スタートメニューが変になった

最近、家で使ってる２台のＰＣのうち、１台が突然不調に陥りました。
・デスクトップにはアイコンが一切表示されない。
・メニューの実行ファイルはすべて関連付けされてないｳｨﾝﾄﾞｳｽﾞのマークが
入ったアイコン。そのうえ、クリックしても何も起きない。
・スタートメニューには、「WindowsUpdate」、「プログラム」、「ヘルプ」と
「officeドキュメントの新規作成」、「officeドキュメントを開く」だけ表示される。
（windowsの終了、コンパネ等が消えた。）
・特徴的な現象としては、たとえばデスクトップの表示ボタンを押すと、
「このコンピュータの制限により、処理は取り消されました。
システム管理者に問い合わせてください」などと、×マークのダイアログが出る。
エクスプローラも開かないので、ファイルが参照できないし、メールソフトも開かない。
インターネットには、とりあえず「チャンネルの表示」ボタンからアクセス可能だが、
トレンドマイクロ社のウィルスオンラインチェックプログラムを走らそうと思っても、
「このコンピュータの制限により、処理は取り消されました。システム管理者に問い合わせてください」と
出て、何もできない始末。
また、トップページをyahooに設定してたのが、なぜか「fuck　Japanese」というあやしいサイトに変わってるし。
（しかも、ブラウザのプルダウンメニューから、インターネットオプションが消えている）
やっぱりこれは、ウィルスの仕業なんでしょうかねえ。
ちなみに使用ＰＣは、昔のラヴィNX23D53という、ペン�U２３３、４Gのモデル。
ネットは、フレッツISDNで接続しておりますが、怪しいメールの添付ファイルなんか開いた覚えはないんですよ。
ウィルスチェックソフトはまだ入れてなかったんすが。
ヤマハのネットボランチRTA５０ｉをつかっていますが、これも結構ウィルス攻撃に弱い面があると、
何かで読んだことがあります…。
復旧の手立てはあるでしょうか？

せきゅりてぃぽりしーえでぃたでかきかえられたんだろうね

CodeRedに感染してたりして

Lavie NX 23D53 は OSを入れ直していない限りWindows98だな。
バックドアとか仕込まれてるんじゃないの？

OSぐらい書け

プライスロトにやられたね。

http://www.iosnet.ne.jp/~anti-virus/cgi-bin/treebbs.cgi?vew=7906

ここで話題になっているやつかな？

http://www.iosnet.ne.jp/~anti-virus/cgi-bin/treebbs.cgi?vew=7906

「プライスロト」というのが原因らしい。

すんません、抜かってました。
４さんの指摘どおり、ＯＳはWin９８です。
ちなみに、頻繁に、以下のメッセージがブラウザの上部に出ます。
If you have any trouble please email:[email protected] note:not for japanese&dog&pig
昨日(１８日土曜日午前１０時ごろ）、[email protected]らしきメールが届いたように記憶してます。
ただ、開いてみてないので、内容はどんなものかわかりません。
21cn.comって、中国のフリーメールサイトみたいっす。

某板のカキコミ。


タイトル 今までで最悪のトラブル発生しました。大至急アドバイスください。
ネット中いくつかブラウザを開いていたら急に全部閉じられ残ったのはOutlookExpressだけになったので、
もう一度で電源を入れ直したらデスクトップにインストールしていた物は全部消え真中にビックリマークのメッセージがありました。
（If you have any trouble please email:[email protected] note:not for japanese&dog&pig）と言う内容です。
左下のスタートを押しても終了の項目もなくなっていて、少なくなっていたりダイヤルアップネットワークに１個接続先が増えていました。
（EZ_1-2-3）でした。そしてそれを消そうとその上で右クリックしても何も出てこない為、削除もできなくなりました。

それとマイコンピューターの中身がかなり減っています。（今あるのはWebフォルダとダイヤルアップネットワークとタスクだけになってしまいました）
ごちゃごちゃ扱っていくうちに何かの履歴を発見する事が出来たのでそこから立ち上げる事ができています。（ＩＥ5.5のウインドウズ98SEです）

OutlookExpressを開こうとすると×印でメッセージが出て来て開けないです。（指定されたデバイス、パス、またはファイルへのアクセスは拒否されました。）の内容です。

マイドキュメントなんかも同じように開けないです。
それと画面上のツールを開くと上から３番目にFUCK Japaneseと出ていますが、こちらも右クリック操作不能で削除が出来ません。

今の接続先は一応フレッツに繋がっている状態にはなっていますが、回線は変な所に繋がってはいないのでしょうか？

すいませんが詳しい方おられましたら大至急アドバイスを頂きたいと思います。

http://www.google.com/search?q=cache:fD8cltCWAAg:www.priceloto.com/main.asp+%83v%83%89%83C%83X%83%8D%83g+main.asp&hl=ja

>>10
プライスロトのgoogleキャッシュ

<!--// File Name : default.htm //-->
<!--// 2001, 03, 8 //-->
<!--// Writed by Park Chan Woo //-->
<!--//////////////////////////////////////////////////////////////////////////////////-->

トップのコメント。
この後、javaでとばしてるね。

>>12
ブラウザチェックして、それ相当のファイルに飛ばしてるだけ。
特に問題はないよ

素直にＯＳから再インストールしたらどうでしょうか？
ＦＤは起動するんでしょ？

IPAセキュリティセンターに届けてみては？
http://www.ipa.go.jp/security/outline/todokede-j.html

私もやられました。プライスロト、確かに見ました。
懸賞板の住民は殆どやられたんじゃないかなあ。
今、プライスロトを運営しているメディアゲートに電話したら
受付のお姉さんが「初耳だ」みたいな感じで明るく応対されて
しまいました。10時になったらＩＰＡに電話してみます。

おかしくなるまでの詳細をきぼーん。

>>17
経緯は１さんと同じです。ＯＳは98です。
ただ、[email protected]からメールは届いてません。
他に怪しいメールも届いてません。
６、７さんが教えて下さった掲示板で書かれている状態も同じなので
プライスロトだと思いました。
私は入札もしましたが、トップページを見ただけで感染する模様です。
感染源が分かっただけでもほっとしました。

ニュース速報板にも関連スレが立ってるYO！
> 閲覧するだけで容易に感染するサイト
> http://kaba.2ch.net/test/read.cgi?bbs=news&key=998227758
それによるとここ参照とのこと。
> http://www.iosnet.ne.jp/~anti-virus/cgi-bin/treebbs.cgi?vew=7906

コマンドプロンプトで起動してレジストリを修復したら、
元通り動くようになったよ。

プライスロトのサイトは修復した模様。。。

でも大丈夫か？
こんなの、コードレッド�Uであいた穴からサイト書き換えられたら
いくらでも増殖するぞ。

とりあえず、WinユーザーはXをオフにしないと。。。

そのＰＣでは、前にプライスロトに逝ってました。
とりあえず、２０さんと同じ手法で復旧したので、
データバックアップとってしばらく様子見ます。

>>16
IPAへの報告は、どうでした？

うちもやられた！症状もまったく一緒！プライスロトかーーーー！！！なんで？ウィルスか？

某板からの引用。

投稿日時 20 / 01:35:29 プライスロトのウィルスらしきものへの対処方法

先ほど、被害にあったPCを復旧しました。　ただし、この症状が何に起因するのかは、わかりませんので、
復旧できたPCの必要最小限のバックアップと取って、HDDのフォーマット後、クリーンインストールすることをお勧めします。
あと、当然ながら、復旧できなかったとしても、責任は取れません。
何度か試したら復旧した人もいるようですが、私は、一度で復旧しました。

以下、行った内容。

被害PCを、「Ctrl」か「F8」キーを押しながら電源を入れ、スタートアップ画面を表示、
「5」のキーを押して「5. Command prompt only」を選択し、
「Enter」キーを押すと、MS-DOSのコマンド待ち受け状態になります。

「C:\>」の後に、「scanreg/ restore」と入力し「Enter」キーを押すと、
「レジストリチェッカ」というプログラムが起動し、保存されているバックアップファイルが一覧表示される。

その中の「起動済み」と記されたバックアップファイルで、
「プライスロトへ行く前の日付（１８日以前か？）」を選択する。

選択したら「R」キーを押すと、レジストリを復元できます。

「状態の良いレジストリの復元 -完了」というダイアログが出たら、
「R」キーを押してマシンを再起動すると、復旧できるはずです。


はっきり言って、元に戻るか、とても不安でしたが、他に手がなかったので、だめ元でやってみました。
落ち着いて、やれば、たいしたことではないので、頑張ってみてください。

某板からの引用（つづき）。

投稿日時 20 / 02:20:35
> 被害PCを、「Ctrl」か「F8」キーを押しながら電源を入れ、スタートアップ画面を表示、
「5」のキーを押して「5. Command prompt only」を選択し、「Enter」キーを押すと、
MS-DOSのコマンド待ち受け状態になります。

先ほど、下にも書き込みさせてもらったものです。
私の使用しているＯＳはＭｅなのですが、Ｍｅは
「5. Command prompt only」がありません。
どうにか方法はないのでしょうか？
何度も申し訳ないのですが、宜しくお願い致します。


投稿日時 20 / 10:28:46
Windows Me の起動ディスクで PC を起動します。
ヘルプ(青い画面)が起動したら、Alt キーを押しながら、F、X キーを順に押します。
これで、MS-DOSのコマンド待ち受け状態になります。
次のコマンドを実行します。
A:\>SCANREG /RESTORE
あとは、前述の通りです。

私は、９８SEでしたが、これでできるはずです。　起動ディスクを作っていない場合は、ちょっと、無理だと思います。
友人知人に頼んででも、用意してください。

復旧できることをお祈りします。

投稿日時 20 / 12:54:18
すごく丁寧に教えてくださり、ありがとうございました。
残念ながら起動ディスクを作っていなかったうえに
借りられる知人もいないので、ギブアップです。
フォーマットして、再インストールをがんばります。
本当にありがとうございました。

某板ってえむすた？
http://community.m-sta.com/

>27
いえーす。

>>23
ＩＰＡって政府の諮問機関だからまるっきりお役所仕事です。
午前中は電話が繋がらず、14時頃やっと繋がったと思ったら
「届出はＦＡＸかe-mailでＨＰの様式に従ってやって下さい」と言われて
すぐ電話を切られました。状況は何も聞かれませんでした。
もうＰＣは復旧したから届け出るのやめよーかな。めんどー。
因みにメディアゲートからは９時半頃、技術者らしき人から電話があって
「寝耳に水」という感じでしたよ。「他にどんなサイト見てたか」って
聞かれたけど、そんなの覚えてないぞー。
「調べてまた電話します」って言われたけど、かかってきません。

>>29
どっちも屑だな。

>>29
以前にIPAにメールでワームの届け出したことあるけど、丁寧な返事が来たよ。
メールかFAXでの方が良いと思う。

これってマジで「見るだけで感染」してるの？それともActiveXで何か強制実行
されてるとか穴？どーゆー仕組みになってるんでしょう

>>31
偉いですね！
届出様式見たら、何だかめんどくさくなっちゃって。
http://www.ipa.go.jp/security/format/report-format.html
返事が楽しみだから届けてみます。

IEのセキュリティホールじゃないの?
本来ならActiveXの実行確認が出るはずのところでないとか
安全とマークされてるActiveXコントロールの穴をついてるとか

HTMLのソースを見ると、Xだね。
http://fuga.jp/~densuke/data/priceloto-danger-code.txt

ソースより
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\（略

Xでこんな事出来るのかよ･･･
ShlRegWriteってXで実装されてるコマンドなのか？？
（なわけないか･･･）

何でもできます。
環境依存的なものでない限り、およそ不可能なことはないです。

ActiveXなんて切っとけよ

そうですね。もう懲りました。全部切りました。
ＩＰＡから返事を頂いたので転載します。

ＩＰＡセキュリティセンターウイルス対策室です。
届出に御協力いただきありがとうございます。

　あるサイト（www.priceloto.com）に接続すると、レジストリをロックされてしまうら
しく、アプリケーションの起動、設定の変更、ウィンドウズの終了が行えないなどの
障害が起こります。
　また、強制終了後に再起動すると、ウィンドウズの起動時に
「If you have any trouble please email:[email protected]. note: not for
japanese&dog&pig」
というメッセージボックスが表示され、その後は前述の症状となり全くＰＣを使用で
きなくなるようです。ただ、ウイルスではなく悪意あるJAVAスクリプトだと思われます。
（アンチウィルスソフトにも検知されず、特にメール受信もしていないため、おそらく
ＷＥＢアクセスによるものだと思われます）

　上記のサイトですが、一時サービスを停止した後、当該マシンを切り離して、
安全を確認した後、運用を開始しております。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＝＝
　回復方法としては下記の方法があります。

　■レジストリの修正
　■ＨＤフォーマット、ＯＳ再インストール

「駆除ツール掲載サイト」
http://www.nai.com/japan/virusinfo/010820malware.asp

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＝＝

　なお、このことに関する情報を下記サイトに掲載しておりますので、
ご参考にしてください。

「悪意あるJavaスクリプト実行による被害情報」
http://www.ipa.go.jp/security/ciadr/20010820java_browser.html

　また、今回の届出はウイルスではなく、不正プログラムですので、
届出集計には含まれませんことをご了承ください。
今後ともご協力方よろしくお願い致します。

これ、Javascriptなのか？

ActiveXだから、スクリプトですらないな

>>40
�@ローカルからしか参照できないようになっているはずのActiveXコントロールをMicrosoft VMから参照。
�AそのActiveXコントロールをJavaScriptを使ってアクセス。

�@がセキュリティホール。(MS00-075)

http://www.iosnet.ne.jp/~anti-virus/cgi-bin/treebbs.cgi

に修正ハイブを掲載したものです。

http://www.nai.com/japan/virusinfo/010820malware.asp

McAfeeにぱくられました。

[HKEY_LOCAL_MACHINE\Software\CLASSES\.reg:

間違いの位置が一緒です。
ノートンに負けたのが悔しいのでしょうか。

プライスロトがﾊｸられたの？
それともプライスロトがActiveXでトロイ実行させるスクリプト書いてるの？

Windows2000の場合はSP2当てとけばOKですか？
jviewで見るとVMのバージョンは3802でした。
IE5.5SP2も必要なのかな。

Windows2000の最新VMはSP2に含まれているので
SP2が当たっていれば大丈夫です。

http://www.microsoft.com/java/vm/dl_vm40.htm
Microsoft VM build 3802 for Microsoft Windows 2000
(included with Windows 2000 Service Pack 2)

ユーザーサイドでできる対策は最新のパッチを当て、ActiveXを切っておくことくらいですかね

>>43
心中お察し申しageげます

>>47
つ〜かパソコンなんか使わないのが一番いいよ

携帯も捨て、電気すら敷設していない廃屋で暮らそう

http://www.iosnet.ne.jp/~anti-virus/cgi-bin/treebbs.cgi?vew=7906
こえーなあ・・・・・・・・・・

ブラクラなんてかわいいもんだな。

つーか、マカフィー完全にパクリじゃん。
ヤバイだろこれは。

>>53
誤爆？

>>54
いや、ごめん。>>43のこと。

スレ作りました。抗議メールなども掲載予定。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=998320408&ls=100