※ウィルス※ Windows Live Messenger で感染!?

Windows Live Messenger の知人リスト宛に、メッセンジャーの会話ウィンドウを利用したファイル転送でアヤシいファイル(***.scr)を送りつけてくるウィルスが流行っているようです。

友人の会社では、社内連絡の一手段として Windows Live Messenger を利用しているのですが、あっという間に感染拡大してしまったようです。
感染源は上海の工場という話もあります。
ファイルの受信を拒否、または、受信したファイルを解凍しない(zip形式になっている)、または、解凍してもスクリーンセーバーを実行しない、とすれば感染はしないようです。

2007/07/30 現在、Symantec ではなんのアラートも発していません。
ウィルスとして検出できません。

シマンテックはどうでも良いからファイルをくれ
適当なアップローダに「virus」とパスワードを設定したZIP形式のファイルをアップロードしろ

ちなみに、MSN Messenger も同様の感染媒体となっています。

2　>

はいはい

ありゃ、変な番号指定しちゃった。
ごめん。

>2

スレ立てた本人ではないけれど
これだと思う
宜しく頼む

ttp://sakuratan.ddo.jp/uploader/source/date46425.zip

>6

確かに。

送りつけてくるファイルの名称は、

・album00.zip
・image00.zip
・image000.zip
・images0.zip
・photo_album00.zip
・photos2007_00.zip
※それぞれ拡張子前の "0"、"00"、"000" は同桁数の数字。

などを確認しています。

なんてゆーウィルスなんでしょうか?

>>6
AVGでは対応してる。

>>8
してないよ

IRC　BOT
NORTON　バスター系はBOTをヒューリスティックで亜種検知できないみたいね

脳豚ｷﾀ

[W32.Mubla.B] と検出。

気になる脳豚ユーザーは、以下のページから Rapid Release 版を落として入れてみると吉。

http://www.symantec.com/ja/jp/avcenter/rapidrelease.download.html

俺のところにも先程、ファイルが送られてきてうっかり開いてしまった。
ファイル名はIMG34814
何か知ってますか？

つーか知り合いだからって.scrを何の疑いもなく開く奴がアホだろ…

まーそーゆーなよ。
人間誰だって間違いはあるさ

間違いの先が大事なんだよね

昨日からWindows Live メッセンジャー公式ページの緊急告知欄にこの事が載ってたな
てか大分前からこういうウィルスあるぞ

友人が感染してしまったんだがどうやって駆除するんだ…

送られてきたけど、「これなに？」と聞いても返事はないし
解凍してみたらscrだしと怪しさ爆発だったので実行はしなかった。
やっぱりウイルスか…。
何をするウイルスなの?まきちらすだけ？

ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=1
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=2
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=3
だそうです。

これに知り合いが感染したぽ
ただ、脳豚は無反応だったらしい

亜種出てるのかな？

これじゃないなｗ

ファイルスキャンしても無反応。
Symantec仕事汁！

もし受信してデータを開いてしまったら、とりあえずメッセを再起動しる。
そうしないと他人にデータを送り続ける模様。

定かではないが自分の周囲では再起動した相手から再度送られてくることはなかった。

確定情報ではないので、受信だけしてしまった人でもメッセは再起動した方が無難だと思う。

img1756.scrというファイルで送られてきました
ええ、感染しましたともorz

今この時間で書き込んでるもしくは見たという人達は皆お仲間の可能性があるな

25も僕も多分>>20の2つ目のものが送られてきたと思う。
英文とファイル名一緒だし

http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-072302-0958-99

これっぽいな

感染したらインスタントメッセージの送信ができなくなって
登録してあるメンバーに勝手にデータを送りまくるらしい

でも>>24と同じくメッセ再起動したら直ったみたいだ
安心はできんが、とりあえず引っかかったやつはメッセ再起動

>>23
更新パッチ来てるよ。
超重いけどなorz

>>26
友達の友達とかかもしれんなｗ

感染したばあいどうしたらいいのTT

41.0 KB (41,984 バイト)
MD5：8f8b66e936ba101efc6e3cb5d1dec814

997 ：名無し~3.EXE：2007/08/08(水) 02:30:16 ID:2w0Rs8Du
開いた奴はWindowsフォルダ直下のimg1756.zipを消せ

スタート→ファイルを指定して実行で「regedit」
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
これを探して削除
落としたZIPとファイルを削除
おそらくこれで大丈夫

>>34
それだけじゃ何の解決にもならねー

Ativir対応してねえ・・

だれかこのimg1756.scr実行しちゃうといったい何が起こるのか詳しく知ってる人いない？

あ、そうだ。vistaなんだけど、実行しちゃった後で「管理者権限が必要です・・・」とかメッセージが出たから、もしかしてUACかなんかが防いでくれた？

強制リロードみたいなのが始まる
と同時に処理が重くなる
メッセンジャーオンラインメンバーへ同時に
英文と一緒にimg1756.zipを送信

これってimg1756.zip自体は開いてもだいじょぶなのかな？
中に入ってるscr実行すると感染？

>>41
そう

>>41
大丈夫と思って興味本位で開こうとしちゃいかんよｗ

img1756.src

何度も書きこむようなんだけど、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
が見つからなかったってことは、やっぱりセーフだったのかなぁ・・・

右クリックで「構成」ってのをクリックしてもアウアウｗｗｗ

>>45
開いてないならセーフだと思うが、スキャンとかは怠らないほうがいいとおもう

復元したら戻った　
明日ソフト買いに行く

MD5ハッシュから酷似ファイル検出ツールないんだろうか・・・
>>33のハッシュで検索かけたいなぁ

亜種でただパニック招くだけじゃね？

スキャンしても検知しないんだってば

zip開かなきゃ大丈夫なんだが感染した場合はどうなんだろ

これは亜種なのか？
Windows直下にファイルが作られるなんてのは無かったと思うんだが

うちにもさっき来ました〜＞＜　今携帯メールでメッセ仲間にメールしまくってます

これ、アウトもしくはセーフだと明確にわかる確認方法ってどこだろう？

他人にファイルを送っているか否か、だね。
送ってなければせふせふ。送ってたら確実にキャリア。

こんな感じ

ｘｘｘｘｘｘｘｘ の発言 (1:48):
look @ this picture of me, when I was a kid

ｘｘｘｘｘｘｘｘ の送信:
img1756.zip(41.1 KB)
承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D)

おそらく今現在ここにいる人たちは全員同じ型のウイルスに感染してそうだが
そのウイルスが何らかのセキュリティソフトで検知されたって人はいないのか
新型なのだろうか

メッセージ内容は数パターン確認

20 名前： 名無しさん＠お腹いっぱい。 投稿日： 2007/08/08(水) 02:28:56
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=1
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=2
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=3
だそうです。



まさにこれ。

Norton先生、トレンドマイクロは沈黙

感染してたらメッセの発信できない。
感染してなければ普通にメッセで話しかけられる。

で、おｋ？

とりあえずﾏｶﾌｨｰは検出してくれなかった

今んところwindowsフォルダにzipがあるかないか、が感染の判断基準じゃない？

バスターだがZIP開く前にスキャンして検知しなかった

そのファイル届いた相手とは普通に話してた
複数での会話だったから可能だったのかもしれないけど

俺も感染したぜ、多分 >>20 のやつ
一応、怪しいファイル等は削除したけど、まだ完全に駆除できたかわからん

>>47
開いちゃったんだけど・・・

>>58
今ノートン先生で絶賛スキャン中。
「検出しました」が1つ出てる

パッチか何か入れてる奴は
会話ログを見てみ
会話ログに明らかに話しかけてない奴のログが出来てたり
なんか訳分からん英文を相手に送りつけてたら危険

>>60
亜種だから駆除できないね

開いても何もせずそのまま削除していれば大丈夫、のはず。

怖い椰子は今日一日メッセを断って、
セキュリティソフトの更新を待つのがベスト。
ぶっちゃけそれしか手は無いぽ。

>>6はkasperskyで検出したぞ

>>58
ノートンはもう定義ファイルが更新されているようだけど、
なにしろ今さっき出たみたいだし普通の人は定義ファイルの更新間に合っていないだろう

ちなみにVB2007はウイルスチェックしても無反応だった
開いてないから開いたときの挙動はﾜｶﾝﾈ
VBの定義ファイル更新まだかなー

ちょｗｗｗｗｗなんで開くんだｗｗｗｗ

Windows Live Messenger Part 1
http://pc11.2ch.net/test/read.cgi/win/1151079007/

需要あるかはわからんけど
ここにあったウィルス送信時のメッセまとめてみた


what the fuck, did you see this?

hey man, did you take this picture?

look @ this picture of me, when I was a kid

look @ my cute new puppy :D

I just took this picture with my webcam, like it?

check it, i shaved my head

Avast!使ってるが感染しちまった。
フルスキャンしたが無反応

実物うｐしとく。
http://kamaitachi.blogdns.net/cgi-bin/izna/manage/img0347.zip

実行しても知らんぞ

Avast使ってるけど反応しなかったなー

windowsフォルダの一つ下にSVCHOST.EXE-16C7D411.pfってのができてるっぽいんだが
これ癌かな？
ぐぐると中文が出てきて困るｗ

Norton定義更新しても認識しない

>>79
ああ、scrをダブルクリックしたくてうずうずする・・・

>>76
なんかそういうの送って来そうな外人から来たんだよwwwww
まあ友達少ないから感染拡大しなかったんだがな

>>83
やめろ、マジでシャレにならないからやめるんだー

しかし、凄いな
ここ見てる奴ら全員、知り合いの知り合いの知り合いの・・・とかって辿って行けるって事かｗ

ノートンで定義ファイルの更新きてるな

>>83
俺もだ・・・
さっきまで感染した友人と電話して、なんであんなの開くんだよｗｗｗｗって馬鹿にしてたのに
いざ落ち着いてみると開きたくてしかたない

実行してしまったのに、レジストリキーもなければ、Windowsフォルダにzipがない自分が逆に怖いのですが・・・

知り合いからの送信だったから開くつもりだった

複数回、ファイルを送信されて、
what the fuck, did you see this?

って発言があって解凍するのを自重した。英語が無かったらやってた

友人から送られてくるから、油断すると開いてしまうんだろうな。

俺もきた、そして開いた
でも再起動したら今のところ問題ないっぽい
http://pc11.2ch.net/test/read.cgi/sec/1178009646/
あとこっちでも少し話題になってる

>>90
このウイルスの感染力はそこが源だろうな・・・
知り合いだから大丈夫という安心感から安易に開いてしまう。
俺もそうだけどorz

いまこれ消した。　だいじょうぶかな？
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"

俺も危なかった。友人二人から同じファイルを別々の英語でってとこと、zipの中身がscrってので
これはヤバいと思って消したよ。

そんなトリ誤爆

>>89
基本的に解凍まではセーフ
その後実行ファイルを開いたらアウト

.scrなんていかにもなファイルだし、ひっかかるのは素人だけだと思われ

竜ちゃんも感染すると思うな

>>91
648俺だｗｗｗｗ

>>90　その通りだったよ

ノートンの試用版落として定義ファイル更新して
復元止めてフルスキャンってのが今のところ最善だと思う

でもやっぱ親しい人からだと意外と開いてしまうよな

解凍だけで感染したって人が何人かいるみたい
詳しい情報求む

現在の状況では亜種まで完全に削除できるソフトは無いのかな？

とりあえず出来る事としては、メッセのタイトルを注意を促すタイトルに変更、
その後メッセを落としておくのが一番かな？

>>99
いいから>>79スキャンしてみろよ

http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=2
向こうから引っ張ってきたよ

そんなに深刻でもないみたい

>>90
ちゃぱｗｗｗｗｗｗｗｗｗ
ROもうやってないの？あと廃スレにこのネタ投下してきてもいい？ｗ

知り合いから来るのと、
状況によって英文が来ないでただファイルがぽん、と送られてくる
ウィルスとしては失敗なんだろうけど、その無言が最強のカモフラージュになってるｗ

>>103　いや今試用版を落として定義ファイル更新までしかしてないｗｗｗｗ

友人が感染して送ってきたんだけど、自分の名前を
「なんだこれ？」
「再起動してくる」
とかいろいろ変えてるわりにメッセージを送ってこなくてなんだこいつと思ったんだけど
メッセージが送れないからそうしてたんだね。
すげー納得した。

src実行して再起動かけたらバスターさんが反応した
直前にパターンファイル最新にしといたが、srcの方はチェックしても無反応だったな

>>101
俺の友人も解凍しただけで感染したっつってたな。
その友達はPCに詳しい（そっち系の学校行ってた）から
ウイルスくさいファイルは容易に開くような奴じゃないわけで

解凍しただけで感染って可能なものなのだろうか

>>105
良いけど、もう覚えてる人居ないと思う。
すれ違いゴメン。

急速拡大中か・・・
大手が対応しても、定義更新までのラグで結構広がりそうだな

なんかアカハック系だって話を友人が友人から聞いたって話が出てるんだが・・・
どうなんだべなぁ・・・

更新したら違うトロイ発見されたｗｗｗｗ

>>86
＞ここ見てる奴ら全員、知り合いの知り合いの知り合いの・・・とかって辿って行けるって事かｗ
だよな、それはやっぱ面白いわー
メールじゃなくてメッセで感染するあたりがリアルタイムで笑えるな
絶対この中に近い知り合いいるだろww

>>110
キンタマとかはそうじゃなかったっけ？

親しかったのと、日頃相手が簡単な英語で話かけてくるのと、ニコニコの犬猫動画を貼りあう中だったので疑わずに開いてもた。
（メッセージは私の新しいくてかわいい子犬を見てくださいだった）

この中でROプレイヤーが知り合いに居るやつどれくらい居る？
俺の周りの感染者全員RO関係者なんだが。

ちゃぱじゃないか！
最近見ないけどどうしたんだ？
ちなみに俺はAカセ民。

元ROプレイヤーから送られてきたｗ
RO関係で何かあったのか？

ROプレイヤーが来ましたよ
やっぱRO関係でリアルタイムに流行ってるんだな

RO厨は癌スレに帰れｗ

ROってネトゲ？

取りあえず感染した人で何かやばい事になった人居る？
知人にひたすら英文とファイルを送りつけるだけ？

>>110
無理じゃね？
解凍ソフトのバグでもつかない限りは。

ただ単にこんな時間に起きているヤツがネトゲやってる率高いだけだろ

だからスレ違いだから俺に触んじゃNEEEEEEEE

いや感染者はROプレイヤーが多いみたい。
ROつながりの人間にどんどん感染してる模様。

送ってきた相手：たぶん現役ROプレイヤー
送られてきた（つまり俺）：元ROプレイヤー
送った相手：関係ない人々(つД｀)とROプレイヤーと元ROプレイヤー

ネトゲのわけねーだろカスが

ＲＯ、つまり「ろ」ってことだよ

普通のzipで解凍だけで感染ってあるっけ？
解凍ソフトのバグでならあったような気もするが

ネトゲから感染てことは、RMT業者経由だろうね

ネットゲー（ここではROとする）でメッセのフレ数増やしたユーザー多そうだし
関係者が増えるのは当然なのかも。

>>130
無い

すまんAntivir対応してた

フレリストには居ないぞ＜ROプレイヤー
まあ友達の友達とかなら居るんだろうが

そういえば感染した友人もリアルの知り合いだから忘れてたけどROプレイヤーだった
そいつもROの知り合いから送られてみたみたいなこといってたな

.srcクリックしてもantivirが対応してくれたんだが

FWが反応してくれなかったら俺もやられてたなあ。。。

こっちは自分はROやったことがないが友人が元ROプレイヤーだった

くっそJuneめ・・・

>>137
SCRじゃないの？

やるなantivir
ノートン先生と競合しない？なら導入してみたいところだ

>>110
つまり、そのPCに詳しい友人は、
間違って実行してしまい、
とっても恥ずかしくなって誤魔化すために「解凍するだけで〜〜」

だと可愛いな。

avastはどうよ？

友達がときめもオンライン界隈で感染拡大を報告してきてﾜﾛﾀｗｗｗｗｗｗｗｗ

ROで知り合った人から来るなｗもう三年も前から話してないし消せばよかったｗ

もうここまできたら〜〜界隈とか関係なくね
全然違う集いの人間３人から来た

ROってRedOrchestraかと思った

>>144

>>80

スレ内くらい検索しようぜ

>>144
少なくとも1時間ほど前受信して、スキャンした時はまだ無反応だった

この時間に起きててこんなスレを見ている連中が
たまたまネトゲユーザー率が高かったってだけじゃ

>>144
更新日時8/7だしZIPスキャンしても反応なかったよ

人生オワタ

AntiVir落としてるんだけどすっげ重い

もう知り合いの種類関係なく感染しまくってるよ
共通するのは全員アホっぽいところだな

つかファイル送信来た人間から
「友達がかかったっぽいから気をつけて」といわれたんだが
そいつもかかってるはずだよな

>>156
本人に教えてやれよ！

ちなみに今問題になってるファイルは>>6のファイルじゃなくて>>79のファイル

>>156
送信きてるならそいつもかかってる。ガチで。

「解凍しないように」なんかは事前に止める為の警告だろうな
それが「解凍するとまずい」って誤解されたんだろ思うぞ。
.srcを実行する直前まで行かずに
受信を断ればそこで解決する問題だしな

>>79
ついさっきの更新でKaspersky反応するようになった

scr実行するとどこに何のファイルが出てくんのよ。それ削除すりゃいいじゃない

>>142
Antivirを非常駐にすればいけるんじゃない？
>>143
専門者より割れ屋とかの方がよっぽど詳しいし慣れてる。

>>162
じゃためしてみてよ

exe、src、 comはウイルスの可能性が高いってｎｙで覚えたから大丈夫だった
やっててよかったｎｙ

>>157
>>159
優しすぎて涙でてきた
すでにそいつ寝てるんだが名前見る限りでは今はもう気づいてるっぽい
明日確認してみる

とりあえず現在の情報としては
antivir　　対策済み？ただし劇重
脳豚　　 　更新ファイルup済み
avast 　乙。
Kaspersky　更新で反応
という事でおｋ？

追伸
感染された方は使用しているウィルス対策ソフトと、
駆除できたかどうか報告お願いします。

gifにきをつけろよおまえら

久々に連絡取れないかとメッセたちあげたいけどやっぱやらない漏れが来ましたよ

>>143
窓だってjpgとかmpgとか勝手にプレビューするしどこで実行されてるかわからないぜ？

Norton (virus.def: 2007/08/07 rev.18) 無反応

>>165俺が居る
nyやってなかったら危なかった元ROプレイヤー

>>168
gifより偽装jpgの方が怖い
癖で復元しようとしてしまう

感染してるやつにMSNメールして
そいつは見れるのか？

norton: 8/9 rev9 でファイルに反応しません。
さすがノートン。

ノートン先生はすばらしいな

バスター無反応氏ね

使用ソフト　：McAfee Managed Total Protection
定義ファイル：5091.0000（2007/08/06 12:37:42）

状態　　　　：スキャン中。
　　　　　　　scrファイルの削除とﾒｯｾ再起動により送信は停止した模様。
　　　　　　　その後ﾚｼﾞｽﾄﾘの削除も行った。

結局ノートンは対応してるのかしてないのか

カスペルスキー
削除はしたみたいだが駆除はできなかったらしいが大丈夫なのかこれ

バスター感染後再起動したら偽装svchost駆除してくれたぞ

してそうでしてない

削除するにはファイル削除とレジストリ削除だろ？
レジストリは削除したが、ファイルはどれを削除すればいいんだ？

antivirインスコ中なんだけど
ttp://www.vipper.net/vip300313.jpg.html
antivir自体がスパイウェアみたいなんだが( ；´Д｀)

>>178
>>170
最新でも対応してない

>>183
おまえスパイウェアのすべてが悪いものとおもってね？

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"

レジストリはこれ削除でおｋ？

>>179
ファイル自体がウイルスだから削除でおｋ

>>183
おまいさんそんな事言ったらJ-Wordやグーグルツールバーもスパイウェアになるんだぜ？

>>169
あぁ分かってる。ただそうだと可愛いな、と思っただけです。
ちょっと挑発っぽかったな。すまん。

>>182
WINDOWSフォルダ直下にsvchost.exeが隠しファイルで存在してる
作成日時だか更新日時だかが感染した日時（つまりここ数時間前）になってたら消す
俺の場合は日時が今日の午前2時になってたから消した

>>188
どう考えてもJ-Word入れる奴アホだろ

J-Wordはウィルス

Norton先生は夏休みなので、削除機能は休暇中です。

ということでおｋ？

>>191
PC初心者にありがちな事
J-Word標準装備
一日一回はエロ画像、エロ動画閲覧しようとして脳豚先生激怒

俺もウィルス

>>195
いやいや俺がウィルスですよ

AntiVir検出できた
「WORM/Sdbot.41984.42」

いやまてよ・・・つまりウイルスがウイルスってことだな

ノートン反応するぞ。
ちなみにレジストリ削除しても上手く隠れてることがあるので要注意。
それをノートンがさっき感知した

おちつけｗｗｗｗ

>>198
つまり、いいかえると・・・・？

>>197
>>197
>>197

とりあえずzipきてもＤＬしてなかったらおｋ？

>>203
答えはＮＯだ

>>203
zipの中にあるscr実行しなければおｋ

リアルにもネットにも友達がいない俺には関係ない話だな・・・

デスクトップのscrファイルが使用中とか出て消せない

>>206
元気出せよ

>>206
お前の友達ならこのスレの住人がいるじゃないか！

>>206
ｴﾛｻｲﾄいって引っかからんようにな・・・

VB2007(8.5.1002/4.637.00) 検出できた。対応してるっぽい。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_IRCBOT.ADU


……けど俺のPCが非力なせいか反応遅いよ (･ω･`)
検索準備してる間フルアクセス可能って意味ないじゃん。買い替えだな……。

>>206
俺がおくってやるよ・・・

>>206
俺もおくってやんよ

寝るけどお前らがんばれよ

vistaは問題ないっぽい・・・？
実行はせずに、勝手にサムネ表示してただけだからなんとも言えないけれども

>>211
たぶん今はやってるのはこれで間違いないっぽいなぁ

なんかファイル名ちがくね？

>>211
情報公開日: 2007/07/30
ってことはこれの亜種って感じってことでいいの？

>>211のはimg1756.scrの人とは違うやつ

亜種っぽいね
ファイル名からしてimg○○○○.zipで数字４桁だし

WORM_IRCBOT.ADU
ウイルスサイズ: 116,736 Bytes

ここですでに違う
41,984 Byteだ

>>215vistaも感染例あるよ（友達）

いろいろ出てくるな。

>>222
どうせUAC切ってたんだろ

>>222
感染するのか・・・サムネ表示だけだったら問題ないってことだね

亜種だな。
書き込むレジストリの位置が違う。

>>207
ttp://cowscorpion.com/file/Unlocker.html
これ使え

>>227
ウイルス注意

>>211
>>6かな

>>219
ごめん。>>6 で検出実験した。


さて、乗り換え先のソフトは何にするかな、と。

スクリーンセーバーに差胸表示なんてあったっけ？

>>211
今のは>>79のファイルね

ごめん。>>79 に出てたのか。気付かなかった(´･ω･`)
あい。まだ VB2007 未対応です。

ノートン試用版→liveupdate(最新になるまで)→>>79（俺かかったやつ）検出不可
えー

>>228
脳内バッドセクタ注意

img1756.zip
うｐったほうがいい？一応開かないである。

>>236
>>79

>>237
把握。ROMに戻る。

にしても心臓に悪い
登録してる奴数名から同時にこのファイルが送られてきて何事かと思った

感染した人が一人送り始めるとほかの感染者からも同時に来るな。
タイミングがいいだけなんだろうか。

感染したはずなんだが該当するレジストリが見当たらないなぁ
ファイルは消した

>>240
時間決まってるんだと思う
俺も送られて来たタイミング同じだから

該当するレジストリはあったんだが、更新日時を見ずに消してしまった。
再起動したが一応挙動に変化なし。
サインインしてみたらファイルを送る様子はない。

>>242
なるほど

バスター乗り換え検討するか。まだ８ヶ月も更新期間残ってるけど(´･ω･`)

ところで、ウイルスって送信側は自分が送ってるかどうか一目でわかりますか？

俺の場合は窓が多数開いて６人くらいに一斉に勝手にファイル送ってた。
速攻サインアウトしたが。

AOLのフリーアンチウィルスソフト「Active Virus Shield」はどうやら対応済み。
わざとひっかからせて検索かけると見事にみつけてくれた。
Trojan program Backdoor.Win32.SdBot.aad
File: C:\WINDOWS\img1756.zip\img1756.scr

Trojan program Backdoor.Win32.SdBot.aad
File: C:\WINDOWS\svchost.exe

とのいう名でHITしましたよ、っと。

>>245
フレンド登録が多いと送信がいっきにされるためにフリーズした状態になるらしい。
送信にすぐ気づいた人は強制終了して全員には送信されなかったとか。

数週間前に後輩から話を聞いてたからよかったものの
知らなかったら開いてただろうなぁ

>>246 >>248
thx。とりあえず送信しているわけじゃ無さそうだから一安心です。

メッセ経由のウイルス自体は昔からあるぞ

- WORM_SDBOT.41984.42 -
41.984 Bytes
MD5: 8f8b66e936ba101efc6e3cb5d1dec814

症状：
次のファイルを投下して実行
%SystemRoot%\a.bat
%Windows%\svchost.exe
%Windows%\img1756.zip
レジストリエントリを作成
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"

例：
ｘｘｘｘｘｘｘｘ の発言 (1:48):
＜下記メッセージのいずれか＞
ｘｘｘｘｘｘｘｘ の送信:
img1756.zip(41.1 KB)
承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D)

メッセージ内容：
・what the fuck, did you see this?
・hey man, did you take this picture?
・look @ this picture of me, when I was a kid
・look @ my cute new puppy :D
・I just took this picture with my webcam, like it?
・check it, i shaved my head

>>247
AOLつえええええええ

>>247
ぐぐってみたらこれが出てきたけどどうなの？
http://www.avira.com/jp/threats/section/fulldetails/id_vir/1606/worm_sdbot.aad.364.html

vistaでUAC有効ならscr実行しちゃっても大丈夫なの？

あー直りんしちまったすまん

>>255
へたにやらないほうがいいんじゃない？
Vistaで感染したひともいるんだし。

>>255
Administratorに昇格させなきゃOK

img1756.zipもろもろ削除、レジストリ削除した後メッセ起動したら送信されてしまった。
Windows再起して、おそるおそるインしたら大丈夫だった。
もう大丈夫かな？

>>254
どうなんだろう、完全に定義把握してるわけじゃないのかもしれないね。
けど少なくとも、大感染起こしてる｢img1756.scr/svchost.exe｣の2つは見つけてくれました。
とりあえず報告をしてみたとです。

>>252
一応実際にantivirで駆除した時の名前と症状を
現在の情報でまとめたものです

>>259
送られるタイミングが同じだって事を考えると、安心できない？

>>257

すでに実行してしまいましたorz

なんか管理者権限がどうのこうのっていうメッセージが出てきた

>>262
つまりは
%SystemRoot%\a.bat
%Windows%\svchost.exe
%Windows%\img1756.zip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
を削除したらひとまず安心って事かな

>>263
管理者権限に昇格させるなよｗ

絶対にさせるなよ！

>>263
そこで管理者に昇格させるとwindowsフォルダのアクセス権限を与えてしまってシステムが改ざんされる恐れがある

管理者権限無いと他のプログラムの処理にも割り込めないんだっけ？

a.batがみつかんねー
svchost.exeはみつけたんだけどな

レジストリと元ファイル削除しても転送しようとしたんだが
メッセ再起動してなかったんだがそれかね？

>>268
俺も。windowsのimg1756.scrとレジストリはいたから消したのだけど
他のは見つからないから諦めてantivirインスコして今更新中。

便乗して英文と共にエロ画像詰め合わせ送ろうぜ

>>264
そのどれも見つからなかったんだが、感染してないってことなのかなぁ
ご丁寧にダブルクリックまでしてやったんだが

Vistaなら平気

別のディレクトリにsvchost.exeがあるけどこれは無関係？
更新日時が8月4日になっとる
感染したのは今日。

%SystemRoot%\a.bat はセキュリティセンターサービスの停止のため一時的に作成＆実行されるんだと思われ。

svchost.exeは色々あるからむやみに消すと…

>>274
16 名前：名無し~3.EXE[sage] 投稿日：2007/08/08(水) 04:40:10 ID:fUDzskwv
普段からタスクマネージャをチェックしてる奴なら分かると思うが、
svchostは元々システムに必要なものとして幾つか存在している。

今回のはそれに偽装しているウイルスの一種だから、
svchostがあればウイルスだと勘違いして全削除してしまうと大変なことになるぞｗ

VistaでWindowsフォルダ内にimg1756がないって言っている人。

C:\Users\<ユーザー名>\AppData\Local\VirtualStore\Windows

内を見てみなさい。

でも、

Vistaなら実行しちゃっても大丈夫なんだよな。
Vistaなら実行しちゃっても大丈夫なんだよな。
Vistaなら実行しちゃっても大丈夫なんだよな。

ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=2

かかっちまった。。。orz
これぽい

>>275
なるほどな
ならとりあえず様子見しとくか……

俺はsvchostはプロセスチェッカーで偽者ぽいのを見つけたぜ
一つだけwindows直下にあってアイコンがスクリーンセーバーになっててワラタ

ばーか


ばーか


ばーか


ばーか



ばーか

ていうかどうやってメッセンジャー乗っ取って変なメッセージとかファイル送るの？

>>282
別にメッセのっとるなんて大それたことをしなくても
ただ起動しているメッセに向かってメッセージとファイルを送信するように命令すればいいだけ

具体的にどういう命令をとかどういったプログラムをとかまでは俺にはわからないが
おまいさんも別にそこまで知りたくはないだろう

一瞬窓開いて閉じるのがみえるよ。
コマンドプロンプトからうごかしてんじゃね？わからんけど(´･ω･`)

>>283

いや、何か原因のファイルがあって、それ削除すりゃ何も問題ないのかと思って

原因のファイルからOSのレジストリに侵入して命令を書き換えてんだから、
侵入された後にファイルだけ消しても意味は無い。

まあ散々過去ログで出てる話だが。

ノートン反応しませんね
感染したら反応しますよ
いみねえよ（笑）

綺麗に消せればレジストリくらい残ってても無問題

AntiVirで検出しなかったから検体送ってみたわけだが
漏れが送ったころにはすでに対応された後だったのかorz
相変わらず平日だと時間に関係なくこまめにうpだてくるよなあ
昨日の夜9時ごろにうpだてした定義だと検出できなかったのにorz

antivirアップデートしてzip解凍してみたらもう対応してるﾜﾛﾀ

Norton AntiVirus2006対応してねえええｗｗｗｗｗｗ
もうっ早くしてくれないとダブルクリックしちゃうぞっ

しろよ

社会人スレですねここは＾＾

色々消してから>>264のチェックしてみたらRUNから先のがなかったんだけど
これって消えてるってことでいいんかな
安心していいんですかね

もし
zip名がimg1756.zipでなく、「良質scr」で
ファイル名が「ニコニコ組曲.scr」とかだったら被害は10倍だったろうなｗ

何でこんなにレス付いてんだ？ｗ
びっくり

>>282
メッセのプロトコルは解析されていくらでも情報あるし
MSG.pmとか使えばPerlからでも接続できるぞ

感染後の対処方法まとめ

1. 感染したらLANを引っこ抜く
2. レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Genuine Logon の削除
3. 念のためにWindows再起動
4. 必要無いと思いますが、システムの復元を無効化(_RESTOREにあるファイルを削除する)
5. C:\WINDOWS\svchost.exeの削除
6. C:\WINDOWS\img1756.zipの削除
7. 必要無いと思いますが、Windows再起動
8. 4を実行した人は、システムの復元を有効化
9. アンチウイルスのソフトウェアを全て最新にする
10. 全スキャンを実行する
11. 全スキャン中は暇なので、反省の意味をこめて首を吊る

以上でおｋ？

吊ると家族に迷惑かかるから、樹海へGO

寝てる間に来てた調べたらここにたどり着いた
しかし、相手がオフラインでもう受信できなかったｗ

とりあえず>298の通りにやって11まで来たわ
しかし、数人に送信済み+見事全員に感染したらしい
　∧||∧
（　 ⌒ ヽ 今まで
　∪　　ﾉ 　　生きててごめんなさい
　　∪∪

VB2007はまだ対応してなさげ。
はやくしてくれ('A`)

>>1
そのウイルスのサンプルを、www.virustotal.comという機関サイトにアップロードして、
どこのアンチウイルスソフトが検知できるか調べられた結果画像。（検知名は赤字で記載）。

Symantec（ノートン）検知名：10 W32.Scrimge.A
AntiVir 7.4.0.57検知名：Worm/Sdbot.41984.42
BitDefender 7.2検知名：Backdoor.Sdbot.AUX
Ikarus T3.1.1.12検知名：Backdoor.SdBot.AUX
Kaspersky 4.0.2.24検知名：Backdoor.Win32.SdBot.aad
Webwasher-Gateway 6.0.1検知名：Worm.Sdbot.41984.42

Microsoft製アンチウイルスやAhnLab-V3やNOD32などは、
まだ検知できない状態なのでご注意。

関連スレ
http://pc11.2ch.net/test/read.cgi/sec/1181834645/

検知画像のリンクを貼り忘れた。
http://www5.uploader.jp/user/tane/images/tane_uljp00091.png

>>302
トレンドマイクロに、検体を送らない事には、対応されないよ。

友人が感染したといってきた
俺にはファイル来てないけどね

バスターさんにパッチきましたね

スレタイが Live Messenger になってるけど、MSN Messenger と Windows Messenger も
同様に感染すると考えていいんだよな？

WINDOWS直下でなくてシステム32の中にsvchost.exeがあるんだけど('A`)
ちなみに更新日時は8/5感染したのは昨日の夜。
削除しようとしたらディスクがいっぱいでないか（ｒｙってでるんですけど、これってもしかしｔ

>>309

>>274
>>276
>>277

>>310
いまカスペルでスキャンしたらウイルス検知しました

検知しました: トロイ Backdoor.Win32.SdBot.aad ファイル: C:\WINDOWS\svchost.exe

更新日時が感染時刻と近かったら消してもいいと思うけど
自己責任でお願い
俺は消したよ

追記：システム32のは無罪だったようです。
コエー

>>311
Kasperskyは流石に、早期対応>>303できていますからねぇ。

svchost.exeは普通はｼｽﾃﾑ32かDLLｷｬｯｼｭの中にしか存在しない
ﾀｽｸﾏﾈでいくつも起動してるようにみえるけど全て一つのファイルのはず

Vistaはどうなん？

vistaは大丈夫とか上で言ってるよ、よく分からないけどさ
ところでウイルスバスターのアップデート来てたけど、検出とかされるようになった？
自ら感染とかzip入れるとか怖くてできないっすよ

>>317
.scrをスキャンしても無反応だった
開いたときの動作は勇者に任せる

スキャン無反応→開いても無反応

>>319
それは対応されてないってことかｗ

ﾜｰｲ! 僕らの夏だー

　　　　∧＿∧ 　 　 　 ∧＿∧　　　 　 ∧＿∧　　. 　 　∧＿∧
　　 　（´∀｀/ﾞ)　　　　（´∀｀　）　　　 (（´∀｀/ﾞ)　　 　　（ ´∀｀ ）
　　　と 　 　 〈　　 　 ⊂)　 　 つ　　　 ヽ,　　　〈　　　 　と　　　 つ
　 　 (⌒ﾞ 　 ,,ﾉ)　　　　（　 、　ﾉ)　　　　 ヽ (⌒ﾉ)　　 　　（　　 （_）
　　　　　｀ヽ,_,）　　　　　し'"し'　　　　　　　l,_,ﾉ　　　 　　　し'"´

>>318
WINDOWS直下に作成されたsvchost.exeにも無反応だった。

ageてしまった

MEの俺はなんともないぜ。

俺も朝方やられたが、受信するときはノートン先生全く反応無かったな
よくファイルの送受信する相手と話してる最中だったからうっかり

img1756.zip削除→スキャン→ウイルス発見→削除
やったら>>264はなかった
履歴見てみると、最初は低レベルで問題なしってなってるが
リスク高レベルって１分後に変わってるｗ
俺のとこのは、W32.Spybot.Wormだったな。
役に立つか分からんけど、一応情報ってことで

>>295
sm17566.zipとかｗ

ttp://gigazine.net/index.php?/news/comments/20070808_messenger_worm/

>>326
ついにそこで記事が出たか

メッセ＼(^o^)／

>>303
NOD32に頼っていたら、思いっきり感染していた・・・・。
(　；∀；)

他の製品の体験版で、やっと駆除できた。

これに感染した人は一度ウイルス対策について勉強した方がいいと思うよ
対策ソフトのせいにしないで（そりゃ対応早い方がいいが・・・）

>329
つ　検体を送る

うちは添付ファイルの名前が違う。
pictures07-01.zip
亜種？？

知り合いからファイル送られてきたんだが
人妻.zipだった。
これもアウト？

うｐ！

俺が鑑定してやるから
うｐよろしく

>>330
そういわれましても頻繁にメッセしてた友達から来たものでして、、、

>>336
俺もそうだった
ウイルススキャンしても反応無いからついつい開いてしまったよ

>>336
その考えがすでにダメな希ガスｗ

>>336-337
・突然英文のメッセージ
・拡張子がscr
（突然スクリーンセーバーファイルを送ってくるなんて不自然極まりなく、またscrはウイルスでは定番）
・相手に返事をしてもウイルスのせいで反応が戻ってこない

これだけの条件が整えばキチンとした知識があれば泥酔してても開くか微妙ってとこだろ

この程度のウィルスで助かったというのが内心。
ああ、でも送信された人にはすまねぇ('A｀

自分の対応の甘さは死にたくなる
ウィルスのことちっとは勉強しようと思うようになった

ここで紹介されている駆除方法を試した後、感染源の人が
「このウィルス自己増殖するよ。俺は25箇所やられてる」
「レジストリとファイル削除しても本体はどこかに居る」
「ネットで情報が上がってる奴の亜種でもっと凶悪」
って言ってるんですけど電波認定していいんですかね？

>>341
なんか吹いたｗｗ

感染源が何言っても説得力がないからなぁ・・・
まあ自分も感染してるならどっちの意見も怪しいがｗ

>>339
英文れば怪しさ爆発なんだけどな
俺の場合、無言でファイルだけ送られたんだよ

狩り中でバタバタしてたときだったからとりあえず受信だけして
終わったときにはもう送り主はいなかった
送り主は俺がゲームしてることが多いのわかってるから
たまにそうやって無駄口叩かずファイルだけ送ってくることがあるやつだったし
今度もそれかと思ってたorz

ROなんてそれこそMMOBBSに専用スレがあるくらい
アカウントハックが盛んなのに、よくもまぁホイホイ踏むもんだ。

NOD32の最新定義ファイル2444で検知可能っぽい

img0347.zip - Win32/IRCBot.XZ トロイ

ttp://www.canon-sol.jp/product/nd/virusupd/vupd_page17.html

なんかメッセで流れてるの二種類あるみたいね。
危険なやつと危険じゃないやつ。

>>346
危険な方の奴には、まだ対応してないらしいよ。

メッセージ付きのやつと
メッセージ付きじゃない(無言の)やつ
の二種類ならわかるんだが危険なやつってなんだ？

>>347
危険な奴と危険でない奴って何なの？

バスターがいまだに無反応な件
ちょうど今月で期限切れるし、乗り換えるならどこがいいかな？

バスターからなら何でもいい気がする。

>>336
・突然英文のメッセージ
日頃から英文のメッセージをたまに混ぜて送ってくるやつだった
・拡張子がscr
スクリーンセイバーのやり取りもよくする中

犬猫動画のやり取りよくしてたからpuppyの字に反応して開いてしまった('A`

AVGは対応してる？

リア友がこれに感染してたからメッセ禁止したら電話かかってきて泣かれた

>>355
禁止はやりすぎだろｗｗｗ

ネット禁止といって反応を楽しめ！

つうかなんでもクリックするかｗ

別に感染してたからって禁止にするほど害は自分にはないだろｗｗｗｗ

【最重要 情報】


※※※アンチウイルス製品の真実※※※
http://pc11.2ch.net/test/read.cgi/sec/1174028244/240-248

バスターさんにアップデートｋｔｋｒ
勇者様コテンパンにしてくだせえ

バスターｺﾈ━━━━━━('A`)━━━━━━ !!!!!
8.5.1002/4.639.00

最新は/4.641.00だぞ

ｷﾀﾜァ*･ﾟﾟ･*:.｡..｡.:*･ﾟ(ｎ‘∀‘）ηﾟ･*:.｡. .｡.:*･ﾟﾟ･*!!!!!
すまね。アップデート途中で確認していたらしい orz

ドンマイｗ

バスターあまりにもこないから検体送りつけておいたんだけど
連絡ナッシング。バスターに対しての評価ががた落ちしています。

>>366
http://tmp6.2ch.net/test/read.cgi/tubo/1176131495/867-868

英語嫌いでローマ字自体見るのも憎たらしいと言っていた
友達から来たので開かなかった

VirusTotalで各社の検知対応を調べてみた。
http://www.virustotal.com/resultado.html?0fbef627e98ffde154ec6c915581fa0e

まだ対応して無いとこあるんだね

2007 年 8 月のセキュリティ情報
公開日: 2007年8月15日

MS07-042 : Windows の重要な更新

MS07-043 : Windows の重要な更新

MS07-044 : Excel の重要な更新

MS07-045 : Internet Explorer の重要な更新

MS07-046 : Windows の重要な更新

MS07-047 : Windows Media Player の重要な更新

MS07-048 : Windows Vista の重要な更新

MS07-049 : Virtual PC および Virtual Server の重要な更新

MS07-050 : Windows の重要な更新

Top of section
このセキュリティ情報は、2007 年 8 月に公開したセキュリティ情報の一覧です。

2007 年 8 月のセキュリティ情報の公開により、2007 年 8 月 10 日に公開した事前通知をこのセキュリティ情報に置き換えました。
事前通知サービスの詳細については、「マイクロソフト セキュリティ情報の事前通知」をご覧ください。

セキュリティ板＠削除議論・自治スレッド
http://qb5.2ch.net/test/read.cgi/sakud/1090504381/

強制IDや強制リモホ表示の是非について投票募ってます。
ある程度意見溜まったら申請出しますのでご協力お願いします。
コピペで失礼しました。ｍ(＿＿)ｍ

avast!
>>79をダウンロードしたら
Win32:Sdbot-4892 [Trj]で検出した

今AVGアップデートしてスキャンかけたら引っかかった。

なんか上と同じようなかんじでひっかかったtanya19.zipとかいうのが
カスペルスキーでスキャンできなかった。

>>332
俺も同じようなファイルで着たな。
ちくしょう！！！

メリークリスマスに亜種出現

Chirstmas-2007.zip

中身クリックしちまったぜ・・・('A`)
バスターすり抜けて感染しｔ

そんな露骨に怪しいファイルに触れるな・・・

>>376
＞Chirstmas-2007.zip

俺もまったく同じだわ･･･。ノートン無反応。
ちょうど友人とメッセ中だったんでうかつだった･･･。

いろいろサイト調べてなんとか削除成功したっぽい。
安全の確認が取れ次第、レポします。
しばしお待ちを。
ただし、プロではないので自己責任で消して下さい。

376とは違う者だが、対処完了、大体の流れ書いておく。

"ChristmasImg2007-12.zip"
W32.Scrimge.Aの亜種。トロイ。

-----------------------------------

�@システムの復元をオフにする

�A自動Runキーの削除：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\　以下にある "svho.exe" "Msnmsgr.exe" を削除
後者はマイクロソフトの署名が無いため本物と見分け。

�B本体の削除：
　WINDOWSフォルダ："ChristmasImg2007-12.zip"
　System32フォルダ："svho.exe"

　後者は　隠しファイルを表示するにチェックしていても表示されないため、
　適当な0byteのファイルを作って"svho.exe"とリネームし、
　System32フォルダにぶち込んで上書き後、削除するといい。

�C再起動後、暫く様子見て大丈夫ならシステムの復元をオンにする。

-----------------------------------

キー名はスペルちょい違うかもしれん。
自己再生するんで全部根こそぎ排除しないと駄目だったわ。

すまんミス。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run　以下

>>380
もしかするとCドライブ直下に同じ作成日時で01ASetup.exe、a00000.exe、st.exeなどは生成されてなかった？
怪しいファイルなんだけどそれらも消してしまった方がいいかも・・・。

それと私の場合、最初に
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ryan1918="servidevice.exe"
があった。
これも消した方がいいみたい。

どうやらryan1918="servidevice.exe"が動き出すと>>380のようなファイルが生成されて>>380のとおりの対処をするしかないみたい。

このウィルス結構やっかいかも・・・。
ちょっと文の意味分かりにくくてごめん。
うまくまとめずらい。

どう探してもryan1918="servidevice.exe"っていうのが見つからない。
他のは全部消せたんだが・・・

>>383
それ、見つからないって人結構いるみたいだね。
推測なんだけど自己展開して消えたのかなーとか思う。

"ChristmasImg2007-12.zip"
を削除したら次は　New-Year2008-imgaes.zip というファイルが
WINDOWSフォルダに作成されています。

New-Year2008-imgaes.zip が送りつけられてきた。
回答して、scrファイルが現れ、ちょっと怪しいと思ったものの、右クリック->テスト
をしてしまいました。対処方法をお願いします。

ぎゃーす！俺もニューイヤーやっちまった！380さんや376さんのクリスマスと
同じようにやろうとしたものの、発見できず・・・
奴は何をしでかすものなのでしょうか・・・？

少なくとも　WINDOWSフォルダ　に　New-Year2008-imgaes.zip　ファイルが
あったので、それは削除したんだが。それ以外はまったくもって不明。
アンチウイルスソフトも反応しないし。新しいウイルスなのかな。
2，3日のうちには定義ファイルが更新されるんじゃないですかね。

俺もニューイヤーっちまった

ウインドウズファイルの保護
ウインドウズを正しく動作させるために必要なファイルが、
認識できないバージョンのファイルに置き換えられています。
システムの安全を維持するためにこれらのファイルを元の
バージョンに復元する必要があります

ってエラーメッセージが出るようになったorz

ニューイヤー開いたけど削除方法全てそのファイルが見当たらなくて削除できないな

>>385
ChristmasImg2007-12.zipやられたんだが、
New-Year2008-imgaes.zipはどこにも見当たらないのは自分だけ？

ちなみにChristmasImg2007-12.zipは380さんのやり方で削除済みです。

380さんのやり方で
" servidevice.exe""Msnmsgr.exe"は消せたんですが
"svho.exe"が見当たりません＞＜

ChristmasImg2007-12.zipが消してもやはり生成されます。
system32のほうのsvho.exeも上書きされませんでした。

どっかに対処法ないですかねえorz

うーん、厄介なもん踏んじゃった･･･
これ、なぜバスター系が反応しないんだろう･･･

俺もNew-Year2008-imgaes.zipやってしまった
情報無いからどうしていいのかわからん・・・

同じくやってしまった
情報出るの待つしかないかな〜

>>393
昨日今日にばら撒かれたモノだけに…
今ごろは解析＆定義ファイル更新作業頑張ってると予測。

ええ踏みましたよ('A`)
とりあえず送信してるような素振り見せた瞬間
急いでタスクマネージャ開いて怪しいファイル（msnなんちゃらだったかメッセンジャーぽい名前の）とか怪しいのを落として
WINDOWSフォルダのNew-Year2008-imgaes.zipを消して…
今の所その程度しかできねえ…orz

俺だけかとおもったけど
仲間がこんなにいるなんて・・・

はやくかいせきおわらないかな・・・

受け取っちまったが…開かずに消した。
大丈夫かな？開かなかったら何もないかな？
過去スレにあったレジストリに関しては検索してみたけど何も出てなかった…

.scr踏むこと自体ありえない

ZIPを展開して出てきたファイルを実行していなければ、おそらく感染はしていないと思われる。

なんかちょくちょく左上にウィンドウが勝ってに立ち上がった後
すぐに消えるんだがこれなんだ？・・・
まさかウィルス？・・・

>>399
だよな。ウィルスの可能性のある拡張子を安易に開くってのが信じられない。

それがな、意外と少し話してるくらいの相手だと気になって踏んでしまうモノなのだよ。
何か送ってきたのかなとかそういう確認してしまうモノで。

以下、自己責任で。

これが一番新しい情報と思われ。
ttp://d.hatena.ne.jp/lpm11/20071229

>>403
俺も送られてきたけど英語ばっかの文章で解凍したら.scrだった
いくら親しくても絶対あけないわｗ
.scrが危険と知ってて開くやつはおかしいし、知らないのは無知すぎる

>>404
「msmsgrus.exe」ってやつ、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
にもあったな。一応消しといたがアタリかな

って書いてあるね…忘れてくれ

もはや余談かもしれないけどNew-Year2008なんちゃらはavast!のチェックをくぐりぬけていた
相手に「これなに？」って聞こうとしたら反応おかしかったので開かずに済んだ

>>408
俺もavastで検疫したけど大丈夫だった上にそういうことしそうな人だったから開いた
迂闊だった

開いてないけど俺にも来た。AVGももちろんすり抜けた。
2008のほうね。

これってさ、俺の場合実行したらエラーでて起動できないって言われるんだけど
他の感染した人も同じようにエラー出た？
なんか>>404の説明にあるような例に一つも当てはまらないんだけど

俺　exe.を消そうとしたら　アクセスを拒否されました　ってでるんだが・・・
どうしたらいいんだ・・・　ＰＣ初心者だからわからない・・・

さあ、PCを窓から投げ捨てよう！

vistaだと、書いてあるようなファイルが見つからないんだけど、
なんででしょうか？

vistaでwindowsにフォルダ出来てる人います？

フォルダじゃ確認できないみたいよ
コマンドプロンプト確認してみ

>>412
以下、自己責任でやれよ。
もう一度言って置く。

自　己　責　任　で　や　れ

まず、UnLockerをインストールする。
「UnLocker」でググるかゲイツに聞けば、多分出てくるはずだ。
で、設定を変えずにインストールする。
その後、コマンドプロンプトから、
"c:\Program Files\Unlocker\Unlocker.exe" C:\Windows\msmsgrsu.exe
と入力すると、ダイアログが出てくるので、
左下のドロップダウンリストから、「削除する」を選ぶ。
で、OKボタンを押すと削除できるはずだ。

コマンドプロンプトでも見つからない。
dir New-Year2008-imgaes.zip
でいいよね？

>>404読んだけどmsmsgrus.exeてのも見つからなかった。

ま、なるようになるか。

vistaじゃないけど俺もmsmsgrus.exe見つからん
感染してるのかはっきりしないから不安だ・・・

・WINDOWSフォルダにmsmsgrsu.exeが見つからない
・コマンドプロンプトでも弾かれる
上記の場合、WINDOWSフォルダとは別の場所で右クリック
新規作成→(適当に)テキストファイル→ファイル名を『msmsgrsu.exe』に変更。
拡張子云々表示されるので許可。
出来たファイルをWINDOWSフォルダに入れると上書きするか聞かれるので「はい」を選択。
その後はWINDOWSフォルダに『msmsgrsu.exe』が表示されるようになってるのでゴミ箱へ。

これで消えているはず…

悩むくらいならクリーンインストールした方が早いと思う俺は異常なのか
初心者なら他のものも飼ってそうだし

WINDOWSフォルダに上書きも何もなしに普通に置けてしまった・・・
ホントに感染してるんだろうか・・・？
scrファイルを実行したときに、エラー出て実行できないって言われてるんだけど、
実行したら感染してるはずなんだよね？

>>419
その方法でどうにかしようと思ったんだが、
どうもうまく削除できなかったんだよね。
なので、Unlockerを使う方法を書いておいた。
別にUnlockerに限らず、使い慣れてるツールがあれば、
それを使えばいいと思う。

>>420
本当はそれが一番安全だよな。

>>421
感染してるかの確認の一番楽な手段は、
C:\WINDOWSにNew-Year2008-imgaes.zipが有るか無いかだと思う。
もちろん、あったら感染してる。

New-Year2008-imgaes.zipも見つからないし、
>>419の方法と同じ要領で上書きしようとしても反応なかったな・・・
これは感染してないと考えていいのか・・・

>>424
一応、レジストリの、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
も確認してみて、
MsnLiveMessengerが無ければ感染してないんじゃないかな。

後日、対応したパターンファイルが出た後に、
ウイルス対策ソフトでスキャンすることをお勧めするけどね。

>>425
何回か確認してるし、もう一度確認してみたけどMsnLiveMessengerも見つからないわ。
これで一応大丈夫だろうとは思うけど、一度開こうとはしてるわけだし
念のため後日ウィルススキャンはちゃんとやってみる。

対策教えてくれてありがとう。

同じくさっき喰らったッスよ……。
感染は確実にしたが除去できたかがわからないンだぜ……。

>>427
1.再起動してもWINDOWSディレクトリにNew-Year2008-imgaes.zipが生成されない
2.コマンドプロンプトから、WINDOWSディレクトリのmsmsgrsu.exeを削除しても、
「そんなファイルねーよ」（意訳）と言われる。
3.レジストリのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
MsnLiveMessengerが存在しない。
上の3つを満たしてれば、とりあえず削除できたと考えていいと思う。
ただし、専門家じゃないので、「思う」しか言えない。すまん。

>>428
いや、そうして具体的に上げてもらってすごく助かった。
全スレ見直せばいいのだが混乱状態の俺にはそれがなにより有り難い……。

一応その条件はクリアできたみたいだ。
本当にありがとう。

McAfeeだったら対応してるんじゃないか？
http://www.mcafee.com/japan/security/virC2007.asp?v=W32/Checkout!0e4a3c52

つか、くれ。
Messengerやってないからよくわからん。
飼ってるのF-Secureだし。

>>429
ファイルの削除漏れとかがあったら困るので、
対応するパターンファイルが出たら、
ウイルス対策ソフトのスキャンしておくのをお勧めする。

あと、無意味にageるのは良くないぜｗ

>>430
そのページに乗ってるのは、
Christmas-2007.zip
を送りつけてる奴。
で、今日（昨日？）から流行ってるのが、
New-Year2008-imgaes.zip
を送りつけてくる奴。

まあ、亜種だとは思うが、
ファイル名が違ったり、
レジストリの登録名が違ったりするから、
各アンチ・ウイルス・ソフトベンダーは後者にはまだ対応できてないと思う。
少なくとも、ウィルスバスターはまだ対応できてなかった。

>>431
っと、重ねて申し訳ない。
……sageれてっかな？　無知この上なくて謝るしかできねぇｗ

俺もうっかり踏んだが（まさに相手が、その手のファイルを送りそうな人だった）、
カスペルスキーの体験版で駆除出来たっぽい感じなので
引っかかった人は試してみるのもいいかも

カスペルスキーのインストール後に再起動要求されるけど無視した（自己責任でどぞ）

ノートンは対応した。
>>404のページに書いていること以上は検出しなかったな。

「お、ウイルスじゃん」って思って、なぜかクリックしてしまった阿呆は俺だけ？

>>436
好奇心旺盛なのはいいけどせめて仮想でやれｗ

Happy2008.zip\Happy2008-Card.comってのが送られてきた

>>438
まだ中国語サイトにしか情報が出てないなあ

ウィルス感染して以来ネットの通信速度が異常なまでに遅くなった。
>>416の方法で削除したんだが、直らない。
同じ現象の人いるか？

実行しようとしたらエラー吐いて開けなかったんだけどこれって助かったのか？

>>440
復元するんだから当たり前だ
このスレ見直したら書いてる
>>441,428

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"は無かったけど
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft" = "svchost.exe"は見つかったなー。

迂闊だった、不甲斐ない自分を悔しかない。

windowsフォルダにある「msmsgrsu.exe」は隠しファイル属性である上に、ＸＰだと画像アイコンになってる。
また、起動時にインターネットにアクセスする。自分はゾーンアラームの警告で気が付いた。
ＡＶＧのスキャンもノートンも無反応でタスクマネージャよりmsmsgrsuを停止、その後隠し属性の「msmsgrsu.exe」と
New-Year2008-imgaes.zip とかっていうzip（恐らくメッセンジャーで送られてきたものと一緒）を削除した。レジストリも削除したけど。

知り合いが感染した時は
「syshos.exe」っていう謎のファイルが原因になってた。
New-Year2008-images.zipを解凍したって言ってたけど
いろいろパターンがあるんじゃないだろか

みんな気付いてないかも知れないけどＣドライブ直下にも怪しいexeが大量に生成されてる場合があるから注意して。
そのexeが生成された時にバスターで警告が出た。
あと、最初に感染してから時間経つごとに次々形を変えるっぽい。
下手すると遠隔操作を行われている可能性もあるので、感染したら、

・むやみやたらにメッセンジャー、ネットワークに繋がない。
・パソコンを付けっぱなしにしない。

ぐらいはした方が良さそうね。
当たり前だけど・・・。

あとトレンドマイクロに一週間ほど前にウィルス検体を送っておいたので、
バスター使ってる人は対応してくれることを祈るしかない。

今度はawtqn.dllとawtqn.exeが生成されてイミフ＼(^o^)／

これ入れたら再起動繰り返すよ

http://kurage.jpn.ch/RecWav/M_RECWAV_Media.asp?Speech=1221925210420071231213800

>>447
ｍｊｄ？
俺んとこはsystem32にawtqq.exeが生成されて意味不明＼(＾o＾)／
カスペが反応して消してくれるんだけど、再起動するたびに蘇る^q^；
なんぞこれ/^ω^＼ほぇぇ

Windows OneCare　で何か反応したな。無関係かな。
　自己解決するから。ここの板で答えないでね。

つかいきなり来てごめんなさい
あまりウイルスと関係のないのですが
メッセのスレここくらいしかなさそうなので・・・
先ほど友人がメッセを再起動させたところ
INできなくなってしまい
俺はPC自体を再起動させて　メッセにINしようとしたら
INできなくて


簡単にいうと
いちどサインアウト　→　サインイン　→「メンバーリストが表示できない」→　別アドでもIN
→「できるじゃん・・・」→本体でログイン　→　「エラー」　→　両方ともINできなくなってしまいました
誰かこれについてわかるかたいません？

>>452
不具合中です。

【鯖落】MSN・WindowsMessenger Part3【報告】
http://pc11.2ch.net/test/read.cgi/win/1173271073/

メンバーリストが利用できないため〜は違う？
ヘルプ通りにやっても再起動してもサインインできないんだが。
友達はサインインできてるのに。

>>454
人によって問題無かったり問題あったりとバラバラなのがいつものパターン
だが再インストールしても無意味だから、鯖が直るのを待つだけでいい。

いつもそうだからｗ

まーたサインインできね。

さっき偽メッセ起動したら
win32/vmalum.bxrfに感染
って出ていきなりメッセンジャー削除された。ググってもHITなし。なんだろこれ。

これにやられた。どうすれば寛解する？

非常に初歩的な質問で申し訳ありません。
教えていただけるとありがたいことがあって伺いました。

>>1にあるようなタイプのウィルスは、Mac版のWindows Messengerを使用している人からのファイル送信という形でも、Windows版のWindows Messengerに届く可能性はあるのでしょうか？
もしそうだと、Macの使用者は感染することなく、感染ファイルの広がりに介在することがあり得るのではないかと素人考えでは思うのですが。

というのは、私のMessengerに怪しいファイルが届いたようなのですが（解凍していません）、どう考えても、Mac版を使用している人を介在して届いたとしか考えられないのです。

もしご存知の方がいらしたら、お答え、どうかよろしくお願いいたします。

メッセ経由で流されるのですから、
端末種類を無視して流れる可能性は大いにあるのでは？

>>460
レス、どうもありがとうございます。
しかも迅速に。感謝しています。

やはり、その可能性かなりありますよね？
そうなると、私は自分のところで感染をくい止めるとしても、Mac版ユーザーである友達が別の人に感染ファイルを送ってしまう可能性もまた大きいですよね。
そのことを、Mac版ユーザーの友達に指摘してみようかどうか迷っています。
本当なら少しでも可能性があるなら指摘するべきなのでしょうが、人間関係に傷が付きかねないので。
でも、うまく話してみようかと思っています。

>>461
まず、「この前○さんから△という名のファイルが届いたんですが、送った覚えあります？」
と聞いてみて、もし送っていなければ
「最近、メッセを経由して自分が知らない内に勝手にウイルスファイルをばら撒かれる事件が増えているから、
もし覚えが無いなら○さんが何かに感染してるんじゃないかって心配になって」

といった感じで、あなたを心配しているというニュアンスで説明してみては？

まあ、こういったファイルは受け取った本人が開かなければ感染しないものが大半らしいですが
適当に開いたもののよく分からないので破棄しただけで、対処していないという可能性もありますからね。

>>462
アドヴァイス、どうもありがとうございます。
どう言おうかと考えていたので助かります。

おっしゃるように「心配している」というニュアンスで話してみることにします。

ありがとうございました。

ファイルじゃなくてUrlを送るウイルスに知らずに感染してしまったようです
これにかかった人いますか？

>>464
Windows Live Messenger Part 4
http://pc11.2ch.net/test/read.cgi/win/1212889040/

ここで何度も報告が出ています。
出ているだけで、具体的な対策方法はありませんけれど…

>465
ｔｈｘ！
ウイルスじゃないのね。
Pass変更しようとHotmailのｵﾌﾟｼｮﾝに
ｱｸｾｽしてるのにいつまで経っても画面が変わらない・・・

ウイルスではないとは言っていないどころか
勝手に送るタイプならば、まさにウイルスかと思うのですが。

とりあえず、セキュリティーソフトを入れているならば
アップデートの上でフルスキャン

>467
そうなんですか？？
AintiViでﾌﾙｽｷｬﾝしましたけど
なんにも出なかったです

新種であればウイルス対策ソフトでも未対応のために検知出来ないので
他社がフリーで公開しているオンラインスキャンを試すのも手ではあります。

自分もhttp://自分のメッセＩＤ.のアドレスを踏んでしまいましたが
カスペ、バスター、スパイボットともに何もでませんでした。
ただconime.exeとかいうプロセスが立ち上がっていてＤＯＳプロンプトを立ち上げると
でるとかでそれが立ち上がっていたのでなんか不安ですね・・・・

>>470さんと同じ様なものを自分も踏んでしまった。
いまのところ何も検出していないけど不安だ

俺もそんなのきた
どうも自分の垢からメッセに登録してる知人にも送られてるみたいなんだが
あと、「別の場所でサインインしました」ってことになってる

結構蔓延してるみたいだねぇ
何かのゲームに誘ってくれたのかと思ってホイホイPASS入力しちゃったけど
とりあえずパスの変更だけすれば問題なさそうかな、特に変わったこともないし
知り合いはパスなんて入れてないけどURLを配信してしまうようになったとか言ってるし良く分からないな

台湾人から来たメッセの「自分のID.なんたら」を捨てアドで踏んだのだけど
どうもトロイの木馬らしいよ
ぐぐっても、中国語のサイトが多い
英語もあるけど

Messengerはアドレス帳をオンラインに置くから、それをインポートして次の人を探すようだ

>>470,471
というか、これは多分パソコンに感染するタイプではないと思うよ
コンタクトリストをオンラインに置いてあることをいいことに、
ログインIDとパスワードを入力するとそれを記録して勝手にログイン、
コンタクトリストにある友人にメッセージを送る

最近　何か月もメッセしてない　中国在住の友人から　
夜中の3時ごろに　メッセが届く
しかもオフラインで

クリックしたら　MSNアドレス　と　パスを　入力する画面になる
面倒だから　何日か放置してたら

今夜は　しつこくURLが届いた
クリックしたら　アメリカのアダルトサイトに誘導され
調べたら　ここに辿り着きました

どうしお　

３つめのドメインはアダルトサイトに誘導されるようだ
最初の２つは単に感染させるだけ
そのうち本格的な破壊をするようになるのかな

興味本位でクリックしない事が対策の基本

MSNから注意喚起が出てますね。
スピムと言うそうで。

ttp://messenger.live.jp/spim/index.htm

いきなり仲間入りを求めてきて、入れた瞬間会話開いて英文で
「〜〜にアクセスして欲しい」
「貴女はこの窓を開いたから通信料を払わないと駄目」

とかいうのが最近あるんだけど、一体何？

何という以前に、安易に招き入れない方が良いのでは・・・

それは分かってるよ。
でもスパムよりこれの方が多いから、なぜ全然問題にならないのかな？
と思ったんです。

何を基準に多いと言っているのか分かりませんが
少なくとも私や周囲にはそういった話は皆無ですよ

>>480
http://messenger.live.jp/spim/index.htm

484は誤爆ｽ

foto　というコメント共に怪しげなアドレスと受信者のメアドを乗せたウイルスが爆発感染中

ファイル名は
IMG455.jpg-www.photo.com

http://pc11.2ch.net/test/read.cgi/win/1224427238/678-

これか

Windows Live Messenger Part 5
http://pc11.2ch.net/test/read.cgi/win/1224427238/l50

俺も感染した。今身内で爆発的に感染してる

アンチウイルス入れてる奴は、ちゃんと検体送ってくれよ

感染した場合の対処法がわかんねー。
けっこう動作重くなるな

とりあえず感染した人はメッセを落とすこと。
上がっている限り、同じ相手にでも何度も送り続けるから。

どうしようどうしようと焦ってオンラインのままでは
その間に知り合いに次々感染させて迷惑だからね

メッセに感染したことをメッセで伝えようとしたらリアルタイムで送りやがるから携帯かメールで教えるしかないな・・・
後mixiとか

メッセの表示名に警告を載せてからサインアウトする手はある

foto
ttp://xxx.myspacy.biz/[email protected]

こんな具合のURLがメッセンジャーで誰かから送られてきていませんか？
これはウィルスに感染するサイトのURLです！！

・ウィルス名
IRCBot.AKX　トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。

・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ　他の大手メッセンジャーツール

・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。

・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。

１、http://canon-its.jp/product/eset/trial_ess.html
NOD32アンチウィルス体験版をダウンロード（要メールアドレス）
２、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
３、既存のウィルス対策ソフトをアンインストール
４、NOD32アンチウィルスをインストール
５、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
６、パソコンをインターネットに接続されている状態にし、NOD３２アンチウィルスのウィルス定義ファイルを最新の状態にする
７、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
８、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了

とりあえずもっと簡単な方法のコピペはっとく

foto
ttp://xxx.myspacy.biz/[email protected]

こんな具合のURLがメッセンジャーで誰かから送られてきていませんか？
これはウィルスに感染するサイトのURLです！！

・ウィルス名
IRCBot.AKX　トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。

・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ　他の大手メッセンジャーツール

・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。

・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。

１、http://canon-its.jp/product/eset/trial_ess.html
NOD32アンチウィルス体験版をダウンロード（要メールアドレス）
２、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
３、既存のウィルス対策ソフトをアンインストール
４、NOD32アンチウィルスをインストール
５、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
６、パソコンをインターネットに接続されている状態にし、NOD３２アンチウィルスのウィルス定義ファイルを最新の状態にする
７、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
８、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了

見事に感染 orz

対策かいてくれてる方ありがとう、489見る限り、497で大丈夫そうかな

明日やってみます、ありがとうございました

うわ・・・なんてこったい。感染してしもた。
対策書いてくれている人がいらっしゃるみたいなんで、すぐに実行します。

現在日本国内で大規模に感染爆発している模様
要注意

特徴としては感染している人のところにはメッセージがこないで、
感染していない人にはメッセージが来るところ

メッセージきたけど、もう来なくなったって人は要注意
感染してる可能性あり

多分このウィルスのおかげでwindowsの自動更新が無効になった。
有効にしようとしても無理なんだけど、これはレジストリ書き換えられたのかな？
レジストリ触るの怖いんだが、どうしよう…

レジストリでなく、とあるランダムな文字列.dllファイルがSystem32フォルダの中に仕込まれたのが原因
Windows Live Messenger Part 5
http://pc11.2ch.net/test/read.cgi/win/1224427238/
こっちでいろいろやってる人がいるよ

>>503
了解です。
すばやい対応助かります。ありがとう

もしかしてリンク先のexeファイル実行でなく
ページを開いただけで感染ですか？
だとしたらたちが悪い…

なんだよ。これ騒いでる奴らって、みずから怪しいURL踏んでるんじゃんｗ
ほんとにセキュ板の住人かよｗ自業自得じゃないか。
こんなのに引っかかってるような奴らは、普段からワンクリサイトとか踏んでるんじゃないのか？

セキュ板の住人だからこそ、一般人より先に踏んで初心者の為に対処法を探さなくてはいけないのだ。

そのおかげで俺も対処ができた。
セキュ版の住人の皆には感謝している。ありがとう。

>>505
exeファイル実行で感染

何度も言うが、exeでなくcomファイルだ

ファイル名がimgなんたらwww.photo.comとなっているから騙されてるんだろうが

一応ソフトで隔離したけどシステム構成ユーティリティにfxstaller.exeがまだ残ってるんだがなんでだ

レジストリエントリに残ってるからだろ

>511
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Windows Udp Control Center　データ名：fxstaller.exe

ごめ。残ってました。レスサンクスです。

検知率トップのAntiVirとかG DATAあたりは対応してるのと違うか？
おれは、仮想化化させて実行させてみたが、仮想上とはいえ感染したやつには
同情するわ。
おれは仮想化解除できれいさっぱり感染なくなったけど。

ふむ

検出率トップだからなんとかっていうのはあまり当てにならんよ
実際、今回の場合はWindows Live OneCareが対応速かった“らしい”からね

これって保存したらまずいの？
それとも、クリックするだけでもまずいの？

>>518
実行したら

結局25日0:00以後配布活動始めたのかな？
2時からの書き込みが多いけど

迷惑なサンタクロースだぜ

Windowsが通常起動できんくなってしまったんだが・・・これはウイルスのせい？それとも故障？

ここのおかげで対処法がわかりました
ありがとう

のーがーど戦法の俺に死角はなかった

かみんぐつーん

つんつくつん？

でーもそのサンタはーハッカー

くそっ
とんだクリスマスだぜ。

対策書いてくれた人サンクス。

マカフィーも削除しましたってトロイの木馬ポップアップ出るけど
すぐそれの繰り返しで何の役にも立ってない

開かないでダウンロードだけしてしまったんだが感染してるんだろうか・・・・
レジとラスクマネージャーみたけどそれらしきものはないし・・・・
ＤＬしたファイルは消したが・・・・だめーぽ？

感染していたらメッセの登録してある人にURL窓がどんどん行くから聞いてみればいい
開かないようにも注意勧告もな

>>531

知り合いに聞いたらきてないそうです。
別ＰＣも４台立ち上げましたがメッセージこないので大丈夫かと思います

情報ありがとうございます

>>496-497
VirusTotal検出結果 14/39 (35.9%)
http://www.virustotal.com/reanalisis.html?46a50edf24ed6e128dbe6db2d8b8a351

AntiVir：Worm/Rbot.100352.2
AVG：Dropper.Generic.AEWD
Kaspersky：Trojan.Win32.Agent.azob
McAfee+Artemis：Generic!Artemis
Microsoft：VirTool:Win32/CeeInject.gen!J
NOD32：Win32/IRCBot.AKX

すりぬけるソキュリティソフト：Avast・McAfee・Symantec・TrendMicro

NOD32アンチウィルス体験版ダウンロードできねー
みんな落としてんのかね

深夜まで待って落とすと良いよ

検出結果のアドレスまちがえた。

結果: 14/39 (35.90%)
http://www.virustotal.com/jp/analisis/7ec5fbcb09eb16190b80738b7110ede9

>>534
下記の製品でも検出と除去できますよ

無料：AntiVir・AVG
有料：Kaspersky・NOD32・（McAfee+Artemis/McAfee単体はだめ）

>>536
その製品でも除去の方法は>>497と一緒ですか？

ちなみにOne careでも駆除できた

>>534
https://www.ecstudio.jp/ssl/nod32/pre_trial.html
こっちならどうだ？中身たぶんCANONのと一緒だとおもうが

>>539
ダウンロードできた。ありがとう

知り合いが引っかかって送られてきたのでちといろいろ調べてみた

ダウンロードした状態では自己解凍ファイル
中にはimgs.exe

EXEファイルの後ろには暗号化した形跡のあるファイル

これで復元出来るのかな？
uREbcXCSgbWrVCVSeSfWErvVdsfERtv CurrentUser Console FullScreen sample

てことはimgs.exeがランダム文字.dllなどを生成しているんだろう

インスコしたはいいがどうやってNOD32を起動させるかわからない

>>537
大体同じ適当にやっとけ。

但し、感染状態で、インストールが蹴られるセキュリティソフトもあるかもしれん。
感染してから除去できるソフトを探して入れる場合は、複数のベンダーの奴を
入手してダメなら他のを試すといいかも。

Dr.Webが対応してたら、LiveCD使えるんで感染状態でもどうにかなるんだけど、
今回のは対応してないからなぁ。

>>542
ちょｗｗｗおまｗｗｗ

>>541
[ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.

[ Changes to registry ]
* Accesses Registry key "HKLM\System\CurrentControlSet\Control\Session Manager".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Accesses Registry key "HKCU\Console".
* Accesses Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "wextract_cleanup0" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".

[ Process/window information ]
* Creates process "imgs.exe".

[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe (52786 bytes) : no signature detection.

>>542
いやいやマジで
再起動してどうすんのよ

>>545
それはねーよｗｗｗｗｗｗｗｗｗ
初心者ってレベルじゃねーぞｗｗ
普通に起動しろ

起動できた
何をやっていたんだ俺は

検体をとりあえずシマンテックに送っておいたお
明日には対応くるお

やられた・・・ッ・・・スパイボットが止めてくれたのに・・・開くなよ俺ッ・・・
とりあえず対策どおりに対策とるかのう

NOD32で駆除トロイが駆除できました
ってなったらおｋ？

ウィルスバスター有料版アンインスコしちまったんだよなぁ、どうしよう

うっかり開いた　orz
スキャンはスルーしたけどレジストリ書き換えは
拒否ってくれたんだろうかウチのバスターさんは……

めんどいから明日駆除しよう

これってURLクリックした時点でアウト？

まさかNODの陰謀じゃねーだろうなｗ

まぁ俺はAVGで駆除したが。

念のためNODでもやっとこうかな・・・無駄？

>>553
開くまではセフ
ファイルダウンロードするまではセフ
ファイル実行したらアウト

PC内をimgs.exeで検索して見つからなかったらセフ

URLだけならなんともない
ファイルを実行する感染

>>555
>>556
サンクス

俺も一年以上メッセしてない人からいきなりメッセが来て、なんぞやと思いつつ
ファイルをダウンロード

でも拡張子がCOMとか正直「？」だったので実行はせず(多分）
ﾀｽｸﾏﾈｰｼﾞｬｰ見て、imgsやfxstallerのﾀｽｸは見当たらず

感染したらPCが重くなったりするのかね、よく分からん･･･

>>558
マカフィーユーザーだが、マカフィーがトロイの木馬を検出して削除しました
とポップアップが出た瞬間にメッセの会話ウィンドウやIEが勝手に閉じる。
メッセのほうは閉じたらもう開かない。
IEは定期的にでるトロイ削除メッセージとともに落ちる。
（実際は削除できていない）
nod32ダウンロードするのにブラウザ立ち上げるとダウンロードしきる前に
ブラウザ落ちるから結局さっきネカフェいって落としてきた。

ttp://nihonbuson.blog10.fc2.com/blog-entry-970.html
ttp://nihonbuson.blog10.fc2.com/blog-entry-971.html

ここのやり方じゃ駄目なのか？

>>560

それやっても、DLLが残ってダメなことがある。

今の俺の状態がそうだ・・orz

とりあえずバスター使って今検出中。
ウィルスバスター君じゃだめだったりする？

まあ、実際に感染して困ってるのはこっちだからな
ttp://www.virustotal.com/analisis/7bd3b0d7330a2e492425965526e67d44

全然駄目

間違えてダウンロードしてしまって感染したか気になってるんだが
よくみるとデスクトップに見慣れないＩＭＧ[1].jpg...ってあって
これ実行したらアウトで実行せずに削除すればセーフって事か？

すまそん497書いた者です
書いている時点では自分で使っているESET Smart Securityが反応してすぐに隔離してくれた＆
感染した友人数名にこの方法を試してもらたっところうまくいったので作成しました。
この時点で対応していたウィルス対策で一番ファイル容量が小さくて高速に動作するものが
ESET（NOD32）だったのでNODを使った対処法をうｐした次第です
おそらくもじゅ一日経過しているので他のウィルス対策ソフトでもひっかかるようにはなっている
でしょうが、このたった１日でも対策が遅れたらどれくらい被害が拡大するかと考えると非常に
恐ろしいものがあります。
なのでこれを急ごしらえさせてもらった次第です。お役に立てたら何より。

>>565
俺もそれだわ
ブラウザは火狐使っててそれをDLして起動はしてない

>>559みたいな症状は出てないけど・・・・不安だなこれ

自動更新が有効にならない・・・
NOD32でスキャンかけて再起したあとは有効に出来るのに
一回、スタンバイすると、また無効になるし。スタンバイしてるのに勝手に起動するし
もうわけわかんね
誰か教えてくれ

俺もＤＬはしたけど実行はしてないな
実行しなければ大丈夫とは言っても不安ＭＡＸ

再起動すると自動更新有効にできるが、しばらくするとまたできなくなるな・・・
どっかから監視してて時間ごとになんかやってんのか・・・ってavastが変なメッセージ吐いてきたな。
ちょっとやべぇぜ

>>570
俺も同じ状況・・・
駆除はできたっぽいんだけどねぇ

>>570 571
ファイル名　　　　　　　　　フォルダ名　　　　　　　　　　　　　　　　　　　　　　　　　　　　　サイズ　　　種類　
imgs.exe　　　　　　　　　C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP000.TMP　　　52KB　　　アプリケーション
imgs.exe　　　　　　　　　C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP001.TMP　　　52KB　　　アプリケーション
IMGS.EXE-27984726.pf　　　C:\WINDOWS\Prefetch 30KB　　　PFファイル
IMGS.EXE-36EA1AEB.pf 　 　C:\WINDOWS\Prefetch 　　　　　　　　　　　　　　　　　　　　　　 　　　14KB PFファイル

NOD32で駆除したがdllが復活し続けたので探したら上記のが残ってた
削除したらdll増えなくなり今のところ自動更新も機能してる

Avira AntiVir Personal Free ntiVirus
でのスキャン中にWarnings: 1 と出た。

つまり…？

ｽﾏｿsage忘れあ

フリートライアルいんすこできねええええええ

これって今夜急に広がりだしたの？

>>572
下２種類のは検索で出てきたんだが「imgs.exe」自体が見当たらないんだよねぇ・・・

うほ、クリスマスプレゼント！
な感じで広がったと思われ

知人にNOD32を大量にばらまいてる俺ｗ

板違いかもしれないけど分かる人いたら教えてください
JaneでリンクふむとIEでページ出てくるんですけど
Firefoxで出すように設定ってどうすればいいですか？

>>577
駆除でimgs.exeが隔離された可能性があるか
imgs.exeが隠しフォルダ内にあるので検索されてない可能性があるかも
下2つは削除しておｋだと思う

やべえええ今気付いた
さっきから調子悪いなと思ってたらどうすればいいんだ

imgs.exe出てこないからNOD32でやるしかないなぁ

何人かの知り合いからこれ送られてきたがひらかなくてよかったｗｗ

>>570
同時に複数のセキュリティソフト入れるなよ…。

>>568
メモリ上や他のどこかに居残ってるんだろ。

わけわかんなくなった奴らは素直にOS入れ直せよ。

>>582
とりあえずメッセンジャー停止して497辺りから見るといい

>>580
既定をFxに設定してみれば？

セキュリティソフト全部アンインスコして>>497の方法でやったら治った。
自動更新も有効になってる。再起動したがそのままだ。

どうやらググり方が悪かったようだ
再度ググったら解決方法出てきた
レスくれた>>587ありがとう、板汚しすまんこ

テスト
http://www.google.co.jp/

>>586
ありがとう
やってみる

>>588
把握

こいつに３時間くらい時間取られてる･･･

うぬぁ！
NOD32で駆除完了したと思ったが、One　Careかけたらトロイ３種検出された
自動更新も無事にできるようになった・・・

NOD32は最新にしたのに・・反応しないとはどういうこっちゃ！

>>592
それはしょうがない
簡単な例で言うとSpybotの後にカスペ使うとゾロゾロ発見されるし
カスペの後にSpybot使ってもゾロゾロ発見される。
検索のパターンファイルがソフトによるからね。

>>593
なるほどなるほど、一概にこれは優秀だ！って言えないのね

>>592-594
まて
ってことは>>497やっても安全じゃないってことか？

そりゃそうだ。こいつ、トロイダウンローダーでもあるから、他のトロイを落として実行してるよ

>>595
俺は>>497のとおりやって１個駆除できた
だが、自動更新が何度やっても有効にされないからOne Careを使ったんだ（時間が経つと無効になる）
そしたら３種のトロイが出てきて削除→自動更新有効になった（時間経っても無効にならなくなった）

やっと平穏が訪れたってとこかな

今回の件に関してはNOD32が良かったってことっしょ

取りあえずメッセ起動して人に迷惑かかってなけりゃおｋ

どうしても心配ならOS入れ直して再出発だ

簡単だろ？

スタンバイから勝手に復帰した件について

ちょっと時間がアレなんでLANケーブル引っこ抜いて明日まで保留とかでも問題ないかな・・・？
今から駆除すると時間かかりそうだ

>>598
これ重要だよな

ただ、価格.com事件の時もこいつだけできたってところを見ると惚れちゃうよね

NOD32スキャン長い･･･　朝までかかるかな

勝手にdll作られてる
Onecare試してるが応答しねぇ

>>597
なるほど
ってことで>>497しか試してない俺が自動更新有効できるか試した結果
できませんでした(´・ω・`)

トロイの種類によるんじゃないか？
NOD32が良かったり、Onecareが良かったり、手動削除が良かったり。

1分に1個の割合でトロイが検出される。。。

てかさぁ、ノートンとか使っている人は一旦アンインストールする必要あるの？
対応済みのNOD32やAVGを落として、いったん現在使用中のを切って、対応済みのをｲﾝｽｺして、駆除。その後、フリーのは切って今までのを再開させる。
みたいな方法じゃダメなのかね？

NOD32スキャン長すぎる(´･ω･`)

>>497だけ試したやつだけど、ＩＥ定期的に出てくるやつなおんねぇ

>>610
インターネットオプション→プライバシー→インターネットゾーンを中以上に

>>611
�d
後は自動更新有効にできるようになんだけど、avastでいけるかな・・

感染後スパイボットかけて再起動したらPCがご臨終した
invalid system diskが出て回復コンソールでMBRとBOOT直しても起動不可
HDD変えても無駄
どうやら電源投入直後に強制的にFDD読みに行くみたいで
何も入ってないFDDがLED点滅させながらギコギコ動く

それは、違うだろうｗ

これって
オンラインの人のみに届くの？

違わん
メッセンジャーのfoto〜で感染してなった
諦めて再セットアップしたが無駄だった
同じ症状で起動しない

>>608
検体提出はしたけど、ノートンは対応遅いから対応待ちしててもだめだよ。

NOD32も検出はするけど、実際に入ってる状態でインストールするとNOD32の動作自体が
阻害されちゃうので役立たずってパターンだね。よくあることだけどつかえねー。

別パーティションのOSとか別PCに入れて、感染HDDをスキャンして除去するならいいんだろうけど。

>>598
ダウト。NOD32でダウンローダは消せても、消すまでの間に落とされた別の奴がすり抜けてるので
>597みたいな不具合再発の事例が出る。

ぶっちゃけ、NOD32は軽さ以外のメリットないよ。今回は引っ掛かったけど、新種の殆どはスルーだし
（ヒューリスティックもあまり強力じゃない…その分動作が軽いが）新種への対応も遅い。

カスペやAntiVirが数時間で新種に対応してくるのに対して下手すると３週間かかるとかなめてんのかと。
新種に対してはシマンテック並に弱いので、NOD32はあんまり信じちゃいけない。

>>602
価格.comの時は(NODみたいなヒューリスティックではなく)
「以前からすでに対応済みの対策ソフトがありました」
と価格.com自身で後から訂正してる
それがカスペルスキーな

system32にどうやっても消せないdllがあるんだよなぁ
これが気になる

NODでスキャンして２つ見つけたけど、有効化できなかったからOneCareを使ってみる

>>619
jkKなんたら？

海外でもパニックでこちらはOneCareを推奨してる

>>621
7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0

big kisses ってのが送られてきたことがある。
流行ってるんだね。

OneCareフルスキャンでいいのかな

>>625
それがいい。

>>626
把握
７分で0%とか･･･、こりゃ寝てたほうがいいな･･･

すいません　どうやら感染したようです
LANだけ抜いてノーパソで対策を探していたところここに流れ着きました。

ttp://canon-its.jp/product/eset/trial_ess.html
で体験版をダウンロードして
ESET　Smart　Securityというのコンピュータの検査というのを実行しています
ですが９０％で脅威の数０なのですが
これはみなさんが言っているNOD３２とは違うのでしょうか？

上のものです
すいません文脈おかしいですね
ESET　Smart Security　というのの　コンピュータの検査　というのを実行しています

↑にもあるけど経過報告
24日時点のウィスルバスターはどスルー＾＾；
NOD32（25日配布のウィルス定義）で少し軽くなり、セキュリティ無効⇒有効に切り替わった
ただ別サイトに飛んだり、PC消す際にexeplorer.exeが終了しない現象は残る
なのでいまOneCareをかけてるけど８％で３個も検出されてるｗｗｗ
完全に直ったらまた書く

100％になるまで待つべし。
特定のファイルが感染してるわけなので、まだ見つかってないんだろう。

>>629
630だけどそれがNOD32ってのはおｋ
けどそれだけじゃ直らない

とりあえず最善はOne Careかね

がんがん悪化していくな
初期での措置が遅れた友人パソが沈黙しちまった

リアルタイムで感染してるのかワロタｗ

お、Avast対応されたらしいな

クソが、消してNOD32入れたばっかだっつーの！

>>632　さん
>>629　です
ありがとうございます

One Careは
ttp://onecare.live.com/standard/ja-jp/default.htm?mkt=ja-jp
の体験版でいいですか？
Avastも対応されたようで
Onw Care

きれちゃいました　
NOD３２がおわったらOnw Careもやったほうがいいですよね？

>>637
体験版じゃなくてＰＣセーフティーってのをやりな。
よほど緊急でない限り体験版はつかわんよ。
ＰＣセーフティがおわったら無料のＡＶＧとかＡvastとかいれておけばおｋ。

>>637
ttp://onecare.live.com/site/ja-jp/center/howsafe.htm
ここのプロテクトスキャンってのに今かけてる
体験版もあったんだ？
基本的にPC詳しくないからオンラインスキャンとDLしてスキャンするのの何が違うのかいまいちわかってない＾＾；
俺自身これでいいのかな？

>>639　さん
ありがとうございます
NOD32が99％なんで
終わったらOnw careの方やって
無料のやつ入れてみます

こんな夜遅くでもこんないい人たちがいてくれて助かった…

ありがとうございますー

FireｆoxにIE Tabいれて、ｆirefoxからOneCareオンラインスキャン
って便利だなぁｗ

自分のPCはOS再インスコなりでいいけど、
メッセ友に悪い事しちゃったなって罪悪感でいっぱいだぜ・・・

NOD32インストールしようとしても
ネットワーク上の場所　ESET\ESET NOD32 Antivirus　へアクセスできません
と出てインストールができない・・・orz
どなたか助けていただけませんか、OSはXPです。

>>637　です
結局NOD32での検出は0でした
その前にタスクマネージャのプロセスでf〜ってファイルを消したのが原因でしょうかね・・？

今One Careの方やってるんですが1％で5個の項目で2個の問題が検出されました
長引きそうなのでこちらは放置して寝ます…。
ありがとうございました

>>644
スレの流れ通り
NODやめてOneCare使えば？

>>646
すいません、来てすぐ書き込んだのでまったくスレ読んでませんでした
OneCare使うことにします！ありがとうございました

>>645
念のためimgs.exeも検索しといたら？



感染した友達がＰＣつかなくなったらしい
対処ソフトＤＬしようとしたら動く気配なく焦ってキャンセルおしたら
今度はキャンセルしてもだめで電源強制で落としちゃったみたい
何度起動させても画面真っ暗だとさ

これはもう手遅れ・・か？

>>648
俺の友達も感染して強制終了かかって
電源入れてもつかないらしい

俺がかかった時も
MSNメッセンジャーで１分おきくらいに
次々と新しいウイルスが送り込まれてきたから・・・
パターンを変化させて増えていくのかな？

>>648 さん
>>645 です
imgs.exe　の検索とはマイコンピュータを開いた時の
上のバーでの検索でいいのですか？

深刻だな
気付いてない人かなり居そう

>>650
>>648です
上のバーの検索でもいいし、スタートメニューの検索でもおｋです

>>652　さん
>>650　です
了解しました
検索かけてみます

発見したら消去でいいんですか？

>>651　さん
結構深刻ですよね…
わずか１日でここまでの被害…。
そしてMSNもSkypも常時ログインの人もいるだろうから
今後どうなるか…。
考えるだけでも恐ろしいです

>>652さん
特にimgs.exeはなかったようです

なんと！　終わったはずのESET　Smart　Securityから
右下に注意？報告？がでました

「プログラムの作動中にウイルスを発見しました。
ファイル命　((C/Windows/fll)すいません覚えてません…こんな感じでした）
トロイの木馬　隔離しました。」

だそうです

お祭り気分のとこに知り合いからURLきたら深く考えずにクリックしてしまうわ・・
まあ俺は保存して実行しなかったからセーフだったけど
次からは気をつけるし大丈夫だなｷﾘｯ

ＸＰ/ＳＰ２以前のＰＣの人はOneCare使えないという盲点

送信するURLにも何種類かあるみたいだな
とりあえず確認できたのは下の３つ
foto http://myspacy.biz/viewimage.php?=(メルアド)←俺が踏んだのはこれ。自動実行？
foto http://www.myspacy.biz/viewimage.php?=(メルアド)
foto http://hi5.eu.com/id.php?=(メルアド)

そして元日早々年賀ファイルにひっかかる655であった

検体上げられる人がいたら
【鑑定目的禁止】検出可否報告スレ8
http://pc11.2ch.net/test/read.cgi/sec/1228314831/

にあげといてくれないかな。

>>657
おｋ
検体スレにもうでてるわ。
ちなみにＡＶＧは対応している。

俺もサンタさんから最凶のクリスマスプレゼントをもらったんだぜ…

とりあえず、過去レスみてＮＯＤ３２で検査して、imgs.exeとviewimage.com（だっけな？）
を駆除したんだが、これで大丈夫なんだろうか？何か埋もれていたりして・・・

今のところ、Liveメッセは自動で開かないようにしてるが、他に気をつけるところあるかな？
少々不安だぜ…。目立って不具合らしき不具合が出なかったのがよかったかな。。

ちなみにOSはVistaです。念のため、OneCareもやっといた方がいいでしょうか？

>>660
avastも対応したっぽい？

>>659
ノートンとマカフィーはおｋ。
今スキャンしたところの結果。
http://www.virustotal.com/jp/analisis/52a259bfc97ca8188b3a0552e7fd6baa

大体の大手は問題ない、ウイルスバスター使っている人は乙としかいえないが……

>>663
>>636だそうだ。
おれはＡＶＧだけしかわからん。

素通りバスターやその他はアンインストールするより先に
オンラインスキャン版OneCare走らせたほうがいいな

>>664
乙です

前使ったことあったけどブラクラメールがふつうに送れることに気づいて速攻消した

昨日の夜中に友達から謎のメッセージを受け取り、
そこに添付されたURLをクリックしたんだけど
しばらく経ってからPCの調子が明らかにおかしくなっていった。
特に他のページに移動する時なんか読み込みが遅くなってたから
「これは何かあるな…」と思って調べるとウィルスだったというね…

ググって色んなサイト見てNOD32っていうのをインストールして
今に至るんだけど、検査するのにエラい時間かかるなぁ。
朝6時の時点で65％だから下手すればあと2時間は要するかな？
途中で中断させても大丈夫なら電源切りたいぜ。

ちなみに5つの脅威が検出された模様。
トロイの木馬は2つほど検出されたみたいです。

つかこれ添付ファイルを開く仕組みに脆弱性があるわけでなしに
ユーザに欠陥があるんじゃ

実践したのこっちにも、参考になるかわからんけど書いてみる
マカフィー入ってたけど、リンク踏んでスルーで感染した
その後ほぼ5分おきにトロイの削除祭り…
スキャンしてもなんも出ない。

fxstaller.exeってのがスタートに登録される→されない場合もあり
レジストリを起動してスタートアップ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center：fxstaller.exeを削除
その後ＯＳをインストールしているドライブで
fxstaller.exeを検索(隠しファイルを表示にチェック)
とりあえず削除

次、imgs.exeの削除。
タスクマネージャーのプロセスにあるっていうけど無かった
でもファイル検索で発見して削除
この二つ絶対あるっぽい→これでマカフィーの削除祭り止まった。

書いてあったNOD32のアンチウィルス体験版使ってみたけど�_
Win32/IRCBot.AKXｔを２つ削除して終了
その後OneCareオンラインスキャン今かけてるけどザクザク出てくる。

OneCare終われば大丈夫とは言えないけど、マカフィーよりまし
マカフィーはスキャンしても相変わらず「中には誰も居ませんよ？」と
ふざけたことしか言いやがらない…　使えん。

バスターとかノートン先生の方はよくわからん。
あと、カスペはだめだった。スキャン済み；；

クリスマスの誘惑って奴よ・・・
みんな寂しかったんだよ

http://thiz.ultracoool.com
自分の所にはコレがきたんだが同じ種類かな。

Windows Udp Control Center：fxstaller.exeがどうしても見つかりません

>>674
まさかとは思うけど一応。

Windowsのスタートメニューから「ファイル名を指定して実行」をクリックして
regedit入力しOKボタン。

HKEY_LOCAL_MACHINEって書いてあるフォルダ探す→開く
SOFTWAREってフォルダ探す→開く
その繰り返しでRunまで辿り着いたら、開いてるところにあるはず。
名前とデータをよく見るんだよ？

その方法だと出てこなかったので、fxstaller.exeで検索してみたら出て来たので削除しました

>>676
削除できたなら良かったっすね。

つか、OneCareスキャンで出てきても、ファイル消しきれないとか
見たんだけど、もうこれどうすりゃいいの？
と、OneCareスキャン中で問題見つかってる最中で呟いてみる

そもそもインストールすらできないぞ

全部削除できた。もう今日は寝る・・・

ノートン対策きた？

>>679
おつかれ　つ旦~
俺も終わって有効化できた。一応avast入れなおしてフルスキャン中。

一応AVGでフルスキャン終わったとこなんだが

RunDLL
C:\Windows\System32\vtUlIyVn.dll を読み込み中にエラーが発生しました。
指定されたモジュールが見つかりません。

とか出るんだが、なんなんだこれ

警戒用コピペ

※ウィルス※ Windows Live Messenger で感染!?
http://pc11.2ch.net/test/read.cgi/sec/1185780001/

<危険>　foto http:// 〜
<危険>　
<危険>　Instant Messenger ソフトで、IMG455.jpg-www.photo.com トロイの木馬祭開催中
<危険>　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
<注意>　　　　　　　　　　　　　　　　　　[　　　　 ファイル名　　　　　 ]
<注意>　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 [.com] ← MS-DOS用実行ファイルの拡張子
<危険>　

寝たら検査終わってた。

Win32/IRCBot,AGPていうのが検出されて駆除されたみたいだけど
これでもうおkなのかな？
まだ何かやったほうが良い事ってあるんだろうか？
もうPC消したいけど…

感染してるのは間違いなさそうなんだがAVGに引っかからなかったんだがｗｗｗｗ

>>684
うちの場合、NOD32でそれを駆除したけど
動作は軽くなったものの自動更新やらは有効にできないままなので
OneCareスキャンを試してるところ

今回のウイルスは
まず.com拡張子の物（簡単にいうとインストーラの様なもの）を落とさせて
実行すると感染、fxstaller.exeをシステムドライブのどこかに展開や
レジストリの改変を行う
この時点でメッセンジャ等でオンラインの登録されているユーザにurlを送りつける

そしてこのexeがIEの移動挙動を誘発させたりバックドアとなり
バックドアにより、多数のトロイを仕込まれます

まずはLANケーブルを抜き
対応済みのセキュリティソフト類で完全スキャンが妥当だと思われます
これにより実行ファイルとトロイの駆除、そしてレジストリ（これは手動かも）の修正となります
なおトロイに関してはどれが入るかは
どのくらい入っているかは対処の早い遅い、常駐のセキュリティソフト
これによって変わってくると思いますので、まずはLANケーブルを抜いておくことが
自分にも他の人にも一番いい対処になります。

まだすべての会社が対応というわけにはいきませんので、完全な駆除ができるとわかるまでは
熟練者以外はOSの入れ直すことがベストだとおもいます

再起動したらOnecareでトロイが検出された・・・

>>657
落ちてくるファイル自体は同じものだな。

踏む前だとNOD32でブロックできるが、踏んだ後だと、NOD32の起動が阻害されるんだろ。
起動を阻害する対象になってないマイナーなセキュリティソフトで、なおかつ、パターンが対応してる奴を
選んで使えばいいじゃん。

OneCareが大丈夫なんだろ。個人的にはAntiVirがお勧めなんだが、踏んだ後に入れても大丈夫かどうかだな。

しかし、非常に珍しいことに、シマンテックの対応速いな。もう対応しやがった。
いつもなら３日かかっても速いほうだというのに。

http://www.virustotal.com/jp/analisis/e273db4dbbaf759b7874d1e5acf517f9
a-squared 4.0.0.73 2008.12.26 Riskware.Win32.CeeInject!IK
AntiVir 7.9.0.45 2008.12.25 Worm/Rbot.100352.2
Avast 4.8.1281.0 2008.12.25 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.25 Dropper.Generic.AEWD
BitDefender 7.2 2008.12.26 MemScan:Backdoor.RBot.YBJ
ClamAV 0.94.1 2008.12.26 Trojan.Rbot-56
GData 19 2008.12.26 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.26 VirTool.Win32.CeeInject
Kaspersky 7.0.0.125 2008.12.26 Trojan.Win32.Agent.azob
McAfee+Artemis 5474 2008.12.24 Generic!Artemis
Microsoft 1.4205 2008.12.26 VirTool:Win32/CeeInject.gen!J
NOD32 3717 2008.12.25 Win32/IRCBot.AKX
Prevx1 V2 2008.12.26 Malicious Software
SecureWeb-Gateway 6.7.6 2008.12.25 Worm.Rbot.100352.2
Sophos 4.37.0 2008.12.25 Troj/IRCBot-ZD
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
Symantec 10 2008.12.26 Trojan.Dropper

知り合いが感染して
ttp://nihonbuson.blog10.fc2.com/blog-entry-970.html
ttp://nihonbuson.blog10.fc2.com/blog-entry-971.htm
を試して駆除できたらしいんだけど

フリーズしまくりでなにもできなくなったらしい
他にもそういう症状の方はおりますか？？

>>689
2009になってからPulse Updateと相まって、対応を早くするとか何とか。

>>673
危険アドレスではあるけど別物じゃないかな？

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center：fxstaller.exe
これを消してOneCareでフルスキャンしウイルスを削除したところPCの方も安定し、
メッセンジャーでのURL送信もなくなりました
ですが、レジストリで検索したところ000 fxstaller.exeというのが残っていました
これは放置でよろしいのでしょうか・・・

昨夜感染して、こことメッセスレ見て状態は何とか抜けた
今は自動更新もすべて有効。
ここの>>572に俺がメッセスレに書いてたファイルの書き込み（改行ミスが全く同じなので多分そうだと思う）
利用してもらえてるのみて、少しは役に立てたんだと嬉しかった。

ところで、念のためにOneCareやってみてるけど、１４％まで進んだら全く進まなくなった。
ノートン先生は先生で、今朝Trojan.Dropper ってのを検出して処理したって報告してきたから
多分まだどこかに潜ってるんだろうなとは思う。

ウィルスバスターはまだ対応してない？

OneCareやったけど除去できないとか言ってるんだけど…

OneCareで検出できるけど消せないファイルってどうしてる？
explorer.exeとかに一部のdllがロックされててどうにも消せない。
AVGとかも試してみたが何も検出してくれないんで、どうしていいやら。

unlockerでロック解除も試してみたが、当然ながらOSまきこんで落ちる。

>>693
ファイル名が変更されて隔離状態になっているので一応安心です
触らないように！

>>689
どうやら何種類かいるのかプログラムがいい加減なのかのどっちかだな
mixiを介して20人程がNODで対策してみたがみんな起動したよ
起動しない！と嘆く人は結局他のアンチウィルスがすでに入っていて
競合起こした場合だけだった
バイナリを調べてみたが阻害する因子はなかった
てことは亜種がすぐ出回ったってことかな・・・？

NOD32をインストールした後再起したのですが、デスクトップの画面でフリーズしてしまいました。
どうしたらいいでしょうか…？

>>682と同じ症状なんだがどうしたらいいんだこれ
削除は終わったが、起動するときのやつが残ったままってことかな

とりあえず参考意見程度だが……

レジストリで>>513を削除
imgs.exeを検索し削除
（spc.exeっていうのがC:\にあったからこれも削除、無い場合もあるかも）
OneCareでPCスキャン、explorer.exeとかトロイの木馬が検出されて隔離完了（？）

これをやっただけでも今のところPC安定、自動更新有効。
症状によって違うかもしれんがとりあえずお勧めする

×explorer.exe
○fxstaller.exe

何を書いてんだ俺は……

レジストリのスタートアップエントリが残ってるとか？

ComboFix使えうんこ共

AntiVirでスキャンしたあと>>497の方法やったんだけど何も出なかった
大丈夫なのこれ

なんかPCｵﾜﾀっぽいから、仕事終わったら初期化して入れ直そ…

>>707
Onecareオンラインスキャンを試すんだ

再起動したら
アカウントログイン画面がでて先に進めねぇ

セーフモードでなんとかなるかな？

俺はカスペユーザーだが、ヒューリスティックで検出されず
結局定義ファイルが更新されるまで検出されんかった

昔カカクコムでNOD32がヒューリスティックで検出して有名になったが、
今回のこのウイルスをヒューリスティックで見つけられたものはなかったのか？

KIS2009使いだけど、
メッセで送られてきたIMG455.jpg-www.photo.comファイルってファイル実行しようとしたらアラート出たよ
ライセンス切れで11日から定義ファイル更新されてないのに・・・

ヒューリスティックかはわからんがOneCareが結構早めに対処できてたような
あとAntiVirとか

>>709
Onecareオンラインスキャンを３回まわしたが、駆除できないファイルがある
そして再起動後にスパイウェアを撒き散らすんだが・・・
レジストリも書き換えられるし・・・
もうね、、、

>>712
まじで？
俺は実行はしてないけど、カスペのスキャンの設定をヒューリ（ｒｙ最高まで上げて
手動スキャンしたけど何も無かったんだよなぁ

>>715
さっきやってみたけどヒューｒｙ有効+最高設定で手動スキャンは何も出ないね
実行して瀬戸際で止めてもらうしかアラートでないんじゃない？

スキャンしようとするとエクスプローラー止まるってのが怖いけど

>>716
わざわざ検証サンクスです！
そうか、ちゃんと寸前で止まるのか・・・。
となると普段ヒューリスティックをオンにしてる意味はあんまりないのかも？
いざというとき瀬戸際でちゃんととめてくれるのなら、ね。

ありがとうございましたっ

avastが162Gbを4時間かけてスキャンしてくれたぜ
特に目立った外傷はナシ
終わったーかなー？

>>513のが見あたらなくて、他の眺めてたら

MSServer rundll32.exe C:\Windows\System32\vtUlIyVn.dll,#1

ってのがあったからとりあえず勢いで消してみた、当然出なくなった
今のところ普通に使えてるから、まぁ大丈夫なんかな？

もう手遅れだろ・・

遅レス失礼します。
>>686
うちのPCも検査終了後でも自動更新は無効のままだった。
PCの調子次第ではOneCareでもスキャンしといたほうが良いのかもね。

てか、ここの書き込み見る限りトロイの駆除自体は完了したけど
まだ完治したわけではない人が多いのかな？
友達とも情報交換しておこうかなぁ。

なんでOS入れ直すって選択を選ばないんだろう・・・

それは最後の手段としてとっておく

dll書き換えられて寄生してる可能性も十分ありえるのに、
削除だけとかじゃ完全に対処できんわな。
素直にクリーンインストールするのが無難。

>>723
足掻いた時間＞クリーンインストール

こうなるのが決定的

avastでフルスキャン→imgsとfxstallerが引っかかったから削除
手順にそってレジストリも削除。ついでにsys32のdllを削除しようとしたらロックされた
Unlockerで解除した瞬間エラー吐いてハードエラーの青画面
Onecareオンラインスキャンを回すと3個発見
しかし14％のあるところで止まる→sys32のdll2個の排除できず
入れ直す方がはやいかも知れん・・・

OS入れなおしたいが、残したいファイルに感染してるってことはないかなぁ･･

HiJackThisで以下をFix(エントリーに現れるのはこの4つ)
O2のエントリーはランダム８文字、(no name)となっているもの。（例：tuvWomKe.dll,wvUmkllL.dll)
O4エントリーもランダム８文字だが[7800f1cc]で見分けられる筈。
O20エントリーもランダム８文字。ただO20に現れる正規エントリーは少ないため見分けやすいと思う。
（例：ljJYPhEW.dll、wvUmjHXO.dll）

こんな感じ
O2 - BHO: (no name) - {F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0} - C:\WINDOWS\system32\tuvWomKe.dll
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [7800f1cc] rundll32.exe "C:\WINDOWS\system32\axhiujye.dll",b
O20 - Winlogon Notify: wvUmjHXO - C:\WINDOWS\SYSTEM32\wvUmjHXO.dll

このウイルスが作成するファイルリスト(多分みんな作るファイル数は同じ)
C:\WINDOWS\system32\eyjuihxa.ini
C:\WINDOWS\system32\axhiujye.dll
C:\WINDOWS\system32\732335b2-.txt
C:\WINDOWS\system32\eKmoWvut.ini2
C:\WINDOWS\system32\eKmoWvut.ini
C:\WINDOWS\system32\tuvWomKe.dll
C:\WINDOWS\system32\nnnoNgfd.dll
C:\WINDOWS\system32\byXQKbyX.dll
C:\WINDOWS\system32\wvUmjHXO.dll
C:\WINDOWS\fxstaller.exe

環境によってファイル名は変わってくるのでHiJackThis等ログ取得ツールを
使って調べる。

ひとついえることはツール使わないで削除するのは無謀

dllあっても大丈夫だと思うけどな。
システムが使ってるdllが改ざんされてたら、アンチウイルスも警告出すだろうし。

>>728のファイルが消えてればもう大丈夫かな？

ウイルスが改変するレジストリポイント
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0}]
C:\WINDOWS\system32\tuvWomKe.dll [2008-12-26 303104]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows UDP Control Center"=C:\WINDOWS\fxstaller.exe [2008-12-23 52786]
"7800f1cc"=C:\WINDOWS\system32\axhiujye.dll [2008-12-26 73216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvUmjHXO]
C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0C:\WINDOWS\system32\tuvWomKe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328]

ファイル名のところはランダム文字列(8文字）
レジストリーはHiJackThisで間手単に処理可能

>>730
ファイル名は個人個人で違う。
何回も感染実験すれば各ファイルがどのように変化しているかわかると思うけど
そこまでやってない。

駆除完了の基準としては
・不正なタスクがない(コンパネ、パフォーマンストメンテナンスのタスクから
確認して)

・レジストリポイントに不正なエントリーがない。

・症状が完全に治まった

だと思う

結論から言うとComboFix使うのが楽

http://azurecolor.blog51.fc2.com/blog-entry-315.html
ここよんできたんだけど
>>496だけじゃだめなの？

昨日OS入れなおしたんだが、時間が経ったら自動更新が有効にならなくなった。
わけがわからん。
今度はメッセンジャーとかでへんなURL送られてきてないんだけどなぁ・・・

NOD32、OneCareを試したところOneCareで消しきれないやつが出てきたんですが・・
しかもまた英語のサイトに誘導される現象が・・・
これは一体どうすればいいんでしょう

>>734
NODがどの程度ファイルを駆除(このウイルスに対応)してくれてるかわからないから
わからんけど、検出できてるってことはNODで駆除できると思う。
NODが検出したログをみて判断するのが一番。
少なくとも残骸が残ってる可能性はある。(ウイルスが作成した無害ファイル等)

>>736
英語のサイトに誘導されるのは確かfxstaller.exe が原因だった

↓このソフトダウンロードしたら
http://images.malwareremoval.com/random/RSIT.exe

RSIT.exeを実行して
"Continue"をクリック
ちょっとするとメモ帳が開くからその内容を貼り付けてもらえれば
わかるんだけど。(または"C:\rsit"に保存されている「log.txt」）

これがいやならComboFix使ってもいいし

ウィルスは駆除出来たんだが　自動更新だけ直せない　教えてえらい人

ウィルスが作成している以上、無害ファイルというのは作らないと思うんだが・・・
まぁ言い方次第だろうけど、
自分のPCには無害なファイル？
準備段階で活動していないファイル
と言うべき“内容”かな

OneCareでトロイ駆除した後に
バスターを起動しスキャンをしたらスパイウェアがまだ出てきます
まだ残ってて繁殖でもしてるのでしょうか・・・

君たち！
まず無料のアンチウイルスソフトを入れる。
残った問題に対処する。
終了。

これで決まりだね！

他のトロイも呼び込んでるようなので
駆除後にもっかいスキャンしといた方がいいらしい

感染してるかどうかはどうすれば分かるの？

>>740
作るよ。
このウイルスを例にとるとiniファイル、dll、txtファイル、job、等作るけど
ini、dllは単体じゃ動作できない。主となるexeファイルがなければ無害。
ただの残骸。
txtファイルなんて単体でも無害でしょ。
↓これとか
C:\WINDOWS\system32\732335b2-.txt

NODがどこまで駆除できるかわからないけど、大本は
駆除できるみたいだから(だよね？)
NODが逃したとすれば大本がいないと動けないファイル類。

↓これとかｗ
C:\WINDOWS\system32\732335b2-.txt
ini類とか・・

Combofix使って削除したら自動更新も有効になったんだけど

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
が開けなくなった。
キーを開こうとしてエラーが発生しましたって出る

>>746
エラー内容はそんだけ？
再起動しても治らないのか？

>>746
直らなかった。
エラーの表示でぐぐったらレジストリが壊れてるとか書いてあった・・・
結局OSいれなおしか・・・うわーい

>>737
検出できてるのはダウンローダだけで、除去するまでに落とされた未知のマルウェアが活動してたら
止めようがない。マルウェア活動中だと主立ったセキュリティソフトは動作停止させられたりインストール失敗したり
させられるので、感染後に除去するのは困難。

別ドライブとかCD起動してから除去する形になるが、その環境がない場合にはOS入れ直しコース。

一旦擦り抜けて活動開始されちまった場合は、OS入れ直し以外では残骸がいつ活動再会するか不明。
WindowsUpdate止められたり、セキュリティソフトのパターン更新止められるような状況の場合は
素直にOS入れ直しやリカバリーを行なうこと。レジストリエディタの起動ができないケースもOS入れ直し。

>OS入れ直し以外では残骸がいつ活動再会するか不明。
本体がないのにどうやって活動するんだよｗ

>>749
だよなぁ。
ウイルスに感染したら基本リカバリーだな。

初期化ってどうやるんだ
Vistaのディスク入れて再起動してんのに何にも反応しないんだけど
Fキー押せばいいの？誰か頼む

メッセンジャーは使えるようになったのですが
自動更新が有効にならない場合は何が原因なのでしょう

大事なファイルをCDとかに焼いても大丈夫か誰か教えてくれ

まぁウイルスに感染したらOneCareとかNODとか使っても基本無駄だよな。
駆除するならログとってあやしいファイルをすべて割り出して削除するのが
確実に駆除できる。

Windows Live Messenger のスレの人たちはログもとらずにdll消してるみたいだけど
怖くないのかｗ

既出かもしれんが教えて。
これって最初のDropperがIExpress形式（古いアップデートパッチのキャビネットファイル自己展開形式）なExeがoctet/streamで送りつけられているんだけど，
IExpress形式ってブラウザでいきなり実行されたっけ？
手元にIEAKがなくてためしにパッケージ作れんので，誰か試した人が居たら教えて。
こんなんでIEに表示させた瞬間にEXE実行とかできるんだったら非常に困る。

>>752
メーカー製のパソコンならリカバリー。
リカバリーとはパソコン出荷当時の状態に戻すこと。
リカバリーのやり方は書いてあるはず

>>753
駆除できていない、もしくは、駆除はできていてもウイルスが書き換えた
レジストリーがそのまま

>>754
大丈夫。

>>756
＞IEに表示させた瞬間にEXE実行
このウイルスの場合は実行ファイル本体を落として実行しないと
感染しないはずだけど・・
ホームページ見ただけで感染とかはあるけどね。

>>738でログとってくれればみるよ

>>759
まじか

コンパネ→管理ツール→サービス
Automatic Update（もしくは自動更新？）の項目のスタートアップの種類を「自動」にすりゃいいんじゃね？
ほっときゃ勝手に有効になるようなもんじゃないぞ

>>757
リカバリのことについて書いてる
説明書がないんですよ
説明書らしきものにそういう風なことが一切かかれてないんです

fxstaller.exeを消し、imgs.exeも削除して、OneCareとNODでトロイ削除。
ランダム羅列のDLLも消して、自動更新有効になりPCも普通に動いているように
みえるのですが、何もせずしばらく放っておくと「ドゥン！」というエラー音が突然鳴ります。
画面上は何も変化なし。
これはまだ感染してるということなのでしょうか。
ちなみにIRCBot.AKXは見つかりませんでした。よく覚えてないのですが別の名前の
トロイでした。

>>762
どこのめーかーのパソコン？

>>764
acerです
セットアップガイドみたいなもんはありますが、
真っ白なPCからの設定方法しか書いてないので分かりません

>>765
acerの型番もしっかり書いてくれないと調べようがない

>>766
Intel？ Core？ 2 Duo プロセッサーのASL3600-672032Pです

>>758
さんきゅ。俺の勘違いだったみたい。
IExpress.exeがXP標準であるってことで，手元でバッチファイルをEXE化してWEB鯖に入れてOctet/Streamで送出して・・ってやってもうまくいかなかったんで，なんでだー！と思ってた。
ぁゃιぃexeのクリックが必要だったのね。これで注意喚起しとくわ。

？は記号です暗号化されてしまいましたすみません

>>767
リカバリー領域があるみたい(つまりリカバリできる)
だからスタートメニューからそれらしいものない？
http://www.acer.co.jp/support/faq/notepc/note070131001.html

>>770
リンク先を見ました
Acer eRecovery Managementが全てのプログラムの中にありました
これでリカバリできるのでしょうか

Windows自動更新が有効にできない。
http://linkinparkkussy.blog121.fc2.com/blog-entry-100.html

こんな記事を見つけたんだが、どうだろうか？

>>771
それでできるはず
再インストールってのクリックしてみて。
おれはそのパソコン持ってないからあとは自分でやってみて

>>773
頑張ってみます

>>763
俺も今その状況だ
なんだろうね･･

今回の騒動、一連の挙動を見てみると、

・ダウンロード後ブラウザが「実行しますか？」の警告を出してくる
・vista なら UAC とか VirtualStore とかが大忙し

な気がするんだけど、そんなにホイホイＯＫボタン押しちゃう人ばかりだったりするの？

>>775
メッセージボックスが出ないということは、誤ったdllを削除したか
まだウイルスが残ってるか、システムが書き換えられてるか。

>>776
うん、愚かな人が多かったの

俺的まとめ
挙動はこんな感じ(????????はランダムな文字列)
リンクをクリックし、実行する
↓
imgs.exeが解凍され実行される
↓
fxstaller.exeが実行される
↓
fxstaller.exeや????????.dllがPC起動時に実行する様に設定
IEでアンチウィルス導入表示を行う
WindowsUpdate無効化

fxstaller.exeはVirusのダウンロード等をする
????????.dll系はその他諸々？WindowsUpdate無効化やdll再生成も？
実際にメッセージ送信してるのはdll系かな…
生成ファイルや改変レジストリは>>728,731


感染の疑いは、
隠しファイルも含めてPC内を検索しimgs.exeが有ったらアウト
fxstaller.exeがタスクマネージャで見て動いてたらアウト

コマンドプロンプトを起動

dir /od /tw %windir%\system32\*.dll
を入力してenter
(これは拡張子がdllのファイルを最終更新日順にソートして表示するコマンド)

日付が25日以降で????????.dllが4つかそれ以上？有ったらアウトかも
（最終更新日が25日以降の正規dllの可能性あり）

以下不明
NOD32はWindowsUpdate無効化やdll再生成する方のdllは駆除出来ない場合がある？
OneCareもやらないとダメ？
それでもdll系が残り駆除出来ない場合あり？
エラー音が突然鳴る現象がある？

>>775
俺も時々画面に変化無しで「ピッ」て音が鳴る・・・
ウィルスの主要なファイル削除→NOD・OneCareでスキャン・駆除
→dll削除かましたはずなのにﾅｾﾞﾀﾞｰ

>>780
正確にはどっちやっても残骸が残らない可能性はある

ドゥン音が鳴るのは削除しきれてないから。
全て消せてる奴は問題は出ないよ。

逆に残る可能性の方が高いんだよね

友人だから大丈夫って油断があった。

っていっても、友人いない人にはわからんよね

>>785
油断ってか馬鹿なんだろ

エラー音について色々教えてくださってありがとうございました。
やっぱり削除しきれてないのか。リカバリするしかないかな。
外付けHDDはあるのですけどマイドキュメントなど外付けに移して
リカバリして戻したらまた感染なんかもあるのでしょうか。
マイドキュメントかなにかにimgs.exeがあったので（削除済み）
かなり不安です。

OneCareはオンラインじゃないとダメなんだよな？何か不安・・・
NOD32で本体消えてるはずだから問題ないのかな・・・？

ランダムdllが削除できない件
ところで感染してからプロセスにrundll32.exeが出るようになったんだが
終了させてもすぐ戻りやがる

>>787
ファイル個別に適当なフォルダ作って移動
フォルダ毎とか避けて
この程度のウイルス踏むなら
隠しファイルとかフォルダ自体ちゃんと見つけられる環境にあるとは思わないんで
まぁ・・・正直HDDフォーマットした方がいいとはおもうけど
この程度ならリカバリでもいいとおもうよ

>>788
不安ならクリーンインストール
何度も言われてる
不安がって試行錯誤する時間でクリーンインストール余裕で終わる

>>773
無事リカバリできました、ありがとうございます
ですがリカバリする前1GBと表示されていたメモリが0.99GBと表示されてるのですが
これを直す方法はありませんかね？何度もすみません

結局確実に修復するにはリカバリーしかないのか･･･糞ゥ･･･

復元

起きがけの寝ぼけた時間を狙ってくる恐ろしいウィルスだった（ｷﾘｯ

ウイルスバスター対応遅すぎだろ･･あのノートンでさえ・・なのに。
終わってますね。

>>786
馬鹿だから油断するんだよ、天才

>>789
全然削除できてない世それ

そもそもファイル名がランダムなだけでリカバリーする程のウイルスじゃないぞ。

ログ取って調べたりセキュ板のスレに貼ればいい

HiJackThisで
O2 - BHO: (no name) - （中略） C:\WINDOWS\system32\tuvWomKe.dll

ってのがFix出来ないんだが、なんでだ

このウイルスにやらてからなんだがレジストリで削除とかをしてから自動更新ができないんだが
これを治す方法ってどうやればいい？

スレ内ぐらい検索しろよ

スレ内を検索する知能があればウイルスになんて感染しないだろｗ

>>799
Fixしても復活するの？

友人からだけど、ちょっと怪しいなって思って
avastでチェックしたがスルーだったので
実行してしまった／(^o^)＼　最凶クリスマスプレゼントｗｗ

最新のウイルスにかかったのは初めて
やっぱり油断禁物ですね。

>>800
onecareのPCセーフティでスキャンしてこい
ただバスターとかセキュリティソフトも一緒に検出してしまうけど。

>>804
変だなすぐ対応されたはずだが。
対応されるまでの隙があったか。

エロ動画消滅ｗ

で…このウィルス感染するとどんなこと起きるん？
怖くてネットつかえねぇぇから携帯だスマソ

>>796
しかも土日はアップデートなし
つまり対応は来週月曜以降じゃないと対応してくれない可能性が高い

踏んでしまったんだが特になんの症状も出ないのが逆に怖い…

IEで変なページに飛ばされるのの対処は結局どうすればいいの？

実行したらどんな症状がおこるか　まとめ

・メッセンジャーにインしている人にウィルスのダウンロード先URLを貼りつけて送信
・インターネットオプションより、セキュリティタブのレベルのカスタマイズが行われる
　その他-暗号化されていないフォームデータの送信　有効にする　に書き換えられる
　（デフォルトは　ダイアログを表示する　にチェックが入っている）
・インターネットオプションより、プライバシータブの「インターネットゾーン」が一番下「すべてのCookieを受け入れる」に設定される（デフォルトは中）

なんか怖いから明日ヨドバシかヤマダ行ってくるわ…俺の判断は正しいか…？

>>813
正解

>>813
無料のアンチウイルスでおｋだよ

ぃあ…本体データ？みたいなのはその無料ソフトで消去はできたんだ…だが自動更新は無効になってるし…完璧に治った人いるのか？リカバリなしで。

25日の1時過ぎくらいに感染して、ココ見ながら適当に駆除したんだけど
適当にやりすぎて消しちゃ不味いものも消したかも・・・

起動時に毎回
「C\WINDOWS\system32\bmusxpul.dllを読み込み中にエラーが発生しました
　指定されたモジュールが見つかりません」
て出るんだけど、これやばい・・・？

むしろバスターやノートンの方が危険

これってメッセンジャーソフト使ってないんなら感染しないんですよね？

NOD32でも完全駆除は無理そうよ

486 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/26(金) 20:23:46
p://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=157
>>463 IMG455.jpg-www.photo.com を解凍し→ >>465 imgs.exe に感染するとできるファイル群
多数のdllファイル等が生成されましたが、MD5が共通するものだけ抜き出しました。

放っておくと、BHOが組み込まれ、偽セキュリティ対策ソフト（WinAntiVirus2009）ダウンロードページへ誘導されます。

488 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/26(金) 20:32:10
>>486 の続きです。
NOD32　定義3717では0/6
メッセンジャーウイルス感染後にNOD32を入れた人は、exeの駆除はできていても
dll群の駆除ができていないので注意が必要です。

>>817
bmusxpul.dll をレジストリ エディタで検索してキーを削除すればいい。
面倒だから、Sysinternals の Autoruns で >>731 のレジストリ削除すれ。
後、dir /ah %windir%\system32\*.ini* でゴミが残ってる場合があるからそれも削除すれ。

ぶっちゃけ、imgs.exe, fxstaller.exe とか大して問題じゃない。こいつが spc.exe をDLして実行するから
面倒な事になってる。

ttp://www.virustotal.com/analisis/437b764fa9bbb0bd5544dc18d5aa9695
これね

>>821
大手ベンダーが全滅・・・・
その中でバスターが・・・

>>816
完璧かどうかはわからないが、自動更新は有効になる・・・今のところは

NOD32、KINGSOFT、OneCare、Avastのスキャンかけた
何回再起したことやら

自動更新できない奴はためしにRUPERAntiSpywareやってみたらどうだろう
AVGでスキャンした後にこれ使ったら自動更新有効になった
たまたまかもしれんがものは試しに

手動で有効にすればいいだけ

>>821
spc.exeを>>820のアップローダにあげてくれないかのう。
速攻でベンダーに通報しますので。

ごめ、SUPERAntiSpywareな

>>821
直った！ｻﾝｸｽ！

>>826
一応上げたけど、あんまり意味ないと思うよ。
DLする度にバイナリ変わるから。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=158
virus

>>829
とりあえずPandaGlobalProtection2009で検出→隔離できたことを報告しておきます（疑わしいファイルとして検出）

>>829
ありがと。一応ＡＶＧに報告します。
それと検出スレにもはっときます。
これで一連のspcをGenericで検出できればいいんですけどね。

今日の朝にNOD32でトロイ駆除が終わったのでPCの電源を切って
ついさっきPCを立ち上げたばかりなんだけど、まだ完治にはほど遠いな。
立ち上げとほぼ同時に出てくるメッセのサインイン画面が出ないし
Internet Explorerをクリックしても一定時間とは言え反応なかったし。
こりゃOneCareでも導入して再びスキャンするしかないかな。

そういや、タスクからfxstaller.exeかimgs.exeを削除する対処法を
友達から教わったばかりなんだけど、そんなexeは見つからなかったんだ…

>>831
＞これで一連のspcをGenericで検出できればいいんですけどね。
NOD32とNortonは厳しいな、特にNOD32は一度スルーしてしまうとどうしようもない

>>829
avastスルーしたんだけど・・・

>>829
Avira、Panda、Symantec、BitDefender、ESETに提出完了
Kasperskyにも提出しておきます

>>834
これは元のファイルから感染した後のファイルなので感染しなければおｋ

ノートン先生対応来たな

NOD32が完全駆除不可なのは俺も試して分かったけど
駆除可能な分でも、exeと自動実行のレジストリエントリしか消しておらず
なんか中途半端な駆除になってないか？
他で駆除した方が良さそう…

タスク消去、レジストリ削除、ファイル検索して削除、Onecareスキャン
で、dllも全部消えたし自動更新も有効になったんだが
直ってない奴が多いみたいだから不安になってきた

すいません！！
感染して、色々なスレのを試しても自動更新が直らなかったので
onecareのPCセーフティでスキャンしてたらＲＵＮＤＬＬ
って名前の警告小窓（？）で
読み込みエラー発生　アクセス拒否されました
ってのが山の様に出続けてるのですが、これは一体どうしたらいいのでしょう？

エラーでてる場所が問題上がってたwindows\system32のなかなのですけども
該当の物は使用中で削除できませんって言われるんです

アンチウィルスソフトを駆除ソフトと勘違いしてる馬鹿共が日本にはこんなにいますw

ってかこんなにまで時間費やして必死に削除作業行うのはありえないなｗ
普通はバックアップとってあって、数時間程度で元通りになる。
製作者の思い通りだな。

>>841
安価だけつけてやんよ

普段ウイルスなんか感染しないからと鼻で笑ってる奴らだろここにいる奴らの大半は。
オンラインスキャンと体験版使うのに精一杯だからな。
そんな色々いれるくらいならリカバリーしろと

>>844
安価だけつけてやんよ

>>845
まねすんなよ

レジストリ内をfxstallerで検索したら

名前　　　　　　　種類　　　　　　データ
000　　　　　　　 REG_SZ myspacy
001 REG_SZ fxstaller
002 REG_SZ fxstaller.exe
003 REG_SZ imgs.exe
004 REG_SZ imgs
005 REG_SZ mysapacy
006 REG_SZ mspaint.exe

て出てきたんだけど、これってやばい？

ずれたｗ

HiJackThis、ComboFixが使えないNoobは大人しくリカバリしろってことだよ。

http://kissho1.xii.jp/7/src/7jyou17788.zip.html
鍵はkey
俺はこれで駆除できた・・・気がするんだがどうなんだ

一通り削除できたと思ったんだが、rundll32.exeが常駐し続けてるなぁ
この場合はどうすればよいですか？

だめだ、もう俺はリカバリ
あばよ

スッキリ！！！

>>847
はいはいﾔﾊﾞｽﾔﾊﾞｽ

OS再インストールコースいってらー

ダウンローダはブロックと除去できるの多いけど、稼動すると生成される>>829とか、そいつが落としてくる>>820なんかは
全部撃墜できるとこ少ないな。現時点では全てを除去できるのないから、複数のベンダー組み合わせてやるとか
しないとだめだわ。取り敢えず俺も検体提出いってくらー。

OS再インストールコースの方が早いし安全確実。

駆除が完了したゆとり君たちが活発に動き出しましたねｗ

と、情弱が何か言ってますｗ

Macなら感染しないっぽいな

これってファイルダウンロードをキャンセルしたらセーフ？

>>857
ウィルスとかはほとんどWindows向けだからな

ほんとにやばいみたいｗ
NOD32とOne Careはやって、その後もっかいフルスキャンして駆除したのに
レジストリにfxstaller普通にある
消しても出てくる

2008年5月末に公表された、有名な独立検査機関av-comparatives.orgによる新種のウイルスに対する検出能力調査では、総合成績（検知率と誤検知数の少なさの総合評価）で断トツのトップ成績（検知率72％・誤検知数8）に輝いた。
第2位はNOD(ESET)(検知率57％・誤検知数7）。
この2つだけが最優秀ソフトに認定された（新種のウイルスを検知する能力）。
なお、他の主な有名ソフトでは、McAfeeが32％（0）,AVG32％（10）,Microsoft29％（5）,G DATA29%(11),Avast28％(23),カスペルスキー21％（2）,ノートン18%(2),F-Secure6%(2)ほかであった。
なお、（　）の数は誤検知数をあらわす。

>>861
情報古い
ttp://www.av-comparatives.org/seiten/ergebnisse_2008_11.php

>>861
AntiVirのことね。

>>862
それは、未知のウイルスのテストじゃないじゃん。
既出のウイルス検知率だろ。

今回の騒ぎでわかったこと
ソースネクストは役にたたね
サブPCのAvastの方が優秀とか…

>>864
ゆとりもほどほどにね
＞ProActive - Test

ID出ないとなんでも言えるんだなｗ

>>865
ウィルスセキュリティZEROのことか？
それなら実行直後に通信をブロック云々と出てきたんじゃないかい？
そういう警告を無視して許可したんだからもう手の着けようがないバカだよな

F2ブログでこれ取り上げてる人のところから来ますた。

IMG455踏んでしまって実行ファイルまで起動したが、
ウィルスキラーはトロイの木馬と見抜いて削除してくれた。
レジストリも調べたけど、報告されてるfxstallerとかも無かったし、
ウィルスキラーいけるんじゃないかと。

>>859
そもそもマックはexeファイル開けんらしいな…不便杉

>>860
>>820ちゃんと読んだ？

一旦発動させてしまうと、未対応の為除去されないファイルがある。
全部に対応したセキュリティソフトは現時点ではないので、どれで除去しても、必ずどこかに残骸が残る。

どれかが残って稼動している為に、起動する度に再生成されることになる。
消しても消しても、まだだ、まだ終わらんよっつって復活してくる訳だ。
現時点でこれを奇麗に消すためには、OSを入れなおすしかない。

>820に置いてあった検体の検出結果を一応挙げとくとこんな感じ。
(11/39) http://www.virustotal.com/jp/analisis/0968d2c9ffd51806706128d5786b34eb
(12/39) http://www.virustotal.com/jp/analisis/f39e180bbc33af81381d9551539e892e
(9/39) http://www.virustotal.com/jp/analisis/ff133698239993014d3df8ad0e6f2bf8
(7/39) http://www.virustotal.com/jp/analisis/d094fc6b2ffaf7a030f895382f9a8d4e
(4/39) http://www.virustotal.com/jp/analisis/382ee4d0e199b0e5741106ba83e8bf57
(7/39) http://www.virustotal.com/jp/analisis/e9c7322a9f83043475ca5088a035218f

年末年始もシマンテックやトレンドマイクロは仕事してるよね？

>>868
それはダメポなソフト。「ウィルスキラー」の中身は「Rising Antivirus」

ダウンローダの検体送ったら、こんな回答よこす会社です。捨てちまえ。
　>2. Filename:IMG455.jpg-www.photo.com
　> No malware.

多分検知したのは「cbXQgfcb.dll ： Trojan.Win32.VUNDO.cel」と「awtTjgHy.dll ： Trojan.Win32.VUNDO.cel」と
「xxywWpoo.dll ： Trojan.DL.Win32.Undef.cud」の３つだと思うけど、その１ファイルは除去できても、
他がまるっきり残ってるから。

残念だったな。検出して除去しても「他が残っていない保証にはならない」のだよ。

トレンドマイクロは年末休暇ですがなにか？

AntiVirは土日休みだからこの間はアップデートしてくれねぇ・・・・

>>857
ざっと聞いて回ってみたがMacの感染者は見当たらんね。マカーの唯一の強みだな。

おい友人から
foto http://hi5　.eu.com/　id.php?=●●が連続で送られてくるんだけど
これ返信しても相手に聞こえてないのか？

>>872
検知したウィルスは「Trojan.Win32.Undef.vov」ひとつだな。
system32内でIMG455実行した時刻と同時刻に作られたファイルの中で、
特に変なのも確認できなかった。

まあ、ダメそうなソフトではあるが。

>>876
絶対にクリックするなよ！ウィルスだからな！

>>876
聞えない

>>870
そのうちの3つはNortonは検出できるようになってる、ま、全部検知できなきゃ意味ないんだけど
全部検知できるベンダーはいまだない・・・

sleipnirとavast先生のおかげでなんとも無かったが・・・
困ったなこれｗ

>>881
sleipnirだと大丈夫なもんなの？

やべぇクリックしちまったorz
Google Chromeさんは「エラー: このリンクは無効です。」
Sleipnirさんは「Internet Explorer は、要求された Web ページにリンクできませんでした。」
で、DLとかなにもされなかったけど、
これ、大丈夫なの？

>>882
URL送られてきてとりあえず踏んだら
MS-DOSアプリを実行しますか？って表示出してくれたから、なんじゃこりゃって感じで

ダウンロードしなければ大丈夫。

ダウンロードしても実行せずにゴミ箱ぽいぽいすれば大丈夫だぞ

>>737
ありがとうございます！

それと、AVGを試してみたところごっそりトロイなどを消せたのですが、とりあえずはこれで大丈夫でしょうか・・・・？

だめ。OS入れなおせｗｗｗ

いや、発動させちゃった場合はマジに。

ウイルス対策ソフトを、乗り換える場合の各完全削除ツール一覧
http://kaspe.2chv.net/wiki/index.php?FAQ#sf6db04d

＞Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。

って書いてある日記サイトあるんだがIEじゃないと駄目なのか？
サファリとか火狐なら開いても発動しないのかね

ちょっと書き方がややこしいかも。

要するにファイルをダウンロードして実行したらoutってことでしょ。

落としても実行しなければセフなのかな。�d
ウィルス検知されればある意味安心なんだが検知されないと見落としてるんじゃないかって逆に不安になるorz

やじうまwatchは多分連休でお休み中
ギガシンやスラッシュドットも来てない、はてな系もほとんど無し、
痛いニュースにあるわけもないし それほどの規模ではないのか、
それとも特落ちなのか？

消えない３つのウィルスの内、OneCareオンラインスキャンとAVGの最新定義で
一つだけ駆除できた

明日、仕事納めなんで、それ終わったらOS入れなおすか・・・

ノートン使ってる人はシマンテックに積極的に検体提出した方がいいよ
いくつか検体送ってみたが数時間で対応してくれた（私はNorton使ってないのでVirustotalで確認）
恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない、あとは一日単位

>>972
すみません。ヒントとなる場所を見つけたので自己解決とさせていただきます。

一応、同じ被害の人がここにもいるようなので置いときます。

※ウィルス※ Windows Live Messenger で感染!?
http://pc11.2ch.net/test/read.cgi/sec/1185780001/496

同じ被害の人がここにもいるようなので置いときます。
ノートンが素通りさせたので感染したようです。

激しく誤爆

>>859
俺はAviraメインだけど、SymantecやKaspersky、Mcfee、VirusBaster、avastとかに検体送ってる。
今回のIMG455.jpg-www.photo.comと>>820は送ってあるので後は対応待ちだな。

>>898の誤字が酷い件について
それと
×　VirusBuster
○　TrendMicro

ね、VirusBusterだとハンガリーのアンチウイルスベンダーになっちゃうので

NOD32アンチウイルスをインストールしようとすると［1］と出てインストール出来ないのですが、どなたか解決方法分かる方教えていただけませんでしょうか？

昨日感染してこのスレ見つつ色々やってみたが
imgsは見つかったけど、fxstallerが一向に見つからない件
imgsだけ作成されてfxstallerが作成されないってのもあるのかな？

>>899
本当によく見ると酷いな……
安価は>>859になってるし(本来は>>895)。

MSは>>820のやつをssqOHYSJ.dll以外対応したかな？
心配なやつはOneCareいってくればいいかも。

http://www.virustotal.com/analisis/cbaeb34bd36303b125942df8155a11ad
http://www.virustotal.com/analisis/6835c3e0504c1020842a51248942698f
http://www.virustotal.com/analisis/9ba0755a9375d31a100d444d97e8443c
http://www.virustotal.com/analisis/0a296a218bae2ea7fc8dba5373529ec3
http://www.virustotal.com/analisis/8f3e37963609ebab44eb1f1cfa39ad78
http://www.virustotal.com/analisis/e6d31c693f3d3802ab6b89040d123a37

ssqOHYSJ.dllはSymantecかTrendMicroかNOD32使ってりゃ検出する。
その他のがまちまちだから、心配ならやっぱりOneCare逝って来い。

追記>>901

ランダムdllも生成されてないっぽい

>>902
>>820の検体は私も大手ベンダーに提出しておきました（私が送ったベンダーはAvira、BitDefender、Symantec、Kaspersky、ESET、Panda）
Aviraは土日休みだから仕方ないとしてSymantecは最初オールスルーだったのにそこから数時間で4つも検出できたのはお見事だし対応速度も速く好感持てました

以前まではSymantecは検体送っても対応するのは1週間後というイメージがありましたから最近の対応の速さはそのイメージを払拭してくれますね（他にもいろいろと検体送りましたが大体1日で対応してくれました）
逆にガッカリしたのはBitDefender、こちらもいくつか検体送ってますがまだ対応してない検体が多い・・・
一日のアップデート回数は多いのに・・・

今OneCareでスキャンしたら、やっぱりトロイの木馬が出てきたな。
昨日のNOD32で完全に駆除されたわけじゃなかったのか。

onecareでトロイみつかったけど、駆除できませんとかいわれたぜ・・・

>>895
>恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない
そこは間違ってるので突っ込ませてくれ。

月に数回は新種の検体送ってるけど、ノートンが数時間ってのはなにかの間違いかと…って言う位対応遅いよ。
今回は運が良かったのかもね。数時間で対応したんじゃなくて、他の人がもっと早く検体提出してたので
対応までの時間が短かったように感じられるだけ。

最近は返答が１〜２日で来るけど、それも新種は、検知できなかったので人力で解析しますって返答でCLOSE。
実際の対応は、１週間で終わってないとか結構あるよ。マカフィーも、返答はある程度早いけど、新種への対応は
鈍い気がしますね。

本当に早いのはカスペとAvira（AntiVir)。カスペは対応が異様な程早い。
それよりちょっと遅いけどFortinetも早いね。提出してないのはすり抜け多いが。

で、この文面書いてる間に、Fortinet きた。次のアップデートで対応。（※　パターンがアップされるまでは未対応です）
>820と>829の検体提出してから４時間位。今回は早かったな。

The samples you submitted will be detected as follows:
imgs.exe - W32/Agent.AZOB!tr
spc.exe - W32/Agent.AZOB!tr
IMG455.jpg-www.photo.com - W32/Agent.AZOB!tr
awtTjgHy.dll - W32/Dropper.CA!tr
cbXQgfcb.dll - W32/Dropper.CA!tr
ewulmrrn.dll - W32/Agent.AZOB!tr
xxywWpoo.dll - W32/Agent.AZOB!tr
ssqOHYSJ.dll - W32/Agent.AZOB!tr
InstallAVg_770522156649.exe - W32/FraudLoad.VET!tr

カスペは提出から10分位で返答。流石に誰かが先に提出済みだったんだとは思うが。
DLLは無害扱いしてる辺りに疑問が残るけど。

年末だしクリーンインストールオススメする(´・ω・)ｽ

今年のウイルス

>>907

Aviraはカスペより対応速度遅いよ
カスペと比べたら対応にだいぶ時間かかってる印象を受ける、ただAviraにとって最大の問題は土日なんだけど

ノートンとマカフィーは最近になってだいぶ対応が速くなった印象を受けるんだけどね〜
じゃないとパルスアップデートやActiveProtectionが活きないって

RUNDLL
C:\WINDOWS\system32\tuvUNEXp.dll　を読み込み中にエラーが発生しました。
アクセスが拒否されました。

ってのが無数に出てきてｵﾜﾀｗｗｗｗ
もうクリーンインストールしかない・・・orz

あとノートンの場合はSymantecに検体提出してSymantecから返事来るだいぶ前に既に対応してるというパターンもありっていうかこのパターンばかり（Virustotalで確認、2009だったらもっと早く検出できるかもしれない）

>>907
カスペはssqOHYSJ.dll以外はウイルスって言って対応したはず。

ssqOHYSJ.dllはNo malicious code was found in this file.って言われた。

>>913
カスペから返事が来てたのか・・・
となると私の方にはカスペから返事は来ませんね・・・
Panda2009もssqOHYSJ.dllだけスルーであとは疑わしいファイルとして検出だからssqOHYSJ.dllはPandaにとっても白判定なんでしょうかね・・・
Pandaはメールで検体送っても返事が全く来ないからわかりません、ま、返事が来ないベンダーの方が多いんですけど（BitDefenderもavast!も）

Mcfeeからのお返事のコピペ。

5030850 ssqohysj.dll inconclusive null null 12/26/08 No
5030850 xxywwpoo.dll inconclusive null null 12/26/08 No
5030850 awttjghy.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 cbxqgfcb.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 ewulmrrn.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 installavg_770522156 new detection generic downloader.x Trojan 12/26/08 Yes

Mcfeeはssqohysj.dllとxxywwpoo.dllが白って言ってますね。うーん。
これはssqohysj.dllは白なのかな？でも対応しているベンダーもあるし……

>>915
KasperskyもPandaも白と言ってるしssqohysj.dllはやはり白なんじゃないかな？
Aviraにも提出したからあとはAviraの回答待ちですかね

一応、カスペの他のファイルのお返事も置いときますね。

awtTjgHy.dll - Trojan-Downloader.Win32.Agent.axsv,

cbXQgfcb.dll - Trojan-Downloader.Win32.Agent.axsx,

ewulmrrn.dll - Trojan.Win32.Agent.baer,

xxywWpoo.dll - Trojan.Win32.Monder.afwm

InstallAVg_770522156649.exe_ - Trojan-Downloader.Win32.FraudLoad.veti

>>912
対応済みの検体ばっか送ってるんならそりゃ速いよなー
俺は10回ぐらいしか送ったことないけどノートンのは対応遅い印象がある

何年かかっても直らないノートントラップの誤検知もなんとかしてくれないかな

NOD32後、Onecareでも消えないdllあって自動更新も有効に出来なかったけど
ComboFix使ってみたら正常に戻った・・・ように見える
まだなんか潜んでそうだからも一回フルスキャン中・・・

自動更新も有効になるし、ウイルスに掛かってたときのような重さもない
だけど、レジストリでfxstallerを検索かけると、またいくつかヒットする
害はないし、敢えて無視してるけど

NOD32、OneCare、SUPERAntiSpyware、Spybot、ウイルスバスター、手動でファイル及びレジストリ削除を
乗り継いで、ようやく一見元に戻った感じになった
対処としては今のところはOS入れ直しが一番手っ取り早そうだ

どの会社のアンチウィルスソフトがいいの考えるいい機会にはなったなｗ

よく分からない物踏んだり、実行したりする人って結構いるんだなと思った。

IEでなんか偽ソフトに飛ばないし
imgs.exe､これとか見つかんないしfxstallerも見つからないだ
しかも、これってシステムの復元ポイントも綺麗さっぱり消えて、復元出来ない訳だし
俺の場合復元できたってことは感染していない証拠なのかな？

>>919

セーフモードでスキャンして隔離させると削除出来ると思う

>>925
セーフモードでComboFixやったのがよかったのかも知れんな

OneCareのプロテクト スキャン
ttp://onecare.live.com/site/ja-jp/center/howsafe.htm

マカフィー入ってる状態で感染して、5分おきにトロイの削除祭り；；
セーウモードでfxstaller.exeとimgs.exe削除して、再起動で立ち上げて
マカフィーの削除祭りが終わりを告げてくれて、NOD32でスキャン・削除したけど
それじゃ終わってないと知ってすぐにOneCare
ザクザク引っかかったけど、うちは全部消せた。
その後にＡＶＧで問題無かったから大丈夫と信てる…　いや信じたい…

今トロイの検出なし、メッセにも普通にイン出来てエラーもなし。
マカフィー入れてたおかげで、windows\system32に作られるファイル全部
削除してくれたおかげと、セーフモードで作業したのが良かったのかな？

とりあえず、もう開放されたい。これ、マジで；；

スレの進み方的に言って、いままでで一番感染が広まったんだろうなあ。
おれもメッセで広がるタイプには感染した。
ウィルスがメッセで来たことは何回かあったけど、今回は引っ掛かってしまったわ。

>>929
× おれもメッセで広がるタイプには感染した。
〇 おれもメッセで広がるタイプには初めて感染した。

すまん。

urlも疑わないでクリックしすぎだろ・・・ｗ
まず引数として最後に自分のアドレスを持ってること自体・・。

俺の全然話さない知り合いが俺の画像を悪ふざけでネットにばらまいたのかと思ったんだよ！

>>932
うん、えっと、とりあえずだ
そんな話もしない知り合いに自分の画像渡すなっ！
吹いたじゃねーかｗｗｗ

MicroSoftの返答 今朝の9:28。OneCareなら「ssqOHYSJ.dll」以外消せるかも。
他にも未知のもの落とされてる可能性があるので、やっぱりOS再インストールが最適解。

20081226.zip [Container]
+---IMG455.jpg-www.photo.com [VirTool:Win32/CeeInject.gen!J]
+---(SfxCab) [VirTool:Win32/CeeInject.gen!J]
+---imgs.exe [VirTool:Win32/CeeInject.gen!J]
+---ssqOHYSJ.dll [Changes to detection currently undergoing testing]
+---spc.exe [Trojan:Win32/AgentBypass.gen!I]
+---awtTjgHy.dll [Trojan:Win32/Vundo.gen!C]
+---cbXQgfcb.dll [Trojan:Win32/Vundo.gen!C]
+---ewulmrrn.dll [Trojan:Win32/Vundo.gen!Y]
+---InstallAVg_770522156649.exe [Trojan:Win32/FakeXPA]
+---xxywWpoo.dll [Trojan:Win32/Vundo.D]

ssqOHYSJ.dllに関しては、ウィルス本体に使用されるライブラリで、
それ自体はウィルス的活動をせず、実害はないのかもね。

本体削除、バスター、OneCareでスキャン
正常っぽい状態に復帰したけど、ネット接続切ってると
知らんタスク（バックグラウンド）がオフライン作業or再接続を聞いてきた　orz


あきらめて再インスコ　やっとオワタ

クリーンインストールなんか30分で終わるな。
64bit Windows Vista HomePremium SP1で

バックアップとってＯＳ入れなおそうと思うんだけど
このウイルスＵＳＢ感染とかした例ありますか？

>>933
占い好きなやつからだったし、おれのメッセアドで占ったかと思った。
いきなりURL出すようなウィルスみたいな奴だから、開いた。

たぶん今回引っ掛かった人はほとんどがウィルスが出回ってることを知ってた人だと思う。
状況によっては油断するもんだよ。
自分は絶対感染しないとか思わないで明日は我が身と思うべきだなと思う。

明け方にも書いたけど、もう少し簡単に詳しく

セーフモードでスキャンかけると、システムに掴かませて削除出来ないウイルスが削除出来る可能性が高い

他の自己複製型ウイルスもこのタイプのものが多く、マカフィーの公式でも、このタイプはセーフでスキャンすれば隔離出来ると書いてあったとおもう

それとは別にアクティブにならないと検出されにくい物もあるので、こちらは通常起動でスキャンしたほうがいいかも

セーフして自己複製型消してからが一番手早いさばき方と推測してるど、一部消えない＆鬼沸きな人はこの手順で試してみて

最後にワクチン配布されたらウイルス全部消えていても実行すれば、不要に書き込まれたレジストリを戻してもらえるかもしれない

アドレスとファイル名であからさますぎな時点で絶対に引っかからないなｗ
さすがにこれに引っかかるやつはどうかしてる。

引っ掛かるひっかからない言ってるやつはここからカエレ。人間誰にでも間違えはあるんだよ。あんたみたいないっつも家に引き込もってパソやってるやつはそりゃひっかからないだろうな(笑)

そんなにあからさまか？

>>941みたいなのがいっぱいいるから専門家は奔走するんだよな
こういう手合いはウィルス感染して撒き散らしていることにまったく気づかない

ssqOHYSJ.dllの検索結果 2 件中 1 - 2 件目 (0.07 秒)

imgs、fxstallerのexe削除、sys32内のランダム生成dllも消した
レジストリも掃除した

なのになぜか自動更新の警告が未だに出てくる

年末だから気をつけないと第二第三の…。

>>947
そうねえ・・・起動しっぱなしの人はスケジューラで更新したほうがいいね

なんか感染した自分が恥ずかしいな

メッセはずっとつけてるのに、そんなの送られてこなくて逆に寂しい。
全員に送ってるわけではないのね。

友人が感染してないのはいいことじゃないか

つか俺は同じ奴から３回届いたぜ
悪いとは思いつつ吹いた

C:\WINDOWS\system32\rundll32.exe "C:\WINDOWS\system32\byXPIcaY.dll",ShellPath
これはなにー？

>>951
なるほど、
ウイルス制作者→誰か　の他にも
感染者→誰か　でも移るんだもんな。

そしてﾜﾗﾀｗ

で、今回のばい菌はどんな悪さをするので？

・インチキセキュリティソフトのインスコ
・IRC-Botで遠隔操作(何でも可能)

遠隔操作…だと？あと50程で満スレ

遠隔操作というか、指令センターからの指令待ち。
https://www.ccc.go.jp/bot/

25日に落としたIMG〜〜.comと、たった今落としたIMG〜〜.comのファイルサイズが違うぞ！？
ウィルスのバージョンアップでもしたのかなぁ？

今年のウイルス、今年のうちに〜

年末年始は気をつけてね
http://www.antivirushell.com/2008/12/post-37.html

Aviraは土日入るとどうしようもないな
休みのおかげでまったくアップデートしない

どっかでみたO4エントリーだと思ったら今年の初め頃のVundoだった

IMG〜〜.comの中身が
今までは　imgs.exe　だったのが、
今回のは　myspace.exe　となっていました

不確か過ぎる情報になるが、古いタイプの物ならonecareとかだけでも対処できたっぽい（？）

>>963
ほとんど検知せず全滅の状態
ttp://www.virustotal.com/jp/analisis/c23355a77b30e86467723f2689cea033

ちなみにVTではスルーだけどPanda2009でも検出できます

OneCareで今やってるが出てくる出てくる同じ名前のやつがwこれ何時間くらいでおわるん？

>>963
またお寒い検出率。

myspace.exe(4/39)
http://www.virustotal.com/jp/analisis/afb8e49c32fb4bf3fd8d758f61e8c484

IMG455.jpg-www.photo.com(6/39)
http://www.virustotal.com/jp/analisis/9e2f3a26c0eae08fcbb3ef65ec423924

===== myspace.exe(4/39) =====
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J

===== IMG455.jpg-www.photo.com(6/39) =====
a-squared 4.0.0.73 2008.12.27 Backdoor.Rbot!IK
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)

>>966
GDATAがカスペ捨ててBitDefenderを選ぶのはわかるような気がする
でもBitDefenderって一度スルーするとどうしようもないんだよな・・・
その後の対応にかなり時間かかる

ウイルス？そんなもの来ませんでした
だって、友達がいないんだもん・・・

なんでメッセ入れてるの？？？？？？

とりあえずOneCareでセーフモードと通常でスキャンした…これで事が治まればいいのだが…

WIN2000でもいけるのないかな…＿|￣|○

>>971
@niftyウイルスチェック(カスペエンジン)
ttp://www.nifty.com/security/vcheck/

OSの上書きインストールくらいじゃどうにもならなかった・・・

さっきPCショップでウイルス対策ソフトのとこ見てたらマカフィーがWIN2000でもいけますってあった

Spyware Doctorを使っている者なのですが
大体5分毎位に、

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Time

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Count

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Type

が出てきて困ってます。
IMG〜〜.comかかったのが26日の7時なのですが
このスレの最初から割と丹念に見て、
ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
未だに残っている状況です。

スレも最後の方なのですが、よろしくお願いしたいです・・。

うーむ、これ引っかかったやつは不注意すぐるぞ

感染したＨＤＤを他のＰＣでスキャンしても、完全に除去できないの？

>>973
そりゃあ、OS自体は壊れている訳でないから当たり前といえば当たり前の結果だな
根本を削除しない限りもと通りにはならんよ

971です！ありがとう！！がんばってくる!!!
お前ら大感謝だっ（ ´Д⊂

>>975

>>940を試してみて

＞ Spyware Doctorを使っている者なのですが
＞ 大体5分毎位に、
＞ ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
＞ 未だに残っている状況です。
＞
＞ スレも最後の方なのですが、よろしくお願いしたいです・・。

超亀だが俺も>>903と同じ症状だわ
逆に不安になる

>>981
んー、一応クリックはしちゃった感じ？

>>903だけど、自分はクリックして、ファイルも完全に開いちゃったと思う
感染時の症状もあったみたいで、メッセでウイルスばら撒いてたりメッセで話しかけられてもこっちには何も無かったし

わからないので教えてください
クリックしてもいないのに感染する場合ってあるですか？

スキャンってwindowsDefenderでも大丈夫？

>>984
基本的にはそのファイルを開いたら感染。
ただメッセージが来ただけで無視したなら感染してない。

不安なら、fxstaller.exeとimgs.exeでパソコン内を検索してみ。ないなら大丈夫。

>>986
fxstaller.exeは共通だが、今はmyspace.exeが元ファイルになってる

>>986
ありがとうございます。

検索しても見つかりませんでした。
不安になってたので、よかったです。

>>988
本当に全部検索できたのかな？

>>987
なるほど、亜種がもう出たのか…。

>>990
myspace.exe(→fxstaller.exe)
ttp://www.virustotal.com/analisis/c020267decf9bf9f89441c185e1b6503
spc.exe
ttp://www.virustotal.com/analisis/1056be7e99642d1402cb580689027fa6

産地はオランダ。ヨーロッパを中心に流行。

>>980さん
ご意見ありがとうございます。

セーフモードでのスキャンでは残念ながら解決には到りませんでした。
色々頑張ってみようと思います。
次スレになってもまだ無理っぽかったら、状況を整えてまた伺いたいと思います。

よろしくお願いします。

このウイルスの作者は逮捕されるの？

>>993
誰かわかれば逮捕されるかもしれないが、わからないだろうな。
それに作者が住んでる国にもよる。
日本でさえ、ウィルス作成自体を取り締まる法律がない。
この前の暴露ウイルスは感染したらなんかの画像が表示されるから、それの著作権法違反として逮捕せざるをえなかったみたいだし。

これって感染してもメッセでウイルスのURL送られてくるんですか？

やれやれ、感染してなかったよ
こんなのに感染した奴は超絶ド級の大バカだな

1000だったらこれに感染した人みんな完治

1000だったらこれに感染した人みんなカンチ

セックスしよ！

何とか自動更新有効まで辿りついたよトホホ

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。