1 :
名無しさん@お腹いっぱい。 :
2006/08/04(金) 11:38:02
■■ウィルスに感染しないために■■
★ウィルス監視ソフトを常駐させよう。
→常に見張っていてくれる監視ソフトを導入すれば、あなたの負担もグッと減ります。
★知らない人から届いた添付ファイルに注意!
→知らない人からファイルをもらう理由はありません。
★添付ファイルのファイル名だけで信用しない!
→ファイル名だけでは中身は分かりません。
★知り合いからの添付ファイルでも、注意しよう!
→アドレス帳に登録されている人に送信するウィルスもあるので注意が必要です。
★怪しいファイルをダウンロードしない。
→怪しいファイルにウィルスが混入しているケースもよくあることです。
怪しいファイルや違法性のあるファイルはダウンロードしないようにしましょう。
■■ウィルスを発見・感染したら届け出を! ■■
もしウィルスを発見したり、感染してしまったら届け出をしましょう!
★IPAセキュリティセンター コンピュータウイルスに関する届出について
http://www.ipa.go.jp/security/outline/todokede-j.html こちらに届け出の方法などが記載されています。
E-mail・郵送・FAXが利用できますので、ぜひ届け出ましょう。
「W32/Netsky」ウイルスの亜種(Netsky.Q)に関する情報
http://www.ipa.go.jp/security/topics/newvirus/netsky-q.html ・差出人アドレスは詐称されます。
・件名: 以下のいずれかひとつ
* Mail Delivery System (<受取人メールアドレス>)
* Failure (<受取人メールアドレス>)
* Delivered Message (<受取人メールアドレス>)
* Deliver Mail (<受取人メールアドレス>)
* Delivery Error (<受取人メールアドレス>)
・添付ファイル名: { message、data、mail、msg } + { ランダムな数字、なし } + { .pif , .zip }
例: date7386.pif 、 message19392.zip など
「W32/Mydoom」(別名:Novarg)ウイルスに関する情報
http://www.ipa.go.jp/security/topics/newvirus/mydoom.html ・差出人アドレス(From): コンピュータから取得できたアドレスを詐称。
・件名:(以下の候補のいずれかを選択)
* Error
* Status
* Server Report
* Mail Transaction Failed
* Mail Delivery System
* hello
* hi
[ 任意の文字列 ]
・本文:(以下の候補のいずれかを選択)
"test"
"The message contains Unicode characters and has been sent as a binary attachment."
"The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."
"Mail transaction failed. Partial message is available."
[ 任意の文字列 ] [ 空白 ]
・添付ファイル名: ランダムなアルファベット
9 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 11:48:01
10 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 11:55:29
【使用OS】 Windows XP SP2
【WindowsUpdateしてるか】している
【AntiVirusは何を使っているか】ウイルスバスター2005
【ちゃんとUpdateしてるか】している
【スキャンした結果(ウイルス名・発見場所)】
【別のオンラインスキャンしたならその結果は】
【症状を具体的に、分かる限りすべて書く】
何かのダイアログが表示される
スタートアップにC:\WINDOWS:SVCHOST.exeが追加された
【何をしたらそんなことになったのか】
前スレの
ttp://up2.viploader.net/mini/src/viploader57529.lzhの中身を実行してしまったorz 【これまでにとった措置】
といあえず、タスクマネージャから殺して
スタートアップの C:\WINDOWS:SVCHOST.exe ってのを消したけど・・
”:”と言うのはどういう事なんですか?
Windows Defenderで見たらこうなってました。
ファイル名: WINDOWS:SVCHOST.exe
表示名: WINDOWS:SVCHOST.exe
説明: 不明
発行元: 不明
デジタル署名元: 署名なし
ファイルの種類:
スタートアップの値: C:\WINDOWS:SVCHOST.exe
ファイル パス: C:\WINDOWS:SVCHOST.exe
ファイル サイズ: 812544 Bytes
ファイル バージョン: 不明
インストール日時: 2003/12/06 0:57:54
スタートアップの種類: レジストリ: Current User
場所: Software\Microsoft\Windows\CurrentVersion\Run
11 :
10 :2006/08/04(金) 11:57:04
それとsvchostで検索したらこんなのが出てきました。 C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ServicePackFiles\i386\svchost.exe C:\WINDOWS\$NtServicePackUninstall$\svchost.exe C:\WINDOWS\I386\SVCHOST.EX_ 後、念のため2ch.netを制限サイトに追加しておきました・・・
>>10 俺も 感染中
手の施しようがなくて困ってる
13 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 11:58:43
14 :
13 :2006/08/04(金) 11:59:25
転載
20 名前:アラストル メール: 投稿日:2006/08/04(金) 10:34:11 ID:1Z/++3hJ0
43 名前:アパレルの女 メール: 投稿日:2006/08/04(金) 07:23:00 ID:/EKOcO+n0
俺のためにはっておく
localhostIP(自分のPCを指すIP)の
http://127.0.0.1 で何も表示されなければ感染してないことがチェックできる。
329 名前:名無したん(;´Д`)ハァハァ メェル:sage 投稿日:2006/08/04(金) 00:53:40 ID:UdWNDLPJ
このファイル名は全部ウイルスだぜ
812,544byte、CRC EA1438CC
これを起動して表示されるURLだぜ.exe
Nemu0.8 日本語化パッチ.exe
r00t hacker.exe
完全攻略5(ソフト版).exe (クリムゾンフォルダ内)
Yamada_Virus_Checker_ver1.0.2.exe
ポケットモンスター・リーフグリーン.exe
ゲームセンターCX ハッシュリスト.exe
新しいフォルダ .exe
seisyun18 .exe
山田ウイルスチェッカー.exe
我が家のメイド .exe
FFFightΩ.exe
炉.exe
image001.jpg .exe(viploader38302フォルダ内)
15 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:02:41
16 :
10 :2006/08/04(金) 12:03:09
山田ですか・・・
>>13 は表示されませんでした。
ポート80も開いてないようです
17 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:03:31
同じく感染者ですが
>>13 の「
http://127 〜」を開いても繋がりません
SSがUPされているのは確認しているので感染は確実にしています・・・
18 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:05:01
19 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:05:52
ミス。
>>13 じゃなくてこれ
・スタート→ファイル名を指定して実行で「cmd」を実行、コマンドプロンプトを表示して
netstat -ano と入力。Local Addressの「:」の後が80や8000、8080などがあったらピンチ
(Foreign Addressの方は80などがあっても無関係)
20 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:08:34
駆除ソフトもう出来上がったんですか? 早速使わせてもらいます。
23 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:12:02
>>19 80系見当たりませんでした
・やったこと
山田ウィルスチェッカー.exeを踏む
↓
実行してしまう
↓
ウィルスと気づきプロセスの終了とレジストリの〜Version\Runに追加されていた不審な値を削除
↓
本体と思われるC\WINDOWS:SVCHOST.exeを削除しようと思ったが見当たらない ←いまここ
>>17 マイキャプチャーなど次々とデスクトップのスクリーンショットが見覚えのないファイル名で
作成されてますか?
26 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:13:07
avg実行しろ
netstat -ano ↑ o のオプションが有効なのは WindowsXP or Windows Server 2003のみ その他のOSであれば netstat -an がよろし
28 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:16:14
>>24 これはスレ違いな質問かもしれませんが、マイキャプチャーとはなんでしょう?
マイドキュメントのことでしょうか?
>>26 3時間前に実行済みですが検出されませんでした
最新バージョン入れてます
>>28 はい、そうです。マイドキュメントの中に見覚えのない名前のファイルのデスクトップのスクリーンショットはありますか?
31 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:18:29
>>15 のまとめwiki開いてポップアップブロックってでたんだけどコレ、アウト?
32 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:18:51
ローカルに8080を発見したんだが、該当フォルダが見付からん。
「バスターとノートンはまだ対応してない」って。。。 マカフィーもきちんと対応してくれますよね?
34 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:20:24
wikiのアドレスふんでしまった;;;;;;;;;;;;;;;;;;;;;;;; コマンドプロンプトでnetstat -ano実行したんだけど 内部コマンドまたは外部コマンド 操作可能なプログラムまたはバッチファイルとして認識されていません って出るんですけど・・・
35 :
13 :2006/08/04(金) 12:20:36
>>15 マックですけどwikiも危ない。
ふんでもいいけどlzhはダウンしない様に。
>>30 マイピクチャに4枚ほどありました
感染したのは昨日の夜23時ぐらいです
バッチリネトゲやってるところが映ってました・・・
リングメンバーにバレてたら確実に不正プレイヤーとか疑われそうだ
37 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:21:51
>>35 ダウンまではしてしまったのですが・・・
実行はしていません。感染していますかね?
38 :
13 :2006/08/04(金) 12:22:39
>>37 してないはずだ
時々マイピクチャのなかを見ておいて
ネットに繋いでても繋いでなくてもタスクマネージャーにsvchostのユーザー名でアウトですよね? 俺それないんですけどSSうpされました 正直把握できません
40 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:22:50
41 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:23:56
>>36 お前VIPでヲチされてたぞ
VIPのスレに張ってあるのはほとんどウイルスだから間違っても踏むなよ
>>15 のwiki踏んだらどうなんの?
勝手にダウンロードするとか聞いたんだが、俺全然そんなんならんのだが
qwd」
44 :
13 :2006/08/04(金) 12:24:44
>>39 ダウンしたウイルスくれ。
見つけたらAVGに送ってる。
45 :
40 :2006/08/04(金) 12:24:57
追記: ファイル名は 【苺きんたま Re-birth】〜から始まるものでした
やたらAVGを勧める書き込みが多いのは気のせいか('A`) AVGへは検体2種類提出済 次のアップデートで対応すると昨日返信があった 次のアップデートというのがいつなのかは分からんが ちなみにKasperskyは 「Trojan.Win32.Delf.wk」、「Backdoor.Win32.Delf.afu」として対応済
>>44 avastにも送っていただけないでしょうか。
自分でもやるべきなのでしょうがチキンなもので…
49 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:27:08
>>41 うは、これでECOの知名度と同時にうちのキャラの知名度も大幅うpですね・・・
VIPではなくほかの板に「ウィルス注意、最新のチェッカーで検索しよう」というレスが貼られていて油断しました
後で知った事ですがVIPPERがあちこちバラまいてるんですね
>>45 俺もあったよぉwwww
今から感染してるかどうかわざとネットにつないで見るつもり
これ以上ふえたら・・・・・・・orz
51 :
13 :2006/08/04(金) 12:28:51
52 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:29:44
>>49 確認したかぎりでは
山田チェッカー
各種ネトゲチートツール
ポケモングリーン etc
に偽装されてばらまかれてる
53 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:30:26
とりあえず、現状での対処法は マイピクチャ内にファイルが増えてないか確認 【苺きんたま Re-birth】〜から始まるファイルがあったら削除 でいいのでしょうか?
Kasperskyのオンラインスキャン行ってきます
55 :
13 :2006/08/04(金) 12:32:42
56 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:34:12
>>52 チートツールにも含まれてるんですか・・・
なんかどんな言い訳しても確実に升er扱いされそうだ
とりあえず現状
・うpされたSSは4枚のみ
・ポート80、8080、8000は閉じている(らしい)
・
http://127.0.0.1には繋がらない ・本体ファイルが見つからない
Kasperskyのオンラインスキャン初期化失敗とかうまくいかなかった・・
58 :
13 :2006/08/04(金) 12:35:54
新しいのはサーバにはなってないのかもね。
Firewallいれてる?
>>56
59 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:36:00
>>48 >>44 ではないがavastには提出済
だがしかし、avastは検体送っても返信してくれないので
対応についての詳細はわからん
62 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:38:03
>>60 以前jeneが誤検出されたときに送ったら
返信を貰った記憶がありますよ?
64 :
54 :2006/08/04(金) 12:43:37
俺もうまくいってない模様
65 :
13 :2006/08/04(金) 12:43:49
>>62 念のためFirewall入れて、ウイルスらしき接続を拒否しな。
もしかしたら亜種も防げるかも知れないし。
今のオイラにはそれくらいしかわからない。
アンチドートはどうだろう
67 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:47:30
>>65 WindowsファイアウォールってやつでOKですか?
68 :
54 :2006/08/04(金) 12:47:52
俺動きました でも、オンラインスキャンのも対応してますよね?
69 :
13 :2006/08/04(金) 12:49:19
>>67 付属でもいいのかもな。
俺ならZonealarmかOutpostいれるけど。
連カキスマソ
>>66 AntidoteはKasperskyと同じスキャンエンジンを使ってるので、
最新版であればおそらく対応してると思う、が確認はしていない
ごめんなさい、もう一度聞きます とりあえず、現状での対処法は マイピクチャ内にファイルが増えてないか確認 【苺きんたま Re-birth】〜から始まるファイルがあったら削除 でいいのでしょうか?
73 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:56:30
とりあえず対応していると思われるウィルス対策ソフトをダウンロードしようと思ったのですが個人情報入力が・・・
とりあえず俺は、自分のできる範囲で他スレに警告だしてる。
75 :
13 :2006/08/04(金) 12:57:06
>>72 > マイピクチャ内にファイルが増えてないか確認
> 【苺きんたま Re-birth】〜から始まるファイルがあったら削除
感染の確認だな。
駆除はできてないはず。
76 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 12:58:35
netstat -ano 半角スペースが入ってたのを見逃してた; ローカル80、8000、8080は無かったから、大丈夫と思っていいんだろうか・・・
77 :
13 :2006/08/04(金) 12:58:54
78 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:03:42
>>75 ですよね。
このフォルダに新たな画像が作成されない限りは
新たなファイルのうpはないものとみて間違い無いのでしょうか?
それと、ウィルスの駆除ですが
AntidoteもしくはKasperskyのオンラインスキャンをすればよろしいのでしょうか?
ご教授願います
80 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:08:12
>>59 203.174.77.5:80
アクセス先
山田ウイルスチェッカー.exe
一丁前に80ポートでリッスンしてやがる
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
エントリ: DisableTaskMgr 0x00000001 (1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
エントリ: SVCHOST "C:\WINDOWS:SVCHOST.exe"
これもパスを間違っているのかな? 多分このつもりなんだろうから 正 "C:\WINDOWS\SVCHOST.exe"
これもこんなファイルは作られないな?
どうせルーターでも使っていれば、外部から80ポートへのアクセスなんて通らないしな
これって不良プログラムなんじゃないのか?
82 :
13 :2006/08/04(金) 13:09:18
>>79 駆除は知らない。
Firewallでブロックして凌ぐことしかわからん。
83 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:12:17
今さっき感染した人間ですが レジストリ消したら【苺きんたま Re-birth】〜から始まるファイルが作成されることはなくなったようです
84 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:17:03
>>82 ありがとうございます
>>83 どの値を削除すればよろしいのでしょうか?
・ユーザー名で動いてるsvchost.exeがあった→消した
・コマンドプロンプト見た→無かった
・
http://127.0.0.1/を開く →ページを表示できません。
・マイピクに【苺きんたま Re-birth】〜あったので速攻消した
こんな感じなんですけど感染してるのでしょうか?
shellsystem.exeってレジストリにあったら削除?
87 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:19:00
バスター君ではまだ検出出来なかったので、トレンドマイクロに報告はしたけど、 どうせみんな送ってるんだろうなー
88 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:19:04
>>81 >[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
>エントリ: DisableTaskMgr 0x00000001 (1)
これ削除推奨?
>>85 SSあったらバリ感染っぽいです
89 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:19:11
90 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:24:50
まったりから来ますた
面倒でもクリーンインスコした方が確実だろ
92 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:27:22
93 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:28:16
>>91 バックアップしたいファイルに感染してるかもしれないからそう簡単には・・・
94 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:28:47
95 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:29:32
なんか感染しても自分ひとりじゃなければ怖くないね
96 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:30:12
>>81 読み直してみた
>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
>エントリ: SVCHOST "C:\WINDOWS:SVCHOST.exe"
>これもパスを間違っているのかな? 多分このつもりなんだろうから 正 "C:\WINDOWS\SVCHOST.exe"
>これもこんなファイルは作られないな?
つまりウィルス本体はWINDOWS:SVCHOST.exeじゃないって事ですか?
97 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:36:54
現状は自分のデスクトップが勝手にうpされないようにすることしかできんな・・・
98 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:37:43
速くマカフィーでアップデートしてくれないか待つばかり 何もできない自分が不甲斐ない ところでやはり自分のマイピクチャにもアップされた画像がありました しかしさっきからオンラインスキャンをするためにオンラインしてるんですが一向にアップされません 駆除されてなんかないですよね?
>>96 ie-spyadのレジストリスクリプトでも流し込んどけ
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\2ch.net\tmp6]
"*"=dword:00000004
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\2ch.net\up.isp]
"*"=dword:00000004
こんなのは制限付きサイトとして登録されるからcgiでアップされなくなるんじゃないのか?
本スレで ▼━ウィルス感染ファイルの確認の仕方━━━━━━━━━━━━ 以下を実行 セーフモードで起動してください 「スタート」メニューを開いて、ファイルを指名して実行をクリック regeditと入力してOKをクリック(Win2000の場合は、regedt32と入力してOK) レジストリエディタが開く HKEY_LOCAL_MACHINE\Software\CLASSES\.dll HKEY_LOCAL_MACHINE\Software\CLASSES\.exe HKEY_LOCAL_MACHINE\Software\CLASSES\.sys HKEY_LOCAL_MACHINE\Software\CLASSES\dllfile HKEY_LOCAL_MACHINE\Software\CLASSES\exefile HKEY_LOCAL_MACHINE\Software\CLASSES\sysfile HKEY_LOCAL_MACHINE\System\CurrentControlSet 上記のキーはウィルス、スパイウェア、ハイジャッカーなのであれば削除すること。 とのレスがあったのですが、本当なのでしょうか?
102 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:43:14
>>100 すいません、言ってる事がよくわからない
ie-spyadのレジストリスクリプトとは?
流し込むとは?
103 :
10 :2006/08/04(金) 13:44:12
マイピクチャに画像があったがうpはされてないよう・・・ IE-SPYAD入れてたからだろうか・・
105 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:47:49
拡張子偽装有りか?
106 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:48:27
>どうせルーターでも使っていれば、外部から80ポートへのアクセスなんて通らないしな つまり人によってはマイピクチャに画像があってもうpされてないってことかな
107 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:49:01
108 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:50:38
>>104 ありがとう、でもこれIE用?
IE不便だから使ってないのだけど有効なのだろうか
109 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:53:09
インターネットオプションの制限付きサイトに登録するんだから IEじゃなくても大丈夫なんじゃない? プニルつかってるからどうかわからないけど
111 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:56:38
112 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 13:57:31
AVGは対応できるようになったらしい
前回の祭りのときはキモヲタっぽいSSだらけだったが 今回はどうみても一般な人、女性っぽい人、まじめに仕事している人が多数ひっかかっているように見える なぜここまで広まったんだ?
あちこち爆撃しまくってる馬鹿vipperがかなりいる模様
様々な板や一般掲示板にウイルスが貼られまくってるから
117 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:20:21
>>113 山田ウィルスチェッカー.exe
が効果大だったと思う
自分もそれにやられたし
>>113 俺もvipperだが・・・
やりすぎだろ・・こりゃ
119 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:21:47
>>113 おそらく「ウィルス蔓延中、このチェックソフトでチェック」というカキコを見て踏んでしまったのかと
VIPだけではなく、他の板にも偽警報文がコピペされているのでそれで被害が拡大したのかも
私もそのチェッカーにだまされた1人です
俺はウイルスと分かっていながらダブルクリックorz
121 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:22:59
カスペルスキーオンラインスキャンで一個発見されました 恐らくコレだと avgは対応したと聞きましたが 既にインストールしてあるアンチウィルスソフトはアンインストールしたほうがいいですよね?
122 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:23:03
バカしか引っかからないねこんなウィルス
123 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:23:49
>>117 vipper自身の自爆も多いみたいだがな
124 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:23:52
糞VIPPERはVIPの中で引き篭もってろよ
>>107 その画像とかだと今v.isp.2ch.netに飛ばされるよね
だとするとこれで登録した方が今は安全なのかな?
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\2ch.net\up.isp]
"*"=dword:00000004
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\2ch.net\v.isp]
"*"=dword:00000004
126 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:31:24
別にデスクトップ公開されても痛くも痒くもないんだが
あちこちにウィルス貼り付けてるvipperは 大丈夫なのか?訴えられたら洒落にならんだろ。 別にどうでもいいが
このウィルスはデスクトップの画像のみをupする奴なんですか?
>>85 氏と同じ状況なのですが。
じゃあ帰れ
130 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:36:13
糞VIPPERはVIPの中で引き篭もってろよ
131 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:37:11
ラウンジから来ますた。
132 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:37:49
ν速から来ますた。
ロビーから来ますた。
134 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:41:32
とりあえずパソコンから書き込みできるようにだけでもできないですか? 教えてエロい人
135 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:46:04
>>59 のファイルを解凍のみ実行では感染していないのでしょうか?
タイミング次第でメルアドとかそういうの出ちゃうよね
337拍子wwwwwwwwww
誤爆スマソ
139 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:50:48
140 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 14:50:49
糞VIPPERはVIPの中で引き篭もってろよ
引っ掛かる奴も少々あれだが VIPPERもやり過ぎだな・・・
142 :
135 :2006/08/04(金) 14:53:25
>>139 dです。
とりあえず解凍した時点で全て消しました。
・・・ていうか解凍自体やったらNGですよね・・・。面目ない・・・。
143 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:00:06
レジストリの HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run にctfmon.exeがあったんだが観戦してるかな? svchostはユーザー名で実行してるのはなく、マイドキュメント、ピクチャにも怪しいのはなかった。山田系にも感染してないみたいなんだが不安で………
144 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:01:33
145 :
13 :2006/08/04(金) 15:02:57
146 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:07:21
カスペルスキーのオンラインスキャン対応済み 見事に山田ウィルス発見確認ができてよかった 今からavg導入しますが対応済みですよね
147 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:08:09
カスペルスキーオンラインスキャナの初期化に失敗する これもウィルス原因?
>>146 発見してくれるけど完全駆除まではしてくれないよ
149 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:09:56
>>147 俺は感染してたけど(現在も)動きましまよ
150 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:13:13
>>148 やっぱりマカフィーの更新待った方がいいですよね?
>>147 同じく、なぜ初期化に失敗ってなるんだろう・・。
152 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:16:16
487 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2006/08/04(金) 15:06:28.33 ID:vlYwX1030 やっと分かった ようはスタートアップのファイルを削除すればいい easy cleanerってソフトWindows板でおとして スタートアップ→赤いやつ削除でおk
svchost.exe が見つからない。当方WinME。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run の WINDOWS:SVCHOST は削除した。
>>151 見つかっても対処方法がなくて…
何もできません
ノートンで例のvipロダのlzh落としたら 削除してくれた^^
>>154 そうなんだ、ってかバスター家使ってるが発見されないってことはまだ対処に時間かかるってわけか・・
157 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:23:48
>>150 そのうち各ベンダーも駆除ツール出すだろうから、今できる対策を
自分でできてれば特に問題のあるウイルスでもないから待っててもいいと思うよ
感染して自分で対応できてないなら、AVG入れてれば実行時に遮断はしてくれるからいいかも
あと、FWでWINNT:SVCHOSTまたはWINDOWS:SVCHOSTの外部への通信を遮断すること。
159 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:24:28
>>156 俺はマカフィー
国内のシェアウェアはまだ対処してないっぽいですね
情報を見続けて対応するのを待つばかりです
svchostってなに??
自分のSSって取られたらマイドキュメントに跡必ず残るの?何晒されてるか心配・・。
>>154 見つかった?
よければウィルスの場所教えて欲しい
>>162 サンクス!自分は最初踏んだときの1枚あったけどもしも最初だけ跡残って後からのは残らなかったら恐い・。
撮られたやつってちゃんと跡は残るのかな・・。
【苺きんたま Re-birth】〜から始まる名前のファイルが 消しても消しても作成されちゃうって人いる?
166 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:32:20
>>155 にも言ってるが例のLzhはノートン先生がbackdoor.Torojanで見つかったが、
>>15 にある自己解凍版には反応しなかった
つか今回出回ってるウィルスはマイドキュメント等にSSの残骸が残ってなかったら観戦してないと考えていいものなのか………どうなんだろう
>>163 スイマセン
メモっないです・・・・
>>164 俺も一枚目しかありません
その後からのは残らないのか・・・・
そうだったら。。。。
168 :
164 :2006/08/04(金) 15:33:25
>>165 うん、それが知りたいよね。
自分のもそのタイプの作成されてた。
最初の踏んだときの1枚しかなかったけど削除一応しました。
作成はされてないけどいつSS撮られてるか恐いよね
169 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:34:29
このウイルスはデスクトップを晒すだけなんですか?
すぐ亜種で対応されそうな
171 :
164 :2006/08/04(金) 15:36:43
>>167 そうでしたか、他の人は何枚もファイルあるかちょっと気になりますね。
もし最初以降残らなかったら晒されるか恐いですね
172 :
13 :2006/08/04(金) 15:37:43
uploaderが止まった模様
vipperの影響力に嫉妬
>>172 アップされないってことで解釈していいんですか?
実際何枚もアップされてる人は気づいてないから聞きようがない。。。
じゃ
>>15 の自己解凍版と
書庫圧縮版は別物なのか・・・
フレッツの方に、NTTからもらったルータ以外に市販のルータをもう一個つければウィルスが防げると聞きました。 パソコンに害を成すウィルスは、だいたいがメールに添付されていて、そういうのはプロバイダのメールのウィルスチェック機能で防げるとも言ってました。 以上のことをすればウイルスバスターを削除しても大丈夫だと聞いたんですが、マジですか? 今バスターのせいでネットに繋がらないんで、削除しちゃおうかと思っているんですが・・・ 詳しいかた教えてください m(_ _)m
178 :
13 :2006/08/04(金) 15:48:35
179 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:48:50
>>175 多分別物だと思う
176
ただの503の広告ページしか出ないんだが
180 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:49:02
実行したけどどうすりゃいいの? ヘルプエロい人
181 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:52:25
>>178 ウイルス対策ソフト入れないとヤバイですか?
その人は、経験上それでほぼウイルスは防げると言っていたんですが・・・
>>181 だまされるな
バスターの設定いじればネットできるようになる
183 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 15:55:54
いれたほうがいい。詳しいことはもっとエロイ人に聞けば答えてくれるだろうがネット環境がないときでもウィルスに感染する可能性はある。 経験談で言えばダチから修学旅行のデジカメ画像の中にウィルスを仕込まれて半月ほど使い続けてしまった事がある。
よくわからんな。2000で踏んじまった。
・ユーザー名で動いてるsvchost.exe→Win2kなんでよくわからない…ないと思う
・コマンドプロンプト見た→無かった
・
http://127.0.0.1/を開く →ページを表示できません。
・マイピクに増えたファイル・画像→ないっす
レジ等にも怪しい部分はなし。
うーーん??
svchost.exe無いな
186 :
13 :2006/08/04(金) 15:58:35
>パソコンに害を成すウィルスは、だいたいがメールに添付 いつの時代の事情だよ!
>>182 ・・・とりあえずまた後でバスターに電話してやり方聞いてみます(´・ω・`)
バスターを切るとページが表示できるんですが、その後起動させるとそのページのリンク先以外のページには繋がらないんです。。。
>>185 ないよね。私も無い。
私はWindowsME使ってる
190 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 16:03:49
>>184 俺とほぼ一緒の症状だ。OS以外は一緒だな。ちなみに当方XP
昨日の深夜に専ブラのビューワがスレ開いたときに開いちまったみたいだ。これって大丈夫なんかな?どう思う?
>>186 その後交友関係を絶った
>>183 >>187 ・・・フレッツのおじさん(´;ω;`)
バスターが4年保証ものなんで、もちょっと粘ってみます('A`)
ルータで済むんなら楽だと思ったんだけどなあ・・・
防げませんか?
192 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 16:06:00
>>190 俺も同じくXPでSS画像開いてしまったぽいけど、
>>80 にあたる症状がどれも無い
SS画像見ただけでは感染しないのだろうか?心配・・・
>>191 防げません。ホームページを見ただけで感染なんてことザラにあります。
>>192 いろいろやってみますた(´・ω・`)
URLフィルタをオフにしてみたり、偽証URLフィルタ(?)をオフにしてみたり・・・
でもダメですた。
あとデスクマットの右下に、パソコンマークに黄色い三角の!マークが表示されていて、
それをクリックしたらローカルエリアネットワークがうんたらかんたらと出て
修復ボタンを押したら、IPアドレスの変更ができないという表示が出ました。
>>194 orz
プロが言うから信じてしまった・・・・・
山田ウイルスチェッカー.exe踏んじゃった!! 実行した瞬間NISが反応したので、ブロックはしたんだけど送信されたのかな? マイピクチャにSSが一枚、127.0.0.1は無し、NETSTATで80、8000、8080ポート無し。 タスクマネージャでsvchost.exeが6個あるが自分のユーザー名のは無し。
198 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 16:17:53
>>193 俺もだ。
>>80 だけじゃなく、キンタマ、山田などのウィルスの駆除方法を調べたが該当するものがない。
専ブラの画像ビューワがリンク先の.exeは踏んでなかったみたいなんだが、
拡張子を偽造してあるファイル(おそらく.exe)を読み込んだみたいだ。
訳わからん英語と数字の羅列がビューワに広がった。無論すぐに消したが………これなら大丈夫なのか?
>>195 バスター使ってる訳じゃないから詳しいことはバスターの関連スレッドやここのエロイ人に聞くといい。
でもバスタを切るとネットできるんならおおそらくバスタが原因だろう。あと力になれずにスマソ
201 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 16:20:58
>>198 その辺の違いがわかりませんでした(ノ∀`;)
>>199 >訳わからん英語と数字の羅列がビューワに広がった
バイナリで見ただけで、実行したわけじゃないので多分大丈夫
204 :
190 :2006/08/04(金) 16:22:31
一応NGワードに .exe 入れておいた・・・
>>200 ちなみにそのlzhの中身はbackdoor.Torojan?(うろ覚え)だった。ノートン先生が反応した
自己解凍型は報告があるように別物みたいだ。こっちはノートン先生が反応しなかった。
>>203 そうなのか!情報サンクス!
リンク先の末尾が.exeのはビューワで開いてなかったみたいだ。
一応NGワードに .exe 入れておいた・・・・
>190>193は大丈夫なんじゃないかな。 exeを実行したわけじゃなさそうだ。
誰かavastの中の人にに検体送った人居る?
連続で書き込みすみません
>>197 今夜はノートン先生にうなぎでも食わせてやんなさい
反応した = 未然に防いだ てことだよ
だが念のため、フルスキャンをオヌヌメ
>>211 その名前からするとC:\のルートにそのファイルは作られるのか?
219 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 16:36:23
220 :
13 :2006/08/04(金) 16:37:44
>>219 たぶんSVCxxxにくっついてるんじゃないか?。
駆除できないのかね。
>>206 ルーターは
貴方のパソコンと外のインターネットを結ぶネットワークを
守ります。
アンチウイルスソフトは
貴方のパソコンの中で悪さしようとするプログラムを見つけたり削除してくれる。
あなたのパソコンがずたずたになったら嫌でしょう?
>>218 どういうこと?
言ってる忌みがわかんないです
224 :
193 :2006/08/04(金) 16:38:30
>>212 ありがとう。
俺は偽装ファイルも踏んでないのでとりあえず安心です
>>205 レスありがとうございます。
ということは、このウイルスはWinME以前のOSなら
効果は無いという事なのでしょうか?
>>222 Cのルートに"Windows:Svchost.exe"ってファイルが作られて起動時にレジストリから実行されるようだな
間違いじゃなくてわざとそんな名前にしているようだ
多分文法上受け付けないファイルだから、del "\\?\c:\Windows:Svchost.exe"
このパターンじゃないと削除出来ないだろう
>>215 exe本体は削除してフルスキャンしたけど反応無しでした。
たぶんまだ感染はしてる模様、ノートンの対応待ちですね。
今回はファイヤーウォールが役に立って良かった。NISえらい!
229 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 16:50:11
>>220 駆除できないってことは再インストールしかない?
ウイルスに感染したかの確認は
・タスクマネージャーを開いて
ユーザー名で動いてるsvchost.exeがあったらピンチ
・localhostIP(自分のPCを指すIP)の
http://127.0.0.1 でディスクトップが表示されたらピンチ
・スタート→ファイル名を指定して実行で「cmd」を実行、コマンドプロンプトを表示して
netstat -ano と入力。Local Addressの「:」の後が80や8000、8080などがあったらピンチ
(Foreign Addressの方は80などがあっても無関係)
・マイピクチャ内にファイルが増えてないか確認
【苺きんたま Re-birth】〜から始まるファイルがあったらピンチ
これらのどれかに当てはまったらアウト
一つも当てはまらなければ今の所セーフ
って感じでいいんでしょうか?
231 :
199 :2006/08/04(金) 16:50:34
>223と一緒のexeを俺も実行したと思うんだけど >マイピクチャにSSが4点ほど出現 ここが違うんだよなあ。特に何も増えてない。 2000だからか?うーん…
232 :
13 :2006/08/04(金) 16:54:56
>>229 そんなことない。
活動はブロックされてるから大丈夫。
完全な駆除はツールをシマンテックなどから仕入れるしかないかもね。
このウイルスはWinME以前のOSなら 効果は無いという事なのでしょうか?
234 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 16:58:05
>>232 ノートンのお試し使用期間が既に過ぎている・・・
買うしか、ないのかorz
>>234 今回は自分のミスで引っ掛ったんだけど、感染して初めて分かる有り難さ。
237 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:09:45
ここはアホのスクツなのか?
238 :
223 :2006/08/04(金) 17:11:47
タスクマネージャーをはじめて開いた svchost.exeが何個かあったがひとつだけメモリ使用量がほかのより10倍なんだが関係ある? このあとどうしたらいい? あんまり詳しくないもんで
240 :
13 :2006/08/04(金) 17:17:21
>>234 シマンテックから駆除ツールだけ出てることもある。
バスターでも駆除できないらしいし、気にしない。
>>237 みたいだな。
svchost.exe=ウイルスとは限らないっつうの。
ちっとは、ググれよ。
242 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:19:26
>>240 いま完全にブロックできているのかも不安です
このウイルスはWinME以前のOSなら 効果は無いという事なのでしょうか? このウイルスはWinME以前のOSなら 効果は無いという事なのでしょうか? このウイルスはWinME以前のOSなら 効果は無いという事なのでしょうか? このウイルスはWinME以前のOSなら 効果は無いという事なのでしょうか? このウイルスはWinME以前のOSなら 効果は無いという事なのでしょうか?
ノートンは対応済みだとか マカフィーの俺には関係ないけど
245 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:23:22
今出来る対策と言ったら、SS上げられないようにマイピクチャ見張って、 駆除ソフトが出来るまで待つしかないのか?
246 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:23:53
これアップローダどこのにうpされるんだ?
tp://suzukiairi.net/cgi-bin/up/img/puniairi150.jpg これ踏んじゃったんですけどどないなんでしょう? janeの画像ビューアでなんか文字列と数字がでてきたんでとりあえず右クリしてキャッシュ削除ってしといたんですけど… んでこのあとなんかいか踏んだ板のログのdatからウイルスがでてきたんですが… とりあえず検出したのは削除したのですが…ちなみに当方avastです
>>245 ケーブルを引っこ抜く
俺は感染してないパソコンで動向を見守ってます
249 :
223 :2006/08/04(金) 17:26:11
>>239 ユーザー名が SYSTEM だった
てかユーザー名がログイン名のsvchost.exeはなかった
つまり、もう大丈夫なの?
250 :
13 :2006/08/04(金) 17:27:13
251 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:27:41
252 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:29:16
>>248 一応起動時だけはケーブル抜いて、画像消してから繋いでここを見てる。
削除はまだ不可能ってことでいいんだよな?
>>249 俺もユーザー名ないがマイピクチャには画像があった
プロセスを全て書き出してみては?
254 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:31:02
>>247 問題なし
datからウイルスがでてくるのはそのスレにウイルスコードでも貼られてたんだろ
256 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:32:01
他の活動はないの?
>>252 削除できない事もないのかもしれない
でも、俺の腕ではおとなしくマカフィーが対応するのを待つしかない
258 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:34:07
>>254 svchostを削除するときユーザー名以外のも消したりして再起動したときは増えてた。
今は20分くらいつけてるけど増えてない。
最後に起動させたときは、
>>230 の上三つは大丈夫だったけど画像はあった。
>>211 にアップされている画像から推測すると
c:\に"windows:svchost.exe"と言うファイルが作られると読んだ
きっと、変なファイル名だからExplorerからではそのファイルは見えないかもしれない
見えなければ削除出来ないよな
260 :
13 :2006/08/04(金) 17:35:48
svchostのプロセスを削除するんじゃないか?。 プログラムはだめだぞ。
>>255 なるほど見たところ確かにコード張られてました
助かりましたありがとう
263 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:39:04
>>262 いや、ない。
ただ、何回かそれを試したけど、それが全て画像を削除したあとだったからかもしれない。
削除しないまま置いておけば表示されるかも。
My Documentsにマイ ピクチャというフォルダが無いと思ったら 遠い昔に削除したんだった
265 :
13 :2006/08/04(金) 17:44:02
駆除できない人はSafeModeで立ち上げてからスキャンするといいかも。 駄目元でやってみて。
>>263 ないか…
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SVCHOST
は削除したかい?
267 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:46:03
スキャンしたらギコナビのログがウィルス検出 ウィルスコードを見つけたんだろうけど削除しといたほうがいい?
2chに貼られたリンク先に無闇に行くなよ・・・
269 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:48:09
ここも行っちゃ駄目 tp://hosted2.nichedsites.com/galleries/milfpornpass/1H8Y52/sabaweb.html
270 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:50:08
>>266 ごめん、初心者というかバカだからやり方が分からない
あと
http://127.0.0.1 なんだが、もしかしてこのアドレスにlocalhostIPを打ち込んだりして確認しなきゃいけないのか?
単にこのアドレスをクリックするしかしてないんだが。
271 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:52:55
>>270 スタート→ファイル名を指定して実行→「regedit」と入力
あとはHKEY_CURRENT_USER→Software→Microsoft・・・と開いていけばRunまでたどりつくはず
Runにたどり着いたら右側の画面(人によるが)に目をうつし、「SVCHOST.exe」を右クリックして削除
削除する際には必ずウィルスかどうか確かめないと大変なことになっちゃうかもしれない
>>271 さん
それをすればウィルスは悪さをしなくなりますか?
他にもしなければならないことがあるのでしょうか
273 :
13 :2006/08/04(金) 17:54:31
32 名前:orz メール:sage 投稿日:2006/08/04(金) 17:52:37 ID:mGf3wvMd0 VIPの奴ら まだ拡散しようと目論んでるな・・・ 用心して下さいw 一つだけアンチウイルスソフトを入れて下さい。 一つだけFirewallソフトを入れて下さい。
274 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:55:46
>>271 ありがとう、けどウイルスと確認するのはどうすればいいんだ?
感染してるのは間違いないと思うんだが、一応教えてくれ、、
275 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:55:42
>>272 同じ感染者で頭を悩ませているところ・・・
一応こちらの環境では停止していますが、駆除は出来ていませんので油断しないように
277 :
13 :2006/08/04(金) 17:57:07
>250 やってみた。 セキュリティチェックでpingが開いてた。 あれ?自分であけたのかも。
279 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 17:58:29
>>274 このウィルスの今現在の名前は「WINDOWS:SVCHOST.exe」
この文字が見えたらほぼ削除対象。「WINDOWS」と「SVCHOST」の間には「:」があるから注意
>>273 VIPウィルススレではどんどん騙す手口考えてる模様・・・
暫くはどんな拡張子であれファイルは踏まないのが賢明でしょうか
オルタの時は対策の一つとしてUPnPを切ったが 今回は何をすればいいのだろう じっくり待つかね
>>274 Kasperskyのオンラインスキャンでも発見できるよ
俺はそれで発見したし
282 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:02:28
>>279 名前は合ってるようなので削除しておいた。何も起きなかったからウイルスだったかな…
一旦再起動して、新たに画像が作成されるか見てみる。自信ないけど…
>>281 再起動したらやってみるわ。
カスペルスキー オンラインスキャナ ライセンスの有効期限が切れています! と出るorz
284 :
初心者 :2006/08/04(金) 18:04:07
昨日感染してそれから色々試してみたんですが どうしていいか分からず、大切なファイルもないので リカバリdiskを使ってCドライブをフォーマットして、 Windowsを再インストールしました。 これでもウイルスはまだ生きてるんですか?
本気で聞いてる人ばかりかと思いきや たまに釣りだと思いたい質問があるから困る
>>279 本気で聞く
>>271 のMicrosoftまではたどり着いたがそっからRunというのが見つけられない
Microsoftからどうすればいいんだ
287 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:08:45
今回のは本気でカワイソス(自分含めて)だから自分の持ってる情報は真面目に答えるよ
不注意なのはわかってるけど、今回の騙しはVIPPERにしろ酷すぎる気がする
>>284 一応は大丈夫だと思います
ただ、バックアップしたファイルに感染している可能性も現段階ではなくはないので注意
>>286 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
この通りに展開していく
289 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:11:26
>>286 言葉不足だった
場所は
>>266 を参照してください
HKEY_CURRENT_USER
→Software
→Microsoft
→Windows
→CurrentVersion
→Run
こんなかんじにならない?
290 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:11:32
ZAなどのファイアーウォールは通信活動を監視してくれますか?
291 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:12:51
>>282 だが、起動したところ画像は作成されてなかった。
他のチェックも試したけど、三つとも大丈夫だったっぽい。
安全のためケーブル抜いてから起動→確認→接続の流れは変えなかったけど、
ひとまず休憩はとれた、ということでいいんだろうか?まだ少し怖いんだけど…
292 :
初心者 :2006/08/04(金) 18:12:54
>>287 親切に答えてくれてありがとうございます。m(__)m
これで安心しました。
KPF4のApplication Behavior Blockingと同等の機能 (実行制御・ハッシュ監視)を有する単体ソフトウェアはないでしょうか?
>>288-289 本気でありがとう
Runまでたどり着けましたが・・・・
SVCHOST.exeがないんだ。。。。
感染はKasperskyのオンラインスキャンで確認したからあるはずなんだ
実際exeもダブルクリックしちまったし一度SSもアップされたしマイピクチャにも苺キンタマの名前の画像もあったし
タスクマネージャーにもsvchost.exe ユーザー名さえもない
これは一体どうなってるのか把握できない・・・orz
295 :
13 :2006/08/04(金) 18:20:15
カスペルスキーで初めてスキャンしてるが こいつもノートンみたいに ウィルスコードに反応するのね
297 :
初心者 :2006/08/04(金) 18:24:09
質問です。 ポート80を閉じるっていう対策法?が広まっていますが ポート80(WEB)を閉じたらネット自体が出来なくなってしまうのではないのでしょうか? 詳しい方で誰か御教授下さいませんでしょうか。
そういえば今ロダ止まってるよね だから、マイピクチャの画像が増えないのかなと。。。
バスター次回のupdateで対応(´・ω・) ス トレンドマイクロ・ウイルスバスタークラブセンターです お客さまより、お送りいただきました「7月分ロリ詰め合わせ.exe」を お調べいたしましたところ、不正プログラムであることが判明いたしました。 弊社では次回のウイルスパターンファイル「3.637.00」にて、 「TSPY_SUFIAGE.G」として検出するよう対応する予定となりますので、 アップデートをお待ちくださいますようお願いいたします。
301 :
199 :2006/08/04(金) 18:27:03
>295 レスthx ウィルスチェック終了。何にもなかった。 Win2Kだと不発なのかな?あのlzhの中身は。Win2kの人ほかにいないかな? 今カスペルスキーのチェック中。カスペルのオヤジ渋いなw 終わったらレジ全体をsvchostで検索してみるつもり。 runとかrunonceのところには何もなかったから。念のため。
>>294 AA初めてだからずれたりわかんなかったらごめん
画像で説明しようと思ったけど怖いだろうし
┏━━━━━━━━━┓
┣━━━━┳━━━━┫
┃ ┃ ┃
┃ ┃ ┃←こっちの右画面に目を移して欲しい
┃ ┃ ┃
┗━━━━┻━━━━┛
↑
こっちでRunまで行ったら
「SVCHOST」とか「WINDOWS:SVCHOST.exe」とか出てない?
出てなかったらウィルスは悪さを停止しているような状態、ひとまずは安心かもしれない
304 :
184 :2006/08/04(金) 18:29:36
スマソ、俺>199じゃないw >184だった。
305 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:29:42
>>297 そもそも最初っからポート80は閉じてると思います
そこが開いてるとこちらの情報が筒抜けとかなんとか・・・詳しくはわかりませんが
とりあえず閉じていて正常、開いてたらヤバイ
>>294 が本当なら、削除しても解決出来ないってことになるから怖いな
307 :
294 :2006/08/04(金) 18:36:28
>>303 貴方の優しさに俺泣きそう
これ解決したら2ちゃんねるなんか来ないと思ったが
これなら2ちゃんねるに来てもいいと思い始めた
やっぱりないみたいだ でも、一つ引っかかるんが
名前「既定」種類「REG_SZ」データ「値の設定なし」ってのがあるんだけど
これはほっといていいんですか?
>>298 のロダ停止がすげー気になる…
実は今も全く安心出来ない状況って可能性が…
309 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:39:42
>>307 その二つは関係ないかも
うちの結論としては君のPCは感染はしているようだけどウィルス活動はしていないみたいでFA
でも油断は禁物です・・・
310 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:39:54
>>307 それはキーが作られると必ず作られる値だから関係ない
でも右側が「値の設定なし」以外だと気を付けないといけない
312 :
13 :2006/08/04(金) 18:43:13
>>299 >「7月分ロリ詰め合わせ.exe」を
やな名前だよなホント
>>309 ついにFA宣言。。。
まだ、安心はできないけどなぁ
>>311 そうなんですか。。。
確認したところ
名前「ctfmon.exe」「GTAgent」「SearchM」というのがありました
ググってみたところ後ろ二つはNECのパソコンに入ってるものらしいです(俺NEC
一番最初のあんまりいい結果が出ませんでした。。。
314 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:47:55
>>299 のパターンファイル3.637.00公開されてるね
315 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:48:42
>>312 でも、その名前を開くとは相当のロリk(ry
その名前を替えたのは普通の人も開くからすげぇタチ悪い
318 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 18:55:13
>>315 ごめん、オンラインの方はわからない。
自分はウイルスバスター使ってるので更新してチェックしてみる。
感染したのは確かなので。
>>317 クリックしたらページが見つかりませんって出たけどこれはロダが停止してるから?
あとpingって何?
>>59 の分
avastから返事きた
Delf Trojan に分類
次のVPSで対応するようです
>>320 ありがとうございます
これは大切な経験だとおもって
色々そういうことも勉強したいと思います
324 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 19:00:57
>>318 オンラインも対応してる模様
パターン3.637.00きてる
>>321 VIPPERが大量に見て遊んでたから今鯖落ちしてる
>>310 ウィルスぽいって、何で見たんだ?
2ch用ブラウザ?それとも、IE等のブラウザ?
2ch用ブラウザで見て、窓が大量に開くものだったら、ブラクラの一種。
コマンドプロンプトみたときに58080ってあったんですけど これはヤバイのですか?
328 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 19:04:06
>>325 言葉が足りなかった。
ウィルスぽいのでうpされたデスクトップ画像ぽいのが
>>310 のってこと
329 :
13 :2006/08/04(金) 19:05:03
>>297 ポート80はWebサーバ側が開くポート。クライアント側は開く必要ない。
自分でWebサーバを立てるとかなら別だけど
>>324 被害広がらないようにわざと落としたのかもね
331 :
326 :2006/08/04(金) 19:07:26
>>329 削除可能(´・ω・) ス
OCNユーザーだけで(´・ω・) スケド
これはノートン先生は対応済みですか?(´・ω・`) なんだかすごく不安なんだが・・・
>>330 むしろ被害状況知りたいのにな…
自分のデスクトップ晒されてるのは見たくないが、未だに安心できないからな
335 :
13 :2006/08/04(金) 19:11:41
ノートン・バスターは対応済みということですか。。。 マカはまだかなぁ〜
337 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 19:24:32
338 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 19:27:04
>>221 遅レスですが、把握しますた。
ここで聞いてよかった。。。。
340 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 19:49:25
バスター対応してちょっと安心。 キラーはまだか? カスペ、Avira AntiVirは早く対応してたみたいでさすが。
1) ---
7月分のアレ詰め合わせ 他
Trendmicro: TROJ_AGENT.DFN
Symantec: ?
Kaspersky: Trojan.Win32.Delf.wk
Sophos: Troj/Clicker-DK
AVG: ?
avast!: ?
McAfee: ?
Avira: Trojan/Proxy.Dock
Dr.Web: Trojan.click.1345
F-Secure: 対応予定
2) viploader57529.lzh (md5:adedf961b92b7d3a8176b7b1e93bf4d7)
山田ウイルスチェッカー 他
Trendmicro: TSPY_SUFIAGE.G
Symantec: TSPY_SUFIAGE.F
Kaspersky: Found Backdoor.Win32.Delf.afu
Sophos: Troj/Delf-DDR
AVG: Trojan horse Generic YRK
avast!: ?
Avira: Backdoor-Server/Delf.afu.1
F-Secure: Backdoor.Win32.Delf.afu
>>337 気になるよな('A`)
ただ、検出だけならAntidoteやAd-awareでやってくれるっぽい > ADS
うまくまとめられなくてスマソ
違ってたら訂正お願いします あと穴埋めとか
って書き忘れた
>>341
シマンテックのウィルス辞典見たけど TSPY_SUFIAGE.Fがない スパイウェアだからか?
344 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 20:07:25
林
あれ
【苺きんたま Re-birth】〜.jpgが作成されてたり
レジストリにもSVCHOSTが追加されてたのに
Kasperskyのオンラインスキャンでは何も検出されなかった。
AVG Freeで試してみたけどやはり何も検出されず。
レジストリのSVCHOSTの値消したからウィルスとして検出されなくなったとか?
スタートアップには登録されてなかった(C:\WINDOWS:SVCHOST.exe)。
そういや、exeファイル展開した時焦ってもう一度起動したらバグでウィンドウが強制終了した。
しかもそのあとすぐに電源のリセットボタンを押した。
ちなみに
http://up.isp.2ch.net/upload/c=01owarai/index.cgi ここで自分のデスクトップ画像がうpされてたかどうかは確認してない。
347 :
345 :2006/08/04(金) 20:09:24
それと、 Cドライブを全検索してみたけど C:\WINDOWS:SVCHOST.exe こんなファイルも存在していなかった。 今からウィルスバスターでウィルス検索してみる
バスター最新パターンファイルで検索。TSPY_SUFIAGE.Gがヒットしますた。 隔離済みでファイル名が C:\System Volume Information\_restore{3BC57880-BB06********************}\RP702\A0062815.exe (*は伏せています) これってウィルス実際に発動したのでしょうか? それらしき痕跡が全くない(マイピクチャ内のSSやタスクのsvchost.exe等)のですが・・・。
>>348 それはシステムの復元に使うデータの中
いったんシステムの復元無効に汁
ただ、そこに取り込まれてるってことは一度は発動してる気がする
352 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 20:18:41
>>341 間違えました
1)
×Symantec: -
○Symantec: Trojan.Sufiage
2)
×Symantec: TSPY_SUFIAGE.F
○Symantec: Backdoor.Trojan
>>343 スマソ
>>349 d
今朝自宅のPCで山田チェッカーを開いてしまいました。 ポップアップでブロックされたのを解除し、ダウンロード。 で、開こうとしたら、元の何とかが無いと開けません。との警告が出て開けませんでした。 時間が無かったのでとりあえずPCの電源を切り仕事に行き、帰宅後 マイピクチャを確認したら、苺キン○マ名のSSはありませんでした。 タスクマネージャにはユーザー名で動いているものも見つかっていません。 何故ファイルは開けなかったのでしょうか?このような状態で 感染はしていないと思っても大丈夫ですか?
356 :
352 :2006/08/04(金) 20:22:38
ミスw 早速TSPY_SUFAGE.G発見された
バスター対策したってことはオンラインスキャンでもひっかかるのかな?
なあ? 晒された被害者のデスクトップ画像そのものにはウイルス組み込まれていないの? 見ただけでヤバイって話なんだけど。
McAfeeスレによると次のDatで7月分のほうはGeneric Delphiとして検出予定らしい
>>358 え、どうやばいの?
結局バスターで1件だけ見つかってファイル削除、これで大丈夫かな・・
話題になってる今のSSupするウイルスね、 C:\WINDOWS:SVCHOST.exe(←Cドライブの中にWINDOWS:SVCHOST.exe) っていうファイルが作成されるはずなんだけど、検索しても見つからない。 もしかして、全てのファイルを表示するように設定していないのでは? コマンドプロンプトから、ファイルの存在を確認できない? スタート→ファイル名を指定して実行→cmd→OK(コマンドプロンプト起動) c:\Dcument〜\ユーザー名\デスクトップ\>cd c:\(Enter) c:\>dir(Enter) で該当するファイル見つからないの? 見つかったら削除orリネーム(リネームのほうが良いかも) 削除ならdel、リネームならren
>>358 普通に画像として表示されてる分には大丈夫だと思う
ただ、被害者の晒し画像の体裁とってバイナリとか貼り付けてる
レスも混じってるようだからそっちはやばいかも
バスターのオンラインスキャン、パターンファイルの読み込みに失敗しましたって使えないー 前スキャンできたのに・・・。
>>358 見ただけでヤバイっつか、jpgに偽装してヤバいものをうpする香具師がいたよ
偽装うpができてしまうアップローダにも問題あるんだが('A`)
PHP.Backdoor.Trojan@Symantec
Trojan.HTML.Bomb@Kaspersky あたりが最近jpgになってうpられてた
【 最 重 要 事 項 】 ウィスルやブラクラだと思われる物の直リンは厳禁!!!!!!!!!! 質問の時は頭の『ht』を抜いて貼り付ける事
感染源貼るなよ池沼
すいません。h抜くの忘れてました PC投げ捨てて吊ってきます
372 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 21:37:40
彼女の写真フォルダとかあると見られる危険ありますか? DVDに移動する時間がないけど・・・ 祭りになったらいやだな。
ただのSSで干渉能力はないから表示さえしなければばれないよ
スパイウェアに分類されるのか
>374 >しかしながら、上記ファイルの作成は失敗に終わるようです。 元々存在してないってことだから、どれだけ検索しても見つからないんだ… >364の方法も意味無しなんだな。
>>374 バスタ詳細でたか
代替データストリームかと思ったらただのプログラムミスか
作者はあほVIPだな
ノートンも対応したみたい
>>15 のでいうと
自己解凍版…PHP Backdoor Torojan
書庫圧縮版…Backdoor Torojyan
俺はこの二つしか落としてなく(実行もしていない)、
落としたファイルは削除したが
Tempデータに残ってたものに反応した。
同じ反応した人いる?
382 :
345 :2006/08/04(金) 22:15:43
ウィルスバスターの検索終わった。 一度目の検索でviploader57529.lzh内のTSPY_SUFIAGE.Gが見つかった。 あれ、おかしいな そのlzhファイルは消したはずなんだけど…と確かめてみたところ やはりファイルが見つからない。 おかしいと思ってもう一度ウィルス検索してみたが、 二度目の検索ではウィルスは検出されなかった。 むー。
>>381 書庫圧縮版の対応は確認してるが
15の自己解凍版踏もうとしたら
表示されなかったので確認できなかった
>>381 自己解凍版はPHP.Backdoor.Trojanだったのか('A`)
そっちの方は単なるPHPスクリプトだから、WebサーバでPHPインスコしてるマシンで
発動させたんじゃない限り問題梨
書庫圧縮版は実行させるとマズイけど('A`)
>>383 「c99shell.php」でググるとどこかに落ちてるかも
つまりVipperが主に拡散させようとしていた lzhの中身のほうが多くの人に危険って訳か…
387 :
184 :2006/08/04(金) 22:34:06
NIS2003インスコ。フルスキャン終了。 検出ナシだった。とりあえず回線繋いで様子見です。
388 :
184 :2006/08/04(金) 22:36:07
>書庫圧縮版は実行させるとマズイけど('A`) オレw それやったのw でも結局症状ナシ?でかなり悩んだ。 NIS入れると専ブラに影響が…設定しなきゃw
結局lzhの山田チェッカーウィルスをマカフィーは対応してないと。。。。
391 :
名無しさん@お腹いっぱい。 :2006/08/04(金) 22:45:02
中野ってなんだよ
>>387 セーフモードでスキャンしてみると
なおよいかも
山田ウイルスチェッカー.exeで感染してここで見た対処法を全部済ませた状態で
>>374 に載ってる対応も済ませたけどPC起動時にAVGがあるはずのない
C\WINNT:SVCHOST.exe を検出してしまう。被害でなかったとは言えもうどうすればいいのやら。。。
>>387 ノートンの古いのはliveupdateが週1じゃなかったっけ?
定義ファイルの日にち確認して
古ければHPからダウンロードしないと駄目かと
395 :
184 :2006/08/04(金) 22:49:21
>392 thx、それは気が付かなかった。 ぜひやってみます。
今のところjpgからの感染ある?
書庫圧縮版を解凍、実効してしまった。 ノートン最新定義でとりあえずの対応って可能? Backdoor.Trojan ってのが検出されて処理しといたけど できることなら再インストールは避けたい。その準備今してたけど
398 :
184 :2006/08/04(金) 22:52:35
>394 サンクス。古いのはいろいろ不便なんだな。 8/4だった。とりあえずはいいみたいです。
Backdoor Torojyanっての消したんですけどこれで安心していいの?
釣りかw?
>>396 セキュリティ設定の「拡張子でなく、内容によってファイルを開くこと」を無効にしておかんとやられるらしい
>>402 なるほど 今怪しいファイル探してみたけどなかったけど
後でスキャンしてみる サンクスね
ノートンはいつの時点の定義ファイルで対応してるのかわかります?
バスター(ver5.7)で検索しましたが、検出はされませんが タスクマネージャにsvchost.exeが残っています。駆除されていますか?
>>405 svchost.exeは元々あるプロセスだから消しちゃ駄目でつよ
但し、ユーザー名で動いてるのはアウト
投稿先で迷ったのですが、此方で宜しく御願い 致します。2chの閲覧にJaneStyle V2.41 を 使用しているのですが先程、起動してスタート アップを開いた途端にNIS (Norton Antivirus)が 反応してJaneのキャッシュでウイルス見つけたから 削除したよと、重いなりに仕事はしてるなと 関心してたのですが、ふと疑問がありまして 自分は2chに投稿されたURLは踏まないテンプレ でさえ注意しているのですが、キャッシュを使う 新着レスに含まれる画像を自動で開くに設定 してるとキャッシュもウイルスとして成りたって しまい。URLを自動で踏みまくっているのと変わらない のでしょうか。
まとめページとか無いのかな
>>407 それはノートンの誤検出ですので安心してくださいな
検出させない方法もググればごまんとあるので頑張ってください
>>410 THX!!なんかこういうウィルスが流行ると、ちょっとしたことでも神経質になってしまうonz
よくわからんexe踏んだらマイピクチャにいちごキンタマ〜というSSが保存されていた とりあえずどうすればいいんだろう・・
ウイルスバスターの期限が終わり パソコンにウイルスが(トロイの木馬やワームなど)が侵入した頃 いままでちゃんとできていたのに インターネットを開いてもページが表示されませんとでます。 これはウイルスのせいなんでしょうか? ちなみに今は携帯から書き込んでいます
なんかexeは実行しちゃだめってのが出回りすぎで comファイルとかbatファイルのウィルスだとひっかる奴いっぱい居そうだな
comファイルなんかお目にかかったことがない と思いきやewidoのテスト用トロイがあったか
>>415 exeでも踏んじゃう馬鹿がいるんだぜ?
はっきり言って.vbsなんてのは.exeと同じぐらいに危険だ
419 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 00:20:08
流れをぶった切ってすみません。 怪しいアドレスを開いてしまったんですがパソに感染していないかチェックする方法はありますか?
ウイルススキャン
421 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 00:25:26
>>420 さんありがとうございます。ドシロウトですみません、
ウィルススキャンと言うのはどこで手に入りますか?
423 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 00:28:05
ROMるっていう言葉もわかりません。。
明日本屋さんに行きなさい
むしろ家電量販店に行って2万ぐらい(ソフト代込み)払ってウイルススキャンサービスやってもらえ
>419 パパかママか、誰でもいいから身近にいるPC詳しそうな人に聞いた方がいいんじゃない? というか、ドシロウトが2ちゃんにきちゃいけないと思う
IPアドレス => 「 221.254.51.22 」 ホスト名変換 => 「 221x254x51x22.ap221.ftth.ucom.ne.jp 」 port80にアクセスしてくる。
素人な奴ほど、素人を馬鹿にする
教えてやってもいいがある程度調べて知識を持っててもらわなくちゃ困る。 話はズムーズにいかないし、やたら時間かかるからな。コレくらいは礼儀だろ
430 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 01:22:05
ずむーず
431 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 01:30:49
LimeWireでゲド戦記落としてたらハードディスクから チキチキ音がしてウィンドウズが起動しなくなりました。 今外付けからOS立ち上げてるんですがこれってウィルスですか ハードディスクは壊れてないみたいで認識してます。
ブラック魔王がHDDに入りました
433 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 01:46:21
434 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 01:48:31
ウィルス、ゲド!
tp://up2.viploader.net/mini/src/viploader57529.lzh これ踏んじゃいました。 ファイルをDLしたものの、開けませんでしたがDLしただけなら 大丈夫ですか?
開こうとした、ってとこの行為がある時点で白とはいえないな 落としてノータッチなら間違いなく白
437 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 01:57:23
>>436-437 レス有難うございます。
開こうとしたのですが「作成元の名前が無いため開けません」
みたいな文章が出て、開けませんでした。
タスクマネージャーにはユーザー名で動いているものは無く
マイピクチャにも、苺金○の名のファイルもありません。
ウイルスソフトはavastが入っていますが、ウイルスバスター
やノートン先生をダウンロードした方が良いでしょうか
元々入ってたからマカ使ってるんだけど、
>>390 によるとまだ俺が踏んだ山田チェッカーの方は対応してないんだよな?
8月20日くらいまで家空けるんだけど、それまでには対応してるよな?
>>438 解凍してexeクリックしてないやろー
安心しろ。
>>440 ありがとうございます。
本当に困っていたので助かりました。
これから頑張って勉強します。
444 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 02:32:47
>>439 さっき一応最新の状態でスキャンしたが反応なし
マカフィースレでは送ってくれた奴がいたから対応はしてくれるはずだと信じている
感染中の俺
by山田ウィルスチェッカー.exe
avast入れてるんですが、さっき自動更新されて それから色んな板にトロイが〜〜って怒って入れなくなりました。 これって更新したからですか?
446 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 03:11:45
今さっきウィルスに感染して、駆除できませんでしたって出たから、 そのファイルを削除したらマカフィーがスキャンをお勧めしますとのことなので、 スキャンをかけているのですが、これで感染ファイルが見つからなかったら 大丈夫なのでしょうか?
447 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 03:21:52
>>446 関係ないかもしれないけど
俺もさっきファイルを駆除したと出てたぞ
スキャンは明日やるつもりだけど
448 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 03:40:41
>>446 よく読み直したら全く俺と関係なかった
スルーしてくれ
連レススマソ
とりあえずRUNだ ここのsvchost.exeを消せばいいだけなんだ
>>449 そこにconime.exeがあるんだが大丈夫かのう?
ちなみにsvchost.exeはない
451 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 03:48:16
>>444 2週間あったら大丈夫だよな…
期限切れてるから帰ってきたら契約しないと
てか全然セキュリティソフトに詳しくないからマカやめた方がいいかな…
453 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 03:57:51
>>452 2週間あれば…
正直ノートンとウィルスバスターは対応済みだがマカフィーが未対応という現実に苛立ち始めてる俺も契約切れたらマカフィー止めようか検討中
454 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 04:48:59
vipでログ更新するたびにavastがトロイの木馬の反応示すんだけど これもその一種?過剰反応?
しつもーん
他スレから飛んできたんだけど
>>15 のコピペ自体(wiki)がトラップって事なのかな?
あと1個だけ気になるのがこの一文。これもトラップに誘うデマなのかな?
> 2ch内の特定のスレッドや、jpg画像を開くことにより感染(2ch専用ブラウザ使用でも感染報告あり)
>>454 俺もそれなった
特定のスレ開くと検出されて、削除しようとしても見つからないとか出る
過剰反応だと思ってるが正直めんどい
今はやってるこのウィルスの名前って何?
>>458 山田とか苺とか呼び名のことです。
VIPに建ってるのが本スレで良いのでしょうか
460 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 08:16:23
ありがとうございましたー
462 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 08:41:26 BE:942010188-2BP(0)
ウイルスは、パソコンのふくげんで消えますか?
亀田ウィルスのことですが、 チェッカでも感染がどうの言われてますけど ここのチェッカは安全でしょうか? tp://www.geocities.jp/antiny_virus/
464 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 09:35:55
lzh実行感染したら 回線引っこ抜いて本体消してPC-cleanで除去汁 それで生成もされなくなった
465 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 09:36:28
本体は山田チェッカーね
466 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 09:43:26
なんか別のウイルスに感染したっぽいな Cドライブ直下のフォルダを除くファイル全てを Winny起動時にWinnyのUPフォルダに追加するものらしい 今avastで検査してるけどHITするかは不明
467 :
10 :2006/08/05(土) 09:49:48
朝起きたら対応してたね・・ svchost.exeが見つからないから不安でProcessGuardまで入れてた(´・ω・`) ところでトレンドマイクロのサイトを見たところ >以下のレジストリ値を変更し、Task Manager を無効化します。 >場所: >HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System >値(変更前): >DisableTaskMgr = "dword:00000000" >値(変更後): >DisableTaskMgr = "dword:00000001" とあるんですが、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System が無いみたいなんですけど大丈夫なんですかね?
>>467 さすがトレンド間違ってるわさ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
エントリ: DisableTaskMgr 0x00000001 (1)
469 :
10 :2006/08/05(土) 10:03:27
>>468 ありがとうございます
全然場所違うじゃないですかw
改変はされてないようでした。
>>462 システムの復元?
ウイルス本体ファイルはたぶん消えないけど
レジストリの自動起動設定が消えるのでウイルスの発動は抑えられる
ウイルスなのかどうか判らないのですが気持ち悪くなったので質問しにきました。 今朝、ネットを見るためにとりあえずPCをつけて飯を食い、トイレに行って 歯を磨いた後PCの前に来るとPCのHDDかメモリー?のアクセスランプが激しく点滅してました。 あわててタスクマネージャーを開いてCPU使用率を見てみたら svchost.exeなるものが30〜40%ほど使ってました。 ユーザー名はSYSTEMでした。 ちなみに当方巷で騒がれてるウイニーといったような交換ソフトは使ってません。 ただ最近掲示板の方から感染するものがあるらしいというのをネットで見かけたので心配で・・・ あ、使用してるOSはXPのpro、ウイルスソフトはフリーのAntidoteです。 Antidote使ってみましたが特になにも言ってきませんでした。
472 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 10:35:13 BE:353254638-2BP(0)
>>470 ありがとうございます。復元したら安心ってことですね。
___ ,;f ヽ i: i | | | | ///;ト, | ^ ^ ) ////゙l゙l; (. >ノ(、_, )ヽ、} l .i .! | ,,∧ヽ !-=ニ=- | │ | .| /\..\\`ニニ´ !, { .ノ.ノ / \ \ ̄ ̄ ̄../ / .|
>15のまとめサイト3回ほど踏んじゃったんだけど大丈夫かな? ファイルはダウンロードしてない 127〜のアドレス踏んでも接続できなかったし、 svchostも数は多いけどユーザー名のは無いんだけど さっきnetstat打ってみたらlocalhostのほうにポート1080が開いてた 1080って無害なのか? とりあえず今トレンドマイクロのオンラインスキャンしてる
476 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 11:33:36
よろしければ教えて下さい。 亀田ウイルスにノートンはもう対応していますか?
avastがトロイに過剰反応する。 avastの専用スレにも入れない・・・
すいません、助けて下さい。 TROJ_DYFCA.Xというのに感染してしまいました。ウイルスバスターでも処理できません。どうしたらよいでしょうか?
480 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 12:39:22
>>478 山田ウィルスチェッカーの奴ウィルスバスタ対応してるよ。
483 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 13:41:59
700MBの動画ファイル偽装のAntinny(?)を 200MBの途中ファイルで実行してしまったのですが 感染の可能性はありますか?
485 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 13:43:37
拡張子はscrです
487 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 13:48:47
tukaene-(gera
釣れますか?
489 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 13:51:05
490 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 13:56:10
493 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 15:12:12
494 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 15:15:41
助けて欲しいんですが 感染してからパソコンで2ちゃんできなくて困ってるんで それだけでもどうにかする方法ってないですか?
新しくパソコンを買う
496 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 15:56:25
497 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 16:09:56
サブのPCがIEをクローズしようとしても固まったままになったりWINXPのシャットダウンが 異常に遅かったり不調なのでウイルスチェックをしたところスパイウェアが四つとウィルス (WORM_HYBRIS.PLG)が見つかった。スパイウェアの種類は記入しなかったので レポート出来ないがSHAREEDGEのオンラインチェックでひっかかり削除した。 以上を削除後は、PCは快調になったがIEのクローズ障害はスパイウェアの影響だろーか。 この種の問題についてはスキルが無いのでわからないがやはり定期的にチェックするのが 正解であり必須と思う。(ウイルスはウイルスバスターで削除)
498 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 16:21:52
>>496 さん
失礼しました。
【使用OS】 XP(SP2)
【WindowsUpdateしてるか】しています
【AntiVirusは何を使っているか】 使っていませんでしたorz
【ちゃんとUpdateしてるか】
【スキャンした結果(ウイルス名・発見場所)】
トレンドマイクロのウイルスバスターオンラインスキャンでスキャンした結果、
HTML_CRINET.A
PHP_SHELL.G
が発見されました。
【別のオンラインスキャンしたならその結果は】
【症状を具体的に、分かる限りすべて書く】
【何をしたらそんなことになったのか】
下記URLを踏んでしまい感染してしまいました。
ttp://suzukiairi.net/cgi-bin/up/img/puniairi150.jpg 【これまでにとった措置】
【その他の質問】
トレンドマイクロのお試し期間も終了してますorz
対策方法はどうすれば良いでしょうか?
499 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 16:43:45
ワロスwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
500 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 16:43:46
avast!、Bitdefender、ウイルスバスター、ノートン先生と 一通りやったけど引っかからないのだが、明らかにウイルス感染しているのだが 【使用OS】 XP(SP1) 【WindowsUpdateしてるか】定期的にしてる 【AntiVirusは何を使っているか】avastとBitdefender併用(他はオンラインスキャン) 【ちゃんとUpdateしてるか】毎日してるし、自動更新もONになってると思う 【スキャンした結果(ウイルス名・発見場所)】スキャンではみつからない 【別のオンラインスキャンしたならその結果は】ことごとくシロ 【何をしたらそんなことになったのか】原因は特定できないが、最近ウイルス付きのブラクラを踏んだかも 【これまでにとった措置】今の所は症状特定のみ ちなみに症状はWinnyを起動する毎にUPフォルダにCドライブ直下のファイル全てを追加するというものだった それ以外の被害状況はわからないが、少なくともレジストリ(またはWinny.ini?)を改変している予感 【その他の質問】同様の被害報告はあるかなと思ってカキコしますた
501 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 16:48:59
>>500 昨日検体を送ったのでBitDefenderは今朝の5時頃に書庫圧縮版には対応してる。
503 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 16:52:37
>>501 あっちはヲチ系のスレが多くね?
でも誘導ありがとう
とりあえず向こうで聞いてみる事にする
504 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 16:57:18
>>502 なんと、ファイル特定はおろか、検体も済んでらしたのね
感謝致しますお
とりあえずBitDefenderでローカルドライブ全検索してみます
無理だったらダウソ板で相談してくるね
本当にありがとう
>>504 なに そんなウイルスあるの
ノートン未対応ならやばいな
うPは無理でもどこら辺に貼ってあるかだけでも教えてくれませんか
506 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 17:11:29
>>498 Bitdefenderでぐぐって検索駆除
507 :
1/2 :2006/08/05(土) 17:19:01
あらやだ('A`)ふたばから画像消えた
>>478 Virustotalの結果を元にしてるので、最新情報は各ベンダに確認オヌヌメ
============================
7月分アレ詰め合わせ.exe
AntiVir: Trojan/Proxy.Dock
Avast: -
AVG: Delf.DL
BitDefender: -
DrWeb: Trojan.Click.1345
eTrust-InoculateIT: -
Ewido: Trojan.Delf.wk
Fortinet: SPY/Clicker
Kaspersky: Trojan.Win32.Delf.wk
McAfee:Uploader-AC?
NOD32v2:
Sophos: Troj/Clicker-DK
Symantec: Trojan.Upchan
UNA: Trojan.Win32.Delf
VirusBuster: TROJ_AGENT.DFN
File size: 528185 bytes
MD5: f744eedb921564720c1db96bf1053653
SHA1: df92fbf871efb01b5cb8618d7c496e15c3c784c3
508 :
2/2 :2006/08/05(土) 17:19:35
新しいフォルダ .exe 成年コミック・雑誌) [小梅けいと] イケない!お姫様 (コミックメガストア2006.09) 001.exe〜006.exe 完全攻略5(ソフト版).exe/7月分ロリ詰め合わせ.exe/山田ウイルスチェッカー.exe AntiVir: Backdoor-Server/Delf.afu.1 Avast: - AVG: Trojan horse Generic.YRK BitDefender: Backdoor.Delf.SS DrWeb: BackDoor.Indy.11 eTrust-InoculateIT: Win32/Rbot.EQT!Worm Ewido: - Fortinet: W32/Delf.AFU!tr.bdr Kaspersky: Backdoor.Win32.Delf.afu McAfee: Generic Delphi NOD32v2: Win32/Delf.AFU Sophos: Troj/Delf-DDR Symantec: Backdoor.Trojan UNA: Backdoor.Delf VirusBuster: TSPY_SUFIAGE.G File size: 430507 bytes MD5: adedf961b92b7d3a8176b7b1e93bf4d7 SHA1: 5e7cb84b6bfa2317f7d8cc91b6aaa2c520dcc2ca
510 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 18:26:21
>>505 覚えてたならファイル特定もさほど苦労しないと思うんだけどね
とおもいきや、NGワードに登録しといたんだった
up2.viploader.net/pic/src/viploader250725.jpg
これが今まで踏んだものの中で一番怪しいと睨んでるURL
511 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 18:35:39
山田ウィルスチェッカー.exeに感染しています自分はマカフィーユーザーです しかし、一昨日の時点では対応しておらずkasperskyのオンラインスキャンを行い感染を確認しました その後ウィルスバスターでも対応したと聞きオンラインスキャンしましたが反応は無しでした ネットに繋いでも画像がアップされるなんて事もありませんでした ウィルスバスターとマカフィーではまだ対応してないんでしょうか? 又マカフィーをアンインストールしてkasperskyのお試しを入れてみる方がいいでしょうか?
AVGのfree試してみ
513 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 18:41:38
こちらのスレで質問しても良いのかわからないのですが、
もし間違っていたら移動いたします。
ttp://up.nm78.com/data/up098026.jpg これを踏んでしまいました。
鑑定スレではトロイ
踏んだ板では苺だとか色々言われたので、
はっきりとどのウイルスかは分からないのですが
いちおうオンラインスキャンかけてみました。
トレンドマイクロは感染0、
シマンテックは感染1、
Temporary Internet Files\Content.IE5\VR9ZV1WW\new[2].htm は Downloader に感染しています。
との診断。
質問1、これはContent.IE5内のVR9ZV1WWフォルダごと全削除で大丈夫ですか?
質問2、上記URLは何のウィルスですか?
514 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 18:48:00
>>513 削除したあとまたスキャンしな
2,はしらない。
すみません。今スパイポッドで検索したところ ウィンドウズセキリュティアンチ〜やマイクロソフト〜等、名前の聞いたことのあるものが検出されたんですが これって消してよいのでしょうか?
>>513 > 質問2、上記URLは何のウィルスですか?
ただのブラクラだね、ウイルスではない
イメタグのconconクラッシュとか久々に見た('A`)
すみません。 どうも亀田ウイルスに感染してしまったようで、自分でアップされてるかどうか確認に行きたいのですが アップローダに行ってもつながりません・・・ URLが間違っているのでしょうか・・・ どなたかつながる方がいらっしゃいましたらURLを・・・orz
518 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 19:21:58
>>517 > アップローダに行ってもつながりません・・・
閉鎖してます。
ロダ封鎖ってことは駆除しなくても無害になったんじゃね?
別のロダに移るか回復するかしたら情報頼む
521 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 19:25:56
>>513 です
>>514 さん、
>>516 さん、どうもありがとうございます。
ブラクラですか!フォルダ削除して、シマンテックでスキャンしたら0になってました。
良かった・・・。
苺だのトロイだのって・・・・・ぐぐったり、スキャンしたりのこの数時間は一体orz
でもまぁ違うウイルスみっかったからよしとするか・・・、って
今まで何か送信されてたのだろうか?
別の意味で怖くなってきたorz
、--‐冖'⌒ ̄ ̄`ー-、 /⌒` 三ミヽー-ヘ,_ __,{ ;;,, ミミ i ´Z, ゝ ''〃//,,, ,,..`ミミ、_ノリ}j; f彡 _) 〃///, ,;彡'rffッ、ィ彡'ノ从iノ彡 >';;,, ノ丿川j !川|; :.`7ラ公 '>了 _く彡川f゙ノ'ノノ ノ_ノノノイシノ| }.: '〈八ミ、、;.) ヽ.:.:.:.:.:.;=、彡/‐-ニ''_ー<、{_,ノ -一ヾ`~;.;.;) く .:.:.:.:.:!ハ.Yイ ぇ'无テ,`ヽ}}}ィt于 `|ィ"~ ):.:.:.:.:|.Y }: :! `二´/' ; |丶ニ ノノ ) :.: ト、リ: :!ヾ:、 丶 ; | ゙ イ:} 逆に考えるんだ { .:.: l {: : } ` ,.__(__,} /ノ ヽ ! `'゙! ,.,,.`三'゙、,_ /´ 「宇治さんよりましだ」と ,/´{ ミ l /゙,:-…-〜、 ) | ,r{ \ ミ \ `' '≡≡' " ノ 考えるんだ __ノ ヽ \ ヽ\ 彡 ,イ_ \ \ ヽ 丶. ノ!|ヽ`ヽ、 \ \ヽ `¨¨¨¨´/ |l ト、 `'ー-、__ \ `'ー-、 // /:.:.} `'ー、_ `、\ /⌒ヽ /!:.:.| `、 \ /ヽLf___ハ/ { ′ / ! ヽ
523 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 19:33:54
このスレ亀田ウィルス出現以降 一気に糞になったなorz
罠にホイホイかかる奴ばっかりだからね。
【使用OS】 WindowsXP SP2 【WindowsUpdateしてるか】 自動更新になってる 【AntiVirusは何を使っているか】 ErrorSafe・WinAntiVirusPRO 【ちゃんとUpdateしてるか】 とりあえず 【スキャンした結果(ウイルス名・発見場所)】 感染無し 【別のオンラインスキャンしたならその結果は】 バスターでTSPY_SUFIAGE.G あと、errorsafeとかwinantiっていうところから検出 【症状を具体的に、分かる限りすべて書く】 upロダに俺が見ていたデスクトップが取られていた 【何をしたらそんなことになったのか】 今回の件のウイルスに感染していないか、 山田チェッカー使ってみた 【これまでにとった措置】 タスクマネージャで、キルプロセス&該当するレジストリを削除 winantivirusPROとErrorsafeをインストール 【その他の質問】 C:\WINDOWS:SVCHOST.exeが見つからなくて困っています
ほらね
530 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 23:39:41
>>516 ただのブラクラじゃないよ
downloderっていうトロイを埋め込もうとするらしい
駆除方法は検索してくれ
531 :
名無しさん@お腹いっぱい。 :2006/08/05(土) 23:53:50
山田チェッカー踏んでしまったので、ノートンでスキャンして削除したはずが、 何故かCドライブの容量がすごい勢いで減っていくんだがどうしてだろう
532 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 00:05:30
いつから初心者板になったんだ? まぁそんな感じの趣旨だからしょうがないちゃしょうがないが
未だに山田チェッカーウイルス.exeはカスペルスキーしか反応してくれん ノートンとマカフィー、ウイルスバスターもダメだな
536 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 07:12:06
537 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 07:14:35
AntiVir AVG
540 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 10:54:40
知り合いのPCであり、とりあえずの応急処置をしたく質問させていただきます。テンプレ未使用でごめんなさい。 XPでTemporary Internet Filesフォルダに隠しフォルダ?として存在する部分にアクセスする方法を 知りたいのですが、どなたか効果的な検索ワードを教えてはいただけないでしょうか。 Cドライブをウイルススキャンしたところ、 C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\TJ0IP2PR\new[3].htm = ウイルス感染 : Exploit.HTML.Mht C:\Documents and Settings\(ユーザー名)\Local Settings\Temporary Internet Files\Content.IE5\TJ0IP2PR\new[4].htm = ウイルス感染 : Exploit.HTML.Mht が検出されたのでこれらを削除したいのです。All Usersフォルダの下層のTemporary Internet Filesフォルダには Content.IEフォルダが表示されるのですが、ユーザー名の下層フォルダのTemporary Internet Filesのフォルダには \Content.IE5\TJ0IP2PR といったフォルダ構造が表示されないのです。アクセス方法ご存知のかた、検索ワードで構いませんので何卒よろしくお願いします。
IEの「一時ファイルの消去」をすれば良いだけ。 それとな、急いでいてもルールには従う・代理質問禁止 は2chの鉄則な。
この人は知り合いのPCの問題じゃ無い気がする・・・
>>541 さん
ルール違反申し訳ないです。にもかかわらず、素早く的確な回答をありがとうございます。ご慈悲に深く感謝するとともに以後注意します。失礼いたしました。
>>542 さん
あ、私個人が使用してるOSはWin98なのですが、98だとちゃんとアクセスできるので、私は
直にフォルダを覗いて削除をしたりしてましたもので…。
いずれにせよ、失礼しました。
545 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 11:51:26
>>535 ウィルスバスタも山田チェッカーの奴反応するよ
>>522 なるほど、そうですね。
宇治さんてそんな怖いのか・・・ぐぐってみよう
>>530 !
んじゃ、downloderが入っていたのはやっぱ
>>516 を踏んだからなのかな?
いつからあったのかと思ってガクブルだったけど何ともない・・・のかな・・・?
はぁ、ウイルス仕込まれたりすると苦しいですね。
念のため、もう一度トレンドマイクロとシマンテック両方スキャンかけてます・・・。
547 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 12:07:34
548 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 12:25:27
>>547 反応するよ。
態々落としてきて実験したもの。
PC上のバスターとオンラインの両方反応したよ
549 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 12:33:32
昨日vipのスレでzipファイルをダウンロードしたのですが、 vipperがそれはウィルスだのウィルスじゃないだの言っていて、 不安になり、マカフィーとトレンド(?)みたいな無償オンラインスキャンをしたところ 両方何も検出されませんでした。ファイルは1メガほどの画像ファイルでした。 全く無知なのにvipに行ったくせに不安になって皆さんの迷惑になってしまうのもわかるのですが、 不安で。昨夜はランのカードを抜いて寝ました。 どなたかおしえてください。私は平気なのでしょうか?
んで 結局
>>15 のIzhはなんなん?
山田チェッカーって言われているものなのかな
551 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 12:43:27
>>550 そそ、山田ウィルスチェッカー.exeの方のウィルス
>>551 ありがとう。
なんか踏んでるし
不安になったからノートン先生でスキャンしてみます。
検出されなかったら平気かなー対応してると良いですけど
MD5: 0008225f254b57845bf91736d3b8852b こいつはバスタ反応しねえな また送ったる
パターンファイルをアンチウィルスベンダーで 共有化とかしたらどうなるんだろ
555 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 16:13:36
>>548 反応しなかったのが昨日だったからダメだったのかな?
とりあえずカスペルスキー入れて駆除成功
本当に今週は山田チェッカーウイルス.exeに苦しめられた
556 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 16:16:04
ダウソ板のウイルス解析スレがなくなってるよな 3月4月の騒ぎの時は大変お世話になったものだが 今は駆除できず飼い殺しにしてるウイルスが一匹 nyはどうせ落とすものもないし使ってない
558 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 16:48:11
561 :
557 :2006/08/06(日) 17:14:00
>>560 対処法は・・・ないですかね。
ありがとうございました
RegSe(ry
>>562 それはアカンw
>>561 気休め程度で恐縮だが、Kasperskyのオンラインスキャナで検出は出来た
しかし
>>557 のexeは何の意図があってパッカーかましてんのかな
ノートン先生もupxには弱いから困る('A`)
564 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 17:32:31
549です。僕にレスが無いのはあまりに無知すぎるからでしょうか? それとも文体が釣りっぽいからでしょうか? 質問をしておいて回答をせがむのが失礼なのは承知しておりますが、 そのような誤解を招いてしまったならばと心配になってしまい、再び書き込ませていただきました。 どなたか回答をお願いします。感染の可能性はあるのでしょうか?
565 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 17:42:36
>>564 釣りっぽいというか、釣りそのものじゃん
本気で相談する気あるなら
>>1 嫁
>>549 その2社で検査しても問題ないなら、これ以上不安を煽ってもしょうがないかと。
1メガを超える画像ファイルとしてウイルスじゃないなら大きいサイズの画像が表示されるし、
ウイルスなら脆弱性をついて何か入り込んでくるし。
WindowsUpdateちゃんとしてれば被害はないはずだが、これに懲りたらしばらくvipは見るな
567 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 17:50:21
>>565 申し訳ありません。
【使用OS】 windows XP
【WindowsUpdateしてるか】 しています
【AntiVirusは何を使っているか】 ノートン
【ちゃんとUpdateしてるか】 期限が切れています
【スキャンした結果(ウイルス名・発見場所)】
【別のオンラインスキャンしたならその結果は】
トレンドマイクロ、マカフィーともに見つかりませんでした。
【症状を具体的に、分かる限りすべて書く】 特に出ておりません
【何をしたらそんなことになったのか】
vipでzipファイルをダウンロードしました。1メガほどでした。
【これまでにとった措置】 オンラインスキャン
【その他の質問】ございません
568 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 17:53:56
>>566 丁寧な回答とご忠告ありがとうございます。
ファイルは20枚ほどの画像が入ったものでした。
懲りましたのでこれ以降はご忠告通りvipには近づかないようにいたします。
本当にありがとうございました。
569 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 18:08:25
570 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 18:53:48
>>569 なかなか評判のいいソフトのようですね。
検討してみます。ありがとうございます。
>>570 そのzipの中身 キモチノカタチっていうやつじゃない?
MD5: 01e79818465edbac3b14e5c9e30b68af こいつもバスタ反応しねえな またまた送ったる
>>557 ノートン8月4日付の定義ファイルで無反応
検体送りますかね・・・
>>557 virustotal持ってたら結構対応してるとこ多いジャマイカ
McAfee
Norton
バスターどれも対応してない(´・ω・`)
576 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 21:18:29
>>575 よかったらvirustotalのリストあげてくださいな(´・ω・`)
怖くて入手もしてないので。
>>576 AntiVir: HEUR/Dropper
Authentium: Possibly a new variant of W32/Threat-Backdoor-Silly-based!Maximus
AVG: BackDoor.Generic3.ETW
DrWeb: BackDoor.Xepher
Ewido: Backdoor.Delf.arr
Fortinet: W32/Delf.ARR!tr.bdr
F-Prot: Possibly a new variant of W32/Threat-Backdoor-Silly-based!Maximus
F-Prot4: W32/Threat-Backdoor-Silly-based!Maximus
Kaspersky: Backdoor.Win32.Delf.arr
NOD32v2: Win32/Delf.ARR
Panda: Suspicious file
UNA: Backdoor.Delf
VBA32: Backdoor.Win32.Delf.arr
以下検出せず
Avast
BitDefender
CAT-QuickHeal
ClamAV
eTrust-InoculateIT
eTrust-Vet
Ikarus
McAfee
Microsoft
Norman
Sophos
Symantec
TheHacker
VirusBuste
一足遅かったか・・
580 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 21:46:50
>577、578 ありがとう。バスター主に使ってますが、最近サブ機で使ってる AntiVirの方が信頼を置けるようになってきますた。
avast検体送付お願いします…
582 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 22:56:20
>>571 570です。遅い返答ですみません。
そのようなファイルではなかったと思います。
583 :
571 :2006/08/06(日) 23:05:09
>>582 ok 把握
俺が落としたやつはそれで.jpgが20ぐらいあって
そのうちひとつが.jpg .exeだった
バスターは華麗にスルーした
P2P関連はダウンロード板とのことですが、まともに機能してないのでこちらで。 いろいろ亜種のあるANTINNYですが、一度に複数のANTINNYに感染した場合、 win.iniには、やはり「ぬるぽ」や「殺人」はそれぞれ追加されますか?
585 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 23:17:33
>>583 ごめんなさい。無知な上に読解力も無くて。
つまり、それというのはキモチノカタチとやらで、
>>583 様が心配してくださったような危険な状態に僕はないと言う意味でしょうか?
セキュリティ以前の質問でほんとに申し訳ありません。
p://free.gikoneko.net/up/source/up120265.exe のファイルを誤って保存してしまい即削除したんですが対処は 合っていたのでしょうか?このようなものは保存しただけでも勝手に 感染されてしまうものなのでしょうか? バスター2006でのスキャンでは異常なしだったのですが・・・。 【使用OS】 XP SP2 【WindowsUpdateしてるか】 しています 【AntiVirusは何を使っているか】 バスター2006 【ちゃんとUpdateしてるか】 しています 【スキャンした結果(ウイルス名・発見場所)】 なし 【別のオンラインスキャンしたならその結果は】 なし 【症状を具体的に、分かる限りすべて書く】 今調べています 【これまでにとった措置】 該当ファイルの削除とウイルススキャン
すみません質問させてください。 鯖をあげたりしてないのですが、ポート80が開放されてると出るんですけど これはやっぱりウイルスでしょうか・・?
ポート80ってhttpじゃないか?
はい。httpです。 httpは鯖あげたりしてない場合は閉じてるものではないのですか? なにぶん初心者なのものですみません。
>>571 tp://up.viploader.net/src/viploader38355.zip.html
これ、あるスレで鑑定してもらったところAVGではTrojan horse Generic.YRK
と出たそうですが、当方avast!では華麗にスルーされました。
ウイルスバスターのオンラインチェックでも検出されず。
どうやら友人が感染してしまった模様。きんたまの亜種だと思うので
それにのっとってレジストリ操作すると発病は止まったようだ。
>>586 実行していなければ問題無し
というか、バスター対応しているから落とした時点で隔離行きになるはず
>>589 そのあいてるってメッセージは何が出してるのさ
あいてるのはローカル側?
>>585 俺が落としたのはviploader38355.zipつうやつ
それを解凍するとキモチノカタチという名前のフォルダがでてくる
そのなかに.jpgが20ファイルぐらいあってそのなかに.jpg.exe つまり未知のあやしいプログラムファイルがあったってこと
virus totalでスキャンしたら亀田の亜種のようだった
お宅が何をおとしたのかわからんから何ともいいようがないが亀田亜種ならカスペルスキーが対応してるはず
http://www.kaspersky.co.jp/scanforvirus/ ここでスキャンしてなにもでなきゃ少なくとも亀田に感染してる可能性は低い
594 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 23:39:19
>>590 なんかURL違うような気がしますが。とりあえず僕のパソコンでは問題は起きてないんですよ。
僕がびびりすぎなのかもしれません。そうであってほしいです。
>591 対応との事で改めスキャンしても異常なしだったのでOKそうですね。 素早いレスありがとうございました。
>>590 まさに俺が落としたのはそれ
バスターもノートンも対応してない
バスターには送っといたけど
597 :
名無しさん@お腹いっぱい。 :2006/08/06(日) 23:43:40
>>593 そのような名前のフォルダは無かったとほぼ確信できます。
フォルダが4つあり、全てプレビュー形式になっていたと思います。
何を伝えたら良いのかわからなくてごちゃごちゃした情報ばかりで申し訳ありません。
>>592 さん
Σr(‘Д‘n)!?す、すみません。
netstat -ano
で確認したら80があって感染してしまったと慌ててウイルススキャンをしてみても出てこず
もういちど見たらLocal Addressの方ではなく、Foreign Addressの方でした。
Foreign Addressには80であっても問題ないんですよね?
だとしたら申し訳ないです。。ごめんなさい。。
>>590 BitDefenderはBackdoor.Delf.SSとして検出されるよ。
600 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 00:09:33
601 :
596 :2006/08/07(月) 00:13:15
>>596 間違い
ノートンは対応してる
virustotalで確認
【使用OS】XP SP2
【WindowsUpdateしてるか】してます。
【AntiVirusは何を使っているか】バスター2006
【ちゃんとUpdateしてるか】してます。
【スキャンした結果(ウイルス名・発見場所)】TSPY_SUFIAGE.G 隔離できませんでしたとログに表示されてます。
【別のオンラインスキャンしたならその結果は】バスター以外してません。
【症状を具体的に、分かる限りすべて書く】今の所は不具合は無いのですが・・
【何をしたらそんなことになったのか】偽山田チェッカーexeを踏みました。
【これまでにとった措置】
バスターで検出、二つのウイルス判定が出て、一つは隔離しましたと出ます。このようにログに表示されてます→(ウイルス‐‐‐C\Docu..)もう一つは隔離できませんでしたと表示されました。*隔離されてない方は TSPY_SUFIAGE.G
同時に感染した可能性が高いです。同時に検出された二つの内の(ウイルス‐‐‐C\Docu..)これは隔離されて、もう一つの方(TSPY_SUFIAGE.G)は隔離も駆除もできなかったと表示されています。(ログに残ってる)
【その他の質問】
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FSUFIAGE%2EG&VSect=Sn で、レジストリの修正、削除を試みたんですが、削除すべき値(SVCHOST)が見つかりません。
修正すべき DisableTaskMgr も見つからないし・・
DisableTaskMgr、SVCHOST自体が見つかりません。
初めての感染ですから、さっぱり分かりません。これは処理がきちんと終わってると見てもいいのでしょうか?
尚、今はスキャンしてもウイルスは検出されない状態ではありますが、心配です。(自分としてはなんの処置も施してないのに
検出されなくなってる)
これはウイルスが隔離されたと見ても良いのでしょうか?誰かお願いします。
>>602 紛らわしい表記だが、ちゃんと検出できて隔離も出来ていると考えていい
バスターではよくある
というか、踏んだURLやウイルス検知したフォルダパスは
必要な情報なのできっちり書いてくれ
604 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 00:44:08
605 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 00:47:15
フォルダに偽装したウィルスが出回っています。 注意しましょう。みたいなメッセージ見たんだろw
606 :
602 :2006/08/07(月) 00:53:36
踏んだURLは正確には覚えてないんです。スイマセンm( __ __ )m 隔離したフォルダはバスターのログには(ウイルス‐‐‐C\Docu..)としか表示されてません。 隔離したフォルダパスも正確に記憶してません。知識も無かったし、なにぶん焦ってましたから(゜-゜) (今回の感染で色々勉強させて貰いました。それまではフォルダパス自体知らなかったですから・・) とにかく隔離されたと見ても大丈夫ですよね。(安易な考えですが・・) 少し安心しました。 僕の無知で分かりづらい説明の中で回答を下さって有難うございました。
>>602 タスクマネージャは起動できる?
起動できるんだったらDisableTaskMgrは問題なし
SVCHOSTは自動起動設定する為のものだが
そもそもTSPY_SUFIAGE.GはSVCHOST.EXEファイルの作成じたいされないんだから
そのままでも問題なし
ウイルスに感染してもレジストリの変更がなされないケースもままある
>>606 バスターのログはファイル出力するとフルパスわかる
ログ画面にファイル出力の項目があるからファイルの種類をtxt形式を選んで出力してみるといい
609 :
602 :2006/08/07(月) 01:18:40
>>607 タスクマネージャーは起動できます。(何回も確認しました。SVCHOST.EXEが自分のコンピューター名で動いてないか何回もチェックしました。大丈夫でした。)
>ウイルスに感染してもレジストリの変更がなされないケースもままある
よく分かりませんが、これって個人情報とか漏洩されてないのでしょうか?
レジストリが変更、追加されてないって事は感染活動は失敗に終わったとみてもよろしいのでしょうか?
消すもの消してシステムの復元
611 :
607 :2006/08/07(月) 01:25:04
>>609 はっきりいえることはレジストリの変更はなかったということだけ
その他の挙動については判断できない
612 :
602 :2006/08/07(月) 01:38:25
>>608 試してみましたが、隔離したファイルを「名前をつけて保存」と出るので、ちょっと躊躇ってます。
>>611 やはり確実なのはクリーンインストールするのが一番かもしれませんね。
トホホ。。時間が掛かるから苦手なんですよね。それにバスターの設定や今までインストールしたソフトを入れ直さなくてはいけないし・・
ハー、ついてないな
2Cを見ていたらVBS.FreeLinkに感染しましたという警告が出ました。 これは危険なんでしょうか?どうしたらいいんですか?
614 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 02:26:55
やっぱカスペルスキーでオンラインスキャンだろ 自分も山田ウィルスチェッカー.exeに不覚にも感染したとき一番対応が早かったのがカスペ だと思う 実際駆除のために体験版いれたし
615 :
607 :2006/08/07(月) 07:15:20
>>612 駆除は完了してると思う
個人情報がうpされたかどうかはわからないということ
616 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 07:53:33
すでにウイルスバスター2005(プリインストール)が入ってるんですが 山田ウィルス駆除のためにカスペルスキーの体験版をダウンロード して使用しても大丈夫でしょうか? 不具合を起こしたりしないでしょうか?
617 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 08:04:38
619 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 08:43:41
620 :
557 :2006/08/07(月) 09:20:46
>>578 今Antivirでウイルスチェックしています
HEUR/Dropperというウイルスが見つかればいいんですね
ありがとうございます
621 :
557 :2006/08/07(月) 10:09:07
HEUR/Dropperは検出されませんでした。。。
622 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 10:21:05
>>557 最新定義で全ファイルスキャンした?
最終的にはカスペルスキーオンラインスキャンで締め。
【使用OS】XP SP2 【WindowsUpdateしてるか】してます。 【AntiVirusは何を使っているか】バスター2006 【ちゃんとUpdateしてるか】してます。 【スキャンした結果(ウイルス名・発見場所)】検索してもひっかかりませんでした。 【別のオンラインスキャンしたならその結果は】カスペルスキーでオンラインスキャンしてもひっかかりませんでした。 【症状を具体的に、分かる限りすべて書く】WINDOOWS: SVCHOSTに問題が発生したと表示され、マイピクチャに苺re−birthの デスクトップをとった画像が現れます。 【何をしたらそんなことになったのか】不用意に.exeをふんで、亀田ウィルス?とやらにかかったようです。 【これまでにとった措置】 タスクマネージャーで見てみたら、ユーザー名でWINDOOWS: SVCHOST.exeとやらが動いてました。 あと、まとめページにあったレジストリでのRunOnceEx〜を削除しようとしたのですが、発見できませんでした。 はじめてこういったウィルスにかかったので、不安なんですがなにか駆除する方法はないのでしょうか?
>>623 決定的な対策にはならないけど
ファイル名を指定して実行に"notepad %windir%:SVCHOST.exe"と入力して実行
ついでに後でウィルスを検出出来るようになった時のために、開いたテキストにeicar.com.txtの文字列を貼り付けて保存する。
これでとりあえずは無害になる。
後はレジストリ内の記載を削除する。
今月も前スレの状況が再現した 三ヵ月連続で第一月曜日に発生 これはウィルスでは無くタスクの実行かなにかなのかな 覚えはないが… もしそうなら我ながら阿呆臭いなw
626 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 12:07:04
OSのクリインストールしてみても出るのか?
627 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 12:50:13
アンチウイルス欺けるのかよ!?
ファイル名を指定して実行に"notepad %windir%:SVCHOST.exe"と入力して実行 これでファイルがありませんと言われないで、WINDOWS:SVCHOST.exeのファイルが開くやつらは感染しているからな! ベンダーもこの事実に気が付いていない。
>>625 おそらく感染してる。原因を自力で突き止められないならクリーンインスコ汁。
630 :
557 :2006/08/07(月) 12:58:07
631 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 12:59:32
>>623 1.EICARテスト試す。
2.LANからスキャン。
>>627 VM Based Rootkitやeeye BootRootでぐぐってみろ。
各種セキュリティ製品もWindowns上で走っているんだからWindows上以外でプログラム走らせればWindows上で走っているプログラムでは検出は出来ないだろ
BootRootなんかはブートセクションベースでNTカーネルを書き換えられるからおもしろい。
機能的にはバックドアしかないから実用的ではないけどソースコードもある。
>>630 正しいOSのシステムファイル名はservices.exeだよ
騙されているぞ
634 :
631 :2006/08/07(月) 13:14:36
>>557 なぜLANからかというと、感染したメモリの影響を受けないから。
別のPCから、対応してるアンチウイルスでスキャン。ただ、
AntiVirはLAN経由のスキャンはできないはず。
>>630 タスクマネージャから起動中になっているservice.exeを強制終了させればいいじゃない
頭使えよ!
>>557 間違いなく.exeファイルだから
表示される絵を偽装してるの
>>633 そのようでした。
>>636 直接右クリックから削除しました。ありがとうございます
>>637 怪しいと思いながらも興味本位でダブルクリックしてしまいました。
どうみてもexeです。本当にありがとうございました。
まったりノートンの定義ファイルが更新されるのを待ちながらサブ機でROMしてます。
639 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 13:39:36
ウィルスバスター2006を使ってて、リアルタイム検索で TSPY AGENT.DOLとTSPY AGENT.DOMの2つが見つかったのですが、 手動で削除しろと言われて削除しようとしてるのですが、削除できません・・・ どうやって削除すれば良いのでしょうか?
641 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 13:59:07
「俺は安全なシャイボーイだよ」と装って女を騙すこと
欲情しない事
644 :
557 :2006/08/07(月) 14:17:51
>>622 カスペルスキーオンラインスキャンで何の反応も無ければ問題はないんでしょうか?
だけど時には思い切った行動をとらないと進展しなんだな、これが
646 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 14:37:10
>>644 今までの経緯と情況を整理して書いてくれ。
>>644 >>577 ↓
AntiVir、Spybot、Nortonでウイルスチェックして対処。AntiVirで削除できなかったのが1個あったが無視
↓
カスペルスキーオンラインスキャン(いまここ)
スキャン8% 見つかったウイルス4
感染したオブジェクト9
疑わしいオブジェクト39
ネット繋いでるのも怖い
648 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 14:58:54
>>642 ようするに、これはウィルスじゃないので消さなくてもokってことですか?
649 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 15:13:15
644=647?
650 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 16:03:17
どなたか
>>639 わかりませんか?
削除しなくちゃいけないやつなんでしょうか・・・
そのウイルス名でググって調べてみたら? あと、セーフモードでも消せないの?
仁義なき涼宮ハルヒとかいう.scrのファイルを開いてしまいました。 そしたらフォルダ内のファイルが、〜.exeに書き換えられてしまいました。 .scrと書き換えられた.exeのファイルを削除しました。 あとは何をすればいいのでしょうか? ホント心配です。
引っ掛かったのが納得いく 脳足りんばっかり・・・
654 :
639 :2006/08/07(月) 16:48:52
ウィルス名でググったのですが、どういうウィルスとかでてこなかったんですよ・・ 変なサイトばっかりヒットしてたので・・・ 後、セーフモードってのはウィルスバスターについてるやつでしょうか?
ここは初心者の質問スレですか?
おう夏だぜ
>>652 原田は数十種の亜種があるからその情報だけでは不明
ちなみに作成されるexeやらscrはただのbmpだから無問題だ。
作成されたファイルの名前がわかればいつ頃の原田かは大体わかるんだがね。
ただハルヒってことは新しいやつかも・・・つまりはキンタマ機能つきの。
658 :
557 :2006/08/07(月) 17:01:45
カスペルスキーで見つかったウイルスは全て手動で削除して大丈夫と思われますか?
659 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 17:11:15
>>557 647はアンタかい?わかりにくいったらありゃしない。
660 :
652 :2006/08/07(月) 17:22:46
キンタマ機能って具体的にどんな機能でしょうか?
661 :
557 :2006/08/07(月) 17:24:59
662 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 17:29:18
664 :
652 :2006/08/07(月) 17:45:15
流出は止められるんですか? ちなみにマイドキュメントの中はPC買ってから弄ってないので ほとんど何も入ってませんでした。(不幸中の幸い??) あと、書き換えが始まって半分くらい書き換えられたときに ヤバイと思って、コンセント抜いて もう一度PCを起動してscrとexeを削除しました。 これは通信遮断になったんですかね? あと、SSてスクリーンショットでいいんですよね? それってscrを開いた瞬間に取られたやつですか? 質問多くてすいません。 上記で最後の質問です。
>>664 一応言っとくけどそのファイルにキンタマ機能付いてるかは知らんよ
その説明だけでは通信遮断されたかどうかは不明。
ただ既に実行された段階で引っこ抜いても遅い気が・・・
FWで止めたり出来なかった?
そう。scr実行した瞬間に撮られたやつ。
もし送信されてたら週刊少年ハラダってファイルに固められてny上に放流される。
そうなったら感染者の側では流出は止められない
PC内に大したファイルが入っていないなら再インスコしてもいいだろうけど、
ハラダはいろいろ削除してもシステムを書き換えたりってのはあんまり聞かないから、
その.scrが今も動いたりしてない限りは問題ないんじゃないかな。
ただ亜種が多すぎて断言はできないんだけどね・・・
666 :
623 :2006/08/07(月) 18:40:37
>>624 "notepad %windir%:SVCHOST.exe"と入力して実行 して
eicar.com.txtを貼り付けて保存しようとしたのですが、
メモリ不足のため保存できません。とでて保存できません。
また、名前をつけて保存しようとしてもコモンダイアログエラーとでて保存できません。
どうすればよいのでしょうか?
667 :
639 :2006/08/07(月) 18:44:55
TSPY_AGENT.DOLとTSPY_AGENT.DOM この2つのウィルスはググっても出てこないのですけど・・・ 対処法がわかりません・・・教えてください・・・お願いします
>>666 ウィルス対策ソフトを無効にした?
俺の環境では上書き保存出来るよ
保存したらもう一度対策ソフトを実行させてから
"notepad %windir%:SVCHOST.exe"を実行する
上手くいけばファイルを削除してくれるはず
それと、タスクマネージャで変なプロセスが実行されていないかな?
実行されているようなら強制終了させる
>>666 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SVCHOST : C:\WINDOWS:SVCHOST.exe
少なくともレジストリからこの値は削除してから再起動しようよ
670 :
652 :2006/08/07(月) 19:03:37
>>665 SS取る理由てなんですかね?
別にSSくらいなら問題ないですよね。
…いろいろ有難う御座いました!
まぁ所詮デスクトップの画像だもんなー クレカの番号とかの個人情報さわってる時のならマズイかもしれないレベルだもんな
>>667 バスターのウイルスログ嫁
そこにフルパスかいてあるからtxt出力してそこまで行って削除
多分インターネット一時ファイルだろうから
ネットに接続してツール→インターネットオプション→インターネット一時ファイル→ファイル削除で消えると思うが
673 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 19:11:01
すみません、
>>662 のウイルスについても誰か詳しい方お願いします。
亀田スレに貼られていたものです。トロイなんでしょうか?
このスレのjpgアドレスを検索してね
675 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 19:16:25
というか同じものだよ。 てかこのスレ暫く来ない間にすごい伸びるスレになってるね
677 :
639 :2006/08/07(月) 19:21:11
>>672 ありがとうございます。早速いってみます
>>675 全然違うな
.jpgに見せかけたhtmlスクリプトだって気付けよ
勝手に何か窓を開いているだろうがよ
当然だがWindowsUpdateはしていないと何かをインストールされる
679 :
639 :2006/08/07(月) 19:22:39
>>672 すみません。そのウィルスはありません。とか全く情報がでてないのですけど・・・
野戦病院みたい・・・。
能無し専用のな
病院で思い出したけど今日BJやってないね
684 :
639 :2006/08/07(月) 19:33:08
インターネットオプションからファイルの削除してもう1度スキャンしたら まだウィルス消えてませんでした・・・ これどうなってるんでしょうか・・・
やばそうなのを踏んだ。 カスペルスキー、シマンテック、トレンドマイクロ、Ad-Aware、Spybot スキャンしてみた。 で、すべて感染0疑わしいもの0だった。 これ以上なにかやることありますか?
686 :
666 :2006/08/07(月) 19:35:37
>>668 、
>>669 タスクマネージャーでWINDOOWS: SVCHOST.exeを終了させて
SVCHOST : C:\WINDOWS:SVCHOST.exe と
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run を削除したら
上書き保存できました。ありがとうございました。
ヒント:format C
688 :
672 :2006/08/07(月) 19:39:18
>>684 もう一度言う
バスターのウイルスログ嫁
そこにフルパスかいてあるからtxt出力してそこまで行って削除
>>668 横ですが、"notepad %windir%:SVCHOST.exe"を実行する
というのは具体的にどうなるのですか?
>>689 メモ帳がそのファイルを開く
ファイルがなければ作りますか?と聞かれるがわざわざ削除不能になるファイルを作るやつもいまい
ファイルが存在すれば開かれるはずだ
ただしNTFS領域のみのようだ
FAT32領域だと構文エラーになる
691 :
639 :2006/08/07(月) 19:55:18
>>688 すみません。バスターのウイルスログってのはウイルスバスターのHPのやつでしょうか・・・
無知ですみません・・・
>>691 メイン画面を起動→アップデート/その他の設定
これ以上の質問はバスタースレいくかテンプレ使うかしてくれ
694 :
639 :2006/08/07(月) 20:05:07
>>693 やっと理解できました・・・ありがとうございます。
これからやってみます
695 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 20:07:07
惨たらしいほど無知だな 人の事言えんけど
>>692 間違ってクリックしちまったじゃねーかチクショイ
でもavastが警告してくれた
一応しっかりと対策取ってくれたみたいだ
697 :
639 :2006/08/07(月) 20:20:58
とりあえずセーフモードにして ウィルスに感染してると思われるファイル2つをゴミ箱に移したら、 リアルタイム検索から隔離のボタンが表示されるようになったので隔離しました。 これで一応安心で、大丈夫でしょうか? 後、このウィルスは昼間からずーっと感染してたみたいですが、被害ってわからないのでしょうか? 似たようなウィルスだとゲーム等の個人情報を盗むみたいな事書いてあったのですが・・・
なんか、いい感じのを踏んだ。 WinXPSP2+IE7Beta3で警告バーも出ずに感染。IE6SP2も食われると思う。 ページはunicodeエンコされたJScript。 手動デコードの方法を知らんので具体的な手法は不明。 なんとか手動で隔離して検体洗ってるとこなんだが、 Jottiでの検知はDr.WEBとAntiVirとBitDefender。 KasperskyとNOD32はスルー。なかなか手ごわい。 んでこいつの正体は中国製のトロイのダウンローダで、 ネトゲ用のトロイを4つも落とす(RO、Lineage、Lineage2、あと1不明)。 んで全部実行された。 作成者かは知らんが少なくともコンポーネントは 中国のセキュリティチームXFocus所属のIcyfox作。 検体送るのを手伝ってくれる人いるならURI晒します (回線AirEDGEだから辛い。それで回線塞がって気がついたんだけどね)。
699 :
689 :2006/08/07(月) 20:27:06
>690 ということは感染してなければ、エラーがでて開かれることはないんですね。 感染してれば、ウイルスのバイナリがテキストで開くんですね。 eicar.com.txtの貼付けはなぜですか?
わーい
>>697 確かにそのウイルスの詳細は書いてないな
隔離したウイルスを復元してシマンテックのオンラインスキャンでひっかかれば詳細書いてあるかもしれん
あとはトレンドマイクロに直接問い合わせるかだな
>>698 中国製のトロイはrootkit入ってる場合があるぞ
桑原桑原
【使用OS】 WindowsXP SP2
【WindowsUpdateしてるか】している
【AntiVirusは何を使っているか】 ウイルスバスター2006
【ちゃんとUpdateしてるか】 している
【スキャンした結果(ウイルス名・発見場所)】
ウイルスは発見されず
【別のオンラインスキャンしたならその結果は】
シマンテックのオンラインスキャンでも発見されず
【症状を具体的に、分かる限りすべて書く】
アクセスしたらウインドウが開きフリーズ。その後異常はありません
【何をしたらそんなことになったのか】
ttp://up2.viploader.net/pic/src/viploader255126.jpgにアクセスした 【これまでにとった措置】
ウイルススキャン、該当ファイルの削除
【その他の質問】
ウイルススキャンをしてもウイルスは発見されませんでしたとでました。
このウイルスの症状と今後必要な処理をお願いします。
704 :
639 :2006/08/07(月) 20:35:09
>>701 やっぱり書いてなかったんですかぁ・・俺の調べ方が悪かったのじゃないんですね・・・
ウィルス復元とか怖いのでそのままゴミ箱にいれておきます・・・
2つ入れたのですけど隔離しますか?ってでたのは1つだけでもう1つは多分隔離せずにゴミ箱にあるんですけど
スキャンかけてもウィルス検索で出てこなかったので大丈夫だと思って良いですよね?
>>704 レジストリいじられてて自動起動するなんてこともあるから大丈夫とはいえない ゴミバコは空にしとけ ゴミバコに巣くうウイルスもある ファイルの削除は shift+deleteでやったほうがいい
>>702 バイナリはUPXなので解凍可能、
さらっと見たところトロイとしては典型的な手法ばっか
(アカウント情報を自前のSMTPで送るか、ASPで送る)。
こいつのキモはIEへの感染手法なんだろうけど
それを英語で書くのはとても気が重いので
とりあえずファイルだけ固めて発射する予定。
unicodeスクリプトで何かをしようとした中華サイトは
他にも見たけど、ちゃんと動作したのは俺的にはここが初。
こいつが作ったFFXIのトロイを見かけなくなったと思ったら
別なところで腕を磨いていたようだ。
>>703 WindowsUpdateしてたのが幸いしたのかね?
ウイルスバスターとノートンで何も出なけりゃ終了でいいだろ
次からは不用意にリンク踏まないように
709 :
639 :2006/08/07(月) 20:56:06
>>706 なるほど・・・ではその方法でゴミ箱の中にあるやつを処分してきます。
ゴミ箱からも削除すれば完全にPC内から消滅させたと思って良いんですよね?
710 :
702 :2006/08/07(月) 20:57:56
>>707 私の手に負えそうもありまへん
URL晒さんといてください
あほが踏んで大変になる悪寒
>>709 >レジストリいじられてて自動起動するなんてこともあるから大丈夫とはいえない
安心したいのならcドライブをリカバリ
713 :
698 :2006/08/07(月) 21:07:39
>>705 見かけた場所 www.1102213.com
日本のサイトに見えるけど既出の中華罠サイト。
同一IPで別名ドメイン多数所有。
iframeで gua.ishacker.org を呼び出し。
gua.ishacker.org 404に見えるけど
gua.ishacker.org/css.txt というJScriptを実行。
このスクリプトがunicodeの呪文を唱えて
gua.ishacker.org/muma.exe というダウンローダを起動。
おそらくActiveXとして振舞う。CLSIDを持ち、
mswinlogon.dllと名前を変えてレジストリに書く。
muma.exe(mswinlogon.dll) は
gua.ishacker.org/list.txt というテキストを読み込み
記載のあるexeを4つダウンロードし
MicroExec0.exe 〜 MicroExec3.exe として起動。
以上。
それぞれUPX解凍されてドロッパとトロイに分割されて
dllになったりするけど、元はこの4匹。
長文ごめん。でも縮めようがないんだ…。
送る物としてはURI、js、muma(mswinlogon)、トロイ4匹の詰め合わせかな。
714 :
698 :2006/08/07(月) 21:18:17
>>710 あ、入れ違いだった。
リンクしてないから大丈夫…たぶん。
>>713 調査乙。list.txtの1番目を除く4つの実行ファイルは手元のBitDefenderで検出した。
一時的にAV止めて圧縮して送るか…カスペに送るのなんて久々だなぁ…
717 :
639 :2006/08/07(月) 21:29:31
>>712 Cドライブのリカバリってのはどうすれば出来るのでしょうか?
718 :
703 :2006/08/07(月) 21:29:56
>>708 >>701 お騒がせしました。今後は十分に注意したいと思います。
ご迷惑をおかけしました。
719 :
703 :2006/08/07(月) 21:30:31
>>718 ×701
○711
でした。すいません
722 :
名無しさん@お腹いっぱい。 :2006/08/07(月) 21:42:23
ちょっとくだらない質問で申し訳ないが聞いてもらえる? ウイルス(というか、自己増殖を持たないトロイかな)に レジストリキーを改変されてしまった後、そのウイルス本体を 削除してしまった場合、レジストリキーを削除してしまいたい場合 どの辺りを探ればいいのかな? 症状がわかれば探るキーの見当も付くものなの? 症状:Winny起動→CドライブルートのファイルすべてをUPフォルダにひっそり追加→ダダ漏れ NYキャッシュを全部捨てても次の起動時には復活しているようです
723 :
722 :2006/08/07(月) 21:46:35
追記 NYのUpFolderは改変されてない模様 Winny.iniはどうだろう 更新日時を見る限りは改変の恐れありですかね (ウイルス削除とほぼ同時刻に更新されてる) ただ、どこをどういじられたかまでは不明
>>713 css2.txtの中、JavaScriptでActiveXが呼ばれてるが
いわゆる0-dayってやつだねこりゃ('A`)っ
ttp://osvdb.org/27231 検体、ダブらない程度にベンダ宛送付しときます('A`)ノ
>>722 再起動しても復活するのであれば、スタートアップに何かいるんだろうね
msconfig で見当つけて regedit から検索するとか
大抵は
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
あたりがクサイ
削除の前には念のためレジストリのバックアップ
725 :
698 :2006/08/07(月) 22:04:57
>>716 AVGの全滅を確認。
0:xc 不明
1:t1 Lineage
2:ro RagnarokOnline
3:t2 Lineage2
4匹の最初のがわからん。
Lineageは天堂だからt1なのはわかるけど、xcって何の略だろう。
これだけメールではなくわざわざASPで送っているんだよね。
FFXI(というかPlayOnline)もASPだった。
>>722-723 >>1 >Winny、P2P関連のウィルスは、Download板に専門スレッドがあります。
726 :
722 :2006/08/07(月) 22:10:50
>>724 ありがとう
今すぐ参考にやってみる
既存のプロセスを書き換えってオチだとちょっと困難そうなので
再インスコかな
>>725 知ってて居直ってごめん
ただ、あっちは完全に機能してないし
おまけにウイルスそのものの特定もたぶん不可能
オンラインスキャンだとログを保存しない(出来るのも多いけど)からなぁ
そのうちカスペルスキーでもレジストするよ
728 :
698 :2006/08/07(月) 22:14:30
>>724 やっぱりそうですか。
IE6SP2より堅いIE7が既知の脆弱性ごときで
そう簡単に食われるはずはないと思った。
XFocusの連中って、以前もベンダへの通告無しに
Exploit公開しやがったなぁ…。
>>715 監視していたFF用のトロイが403で消えたので、
記憶にあったホストを総当たりしていて食らいました
(1102213 以外に 19800602 など複数サーバあり、
それぞれ複数のドメイン所有)。
もしかしたらこれから各掲示板にURI爆撃する予定だったのかも。
729 :
722 :2006/08/07(月) 22:18:10
>>724 RUNの方にはctfmon.exeと後はmsmsgs.exeだけ存在
RUNONCEには何もなかった
前者は確かIME関係だよね OFFICE関係だとしたらこれがクサイ
(俺のマシンにはMS-OFFICEは入ってないから)
メッセンジャーは…昔からPC起動時にうっとおしくも現れてるから除外
それと、PCの再起動ではなく
Winnyクライアントプログラムの再起動の度に
消したはずのキャッシュが復活するって意味でした
こういう挙動ってレジストリのどっかに改変あるかなぁと思って
>>729 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
こっちも見てみろ
>>725 list.txtのファイル4つはNOD32で以下の検出。muma.exe他は無反応。
1xc.exe a variant of Win32/PSW.Agent.CU trojan
2t1.exe a variant of Win32/PSW.Lineage.DN trojan
3ro.exe probably unknown NewHeur_PE virus
4t2.exe a variant of Win32/PSW.Lineage.SQ trojan
732 :
698 :2006/08/07(月) 22:23:23
>>727 なるほど! そういえば以前も同じ奴が信長トロイ作っていて
パス名がxin(信?)だった。あまりに短期間で消滅したから忘れてた。
しかし、なんとマイナーなものを…。そりゃBitDefenderも見逃すわ…。
信長のアカウントハックしてRMTで処分したところで儲けは少なそう。
ハック対象としては信長というよりGameCityかな?
RFオンラインかPSUかMoEかと思って
それっぽい文字列探してた。 orz
733 :
639 :2006/08/07(月) 22:26:38
すみません・・・ 今まで探してみましたけど取扱説明書が行方不明になってました・・・
>>731 Kasperskyの全滅を確認。
5匹中、Avast!が3匹、AntiVirとDr.WEBが4匹捕まえているというのに
AVG並みとは情けなや。
736 :
722 :2006/08/07(月) 22:38:41
>>730 TkbellExe
「"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot」
これはリアルプレイヤー関連?
nwiz
これは以前からあった記憶 でも胡散臭い
パスの記述もなく「nwiz.exe /install」だって
SoundMan
AC97(ソフトウェアDSPみたいな)関連だと思ってた 以前から存在
後はアンチウイルス系のプロセスやらIME関連やらですかね
>>734 確かにExponnyが最も近いのではないかと思ってました
ただ、Cドライブを全公開とかそういう悪さをしているかは不明です
俺にわかるのはCドライブルート下にあるファイルのみを(フォルダは無視)
Winny起動時に毎回upするという事だけです
勝手にupされたキャッシュを消しても、nyを再起動するとまたupする
>>736 nwiz GeForceのドライバに付属 無くても問題なし
>>698 バスターで
css2.txt(htm):無反応
muma.exe:無反応
1xc.exe:無反応
2t1.exe:TSPY_LINEAGE.AWS
3ro.exe:TSPY_LINEAGE.AWU
4t2.exe:TSPY_LINEAGE.AWT
無反応のやつトレンドに送ってみます
739 :
698 :2006/08/07(月) 22:58:09
>>738 よろしくお願いします。
こちらはMcAfeeとDr.WEBに発射します。
スマンテッコは未確認です。
しかし…XPSP2以降、初めて感染したよ…。
740 :
698 :2006/08/07(月) 23:05:00
あ、css.txt と css2.txt スクリプトのunicodeエンコ部分が微妙に違う…。
>>736 Exponnyじゃないとしたら、、、すまんわからん('A`;)
C:\WINDOWS\win.ini の中におかしな文字列があったら、その単語でググってみると
ヒントになるかもしれない
742 :
722 :2006/08/08(火) 04:21:24
>>741 ありがとうwwww
ズバリ特定したwwww
どうやらぬるぽワームっていうかAntinny_Aだったのかな
Win.iniに[ぬるぽ]セクションの2行を見つけまして
つい先ほど完全駆除に成功しますた
ただ、ウイルスとしての挙動がAntinny_Aと完全一致しない気もする・・・
それにAntinny_Aを踏んだ記憶はまったくないんですよね
ダウソ→avastがAntinny_A発見→削除
この過程でなんで感染・・・?
Win32.Antinny.B-UPXが何なのか分かりません・・・ Win32.Antinny.Bとどう違うんですか? ググっても分からなかったんでどなたか教えてもらえないでしょうか?
圧縮する事によってセキュソフトに発見される事を防ぐ
>>698 >>713 Kaspersky File Scanner
css.htm - infected by Trojan-Downloader.JS.Small.cs
muma.exe - infected by Trojan-Downloader.Win32.Agent.ast
1xc.exe - infected by Trojan-PSW.Win32.Gamec.ax
さすがに対応早いな
747 :
698 :2006/08/08(火) 10:02:04
>>745 早いね。
McAfeeは、上の人に送ると下っぱから返事が来たところ orz
MSRCにパッチ前倒しで出してくれと頼んでみたけど
こっちはシカトされるかもしれん。
748 :
名無しさん@お腹いっぱい。 :2006/08/08(火) 10:18:20
コマンドプロンプトにnotepad %windir%:SVCHOST.exeと入力して メモ帳経由でWINDOWS:SVCHOST.exeファイルが開いた人は、この前のウィルスファイルを持っている人 ファイルが見つかりません。新しく作成しますか?と聞かれる人はファイルが作成されていない人 NTFS領域じゃないと構文エラーになってファイル名を受け付けないからFAT32の人は関係ない NTFSもセキュリティの面でまだまだ穴が残っているな!
>>748 代替データストリームの問題性は何年も前から指摘されてたよ
つか、未だに対応してないウイルス対策ソフトが存在するのかよw
しかし、マルウェアとしては比較的低レベルな国産晒し系も使い出した事で
この手法も一般化しそうだな。糞ソフト利用者は乗り換えお早めにw
>>749 そもそもがWINDOWS:の名前で始まるファイルがExplorerなどから見えないのは問題があるだろう?
それにExplorer経由でその名前の付いたファイルを開こうとすると構文エラーで受け付けない仕様にも問題あり
OS側にも十分に問題があるな
どのプロセスを利用するとそんなファイル名が作られてしまうのかは知らないが、
マイクロソフトも知らん振りするのなら、絶対にどんなウィルスが弱点を突いてそんなファイル名を付けようとしても作られないようにはしとかないとな。
>>749 Explorerから見えないファイルは、ドライブ内をスキャンしても発見されないよ。
どこのウィルス対策ソフトならそれを発見できるんだ?
753 :
名無しさん@お腹いっぱい。 :2006/08/08(火) 11:21:15
よくわかんないけど、メモ帳で開いた WINDOWS:SVCHOST.exeをeicarの文字でペーストして保存すると、 その瞬間確実にアンチウイルス反応するんでしょ? 前の方で奨めてた人いるからさ。
>>753 まあ、常駐監視なら開けば発見するだろうけどね。
でも、知らずに作られちまったExplorerからは見えない変なファイルならばスキャンでは発見出来ない。
こんなファイルをいっぱいドライブ内に抱えている人って結構いるんじゃないのか?
>>752 常駐保護切って、フォルダにeicar貼り付けて、オンデマンドスキャンしたら普通に検出したけどな…
どんな糞ソフト使ってんだお前らは?
フォルダにコピペできるやつなんてそうそういるもんじゃないぞ。
ファイル?フォルダ?
ADS理解してないのにこの話題に参加してる奴いるのかよ…
今回レジストリのRUN経由での起動は、そのファイル名だと構文エラーになって起動しないのはわかったんだけど、 exefileとしてExplorerを経由して起動する方法じゃなくて、 WINDOWS:SVCHOST.exeを直接起動する方法ってあるのか? あるとしたらファイルが見えないから怖いよな。 これからは頭いいやつが何かを考え出しそうだぞ。
亀田ウイルスは最恐のウイルスだな 知らずに感染してた人が結構いるんじゃないの? こんなに狡猾なウイルスが出来上がるなんて・・ (ノ゜凵K)ノびっくり!!だよ。
>>763 このスレ見ると
踏むような奴の頭の悪さの方が(ry
Explorer上から見えないファイルなんてたくさんある。 その中のひとつが、ActiveXからインストールされたファイル。 このファイルはコマンドプロンプトか特別な方法を使わないと見えない。 今回のWINDOWS:〜というファイルも同じでコマンドプロンプトを使えば 発見できるし削除だってできる。 セーフモードとコマンドプロンプトで起動してみたり 回復コンソールを使って起動してみて確認してみろ。 間違い無く見つけられる。
コマドプロプロはわからねえ・・・
>>766 notepadでその名前のファイルが作れるから
見つけてみろタコ
>>766 >>764 のソフトでスキャンすれば見つかるが、システム上のC:\WINDOWS:ファイルは
何故かロックされていてADSが見られない。
他のシステム上からなら見られるし削除も可能なようだ。
notepadなどはアクセス出来るのに変だな?
ちょ
avastの8/8付けの定義ファイルでも
>>590 のウイルススルーしやがったwww
連レスすまないがバスターではこのウイルス2006/03/08発見のTROJ_DELF.AXEとして検出されるんだな。
>>771 こう対応が遅いと、検体送る気も失せてくるな…
>>698 のウイルス、カスペから午前3時前に対応完了のメール来てた
avast!にも送ったけど、果たして何週間後に対応するのかね…
>>770 Aviraのほうが解析力が上ってわけか。
avast!結構使ってる人多いから心配。
>>772 >>590 にはウイルスバスターのオンラインチェックで検出されず、とあるが…
亜種を同名検出にしたのか、オンラインスキャンの性能を落としてるのか…
トレンドマイクロも信用ならんなw
776 :
名無しさん@お腹いっぱい。 :2006/08/08(火) 23:02:50
>>774 元々avastは国産ウイルス・ワームには弱いみたいよ
777 :
772 :2006/08/08(火) 23:20:05
一応、
>>590 の者なんだが、あの時どっちもスルーされたから
今回さすがにアップされてるだろうと思ってスキャンしたら
こういう結果になったわけだ。TROJ_DELF.AXEと検出したのは
オンラインスキャンのほう。製品版はもってないがフレッツの
光プレミアムについてたセキュリティツール(エンジンがトレンドマイクロ製)
も同じように検出された。
ただよくわからんのがこのウイルス、TSPY_SUFIAGE.Gのはずなんだが
詳細ページに載ってるファイルサイズと食い違ってるんだが(843,776bytes)。
ってもしかしてうちのこのファイルが壊れてる?
>>770 >しかしながら、上記ファイルの作成は失敗に終わるようです。
>これにより、上記レジストリ値は存在しないファイルを指定することとなり、
>不正プログラムの自動実行は失敗に終わります。
>また、上記レジストリ値は "\(バックスラッシュ)" の代わりに ":(コロン)" を使用しており、
>正確なファイルの場所を指定していません。
こんな嘘をセキュリティベンダーが堂々と書いていいのかよ?
確実にファイルは作られているぞ
Explorerとかからは、見えないけどな
OS上ではそのファイル名は、Windowsフォルダとアクセス時に解釈されてしまうようだ
そのファイル名は実際には、"Windows:Svchost.exe"と言うファイルだ
本来ならWindowsと言う名前のファイルがExplorerから見える筈なんだけど、
Windowsと言うシステムフォルダに隠れてしまって表示されない
確かにRUNからの起動は、Explorer側でそのファイルパスを受け付けないようだけどな 笑
それと、HKEY_LOCAL_MACHINE側にDisableTaskMgr値を設定してもシステム側では無効にして受け付けないようだ。
それが証拠にその値を設定してもタスクマネージャは起動する。
Lootkitで似たようなことあったが、Windowsでも標準装備とはなw しかしまあ、このスレ読んでたから間違ってるってわかったが、ADSって 常識的に知られてるものなのか? つか、これってセキュリティホールじゃ?
tp://news19.2ch.net/test/read.cgi/newsplus/1155046619/l50 【社会】 「まさかパトカーに追われるとは」 自転車2人乗りの女子高生に、赤切符…仙台 てスレなんですけど ここの >>2 を表示すると カスペルさんが反応して 注意!潜在的に危険なプログラムが検出されました。 となるんですがなんなんですかね? 板違いならすみません・・。
>>639 俺もおんなじウィルス感染したんだけどどうなった?
ローズオンラインというネトゲやってたんだけど
今、個人情報流出で大騒ぎなってんだけど何か関係あるのかな?
>>780 Kasperskyもノートン先生みたいにウイルスコードに敏感だから、
専ブラなら「ms-its」をNGワードに登録しとき('A`)
ノートントラップ でググると色々参考になるかもよ
>>778 トレンドに検体を送ったものだが
Windows:Svchost.exeについてはADSを使っててExplorerから見えないだけなんじゃ?
という旨のメールをトレンドにおくってる
さてどんな返事が帰ってくるか…
ADSを使ってても本来はExplorerから頭のファイル名が見える。 しかし今回は、Windowsと言う特殊なシステムフォルダ名のフォルダと被るので、 Windowsシステムはファイルとして取り扱ってくれないので見えないのだと思う。 notepad経由でC:\ZZZZ:SVCHOST.exeと言うファイルを作ってごらん。 Explorerから見えるはずだよ。ちなみに削除もきちんと出来る。
785 :
780 :2006/08/09(水) 00:06:21
>>783 まあ、知らない0バイトのファイルがあったらADSのファイルだと思ってもいいだろう。
【使用OS】WindowsXP Professional 【WindowsUpdateしてるか】している 【AntiVirusは何を使っているか】ノートン2005 【ちゃんとUpdateしてるか】SP2は入れてない 【スキャンした結果(ウイルス名・発見場所)】異常無し 【別のオンラインスキャンしたならその結果は】異常無し 【症状を具体的に、分かる限りすべて書く】 20秒間隔くらいでノートンのウイルス警告が出る。 オブジェクト名 C:WINDOWS\System32\vmmdiag32.exe ウイルス名 Downloader 適用した処理 ファイルは自動的に削除されました。 頻繁にSystem32フォルダにウイルスが作成されているみたいです。 その都度削除されているので頻繁にウイルス警告が出ます。 【何をしたらそんなことになったのか】何かのアドレスを踏んだと思うが、どれかは、わからない。 【これまでにとった措置】セーフモードでノートン2005にて全スキャン。AD-Awareにて全スキャン。どちらも異常は無し。 【その他の質問】 ウイルスは削除されているみたいなんですが、それを作成している大元がわからないため、都度警告が出てしまいます。 どの辺りを確認すればいいでしょうか?
>>788 厳密に言うと、
>>764 なんかのツールでも、システムドライブ内だとアクセス不能でADSを発見出来ないファイルが存在する。
予約語なんかとの係わり合いが強いんだと思う。
結局はWindowsプロセス経由でのアクセスなんだろうからね。
でも、絶対に発見できないかと言うと、違うシステムからそのドライブをスキャンしてやると見付かるようだ。
まあ、これでひと安心だけどね。
790 :
783 :2006/08/09(水) 00:38:10
>>784 作ってみた
たしかにファイルは作成された explorerから見える
ファイル名はZZZZだw
見えない:SVCHOST.exeがADSというわけか
ADS以降は見えないけれど先頭が表示されるとはこのことか
ちなみにnotepad %windir%:SVCHOST.exeもつくってみた
たしかにexplorerから見えなくなった!!
cmdから実行するとメモ帳形式のwindows:SVCHOST.exeがたちあがった!!
こんな手法が使われていたとは…
やはりヤバいのは、システムドライブのルートに存在するフォルダと同じ名前のADSファイルを作ると見えなくなるし、 ツール経由でもシステム側が拒否するのか、発見出来ないようだ。 完全を期すのなら、やはり外部のシステムからそのドライブ内をツールで直接スキャンするしかないようだな。 それに、その方法で作られたウィルスファイルなどは、セキュリティソフトでドライブ内をスキャンしても隠れてしまって発見しないようだ。 ツールでもシステムドライブだと見えないんだから当然といえば当然だが・・・ まさしく大穴・・・ダメだなこりゃ
きっとメモ帳などからのコマンドでの直接アクセスは、OSのチェックロジックをスルーしてアクセスするんだろうな。 今回のはどんな方法でそのファイルを作っているのか知らないけど、 今後こんなのは山程出現してくるんじゃないのかな?
もしもやるつもりがあるのなら、Cドライブのルートにaaaと言うフォルダ、 さらにその中にbbbと言うフォルダを作成してから、 notepad経由で C:\aaa\bbb:SVCHOST.exeと言う名前のADSファイルを作ってみて欲しい。 その時にeicar.com.txtの文字列を貼り付けて保存してから、セキュリティソフトでC:aaaのフォルダをスキャンしてみて欲しい。 きっとそのファイルをスルーしているはずだ 笑
馬鹿があんまり騒ぐから釣られちまったじゃねえかw オンアクセススキャン無効でnotepad %windir%:SVCHOST.exeでeicar貼り付けて オンデマンドスキャンで普通に検出・隔離しましたが何か? notepad C:\aaa\bbb:SVCHOST.exeも同様 【結論】システムフォルダのADSをスキャン出来ないとか言ってる馬鹿は糞ソフト使い
>>794 そのファイルを作ってからスキャンするんだぞ
何か勘違いしていないか?
>>795 いつからこのスレはこんなにレベルが低くなったんだ?よく読めよ…
オンアクセススキャン無効 = 常駐保護停止
こう書かないと理解できないのかお前は?
じゃあ、考えを変えてもいいな。
システムドライブに膨大な見えないごみファイルを作成する困ったウィルスなんてのはどうよ?
じゃあ、システムドライブ内だと見えない
>>764 なんかのツールも糞なのか?
>システムドライブに膨大な見えないごみファイルを作成する困ったウィルスなんてのはどうよ?
小学生的な発想ワロタ
>>764 のツールに不具合あんならバグレポート出せばいいんじゃね?俺は使ってないんで知らんが
799 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 02:32:48
口調は悪いが大変タメになる流れだな で、結局Exporerでは不可視となるファイルは作れるけど 検出や駆除は可能でFA? アンチウイルスプログラムによって依存がありそうなら MSの出番かな? セキュ板住人がんばって>< 何も出来ないけどせめて応援してる><
800 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 03:31:54
ネットには繋がっているのに、どのサイトも表示できなくなったんですが、これはウィルスなんでしょうか?ブラウザはIEでXPです。あとテンプレのシャットダウンのやつにやられたあと、こうなりました。
801 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 03:42:15
ネット初心者なんですがネットしててページをクリックした瞬間、ウィルスが入ったみたいです。 ウィルススキャンみたいなものをしたら四つの脅威が検出されたんですがどうすればいいんでしょうか...
子供がこんな時間にnetしてちゃ駄目だよ。 すぐ寝ろ
803 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 03:50:17
いや今年、二十歳のもんです。 マジでパソコンはネットみたりCD焼いたりワード使うぐらいしかしないんで... ネットでミリタリーショップカキタのページを見ていてリンクにWASHIYAとゆうサイトがあってクリックしたらウィルスがどうたらこうたらとなって怖くて電源切ってしまったんですが...
初心者すぎて皆さんのレスに付いていけません。 結局のところ今回話題になった亀田ウイルスTSPY_SUFIAGE.Gというのはそう簡単には駆除できないという事でFA
>>803 その「どうたらこうたら」で判断できるのだが・・・
スキャンして検出したなら、削除しろ
806 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 05:57:39
亀田ウイルスTSPY_SUFIAGE.Gの件ですけど、 本来OSが作成を許さず、万一作成されても 全くサポートしない(管理できない)ファイル名の Windows:Svchost.exe という悪質プログラムファイルが 亀田ウイルスTSPY_SUFIAGE.G感染時に強制的に作成される。 OSのシェル操作ではその存在を確認できない。ということはわかったけど、 では 1.レジストリのRUNにこの Windows:Svchost.exe を指定しても無効なら、 次回起動時はどうやってよびだされるか? Windows:Svchost.exe をOSがWindowsフォルダ下のSvchost.exeと誤解して、 OSの規定の読み込み(Windowsフォルダ下のSvchost.exeを優先的に読み込む仕様) で毎回実行される。 ということでしょうか? 2.アンチウィルスソフトの検索エンジンによって、 OSの制約を超え、検索できるものと、そうでないものがあるということですが、 さらにヒットできるが、削除ができないということもありそうです。 この辺をもう少し明かしていただけませんか? 各アンチウィルスソフトのこの部分での対応情況についても知りたいです。 (定義対応っていっても、感染後の対応がどうか知りたいので)
ADSとして他ファイルに「寄生」するのは
最近減った比較的正しい意味での「ウイルス」だよな。
こいつの問題はNTFSから一歩出ると消えてしまうため
メール・アップロード・CD・FDなどの手法では
寄生されたファイルを検体として送ることができないってことだなぁ。
また、Kasperskyのスキャナ
ttp://kaspersky.co.jp/scanforvirus/ を例に挙げると
「ファイルスキャナ」は(formで)アップするとADSが消えてしまうから
「オンラインスキャナ」(ローカルで動作するActiveXコントロール)を
使わないと見つけようがない。
NTFS上でアーカイバで固めると
Macのファイルのリソースフォークみたいにくっついてくるんかな。
ADSの実装そのものは昔からのようだけど、 NTFSの家庭への普及は(少なくともMicrosoftの営業的には) XP(2002)からなのであまり問題視されなかったのかもねぇ。 サーバ NT4Server→2000Server→Server2003 ワーステ NT4Workstation→2000Pro→XPPro ホーム 95→98→Me(ここまでFAT)→XPHome
809 :
806 :2006/08/09(水) 06:22:28
>>807 すんません。806にはADSの概念がなかったです。
その寄生される「他ファイル」は「WINDOWS」でぶら下がるサブ
ストリームがSvchost.exeってことですね?
「WINDOWS」が読まれると、確実にSvchost.exeが読まれるってことで
いいですか?
810 :
698 :2006/08/09(水) 06:28:57
MS06-046(922616)で修正。たぶん。
811 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 07:53:14
騙されて亀田ウイルスにかかってしまいました。 なんとか今プリインストールされてるウイルスバスター2005 をアンインストールせずに駆除する方法ありませんか?
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run値: SVCHOST = "<Windowsフォルダ>:svchost.exe" が無効ってことは 亀田ウイルスは結局再起動時に自動実行されないのではないの? それとも、806のいうように、特殊な読み込みで 実行されるの? 教えてエロイ人。
813 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 08:20:55
814 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 08:59:48
PE_parite.Aというウイルスに感染したのでウイルスバスターで駆除したところ PC再起動後フリーズするようになってしまいました。 あれやこれやで何とかシステムの復元でPCは使えるようになりましたが 当然ウイルスは残ったまま・・・色々ググって見たところ やはりOS再インスコしか手はないのでしょうか? 3ヶ月前にOS再インスコして最近やっと使いやすい設定やアプリに 落ち着いてきたところだったのに・・・ わずらわしさからウイルスソフトはずしてたのが間違いだった('A`)
>814 (´・ω・`)良い勉強になったがな
816 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 11:49:38
TSPY_LMIR.EY というウィルスに感染したようです。 セーフモードで削除しようとすると、ファイル使用中のタメ削除できません と出ます。フリーソフト(強削)などを利用してみましたが、削除できません コマンドプロントからもやってみましたらが、アクセス権がありませんと でて削除できませんどうしたらよいでしょうか^^;
レベルの低い発言で悪いんだが WIND(ryは削除出来てる 本当は削除出来ていないのか?レスを読む限りオンラインスキャンでないと反応しないとか書いてあるが
日本語でおkk
819 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 12:37:51
>>815-816 ウイルスの名前わかってんだからまずはググろうぜ
シマンテックかトレンドマイクロあたりのウイルスDBがHITするだろ
そこで対応を教わるといい
基本的にはプロセスを殺す→ウイルスとそのコピー削除→レジストリ削除→再起動
これでおしまい
820 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 13:34:32
ぐぐったんですが、中国語のHPしかでてこない。。
821 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 13:38:54
せめてプロセスだけ殺せれば。。。ウワーン
822 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 14:03:59
TSPY_LMIR.EYでググるとヒットは2件 で、出てきたものを見てみるとどっちもトレンドマイクロ社(ドメインが欧米のようだ) 要するに言いたいのは、ウイルスバスターの定義名はこれだっつーこと トレンドマイクロの定義ではTSPYとあることからスパイウェアであることがわかる しかし!LMIRでググると他社のエンジンでも割と引っかかる どうもLMIR系などとカテゴリにされてるようだ モノによってはパスワード窃盗なんかも行うようだ 結論 資料が足らないのなら増やせ 具体的には他のアンチウイルスも使ってみよう ウイルスの定義名はベンダーによって異なると思っていい
823 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 14:23:27
ありがとうございます。 トレンドマイクロ社のウィルスバスター購入して 検索すると確かに引っかかります。 で、ウィルス情報を見る押すと、情報がありませんと。。。 国内版はだめなのか。。。
notepad %windir%:SVCHOST.exe をやった瞬間バスターがしっかり反応したよ・・ 何が、上記ファイルの作成は失敗に終わるようです。だ
e1explorerってアイコンがあちこちに定期的にできるんだよ 検索しても対策方法ないし 誰か教えてくれ
826 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 16:25:30
287 名前:しらんがな(´・ω・`) メール: 投稿日:2006/08/09(水) 16:02:18 ID:RRBkGj8A0
>>284 イタリアで流行ってるみたいだな。
827 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 16:45:30
ウイルス踏んだらしいです 文字が、たーまに漢字の塊や、わけわからない文字になります どうすればいいのでしょう?
828 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 16:50:49
>>827 アンチウイルスいれな。勝手に検出してくれる。
検出されたらまたききな。
829 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 18:38:17
msconfigを実行してスタートアップ見たところ 「スタートアップ」、「コマンド」のところが空白のものがあるんですが・・・ ウィルス検索しても何も検出はされませんでした
>>829 空白は削除してもそのままでもいい 無視される
どうせ、ウィルス対策ソフトで削除された項目なんだろうよ
831 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 18:42:02
>>830 ありがとうございます
早速消してきます
知らぬ間に無理矢理どこかへアクセスされて、 デスクトップとスタートメニューとお気に入りに自動的にショートカットアイコンが できて、何回削除してもリンク先のファイルを消しても同じこと繰り返される。 どうやら外国のHPの強制表示がされ、ホームが真っ白な場所にされてしまう 模様です。 知っている人がいたらどう言う不正ソフトなのか教えて下さい。 どうやらDocuments and Settingsのフォルダ内にTack.exeと言う物ができる ようです。 あと>825さんと同じ症状の様ですが、こっちはw1explorerってなります。
833 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 22:08:18
ネットに接続して、サイトなどにアクセスしていない(通信していない)時に なぜか頻繁にモデムが点滅するので、気持ち悪くなってオンラインスキャンなどを試しましたが・・・ 未だにネットに接続すると頻繁に点滅を繰り返します・・・・。 以前まではそんな現象はまったくなかったのですが、これってウイルスですよね?
837 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 22:58:42
>>837 かなり前にスパイボットをDLしたので、スキャンして全て消したのですが・・・
こんな状況なんですよね・・。
>>836 セキュリティソフトで許可している設定を一度全部削除して、何が通信しようとしているか探れば?
840 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 23:04:18
>>839 そうだな
Firewallの許可を全てはずしてみるとか
>>839 セキュリティソフト(?)は一応、不評なavast!の体験版を入れています
むしろモデムの現象が起きてから・・・これをインストしたのですが・・。
avastはアンチウィルス。通信に関してはファイヤーウォールの役目。 OSやルータの有無、avastとspybot以外で使ってるセキュリティソフトを教えて
>>842 OSはWINDOWS 98を未だに使用しています・・。
ファイアーウォールはPCが重くなるので入れていません(入れられない?)
avast!をインストした時に"オンアクセス保護"という機能があったので使用しています
それ以外は・・・・情けなくも使っていませんorz
>>843 ファイアウォール無しで98って…せめてルータは有るんだろうな?
ルータも無いなら今のうちに回線切って首吊って氏んだ方がいいよ
>841 ZoneAlarmを入れてみるといい。
>>835 TR/Drop.BZub.AS.2が出てくるウィンドウ画面と一致してます。
ファイル名などは違いますけど、おそらく同じ物じゃないでしょうか。
でも駆除方法がわからないです。
AD-awareもSpybotも効かないようです。
IEを開いてると勝手にアクセスされて同じ不正タスクが現れてきます。
>>845 ZoneAlarm、さっそく検索してみたのですが・・・対応OSが2000とXPなんですよねorz
848 :
名無しさん@お腹いっぱい。 :2006/08/09(水) 23:32:40
>>847 98版もあるよ。
Outpostもおすすめ。
ルーター買ってこい
・ad-awareとspyware blasterの導入を検討 ・セーフモードでのスキャン この2つは試せ(上は98対応かは調べてないけど) あとルータはあった方がいい
>>848-850 貴重な情報、本当にどもですm(_ _)m
ただいまスパイウェア対策としてad-aware(無料版)を落としています
ttp://www.playncsoft.net というアドレス踏んだら、よくわからないウイルスに感染しました。
どの類のウイルスかもわからない・・・初心者ですが、初期化したほうが
宜しいでしょうか?
IEが開かなくなって、駆除ソフトでは、感染と出ています。
(削除ができませんでした)
会社のPCなので・・・どうすればいいかと・・・・・
exeの意味すら知らなかったです・・・・・。
856 :
854 :2006/08/10(木) 01:35:06
ごめんなさい。感染させようとかいうのではなくて・・・ 自分が踏んでしまったので・・・・ 気のゆるみから、踏んでしまって、いざという時・・・ パニック起こしてる状態だったので・・・
【 最 重 要 事 項 】 ウィスルやブラクラだと思われる物の直リンは厳禁!!!!!!!!!! 質問の時は頭の『ht』を抜いて貼り付ける事 ~~~~
858 :
名無しさん@お腹いっぱい。 :2006/08/10(木) 02:16:05
>>856 そのソフトでウイルス情報は出てない?
名前とか
WINDOWSのTEMPフォルダに原田を含んだtmpファイルが自動生成されます。 その度ノートン先生が消してくれるのですが…もうダメですか?
winfixerをDLしてしまい、ノートンでスキャンしたのですが 間違って「除外」をクリックしてしまいました どうしたら元に戻せますか?
ウイルスに関係あるようで無いじゃん 設定の仕方なんてスレ違い
>>854 会社に報告し対処をあおげ。
そこのはRealPlayerが古いと感染する。
>>860 ノートンスレにでも行けよ。
Documents&setting>AllUser>スタートアップの、 『スタートアップ』フォルダをクリックすると必ず固まってしまうのですが、 こんな症状のウィルスってありますでしょうか? 他のフォルダは問題無く開けるのですが、このファイルだけいじれません。
864 :
名無しさん@お腹いっぱい。 :2006/08/10(木) 09:41:20
何かウイルスを踏んでしまったらしく デスクトップにブラクラのように青い画面の窓が表示されていって デスクトップをゴキブリが這い回り 一切他のソフトが起動できなくなりました。 何か対処法はないでしょうか?
>>863 Explorerからの操作は問題ないのか?
>>866 Explorerからの操作ってのは普通にフォルダ開いてく事ですよね?
マイコンピュータ→C→Documents&setting→AllUser
の順に開いていって,スタートアップのフォルダ触ると固まっちゃいます。
プロセス見るとexplorer.exeがダントツにメモリ使ってます。
このスレ開いてるだけの状態で42,572Kです。
んなもんウイルスというかPCスペックの問題だろーに。 テンプレ不使用の段階でスルーすべきだったんじゃないか?
>>854 会社のPCでって
あんた余程パーなんだな
870 :
867 :2006/08/10(木) 10:57:03
関係無い項目が多そうだったので省いちゃってました。
症状聞きたかっただけなので。
OS:XP
CPU:Athlon XP-M 2000+
メモリ:256M
>>868 スペックの問題で特定のフォルダだけ開けなくなる事があるんですか?(
>>863 )
にゃー メモリ:256M
872 :
866 :2006/08/10(木) 11:20:38
>>867 しばらくほっといてみたら? PenIII 1.2GHz 1GBのノート
(2.5インチの遅いディスク)でXPSP2でindex切った状態だが、
プロファイル触ると1分は帰ってこない。
つーか先にディスクの破損を疑ってchkdsk /fするべきじゃねーの?
>843 ・・・、怖いもの知らずだ。 win98ならFWは必須。重くなっても絶対必要だよ。 重くて我慢できないならルータを導入しましょう。 Outpostなら軽くてお手頃かも。
ルーター導入してもポートそのままつかったりしてな。
ちょっと遡ってスレ見たけど。 843って836の >>なぜか頻繁にモデムが点滅する って人なの? クリーンインストールしたほうがいいと思うな。 ネットへはFW入れるまで繋がないようにね。
877 :
名無しさん@お腹いっぱい。 :2006/08/11(金) 00:18:11
お願いします。 現在特にウイルス対策ソフトはいれてなく、 今日見た以下のURLのブログの2006/8/6あたりの画像を クリックしたら、何やらウイルスがどうとかとメッセージがIEに出ました。 tp://mercheromero.iobloggo.com/ ウイルス対策にDLしないとだめ、みたいなMESだったとおもうけど 危ないとおもったのでスルーしてトレンドマイクロの オンラインスキャンしたら、一応感染なしでした。 一体なんだったのか謎なのでスキルあるかた、みてみてもらませんか。 怖くてお気に入りからも削除したのですが、 このブログ自体に何か問題が?
879 :
名無しさん@お腹いっぱい。 :2006/08/11(金) 12:01:32
【使用OS】 WindowsXP ・symantec.com へのアクセスをブロックする ・適当な時間がきたらIEでサイトにアクセスできないようにする(DNSをおかしくする?) という症状のウィルスに感染しているようです。 avast でHDを通常スキャンしたところ、いくつかウィルスが見つかったので、修復、削除をしたのですが、 symantec.com へのアクセスがまだブロックされたままです。 後者の症状については解消したかどうかわかりません(適当な時間がいつなのかわからないため)。 有名なウィルスだったと思うのですが、ぐぐっても見つかりませんでした。 ウィルス名と対処法がわかる方、よろしくお願いします。
880 :
名無しさん@お腹いっぱい。 :2006/08/11(金) 12:35:41
この板のNOD32スレを見ようとしたらウイルス警告が出たんだがどういうことだ? これってウイルス?
881 :
名無しさん@お腹いっぱい。 :2006/08/11(金) 12:49:02
なかなかウンコが出ない orz
883 :
名無しさん@お腹いっぱい。 :2006/08/11(金) 13:16:31
AntinnyAE に感染!どぉしたら駆除できますか?AVGをつかってるのですが駆除できません教えてください
やだよ
>>881 解決したなら結果とか原因ぐらいは書こうな
886 :
883 :2006/08/11(金) 15:29:35
何とかなりました スレ汚し失礼しました
【使用OS】Win2k 【WindowsUpdateしてるか】最新 【AntiVirusは何を使っているか】ノートン先生 【ちゃんとUpdateしてるか】最新 【スキャンした結果(ウイルス名・発見場所)】発見できず 【別のオンラインスキャンしたならその結果は】ウィルスバスターオンラインスキャンでも発見できず 【症状を具体的に、分かる限りすべて書く】何かがメールを送信しようとするが、メールアカウント未所持なので送信されない それがノートンのオートプロテクトにひっかかる 【何をしたらそんなことになったのか】不明 【これまでにとった措置】LANケーブルを抜くか回線を無効状態にするとこの症状は出ず 【その他の質問】 先日ウィルス踏んだので、OSを別のハードにクリーンインストール。 ノートンを最新版にしてWinのアップデートをしていたところ、IRCbotがオートプロテクトにかかるも削除。 無事完了したと思ったら、この症状がでています。 一応ノートンのHPでIRCbotの削除法を調べてみましたが、それらしいレジストリの書き換えは見つからず。 以下メッセージ内容 電子メールメッセージ(送信先は 、 件名は ) を送信できませんでした。メールサーバーに対する接続が中断したためです。 電子メールクライアントを開いてメッセージ送信フォルダからメッセージを再送信してください。 と出ますが、Outlookには未送信メールは存在せずという状況です。 どんな原因が考えられますでしょうか。
OEはどうなってる?
ずいぶん長いウンコだな。 お〜〜〜い
>>889 OEはOutlookExpressですよね?
メールが送信される時に見てても変化はありませんでした。
今も回線繋いだら同じようにメール送信未遂が発生してます。
【使用OS】Windows XP2 home edition 【WindowsUpdateしてるか】している 【AntiVirusは何を使っているか】AVG & BitDefender 【ちゃんとUpdateしてるか】AVG->自動更新 BitDefender 一週間に一回程度 【スキャンした結果(ウイルス名・発見場所)】BitDerfederにて発見 ウィルス名 Generic.PWStealer.4C796423 発見場所 ap_gi_2.dll 【別のオンラインスキャンしたならその結果は】 してない 【症状を具体的に、分かる限りすべて書く】 自覚症状なし 【何をしたらそんなことになったのか】 不明 【これまでにとった措置】 まだとってない 【その他の質問】 これって、誤検出でしょうか?
>>893 発見場所をフルパスでよろ
つかap_gi_2.dllでググっても何も無いな…
ヒューリスティック検知っぽいから誤検出の可能性はある
895 :
893 :2006/08/11(金) 23:02:42
>>894 レスありがと。
発見場所はここです。
C:\Program Files\iPass\iPassConnect\ap_gi_2.dll
誤検出かもしれないので、AVGと氏万テックのonlineスキャンを実行予定。
896 :
783 :2006/08/11(金) 23:10:01
>>895 そのファイルのプロパティ見れば何かヒントになるかも
亀田ウイルスと同時期に角煮の「男が女に犯される」スレでうpされた やつにomake.exeってのが入ってたんだが、これの話題でた? 踏んだら「無効なexeです」みたいなこと言われるらしいんだが
【使用OS】Windows XP2 home edition 【WindowsUpdateしてるか】している 【AntiVirusは何を使っているか】ウィルスバスター 【ちゃんとUpdateしてるか】している 【スキャンした結果(ウイルス名・発見場所)】WORM_ANTINNY.BD 【別のオンラインスキャンしたならその結果は】 してない 【症状を具体的に、分かる限りすべて書く】 自覚症状なし 【何をしたらそんなことになったのか】exeの実行 【これまでにとった措置】 win.iniの該当部分削除 【その他の質問】trendmicroの対応方法をみて駆除しようとしているのですが win.ini以外の改変された部分が見つかりません。 レジストリのrunの部分も見てみたのですがなにも修正された様子がなく、 UPFORDER.TXTを検索してみても出てきません。 ウィルスバスターがやっつけてくれたと思っていいのでしょうか?
902 :
名無しさん@お腹いっぱい。 :2006/08/12(土) 00:13:31
>>896 >しかしながら、上記ファイルの作成は失敗に終わるようです。
>これにより、上記レジストリ値は存在しないファイルを指定することとなり、
>不正プログラムの自動実行は失敗に終わります。
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
>上記のレジストリ値内で示されているファイルは無効なため、
>不正プログラムによって作成はされますが、Windowsエクスプローラ等では検出されません。
大事なとこも変更されてるわけね。
Kasperskyは技術者陣が頭メチャクチャよさそうなイミージがあるんだけど、
日本語の解説はない?
【使用OS】Windows XP2 home edition 【WindowsUpdateしてるか】している 【AntiVirusは何を使っているか】ウィルスバスター 【ちゃんとUpdateしてるか】している 【スキャンした結果(ウイルス名・発見場所)】WORM_ANTINNY.BD 【別のオンラインスキャンしたならその結果は】 してない 【症状を具体的に、分かる限りすべて書く】 自覚症状なし 【何をしたらそんなことになったのか】exeの実行 【これまでにとった措置】 win.iniの該当部分削除 【その他の質問】trendmicroの対応方法をみて駆除しようとしているのですが win.ini以外の改変された部分が見つかりません。 レジストリのrunの部分も見てみたのですがなにも修正された様子がなく、 UPFORDER.TXTを検索してみても出てきません。 ウィルスバスターがやっつけてくれたと思っていいのでしょうか?
二重書き込み…orz すみません。
>>898 これの事かな
omake.exe
File size: 119808 bytes
MD5: f4d565ef14fca3772aaa51406f96e8cd
SHA1: f3a9860c37c86c21ae6be5479ffbd7e7812badea
無効なEXEうんぬんは多分フェイクアラート
その後何かをしようとする挙動はあるみたいなのだが
omake.exeが強制終了してしまう。プログラムミス?
何かのファイルが作成されたとかいう痕跡は見つけられなかった
とりあえず俺の手には負えない代物でした
最近 2チャンでメ欄にsageと入れないと名前欄に緑字でsoftbank〜○○○(数字).bbtec.net ってなるんですが何かウィルスに感染したのでしょうか? 他の人はちゃんと名無しなのに… どう対応していいのか解りません。ホント誰か教えて下さい。
ふっふっふ・・・
910 :
名無しさん@お腹いっぱい。 :2006/08/12(土) 14:52:20
sageればいいんじゃない?
何でもかんでもウイルスのせいにしてやがれ!
【使用OS】 windows XP home edition sp2 【WindowsUpdateしてるか】 している 【AntiVirusは何を使っているか】 ノートン2006 【ちゃんとUpdateしてるか】 している 【スキャンした結果(ウイルス名・発見場所)】 winfixer 【別のオンラインスキャンしたならその結果は】 【症状を具体的に、分かる限りすべて書く】 作業をしている時にいきなり電源が落ちる 【何をしたらそんなことになったのか】よくわからない 【これまでにとった措置】 スパイウェア ウィルスを検索・駆除 【その他の質問】どのような対処をすれば治るのでしょうか? お願いします。
↑でもう一度ウィルス検索したらトロイの木馬が出てきました。
914 :
908 :2006/08/12(土) 16:29:13
結局、何なんですか?
>>910 まあそうなんですけど…すごく気になる…
>>914 そんなに心配ならOS再インストールすれば?
916 :
908 :2006/08/12(土) 17:13:15
ググりまくってやっと解った さっさと教エロよ
どうせフシアナをクッキーで記憶してたんだろ
918 :
名無しさん@お腹いっぱい。 :2006/08/12(土) 17:18:35
初心者の質問で恐縮なのですが、 ウイルスバスターなどのソフトでの「ウイルスパターンファイル」って 最新のものでも古いものでもファイルサイズが概ね同じですよね。単純 に考えると古いものよりも新しいもののほうが(ウイルスの種類が増えて いるわけだからそれに伴って)サイズも大きくなると思うのですが・・・。 当然、ただの追加なら問題ないとおもいますが、更新したら古いウイルスパ ターンファイルは自動的に削除されていますし; ということは、最新の ウイルスパターンファイルでは古いウイルスには対応していないというこ となのでしょうか? 文才無く、わかりにくい質問ですが、どなたかご教授 頂ければ幸いです。よろしくお願い致します。
919 :
名無し募集中。。。 :2006/08/12(土) 18:16:30
exeファイルをフォルダに偽造、古典的な手法だが見事に引っかかった2ちゃん歴3年の俺w これに懲りてむやみにクリックは控えるよ
MS03-026_RPC_DCOM_EXPLOIT
というのが5秒に一回くらいウィルスバスターから「取ったどー!」
と報告されるのですが、いい加減うざいです。
なんなのでしょうか?
>>919 昨日それに引っかかって欝になった。
なんというか、なんでフォルダなのにexe?って思いながらクリックした自分がにくかった。
>現在お客様のリクエストを処理できません。ウィルスまたはスパイウェアが自動的にリクエストを送信しており、 お客様のコンピュータまたはネットワークも感染された可能性があります。 アクセスの回復に向けて速やかに作業中ですので、今しばらくお待ちください 串さした状態でググろうとしたら検索結果の変わりにこんなメッセージが出て、串ささなければ普通に検索できたんですけど これはどういった状態なんですか? スキャンかけても何もでませんでしたが
あらあら 大変だ
>>918 たまに定義ファイルの最適化を行ってサイズを縮小するメーカーもある
これとは別に、実効性の低い古めの定義を削除していくメーカーもあるらしいが…
トレンドマイクロはAV-Comparativesによる比較試験を拒絶しているようだが
古い試験結果を比べる限り、定義を減らしているような傾向は見られなかった
まあ、第三者機関のテストを拒絶するメーカーの検出力など推して知るべしだが
>>919 アプリケーションの起動監視ソフトでも入れとけ
>>920 バスターのFWが攻撃を遮断してるんだろ。警告表示のオプションでも見直せ
>>921 どこの串かも書いてないのに分かるわけないだろ。串の管理者に聞け
亀田ウィルスって毎回マイピクチャにDTSSつくるん?
パソコンの空き容量がすくない と警告が出て 色々なものを削除していきました。 しかし数日後にはすぐに パソコンの空き容量がすくない と警告が出てきます。 これはウィルスなのでしょうか? また、対処法などないでしょうか
>>925 確かにHDD埋めるウイルスも世の中にはあるが
そうでない要因だっていくらでもある
>>1 のテンプレとかそもそもHDD要領いくら位かとか
そうした情報なしに判断はつかんよ
927 :
ただのバイトさん :2006/08/12(土) 23:02:37
すいません 会社のパソコンがW32.spybot.wormというウイルスにかかったらしく 社員が(私は単なるバイトなんですけど)ウイルスが他のパソコンに 感染するのを恐れてインターネットにつなぐのを恐れている んですが何か有効な手段はありますでしょうか… 一応法人なので 月曜にはシマンテックにも問い合わせるつもりですがどなたか賢人が いらっしゃったらお知恵を下さい… OSはWindows2000です…
929 :
名無しさん@お腹いっぱい。 :2006/08/12(土) 23:29:38
【使用OS】 Windows XP 【WindowsUpdateしてるか】 している 【AntiVirusは何を使っているか】 ウイルスバスター2006 【ちゃんとUpdateしてるか】 している 【スキャンした結果(ウイルス名・発見場所)】 ウイルス名:DIAL_PORNDIAL.LK 発見場所:C:\WINDOWS\TEMP\win49.tmp C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\4B0TPSEP\srvzkw[1].exe 【別のオンラインスキャンしたならその結果は】 ウイルス検索該当ウイルス無し 【症状を具体的に、分かる限りすべて書く】 ウイルスバスターのリアルタイム検索で検出される。インターネットへの接続が途切れる。 途切れるたびに「userxxxxxx」という名前の新しい接続が勝手に作成される。 「coolweb」という名前の接続が作成される。 タスクマネージャーのプロセスで「cool.exe」というプロセスが表示される。 接続が途切れるたびにCPU使用率が100%まであがって動作が緩慢になる。 【何をしたらそんなことになったのか】 P2P(?) 【これまでにとった措置】 検出ファイルの削除→効果なし spybotでの検出→効果なし Ad-awareSEでの検出→効果なし 【その他の質問】 このウイルス名でぐぐってもなにもでてこなかったから どう対処すればいいのかまったくわからない
>>927 手元にアンチウィルスソフトの2004以降のCD-ROMがあれば、それで駆除できる場合もある。
>>929 両方ともtempファイルだから空にしてみたら?
931 :
名無しさん@お腹いっぱい。 :2006/08/12(土) 23:42:54
>>930 tempフォルダの中身って全部消しちゃってもいいものなの?
一応「.tmp」は消してるんだけどまたすぐ作成されてしまう
932 :
名無しさん@お腹いっぱい。 :2006/08/12(土) 23:44:12
ここで質問することではないのかもしれませんが、desktop.iniという ファイルがマイドキュメントにあるのを昨日見つけたのですがこれは 何なのでしょうか?いつからあるのかさえわからないのですが、 最初からあったファイルではないような気がします。 心配なので書き込んでしまいました。 スレ汚してすいません
>>929 既に活動してるからTEMP消しても無駄だろ
CoolWebSearchでググれ
>>932 ググれ
934 :
920 :2006/08/12(土) 23:57:58
>>923 表示を消せばよかったんですね。使い始めたばかりなので全然わかりませんでした。
ありがとうございます。
935 :
929 :2006/08/13(日) 00:09:05
>>933 ググったらでてきた
そこで推奨されたソフトで検出したけど他のスパイウェアがチョコチョコでただけで
問題の「coolweb」がでてこなかったわ
もうだめだな
936 :
929 :2006/08/13(日) 00:17:23
937 :
名無しさん@お腹いっぱい。 :2006/08/13(日) 01:03:36
>>929 スパイウェア検索は試した?
1.ウイルスバスターリアルタイム検索停止設定後、AntiVirインスコ→再起動後すぐに検索。
2.ewido anti-spywareをインストールしてこれでもスキャン。
これでどうかな。
938 :
名無しさん@お腹いっぱい。 :2006/08/13(日) 01:40:47
939 :
929 :2006/08/13(日) 03:06:13
結局どのソフトも検出はしてくれるが除去してくれてないのか・・・? なんかやたらウイルス・スパイウェア対策ソフトが増えただけのような・・・
CWShredder使ったの?.ewidoはどう? 状況kwsk セーフモードは試したか? スタートアップに変なのは無いか?
>>940 貴方は感染者を本気で助けたいの?
知ってる単語を並べているようにしか見えない
942 :
名無しさん@お腹いっぱい。 :2006/08/13(日) 07:26:46
943 :
942 :2006/08/13(日) 07:43:29
944 :
929 :2006/08/13(日) 08:33:22
>>940 ewidoとCWShredderつかった
まあ前のやつとだいたいおなじような結果だった
そのあとセーフモードで一通りのソフトでスキャンした
そしたらewidoでダイアラーが検出されたんでデフォルトの処置を施しといた
>>942 一応一通り目を通してみた
いまのところはなにも不具合がおきてないんでもしかしたら解決できたのかも?
またなんか起きたら
>>942 を試してみたいと思う
【使用OS】XP PRO SP1 【WindowsUpdateしてるか】 最近していない 【AntiVirusは何を使っているか】 ノートン 【ちゃんとUpdateしてるか】 している 【スキャンした結果(ウイルス名・発見場所)】trojan.haradong C:\WINDOWS\TEMP 【別のオンラインスキャンしたならその結果は】 なし 【症状を具体的に、分かる限りすべて書く】 何をするにも動きが激トロで常にHDDにアクセスランプがすいている。何回オールスキャンして駆除してもなくならない。 【何をしたらそんなことになったのか】 P2P 【これまでにとった措置】オールスキャン、セーフモード、スパイウェアー駆除 【その他の質問】shareのdownホルダーに消すことの出来ない画像や動画らしきものが、あります。
947 :
名無しさん@お腹いっぱい。 :2006/08/13(日) 11:35:28
感染が疑われたときはアンチウイルスは AntiVir アンチスパイ、アドは Ewido 等フリーで簡単に最新版が導入でき、且つ実際の検出力の優れたものをいれて、 極力オフラインで削除できるようにしましょう。 セーフモードは最小限のサービスしか起動しないので、 通常モードがだめならセーフモードでのスキャンをためす。 オンラインスキャンは其の後からでもいい。
【使用OS】 XP HOME SP2 【WindowsUpdateしてるか】 常に最新 【AntiVirusは何を使っているか】 ノートン2003 【ちゃんとUpdateしてるか】 常に最新 【スキャンした結果(ウイルス名・発見場所)】 ウイルスではない 【別のオンラインスキャンしたならその結果は】 ウイルスではない 【症状を具体的に、分かる限りすべて書く】 詳細: このコンピュータに対する侵入 「HTTP MSIE JavaScript OnLoad Rte CodeExec」 の試みを検出して遮断しました。 侵入者: society3.2ch.net(206.223.150.155)(http(80)) 危険度: 高レベル プロトコル: TCP 攻撃された IP: localhost 攻撃された ポート: 1250 【何をしたらそんなことになったのか】 2ちゃんの世界情勢板を見たら 【これまでにとった措置】 ポート社団 【その他の質問】 今日2度目で攻撃側は全て同一IPなんだけど、スレ違いなら誘導してほしいです
949 :
948 :2006/08/14(月) 19:28:45
訂正:【何をしたらそんなことになったのか】世界情勢の国際情勢板を見たら
950 :
948 :2006/08/14(月) 19:37:04
ごめ、ググったら自己解決しました(´・ω・`)
事故解決したなら詳細を書こうね
952 :
948 :2006/08/14(月) 20:12:45
ごめ、2ちゃん側の問題ではなく単なるハカーの悪戯と断定しました(´・ω・`)
953 :
名無しさん@お腹いっぱい。 :2006/08/14(月) 21:05:30
WINDOWSはXPです。 UPDATEは今さっきやりました。(再起動しました。) ウィルスバスターのオンラインスキャンで「JAVABYTEVERA」というのに感染しているとでました。 手っ取り早い駆除の方法を教えてください。
ノートン2003 これ、なんとかしょうよ
>>953 ググれ
聞く前にググる習慣を身に着けようぜみんな
958 :
名無しさん@お腹いっぱい。 :2006/08/14(月) 21:24:21
953です。 検索サイトで確認したら 「hijacktthisのログを貼ります」とあったのですが意味が分かりません。 詳しく教えてください。
テンプレすら使えない奴に説明したって無駄
962 :
名無しさん@お腹いっぱい。 :2006/08/14(月) 21:37:44
953です。 さらに検索したのですが、リスクがあるのでノートンを買います。
963 :
名無しさん@お腹いっぱい。 :2006/08/14(月) 21:47:42
ウィルスに感染してしまったようなので質問いたします
【使用OS】 WindfowsXP SP2
【WindowsUpdateしてるか】 している
【AntiVirusは何を使っているか】 AVG
【ちゃんとUpdateしてるか】 している
【スキャンした結果(ウイルス名・発見場所)】
10個くらいあるので、検出画面をスクリーンショットにとってうpしました
http://www.imgup.org/iup246817.png.html http://www.imgup.org/iup246819.png.html (↑ウィルスではありません)
【別のオンラインスキャンしたならその結果は】
AVGで駆除後は検出されませんでした。
【症状を具体的に、分かる限りすべて書く】
とくに変化は感じられないです
【何をしたらそんなことになったのか】
起きてPCを起動し、AVGをアップデートしたらウィルス検出画面がでました
【これまでにとった措置】
AVGで検出されたウィルスを駆除しました
【その他の質問】
再起動後、上記ファイルはすべて消えていました。
しかし、
C:\PROGRA~1\INTER~1\explorer.exe が見つかりません。
という表示がPC起動時にでるようになりました。
又、
レジストリに指定されているC:\PROGRA~1\INTER~1\explorer.exeを読み込めないか、または実行できません。
という表示もでるようになりました。
これはどうすれば解決できるのでしょうか?
(PROGRA~1やINTER~1というフォルダは見覚えがないのですが、これはProgramフォルダやInternetExplorerフォルダのことですか?)
>>963 「自動実行」でググったページで学習して対処
966 :
名無しさん@お腹いっぱい。 :2006/08/14(月) 22:20:55
>>964 お答えありがとうございます。
つまりウィルスによってつくられた不要なソフトが起動時に実行されていて、
それを削除したので、あとはシステム設定ユーティリティで自動実行しないようにすればよい
ということでしょうか?
>>965 そのとあるソフトとやらの詳細を隠す理由を述べよ。
そんな小出しの情報でちゃんとした答えなんて出ないよ
>>966 それらのMalwareに関するレジストリの自動実行エントリを
削除すればいいと思いますよ
Malwareのファイル名でレジストリを「検索」すればいいと思います
ただし、explorer.exeとなってる事から分かるように
騙しのexplorer.exeと正当なexplorer.exeとを区別しないと
ファイルパスの記述で判断することだね
>>965 ヒューリスティックによる「誤検出」ということもあるかも
というのは、Dr.Webだけだというのと、modificationとなってるから
>>967 すいません、ヤフオクに大量出品されているシェアソフトですので詳細を言うと
厄介なことになりそうだからです。
また、ノートンやバスター、カスペルスキーなどには無反応なのでDr.Webの結果を信用してもいいものかと思ったからです。
>>969 ありがとうございます。気にせず使っていこうと思います。
971 :
名無しさん@お腹いっぱい。 :2006/08/15(火) 00:30:18
>>968 レジストリの自動実行エントリを削除とはどうやるのでしょうか?
regeditでexplorerで検索してもそれらしいものは発見できませんでした。
972 :
968 :
2006/08/15(火) 01:04:04