1 :
名無しさん@お腹いっぱい。 :
2001/08/20(月) 02:10 最近、家で使ってる2台のPCのうち、1台が突然不調に陥りました。 ・デスクトップにはアイコンが一切表示されない。 ・メニューの実行ファイルはすべて関連付けされてないウィンドウズのマークが 入ったアイコン。そのうえ、クリックしても何も起きない。 ・スタートメニューには、「WindowsUpdate」、「プログラム」、「ヘルプ」と 「officeドキュメントの新規作成」、「officeドキュメントを開く」だけ表示される。 (windowsの終了、コンパネ等が消えた。) ・特徴的な現象としては、たとえばデスクトップの表示ボタンを押すと、 「このコンピュータの制限により、処理は取り消されました。 システム管理者に問い合わせてください」などと、×マークのダイアログが出る。 エクスプローラも開かないので、ファイルが参照できないし、メールソフトも開かない。 インターネットには、とりあえず「チャンネルの表示」ボタンからアクセス可能だが、 トレンドマイクロ社のウィルスオンラインチェックプログラムを走らそうと思っても、 「このコンピュータの制限により、処理は取り消されました。システム管理者に問い合わせてください」と 出て、何もできない始末。 また、トップページをyahooに設定してたのが、なぜか「fuck Japanese」というあやしいサイトに変わってるし。 (しかも、ブラウザのプルダウンメニューから、インターネットオプションが消えている) やっぱりこれは、ウィルスの仕業なんでしょうかねえ。 ちなみに使用PCは、昔のラヴィNX23D53という、ペンU233、4Gのモデル。 ネットは、フレッツISDNで接続しておりますが、怪しいメールの添付ファイルなんか開いた覚えはないんですよ。 ウィルスチェックソフトはまだ入れてなかったんすが。 ヤマハのネットボランチRTA50iをつかっていますが、これも結構ウィルス攻撃に弱い面があると、 何かで読んだことがあります…。 復旧の手立てはあるでしょうか?
2 :
ももんが :2001/08/20(月) 02:17
せきゅりてぃぽりしーえでぃたでかきかえられたんだろうね
CodeRedに感染してたりして
4 :
ヴァル :2001/08/20(月) 02:42
Lavie NX 23D53 は OSを入れ直していない限りWindows98だな。 バックドアとか仕込まれてるんじゃないの?
OSぐらい書け
7 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 02:48
すんません、抜かってました。
4さんの指摘どおり、OSはWin98です。
ちなみに、頻繁に、以下のメッセージがブラウザの上部に出ます。
If you have any trouble please email:
[email protected] note:not for japanese&dog&pig
昨日(18日土曜日午前10時ごろ)、
[email protected] らしきメールが届いたように記憶してます。
ただ、開いてみてないので、内容はどんなものかわかりません。
21cn.comって、中国のフリーメールサイトみたいっす。
9 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 03:05
某板のカキコミ。
タイトル 今までで最悪のトラブル発生しました。大至急アドバイスください。
ネット中いくつかブラウザを開いていたら急に全部閉じられ残ったのはOutlookExpressだけになったので、
もう一度で電源を入れ直したらデスクトップにインストールしていた物は全部消え真中にビックリマークのメッセージがありました。
(If you have any trouble please email:
[email protected] note:not for japanese&dog&pig)と言う内容です。
左下のスタートを押しても終了の項目もなくなっていて、少なくなっていたりダイヤルアップネットワークに1個接続先が増えていました。
(EZ_1-2-3)でした。そしてそれを消そうとその上で右クリックしても何も出てこない為、削除もできなくなりました。
それとマイコンピューターの中身がかなり減っています。(今あるのはWebフォルダとダイヤルアップネットワークとタスクだけになってしまいました)
ごちゃごちゃ扱っていくうちに何かの履歴を発見する事が出来たのでそこから立ち上げる事ができています。(IE5.5のウインドウズ98SEです)
OutlookExpressを開こうとすると×印でメッセージが出て来て開けないです。(指定されたデバイス、パス、またはファイルへのアクセスは拒否されました。)の内容です。
マイドキュメントなんかも同じように開けないです。
それと画面上のツールを開くと上から3番目にFUCK Japaneseと出ていますが、こちらも右クリック操作不能で削除が出来ません。
今の接続先は一応フレッツに繋がっている状態にはなっていますが、回線は変な所に繋がってはいないのでしょうか?
すいませんが詳しい方おられましたら大至急アドバイスを頂きたいと思います。
10 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 03:11
<!--// File Name : default.htm //--> <!--// 2001, 03, 8 //--> <!--// Writed by Park Chan Woo //--> <!--//////////////////////////////////////////////////////////////////////////////////--> トップのコメント。 この後、javaでとばしてるね。
>>12 ブラウザチェックして、それ相当のファイルに飛ばしてるだけ。
特に問題はないよ
14 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 06:41
素直にOSから再インストールしたらどうでしょうか? FDは起動するんでしょ?
15 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 07:11
16 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 09:16
私もやられました。プライスロト、確かに見ました。 懸賞板の住民は殆どやられたんじゃないかなあ。 今、プライスロトを運営しているメディアゲートに電話したら 受付のお姉さんが「初耳だ」みたいな感じで明るく応対されて しまいました。10時になったらIPAに電話してみます。
17 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 09:43
おかしくなるまでの詳細をきぼーん。
18 :
16 :2001/08/20(月) 10:11
>>17 経緯は1さんと同じです。OSは98です。
ただ、
[email protected] からメールは届いてません。
他に怪しいメールも届いてません。
6、7さんが教えて下さった掲示板で書かれている状態も同じなので
プライスロトだと思いました。
私は入札もしましたが、トップページを見ただけで感染する模様です。
感染源が分かっただけでもほっとしました。
19 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 10:44
20 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 11:51
コマンドプロンプトで起動してレジストリを修復したら、 元通り動くようになったよ。
21 :
◆SecDjneA :2001/08/20(月) 11:53
プライスロトのサイトは修復した模様。。。 でも大丈夫か? こんなの、コードレッドUであいた穴からサイト書き換えられたら いくらでも増殖するぞ。 とりあえず、WinユーザーはXをオフにしないと。。。
22 :
1 :2001/08/20(月) 12:07
そのPCでは、前にプライスロトに逝ってました。 とりあえず、20さんと同じ手法で復旧したので、 データバックアップとってしばらく様子見ます。
23 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 12:16
24 :
名無しさん@お腹いっぱい :2001/08/20(月) 12:52
うちもやられた!症状もまったく一緒!プライスロトかーーーー!!!なんで?ウィルスか?
某板からの引用。 投稿日時 20 / 01:35:29 プライスロトのウィルスらしきものへの対処方法 先ほど、被害にあったPCを復旧しました。 ただし、この症状が何に起因するのかは、わかりませんので、 復旧できたPCの必要最小限のバックアップと取って、HDDのフォーマット後、クリーンインストールすることをお勧めします。 あと、当然ながら、復旧できなかったとしても、責任は取れません。 何度か試したら復旧した人もいるようですが、私は、一度で復旧しました。 以下、行った内容。 被害PCを、「Ctrl」か「F8」キーを押しながら電源を入れ、スタートアップ画面を表示、 「5」のキーを押して「5. Command prompt only」を選択し、 「Enter」キーを押すと、MS-DOSのコマンド待ち受け状態になります。 「C:\>」の後に、「scanreg/ restore」と入力し「Enter」キーを押すと、 「レジストリチェッカ」というプログラムが起動し、保存されているバックアップファイルが一覧表示される。 その中の「起動済み」と記されたバックアップファイルで、 「プライスロトへ行く前の日付(18日以前か?)」を選択する。 選択したら「R」キーを押すと、レジストリを復元できます。 「状態の良いレジストリの復元 -完了」というダイアログが出たら、 「R」キーを押してマシンを再起動すると、復旧できるはずです。 はっきり言って、元に戻るか、とても不安でしたが、他に手がなかったので、だめ元でやってみました。 落ち着いて、やれば、たいしたことではないので、頑張ってみてください。
某板からの引用(つづき)。 投稿日時 20 / 02:20:35 > 被害PCを、「Ctrl」か「F8」キーを押しながら電源を入れ、スタートアップ画面を表示、 「5」のキーを押して「5. Command prompt only」を選択し、「Enter」キーを押すと、 MS-DOSのコマンド待ち受け状態になります。 先ほど、下にも書き込みさせてもらったものです。 私の使用しているOSはMeなのですが、Meは 「5. Command prompt only」がありません。 どうにか方法はないのでしょうか? 何度も申し訳ないのですが、宜しくお願い致します。 投稿日時 20 / 10:28:46 Windows Me の起動ディスクで PC を起動します。 ヘルプ(青い画面)が起動したら、Alt キーを押しながら、F、X キーを順に押します。 これで、MS-DOSのコマンド待ち受け状態になります。 次のコマンドを実行します。 A:\>SCANREG /RESTORE あとは、前述の通りです。 私は、98SEでしたが、これでできるはずです。 起動ディスクを作っていない場合は、ちょっと、無理だと思います。 友人知人に頼んででも、用意してください。 復旧できることをお祈りします。 投稿日時 20 / 12:54:18 すごく丁寧に教えてくださり、ありがとうございました。 残念ながら起動ディスクを作っていなかったうえに 借りられる知人もいないので、ギブアップです。 フォーマットして、再インストールをがんばります。 本当にありがとうございました。
27 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 13:37
>27 いえーす。
29 :
16 :2001/08/20(月) 15:06
>>23 IPAって政府の諮問機関だからまるっきりお役所仕事です。
午前中は電話が繋がらず、14時頃やっと繋がったと思ったら
「届出はFAXかe-mailでHPの様式に従ってやって下さい」と言われて
すぐ電話を切られました。状況は何も聞かれませんでした。
もうPCは復旧したから届け出るのやめよーかな。めんどー。
因みにメディアゲートからは9時半頃、技術者らしき人から電話があって
「寝耳に水」という感じでしたよ。「他にどんなサイト見てたか」って
聞かれたけど、そんなの覚えてないぞー。
「調べてまた電話します」って言われたけど、かかってきません。
31 :
:2001/08/20(月) 15:38
>>29 以前にIPAにメールでワームの届け出したことあるけど、丁寧な返事が来たよ。
メールかFAXでの方が良いと思う。
これってマジで「見るだけで感染」してるの?それともActiveXで何か強制実行 されてるとか穴?どーゆー仕組みになってるんでしょう
33 :
29 :2001/08/20(月) 15:48
IEのセキュリティホールじゃないの? 本来ならActiveXの実行確認が出るはずのところでないとか 安全とマークされてるActiveXコントロールの穴をついてるとか
35 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 17:41
ソースより Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\(略 Xでこんな事出来るのかよ・・・ ShlRegWriteってXで実装されてるコマンドなのか?? (なわけないか・・・)
何でもできます。 環境依存的なものでない限り、およそ不可能なことはないです。
ActiveXなんて切っとけよ
39 :
33 :2001/08/20(月) 22:37
そうですね。もう懲りました。全部切りました。
IPAから返事を頂いたので転載します。
IPAセキュリティセンターウイルス対策室です。
届出に御協力いただきありがとうございます。
あるサイト(www.priceloto.com)に接続すると、レジストリをロックされてしまうら
しく、アプリケーションの起動、設定の変更、ウィンドウズの終了が行えないなどの
障害が起こります。
また、強制終了後に再起動すると、ウィンドウズの起動時に
「If you have any trouble please email:
[email protected] . note: not for
japanese&dog&pig」
というメッセージボックスが表示され、その後は前述の症状となり全くPCを使用で
きなくなるようです。ただ、ウイルスではなく悪意あるJAVAスクリプトだと思われます。
(アンチウィルスソフトにも検知されず、特にメール受信もしていないため、おそらく
WEBアクセスによるものだと思われます)
上記のサイトですが、一時サービスを停止した後、当該マシンを切り離して、
安全を確認した後、運用を開始しております。
======================================
==
回復方法としては下記の方法があります。
■レジストリの修正
■HDフォーマット、OS再インストール
「駆除ツール掲載サイト」
http://www.nai.com/japan/virusinfo/010820malware.asp ======================================
==
なお、このことに関する情報を下記サイトに掲載しておりますので、
ご参考にしてください。
「悪意あるJavaスクリプト実行による被害情報」
http://www.ipa.go.jp/security/ciadr/20010820java_browser.html また、今回の届出はウイルスではなく、不正プログラムですので、
届出集計には含まれませんことをご了承ください。
今後ともご協力方よろしくお願い致します。
40 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 22:50
これ、Javascriptなのか?
ActiveXだから、スクリプトですらないな
42 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 22:58
>>40 @ローカルからしか参照できないようになっているはずのActiveXコントロールをMicrosoft VMから参照。
AそのActiveXコントロールをJavaScriptを使ってアクセス。
@がセキュリティホール。(MS00-075)
43 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 23:27
44 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 23:38
プライスロトがハクられたの? それともプライスロトがActiveXでトロイ実行させるスクリプト書いてるの?
45 :
名無し :2001/08/20(月) 23:41
Windows2000の場合はSP2当てとけばOKですか? jviewで見るとVMのバージョンは3802でした。 IE5.5SP2も必要なのかな。
46 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 23:54
47 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 00:00
ユーザーサイドでできる対策は最新のパッチを当て、ActiveXを切っておくことくらいですかね
48 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 00:16
49 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 00:17
>>47 つ〜かパソコンなんか使わないのが一番いいよ
50 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 00:19
携帯も捨て、電気すら敷設していない廃屋で暮らそう
51 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 01:03
52 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 01:13
ブラクラなんてかわいいもんだな。
53 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 01:17
つーか、マカフィー完全にパクリじゃん。 ヤバイだろこれは。
54 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 01:31
55 :
53 :2001/08/21(火) 01:35
56 :
43 :
2001/08/21(火) 01:50