※ウィルス※ Windows Live Messenger で感染!?

とりあえずもっと簡単な方法のコピペはっとく

foto
ttp://xxx.myspacy.biz/[email protected]

こんな具合のURLがメッセンジャーで誰かから送られてきていませんか？
これはウィルスに感染するサイトのURLです！！

・ウィルス名
IRCBot.AKX　トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。

・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ　他の大手メッセンジャーツール

・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。

・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。

１、http://canon-its.jp/product/eset/trial_ess.html
NOD32アンチウィルス体験版をダウンロード（要メールアドレス）
２、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
３、既存のウィルス対策ソフトをアンインストール
４、NOD32アンチウィルスをインストール
５、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
６、パソコンをインターネットに接続されている状態にし、NOD３２アンチウィルスのウィルス定義ファイルを最新の状態にする
７、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
８、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了

見事に感染 orz

対策かいてくれてる方ありがとう、489見る限り、497で大丈夫そうかな

明日やってみます、ありがとうございました

うわ・・・なんてこったい。感染してしもた。
対策書いてくれている人がいらっしゃるみたいなんで、すぐに実行します。

現在日本国内で大規模に感染爆発している模様
要注意

特徴としては感染している人のところにはメッセージがこないで、
感染していない人にはメッセージが来るところ

メッセージきたけど、もう来なくなったって人は要注意
感染してる可能性あり

多分このウィルスのおかげでwindowsの自動更新が無効になった。
有効にしようとしても無理なんだけど、これはレジストリ書き換えられたのかな？
レジストリ触るの怖いんだが、どうしよう…

レジストリでなく、とあるランダムな文字列.dllファイルがSystem32フォルダの中に仕込まれたのが原因
Windows Live Messenger Part 5
http://pc11.2ch.net/test/read.cgi/win/1224427238/
こっちでいろいろやってる人がいるよ

>>503
了解です。
すばやい対応助かります。ありがとう

もしかしてリンク先のexeファイル実行でなく
ページを開いただけで感染ですか？
だとしたらたちが悪い…

なんだよ。これ騒いでる奴らって、みずから怪しいURL踏んでるんじゃんｗ
ほんとにセキュ板の住人かよｗ自業自得じゃないか。
こんなのに引っかかってるような奴らは、普段からワンクリサイトとか踏んでるんじゃないのか？

セキュ板の住人だからこそ、一般人より先に踏んで初心者の為に対処法を探さなくてはいけないのだ。

そのおかげで俺も対処ができた。
セキュ版の住人の皆には感謝している。ありがとう。

>>505
exeファイル実行で感染

何度も言うが、exeでなくcomファイルだ

ファイル名がimgなんたらwww.photo.comとなっているから騙されてるんだろうが

一応ソフトで隔離したけどシステム構成ユーティリティにfxstaller.exeがまだ残ってるんだがなんでだ

レジストリエントリに残ってるからだろ

>511
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Windows Udp Control Center　データ名：fxstaller.exe

ごめ。残ってました。レスサンクスです。

検知率トップのAntiVirとかG DATAあたりは対応してるのと違うか？
おれは、仮想化化させて実行させてみたが、仮想上とはいえ感染したやつには
同情するわ。
おれは仮想化解除できれいさっぱり感染なくなったけど。

ふむ

検出率トップだからなんとかっていうのはあまり当てにならんよ
実際、今回の場合はWindows Live OneCareが対応速かった“らしい”からね

これって保存したらまずいの？
それとも、クリックするだけでもまずいの？

>>518
実行したら

結局25日0:00以後配布活動始めたのかな？
2時からの書き込みが多いけど

迷惑なサンタクロースだぜ

Windowsが通常起動できんくなってしまったんだが・・・これはウイルスのせい？それとも故障？

ここのおかげで対処法がわかりました
ありがとう

のーがーど戦法の俺に死角はなかった

かみんぐつーん

つんつくつん？

でーもそのサンタはーハッカー

くそっ
とんだクリスマスだぜ。

対策書いてくれた人サンクス。

マカフィーも削除しましたってトロイの木馬ポップアップ出るけど
すぐそれの繰り返しで何の役にも立ってない

開かないでダウンロードだけしてしまったんだが感染してるんだろうか・・・・
レジとラスクマネージャーみたけどそれらしきものはないし・・・・
ＤＬしたファイルは消したが・・・・だめーぽ？

感染していたらメッセの登録してある人にURL窓がどんどん行くから聞いてみればいい
開かないようにも注意勧告もな

>>531

知り合いに聞いたらきてないそうです。
別ＰＣも４台立ち上げましたがメッセージこないので大丈夫かと思います

情報ありがとうございます

>>496-497
VirusTotal検出結果 14/39 (35.9%)
http://www.virustotal.com/reanalisis.html?46a50edf24ed6e128dbe6db2d8b8a351

AntiVir：Worm/Rbot.100352.2
AVG：Dropper.Generic.AEWD
Kaspersky：Trojan.Win32.Agent.azob
McAfee+Artemis：Generic!Artemis
Microsoft：VirTool:Win32/CeeInject.gen!J
NOD32：Win32/IRCBot.AKX

すりぬけるソキュリティソフト：Avast・McAfee・Symantec・TrendMicro

NOD32アンチウィルス体験版ダウンロードできねー
みんな落としてんのかね

深夜まで待って落とすと良いよ

検出結果のアドレスまちがえた。

結果: 14/39 (35.90%)
http://www.virustotal.com/jp/analisis/7ec5fbcb09eb16190b80738b7110ede9

>>534
下記の製品でも検出と除去できますよ

無料：AntiVir・AVG
有料：Kaspersky・NOD32・（McAfee+Artemis/McAfee単体はだめ）

>>536
その製品でも除去の方法は>>497と一緒ですか？

ちなみにOne careでも駆除できた

>>534
https://www.ecstudio.jp/ssl/nod32/pre_trial.html
こっちならどうだ？中身たぶんCANONのと一緒だとおもうが

>>539
ダウンロードできた。ありがとう

知り合いが引っかかって送られてきたのでちといろいろ調べてみた

ダウンロードした状態では自己解凍ファイル
中にはimgs.exe

EXEファイルの後ろには暗号化した形跡のあるファイル

これで復元出来るのかな？
uREbcXCSgbWrVCVSeSfWErvVdsfERtv CurrentUser Console FullScreen sample

てことはimgs.exeがランダム文字.dllなどを生成しているんだろう

インスコしたはいいがどうやってNOD32を起動させるかわからない

>>537
大体同じ適当にやっとけ。

但し、感染状態で、インストールが蹴られるセキュリティソフトもあるかもしれん。
感染してから除去できるソフトを探して入れる場合は、複数のベンダーの奴を
入手してダメなら他のを試すといいかも。

Dr.Webが対応してたら、LiveCD使えるんで感染状態でもどうにかなるんだけど、
今回のは対応してないからなぁ。

>>542
ちょｗｗｗおまｗｗｗ

>>541
[ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.

[ Changes to registry ]
* Accesses Registry key "HKLM\System\CurrentControlSet\Control\Session Manager".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Accesses Registry key "HKCU\Console".
* Accesses Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "wextract_cleanup0" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".

[ Process/window information ]
* Creates process "imgs.exe".

[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe (52786 bytes) : no signature detection.

>>542
いやいやマジで
再起動してどうすんのよ

>>545
それはねーよｗｗｗｗｗｗｗｗｗ
初心者ってレベルじゃねーぞｗｗ
普通に起動しろ

起動できた
何をやっていたんだ俺は

検体をとりあえずシマンテックに送っておいたお
明日には対応くるお

やられた・・・ッ・・・スパイボットが止めてくれたのに・・・開くなよ俺ッ・・・
とりあえず対策どおりに対策とるかのう

NOD32で駆除トロイが駆除できました
ってなったらおｋ？

ウィルスバスター有料版アンインスコしちまったんだよなぁ、どうしよう

うっかり開いた　orz
スキャンはスルーしたけどレジストリ書き換えは
拒否ってくれたんだろうかウチのバスターさんは……

めんどいから明日駆除しよう

これってURLクリックした時点でアウト？

まさかNODの陰謀じゃねーだろうなｗ

まぁ俺はAVGで駆除したが。

念のためNODでもやっとこうかな・・・無駄？

>>553
開くまではセフ
ファイルダウンロードするまではセフ
ファイル実行したらアウト

PC内をimgs.exeで検索して見つからなかったらセフ

URLだけならなんともない
ファイルを実行する感染

>>555
>>556
サンクス

俺も一年以上メッセしてない人からいきなりメッセが来て、なんぞやと思いつつ
ファイルをダウンロード

でも拡張子がCOMとか正直「？」だったので実行はせず(多分）
ﾀｽｸﾏﾈｰｼﾞｬｰ見て、imgsやfxstallerのﾀｽｸは見当たらず

感染したらPCが重くなったりするのかね、よく分からん･･･

>>558
マカフィーユーザーだが、マカフィーがトロイの木馬を検出して削除しました
とポップアップが出た瞬間にメッセの会話ウィンドウやIEが勝手に閉じる。
メッセのほうは閉じたらもう開かない。
IEは定期的にでるトロイ削除メッセージとともに落ちる。
（実際は削除できていない）
nod32ダウンロードするのにブラウザ立ち上げるとダウンロードしきる前に
ブラウザ落ちるから結局さっきネカフェいって落としてきた。

ttp://nihonbuson.blog10.fc2.com/blog-entry-970.html
ttp://nihonbuson.blog10.fc2.com/blog-entry-971.html

ここのやり方じゃ駄目なのか？

>>560

それやっても、DLLが残ってダメなことがある。

今の俺の状態がそうだ・・orz

とりあえずバスター使って今検出中。
ウィルスバスター君じゃだめだったりする？

まあ、実際に感染して困ってるのはこっちだからな
ttp://www.virustotal.com/analisis/7bd3b0d7330a2e492425965526e67d44

全然駄目

間違えてダウンロードしてしまって感染したか気になってるんだが
よくみるとデスクトップに見慣れないＩＭＧ[1].jpg...ってあって
これ実行したらアウトで実行せずに削除すればセーフって事か？

すまそん497書いた者です
書いている時点では自分で使っているESET Smart Securityが反応してすぐに隔離してくれた＆
感染した友人数名にこの方法を試してもらたっところうまくいったので作成しました。
この時点で対応していたウィルス対策で一番ファイル容量が小さくて高速に動作するものが
ESET（NOD32）だったのでNODを使った対処法をうｐした次第です
おそらくもじゅ一日経過しているので他のウィルス対策ソフトでもひっかかるようにはなっている
でしょうが、このたった１日でも対策が遅れたらどれくらい被害が拡大するかと考えると非常に
恐ろしいものがあります。
なのでこれを急ごしらえさせてもらった次第です。お役に立てたら何より。

>>565
俺もそれだわ
ブラウザは火狐使っててそれをDLして起動はしてない

>>559みたいな症状は出てないけど・・・・不安だなこれ

自動更新が有効にならない・・・
NOD32でスキャンかけて再起したあとは有効に出来るのに
一回、スタンバイすると、また無効になるし。スタンバイしてるのに勝手に起動するし
もうわけわかんね
誰か教えてくれ

俺もＤＬはしたけど実行はしてないな
実行しなければ大丈夫とは言っても不安ＭＡＸ

再起動すると自動更新有効にできるが、しばらくするとまたできなくなるな・・・
どっかから監視してて時間ごとになんかやってんのか・・・ってavastが変なメッセージ吐いてきたな。
ちょっとやべぇぜ

>>570
俺も同じ状況・・・
駆除はできたっぽいんだけどねぇ

>>570 571
ファイル名　　　　　　　　　フォルダ名　　　　　　　　　　　　　　　　　　　　　　　　　　　　　サイズ　　　種類　
imgs.exe　　　　　　　　　C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP000.TMP　　　52KB　　　アプリケーション
imgs.exe　　　　　　　　　C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP001.TMP　　　52KB　　　アプリケーション
IMGS.EXE-27984726.pf　　　C:\WINDOWS\Prefetch 30KB　　　PFファイル
IMGS.EXE-36EA1AEB.pf 　 　C:\WINDOWS\Prefetch 　　　　　　　　　　　　　　　　　　　　　　 　　　14KB PFファイル

NOD32で駆除したがdllが復活し続けたので探したら上記のが残ってた
削除したらdll増えなくなり今のところ自動更新も機能してる

Avira AntiVir Personal Free ntiVirus
でのスキャン中にWarnings: 1 と出た。

つまり…？

ｽﾏｿsage忘れあ

フリートライアルいんすこできねええええええ

これって今夜急に広がりだしたの？

>>572
下２種類のは検索で出てきたんだが「imgs.exe」自体が見当たらないんだよねぇ・・・

うほ、クリスマスプレゼント！
な感じで広がったと思われ

知人にNOD32を大量にばらまいてる俺ｗ

板違いかもしれないけど分かる人いたら教えてください
JaneでリンクふむとIEでページ出てくるんですけど
Firefoxで出すように設定ってどうすればいいですか？

>>577
駆除でimgs.exeが隔離された可能性があるか
imgs.exeが隠しフォルダ内にあるので検索されてない可能性があるかも
下2つは削除しておｋだと思う

やべえええ今気付いた
さっきから調子悪いなと思ってたらどうすればいいんだ

imgs.exe出てこないからNOD32でやるしかないなぁ

何人かの知り合いからこれ送られてきたがひらかなくてよかったｗｗ

>>570
同時に複数のセキュリティソフト入れるなよ…。

>>568
メモリ上や他のどこかに居残ってるんだろ。

わけわかんなくなった奴らは素直にOS入れ直せよ。

>>582
とりあえずメッセンジャー停止して497辺りから見るといい

>>580
既定をFxに設定してみれば？

セキュリティソフト全部アンインスコして>>497の方法でやったら治った。
自動更新も有効になってる。再起動したがそのままだ。

どうやらググり方が悪かったようだ
再度ググったら解決方法出てきた
レスくれた>>587ありがとう、板汚しすまんこ

テスト
http://www.google.co.jp/

>>586
ありがとう
やってみる

>>588
把握

こいつに３時間くらい時間取られてる･･･

うぬぁ！
NOD32で駆除完了したと思ったが、One　Careかけたらトロイ３種検出された
自動更新も無事にできるようになった・・・

NOD32は最新にしたのに・・反応しないとはどういうこっちゃ！

>>592
それはしょうがない
簡単な例で言うとSpybotの後にカスペ使うとゾロゾロ発見されるし
カスペの後にSpybot使ってもゾロゾロ発見される。
検索のパターンファイルがソフトによるからね。

>>593
なるほどなるほど、一概にこれは優秀だ！って言えないのね

>>592-594
まて
ってことは>>497やっても安全じゃないってことか？

そりゃそうだ。こいつ、トロイダウンローダーでもあるから、他のトロイを落として実行してるよ

>>595
俺は>>497のとおりやって１個駆除できた
だが、自動更新が何度やっても有効にされないからOne Careを使ったんだ（時間が経つと無効になる）
そしたら３種のトロイが出てきて削除→自動更新有効になった（時間経っても無効にならなくなった）

やっと平穏が訪れたってとこかな

今回の件に関してはNOD32が良かったってことっしょ

取りあえずメッセ起動して人に迷惑かかってなけりゃおｋ

どうしても心配ならOS入れ直して再出発だ

簡単だろ？

スタンバイから勝手に復帰した件について

ちょっと時間がアレなんでLANケーブル引っこ抜いて明日まで保留とかでも問題ないかな・・・？
今から駆除すると時間かかりそうだ

>>598
これ重要だよな

ただ、価格.com事件の時もこいつだけできたってところを見ると惚れちゃうよね

NOD32スキャン長い･･･　朝までかかるかな

勝手にdll作られてる
Onecare試してるが応答しねぇ

>>597
なるほど
ってことで>>497しか試してない俺が自動更新有効できるか試した結果
できませんでした(´・ω・`)

トロイの種類によるんじゃないか？
NOD32が良かったり、Onecareが良かったり、手動削除が良かったり。

1分に1個の割合でトロイが検出される。。。

てかさぁ、ノートンとか使っている人は一旦アンインストールする必要あるの？
対応済みのNOD32やAVGを落として、いったん現在使用中のを切って、対応済みのをｲﾝｽｺして、駆除。その後、フリーのは切って今までのを再開させる。
みたいな方法じゃダメなのかね？

NOD32スキャン長すぎる(´･ω･`)

>>497だけ試したやつだけど、ＩＥ定期的に出てくるやつなおんねぇ

>>610
インターネットオプション→プライバシー→インターネットゾーンを中以上に

>>611
�d
後は自動更新有効にできるようになんだけど、avastでいけるかな・・

感染後スパイボットかけて再起動したらPCがご臨終した
invalid system diskが出て回復コンソールでMBRとBOOT直しても起動不可
HDD変えても無駄
どうやら電源投入直後に強制的にFDD読みに行くみたいで
何も入ってないFDDがLED点滅させながらギコギコ動く

それは、違うだろうｗ

これって
オンラインの人のみに届くの？

違わん
メッセンジャーのfoto〜で感染してなった
諦めて再セットアップしたが無駄だった
同じ症状で起動しない

>>608
検体提出はしたけど、ノートンは対応遅いから対応待ちしててもだめだよ。

NOD32も検出はするけど、実際に入ってる状態でインストールするとNOD32の動作自体が
阻害されちゃうので役立たずってパターンだね。よくあることだけどつかえねー。

別パーティションのOSとか別PCに入れて、感染HDDをスキャンして除去するならいいんだろうけど。

>>598
ダウト。NOD32でダウンローダは消せても、消すまでの間に落とされた別の奴がすり抜けてるので
>597みたいな不具合再発の事例が出る。

ぶっちゃけ、NOD32は軽さ以外のメリットないよ。今回は引っ掛かったけど、新種の殆どはスルーだし
（ヒューリスティックもあまり強力じゃない…その分動作が軽いが）新種への対応も遅い。

カスペやAntiVirが数時間で新種に対応してくるのに対して下手すると３週間かかるとかなめてんのかと。
新種に対してはシマンテック並に弱いので、NOD32はあんまり信じちゃいけない。

>>602
価格.comの時は(NODみたいなヒューリスティックではなく)
「以前からすでに対応済みの対策ソフトがありました」
と価格.com自身で後から訂正してる
それがカスペルスキーな

system32にどうやっても消せないdllがあるんだよなぁ
これが気になる

NODでスキャンして２つ見つけたけど、有効化できなかったからOneCareを使ってみる

>>619
jkKなんたら？

海外でもパニックでこちらはOneCareを推奨してる

>>621
7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0

big kisses ってのが送られてきたことがある。
流行ってるんだね。

OneCareフルスキャンでいいのかな

>>625
それがいい。

>>626
把握
７分で0%とか･･･、こりゃ寝てたほうがいいな･･･

すいません　どうやら感染したようです
LANだけ抜いてノーパソで対策を探していたところここに流れ着きました。

ttp://canon-its.jp/product/eset/trial_ess.html
で体験版をダウンロードして
ESET　Smart　Securityというのコンピュータの検査というのを実行しています
ですが９０％で脅威の数０なのですが
これはみなさんが言っているNOD３２とは違うのでしょうか？

上のものです
すいません文脈おかしいですね
ESET　Smart Security　というのの　コンピュータの検査　というのを実行しています

↑にもあるけど経過報告
24日時点のウィスルバスターはどスルー＾＾；
NOD32（25日配布のウィルス定義）で少し軽くなり、セキュリティ無効⇒有効に切り替わった
ただ別サイトに飛んだり、PC消す際にexeplorer.exeが終了しない現象は残る
なのでいまOneCareをかけてるけど８％で３個も検出されてるｗｗｗ
完全に直ったらまた書く

100％になるまで待つべし。
特定のファイルが感染してるわけなので、まだ見つかってないんだろう。

>>629
630だけどそれがNOD32ってのはおｋ
けどそれだけじゃ直らない

とりあえず最善はOne Careかね

がんがん悪化していくな
初期での措置が遅れた友人パソが沈黙しちまった

リアルタイムで感染してるのかワロタｗ

お、Avast対応されたらしいな

クソが、消してNOD32入れたばっかだっつーの！

>>632　さん
>>629　です
ありがとうございます

One Careは
ttp://onecare.live.com/standard/ja-jp/default.htm?mkt=ja-jp
の体験版でいいですか？
Avastも対応されたようで
Onw Care

きれちゃいました　
NOD３２がおわったらOnw Careもやったほうがいいですよね？

>>637
体験版じゃなくてＰＣセーフティーってのをやりな。
よほど緊急でない限り体験版はつかわんよ。
ＰＣセーフティがおわったら無料のＡＶＧとかＡvastとかいれておけばおｋ。

>>637
ttp://onecare.live.com/site/ja-jp/center/howsafe.htm
ここのプロテクトスキャンってのに今かけてる
体験版もあったんだ？
基本的にPC詳しくないからオンラインスキャンとDLしてスキャンするのの何が違うのかいまいちわかってない＾＾；
俺自身これでいいのかな？

>>639　さん
ありがとうございます
NOD32が99％なんで
終わったらOnw careの方やって
無料のやつ入れてみます

こんな夜遅くでもこんないい人たちがいてくれて助かった…

ありがとうございますー

FireｆoxにIE Tabいれて、ｆirefoxからOneCareオンラインスキャン
って便利だなぁｗ

自分のPCはOS再インスコなりでいいけど、
メッセ友に悪い事しちゃったなって罪悪感でいっぱいだぜ・・・

NOD32インストールしようとしても
ネットワーク上の場所　ESET\ESET NOD32 Antivirus　へアクセスできません
と出てインストールができない・・・orz
どなたか助けていただけませんか、OSはXPです。

>>637　です
結局NOD32での検出は0でした
その前にタスクマネージャのプロセスでf〜ってファイルを消したのが原因でしょうかね・・？

今One Careの方やってるんですが1％で5個の項目で2個の問題が検出されました
長引きそうなのでこちらは放置して寝ます…。
ありがとうございました

>>644
スレの流れ通り
NODやめてOneCare使えば？

>>646
すいません、来てすぐ書き込んだのでまったくスレ読んでませんでした
OneCare使うことにします！ありがとうございました

>>645
念のためimgs.exeも検索しといたら？



感染した友達がＰＣつかなくなったらしい
対処ソフトＤＬしようとしたら動く気配なく焦ってキャンセルおしたら
今度はキャンセルしてもだめで電源強制で落としちゃったみたい
何度起動させても画面真っ暗だとさ

これはもう手遅れ・・か？

>>648
俺の友達も感染して強制終了かかって
電源入れてもつかないらしい

俺がかかった時も
MSNメッセンジャーで１分おきくらいに
次々と新しいウイルスが送り込まれてきたから・・・
パターンを変化させて増えていくのかな？

>>648 さん
>>645 です
imgs.exe　の検索とはマイコンピュータを開いた時の
上のバーでの検索でいいのですか？

深刻だな
気付いてない人かなり居そう

>>650
>>648です
上のバーの検索でもいいし、スタートメニューの検索でもおｋです

>>652　さん
>>650　です
了解しました
検索かけてみます

発見したら消去でいいんですか？

>>651　さん
結構深刻ですよね…
わずか１日でここまでの被害…。
そしてMSNもSkypも常時ログインの人もいるだろうから
今後どうなるか…。
考えるだけでも恐ろしいです

>>652さん
特にimgs.exeはなかったようです

なんと！　終わったはずのESET　Smart　Securityから
右下に注意？報告？がでました

「プログラムの作動中にウイルスを発見しました。
ファイル命　((C/Windows/fll)すいません覚えてません…こんな感じでした）
トロイの木馬　隔離しました。」

だそうです

お祭り気分のとこに知り合いからURLきたら深く考えずにクリックしてしまうわ・・
まあ俺は保存して実行しなかったからセーフだったけど
次からは気をつけるし大丈夫だなｷﾘｯ

ＸＰ/ＳＰ２以前のＰＣの人はOneCare使えないという盲点

送信するURLにも何種類かあるみたいだな
とりあえず確認できたのは下の３つ
foto http://myspacy.biz/viewimage.php?=(メルアド)←俺が踏んだのはこれ。自動実行？
foto http://www.myspacy.biz/viewimage.php?=(メルアド)
foto http://hi5.eu.com/id.php?=(メルアド)

そして元日早々年賀ファイルにひっかかる655であった

検体上げられる人がいたら
【鑑定目的禁止】検出可否報告スレ8
http://pc11.2ch.net/test/read.cgi/sec/1228314831/

にあげといてくれないかな。

>>657
おｋ
検体スレにもうでてるわ。
ちなみにＡＶＧは対応している。

俺もサンタさんから最凶のクリスマスプレゼントをもらったんだぜ…

とりあえず、過去レスみてＮＯＤ３２で検査して、imgs.exeとviewimage.com（だっけな？）
を駆除したんだが、これで大丈夫なんだろうか？何か埋もれていたりして・・・

今のところ、Liveメッセは自動で開かないようにしてるが、他に気をつけるところあるかな？
少々不安だぜ…。目立って不具合らしき不具合が出なかったのがよかったかな。。

ちなみにOSはVistaです。念のため、OneCareもやっといた方がいいでしょうか？

>>660
avastも対応したっぽい？

>>659
ノートンとマカフィーはおｋ。
今スキャンしたところの結果。
http://www.virustotal.com/jp/analisis/52a259bfc97ca8188b3a0552e7fd6baa

大体の大手は問題ない、ウイルスバスター使っている人は乙としかいえないが……

>>663
>>636だそうだ。
おれはＡＶＧだけしかわからん。

素通りバスターやその他はアンインストールするより先に
オンラインスキャン版OneCare走らせたほうがいいな

>>664
乙です

前使ったことあったけどブラクラメールがふつうに送れることに気づいて速攻消した

昨日の夜中に友達から謎のメッセージを受け取り、
そこに添付されたURLをクリックしたんだけど
しばらく経ってからPCの調子が明らかにおかしくなっていった。
特に他のページに移動する時なんか読み込みが遅くなってたから
「これは何かあるな…」と思って調べるとウィルスだったというね…

ググって色んなサイト見てNOD32っていうのをインストールして
今に至るんだけど、検査するのにエラい時間かかるなぁ。
朝6時の時点で65％だから下手すればあと2時間は要するかな？
途中で中断させても大丈夫なら電源切りたいぜ。

ちなみに5つの脅威が検出された模様。
トロイの木馬は2つほど検出されたみたいです。

つかこれ添付ファイルを開く仕組みに脆弱性があるわけでなしに
ユーザに欠陥があるんじゃ

実践したのこっちにも、参考になるかわからんけど書いてみる
マカフィー入ってたけど、リンク踏んでスルーで感染した
その後ほぼ5分おきにトロイの削除祭り…
スキャンしてもなんも出ない。

fxstaller.exeってのがスタートに登録される→されない場合もあり
レジストリを起動してスタートアップ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center：fxstaller.exeを削除
その後ＯＳをインストールしているドライブで
fxstaller.exeを検索(隠しファイルを表示にチェック)
とりあえず削除

次、imgs.exeの削除。
タスクマネージャーのプロセスにあるっていうけど無かった
でもファイル検索で発見して削除
この二つ絶対あるっぽい→これでマカフィーの削除祭り止まった。

書いてあったNOD32のアンチウィルス体験版使ってみたけど�_
Win32/IRCBot.AKXｔを２つ削除して終了
その後OneCareオンラインスキャン今かけてるけどザクザク出てくる。

OneCare終われば大丈夫とは言えないけど、マカフィーよりまし
マカフィーはスキャンしても相変わらず「中には誰も居ませんよ？」と
ふざけたことしか言いやがらない…　使えん。

バスターとかノートン先生の方はよくわからん。
あと、カスペはだめだった。スキャン済み；；

クリスマスの誘惑って奴よ・・・
みんな寂しかったんだよ

http://thiz.ultracoool.com
自分の所にはコレがきたんだが同じ種類かな。

Windows Udp Control Center：fxstaller.exeがどうしても見つかりません

>>674
まさかとは思うけど一応。

Windowsのスタートメニューから「ファイル名を指定して実行」をクリックして
regedit入力しOKボタン。

HKEY_LOCAL_MACHINEって書いてあるフォルダ探す→開く
SOFTWAREってフォルダ探す→開く
その繰り返しでRunまで辿り着いたら、開いてるところにあるはず。
名前とデータをよく見るんだよ？

その方法だと出てこなかったので、fxstaller.exeで検索してみたら出て来たので削除しました

>>676
削除できたなら良かったっすね。

つか、OneCareスキャンで出てきても、ファイル消しきれないとか
見たんだけど、もうこれどうすりゃいいの？
と、OneCareスキャン中で問題見つかってる最中で呟いてみる

そもそもインストールすらできないぞ

全部削除できた。もう今日は寝る・・・

ノートン対策きた？

>>679
おつかれ　つ旦~
俺も終わって有効化できた。一応avast入れなおしてフルスキャン中。

一応AVGでフルスキャン終わったとこなんだが

RunDLL
C:\Windows\System32\vtUlIyVn.dll を読み込み中にエラーが発生しました。
指定されたモジュールが見つかりません。

とか出るんだが、なんなんだこれ

警戒用コピペ

※ウィルス※ Windows Live Messenger で感染!?
http://pc11.2ch.net/test/read.cgi/sec/1185780001/

<危険>　foto http:// 〜
<危険>　
<危険>　Instant Messenger ソフトで、IMG455.jpg-www.photo.com トロイの木馬祭開催中
<危険>　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
<注意>　　　　　　　　　　　　　　　　　　[　　　　 ファイル名　　　　　 ]
<注意>　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 [.com] ← MS-DOS用実行ファイルの拡張子
<危険>　

寝たら検査終わってた。

Win32/IRCBot,AGPていうのが検出されて駆除されたみたいだけど
これでもうおkなのかな？
まだ何かやったほうが良い事ってあるんだろうか？
もうPC消したいけど…

感染してるのは間違いなさそうなんだがAVGに引っかからなかったんだがｗｗｗｗ

>>684
うちの場合、NOD32でそれを駆除したけど
動作は軽くなったものの自動更新やらは有効にできないままなので
OneCareスキャンを試してるところ

今回のウイルスは
まず.com拡張子の物（簡単にいうとインストーラの様なもの）を落とさせて
実行すると感染、fxstaller.exeをシステムドライブのどこかに展開や
レジストリの改変を行う
この時点でメッセンジャ等でオンラインの登録されているユーザにurlを送りつける

そしてこのexeがIEの移動挙動を誘発させたりバックドアとなり
バックドアにより、多数のトロイを仕込まれます

まずはLANケーブルを抜き
対応済みのセキュリティソフト類で完全スキャンが妥当だと思われます
これにより実行ファイルとトロイの駆除、そしてレジストリ（これは手動かも）の修正となります
なおトロイに関してはどれが入るかは
どのくらい入っているかは対処の早い遅い、常駐のセキュリティソフト
これによって変わってくると思いますので、まずはLANケーブルを抜いておくことが
自分にも他の人にも一番いい対処になります。

まだすべての会社が対応というわけにはいきませんので、完全な駆除ができるとわかるまでは
熟練者以外はOSの入れ直すことがベストだとおもいます

再起動したらOnecareでトロイが検出された・・・

>>657
落ちてくるファイル自体は同じものだな。

踏む前だとNOD32でブロックできるが、踏んだ後だと、NOD32の起動が阻害されるんだろ。
起動を阻害する対象になってないマイナーなセキュリティソフトで、なおかつ、パターンが対応してる奴を
選んで使えばいいじゃん。

OneCareが大丈夫なんだろ。個人的にはAntiVirがお勧めなんだが、踏んだ後に入れても大丈夫かどうかだな。

しかし、非常に珍しいことに、シマンテックの対応速いな。もう対応しやがった。
いつもなら３日かかっても速いほうだというのに。

http://www.virustotal.com/jp/analisis/e273db4dbbaf759b7874d1e5acf517f9
a-squared 4.0.0.73 2008.12.26 Riskware.Win32.CeeInject!IK
AntiVir 7.9.0.45 2008.12.25 Worm/Rbot.100352.2
Avast 4.8.1281.0 2008.12.25 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.25 Dropper.Generic.AEWD
BitDefender 7.2 2008.12.26 MemScan:Backdoor.RBot.YBJ
ClamAV 0.94.1 2008.12.26 Trojan.Rbot-56
GData 19 2008.12.26 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.26 VirTool.Win32.CeeInject
Kaspersky 7.0.0.125 2008.12.26 Trojan.Win32.Agent.azob
McAfee+Artemis 5474 2008.12.24 Generic!Artemis
Microsoft 1.4205 2008.12.26 VirTool:Win32/CeeInject.gen!J
NOD32 3717 2008.12.25 Win32/IRCBot.AKX
Prevx1 V2 2008.12.26 Malicious Software
SecureWeb-Gateway 6.7.6 2008.12.25 Worm.Rbot.100352.2
Sophos 4.37.0 2008.12.25 Troj/IRCBot-ZD
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
Symantec 10 2008.12.26 Trojan.Dropper

知り合いが感染して
ttp://nihonbuson.blog10.fc2.com/blog-entry-970.html
ttp://nihonbuson.blog10.fc2.com/blog-entry-971.htm
を試して駆除できたらしいんだけど

フリーズしまくりでなにもできなくなったらしい
他にもそういう症状の方はおりますか？？

>>689
2009になってからPulse Updateと相まって、対応を早くするとか何とか。

>>673
危険アドレスではあるけど別物じゃないかな？

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center：fxstaller.exe
これを消してOneCareでフルスキャンしウイルスを削除したところPCの方も安定し、
メッセンジャーでのURL送信もなくなりました
ですが、レジストリで検索したところ000 fxstaller.exeというのが残っていました
これは放置でよろしいのでしょうか・・・

昨夜感染して、こことメッセスレ見て状態は何とか抜けた
今は自動更新もすべて有効。
ここの>>572に俺がメッセスレに書いてたファイルの書き込み（改行ミスが全く同じなので多分そうだと思う）
利用してもらえてるのみて、少しは役に立てたんだと嬉しかった。

ところで、念のためにOneCareやってみてるけど、１４％まで進んだら全く進まなくなった。
ノートン先生は先生で、今朝Trojan.Dropper ってのを検出して処理したって報告してきたから
多分まだどこかに潜ってるんだろうなとは思う。

ウィルスバスターはまだ対応してない？

OneCareやったけど除去できないとか言ってるんだけど…

OneCareで検出できるけど消せないファイルってどうしてる？
explorer.exeとかに一部のdllがロックされててどうにも消せない。
AVGとかも試してみたが何も検出してくれないんで、どうしていいやら。

unlockerでロック解除も試してみたが、当然ながらOSまきこんで落ちる。

>>693
ファイル名が変更されて隔離状態になっているので一応安心です
触らないように！

>>689
どうやら何種類かいるのかプログラムがいい加減なのかのどっちかだな
mixiを介して20人程がNODで対策してみたがみんな起動したよ
起動しない！と嘆く人は結局他のアンチウィルスがすでに入っていて
競合起こした場合だけだった
バイナリを調べてみたが阻害する因子はなかった
てことは亜種がすぐ出回ったってことかな・・・？

NOD32をインストールした後再起したのですが、デスクトップの画面でフリーズしてしまいました。
どうしたらいいでしょうか…？

>>682と同じ症状なんだがどうしたらいいんだこれ
削除は終わったが、起動するときのやつが残ったままってことかな

とりあえず参考意見程度だが……

レジストリで>>513を削除
imgs.exeを検索し削除
（spc.exeっていうのがC:\にあったからこれも削除、無い場合もあるかも）
OneCareでPCスキャン、explorer.exeとかトロイの木馬が検出されて隔離完了（？）

これをやっただけでも今のところPC安定、自動更新有効。
症状によって違うかもしれんがとりあえずお勧めする

×explorer.exe
○fxstaller.exe

何を書いてんだ俺は……

レジストリのスタートアップエントリが残ってるとか？

ComboFix使えうんこ共

AntiVirでスキャンしたあと>>497の方法やったんだけど何も出なかった
大丈夫なのこれ

なんかPCｵﾜﾀっぽいから、仕事終わったら初期化して入れ直そ…

>>707
Onecareオンラインスキャンを試すんだ

再起動したら
アカウントログイン画面がでて先に進めねぇ

セーフモードでなんとかなるかな？

俺はカスペユーザーだが、ヒューリスティックで検出されず
結局定義ファイルが更新されるまで検出されんかった

昔カカクコムでNOD32がヒューリスティックで検出して有名になったが、
今回のこのウイルスをヒューリスティックで見つけられたものはなかったのか？

KIS2009使いだけど、
メッセで送られてきたIMG455.jpg-www.photo.comファイルってファイル実行しようとしたらアラート出たよ
ライセンス切れで11日から定義ファイル更新されてないのに・・・

ヒューリスティックかはわからんがOneCareが結構早めに対処できてたような
あとAntiVirとか

>>709
Onecareオンラインスキャンを３回まわしたが、駆除できないファイルがある
そして再起動後にスパイウェアを撒き散らすんだが・・・
レジストリも書き換えられるし・・・
もうね、、、

>>712
まじで？
俺は実行はしてないけど、カスペのスキャンの設定をヒューリ（ｒｙ最高まで上げて
手動スキャンしたけど何も無かったんだよなぁ

>>715
さっきやってみたけどヒューｒｙ有効+最高設定で手動スキャンは何も出ないね
実行して瀬戸際で止めてもらうしかアラートでないんじゃない？

スキャンしようとするとエクスプローラー止まるってのが怖いけど

>>716
わざわざ検証サンクスです！
そうか、ちゃんと寸前で止まるのか・・・。
となると普段ヒューリスティックをオンにしてる意味はあんまりないのかも？
いざというとき瀬戸際でちゃんととめてくれるのなら、ね。

ありがとうございましたっ

avastが162Gbを4時間かけてスキャンしてくれたぜ
特に目立った外傷はナシ
終わったーかなー？

>>513のが見あたらなくて、他の眺めてたら

MSServer rundll32.exe C:\Windows\System32\vtUlIyVn.dll,#1

ってのがあったからとりあえず勢いで消してみた、当然出なくなった
今のところ普通に使えてるから、まぁ大丈夫なんかな？

もう手遅れだろ・・

遅レス失礼します。
>>686
うちのPCも検査終了後でも自動更新は無効のままだった。
PCの調子次第ではOneCareでもスキャンしといたほうが良いのかもね。

てか、ここの書き込み見る限りトロイの駆除自体は完了したけど
まだ完治したわけではない人が多いのかな？
友達とも情報交換しておこうかなぁ。

なんでOS入れ直すって選択を選ばないんだろう・・・

それは最後の手段としてとっておく

dll書き換えられて寄生してる可能性も十分ありえるのに、
削除だけとかじゃ完全に対処できんわな。
素直にクリーンインストールするのが無難。

>>723
足掻いた時間＞クリーンインストール

こうなるのが決定的

avastでフルスキャン→imgsとfxstallerが引っかかったから削除
手順にそってレジストリも削除。ついでにsys32のdllを削除しようとしたらロックされた
Unlockerで解除した瞬間エラー吐いてハードエラーの青画面
Onecareオンラインスキャンを回すと3個発見
しかし14％のあるところで止まる→sys32のdll2個の排除できず
入れ直す方がはやいかも知れん・・・

OS入れなおしたいが、残したいファイルに感染してるってことはないかなぁ･･

HiJackThisで以下をFix(エントリーに現れるのはこの4つ)
O2のエントリーはランダム８文字、(no name)となっているもの。（例：tuvWomKe.dll,wvUmkllL.dll)
O4エントリーもランダム８文字だが[7800f1cc]で見分けられる筈。
O20エントリーもランダム８文字。ただO20に現れる正規エントリーは少ないため見分けやすいと思う。
（例：ljJYPhEW.dll、wvUmjHXO.dll）

こんな感じ
O2 - BHO: (no name) - {F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0} - C:\WINDOWS\system32\tuvWomKe.dll
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [7800f1cc] rundll32.exe "C:\WINDOWS\system32\axhiujye.dll",b
O20 - Winlogon Notify: wvUmjHXO - C:\WINDOWS\SYSTEM32\wvUmjHXO.dll

このウイルスが作成するファイルリスト(多分みんな作るファイル数は同じ)
C:\WINDOWS\system32\eyjuihxa.ini
C:\WINDOWS\system32\axhiujye.dll
C:\WINDOWS\system32\732335b2-.txt
C:\WINDOWS\system32\eKmoWvut.ini2
C:\WINDOWS\system32\eKmoWvut.ini
C:\WINDOWS\system32\tuvWomKe.dll
C:\WINDOWS\system32\nnnoNgfd.dll
C:\WINDOWS\system32\byXQKbyX.dll
C:\WINDOWS\system32\wvUmjHXO.dll
C:\WINDOWS\fxstaller.exe

環境によってファイル名は変わってくるのでHiJackThis等ログ取得ツールを
使って調べる。

ひとついえることはツール使わないで削除するのは無謀

dllあっても大丈夫だと思うけどな。
システムが使ってるdllが改ざんされてたら、アンチウイルスも警告出すだろうし。

>>728のファイルが消えてればもう大丈夫かな？

ウイルスが改変するレジストリポイント
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0}]
C:\WINDOWS\system32\tuvWomKe.dll [2008-12-26 303104]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows UDP Control Center"=C:\WINDOWS\fxstaller.exe [2008-12-23 52786]
"7800f1cc"=C:\WINDOWS\system32\axhiujye.dll [2008-12-26 73216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvUmjHXO]
C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0C:\WINDOWS\system32\tuvWomKe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328]

ファイル名のところはランダム文字列(8文字）
レジストリーはHiJackThisで間手単に処理可能

>>730
ファイル名は個人個人で違う。
何回も感染実験すれば各ファイルがどのように変化しているかわかると思うけど
そこまでやってない。

駆除完了の基準としては
・不正なタスクがない(コンパネ、パフォーマンストメンテナンスのタスクから
確認して)

・レジストリポイントに不正なエントリーがない。

・症状が完全に治まった

だと思う

結論から言うとComboFix使うのが楽

http://azurecolor.blog51.fc2.com/blog-entry-315.html
ここよんできたんだけど
>>496だけじゃだめなの？

昨日OS入れなおしたんだが、時間が経ったら自動更新が有効にならなくなった。
わけがわからん。
今度はメッセンジャーとかでへんなURL送られてきてないんだけどなぁ・・・

NOD32、OneCareを試したところOneCareで消しきれないやつが出てきたんですが・・
しかもまた英語のサイトに誘導される現象が・・・
これは一体どうすればいいんでしょう

>>734
NODがどの程度ファイルを駆除(このウイルスに対応)してくれてるかわからないから
わからんけど、検出できてるってことはNODで駆除できると思う。
NODが検出したログをみて判断するのが一番。
少なくとも残骸が残ってる可能性はある。(ウイルスが作成した無害ファイル等)

>>736
英語のサイトに誘導されるのは確かfxstaller.exe が原因だった

↓このソフトダウンロードしたら
http://images.malwareremoval.com/random/RSIT.exe

RSIT.exeを実行して
"Continue"をクリック
ちょっとするとメモ帳が開くからその内容を貼り付けてもらえれば
わかるんだけど。(または"C:\rsit"に保存されている「log.txt」）

これがいやならComboFix使ってもいいし

ウィルスは駆除出来たんだが　自動更新だけ直せない　教えてえらい人

ウィルスが作成している以上、無害ファイルというのは作らないと思うんだが・・・
まぁ言い方次第だろうけど、
自分のPCには無害なファイル？
準備段階で活動していないファイル
と言うべき“内容”かな

OneCareでトロイ駆除した後に
バスターを起動しスキャンをしたらスパイウェアがまだ出てきます
まだ残ってて繁殖でもしてるのでしょうか・・・

君たち！
まず無料のアンチウイルスソフトを入れる。
残った問題に対処する。
終了。

これで決まりだね！

他のトロイも呼び込んでるようなので
駆除後にもっかいスキャンしといた方がいいらしい

感染してるかどうかはどうすれば分かるの？

>>740
作るよ。
このウイルスを例にとるとiniファイル、dll、txtファイル、job、等作るけど
ini、dllは単体じゃ動作できない。主となるexeファイルがなければ無害。
ただの残骸。
txtファイルなんて単体でも無害でしょ。
↓これとか
C:\WINDOWS\system32\732335b2-.txt

NODがどこまで駆除できるかわからないけど、大本は
駆除できるみたいだから(だよね？)
NODが逃したとすれば大本がいないと動けないファイル類。

↓これとかｗ
C:\WINDOWS\system32\732335b2-.txt
ini類とか・・

Combofix使って削除したら自動更新も有効になったんだけど

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
が開けなくなった。
キーを開こうとしてエラーが発生しましたって出る

>>746
エラー内容はそんだけ？
再起動しても治らないのか？

>>746
直らなかった。
エラーの表示でぐぐったらレジストリが壊れてるとか書いてあった・・・
結局OSいれなおしか・・・うわーい

>>737
検出できてるのはダウンローダだけで、除去するまでに落とされた未知のマルウェアが活動してたら
止めようがない。マルウェア活動中だと主立ったセキュリティソフトは動作停止させられたりインストール失敗したり
させられるので、感染後に除去するのは困難。

別ドライブとかCD起動してから除去する形になるが、その環境がない場合にはOS入れ直しコース。

一旦擦り抜けて活動開始されちまった場合は、OS入れ直し以外では残骸がいつ活動再会するか不明。
WindowsUpdate止められたり、セキュリティソフトのパターン更新止められるような状況の場合は
素直にOS入れ直しやリカバリーを行なうこと。レジストリエディタの起動ができないケースもOS入れ直し。

>OS入れ直し以外では残骸がいつ活動再会するか不明。
本体がないのにどうやって活動するんだよｗ

>>749
だよなぁ。
ウイルスに感染したら基本リカバリーだな。

初期化ってどうやるんだ
Vistaのディスク入れて再起動してんのに何にも反応しないんだけど
Fキー押せばいいの？誰か頼む

メッセンジャーは使えるようになったのですが
自動更新が有効にならない場合は何が原因なのでしょう

大事なファイルをCDとかに焼いても大丈夫か誰か教えてくれ

まぁウイルスに感染したらOneCareとかNODとか使っても基本無駄だよな。
駆除するならログとってあやしいファイルをすべて割り出して削除するのが
確実に駆除できる。

Windows Live Messenger のスレの人たちはログもとらずにdll消してるみたいだけど
怖くないのかｗ

既出かもしれんが教えて。
これって最初のDropperがIExpress形式（古いアップデートパッチのキャビネットファイル自己展開形式）なExeがoctet/streamで送りつけられているんだけど，
IExpress形式ってブラウザでいきなり実行されたっけ？
手元にIEAKがなくてためしにパッケージ作れんので，誰か試した人が居たら教えて。
こんなんでIEに表示させた瞬間にEXE実行とかできるんだったら非常に困る。

>>752
メーカー製のパソコンならリカバリー。
リカバリーとはパソコン出荷当時の状態に戻すこと。
リカバリーのやり方は書いてあるはず

>>753
駆除できていない、もしくは、駆除はできていてもウイルスが書き換えた
レジストリーがそのまま

>>754
大丈夫。

>>756
＞IEに表示させた瞬間にEXE実行
このウイルスの場合は実行ファイル本体を落として実行しないと
感染しないはずだけど・・
ホームページ見ただけで感染とかはあるけどね。

>>738でログとってくれればみるよ

>>759
まじか

コンパネ→管理ツール→サービス
Automatic Update（もしくは自動更新？）の項目のスタートアップの種類を「自動」にすりゃいいんじゃね？
ほっときゃ勝手に有効になるようなもんじゃないぞ

>>757
リカバリのことについて書いてる
説明書がないんですよ
説明書らしきものにそういう風なことが一切かかれてないんです

fxstaller.exeを消し、imgs.exeも削除して、OneCareとNODでトロイ削除。
ランダム羅列のDLLも消して、自動更新有効になりPCも普通に動いているように
みえるのですが、何もせずしばらく放っておくと「ドゥン！」というエラー音が突然鳴ります。
画面上は何も変化なし。
これはまだ感染してるということなのでしょうか。
ちなみにIRCBot.AKXは見つかりませんでした。よく覚えてないのですが別の名前の
トロイでした。

>>762
どこのめーかーのパソコン？

>>764
acerです
セットアップガイドみたいなもんはありますが、
真っ白なPCからの設定方法しか書いてないので分かりません

>>765
acerの型番もしっかり書いてくれないと調べようがない

>>766
Intel？ Core？ 2 Duo プロセッサーのASL3600-672032Pです

>>758
さんきゅ。俺の勘違いだったみたい。
IExpress.exeがXP標準であるってことで，手元でバッチファイルをEXE化してWEB鯖に入れてOctet/Streamで送出して・・ってやってもうまくいかなかったんで，なんでだー！と思ってた。
ぁゃιぃexeのクリックが必要だったのね。これで注意喚起しとくわ。

？は記号です暗号化されてしまいましたすみません

>>767
リカバリー領域があるみたい(つまりリカバリできる)
だからスタートメニューからそれらしいものない？
http://www.acer.co.jp/support/faq/notepc/note070131001.html

>>770
リンク先を見ました
Acer eRecovery Managementが全てのプログラムの中にありました
これでリカバリできるのでしょうか

Windows自動更新が有効にできない。
http://linkinparkkussy.blog121.fc2.com/blog-entry-100.html

こんな記事を見つけたんだが、どうだろうか？

>>771
それでできるはず
再インストールってのクリックしてみて。
おれはそのパソコン持ってないからあとは自分でやってみて

>>773
頑張ってみます

>>763
俺も今その状況だ
なんだろうね･･

今回の騒動、一連の挙動を見てみると、

・ダウンロード後ブラウザが「実行しますか？」の警告を出してくる
・vista なら UAC とか VirtualStore とかが大忙し

な気がするんだけど、そんなにホイホイＯＫボタン押しちゃう人ばかりだったりするの？

>>775
メッセージボックスが出ないということは、誤ったdllを削除したか
まだウイルスが残ってるか、システムが書き換えられてるか。

>>776
うん、愚かな人が多かったの

俺的まとめ
挙動はこんな感じ(????????はランダムな文字列)
リンクをクリックし、実行する
↓
imgs.exeが解凍され実行される
↓
fxstaller.exeが実行される
↓
fxstaller.exeや????????.dllがPC起動時に実行する様に設定
IEでアンチウィルス導入表示を行う
WindowsUpdate無効化

fxstaller.exeはVirusのダウンロード等をする
????????.dll系はその他諸々？WindowsUpdate無効化やdll再生成も？
実際にメッセージ送信してるのはdll系かな…
生成ファイルや改変レジストリは>>728,731


感染の疑いは、
隠しファイルも含めてPC内を検索しimgs.exeが有ったらアウト
fxstaller.exeがタスクマネージャで見て動いてたらアウト

コマンドプロンプトを起動

dir /od /tw %windir%\system32\*.dll
を入力してenter
(これは拡張子がdllのファイルを最終更新日順にソートして表示するコマンド)

日付が25日以降で????????.dllが4つかそれ以上？有ったらアウトかも
（最終更新日が25日以降の正規dllの可能性あり）

以下不明
NOD32はWindowsUpdate無効化やdll再生成する方のdllは駆除出来ない場合がある？
OneCareもやらないとダメ？
それでもdll系が残り駆除出来ない場合あり？
エラー音が突然鳴る現象がある？

>>775
俺も時々画面に変化無しで「ピッ」て音が鳴る・・・
ウィルスの主要なファイル削除→NOD・OneCareでスキャン・駆除
→dll削除かましたはずなのにﾅｾﾞﾀﾞｰ

>>780
正確にはどっちやっても残骸が残らない可能性はある

ドゥン音が鳴るのは削除しきれてないから。
全て消せてる奴は問題は出ないよ。

逆に残る可能性の方が高いんだよね

友人だから大丈夫って油断があった。

っていっても、友人いない人にはわからんよね

>>785
油断ってか馬鹿なんだろ

エラー音について色々教えてくださってありがとうございました。
やっぱり削除しきれてないのか。リカバリするしかないかな。
外付けHDDはあるのですけどマイドキュメントなど外付けに移して
リカバリして戻したらまた感染なんかもあるのでしょうか。
マイドキュメントかなにかにimgs.exeがあったので（削除済み）
かなり不安です。

OneCareはオンラインじゃないとダメなんだよな？何か不安・・・
NOD32で本体消えてるはずだから問題ないのかな・・・？

ランダムdllが削除できない件
ところで感染してからプロセスにrundll32.exeが出るようになったんだが
終了させてもすぐ戻りやがる

>>787
ファイル個別に適当なフォルダ作って移動
フォルダ毎とか避けて
この程度のウイルス踏むなら
隠しファイルとかフォルダ自体ちゃんと見つけられる環境にあるとは思わないんで
まぁ・・・正直HDDフォーマットした方がいいとはおもうけど
この程度ならリカバリでもいいとおもうよ

>>788
不安ならクリーンインストール
何度も言われてる
不安がって試行錯誤する時間でクリーンインストール余裕で終わる

>>773
無事リカバリできました、ありがとうございます
ですがリカバリする前1GBと表示されていたメモリが0.99GBと表示されてるのですが
これを直す方法はありませんかね？何度もすみません

結局確実に修復するにはリカバリーしかないのか･･･糞ゥ･･･

復元

起きがけの寝ぼけた時間を狙ってくる恐ろしいウィルスだった（ｷﾘｯ

ウイルスバスター対応遅すぎだろ･･あのノートンでさえ・・なのに。
終わってますね。

>>786
馬鹿だから油断するんだよ、天才

>>789
全然削除できてない世それ

そもそもファイル名がランダムなだけでリカバリーする程のウイルスじゃないぞ。

ログ取って調べたりセキュ板のスレに貼ればいい

HiJackThisで
O2 - BHO: (no name) - （中略） C:\WINDOWS\system32\tuvWomKe.dll

ってのがFix出来ないんだが、なんでだ

このウイルスにやらてからなんだがレジストリで削除とかをしてから自動更新ができないんだが
これを治す方法ってどうやればいい？

スレ内ぐらい検索しろよ

スレ内を検索する知能があればウイルスになんて感染しないだろｗ

>>799
Fixしても復活するの？

友人からだけど、ちょっと怪しいなって思って
avastでチェックしたがスルーだったので
実行してしまった／(^o^)＼　最凶クリスマスプレゼントｗｗ

最新のウイルスにかかったのは初めて
やっぱり油断禁物ですね。

>>800
onecareのPCセーフティでスキャンしてこい
ただバスターとかセキュリティソフトも一緒に検出してしまうけど。

>>804
変だなすぐ対応されたはずだが。
対応されるまでの隙があったか。

エロ動画消滅ｗ

で…このウィルス感染するとどんなこと起きるん？
怖くてネットつかえねぇぇから携帯だスマソ

>>796
しかも土日はアップデートなし
つまり対応は来週月曜以降じゃないと対応してくれない可能性が高い

踏んでしまったんだが特になんの症状も出ないのが逆に怖い…

IEで変なページに飛ばされるのの対処は結局どうすればいいの？

実行したらどんな症状がおこるか　まとめ

・メッセンジャーにインしている人にウィルスのダウンロード先URLを貼りつけて送信
・インターネットオプションより、セキュリティタブのレベルのカスタマイズが行われる
　その他-暗号化されていないフォームデータの送信　有効にする　に書き換えられる
　（デフォルトは　ダイアログを表示する　にチェックが入っている）
・インターネットオプションより、プライバシータブの「インターネットゾーン」が一番下「すべてのCookieを受け入れる」に設定される（デフォルトは中）

なんか怖いから明日ヨドバシかヤマダ行ってくるわ…俺の判断は正しいか…？

>>813
正解

>>813
無料のアンチウイルスでおｋだよ

ぃあ…本体データ？みたいなのはその無料ソフトで消去はできたんだ…だが自動更新は無効になってるし…完璧に治った人いるのか？リカバリなしで。

25日の1時過ぎくらいに感染して、ココ見ながら適当に駆除したんだけど
適当にやりすぎて消しちゃ不味いものも消したかも・・・

起動時に毎回
「C\WINDOWS\system32\bmusxpul.dllを読み込み中にエラーが発生しました
　指定されたモジュールが見つかりません」
て出るんだけど、これやばい・・・？

むしろバスターやノートンの方が危険

これってメッセンジャーソフト使ってないんなら感染しないんですよね？

NOD32でも完全駆除は無理そうよ

486 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/26(金) 20:23:46
p://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=157
>>463 IMG455.jpg-www.photo.com を解凍し→ >>465 imgs.exe に感染するとできるファイル群
多数のdllファイル等が生成されましたが、MD5が共通するものだけ抜き出しました。

放っておくと、BHOが組み込まれ、偽セキュリティ対策ソフト（WinAntiVirus2009）ダウンロードページへ誘導されます。

488 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/26(金) 20:32:10
>>486 の続きです。
NOD32　定義3717では0/6
メッセンジャーウイルス感染後にNOD32を入れた人は、exeの駆除はできていても
dll群の駆除ができていないので注意が必要です。

>>817
bmusxpul.dll をレジストリ エディタで検索してキーを削除すればいい。
面倒だから、Sysinternals の Autoruns で >>731 のレジストリ削除すれ。
後、dir /ah %windir%\system32\*.ini* でゴミが残ってる場合があるからそれも削除すれ。

ぶっちゃけ、imgs.exe, fxstaller.exe とか大して問題じゃない。こいつが spc.exe をDLして実行するから
面倒な事になってる。

ttp://www.virustotal.com/analisis/437b764fa9bbb0bd5544dc18d5aa9695
これね

>>821
大手ベンダーが全滅・・・・
その中でバスターが・・・

>>816
完璧かどうかはわからないが、自動更新は有効になる・・・今のところは

NOD32、KINGSOFT、OneCare、Avastのスキャンかけた
何回再起したことやら

自動更新できない奴はためしにRUPERAntiSpywareやってみたらどうだろう
AVGでスキャンした後にこれ使ったら自動更新有効になった
たまたまかもしれんがものは試しに

手動で有効にすればいいだけ

>>821
spc.exeを>>820のアップローダにあげてくれないかのう。
速攻でベンダーに通報しますので。

ごめ、SUPERAntiSpywareな

>>821
直った！ｻﾝｸｽ！

>>826
一応上げたけど、あんまり意味ないと思うよ。
DLする度にバイナリ変わるから。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=158
virus

>>829
とりあえずPandaGlobalProtection2009で検出→隔離できたことを報告しておきます（疑わしいファイルとして検出）

>>829
ありがと。一応ＡＶＧに報告します。
それと検出スレにもはっときます。
これで一連のspcをGenericで検出できればいいんですけどね。

今日の朝にNOD32でトロイ駆除が終わったのでPCの電源を切って
ついさっきPCを立ち上げたばかりなんだけど、まだ完治にはほど遠いな。
立ち上げとほぼ同時に出てくるメッセのサインイン画面が出ないし
Internet Explorerをクリックしても一定時間とは言え反応なかったし。
こりゃOneCareでも導入して再びスキャンするしかないかな。

そういや、タスクからfxstaller.exeかimgs.exeを削除する対処法を
友達から教わったばかりなんだけど、そんなexeは見つからなかったんだ…

>>831
＞これで一連のspcをGenericで検出できればいいんですけどね。
NOD32とNortonは厳しいな、特にNOD32は一度スルーしてしまうとどうしようもない

>>829
avastスルーしたんだけど・・・

>>829
Avira、Panda、Symantec、BitDefender、ESETに提出完了
Kasperskyにも提出しておきます

>>834
これは元のファイルから感染した後のファイルなので感染しなければおｋ

ノートン先生対応来たな

NOD32が完全駆除不可なのは俺も試して分かったけど
駆除可能な分でも、exeと自動実行のレジストリエントリしか消しておらず
なんか中途半端な駆除になってないか？
他で駆除した方が良さそう…

タスク消去、レジストリ削除、ファイル検索して削除、Onecareスキャン
で、dllも全部消えたし自動更新も有効になったんだが
直ってない奴が多いみたいだから不安になってきた

すいません！！
感染して、色々なスレのを試しても自動更新が直らなかったので
onecareのPCセーフティでスキャンしてたらＲＵＮＤＬＬ
って名前の警告小窓（？）で
読み込みエラー発生　アクセス拒否されました
ってのが山の様に出続けてるのですが、これは一体どうしたらいいのでしょう？

エラーでてる場所が問題上がってたwindows\system32のなかなのですけども
該当の物は使用中で削除できませんって言われるんです

アンチウィルスソフトを駆除ソフトと勘違いしてる馬鹿共が日本にはこんなにいますw

ってかこんなにまで時間費やして必死に削除作業行うのはありえないなｗ
普通はバックアップとってあって、数時間程度で元通りになる。
製作者の思い通りだな。

>>841
安価だけつけてやんよ

普段ウイルスなんか感染しないからと鼻で笑ってる奴らだろここにいる奴らの大半は。
オンラインスキャンと体験版使うのに精一杯だからな。
そんな色々いれるくらいならリカバリーしろと

>>844
安価だけつけてやんよ

>>845
まねすんなよ

レジストリ内をfxstallerで検索したら

名前　　　　　　　種類　　　　　　データ
000　　　　　　　 REG_SZ myspacy
001 REG_SZ fxstaller
002 REG_SZ fxstaller.exe
003 REG_SZ imgs.exe
004 REG_SZ imgs
005 REG_SZ mysapacy
006 REG_SZ mspaint.exe

て出てきたんだけど、これってやばい？

ずれたｗ

HiJackThis、ComboFixが使えないNoobは大人しくリカバリしろってことだよ。

http://kissho1.xii.jp/7/src/7jyou17788.zip.html
鍵はkey
俺はこれで駆除できた・・・気がするんだがどうなんだ

一通り削除できたと思ったんだが、rundll32.exeが常駐し続けてるなぁ
この場合はどうすればよいですか？

だめだ、もう俺はリカバリ
あばよ

スッキリ！！！

>>847
はいはいﾔﾊﾞｽﾔﾊﾞｽ

OS再インストールコースいってらー

ダウンローダはブロックと除去できるの多いけど、稼動すると生成される>>829とか、そいつが落としてくる>>820なんかは
全部撃墜できるとこ少ないな。現時点では全てを除去できるのないから、複数のベンダー組み合わせてやるとか
しないとだめだわ。取り敢えず俺も検体提出いってくらー。

OS再インストールコースの方が早いし安全確実。

駆除が完了したゆとり君たちが活発に動き出しましたねｗ

と、情弱が何か言ってますｗ

Macなら感染しないっぽいな

これってファイルダウンロードをキャンセルしたらセーフ？

>>857
ウィルスとかはほとんどWindows向けだからな

ほんとにやばいみたいｗ
NOD32とOne Careはやって、その後もっかいフルスキャンして駆除したのに
レジストリにfxstaller普通にある
消しても出てくる

2008年5月末に公表された、有名な独立検査機関av-comparatives.orgによる新種のウイルスに対する検出能力調査では、総合成績（検知率と誤検知数の少なさの総合評価）で断トツのトップ成績（検知率72％・誤検知数8）に輝いた。
第2位はNOD(ESET)(検知率57％・誤検知数7）。
この2つだけが最優秀ソフトに認定された（新種のウイルスを検知する能力）。
なお、他の主な有名ソフトでは、McAfeeが32％（0）,AVG32％（10）,Microsoft29％（5）,G DATA29%(11),Avast28％(23),カスペルスキー21％（2）,ノートン18%(2),F-Secure6%(2)ほかであった。
なお、（　）の数は誤検知数をあらわす。

>>861
情報古い
ttp://www.av-comparatives.org/seiten/ergebnisse_2008_11.php

>>861
AntiVirのことね。

>>862
それは、未知のウイルスのテストじゃないじゃん。
既出のウイルス検知率だろ。

今回の騒ぎでわかったこと
ソースネクストは役にたたね
サブPCのAvastの方が優秀とか…

>>864
ゆとりもほどほどにね
＞ProActive - Test

ID出ないとなんでも言えるんだなｗ

>>865
ウィルスセキュリティZEROのことか？
それなら実行直後に通信をブロック云々と出てきたんじゃないかい？
そういう警告を無視して許可したんだからもう手の着けようがないバカだよな

F2ブログでこれ取り上げてる人のところから来ますた。

IMG455踏んでしまって実行ファイルまで起動したが、
ウィルスキラーはトロイの木馬と見抜いて削除してくれた。
レジストリも調べたけど、報告されてるfxstallerとかも無かったし、
ウィルスキラーいけるんじゃないかと。

>>859
そもそもマックはexeファイル開けんらしいな…不便杉

>>860
>>820ちゃんと読んだ？

一旦発動させてしまうと、未対応の為除去されないファイルがある。
全部に対応したセキュリティソフトは現時点ではないので、どれで除去しても、必ずどこかに残骸が残る。

どれかが残って稼動している為に、起動する度に再生成されることになる。
消しても消しても、まだだ、まだ終わらんよっつって復活してくる訳だ。
現時点でこれを奇麗に消すためには、OSを入れなおすしかない。

>820に置いてあった検体の検出結果を一応挙げとくとこんな感じ。
(11/39) http://www.virustotal.com/jp/analisis/0968d2c9ffd51806706128d5786b34eb
(12/39) http://www.virustotal.com/jp/analisis/f39e180bbc33af81381d9551539e892e
(9/39) http://www.virustotal.com/jp/analisis/ff133698239993014d3df8ad0e6f2bf8
(7/39) http://www.virustotal.com/jp/analisis/d094fc6b2ffaf7a030f895382f9a8d4e
(4/39) http://www.virustotal.com/jp/analisis/382ee4d0e199b0e5741106ba83e8bf57
(7/39) http://www.virustotal.com/jp/analisis/e9c7322a9f83043475ca5088a035218f

年末年始もシマンテックやトレンドマイクロは仕事してるよね？

>>868
それはダメポなソフト。「ウィルスキラー」の中身は「Rising Antivirus」

ダウンローダの検体送ったら、こんな回答よこす会社です。捨てちまえ。
　>2. Filename:IMG455.jpg-www.photo.com
　> No malware.

多分検知したのは「cbXQgfcb.dll ： Trojan.Win32.VUNDO.cel」と「awtTjgHy.dll ： Trojan.Win32.VUNDO.cel」と
「xxywWpoo.dll ： Trojan.DL.Win32.Undef.cud」の３つだと思うけど、その１ファイルは除去できても、
他がまるっきり残ってるから。

残念だったな。検出して除去しても「他が残っていない保証にはならない」のだよ。

トレンドマイクロは年末休暇ですがなにか？

AntiVirは土日休みだからこの間はアップデートしてくれねぇ・・・・

>>857
ざっと聞いて回ってみたがMacの感染者は見当たらんね。マカーの唯一の強みだな。

おい友人から
foto http://hi5　.eu.com/　id.php?=●●が連続で送られてくるんだけど
これ返信しても相手に聞こえてないのか？

>>872
検知したウィルスは「Trojan.Win32.Undef.vov」ひとつだな。
system32内でIMG455実行した時刻と同時刻に作られたファイルの中で、
特に変なのも確認できなかった。

まあ、ダメそうなソフトではあるが。

>>876
絶対にクリックするなよ！ウィルスだからな！

>>876
聞えない

>>870
そのうちの3つはNortonは検出できるようになってる、ま、全部検知できなきゃ意味ないんだけど
全部検知できるベンダーはいまだない・・・

sleipnirとavast先生のおかげでなんとも無かったが・・・
困ったなこれｗ

>>881
sleipnirだと大丈夫なもんなの？

やべぇクリックしちまったorz
Google Chromeさんは「エラー: このリンクは無効です。」
Sleipnirさんは「Internet Explorer は、要求された Web ページにリンクできませんでした。」
で、DLとかなにもされなかったけど、
これ、大丈夫なの？

>>882
URL送られてきてとりあえず踏んだら
MS-DOSアプリを実行しますか？って表示出してくれたから、なんじゃこりゃって感じで

ダウンロードしなければ大丈夫。

ダウンロードしても実行せずにゴミ箱ぽいぽいすれば大丈夫だぞ

>>737
ありがとうございます！

それと、AVGを試してみたところごっそりトロイなどを消せたのですが、とりあえずはこれで大丈夫でしょうか・・・・？

だめ。OS入れなおせｗｗｗ

いや、発動させちゃった場合はマジに。

ウイルス対策ソフトを、乗り換える場合の各完全削除ツール一覧
http://kaspe.2chv.net/wiki/index.php?FAQ#sf6db04d

＞Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。

って書いてある日記サイトあるんだがIEじゃないと駄目なのか？
サファリとか火狐なら開いても発動しないのかね

ちょっと書き方がややこしいかも。

要するにファイルをダウンロードして実行したらoutってことでしょ。

落としても実行しなければセフなのかな。�d
ウィルス検知されればある意味安心なんだが検知されないと見落としてるんじゃないかって逆に不安になるorz

やじうまwatchは多分連休でお休み中
ギガシンやスラッシュドットも来てない、はてな系もほとんど無し、
痛いニュースにあるわけもないし それほどの規模ではないのか、
それとも特落ちなのか？

消えない３つのウィルスの内、OneCareオンラインスキャンとAVGの最新定義で
一つだけ駆除できた

明日、仕事納めなんで、それ終わったらOS入れなおすか・・・

ノートン使ってる人はシマンテックに積極的に検体提出した方がいいよ
いくつか検体送ってみたが数時間で対応してくれた（私はNorton使ってないのでVirustotalで確認）
恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない、あとは一日単位

>>972
すみません。ヒントとなる場所を見つけたので自己解決とさせていただきます。

一応、同じ被害の人がここにもいるようなので置いときます。

※ウィルス※ Windows Live Messenger で感染!?
http://pc11.2ch.net/test/read.cgi/sec/1185780001/496

同じ被害の人がここにもいるようなので置いときます。
ノートンが素通りさせたので感染したようです。

激しく誤爆

>>859
俺はAviraメインだけど、SymantecやKaspersky、Mcfee、VirusBaster、avastとかに検体送ってる。
今回のIMG455.jpg-www.photo.comと>>820は送ってあるので後は対応待ちだな。

>>898の誤字が酷い件について
それと
×　VirusBuster
○　TrendMicro

ね、VirusBusterだとハンガリーのアンチウイルスベンダーになっちゃうので

NOD32アンチウイルスをインストールしようとすると［1］と出てインストール出来ないのですが、どなたか解決方法分かる方教えていただけませんでしょうか？

昨日感染してこのスレ見つつ色々やってみたが
imgsは見つかったけど、fxstallerが一向に見つからない件
imgsだけ作成されてfxstallerが作成されないってのもあるのかな？

>>899
本当によく見ると酷いな……
安価は>>859になってるし(本来は>>895)。

MSは>>820のやつをssqOHYSJ.dll以外対応したかな？
心配なやつはOneCareいってくればいいかも。

http://www.virustotal.com/analisis/cbaeb34bd36303b125942df8155a11ad
http://www.virustotal.com/analisis/6835c3e0504c1020842a51248942698f
http://www.virustotal.com/analisis/9ba0755a9375d31a100d444d97e8443c
http://www.virustotal.com/analisis/0a296a218bae2ea7fc8dba5373529ec3
http://www.virustotal.com/analisis/8f3e37963609ebab44eb1f1cfa39ad78
http://www.virustotal.com/analisis/e6d31c693f3d3802ab6b89040d123a37

ssqOHYSJ.dllはSymantecかTrendMicroかNOD32使ってりゃ検出する。
その他のがまちまちだから、心配ならやっぱりOneCare逝って来い。

追記>>901

ランダムdllも生成されてないっぽい

>>902
>>820の検体は私も大手ベンダーに提出しておきました（私が送ったベンダーはAvira、BitDefender、Symantec、Kaspersky、ESET、Panda）
Aviraは土日休みだから仕方ないとしてSymantecは最初オールスルーだったのにそこから数時間で4つも検出できたのはお見事だし対応速度も速く好感持てました

以前まではSymantecは検体送っても対応するのは1週間後というイメージがありましたから最近の対応の速さはそのイメージを払拭してくれますね（他にもいろいろと検体送りましたが大体1日で対応してくれました）
逆にガッカリしたのはBitDefender、こちらもいくつか検体送ってますがまだ対応してない検体が多い・・・
一日のアップデート回数は多いのに・・・

今OneCareでスキャンしたら、やっぱりトロイの木馬が出てきたな。
昨日のNOD32で完全に駆除されたわけじゃなかったのか。

onecareでトロイみつかったけど、駆除できませんとかいわれたぜ・・・

>>895
>恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない
そこは間違ってるので突っ込ませてくれ。

月に数回は新種の検体送ってるけど、ノートンが数時間ってのはなにかの間違いかと…って言う位対応遅いよ。
今回は運が良かったのかもね。数時間で対応したんじゃなくて、他の人がもっと早く検体提出してたので
対応までの時間が短かったように感じられるだけ。

最近は返答が１〜２日で来るけど、それも新種は、検知できなかったので人力で解析しますって返答でCLOSE。
実際の対応は、１週間で終わってないとか結構あるよ。マカフィーも、返答はある程度早いけど、新種への対応は
鈍い気がしますね。

本当に早いのはカスペとAvira（AntiVir)。カスペは対応が異様な程早い。
それよりちょっと遅いけどFortinetも早いね。提出してないのはすり抜け多いが。

で、この文面書いてる間に、Fortinet きた。次のアップデートで対応。（※　パターンがアップされるまでは未対応です）
>820と>829の検体提出してから４時間位。今回は早かったな。

The samples you submitted will be detected as follows:
imgs.exe - W32/Agent.AZOB!tr
spc.exe - W32/Agent.AZOB!tr
IMG455.jpg-www.photo.com - W32/Agent.AZOB!tr
awtTjgHy.dll - W32/Dropper.CA!tr
cbXQgfcb.dll - W32/Dropper.CA!tr
ewulmrrn.dll - W32/Agent.AZOB!tr
xxywWpoo.dll - W32/Agent.AZOB!tr
ssqOHYSJ.dll - W32/Agent.AZOB!tr
InstallAVg_770522156649.exe - W32/FraudLoad.VET!tr

カスペは提出から10分位で返答。流石に誰かが先に提出済みだったんだとは思うが。
DLLは無害扱いしてる辺りに疑問が残るけど。

年末だしクリーンインストールオススメする(´・ω・)ｽ

今年のウイルス

>>907

Aviraはカスペより対応速度遅いよ
カスペと比べたら対応にだいぶ時間かかってる印象を受ける、ただAviraにとって最大の問題は土日なんだけど

ノートンとマカフィーは最近になってだいぶ対応が速くなった印象を受けるんだけどね〜
じゃないとパルスアップデートやActiveProtectionが活きないって

RUNDLL
C:\WINDOWS\system32\tuvUNEXp.dll　を読み込み中にエラーが発生しました。
アクセスが拒否されました。

ってのが無数に出てきてｵﾜﾀｗｗｗｗ
もうクリーンインストールしかない・・・orz

あとノートンの場合はSymantecに検体提出してSymantecから返事来るだいぶ前に既に対応してるというパターンもありっていうかこのパターンばかり（Virustotalで確認、2009だったらもっと早く検出できるかもしれない）

>>907
カスペはssqOHYSJ.dll以外はウイルスって言って対応したはず。

ssqOHYSJ.dllはNo malicious code was found in this file.って言われた。

>>913
カスペから返事が来てたのか・・・
となると私の方にはカスペから返事は来ませんね・・・
Panda2009もssqOHYSJ.dllだけスルーであとは疑わしいファイルとして検出だからssqOHYSJ.dllはPandaにとっても白判定なんでしょうかね・・・
Pandaはメールで検体送っても返事が全く来ないからわかりません、ま、返事が来ないベンダーの方が多いんですけど（BitDefenderもavast!も）

Mcfeeからのお返事のコピペ。

5030850 ssqohysj.dll inconclusive null null 12/26/08 No
5030850 xxywwpoo.dll inconclusive null null 12/26/08 No
5030850 awttjghy.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 cbxqgfcb.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 ewulmrrn.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 installavg_770522156 new detection generic downloader.x Trojan 12/26/08 Yes

Mcfeeはssqohysj.dllとxxywwpoo.dllが白って言ってますね。うーん。
これはssqohysj.dllは白なのかな？でも対応しているベンダーもあるし……

>>915
KasperskyもPandaも白と言ってるしssqohysj.dllはやはり白なんじゃないかな？
Aviraにも提出したからあとはAviraの回答待ちですかね

一応、カスペの他のファイルのお返事も置いときますね。

awtTjgHy.dll - Trojan-Downloader.Win32.Agent.axsv,

cbXQgfcb.dll - Trojan-Downloader.Win32.Agent.axsx,

ewulmrrn.dll - Trojan.Win32.Agent.baer,

xxywWpoo.dll - Trojan.Win32.Monder.afwm

InstallAVg_770522156649.exe_ - Trojan-Downloader.Win32.FraudLoad.veti

>>912
対応済みの検体ばっか送ってるんならそりゃ速いよなー
俺は10回ぐらいしか送ったことないけどノートンのは対応遅い印象がある

何年かかっても直らないノートントラップの誤検知もなんとかしてくれないかな

NOD32後、Onecareでも消えないdllあって自動更新も有効に出来なかったけど
ComboFix使ってみたら正常に戻った・・・ように見える
まだなんか潜んでそうだからも一回フルスキャン中・・・

自動更新も有効になるし、ウイルスに掛かってたときのような重さもない
だけど、レジストリでfxstallerを検索かけると、またいくつかヒットする
害はないし、敢えて無視してるけど

NOD32、OneCare、SUPERAntiSpyware、Spybot、ウイルスバスター、手動でファイル及びレジストリ削除を
乗り継いで、ようやく一見元に戻った感じになった
対処としては今のところはOS入れ直しが一番手っ取り早そうだ

どの会社のアンチウィルスソフトがいいの考えるいい機会にはなったなｗ

よく分からない物踏んだり、実行したりする人って結構いるんだなと思った。

IEでなんか偽ソフトに飛ばないし
imgs.exe､これとか見つかんないしfxstallerも見つからないだ
しかも、これってシステムの復元ポイントも綺麗さっぱり消えて、復元出来ない訳だし
俺の場合復元できたってことは感染していない証拠なのかな？

>>919

セーフモードでスキャンして隔離させると削除出来ると思う

>>925
セーフモードでComboFixやったのがよかったのかも知れんな

OneCareのプロテクト スキャン
ttp://onecare.live.com/site/ja-jp/center/howsafe.htm

マカフィー入ってる状態で感染して、5分おきにトロイの削除祭り；；
セーウモードでfxstaller.exeとimgs.exe削除して、再起動で立ち上げて
マカフィーの削除祭りが終わりを告げてくれて、NOD32でスキャン・削除したけど
それじゃ終わってないと知ってすぐにOneCare
ザクザク引っかかったけど、うちは全部消せた。
その後にＡＶＧで問題無かったから大丈夫と信てる…　いや信じたい…

今トロイの検出なし、メッセにも普通にイン出来てエラーもなし。
マカフィー入れてたおかげで、windows\system32に作られるファイル全部
削除してくれたおかげと、セーフモードで作業したのが良かったのかな？

とりあえず、もう開放されたい。これ、マジで；；

スレの進み方的に言って、いままでで一番感染が広まったんだろうなあ。
おれもメッセで広がるタイプには感染した。
ウィルスがメッセで来たことは何回かあったけど、今回は引っ掛かってしまったわ。

>>929
× おれもメッセで広がるタイプには感染した。
〇 おれもメッセで広がるタイプには初めて感染した。

すまん。

urlも疑わないでクリックしすぎだろ・・・ｗ
まず引数として最後に自分のアドレスを持ってること自体・・。

俺の全然話さない知り合いが俺の画像を悪ふざけでネットにばらまいたのかと思ったんだよ！

>>932
うん、えっと、とりあえずだ
そんな話もしない知り合いに自分の画像渡すなっ！
吹いたじゃねーかｗｗｗ

MicroSoftの返答 今朝の9:28。OneCareなら「ssqOHYSJ.dll」以外消せるかも。
他にも未知のもの落とされてる可能性があるので、やっぱりOS再インストールが最適解。

20081226.zip [Container]
+---IMG455.jpg-www.photo.com [VirTool:Win32/CeeInject.gen!J]
+---(SfxCab) [VirTool:Win32/CeeInject.gen!J]
+---imgs.exe [VirTool:Win32/CeeInject.gen!J]
+---ssqOHYSJ.dll [Changes to detection currently undergoing testing]
+---spc.exe [Trojan:Win32/AgentBypass.gen!I]
+---awtTjgHy.dll [Trojan:Win32/Vundo.gen!C]
+---cbXQgfcb.dll [Trojan:Win32/Vundo.gen!C]
+---ewulmrrn.dll [Trojan:Win32/Vundo.gen!Y]
+---InstallAVg_770522156649.exe [Trojan:Win32/FakeXPA]
+---xxywWpoo.dll [Trojan:Win32/Vundo.D]

ssqOHYSJ.dllに関しては、ウィルス本体に使用されるライブラリで、
それ自体はウィルス的活動をせず、実害はないのかもね。

本体削除、バスター、OneCareでスキャン
正常っぽい状態に復帰したけど、ネット接続切ってると
知らんタスク（バックグラウンド）がオフライン作業or再接続を聞いてきた　orz


あきらめて再インスコ　やっとオワタ

クリーンインストールなんか30分で終わるな。
64bit Windows Vista HomePremium SP1で

バックアップとってＯＳ入れなおそうと思うんだけど
このウイルスＵＳＢ感染とかした例ありますか？

>>933
占い好きなやつからだったし、おれのメッセアドで占ったかと思った。
いきなりURL出すようなウィルスみたいな奴だから、開いた。

たぶん今回引っ掛かった人はほとんどがウィルスが出回ってることを知ってた人だと思う。
状況によっては油断するもんだよ。
自分は絶対感染しないとか思わないで明日は我が身と思うべきだなと思う。

明け方にも書いたけど、もう少し簡単に詳しく

セーフモードでスキャンかけると、システムに掴かませて削除出来ないウイルスが削除出来る可能性が高い

他の自己複製型ウイルスもこのタイプのものが多く、マカフィーの公式でも、このタイプはセーフでスキャンすれば隔離出来ると書いてあったとおもう

それとは別にアクティブにならないと検出されにくい物もあるので、こちらは通常起動でスキャンしたほうがいいかも

セーフして自己複製型消してからが一番手早いさばき方と推測してるど、一部消えない＆鬼沸きな人はこの手順で試してみて

最後にワクチン配布されたらウイルス全部消えていても実行すれば、不要に書き込まれたレジストリを戻してもらえるかもしれない

アドレスとファイル名であからさますぎな時点で絶対に引っかからないなｗ
さすがにこれに引っかかるやつはどうかしてる。

引っ掛かるひっかからない言ってるやつはここからカエレ。人間誰にでも間違えはあるんだよ。あんたみたいないっつも家に引き込もってパソやってるやつはそりゃひっかからないだろうな(笑)

そんなにあからさまか？

>>941みたいなのがいっぱいいるから専門家は奔走するんだよな
こういう手合いはウィルス感染して撒き散らしていることにまったく気づかない

ssqOHYSJ.dllの検索結果 2 件中 1 - 2 件目 (0.07 秒)

imgs、fxstallerのexe削除、sys32内のランダム生成dllも消した
レジストリも掃除した

なのになぜか自動更新の警告が未だに出てくる

年末だから気をつけないと第二第三の…。

>>947
そうねえ・・・起動しっぱなしの人はスケジューラで更新したほうがいいね

なんか感染した自分が恥ずかしいな

メッセはずっとつけてるのに、そんなの送られてこなくて逆に寂しい。
全員に送ってるわけではないのね。

友人が感染してないのはいいことじゃないか

つか俺は同じ奴から３回届いたぜ
悪いとは思いつつ吹いた

C:\WINDOWS\system32\rundll32.exe "C:\WINDOWS\system32\byXPIcaY.dll",ShellPath
これはなにー？

>>951
なるほど、
ウイルス制作者→誰か　の他にも
感染者→誰か　でも移るんだもんな。

そしてﾜﾗﾀｗ

で、今回のばい菌はどんな悪さをするので？

・インチキセキュリティソフトのインスコ
・IRC-Botで遠隔操作(何でも可能)

遠隔操作…だと？あと50程で満スレ

遠隔操作というか、指令センターからの指令待ち。
https://www.ccc.go.jp/bot/

25日に落としたIMG〜〜.comと、たった今落としたIMG〜〜.comのファイルサイズが違うぞ！？
ウィルスのバージョンアップでもしたのかなぁ？

今年のウイルス、今年のうちに〜

年末年始は気をつけてね
http://www.antivirushell.com/2008/12/post-37.html

Aviraは土日入るとどうしようもないな
休みのおかげでまったくアップデートしない

どっかでみたO4エントリーだと思ったら今年の初め頃のVundoだった

IMG〜〜.comの中身が
今までは　imgs.exe　だったのが、
今回のは　myspace.exe　となっていました

不確か過ぎる情報になるが、古いタイプの物ならonecareとかだけでも対処できたっぽい（？）

>>963
ほとんど検知せず全滅の状態
ttp://www.virustotal.com/jp/analisis/c23355a77b30e86467723f2689cea033

ちなみにVTではスルーだけどPanda2009でも検出できます

OneCareで今やってるが出てくる出てくる同じ名前のやつがwこれ何時間くらいでおわるん？

>>963
またお寒い検出率。

myspace.exe(4/39)
http://www.virustotal.com/jp/analisis/afb8e49c32fb4bf3fd8d758f61e8c484

IMG455.jpg-www.photo.com(6/39)
http://www.virustotal.com/jp/analisis/9e2f3a26c0eae08fcbb3ef65ec423924

===== myspace.exe(4/39) =====
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J

===== IMG455.jpg-www.photo.com(6/39) =====
a-squared 4.0.0.73 2008.12.27 Backdoor.Rbot!IK
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)

>>966
GDATAがカスペ捨ててBitDefenderを選ぶのはわかるような気がする
でもBitDefenderって一度スルーするとどうしようもないんだよな・・・
その後の対応にかなり時間かかる

ウイルス？そんなもの来ませんでした
だって、友達がいないんだもん・・・

なんでメッセ入れてるの？？？？？？

とりあえずOneCareでセーフモードと通常でスキャンした…これで事が治まればいいのだが…

WIN2000でもいけるのないかな…＿|￣|○

>>971
@niftyウイルスチェック(カスペエンジン)
ttp://www.nifty.com/security/vcheck/

OSの上書きインストールくらいじゃどうにもならなかった・・・

さっきPCショップでウイルス対策ソフトのとこ見てたらマカフィーがWIN2000でもいけますってあった

Spyware Doctorを使っている者なのですが
大体5分毎位に、

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Time

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Count

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Type

が出てきて困ってます。
IMG〜〜.comかかったのが26日の7時なのですが
このスレの最初から割と丹念に見て、
ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
未だに残っている状況です。

スレも最後の方なのですが、よろしくお願いしたいです・・。

うーむ、これ引っかかったやつは不注意すぐるぞ

感染したＨＤＤを他のＰＣでスキャンしても、完全に除去できないの？

>>973
そりゃあ、OS自体は壊れている訳でないから当たり前といえば当たり前の結果だな
根本を削除しない限りもと通りにはならんよ

971です！ありがとう！！がんばってくる!!!
お前ら大感謝だっ（ ´Д⊂

>>975

>>940を試してみて

＞ Spyware Doctorを使っている者なのですが
＞ 大体5分毎位に、
＞ ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
＞ 未だに残っている状況です。
＞
＞ スレも最後の方なのですが、よろしくお願いしたいです・・。

超亀だが俺も>>903と同じ症状だわ
逆に不安になる

>>981
んー、一応クリックはしちゃった感じ？

>>903だけど、自分はクリックして、ファイルも完全に開いちゃったと思う
感染時の症状もあったみたいで、メッセでウイルスばら撒いてたりメッセで話しかけられてもこっちには何も無かったし

わからないので教えてください
クリックしてもいないのに感染する場合ってあるですか？

スキャンってwindowsDefenderでも大丈夫？

>>984
基本的にはそのファイルを開いたら感染。
ただメッセージが来ただけで無視したなら感染してない。

不安なら、fxstaller.exeとimgs.exeでパソコン内を検索してみ。ないなら大丈夫。

>>986
fxstaller.exeは共通だが、今はmyspace.exeが元ファイルになってる

>>986
ありがとうございます。

検索しても見つかりませんでした。
不安になってたので、よかったです。

>>988
本当に全部検索できたのかな？

>>987
なるほど、亜種がもう出たのか…。

>>990
myspace.exe(→fxstaller.exe)
ttp://www.virustotal.com/analisis/c020267decf9bf9f89441c185e1b6503
spc.exe
ttp://www.virustotal.com/analisis/1056be7e99642d1402cb580689027fa6

産地はオランダ。ヨーロッパを中心に流行。

>>980さん
ご意見ありがとうございます。

セーフモードでのスキャンでは残念ながら解決には到りませんでした。
色々頑張ってみようと思います。
次スレになってもまだ無理っぽかったら、状況を整えてまた伺いたいと思います。

よろしくお願いします。

このウイルスの作者は逮捕されるの？

>>993
誰かわかれば逮捕されるかもしれないが、わからないだろうな。
それに作者が住んでる国にもよる。
日本でさえ、ウィルス作成自体を取り締まる法律がない。
この前の暴露ウイルスは感染したらなんかの画像が表示されるから、それの著作権法違反として逮捕せざるをえなかったみたいだし。

これって感染してもメッセでウイルスのURL送られてくるんですか？

やれやれ、感染してなかったよ
こんなのに感染した奴は超絶ド級の大バカだな

1000だったらこれに感染した人みんな完治

1000だったらこれに感染した人みんなカンチ

セックスしよ！

何とか自動更新有効まで辿りついたよトホホ

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。