※ウィルス※ Windows Live Messenger で感染!?
1 :
Steam :
2007/07/30(月) 16:20:01 Windows Live Messenger の知人リスト宛に、メッセンジャーの会話ウィンドウを利用したファイル転送でアヤシいファイル(***.scr)を送りつけてくるウィルスが流行っているようです。 友人の会社では、社内連絡の一手段として Windows Live Messenger を利用しているのですが、あっという間に感染拡大してしまったようです。 感染源は上海の工場という話もあります。 ファイルの受信を拒否、または、受信したファイルを解凍しない(zip形式になっている)、または、解凍してもスクリーンセーバーを実行しない、とすれば感染はしないようです。 2007/07/30 現在、Symantec ではなんのアラートも発していません。 ウィルスとして検出できません。
シマンテックはどうでも良いからファイルをくれ 適当なアップローダに「virus」とパスワードを設定したZIP形式のファイルをアップロードしろ
3 :
Steam :2007/07/30(月) 16:24:59
ちなみに、MSN Messenger も同様の感染媒体となっています。
4 :
Steam :2007/07/30(月) 16:25:41
2 > はいはい
5 :
Steam :2007/07/30(月) 16:26:58
ありゃ、変な番号指定しちゃった。 ごめん。 >2
6 :
名無しさん@お腹いっぱい。 :2007/07/30(月) 18:17:25
7 :
Steam :2007/07/30(月) 18:25:23
>6 確かに。 送りつけてくるファイルの名称は、 ・album00.zip ・image00.zip ・image000.zip ・images0.zip ・photo_album00.zip ・photos2007_00.zip ※それぞれ拡張子前の "0"、"00"、"000" は同桁数の数字。 などを確認しています。 なんてゆーウィルスなんでしょうか?
8 :
名無しさん@お腹いっぱい。 :2007/07/30(月) 18:29:12
IRC BOT NORTON バスター系はBOTをヒューリスティックで亜種検知できないみたいね
脳豚キタ [W32.Mubla.B] と検出。
13 :
名無しさん@お腹いっぱい。 :2007/08/01(水) 14:42:32
俺のところにも先程、ファイルが送られてきてうっかり開いてしまった。 ファイル名はIMG34814 何か知ってますか?
つーか知り合いだからって.scrを何の疑いもなく開く奴がアホだろ…
15 :
名無しさん@お腹いっぱい。 :2007/08/01(水) 15:45:00
まーそーゆーなよ。 人間誰だって間違いはあるさ
間違いの先が大事なんだよね
昨日からWindows Live メッセンジャー公式ページの緊急告知欄にこの事が載ってたな てか大分前からこういうウィルスあるぞ
18 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:18:14
友人が感染してしまったんだがどうやって駆除するんだ…
19 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:27:24
送られてきたけど、「これなに?」と聞いても返事はないし 解凍してみたらscrだしと怪しさ爆発だったので実行はしなかった。 やっぱりウイルスか…。 何をするウイルスなの?まきちらすだけ?
20 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:28:56
これに知り合いが感染したぽ ただ、脳豚は無反応だったらしい 亜種出てるのかな?
22 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:30:51
これじゃないなw
ファイルスキャンしても無反応。 Symantec仕事汁!
24 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:32:47
もし受信してデータを開いてしまったら、とりあえずメッセを再起動しる。 そうしないと他人にデータを送り続ける模様。 定かではないが自分の周囲では再起動した相手から再度送られてくることはなかった。 確定情報ではないので、受信だけしてしまった人でもメッセは再起動した方が無難だと思う。
img1756.scrというファイルで送られてきました ええ、感染しましたともorz
今この時間で書き込んでるもしくは見たという人達は皆お仲間の可能性があるな
25も僕も多分
>>20 の2つ目のものが送られてきたと思う。
英文とファイル名一緒だし
29 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:40:48
感染したらインスタントメッセージの送信ができなくなって
登録してあるメンバーに勝手にデータを送りまくるらしい
でも
>>24 と同じくメッセ再起動したら直ったみたいだ
安心はできんが、とりあえず引っかかったやつはメッセ再起動
>>23 更新パッチ来てるよ。
超重いけどなorz
32 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:43:27
感染したばあいどうしたらいいのTT
41.0 KB (41,984 バイト) MD5:8f8b66e936ba101efc6e3cb5d1dec814
34 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:48:55
997 :名無し~3.EXE:2007/08/08(水) 02:30:16 ID:2w0Rs8Du 開いた奴はWindowsフォルダ直下のimg1756.zipを消せ
スタート→ファイルを指定して実行で「regedit」 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe" これを探して削除 落としたZIPとファイルを削除 おそらくこれで大丈夫
37 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:50:10
Ativir対応してねえ・・
38 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:51:41
だれかこのimg1756.scr実行しちゃうといったい何が起こるのか詳しく知ってる人いない?
39 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:53:46
あ、そうだ。vistaなんだけど、実行しちゃった後で「管理者権限が必要です・・・」とかメッセージが出たから、もしかしてUACかなんかが防いでくれた?
強制リロードみたいなのが始まる と同時に処理が重くなる メッセンジャーオンラインメンバーへ同時に 英文と一緒にimg1756.zipを送信
41 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:54:20
これってimg1756.zip自体は開いてもだいじょぶなのかな? 中に入ってるscr実行すると感染?
42 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:57:51
>>41 大丈夫と思って興味本位で開こうとしちゃいかんよw
img1756.src
45 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 02:59:13
何度も書きこむようなんだけど、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe" が見つからなかったってことは、やっぱりセーフだったのかなぁ・・・
右クリックで「構成」ってのをクリックしてもアウアウwww
47 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:00:11
>>45 開いてないならセーフだと思うが、スキャンとかは怠らないほうがいいとおもう
48 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:00:33
復元したら戻った 明日ソフト買いに行く
MD5ハッシュから酷似ファイル検出ツールないんだろうか・・・
>>33 のハッシュで検索かけたいなぁ
亜種でただパニック招くだけじゃね?
スキャンしても検知しないんだってば
zip開かなきゃ大丈夫なんだが感染した場合はどうなんだろ
これは亜種なのか? Windows直下にファイルが作られるなんてのは無かったと思うんだが
54 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:05:27
うちにもさっき来ました〜>< 今携帯メールでメッセ仲間にメールしまくってます
これ、アウトもしくはセーフだと明確にわかる確認方法ってどこだろう?
他人にファイルを送っているか否か、だね。 送ってなければせふせふ。送ってたら確実にキャリア。
こんな感じ xxxxxxxx の発言 (1:48): look @ this picture of me, when I was a kid xxxxxxxx の送信: img1756.zip(41.1 KB) 承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D)
おそらく今現在ここにいる人たちは全員同じ型のウイルスに感染してそうだが そのウイルスが何らかのセキュリティソフトで検知されたって人はいないのか 新型なのだろうか
メッセージ内容は数パターン確認
Norton先生、トレンドマイクロは沈黙
感染してたらメッセの発信できない。 感染してなければ普通にメッセで話しかけられる。 で、おk?
63 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:08:25
とりあえずマカフィーは検出してくれなかった
今んところwindowsフォルダにzipがあるかないか、が感染の判断基準じゃない?
バスターだがZIP開く前にスキャンして検知しなかった
そのファイル届いた相手とは普通に話してた 複数での会話だったから可能だったのかもしれないけど
67 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:09:34
俺も感染したぜ、多分
>>20 のやつ
一応、怪しいファイル等は削除したけど、まだ完全に駆除できたかわからん
68 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:09:50
>>58 今ノートン先生で絶賛スキャン中。
「検出しました」が1つ出てる
70 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:10:14
パッチか何か入れてる奴は 会話ログを見てみ 会話ログに明らかに話しかけてない奴のログが出来てたり なんか訳分からん英文を相手に送りつけてたら危険
開いても何もせずそのまま削除していれば大丈夫、のはず。
怖い椰子は今日一日メッセを断って、 セキュリティソフトの更新を待つのがベスト。 ぶっちゃけそれしか手は無いぽ。
>>58 ノートンはもう定義ファイルが更新されているようだけど、
なにしろ今さっき出たみたいだし普通の人は定義ファイルの更新間に合っていないだろう
ちなみにVB2007はウイルスチェックしても無反応だった
開いてないから開いたときの挙動はワカンネ
VBの定義ファイル更新まだかなー
ちょwwwwwなんで開くんだwwww
Windows Live Messenger Part 1
http://pc11.2ch.net/test/read.cgi/win/1151079007/ 需要あるかはわからんけど
ここにあったウィルス送信時のメッセまとめてみた
what the fuck, did you see this?
hey man, did you take this picture?
look @ this picture of me, when I was a kid
look @ my cute new puppy :D
I just took this picture with my webcam, like it?
check it, i shaved my head
Avast!使ってるが感染しちまった。 フルスキャンしたが無反応
Avast使ってるけど反応しなかったなー
windowsフォルダの一つ下にSVCHOST.EXE-16C7D411.pfってのができてるっぽいんだが これ癌かな? ぐぐると中文が出てきて困るw
Norton定義更新しても認識しない
>>79 ああ、scrをダブルクリックしたくてうずうずする・・・
>>76 なんかそういうの送って来そうな外人から来たんだよwwwww
まあ友達少ないから感染拡大しなかったんだがな
>>83 やめろ、マジでシャレにならないからやめるんだー
しかし、凄いな ここ見てる奴ら全員、知り合いの知り合いの知り合いの・・・とかって辿って行けるって事かw ノートンで定義ファイルの更新きてるな
>>83 俺もだ・・・
さっきまで感染した友人と電話して、なんであんなの開くんだよwwwwって馬鹿にしてたのに
いざ落ち着いてみると開きたくてしかたない
88 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:16:03
実行してしまったのに、レジストリキーもなければ、Windowsフォルダにzipがない自分が逆に怖いのですが・・・
知り合いからの送信だったから開くつもりだった 複数回、ファイルを送信されて、 what the fuck, did you see this? って発言があって解凍するのを自重した。英語が無かったらやってた
友人から送られてくるから、油断すると開いてしまうんだろうな。
>>90 このウイルスの感染力はそこが源だろうな・・・
知り合いだから大丈夫という安心感から安易に開いてしまう。
俺もそうだけどorz
93 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:17:40
いまこれ消した。 だいじょうぶかな? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
俺も危なかった。友人二人から同じファイルを別々の英語でってとこと、zipの中身がscrってので これはヤバいと思って消したよ。
そんなトリ誤爆
>>89 基本的に解凍まではセーフ
その後実行ファイルを開いたらアウト
.scrなんていかにもなファイルだし、ひっかかるのは素人だけだと思われ
竜ちゃんも感染すると思うな
99 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:19:25
>>90 その通りだったよ
ノートンの試用版落として定義ファイル更新して
復元止めてフルスキャンってのが今のところ最善だと思う
でもやっぱ親しい人からだと意外と開いてしまうよな
解凍だけで感染したって人が何人かいるみたい 詳しい情報求む
現在の状況では亜種まで完全に削除できるソフトは無いのかな? とりあえず出来る事としては、メッセのタイトルを注意を促すタイトルに変更、 その後メッセを落としておくのが一番かな?
>>90 ちゃぱwwwwwwwww
ROもうやってないの?あと廃スレにこのネタ投下してきてもいい?w
知り合いから来るのと、 状況によって英文が来ないでただファイルがぽん、と送られてくる ウィルスとしては失敗なんだろうけど、その無言が最強のカモフラージュになってるw
107 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:21:17
>>103 いや今試用版を落として定義ファイル更新までしかしてないwwww
友人が感染して送ってきたんだけど、自分の名前を 「なんだこれ?」 「再起動してくる」 とかいろいろ変えてるわりにメッセージを送ってこなくてなんだこいつと思ったんだけど メッセージが送れないからそうしてたんだね。 すげー納得した。
src実行して再起動かけたらバスターさんが反応した 直前にパターンファイル最新にしといたが、srcの方はチェックしても無反応だったな
>>101 俺の友人も解凍しただけで感染したっつってたな。
その友達はPCに詳しい(そっち系の学校行ってた)から
ウイルスくさいファイルは容易に開くような奴じゃないわけで
解凍しただけで感染って可能なものなのだろうか
>>105 良いけど、もう覚えてる人居ないと思う。
すれ違いゴメン。
急速拡大中か・・・ 大手が対応しても、定義更新までのラグで結構広がりそうだな
なんかアカハック系だって話を友人が友人から聞いたって話が出てるんだが・・・ どうなんだべなぁ・・・
更新したら違うトロイ発見されたwwww
>>86 >ここ見てる奴ら全員、知り合いの知り合いの知り合いの・・・とかって辿って行けるって事かw
だよな、それはやっぱ面白いわー
メールじゃなくてメッセで感染するあたりがリアルタイムで笑えるな
絶対この中に近い知り合いいるだろww
親しかったのと、日頃相手が簡単な英語で話かけてくるのと、ニコニコの犬猫動画を貼りあう中だったので疑わずに開いてもた。 (メッセージは私の新しいくてかわいい子犬を見てくださいだった) この中でROプレイヤーが知り合いに居るやつどれくらい居る? 俺の周りの感染者全員RO関係者なんだが。
ちゃぱじゃないか! 最近見ないけどどうしたんだ? ちなみに俺はAカセ民。
元ROプレイヤーから送られてきたw RO関係で何かあったのか?
ROプレイヤーが来ましたよ やっぱRO関係でリアルタイムに流行ってるんだな
RO厨は癌スレに帰れw
ROってネトゲ?
取りあえず感染した人で何かやばい事になった人居る? 知人にひたすら英文とファイルを送りつけるだけ?
>>110 無理じゃね?
解凍ソフトのバグでもつかない限りは。
ただ単にこんな時間に起きているヤツがネトゲやってる率高いだけだろ
だからスレ違いだから俺に触んじゃNEEEEEEEE
127 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:27:15
いや感染者はROプレイヤーが多いみたい。 ROつながりの人間にどんどん感染してる模様。
送ってきた相手:たぶん現役ROプレイヤー 送られてきた(つまり俺):元ROプレイヤー 送った相手:関係ない人々(つД`)とROプレイヤーと元ROプレイヤー
ネトゲのわけねーだろカスが RO、つまり「ろ」ってことだよ
普通のzipで解凍だけで感染ってあるっけ? 解凍ソフトのバグでならあったような気もするが
ネトゲから感染てことは、RMT業者経由だろうね
ネットゲー(ここではROとする)でメッセのフレ数増やしたユーザー多そうだし 関係者が増えるのは当然なのかも。
134 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:29:17
すまんAntivir対応してた
フレリストには居ないぞ<ROプレイヤー まあ友達の友達とかなら居るんだろうが
そういえば感染した友人もリアルの知り合いだから忘れてたけどROプレイヤーだった そいつもROの知り合いから送られてみたみたいなこといってたな
.srcクリックしてもantivirが対応してくれたんだが
FWが反応してくれなかったら俺もやられてたなあ。。。
こっちは自分はROやったことがないが友人が元ROプレイヤーだった
くっそJuneめ・・・
やるなantivir ノートン先生と競合しない?なら導入してみたいところだ
>>110 つまり、そのPCに詳しい友人は、
間違って実行してしまい、
とっても恥ずかしくなって誤魔化すために「解凍するだけで〜〜」
だと可愛いな。
144 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:34:49
avastはどうよ?
友達がときめもオンライン界隈で感染拡大を報告してきてワロタwwwwwwww
ROで知り合った人から来るなwもう三年も前から話してないし消せばよかったw
もうここまできたら〜〜界隈とか関係なくね 全然違う集いの人間3人から来た
ROってRedOrchestraかと思った
>>144 少なくとも1時間ほど前受信して、スキャンした時はまだ無反応だった
この時間に起きててこんなスレを見ている連中が たまたまネトゲユーザー率が高かったってだけじゃ
>>144 更新日時8/7だしZIPスキャンしても反応なかったよ
153 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:37:27
人生オワタ
AntiVir落としてるんだけどすっげ重い
もう知り合いの種類関係なく感染しまくってるよ 共通するのは全員アホっぽいところだな
つかファイル送信来た人間から 「友達がかかったっぽいから気をつけて」といわれたんだが そいつもかかってるはずだよな
ちなみに今問題になってるファイルは
>>6 のファイルじゃなくて
>>79 のファイル
159 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:39:28
>>156 送信きてるならそいつもかかってる。ガチで。
「解凍しないように」なんかは事前に止める為の警告だろうな それが「解凍するとまずい」って誤解されたんだろ思うぞ。 .srcを実行する直前まで行かずに 受信を断ればそこで解決する問題だしな
>>79 ついさっきの更新でKaspersky反応するようになった
162 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:41:43
scr実行するとどこに何のファイルが出てくんのよ。それ削除すりゃいいじゃない
>>142 Antivirを非常駐にすればいけるんじゃない?
>>143 専門者より割れ屋とかの方がよっぽど詳しいし慣れてる。
exe、src、 comはウイルスの可能性が高いってnyで覚えたから大丈夫だった やっててよかったny
>>157 >>159 優しすぎて涙でてきた
すでにそいつ寝てるんだが名前見る限りでは今はもう気づいてるっぽい
明日確認してみる
とりあえず現在の情報としては antivir 対策済み?ただし劇重 脳豚 更新ファイルup済み avast 乙。 Kaspersky 更新で反応 という事でおk? 追伸 感染された方は使用しているウィルス対策ソフトと、 駆除できたかどうか報告お願いします。
gifにきをつけろよおまえら
久々に連絡取れないかとメッセたちあげたいけどやっぱやらない漏れが来ましたよ
>>143 窓だってjpgとかmpgとか勝手にプレビューするしどこで実行されてるかわからないぜ?
Norton (virus.def: 2007/08/07 rev.18) 無反応
>>165 俺が居る
nyやってなかったら危なかった元ROプレイヤー
172 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:46:35
>>168 gifより偽装jpgの方が怖い
癖で復元しようとしてしまう
感染してるやつにMSNメールして そいつは見れるのか?
174 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:47:25
norton: 8/9 rev9 でファイルに反応しません。 さすがノートン。
ノートン先生はすばらしいな
バスター無反応氏ね
177 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:48:23
使用ソフト :McAfee Managed Total Protection 定義ファイル:5091.0000(2007/08/06 12:37:42) 状態 :スキャン中。 scrファイルの削除とメッセ再起動により送信は停止した模様。 その後レジストリの削除も行った。
結局ノートンは対応してるのかしてないのか
カスペルスキー 削除はしたみたいだが駆除はできなかったらしいが大丈夫なのかこれ
バスター感染後再起動したら偽装svchost駆除してくれたぞ
181 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:49:23
してそうでしてない
182 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:49:43
削除するにはファイル削除とレジストリ削除だろ? レジストリは削除したが、ファイルはどれを削除すればいいんだ?
>>183 おまえスパイウェアのすべてが悪いものとおもってね?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe" レジストリはこれ削除でおk?
>>179 ファイル自体がウイルスだから削除でおk
188 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:52:07
>>183 おまいさんそんな事言ったらJ-Wordやグーグルツールバーもスパイウェアになるんだぜ?
>>169 あぁ分かってる。ただそうだと可愛いな、と思っただけです。
ちょっと挑発っぽかったな。すまん。
>>182 WINDOWSフォルダ直下にsvchost.exeが隠しファイルで存在してる
作成日時だか更新日時だかが感染した日時(つまりここ数時間前)になってたら消す
俺の場合は日時が今日の午前2時になってたから消した
>>188 どう考えてもJ-Word入れる奴アホだろ
J-Wordはウィルス
193 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 03:53:54
Norton先生は夏休みなので、削除機能は休暇中です。 ということでおk?
>>191 PC初心者にありがちな事
J-Word標準装備
一日一回はエロ画像、エロ動画閲覧しようとして脳豚先生激怒
俺もウィルス
AntiVir検出できた 「WORM/Sdbot.41984.42」
いやまてよ・・・つまりウイルスがウイルスってことだな
ノートン反応するぞ。 ちなみにレジストリ削除しても上手く隠れてることがあるので要注意。 それをノートンがさっき感知した
おちつけwwww
とりあえずzipきてもDLしてなかったらおk?
>>203 zipの中にあるscr実行しなければおk
リアルにもネットにも友達がいない俺には関係ない話だな・・・
デスクトップのscrファイルが使用中とか出て消せない
>>206 お前の友達ならこのスレの住人がいるじゃないか!
>>206 エロサイトいって引っかからんようにな・・・
212 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:01:28
213 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:02:15
寝るけどお前らがんばれよ
vistaは問題ないっぽい・・・? 実行はせずに、勝手にサムネ表示してただけだからなんとも言えないけれども
>>211 たぶん今はやってるのはこれで間違いないっぽいなぁ
なんかファイル名ちがくね?
218 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:06:48
>>211 情報公開日: 2007/07/30
ってことはこれの亜種って感じってことでいいの?
219 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:07:00
>>211 のはimg1756.scrの人とは違うやつ
亜種っぽいね ファイル名からしてimg○○○○.zipで数字4桁だし
WORM_IRCBOT.ADU ウイルスサイズ: 116,736 Bytes ここですでに違う 41,984 Byteだ
222 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:07:45
223 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:08:13
いろいろ出てくるな。
>>222 感染するのか・・・サムネ表示だけだったら問題ないってことだね
亜種だな。 書き込むレジストリの位置が違う。
230 :
211 :2007/08/08(水) 04:10:24
>>219 ごめん。
>>6 で検出実験した。
さて、乗り換え先のソフトは何にするかな、と。
231 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:10:59
スクリーンセーバーに差胸表示なんてあったっけ?
233 :
211 :2007/08/08(水) 04:13:17
ごめん。
>>79 に出てたのか。気付かなかった(´・ω・`)
あい。まだ VB2007 未対応です。
234 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:13:27
ノートン試用版→liveupdate(最新になるまで)→
>>79 (俺かかったやつ)検出不可
えー
235 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:14:22
236 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:14:51
img1756.zip うpったほうがいい?一応開かないである。
238 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:16:01
にしても心臓に悪い 登録してる奴数名から同時にこのファイルが送られてきて何事かと思った
240 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:18:11
感染した人が一人送り始めるとほかの感染者からも同時に来るな。 タイミングがいいだけなんだろうか。
感染したはずなんだが該当するレジストリが見当たらないなぁ ファイルは消した
>>240 時間決まってるんだと思う
俺も送られて来たタイミング同じだから
該当するレジストリはあったんだが、更新日時を見ずに消してしまった。 再起動したが一応挙動に変化なし。 サインインしてみたらファイルを送る様子はない。
244 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:21:32
バスター乗り換え検討するか。まだ8ヶ月も更新期間残ってるけど(´・ω・`) ところで、ウイルスって送信側は自分が送ってるかどうか一目でわかりますか?
俺の場合は窓が多数開いて6人くらいに一斉に勝手にファイル送ってた。 速攻サインアウトしたが。
AOLのフリーアンチウィルスソフト「Active Virus Shield」はどうやら対応済み。 わざとひっかからせて検索かけると見事にみつけてくれた。 Trojan program Backdoor.Win32.SdBot.aad File: C:\WINDOWS\img1756.zip\img1756.scr Trojan program Backdoor.Win32.SdBot.aad File: C:\WINDOWS\svchost.exe とのいう名でHITしましたよ、っと。
248 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:26:14
>>245 フレンド登録が多いと送信がいっきにされるためにフリーズした状態になるらしい。
送信にすぐ気づいた人は強制終了して全員には送信されなかったとか。
数週間前に後輩から話を聞いてたからよかったものの 知らなかったら開いてただろうなぁ
メッセ経由のウイルス自体は昔からあるぞ
- WORM_SDBOT.41984.42 - 41.984 Bytes MD5: 8f8b66e936ba101efc6e3cb5d1dec814 症状: 次のファイルを投下して実行 %SystemRoot%\a.bat %Windows%\svchost.exe %Windows%\img1756.zip レジストリエントリを作成 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe" 例: xxxxxxxx の発言 (1:48): <下記メッセージのいずれか> xxxxxxxx の送信: img1756.zip(41.1 KB) 承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D) メッセージ内容: ・what the fuck, did you see this? ・hey man, did you take this picture? ・look @ this picture of me, when I was a kid ・look @ my cute new puppy :D ・I just took this picture with my webcam, like it? ・check it, i shaved my head
253 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:29:05
255 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:30:25
vistaでUAC有効ならscr実行しちゃっても大丈夫なの?
あー直りんしちまったすまん
257 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:31:41
>>255 へたにやらないほうがいいんじゃない?
Vistaで感染したひともいるんだし。
>>255 Administratorに昇格させなきゃOK
img1756.zipもろもろ削除、レジストリ削除した後メッセ起動したら送信されてしまった。 Windows再起して、おそるおそるインしたら大丈夫だった。 もう大丈夫かな?
260 :
247 :2007/08/08(水) 04:33:00
>>254 どうなんだろう、完全に定義把握してるわけじゃないのかもしれないね。
けど少なくとも、大感染起こしてる「img1756.scr/svchost.exe」の2つは見つけてくれました。
とりあえず報告をしてみたとです。
>>252 一応実際にantivirで駆除した時の名前と症状を
現在の情報でまとめたものです
>>259 送られるタイミングが同じだって事を考えると、安心できない?
263 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:35:45
>>257 すでに実行してしまいましたorz
なんか管理者権限がどうのこうのっていうメッセージが出てきた
>>262 つまりは
%SystemRoot%\a.bat
%Windows%\svchost.exe
%Windows%\img1756.zip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
を削除したらひとまず安心って事かな
265 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:36:30
絶対にさせるなよ!
>>263 そこで管理者に昇格させるとwindowsフォルダのアクセス権限を与えてしまってシステムが改ざんされる恐れがある
管理者権限無いと他のプログラムの処理にも割り込めないんだっけ?
a.batがみつかんねー svchost.exeはみつけたんだけどな
レジストリと元ファイル削除しても転送しようとしたんだが メッセ再起動してなかったんだがそれかね?
270 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:50:06
>>268 俺も。windowsのimg1756.scrとレジストリはいたから消したのだけど
他のは見つからないから諦めてantivirインスコして今更新中。
便乗して英文と共にエロ画像詰め合わせ送ろうぜ
>>264 そのどれも見つからなかったんだが、感染してないってことなのかなぁ
ご丁寧にダブルクリックまでしてやったんだが
Vistaなら平気
274 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 04:57:33
別のディレクトリにsvchost.exeがあるけどこれは無関係? 更新日時が8月4日になっとる 感染したのは今日。
%SystemRoot%\a.bat はセキュリティセンターサービスの停止のため一時的に作成&実行されるんだと思われ。
svchost.exeは色々あるからむやみに消すと…
>>274 16 名前:名無し~3.EXE[sage] 投稿日:2007/08/08(水) 04:40:10 ID:fUDzskwv
普段からタスクマネージャをチェックしてる奴なら分かると思うが、
svchostは元々システムに必要なものとして幾つか存在している。
今回のはそれに偽装しているウイルスの一種だから、
svchostがあればウイルスだと勘違いして全削除してしまうと大変なことになるぞw
278 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 05:00:52
VistaでWindowsフォルダ内にimg1756がないって言っている人。 C:\Users\<ユーザー名>\AppData\Local\VirtualStore\Windows 内を見てみなさい。 でも、 Vistaなら実行しちゃっても大丈夫なんだよな。 Vistaなら実行しちゃっても大丈夫なんだよな。 Vistaなら実行しちゃっても大丈夫なんだよな。
>>275 なるほどな
ならとりあえず様子見しとくか……
俺はsvchostはプロセスチェッカーで偽者ぽいのを見つけたぜ
一つだけwindows直下にあってアイコンがスクリーンセーバーになっててワラタ
281 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 05:05:09
ばーか ばーか ばーか ばーか ばーか
282 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 05:05:53
ていうかどうやってメッセンジャー乗っ取って変なメッセージとかファイル送るの?
>>282 別にメッセのっとるなんて大それたことをしなくても
ただ起動しているメッセに向かってメッセージとファイルを送信するように命令すればいいだけ
具体的にどういう命令をとかどういったプログラムをとかまでは俺にはわからないが
おまいさんも別にそこまで知りたくはないだろう
一瞬窓開いて閉じるのがみえるよ。 コマンドプロンプトからうごかしてんじゃね?わからんけど(´・ω・`)
285 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 05:09:43
>>283 いや、何か原因のファイルがあって、それ削除すりゃ何も問題ないのかと思って
原因のファイルからOSのレジストリに侵入して命令を書き換えてんだから、 侵入された後にファイルだけ消しても意味は無い。 まあ散々過去ログで出てる話だが。
287 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 05:32:56
ノートン反応しませんね 感染したら反応しますよ いみねえよ(笑)
綺麗に消せればレジストリくらい残ってても無問題
AntiVirで検出しなかったから検体送ってみたわけだが 漏れが送ったころにはすでに対応された後だったのかorz 相変わらず平日だと時間に関係なくこまめにうpだてくるよなあ 昨日の夜9時ごろにうpだてした定義だと検出できなかったのにorz
antivirアップデートしてzip解凍してみたらもう対応してるワロタ
Norton AntiVirus2006対応してねえええwwwwww もうっ早くしてくれないとダブルクリックしちゃうぞっ
しろよ
社会人スレですねここは^^
色々消してから
>>264 のチェックしてみたらRUNから先のがなかったんだけど
これって消えてるってことでいいんかな
安心していいんですかね
もし zip名がimg1756.zipでなく、「良質scr」で ファイル名が「ニコニコ組曲.scr」とかだったら被害は10倍だったろうなw
何でこんなにレス付いてんだ?w びっくり
297 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 11:10:30
>>282 メッセのプロトコルは解析されていくらでも情報あるし
MSG.pmとか使えばPerlからでも接続できるぞ
298 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 11:11:33
感染後の対処方法まとめ 1. 感染したらLANを引っこ抜く 2. レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Genuine Logon の削除 3. 念のためにWindows再起動 4. 必要無いと思いますが、システムの復元を無効化(_RESTOREにあるファイルを削除する) 5. C:\WINDOWS\svchost.exeの削除 6. C:\WINDOWS\img1756.zipの削除 7. 必要無いと思いますが、Windows再起動 8. 4を実行した人は、システムの復元を有効化 9. アンチウイルスのソフトウェアを全て最新にする 10. 全スキャンを実行する 11. 全スキャン中は暇なので、反省の意味をこめて首を吊る 以上でおk?
299 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 11:13:03
吊ると家族に迷惑かかるから、樹海へGO
300 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 11:32:55
寝てる間に来てた調べたらここにたどり着いた しかし、相手がオフラインでもう受信できなかったw
301 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 11:39:21
とりあえず>298の通りにやって11まで来たわ しかし、数人に送信済み+見事全員に感染したらしい ∧||∧ ( ⌒ ヽ 今まで ∪ ノ 生きててごめんなさい ∪∪
302 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 11:40:11
VB2007はまだ対応してなさげ。 はやくしてくれ('A`)
303 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 12:06:29
>>1 そのウイルスのサンプルを、www.virustotal.comという機関サイトにアップロードして、
どこのアンチウイルスソフトが検知できるか調べられた結果画像。(検知名は赤字で記載)。
Symantec(ノートン)検知名:10 W32.Scrimge.A
AntiVir 7.4.0.57検知名:Worm/Sdbot.41984.42
BitDefender 7.2検知名:Backdoor.Sdbot.AUX
Ikarus T3.1.1.12検知名:Backdoor.SdBot.AUX
Kaspersky 4.0.2.24検知名:Backdoor.Win32.SdBot.aad
Webwasher-Gateway 6.0.1検知名:Worm.Sdbot.41984.42
Microsoft製アンチウイルスやAhnLab-V3やNOD32などは、
まだ検知できない状態なのでご注意。
関連スレ
http://pc11.2ch.net/test/read.cgi/sec/1181834645/
304 :
303 :2007/08/08(水) 12:09:16
305 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 12:09:32
>>302 トレンドマイクロに、検体を送らない事には、対応されないよ。
友人が感染したといってきた 俺にはファイル来てないけどね
バスターさんにパッチきましたね
スレタイが Live Messenger になってるけど、MSN Messenger と Windows Messenger も 同様に感染すると考えていいんだよな?
WINDOWS直下でなくてシステム32の中にsvchost.exeがあるんだけど('A`) ちなみに更新日時は8/5感染したのは昨日の夜。 削除しようとしたらディスクがいっぱいでないか(ryってでるんですけど、これってもしかしt
>>310 いまカスペルでスキャンしたらウイルス検知しました
検知しました: トロイ Backdoor.Win32.SdBot.aad ファイル: C:\WINDOWS\svchost.exe
更新日時が感染時刻と近かったら消してもいいと思うけど 自己責任でお願い 俺は消したよ
追記:システム32のは無罪だったようです。 コエー
svchost.exeは普通はシステム32かDLLキャッシュの中にしか存在しない タスクマネでいくつも起動してるようにみえるけど全て一つのファイルのはず
Vistaはどうなん?
vistaは大丈夫とか上で言ってるよ、よく分からないけどさ ところでウイルスバスターのアップデート来てたけど、検出とかされるようになった? 自ら感染とかzip入れるとか怖くてできないっすよ
>>317 .scrをスキャンしても無反応だった
開いたときの動作は勇者に任せる
スキャン無反応→開いても無反応
320 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 14:35:05
ワーイ! 僕らの夏だー ∧_∧ ∧_∧ ∧_∧ . ∧_∧ (´∀`/゙) (´∀` ) ((´∀`/゙) ( ´∀` ) と 〈 ⊂) つ ヽ, 〈 と つ (⌒゙ ,,ノ) ( 、 ノ) ヽ (⌒ノ) ( (_) `ヽ,_,) し'"し' l,_,ノ し'"´
322 :
sage :2007/08/08(水) 15:17:42
>>318 WINDOWS直下に作成されたsvchost.exeにも無反応だった。
ageてしまった
MEの俺はなんともないぜ。
俺も朝方やられたが、受信するときはノートン先生全く反応無かったな
よくファイルの送受信する相手と話してる最中だったからうっかり
img1756.zip削除→スキャン→ウイルス発見→削除
やったら
>>264 はなかった
履歴見てみると、最初は低レベルで問題なしってなってるが
リスク高レベルって1分後に変わってるw
俺のとこのは、W32.Spybot.Wormだったな。
役に立つか分からんけど、一応情報ってことで
>>295 sm17566.zipとかw
メッセ\(^o^)/
329 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 22:16:35
>>303 NOD32に頼っていたら、思いっきり感染していた・・・・。
( ;∀;)
他の製品の体験版で、やっと駆除できた。
これに感染した人は一度ウイルス対策について勉強した方がいいと思うよ 対策ソフトのせいにしないで(そりゃ対応早い方がいいが・・・)
>329 つ 検体を送る
うちは添付ファイルの名前が違う。 pictures07-01.zip 亜種??
知り合いからファイル送られてきたんだが 人妻.zipだった。 これもアウト?
うp!
俺が鑑定してやるから うpよろしく
336 :
名無しさん@お腹いっぱい。 :2007/08/08(水) 22:53:20
>>330 そういわれましても頻繁にメッセしてた友達から来たものでして、、、
>>336 俺もそうだった
ウイルススキャンしても反応無いからついつい開いてしまったよ
>>336-337 ・突然英文のメッセージ
・拡張子がscr
(突然スクリーンセーバーファイルを送ってくるなんて不自然極まりなく、またscrはウイルスでは定番)
・相手に返事をしてもウイルスのせいで反応が戻ってこない
これだけの条件が整えばキチンとした知識があれば泥酔してても開くか微妙ってとこだろ
この程度のウィルスで助かったというのが内心。 ああ、でも送信された人にはすまねぇ('A`
自分の対応の甘さは死にたくなる ウィルスのことちっとは勉強しようと思うようになった ここで紹介されている駆除方法を試した後、感染源の人が 「このウィルス自己増殖するよ。俺は25箇所やられてる」 「レジストリとファイル削除しても本体はどこかに居る」 「ネットで情報が上がってる奴の亜種でもっと凶悪」 って言ってるんですけど電波認定していいんですかね?
感染源が何言っても説得力がないからなぁ・・・ まあ自分も感染してるならどっちの意見も怪しいがw
>>339 英文れば怪しさ爆発なんだけどな
俺の場合、無言でファイルだけ送られたんだよ
狩り中でバタバタしてたときだったからとりあえず受信だけして
終わったときにはもう送り主はいなかった
送り主は俺がゲームしてることが多いのわかってるから
たまにそうやって無駄口叩かずファイルだけ送ってくることがあるやつだったし
今度もそれかと思ってたorz
ROなんてそれこそMMOBBSに専用スレがあるくらい アカウントハックが盛んなのに、よくもまぁホイホイ踏むもんだ。
346 :
sage :2007/08/09(木) 00:49:01
なんかメッセで流れてるの二種類あるみたいね。 危険なやつと危険じゃないやつ。
>>346 危険な方の奴には、まだ対応してないらしいよ。
メッセージ付きのやつと メッセージ付きじゃない(無言の)やつ の二種類ならわかるんだが危険なやつってなんだ?
バスターがいまだに無反応な件 ちょうど今月で期限切れるし、乗り換えるならどこがいいかな?
バスターからなら何でもいい気がする。
>>336 ・突然英文のメッセージ
日頃から英文のメッセージをたまに混ぜて送ってくるやつだった
・拡張子がscr
スクリーンセイバーのやり取りもよくする中
犬猫動画のやり取りよくしてたからpuppyの字に反応して開いてしまった('A`
AVGは対応してる?
リア友がこれに感染してたからメッセ禁止したら電話かかってきて泣かれた
ネット禁止といって反応を楽しめ!
358 :
名無しさん@お腹いっぱい。 :2007/08/09(木) 11:36:17
つうかなんでもクリックするかw
別に感染してたからって禁止にするほど害は自分にはないだろwwww
バスターさんにアップデートktkr 勇者様コテンパンにしてくだせえ
バスターコネ━━━━━━('A`)━━━━━━ !!!!! 8.5.1002/4.639.00
最新は/4.641.00だぞ
キタワァ*・゚゚・*:.。..。.:*・゚(n‘∀‘)η゚・*:.。. .。.:*・゚゚・*!!!!! すまね。アップデート途中で確認していたらしい orz
ドンマイw
366 :
名無しさん@お腹いっぱい。 :2007/08/09(木) 23:36:21
バスターあまりにもこないから検体送りつけておいたんだけど 連絡ナッシング。バスターに対しての評価ががた落ちしています。
英語嫌いでローマ字自体見るのも憎たらしいと言っていた 友達から来たので開かなかった
369 :
名無しさん@お腹いっぱい。 :2007/08/15(水) 13:30:25
2007 年 8 月のセキュリティ情報 公開日: 2007年8月15日 MS07-042 : Windows の重要な更新 MS07-043 : Windows の重要な更新 MS07-044 : Excel の重要な更新 MS07-045 : Internet Explorer の重要な更新 MS07-046 : Windows の重要な更新 MS07-047 : Windows Media Player の重要な更新 MS07-048 : Windows Vista の重要な更新 MS07-049 : Virtual PC および Virtual Server の重要な更新 MS07-050 : Windows の重要な更新 Top of section このセキュリティ情報は、2007 年 8 月に公開したセキュリティ情報の一覧です。 2007 年 8 月のセキュリティ情報の公開により、2007 年 8 月 10 日に公開した事前通知をこのセキュリティ情報に置き換えました。 事前通知サービスの詳細については、「マイクロソフト セキュリティ情報の事前通知」をご覧ください。
avast!
>>79 をダウンロードしたら
Win32:Sdbot-4892 [Trj]で検出した
今AVGアップデートしてスキャンかけたら引っかかった。
374 :
名無しさん@お腹いっぱい。 :2007/10/04(木) 19:33:37
なんか上と同じようなかんじでひっかかったtanya19.zipとかいうのが カスペルスキーでスキャンできなかった。
375 :
名無しさん@お腹いっぱい。 :2007/12/17(月) 02:43:36
>>332 俺も同じようなファイルで着たな。
ちくしょう!!!
メリークリスマスに亜種出現 Chirstmas-2007.zip 中身クリックしちまったぜ・・・('A`) バスターすり抜けて感染しt
そんな露骨に怪しいファイルに触れるな・・・
>>376 >Chirstmas-2007.zip
俺もまったく同じだわ・・・。ノートン無反応。
ちょうど友人とメッセ中だったんでうかつだった・・・。
379 :
376 :2007/12/26(水) 21:15:46
いろいろサイト調べてなんとか削除成功したっぽい。 安全の確認が取れ次第、レポします。 しばしお待ちを。 ただし、プロではないので自己責任で消して下さい。
380 :
名無しさん@お腹いっぱい。 :2007/12/26(水) 21:57:08
376とは違う者だが、対処完了、大体の流れ書いておく。 "ChristmasImg2007-12.zip" W32.Scrimge.Aの亜種。トロイ。 ----------------------------------- @システムの復元をオフにする A自動Runキーの削除: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 以下にある "svho.exe" "Msnmsgr.exe" を削除 後者はマイクロソフトの署名が無いため本物と見分け。 B本体の削除: WINDOWSフォルダ:"ChristmasImg2007-12.zip" System32フォルダ:"svho.exe" 後者は 隠しファイルを表示するにチェックしていても表示されないため、 適当な0byteのファイルを作って"svho.exe"とリネームし、 System32フォルダにぶち込んで上書き後、削除するといい。 C再起動後、暫く様子見て大丈夫ならシステムの復元をオンにする。 ----------------------------------- キー名はスペルちょい違うかもしれん。 自己再生するんで全部根こそぎ排除しないと駄目だったわ。
381 :
名無しさん@お腹いっぱい。 :2007/12/26(水) 21:58:10
すまんミス。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 以下
382 :
376 :2007/12/27(木) 00:20:59
>>380 もしかするとCドライブ直下に同じ作成日時で01ASetup.exe、a00000.exe、st.exeなどは生成されてなかった?
怪しいファイルなんだけどそれらも消してしまった方がいいかも・・・。
それと私の場合、最初に
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ryan1918="servidevice.exe"
があった。
これも消した方がいいみたい。
どうやらryan1918="servidevice.exe"が動き出すと
>>380 のようなファイルが生成されて
>>380 のとおりの対処をするしかないみたい。
このウィルス結構やっかいかも・・・。
ちょっと文の意味分かりにくくてごめん。
うまくまとめずらい。
どう探してもryan1918="servidevice.exe"っていうのが見つからない。 他のは全部消せたんだが・・・
>>383 それ、見つからないって人結構いるみたいだね。
推測なんだけど自己展開して消えたのかなーとか思う。
385 :
4925 :2007/12/28(金) 13:34:32
"ChristmasImg2007-12.zip" を削除したら次は New-Year2008-imgaes.zip というファイルが WINDOWSフォルダに作成されています。
386 :
名無しさん@お腹いっぱい。 :2007/12/28(金) 17:14:44
New-Year2008-imgaes.zip が送りつけられてきた。 回答して、scrファイルが現れ、ちょっと怪しいと思ったものの、右クリック->テスト をしてしまいました。対処方法をお願いします。
387 :
名無しさん@お腹いっぱい。 :2007/12/28(金) 17:59:18
ぎゃーす!俺もニューイヤーやっちまった!380さんや376さんのクリスマスと 同じようにやろうとしたものの、発見できず・・・ 奴は何をしでかすものなのでしょうか・・・?
388 :
名無しさん@お腹いっぱい。 :2007/12/28(金) 18:11:35
少なくとも WINDOWSフォルダ に New-Year2008-imgaes.zip ファイルが あったので、それは削除したんだが。それ以外はまったくもって不明。 アンチウイルスソフトも反応しないし。新しいウイルスなのかな。 2,3日のうちには定義ファイルが更新されるんじゃないですかね。
389 :
名無しさん@お腹いっぱい。 :2007/12/28(金) 19:45:41
俺もニューイヤーっちまった ウインドウズファイルの保護 ウインドウズを正しく動作させるために必要なファイルが、 認識できないバージョンのファイルに置き換えられています。 システムの安全を維持するためにこれらのファイルを元の バージョンに復元する必要があります ってエラーメッセージが出るようになったorz
ニューイヤー開いたけど削除方法全てそのファイルが見当たらなくて削除できないな
>>385 ChristmasImg2007-12.zipやられたんだが、
New-Year2008-imgaes.zipはどこにも見当たらないのは自分だけ?
ちなみにChristmasImg2007-12.zipは380さんのやり方で削除済みです。
392 :
名無しさん@お腹いっぱい。 :2007/12/29(土) 00:04:59
380さんのやり方で " servidevice.exe""Msnmsgr.exe"は消せたんですが "svho.exe"が見当たりません>< ChristmasImg2007-12.zipが消してもやはり生成されます。 system32のほうのsvho.exeも上書きされませんでした。 どっかに対処法ないですかねえorz
393 :
名無しさん@お腹いっぱい。 :2007/12/29(土) 01:50:33
うーん、厄介なもん踏んじゃった・・・ これ、なぜバスター系が反応しないんだろう・・・
俺もNew-Year2008-imgaes.zipやってしまった 情報無いからどうしていいのかわからん・・・
同じくやってしまった 情報出るの待つしかないかな〜
>>393 昨日今日にばら撒かれたモノだけに…
今ごろは解析&定義ファイル更新作業頑張ってると予測。
ええ踏みましたよ('A`)
とりあえず送信してるような素振り見せた瞬間
急いでタスクマネージャ開いて怪しいファイル(msnなんちゃらだったかメッセンジャーぽい名前の)とか怪しいのを落として
WINDOWSフォルダのNew-Year2008-imgaes.zipを消して…
今の所その程度しかできねえ…orz
俺だけかとおもったけど 仲間がこんなにいるなんて・・・ はやくかいせきおわらないかな・・・
受け取っちまったが…開かずに消した。 大丈夫かな?開かなかったら何もないかな? 過去スレにあったレジストリに関しては検索してみたけど何も出てなかった…
.scr踏むこと自体ありえない
ZIPを展開して出てきたファイルを実行していなければ、おそらく感染はしていないと思われる。
なんかちょくちょく左上にウィンドウが勝ってに立ち上がった後 すぐに消えるんだがこれなんだ?・・・ まさかウィルス?・・・
>>399 だよな。ウィルスの可能性のある拡張子を安易に開くってのが信じられない。
それがな、意外と少し話してるくらいの相手だと気になって踏んでしまうモノなのだよ。 何か送ってきたのかなとかそういう確認してしまうモノで。
>>403 俺も送られてきたけど英語ばっかの文章で解凍したら.scrだった
いくら親しくても絶対あけないわw
.scrが危険と知ってて開くやつはおかしいし、知らないのは無知すぎる
>>404 「msmsgrus.exe」ってやつ、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
にもあったな。一応消しといたがアタリかな
って書いてあるね…忘れてくれ
もはや余談かもしれないけどNew-Year2008なんちゃらはavast!のチェックをくぐりぬけていた 相手に「これなに?」って聞こうとしたら反応おかしかったので開かずに済んだ
>>408 俺もavastで検疫したけど大丈夫だった上にそういうことしそうな人だったから開いた
迂闊だった
開いてないけど俺にも来た。AVGももちろんすり抜けた。 2008のほうね。
これってさ、俺の場合実行したらエラーでて起動できないって言われるんだけど
他の感染した人も同じようにエラー出た?
なんか
>>404 の説明にあるような例に一つも当てはまらないんだけど
俺 exe.を消そうとしたら アクセスを拒否されました ってでるんだが・・・ どうしたらいいんだ・・・ PC初心者だからわからない・・・
さあ、PCを窓から投げ捨てよう!
vistaだと、書いてあるようなファイルが見つからないんだけど、 なんででしょうか? vistaでwindowsにフォルダ出来てる人います?
フォルダじゃ確認できないみたいよ コマンドプロンプト確認してみ
>>412 以下、自己責任でやれよ。
もう一度言って置く。
自 己 責 任 で や れ
まず、UnLockerをインストールする。
「UnLocker」でググるかゲイツに聞けば、多分出てくるはずだ。
で、設定を変えずにインストールする。
その後、コマンドプロンプトから、
"c:\Program Files\Unlocker\Unlocker.exe" C:\Windows\msmsgrsu.exe
と入力すると、ダイアログが出てくるので、
左下のドロップダウンリストから、「削除する」を選ぶ。
で、OKボタンを押すと削除できるはずだ。
コマンドプロンプトでも見つからない。
dir New-Year2008-imgaes.zip
でいいよね?
>>404 読んだけどmsmsgrus.exeてのも見つからなかった。
ま、なるようになるか。
vistaじゃないけど俺もmsmsgrus.exe見つからん 感染してるのかはっきりしないから不安だ・・・
・WINDOWSフォルダにmsmsgrsu.exeが見つからない ・コマンドプロンプトでも弾かれる 上記の場合、WINDOWSフォルダとは別の場所で右クリック 新規作成→(適当に)テキストファイル→ファイル名を『msmsgrsu.exe』に変更。 拡張子云々表示されるので許可。 出来たファイルをWINDOWSフォルダに入れると上書きするか聞かれるので「はい」を選択。 その後はWINDOWSフォルダに『msmsgrsu.exe』が表示されるようになってるのでゴミ箱へ。 これで消えているはず…
悩むくらいならクリーンインストールした方が早いと思う俺は異常なのか 初心者なら他のものも飼ってそうだし
421 :
418 :2007/12/29(土) 02:57:24
WINDOWSフォルダに上書きも何もなしに普通に置けてしまった・・・ ホントに感染してるんだろうか・・・? scrファイルを実行したときに、エラー出て実行できないって言われてるんだけど、 実行したら感染してるはずなんだよね?
422 :
416 :2007/12/29(土) 03:02:04
>>419 その方法でどうにかしようと思ったんだが、
どうもうまく削除できなかったんだよね。
なので、Unlockerを使う方法を書いておいた。
別にUnlockerに限らず、使い慣れてるツールがあれば、
それを使えばいいと思う。
>>420 本当はそれが一番安全だよな。
423 :
416 :2007/12/29(土) 03:05:32
>>421 感染してるかの確認の一番楽な手段は、
C:\WINDOWSにNew-Year2008-imgaes.zipが有るか無いかだと思う。
もちろん、あったら感染してる。
424 :
418 :2007/12/29(土) 03:10:00
New-Year2008-imgaes.zipも見つからないし、
>>419 の方法と同じ要領で上書きしようとしても反応なかったな・・・
これは感染してないと考えていいのか・・・
425 :
416 :2007/12/29(土) 03:14:02
>>424 一応、レジストリの、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
も確認してみて、
MsnLiveMessengerが無ければ感染してないんじゃないかな。
後日、対応したパターンファイルが出た後に、
ウイルス対策ソフトでスキャンすることをお勧めするけどね。
426 :
418 :2007/12/29(土) 03:21:28
>>425 何回か確認してるし、もう一度確認してみたけどMsnLiveMessengerも見つからないわ。
これで一応大丈夫だろうとは思うけど、一度開こうとはしてるわけだし
念のため後日ウィルススキャンはちゃんとやってみる。
対策教えてくれてありがとう。
427 :
名無しさん@お腹いっぱい。 :2007/12/29(土) 03:28:10
同じくさっき喰らったッスよ……。 感染は確実にしたが除去できたかがわからないンだぜ……。
428 :
416 :2007/12/29(土) 03:36:02
>>427 1.再起動してもWINDOWSディレクトリにNew-Year2008-imgaes.zipが生成されない
2.コマンドプロンプトから、WINDOWSディレクトリのmsmsgrsu.exeを削除しても、
「そんなファイルねーよ」(意訳)と言われる。
3.レジストリのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
MsnLiveMessengerが存在しない。
上の3つを満たしてれば、とりあえず削除できたと考えていいと思う。
ただし、専門家じゃないので、「思う」しか言えない。すまん。
429 :
名無しさん@お腹いっぱい。 :2007/12/29(土) 03:44:38
>>428 いや、そうして具体的に上げてもらってすごく助かった。
全スレ見直せばいいのだが混乱状態の俺にはそれがなにより有り難い……。
一応その条件はクリアできたみたいだ。
本当にありがとう。
431 :
416 :2007/12/29(土) 03:49:33
>>429 ファイルの削除漏れとかがあったら困るので、
対応するパターンファイルが出たら、
ウイルス対策ソフトのスキャンしておくのをお勧めする。
あと、無意味にageるのは良くないぜw
432 :
416 :2007/12/29(土) 03:53:49
>>430 そのページに乗ってるのは、
Christmas-2007.zip
を送りつけてる奴。
で、今日(昨日?)から流行ってるのが、
New-Year2008-imgaes.zip
を送りつけてくる奴。
まあ、亜種だとは思うが、
ファイル名が違ったり、
レジストリの登録名が違ったりするから、
各アンチ・ウイルス・ソフトベンダーは後者にはまだ対応できてないと思う。
少なくとも、ウィルスバスターはまだ対応できてなかった。
>>431 っと、重ねて申し訳ない。
……sageれてっかな? 無知この上なくて謝るしかできねぇw
俺もうっかり踏んだが(まさに相手が、その手のファイルを送りそうな人だった)、 カスペルスキーの体験版で駆除出来たっぽい感じなので 引っかかった人は試してみるのもいいかも カスペルスキーのインストール後に再起動要求されるけど無視した(自己責任でどぞ)
ノートンは対応した。
>>404 のページに書いていること以上は検出しなかったな。
「お、ウイルスじゃん」って思って、なぜかクリックしてしまった阿呆は俺だけ?
>>436 好奇心旺盛なのはいいけどせめて仮想でやれw
Happy2008.zip\Happy2008-Card.comってのが送られてきた
439 :
416 :2007/12/29(土) 17:16:49
>>438 まだ中国語サイトにしか情報が出てないなあ
ウィルス感染して以来ネットの通信速度が異常なまでに遅くなった。
>>416 の方法で削除したんだが、直らない。
同じ現象の人いるか?
実行しようとしたらエラー吐いて開けなかったんだけどこれって助かったのか?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"は無かったけど HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft" = "svchost.exe"は見つかったなー。 迂闊だった、不甲斐ない自分を悔しかない。
windowsフォルダにある「msmsgrsu.exe」は隠しファイル属性である上に、XPだと画像アイコンになってる。 また、起動時にインターネットにアクセスする。自分はゾーンアラームの警告で気が付いた。 AVGのスキャンもノートンも無反応でタスクマネージャよりmsmsgrsuを停止、その後隠し属性の「msmsgrsu.exe」と New-Year2008-imgaes.zip とかっていうzip(恐らくメッセンジャーで送られてきたものと一緒)を削除した。レジストリも削除したけど。
知り合いが感染した時は 「syshos.exe」っていう謎のファイルが原因になってた。 New-Year2008-images.zipを解凍したって言ってたけど いろいろパターンがあるんじゃないだろか
みんな気付いてないかも知れないけどCドライブ直下にも怪しいexeが大量に生成されてる場合があるから注意して。 そのexeが生成された時にバスターで警告が出た。 あと、最初に感染してから時間経つごとに次々形を変えるっぽい。 下手すると遠隔操作を行われている可能性もあるので、感染したら、 ・むやみやたらにメッセンジャー、ネットワークに繋がない。 ・パソコンを付けっぱなしにしない。 ぐらいはした方が良さそうね。 当たり前だけど・・・。 あとトレンドマイクロに一週間ほど前にウィルス検体を送っておいたので、 バスター使ってる人は対応してくれることを祈るしかない。
今度はawtqn.dllとawtqn.exeが生成されてイミフ\(^o^)/
448 :
名無しさん@お腹いっぱい。 :2007/12/31(月) 21:16:14
これ入れたら再起動繰り返すよ
>>447 mjd?
俺んとこはsystem32にawtqq.exeが生成されて意味不明\(^o^)/
カスペが反応して消してくれるんだけど、再起動するたびに蘇る^q^;
なんぞこれ/^ω^\ほぇぇ
451 :
名無しさん@お腹いっぱい。 :2008/01/04(金) 18:57:58
Windows OneCare で何か反応したな。無関係かな。 自己解決するから。ここの板で答えないでね。
452 :
名無しさん@お腹いっぱい。 :2008/02/06(水) 19:20:46
つかいきなり来てごめんなさい あまりウイルスと関係のないのですが メッセのスレここくらいしかなさそうなので・・・ 先ほど友人がメッセを再起動させたところ INできなくなってしまい 俺はPC自体を再起動させて メッセにINしようとしたら INできなくて 簡単にいうと いちどサインアウト → サインイン →「メンバーリストが表示できない」→ 別アドでもIN →「できるじゃん・・・」→本体でログイン → 「エラー」 → 両方ともINできなくなってしまいました 誰かこれについてわかるかたいません?
メンバーリストが利用できないため〜は違う? ヘルプ通りにやっても再起動してもサインインできないんだが。 友達はサインインできてるのに。
>>454 人によって問題無かったり問題あったりとバラバラなのがいつものパターン
だが再インストールしても無意味だから、鯖が直るのを待つだけでいい。
いつもそうだからw
456 :
名無しさん@お腹いっぱい。 :2008/02/27(水) 02:01:09
まーたサインインできね。
さっき偽メッセ起動したら win32/vmalum.bxrfに感染 って出ていきなりメッセンジャー削除された。ググってもHITなし。なんだろこれ。
458 :
名無しさん@お腹いっぱい。 :2008/03/07(金) 03:09:11
これにやられた。どうすれば寛解する?
非常に初歩的な質問で申し訳ありません。
教えていただけるとありがたいことがあって伺いました。
>>1 にあるようなタイプのウィルスは、Mac版のWindows Messengerを使用している人からのファイル送信という形でも、Windows版のWindows Messengerに届く可能性はあるのでしょうか?
もしそうだと、Macの使用者は感染することなく、感染ファイルの広がりに介在することがあり得るのではないかと素人考えでは思うのですが。
というのは、私のMessengerに怪しいファイルが届いたようなのですが(解凍していません)、どう考えても、Mac版を使用している人を介在して届いたとしか考えられないのです。
もしご存知の方がいらしたら、お答え、どうかよろしくお願いいたします。
メッセ経由で流されるのですから、 端末種類を無視して流れる可能性は大いにあるのでは?
461 :
459 :2008/03/09(日) 02:34:56
>>460 レス、どうもありがとうございます。
しかも迅速に。感謝しています。
やはり、その可能性かなりありますよね?
そうなると、私は自分のところで感染をくい止めるとしても、Mac版ユーザーである友達が別の人に感染ファイルを送ってしまう可能性もまた大きいですよね。
そのことを、Mac版ユーザーの友達に指摘してみようかどうか迷っています。
本当なら少しでも可能性があるなら指摘するべきなのでしょうが、人間関係に傷が付きかねないので。
でも、うまく話してみようかと思っています。
>>461 まず、「この前○さんから△という名のファイルが届いたんですが、送った覚えあります?」
と聞いてみて、もし送っていなければ
「最近、メッセを経由して自分が知らない内に勝手にウイルスファイルをばら撒かれる事件が増えているから、
もし覚えが無いなら○さんが何かに感染してるんじゃないかって心配になって」
といった感じで、あなたを心配しているというニュアンスで説明してみては?
まあ、こういったファイルは受け取った本人が開かなければ感染しないものが大半らしいですが
適当に開いたもののよく分からないので破棄しただけで、対処していないという可能性もありますからね。
>>462 アドヴァイス、どうもありがとうございます。
どう言おうかと考えていたので助かります。
おっしゃるように「心配している」というニュアンスで話してみることにします。
ありがとうございました。
464 :
名無しさん@お腹いっぱい。 :2008/07/28(月) 13:37:45
ファイルじゃなくてUrlを送るウイルスに知らずに感染してしまったようです これにかかった人いますか?
>465 thx! ウイルスじゃないのね。 Pass変更しようとHotmailのオプションに アクセスしてるのにいつまで経っても画面が変わらない・・・
ウイルスではないとは言っていないどころか 勝手に送るタイプならば、まさにウイルスかと思うのですが。 とりあえず、セキュリティーソフトを入れているならば アップデートの上でフルスキャン
>467 そうなんですか?? AintiViでフルスキャンしましたけど なんにも出なかったです
新種であればウイルス対策ソフトでも未対応のために検知出来ないので 他社がフリーで公開しているオンラインスキャンを試すのも手ではあります。
>>470 さんと同じ様なものを自分も踏んでしまった。
いまのところ何も検出していないけど不安だ
俺もそんなのきた どうも自分の垢からメッセに登録してる知人にも送られてるみたいなんだが あと、「別の場所でサインインしました」ってことになってる
結構蔓延してるみたいだねぇ 何かのゲームに誘ってくれたのかと思ってホイホイPASS入力しちゃったけど とりあえずパスの変更だけすれば問題なさそうかな、特に変わったこともないし 知り合いはパスなんて入れてないけどURLを配信してしまうようになったとか言ってるし良く分からないな
474 :
名無しさん@お腹いっぱい。 :2008/08/21(木) 03:04:15
台湾人から来たメッセの「自分のID.なんたら」を捨てアドで踏んだのだけど どうもトロイの木馬らしいよ ぐぐっても、中国語のサイトが多い 英語もあるけど Messengerはアドレス帳をオンラインに置くから、それをインポートして次の人を探すようだ
475 :
名無しさん@お腹いっぱい。 :2008/08/21(木) 03:24:54
>>470 ,471
というか、これは多分パソコンに感染するタイプではないと思うよ
コンタクトリストをオンラインに置いてあることをいいことに、
ログインIDとパスワードを入力するとそれを記録して勝手にログイン、
コンタクトリストにある友人にメッセージを送る
476 :
名無しさん@お腹いっぱい。 :2008/08/21(木) 05:02:24
最近 何か月もメッセしてない 中国在住の友人から 夜中の3時ごろに メッセが届く しかもオフラインで クリックしたら MSNアドレス と パスを 入力する画面になる 面倒だから 何日か放置してたら 今夜は しつこくURLが届いた クリックしたら アメリカのアダルトサイトに誘導され 調べたら ここに辿り着きました どうしお
477 :
名無しさん@お腹いっぱい。 :2008/08/21(木) 06:52:15
3つめのドメインはアダルトサイトに誘導されるようだ 最初の2つは単に感染させるだけ そのうち本格的な破壊をするようになるのかな
興味本位でクリックしない事が対策の基本
いきなり仲間入りを求めてきて、入れた瞬間会話開いて英文で 「〜〜にアクセスして欲しい」 「貴女はこの窓を開いたから通信料を払わないと駄目」 とかいうのが最近あるんだけど、一体何?
何という以前に、安易に招き入れない方が良いのでは・・・
それは分かってるよ。 でもスパムよりこれの方が多いから、なぜ全然問題にならないのかな? と思ったんです。
何を基準に多いと言っているのか分かりませんが 少なくとも私や周囲にはそういった話は皆無ですよ
484は誤爆ス
486 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 02:36:58
foto というコメント共に怪しげなアドレスと受信者のメアドを乗せたウイルスが爆発感染中
ファイル名は IMG455.jpg-www.photo.com
488 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 02:43:09
アンチウイルス入れてる奴は、ちゃんと検体送ってくれよ
感染した場合の対処法がわかんねー。 けっこう動作重くなるな
とりあえず感染した人はメッセを落とすこと。 上がっている限り、同じ相手にでも何度も送り続けるから。
どうしようどうしようと焦ってオンラインのままでは その間に知り合いに次々感染させて迷惑だからね
メッセに感染したことをメッセで伝えようとしたらリアルタイムで送りやがるから携帯かメールで教えるしかないな・・・ 後mixiとか
メッセの表示名に警告を載せてからサインアウトする手はある
foto
ttp://xxx.myspacy.biz/[email protected] こんな具合のURLがメッセンジャーで誰かから送られてきていませんか?
これはウィルスに感染するサイトのURLです!!
・ウィルス名
IRCBot.AKX トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。
・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ 他の大手メッセンジャーツール
・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。
・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。
1、
http://canon-its.jp/product/eset/trial_ess.html NOD32アンチウィルス体験版をダウンロード(要メールアドレス)
2、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
3、既存のウィルス対策ソフトをアンインストール
4、NOD32アンチウィルスをインストール
5、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
6、パソコンをインターネットに接続されている状態にし、NOD32アンチウィルスのウィルス定義ファイルを最新の状態にする
7、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
8、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了
とりあえずもっと簡単な方法のコピペはっとく
foto
ttp://xxx.myspacy.biz/[email protected] こんな具合のURLがメッセンジャーで誰かから送られてきていませんか?
これはウィルスに感染するサイトのURLです!!
・ウィルス名
IRCBot.AKX トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。
・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ 他の大手メッセンジャーツール
・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。
・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。
1、
http://canon-its.jp/product/eset/trial_ess.html NOD32アンチウィルス体験版をダウンロード(要メールアドレス)
2、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
3、既存のウィルス対策ソフトをアンインストール
4、NOD32アンチウィルスをインストール
5、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
6、パソコンをインターネットに接続されている状態にし、NOD32アンチウィルスのウィルス定義ファイルを最新の状態にする
7、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
8、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了
見事に感染 orz 対策かいてくれてる方ありがとう、489見る限り、497で大丈夫そうかな 明日やってみます、ありがとうございました
499 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 05:21:18
うわ・・・なんてこったい。感染してしもた。 対策書いてくれている人がいらっしゃるみたいなんで、すぐに実行します。
現在日本国内で大規模に感染爆発している模様 要注意
特徴としては感染している人のところにはメッセージがこないで、 感染していない人にはメッセージが来るところ メッセージきたけど、もう来なくなったって人は要注意 感染してる可能性あり
多分このウィルスのおかげでwindowsの自動更新が無効になった。 有効にしようとしても無理なんだけど、これはレジストリ書き換えられたのかな? レジストリ触るの怖いんだが、どうしよう…
503 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 05:52:44
>>503 了解です。
すばやい対応助かります。ありがとう
もしかしてリンク先のexeファイル実行でなく ページを開いただけで感染ですか? だとしたらたちが悪い…
なんだよ。これ騒いでる奴らって、みずから怪しいURL踏んでるんじゃんw ほんとにセキュ板の住人かよw自業自得じゃないか。 こんなのに引っかかってるような奴らは、普段からワンクリサイトとか踏んでるんじゃないのか?
セキュ板の住人だからこそ、一般人より先に踏んで初心者の為に対処法を探さなくてはいけないのだ。
そのおかげで俺も対処ができた。 セキュ版の住人の皆には感謝している。ありがとう。
510 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 15:32:01
何度も言うが、exeでなくcomファイルだ ファイル名がimgなんたらwww.photo.comとなっているから騙されてるんだろうが
511 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 15:35:16
一応ソフトで隔離したけどシステム構成ユーティリティにfxstaller.exeがまだ残ってるんだがなんでだ
512 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 15:47:19
レジストリエントリに残ってるからだろ
>511 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Udp Control Center データ名:fxstaller.exe
514 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 16:04:47
ごめ。残ってました。レスサンクスです。
検知率トップのAntiVirとかG DATAあたりは対応してるのと違うか? おれは、仮想化化させて実行させてみたが、仮想上とはいえ感染したやつには 同情するわ。 おれは仮想化解除できれいさっぱり感染なくなったけど。
ふむ
検出率トップだからなんとかっていうのはあまり当てにならんよ 実際、今回の場合はWindows Live OneCareが対応速かった“らしい”からね
これって保存したらまずいの? それとも、クリックするだけでもまずいの?
結局25日0:00以後配布活動始めたのかな? 2時からの書き込みが多いけど
迷惑なサンタクロースだぜ
Windowsが通常起動できんくなってしまったんだが・・・これはウイルスのせい?それとも故障?
ここのおかげで対処法がわかりました ありがとう
のーがーど戦法の俺に死角はなかった
かみんぐつーん
つんつくつん?
でーもそのサンタはーハッカー
528 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 21:18:26
くそっ とんだクリスマスだぜ。 対策書いてくれた人サンクス。
529 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 22:31:47
マカフィーも削除しましたってトロイの木馬ポップアップ出るけど すぐそれの繰り返しで何の役にも立ってない
開かないでダウンロードだけしてしまったんだが感染してるんだろうか・・・・ レジとラスクマネージャーみたけどそれらしきものはないし・・・・ DLしたファイルは消したが・・・・だめーぽ?
感染していたらメッセの登録してある人にURL窓がどんどん行くから聞いてみればいい 開かないようにも注意勧告もな
>>531 知り合いに聞いたらきてないそうです。
別PCも4台立ち上げましたがメッセージこないので大丈夫かと思います
情報ありがとうございます
533 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 22:59:04
534 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 23:09:04
NOD32アンチウィルス体験版ダウンロードできねー みんな落としてんのかね
深夜まで待って落とすと良いよ
536 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 23:13:22
537 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 23:15:12
ちなみにOne careでも駆除できた
539 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 23:17:26
540 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 23:19:50
知り合いが引っかかって送られてきたのでちといろいろ調べてみた ダウンロードした状態では自己解凍ファイル 中にはimgs.exe EXEファイルの後ろには暗号化した形跡のあるファイル これで復元出来るのかな? uREbcXCSgbWrVCVSeSfWErvVdsfERtv CurrentUser Console FullScreen sample てことはimgs.exeがランダム文字.dllなどを生成しているんだろう
542 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 23:27:52
インスコしたはいいがどうやってNOD32を起動させるかわからない
>>537 大体同じ適当にやっとけ。
但し、感染状態で、インストールが蹴られるセキュリティソフトもあるかもしれん。
感染してから除去できるソフトを探して入れる場合は、複数のベンダーの奴を
入手してダメなら他のを試すといいかも。
Dr.Webが対応してたら、LiveCD使えるんで感染状態でもどうにかなるんだけど、
今回のは対応してないからなぁ。
>>542 ちょwwwおまwww
>>541 [ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.
[ Changes to registry ]
* Accesses Registry key "HKLM\System\CurrentControlSet\Control\Session Manager".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Accesses Registry key "HKCU\Console".
* Accesses Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "wextract_cleanup0" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
[ Process/window information ]
* Creates process "imgs.exe".
[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe (52786 bytes) : no signature detection.
545 :
名無しさん@お腹いっぱい。 :2008/12/25(木) 23:42:32
>>542 いやいやマジで
再起動してどうすんのよ
>>545 それはねーよwwwwwwwww
初心者ってレベルじゃねーぞww
普通に起動しろ
547 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 00:02:48
起動できた 何をやっていたんだ俺は
検体をとりあえずシマンテックに送っておいたお 明日には対応くるお
やられた・・・ッ・・・スパイボットが止めてくれたのに・・・開くなよ俺ッ・・・ とりあえず対策どおりに対策とるかのう
550 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 00:23:45
NOD32で駆除トロイが駆除できました ってなったらおk?
551 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 00:24:58
ウィルスバスター有料版アンインスコしちまったんだよなぁ、どうしよう
うっかり開いた orz スキャンはスルーしたけどレジストリ書き換えは 拒否ってくれたんだろうかウチのバスターさんは…… めんどいから明日駆除しよう
553 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 00:33:57
これってURLクリックした時点でアウト?
554 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 00:40:40
まさかNODの陰謀じゃねーだろうなw まぁ俺はAVGで駆除したが。 念のためNODでもやっとこうかな・・・無駄?
555 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 00:42:06
>>553 開くまではセフ
ファイルダウンロードするまではセフ
ファイル実行したらアウト
PC内をimgs.exeで検索して見つからなかったらセフ
556 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 00:42:10
URLだけならなんともない ファイルを実行する感染
557 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 00:43:50
俺も一年以上メッセしてない人からいきなりメッセが来て、なんぞやと思いつつ ファイルをダウンロード でも拡張子がCOMとか正直「?」だったので実行はせず(多分) タスクマネージャー見て、imgsやfxstallerのタスクは見当たらず 感染したらPCが重くなったりするのかね、よく分からん・・・
559 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 01:00:02
>>558 マカフィーユーザーだが、マカフィーがトロイの木馬を検出して削除しました
とポップアップが出た瞬間にメッセの会話ウィンドウやIEが勝手に閉じる。
メッセのほうは閉じたらもう開かない。
IEは定期的にでるトロイ削除メッセージとともに落ちる。
(実際は削除できていない)
nod32ダウンロードするのにブラウザ立ち上げるとダウンロードしきる前に
ブラウザ落ちるから結局さっきネカフェいって落としてきた。
561 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 01:05:43
>>560 それやっても、DLLが残ってダメなことがある。
今の俺の状態がそうだ・・orz
562 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 01:08:06
とりあえずバスター使って今検出中。 ウィルスバスター君じゃだめだったりする?
全然駄目
間違えてダウンロードしてしまって感染したか気になってるんだが よくみるとデスクトップに見慣れないIMG[1].jpg...ってあって これ実行したらアウトで実行せずに削除すればセーフって事か?
566 :
497 :2008/12/26(金) 01:12:08
すまそん497書いた者です 書いている時点では自分で使っているESET Smart Securityが反応してすぐに隔離してくれた& 感染した友人数名にこの方法を試してもらたっところうまくいったので作成しました。 この時点で対応していたウィルス対策で一番ファイル容量が小さくて高速に動作するものが ESET(NOD32)だったのでNODを使った対処法をうpした次第です おそらくもじゅ一日経過しているので他のウィルス対策ソフトでもひっかかるようにはなっている でしょうが、このたった1日でも対策が遅れたらどれくらい被害が拡大するかと考えると非常に 恐ろしいものがあります。 なのでこれを急ごしらえさせてもらった次第です。お役に立てたら何より。
>>565 俺もそれだわ
ブラウザは火狐使っててそれをDLして起動はしてない
>>559 みたいな症状は出てないけど・・・・不安だなこれ
自動更新が有効にならない・・・ NOD32でスキャンかけて再起したあとは有効に出来るのに 一回、スタンバイすると、また無効になるし。スタンバイしてるのに勝手に起動するし もうわけわかんね 誰か教えてくれ
俺もDLはしたけど実行はしてないな 実行しなければ大丈夫とは言っても不安MAX
再起動すると自動更新有効にできるが、しばらくするとまたできなくなるな・・・ どっかから監視してて時間ごとになんかやってんのか・・・ってavastが変なメッセージ吐いてきたな。 ちょっとやべぇぜ
>>570 俺も同じ状況・・・
駆除はできたっぽいんだけどねぇ
>>570 571
ファイル名 フォルダ名 サイズ 種類
imgs.exe C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP000.TMP 52KB アプリケーション
imgs.exe C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP001.TMP 52KB アプリケーション
IMGS.EXE-27984726.pf C:\WINDOWS\Prefetch 30KB PFファイル
IMGS.EXE-36EA1AEB.pf C:\WINDOWS\Prefetch 14KB PFファイル
NOD32で駆除したがdllが復活し続けたので探したら上記のが残ってた
削除したらdll増えなくなり今のところ自動更新も機能してる
573 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 01:32:33
Avira AntiVir Personal Free ntiVirus でのスキャン中にWarnings: 1 と出た。 つまり…?
スマソsage忘れあ
575 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 01:36:12
フリートライアルいんすこできねええええええ
これって今夜急に広がりだしたの?
>>572 下2種類のは検索で出てきたんだが「imgs.exe」自体が見当たらないんだよねぇ・・・
うほ、クリスマスプレゼント! な感じで広がったと思われ
知人にNOD32を大量にばらまいてる俺w
板違いかもしれないけど分かる人いたら教えてください JaneでリンクふむとIEでページ出てくるんですけど Firefoxで出すように設定ってどうすればいいですか?
>>577 駆除でimgs.exeが隔離された可能性があるか
imgs.exeが隠しフォルダ内にあるので検索されてない可能性があるかも
下2つは削除しておkだと思う
やべえええ今気付いた さっきから調子悪いなと思ってたらどうすればいいんだ
imgs.exe出てこないからNOD32でやるしかないなぁ
何人かの知り合いからこれ送られてきたがひらかなくてよかったww
>>570 同時に複数のセキュリティソフト入れるなよ…。
>>568 メモリ上や他のどこかに居残ってるんだろ。
わけわかんなくなった奴らは素直にOS入れ直せよ。
>>582 とりあえずメッセンジャー停止して497辺りから見るといい
588 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 01:57:37
セキュリティソフト全部アンインスコして
>>497 の方法でやったら治った。
自動更新も有効になってる。再起動したがそのままだ。
589 :
580 :2008/12/26(金) 01:57:45
>>588 把握
こいつに3時間くらい時間取られてる・・・
うぬぁ! NOD32で駆除完了したと思ったが、One Careかけたらトロイ3種検出された 自動更新も無事にできるようになった・・・ NOD32は最新にしたのに・・反応しないとはどういうこっちゃ!
>>592 それはしょうがない
簡単な例で言うとSpybotの後にカスペ使うとゾロゾロ発見されるし
カスペの後にSpybot使ってもゾロゾロ発見される。
検索のパターンファイルがソフトによるからね。
>>593 なるほどなるほど、一概にこれは優秀だ!って言えないのね
そりゃそうだ。こいつ、トロイダウンローダーでもあるから、他のトロイを落として実行してるよ
>>595 俺は
>>497 のとおりやって1個駆除できた
だが、自動更新が何度やっても有効にされないからOne Careを使ったんだ(時間が経つと無効になる)
そしたら3種のトロイが出てきて削除→自動更新有効になった(時間経っても無効にならなくなった)
やっと平穏が訪れたってとこかな
今回の件に関してはNOD32が良かったってことっしょ
取りあえずメッセ起動して人に迷惑かかってなけりゃおk どうしても心配ならOS入れ直して再出発だ 簡単だろ?
600 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 02:28:24
スタンバイから勝手に復帰した件について
ちょっと時間がアレなんでLANケーブル引っこ抜いて明日まで保留とかでも問題ないかな・・・? 今から駆除すると時間かかりそうだ
>>598 これ重要だよな
ただ、価格.com事件の時もこいつだけできたってところを見ると惚れちゃうよね
NOD32スキャン長い・・・ 朝までかかるかな
604 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 02:39:28
勝手にdll作られてる Onecare試してるが応答しねぇ
>>597 なるほど
ってことで
>>497 しか試してない俺が自動更新有効できるか試した結果
できませんでした(´・ω・`)
トロイの種類によるんじゃないか? NOD32が良かったり、Onecareが良かったり、手動削除が良かったり。
607 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 02:45:22
1分に1個の割合でトロイが検出される。。。
てかさぁ、ノートンとか使っている人は一旦アンインストールする必要あるの? 対応済みのNOD32やAVGを落として、いったん現在使用中のを切って、対応済みのをインスコして、駆除。その後、フリーのは切って今までのを再開させる。 みたいな方法じゃダメなのかね?
NOD32スキャン長すぎる(´・ω・`)
>>497 だけ試したやつだけど、IE定期的に出てくるやつなおんねぇ
611 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 03:03:21
>>610 インターネットオプション→プライバシー→インターネットゾーンを中以上に
>>611 d
後は自動更新有効にできるようになんだけど、avastでいけるかな・・
感染後スパイボットかけて再起動したらPCがご臨終した invalid system diskが出て回復コンソールでMBRとBOOT直しても起動不可 HDD変えても無駄 どうやら電源投入直後に強制的にFDD読みに行くみたいで 何も入ってないFDDがLED点滅させながらギコギコ動く
それは、違うだろうw
615 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 03:21:25
これって オンラインの人のみに届くの?
違わん メッセンジャーのfoto〜で感染してなった 諦めて再セットアップしたが無駄だった 同じ症状で起動しない
>>608 検体提出はしたけど、ノートンは対応遅いから対応待ちしててもだめだよ。
NOD32も検出はするけど、実際に入ってる状態でインストールするとNOD32の動作自体が
阻害されちゃうので役立たずってパターンだね。よくあることだけどつかえねー。
別パーティションのOSとか別PCに入れて、感染HDDをスキャンして除去するならいいんだろうけど。
>>598 ダウト。NOD32でダウンローダは消せても、消すまでの間に落とされた別の奴がすり抜けてるので
>597みたいな不具合再発の事例が出る。
ぶっちゃけ、NOD32は軽さ以外のメリットないよ。今回は引っ掛かったけど、新種の殆どはスルーだし
(ヒューリスティックもあまり強力じゃない…その分動作が軽いが)新種への対応も遅い。
カスペやAntiVirが数時間で新種に対応してくるのに対して下手すると3週間かかるとかなめてんのかと。
新種に対してはシマンテック並に弱いので、NOD32はあんまり信じちゃいけない。
>>602 価格.comの時は(NODみたいなヒューリスティックではなく)
「以前からすでに対応済みの対策ソフトがありました」
と価格.com自身で後から訂正してる
それがカスペルスキーな
619 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 03:34:34
system32にどうやっても消せないdllがあるんだよなぁ これが気になる
NODでスキャンして2つ見つけたけど、有効化できなかったからOneCareを使ってみる
海外でもパニックでこちらはOneCareを推奨してる
623 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 03:40:37
>>621 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
big kisses ってのが送られてきたことがある。 流行ってるんだね。
OneCareフルスキャンでいいのかな
>>626 把握
7分で0%とか・・・、こりゃ寝てたほうがいいな・・・
628 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:09:04
629 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:11:04
上のものです すいません文脈おかしいですね ESET Smart Security というのの コンピュータの検査 というのを実行しています
↑にもあるけど経過報告 24日時点のウィスルバスターはどスルー^^; NOD32(25日配布のウィルス定義)で少し軽くなり、セキュリティ無効⇒有効に切り替わった ただ別サイトに飛んだり、PC消す際にexeplorer.exeが終了しない現象は残る なのでいまOneCareをかけてるけど8%で3個も検出されてるwww 完全に直ったらまた書く
100%になるまで待つべし。 特定のファイルが感染してるわけなので、まだ見つかってないんだろう。
>>629 630だけどそれがNOD32ってのはおk
けどそれだけじゃ直らない
とりあえず最善はOne Careかね
がんがん悪化していくな 初期での措置が遅れた友人パソが沈黙しちまった
リアルタイムで感染してるのかワロタw
お、Avast対応されたらしいな クソが、消してNOD32入れたばっかだっつーの!
637 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:22:06
638 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:23:00
きれちゃいました NOD32がおわったらOnw Careもやったほうがいいですよね?
>>637 体験版じゃなくてPCセーフティーってのをやりな。
よほど緊急でない限り体験版はつかわんよ。
PCセーフティがおわったら無料のAVGとかAvastとかいれておけばおk。
641 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:30:25
>>639 さん
ありがとうございます
NOD32が99%なんで
終わったらOnw careの方やって
無料のやつ入れてみます
こんな夜遅くでもこんないい人たちがいてくれて助かった…
ありがとうございますー
642 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:33:15
FirefoxにIE Tabいれて、firefoxからOneCareオンラインスキャン って便利だなぁw
643 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:40:10
自分のPCはOS再インスコなりでいいけど、 メッセ友に悪い事しちゃったなって罪悪感でいっぱいだぜ・・・
644 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:41:45
NOD32インストールしようとしても ネットワーク上の場所 ESET\ESET NOD32 Antivirus へアクセスできません と出てインストールができない・・・orz どなたか助けていただけませんか、OSはXPです。
645 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:43:44
>>637 です
結局NOD32での検出は0でした
その前にタスクマネージャのプロセスでf〜ってファイルを消したのが原因でしょうかね・・?
今One Careの方やってるんですが1%で5個の項目で2個の問題が検出されました
長引きそうなのでこちらは放置して寝ます…。
ありがとうございました
>>644 スレの流れ通り
NODやめてOneCare使えば?
647 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:45:54
>>646 すいません、来てすぐ書き込んだのでまったくスレ読んでませんでした
OneCare使うことにします!ありがとうございました
>>645 念のためimgs.exeも検索しといたら?
感染した友達がPCつかなくなったらしい
対処ソフトDLしようとしたら動く気配なく焦ってキャンセルおしたら
今度はキャンセルしてもだめで電源強制で落としちゃったみたい
何度起動させても画面真っ暗だとさ
これはもう手遅れ・・か?
649 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 04:59:28
>>648 俺の友達も感染して強制終了かかって
電源入れてもつかないらしい
俺がかかった時も
MSNメッセンジャーで1分おきくらいに
次々と新しいウイルスが送り込まれてきたから・・・
パターンを変化させて増えていくのかな?
650 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 05:01:28
>>648 さん
>>645 です
imgs.exe の検索とはマイコンピュータを開いた時の
上のバーでの検索でいいのですか?
深刻だな 気付いてない人かなり居そう
653 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 05:14:34
>>652 さん
>>650 です
了解しました
検索かけてみます
発見したら消去でいいんですか?
>>651 さん
結構深刻ですよね…
わずか1日でここまでの被害…。
そしてMSNもSkypも常時ログインの人もいるだろうから
今後どうなるか…。
考えるだけでも恐ろしいです
654 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 05:21:32
>>652 さん
特にimgs.exeはなかったようです
なんと! 終わったはずのESET Smart Securityから
右下に注意?報告?がでました
「プログラムの作動中にウイルスを発見しました。
ファイル命 ((C/Windows/fll)すいません覚えてません…こんな感じでした)
トロイの木馬 隔離しました。」
だそうです
お祭り気分のとこに知り合いからURLきたら深く考えずにクリックしてしまうわ・・ まあ俺は保存して実行しなかったからセーフだったけど 次からは気をつけるし大丈夫だなキリッ
XP/SP2以前のPCの人はOneCare使えないという盲点
そして元日早々年賀ファイルにひっかかる655であった
659 :
639 :2008/12/26(金) 05:45:02
660 :
639 :2008/12/26(金) 05:47:56
>>657 おk
検体スレにもうでてるわ。
ちなみにAVGは対応している。
俺もサンタさんから最凶のクリスマスプレゼントをもらったんだぜ… とりあえず、過去レスみてNOD32で検査して、imgs.exeとviewimage.com(だっけな?) を駆除したんだが、これで大丈夫なんだろうか?何か埋もれていたりして・・・ 今のところ、Liveメッセは自動で開かないようにしてるが、他に気をつけるところあるかな? 少々不安だぜ…。目立って不具合らしき不具合が出なかったのがよかったかな。。
662 :
661 :2008/12/26(金) 05:51:18
ちなみにOSはVistaです。念のため、OneCareもやっといた方がいいでしょうか?
665 :
639 :2008/12/26(金) 05:56:51
素通りバスターやその他はアンインストールするより先に オンラインスキャン版OneCare走らせたほうがいいな
667 :
639 :2008/12/26(金) 06:07:09
668 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 06:07:10
前使ったことあったけどブラクラメールがふつうに送れることに気づいて速攻消した
昨日の夜中に友達から謎のメッセージを受け取り、 そこに添付されたURLをクリックしたんだけど しばらく経ってからPCの調子が明らかにおかしくなっていった。 特に他のページに移動する時なんか読み込みが遅くなってたから 「これは何かあるな…」と思って調べるとウィルスだったというね… ググって色んなサイト見てNOD32っていうのをインストールして 今に至るんだけど、検査するのにエラい時間かかるなぁ。 朝6時の時点で65%だから下手すればあと2時間は要するかな? 途中で中断させても大丈夫なら電源切りたいぜ。 ちなみに5つの脅威が検出された模様。 トロイの木馬は2つほど検出されたみたいです。
670 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 06:14:06
つかこれ添付ファイルを開く仕組みに脆弱性があるわけでなしに ユーザに欠陥があるんじゃ
実践したのこっちにも、参考になるかわからんけど書いてみる マカフィー入ってたけど、リンク踏んでスルーで感染した その後ほぼ5分おきにトロイの削除祭り… スキャンしてもなんも出ない。 fxstaller.exeってのがスタートに登録される→されない場合もあり レジストリを起動してスタートアップ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に登録されたWindows Udp Control Center:fxstaller.exeを削除 その後OSをインストールしているドライブで fxstaller.exeを検索(隠しファイルを表示にチェック) とりあえず削除 次、imgs.exeの削除。 タスクマネージャーのプロセスにあるっていうけど無かった でもファイル検索で発見して削除 この二つ絶対あるっぽい→これでマカフィーの削除祭り止まった。 書いてあったNOD32のアンチウィルス体験版使ってみたけど_ Win32/IRCBot.AKXtを2つ削除して終了 その後OneCareオンラインスキャン今かけてるけどザクザク出てくる。 OneCare終われば大丈夫とは言えないけど、マカフィーよりまし マカフィーはスキャンしても相変わらず「中には誰も居ませんよ?」と ふざけたことしか言いやがらない… 使えん。 バスターとかノートン先生の方はよくわからん。 あと、カスペはだめだった。スキャン済み;;
クリスマスの誘惑って奴よ・・・ みんな寂しかったんだよ
Windows Udp Control Center:fxstaller.exeがどうしても見つかりません
>>674 まさかとは思うけど一応。
Windowsのスタートメニューから「ファイル名を指定して実行」をクリックして
regedit入力しOKボタン。
HKEY_LOCAL_MACHINEって書いてあるフォルダ探す→開く
SOFTWAREってフォルダ探す→開く
その繰り返しでRunまで辿り着いたら、開いてるところにあるはず。
名前とデータをよく見るんだよ?
その方法だと出てこなかったので、fxstaller.exeで検索してみたら出て来たので削除しました
>>676 削除できたなら良かったっすね。
つか、OneCareスキャンで出てきても、ファイル消しきれないとか
見たんだけど、もうこれどうすりゃいいの?
と、OneCareスキャン中で問題見つかってる最中で呟いてみる
そもそもインストールすらできないぞ
全部削除できた。もう今日は寝る・・・
ノートン対策きた?
>>679 おつかれ つ旦~
俺も終わって有効化できた。一応avast入れなおしてフルスキャン中。
一応AVGでフルスキャン終わったとこなんだが RunDLL C:\Windows\System32\vtUlIyVn.dll を読み込み中にエラーが発生しました。 指定されたモジュールが見つかりません。 とか出るんだが、なんなんだこれ
寝たら検査終わってた。 Win32/IRCBot,AGPていうのが検出されて駆除されたみたいだけど これでもうおkなのかな? まだ何かやったほうが良い事ってあるんだろうか? もうPC消したいけど…
685 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 10:05:58
感染してるのは間違いなさそうなんだがAVGに引っかからなかったんだがwwww
>>684 うちの場合、NOD32でそれを駆除したけど
動作は軽くなったものの自動更新やらは有効にできないままなので
OneCareスキャンを試してるところ
今回のウイルスは まず.com拡張子の物(簡単にいうとインストーラの様なもの)を落とさせて 実行すると感染、fxstaller.exeをシステムドライブのどこかに展開や レジストリの改変を行う この時点でメッセンジャ等でオンラインの登録されているユーザにurlを送りつける そしてこのexeがIEの移動挙動を誘発させたりバックドアとなり バックドアにより、多数のトロイを仕込まれます まずはLANケーブルを抜き 対応済みのセキュリティソフト類で完全スキャンが妥当だと思われます これにより実行ファイルとトロイの駆除、そしてレジストリ(これは手動かも)の修正となります なおトロイに関してはどれが入るかは どのくらい入っているかは対処の早い遅い、常駐のセキュリティソフト これによって変わってくると思いますので、まずはLANケーブルを抜いておくことが 自分にも他の人にも一番いい対処になります。 まだすべての会社が対応というわけにはいきませんので、完全な駆除ができるとわかるまでは 熟練者以外はOSの入れ直すことがベストだとおもいます
再起動したらOnecareでトロイが検出された・・・
>>657 落ちてくるファイル自体は同じものだな。
踏む前だとNOD32でブロックできるが、踏んだ後だと、NOD32の起動が阻害されるんだろ。
起動を阻害する対象になってないマイナーなセキュリティソフトで、なおかつ、パターンが対応してる奴を
選んで使えばいいじゃん。
OneCareが大丈夫なんだろ。個人的にはAntiVirがお勧めなんだが、踏んだ後に入れても大丈夫かどうかだな。
しかし、非常に珍しいことに、シマンテックの対応速いな。もう対応しやがった。
いつもなら3日かかっても速いほうだというのに。
http://www.virustotal.com/jp/analisis/e273db4dbbaf759b7874d1e5acf517f9 a-squared 4.0.0.73 2008.12.26 Riskware.Win32.CeeInject!IK
AntiVir 7.9.0.45 2008.12.25 Worm/Rbot.100352.2
Avast 4.8.1281.0 2008.12.25 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.25 Dropper.Generic.AEWD
BitDefender 7.2 2008.12.26 MemScan:Backdoor.RBot.YBJ
ClamAV 0.94.1 2008.12.26 Trojan.Rbot-56
GData 19 2008.12.26 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.26 VirTool.Win32.CeeInject
Kaspersky 7.0.0.125 2008.12.26 Trojan.Win32.Agent.azob
McAfee+Artemis 5474 2008.12.24 Generic!Artemis
Microsoft 1.4205 2008.12.26 VirTool:Win32/CeeInject.gen!J
NOD32 3717 2008.12.25 Win32/IRCBot.AKX
Prevx1 V2 2008.12.26 Malicious Software
SecureWeb-Gateway 6.7.6 2008.12.25 Worm.Rbot.100352.2
Sophos 4.37.0 2008.12.25 Troj/IRCBot-ZD
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
Symantec 10 2008.12.26 Trojan.Dropper
>>689 2009になってからPulse Updateと相まって、対応を早くするとか何とか。
>>673 危険アドレスではあるけど別物じゃないかな?
693 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 10:40:58
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に登録されたWindows Udp Control Center:fxstaller.exe これを消してOneCareでフルスキャンしウイルスを削除したところPCの方も安定し、 メッセンジャーでのURL送信もなくなりました ですが、レジストリで検索したところ000 fxstaller.exeというのが残っていました これは放置でよろしいのでしょうか・・・
昨夜感染して、こことメッセスレ見て状態は何とか抜けた
今は自動更新もすべて有効。
ここの
>>572 に俺がメッセスレに書いてたファイルの書き込み(改行ミスが全く同じなので多分そうだと思う)
利用してもらえてるのみて、少しは役に立てたんだと嬉しかった。
ところで、念のためにOneCareやってみてるけど、14%まで進んだら全く進まなくなった。
ノートン先生は先生で、今朝Trojan.Dropper ってのを検出して処理したって報告してきたから
多分まだどこかに潜ってるんだろうなとは思う。
ウィルスバスターはまだ対応してない?
OneCareやったけど除去できないとか言ってるんだけど…
OneCareで検出できるけど消せないファイルってどうしてる? explorer.exeとかに一部のdllがロックされててどうにも消せない。 AVGとかも試してみたが何も検出してくれないんで、どうしていいやら。
698 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 11:19:06
unlockerでロック解除も試してみたが、当然ながらOSまきこんで落ちる。
>>693 ファイル名が変更されて隔離状態になっているので一応安心です
触らないように!
>>689 どうやら何種類かいるのかプログラムがいい加減なのかのどっちかだな
mixiを介して20人程がNODで対策してみたがみんな起動したよ
起動しない!と嘆く人は結局他のアンチウィルスがすでに入っていて
競合起こした場合だけだった
バイナリを調べてみたが阻害する因子はなかった
てことは亜種がすぐ出回ったってことかな・・・?
701 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 11:34:04
NOD32をインストールした後再起したのですが、デスクトップの画面でフリーズしてしまいました。 どうしたらいいでしょうか…?
>>682 と同じ症状なんだがどうしたらいいんだこれ
削除は終わったが、起動するときのやつが残ったままってことかな
とりあえず参考意見程度だが……
レジストリで
>>513 を削除
imgs.exeを検索し削除
(spc.exeっていうのがC:\にあったからこれも削除、無い場合もあるかも)
OneCareでPCスキャン、explorer.exeとかトロイの木馬が検出されて隔離完了(?)
これをやっただけでも今のところPC安定、自動更新有効。
症状によって違うかもしれんがとりあえずお勧めする
704 :
703 :2008/12/26(金) 11:37:58
×explorer.exe ○fxstaller.exe 何を書いてんだ俺は……
レジストリのスタートアップエントリが残ってるとか?
ComboFix使えうんこ共
AntiVirでスキャンしたあと
>>497 の方法やったんだけど何も出なかった
大丈夫なのこれ
708 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 12:06:33
なんかPCオワタっぽいから、仕事終わったら初期化して入れ直そ…
>>707 Onecareオンラインスキャンを試すんだ
再起動したら アカウントログイン画面がでて先に進めねぇ セーフモードでなんとかなるかな?
俺はカスペユーザーだが、ヒューリスティックで検出されず 結局定義ファイルが更新されるまで検出されんかった 昔カカクコムでNOD32がヒューリスティックで検出して有名になったが、 今回のこのウイルスをヒューリスティックで見つけられたものはなかったのか?
KIS2009使いだけど、 メッセで送られてきたIMG455.jpg-www.photo.comファイルってファイル実行しようとしたらアラート出たよ ライセンス切れで11日から定義ファイル更新されてないのに・・・
ヒューリスティックかはわからんがOneCareが結構早めに対処できてたような あとAntiVirとか
>>709 Onecareオンラインスキャンを3回まわしたが、駆除できないファイルがある
そして再起動後にスパイウェアを撒き散らすんだが・・・
レジストリも書き換えられるし・・・
もうね、、、
>>712 まじで?
俺は実行はしてないけど、カスペのスキャンの設定をヒューリ(ry最高まで上げて
手動スキャンしたけど何も無かったんだよなぁ
>>715 さっきやってみたけどヒューry有効+最高設定で手動スキャンは何も出ないね
実行して瀬戸際で止めてもらうしかアラートでないんじゃない?
スキャンしようとするとエクスプローラー止まるってのが怖いけど
>>716 わざわざ検証サンクスです!
そうか、ちゃんと寸前で止まるのか・・・。
となると普段ヒューリスティックをオンにしてる意味はあんまりないのかも?
いざというとき瀬戸際でちゃんととめてくれるのなら、ね。
ありがとうございましたっ
avastが162Gbを4時間かけてスキャンしてくれたぜ 特に目立った外傷はナシ 終わったーかなー?
719 :
682 :2008/12/26(金) 14:10:21
>>513 のが見あたらなくて、他の眺めてたら
MSServer rundll32.exe C:\Windows\System32\vtUlIyVn.dll,#1
ってのがあったからとりあえず勢いで消してみた、当然出なくなった
今のところ普通に使えてるから、まぁ大丈夫なんかな?
もう手遅れだろ・・
遅レス失礼します。
>>686 うちのPCも検査終了後でも自動更新は無効のままだった。
PCの調子次第ではOneCareでもスキャンしといたほうが良いのかもね。
てか、ここの書き込み見る限りトロイの駆除自体は完了したけど
まだ完治したわけではない人が多いのかな?
友達とも情報交換しておこうかなぁ。
なんでOS入れ直すって選択を選ばないんだろう・・・
それは最後の手段としてとっておく
dll書き換えられて寄生してる可能性も十分ありえるのに、 削除だけとかじゃ完全に対処できんわな。 素直にクリーンインストールするのが無難。
>>723 足掻いた時間>クリーンインストール
こうなるのが決定的
avastでフルスキャン→imgsとfxstallerが引っかかったから削除 手順にそってレジストリも削除。ついでにsys32のdllを削除しようとしたらロックされた Unlockerで解除した瞬間エラー吐いてハードエラーの青画面 Onecareオンラインスキャンを回すと3個発見 しかし14%のあるところで止まる→sys32のdll2個の排除できず 入れ直す方がはやいかも知れん・・・
OS入れなおしたいが、残したいファイルに感染してるってことはないかなぁ・・
728 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 14:32:00
HiJackThisで以下をFix(エントリーに現れるのはこの4つ) O2のエントリーはランダム8文字、(no name)となっているもの。(例:tuvWomKe.dll,wvUmkllL.dll) O4エントリーもランダム8文字だが[7800f1cc]で見分けられる筈。 O20エントリーもランダム8文字。ただO20に現れる正規エントリーは少ないため見分けやすいと思う。 (例:ljJYPhEW.dll、wvUmjHXO.dll) こんな感じ O2 - BHO: (no name) - {F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0} - C:\WINDOWS\system32\tuvWomKe.dll O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe O4 - HKLM\..\Run: [7800f1cc] rundll32.exe "C:\WINDOWS\system32\axhiujye.dll",b O20 - Winlogon Notify: wvUmjHXO - C:\WINDOWS\SYSTEM32\wvUmjHXO.dll このウイルスが作成するファイルリスト(多分みんな作るファイル数は同じ) C:\WINDOWS\system32\eyjuihxa.ini C:\WINDOWS\system32\axhiujye.dll C:\WINDOWS\system32\732335b2-.txt C:\WINDOWS\system32\eKmoWvut.ini2 C:\WINDOWS\system32\eKmoWvut.ini C:\WINDOWS\system32\tuvWomKe.dll C:\WINDOWS\system32\nnnoNgfd.dll C:\WINDOWS\system32\byXQKbyX.dll C:\WINDOWS\system32\wvUmjHXO.dll C:\WINDOWS\fxstaller.exe 環境によってファイル名は変わってくるのでHiJackThis等ログ取得ツールを 使って調べる。 ひとついえることはツール使わないで削除するのは無謀
dllあっても大丈夫だと思うけどな。 システムが使ってるdllが改ざんされてたら、アンチウイルスも警告出すだろうし。
730 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 14:38:19
731 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 14:38:42
ウイルスが改変するレジストリポイント [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0}] C:\WINDOWS\system32\tuvWomKe.dll [2008-12-26 303104] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Windows UDP Control Center"=C:\WINDOWS\fxstaller.exe [2008-12-23 52786] "7800f1cc"=C:\WINDOWS\system32\axhiujye.dll [2008-12-26 73216] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvUmjHXO] C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "authentication packages"=msv1_0C:\WINDOWS\system32\tuvWomKe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328] ファイル名のところはランダム文字列(8文字) レジストリーはHiJackThisで間手単に処理可能
>>730 ファイル名は個人個人で違う。
何回も感染実験すれば各ファイルがどのように変化しているかわかると思うけど
そこまでやってない。
駆除完了の基準としては
・不正なタスクがない(コンパネ、パフォーマンストメンテナンスのタスクから
確認して)
・レジストリポイントに不正なエントリーがない。
・症状が完全に治まった
だと思う
結論から言うとComboFix使うのが楽
昨日OS入れなおしたんだが、時間が経ったら自動更新が有効にならなくなった。 わけがわからん。 今度はメッセンジャーとかでへんなURL送られてきてないんだけどなぁ・・・
NOD32、OneCareを試したところOneCareで消しきれないやつが出てきたんですが・・ しかもまた英語のサイトに誘導される現象が・・・ これは一体どうすればいいんでしょう
>>734 NODがどの程度ファイルを駆除(このウイルスに対応)してくれてるかわからないから
わからんけど、検出できてるってことはNODで駆除できると思う。
NODが検出したログをみて判断するのが一番。
少なくとも残骸が残ってる可能性はある。(ウイルスが作成した無害ファイル等)
ウィルスは駆除出来たんだが 自動更新だけ直せない 教えてえらい人
ウィルスが作成している以上、無害ファイルというのは作らないと思うんだが・・・ まぁ言い方次第だろうけど、 自分のPCには無害なファイル? 準備段階で活動していないファイル と言うべき“内容”かな
741 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 15:38:54
OneCareでトロイ駆除した後に バスターを起動しスキャンをしたらスパイウェアがまだ出てきます まだ残ってて繁殖でもしてるのでしょうか・・・
君たち! まず無料のアンチウイルスソフトを入れる。 残った問題に対処する。 終了。 これで決まりだね!
他のトロイも呼び込んでるようなので 駆除後にもっかいスキャンしといた方がいいらしい
感染してるかどうかはどうすれば分かるの?
>>740 作るよ。
このウイルスを例にとるとiniファイル、dll、txtファイル、job、等作るけど
ini、dllは単体じゃ動作できない。主となるexeファイルがなければ無害。
ただの残骸。
txtファイルなんて単体でも無害でしょ。
↓これとか
C:\WINDOWS\system32\732335b2-.txt
NODがどこまで駆除できるかわからないけど、大本は
駆除できるみたいだから(だよね?)
NODが逃したとすれば大本がいないと動けないファイル類。
↓これとかw
C:\WINDOWS\system32\732335b2-.txt
ini類とか・・
Combofix使って削除したら自動更新も有効になったんだけど HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows が開けなくなった。 キーを開こうとしてエラーが発生しましたって出る
>>746 エラー内容はそんだけ?
再起動しても治らないのか?
>>746 直らなかった。
エラーの表示でぐぐったらレジストリが壊れてるとか書いてあった・・・
結局OSいれなおしか・・・うわーい
>>737 検出できてるのはダウンローダだけで、除去するまでに落とされた未知のマルウェアが活動してたら
止めようがない。マルウェア活動中だと主立ったセキュリティソフトは動作停止させられたりインストール失敗したり
させられるので、感染後に除去するのは困難。
別ドライブとかCD起動してから除去する形になるが、その環境がない場合にはOS入れ直しコース。
一旦擦り抜けて活動開始されちまった場合は、OS入れ直し以外では残骸がいつ活動再会するか不明。
WindowsUpdate止められたり、セキュリティソフトのパターン更新止められるような状況の場合は
素直にOS入れ直しやリカバリーを行なうこと。レジストリエディタの起動ができないケースもOS入れ直し。
>OS入れ直し以外では残骸がいつ活動再会するか不明。 本体がないのにどうやって活動するんだよw
751 :
737 :2008/12/26(金) 16:04:22
>>749 だよなぁ。
ウイルスに感染したら基本リカバリーだな。
初期化ってどうやるんだ Vistaのディスク入れて再起動してんのに何にも反応しないんだけど Fキー押せばいいの?誰か頼む
メッセンジャーは使えるようになったのですが 自動更新が有効にならない場合は何が原因なのでしょう
754 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 16:06:10
大事なファイルをCDとかに焼いても大丈夫か誰か教えてくれ
まぁウイルスに感染したらOneCareとかNODとか使っても基本無駄だよな。 駆除するならログとってあやしいファイルをすべて割り出して削除するのが 確実に駆除できる。 Windows Live Messenger のスレの人たちはログもとらずにdll消してるみたいだけど 怖くないのかw
既出かもしれんが教えて。 これって最初のDropperがIExpress形式(古いアップデートパッチのキャビネットファイル自己展開形式)なExeがoctet/streamで送りつけられているんだけど, IExpress形式ってブラウザでいきなり実行されたっけ? 手元にIEAKがなくてためしにパッケージ作れんので,誰か試した人が居たら教えて。 こんなんでIEに表示させた瞬間にEXE実行とかできるんだったら非常に困る。
>>752 メーカー製のパソコンならリカバリー。
リカバリーとはパソコン出荷当時の状態に戻すこと。
リカバリーのやり方は書いてあるはず
>>753 駆除できていない、もしくは、駆除はできていてもウイルスが書き換えた
レジストリーがそのまま
>>754 大丈夫。
>>756 >IEに表示させた瞬間にEXE実行
このウイルスの場合は実行ファイル本体を落として実行しないと
感染しないはずだけど・・
ホームページ見ただけで感染とかはあるけどね。
コンパネ→管理ツール→サービス Automatic Update(もしくは自動更新?)の項目のスタートアップの種類を「自動」にすりゃいいんじゃね? ほっときゃ勝手に有効になるようなもんじゃないぞ
>>757 リカバリのことについて書いてる
説明書がないんですよ
説明書らしきものにそういう風なことが一切かかれてないんです
fxstaller.exeを消し、imgs.exeも削除して、OneCareとNODでトロイ削除。 ランダム羅列のDLLも消して、自動更新有効になりPCも普通に動いているように みえるのですが、何もせずしばらく放っておくと「ドゥン!」というエラー音が突然鳴ります。 画面上は何も変化なし。 これはまだ感染してるということなのでしょうか。 ちなみにIRCBot.AKXは見つかりませんでした。よく覚えてないのですが別の名前の トロイでした。
>>764 acerです
セットアップガイドみたいなもんはありますが、
真っ白なPCからの設定方法しか書いてないので分かりません
>>765 acerの型番もしっかり書いてくれないと調べようがない
>>766 Intel? Core? 2 Duo プロセッサーのASL3600-672032Pです
>>758 さんきゅ。俺の勘違いだったみたい。
IExpress.exeがXP標準であるってことで,手元でバッチファイルをEXE化してWEB鯖に入れてOctet/Streamで送出して・・ってやってもうまくいかなかったんで,なんでだー!と思ってた。
ぁゃιぃexeのクリックが必要だったのね。これで注意喚起しとくわ。
?は記号です暗号化されてしまいましたすみません
>>770 リンク先を見ました
Acer eRecovery Managementが全てのプログラムの中にありました
これでリカバリできるのでしょうか
>>771 それでできるはず
再インストールってのクリックしてみて。
おれはそのパソコン持ってないからあとは自分でやってみて
今回の騒動、一連の挙動を見てみると、 ・ダウンロード後ブラウザが「実行しますか?」の警告を出してくる ・vista なら UAC とか VirtualStore とかが大忙し な気がするんだけど、そんなにホイホイOKボタン押しちゃう人ばかりだったりするの?
>>775 メッセージボックスが出ないということは、誤ったdllを削除したか
まだウイルスが残ってるか、システムが書き換えられてるか。
俺的まとめ
挙動はこんな感じ(????????はランダムな文字列)
リンクをクリックし、実行する
↓
imgs.exeが解凍され実行される
↓
fxstaller.exeが実行される
↓
fxstaller.exeや????????.dllがPC起動時に実行する様に設定
IEでアンチウィルス導入表示を行う
WindowsUpdate無効化
fxstaller.exeはVirusのダウンロード等をする
????????.dll系はその他諸々?WindowsUpdate無効化やdll再生成も?
実際にメッセージ送信してるのはdll系かな…
生成ファイルや改変レジストリは
>>728 ,731
感染の疑いは、
隠しファイルも含めてPC内を検索しimgs.exeが有ったらアウト
fxstaller.exeがタスクマネージャで見て動いてたらアウト
コマンドプロンプトを起動
dir /od /tw %windir%\system32\*.dll
を入力してenter
(これは拡張子がdllのファイルを最終更新日順にソートして表示するコマンド)
日付が25日以降で????????.dllが4つかそれ以上?有ったらアウトかも
(最終更新日が25日以降の正規dllの可能性あり)
以下不明 NOD32はWindowsUpdate無効化やdll再生成する方のdllは駆除出来ない場合がある? OneCareもやらないとダメ? それでもdll系が残り駆除出来ない場合あり? エラー音が突然鳴る現象がある?
781 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 17:18:42
>>775 俺も時々画面に変化無しで「ピッ」て音が鳴る・・・
ウィルスの主要なファイル削除→NOD・OneCareでスキャン・駆除
→dll削除かましたはずなのにナゼダー
>>780 正確にはどっちやっても残骸が残らない可能性はある
ドゥン音が鳴るのは削除しきれてないから。 全て消せてる奴は問題は出ないよ。
784 :
782 :2008/12/26(金) 17:29:41
逆に残る可能性の方が高いんだよね
785 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 17:32:49
友人だから大丈夫って油断があった。 っていっても、友人いない人にはわからんよね
エラー音について色々教えてくださってありがとうございました。 やっぱり削除しきれてないのか。リカバリするしかないかな。 外付けHDDはあるのですけどマイドキュメントなど外付けに移して リカバリして戻したらまた感染なんかもあるのでしょうか。 マイドキュメントかなにかにimgs.exeがあったので(削除済み) かなり不安です。
OneCareはオンラインじゃないとダメなんだよな?何か不安・・・ NOD32で本体消えてるはずだから問題ないのかな・・・?
ランダムdllが削除できない件 ところで感染してからプロセスにrundll32.exeが出るようになったんだが 終了させてもすぐ戻りやがる
>>787 ファイル個別に適当なフォルダ作って移動
フォルダ毎とか避けて
この程度のウイルス踏むなら
隠しファイルとかフォルダ自体ちゃんと見つけられる環境にあるとは思わないんで
まぁ・・・正直HDDフォーマットした方がいいとはおもうけど
この程度ならリカバリでもいいとおもうよ
>>788 不安ならクリーンインストール
何度も言われてる
不安がって試行錯誤する時間でクリーンインストール余裕で終わる
>>773 無事リカバリできました、ありがとうございます
ですがリカバリする前1GBと表示されていたメモリが0.99GBと表示されてるのですが
これを直す方法はありませんかね?何度もすみません
793 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 17:49:48
結局確実に修復するにはリカバリーしかないのか・・・糞ゥ・・・
復元
起きがけの寝ぼけた時間を狙ってくる恐ろしいウィルスだった(キリッ
796 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 18:05:21
ウイルスバスター対応遅すぎだろ・・あのノートンでさえ・・なのに。 終わってますね。
797 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 18:06:37
>>789 全然削除できてない世それ
そもそもファイル名がランダムなだけでリカバリーする程のウイルスじゃないぞ。
ログ取って調べたりセキュ板のスレに貼ればいい
799 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 18:24:18
HiJackThisで O2 - BHO: (no name) - (中略) C:\WINDOWS\system32\tuvWomKe.dll ってのがFix出来ないんだが、なんでだ
800 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 18:46:48
このウイルスにやらてからなんだがレジストリで削除とかをしてから自動更新ができないんだが これを治す方法ってどうやればいい?
スレ内ぐらい検索しろよ
スレ内を検索する知能があればウイルスになんて感染しないだろw
友人からだけど、ちょっと怪しいなって思って avastでチェックしたがスルーだったので 実行してしまった/(^o^)\ 最凶クリスマスプレゼントww 最新のウイルスにかかったのは初めて やっぱり油断禁物ですね。
>>800 onecareのPCセーフティでスキャンしてこい
ただバスターとかセキュリティソフトも一緒に検出してしまうけど。
>>804 変だなすぐ対応されたはずだが。
対応されるまでの隙があったか。
エロ動画消滅w
808 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 19:46:05
で…このウィルス感染するとどんなこと起きるん? 怖くてネットつかえねぇぇから携帯だスマソ
>>796 しかも土日はアップデートなし
つまり対応は来週月曜以降じゃないと対応してくれない可能性が高い
踏んでしまったんだが特になんの症状も出ないのが逆に怖い…
IEで変なページに飛ばされるのの対処は結局どうすればいいの?
812 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 20:17:04
実行したらどんな症状がおこるか まとめ ・メッセンジャーにインしている人にウィルスのダウンロード先URLを貼りつけて送信 ・インターネットオプションより、セキュリティタブのレベルのカスタマイズが行われる その他-暗号化されていないフォームデータの送信 有効にする に書き換えられる (デフォルトは ダイアログを表示する にチェックが入っている) ・インターネットオプションより、プライバシータブの「インターネットゾーン」が一番下「すべてのCookieを受け入れる」に設定される(デフォルトは中)
813 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 20:25:10
なんか怖いから明日ヨドバシかヤマダ行ってくるわ…俺の判断は正しいか…?
814 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 20:32:51
816 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 20:48:04
ぃあ…本体データ?みたいなのはその無料ソフトで消去はできたんだ…だが自動更新は無効になってるし…完璧に治った人いるのか?リカバリなしで。
25日の1時過ぎくらいに感染して、ココ見ながら適当に駆除したんだけど 適当にやりすぎて消しちゃ不味いものも消したかも・・・ 起動時に毎回 「C\WINDOWS\system32\bmusxpul.dllを読み込み中にエラーが発生しました 指定されたモジュールが見つかりません」 て出るんだけど、これやばい・・・?
むしろバスターやノートンの方が危険
819 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 20:54:08
これってメッセンジャーソフト使ってないんなら感染しないんですよね?
NOD32でも完全駆除は無理そうよ
486 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:23:46
p://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=157
>>463 IMG455.jpg-www.photo.com を解凍し→
>>465 imgs.exe に感染するとできるファイル群
多数のdllファイル等が生成されましたが、MD5が共通するものだけ抜き出しました。
放っておくと、BHOが組み込まれ、偽セキュリティ対策ソフト(WinAntiVirus2009)ダウンロードページへ誘導されます。
488 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:32:10
>>486 の続きです。
NOD32 定義3717では0/6
メッセンジャーウイルス感染後にNOD32を入れた人は、exeの駆除はできていても
dll群の駆除ができていないので注意が必要です。
>>821 大手ベンダーが全滅・・・・
その中でバスターが・・・
>>816 完璧かどうかはわからないが、自動更新は有効になる・・・今のところは
NOD32、KINGSOFT、OneCare、Avastのスキャンかけた
何回再起したことやら
自動更新できない奴はためしにRUPERAntiSpywareやってみたらどうだろう AVGでスキャンした後にこれ使ったら自動更新有効になった たまたまかもしれんがものは試しに
手動で有効にすればいいだけ
>>821 spc.exeを
>>820 のアップローダにあげてくれないかのう。
速攻でベンダーに通報しますので。
ごめ、SUPERAntiSpywareな
828 :
817 :2008/12/26(金) 21:16:05
>>829 とりあえずPandaGlobalProtection2009で検出→隔離できたことを報告しておきます(疑わしいファイルとして検出)
>>829 ありがと。一応AVGに報告します。
それと検出スレにもはっときます。
これで一連のspcをGenericで検出できればいいんですけどね。
今日の朝にNOD32でトロイ駆除が終わったのでPCの電源を切って ついさっきPCを立ち上げたばかりなんだけど、まだ完治にはほど遠いな。 立ち上げとほぼ同時に出てくるメッセのサインイン画面が出ないし Internet Explorerをクリックしても一定時間とは言え反応なかったし。 こりゃOneCareでも導入して再びスキャンするしかないかな。 そういや、タスクからfxstaller.exeかimgs.exeを削除する対処法を 友達から教わったばかりなんだけど、そんなexeは見つからなかったんだ…
>>831 >これで一連のspcをGenericで検出できればいいんですけどね。
NOD32とNortonは厳しいな、特にNOD32は一度スルーしてしまうとどうしようもない
>>829 Avira、Panda、Symantec、BitDefender、ESETに提出完了
Kasperskyにも提出しておきます
>>834 これは元のファイルから感染した後のファイルなので感染しなければおk
ノートン先生対応来たな
NOD32が完全駆除不可なのは俺も試して分かったけど 駆除可能な分でも、exeと自動実行のレジストリエントリしか消しておらず なんか中途半端な駆除になってないか? 他で駆除した方が良さそう…
タスク消去、レジストリ削除、ファイル検索して削除、Onecareスキャン で、dllも全部消えたし自動更新も有効になったんだが 直ってない奴が多いみたいだから不安になってきた
すいません!! 感染して、色々なスレのを試しても自動更新が直らなかったので onecareのPCセーフティでスキャンしてたらRUNDLL って名前の警告小窓(?)で 読み込みエラー発生 アクセス拒否されました ってのが山の様に出続けてるのですが、これは一体どうしたらいいのでしょう? エラーでてる場所が問題上がってたwindows\system32のなかなのですけども 該当の物は使用中で削除できませんって言われるんです
アンチウィルスソフトを駆除ソフトと勘違いしてる馬鹿共が日本にはこんなにいますw
ってかこんなにまで時間費やして必死に削除作業行うのはありえないなw 普通はバックアップとってあって、数時間程度で元通りになる。 製作者の思い通りだな。
843 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 22:23:09
普段ウイルスなんか感染しないからと鼻で笑ってる奴らだろここにいる奴らの大半は。 オンラインスキャンと体験版使うのに精一杯だからな。 そんな色々いれるくらいならリカバリーしろと
レジストリ内をfxstallerで検索したら 名前 種類 データ 000 REG_SZ myspacy 001 REG_SZ fxstaller 002 REG_SZ fxstaller.exe 003 REG_SZ imgs.exe 004 REG_SZ imgs 005 REG_SZ mysapacy 006 REG_SZ mspaint.exe て出てきたんだけど、これってやばい?
848 :
847 :2008/12/26(金) 22:34:19
ずれたw
HiJackThis、ComboFixが使えないNoobは大人しくリカバリしろってことだよ。
850 :
名無しさん@お腹いっぱい。 :2008/12/26(金) 22:45:42
一通り削除できたと思ったんだが、rundll32.exeが常駐し続けてるなぁ この場合はどうすればよいですか?
だめだ、もう俺はリカバリ あばよ
スッキリ!!!
>>847 はいはいヤバスヤバス
OS再インストールコースいってらー
ダウンローダはブロックと除去できるの多いけど、稼動すると生成される
>>829 とか、そいつが落としてくる
>>820 なんかは
全部撃墜できるとこ少ないな。現時点では全てを除去できるのないから、複数のベンダー組み合わせてやるとか
しないとだめだわ。取り敢えず俺も検体提出いってくらー。
OS再インストールコースの方が早いし安全確実。
駆除が完了したゆとり君たちが活発に動き出しましたねw
と、情弱が何か言ってますw
Macなら感染しないっぽいな
これってファイルダウンロードをキャンセルしたらセーフ?
>>857 ウィルスとかはほとんどWindows向けだからな
860 :
847 :2008/12/27(土) 00:11:19
ほんとにやばいみたいw NOD32とOne Careはやって、その後もっかいフルスキャンして駆除したのに レジストリにfxstaller普通にある 消しても出てくる
2008年5月末に公表された、有名な独立検査機関av-comparatives.orgによる新種のウイルスに対する検出能力調査では、総合成績(検知率と誤検知数の少なさの総合評価)で断トツのトップ成績(検知率72%・誤検知数8)に輝いた。 第2位はNOD(ESET)(検知率57%・誤検知数7)。 この2つだけが最優秀ソフトに認定された(新種のウイルスを検知する能力)。 なお、他の主な有名ソフトでは、McAfeeが32%(0),AVG32%(10),Microsoft29%(5),G DATA29%(11),Avast28%(23),カスペルスキー21%(2),ノートン18%(2),F-Secure6%(2)ほかであった。 なお、( )の数は誤検知数をあらわす。
>>862 それは、未知のウイルスのテストじゃないじゃん。
既出のウイルス検知率だろ。
今回の騒ぎでわかったこと ソースネクストは役にたたね サブPCのAvastの方が優秀とか…
>>864 ゆとりもほどほどにね
>ProActive - Test
ID出ないとなんでも言えるんだなw
>>865 ウィルスセキュリティZEROのことか?
それなら実行直後に通信をブロック云々と出てきたんじゃないかい?
そういう警告を無視して許可したんだからもう手の着けようがないバカだよな
F2ブログでこれ取り上げてる人のところから来ますた。 IMG455踏んでしまって実行ファイルまで起動したが、 ウィルスキラーはトロイの木馬と見抜いて削除してくれた。 レジストリも調べたけど、報告されてるfxstallerとかも無かったし、 ウィルスキラーいけるんじゃないかと。
>>859 そもそもマックはexeファイル開けんらしいな…不便杉
年末年始もシマンテックやトレンドマイクロは仕事してるよね?
>>868 それはダメポなソフト。「ウィルスキラー」の中身は「Rising Antivirus」
ダウンローダの検体送ったら、こんな回答よこす会社です。捨てちまえ。
>2. Filename:IMG455.jpg-www.photo.com
> No malware.
多分検知したのは「cbXQgfcb.dll : Trojan.Win32.VUNDO.cel」と「awtTjgHy.dll : Trojan.Win32.VUNDO.cel」と
「xxywWpoo.dll : Trojan.DL.Win32.Undef.cud」の3つだと思うけど、その1ファイルは除去できても、
他がまるっきり残ってるから。
残念だったな。検出して除去しても「他が残っていない保証にはならない」のだよ。
トレンドマイクロは年末休暇ですがなにか?
AntiVirは土日休みだからこの間はアップデートしてくれねぇ・・・・
>>857 ざっと聞いて回ってみたがMacの感染者は見当たらんね。マカーの唯一の強みだな。
おい友人から
foto
http://hi5 .eu.com/ id.php?=●●が連続で送られてくるんだけど
これ返信しても相手に聞こえてないのか?
>>872 検知したウィルスは「Trojan.Win32.Undef.vov」ひとつだな。
system32内でIMG455実行した時刻と同時刻に作られたファイルの中で、
特に変なのも確認できなかった。
まあ、ダメそうなソフトではあるが。
>>876 絶対にクリックするなよ!ウィルスだからな!
>>870 そのうちの3つはNortonは検出できるようになってる、ま、全部検知できなきゃ意味ないんだけど
全部検知できるベンダーはいまだない・・・
sleipnirとavast先生のおかげでなんとも無かったが・・・ 困ったなこれw
>>881 sleipnirだと大丈夫なもんなの?
883 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 01:06:45
やべぇクリックしちまったorz Google Chromeさんは「エラー: このリンクは無効です。」 Sleipnirさんは「Internet Explorer は、要求された Web ページにリンクできませんでした。」 で、DLとかなにもされなかったけど、 これ、大丈夫なの?
>>882 URL送られてきてとりあえず踏んだら
MS-DOSアプリを実行しますか?って表示出してくれたから、なんじゃこりゃって感じで
885 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 01:22:05
ダウンロードしなければ大丈夫。
ダウンロードしても実行せずにゴミ箱ぽいぽいすれば大丈夫だぞ
>>737 ありがとうございます!
それと、AVGを試してみたところごっそりトロイなどを消せたのですが、とりあえずはこれで大丈夫でしょうか・・・・?
だめ。OS入れなおせwww いや、発動させちゃった場合はマジに。
>Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。 って書いてある日記サイトあるんだがIEじゃないと駄目なのか? サファリとか火狐なら開いても発動しないのかね
891 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 02:23:44
ちょっと書き方がややこしいかも。 要するにファイルをダウンロードして実行したらoutってことでしょ。
落としても実行しなければセフなのかな。d ウィルス検知されればある意味安心なんだが検知されないと見落としてるんじゃないかって逆に不安になるorz
やじうまwatchは多分連休でお休み中 ギガシンやスラッシュドットも来てない、はてな系もほとんど無し、 痛いニュースにあるわけもないし それほどの規模ではないのか、 それとも特落ちなのか?
消えない3つのウィルスの内、OneCareオンラインスキャンとAVGの最新定義で 一つだけ駆除できた 明日、仕事納めなんで、それ終わったらOS入れなおすか・・・
ノートン使ってる人はシマンテックに積極的に検体提出した方がいいよ いくつか検体送ってみたが数時間で対応してくれた(私はNorton使ってないのでVirustotalで確認) 恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない、あとは一日単位
896 :
972 :2008/12/27(土) 03:02:13
897 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 03:03:08
激しく誤爆
>>859 俺はAviraメインだけど、SymantecやKaspersky、Mcfee、VirusBaster、avastとかに検体送ってる。
今回のIMG455.jpg-www.photo.comと
>>820 は送ってあるので後は対応待ちだな。
>>898 の誤字が酷い件について
それと
× VirusBuster
○ TrendMicro
ね、VirusBusterだとハンガリーのアンチウイルスベンダーになっちゃうので
900 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 03:13:17
NOD32アンチウイルスをインストールしようとすると[1]と出てインストール出来ないのですが、どなたか解決方法分かる方教えていただけませんでしょうか?
昨日感染してこのスレ見つつ色々やってみたが imgsは見つかったけど、fxstallerが一向に見つからない件 imgsだけ作成されてfxstallerが作成されないってのもあるのかな?
902 :
898 :2008/12/27(土) 03:19:56
追記
>>901 ランダムdllも生成されてないっぽい
>>902 >>820 の検体は私も大手ベンダーに提出しておきました(私が送ったベンダーはAvira、BitDefender、Symantec、Kaspersky、ESET、Panda)
Aviraは土日休みだから仕方ないとしてSymantecは最初オールスルーだったのにそこから数時間で4つも検出できたのはお見事だし対応速度も速く好感持てました
以前まではSymantecは検体送っても対応するのは1週間後というイメージがありましたから最近の対応の速さはそのイメージを払拭してくれますね(他にもいろいろと検体送りましたが大体1日で対応してくれました)
逆にガッカリしたのはBitDefender、こちらもいくつか検体送ってますがまだ対応してない検体が多い・・・
一日のアップデート回数は多いのに・・・
今OneCareでスキャンしたら、やっぱりトロイの木馬が出てきたな。 昨日のNOD32で完全に駆除されたわけじゃなかったのか。
onecareでトロイみつかったけど、駆除できませんとかいわれたぜ・・・
>>895 >恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない
そこは間違ってるので突っ込ませてくれ。
月に数回は新種の検体送ってるけど、ノートンが数時間ってのはなにかの間違いかと…って言う位対応遅いよ。
今回は運が良かったのかもね。数時間で対応したんじゃなくて、他の人がもっと早く検体提出してたので
対応までの時間が短かったように感じられるだけ。
最近は返答が1〜2日で来るけど、それも新種は、検知できなかったので人力で解析しますって返答でCLOSE。
実際の対応は、1週間で終わってないとか結構あるよ。マカフィーも、返答はある程度早いけど、新種への対応は
鈍い気がしますね。
本当に早いのはカスペとAvira(AntiVir)。カスペは対応が異様な程早い。
それよりちょっと遅いけどFortinetも早いね。提出してないのはすり抜け多いが。
で、この文面書いてる間に、Fortinet きた。次のアップデートで対応。(※ パターンがアップされるまでは未対応です)
>820と>829の検体提出してから4時間位。今回は早かったな。
The samples you submitted will be detected as follows:
imgs.exe - W32/Agent.AZOB!tr
spc.exe - W32/Agent.AZOB!tr
IMG455.jpg-www.photo.com - W32/Agent.AZOB!tr
awtTjgHy.dll - W32/Dropper.CA!tr
cbXQgfcb.dll - W32/Dropper.CA!tr
ewulmrrn.dll - W32/Agent.AZOB!tr
xxywWpoo.dll - W32/Agent.AZOB!tr
ssqOHYSJ.dll - W32/Agent.AZOB!tr
InstallAVg_770522156649.exe - W32/FraudLoad.VET!tr
カスペは提出から10分位で返答。流石に誰かが先に提出済みだったんだとは思うが。
DLLは無害扱いしてる辺りに疑問が残るけど。
年末だしクリーンインストールオススメする(´・ω・)ス
今年のウイルス
>>907 Aviraはカスペより対応速度遅いよ
カスペと比べたら対応にだいぶ時間かかってる印象を受ける、ただAviraにとって最大の問題は土日なんだけど
ノートンとマカフィーは最近になってだいぶ対応が速くなった印象を受けるんだけどね〜
じゃないとパルスアップデートやActiveProtectionが活きないって
911 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 03:52:43
RUNDLL C:\WINDOWS\system32\tuvUNEXp.dll を読み込み中にエラーが発生しました。 アクセスが拒否されました。 ってのが無数に出てきてオワタwwww もうクリーンインストールしかない・・・orz
912 :
910 :2008/12/27(土) 03:54:21
あとノートンの場合はSymantecに検体提出してSymantecから返事来るだいぶ前に既に対応してるというパターンもありっていうかこのパターンばかり(Virustotalで確認、2009だったらもっと早く検出できるかもしれない)
913 :
898 :2008/12/27(土) 03:56:03
>>907 カスペはssqOHYSJ.dll以外はウイルスって言って対応したはず。
ssqOHYSJ.dllはNo malicious code was found in this file.って言われた。
>>913 カスペから返事が来てたのか・・・
となると私の方にはカスペから返事は来ませんね・・・
Panda2009もssqOHYSJ.dllだけスルーであとは疑わしいファイルとして検出だからssqOHYSJ.dllはPandaにとっても白判定なんでしょうかね・・・
Pandaはメールで検体送っても返事が全く来ないからわかりません、ま、返事が来ないベンダーの方が多いんですけど(BitDefenderもavast!も)
915 :
898 :2008/12/27(土) 04:11:56
Mcfeeからのお返事のコピペ。 5030850 ssqohysj.dll inconclusive null null 12/26/08 No 5030850 xxywwpoo.dll inconclusive null null 12/26/08 No 5030850 awttjghy.dll current detection generic dropper.ca Trojan 12/26/08 No 5030850 cbxqgfcb.dll current detection generic dropper.ca Trojan 12/26/08 No 5030850 ewulmrrn.dll current detection generic dropper.ca Trojan 12/26/08 No 5030850 installavg_770522156 new detection generic downloader.x Trojan 12/26/08 Yes Mcfeeはssqohysj.dllとxxywwpoo.dllが白って言ってますね。うーん。 これはssqohysj.dllは白なのかな?でも対応しているベンダーもあるし……
>>915 KasperskyもPandaも白と言ってるしssqohysj.dllはやはり白なんじゃないかな?
Aviraにも提出したからあとはAviraの回答待ちですかね
917 :
898 :2008/12/27(土) 04:16:14
一応、カスペの他のファイルのお返事も置いときますね。 awtTjgHy.dll - Trojan-Downloader.Win32.Agent.axsv, cbXQgfcb.dll - Trojan-Downloader.Win32.Agent.axsx, ewulmrrn.dll - Trojan.Win32.Agent.baer, xxywWpoo.dll - Trojan.Win32.Monder.afwm InstallAVg_770522156649.exe_ - Trojan-Downloader.Win32.FraudLoad.veti
>>912 対応済みの検体ばっか送ってるんならそりゃ速いよなー
俺は10回ぐらいしか送ったことないけどノートンのは対応遅い印象がある
何年かかっても直らないノートントラップの誤検知もなんとかしてくれないかな
NOD32後、Onecareでも消えないdllあって自動更新も有効に出来なかったけど ComboFix使ってみたら正常に戻った・・・ように見える まだなんか潜んでそうだからも一回フルスキャン中・・・
自動更新も有効になるし、ウイルスに掛かってたときのような重さもない だけど、レジストリでfxstallerを検索かけると、またいくつかヒットする 害はないし、敢えて無視してるけど
NOD32、OneCare、SUPERAntiSpyware、Spybot、ウイルスバスター、手動でファイル及びレジストリ削除を 乗り継いで、ようやく一見元に戻った感じになった 対処としては今のところはOS入れ直しが一番手っ取り早そうだ
どの会社のアンチウィルスソフトがいいの考えるいい機会にはなったなw
よく分からない物踏んだり、実行したりする人って結構いるんだなと思った。
IEでなんか偽ソフトに飛ばないし imgs.exe、これとか見つかんないしfxstallerも見つからないだ しかも、これってシステムの復元ポイントも綺麗さっぱり消えて、復元出来ない訳だし 俺の場合復元できたってことは感染していない証拠なのかな?
>>919 セーフモードでスキャンして隔離させると削除出来ると思う
>>925 セーフモードでComboFixやったのがよかったのかも知れんな
マカフィー入ってる状態で感染して、5分おきにトロイの削除祭り;; セーウモードでfxstaller.exeとimgs.exe削除して、再起動で立ち上げて マカフィーの削除祭りが終わりを告げてくれて、NOD32でスキャン・削除したけど それじゃ終わってないと知ってすぐにOneCare ザクザク引っかかったけど、うちは全部消せた。 その後にAVGで問題無かったから大丈夫と信てる… いや信じたい… 今トロイの検出なし、メッセにも普通にイン出来てエラーもなし。 マカフィー入れてたおかげで、windows\system32に作られるファイル全部 削除してくれたおかげと、セーフモードで作業したのが良かったのかな? とりあえず、もう開放されたい。これ、マジで;;
929 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 07:39:06
スレの進み方的に言って、いままでで一番感染が広まったんだろうなあ。 おれもメッセで広がるタイプには感染した。 ウィルスがメッセで来たことは何回かあったけど、今回は引っ掛かってしまったわ。
930 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 07:44:50
>>929 × おれもメッセで広がるタイプには感染した。
〇 おれもメッセで広がるタイプには初めて感染した。
すまん。
urlも疑わないでクリックしすぎだろ・・・w まず引数として最後に自分のアドレスを持ってること自体・・。
俺の全然話さない知り合いが俺の画像を悪ふざけでネットにばらまいたのかと思ったんだよ!
>>932 うん、えっと、とりあえずだ
そんな話もしない知り合いに自分の画像渡すなっ!
吹いたじゃねーかwww
MicroSoftの返答 今朝の9:28。OneCareなら「ssqOHYSJ.dll」以外消せるかも。 他にも未知のもの落とされてる可能性があるので、やっぱりOS再インストールが最適解。 20081226.zip [Container] +---IMG455.jpg-www.photo.com [VirTool:Win32/CeeInject.gen!J] +---(SfxCab) [VirTool:Win32/CeeInject.gen!J] +---imgs.exe [VirTool:Win32/CeeInject.gen!J] +---ssqOHYSJ.dll [Changes to detection currently undergoing testing] +---spc.exe [Trojan:Win32/AgentBypass.gen!I] +---awtTjgHy.dll [Trojan:Win32/Vundo.gen!C] +---cbXQgfcb.dll [Trojan:Win32/Vundo.gen!C] +---ewulmrrn.dll [Trojan:Win32/Vundo.gen!Y] +---InstallAVg_770522156649.exe [Trojan:Win32/FakeXPA] +---xxywWpoo.dll [Trojan:Win32/Vundo.D]
ssqOHYSJ.dllに関しては、ウィルス本体に使用されるライブラリで、 それ自体はウィルス的活動をせず、実害はないのかもね。
本体削除、バスター、OneCareでスキャン 正常っぽい状態に復帰したけど、ネット接続切ってると 知らんタスク(バックグラウンド)がオフライン作業or再接続を聞いてきた orz あきらめて再インスコ やっとオワタ
クリーンインストールなんか30分で終わるな。 64bit Windows Vista HomePremium SP1で
バックアップとってOS入れなおそうと思うんだけど このウイルスUSB感染とかした例ありますか?
939 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 11:07:41
>>933 占い好きなやつからだったし、おれのメッセアドで占ったかと思った。
いきなりURL出すようなウィルスみたいな奴だから、開いた。
たぶん今回引っ掛かった人はほとんどがウィルスが出回ってることを知ってた人だと思う。
状況によっては油断するもんだよ。
自分は絶対感染しないとか思わないで明日は我が身と思うべきだなと思う。
明け方にも書いたけど、もう少し簡単に詳しく セーフモードでスキャンかけると、システムに掴かませて削除出来ないウイルスが削除出来る可能性が高い 他の自己複製型ウイルスもこのタイプのものが多く、マカフィーの公式でも、このタイプはセーフでスキャンすれば隔離出来ると書いてあったとおもう それとは別にアクティブにならないと検出されにくい物もあるので、こちらは通常起動でスキャンしたほうがいいかも セーフして自己複製型消してからが一番手早いさばき方と推測してるど、一部消えない&鬼沸きな人はこの手順で試してみて 最後にワクチン配布されたらウイルス全部消えていても実行すれば、不要に書き込まれたレジストリを戻してもらえるかもしれない
アドレスとファイル名であからさますぎな時点で絶対に引っかからないなw さすがにこれに引っかかるやつはどうかしてる。
942 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 11:36:53
引っ掛かるひっかからない言ってるやつはここからカエレ。人間誰にでも間違えはあるんだよ。あんたみたいないっつも家に引き込もってパソやってるやつはそりゃひっかからないだろうな(笑)
943 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 11:36:55
そんなにあからさまか?
>>941 みたいなのがいっぱいいるから専門家は奔走するんだよな
こういう手合いはウィルス感染して撒き散らしていることにまったく気づかない
ssqOHYSJ.dllの検索結果 2 件中 1 - 2 件目 (0.07 秒)
imgs、fxstallerのexe削除、sys32内のランダム生成dllも消した レジストリも掃除した なのになぜか自動更新の警告が未だに出てくる
年末だから気をつけないと第二第三の…。
>>947 そうねえ・・・起動しっぱなしの人はスケジューラで更新したほうがいいね
なんか感染した自分が恥ずかしいな
メッセはずっとつけてるのに、そんなの送られてこなくて逆に寂しい。 全員に送ってるわけではないのね。
友人が感染してないのはいいことじゃないか つか俺は同じ奴から3回届いたぜ 悪いとは思いつつ吹いた
C:\WINDOWS\system32\rundll32.exe "C:\WINDOWS\system32\byXPIcaY.dll",ShellPath これはなにー?
>>951 なるほど、
ウイルス制作者→誰か の他にも
感染者→誰か でも移るんだもんな。
そしてワラタw
954 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 13:19:46
で、今回のばい菌はどんな悪さをするので?
・インチキセキュリティソフトのインスコ ・IRC-Botで遠隔操作(何でも可能)
956 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 13:26:06
遠隔操作…だと?あと50程で満スレ
958 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 13:54:00
25日に落としたIMG〜〜.comと、たった今落としたIMG〜〜.comのファイルサイズが違うぞ!? ウィルスのバージョンアップでもしたのかなぁ?
今年のウイルス、今年のうちに〜
Aviraは土日入るとどうしようもないな 休みのおかげでまったくアップデートしない
どっかでみたO4エントリーだと思ったら今年の初め頃のVundoだった
963 :
958 :2008/12/27(土) 14:42:19
IMG〜〜.comの中身が 今までは imgs.exe だったのが、 今回のは myspace.exe となっていました 不確か過ぎる情報になるが、古いタイプの物ならonecareとかだけでも対処できたっぽい(?)
965 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 14:53:06
OneCareで今やってるが出てくる出てくる同じ名前のやつがwこれ何時間くらいでおわるん?
>>963 またお寒い検出率。
myspace.exe(4/39)
http://www.virustotal.com/jp/analisis/afb8e49c32fb4bf3fd8d758f61e8c484 IMG455.jpg-www.photo.com(6/39)
http://www.virustotal.com/jp/analisis/9e2f3a26c0eae08fcbb3ef65ec423924 ===== myspace.exe(4/39) =====
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J
===== IMG455.jpg-www.photo.com(6/39) =====
a-squared 4.0.0.73 2008.12.27 Backdoor.Rbot!IK
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
>>966 GDATAがカスペ捨ててBitDefenderを選ぶのはわかるような気がする
でもBitDefenderって一度スルーするとどうしようもないんだよな・・・
その後の対応にかなり時間かかる
ウイルス?そんなもの来ませんでした だって、友達がいないんだもん・・・
なんでメッセ入れてるの??????
970 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 16:19:39
とりあえずOneCareでセーフモードと通常でスキャンした…これで事が治まればいいのだが…
WIN2000でもいけるのないかな…_| ̄|○
973 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 16:47:10
OSの上書きインストールくらいじゃどうにもならなかった・・・
さっきPCショップでウイルス対策ソフトのとこ見てたらマカフィーがWIN2000でもいけますってあった
Spyware Doctorを使っている者なのですが 大体5分毎位に、 脅威名 - Trojan.Virtumonde 感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} 脅威名 - Trojan.Virtumonde 感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore 脅威名 - Trojan.Virtumonde 感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Time 脅威名 - Trojan.Virtumonde 感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Count 脅威名 - Trojan.Virtumonde 感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Type が出てきて困ってます。 IMG〜〜.comかかったのが26日の7時なのですが このスレの最初から割と丹念に見て、 ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが 未だに残っている状況です。 スレも最後の方なのですが、よろしくお願いしたいです・・。
うーむ、これ引っかかったやつは不注意すぐるぞ
感染したHDDを他のPCでスキャンしても、完全に除去できないの?
>>973 そりゃあ、OS自体は壊れている訳でないから当たり前といえば当たり前の結果だな
根本を削除しない限りもと通りにはならんよ
971です!ありがとう!!がんばってくる!!! お前ら大感謝だっ( ´Д⊂
>>975 >>940 を試してみて
> Spyware Doctorを使っている者なのですが
> 大体5分毎位に、
> ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
> 未だに残っている状況です。
>
> スレも最後の方なのですが、よろしくお願いしたいです・・。
超亀だが俺も
>>903 と同じ症状だわ
逆に不安になる
>>903 だけど、自分はクリックして、ファイルも完全に開いちゃったと思う
感染時の症状もあったみたいで、メッセでウイルスばら撒いてたりメッセで話しかけられてもこっちには何も無かったし
984 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 18:31:20
わからないので教えてください クリックしてもいないのに感染する場合ってあるですか?
スキャンってwindowsDefenderでも大丈夫?
986 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 18:55:55
>>984 基本的にはそのファイルを開いたら感染。
ただメッセージが来ただけで無視したなら感染してない。
不安なら、fxstaller.exeとimgs.exeでパソコン内を検索してみ。ないなら大丈夫。
987 :
958 :2008/12/27(土) 19:02:25
>>986 fxstaller.exeは共通だが、今はmyspace.exeが元ファイルになってる
988 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 19:02:45
>>986 ありがとうございます。
検索しても見つかりませんでした。
不安になってたので、よかったです。
990 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 19:04:23
992 :
975 :2008/12/27(土) 19:39:48
>>980 さん
ご意見ありがとうございます。
セーフモードでのスキャンでは残念ながら解決には到りませんでした。
色々頑張ってみようと思います。
次スレになってもまだ無理っぽかったら、状況を整えてまた伺いたいと思います。
よろしくお願いします。
このウイルスの作者は逮捕されるの?
994 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 19:45:49
>>993 誰かわかれば逮捕されるかもしれないが、わからないだろうな。
それに作者が住んでる国にもよる。
日本でさえ、ウィルス作成自体を取り締まる法律がない。
この前の暴露ウイルスは感染したらなんかの画像が表示されるから、それの著作権法違反として逮捕せざるをえなかったみたいだし。
995 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 19:51:24
これって感染してもメッセでウイルスのURL送られてくるんですか?
やれやれ、感染してなかったよ こんなのに感染した奴は超絶ド級の大バカだな
997 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 19:57:22
1000だったらこれに感染した人みんな完治
1000だったらこれに感染した人みんなカンチ
セックスしよ!
1000 :
名無しさん@お腹いっぱい。 :2008/12/27(土) 20:00:06
何とか自動更新有効まで辿りついたよトホホ
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。