) 16:28:36
一応NGワードに .exe 入れておいた・・・・
210名無しさん@お腹いっぱい。:2006/08/04(金) 16:28:59
>>206
ttp://www.mcafee.com/japan/products/bof_discription.asp
ここもちゃんと読んだのか?
211名無しさん@お腹いっぱい。:2006/08/04(金) 16:29:23
http://v.isp.2ch.net/up/71952642167f.jpg
↑こういうウイルスに感染した人の晒されたスクショを、宣ブラで踏んでも感染するの?

・ユーザー名で動いているsvchost.exeはなかった。
・Local Addressの「:」の後が80や8000、8080もなかった。
http://127.0.0.1/踏んでも何も表示されなかった
・マイピクチャにも何もなかったです。
212名無しさん@お腹いっぱい。:2006/08/04(金) 16:29:24
>190>193は大丈夫なんじゃないかな。
exeを実行したわけじゃなさそうだ。
213名無しさん@お腹いっぱい。:2006/08/04(金) 16:29:27
誰かavastの中の人にに検体送った人居る?
214名無しさん@お腹いっぱい。:2006/08/04(金) 16:29:37
連続で書き込みすみません
215名無しさん@お腹いっぱい。:2006/08/04(金) 16:30:15
>>197
今夜はノートン先生にうなぎでも食わせてやんなさい
反応した = 未然に防いだ てことだよ

だが念のため、フルスキャンをオヌヌメ
216名無しさん@お腹いっぱい。:2006/08/04(金) 16:31:31
217名無しさん@お腹いっぱい。:2006/08/04(金) 16:31:55
>>216
把握、THX
218名無しさん@お腹いっぱい。:2006/08/04(金) 16:34:27
>>211
その名前からするとC:\のルートにそのファイルは作られるのか?
219名無しさん@お腹いっぱい。:2006/08/04(金) 16:36:23
検出しました・・・がウィルスファイルが見つからない
一応画像、無害だとは思いますがウィルス感染者のUPした画像だから一応注意してね
ttp://up2.viploader.net/pic/src/viploader252347.jpg
22013:2006/08/04(金) 16:37:44
>>219
たぶんSVCxxxにくっついてるんじゃないか?。
駆除できないのかね。
221名無しさん@お腹いっぱい。:2006/08/04(金) 16:37:45
>>206
ルーターは
貴方のパソコンと外のインターネットを結ぶネットワークを
守ります。

アンチウイルスソフトは
貴方のパソコンの中で悪さしようとするプログラムを見つけたり削除してくれる。

あなたのパソコンがずたずたになったら嫌でしょう?

222名無しさん@お腹いっぱい。:2006/08/04(金) 16:37:48
>>218
どういうこと?
言ってる忌みがわかんないです
223名無しさん@お腹いっぱい。:2006/08/04(金) 16:38:09
ttp://up2.viploader.net/mini/src/viploader57529.lzh
を見事に実行しちゃってマイピクチャにSSが4点ほど出現
すぐに削除した
コマンドプロンプト見たが無く
ttp://127.0.0.1/を開いたが「ページを表示できません」
svchost.exeは探してるが見つからず
svchost.exeを削除さえしたらいいのかな?
あとSSがうpされたか確認したいが出来ない
ちなみにOSはXP
224193:2006/08/04(金) 16:38:30
>>212
ありがとう。
俺は偽装ファイルも踏んでないのでとりあえず安心です
225名無しさん@お腹いっぱい。:2006/08/04(金) 16:44:08
>>223
削除する前にこれをみとけ。

CPU やメモリーを大量に消費することのある svchost って何ですか?
http://homepage2.nifty.com/winfaq/c/ntperf.html#1016
226名無しさん@お腹いっぱい。:2006/08/04(金) 16:48:34
>>205
レスありがとうございます。
ということは、このウイルスはWinME以前のOSなら
効果は無いという事なのでしょうか?
227名無しさん@お腹いっぱい。:2006/08/04(金) 16:49:51
>>222
Cのルートに"Windows:Svchost.exe"ってファイルが作られて起動時にレジストリから実行されるようだな
間違いじゃなくてわざとそんな名前にしているようだ
多分文法上受け付けないファイルだから、del "\\?\c:\Windows:Svchost.exe"
このパターンじゃないと削除出来ないだろう
228名無しさん@お腹いっぱい。:2006/08/04(金) 16:50:01
>>215
exe本体は削除してフルスキャンしたけど反応無しでした。
たぶんまだ感染はしてる模様、ノートンの対応待ちですね。

今回はファイヤーウォールが役に立って良かった。NISえらい!
229名無しさん@お腹いっぱい。:2006/08/04(金) 16:50:11
>>220
駆除できないってことは再インストールしかない?
230名無しさん@お腹いっぱい。:2006/08/04(金) 16:50:27
ウイルスに感染したかの確認は

・タスクマネージャーを開いて
ユーザー名で動いてるsvchost.exeがあったらピンチ

・localhostIP(自分のPCを指すIP)の
http://127.0.0.1
でディスクトップが表示されたらピンチ

・スタート→ファイル名を指定して実行で「cmd」を実行、コマンドプロンプトを表示して
 netstat -ano と入力。Local Addressの「:」の後が80や8000、8080などがあったらピンチ
 (Foreign Addressの方は80などがあっても無関係)

・マイピクチャ内にファイルが増えてないか確認
【苺きんたま Re-birth】〜から始まるファイルがあったらピンチ

これらのどれかに当てはまったらアウト
一つも当てはまらなければ今の所セーフ

って感じでいいんでしょうか?
231199:2006/08/04(金) 16:50:34
>223と一緒のexeを俺も実行したと思うんだけど
>マイピクチャにSSが4点ほど出現
ここが違うんだよなあ。特に何も増えてない。
2000だからか?うーん…
23213:2006/08/04(金) 16:54:56
>>229
そんなことない。
活動はブロックされてるから大丈夫。

完全な駆除はツールをシマンテックなどから仕入れるしかないかもね。
233名無しさん@お腹いっぱい。:2006/08/04(金) 16:57:02
このウイルスはWinME以前のOSなら
効果は無いという事なのでしょうか?
234名無しさん@お腹いっぱい。:2006/08/04(金) 16:58:05
>>232
ノートンのお試し使用期間が既に過ぎている・・・
買うしか、ないのかorz
235名無しさん@お腹いっぱい。:2006/08/04(金) 16:59:50
ふと思ったんだが、>>81
> SVCHOST "C:\WINDOWS:SVCHOST.exe"

ってもしかしてADS狙ってんのかな('A`)

ttp://d.hatena.ne.jp/hideakii/20050908#1126135559
NTFS 代替データストリームに関するメモ
236名無しさん@お腹いっぱい。:2006/08/04(金) 17:06:55
>>234
今回は自分のミスで引っ掛ったんだけど、感染して初めて分かる有り難さ。
237名無しさん@お腹いっぱい。:2006/08/04(金) 17:09:45

 ここはアホのスクツなのか?
238223:2006/08/04(金) 17:11:47
タスクマネージャーをはじめて開いた
svchost.exeが何個かあったがひとつだけメモリ使用量がほかのより10倍なんだが関係ある?
このあとどうしたらいい?
あんまり詳しくないもんで
239名無しさん@お腹いっぱい。:2006/08/04(金) 17:16:53
>>238
ユーザー名がログイン名なら黒
24013:2006/08/04(金) 17:17:21
>>234
シマンテックから駆除ツールだけ出てることもある。
バスターでも駆除できないらしいし、気にしない。
241名無しさん@お腹いっぱい。:2006/08/04(金) 17:18:25
>>237
みたいだな。

svchost.exe=ウイルスとは限らないっつうの。
ちっとは、ググれよ。
242名無しさん@お腹いっぱい。:2006/08/04(金) 17:19:26
>>240
いま完全にブロックできているのかも不安です
243名無しさん@お腹いっぱい。:2006/08/04(金) 17:21:31
このウイルスはWinME以前のOSなら
効果は無いという事なのでしょうか?
このウイルスはWinME以前のOSなら
効果は無いという事なのでしょうか?
このウイルスはWinME以前のOSなら
効果は無いという事なのでしょうか?
このウイルスはWinME以前のOSなら
効果は無いという事なのでしょうか?
このウイルスはWinME以前のOSなら
効果は無いという事なのでしょうか?
244名無しさん@お腹いっぱい。:2006/08/04(金) 17:23:16
ノートンは対応済みだとか
マカフィーの俺には関係ないけど
245名無しさん@お腹いっぱい。:2006/08/04(金) 17:23:22
今出来る対策と言ったら、SS上げられないようにマイピクチャ見張って、
駆除ソフトが出来るまで待つしかないのか?
246名無しさん@お腹いっぱい。:2006/08/04(金) 17:23:53
これアップローダどこのにうpされるんだ?
247名無しさん@お腹いっぱい。:2006/08/04(金) 17:24:34
tp://suzukiairi.net/cgi-bin/up/img/puniairi150.jpg

これ踏んじゃったんですけどどないなんでしょう?
janeの画像ビューアでなんか文字列と数字がでてきたんでとりあえず右クリしてキャッシュ削除ってしといたんですけど…

んでこのあとなんかいか踏んだ板のログのdatからウイルスがでてきたんですが…
とりあえず検出したのは削除したのですが…ちなみに当方avastです
248名無しさん@お腹いっぱい。:2006/08/04(金) 17:25:51
>>245 ケーブルを引っこ抜く
俺は感染してないパソコンで動向を見守ってます
249223:2006/08/04(金) 17:26:11
>>239
ユーザー名が SYSTEM だった
てかユーザー名がログイン名のsvchost.exeはなかった
つまり、もう大丈夫なの?
25013:2006/08/04(金) 17:27:13
>>242
http://www.symantec.com/ja/jp/index.jsp
中段のフリーセキュリティチェックを実行しる。
後は指示に従う。
AVGとは違うこといってくれるかもしれない。
251名無しさん@お腹いっぱい。:2006/08/04(金) 17:27:41
>>249 俺はユーザー名ないが感染を確認済み
252名無しさん@お腹いっぱい。:2006/08/04(金) 17:29:16
>>248
一応起動時だけはケーブル抜いて、画像消してから繋いでここを見てる。
削除はまだ不可能ってことでいいんだよな?

>>249
俺もユーザー名ないがマイピクチャには画像があった
253名無しさん@お腹いっぱい。:2006/08/04(金) 17:30:56
プロセスを全て書き出してみては?
254名無しさん@お腹いっぱい。:2006/08/04(金) 17:31:02
>>252
起動する度に画像が増えてる?
255名無しさん@お腹いっぱい。:2006/08/04(金) 17:31:40
>>247
問題なし

datからウイルスがでてくるのはそのスレにウイルスコードでも貼られてたんだろ
256名無しさん@お腹いっぱい。:2006/08/04(金) 17:32:01
他の活動はないの?
257名無しさん@お腹いっぱい。:2006/08/04(金) 17:32:48
>>252 削除できない事もないのかもしれない
でも、俺の腕ではおとなしくマカフィーが対応するのを待つしかない
258名無しさん@お腹いっぱい。:2006/08/04(金) 17:34:07
>>254
svchostを削除するときユーザー名以外のも消したりして再起動したときは増えてた。
今は20分くらいつけてるけど増えてない。
最後に起動させたときは、>>230の上三つは大丈夫だったけど画像はあった。
259名無しさん@お腹いっぱい。:2006/08/04(金) 17:34:48
>>211にアップされている画像から推測すると
c:\に"windows:svchost.exe"と言うファイルが作られると読んだ
きっと、変なファイル名だからExplorerからではそのファイルは見えないかもしれない
見えなければ削除出来ないよな
26013:2006/08/04(金) 17:35:48
svchostのプロセスを削除するんじゃないか?。
プログラムはだめだぞ。
261名無しさん@お腹いっぱい。:2006/08/04(金) 17:36:44
>>255
なるほど見たところ確かにコード張られてました
助かりましたありがとう
262名無しさん@お腹いっぱい。:2006/08/04(金) 17:37:00
>>258
・localhostIP(自分のPCを指すIP)の
http://127.0.0.1
でディスクトップが表示されたらピンチ

一度でも、これ表示される事あったかい?
263名無しさん@お腹いっぱい。:2006/08/04(金) 17:39:04
>>262
いや、ない。
ただ、何回かそれを試したけど、それが全て画像を削除したあとだったからかもしれない。
削除しないまま置いておけば表示されるかも。
264名無しさん@お腹いっぱい。:2006/08/04(金) 17:43:17
My Documentsにマイ ピクチャというフォルダが無いと思ったら
遠い昔に削除したんだった
26513:2006/08/04(金) 17:44:02
駆除できない人はSafeModeで立ち上げてからスキャンするといいかも。
駄目元でやってみて。
266名無しさん@お腹いっぱい。:2006/08/04(金) 17:45:41
>>263
ないか…

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SVCHOST

は削除したかい?
267名無しさん@お腹いっぱい。:2006/08/04(金) 17:46:03
スキャンしたらギコナビのログがウィルス検出
ウィルスコードを見つけたんだろうけど削除しといたほうがいい?
268名無しさん@お腹いっぱい。:2006/08/04(金) 17:47:18
2chに貼られたリンク先に無闇に行くなよ・・・
269名無しさん@お腹いっぱい。:2006/08/04(金) 17:48:09
ここも行っちゃ駄目

tp://hosted2.nichedsites.com/galleries/milfpornpass/1H8Y52/sabaweb.html
270名無しさん@お腹いっぱい。:2006/08/04(金) 17:50:08
>>266
ごめん、初心者というかバカだからやり方が分からない

あと
http://127.0.0.1
なんだが、もしかしてこのアドレスにlocalhostIPを打ち込んだりして確認しなきゃいけないのか?
単にこのアドレスをクリックするしかしてないんだが。
271名無しさん@お腹いっぱい。:2006/08/04(金) 17:52:55
>>270
スタート→ファイル名を指定して実行→「regedit」と入力
あとはHKEY_CURRENT_USER→Software→Microsoft・・・と開いていけばRunまでたどりつくはず
Runにたどり着いたら右側の画面(人によるが)に目をうつし、「SVCHOST.exe」を右クリックして削除
削除する際には必ずウィルスかどうか確かめないと大変なことになっちゃうかもしれない
272名無しさん@お腹いっぱい。:2006/08/04(金) 17:53:42
>>271さん
それをすればウィルスは悪さをしなくなりますか?
他にもしなければならないことがあるのでしょうか
27313:2006/08/04(金) 17:54:31
32 名前:orz メール:sage 投稿日:2006/08/04(金) 17:52:37 ID:mGf3wvMd0
VIPの奴ら
まだ拡散しようと目論んでるな・・・

用心して下さいw
一つだけアンチウイルスソフトを入れて下さい。
一つだけFirewallソフトを入れて下さい。

274名無しさん@お腹いっぱい。:2006/08/04(金) 17:55:46
>>271
ありがとう、けどウイルスと確認するのはどうすればいいんだ?
感染してるのは間違いないと思うんだが、一応教えてくれ、、
275名無しさん@お腹いっぱい。:2006/08/04(金) 17:55:42
>>272
同じ感染者で頭を悩ませているところ・・・
一応こちらの環境では停止していますが、駆除は出来ていませんので油断しないように
276名無しさん@お腹いっぱい。:2006/08/04(金) 17:56:12
>>273
俺のカキコw
27713:2006/08/04(金) 17:57:07
>>276
お前かよwww
278名無しさん@お腹いっぱい。:2006/08/04(金) 17:57:52
>250
やってみた。
セキュリティチェックでpingが開いてた。
あれ?自分であけたのかも。
279名無しさん@お腹いっぱい。:2006/08/04(金) 17:58:29
>>274
このウィルスの今現在の名前は「WINDOWS:SVCHOST.exe」
この文字が見えたらほぼ削除対象。「WINDOWS」と「SVCHOST」の間には「:」があるから注意

>>273
VIPウィルススレではどんどん騙す手口考えてる模様・・・
暫くはどんな拡張子であれファイルは踏まないのが賢明でしょうか
280名無しさん@お腹いっぱい。:2006/08/04(金) 17:59:13
オルタの時は対策の一つとしてUPnPを切ったが
今回は何をすればいいのだろう
じっくり待つかね
281名無しさん@お腹いっぱい。:2006/08/04(金) 18:00:35
>>274 Kasperskyのオンラインスキャンでも発見できるよ
俺はそれで発見したし
282名無しさん@お腹いっぱい。:2006/08/04(金) 18:02:28
>>279
名前は合ってるようなので削除しておいた。何も起きなかったからウイルスだったかな…
一旦再起動して、新たに画像が作成されるか見てみる。自信ないけど…

>>281
再起動したらやってみるわ。
283名無しさん@お腹いっぱい。:2006/08/04(金) 18:04:06
カスペルスキー オンラインスキャナ ライセンスの有効期限が切れています!

と出るorz
284初心者:2006/08/04(金) 18:04:07
昨日感染してそれから色々試してみたんですが
どうしていいか分からず、大切なファイルもないので
リカバリdiskを使ってCドライブをフォーマットして、
Windowsを再インストールしました。
これでもウイルスはまだ生きてるんですか?
285名無しさん@お腹いっぱい。:2006/08/04(金) 18:05:49
本気で聞いてる人ばかりかと思いきや
たまに釣りだと思いたい質問があるから困る
286名無しさん@お腹いっぱい。:2006/08/04(金) 18:08:19
>>279 本気で聞く
>>271のMicrosoftまではたどり着いたがそっからRunというのが見つけられない
Microsoftからどうすればいいんだ
287名無しさん@お腹いっぱい。:2006/08/04(金) 18:08:45
今回のは本気でカワイソス(自分含めて)だから自分の持ってる情報は真面目に答えるよ
不注意なのはわかってるけど、今回の騙しはVIPPERにしろ酷すぎる気がする

>>284
一応は大丈夫だと思います
ただ、バックアップしたファイルに感染している可能性も現段階ではなくはないので注意
288名無しさん@お腹いっぱい。:2006/08/04(金) 18:11:00
>>286
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
この通りに展開していく
289名無しさん@お腹いっぱい。:2006/08/04(金) 18:11:26
>>286
言葉不足だった
場所は>>266を参照してください

HKEY_CURRENT_USER
→Software
 →Microsoft
  →Windows
   →CurrentVersion
    →Run

こんなかんじにならない?
290名無しさん@お腹いっぱい。:2006/08/04(金) 18:11:32
ZAなどのファイアーウォールは通信活動を監視してくれますか?
291名無しさん@お腹いっぱい。:2006/08/04(金) 18:12:51
>>282だが、起動したところ画像は作成されてなかった。
他のチェックも試したけど、三つとも大丈夫だったっぽい。
安全のためケーブル抜いてから起動→確認→接続の流れは変えなかったけど、
ひとまず休憩はとれた、ということでいいんだろうか?まだ少し怖いんだけど…
292初心者:2006/08/04(金) 18:12:54
>>287
親切に答えてくれてありがとうございます。m(__)m
これで安心しました。
293名無しさん@お腹いっぱい。:2006/08/04(金) 18:12:59
KPF4のApplication Behavior Blockingと同等の機能
(実行制御・ハッシュ監視)を有する単体ソフトウェアはないでしょうか?
294名無しさん@お腹いっぱい。:2006/08/04(金) 18:19:22
>>288-289 
本気でありがとう
Runまでたどり着けましたが・・・・
SVCHOST.exeがないんだ。。。。
感染はKasperskyのオンラインスキャンで確認したからあるはずなんだ
実際exeもダブルクリックしちまったし一度SSもアップされたしマイピクチャにも苺キンタマの名前の画像もあったし
タスクマネージャーにもsvchost.exe ユーザー名さえもない
これは一体どうなってるのか把握できない・・・orz
29513:2006/08/04(金) 18:20:15
>>278
ウイルスチェックもやってみた?
296名無しさん@お腹いっぱい。:2006/08/04(金) 18:24:01
カスペルスキーで初めてスキャンしてるが
こいつもノートンみたいに
ウィルスコードに反応するのね
297初心者:2006/08/04(金) 18:24:09
質問です。
ポート80を閉じるっていう対策法?が広まっていますが
ポート80(WEB)を閉じたらネット自体が出来なくなってしまうのではないのでしょうか?
詳しい方で誰か御教授下さいませんでしょうか。
298名無しさん@お腹いっぱい。:2006/08/04(金) 18:24:37
そういえば今ロダ止まってるよね
だから、マイピクチャの画像が増えないのかなと。。。
299名無しさん@お腹いっぱい。:2006/08/04(金) 18:25:38
バスター次回のupdateで対応(´・ω・) ス

トレンドマイクロ・ウイルスバスタークラブセンターです
お客さまより、お送りいただきました「7月分ロリ詰め合わせ.exe」を
お調べいたしましたところ、不正プログラムであることが判明いたしました。

弊社では次回のウイルスパターンファイル「3.637.00」にて、
「TSPY_SUFIAGE.G」として検出するよう対応する予定となりますので、
アップデートをお待ちくださいますようお願いいたします。
300名無しさん@お腹いっぱい。:2006/08/04(金) 18:25:52
>>298
ロダってどこにあるの?
301199:2006/08/04(金) 18:27:03
>295
レスthx
ウィルスチェック終了。何にもなかった。
Win2Kだと不発なのかな?あのlzhの中身は。Win2kの人ほかにいないかな?

今カスペルスキーのチェック中。カスペルのオヤジ渋いなw
終わったらレジ全体をsvchostで検索してみるつもり。
runとかrunonceのところには何もなかったから。念のため。
302名無しさん@お腹いっぱい。:2006/08/04(金) 18:27:29
>>299 マカももうすぐらしい

>>300 スマン 分からん
303名無しさん@お腹いっぱい。:2006/08/04(金) 18:28:33
>>294
AA初めてだからずれたりわかんなかったらごめん
画像で説明しようと思ったけど怖いだろうし

┏━━━━━━━━━┓
┣━━━━┳━━━━┫
┃      ┃      ┃
┃      ┃      ┃←こっちの右画面に目を移して欲しい
┃      ┃      ┃
┗━━━━┻━━━━┛
   ↑
   こっちでRunまで行ったら

「SVCHOST」とか「WINDOWS:SVCHOST.exe」とか出てない?
出てなかったらウィルスは悪さを停止しているような状態、ひとまずは安心かもしれない
304184:2006/08/04(金) 18:29:36
スマソ、俺>199じゃないw >184だった。
305名無しさん@お腹いっぱい。:2006/08/04(金) 18:29:42
>>297
そもそも最初っからポート80は閉じてると思います
そこが開いてるとこちらの情報が筒抜けとかなんとか・・・詳しくはわかりませんが
とりあえず閉じていて正常、開いてたらヤバイ
306名無しさん@お腹いっぱい。:2006/08/04(金) 18:31:02
>>294が本当なら、削除しても解決出来ないってことになるから怖いな
307294:2006/08/04(金) 18:36:28
>>303 貴方の優しさに俺泣きそう
これ解決したら2ちゃんねるなんか来ないと思ったが
これなら2ちゃんねるに来てもいいと思い始めた

やっぱりないみたいだ でも、一つ引っかかるんが
名前「既定」種類「REG_SZ」データ「値の設定なし」ってのがあるんだけど
これはほっといていいんですか?


308名無しさん@お腹いっぱい。:2006/08/04(金) 18:39:39
>>298のロダ停止がすげー気になる…
実は今も全く安心出来ない状況って可能性が…
309名無しさん@お腹いっぱい。:2006/08/04(金) 18:39:42
>>307
その二つは関係ないかも
うちの結論としては君のPCは感染はしているようだけどウィルス活動はしていないみたいでFA
でも油断は禁物です・・・
310名無しさん@お腹いっぱい。:2006/08/04(金) 18:39:54
http://v.isp.2ch.net/up/a4dc86a27080.jpg
ウィルスぽいの確認したのうpされたの確認したのは↑だけ

とりあえず、レジストリ削除後再起動しても
画像は生成されなくなった。
311名無しさん@お腹いっぱい。:2006/08/04(金) 18:40:28
>>307
それはキーが作られると必ず作られる値だから関係ない
でも右側が「値の設定なし」以外だと気を付けないといけない
31213:2006/08/04(金) 18:43:13
>>299

>「7月分ロリ詰め合わせ.exe」を
やな名前だよなホント
313名無しさん@お腹いっぱい。:2006/08/04(金) 18:47:24
>>309 ついにFA宣言。。。
まだ、安心はできないけどなぁ

>>311 そうなんですか。。。



確認したところ
名前「ctfmon.exe」「GTAgent」「SearchM」というのがありました
ググってみたところ後ろ二つはNECのパソコンに入ってるものらしいです(俺NEC
一番最初のあんまりいい結果が出ませんでした。。。
314名無しさん@お腹いっぱい。:2006/08/04(金) 18:47:55
>>299のパターンファイル3.637.00公開されてるね
315名無しさん@お腹いっぱい。:2006/08/04(金) 18:48:42
>>314
それオンラインスキャンも対応してる?
316名無しさん@お腹いっぱい。:2006/08/04(金) 18:49:05
>>312 でも、その名前を開くとは相当のロリk(ry
その名前を替えたのは普通の人も開くからすげぇタチ悪い
317名無しさん@お腹いっぱい。:2006/08/04(金) 18:52:48
http://up.isp.2ch.net/upload/
アップ先はここだな 203.174.77.5
pingを打つとわかる
318名無しさん@お腹いっぱい。:2006/08/04(金) 18:55:13
>>315
ごめん、オンラインの方はわからない。
自分はウイルスバスター使ってるので更新してチェックしてみる。
感染したのは確かなので。
319名無しさん@お腹いっぱい。:2006/08/04(金) 18:55:15
>>59のやつ、Sophosから返事きた('A`)
Troj/Delf-DDR
ttp://www.sophos.com/security/analyses/trojdelfddr.html

あとついでにAvira→BDS/Delf.afu.1
320名無しさん@お腹いっぱい。:2006/08/04(金) 18:56:16
>>313
↓Windowsのメジャーなプロセス一覧にctfmon.exeも載ってる
ttp://cowscorpion.com/tasklist/tasklist/c2.html
この場に限らず、定期的に
自分の目でプロセス監視するとよかろう
321名無しさん@お腹いっぱい。:2006/08/04(金) 18:57:40
>>317
クリックしたらページが見つかりませんって出たけどこれはロダが停止してるから?
あとpingって何?
322名無しさん@お腹いっぱい。:2006/08/04(金) 18:59:57
>>59の分
avastから返事きた
Delf Trojan に分類
次のVPSで対応するようです
323名無しさん@お腹いっぱい。:2006/08/04(金) 19:00:22
>>320 ありがとうございます
これは大切な経験だとおもって
色々そういうことも勉強したいと思います
324名無しさん@お腹いっぱい。:2006/08/04(金) 19:00:57
>>318
オンラインも対応してる模様
パターン3.637.00きてる
>>321
VIPPERが大量に見て遊んでたから今鯖落ちしてる
325名無しさん@お腹いっぱい。:2006/08/04(金) 19:02:35
>>310
ウィルスぽいって、何で見たんだ?

2ch用ブラウザ?それとも、IE等のブラウザ?
2ch用ブラウザで見て、窓が大量に開くものだったら、ブラクラの一種。
326名無しさん@お腹いっぱい。:2006/08/04(金) 19:02:46
>>314
してる(´・ω・) ス
http://up.mugitya.com/img/Lv.1_up47782.jpg
327名無しさん@お腹いっぱい。:2006/08/04(金) 19:03:02
コマンドプロンプトみたときに58080ってあったんですけど

これはヤバイのですか?
328名無しさん@お腹いっぱい。:2006/08/04(金) 19:04:06
>>325
言葉が足りなかった。
ウィルスぽいのでうpされたデスクトップ画像ぽいのが>>310のってこと
32913:2006/08/04(金) 19:05:03
>>326
駆除可能:いいえ

カワイソス
330名無しさん@お腹いっぱい。:2006/08/04(金) 19:06:15
>>297
ポート80はWebサーバ側が開くポート。クライアント側は開く必要ない。
自分でWebサーバを立てるとかなら別だけど

>>324
被害広がらないようにわざと落としたのかもね
331326:2006/08/04(金) 19:07:26
>>329
削除可能(´・ω・) ス
OCNユーザーだけで(´・ω・) スケド
332名無しさん@お腹いっぱい。:2006/08/04(金) 19:10:46
OCNユーザーはここでスキャンするといい(´・ω・) ス
http://origin.ocn.ne.jp/ocn/mem/m_form2/onlinescan/use.html
333名無しさん@お腹いっぱい。:2006/08/04(金) 19:10:49
これはノートン先生は対応済みですか?(´・ω・`)
なんだかすごく不安なんだが・・・
334名無しさん@お腹いっぱい。:2006/08/04(金) 19:11:04
>>330
むしろ被害状況知りたいのにな…
自分のデスクトップ晒されてるのは見たくないが、未だに安心できないからな
33513:2006/08/04(金) 19:11:41
>>331
OCNか
さすが大手で´・ω・) ス
336名無しさん@お腹いっぱい。:2006/08/04(金) 19:22:46
ノートン・バスターは対応済みということですか。。。
マカはまだかなぁ〜
337名無しさん@お腹いっぱい。:2006/08/04(金) 19:24:32
>>235が気になるな・・・
338名無しさん@お腹いっぱい。:2006/08/04(金) 19:27:04
>>221
遅レスですが、把握しますた。
ここで聞いてよかった。。。。
339名無しさん@お腹いっぱい。:2006/08/04(金) 19:42:42
340名無しさん@お腹いっぱい。:2006/08/04(金) 19:49:25
バスター対応してちょっと安心。
キラーはまだか?
カスペ、Avira AntiVirは早く対応してたみたいでさすが。
341名無しさん@お腹いっぱい。:2006/08/04(金) 20:00:43
1) ---
7月分のアレ詰め合わせ 他

Trendmicro: TROJ_AGENT.DFN
Symantec: ?
Kaspersky: Trojan.Win32.Delf.wk
Sophos: Troj/Clicker-DK
AVG: ?
avast!: ?
McAfee: ?
Avira: Trojan/Proxy.Dock
Dr.Web: Trojan.click.1345
F-Secure: 対応予定


2) viploader57529.lzh (md5:adedf961b92b7d3a8176b7b1e93bf4d7)
山田ウイルスチェッカー 他

Trendmicro: TSPY_SUFIAGE.G
Symantec: TSPY_SUFIAGE.F
Kaspersky: Found Backdoor.Win32.Delf.afu
Sophos: Troj/Delf-DDR
AVG: Trojan horse Generic YRK
avast!: ?
Avira: Backdoor-Server/Delf.afu.1
F-Secure: Backdoor.Win32.Delf.afu

>>337 気になるよな('A`)
ただ、検出だけならAntidoteやAd-awareでやってくれるっぽい > ADS
342名無しさん@お腹いっぱい。:2006/08/04(金) 20:01:58
うまくまとめられなくてスマソ
違ってたら訂正お願いします あと穴埋めとか

って書き忘れた>>341
343名無しさん@お腹いっぱい。:2006/08/04(金) 20:04:12
シマンテックのウィルス辞典見たけど
TSPY_SUFIAGE.Fがない
スパイウェアだからか?
344名無しさん@お腹いっぱい。:2006/08/04(金) 20:07:25
345名無しさん@お腹いっぱい。:2006/08/04(金) 20:07:47
あれ
【苺きんたま Re-birth】〜.jpgが作成されてたり
レジストリにもSVCHOSTが追加されてたのに

Kasperskyのオンラインスキャンでは何も検出されなかった。
AVG Freeで試してみたけどやはり何も検出されず。

レジストリのSVCHOSTの値消したからウィルスとして検出されなくなったとか?
スタートアップには登録されてなかった(C:\WINDOWS:SVCHOST.exe)。
そういや、exeファイル展開した時焦ってもう一度起動したらバグでウィンドウが強制終了した。
しかもそのあとすぐに電源のリセットボタンを押した。


ちなみに
http://up.isp.2ch.net/upload/c=01owarai/index.cgi
ここで自分のデスクトップ画像がうpされてたかどうかは確認してない。
346名無しさん@お腹いっぱい。:2006/08/04(金) 20:09:00
>>341
avastは>>322
名称は分からんけど
347345:2006/08/04(金) 20:09:24
それと、
Cドライブを全検索してみたけど
C:\WINDOWS:SVCHOST.exe
こんなファイルも存在していなかった。

今からウィルスバスターでウィルス検索してみる
348名無しさん@お腹いっぱい。:2006/08/04(金) 20:10:23
バスター最新パターンファイルで検索。TSPY_SUFIAGE.Gがヒットしますた。
隔離済みでファイル名が
C:\System Volume Information\_restore{3BC57880-BB06********************}\RP702\A0062815.exe
(*は伏せています)
これってウィルス実際に発動したのでしょうか?
それらしき痕跡が全くない(マイピクチャ内のSSやタスクのsvchost.exe等)のですが・・・。
349名無しさん@お腹いっぱい。:2006/08/04(金) 20:12:17
>>343
それTremdmicroの検出名
350名無しさん@お腹いっぱい。:2006/08/04(金) 20:13:41
>>348
それはシステムの復元に使うデータの中
いったんシステムの復元無効に汁

ただ、そこに取り込まれてるってことは一度は発動してる気がする
351名無しさん@お腹いっぱい。:2006/08/04(金) 20:14:50
>>343
まだページができてないんだと思うよ
近いうちに↓に出てくるはず
ttp://www.symantec.com/enterprise/security_response/threatexplorer/threats.jsp

説明ページができてたのは、今んとこSophosぐらいなのかな

>>346
d 見落としてた('A`)rz
352名無しさん@お腹いっぱい。:2006/08/04(金) 20:18:41
>>299
もうすぐですな
353名無しさん@お腹いっぱい。:2006/08/04(金) 20:19:58
>>341間違えました

1)
×Symantec: -
○Symantec: Trojan.Sufiage

2) 
×Symantec: TSPY_SUFIAGE.F
○Symantec: Backdoor.Trojan

>>343スマソ
>>349d
354名無しさん@お腹いっぱい。:2006/08/04(金) 20:20:50
355名無しさん@お腹いっぱい。:2006/08/04(金) 20:22:30
今朝自宅のPCで山田チェッカーを開いてしまいました。
ポップアップでブロックされたのを解除し、ダウンロード。
で、開こうとしたら、元の何とかが無いと開けません。との警告が出て開けませんでした。
時間が無かったのでとりあえずPCの電源を切り仕事に行き、帰宅後
マイピクチャを確認したら、苺キン○マ名のSSはありませんでした。
タスクマネージャにはユーザー名で動いているものも見つかっていません。
何故ファイルは開けなかったのでしょうか?このような状態で
感染はしていないと思っても大丈夫ですか?
356352:2006/08/04(金) 20:22:38
ミスw
早速TSPY_SUFAGE.G発見された
357名無しさん@お腹いっぱい。:2006/08/04(金) 20:27:19
バスター対策したってことはオンラインスキャンでもひっかかるのかな?
358名無しさん@お腹いっぱい。:2006/08/04(金) 20:28:56
なあ?
晒された被害者のデスクトップ画像そのものにはウイルス組み込まれていないの?
見ただけでヤバイって話なんだけど。
359名無しさん@お腹いっぱい。:2006/08/04(金) 20:29:35
360名無しさん@お腹いっぱい。:2006/08/04(金) 20:30:15
McAfeeスレによると次のDatで7月分のほうはGeneric Delphiとして検出予定らしい
361名無しさん@お腹いっぱい。:2006/08/04(金) 20:32:51
>>359
ありりん
362名無しさん@お腹いっぱい。:2006/08/04(金) 20:44:52
>>358
まじで?
363名無しさん@お腹いっぱい。:2006/08/04(金) 20:46:37
>>358
え、どうやばいの?
結局バスターで1件だけ見つかってファイル削除、これで大丈夫かな・・
364 ◆N9P3SuvBPo :2006/08/04(金) 20:49:09
話題になってる今のSSupするウイルスね、
C:\WINDOWS:SVCHOST.exe(←Cドライブの中にWINDOWS:SVCHOST.exe)
っていうファイルが作成されるはずなんだけど、検索しても見つからない。
もしかして、全てのファイルを表示するように設定していないのでは?

コマンドプロンプトから、ファイルの存在を確認できない?
スタート→ファイル名を指定して実行→cmd→OK(コマンドプロンプト起動)
c:\Dcument〜\ユーザー名\デスクトップ\>cd c:\(Enter)
c:\>dir(Enter)
で該当するファイル見つからないの?
見つかったら削除orリネーム(リネームのほうが良いかも)
削除ならdel、リネームならren
365名無しさん@お腹いっぱい。:2006/08/04(金) 20:50:17
>>358
普通に画像として表示されてる分には大丈夫だと思う
ただ、被害者の晒し画像の体裁とってバイナリとか貼り付けてる
レスも混じってるようだからそっちはやばいかも
366名無しさん@お腹いっぱい。:2006/08/04(金) 21:01:24
バスターのオンラインスキャン、パターンファイルの読み込みに失敗しましたって使えないー
前スキャンできたのに・・・。
367名無しさん@お腹いっぱい。:2006/08/04(金) 21:22:08
>>358
見ただけでヤバイっつか、jpgに偽装してヤバいものをうpする香具師がいたよ
偽装うpができてしまうアップローダにも問題あるんだが('A`)

PHP.Backdoor.Trojan@Symantec
Trojan.HTML.Bomb@Kaspersky あたりが最近jpgになってうpられてた
368名無しさん@お腹いっぱい。:2006/08/04(金) 21:30:20

オレはこれで感染した↓
http://up2.viploader.net/mini/src/viploader57785.zip

苺きんたま Re-birth から始まるSS画像2枚でてきたんで
削除。レジストリ削除。ノートンアップデート後トロイ検出、隔離。

そのあとノートンのレジストリもおかしくなって正常にアップデートできなくなったorz
369名無しさん@お腹いっぱい。:2006/08/04(金) 21:31:16
【  最  重  要  事  項  】
ウィスルやブラクラだと思われる物の直リンは厳禁!!!!!!!!!!
質問の時は頭の『ht』を抜いて貼り付ける事
370名無しさん@お腹いっぱい。:2006/08/04(金) 21:32:30
感染源貼るなよ池沼
371名無しさん@お腹いっぱい。:2006/08/04(金) 21:32:40
すいません。h抜くの忘れてました
PC投げ捨てて吊ってきます
372名無しさん@お腹いっぱい。:2006/08/04(金) 21:37:40
彼女の写真フォルダとかあると見られる危険ありますか?
DVDに移動する時間がないけど・・・
祭りになったらいやだな。
373名無しさん@お腹いっぱい。:2006/08/04(金) 21:56:31
ただのSSで干渉能力はないから表示さえしなければばれないよ
374名無しさん@お腹いっぱい。:2006/08/04(金) 21:59:31
TSPY_SUFIAGE.G
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FSUFIAGE%2EG&VSect=Td

> しかしながら、上記ファイルの作成は失敗に終わるようです。

ワロタ
375´_ゝ`)))ガクブル:2006/08/04(金) 22:00:30
>>1
376名無しさん@お腹いっぱい。:2006/08/04(金) 22:01:19
>>375
誤爆です
無視してください
377名無しさん@お腹いっぱい。:2006/08/04(金) 22:02:14
>>374
なかなか愛嬌のあるウイルスだな
378名無しさん@お腹いっぱい。:2006/08/04(金) 22:02:45
スパイウェアに分類されるのか
379 ◆N9P3SuvBPo :2006/08/04(金) 22:06:12
>374
>しかしながら、上記ファイルの作成は失敗に終わるようです。

元々存在してないってことだから、どれだけ検索しても見つからないんだ…
>364の方法も意味無しなんだな。
380名無しさん@お腹いっぱい。:2006/08/04(金) 22:06:21
>>374
バスタ詳細でたか
代替データストリームかと思ったらただのプログラムミスか
作者はあほVIPだな
381名無しさん@お腹いっぱい。:2006/08/04(金) 22:15:16
ノートンも対応したみたい
>>15のでいうと
自己解凍版…PHP Backdoor Torojan
書庫圧縮版…Backdoor Torojyan
俺はこの二つしか落としてなく(実行もしていない)、
落としたファイルは削除したが
Tempデータに残ってたものに反応した。
同じ反応した人いる?
382345:2006/08/04(金) 22:15:43
ウィルスバスターの検索終わった。
一度目の検索でviploader57529.lzh内のTSPY_SUFIAGE.Gが見つかった。
あれ、おかしいな そのlzhファイルは消したはずなんだけど…と確かめてみたところ
やはりファイルが見つからない。
おかしいと思ってもう一度ウィルス検索してみたが、
二度目の検索ではウィルスは検出されなかった。
むー。
383名無しさん@お腹いっぱい。:2006/08/04(金) 22:20:10
>>381
書庫圧縮版の対応は確認してるが
15の自己解凍版踏もうとしたら
表示されなかったので確認できなかった
384名無しさん@お腹いっぱい。:2006/08/04(金) 22:25:28
>>381
自己解凍版はPHP.Backdoor.Trojanだったのか('A`)
そっちの方は単なるPHPスクリプトだから、WebサーバでPHPインスコしてるマシンで
発動させたんじゃない限り問題梨

書庫圧縮版は実行させるとマズイけど('A`)

>>383
「c99shell.php」でググるとどこかに落ちてるかも
385名無しさん@お腹いっぱい。:2006/08/04(金) 22:31:08
>>384
トン
386名無しさん@お腹いっぱい。:2006/08/04(金) 22:33:14
つまりVipperが主に拡散させようとしていた
lzhの中身のほうが多くの人に危険って訳か…
387184:2006/08/04(金) 22:34:06
NIS2003インスコ。フルスキャン終了。
検出ナシだった。とりあえず回線繋いで様子見です。
388184:2006/08/04(金) 22:36:07
>書庫圧縮版は実行させるとマズイけど('A`)
オレw それやったのw

でも結局症状ナシ?でかなり悩んだ。
NIS入れると専ブラに影響が…設定しなきゃw
389名無しさん@お腹いっぱい。:2006/08/04(金) 22:39:41
「チェッカー」の正体はウイルス――デスクトップ暴露ウイルスに新たな亜種
http://www.itmedia.co.jp/news/articles/0608/04/news103.html

> 2ちゃんねるでは「中野ウイルス」「亀田ウイルス」などと呼ばれているという。


中野?
390名無しさん@お腹いっぱい。:2006/08/04(金) 22:41:31
結局lzhの山田チェッカーウィルスをマカフィーは対応してないと。。。。
391名無しさん@お腹いっぱい。:2006/08/04(金) 22:45:02
中野ってなんだよ
392名無しさん@お腹いっぱい。:2006/08/04(金) 22:47:08
>>387
セーフモードでスキャンしてみると
なおよいかも
393名無しさん@お腹いっぱい。:2006/08/04(金) 22:47:14
山田ウイルスチェッカー.exeで感染してここで見た対処法を全部済ませた状態で
>>374に載ってる対応も済ませたけどPC起動時にAVGがあるはずのない
C\WINNT:SVCHOST.exe を検出してしまう。被害でなかったとは言えもうどうすればいいのやら。。。
394名無しさん@お腹いっぱい。:2006/08/04(金) 22:48:45
>>387
ノートンの古いのはliveupdateが週1じゃなかったっけ?
定義ファイルの日にち確認して
古ければHPからダウンロードしないと駄目かと
395184:2006/08/04(金) 22:49:21
>392
thx、それは気が付かなかった。
ぜひやってみます。
396名無しさん@お腹いっぱい。:2006/08/04(金) 22:49:41
今のところjpgからの感染ある?
397名無しさん@お腹いっぱい。:2006/08/04(金) 22:50:34
書庫圧縮版を解凍、実効してしまった。
ノートン最新定義でとりあえずの対応って可能?
Backdoor.Trojan ってのが検出されて処理しといたけど
できることなら再インストールは避けたい。その準備今してたけど
398184:2006/08/04(金) 22:52:35
>394
サンクス。古いのはいろいろ不便なんだな。
8/4だった。とりあえずはいいみたいです。
399名無しさん@お腹いっぱい。:2006/08/04(金) 22:54:11
Backdoor Torojyanっての消したんですけどこれで安心していいの?
400名無しさん@お腹いっぱい。:2006/08/04(金) 23:06:01
釣りかw?
401名無しさん@お腹いっぱい。:2006/08/04(金) 23:13:11
>>184
exeを踏んだの?
402名無しさん@お腹いっぱい。:2006/08/04(金) 23:14:02
>>396
セキュリティ設定の「拡張子でなく、内容によってファイルを開くこと」を無効にしておかんとやられるらしい
403名無しさん@お腹いっぱい。:2006/08/04(金) 23:18:04
>>402
なるほど 今怪しいファイル探してみたけどなかったけど
後でスキャンしてみる サンクスね
404名無しさん@お腹いっぱい。:2006/08/04(金) 23:25:41
ノートンはいつの時点の定義ファイルで対応してるのかわかります?
405名無しさん@お腹いっぱい。:2006/08/04(金) 23:28:54
バスター(ver5.7)で検索しましたが、検出はされませんが
タスクマネージャにsvchost.exeが残っています。駆除されていますか?
406名無しさん@お腹いっぱい。:2006/08/04(金) 23:31:04
>>405
svchost.exeは元々あるプロセスだから消しちゃ駄目でつよ
但し、ユーザー名で動いてるのはアウト
407名無しさん@お腹いっぱい。:2006/08/04(金) 23:32:24
投稿先で迷ったのですが、此方で宜しく御願い
致します。2chの閲覧にJaneStyle V2.41 を
使用しているのですが先程、起動してスタート
アップを開いた途端にNIS (Norton Antivirus)が
反応してJaneのキャッシュでウイルス見つけたから
削除したよと、重いなりに仕事はしてるなと
関心してたのですが、ふと疑問がありまして
自分は2chに投稿されたURLは踏まないテンプレ
でさえ注意しているのですが、キャッシュを使う
新着レスに含まれる画像を自動で開くに設定
してるとキャッシュもウイルスとして成りたって
しまい。URLを自動で踏みまくっているのと変わらない
のでしょうか。
408名無しさん@お腹いっぱい。:2006/08/04(金) 23:33:58
まとめページとか無いのかな
409名無しさん@お腹いっぱい。:2006/08/04(金) 23:37:58
>>407
それはノートンの誤検出ですので安心してくださいな
検出させない方法もググればごまんとあるので頑張ってください


410名無しさん@お腹いっぱい。:2006/08/04(金) 23:41:43
>>404
8/3 rev.048@ノートン2005 で既に対応されてたな

2006以前のバージョンなら、8/4のRapid releaseを適用させれば多い日も安心('A`)
ttp://securityresponse.symantec.com/avcenter/rapidrelease.download.html
411名無しさん@お腹いっぱい。:2006/08/04(金) 23:50:39
>>410
THX!!なんかこういうウィルスが流行ると、ちょっとしたことでも神経質になってしまうonz
412名無しさん@お腹いっぱい。:2006/08/04(金) 23:52:42
よくわからんexe踏んだらマイピクチャにいちごキンタマ〜というSSが保存されていた
とりあえずどうすればいいんだろう・・
413名無しさん@お腹いっぱい。:2006/08/04(金) 23:52:52
ウイルスバスターの期限が終わり
パソコンにウイルスが(トロイの木馬やワームなど)が侵入した頃
いままでちゃんとできていたのに
インターネットを開いてもページが表示されませんとでます。
これはウイルスのせいなんでしょうか?

ちなみに今は携帯から書き込んでいます
414名無しさん@お腹いっぱい。:2006/08/04(金) 23:53:44
なんかexeは実行しちゃだめってのが出回りすぎで
comファイルとかbatファイルのウィルスだとひっかる奴いっぱい居そうだな
415名無しさん@お腹いっぱい。:2006/08/04(金) 23:58:03
>>414
それはねーよw
416名無しさん@お腹いっぱい。:2006/08/05(土) 00:04:58
comファイルなんかお目にかかったことがない
と思いきやewidoのテスト用トロイがあったか
417名無しさん@お腹いっぱい。:2006/08/05(土) 00:05:29
>>415
exeでも踏んじゃう馬鹿がいるんだぜ?
418名無しさん@お腹いっぱい。:2006/08/05(土) 00:10:09
はっきり言って.vbsなんてのは.exeと同じぐらいに危険だ
419名無しさん@お腹いっぱい。:2006/08/05(土) 00:20:08
流れをぶった切ってすみません。
怪しいアドレスを開いてしまったんですがパソに感染していないかチェックする方法はありますか?
420名無しさん@お腹いっぱい。:2006/08/05(土) 00:20:45
ウイルススキャン
421名無しさん@お腹いっぱい。:2006/08/05(土) 00:25:26
>>420さんありがとうございます。ドシロウトですみません、
ウィルススキャンと言うのはどこで手に入りますか?
422名無しさん@お腹いっぱい。:2006/08/05(土) 00:26:29
>>421
一ヶ月ROMれ
423名無しさん@お腹いっぱい。:2006/08/05(土) 00:28:05
ROMるっていう言葉もわかりません。。
424名無しさん@お腹いっぱい。:2006/08/05(土) 00:29:21
明日本屋さんに行きなさい
425名無しさん@お腹いっぱい。:2006/08/05(土) 00:33:32
むしろ家電量販店に行って2万ぐらい(ソフト代込み)払ってウイルススキャンサービスやってもらえ
426名無しさん@お腹いっぱい。:2006/08/05(土) 00:34:14
>419
パパかママか、誰でもいいから身近にいるPC詳しそうな人に聞いた方がいいんじゃない?

というか、ドシロウトが2ちゃんにきちゃいけないと思う
427名無しさん@お腹いっぱい。:2006/08/05(土) 00:41:37
IPアドレス => 「 221.254.51.22 」
ホスト名変換 => 「 221x254x51x22.ap221.ftth.ucom.ne.jp 」

port80にアクセスしてくる。
428名無しさん@お腹いっぱい。:2006/08/05(土) 00:41:57
素人な奴ほど、素人を馬鹿にする
429名無しさん@お腹いっぱい。:2006/08/05(土) 00:45:59
教えてやってもいいがある程度調べて知識を持っててもらわなくちゃ困る。
話はズムーズにいかないし、やたら時間かかるからな。コレくらいは礼儀だろ
430名無しさん@お腹いっぱい。:2006/08/05(土) 01:22:05
ずむーず
431名無しさん@お腹いっぱい。:2006/08/05(土) 01:30:49
LimeWireでゲド戦記落としてたらハードディスクから
チキチキ音がしてウィンドウズが起動しなくなりました。
今外付けからOS立ち上げてるんですがこれってウィルスですか
ハードディスクは壊れてないみたいで認識してます。
432名無しさん@お腹いっぱい。:2006/08/05(土) 01:34:00
ブラック魔王がHDDに入りました
433名無しさん@お腹いっぱい。:2006/08/05(土) 01:46:21
>>431
チッチッキッチー
434名無しさん@お腹いっぱい。:2006/08/05(土) 01:48:31
ウィルス、ゲド!
435名無しさん@お腹いっぱい。:2006/08/05(土) 01:54:00
tp://up2.viploader.net/mini/src/viploader57529.lzh
これ踏んじゃいました。
ファイルをDLしたものの、開けませんでしたがDLしただけなら
大丈夫ですか?
436名無しさん@お腹いっぱい。:2006/08/05(土) 01:55:26
開こうとした、ってとこの行為がある時点で白とはいえないな

落としてノータッチなら間違いなく白
437名無しさん@お腹いっぱい。:2006/08/05(土) 01:57:23
>>435
だいじょうぶ 安心しろ。
438名無しさん@お腹いっぱい。:2006/08/05(土) 02:04:53
>>436-437
レス有難うございます。
開こうとしたのですが「作成元の名前が無いため開けません」
みたいな文章が出て、開けませんでした。
タスクマネージャーにはユーザー名で動いているものは無く
マイピクチャにも、苺金○の名のファイルもありません。
ウイルスソフトはavastが入っていますが、ウイルスバスター
やノートン先生をダウンロードした方が良いでしょうか

439名無しさん@お腹いっぱい。:2006/08/05(土) 02:07:55
元々入ってたからマカ使ってるんだけど、>>390によるとまだ俺が踏んだ山田チェッカーの方は対応してないんだよな?
8月20日くらいまで家空けるんだけど、それまでには対応してるよな?
440名無しさん@お腹いっぱい。:2006/08/05(土) 02:22:09
>>438
解凍してexeクリックしてないやろー
安心しろ。
441名無しさん@お腹いっぱい。:2006/08/05(土) 02:23:50
>>439
知らんがな(´・ω・`)
442名無しさん@お腹いっぱい。:2006/08/05(土) 02:24:05
>>440
した場合は?
443名無しさん@お腹いっぱい。:2006/08/05(土) 02:25:13
>>440
ありがとうございます。
本当に困っていたので助かりました。
これから頑張って勉強します。
444名無しさん@お腹いっぱい。:2006/08/05(土) 02:32:47
>>439 さっき一応最新の状態でスキャンしたが反応なし
マカフィースレでは送ってくれた奴がいたから対応はしてくれるはずだと信じている
感染中の俺
by山田ウィルスチェッカー.exe
445名無しさん@お腹いっぱい。:2006/08/05(土) 02:57:38
avast入れてるんですが、さっき自動更新されて
それから色んな板にトロイが〜〜って怒って入れなくなりました。
これって更新したからですか?
446名無しさん@お腹いっぱい。:2006/08/05(土) 03:11:45
今さっきウィルスに感染して、駆除できませんでしたって出たから、
そのファイルを削除したらマカフィーがスキャンをお勧めしますとのことなので、
スキャンをかけているのですが、これで感染ファイルが見つからなかったら
大丈夫なのでしょうか?
447名無しさん@お腹いっぱい。:2006/08/05(土) 03:21:52
>>446 関係ないかもしれないけど
俺もさっきファイルを駆除したと出てたぞ
スキャンは明日やるつもりだけど
448名無しさん@お腹いっぱい。:2006/08/05(土) 03:40:41
>>446 よく読み直したら全く俺と関係なかった
スルーしてくれ


連レススマソ
449名無しさん@お腹いっぱい。:2006/08/05(土) 03:45:54
とりあえずRUNだ ここのsvchost.exeを消せばいいだけなんだ
450名無しさん@お腹いっぱい。:2006/08/05(土) 03:47:41
>>449
そこにconime.exeがあるんだが大丈夫かのう?
ちなみにsvchost.exeはない
451名無しさん@お腹いっぱい。:2006/08/05(土) 03:48:16
452名無しさん@お腹いっぱい。:2006/08/05(土) 03:51:11
>>444
2週間あったら大丈夫だよな…
期限切れてるから帰ってきたら契約しないと
てか全然セキュリティソフトに詳しくないからマカやめた方がいいかな…
453名無しさん@お腹いっぱい。:2006/08/05(土) 03:57:51
>>452 2週間あれば…
正直ノートンとウィルスバスターは対応済みだがマカフィーが未対応という現実に苛立ち始めてる俺も契約切れたらマカフィー止めようか検討中
454名無しさん@お腹いっぱい。:2006/08/05(土) 04:48:59
vipでログ更新するたびにavastがトロイの木馬の反応示すんだけど
これもその一種?過剰反応?
455名無しさん@お腹いっぱい。:2006/08/05(土) 05:40:43
>>431
ホワイターだろ。    さようなら
456名無しさん@お腹いっぱい。:2006/08/05(土) 06:36:58
しつもーん
他スレから飛んできたんだけど>>15のコピペ自体(wiki)がトラップって事なのかな?

あと1個だけ気になるのがこの一文。これもトラップに誘うデマなのかな?

> 2ch内の特定のスレッドや、jpg画像を開くことにより感染(2ch専用ブラウザ使用でも感染報告あり)
457名無しさん@お腹いっぱい。:2006/08/05(土) 06:45:03
>>454
俺もそれなった
特定のスレ開くと検出されて、削除しようとしても見つからないとか出る
過剰反応だと思ってるが正直めんどい
458名無しさん@お腹いっぱい。:2006/08/05(土) 08:09:04
今はやってるこのウィルスの名前って何?
459名無しさん@お腹いっぱい。:2006/08/05(土) 08:09:58
>>458
山田とか苺とか呼び名のことです。
VIPに建ってるのが本スレで良いのでしょうか
460名無しさん@お腹いっぱい。:2006/08/05(土) 08:16:23
キンタマ再来?新型ウイルス 【亀田ウィルス(仮称)】 大規模爆撃中 ★10
http://news20.2ch.net/test/read.cgi/news/1154679895/

本スレ
461名無しさん@お腹いっぱい。:2006/08/05(土) 08:25:09
ありがとうございましたー
462名無しさん@お腹いっぱい。:2006/08/05(土) 08:41:26 BE:942010188-2BP(0)
ウイルスは、パソコンのふくげんで消えますか?
463名無しさん@お腹いっぱい。:2006/08/05(土) 08:42:17
亀田ウィルスのことですが、
チェッカでも感染がどうの言われてますけど
ここのチェッカは安全でしょうか?
tp://www.geocities.jp/antiny_virus/
464名無しさん@お腹いっぱい。:2006/08/05(土) 09:35:55
lzh実行感染したら
回線引っこ抜いて本体消してPC-cleanで除去汁
それで生成もされなくなった
465名無しさん@お腹いっぱい。:2006/08/05(土) 09:36:28
本体は山田チェッカーね
466名無しさん@お腹いっぱい。:2006/08/05(土) 09:43:26
なんか別のウイルスに感染したっぽいな
Cドライブ直下のフォルダを除くファイル全てを
Winny起動時にWinnyのUPフォルダに追加するものらしい

今avastで検査してるけどHITするかは不明
46710:2006/08/05(土) 09:49:48
朝起きたら対応してたね・・
svchost.exeが見つからないから不安でProcessGuardまで入れてた(´・ω・`)


ところでトレンドマイクロのサイトを見たところ

>以下のレジストリ値を変更し、Task Manager を無効化します。
>場所:
>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
>値(変更前):
>DisableTaskMgr = "dword:00000000"
>値(変更後):
>DisableTaskMgr = "dword:00000001"

とあるんですが、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
が無いみたいなんですけど大丈夫なんですかね?
468名無しさん@お腹いっぱい。:2006/08/05(土) 09:56:20
>>467
さすがトレンド間違ってるわさ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
エントリ: DisableTaskMgr 0x00000001 (1)
46910:2006/08/05(土) 10:03:27
>>468
ありがとうございます

全然場所違うじゃないですかw
改変はされてないようでした。
470名無しさん@お腹いっぱい。:2006/08/05(土) 10:05:30
>>462
システムの復元?
ウイルス本体ファイルはたぶん消えないけど
レジストリの自動起動設定が消えるのでウイルスの発動は抑えられる
471名無しさん@お腹いっぱい。:2006/08/05(土) 10:14:56
ウイルスなのかどうか判らないのですが気持ち悪くなったので質問しにきました。
今朝、ネットを見るためにとりあえずPCをつけて飯を食い、トイレに行って
歯を磨いた後PCの前に来るとPCのHDDかメモリー?のアクセスランプが激しく点滅してました。
あわててタスクマネージャーを開いてCPU使用率を見てみたら
svchost.exeなるものが30〜40%ほど使ってました。
ユーザー名はSYSTEMでした。
ちなみに当方巷で騒がれてるウイニーといったような交換ソフトは使ってません。
ただ最近掲示板の方から感染するものがあるらしいというのをネットで見かけたので心配で・・・

あ、使用してるOSはXPのpro、ウイルスソフトはフリーのAntidoteです。
Antidote使ってみましたが特になにも言ってきませんでした。
472名無しさん@お腹いっぱい。:2006/08/05(土) 10:35:13 BE:353254638-2BP(0)
>>470
ありがとうございます。復元したら安心ってことですね。
473名無しさん@お腹いっぱい。:2006/08/05(土) 10:43:52
McAfee:Uploader-AC
Extra.DATでしのいでくれ、だそうで('A`)ノ
http://qb5.2ch.net/test/read.cgi/operate/1062269604/861-863n
474名無しさん@お腹いっぱい。:2006/08/05(土) 11:03:39
    ___
   ,;f     ヽ
  i:         i
  |         |
  |        |  ///;ト,
  |    ^  ^ ) ////゙l゙l;   
  (.  >ノ(、_, )ヽ、} l   .i .! |   
  ,,∧ヽ !-=ニ=- | │   | .|
/\..\\`ニニ´ !, {   .ノ.ノ
/  \ \ ̄ ̄ ̄../   / .|
475名無しさん@お腹いっぱい。:2006/08/05(土) 11:14:56
>15のまとめサイト3回ほど踏んじゃったんだけど大丈夫かな?
ファイルはダウンロードしてない
127〜のアドレス踏んでも接続できなかったし、
svchostも数は多いけどユーザー名のは無いんだけど
さっきnetstat打ってみたらlocalhostのほうにポート1080が開いてた
1080って無害なのか?
とりあえず今トレンドマイクロのオンラインスキャンしてる
476名無しさん@お腹いっぱい。:2006/08/05(土) 11:33:36
よろしければ教えて下さい。
亀田ウイルスにノートンはもう対応していますか?
477名無しさん@お腹いっぱい。:2006/08/05(土) 11:34:00
avastがトロイに過剰反応する。
avastの専用スレにも入れない・・・
478名無しさん@お腹いっぱい。:2006/08/05(土) 11:41:03
online malware scan, virus.orgのそれぞれの結果貼っときます
各ベンダの対応が反映されてないのもあるので、参考程度に


7月分のアレ詰め合わせ.exe

 ttp://cgi.2chan.net/up2/src/f162790.gif
 ttp://cgi.2chan.net/up2/src/f162791.gif


新しいフォルダ      .exe
成年コミック・雑誌) [小梅けいと] イケない!お姫様 (コミックメガストア2006.09) 001.exe〜006.exe
完全攻略5(ソフト版).exe/7月分ロリ詰め合わせ.exe/山田ウイルスチェッカー.exe

 ttp://cgi.2chan.net/up2/src/f162793.gif
http://cgi.2chan.net/up2/src/f162794.gif

>>476
っ [もう少し上の方のログ]
479名無しさん@お腹いっぱい。:2006/08/05(土) 12:28:00
すいません、助けて下さい。
TROJ_DYFCA.Xというのに感染してしまいました。ウイルスバスターでも処理できません。どうしたらよいでしょうか?
480名無しさん@お腹いっぱい。:2006/08/05(土) 12:39:22
>>478
山田ウィルスチェッカーの奴ウィルスバスタ対応してるよ。
481名無しさん@お腹いっぱい。:2006/08/05(土) 12:46:14
>>480
ウイルスバスター違い
482名無しさん@お腹いっぱい。:2006/08/05(土) 13:09:42
>>479
ウイルス名は正確に書いてくれ、頼むから

TROJ_DYFUCA.X
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DYFUCA.X
483名無しさん@お腹いっぱい。:2006/08/05(土) 13:41:59
700MBの動画ファイル偽装のAntinny(?)を
200MBの途中ファイルで実行してしまったのですが
感染の可能性はありますか?
484名無しさん@お腹いっぱい。:2006/08/05(土) 13:43:15
485名無しさん@お腹いっぱい。:2006/08/05(土) 13:43:37
拡張子はscrです
486名無しさん@お腹いっぱい。:2006/08/05(土) 13:44:50
487名無しさん@お腹いっぱい。:2006/08/05(土) 13:48:47
tukaene-(gera
488名無しさん@お腹いっぱい。:2006/08/05(土) 13:50:23
釣れますか?
489名無しさん@お腹いっぱい。:2006/08/05(土) 13:51:05
>>487は偽者です!
490名無しさん@お腹いっぱい。:2006/08/05(土) 13:56:10
暑中お見舞い申し上げます
亀田ウィルスで忙しいみなさま、おいすー。

http://ex16.2ch.net/test/read.cgi/news4vip/1154729827/
ここの>>1がmp3だかPSPBrickだかをクレクレしているので助けてあげてくだしあ
491名無しさん@お腹いっぱい。:2006/08/05(土) 13:56:55
492名無しさん@お腹いっぱい。:2006/08/05(土) 14:47:52
>>450 それはおk
493名無しさん@お腹いっぱい。:2006/08/05(土) 15:12:12
アドバイスお願いします。

下記URLを踏んでしまい
ttp://suzukiairi.net/cgi-bin/up/img/puniairi150.jpg
PHP.Backdoor.Trojanに感染してしまいました。

現在、ウィルス対策ソフト入れてないです・・・
トレンドマイクロのお試しも終了してます
対策方法はどうすれば良いでしょうか?
494名無しさん@お腹いっぱい。:2006/08/05(土) 15:15:41
助けて欲しいんですが
感染してからパソコンで2ちゃんできなくて困ってるんで
それだけでもどうにかする方法ってないですか?
495名無しさん@お腹いっぱい。:2006/08/05(土) 15:53:01
新しくパソコンを買う
496名無しさん@お腹いっぱい。:2006/08/05(土) 15:56:25
497名無しさん@お腹いっぱい。:2006/08/05(土) 16:09:56
サブのPCがIEをクローズしようとしても固まったままになったりWINXPのシャットダウンが
異常に遅かったり不調なのでウイルスチェックをしたところスパイウェアが四つとウィルス
(WORM_HYBRIS.PLG)が見つかった。スパイウェアの種類は記入しなかったので
レポート出来ないがSHAREEDGEのオンラインチェックでひっかかり削除した。
以上を削除後は、PCは快調になったがIEのクローズ障害はスパイウェアの影響だろーか。
この種の問題についてはスキルが無いのでわからないがやはり定期的にチェックするのが
正解であり必須と思う。(ウイルスはウイルスバスターで削除)
498名無しさん@お腹いっぱい。:2006/08/05(土) 16:21:52
>>496さん
失礼しました。

【使用OS】 XP(SP2)
【WindowsUpdateしてるか】しています
【AntiVirusは何を使っているか】 使っていませんでしたorz
【ちゃんとUpdateしてるか】
【スキャンした結果(ウイルス名・発見場所)】
トレンドマイクロのウイルスバスターオンラインスキャンでスキャンした結果、
HTML_CRINET.A
PHP_SHELL.G
が発見されました。
【別のオンラインスキャンしたならその結果は】
【症状を具体的に、分かる限りすべて書く】
【何をしたらそんなことになったのか】
下記URLを踏んでしまい感染してしまいました。
ttp://suzukiairi.net/cgi-bin/up/img/puniairi150.jpg
【これまでにとった措置】
【その他の質問】
トレンドマイクロのお試し期間も終了してますorz
対策方法はどうすれば良いでしょうか?
499名無しさん@お腹いっぱい。:2006/08/05(土) 16:43:45
ワロスwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
500名無しさん@お腹いっぱい。:2006/08/05(土) 16:43:46
avast!、Bitdefender、ウイルスバスター、ノートン先生と
一通りやったけど引っかからないのだが、明らかにウイルス感染しているのだが

【使用OS】 XP(SP1)
【WindowsUpdateしてるか】定期的にしてる
【AntiVirusは何を使っているか】avastとBitdefender併用(他はオンラインスキャン)
【ちゃんとUpdateしてるか】毎日してるし、自動更新もONになってると思う
【スキャンした結果(ウイルス名・発見場所)】スキャンではみつからない
【別のオンラインスキャンしたならその結果は】ことごとくシロ
【何をしたらそんなことになったのか】原因は特定できないが、最近ウイルス付きのブラクラを踏んだかも
【これまでにとった措置】今の所は症状特定のみ
ちなみに症状はWinnyを起動する毎にUPフォルダにCドライブ直下のファイル全てを追加するというものだった
それ以外の被害状況はわからないが、少なくともレジストリ(またはWinny.ini?)を改変している予感
【その他の質問】同様の被害報告はあるかなと思ってカキコしますた
501名無しさん@お腹いっぱい。:2006/08/05(土) 16:48:59
>>1
502名無しさん@お腹いっぱい。:2006/08/05(土) 16:52:37
>>500
昨日検体を送ったのでBitDefenderは今朝の5時頃に書庫圧縮版には対応してる。
503名無しさん@お腹いっぱい。:2006/08/05(土) 16:52:37
>>501
あっちはヲチ系のスレが多くね?
でも誘導ありがとう
とりあえず向こうで聞いてみる事にする
504名無しさん@お腹いっぱい。:2006/08/05(土) 16:57:18
>>502
なんと、ファイル特定はおろか、検体も済んでらしたのね
感謝致しますお

とりあえずBitDefenderでローカルドライブ全検索してみます
無理だったらダウソ板で相談してくるね
本当にありがとう
505名無しさん@お腹いっぱい。:2006/08/05(土) 17:11:19
>>504
なに そんなウイルスあるの
ノートン未対応ならやばいな
うPは無理でもどこら辺に貼ってあるかだけでも教えてくれませんか
506名無しさん@お腹いっぱい。:2006/08/05(土) 17:11:29
>>498
Bitdefenderでぐぐって検索駆除
5071/2:2006/08/05(土) 17:19:01
あらやだ('A`)ふたばから画像消えた>>478
Virustotalの結果を元にしてるので、最新情報は各ベンダに確認オヌヌメ

============================
7月分アレ詰め合わせ.exe

AntiVir: Trojan/Proxy.Dock
Avast: -
AVG: Delf.DL
BitDefender: -
DrWeb: Trojan.Click.1345
eTrust-InoculateIT: -
Ewido: Trojan.Delf.wk
Fortinet: SPY/Clicker
Kaspersky: Trojan.Win32.Delf.wk
McAfee:Uploader-AC?
NOD32v2:
Sophos: Troj/Clicker-DK
Symantec: Trojan.Upchan
UNA: Trojan.Win32.Delf
VirusBuster: TROJ_AGENT.DFN

File size: 528185 bytes
MD5: f744eedb921564720c1db96bf1053653
SHA1: df92fbf871efb01b5cb8618d7c496e15c3c784c3
5082/2:2006/08/05(土) 17:19:35
新しいフォルダ      .exe
成年コミック・雑誌) [小梅けいと] イケない!お姫様 (コミックメガストア2006.09) 001.exe〜006.exe
完全攻略5(ソフト版).exe/7月分ロリ詰め合わせ.exe/山田ウイルスチェッカー.exe

AntiVir: Backdoor-Server/Delf.afu.1
Avast: -
AVG: Trojan horse Generic.YRK
BitDefender: Backdoor.Delf.SS
DrWeb: BackDoor.Indy.11
eTrust-InoculateIT: Win32/Rbot.EQT!Worm
Ewido: -
Fortinet: W32/Delf.AFU!tr.bdr
Kaspersky: Backdoor.Win32.Delf.afu
McAfee: Generic Delphi
NOD32v2: Win32/Delf.AFU
Sophos: Troj/Delf-DDR
Symantec: Backdoor.Trojan
UNA: Backdoor.Delf
VirusBuster: TSPY_SUFIAGE.G

File size: 430507 bytes
MD5: adedf961b92b7d3a8176b7b1e93bf4d7
SHA1: 5e7cb84b6bfa2317f7d8cc91b6aaa2c520dcc2ca
509名無しさん@お腹いっぱい。:2006/08/05(土) 18:18:59
>>498
HTML_CRINET.A
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML_CRINET.A

PHP_SHELL.G
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PHP%5FSHELL%2EG

これだけなら検出されたファイルをすべて削除だけでいいはず

それより問題はアンチウイルスソフト入れてねーわ
罠リンクに引っかかるわといった運用面にある

そこらの電気屋にでもいってさっさとアンチウイルスソフト買って来い
で、トレンドマイクロのお試しってのが体験版のことなら
これをアンインストールしてから買ってきたのを入れる
入れたソフトを最新にアップデートして全ファイルスキャン
これで何も出なければまあ大丈夫だろ
510名無しさん@お腹いっぱい。:2006/08/05(土) 18:26:21
>>505
覚えてたならファイル特定もさほど苦労しないと思うんだけどね
とおもいきや、NGワードに登録しといたんだった

up2.viploader.net/pic/src/viploader250725.jpg

これが今まで踏んだものの中で一番怪しいと睨んでるURL
511名無しさん@お腹いっぱい。:2006/08/05(土) 18:35:39
山田ウィルスチェッカー.exeに感染しています自分はマカフィーユーザーです
しかし、一昨日の時点では対応しておらずkasperskyのオンラインスキャンを行い感染を確認しました
その後ウィルスバスターでも対応したと聞きオンラインスキャンしましたが反応は無しでした
ネットに繋いでも画像がアップされるなんて事もありませんでした
ウィルスバスターとマカフィーではまだ対応してないんでしょうか?
又マカフィーをアンインストールしてkasperskyのお試しを入れてみる方がいいでしょうか?
512名無しさん@お腹いっぱい。:2006/08/05(土) 18:38:30
AVGのfree試してみ
513名無しさん@お腹いっぱい。:2006/08/05(土) 18:41:38
こちらのスレで質問しても良いのかわからないのですが、
もし間違っていたら移動いたします。

ttp://up.nm78.com/data/up098026.jpg
これを踏んでしまいました。
鑑定スレではトロイ
踏んだ板では苺だとか色々言われたので、
はっきりとどのウイルスかは分からないのですが
いちおうオンラインスキャンかけてみました。
トレンドマイクロは感染0、
シマンテックは感染1、
Temporary Internet Files\Content.IE5\VR9ZV1WW\new[2].htm は Downloader に感染しています。
との診断。

質問1、これはContent.IE5内のVR9ZV1WWフォルダごと全削除で大丈夫ですか?
質問2、上記URLは何のウィルスですか?
514名無しさん@お腹いっぱい。:2006/08/05(土) 18:48:00
>>513
削除したあとまたスキャンしな
2,はしらない。
515名無しさん@お腹いっぱい。:2006/08/05(土) 18:48:54
すみません。今スパイポッドで検索したところ
ウィンドウズセキリュティアンチ〜やマイクロソフト〜等、名前の聞いたことのあるものが検出されたんですが
これって消してよいのでしょうか?
516名無しさん@お腹いっぱい。:2006/08/05(土) 19:00:40
>>513
> 質問2、上記URLは何のウィルスですか?

ただのブラクラだね、ウイルスではない

イメタグのconconクラッシュとか久々に見た('A`)
517名無しさん@お腹いっぱい。:2006/08/05(土) 19:16:04
すみません。
どうも亀田ウイルスに感染してしまったようで、自分でアップされてるかどうか確認に行きたいのですが
アップローダに行ってもつながりません・・・

URLが間違っているのでしょうか・・・
どなたかつながる方がいらっしゃいましたらURLを・・・orz
518名無しさん@お腹いっぱい。:2006/08/05(土) 19:21:58
>>517
> アップローダに行ってもつながりません・・・
閉鎖してます。
519名無しさん@お腹いっぱい。:2006/08/05(土) 19:22:44
ロダ封鎖ってことは駆除しなくても無害になったんじゃね?
520名無しさん@お腹いっぱい。:2006/08/05(土) 19:24:33
別のロダに移るか回復するかしたら情報頼む
521名無しさん@お腹いっぱい。:2006/08/05(土) 19:25:56
>>513です

>>514さん、>>516さん、どうもありがとうございます。
ブラクラですか!フォルダ削除して、シマンテックでスキャンしたら0になってました。
良かった・・・。
苺だのトロイだのって・・・・・ぐぐったり、スキャンしたりのこの数時間は一体orz
でもまぁ違うウイルスみっかったからよしとするか・・・、って
今まで何か送信されてたのだろうか?
別の意味で怖くなってきたorz
522名無しさん@お腹いっぱい。:2006/08/05(土) 19:32:34
       、--‐冖'⌒ ̄ ̄`ー-、
     /⌒`         三ミヽー-ヘ,_
   __,{ ;;,,             ミミ   i ´Z,
   ゝ   ''〃//,,,      ,,..`ミミ、_ノリ}j; f彡
  _)        〃///, ,;彡'rffッ、ィ彡'ノ从iノ彡
  >';;,,       ノ丿川j !川|;  :.`7ラ公 '>了
 _く彡川f゙ノ'ノノ ノ_ノノノイシノ| }.: '〈八ミ、、;.)
  ヽ.:.:.:.:.:.;=、彡/‐-ニ''_ー<、{_,ノ -一ヾ`~;.;.;)
  く .:.:.:.:.:!ハ.Yイ  ぇ'无テ,`ヽ}}}ィt于 `|ィ"~
   ):.:.:.:.:|.Y }: :!    `二´/' ; |丶ニ  ノノ
    ) :.: ト、リ: :!ヾ:、   丶 ; | ゙  イ:}    逆に考えるんだ
   { .:.: l {: : }  `    ,.__(__,}   /ノ
    ヽ !  `'゙!       ,.,,.`三'゙、,_  /´   「宇治さんよりましだ」と
    ,/´{  ミ l    /゙,:-…-〜、 ) |
  ,r{   \ ミ  \   `' '≡≡' " ノ        考えるんだ
__ノ  ヽ   \  ヽ\    彡  ,イ_
      \   \ ヽ 丶.     ノ!|ヽ`ヽ、
         \   \ヽ `¨¨¨¨´/ |l ト、 `'ー-、__
            \  `'ー-、  // /:.:.}       `'ー、_
          `、\   /⌒ヽ  /!:.:.|
          `、 \ /ヽLf___ハ/  {
              ′ / ! ヽ
523名無しさん@お腹いっぱい。:2006/08/05(土) 19:33:54
>>519
>>494とか?俺はめんどうだったしパソコンいじるの苦手だから再インスコしたが
524名無しさん@お腹いっぱい。:2006/08/05(土) 20:58:22
このスレ亀田ウィルス出現以降
一気に糞になったなorz
525名無しさん@お腹いっぱい。:2006/08/05(土) 21:24:51
罠にホイホイかかる奴ばっかりだからね。
526 ◆N9P3SuvBPo :2006/08/05(土) 21:46:28
【使用OS】 WindowsXP SP2
【WindowsUpdateしてるか】 自動更新になってる
【AntiVirusは何を使っているか】 ErrorSafe・WinAntiVirusPRO
【ちゃんとUpdateしてるか】 とりあえず
【スキャンした結果(ウイルス名・発見場所)】 感染無し
【別のオンラインスキャンしたならその結果は】 バスターでTSPY_SUFIAGE.G
あと、errorsafeとかwinantiっていうところから検出
【症状を具体的に、分かる限りすべて書く】 upロダに俺が見ていたデスクトップが取られていた
【何をしたらそんなことになったのか】 今回の件のウイルスに感染していないか、
山田チェッカー使ってみた
【これまでにとった措置】 タスクマネージャで、キルプロセス&該当するレジストリを削除
winantivirusPROとErrorsafeをインストール
【その他の質問】 C:\WINDOWS:SVCHOST.exeが見つからなくて困っています
527名無しさん@お腹いっぱい。:2006/08/05(土) 22:10:11
ほらね
528名無しさん@お腹いっぱい。:2006/08/05(土) 22:10:43
>>526
暇そうですね
529名無しさん@お腹いっぱい。:2006/08/05(土) 22:25:55
>>526
毎回毎回おもしろと思ってるの?
530名無しさん@お腹いっぱい。:2006/08/05(土) 23:39:41
>>516
ただのブラクラじゃないよ
downloderっていうトロイを埋め込もうとするらしい
駆除方法は検索してくれ
531名無しさん@お腹いっぱい。:2006/08/05(土) 23:53:50
山田チェッカー踏んでしまったので、ノートンでスキャンして削除したはずが、
何故かCドライブの容量がすごい勢いで減っていくんだがどうしてだろう
532名無しさん@お腹いっぱい。:2006/08/06(日) 00:05:30
ttp://otd13.jbbs.livedoor.jp/331583/bbs_plain
すみません。このHPを開いたらウィルス感染しました。駆除方法がうまくできないのですが。

使用機種はwindow 98です。
C:\Program Files\Internet Explorer\IEXPLORE.EXE
ウイルススキャンで調べるとここが感染されているのかな?初心でよく分からないのですが。
誰か削除方法をご教示願います。
533名無しさん@お腹いっぱい。:2006/08/06(日) 00:09:58
>>532
>>1
534名無しさん@お腹いっぱい。:2006/08/06(日) 00:13:27
いつから初心者板になったんだ?

まぁそんな感じの趣旨だからしょうがないちゃしょうがないが
535名無しさん@お腹いっぱい。:2006/08/06(日) 02:36:25
未だに山田チェッカーウイルス.exeはカスペルスキーしか反応してくれん
ノートンとマカフィー、ウイルスバスターもダメだな
536名無しさん@お腹いっぱい。:2006/08/06(日) 07:12:06
>>535
フリー系で対応してるのありますか?
537名無しさん@お腹いっぱい。:2006/08/06(日) 07:14:35
>>531
詳しく。
538名無しさん@お腹いっぱい。:2006/08/06(日) 08:54:43
>>535
ノートン反応したような
539名無しさん@お腹いっぱい。:2006/08/06(日) 08:55:53
AntiVir AVG
540名無しさん@お腹いっぱい。:2006/08/06(日) 10:54:40
知り合いのPCであり、とりあえずの応急処置をしたく質問させていただきます。テンプレ未使用でごめんなさい。

XPでTemporary Internet Filesフォルダに隠しフォルダ?として存在する部分にアクセスする方法を
知りたいのですが、どなたか効果的な検索ワードを教えてはいただけないでしょうか。

Cドライブをウイルススキャンしたところ、
C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\TJ0IP2PR\new[3].htm = ウイルス感染 : Exploit.HTML.Mht
C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\TJ0IP2PR\new[4].htm = ウイルス感染 : Exploit.HTML.Mht
が検出されたのでこれらを削除したいのです。All Usersフォルダの下層のTemporary Internet Filesフォルダには
Content.IEフォルダが表示されるのですが、ユーザー名の下層フォルダのTemporary Internet Filesのフォルダには
\Content.IE5\TJ0IP2PR
といったフォルダ構造が表示されないのです。アクセス方法ご存知のかた、検索ワードで構いませんので何卒よろしくお願いします。
541名無しさん@お腹いっぱい。:2006/08/06(日) 11:02:47
IEの「一時ファイルの消去」をすれば良いだけ。

  それとな、急いでいてもルールには従う・代理質問禁止 は2chの鉄則な。
542名無しさん@お腹いっぱい。:2006/08/06(日) 11:23:38
この人は知り合いのPCの問題じゃ無い気がする・・・
543名無しさん@お腹いっぱい。:2006/08/06(日) 11:24:43
>>541さん
ルール違反申し訳ないです。にもかかわらず、素早く的確な回答をありがとうございます。ご慈悲に深く感謝するとともに以後注意します。失礼いたしました。
544名無しさん@お腹いっぱい。:2006/08/06(日) 11:27:30
>>542さん
あ、私個人が使用してるOSはWin98なのですが、98だとちゃんとアクセスできるので、私は
直にフォルダを覗いて削除をしたりしてましたもので…。

いずれにせよ、失礼しました。
545名無しさん@お腹いっぱい。:2006/08/06(日) 11:51:26
>>535
ウィルスバスタも山田チェッカーの奴反応するよ
546名無しさん@お腹いっぱい。:2006/08/06(日) 12:04:23
>>522
なるほど、そうですね。
宇治さんてそんな怖いのか・・・ぐぐってみよう

>>530

んじゃ、downloderが入っていたのはやっぱ>>516を踏んだからなのかな?
いつからあったのかと思ってガクブルだったけど何ともない・・・のかな・・・?
はぁ、ウイルス仕込まれたりすると苦しいですね。
念のため、もう一度トレンドマイクロとシマンテック両方スキャンかけてます・・・。
547名無しさん@お腹いっぱい。:2006/08/06(日) 12:07:34
>>538 >>545
それオンラインスキャンでも対応しますよね?
なぜか反応しない
548名無しさん@お腹いっぱい。:2006/08/06(日) 12:25:27
>>547
反応するよ。
態々落としてきて実験したもの。
PC上のバスターとオンラインの両方反応したよ
549名無しさん@お腹いっぱい。:2006/08/06(日) 12:33:32
昨日vipのスレでzipファイルをダウンロードしたのですが、
vipperがそれはウィルスだのウィルスじゃないだの言っていて、
不安になり、マカフィーとトレンド(?)みたいな無償オンラインスキャンをしたところ
両方何も検出されませんでした。ファイルは1メガほどの画像ファイルでした。
全く無知なのにvipに行ったくせに不安になって皆さんの迷惑になってしまうのもわかるのですが、
不安で。昨夜はランのカードを抜いて寝ました。
どなたかおしえてください。私は平気なのでしょうか?
550名無しさん@お腹いっぱい。:2006/08/06(日) 12:38:21
んで 結局>>15のIzhはなんなん?
山田チェッカーって言われているものなのかな
551名無しさん@お腹いっぱい。:2006/08/06(日) 12:43:27
>>550
そそ、山田ウィルスチェッカー.exeの方のウィルス
552名無しさん@お腹いっぱい。:2006/08/06(日) 12:59:14
>>551
ありがとう。
なんか踏んでるし
不安になったからノートン先生でスキャンしてみます。
検出されなかったら平気かなー対応してると良いですけど
553名無しさん@お腹いっぱい。:2006/08/06(日) 14:11:40
MD5: 0008225f254b57845bf91736d3b8852b
こいつはバスタ反応しねえな
また送ったる
554名無しさん@お腹いっぱい。:2006/08/06(日) 14:44:20
パターンファイルをアンチウィルスベンダーで
共有化とかしたらどうなるんだろ
555名無しさん@お腹いっぱい。:2006/08/06(日) 16:13:36
>>548 反応しなかったのが昨日だったからダメだったのかな?
とりあえずカスペルスキー入れて駆除成功
本当に今週は山田チェッカーウイルス.exeに苦しめられた
556名無しさん@お腹いっぱい。:2006/08/06(日) 16:16:04
ダウソ板のウイルス解析スレがなくなってるよな
3月4月の騒ぎの時は大変お世話になったものだが
今は駆除できず飼い殺しにしてるウイルスが一匹

nyはどうせ落とすものもないし使ってない
557名無しさん@お腹いっぱい。:2006/08/06(日) 16:24:52
ttp://sakuratan.ddo.jp/uploader/source/date19252.exe

このファイルを実行したらそのファイルが消えました。
拡張子はexeなのに表示はjpgファイルです。
もしかして・・・ウイルス?
558名無しさん@お腹いっぱい。:2006/08/06(日) 16:48:11
>>557
通報した
559名無しさん@お腹いっぱい。:2006/08/06(日) 16:51:13
>>557 残念ながらexe
またvipだと
560名無しさん@お腹いっぱい。:2006/08/06(日) 16:53:12
561557:2006/08/06(日) 17:14:00
>>560
対処法は・・・ないですかね。
ありがとうございました
562名無しさん@お腹いっぱい。:2006/08/06(日) 17:17:20
RegSe(ry
563名無しさん@お腹いっぱい。:2006/08/06(日) 17:26:04
>>562 それはアカンw

>>561
気休め程度で恐縮だが、Kasperskyのオンラインスキャナで検出は出来た

しかし>>557のexeは何の意図があってパッカーかましてんのかな
ノートン先生もupxには弱いから困る('A`)
564名無しさん@お腹いっぱい。:2006/08/06(日) 17:32:31
549です。僕にレスが無いのはあまりに無知すぎるからでしょうか?
それとも文体が釣りっぽいからでしょうか?
質問をしておいて回答をせがむのが失礼なのは承知しておりますが、
そのような誤解を招いてしまったならばと心配になってしまい、再び書き込ませていただきました。
どなたか回答をお願いします。感染の可能性はあるのでしょうか?
565名無しさん@お腹いっぱい。:2006/08/06(日) 17:42:36
>>564
釣りっぽいというか、釣りそのものじゃん

本気で相談する気あるなら>>1
566名無しさん@お腹いっぱい。:2006/08/06(日) 17:47:45
>>549
その2社で検査しても問題ないなら、これ以上不安を煽ってもしょうがないかと。
1メガを超える画像ファイルとしてウイルスじゃないなら大きいサイズの画像が表示されるし、
ウイルスなら脆弱性をついて何か入り込んでくるし。
WindowsUpdateちゃんとしてれば被害はないはずだが、これに懲りたらしばらくvipは見るな
567名無しさん@お腹いっぱい。:2006/08/06(日) 17:50:21
>>565
申し訳ありません。
【使用OS】 windows XP
【WindowsUpdateしてるか】 しています
【AntiVirusは何を使っているか】 ノートン
【ちゃんとUpdateしてるか】 期限が切れています
【スキャンした結果(ウイルス名・発見場所)】
【別のオンラインスキャンしたならその結果は】
トレンドマイクロ、マカフィーともに見つかりませんでした。
【症状を具体的に、分かる限りすべて書く】 特に出ておりません
【何をしたらそんなことになったのか】
vipでzipファイルをダウンロードしました。1メガほどでした。
【これまでにとった措置】 オンラインスキャン
【その他の質問】ございません
568名無しさん@お腹いっぱい。:2006/08/06(日) 17:53:56
>>566
丁寧な回答とご忠告ありがとうございます。
ファイルは20枚ほどの画像が入ったものでした。
懲りましたのでこれ以降はご忠告通りvipには近づかないようにいたします。
本当にありがとうございました。
569名無しさん@お腹いっぱい。:2006/08/06(日) 18:08:25
>>568
とりあえずカスペルスキー買っておきなさい。
日本カスペルスキー・ラボ
http://www.kaspersky.co.jp/
570名無しさん@お腹いっぱい。:2006/08/06(日) 18:53:48
>>569
なかなか評判のいいソフトのようですね。
検討してみます。ありがとうございます。
571名無しさん@お腹いっぱい。:2006/08/06(日) 19:04:52
>>570
そのzipの中身 キモチノカタチっていうやつじゃない?

572名無しさん@お腹いっぱい。:2006/08/06(日) 19:56:07
MD5: 01e79818465edbac3b14e5c9e30b68af
こいつもバスタ反応しねえな
またまた送ったる
573名無しさん@お腹いっぱい。:2006/08/06(日) 20:04:49
>>557
ノートン8月4日付の定義ファイルで無反応
検体送りますかね・・・
574名無しさん@お腹いっぱい。:2006/08/06(日) 20:07:19
>>1もろくに読めない屑が増えたな
575名無しさん@お腹いっぱい。:2006/08/06(日) 20:38:54
>>557
virustotal持ってたら結構対応してるとこ多いジャマイカ

McAfee
Norton
バスターどれも対応してない(´・ω・`)
576名無しさん@お腹いっぱい。:2006/08/06(日) 21:18:29
>>575
よかったらvirustotalのリストあげてくださいな(´・ω・`)
怖くて入手もしてないので。
577名無しさん@お腹いっぱい。:2006/08/06(日) 21:41:43
>>576
俺は>>575ではないが
http://up.mugitya.com/img/Lv.1_up48216.jpg

Antivir AVG ewidoあたりも対応してんのにな…

578名無しさん@お腹いっぱい。:2006/08/06(日) 21:41:56
>>576
AntiVir: HEUR/Dropper
Authentium: Possibly a new variant of W32/Threat-Backdoor-Silly-based!Maximus
AVG: BackDoor.Generic3.ETW
DrWeb: BackDoor.Xepher
Ewido: Backdoor.Delf.arr
Fortinet: W32/Delf.ARR!tr.bdr
F-Prot: Possibly a new variant of W32/Threat-Backdoor-Silly-based!Maximus
F-Prot4: W32/Threat-Backdoor-Silly-based!Maximus
Kaspersky: Backdoor.Win32.Delf.arr
NOD32v2: Win32/Delf.ARR
Panda: Suspicious file
UNA: Backdoor.Delf
VBA32: Backdoor.Win32.Delf.arr

以下検出せず
Avast
BitDefender
CAT-QuickHeal
ClamAV
eTrust-InoculateIT
eTrust-Vet
Ikarus
McAfee
Microsoft
Norman
Sophos
Symantec
TheHacker
VirusBuste
579名無しさん@お腹いっぱい。:2006/08/06(日) 21:42:37
一足遅かったか・・
580名無しさん@お腹いっぱい。:2006/08/06(日) 21:46:50
>577、578
ありがとう。バスター主に使ってますが、最近サブ機で使ってる
AntiVirの方が信頼を置けるようになってきますた。


581名無しさん@お腹いっぱい。:2006/08/06(日) 22:55:51

avast検体送付お願いします…
582名無しさん@お腹いっぱい。:2006/08/06(日) 22:56:20
>>571
570です。遅い返答ですみません。
そのようなファイルではなかったと思います。
583571:2006/08/06(日) 23:05:09
>>582
ok 把握
俺が落としたやつはそれで.jpgが20ぐらいあって
そのうちひとつが.jpg       .exeだった
バスターは華麗にスルーした
584名無しさん@お腹いっぱい。:2006/08/06(日) 23:16:50
P2P関連はダウンロード板とのことですが、まともに機能してないのでこちらで。
いろいろ亜種のあるANTINNYですが、一度に複数のANTINNYに感染した場合、
win.iniには、やはり「ぬるぽ」や「殺人」はそれぞれ追加されますか?
585名無しさん@お腹いっぱい。:2006/08/06(日) 23:17:33
>>583
ごめんなさい。無知な上に読解力も無くて。
つまり、それというのはキモチノカタチとやらで、>>583様が心配してくださったような危険な状態に僕はないと言う意味でしょうか?
セキュリティ以前の質問でほんとに申し訳ありません。
586名無しさん@お腹いっぱい。:2006/08/06(日) 23:19:51
p://free.gikoneko.net/up/source/up120265.exe
のファイルを誤って保存してしまい即削除したんですが対処は
合っていたのでしょうか?このようなものは保存しただけでも勝手に
感染されてしまうものなのでしょうか?
バスター2006でのスキャンでは異常なしだったのですが・・・。
【使用OS】 XP SP2
【WindowsUpdateしてるか】 しています
【AntiVirusは何を使っているか】 バスター2006
【ちゃんとUpdateしてるか】 しています
【スキャンした結果(ウイルス名・発見場所)】 なし
【別のオンラインスキャンしたならその結果は】 なし
【症状を具体的に、分かる限りすべて書く】 今調べています
【これまでにとった措置】 該当ファイルの削除とウイルススキャン
587名無しさん@お腹いっぱい。:2006/08/06(日) 23:26:07
すみません質問させてください。
鯖をあげたりしてないのですが、ポート80が開放されてると出るんですけど
これはやっぱりウイルスでしょうか・・?
588名無しさん@お腹いっぱい。:2006/08/06(日) 23:29:25
ポート80ってhttpじゃないか?
589名無しさん@お腹いっぱい。:2006/08/06(日) 23:31:17
はい。httpです。
httpは鯖あげたりしてない場合は閉じてるものではないのですか?
なにぶん初心者なのものですみません。
590名無しさん@お腹いっぱい。:2006/08/06(日) 23:32:42
>>571
tp://up.viploader.net/src/viploader38355.zip.html

これ、あるスレで鑑定してもらったところAVGではTrojan horse Generic.YRK
と出たそうですが、当方avast!では華麗にスルーされました。
ウイルスバスターのオンラインチェックでも検出されず。

どうやら友人が感染してしまった模様。きんたまの亜種だと思うので
それにのっとってレジストリ操作すると発病は止まったようだ。
591名無しさん@お腹いっぱい。:2006/08/06(日) 23:33:33
>>586
実行していなければ問題無し
というか、バスター対応しているから落とした時点で隔離行きになるはず
592名無しさん@お腹いっぱい。:2006/08/06(日) 23:35:22
>>589
そのあいてるってメッセージは何が出してるのさ
あいてるのはローカル側?
593名無しさん@お腹いっぱい。:2006/08/06(日) 23:36:36
>>585
俺が落としたのはviploader38355.zipつうやつ
それを解凍するとキモチノカタチという名前のフォルダがでてくる
そのなかに.jpgが20ファイルぐらいあってそのなかに.jpg.exe つまり未知のあやしいプログラムファイルがあったってこと
virus totalでスキャンしたら亀田の亜種のようだった

お宅が何をおとしたのかわからんから何ともいいようがないが亀田亜種ならカスペルスキーが対応してるはず
http://www.kaspersky.co.jp/scanforvirus/
ここでスキャンしてなにもでなきゃ少なくとも亀田に感染してる可能性は低い





594名無しさん@お腹いっぱい。:2006/08/06(日) 23:39:19
>>590
なんかURL違うような気がしますが。とりあえず僕のパソコンでは問題は起きてないんですよ。
僕がびびりすぎなのかもしれません。そうであってほしいです。
595名無しさん@お腹いっぱい。:2006/08/06(日) 23:39:24
>591
対応との事で改めスキャンしても異常なしだったのでOKそうですね。
素早いレスありがとうございました。
596571 593:2006/08/06(日) 23:40:07
>>590
まさに俺が落としたのはそれ
バスターもノートンも対応してない
バスターには送っといたけど
597名無しさん@お腹いっぱい。:2006/08/06(日) 23:43:40
>>593
そのような名前のフォルダは無かったとほぼ確信できます。
フォルダが4つあり、全てプレビュー形式になっていたと思います。
何を伝えたら良いのかわからなくてごちゃごちゃした情報ばかりで申し訳ありません。
598名無しさん@お腹いっぱい。:2006/08/06(日) 23:43:50
>>592さん
Σr(‘Д‘n)!?す、すみません。
netstat -ano
で確認したら80があって感染してしまったと慌ててウイルススキャンをしてみても出てこず
もういちど見たらLocal Addressの方ではなく、Foreign Addressの方でした。
Foreign Addressには80であっても問題ないんですよね?
だとしたら申し訳ないです。。ごめんなさい。。
599名無しさん@お腹いっぱい。:2006/08/07(月) 00:00:37
>>590
BitDefenderはBackdoor.Delf.SSとして検出されるよ。
600名無しさん@お腹いっぱい。:2006/08/07(月) 00:09:33
http://ex16.2ch.net/test/read.cgi/news4vip/1154870808/10

のリンクを間違って踏んだのですが
直後にノートンが連続して反応して
HDDもカリカリいってたので再起動しました。

初心者なので詳しくわかりませんがこれはどんなものでしょうか?
対象法もあればお願いします
601596:2006/08/07(月) 00:13:15
>>596間違い
ノートンは対応してる
virustotalで確認
602名無しさん@お腹いっぱい。:2006/08/07(月) 00:14:47
【使用OS】XP SP2
【WindowsUpdateしてるか】してます。
【AntiVirusは何を使っているか】バスター2006
【ちゃんとUpdateしてるか】してます。
【スキャンした結果(ウイルス名・発見場所)】TSPY_SUFIAGE.G  隔離できませんでしたとログに表示されてます。
【別のオンラインスキャンしたならその結果は】バスター以外してません。
【症状を具体的に、分かる限りすべて書く】今の所は不具合は無いのですが・・
【何をしたらそんなことになったのか】偽山田チェッカーexeを踏みました。
【これまでにとった措置】
バスターで検出、二つのウイルス判定が出て、一つは隔離しましたと出ます。このようにログに表示されてます→(ウイルス‐‐‐C\Docu..)もう一つは隔離できませんでしたと表示されました。*隔離されてない方は TSPY_SUFIAGE.G
同時に感染した可能性が高いです。同時に検出された二つの内の(ウイルス‐‐‐C\Docu..)これは隔離されて、もう一つの方(TSPY_SUFIAGE.G)は隔離も駆除もできなかったと表示されています。(ログに残ってる)


【その他の質問】
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FSUFIAGE%2EG&VSect=Sn
で、レジストリの修正、削除を試みたんですが、削除すべき値(SVCHOST)が見つかりません。
修正すべき DisableTaskMgr も見つからないし・・

DisableTaskMgr、SVCHOST自体が見つかりません。

初めての感染ですから、さっぱり分かりません。これは処理がきちんと終わってると見てもいいのでしょうか?

尚、今はスキャンしてもウイルスは検出されない状態ではありますが、心配です。(自分としてはなんの処置も施してないのに
検出されなくなってる)

これはウイルスが隔離されたと見ても良いのでしょうか?誰かお願いします。
603名無しさん@お腹いっぱい。:2006/08/07(月) 00:31:08
>>602
紛らわしい表記だが、ちゃんと検出できて隔離も出来ていると考えていい
バスターではよくある

というか、踏んだURLやウイルス検知したフォルダパスは
必要な情報なのできっちり書いてくれ
604名無しさん@お腹いっぱい。:2006/08/07(月) 00:44:08
>>602とりあえず、マイピクチャ見ろ。
605名無しさん@お腹いっぱい。:2006/08/07(月) 00:47:15
フォルダに偽装したウィルスが出回っています。
注意しましょう。みたいなメッセージ見たんだろw
606602:2006/08/07(月) 00:53:36
踏んだURLは正確には覚えてないんです。スイマセンm( __ __ )m
隔離したフォルダはバスターのログには(ウイルス‐‐‐C\Docu..)としか表示されてません。
隔離したフォルダパスも正確に記憶してません。知識も無かったし、なにぶん焦ってましたから(゜-゜)
(今回の感染で色々勉強させて貰いました。それまではフォルダパス自体知らなかったですから・・)

とにかく隔離されたと見ても大丈夫ですよね。(安易な考えですが・・)
少し安心しました。

僕の無知で分かりづらい説明の中で回答を下さって有難うございました。


607名無しさん@お腹いっぱい。:2006/08/07(月) 00:54:16
>>602

タスクマネージャは起動できる?
起動できるんだったらDisableTaskMgrは問題なし

SVCHOSTは自動起動設定する為のものだが
そもそもTSPY_SUFIAGE.GはSVCHOST.EXEファイルの作成じたいされないんだから
そのままでも問題なし

ウイルスに感染してもレジストリの変更がなされないケースもままある
608名無しさん@お腹いっぱい。:2006/08/07(月) 01:07:42
>>606
バスターのログはファイル出力するとフルパスわかる
ログ画面にファイル出力の項目があるからファイルの種類をtxt形式を選んで出力してみるといい
609602:2006/08/07(月) 01:18:40
>>607
タスクマネージャーは起動できます。(何回も確認しました。SVCHOST.EXEが自分のコンピューター名で動いてないか何回もチェックしました。大丈夫でした。)

>ウイルスに感染してもレジストリの変更がなされないケースもままある

よく分かりませんが、これって個人情報とか漏洩されてないのでしょうか?
レジストリが変更、追加されてないって事は感染活動は失敗に終わったとみてもよろしいのでしょうか?





610名無しさん@お腹いっぱい。:2006/08/07(月) 01:22:09
消すもの消してシステムの復元
611607:2006/08/07(月) 01:25:04
>>609
はっきりいえることはレジストリの変更はなかったということだけ
その他の挙動については判断できない
612602:2006/08/07(月) 01:38:25
>>608
試してみましたが、隔離したファイルを「名前をつけて保存」と出るので、ちょっと躊躇ってます。

>>611
やはり確実なのはクリーンインストールするのが一番かもしれませんね。
トホホ。。時間が掛かるから苦手なんですよね。それにバスターの設定や今までインストールしたソフトを入れ直さなくてはいけないし・・

ハー、ついてないな
613名無しさん@お腹いっぱい。:2006/08/07(月) 02:25:45
2Cを見ていたらVBS.FreeLinkに感染しましたという警告が出ました。
これは危険なんでしょうか?どうしたらいいんですか?
614名無しさん@お腹いっぱい。:2006/08/07(月) 02:26:55
やっぱカスペルスキーでオンラインスキャンだろ
自分も山田ウィルスチェッカー.exeに不覚にも感染したとき一番対応が早かったのがカスペ
だと思う
実際駆除のために体験版いれたし
615607:2006/08/07(月) 07:15:20
>>612
駆除は完了してると思う
個人情報がうpされたかどうかはわからないということ
616名無しさん@お腹いっぱい。:2006/08/07(月) 07:53:33
すでにウイルスバスター2005(プリインストール)が入ってるんですが
山田ウィルス駆除のためにカスペルスキーの体験版をダウンロード
して使用しても大丈夫でしょうか?
不具合を起こしたりしないでしょうか?
617名無しさん@お腹いっぱい。:2006/08/07(月) 08:04:38
>>616
カスペルスキーだけいれるべし。
618名無しさん@お腹いっぱい。:2006/08/07(月) 08:25:06
>>598
問題ない、以上
619名無しさん@お腹いっぱい。:2006/08/07(月) 08:43:41
亀田ウイルス感染者のデスクトップ
http://black-coffe.ddo.jp/kameda/photo.cgi
620557:2006/08/07(月) 09:20:46
>>578
今Antivirでウイルスチェックしています
HEUR/Dropperというウイルスが見つかればいいんですね
ありがとうございます
621557:2006/08/07(月) 10:09:07
HEUR/Dropperは検出されませんでした。。。
622名無しさん@お腹いっぱい。:2006/08/07(月) 10:21:05
>>557
最新定義で全ファイルスキャンした?
最終的にはカスペルスキーオンラインスキャンで締め。
623名無しさん@お腹いっぱい。:2006/08/07(月) 10:51:44
【使用OS】XP SP2
【WindowsUpdateしてるか】してます。
【AntiVirusは何を使っているか】バスター2006
【ちゃんとUpdateしてるか】してます。
【スキャンした結果(ウイルス名・発見場所)】検索してもひっかかりませんでした。
【別のオンラインスキャンしたならその結果は】カスペルスキーでオンラインスキャンしてもひっかかりませんでした。
【症状を具体的に、分かる限りすべて書く】WINDOOWS: SVCHOSTに問題が発生したと表示され、マイピクチャに苺re−birthの
デスクトップをとった画像が現れます。
【何をしたらそんなことになったのか】不用意に.exeをふんで、亀田ウィルス?とやらにかかったようです。
【これまでにとった措置】
タスクマネージャーで見てみたら、ユーザー名でWINDOOWS: SVCHOST.exeとやらが動いてました。
あと、まとめページにあったレジストリでのRunOnceEx〜を削除しようとしたのですが、発見できませんでした。
はじめてこういったウィルスにかかったので、不安なんですがなにか駆除する方法はないのでしょうか?
624名無しさん@お腹いっぱい。:2006/08/07(月) 11:53:55
>>623
決定的な対策にはならないけど
ファイル名を指定して実行に"notepad %windir%:SVCHOST.exe"と入力して実行
ついでに後でウィルスを検出出来るようになった時のために、開いたテキストにeicar.com.txtの文字列を貼り付けて保存する。
これでとりあえずは無害になる。
後はレジストリ内の記載を削除する。
625前スレ306.308.628:2006/08/07(月) 11:55:47
今月も前スレの状況が再現した

三ヵ月連続で第一月曜日に発生
これはウィルスでは無くタスクの実行かなにかなのかな
覚えはないが…
もしそうなら我ながら阿呆臭いなw
626名無しさん@お腹いっぱい。:2006/08/07(月) 12:07:04
OSのクリインストールしてみても出るのか?
627名無しさん@お腹いっぱい。:2006/08/07(月) 12:50:13
アンチウイルス欺けるのかよ!?
628名無しさん@お腹いっぱい。:2006/08/07(月) 12:50:57
ファイル名を指定して実行に"notepad %windir%:SVCHOST.exe"と入力して実行
これでファイルがありませんと言われないで、WINDOWS:SVCHOST.exeのファイルが開くやつらは感染しているからな!
ベンダーもこの事実に気が付いていない。
629名無しさん@お腹いっぱい。:2006/08/07(月) 12:55:14
>>625
おそらく感染してる。原因を自力で突き止められないならクリーンインスコ汁。
630557:2006/08/07(月) 12:58:07
date19252.exeを踏んでからパソコンを起動する度に
ttp://www.uploda.org/uporg472404.jpg
が表示されるようになりました。もちろんキャンセルしてます。
ウイルスかと思いノートンでシステム完全スキャンすると
ttp://www.uploda.org/uporg472405.jpg
と表示。だけど削除はできないとの事で放置。
AntiVir、Spybotでこのファイルを調べても無反応でした。
カスペルスキーでファイルをオンラインスキャンしてみたところ
ttp://www.uploda.org/uporg472413.jpg
との結果。

どうしたらいいでしょうか?
631名無しさん@お腹いっぱい。:2006/08/07(月) 12:59:32
>>623
1.EICARテスト試す。
2.LANからスキャン。
632名無しさん@お腹いっぱい。:2006/08/07(月) 13:05:30
>>627
VM Based Rootkitやeeye BootRootでぐぐってみろ。
各種セキュリティ製品もWindowns上で走っているんだからWindows上以外でプログラム走らせればWindows上で走っているプログラムでは検出は出来ないだろ

BootRootなんかはブートセクションベースでNTカーネルを書き換えられるからおもしろい。
機能的にはバックドアしかないから実用的ではないけどソースコードもある。
633名無しさん@お腹いっぱい。:2006/08/07(月) 13:12:46
>>630
正しいOSのシステムファイル名はservices.exeだよ
騙されているぞ
634631:2006/08/07(月) 13:14:36
>>557
なぜLANからかというと、感染したメモリの影響を受けないから。
別のPCから、対応してるアンチウイルスでスキャン。ただ、
AntiVirはLAN経由のスキャンはできないはず。
635名無しさん@お腹いっぱい。:2006/08/07(月) 13:15:40
>>630
タスクマネージャから起動中になっているservice.exeを強制終了させればいいじゃない
頭使えよ!
636名無しさん@お腹いっぱい。:2006/08/07(月) 13:16:21
637名無しさん@お腹いっぱい。:2006/08/07(月) 13:20:35
>>557
間違いなく.exeファイルだから
表示される絵を偽装してるの
638名無しさん@お腹いっぱい。:2006/08/07(月) 13:35:57
>>633
そのようでした。

>>636
直接右クリックから削除しました。ありがとうございます

>>637
怪しいと思いながらも興味本位でダブルクリックしてしまいました。
どうみてもexeです。本当にありがとうございました。
まったりノートンの定義ファイルが更新されるのを待ちながらサブ機でROMしてます。
639名無しさん@お腹いっぱい。:2006/08/07(月) 13:39:36
ウィルスバスター2006を使ってて、リアルタイム検索で
TSPY AGENT.DOLとTSPY AGENT.DOMの2つが見つかったのですが、
手動で削除しろと言われて削除しようとしてるのですが、削除できません・・・

どうやって削除すれば良いのでしょうか?
640名無しさん@お腹いっぱい。:2006/08/07(月) 13:58:36
>>639
セーフムード
641名無しさん@お腹いっぱい。:2006/08/07(月) 13:59:07
>>340
セーフムードとは何でしょうか?
642名無しさん@お腹いっぱい。:2006/08/07(月) 14:08:08
「俺は安全なシャイボーイだよ」と装って女を騙すこと
643名無しさん@お腹いっぱい。:2006/08/07(月) 14:08:50
欲情しない事
644557:2006/08/07(月) 14:17:51
>>622
カスペルスキーオンラインスキャンで何の反応も無ければ問題はないんでしょうか?
645名無しさん@お腹いっぱい。:2006/08/07(月) 14:18:41
だけど時には思い切った行動をとらないと進展しなんだな、これが
646名無しさん@お腹いっぱい。:2006/08/07(月) 14:37:10
>>644
今までの経緯と情況を整理して書いてくれ。
647名無しさん@お腹いっぱい。:2006/08/07(月) 14:58:17
>>644
>>577
  ↓
AntiVir、Spybot、Nortonでウイルスチェックして対処。AntiVirで削除できなかったのが1個あったが無視
  ↓
カスペルスキーオンラインスキャン(いまここ)
スキャン8% 見つかったウイルス4
         感染したオブジェクト9
疑わしいオブジェクト39

ネット繋いでるのも怖い
648名無しさん@お腹いっぱい。:2006/08/07(月) 14:58:54
>>642
ようするに、これはウィルスじゃないので消さなくてもokってことですか?
649名無しさん@お腹いっぱい。:2006/08/07(月) 15:13:15
644=647?
650名無しさん@お腹いっぱい。:2006/08/07(月) 16:03:17
どなたか>>639わかりませんか?
削除しなくちゃいけないやつなんでしょうか・・・
651名無しさん@お腹いっぱい。:2006/08/07(月) 16:34:41
そのウイルス名でググって調べてみたら?
あと、セーフモードでも消せないの?
652名無しさん@お腹いっぱい。:2006/08/07(月) 16:44:57
仁義なき涼宮ハルヒとかいう.scrのファイルを開いてしまいました。
そしたらフォルダ内のファイルが、〜.exeに書き換えられてしまいました。
.scrと書き換えられた.exeのファイルを削除しました。
あとは何をすればいいのでしょうか?
ホント心配です。
653名無しさん@お腹いっぱい。:2006/08/07(月) 16:47:50
引っ掛かったのが納得いく
脳足りんばっかり・・・
654639:2006/08/07(月) 16:48:52
ウィルス名でググったのですが、どういうウィルスとかでてこなかったんですよ・・
変なサイトばっかりヒットしてたので・・・

後、セーフモードってのはウィルスバスターについてるやつでしょうか?
655名無しさん@お腹いっぱい。:2006/08/07(月) 16:49:47
ここは初心者の質問スレですか?
656名無しさん@お腹いっぱい。:2006/08/07(月) 16:50:39
おう夏だぜ
657名無しさん@お腹いっぱい。:2006/08/07(月) 16:58:58
>>652
原田は数十種の亜種があるからその情報だけでは不明
ちなみに作成されるexeやらscrはただのbmpだから無問題だ。
作成されたファイルの名前がわかればいつ頃の原田かは大体わかるんだがね。
ただハルヒってことは新しいやつかも・・・つまりはキンタマ機能つきの。
658557:2006/08/07(月) 17:01:45
カスペルスキーで見つかったウイルスは全て手動で削除して大丈夫と思われますか?
659名無しさん@お腹いっぱい。:2006/08/07(月) 17:11:15
>>557
647はアンタかい?わかりにくいったらありゃしない。
660652:2006/08/07(月) 17:22:46
キンタマ機能って具体的にどんな機能でしょうか?
661557:2006/08/07(月) 17:24:59
>>647の訂正
これまでの経緯
VIPにてttp://sakuratan.ddo.jp/uploader/source/date19252.exeを踏む
                    中略
カスペルスキーオンラインスキャンをしてみたところBackdoor.Win32.Delf.arrを4つ検出。

質問:Backdoor.Win32.Delf.arrの駆除方法は手動削除でよいでしょうか?
もしだめならどうすればいいですか?
662名無しさん@お腹いっぱい。:2006/08/07(月) 17:29:18
このウィルス踏んでしまいました
実害あるのでしょうか?
ttp://up2.viploader.net/pic/src/viploader255126.jpg
663名無しさん@お腹いっぱい。:2006/08/07(月) 17:33:05
>>660
P2Pやってんだからそれくらいは把握しとけよ・・・
とりあえず確認されてるのはマイドキュメントがかっさらわれて転送されたあとny上に放流されると。
実行して通信遮断してないならSSなりマイドキュメントなりは流出してると考えていいよ。

ここで自分の症状に近いもん確認しなよ
シマンテックが原田ウィルスを警告!
http://tmp6.2ch.net/test/read.cgi/download/1151035702/
664652:2006/08/07(月) 17:45:15
流出は止められるんですか?
ちなみにマイドキュメントの中はPC買ってから弄ってないので
ほとんど何も入ってませんでした。(不幸中の幸い??)
あと、書き換えが始まって半分くらい書き換えられたときに
ヤバイと思って、コンセント抜いて
もう一度PCを起動してscrとexeを削除しました。
これは通信遮断になったんですかね?
あと、SSてスクリーンショットでいいんですよね?
それってscrを開いた瞬間に取られたやつですか?
質問多くてすいません。
上記で最後の質問です。
665名無しさん@お腹いっぱい。:2006/08/07(月) 18:19:49
>>664
一応言っとくけどそのファイルにキンタマ機能付いてるかは知らんよ
その説明だけでは通信遮断されたかどうかは不明。
ただ既に実行された段階で引っこ抜いても遅い気が・・・
FWで止めたり出来なかった?

そう。scr実行した瞬間に撮られたやつ。
もし送信されてたら週刊少年ハラダってファイルに固められてny上に放流される。
そうなったら感染者の側では流出は止められない

PC内に大したファイルが入っていないなら再インスコしてもいいだろうけど、
ハラダはいろいろ削除してもシステムを書き換えたりってのはあんまり聞かないから、
その.scrが今も動いたりしてない限りは問題ないんじゃないかな。
ただ亜種が多すぎて断言はできないんだけどね・・・
666623:2006/08/07(月) 18:40:37
>>624
"notepad %windir%:SVCHOST.exe"と入力して実行 して
eicar.com.txtを貼り付けて保存しようとしたのですが、
メモリ不足のため保存できません。とでて保存できません。
また、名前をつけて保存しようとしてもコモンダイアログエラーとでて保存できません。
どうすればよいのでしょうか?
667639:2006/08/07(月) 18:44:55
TSPY_AGENT.DOLとTSPY_AGENT.DOM
この2つのウィルスはググっても出てこないのですけど・・・
対処法がわかりません・・・教えてください・・・お願いします
668名無しさん@お腹いっぱい。:2006/08/07(月) 18:53:31
>>666
ウィルス対策ソフトを無効にした?
俺の環境では上書き保存出来るよ
保存したらもう一度対策ソフトを実行させてから
"notepad %windir%:SVCHOST.exe"を実行する
上手くいけばファイルを削除してくれるはず
それと、タスクマネージャで変なプロセスが実行されていないかな?
実行されているようなら強制終了させる
669名無しさん@お腹いっぱい。:2006/08/07(月) 18:57:56
>>666
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SVCHOST : C:\WINDOWS:SVCHOST.exe
少なくともレジストリからこの値は削除してから再起動しようよ
670652:2006/08/07(月) 19:03:37
>>665
SS取る理由てなんですかね?
別にSSくらいなら問題ないですよね。
…いろいろ有難う御座いました!
671名無しさん@お腹いっぱい。:2006/08/07(月) 19:08:24
まぁ所詮デスクトップの画像だもんなー
クレカの番号とかの個人情報さわってる時のならマズイかもしれないレベルだもんな
672名無しさん@お腹いっぱい。:2006/08/07(月) 19:08:26
>>667
バスターのウイルスログ嫁
そこにフルパスかいてあるからtxt出力してそこまで行って削除
多分インターネット一時ファイルだろうから
ネットに接続してツール→インターネットオプション→インターネット一時ファイル→ファイル削除で消えると思うが
673名無しさん@お腹いっぱい。:2006/08/07(月) 19:11:01
すみません、>>662のウイルスについても誰か詳しい方お願いします。
亀田スレに貼られていたものです。トロイなんでしょうか?
674名無しさん@お腹いっぱい。:2006/08/07(月) 19:12:51
このスレのjpgアドレスを検索してね
675名無しさん@お腹いっぱい。:2006/08/07(月) 19:16:25
>>674
やはり>>513あたりと同様と考えて良いのでしょうか?
676名無しさん@お腹いっぱい。:2006/08/07(月) 19:18:32
というか同じものだよ。

てかこのスレ暫く来ない間にすごい伸びるスレになってるね
677639:2006/08/07(月) 19:21:11
>>672
ありがとうございます。早速いってみます
678名無しさん@お腹いっぱい。:2006/08/07(月) 19:21:58
>>675
全然違うな
.jpgに見せかけたhtmlスクリプトだって気付けよ
勝手に何か窓を開いているだろうがよ
当然だがWindowsUpdateはしていないと何かをインストールされる
679639:2006/08/07(月) 19:22:39
>>672
すみません。そのウィルスはありません。とか全く情報がでてないのですけど・・・
680名無しさん@お腹いっぱい。:2006/08/07(月) 19:23:22
野戦病院みたい・・・。
681名無しさん@お腹いっぱい。:2006/08/07(月) 19:25:13
能無し専用のな
682名無しさん@お腹いっぱい。:2006/08/07(月) 19:26:38
病院で思い出したけど今日BJやってないね
683名無しさん@お腹いっぱい。:2006/08/07(月) 19:32:47
>>675
直リンするなボケが
684639:2006/08/07(月) 19:33:08
インターネットオプションからファイルの削除してもう1度スキャンしたら
まだウィルス消えてませんでした・・・
これどうなってるんでしょうか・・・
685名無しさん@お腹いっぱい。:2006/08/07(月) 19:34:21
やばそうなのを踏んだ。
カスペルスキー、シマンテック、トレンドマイクロ、Ad-Aware、Spybot
スキャンしてみた。
で、すべて感染0疑わしいもの0だった。
これ以上なにかやることありますか?
686666:2006/08/07(月) 19:35:37
>>668>>669
タスクマネージャーでWINDOOWS: SVCHOST.exeを終了させて
SVCHOST : C:\WINDOWS:SVCHOST.exe と
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run を削除したら
上書き保存できました。ありがとうございました。
687名無しさん@お腹いっぱい。:2006/08/07(月) 19:37:27
ヒント:format C
688672:2006/08/07(月) 19:39:18
>>684
もう一度言う
バスターのウイルスログ嫁
そこにフルパスかいてあるからtxt出力してそこまで行って削除
689名無しさん@お腹いっぱい。:2006/08/07(月) 19:45:57
>>668
横ですが、"notepad %windir%:SVCHOST.exe"を実行する
というのは具体的にどうなるのですか?
690名無しさん@お腹いっぱい。:2006/08/07(月) 19:49:38
>>689
メモ帳がそのファイルを開く
ファイルがなければ作りますか?と聞かれるがわざわざ削除不能になるファイルを作るやつもいまい
ファイルが存在すれば開かれるはずだ
ただしNTFS領域のみのようだ
FAT32領域だと構文エラーになる
691639:2006/08/07(月) 19:55:18
>>688
すみません。バスターのウイルスログってのはウイルスバスターのHPのやつでしょうか・・・

無知ですみません・・・
692名無しさん@お腹いっぱい。:2006/08/07(月) 19:58:24


2 名前:名無しさん@恐縮です[] 投稿日:2006/08/07(月) 16:56:12 ID:ksbS8cD20


亀田史郎氏の腕に凄い入れ墨が...。(右腕の上腕部にご注目)
http://up2.viploader.net/pic/src/viploader255126.jpg

亀親父のスレ見てたらこれ踏んじゃいました。
バスターは入れてありますが隔離した物と
隔離できなかったものと2つでてました。

そのまま削除すれは゛よいのでしょうか?
693名無しさん@お腹いっぱい。:2006/08/07(月) 20:03:08
>>691
メイン画面を起動→アップデート/その他の設定

これ以上の質問はバスタースレいくかテンプレ使うかしてくれ
694639:2006/08/07(月) 20:05:07
>>693
やっと理解できました・・・ありがとうございます。
これからやってみます
695名無しさん@お腹いっぱい。:2006/08/07(月) 20:07:07
惨たらしいほど無知だな
人の事言えんけど
696名無しさん@お腹いっぱい。:2006/08/07(月) 20:09:45
>>692
間違ってクリックしちまったじゃねーかチクショイ
でもavastが警告してくれた
一応しっかりと対策取ってくれたみたいだ
697639:2006/08/07(月) 20:20:58
とりあえずセーフモードにして
ウィルスに感染してると思われるファイル2つをゴミ箱に移したら、
リアルタイム検索から隔離のボタンが表示されるようになったので隔離しました。
これで一応安心で、大丈夫でしょうか?

後、このウィルスは昼間からずーっと感染してたみたいですが、被害ってわからないのでしょうか?
似たようなウィルスだとゲーム等の個人情報を盗むみたいな事書いてあったのですが・・・
698名無しさん@お腹いっぱい。:2006/08/07(月) 20:26:06
なんか、いい感じのを踏んだ。

WinXPSP2+IE7Beta3で警告バーも出ずに感染。IE6SP2も食われると思う。
ページはunicodeエンコされたJScript。
手動デコードの方法を知らんので具体的な手法は不明。

なんとか手動で隔離して検体洗ってるとこなんだが、
Jottiでの検知はDr.WEBとAntiVirとBitDefender。
KasperskyとNOD32はスルー。なかなか手ごわい。
んでこいつの正体は中国製のトロイのダウンローダで、
ネトゲ用のトロイを4つも落とす(RO、Lineage、Lineage2、あと1不明)。
んで全部実行された。

作成者かは知らんが少なくともコンポーネントは
中国のセキュリティチームXFocus所属のIcyfox作。

検体送るのを手伝ってくれる人いるならURI晒します
(回線AirEDGEだから辛い。それで回線塞がって気がついたんだけどね)。
699689:2006/08/07(月) 20:27:06
>690
ということは感染してなければ、エラーがでて開かれることはないんですね。
感染してれば、ウイルスのバイナリがテキストで開くんですね。
eicar.com.txtの貼付けはなぜですか?
700名無しさん@お腹いっぱい。:2006/08/07(月) 20:27:58
わーい
701名無しさん@お腹いっぱい。:2006/08/07(月) 20:29:38
>>697
確かにそのウイルスの詳細は書いてないな
隔離したウイルスを復元してシマンテックのオンラインスキャンでひっかかれば詳細書いてあるかもしれん
あとはトレンドマイクロに直接問い合わせるかだな
702名無しさん@お腹いっぱい。:2006/08/07(月) 20:33:12
>>698
中国製のトロイはrootkit入ってる場合があるぞ
桑原桑原
703名無しさん@お腹いっぱい。:2006/08/07(月) 20:34:41
【使用OS】 WindowsXP SP2
【WindowsUpdateしてるか】している
【AntiVirusは何を使っているか】 ウイルスバスター2006
【ちゃんとUpdateしてるか】 している
【スキャンした結果(ウイルス名・発見場所)】
 ウイルスは発見されず
【別のオンラインスキャンしたならその結果は】
シマンテックのオンラインスキャンでも発見されず
【症状を具体的に、分かる限りすべて書く】
アクセスしたらウインドウが開きフリーズ。その後異常はありません
【何をしたらそんなことになったのか】
ttp://up2.viploader.net/pic/src/viploader255126.jpgにアクセスした
【これまでにとった措置】
ウイルススキャン、該当ファイルの削除
【その他の質問】
ウイルススキャンをしてもウイルスは発見されませんでしたとでました。
このウイルスの症状と今後必要な処理をお願いします。
704639:2006/08/07(月) 20:35:09
>>701
やっぱり書いてなかったんですかぁ・・俺の調べ方が悪かったのじゃないんですね・・・
ウィルス復元とか怖いのでそのままゴミ箱にいれておきます・・・
2つ入れたのですけど隔離しますか?ってでたのは1つだけでもう1つは多分隔離せずにゴミ箱にあるんですけど
スキャンかけてもウィルス検索で出てこなかったので大丈夫だと思って良いですよね?
705名無しさん@お腹いっぱい。:2006/08/07(月) 20:38:45
>>698
はやく晒してください><
706名無しさん@お腹いっぱい。:2006/08/07(月) 20:41:52
>>704
レジストリいじられてて自動起動するなんてこともあるから大丈夫とはいえない
ゴミバコは空にしとけ ゴミバコに巣くうウイルスもある
ファイルの削除は shift+deleteでやったほうがいい




707名無しさん@お腹いっぱい。:2006/08/07(月) 20:43:18
>>702
バイナリはUPXなので解凍可能、
さらっと見たところトロイとしては典型的な手法ばっか
(アカウント情報を自前のSMTPで送るか、ASPで送る)。
こいつのキモはIEへの感染手法なんだろうけど
それを英語で書くのはとても気が重いので
とりあえずファイルだけ固めて発射する予定。
unicodeスクリプトで何かをしようとした中華サイトは
他にも見たけど、ちゃんと動作したのは俺的にはここが初。

こいつが作ったFFXIのトロイを見かけなくなったと思ったら
別なところで腕を磨いていたようだ。
708名無しさん@お腹いっぱい。:2006/08/07(月) 20:44:35
>>703
WindowsUpdateしてたのが幸いしたのかね?
ウイルスバスターとノートンで何も出なけりゃ終了でいいだろ
次からは不用意にリンク踏まないように
709639:2006/08/07(月) 20:56:06
>>706
なるほど・・・ではその方法でゴミ箱の中にあるやつを処分してきます。
ゴミ箱からも削除すれば完全にPC内から消滅させたと思って良いんですよね?
710702:2006/08/07(月) 20:57:56
>>707
私の手に負えそうもありまへん
URL晒さんといてください
あほが踏んで大変になる悪寒
711名無しさん@お腹いっぱい。:2006/08/07(月) 20:59:57
>>703
jpgだからって安心すんなよ
712名無しさん@お腹いっぱい。:2006/08/07(月) 21:05:00
>>709
>レジストリいじられてて自動起動するなんてこともあるから大丈夫とはいえない
安心したいのならcドライブをリカバリ
713698:2006/08/07(月) 21:07:39
>>705
見かけた場所 www.1102213.com
日本のサイトに見えるけど既出の中華罠サイト。
同一IPで別名ドメイン多数所有。
iframeで gua.ishacker.org を呼び出し。

gua.ishacker.org 404に見えるけど
gua.ishacker.org/css.txt というJScriptを実行。
このスクリプトがunicodeの呪文を唱えて
gua.ishacker.org/muma.exe というダウンローダを起動。
おそらくActiveXとして振舞う。CLSIDを持ち、
mswinlogon.dllと名前を変えてレジストリに書く。

muma.exe(mswinlogon.dll) は
gua.ishacker.org/list.txt というテキストを読み込み
記載のあるexeを4つダウンロードし
MicroExec0.exe 〜 MicroExec3.exe として起動。

以上。

それぞれUPX解凍されてドロッパとトロイに分割されて
dllになったりするけど、元はこの4匹。

長文ごめん。でも縮めようがないんだ…。
送る物としてはURI、js、muma(mswinlogon)、トロイ4匹の詰め合わせかな。
714698:2006/08/07(月) 21:18:17
>>710
あ、入れ違いだった。
リンクしてないから大丈夫…たぶん。
715名無しさん@お腹いっぱい。:2006/08/07(月) 21:25:46
>>698
どこで踏んだのかなぁ
716名無しさん@お腹いっぱい。:2006/08/07(月) 21:26:13
>>713
調査乙。list.txtの1番目を除く4つの実行ファイルは手元のBitDefenderで検出した。
一時的にAV止めて圧縮して送るか…カスペに送るのなんて久々だなぁ…
717639:2006/08/07(月) 21:29:31
>>712
Cドライブのリカバリってのはどうすれば出来るのでしょうか?
718703:2006/08/07(月) 21:29:56
>>708 >>701

お騒がせしました。今後は十分に注意したいと思います。
ご迷惑をおかけしました。
719703:2006/08/07(月) 21:30:31
>>718

×701
○711

でした。すいません
720名無しさん@お腹いっぱい。:2006/08/07(月) 21:32:20
>>717
つ マニュアル
721名無しさん@お腹いっぱい。:2006/08/07(月) 21:32:26
>>717
取り説有るっぺなぁ〜〜
722名無しさん@お腹いっぱい。:2006/08/07(月) 21:42:23
ちょっとくだらない質問で申し訳ないが聞いてもらえる?

ウイルス(というか、自己増殖を持たないトロイかな)に
レジストリキーを改変されてしまった後、そのウイルス本体を
削除してしまった場合、レジストリキーを削除してしまいたい場合
どの辺りを探ればいいのかな?

症状がわかれば探るキーの見当も付くものなの?

症状:Winny起動→CドライブルートのファイルすべてをUPフォルダにひっそり追加→ダダ漏れ
    NYキャッシュを全部捨てても次の起動時には復活しているようです
723722:2006/08/07(月) 21:46:35
追記
NYのUpFolderは改変されてない模様

Winny.iniはどうだろう
更新日時を見る限りは改変の恐れありですかね
(ウイルス削除とほぼ同時刻に更新されてる)
ただ、どこをどういじられたかまでは不明
724名無しさん@お腹いっぱい。:2006/08/07(月) 22:01:52
>>713
css2.txtの中、JavaScriptでActiveXが呼ばれてるが
いわゆる0-dayってやつだねこりゃ('A`)っ ttp://osvdb.org/27231

検体、ダブらない程度にベンダ宛送付しときます('A`)ノ

>>722
再起動しても復活するのであれば、スタートアップに何かいるんだろうね
msconfig で見当つけて regedit から検索するとか
大抵は
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
あたりがクサイ
削除の前には念のためレジストリのバックアップ
725698:2006/08/07(月) 22:04:57
>>716
AVGの全滅を確認。

0:xc 不明
1:t1 Lineage
2:ro RagnarokOnline
3:t2 Lineage2

4匹の最初のがわからん。
Lineageは天堂だからt1なのはわかるけど、xcって何の略だろう。
これだけメールではなくわざわざASPで送っているんだよね。
FFXI(というかPlayOnline)もASPだった。

>>722-723
>>1
>Winny、P2P関連のウィルスは、Download板に専門スレッドがあります。
726722:2006/08/07(月) 22:10:50
>>724
ありがとう
今すぐ参考にやってみる
既存のプロセスを書き換えってオチだとちょっと困難そうなので
再インスコかな

>>725
知ってて居直ってごめん
ただ、あっちは完全に機能してないし
おまけにウイルスそのものの特定もたぶん不可能
オンラインスキャンだとログを保存しない(出来るのも多いけど)からなぁ
そのうちカスペルスキーでもレジストするよ
727名無しさん@お腹いっぱい。:2006/08/07(月) 22:13:21
>>725
xc → 信長Online
728698:2006/08/07(月) 22:14:30
>>724
やっぱりそうですか。
IE6SP2より堅いIE7が既知の脆弱性ごときで
そう簡単に食われるはずはないと思った。

XFocusの連中って、以前もベンダへの通告無しに
Exploit公開しやがったなぁ…。

>>715
監視していたFF用のトロイが403で消えたので、
記憶にあったホストを総当たりしていて食らいました
(1102213 以外に 19800602 など複数サーバあり、
それぞれ複数のドメイン所有)。
もしかしたらこれから各掲示板にURI爆撃する予定だったのかも。
729722:2006/08/07(月) 22:18:10
>>724
RUNの方にはctfmon.exeと後はmsmsgs.exeだけ存在
RUNONCEには何もなかった

前者は確かIME関係だよね OFFICE関係だとしたらこれがクサイ
(俺のマシンにはMS-OFFICEは入ってないから)
メッセンジャーは…昔からPC起動時にうっとおしくも現れてるから除外

それと、PCの再起動ではなく
Winnyクライアントプログラムの再起動の度に
消したはずのキャッシュが復活するって意味でした
こういう挙動ってレジストリのどっかに改変あるかなぁと思って
730名無しさん@お腹いっぱい。:2006/08/07(月) 22:20:10
>>729
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
こっちも見てみろ
731名無しさん@お腹いっぱい。:2006/08/07(月) 22:22:26
>>725
list.txtのファイル4つはNOD32で以下の検出。muma.exe他は無反応。

1xc.exe  a variant of Win32/PSW.Agent.CU trojan
2t1.exe  a variant of Win32/PSW.Lineage.DN trojan
3ro.exe  probably unknown NewHeur_PE virus
4t2.exe  a variant of Win32/PSW.Lineage.SQ trojan
732698:2006/08/07(月) 22:23:23
>>727
なるほど! そういえば以前も同じ奴が信長トロイ作っていて
パス名がxin(信?)だった。あまりに短期間で消滅したから忘れてた。
しかし、なんとマイナーなものを…。そりゃBitDefenderも見逃すわ…。
信長のアカウントハックしてRMTで処分したところで儲けは少なそう。
ハック対象としては信長というよりGameCityかな?

RFオンラインかPSUかMoEかと思って
それっぽい文字列探してた。 orz
733639:2006/08/07(月) 22:26:38
すみません・・・
今まで探してみましたけど取扱説明書が行方不明になってました・・・
734名無しさん@お腹いっぱい。:2006/08/07(月) 22:28:32
>>722
肝腎のウイルス名だが、症状を見るにExponnyでよいのかな('A`)
ttp://internet.watch.impress.co.jp/cda/news/2006/03/17/11304.html
ttp://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-trojan.exponny.html
対処法は上記ページが参考になるかな

735名無しさん@お腹いっぱい。:2006/08/07(月) 22:36:26
>>731
Kasperskyの全滅を確認。
5匹中、Avast!が3匹、AntiVirとDr.WEBが4匹捕まえているというのに
AVG並みとは情けなや。
736722:2006/08/07(月) 22:38:41
>>730
TkbellExe
「"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot」
これはリアルプレイヤー関連?

nwiz
これは以前からあった記憶 でも胡散臭い
パスの記述もなく「nwiz.exe /install」だって

SoundMan
AC97(ソフトウェアDSPみたいな)関連だと思ってた 以前から存在

後はアンチウイルス系のプロセスやらIME関連やらですかね

>>734
確かにExponnyが最も近いのではないかと思ってました
ただ、Cドライブを全公開とかそういう悪さをしているかは不明です

俺にわかるのはCドライブルート下にあるファイルのみを(フォルダは無視)
Winny起動時に毎回upするという事だけです
勝手にupされたキャッシュを消しても、nyを再起動するとまたupする
737名無しさん@お腹いっぱい。:2006/08/07(月) 22:40:14
>>736
nwiz GeForceのドライバに付属 無くても問題なし
738名無しさん@お腹いっぱい。:2006/08/07(月) 22:46:20
>>698
バスターで
css2.txt(htm):無反応
muma.exe:無反応
1xc.exe:無反応
2t1.exe:TSPY_LINEAGE.AWS
3ro.exe:TSPY_LINEAGE.AWU
4t2.exe:TSPY_LINEAGE.AWT

無反応のやつトレンドに送ってみます
739698:2006/08/07(月) 22:58:09
>>738
よろしくお願いします。
こちらはMcAfeeとDr.WEBに発射します。
スマンテッコは未確認です。

しかし…XPSP2以降、初めて感染したよ…。
740698:2006/08/07(月) 23:05:00
あ、css.txt と css2.txt
スクリプトのunicodeエンコ部分が微妙に違う…。
741名無しさん@お腹いっぱい。:2006/08/07(月) 23:18:20
>>736
Exponnyじゃないとしたら、、、すまんわからん('A`;)
C:\WINDOWS\win.ini の中におかしな文字列があったら、その単語でググってみると
ヒントになるかもしれない
742722:2006/08/08(火) 04:21:24
>>741
ありがとうwwww
ズバリ特定したwwww

どうやらぬるぽワームっていうかAntinny_Aだったのかな
Win.iniに[ぬるぽ]セクションの2行を見つけまして
つい先ほど完全駆除に成功しますた

ただ、ウイルスとしての挙動がAntinny_Aと完全一致しない気もする・・・
それにAntinny_Aを踏んだ記憶はまったくないんですよね
ダウソ→avastがAntinny_A発見→削除
この過程でなんで感染・・・?
743名無しさん@お腹いっぱい。:2006/08/08(火) 05:43:14
Win32.Antinny.B-UPXが何なのか分かりません・・・
Win32.Antinny.Bとどう違うんですか?
ググっても分からなかったんでどなたか教えてもらえないでしょうか?
744名無しさん@お腹いっぱい。:2006/08/08(火) 06:50:52
圧縮する事によってセキュソフトに発見される事を防ぐ
745名無しさん@お腹いっぱい。:2006/08/08(火) 07:59:52
>>698 >>713
Kaspersky File Scanner

css.htm - infected by Trojan-Downloader.JS.Small.cs
muma.exe - infected by Trojan-Downloader.Win32.Agent.ast
1xc.exe - infected by Trojan-PSW.Win32.Gamec.ax

さすがに対応早いな
746名無しさん@お腹いっぱい。:2006/08/08(火) 09:19:33
>>744
なるほど、ありがとうございました。
747698:2006/08/08(火) 10:02:04
>>745
早いね。
McAfeeは、上の人に送ると下っぱから返事が来たところ orz
MSRCにパッチ前倒しで出してくれと頼んでみたけど
こっちはシカトされるかもしれん。
748名無しさん@お腹いっぱい。:2006/08/08(火) 10:18:20
コマンドプロンプトにnotepad %windir%:SVCHOST.exeと入力して
メモ帳経由でWINDOWS:SVCHOST.exeファイルが開いた人は、この前のウィルスファイルを持っている人
ファイルが見つかりません。新しく作成しますか?と聞かれる人はファイルが作成されていない人
NTFS領域じゃないと構文エラーになってファイル名を受け付けないからFAT32の人は関係ない
NTFSもセキュリティの面でまだまだ穴が残っているな!
749名無しさん@お腹いっぱい。:2006/08/08(火) 10:44:37
>>748
代替データストリームの問題性は何年も前から指摘されてたよ
つか、未だに対応してないウイルス対策ソフトが存在するのかよw

しかし、マルウェアとしては比較的低レベルな国産晒し系も使い出した事で
この手法も一般化しそうだな。糞ソフト利用者は乗り換えお早めにw
750名無しさん@お腹いっぱい。:2006/08/08(火) 10:59:26
>>749
そもそもがWINDOWS:の名前で始まるファイルがExplorerなどから見えないのは問題があるだろう?
それにExplorer経由でその名前の付いたファイルを開こうとすると構文エラーで受け付けない仕様にも問題あり
OS側にも十分に問題があるな
どのプロセスを利用するとそんなファイル名が作られてしまうのかは知らないが、
マイクロソフトも知らん振りするのなら、絶対にどんなウィルスが弱点を突いてそんなファイル名を付けようとしても作られないようにはしとかないとな。
751名無しさん@お腹いっぱい。:2006/08/08(火) 11:06:21
>>749
どこが対応してるの?
752名無しさん@お腹いっぱい。:2006/08/08(火) 11:14:28
>>749
Explorerから見えないファイルは、ドライブ内をスキャンしても発見されないよ。
どこのウィルス対策ソフトならそれを発見できるんだ?
753名無しさん@お腹いっぱい。:2006/08/08(火) 11:21:15
よくわかんないけど、メモ帳で開いた
WINDOWS:SVCHOST.exeをeicarの文字でペーストして保存すると、
その瞬間確実にアンチウイルス反応するんでしょ?
前の方で奨めてた人いるからさ。
754名無しさん@お腹いっぱい。:2006/08/08(火) 11:28:48
>>753
まあ、常駐監視なら開けば発見するだろうけどね。
でも、知らずに作られちまったExplorerからは見えない変なファイルならばスキャンでは発見出来ない。
こんなファイルをいっぱいドライブ内に抱えている人って結構いるんじゃないのか?
755名無しさん@お腹いっぱい。:2006/08/08(火) 11:47:20
>>752
常駐保護切って、フォルダにeicar貼り付けて、オンデマンドスキャンしたら普通に検出したけどな…
どんな糞ソフト使ってんだお前らは?
756名無しさん@お腹いっぱい。:2006/08/08(火) 12:09:03
フォルダにコピペできるやつなんてそうそういるもんじゃないぞ。
757名無しさん@お腹いっぱい。:2006/08/08(火) 12:12:49
>>755
ただの受け売り厨だったか…
758名無しさん@お腹いっぱい。:2006/08/08(火) 12:35:19
>>756-757
どこの糞ソフト会社の社員ですか?マカフィー?
759名無しさん@お腹いっぱい。:2006/08/08(火) 12:52:48
ファイル?フォルダ?
760名無しさん@お腹いっぱい。:2006/08/08(火) 12:54:26
ADS理解してないのにこの話題に参加してる奴いるのかよ…
761名無しさん@お腹いっぱい。:2006/08/08(火) 13:27:13
NTFS 代替データストリーム(概念図)
http://forensics.sakura.ne.jp/PPT/NTFSADS.pdf

762名無しさん@お腹いっぱい。:2006/08/08(火) 13:47:55
今回レジストリのRUN経由での起動は、そのファイル名だと構文エラーになって起動しないのはわかったんだけど、
exefileとしてExplorerを経由して起動する方法じゃなくて、
WINDOWS:SVCHOST.exeを直接起動する方法ってあるのか?
あるとしたらファイルが見えないから怖いよな。
これからは頭いいやつが何かを考え出しそうだぞ。
763名無しさん@お腹いっぱい。:2006/08/08(火) 16:50:54
亀田ウイルスは最恐のウイルスだな
知らずに感染してた人が結構いるんじゃないの?
こんなに狡猾なウイルスが出来上がるなんて・・
(ノ゜凵K)ノびっくり!!だよ。

764名無しさん@お腹いっぱい。:2006/08/08(火) 17:08:05
ttp://www.geocities.jp/bruce_teller/adsmngr/helpfiles/aboutads.htm
ttp://www.geocities.jp/bruce_teller/adsmngr/index.htm

ADSについての説明

そろそろこんなソフトも必要なようだな
今回のはWINDOWS:で始まるファイル名だから表示から隠れちまってWINDOWSのファイルも見えない。
ああ嫌な時代だ。
765名無しさん@お腹いっぱい。:2006/08/08(火) 17:37:13
>>763
このスレ見ると
踏むような奴の頭の悪さの方が(ry
766名無しさん@お腹いっぱい。:2006/08/08(火) 18:12:30
Explorer上から見えないファイルなんてたくさんある。
その中のひとつが、ActiveXからインストールされたファイル。
このファイルはコマンドプロンプトか特別な方法を使わないと見えない。
今回のWINDOWS:〜というファイルも同じでコマンドプロンプトを使えば
発見できるし削除だってできる。
セーフモードとコマンドプロンプトで起動してみたり
回復コンソールを使って起動してみて確認してみろ。
間違い無く見つけられる。
767名無しさん@お腹いっぱい。:2006/08/08(火) 18:56:36
コマドプロプロはわからねえ・・・
768名無しさん@お腹いっぱい。:2006/08/08(火) 19:01:12
>>766
notepadでその名前のファイルが作れるから
見つけてみろタコ
769名無しさん@お腹いっぱい。:2006/08/08(火) 19:09:09
>>766

>>764のソフトでスキャンすれば見つかるが、システム上のC:\WINDOWS:ファイルは
何故かロックされていてADSが見られない。
他のシステム上からなら見られるし削除も可能なようだ。
notepadなどはアクセス出来るのに変だな?
770名無しさん@お腹いっぱい。:2006/08/08(火) 21:40:03
亀田の詳細がAviraのDBにキテタ
TrendMicroのDBには掲載されてないレジストリキーがあるな('A`)
ttp://www.avira.com/jp/threats/section/fulldetails/id_vir/2428/bds_delf.afu.1.html
> 以下のレジストリ・キーが追加されます:
>
> - [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
> "Count" = %hex 数字%

TSPY_SUFIAGE.G :
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FSUFIAGE%2EG&VSect=Td
771名無しさん@お腹いっぱい。:2006/08/08(火) 22:39:42
ちょ
avastの8/8付けの定義ファイルでも>>590のウイルススルーしやがったwww
772名無しさん@お腹いっぱい。:2006/08/08(火) 22:41:49
連レスすまないがバスターではこのウイルス2006/03/08発見のTROJ_DELF.AXEとして検出されるんだな。
773名無しさん@お腹いっぱい。:2006/08/08(火) 22:47:20
>>771
こう対応が遅いと、検体送る気も失せてくるな…

>>698のウイルス、カスペから午前3時前に対応完了のメール来てた
avast!にも送ったけど、果たして何週間後に対応するのかね…
774名無しさん@お腹いっぱい。:2006/08/08(火) 22:53:53
>>770
Aviraのほうが解析力が上ってわけか。

avast!結構使ってる人多いから心配。
775名無しさん@お腹いっぱい。:2006/08/08(火) 22:54:08
>>772
>>590にはウイルスバスターのオンラインチェックで検出されず、とあるが…
亜種を同名検出にしたのか、オンラインスキャンの性能を落としてるのか…
トレンドマイクロも信用ならんなw
776名無しさん@お腹いっぱい。:2006/08/08(火) 23:02:50
>>774
元々avastは国産ウイルス・ワームには弱いみたいよ
777772:2006/08/08(火) 23:20:05
一応、>>590の者なんだが、あの時どっちもスルーされたから
今回さすがにアップされてるだろうと思ってスキャンしたら
こういう結果になったわけだ。TROJ_DELF.AXEと検出したのは
オンラインスキャンのほう。製品版はもってないがフレッツの
光プレミアムについてたセキュリティツール(エンジンがトレンドマイクロ製)
も同じように検出された。

ただよくわからんのがこのウイルス、TSPY_SUFIAGE.Gのはずなんだが
詳細ページに載ってるファイルサイズと食い違ってるんだが(843,776bytes)。
ってもしかしてうちのこのファイルが壊れてる?
778名無しさん@お腹いっぱい。:2006/08/08(火) 23:20:49
>>770
>しかしながら、上記ファイルの作成は失敗に終わるようです。
>これにより、上記レジストリ値は存在しないファイルを指定することとなり、
>不正プログラムの自動実行は失敗に終わります。
>また、上記レジストリ値は "\(バックスラッシュ)" の代わりに ":(コロン)" を使用しており、
>正確なファイルの場所を指定していません。

こんな嘘をセキュリティベンダーが堂々と書いていいのかよ?
確実にファイルは作られているぞ
Explorerとかからは、見えないけどな
OS上ではそのファイル名は、Windowsフォルダとアクセス時に解釈されてしまうようだ
そのファイル名は実際には、"Windows:Svchost.exe"と言うファイルだ
本来ならWindowsと言う名前のファイルがExplorerから見える筈なんだけど、
Windowsと言うシステムフォルダに隠れてしまって表示されない
確かにRUNからの起動は、Explorer側でそのファイルパスを受け付けないようだけどな 笑
それと、HKEY_LOCAL_MACHINE側にDisableTaskMgr値を設定してもシステム側では無効にして受け付けないようだ。
それが証拠にその値を設定してもタスクマネージャは起動する。
779名無しさん@お腹いっぱい。:2006/08/08(火) 23:36:32
Lootkitで似たようなことあったが、Windowsでも標準装備とはなw

しかしまあ、このスレ読んでたから間違ってるってわかったが、ADSって
常識的に知られてるものなのか?

つか、これってセキュリティホールじゃ?
tp://news19.2ch.net/test/read.cgi/newsplus/1155046619/l50
【社会】 「まさかパトカーに追われるとは」
自転車2人乗りの女子高生に、赤切符…仙台  てスレなんですけど
 ここの >>2 を表示すると
 カスペルさんが反応して
 注意!潜在的に危険なプログラムが検出されました。
 となるんですがなんなんですかね?
 
 板違いならすみません・・。
781名無しさん@お腹いっぱい。:2006/08/08(火) 23:48:08
>>639
俺もおんなじウィルス感染したんだけどどうなった?
ローズオンラインというネトゲやってたんだけど
今、個人情報流出で大騒ぎなってんだけど何か関係あるのかな?
782名無しさん@お腹いっぱい。:2006/08/08(火) 23:50:07
>>780
Kasperskyもノートン先生みたいにウイルスコードに敏感だから、
専ブラなら「ms-its」をNGワードに登録しとき('A`)
ノートントラップ でググると色々参考になるかもよ
783名無しさん@お腹いっぱい。:2006/08/08(火) 23:53:35
>>778
トレンドに検体を送ったものだが 
Windows:Svchost.exeについてはADSを使っててExplorerから見えないだけなんじゃ?
という旨のメールをトレンドにおくってる
さてどんな返事が帰ってくるか…
784名無しさん@お腹いっぱい。:2006/08/09(水) 00:02:10
ADSを使ってても本来はExplorerから頭のファイル名が見える。
しかし今回は、Windowsと言う特殊なシステムフォルダ名のフォルダと被るので、
Windowsシステムはファイルとして取り扱ってくれないので見えないのだと思う。
notepad経由でC:\ZZZZ:SVCHOST.exeと言うファイルを作ってごらん。
Explorerから見えるはずだよ。ちなみに削除もきちんと出来る。
785780:2006/08/09(水) 00:06:21
>>782
ありがとうございます
 
786名無しさん@お腹いっぱい。:2006/08/09(水) 00:10:52
>>783
まあ、知らない0バイトのファイルがあったらADSのファイルだと思ってもいいだろう。
787名無しさん@お腹いっぱい。:2006/08/09(水) 00:11:56
【使用OS】WindowsXP Professional
【WindowsUpdateしてるか】している
【AntiVirusは何を使っているか】ノートン2005
【ちゃんとUpdateしてるか】SP2は入れてない
【スキャンした結果(ウイルス名・発見場所)】異常無し
【別のオンラインスキャンしたならその結果は】異常無し
【症状を具体的に、分かる限りすべて書く】
20秒間隔くらいでノートンのウイルス警告が出る。

オブジェクト名 C:WINDOWS\System32\vmmdiag32.exe
ウイルス名   Downloader
適用した処理  ファイルは自動的に削除されました。

頻繁にSystem32フォルダにウイルスが作成されているみたいです。
その都度削除されているので頻繁にウイルス警告が出ます。


【何をしたらそんなことになったのか】何かのアドレスを踏んだと思うが、どれかは、わからない。
【これまでにとった措置】セーフモードでノートン2005にて全スキャン。AD-Awareにて全スキャン。どちらも異常は無し。
【その他の質問】
ウイルスは削除されているみたいなんですが、それを作成している大元がわからないため、都度警告が出てしまいます。
どの辺りを確認すればいいでしょうか?
788名無しさん@お腹いっぱい。:2006/08/09(水) 00:13:22
ttp://www.heysoft.de/nt/ntfs-ads.htm
ttp://www.bleepingcomputer.com/tutorials/tutorial25.html
とか色々見て回ってみたけど
なんか、、、ルートディレクトリに妙な ADS くっつけられると、結構厄介っぽいな('A`)
検出できるツールがあるから、まだよいものの
789名無しさん@お腹いっぱい。:2006/08/09(水) 00:34:47
>>788
厳密に言うと、>>764なんかのツールでも、システムドライブ内だとアクセス不能でADSを発見出来ないファイルが存在する。
予約語なんかとの係わり合いが強いんだと思う。
結局はWindowsプロセス経由でのアクセスなんだろうからね。
でも、絶対に発見できないかと言うと、違うシステムからそのドライブをスキャンしてやると見付かるようだ。
まあ、これでひと安心だけどね。
790783:2006/08/09(水) 00:38:10
>>784
作ってみた
たしかにファイルは作成された explorerから見える
ファイル名はZZZZだw
見えない:SVCHOST.exeがADSというわけか
ADS以降は見えないけれど先頭が表示されるとはこのことか

ちなみにnotepad %windir%:SVCHOST.exeもつくってみた
たしかにexplorerから見えなくなった!!
cmdから実行するとメモ帳形式のwindows:SVCHOST.exeがたちあがった!!
こんな手法が使われていたとは…
791名無しさん@お腹いっぱい。:2006/08/09(水) 01:22:01
やはりヤバいのは、システムドライブのルートに存在するフォルダと同じ名前のADSファイルを作ると見えなくなるし、
ツール経由でもシステム側が拒否するのか、発見出来ないようだ。
完全を期すのなら、やはり外部のシステムからそのドライブ内をツールで直接スキャンするしかないようだな。

それに、その方法で作られたウィルスファイルなどは、セキュリティソフトでドライブ内をスキャンしても隠れてしまって発見しないようだ。
ツールでもシステムドライブだと見えないんだから当然といえば当然だが・・・
まさしく大穴・・・ダメだなこりゃ
792名無しさん@お腹いっぱい。:2006/08/09(水) 01:27:25
きっとメモ帳などからのコマンドでの直接アクセスは、OSのチェックロジックをスルーしてアクセスするんだろうな。
今回のはどんな方法でそのファイルを作っているのか知らないけど、
今後こんなのは山程出現してくるんじゃないのかな?
793名無しさん@お腹いっぱい。:2006/08/09(水) 01:43:17
もしもやるつもりがあるのなら、Cドライブのルートにaaaと言うフォルダ、
さらにその中にbbbと言うフォルダを作成してから、
notepad経由で C:\aaa\bbb:SVCHOST.exeと言う名前のADSファイルを作ってみて欲しい。
その時にeicar.com.txtの文字列を貼り付けて保存してから、セキュリティソフトでC:aaaのフォルダをスキャンしてみて欲しい。
きっとそのファイルをスルーしているはずだ 笑
794名無しさん@お腹いっぱい。:2006/08/09(水) 02:02:31
馬鹿があんまり騒ぐから釣られちまったじゃねえかw

オンアクセススキャン無効でnotepad %windir%:SVCHOST.exeでeicar貼り付けて
オンデマンドスキャンで普通に検出・隔離しましたが何か?
notepad C:\aaa\bbb:SVCHOST.exeも同様

【結論】システムフォルダのADSをスキャン出来ないとか言ってる馬鹿は糞ソフト使い
795名無しさん@お腹いっぱい。:2006/08/09(水) 02:06:05
>>794
そのファイルを作ってからスキャンするんだぞ
何か勘違いしていないか?
796名無しさん@お腹いっぱい。:2006/08/09(水) 02:13:02
>>795
いつからこのスレはこんなにレベルが低くなったんだ?よく読めよ…

オンアクセススキャン無効 = 常駐保護停止

こう書かないと理解できないのかお前は?
797名無しさん@お腹いっぱい。:2006/08/09(水) 02:21:20
じゃあ、考えを変えてもいいな。
システムドライブに膨大な見えないごみファイルを作成する困ったウィルスなんてのはどうよ?

じゃあ、システムドライブ内だと見えない>>764なんかのツールも糞なのか?
798名無しさん@お腹いっぱい。:2006/08/09(水) 02:31:46
>システムドライブに膨大な見えないごみファイルを作成する困ったウィルスなんてのはどうよ?
小学生的な発想ワロタ

>>764のツールに不具合あんならバグレポート出せばいいんじゃね?俺は使ってないんで知らんが
799名無しさん@お腹いっぱい。:2006/08/09(水) 02:32:48
口調は悪いが大変タメになる流れだな
で、結局Exporerでは不可視となるファイルは作れるけど
検出や駆除は可能でFA?
アンチウイルスプログラムによって依存がありそうなら
MSの出番かな?

セキュ板住人がんばって><
何も出来ないけどせめて応援してる><
800名無しさん@お腹いっぱい。:2006/08/09(水) 03:31:54
ネットには繋がっているのに、どのサイトも表示できなくなったんですが、これはウィルスなんでしょうか?ブラウザはIEでXPです。あとテンプレのシャットダウンのやつにやられたあと、こうなりました。
801名無しさん@お腹いっぱい。:2006/08/09(水) 03:42:15
ネット初心者なんですがネットしててページをクリックした瞬間、ウィルスが入ったみたいです。
ウィルススキャンみたいなものをしたら四つの脅威が検出されたんですがどうすればいいんでしょうか...
802名無しさん@お腹いっぱい。:2006/08/09(水) 03:45:28
子供がこんな時間にnetしてちゃ駄目だよ。
 すぐ寝ろ
803名無しさん@お腹いっぱい。:2006/08/09(水) 03:50:17
いや今年、二十歳のもんです。
マジでパソコンはネットみたりCD焼いたりワード使うぐらいしかしないんで...
ネットでミリタリーショップカキタのページを見ていてリンクにWASHIYAとゆうサイトがあってクリックしたらウィルスがどうたらこうたらとなって怖くて電源切ってしまったんですが...
804名無しさん@お腹いっぱい。:2006/08/09(水) 03:56:15
初心者すぎて皆さんのレスに付いていけません。
結局のところ今回話題になった亀田ウイルスTSPY_SUFIAGE.Gというのはそう簡単には駆除できないという事でFA
805名無しさん@お腹いっぱい。:2006/08/09(水) 04:25:34
>>803
その「どうたらこうたら」で判断できるのだが・・・

スキャンして検出したなら、削除しろ
806名無しさん@お腹いっぱい。:2006/08/09(水) 05:57:39
亀田ウイルスTSPY_SUFIAGE.Gの件ですけど、

本来OSが作成を許さず、万一作成されても
全くサポートしない(管理できない)ファイル名の
 Windows:Svchost.exe という悪質プログラムファイルが
亀田ウイルスTSPY_SUFIAGE.G感染時に強制的に作成される。
OSのシェル操作ではその存在を確認できない。ということはわかったけど、
では
1.レジストリのRUNにこの Windows:Svchost.exe を指定しても無効なら、
次回起動時はどうやってよびだされるか?
 Windows:Svchost.exe をOSがWindowsフォルダ下のSvchost.exeと誤解して、
OSの規定の読み込み(Windowsフォルダ下のSvchost.exeを優先的に読み込む仕様)
で毎回実行される。
ということでしょうか?

2.アンチウィルスソフトの検索エンジンによって、
OSの制約を超え、検索できるものと、そうでないものがあるということですが、
さらにヒットできるが、削除ができないということもありそうです。
この辺をもう少し明かしていただけませんか?
各アンチウィルスソフトのこの部分での対応情況についても知りたいです。
(定義対応っていっても、感染後の対応がどうか知りたいので)


807名無しさん@お腹いっぱい。:2006/08/09(水) 06:01:59
ADSとして他ファイルに「寄生」するのは
最近減った比較的正しい意味での「ウイルス」だよな。

こいつの問題はNTFSから一歩出ると消えてしまうため
メール・アップロード・CD・FDなどの手法では
寄生されたファイルを検体として送ることができないってことだなぁ。
また、Kasperskyのスキャナ
ttp://kaspersky.co.jp/scanforvirus/ を例に挙げると
「ファイルスキャナ」は(formで)アップするとADSが消えてしまうから
「オンラインスキャナ」(ローカルで動作するActiveXコントロール)を
使わないと見つけようがない。

NTFS上でアーカイバで固めると
Macのファイルのリソースフォークみたいにくっついてくるんかな。
808名無しさん@お腹いっぱい。:2006/08/09(水) 06:11:04
ADSの実装そのものは昔からのようだけど、
NTFSの家庭への普及は(少なくともMicrosoftの営業的には)
XP(2002)からなのであまり問題視されなかったのかもねぇ。

サーバ NT4Server→2000Server→Server2003
ワーステ NT4Workstation→2000Pro→XPPro
ホーム 95→98→Me(ここまでFAT)→XPHome
809806:2006/08/09(水) 06:22:28
>>807
すんません。806にはADSの概念がなかったです。
その寄生される「他ファイル」は「WINDOWS」でぶら下がるサブ
ストリームがSvchost.exeってことですね?
「WINDOWS」が読まれると、確実にSvchost.exeが読まれるってことで
いいですか?
810698:2006/08/09(水) 06:28:57
MS06-046(922616)で修正。たぶん。
811名無しさん@お腹いっぱい。:2006/08/09(水) 07:53:14
騙されて亀田ウイルスにかかってしまいました。
なんとか今プリインストールされてるウイルスバスター2005
をアンインストールせずに駆除する方法ありませんか?
812名無しさん@お腹いっぱい。:2006/08/09(水) 08:08:32
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run値:
SVCHOST = "<Windowsフォルダ>:svchost.exe"
が無効ってことは
亀田ウイルスは結局再起動時に自動実行されないのではないの?
それとも、806のいうように、特殊な読み込みで
実行されるの?
教えてエロイ人。
813名無しさん@お腹いっぱい。:2006/08/09(水) 08:20:55
>>811
無理だな
814名無しさん@お腹いっぱい。:2006/08/09(水) 08:59:48
PE_parite.Aというウイルスに感染したのでウイルスバスターで駆除したところ
PC再起動後フリーズするようになってしまいました。
あれやこれやで何とかシステムの復元でPCは使えるようになりましたが
当然ウイルスは残ったまま・・・色々ググって見たところ
やはりOS再インスコしか手はないのでしょうか?

3ヶ月前にOS再インスコして最近やっと使いやすい設定やアプリに
落ち着いてきたところだったのに・・・
わずらわしさからウイルスソフトはずしてたのが間違いだった('A`)
815名無しさん@お腹いっぱい。:2006/08/09(水) 09:59:53
>814
(´・ω・`)良い勉強になったがな
816名無しさん@お腹いっぱい。:2006/08/09(水) 11:49:38
TSPY_LMIR.EY というウィルスに感染したようです。
セーフモードで削除しようとすると、ファイル使用中のタメ削除できません
と出ます。フリーソフト(強削)などを利用してみましたが、削除できません
コマンドプロントからもやってみましたらが、アクセス権がありませんと
でて削除できませんどうしたらよいでしょうか^^;
817名無しさん@お腹いっぱい。:2006/08/09(水) 12:23:50
レベルの低い発言で悪いんだが
WIND(ryは削除出来てる
本当は削除出来ていないのか?レスを読む限りオンラインスキャンでないと反応しないとか書いてあるが
818名無しさん@お腹いっぱい。:2006/08/09(水) 12:32:11
日本語でおkk
819名無しさん@お腹いっぱい。:2006/08/09(水) 12:37:51
>>815-816
ウイルスの名前わかってんだからまずはググろうぜ

シマンテックかトレンドマイクロあたりのウイルスDBがHITするだろ
そこで対応を教わるといい

基本的にはプロセスを殺す→ウイルスとそのコピー削除→レジストリ削除→再起動
これでおしまい
820名無しさん@お腹いっぱい。:2006/08/09(水) 13:34:32
ぐぐったんですが、中国語のHPしかでてこない。。
821名無しさん@お腹いっぱい。:2006/08/09(水) 13:38:54
せめてプロセスだけ殺せれば。。。ウワーン
822名無しさん@お腹いっぱい。:2006/08/09(水) 14:03:59
TSPY_LMIR.EYでググるとヒットは2件
で、出てきたものを見てみるとどっちもトレンドマイクロ社(ドメインが欧米のようだ)
要するに言いたいのは、ウイルスバスターの定義名はこれだっつーこと
トレンドマイクロの定義ではTSPYとあることからスパイウェアであることがわかる

しかし!LMIRでググると他社のエンジンでも割と引っかかる
どうもLMIR系などとカテゴリにされてるようだ
モノによってはパスワード窃盗なんかも行うようだ

結論
資料が足らないのなら増やせ
具体的には他のアンチウイルスも使ってみよう
ウイルスの定義名はベンダーによって異なると思っていい
823名無しさん@お腹いっぱい。:2006/08/09(水) 14:23:27
ありがとうございます。
トレンドマイクロ社のウィルスバスター購入して
検索すると確かに引っかかります。
で、ウィルス情報を見る押すと、情報がありませんと。。。
国内版はだめなのか。。。
824名無しさん@お腹いっぱい。:2006/08/09(水) 15:09:09
notepad %windir%:SVCHOST.exe

をやった瞬間バスターがしっかり反応したよ・・
何が、上記ファイルの作成は失敗に終わるようです。だ
825名無しさん@お腹いっぱい。:2006/08/09(水) 16:03:57
e1explorerってアイコンがあちこちに定期的にできるんだよ
検索しても対策方法ないし
誰か教えてくれ
826名無しさん@お腹いっぱい。:2006/08/09(水) 16:25:30
287 名前:しらんがな(´・ω・`) メール: 投稿日:2006/08/09(水) 16:02:18 ID:RRBkGj8A0
>>284
イタリアで流行ってるみたいだな。
827名無しさん@お腹いっぱい。:2006/08/09(水) 16:45:30
ウイルス踏んだらしいです
文字が、たーまに漢字の塊や、わけわからない文字になります
どうすればいいのでしょう?
828名無しさん@お腹いっぱい。:2006/08/09(水) 16:50:49
>>827
アンチウイルスいれな。勝手に検出してくれる。
検出されたらまたききな。
829名無しさん@お腹いっぱい。:2006/08/09(水) 18:38:17
msconfigを実行してスタートアップ見たところ
「スタートアップ」、「コマンド」のところが空白のものがあるんですが・・・
ウィルス検索しても何も検出はされませんでした
830名無しさん@お腹いっぱい。:2006/08/09(水) 18:40:48
>>829
空白は削除してもそのままでもいい 無視される
どうせ、ウィルス対策ソフトで削除された項目なんだろうよ
831名無しさん@お腹いっぱい。:2006/08/09(水) 18:42:02
>>830
ありがとうございます
早速消してきます
832名無しさん@お腹いっぱい。:2006/08/09(水) 22:06:51
知らぬ間に無理矢理どこかへアクセスされて、
デスクトップとスタートメニューとお気に入りに自動的にショートカットアイコンが
できて、何回削除してもリンク先のファイルを消しても同じこと繰り返される。
どうやら外国のHPの強制表示がされ、ホームが真っ白な場所にされてしまう
模様です。
知っている人がいたらどう言う不正ソフトなのか教えて下さい。
どうやらDocuments and Settingsのフォルダ内にTack.exeと言う物ができる
ようです。
あと>825さんと同じ症状の様ですが、こっちはw1explorerってなります。
833名無しさん@お腹いっぱい。:2006/08/09(水) 22:08:18
>>832
tack.exeはこれ
http://www.shareedge.com/spywareguide/product_show.php?id=936

AD-awareのスキャンをすすめる
834名無しさん@お腹いっぱい。:2006/08/09(水) 22:16:03
>>825,832
このサイト熟読汁
http://www.higaitaisaku.com/
835名無しさん@お腹いっぱい。:2006/08/09(水) 22:21:45
>>825
>>832

この辺が近いとオモ
ググると a1explorer, i1explorer なんてのもいるな('A`)
ttp://www.avira.com/jp/threats/section/fulldetails/id_vir/2243/tr_drop.bzub.as.2.html
ttp://oshiete1.goo.ne.jp/kotaeru.php3?q=2102037
836名無しさん@お腹いっぱい。:2006/08/09(水) 22:56:15
ネットに接続して、サイトなどにアクセスしていない(通信していない)時に
なぜか頻繁にモデムが点滅するので、気持ち悪くなってオンラインスキャンなどを試しましたが・・・
未だにネットに接続すると頻繁に点滅を繰り返します・・・・。
以前まではそんな現象はまったくなかったのですが、これってウイルスですよね?
837名無しさん@お腹いっぱい。:2006/08/09(水) 22:58:42
>>836
スパイウェアかもね
838名無しさん@お腹いっぱい。:2006/08/09(水) 23:03:00
>>837
かなり前にスパイボットをDLしたので、スキャンして全て消したのですが・・・
こんな状況なんですよね・・。
839名無しさん@お腹いっぱい。:2006/08/09(水) 23:03:17
>>836
セキュリティソフトで許可している設定を一度全部削除して、何が通信しようとしているか探れば?
840名無しさん@お腹いっぱい。:2006/08/09(水) 23:04:18
>>839
そうだな
Firewallの許可を全てはずしてみるとか
841名無しさん@お腹いっぱい。:2006/08/09(水) 23:05:48
>>839
セキュリティソフト(?)は一応、不評なavast!の体験版を入れています
むしろモデムの現象が起きてから・・・これをインストしたのですが・・。
842名無しさん@お腹いっぱい。:2006/08/09(水) 23:09:39
avastはアンチウィルス。通信に関してはファイヤーウォールの役目。
OSやルータの有無、avastとspybot以外で使ってるセキュリティソフトを教えて
843名無しさん@お腹いっぱい。:2006/08/09(水) 23:16:18
>>842
OSはWINDOWS 98を未だに使用しています・・。
ファイアーウォールはPCが重くなるので入れていません(入れられない?)
avast!をインストした時に"オンアクセス保護"という機能があったので使用しています
それ以外は・・・・情けなくも使っていませんorz
844名無しさん@お腹いっぱい。:2006/08/09(水) 23:19:00
>>843
ファイアウォール無しで98って…せめてルータは有るんだろうな?
ルータも無いなら今のうちに回線切って首吊って氏んだ方がいいよ
845名無しさん@お腹いっぱい。:2006/08/09(水) 23:20:44
>841
ZoneAlarmを入れてみるといい。
846名無しさん@お腹いっぱい。:2006/08/09(水) 23:25:39
>>835
TR/Drop.BZub.AS.2が出てくるウィンドウ画面と一致してます。
ファイル名などは違いますけど、おそらく同じ物じゃないでしょうか。
でも駆除方法がわからないです。

AD-awareもSpybotも効かないようです。
IEを開いてると勝手にアクセスされて同じ不正タスクが現れてきます。
847名無しさん@お腹いっぱい。:2006/08/09(水) 23:27:32
>>845
ZoneAlarm、さっそく検索してみたのですが・・・対応OSが2000とXPなんですよねorz
848名無しさん@お腹いっぱい。:2006/08/09(水) 23:32:40
>>847
98版もあるよ。
Outpostもおすすめ。
849名無しさん@お腹いっぱい。:2006/08/09(水) 23:33:32
ルーター買ってこい
850名無しさん@お腹いっぱい。:2006/08/09(水) 23:37:55
・ad-awareとspyware blasterの導入を検討
・セーフモードでのスキャン
この2つは試せ(上は98対応かは調べてないけど)
あとルータはあった方がいい
851名無しさん@お腹いっぱい。:2006/08/10(木) 00:01:11
>>848-850
貴重な情報、本当にどもですm(_ _)m
ただいまスパイウェア対策としてad-aware(無料版)を落としています
852名無しさん@お腹いっぱい。:2006/08/10(木) 00:33:51
>>846
時間をかけて丁寧に駆除したいんであれば、>>834のサイトで相談しる('A`)
そうでなければ、
ttp://www.pandasoftware.jp/
1. ブラウザキャッシュ・cookie 全部削除
2. 左下のオンラインスキャンかける
3. Spybot S&D・AD-Aware 各々再インスコして最新バージョンにしてスキャン
853名無しさん@お腹いっぱい。:2006/08/10(木) 00:35:34
>>852訂正
2. は ttp://www.pandasoftware.jp/ の左下にあるオンラインスキャンな
854名無しさん@お腹いっぱい。:2006/08/10(木) 01:23:59
ttp://www.playncsoft.net
というアドレス踏んだら、よくわからないウイルスに感染しました。
どの類のウイルスかもわからない・・・初心者ですが、初期化したほうが
宜しいでしょうか?

IEが開かなくなって、駆除ソフトでは、感染と出ています。
(削除ができませんでした)
会社のPCなので・・・どうすればいいかと・・・・・

exeの意味すら知らなかったです・・・・・。


855名無しさん@お腹いっぱい。:2006/08/10(木) 01:27:47
>>854
その手は古いなぁ〜〜〜
856854:2006/08/10(木) 01:35:06
ごめんなさい。感染させようとかいうのではなくて・・・
自分が踏んでしまったので・・・・
気のゆるみから、踏んでしまって、いざという時・・・
パニック起こしてる状態だったので・・・
857名無しさん@お腹いっぱい。:2006/08/10(木) 01:43:45
【  最  重  要  事  項  】
ウィスルやブラクラだと思われる物の直リンは厳禁!!!!!!!!!!
質問の時は頭の『ht』を抜いて貼り付ける事
           ~~~~
858名無しさん@お腹いっぱい。:2006/08/10(木) 02:16:05
>>856
そのソフトでウイルス情報は出てない?
名前とか
859中出しさん@お腹いっぱい。:2006/08/10(木) 05:28:51
WINDOWSのTEMPフォルダに原田を含んだtmpファイルが自動生成されます。
その度ノートン先生が消してくれるのですが…もうダメですか?
860名無しさん@お腹いっぱい。:2006/08/10(木) 06:33:30
winfixerをDLしてしまい、ノートンでスキャンしたのですが
間違って「除外」をクリックしてしまいました
どうしたら元に戻せますか?
861名無しさん@お腹いっぱい。:2006/08/10(木) 07:07:49
ウイルスに関係あるようで無いじゃん
設定の仕方なんてスレ違い
862名無しさん@お腹いっぱい。:2006/08/10(木) 08:49:17
>>854
会社に報告し対処をあおげ。
そこのはRealPlayerが古いと感染する。

>>860
ノートンスレにでも行けよ。
863名無しさん@お腹いっぱい。:2006/08/10(木) 09:35:18
Documents&setting>AllUser>スタートアップの、
『スタートアップ』フォルダをクリックすると必ず固まってしまうのですが、
こんな症状のウィルスってありますでしょうか?
他のフォルダは問題無く開けるのですが、このファイルだけいじれません。
864名無しさん@お腹いっぱい。:2006/08/10(木) 09:41:20
何かウイルスを踏んでしまったらしく
デスクトップにブラクラのように青い画面の窓が表示されていって
デスクトップをゴキブリが這い回り
一切他のソフトが起動できなくなりました。
何か対処法はないでしょうか?
865名無しさん@お腹いっぱい。:2006/08/10(木) 10:00:52
>>863-864
リカバリ
866名無しさん@お腹いっぱい。:2006/08/10(木) 10:32:10
>>863
Explorerからの操作は問題ないのか?
867名無しさん@お腹いっぱい。:2006/08/10(木) 10:43:48
>>866
Explorerからの操作ってのは普通にフォルダ開いてく事ですよね?
マイコンピュータ→C→Documents&setting→AllUser
の順に開いていって,スタートアップのフォルダ触ると固まっちゃいます。

プロセス見るとexplorer.exeがダントツにメモリ使ってます。
このスレ開いてるだけの状態で42,572Kです。
868名無しさん@お腹いっぱい。:2006/08/10(木) 10:48:30
んなもんウイルスというかPCスペックの問題だろーに。
テンプレ不使用の段階でスルーすべきだったんじゃないか?
869名無しさん@お腹いっぱい。:2006/08/10(木) 10:52:51
>>854
会社のPCでって
あんた余程パーなんだな
870867:2006/08/10(木) 10:57:03
関係無い項目が多そうだったので省いちゃってました。
症状聞きたかっただけなので。

OS:XP
CPU:Athlon XP-M 2000+
メモリ:256M

>>868
スペックの問題で特定のフォルダだけ開けなくなる事があるんですか?(>>863)
871名無しさん@お腹いっぱい。:2006/08/10(木) 11:01:41
にゃー メモリ:256M
872866:2006/08/10(木) 11:20:38
>>870
GPUは?
873名無しさん@お腹いっぱい。:2006/08/10(木) 12:04:02
>>867
しばらくほっといてみたら? PenIII 1.2GHz 1GBのノート
(2.5インチの遅いディスク)でXPSP2でindex切った状態だが、
プロファイル触ると1分は帰ってこない。

つーか先にディスクの破損を疑ってchkdsk /fするべきじゃねーの?
874名無しさん@お腹いっぱい。:2006/08/10(木) 21:49:23
>843
・・・、怖いもの知らずだ。
win98ならFWは必須。重くなっても絶対必要だよ。
重くて我慢できないならルータを導入しましょう。

Outpostなら軽くてお手頃かも。
875名無しさん@お腹いっぱい。:2006/08/10(木) 21:56:40
ルーター導入してもポートそのままつかったりしてな。
876名無しさん@お腹いっぱい。:2006/08/10(木) 22:01:47
ちょっと遡ってスレ見たけど。
843って836の
>>なぜか頻繁にモデムが点滅する
って人なの?

クリーンインストールしたほうがいいと思うな。
ネットへはFW入れるまで繋がないようにね。
877名無しさん@お腹いっぱい。:2006/08/11(金) 00:18:11
お願いします。
現在特にウイルス対策ソフトはいれてなく、
今日見た以下のURLのブログの2006/8/6あたりの画像を
クリックしたら、何やらウイルスがどうとかとメッセージがIEに出ました。
tp://mercheromero.iobloggo.com/
ウイルス対策にDLしないとだめ、みたいなMESだったとおもうけど
危ないとおもったのでスルーしてトレンドマイクロの
オンラインスキャンしたら、一応感染なしでした。
一体なんだったのか謎なのでスキルあるかた、みてみてもらませんか。
怖くてお気に入りからも削除したのですが、
このブログ自体に何か問題が?
878名無しさん@お腹いっぱい。:2006/08/11(金) 03:53:38
879名無しさん@お腹いっぱい。:2006/08/11(金) 12:01:32
【使用OS】 WindowsXP
・symantec.com へのアクセスをブロックする
・適当な時間がきたらIEでサイトにアクセスできないようにする(DNSをおかしくする?)
という症状のウィルスに感染しているようです。
avast でHDを通常スキャンしたところ、いくつかウィルスが見つかったので、修復、削除をしたのですが、
symantec.com へのアクセスがまだブロックされたままです。
後者の症状については解消したかどうかわかりません(適当な時間がいつなのかわからないため)。
有名なウィルスだったと思うのですが、ぐぐっても見つかりませんでした。
ウィルス名と対処法がわかる方、よろしくお願いします。
880名無しさん@お腹いっぱい。:2006/08/11(金) 12:35:41
この板のNOD32スレを見ようとしたらウイルス警告が出たんだがどういうことだ?
これってウイルス?
881名無しさん@お腹いっぱい。:2006/08/11(金) 12:49:02
>>879解決しました。
882名無しさん@お腹いっぱい。:2006/08/11(金) 12:56:53
なかなかウンコが出ない orz
883名無しさん@お腹いっぱい。:2006/08/11(金) 13:16:31
AntinnyAE に感染!どぉしたら駆除できますか?AVGをつかってるのですが駆除できません教えてください
884名無しさん@お腹いっぱい。:2006/08/11(金) 13:21:42
やだよ
885名無しさん@お腹いっぱい。:2006/08/11(金) 14:52:34
>>881
解決したなら結果とか原因ぐらいは書こうな
886883:2006/08/11(金) 15:29:35
何とかなりました
スレ汚し失礼しました
887名無しさん@お腹いっぱい。:2006/08/11(金) 17:32:16
888名無しさん@お腹いっぱい。:2006/08/11(金) 17:56:32
【使用OS】Win2k
【WindowsUpdateしてるか】最新
【AntiVirusは何を使っているか】ノートン先生
【ちゃんとUpdateしてるか】最新
【スキャンした結果(ウイルス名・発見場所)】発見できず
【別のオンラインスキャンしたならその結果は】ウィルスバスターオンラインスキャンでも発見できず
【症状を具体的に、分かる限りすべて書く】何かがメールを送信しようとするが、メールアカウント未所持なので送信されない
それがノートンのオートプロテクトにひっかかる
【何をしたらそんなことになったのか】不明
【これまでにとった措置】LANケーブルを抜くか回線を無効状態にするとこの症状は出ず
【その他の質問】

先日ウィルス踏んだので、OSを別のハードにクリーンインストール。
ノートンを最新版にしてWinのアップデートをしていたところ、IRCbotがオートプロテクトにかかるも削除。
無事完了したと思ったら、この症状がでています。
一応ノートンのHPでIRCbotの削除法を調べてみましたが、それらしいレジストリの書き換えは見つからず。
以下メッセージ内容
電子メールメッセージ(送信先は

件名は

を送信できませんでした。メールサーバーに対する接続が中断したためです。
電子メールクライアントを開いてメッセージ送信フォルダからメッセージを再送信してください。

と出ますが、Outlookには未送信メールは存在せずという状況です。

どんな原因が考えられますでしょうか。
889名無しさん@お腹いっぱい。:2006/08/11(金) 18:03:02
OEはどうなってる?
890名無しさん@お腹いっぱい。:2006/08/11(金) 18:58:56
ずいぶん長いウンコだな。
 お〜〜〜い
891名無しさん@お腹いっぱい。:2006/08/11(金) 20:56:37
>>888
pingは通るのかどうか興味があるな
892名無しさん@お腹いっぱい。:2006/08/11(金) 21:23:28
>>889
OEはOutlookExpressですよね?
メールが送信される時に見てても変化はありませんでした。
今も回線繋いだら同じようにメール送信未遂が発生してます。
893名無しさん@お腹いっぱい。:2006/08/11(金) 22:29:40
【使用OS】Windows XP2 home edition
【WindowsUpdateしてるか】している
【AntiVirusは何を使っているか】AVG & BitDefender
【ちゃんとUpdateしてるか】AVG->自動更新 BitDefender 一週間に一回程度
【スキャンした結果(ウイルス名・発見場所)】BitDerfederにて発見
ウィルス名 Generic.PWStealer.4C796423
発見場所 ap_gi_2.dll
【別のオンラインスキャンしたならその結果は】 してない
【症状を具体的に、分かる限りすべて書く】 自覚症状なし
【何をしたらそんなことになったのか】 不明
【これまでにとった措置】 まだとってない
【その他の質問】 これって、誤検出でしょうか?
894名無しさん@お腹いっぱい。:2006/08/11(金) 22:34:25
>>893
発見場所をフルパスでよろ
つかap_gi_2.dllでググっても何も無いな…
ヒューリスティック検知っぽいから誤検出の可能性はある
895893:2006/08/11(金) 23:02:42
>>894
レスありがと。
発見場所はここです。
C:\Program Files\iPass\iPassConnect\ap_gi_2.dll

誤検出かもしれないので、AVGと氏万テックのonlineスキャンを実行予定。
896783:2006/08/11(金) 23:10:01
TSPY_SUFIAGE.G
トレンド修正乙
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FSUFIAGE%2EG&VSect=Td
DisableTaskMgr レジストリ変更の場所も間違ってたな
しっかりせええええい!!!
897名無しさん@お腹いっぱい。:2006/08/11(金) 23:33:27
>>895
そのファイルのプロパティ見れば何かヒントになるかも
898名無しさん@お腹いっぱい。:2006/08/11(金) 23:46:48
亀田ウイルスと同時期に角煮の「男が女に犯される」スレでうpされた
やつにomake.exeってのが入ってたんだが、これの話題でた?
踏んだら「無効なexeです」みたいなこと言われるらしいんだが
899名無しさん@お腹いっぱい。:2006/08/11(金) 23:59:34
>>895
ttp://jwww.ipass.com/services/services_ca_ipc.html
パスワード関連ソフトだから誤検出の可能性が高いな
900名無しさん@お腹いっぱい。:2006/08/12(土) 00:06:27
901名無しさん@お腹いっぱい。:2006/08/12(土) 00:10:46
【使用OS】Windows XP2 home edition
【WindowsUpdateしてるか】している
【AntiVirusは何を使っているか】ウィルスバスター
【ちゃんとUpdateしてるか】している
【スキャンした結果(ウイルス名・発見場所)】WORM_ANTINNY.BD
【別のオンラインスキャンしたならその結果は】 してない
【症状を具体的に、分かる限りすべて書く】 自覚症状なし
【何をしたらそんなことになったのか】exeの実行
【これまでにとった措置】 win.iniの該当部分削除
【その他の質問】trendmicroの対応方法をみて駆除しようとしているのですが
win.ini以外の改変された部分が見つかりません。
レジストリのrunの部分も見てみたのですがなにも修正された様子がなく、
UPFORDER.TXTを検索してみても出てきません。
ウィルスバスターがやっつけてくれたと思っていいのでしょうか?
902名無しさん@お腹いっぱい。:2006/08/12(土) 00:13:31
>>896
>しかしながら、上記ファイルの作成は失敗に終わるようです。
>これにより、上記レジストリ値は存在しないファイルを指定することとなり、
>不正プログラムの自動実行は失敗に終わります。

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
>上記のレジストリ値内で示されているファイルは無効なため、
>不正プログラムによって作成はされますが、Windowsエクスプローラ等では検出されません。
大事なとこも変更されてるわけね。

Kasperskyは技術者陣が頭メチャクチャよさそうなイミージがあるんだけど、
日本語の解説はない?
903名無しさん@お腹いっぱい。:2006/08/12(土) 00:17:34
【使用OS】Windows XP2 home edition
【WindowsUpdateしてるか】している
【AntiVirusは何を使っているか】ウィルスバスター
【ちゃんとUpdateしてるか】している
【スキャンした結果(ウイルス名・発見場所)】WORM_ANTINNY.BD
【別のオンラインスキャンしたならその結果は】 してない
【症状を具体的に、分かる限りすべて書く】 自覚症状なし
【何をしたらそんなことになったのか】exeの実行
【これまでにとった措置】 win.iniの該当部分削除
【その他の質問】trendmicroの対応方法をみて駆除しようとしているのですが
win.ini以外の改変された部分が見つかりません。
レジストリのrunの部分も見てみたのですがなにも修正された様子がなく、
UPFORDER.TXTを検索してみても出てきません。
ウィルスバスターがやっつけてくれたと思っていいのでしょうか?
904名無しさん@お腹いっぱい。:2006/08/12(土) 00:18:55
二重書き込み…orz
すみません。
905名無しさん@お腹いっぱい。:2006/08/12(土) 00:19:06
906名無しさん@お腹いっぱい。:2006/08/12(土) 00:19:12
>>902
viruslist.com の日本語版なら
ttp://viruslistjp.com/

時折、微妙な日本語があるのはご愛嬌…
907名無しさん@お腹いっぱい。:2006/08/12(土) 09:21:38
>>898
これの事かな
omake.exe
File size: 119808 bytes
MD5: f4d565ef14fca3772aaa51406f96e8cd
SHA1: f3a9860c37c86c21ae6be5479ffbd7e7812badea

無効なEXEうんぬんは多分フェイクアラート
その後何かをしようとする挙動はあるみたいなのだが
omake.exeが強制終了してしまう。プログラムミス?
何かのファイルが作成されたとかいう痕跡は見つけられなかった

とりあえず俺の手には負えない代物でした
908名無しさん@お腹いっぱい。:2006/08/12(土) 14:41:15
最近 2チャンでメ欄にsageと入れないと名前欄に緑字でsoftbank〜○○○(数字).bbtec.net
ってなるんですが何かウィルスに感染したのでしょうか?
他の人はちゃんと名無しなのに…
どう対応していいのか解りません。ホント誰か教えて下さい。
909名無しさん@お腹いっぱい。:2006/08/12(土) 14:51:56
ふっふっふ・・・
910名無しさん@お腹いっぱい。:2006/08/12(土) 14:52:20
sageればいいんじゃない?
911名無しさん@お腹いっぱい。:2006/08/12(土) 15:05:51
何でもかんでもウイルスのせいにしてやがれ!
912名無しさん@お腹いっぱい。:2006/08/12(土) 15:33:01
【使用OS】 windows XP home edition sp2
【WindowsUpdateしてるか】 している
【AntiVirusは何を使っているか】 ノートン2006
【ちゃんとUpdateしてるか】 している
【スキャンした結果(ウイルス名・発見場所)】 winfixer
【別のオンラインスキャンしたならその結果は】
【症状を具体的に、分かる限りすべて書く】 作業をしている時にいきなり電源が落ちる
【何をしたらそんなことになったのか】よくわからない
【これまでにとった措置】 スパイウェア ウィルスを検索・駆除
【その他の質問】どのような対処をすれば治るのでしょうか?
お願いします。
913名無しさん@お腹いっぱい。:2006/08/12(土) 15:57:16
↑でもう一度ウィルス検索したらトロイの木馬が出てきました。
914908:2006/08/12(土) 16:29:13
結局、何なんですか?
>>910 まあそうなんですけど…すごく気になる…
915名無しさん@お腹いっぱい。:2006/08/12(土) 16:37:32
>>914
そんなに心配ならOS再インストールすれば?
916908:2006/08/12(土) 17:13:15
ググりまくってやっと解った
さっさと教エロよ
917名無しさん@お腹いっぱい。:2006/08/12(土) 17:17:42
どうせフシアナをクッキーで記憶してたんだろ
918名無しさん@お腹いっぱい。:2006/08/12(土) 17:18:35
初心者の質問で恐縮なのですが、
ウイルスバスターなどのソフトでの「ウイルスパターンファイル」って
最新のものでも古いものでもファイルサイズが概ね同じですよね。単純
に考えると古いものよりも新しいもののほうが(ウイルスの種類が増えて
いるわけだからそれに伴って)サイズも大きくなると思うのですが・・・。
当然、ただの追加なら問題ないとおもいますが、更新したら古いウイルスパ
ターンファイルは自動的に削除されていますし; ということは、最新の
ウイルスパターンファイルでは古いウイルスには対応していないというこ
となのでしょうか? 文才無く、わかりにくい質問ですが、どなたかご教授
頂ければ幸いです。よろしくお願い致します。
919名無し募集中。。。:2006/08/12(土) 18:16:30
exeファイルをフォルダに偽造、古典的な手法だが見事に引っかかった2ちゃん歴3年の俺w
これに懲りてむやみにクリックは控えるよ
920名無しさん@お腹いっぱい。:2006/08/12(土) 19:01:40
MS03-026_RPC_DCOM_EXPLOIT
というのが5秒に一回くらいウィルスバスターから「取ったどー!」
と報告されるのですが、いい加減うざいです。
なんなのでしょうか?

>>919
昨日それに引っかかって欝になった。
なんというか、なんでフォルダなのにexe?って思いながらクリックした自分がにくかった。
921名無しさん@お腹いっぱい。:2006/08/12(土) 19:07:43
>現在お客様のリクエストを処理できません。ウィルスまたはスパイウェアが自動的にリクエストを送信しており、
お客様のコンピュータまたはネットワークも感染された可能性があります。
アクセスの回復に向けて速やかに作業中ですので、今しばらくお待ちください

串さした状態でググろうとしたら検索結果の変わりにこんなメッセージが出て、串ささなければ普通に検索できたんですけど
これはどういった状態なんですか?
スキャンかけても何もでませんでしたが
922名無しさん@お腹いっぱい。:2006/08/12(土) 20:50:36
あらあら 大変だ
923名無しさん@お腹いっぱい。:2006/08/12(土) 21:47:40
>>918
たまに定義ファイルの最適化を行ってサイズを縮小するメーカーもある
これとは別に、実効性の低い古めの定義を削除していくメーカーもあるらしいが…

トレンドマイクロはAV-Comparativesによる比較試験を拒絶しているようだが
古い試験結果を比べる限り、定義を減らしているような傾向は見られなかった

まあ、第三者機関のテストを拒絶するメーカーの検出力など推して知るべしだが

>>919
アプリケーションの起動監視ソフトでも入れとけ

>>920
バスターのFWが攻撃を遮断してるんだろ。警告表示のオプションでも見直せ

>>921
どこの串かも書いてないのに分かるわけないだろ。串の管理者に聞け
924名無しさん@お腹いっぱい。:2006/08/12(土) 21:52:06
亀田ウィルスって毎回マイピクチャにDTSSつくるん?
925名無しさん@お腹いっぱい。:2006/08/12(土) 22:57:21
パソコンの空き容量がすくない と警告が出て
色々なものを削除していきました。
しかし数日後にはすぐに パソコンの空き容量がすくない
と警告が出てきます。 これはウィルスなのでしょうか?
また、対処法などないでしょうか
926名無しさん@お腹いっぱい。:2006/08/12(土) 23:01:30
>>925
確かにHDD埋めるウイルスも世の中にはあるが
そうでない要因だっていくらでもある
>>1のテンプレとかそもそもHDD要領いくら位かとか
そうした情報なしに判断はつかんよ
927ただのバイトさん:2006/08/12(土) 23:02:37
 すいません

 会社のパソコンがW32.spybot.wormというウイルスにかかったらしく
 社員が(私は単なるバイトなんですけど)ウイルスが他のパソコンに
 感染するのを恐れてインターネットにつなぐのを恐れている
 んですが何か有効な手段はありますでしょうか… 一応法人なので
 月曜にはシマンテックにも問い合わせるつもりですがどなたか賢人が
 いらっしゃったらお知恵を下さい… OSはWindows2000です…
928名無しさん@お腹いっぱい。:2006/08/12(土) 23:28:43
>>927
駆除すれば?
929名無しさん@お腹いっぱい。:2006/08/12(土) 23:29:38
【使用OS】  Windows XP
【WindowsUpdateしてるか】 している
【AntiVirusは何を使っているか】 ウイルスバスター2006
【ちゃんとUpdateしてるか】 している
【スキャンした結果(ウイルス名・発見場所)】 ウイルス名:DIAL_PORNDIAL.LK  
発見場所:C:\WINDOWS\TEMP\win49.tmp
       C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\4B0TPSEP\srvzkw[1].exe
【別のオンラインスキャンしたならその結果は】 ウイルス検索該当ウイルス無し
【症状を具体的に、分かる限りすべて書く】 
ウイルスバスターのリアルタイム検索で検出される。インターネットへの接続が途切れる。
途切れるたびに「userxxxxxx」という名前の新しい接続が勝手に作成される。
「coolweb」という名前の接続が作成される。
タスクマネージャーのプロセスで「cool.exe」というプロセスが表示される。
接続が途切れるたびにCPU使用率が100%まであがって動作が緩慢になる。
【何をしたらそんなことになったのか】 P2P(?)
【これまでにとった措置】 
検出ファイルの削除→効果なし
spybotでの検出→効果なし
Ad-awareSEでの検出→効果なし
【その他の質問】
このウイルス名でぐぐってもなにもでてこなかったから
どう対処すればいいのかまったくわからない
930名無しさん@お腹いっぱい。:2006/08/12(土) 23:39:55
>>927
手元にアンチウィルスソフトの2004以降のCD-ROMがあれば、それで駆除できる場合もある。

>>929
両方ともtempファイルだから空にしてみたら?
931名無しさん@お腹いっぱい。:2006/08/12(土) 23:42:54
>>930
tempフォルダの中身って全部消しちゃってもいいものなの?
一応「.tmp」は消してるんだけどまたすぐ作成されてしまう
932名無しさん@お腹いっぱい。:2006/08/12(土) 23:44:12
ここで質問することではないのかもしれませんが、desktop.iniという
ファイルがマイドキュメントにあるのを昨日見つけたのですがこれは
何なのでしょうか?いつからあるのかさえわからないのですが、
最初からあったファイルではないような気がします。
心配なので書き込んでしまいました。 スレ汚してすいません
933名無しさん@お腹いっぱい。:2006/08/12(土) 23:46:22
>>929
既に活動してるからTEMP消しても無駄だろ
CoolWebSearchでググれ

>>932
ググれ
934920:2006/08/12(土) 23:57:58
>>923
表示を消せばよかったんですね。使い始めたばかりなので全然わかりませんでした。
ありがとうございます。
935929:2006/08/13(日) 00:09:05
>>933
ググったらでてきた
そこで推奨されたソフトで検出したけど他のスパイウェアがチョコチョコでただけで
問題の「coolweb」がでてこなかったわ

もうだめだな
936929:2006/08/13(日) 00:17:23
http://uploader.fam.cx/data/17419.jpg

なんかヤバそうなのある?
937名無しさん@お腹いっぱい。:2006/08/13(日) 01:03:36
>>929
スパイウェア検索は試した?
1.ウイルスバスターリアルタイム検索停止設定後、AntiVirインスコ→再起動後すぐに検索。
2.ewido anti-spywareをインストールしてこれでもスキャン。
これでどうかな。
938名無しさん@お腹いっぱい。:2006/08/13(日) 01:40:47
>>937
いまAntiVir試してる
そしたらこんなのが出たんだけどどうすればいいんだ?
deleteにしても何回もでてくるんだが・・
しかもまたtmp
http://uploader.fam.cx/data/17424.jpg
939929:2006/08/13(日) 03:06:13
結局どのソフトも検出はしてくれるが除去してくれてないのか・・・?

なんかやたらウイルス・スパイウェア対策ソフトが増えただけのような・・・
940名無しさん@お腹いっぱい。:2006/08/13(日) 03:48:57
CWShredder使ったの?.ewidoはどう? 状況kwsk
セーフモードは試したか?
スタートアップに変なのは無いか?
941名無しさん@お腹いっぱい。:2006/08/13(日) 05:00:46
>>940 貴方は感染者を本気で助けたいの?
知ってる単語を並べているようにしか見えない
942名無しさん@お腹いっぱい。:2006/08/13(日) 07:26:46
>>929

プロセス、サービスの内容が日本語で確認できます。その場で停止可能。
スタートアップチェッカー
http://www.vector.co.jp/soft/dl/win95/util/se302214.html
日本語じゃないけど、すべてのプロセスを詳細な内容でだします。
HijackThisについて
http://www.higaitaisaku.com/hijackthis.html
プロセス名は↓で確認。
http://cowscorpion.com/tasklist/tasklist/m.html


インターネット一時ファイルやテンプフォルダの一括削除 
ATF-Cleaner
http://wiki.higaitaisaku.com/wiki.cgi?page=ATF%2DCleaner%A4%CE%BB%C8%A4%A4%CA%FD

Win##.tmp.exe - Help!
http://www.bullguard.com/forum/10/Wintmpexe---Help_28455.html
プログラム制御でwin○○○.tmp.exe と出てしまう
http://bbs.higaitaisaku.com/cbbs.cgi?mode=one&number=83108&type=0&space=0&no=0
上ではWINDOWS\SYSTEM32\winhoo32.dllが悪さしてる。

とにかく現在メモリ内で活動中の悪質なプログラムを殺して、ATF-Cleanerなどで
完全削除します。それからAntiVir等でスキャン。
作業中はネットからPCを切り離すこと。
943942:2006/08/13(日) 07:43:29
>>929
cool.exeを停止できる?ほぼクロ。
http://www.dofile.com/cool/default.htm
http://www.okayama-u.ac.jp/user/cc/service/virus/wallon.htm
複合感染みたいになってるのでは。
944929:2006/08/13(日) 08:33:22
>>940
ewidoとCWShredderつかった
まあ前のやつとだいたいおなじような結果だった

そのあとセーフモードで一通りのソフトでスキャンした
そしたらewidoでダイアラーが検出されたんでデフォルトの処置を施しといた

>>942
一応一通り目を通してみた

いまのところはなにも不具合がおきてないんでもしかしたら解決できたのかも?

またなんか起きたら>>942を試してみたいと思う
945名無しさん@お腹いっぱい。:2006/08/13(日) 10:39:44
【使用OS】XP PRO SP1
【WindowsUpdateしてるか】 最近していない
【AntiVirusは何を使っているか】 ノートン
【ちゃんとUpdateしてるか】 している
【スキャンした結果(ウイルス名・発見場所)】trojan.haradong C:\WINDOWS\TEMP
【別のオンラインスキャンしたならその結果は】 なし
【症状を具体的に、分かる限りすべて書く】 何をするにも動きが激トロで常にHDDにアクセスランプがすいている。何回オールスキャンして駆除してもなくならない。
【何をしたらそんなことになったのか】 P2P
【これまでにとった措置】オールスキャン、セーフモード、スパイウェアー駆除
【その他の質問】shareのdownホルダーに消すことの出来ない画像や動画らしきものが、あります。
946名無しさん@お腹いっぱい。:2006/08/13(日) 10:43:59
947名無しさん@お腹いっぱい。:2006/08/13(日) 11:35:28
感染が疑われたときはアンチウイルスは
AntiVir
アンチスパイ、アドは
Ewido
等フリーで簡単に最新版が導入でき、且つ実際の検出力の優れたものをいれて、
極力オフラインで削除できるようにしましょう。
セーフモードは最小限のサービスしか起動しないので、
通常モードがだめならセーフモードでのスキャンをためす。
オンラインスキャンは其の後からでもいい。
948名無しさん@お腹いっぱい。:2006/08/14(月) 19:26:15
【使用OS】 XP HOME SP2
【WindowsUpdateしてるか】 常に最新
【AntiVirusは何を使っているか】 ノートン2003
【ちゃんとUpdateしてるか】 常に最新
【スキャンした結果(ウイルス名・発見場所)】 ウイルスではない
【別のオンラインスキャンしたならその結果は】 ウイルスではない

【症状を具体的に、分かる限りすべて書く】 詳細: このコンピュータに対する侵入
「HTTP MSIE JavaScript OnLoad Rte CodeExec」 の試みを検出して遮断しました。
侵入者: society3.2ch.net(206.223.150.155)(http(80))
危険度: 高レベル
プロトコル: TCP
攻撃された IP: localhost
攻撃された ポート: 1250

【何をしたらそんなことになったのか】 2ちゃんの世界情勢板を見たら
【これまでにとった措置】 ポート社団
【その他の質問】 今日2度目で攻撃側は全て同一IPなんだけど、スレ違いなら誘導してほしいです
949948:2006/08/14(月) 19:28:45
訂正:【何をしたらそんなことになったのか】世界情勢の国際情勢板を見たら
950948:2006/08/14(月) 19:37:04
ごめ、ググったら自己解決しました(´・ω・`)
951名無しさん@お腹いっぱい。:2006/08/14(月) 19:57:43
事故解決したなら詳細を書こうね
952948:2006/08/14(月) 20:12:45
ごめ、2ちゃん側の問題ではなく単なるハカーの悪戯と断定しました(´・ω・`)
953名無しさん@お腹いっぱい。:2006/08/14(月) 21:05:30
WINDOWSはXPです。
UPDATEは今さっきやりました。(再起動しました。)
ウィルスバスターのオンラインスキャンで「JAVABYTEVERA」というのに感染しているとでました。
手っ取り早い駆除の方法を教えてください。
954名無しさん@お腹いっぱい。:2006/08/14(月) 21:06:14
ノートン2003

これ、なんとかしょうよ
955名無しさん@お腹いっぱい。:2006/08/14(月) 21:07:45
>>953
手っ取り早くリカバリ
956名無しさん@お腹いっぱい。:2006/08/14(月) 21:08:07
>>953
ググれ

聞く前にググる習慣を身に着けようぜみんな
957名無しさん@お腹いっぱい。:2006/08/14(月) 21:11:35
>>956
夏ですから・・・
958名無しさん@お腹いっぱい。:2006/08/14(月) 21:24:21
953です。
検索サイトで確認したら
「hijacktthisのログを貼ります」とあったのですが意味が分かりません。
詳しく教えてください。
959名無しさん@お腹いっぱい。:2006/08/14(月) 21:28:42
>>958
そこでもう一回ググれ
960名無しさん@お腹いっぱい。:2006/08/14(月) 21:30:11
961名無しさん@お腹いっぱい。:2006/08/14(月) 21:31:14
テンプレすら使えない奴に説明したって無駄
962名無しさん@お腹いっぱい。:2006/08/14(月) 21:37:44
953です。
さらに検索したのですが、リスクがあるのでノートンを買います。
963名無しさん@お腹いっぱい。:2006/08/14(月) 21:47:42
ウィルスに感染してしまったようなので質問いたします

【使用OS】 WindfowsXP SP2
【WindowsUpdateしてるか】 している
【AntiVirusは何を使っているか】 AVG
【ちゃんとUpdateしてるか】 している
【スキャンした結果(ウイルス名・発見場所)】
10個くらいあるので、検出画面をスクリーンショットにとってうpしました
http://www.imgup.org/iup246817.png.html
http://www.imgup.org/iup246819.png.html
(↑ウィルスではありません)
【別のオンラインスキャンしたならその結果は】
AVGで駆除後は検出されませんでした。
【症状を具体的に、分かる限りすべて書く】
とくに変化は感じられないです
【何をしたらそんなことになったのか】
起きてPCを起動し、AVGをアップデートしたらウィルス検出画面がでました
【これまでにとった措置】
AVGで検出されたウィルスを駆除しました
【その他の質問】
再起動後、上記ファイルはすべて消えていました。
しかし、
C:\PROGRA~1\INTER~1\explorer.exe が見つかりません。 
という表示がPC起動時にでるようになりました。
又、
レジストリに指定されているC:\PROGRA~1\INTER~1\explorer.exeを読み込めないか、または実行できません。
という表示もでるようになりました。
これはどうすれば解決できるのでしょうか?
(PROGRA~1やINTER~1というフォルダは見覚えがないのですが、これはProgramフォルダやInternetExplorerフォルダのことですか?)
964名無しさん@お腹いっぱい。:2006/08/14(月) 22:06:00
>>963
「自動実行」でググったページで学習して対処
965名無しさん@お腹いっぱい。:2006/08/14(月) 22:12:10
とあるソフトをhttp://virusscan.jotti.org/にてウイルススキャンしたところ
Dr.Webだけ Found modification of BackDoor.Generic.483 という
結果がでたのでが、これはどうしたらいいでしょうか。
966名無しさん@お腹いっぱい。:2006/08/14(月) 22:20:55
>>964
お答えありがとうございます。
つまりウィルスによってつくられた不要なソフトが起動時に実行されていて、
それを削除したので、あとはシステム設定ユーティリティで自動実行しないようにすればよい
ということでしょうか?
967名無しさん@お腹いっぱい。:2006/08/14(月) 22:54:59
>>965
そのとあるソフトとやらの詳細を隠す理由を述べよ。
そんな小出しの情報でちゃんとした答えなんて出ないよ
968名無しさん@お腹いっぱい。:2006/08/14(月) 22:58:58
>>966
それらのMalwareに関するレジストリの自動実行エントリを
削除すればいいと思いますよ
Malwareのファイル名でレジストリを「検索」すればいいと思います
ただし、explorer.exeとなってる事から分かるように
騙しのexplorer.exeと正当なexplorer.exeとを区別しないと
ファイルパスの記述で判断することだね
969名無しさん@お腹いっぱい。:2006/08/14(月) 23:04:03
>>965
ヒューリスティックによる「誤検出」ということもあるかも
というのは、Dr.Webだけだというのと、modificationとなってるから
970名無しさん@お腹いっぱい。:2006/08/14(月) 23:13:44
>>967
すいません、ヤフオクに大量出品されているシェアソフトですので詳細を言うと
厄介なことになりそうだからです。
また、ノートンやバスター、カスペルスキーなどには無反応なのでDr.Webの結果を信用してもいいものかと思ったからです。

>>969
ありがとうございます。気にせず使っていこうと思います。
971名無しさん@お腹いっぱい。:2006/08/15(火) 00:30:18
>>968
レジストリの自動実行エントリを削除とはどうやるのでしょうか?
regeditでexplorerで検索してもそれらしいものは発見できませんでした。
972968

>>971
じゃあ これでも使ってみて

http://www.diamondcs.com.au/index.php?page=asviewer