セキュリティ初心者質問スレッドpart86

原因かもしれない絵板置いとく。
一応注意して踏んでくれ。
http://oekaki2.basso.to/user9/vipper/

情報不備な点が多く申し訳ありません。
故意に無視してるレスはありませんので、
もし抜けている点などありましたら
再度ご指摘いただけるとありがたいです。


Microsoft Windows XP
Home Edition
Version 2002
Service Pack 2

dumprep 0-uはアドバイス通り消してみました。ありがとうございます。
RealOneMessangeCenter は
RealOneMessageCenterの間違いでした。すみません。

RealOne Playerは最近新しいものをダウンロードしました。

http://www.trendmicro.com/download/rbuster.asp
これでちょっとチェックしてみ

>>949
共通点がほとんどないな
ctfmonはsystem32にあれば正規のもんだろうし
しいてあげればreal関係か

>952
俺は何とも無い
何でやろな

>>953
今日ウィンドウズアップデートの自動アップデートが実行された？

>>952
Firefox2とIEで踏んだが問題ない。

スタートアップじゃなくて、現在起動してるプロセスは？
Process Explorerなんかでサービスもチェック。

>>956-958
描く時にインストールされる奴が原因とか・・・？

>958
OSは？
俺のは98se

（次スレ立てることも忘れるなよ）

>>960
Java使ってるから関係ないと思われ

今日ウィンドウズの自動アップデートがされた人が多いと思うんだがそれとの関係性はないかな？

>>961
Windows XP Build 2600.xpsp_sp2_gdr.070027-2254 SP2

>>953
新種のウイルスならどうにもならんだろうから
リカバリしたほうがいいかもしれんよ？

>964
同じXPで感染する人としない人がいるのが不思議やね。

次スレ立ててくる

シャットダウン時に何かメッセージでない？

>954
チェックしたところ、下記のファイルがみつかり削除しました。
C:\Program Files\Common Files\Microsoft Shared\MSInfo\zhnzvenn.dll
\zhnzvenn.drv
\zhnzvenn.ime
\zhnzvenn.log
\zhnzvenn.sys

ウィンドウズアップデートは今日は起動してないと思います。（メッセージはでませんでした）
感染してからチェックしにいきましたが
アップデートするものはないとの表示でした。

現在起動しているプロセスは今から書き写しますので少々お待ち下さい。
書いている途中に電源を落とされてしまって書き直しになることがあるので
取り急ぎここまで記入します。

HijackThisもさせない回答者ﾜﾛｽｗｗ

なんだ中華系？

>970
次スレで俺が指示する

>>969
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_PCCLIENT.WZ
rootkitつかったやつだ
rootkitbusterは削除できるタイプのツールだろ？
rootkit削除してからここでスキャン
http://www.trendflexsecurity.jp/free_security_tools/housecall_free_scan.php

>>970
rootkitがｈｊｔで検出できると思ってんのか　ボケ

自分もRootkitBusterでチェックしてみました。
内容は>>969さんとまったく同じです。

ウィンドウズアップデートは表示されませんでしたし、
今日はチェックもしていません。

ポップアップが初めて表示された時に見ていたサイトはこちらです。
※成人指定ゲームのサイトです。
ttp://www.lumpofsugar.co.jp/product/itsusora/download04.html
ここのmirror.fuzzy2.comから体験版をＤＬしようとしていた最中でした。

最後のポップアップ（とシャットダウン）が出て１時間近く経ちましたが、
今のところ何もありません。

よく見たら違ってた　orz
でも亜種っぽい

セキュリティ初心者質問スレッドpart87
http://pc11.2ch.net/test/read.cgi/sec/1177505449/l50

たてましたー

>973
＞rootkitがHJTで検出されると思ってんのか

そう言うと思ってHJTのstartuplist作成する支持を出そうと思っている

rootkitか。また厄介な。。

タスクマネージャのプロセスでは下記の通りでした
taskmgr.exe
CLIexe（３）
WinCinemaMgr.exe
ctfmon.exe
ezSP_Px.exe
SOUNDMAN.EXE
TangoService.exe
Tablet.exe
explorer.exe
ati2evxx.exe（２）
alg.exe
spoolsv.exe
svchost.exe（５）
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
TANGOM~1.EXE
System
System Idle Process

重複するものは（）内に個数を書きました。
パソコンを買い換えようと思っていたところなので
メールのバックアップさえとれればあとは初期化してもかまわないのですが、
なんらかの対策をとらない限りまた感染してしまうのではと心配です。

973のはこれからやってみます。ありがとうございます。

感染経路が全く不明だな

>>976
乙

>>979
ウイルス対策ソフトは入ってないの？

>979
c:\windows\フォルダに、ntbtlog.txtっていうファイルはある？
無かったら以下の手順で作成しておいてください。

PCを起動→F8キー連打→起動メニューにある「ブートのログ作成を有効にする」を選んで起動
これで、c:\windows\内にntbtlog.txtが作成される
この時点ではまだ貼らなくてもいい。

zhnzvenn.dllて前々スレにも出てたんだね

セキュリティ初心者質問スレッドpart84
ttp://pc11.2ch.net/test/read.cgi/sec/1173458115/

709 名前：名無しさん＠お腹いっぱい。[] 投稿日：2007/04/04(水) 09:25:33
朝、トロイの木馬が発見されましたと言う表示が出ました。
C:\program files\common files\microsoft shared\msinfo\zhnzvenn.dll
これ削除していいのでしょうか？
（一応推奨処理でチェストに移動を選択しました。）
AWソフトAVAST！です。

そん時は具体的な症状も報告されず
>>709
とりあえず、隔離してあるんだから問題ないじゃん

で終わってたみたいだけど

916で書いたとおり、ウィルス対策ソフトはノートンを使っていましたが、
期限切れで更新していません。

ntbtlog.txtは既にあるようです。

現在973のスキャン中です。
対応遅くて申し訳ありません。

>985
＞ntbtlog.txtはある
了解です。
再起動何回もしてるからサイズ50KB超えてると思うけど、どう？

こちらもスキャン中。

ｃドライブをzhnzvennで検索
レジストリもzhnzvennで検索しといたほうがいいんじゃね？
rootkit削除されたんなら￥zhnzvenn以下が見えるようになってるはず

暇なので俺もスキャンしてみよう

>986
現在ntbtlog.txtのサイズは864KBあります。

>990
すごいサイズだな
まあ後で、削除して上記の手順で再作成して。

ん。。俺は検出されなかった。よかった

知り合いが同じ症状で、ダイアログ出てる時にタスクマネージャー見たら「Red3.EXE」ってのが出てるらしい。
C:\WINDOWS\Prefetch
RED3.EXE-199506E7.pf

C:\WINDOWS\Tempに
Red3.exe
だそうです。関係あるか判らんが。

>>993
検証するからそのファイルうｐ願う

ダイアログでてるなら、
タスクマネージャで
そのダイアログのタスクを右クリして
プロセスの表示をするといい

先に973のスキャンをしてみたところ、
下記の２つのウィルスみつかり削除されました。
BKDR_PCCLIENT.WZ
BKDR_PCCLIENT.XQ
トロイなどはみつかりませんでした。

973上記の削除はこれから試してみます。
調べながらやるので少々時間かかるかと思います。
レス遅くなりますが宜しくお願いします。

俺、次スレに移動します。

ぼくも虹裏潜伏しながら待機します

>>998
（・∀・）人（・∀・）ﾅｶｰﾏ

1000get

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。