Windows Live Messenger Part 5
678 :名無し~3.EXE:
|
|
|
foto h t t p://www.myspacy.biz/viewimage.php?=自分のアカウント@hotmail.co.jp
これか。exeファイル…どう見てもウイルスです本当に(ry
これか。exeファイル…どう見てもウイルスです本当に(ry
680 :名無し~3.EXE:2008/12/25(木) 01:37:17 ID:EUy9KyZr
ウチにもきた。
なんかものすごい勢いで拡散してる余寒
注意喚起あげ
なんかものすごい勢いで拡散してる余寒
注意喚起あげ
俺も踏んでしまった
窓は何も開かず勝手に閉じた
やられたわ
窓は何も開かず勝手に閉じた
やられたわ
おいおいウイルスバスター反応しなかったぜ・・・
いろんなとこに飛び火してるみたいでメールで連絡取ってるわ
いろんなとこに飛び火してるみたいでメールで連絡取ってるわ
683 :名無し~3.EXE:2008/12/25(木) 01:39:08 ID:dNzWHmwl
これやばいね、ウイルスか?
別スレで話題になってるパス取得型かと思って
感染した奴にパス変えさせたけど無駄だった
別スレで話題になってるパス取得型かと思って
感染した奴にパス変えさせたけど無駄だった
〜.jpgってところまでファイル名削って保存して、
起動させてプレビューできなかったんだが、これってやっぱりアウト?
再ログインで発動らしいから、一週間くらいはスタンバイで過ごすつもりだけど
起動させてプレビューできなかったんだが、これってやっぱりアウト?
再ログインで発動らしいから、一週間くらいはスタンバイで過ごすつもりだけど
685 :名無し~3.EXE:2008/12/25(木) 01:51:10 ID:bKi+rhXR
これはひどいクリスマスプレゼントだぜ
うちも友人からfoto〜アドきてURL踏んだけど露骨に怪しかったんで保存しますか?→キャンセルしといた。
とりあえず大丈夫だと思う……思いたい。
とりあえず大丈夫だと思う……思いたい。
exeファイル実行したら終わりみたいね
見事にかかりました。
・・・・・酒なんぞ飲んでいなけりゃこんな露骨なexe・・・・・・
・・・・・酒なんぞ飲んでいなけりゃこんな露骨なexe・・・・・・
>>686-687
実行したらアウト。キャンセルしてればセフセフ。
実行したらアウト。キャンセルしてればセフセフ。
実行しちまった・・・。
Messengerの調子悪いわ;
Messengerの調子悪いわ;
691 :名無し~3.EXE:2008/12/25(木) 02:08:31 ID:dNzWHmwl
メッセアンインストールしたら直るかね?
とりあえずexe実行してまった人はメッセ起動しちゃだめ。
起動して1分くらいするとオンラインの全員にまたメッセージ飛ばしてしまうっぽい。
起動して1分くらいするとオンラインの全員にまたメッセージ飛ばしてしまうっぽい。
後、これのせいか
XPのセキュリティセンターが
自動更新ONにしているのに
自動更新が無効ですの警告が出てくる
XPのセキュリティセンターが
自動更新ONにしているのに
自動更新が無効ですの警告が出てくる
見覚えのない怪しいプロセス殺せレジストリのオートランとスタートアップを確認しろ
HDDをくまなく探して見覚えのないファイルはググって安全確認
というかそういう怪しいのはVPCで挙動見るのが安全で楽しいな、ゾクゾクしちゃう
でもLAN介して家のPCひいては自分のホストOSにアクセスされたらと思うともう昇天しちゃう
HDDをくまなく探して見覚えのないファイルはググって安全確認
というかそういう怪しいのはVPCで挙動見るのが安全で楽しいな、ゾクゾクしちゃう
でもLAN介して家のPCひいては自分のホストOSにアクセスされたらと思うともう昇天しちゃう
感染者がオンライン状態だと、
アドレス帳に登録しているメンバーに1〜2分間隔で例のURLを送信するようだ
間違って踏まないように、「会話ウインドウとMessengerのアドレス帳にリンクを表示する」
のチェックボックスを外しておくことを推奨する
アドレス帳に登録しているメンバーに1〜2分間隔で例のURLを送信するようだ
間違って踏まないように、「会話ウインドウとMessengerのアドレス帳にリンクを表示する」
のチェックボックスを外しておくことを推奨する
>>695
McAfee+ArtemisとMicrosoftってマカフィーとOneCareのことでいいのかな。
だとすると
Onecareオンラインスキャン
ttp://onecare.live.com/site/ja-jp/center/howsafe.htm?s_cid=mscom_msrt
これつかって駆除できないかね?
McAfee+ArtemisとMicrosoftってマカフィーとOneCareのことでいいのかな。
だとすると
Onecareオンラインスキャン
ttp://onecare.live.com/site/ja-jp/center/howsafe.htm?s_cid=mscom_msrt
これつかって駆除できないかね?
試しにそのURL貼ってみてくれないか?
勿論間違って踏まないような体裁で
勿論間違って踏まないような体裁で
wwwがついてるのとついてないのがありますね。
うわあああああああああああ、なんかそのへんなやつ踏んでしまって変だから、このスレきたけど。どうやら俺もウィルス感染したようだ。
変って具体的にどうなるの?
感染した人、症状を教えてください。
あと、
リンク先をクリック⇒ダウンロードで
*.comファイルが落ちてきたと思うんですが、
クリック時点で感染なのか、DL⇒実行で感染なのか知りたいです。
あと、
リンク先をクリック⇒ダウンロードで
*.comファイルが落ちてきたと思うんですが、
クリック時点で感染なのか、DL⇒実行で感染なのか知りたいです。
メッセをつかって会話ができなくなった。セキュリティ自動更新無効
PCいきなり重くなった。PCの音がいきなりうるさくなってる
PCいきなり重くなった。PCの音がいきなりうるさくなってる
IMG455[1].jpg-www.photo.com
っていうファイルしか落とせないんだが
っていうファイルしか落とせないんだが
自動更新を有効に出来ん
くそ
くそ
実行時点で感染。
DLは未確認。キャンセルしたらセーフ
症状はまずメッセンジャー全般の動作が重くなる。
感染後、1,2分置き程度にフリーズするくらい重くなる。このとき一瞬だけメッセージ画面の窓が勝手に開かれてすぐ閉じる。
これが何回も起きる。
よく見ると一つずつ違う相手とのメッセージを開いているためこれがウイルスメッセージ送信の動作だと思われ
DLは未確認。キャンセルしたらセーフ
症状はまずメッセンジャー全般の動作が重くなる。
感染後、1,2分置き程度にフリーズするくらい重くなる。このとき一瞬だけメッセージ画面の窓が勝手に開かれてすぐ閉じる。
これが何回も起きる。
よく見ると一つずつ違う相手とのメッセージを開いているためこれがウイルスメッセージ送信の動作だと思われ
>>706
それ開くと終了する
それ開くと終了する
+自動更新が無効の警告が表示される。(自動更新のプロパティ開くと有効状態にはなっている)
ってみんなもそうなのな
ってみんなもそうなのな
飛んだクリスマスプレゼントをもらっちまったぜ。
とりあえずspybotでTrojanってやつ3つ検出された
>>714
なんも対処法になってないじゃねーかw
なんも対処法になってないじゃねーかw
>>712
ごうかーく
ごうかーく
>>712
,_/)_
(∴∴)
r" ̄ ̄ ̄ ̄"ヽ
( ___________________)
r ´ `ヽ
<(___________________________)>
┗━彡ミミ彡ミ ミ彡ミミ彡━┛
ミミ彡ミ .\ ./ミ彡ミミミ
彡ミミミ .\/ .ミミ彡
ミ丿.┃ . ● .┃ヾミ
┗━━┛┗━━┛
,_/)_
(∴∴)
r" ̄ ̄ ̄ ̄"ヽ
( ___________________)
r ´ `ヽ
<(___________________________)>
┗━彡ミミ彡ミ ミ彡ミミ彡━┛
ミミ彡ミ .\ ./ミ彡ミミミ
彡ミミミ .\/ .ミミ彡
ミ丿.┃ . ● .┃ヾミ
┗━━┛┗━━┛
ダウンロードで実行又は、保存した後ダブルクリックでcomを実行したらアウトです。
jpgリネームはビューアにもよりますが、実行してしまうと「Picture can not be displayed.」というエラーメッセージが出るので、
それが出ていない場合は感染していない可能性が高いです。
ウイルスのプロセス名はfxstaller.exeとimgs.exeです。
fxstaller.exeの場所は%WINDIR%\fxstaller.exeです。
fxstaller.exeは72.52.198.177(host.karimradi.com)とTCPセッションを張ります。
%WINDIR%\fxstaller.exeが無ければセーフです。これは実行した瞬間に生成されています。
jpgリネームはビューアにもよりますが、実行してしまうと「Picture can not be displayed.」というエラーメッセージが出るので、
それが出ていない場合は感染していない可能性が高いです。
ウイルスのプロセス名はfxstaller.exeとimgs.exeです。
fxstaller.exeの場所は%WINDIR%\fxstaller.exeです。
fxstaller.exeは72.52.198.177(host.karimradi.com)とTCPセッションを張ります。
%WINDIR%\fxstaller.exeが無ければセーフです。これは実行した瞬間に生成されています。
とりあえず試しに感染したがfxstaller.exeってのがスタートに登録されるね。
まずタスクマネージャを起動してプロセスを表示
fxstaller.exeを終了後
レジストリを起動してスタートアップ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center:fxstaller.exeを削除
その後OSをインストールしているドライブで
fxstaller.exeを検索(隠しファイルを表示にチェック)
とりあえず削除
自動更新とか細かい事は判らんから偉い人に任せる。
じゃ
まずタスクマネージャを起動してプロセスを表示
fxstaller.exeを終了後
レジストリを起動してスタートアップ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center:fxstaller.exeを削除
その後OSをインストールしているドライブで
fxstaller.exeを検索(隠しファイルを表示にチェック)
とりあえず削除
自動更新とか細かい事は判らんから偉い人に任せる。
じゃ
とりあえずもっと簡単な方法のコピペはっとく
foto
ttp://xxx.myspacy.biz/[email protected]
こんな具合のURLがメッセンジャーで誰かから送られてきていませんか?
これはウィルスに感染するサイトのURLです!!
・ウィルス名
IRCBot.AKX トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。
・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ 他の大手メッセンジャーツール
・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。
・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。
1、http://canon-its.jp/product/eset/trial_ess.html
NOD32アンチウィルス体験版をダウンロード(要メールアドレス)
2、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
3、既存のウィルス対策ソフトをアンインストール
4、NOD32アンチウィルスをインストール
5、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
6、パソコンをインターネットに接続されている状態にし、NOD32アンチウィルスのウィルス定義ファイルを最新の状態にする
7、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
8、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了
foto
ttp://xxx.myspacy.biz/[email protected]
こんな具合のURLがメッセンジャーで誰かから送られてきていませんか?
これはウィルスに感染するサイトのURLです!!
・ウィルス名
IRCBot.AKX トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。
・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ 他の大手メッセンジャーツール
・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。
・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。
1、http://canon-its.jp/product/eset/trial_ess.html
NOD32アンチウィルス体験版をダウンロード(要メールアドレス)
2、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
3、既存のウィルス対策ソフトをアンインストール
4、NOD32アンチウィルスをインストール
5、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
6、パソコンをインターネットに接続されている状態にし、NOD32アンチウィルスのウィルス定義ファイルを最新の状態にする
7、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
8、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了
URL踏んだけど何も起きないぞ
vistaだからか?
vistaだからか?
オフラインのメンバーにも送られてるんだろうか
>>720の方法でやったが自動更新の問題がなおらん
VISTAだけど感染した
やばいなこれ
やばいなこれ
727 :名無し~3.EXE:2008/12/25(木) 03:14:04 ID:MTETE3qt
あんまりPC詳しくない俺が通ります
そのファイル来て何送ってきたのか気になって開いちゃったんだよね
タスクマネージャーでfxstaller.exeないか見たけど、なかったし大丈夫だろうか?
不安だ
そのファイル来て何送ってきたのか気になって開いちゃったんだよね
タスクマネージャーでfxstaller.exeないか見たけど、なかったし大丈夫だろうか?
不安だ
ごめん、質問させてくだせぇ
imgs.exe もウィルスプロセスってことは削除しちゃってOKってことかい?
imgs.exe もウィルスプロセスってことは削除しちゃってOKってことかい?
俺はfxstaller.exeなかったけど、
igms.exeがあった
よくわからん
igms.exeがあった
よくわからん
730 :名無し~3.EXE:2008/12/25(木) 03:15:29 ID:L3vy9o9K
こいつは開かなければネットワーク感染はしないんだよな?
igms.exeはなかったわ、俺の場合
すまんimgs.exeだた
定期的にメッセージをばらまかなくなったら
とりあえずは対処完了…ってことなのかな?
とりあえずは対処完了…ってことなのかな?
自分の環境ではimgs.exeは「%TEMP%\IXP000.TMP」に生成されています。
fxstaller.exeを消した後にimgs.exeを実行するとIMG455.jpg-www.photo.comを実行した時と同じ挙動をします。
「IMG455.jpg-www.photo.com実行」→「imgs.exe生成実行」→「fxstaller.exe生成実行」の流れの様です。
imgs.exeとfxstaller.exeは消してokです。
fxstaller.exeを消した後にimgs.exeを実行するとIMG455.jpg-www.photo.comを実行した時と同じ挙動をします。
「IMG455.jpg-www.photo.com実行」→「imgs.exe生成実行」→「fxstaller.exe生成実行」の流れの様です。
imgs.exeとfxstaller.exeは消してokです。
735 :名無し~3.EXE:2008/12/25(木) 03:37:28 ID:L3vy9o9K
imgs.exe 52,786 byte
メールのようなアイコンから緑色の矢印が飛び出たアイコンをしています
こいつは一緒に生成される(ダウンロードされる?)プログラムのようです
メールのようなアイコンから緑色の矢印が飛び出たアイコンをしています
こいつは一緒に生成される(ダウンロードされる?)プログラムのようです
もうみんななおったのか?
imgs.exeってレジストリエディタのどこにある?
>>737
それはタスクマネージャーのプロセスにあるんじゃないか?
それはタスクマネージャーのプロセスにあるんじゃないか?
レジストリエディタではどの場所にあるのかが分からなくてな
fxstaller.exeは
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にあるわけで
imgs.exeはレジストリのどこに食らいついてるのか分からないんだ
fxstaller.exeは
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にあるわけで
imgs.exeはレジストリのどこに食らいついてるのか分からないんだ
自動更新だけなおらねーし。なんなんだ
とりあえず>>720の手順はやってみた
また誰かに飛ばないか怖くてメッセ繋ぎたくないけど、さっき切る前にコメント書いておいたし・・・大丈夫かな
imgs.exeってのは見つからないんだけど、どっちもあるわけじゃないのかな?
また誰かに飛ばないか怖くてメッセ繋ぎたくないけど、さっき切る前にコメント書いておいたし・・・大丈夫かな
imgs.exeってのは見つからないんだけど、どっちもあるわけじゃないのかな?
あいや、imgs.exeあった
一旦確認がてらメッセ繋いで様子見てみる
一旦確認がてらメッセ繋いで様子見てみる
同じく自動更新だけ治らない、何でだろう
これが治らないと完治してない気がしてメッセ繋ぐのは怖いな…
これが治らないと完治してない気がしてメッセ繋ぐのは怖いな…
>>720をやったあとには再起動しないと危ないかも?
VPCにて感染後にできたと思われるファイルをだらだらとあげてみる
以下すべてwindows\system32の中
awtRHwts.dll
ddCRhICu.dll
efcYQKCU.dll
fb7e4723-.txt
opnLEXqR.dll
plohopjb.dll
C:\Documents and Settings\ユーザ名\{3B7A0090-5AB6-4838-B146-968EBE8F54D1}
というフォルダ
以下すべてwindows\system32の中
awtRHwts.dll
ddCRhICu.dll
efcYQKCU.dll
fb7e4723-.txt
opnLEXqR.dll
plohopjb.dll
C:\Documents and Settings\ユーザ名\{3B7A0090-5AB6-4838-B146-968EBE8F54D1}
というフォルダ
HKEY_LOCAL_MACHINE→SOFTWARE→Policies→Microsoft→Windows→
WindowsUpdate→AU この手順でレジストリをいじろうとしたんだが、まずWindosws Updateというのすら消えている
WindowsUpdate→AU この手順でレジストリをいじろうとしたんだが、まずWindosws Updateというのすら消えている
749 :名無し~3.EXE:2008/12/25(木) 04:26:25 ID:f4t67xBG
imgs.exeとfxstaller.exe消して繋いでみたが問題なさそうな感じ。
ついでに2009ベータ入れてみたが、ちゃんとこのURLには警告出るようになってるね。
ついでに2009ベータ入れてみたが、ちゃんとこのURLには警告出るようになってるね。
fxstaller.exeしか見つからないんだけど。これって両方消せてないとだめなのかな
ダメだー
imgs.exeとfxstaller.exe消したけど、再起動したら復活してる
imgs.exeとfxstaller.exe消したけど、再起動したら復活してる
メシウマwwwwwwwwwwww
よし、自動更新が有効になった
awtRHwts.dllという語をレジストリエディタ内で検索、出てきたキーを削除
のち再起動
awtRHwts.dllという語をレジストリエディタ内で検索、出てきたキーを削除
のち再起動
754 :名無し~3.EXE:2008/12/25(木) 04:38:29 ID:mwRCuTZo
URL踏んじまったんだが
他のフレンドに何もおくってなさそうでimgs.exe fxstaller.exe
両方見つかんないんだがそのままでいいのかな?
他のフレンドに何もおくってなさそうでimgs.exe fxstaller.exe
両方見つかんないんだがそのままでいいのかな?
DLしたファイル実行しちゃったんだけど、で、一回コマンドプロンプトみたいな黒い画面出たんだけど、
どこをどう探してもimgs.exeとfxstaller.exeがない、というか、
DLファイルの中にはあったんだけど、タクスマネージャー見てもmsconfigからスタートアップ見ても無い。
で、自分とこは他の人にURLの送り付けをしたりはしていないみたい。
ファイル実行してしまったのになんで???
寧ろ何もなくて怖い。
同じかんじのひといる?
どこをどう探してもimgs.exeとfxstaller.exeがない、というか、
DLファイルの中にはあったんだけど、タクスマネージャー見てもmsconfigからスタートアップ見ても無い。
で、自分とこは他の人にURLの送り付けをしたりはしていないみたい。
ファイル実行してしまったのになんで???
寧ろ何もなくて怖い。
同じかんじのひといる?
あ、自動更新も特にオフになったりはしてない。
怖くて再起動してないんだけど、再起動した途端に発動とかあるんだろうか。
怖くて再起動してないんだけど、再起動した途端に発動とかあるんだろうか。
>>751
もとの保存したファイルは消した?
もとの保存したファイルは消した?
759 :名無し~3.EXE:2008/12/25(木) 04:50:29 ID:L3vy9o9K
>>757
スマン、今俺も実験しながらでいろいろ並行しながらやっていたせいだ
ようやく再現できたのが、
>>747のdllをできる限り削除(もしくは別フォルダにでも隔離)して再起動すれば有効になるはず
ただし、awtRHwts.dllは復活するからまだどこかで別のプログラムが動いているらしい・・・・・・
スマン、今俺も実験しながらでいろいろ並行しながらやっていたせいだ
ようやく再現できたのが、
>>747のdllをできる限り削除(もしくは別フォルダにでも隔離)して再起動すれば有効になるはず
ただし、awtRHwts.dllは復活するからまだどこかで別のプログラムが動いているらしい・・・・・・
>708
俺の環境だと現時点で症状出てないから
DL時は未感染 .img実行未感染 .txt実行未感染
DL時のファイル名のままでDOS実行すると感染かな
俺の環境だと現時点で症状出てないから
DL時は未感染 .img実行未感染 .txt実行未感染
DL時のファイル名のままでDOS実行すると感染かな
仮想PCで実行してみた。
感染しちゃった人はタスクスケジューラ(コントロールパネル→タスク)も確認。
ランダム文字列のあやしいやつがあればウィルスが作成したものなので削除。
(実行するファイル名が「c:\windows\system32\rundll32.exe "c:\windows\system32\(ランダム文字列).dll",ShellPath」となっている)
あと、windows\system32\開いて、作成日時でソートした時に、
ランダム文字列のDLLファイルがあったらそれもウィルス。
このファイル、どうがんばっても削除できないんだけど、どうやったらいいんだろうか。
感染しちゃった人はタスクスケジューラ(コントロールパネル→タスク)も確認。
ランダム文字列のあやしいやつがあればウィルスが作成したものなので削除。
(実行するファイル名が「c:\windows\system32\rundll32.exe "c:\windows\system32\(ランダム文字列).dll",ShellPath」となっている)
あと、windows\system32\開いて、作成日時でソートした時に、
ランダム文字列のDLLファイルがあったらそれもウィルス。
このファイル、どうがんばっても削除できないんだけど、どうやったらいいんだろうか。
くそう。なおらない。
avastでスキャニングしたせいかimgs.exeとfxstaller.exeが見つからない
だけど自動更新はなおらないし
立ち上がりが異常に遅くなったw
だけど自動更新はなおらないし
立ち上がりが異常に遅くなったw
764 :名無し~3.EXE:2008/12/25(木) 05:09:20 ID:L3vy9o9K
>>761が言うように、
system32フォルダを今日の日付で検索、
(ランダム文字列).dll(>>747のようなファイル群)
を探し出し、削除
すると1個だけファイルが削除できないものがあるが、自動更新だけは復活する
system32フォルダを今日の日付で検索、
(ランダム文字列).dll(>>747のようなファイル群)
を探し出し、削除
すると1個だけファイルが削除できないものがあるが、自動更新だけは復活する
今回のウィルスの対応度が一番高いのはOneCareなんで、
なんとかしたい人はそれを入れてみるのもいいかも
参考:
http://www.virustotal.com/jp/analisis/d5dff06d4aff06c15180e9bfc2e8a251
http://www.virustotal.com/jp/analisis/0007c12f11b36fdb7d846cda2e31dfb4
なんとかしたい人はそれを入れてみるのもいいかも
参考:
http://www.virustotal.com/jp/analisis/d5dff06d4aff06c15180e9bfc2e8a251
http://www.virustotal.com/jp/analisis/0007c12f11b36fdb7d846cda2e31dfb4
766 :名無し~3.EXE:2008/12/25(木) 05:11:54 ID:4xQv/a4k
あー。fxstaller.exeがあったらアウトか・・・。
さっき思い切りそれあったよ。
だって、それ開いた瞬間、突然、メッセ画面が開いて閉じ始めたから、
これはやばいと思って、メッセとそのアプリケーションをタスクマネージャで殺したし・・・。
さっき思い切りそれあったよ。
だって、それ開いた瞬間、突然、メッセ画面が開いて閉じ始めたから、
これはやばいと思って、メッセとそのアプリケーションをタスクマネージャで殺したし・・・。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
のところに
a05fce85 REG_SZ rundll32.exe"C:\WINDOWS\system32\ceyposeu.dll",b
ってのがあった。
C:\WINDOWS\system32\ceyposeu.dllの作成日時見たら2008/12/25 1:52
これもウィルスかね?
ランダム文字列のdllファイルってのは複数個あるってことかな?
のところに
a05fce85 REG_SZ rundll32.exe"C:\WINDOWS\system32\ceyposeu.dll",b
ってのがあった。
C:\WINDOWS\system32\ceyposeu.dllの作成日時見たら2008/12/25 1:52
これもウィルスかね?
ランダム文字列のdllファイルってのは複数個あるってことかな?
768 :名無し~3.EXE:2008/12/25(木) 05:16:06 ID:L3vy9o9K
自分は上に書いたとおりのファイルが出来上がりました
まじ簡便。PC動作すげー重くなったorz
なおらん
なおらん
770 :名無し~3.EXE:2008/12/25(木) 05:25:58 ID:QNb36TJt
治らんぞ・・・治らんぞおおおお!
もう再インスコしようかな。そうすればなおるだろうし
C:\WINDOWS\system32の中にある
rqRHWnNd.dll
opnmMeFy.dll
imon.dll
が削除できないんだがどうすればいいんだorz
fxstaller.exeとimgs.exeも見つからないんだがw
rqRHWnNd.dll
opnmMeFy.dll
imon.dll
が削除できないんだがどうすればいいんだorz
fxstaller.exeとimgs.exeも見つからないんだがw
773 :名無し~3.EXE:2008/12/25(木) 05:37:01 ID:QNb36TJt
同じく
どう削除すればいいんだ!
どう削除すればいいんだ!
>>772
削除できないって、削除しようと「使用されているので削除できません」って言われるタイプ?
削除できないって、削除しようと「使用されているので削除できません」って言われるタイプ?
このウィルス踏んでから、IEを起動してしばらくすると英文で
「お前のPCはウィルスにやられてるぜ。100%無料のアンチウィルス入れろよ^^」
という意味のポップアップが出るようになったんだが・・・
同じ症状の香具師いるかな?
「お前のPCはウィルスにやられてるぜ。100%無料のアンチウィルス入れろよ^^」
という意味のポップアップが出るようになったんだが・・・
同じ症状の香具師いるかな?
776 :名無し~3.EXE:2008/12/25(木) 05:41:03 ID:QNb36TJt
そうそう、どうすればいいのかな・・>774
fxstaller.exeが見つからないなぁ・・・
System32にdllファイル以外に、mlJYRlJY.dll_oldってのがいる。
C:\WINDOWS\wininit.iniってのが出来てて、中身見ると
[rename]
c:\tempjunk6200.tmp=C:\WINDOWS\system32\mlJYRlJY.dll_old
nul=c:\tempjunk6200.tmp
ワケワカメ(゜∀゜;)
それとc:\spc.exeってのも12/25に作成されてる。
exeって事はこいつも共犯って事か・・・?
まぁ状況報告してみるだけで何もできんのだが。
System32にdllファイル以外に、mlJYRlJY.dll_oldってのがいる。
C:\WINDOWS\wininit.iniってのが出来てて、中身見ると
[rename]
c:\tempjunk6200.tmp=C:\WINDOWS\system32\mlJYRlJY.dll_old
nul=c:\tempjunk6200.tmp
ワケワカメ(゜∀゜;)
それとc:\spc.exeってのも12/25に作成されてる。
exeって事はこいつも共犯って事か・・・?
まぁ状況報告してみるだけで何もできんのだが。
778 :名無し~3.EXE:2008/12/25(木) 05:42:35 ID:L3vy9o9K
やはりスパイウェア込みだったかぁ…?
インターネットのセキュリティレベルを上げれば出なくなるらしいよ
その代り不便なことが多くなるけど。
インターネットのセキュリティレベルを上げれば出なくなるらしいよ
その代り不便なことが多くなるけど。
>>776
おそらくそのファイルを何者かがハンドルしてしまってるのが原因。
俺はunlockerってソフトインストールして、ハンドルしてるプロセスを
強制的に剥がしてから消してる。強引に消すわけだから、自己責任で。
もっとも今回のウィルス騒動には無関係だけど。
おそらくそのファイルを何者かがハンドルしてしまってるのが原因。
俺はunlockerってソフトインストールして、ハンドルしてるプロセスを
強制的に剥がしてから消してる。強引に消すわけだから、自己責任で。
もっとも今回のウィルス騒動には無関係だけど。
なんか盛り上がってるなこのスレ
うぇ。もっかいspybotでスキャンしたら超大量にでてきた
なんじゃこりゃ
なんじゃこりゃ
783 :名無し~3.EXE:2008/12/25(木) 05:59:40 ID:+Calo1RJ
順序的にはウイルスの駆除を終わらせてからスパイウェア駆除かなあ。
俺にはまったく来ないな・・
てかなんで送られてきたexeなんて踏んじゃうんだよ
てかなんで送られてきたexeなんて踏んじゃうんだよ
786 :名無し~3.EXE:2008/12/25(木) 06:02:59 ID:BxjOvde9
月もでない。
知り合いと会話中にナチュラルに来たからな……
少々不審に思ったが勢いでやっちまった。アドレスが.comで別にexeとかでは無いんだよね
現在はOneCare pcのフルスキャンやってる
それで直った人も居るらしい
直ってくれ。頼む
少々不審に思ったが勢いでやっちまった。アドレスが.comで別にexeとかでは無いんだよね
現在はOneCare pcのフルスキャンやってる
それで直った人も居るらしい
直ってくれ。頼む
789 :名無し~3.EXE:2008/12/25(木) 06:06:53 ID:L3vy9o9K
見た感じ画像のファイルなんだよ
しかも友達から送られてくるから怪しいと思っても
まぁいいか って思って開いた
しかも友達から送られてくるから怪しいと思っても
まぁいいか って思って開いた
ああ、分かってるよ
昔の実行ファイルだろ。正直、警戒心が足りなさすぎた
昔の実行ファイルだろ。正直、警戒心が足りなさすぎた
普通にmyspaceだと思ったわ
ウィルス駆除しても自動更新直んないんで、今スパイウェア検索中
でるわでるわ・・・
ウィルス駆除しても自動更新直んないんで、今スパイウェア検索中
でるわでるわ・・・
>>788
詳しくないけどレスします
クッキー(Cookie)と関係する“何か”を利用したものだと思われます
たぶん、上にも書いたけどインターネットオプションから
プライバシータブのセキュリティレベルがいじられていないかい?
詳しくないけどレスします
クッキー(Cookie)と関係する“何か”を利用したものだと思われます
たぶん、上にも書いたけどインターネットオプションから
プライバシータブのセキュリティレベルがいじられていないかい?
OneCare結構時間かかるなぁ
30分で5%か・・・
30分で5%か・・・
721,734を感染した友人が実行
一時的に治ったようには見えますが、再起動したら何故かまたおかしくなった様子
一時的に治ったようには見えますが、再起動したら何故かまたおかしくなった様子
感染から駆除→WindowsUpdateまでいったので報告
exeを削除
C:\WINDOWS\system32に作成されるランダムファイル名のdllをUnlockerで解除してから削除
ついでに消せなかったdllをレジストリエディタで検索して削除
コンパネでWindowsの自動更新を適用しなおす。
dll消した後は再起動しないと駄目
exeを削除
C:\WINDOWS\system32に作成されるランダムファイル名のdllをUnlockerで解除してから削除
ついでに消せなかったdllをレジストリエディタで検索して削除
コンパネでWindowsの自動更新を適用しなおす。
dll消した後は再起動しないと駄目
何がファイル掴んでるかわからないときは可能ならセーフモードでやるのもアリだぞ
OneCareは無料体験版しか無いんだっけ?
NOD32の体験版で一様、駆除したがシステム全体が不安定になってる
あわわ
NOD32の体験版で一様、駆除したがシステム全体が不安定になってる
あわわ
スタートアップに90a12e04っていうのが登録されてて、
それを解除したらfxなんたらが起動しなかった
直接の解決になるかどうかは不明だけど・・・
それを解除したらfxなんたらが起動しなかった
直接の解決になるかどうかは不明だけど・・・
起きたらなんかメッセージが届いてた
怪しいと思いながら寝ぼけて実行してしまったorz
nod32入れてるから警告メッセージ出て、対応:削除・隔離と出たんだが大丈夫かな?
まだメッセージ送られてくるし、実行ファイルも見当たらなかった
怪しいと思いながら寝ぼけて実行してしまったorz
nod32入れてるから警告メッセージ出て、対応:削除・隔離と出たんだが大丈夫かな?
まだメッセージ送られてくるし、実行ファイルも見当たらなかった
802 :名無し~3.EXE:2008/12/25(木) 06:53:07 ID:wHxh9WhF
クソ・・・復元ポイントきれいに消されてやがる…
通常起動させるとフリーズして操作すらできねぇ…こりゃ治せないかもわからんな…
クソ、いくら友人から来たやつとはいえ迂闊すぎた
外付けHDDに中のデータうつせねぇかなぁ…PCいまいち詳しくないからよくわからん
通常起動させるとフリーズして操作すらできねぇ…こりゃ治せないかもわからんな…
クソ、いくら友人から来たやつとはいえ迂闊すぎた
外付けHDDに中のデータうつせねぇかなぁ…PCいまいち詳しくないからよくわからん
>>800 に追加
90a12e04っていうのを削除するまえに、
fxなんたらとimgsだけを削除して再起したらfxのほうは復活した
imgsのほうは検索かけても出てこなかった
ファイル名がかわっているか、fxの起動には関係ない可能性あり
90a12e04っていうのを削除するまえに、
fxなんたらとimgsだけを削除して再起したらfxのほうは復活した
imgsのほうは検索かけても出てこなかった
ファイル名がかわっているか、fxの起動には関係ない可能性あり
>>797が現在のところ一番の解決かねぇ?
まぁ、私は踏んでないんだけどな
まぁ、私は踏んでないんだけどな
>>802
TrueImageを購入して
http://shop.vector.co.jp/service/catalogue/trueimage/
TrueImageのCDをドライブに入れて、インストールせずに
PCの電源を切って
外付けHDDを接続して
PCの電源を入れて、TrueImageのCDから起動して
コピーディスク(ディスククローン)を実行
これで外付けHDDが、PCのHDDと同じ内容になる
他のPCで外付けHDDの中身を確認して
それからPCをリカバリー
古いPCや外付けHDDだと、TrueImageのCDからはできないかもしれないが
TrueImageを購入して
http://shop.vector.co.jp/service/catalogue/trueimage/
TrueImageのCDをドライブに入れて、インストールせずに
PCの電源を切って
外付けHDDを接続して
PCの電源を入れて、TrueImageのCDから起動して
コピーディスク(ディスククローン)を実行
これで外付けHDDが、PCのHDDと同じ内容になる
他のPCで外付けHDDの中身を確認して
それからPCをリカバリー
古いPCや外付けHDDだと、TrueImageのCDからはできないかもしれないが
806 :名無し~3.EXE:2008/12/25(木) 07:15:52 ID:iP6uxame
起動しない
オワタ
オワタ
>クソ・・・復元ポイントきれいに消されてやがる…
面倒じゃなければ、
システムの復元が無効にされているか、
確認して報告してくれないかな
面倒じゃなければ、
システムの復元が無効にされているか、
確認して報告してくれないかな
>>806
これの
http://www.tef-room.net/tips/Safemode-Dos.html
前回正常起動時の構成を選択して起動できないかな
だめっぽかったら、セーフモードとコマンドプロンプトで起動して
http://www.tef-room.net/tips/restore.html
の一番下でシステムの復元
これの
http://www.tef-room.net/tips/Safemode-Dos.html
前回正常起動時の構成を選択して起動できないかな
だめっぽかったら、セーフモードとコマンドプロンプトで起動して
http://www.tef-room.net/tips/restore.html
の一番下でシステムの復元
感染後にここ紹介されて今削除中
自分ができたのは>>720参照してfxstaller.exeをまず削除
現在はスタートメニューから検索でimgs.exeをマイコンピュータから隠しファイルもすべて検索
すると
ファイル名 フォルダ名 サイズ 種類
imgs.exe C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP000.TMP 52KB アプリケーション
imgs.exe C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP001.TMP 52KB アプリケーション
IMGS.EXE-27984726.pf C:\WINDOWS\Prefetch 30KB PFファイル
IMGS.EXE-36EA1AEB.pf C:\WINDOWS\Prefetch 14KB PFファイル
これが当たった
自分ができたのは>>720参照してfxstaller.exeをまず削除
現在はスタートメニューから検索でimgs.exeをマイコンピュータから隠しファイルもすべて検索
すると
ファイル名 フォルダ名 サイズ 種類
imgs.exe C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP000.TMP 52KB アプリケーション
imgs.exe C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP001.TMP 52KB アプリケーション
IMGS.EXE-27984726.pf C:\WINDOWS\Prefetch 30KB PFファイル
IMGS.EXE-36EA1AEB.pf C:\WINDOWS\Prefetch 14KB PFファイル
これが当たった
とりあえずdllを消せるの消してから再起かけたら起動しなくなった
通常起動もセーフモードも黒い画面にマウスカーソルが表示されたまま進まない
泣きそう(^O^)
通常起動もセーフモードも黒い画面にマウスカーソルが表示されたまま進まない
泣きそう(^O^)
さらにIMGS.EXE-27984726.pfから一つ上のファイルってのを選ぶと
C:\WINDOWS\Prefetchってファイルがあって
そこに
IMG455.JPG-WWW.PHOTO[1].COM-30DFE406.pf
IMG455.JPG-WWW.PHOTO.COM-2DBD01FF.pf
CONIME.EXE-13EEEA1A.pf
これがすべて同じ時間に作られていた模様
今わかってるのはここまで。
C:\WINDOWS\Prefetchってファイルがあって
そこに
IMG455.JPG-WWW.PHOTO[1].COM-30DFE406.pf
IMG455.JPG-WWW.PHOTO.COM-2DBD01FF.pf
CONIME.EXE-13EEEA1A.pf
これがすべて同じ時間に作られていた模様
今わかってるのはここまで。
812 :名無し~3.EXE:2008/12/25(木) 07:31:19 ID:+Calo1RJ
>>810
それ、すべてのDLL消したんじゃないよな…?
それ、すべてのDLL消したんじゃないよな…?
これ踏むと、復元ポイントがすべて消されてます
踏んだ時間にに
「lost known good configuration」
という言葉だけが残されて後すべて無いです
踏んだ時間にに
「lost known good configuration」
という言葉だけが残されて後すべて無いです
operaで開いてDLキャンセルしたんだがこれはセーフ?
一応復元ポイントは残ってる
一応復元ポイントは残ってる
>>812
感染したと思われる24夜から25日に生成されたランダムの文字列ファイルだけです
感染したと思われる24夜から25日に生成されたランダムの文字列ファイルだけです
>>807
システム復元は無効にはなってないです
最新の復元ポイントがcom実行してしまった時間になってます
しかし、セーフモードだとスムーズに動くが、通常起動するともはやタスクマネージャーすら開けない
>>721を試してみたら、実際トロイ駆除完了見たいなのは出たんだが、なんか余計ひどくなった感じ
システム復元は無効にはなってないです
最新の復元ポイントがcom実行してしまった時間になってます
しかし、セーフモードだとスムーズに動くが、通常起動するともはやタスクマネージャーすら開けない
>>721を試してみたら、実際トロイ駆除完了見たいなのは出たんだが、なんか余計ひどくなった感じ
これはうちの友人の感染者の報告をまとめたものなんだが
PCスペックの低いパソコンはこれにかかるだけで急激に重くなり
マウス操作やキーボード操作ができなくなります。
PCスペックの高いやつでも、メッセ系操作とPC起動は確実に遅くなります
PCスペックの低いパソコンはこれにかかるだけで急激に重くなり
マウス操作やキーボード操作ができなくなります。
PCスペックの高いやつでも、メッセ系操作とPC起動は確実に遅くなります
819 :名無し~3.EXE:2008/12/25(木) 07:42:57 ID:+Calo1RJ
>>816
なるほど…。
実はおれも起動しなくなったんだが、
セキュリティ板の対策スレにしたがって、NOD32体験版をインストールしてたときにハードディスクが停止してすぐに動きだした(再度電源が入った感じ)が、青画面。
前から調子悪かったから、たぶん、ウイルスとは関係ないと思うんだが、
同じ症状の人いない?
なるほど…。
実はおれも起動しなくなったんだが、
セキュリティ板の対策スレにしたがって、NOD32体験版をインストールしてたときにハードディスクが停止してすぐに動きだした(再度電源が入った感じ)が、青画面。
前から調子悪かったから、たぶん、ウイルスとは関係ないと思うんだが、
同じ症状の人いない?
821 :名無し~3.EXE:2008/12/25(木) 07:45:48 ID:QNb36TJt
自動更新できなくなったんだが
どうすればいいんだ
どうすればいいんだ
822 :名無し~3.EXE:2008/12/25(木) 07:46:58 ID:is681wCI
http://valk.blog92.fc2.com/blog-entry-306.html
http://azurecolor.blog51.fc2.com/blog-entry-315.html
ウイルス情報収集してるサイトさんたち
http://azurecolor.blog51.fc2.com/blog-entry-315.html
ウイルス情報収集してるサイトさんたち
うかつにファイルを削除したらまずい例があるのかな
HijackThis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis
これでログとって
ログファイル中に関連dllやexeがどこに含まれているか調べてから、
dllを削除したらよいのかな。
HijackThis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis
これでログとって
ログファイル中に関連dllやexeがどこに含まれているか調べてから、
dllを削除したらよいのかな。
とりあえずメッセンジャーにウイルス送信することはなくなりましたので報告。
C:\WINDOWS\Prefetch内のファイルは必要に応じて再度作られるそうなので
感染後の全ファイル削除でも良い模様です。
C:\WINDOWS\Prefetch内のファイルは必要に応じて再度作られるそうなので
感染後の全ファイル削除でも良い模様です。
変なURLに定期的に誘導されるオワタ
ESET でスキャニング完了!
2つほどトロイが発見されました
win32/IRCBot.AGPトロイの木馬
win32/IRCBot.AKKトロイの木馬
ウィルスバスターのオンラインスキャン
スパイボット検索
AVG8.0は全部スルーでした
2つほどトロイが発見されました
win32/IRCBot.AGPトロイの木馬
win32/IRCBot.AKKトロイの木馬
ウィルスバスターのオンラインスキャン
スパイボット検索
AVG8.0は全部スルーでした
828 :名無し~3.EXE:2008/12/25(木) 09:20:52 ID:BxjOvde9
win32内の pmnoOGwT.dll がめちゃくちゃ怪しいんだけど、
どうしても削除できない。
Unlokerで解除しようとすると、エラーで再起動要求。
これどうしたらいいんだ・・・。
どうしても削除できない。
Unlokerで解除しようとすると、エラーで再起動要求。
これどうしたらいいんだ・・・。
unlokerで解除しょうとしたらシャットダウンされた
\(^o^)/オワタ
\(^o^)/オワタ
830 :名無し~3.EXE:2008/12/25(木) 09:38:03 ID:uBQfbd5b
セーフモード上で削除とかできんのん?
831 :名無し~3.EXE:2008/12/25(木) 09:38:47 ID:ExupeOqc
スタンバイ状態にして置いておくと数分後に勝手に復帰する
もうわけわかめ
もうわけわかめ
833 :名無し~3.EXE:2008/12/25(木) 09:50:35 ID:BxjOvde9
>>830
無理だった
無理だった
dll削除しようとしてる人は、unlockerで無理矢理全部削除しちゃだめだよ。
あと、レジストリを残ってdllで検索して見境無く削除もやめたほうがいい。
起動しなくなるぞ。
あと、レジストリを残ってdllで検索して見境無く削除もやめたほうがいい。
起動しなくなるぞ。
835 :名無し~3.EXE:2008/12/25(木) 09:51:43 ID:is681wCI
ttp://systemkaza.web.fc2.com/bin/SRCPY300A.EXE
ここのSRCpyっつーソフトで消せんか?
ここのSRCpyっつーソフトで消せんか?
インターネットエクスプローラー開くと
何かアンチウイルスソフトのダウンロードをせがまれるんだけど
これってこのウイルスと関係ない?
何かアンチウイルスソフトのダウンロードをせがまれるんだけど
これってこのウイルスと関係ない?
>>835
消えなかったです
消えなかったです
838 :名無し~3.EXE:2008/12/25(木) 09:57:38 ID:BxjOvde9
>>836
831
831
>>838
firefoxでも出たよ。
firefoxでも出たよ。
841 :名無し~3.EXE:2008/12/25(木) 10:01:17 ID:BxjOvde9
ランダム文字列のdllって言われても全部ランダムに見えてしまう・・・
843 :名無し~3.EXE:2008/12/25(木) 10:08:15 ID:is681wCI
俺もLunascapeでないです
今回の件と無関係なdll無理矢理消して撃沈してる人もいそう
jpgにリネームして起動だけしてしまったんだが、
fxstaller.exeってやつがタスクマネージャーになければいいってこと?
fxstaller.exeってやつがタスクマネージャーになければいいってこと?
dllはなにグーグル先生に聞いてでなければ消していいかね
>>847
ロックされてるやつは消すとまずいのがある気がする。
ロックされてるやつは消すとまずいのがある気がする。
Unlocker使って消そうと思うけど
これってウィルス感染時作成されたと思われる消せないファイルに対して
右クリ→Unlockerをやって表示されたやつを
左下の項目を「削除」にして全ロック解除のボタンを押せばOKなんか?
なんか、これをやろうとするとPC止まるのだが
これってウィルス感染時作成されたと思われる消せないファイルに対して
右クリ→Unlockerをやって表示されたやつを
左下の項目を「削除」にして全ロック解除のボタンを押せばOKなんか?
なんか、これをやろうとするとPC止まるのだが
まず本当にウィルスなのかとファイルネームでググって確認するべく
dll消すとか初心者にやらせたら間違いなく>>844だな
不安なヤツはこのスレで上がった怪しいのだけ消しとけ無理に消すな
不安なヤツはこのスレで上がった怪しいのだけ消しとけ無理に消すな
OK自己解決した
とりあえずUnlockerの使い方はここ→http://fine.tok2.com/home/heto2/0404Unlocker/0001.htm
見て確認した
system32の詳細→作成日時欄でウィルス感染時以降新たに生成されたファイルを全削除
削除できなかったファイルの名前でレジストリを検索して見つかったものを削除
削除できなかったファイルを一つずつUnlocker
Unlockerウィンドウの左下項目を削除にして全ロック解除
ちなみにそれやるたびに成功表示がでたあとPCフリーズ
再起動後削除完了を確認
とりあえず以上の方法を繰り返して自動更新有効まで持っていけたんで報告
とりあえずUnlockerの使い方はここ→http://fine.tok2.com/home/heto2/0404Unlocker/0001.htm
見て確認した
system32の詳細→作成日時欄でウィルス感染時以降新たに生成されたファイルを全削除
削除できなかったファイルの名前でレジストリを検索して見つかったものを削除
削除できなかったファイルを一つずつUnlocker
Unlockerウィンドウの左下項目を削除にして全ロック解除
ちなみにそれやるたびに成功表示がでたあとPCフリーズ
再起動後削除完了を確認
とりあえず以上の方法を繰り返して自動更新有効まで持っていけたんで報告
レジストリいじんのは初心者にはおすすめできない
これどうなったら駆除できたことになるんだ?
ログ嫁
なんのURLだか分からないのに踏んで、どこのサイトだか分からないのにDL許す
なんのファイルだか分からないのにexeを実行
パソコン初心者でもなければ三段階もあるこんな危険な道は通らないだろ・・・
なんのファイルだか分からないのにexeを実行
パソコン初心者でもなければ三段階もあるこんな危険な道は通らないだろ・・・
つい興味本位でな……。
ノートンを信頼しすぎた俺がバカでした。
ノートンを信頼しすぎた俺がバカでした。
どうやら復帰できました
まずメッセンジャー切断。
処理が重いようならどうせ悪いんだから電源コード引っこ抜く。
それから電源入れなおして
>>720やってからセーフモードでウイルススキャンしてトロイ削除
そのあと>>809で怪しいもの検索して、踏んだ時間に作られた関連するファイル消去
ここまでやってから再起動。
WINアップデートは手動でやってみましたが、もうノートンさんも動くので多分大丈夫だと思います。
やはりレジストリ関連は下手にいじると怖いので>>720の項目のみで
あとはファイル削除後にレジストリクリーナー起動して残ったレジストリ削除って感じです。
まずメッセンジャー切断。
処理が重いようならどうせ悪いんだから電源コード引っこ抜く。
それから電源入れなおして
>>720やってからセーフモードでウイルススキャンしてトロイ削除
そのあと>>809で怪しいもの検索して、踏んだ時間に作られた関連するファイル消去
ここまでやってから再起動。
WINアップデートは手動でやってみましたが、もうノートンさんも動くので多分大丈夫だと思います。
やはりレジストリ関連は下手にいじると怖いので>>720の項目のみで
あとはファイル削除後にレジストリクリーナー起動して残ったレジストリ削除って感じです。
深夜の判断力鈍ってる時間にやられたとはいえ
自分の浅はかさに驚いてるよ
自分の浅はかさに驚いてるよ
>>853
自分の場合はメッセンジャーに送られたとこクリックだけで起動してしまった
ほとんどがそういう感じで踏んでしまったんじゃないか?
しかもノートンとかほとんどのアンチウイルスソフトは反応しない。
そうなるとこのスレ誘導されたほとんどのものはネットに関する知識はないままに
メッセの友人から送られたからとスキャン結果信じて踏んでしまったのではないかと。
知識自慢して偉そうに言うのはネトゲ板だけのものかと思ったが
ここにも似たような厨はいたんだなw
自分の場合はメッセンジャーに送られたとこクリックだけで起動してしまった
ほとんどがそういう感じで踏んでしまったんじゃないか?
しかもノートンとかほとんどのアンチウイルスソフトは反応しない。
そうなるとこのスレ誘導されたほとんどのものはネットに関する知識はないままに
メッセの友人から送られたからとスキャン結果信じて踏んでしまったのではないかと。
知識自慢して偉そうに言うのはネトゲ板だけのものかと思ったが
ここにも似たような厨はいたんだなw
Kaspersky 2009 ヒューリスティックでスキャンしたけど何も検出されん
>ヒューリスティック最高ね
とりあえず>>720を試してみようと思ったんだが見つからないなぁ・・・うーむ。
初心者は大人しくアンチウィルスソフトを待つかなと思ってんだけど、こういうのって大体日数どのくらいかかるんだろう?
初心者は大人しくアンチウィルスソフトを待つかなと思ってんだけど、こういうのって大体日数どのくらいかかるんだろう?
なんでコピペNODなの?とか思った。
いまんとこNOD32しか対応してないの?
いまんとこNOD32しか対応してないの?
>>866
ほお・・・。thx
ほお・・・。thx
One careでウィルス駆除したら自動更新有効になりました
追記 One careで駆除後ランダム配列のdllが消えていました
OneCare使ってみたが問題はなんも解決していないようだ・・・
今のところの症状
1.変なURLへの誘導
2.自動更新の無効化(システム→自動更新では自動になってる)
3.メッセンジャーへのサインインが不可(ウィルス感染中だから弾かれてるのかも?)
どうしたもんか
今のところの症状
1.変なURLへの誘導
2.自動更新の無効化(システム→自動更新では自動になってる)
3.メッセンジャーへのサインインが不可(ウィルス感染中だから弾かれてるのかも?)
どうしたもんか
一応hosts確認くらいしとけよ
えらく進行してるなと思ったら、ウイルスか。
荒らしかと思ったわ。
荒らしかと思ったわ。
OneCareフルスキャンしてみたが、いくつか駆除できないウィルスが見つかり、問題は解決しなかった
現在>>720の作業および、>>811のようにどうみても関連性のあるファイルだけ削除
そして現在、もう一度OneCareフルスキャンしてる
現在>>720の作業および、>>811のようにどうみても関連性のあるファイルだけ削除
そして現在、もう一度OneCareフルスキャンしてる
msconfigからスタートアップをいろいろいじってみたけど、
igfxtrayとctfmonのチェックをはずすと、変なURLに飛ばされることはなくなった。
しかし、この二つってどっちもウィルスに関係なさそうなんだよな。
igfxtrayとctfmonのチェックをはずすと、変なURLに飛ばされることはなくなった。
しかし、この二つってどっちもウィルスに関係なさそうなんだよな。
>>697
これやるときはアンチウイルスソフトきったほうがいいかな?
これやるときはアンチウイルスソフトきったほうがいいかな?
トロイ感染してから完全復帰なんて無理と思ったほうがいいよ。
何かしらファイル書きかえられてるから。
OSごと入れなおすのが近道&安全策。
何かしらファイル書きかえられてるから。
OSごと入れなおすのが近道&安全策。
877 :名無し~3.EXE:2008/12/25(木) 14:25:52 ID:is681wCI
>>721
のNOD32はわりと有名なものらしいな
国立天文台や病院・教育施設・研究機関などで導入されている。(wikiより引用)
上位版は警察庁で使われてるらしい
余計ひどくなったという話もきくが、フルスキャン終わったら試してみる
のNOD32はわりと有名なものらしいな
国立天文台や病院・教育施設・研究機関などで導入されている。(wikiより引用)
上位版は警察庁で使われてるらしい
余計ひどくなったという話もきくが、フルスキャン終わったら試してみる
NOD32でウイルススキャンしたら起動が異常に遅くなった
前まで数秒で起動出来たのに再起動で数分待たされたぞ・・・どういう事だよ
前まで数秒で起動出来たのに再起動で数分待たされたぞ・・・どういう事だよ
スキャン終わったらNOD32削除してみたらどうだろう
もしかすると起動するごとに何かしてるのかもしれない
もしかすると起動するごとに何かしてるのかもしれない
リネームしてjpgにして開いてみたがなんともなかったぜ
そのまま開くとまずいみたいだな
そのまま開くとまずいみたいだな
俺もウイルス作ろうかな面白そうだ
>>883
^^
^^
仮想化ソフトで、仮想化していたおかげで助かったわ。
仮想上では感染したけど、解除したらきれいさっぱり。
仮想上では感染したけど、解除したらきれいさっぱり。
ウイルスは何とか駆除できたけど、
感染でwindowsの起動が遅くなったのが残念だ。
何とかならないものか。
感染でwindowsの起動が遅くなったのが残念だ。
何とかならないものか。
NOD、ESETは検知率低いのに今回のマルウェアにはヒットしたか?
でも、AviraやG DATAのような検出率トップのソフトなら対応済みじゃないか?
でも、AviraやG DATAのような検出率トップのソフトなら対応済みじゃないか?
NOD32はヒューリスティック機能が優秀
午前2時過ぎ頃(急速に蔓延し始めた時点)ではそれらでも検出できなかったと思われる
似たようなもので、Kasperskyのオンラインウイルススキャンでは反応しなかったよ
午前2時過ぎ頃(急速に蔓延し始めた時点)ではそれらでも検出できなかったと思われる
似たようなもので、Kasperskyのオンラインウイルススキャンでは反応しなかったよ
889 :名無し~3.EXE:2008/12/25(木) 16:52:48 ID:4DI2CKrA
URL踏んで「IMG455.jpg-www.photo.com」ってのがDLされてきた。
avast4とカスペルスキーWEBにて検知されず。
中身を確認すると「imgs.exe」というファイルが入ってます。
実行しなければ感染しないです。ちなみに.jpgで実行しても問題なし。
avast4とカスペルスキーWEBにて検知されず。
中身を確認すると「imgs.exe」というファイルが入ってます。
実行しなければ感染しないです。ちなみに.jpgで実行しても問題なし。
890 :名無し~3.EXE:2008/12/25(木) 17:08:57 ID:H5mam26G
ウィルスは削除したが、依然としてwindows セキュリティセンターの自動更新が元に戻らん。
スパイウェアでも居るのか
スパイウェアでも居るのか
>>852
削除できないDLLの名前で見つかったレジストリ項目が消しても消しても次の瞬間に復活してくる
削除できないDLLにUnlockerかけると、winlogon.exeとかelplorer.exeが食ってるらしく
Unlockした瞬間にPCが丸ごと落ちてしまう
削除できないDLLの名前で見つかったレジストリ項目が消しても消しても次の瞬間に復活してくる
削除できないDLLにUnlockerかけると、winlogon.exeとかelplorer.exeが食ってるらしく
Unlockした瞬間にPCが丸ごと落ちてしまう
ここまで知識のあるおまいらが何故こんなものに引っかかるのか
信用してる奴からURLきたら開く
俺も疑いまくったよ
でも疑ったら友情がどうこうってなるでしょ
でも疑ったら友情がどうこうってなるでしょ
ウイルス落としてみたけどAviraでもウイルスと認識された
http://www.uploda.org/uporg1883109.jpg
http://www.uploda.org/uporg1883109.jpg
898 :名無し~3.EXE:2008/12/25(木) 17:37:54 ID:L3vy9o9K
>>896
確かにそれはあるけど、念のため確認は入れるべきだった
確かにそれはあるけど、念のため確認は入れるべきだった
まあ俺も知り合いからURL貼られた口なんだが
クリックしてDLさせられそうになったらとりあえずキャンセルして相手に何のファイルか聞いてみたりしないものなのかなと思ってな
んで無警戒にこんなもの実行させてしまうような奴にチャットだけで対処法が上手く伝えられなくてかれこれ8時間ほど経過してるんだが
クリックしてDLさせられそうになったらとりあえずキャンセルして相手に何のファイルか聞いてみたりしないものなのかなと思ってな
んで無警戒にこんなもの実行させてしまうような奴にチャットだけで対処法が上手く伝えられなくてかれこれ8時間ほど経過してるんだが
途中で書き込んでしまった
foto URL
といきなり来た場合はー
難しいわなw
foto URL
といきなり来た場合はー
難しいわなw
902 :名無し~3.EXE:2008/12/25(木) 17:39:38 ID:+Calo1RJ
これが送ってきた相手が占いとか脳内メーカーみたいなものが好き(URL的におれのメッセアドで占ったんだろうな程度の考えだった)な上に、
いつも最初の発言がURLだったりするような奴だから、今回もいつもの類だと思って開いたら本当にウイルスだったな…。
「最初の発言がURLとか、お前ウイルスみたいな奴だな」と冗談で言ってたけど、今日は本当にウイルスでした。
いつも最初の発言がURLだったりするような奴だから、今回もいつもの類だと思って開いたら本当にウイルスだったな…。
「最初の発言がURLとか、お前ウイルスみたいな奴だな」と冗談で言ってたけど、今日は本当にウイルスでした。
>>896
俺はとりあえずURL貼られたらパソコンがぶっ壊れた+AA張って反応試す
俺はとりあえずURL貼られたらパソコンがぶっ壊れた+AA張って反応試す
駆除の目処が立ったら、
URL送っちゃった相手に駆除方法含めて説明をせにゃならんなあ
URL送っちゃった相手に駆除方法含めて説明をせにゃならんなあ
数年前に別れた彼女から久しぶりにメッセージが来て何だろうとワクワクしながら開くとウィルスだった
駆除を諦めてクリーンインストールに走った俺
現在、HDDフォーマット中(ただし2回目)
これはもうダメかもわからんね
現在、HDDフォーマット中(ただし2回目)
これはもうダメかもわからんね
つうか情報自体は少なくとも昨日にはメッセンジャー公式に載ってたんだけどな。
予想に反して皆知らなかったみたいで驚いた
予想に反して皆知らなかったみたいで驚いた
公式のどこに載ってるのか教えてプリーズ
>>892
知識があるからこそ、進んで踏んで対処策を早めに練るのだ
知識があるからこそ、進んで踏んで対処策を早めに練るのだ
やっとランダムdll生成無限ループから脱出できたがまだなんかありそうで困る
なんでこんなことに1日潰さないと・・・まぁ元々ry
なんでこんなことに1日潰さないと・・・まぁ元々ry
ICQなどでも確認されてるし、クリスマス狙ってのものだろうな
こういう類のものは前からあるからな
なんてこったい
初期化するしかねえんあ
初期化するしかねえんあ
Windowsが通常起動できんくなってしまったんだが・・・これはウイルスのせい?それとも故障?
もうわからん
HDDの大掃除と行きますか・・orz
HDDの大掃除と行きますか・・orz
NOD32で何も検出されなくて、
タスクマネージャのプロセスにfxstaller.exeもimgs.exeもないんだがこれでもう平気なのか?
タスクマネージャのプロセスにfxstaller.exeもimgs.exeもないんだがこれでもう平気なのか?
>>918
例のメッセウイルスに感染していて、駆除の方法を調べていたらブラウザが固まり、ボタンが利かないので強制終了。
そのあとで起動しようとしたら通常起動できず、セーフモードのみ起動できました。
故障なら修理行きですし、ウイルスなら駆除 うーん・・・
例のメッセウイルスに感染していて、駆除の方法を調べていたらブラウザが固まり、ボタンが利かないので強制終了。
そのあとで起動しようとしたら通常起動できず、セーフモードのみ起動できました。
故障なら修理行きですし、ウイルスなら駆除 うーん・・・
深夜でテンション上がってるときにこんなものを…親しい人に…送りつけられて…
無視できるわけないんだが
無視できるわけないんだが
童貞しか感染していない
合田の仕業か
このウイルスの名前決まった?
クリスマス終了のお知らせ
926 :名無し~3.EXE:2008/12/25(木) 19:52:01 ID:/UItRXBV
合田ウイルスか…
AIDAウィルスだと……?
しかしうかうかメッセもできんようになってしまったなぁ……
しかしうかうかメッセもできんようになってしまったなぁ……
これくらいの事で……
そもそもあんな怪し過ぎる文面、というか変な文字とURLしか載っていないんだからまず疑うだろうに
そもそもあんな怪し過ぎる文面、というか変な文字とURLしか載っていないんだからまず疑うだろうに
と普段から言ってるに関わらず今回迂闊にも踏んで何であんなあやしいの踏んだんだって自分を責めてる人が沢山いる
どんだけ絶対の自信があっても明日はわが身
どんだけ絶対の自信があっても明日はわが身
>>927
実は毎年1、2回はこんな感じのウイルスが出回っている
実は毎年1、2回はこんな感じのウイルスが出回っている
今回は珍しくずいぶん大騒ぎになったしねぇ
932 :名無し~3.EXE:2008/12/25(木) 20:57:09 ID:H5mam26G
OneCareおわらねえええええ
もう3時間たった。
もう3時間たった。
933 :名無し~3.EXE:2008/12/25(木) 21:16:02 ID:C1a6X1OM
AVGも対応した模様。
今アップデートしてスキャンしたらトロイ4つ検出した。
今アップデートしてスキャンしたらトロイ4つ検出した。
934 :名無し~3.EXE:2008/12/25(木) 21:17:31 ID:L3vy9o9K
せっかく?だからスクショ
感染直後
http://up2.viploader.net/pic/src/viploader884527.png
こいつら
http://up2.viploader.net/pic/src/viploader884528.png
通信している様子
http://up2.viploader.net/pic/src/viploader884530.png
感染直後
http://up2.viploader.net/pic/src/viploader884527.png
こいつら
http://up2.viploader.net/pic/src/viploader884528.png
通信している様子
http://up2.viploader.net/pic/src/viploader884530.png
ニコニコでもメッセ使えるけど大丈夫なのか?
とりあえず恐いから絶対起動させないけど。
とりあえず恐いから絶対起動させないけど。
感染者の恥ずかしい画像が続々流出し出したなwwwwwww
デジカメ画像等
938 :名無し~3.EXE:2008/12/25(木) 21:35:24 ID:+Calo1RJ
なんかすごくクリスマスを体感したよ。
すごいプレゼントをもらっちゃったな。
いまからNOD32でプレゼントと戦ってくる。
すごいプレゼントをもらっちゃったな。
いまからNOD32でプレゼントと戦ってくる。
wvUlifEw.dllってのがNOD32でずっとヒットする・・・
NOD32がばッグてるだけ?
NOD32がばッグてるだけ?
いかにもランダム生成された感のするdllだな
これはNOD32切っても平気ってこと?
一応全部の工程をやってみたんだが、1,2分ごとに一瞬だけウィンドウが開いて消えるんだ。
だが、メッセ内の誰もメッセージを受け取ってないようなんだ。
やっぱimgs.exeがどっかで悪さしてんのかね?
だが、メッセ内の誰もメッセージを受け取ってないようなんだ。
やっぱimgs.exeがどっかで悪さしてんのかね?
プロセスに「fxstaller.exe」もしくは「img.exe」がなくて
レジストリから「Windows Udp Control Center」がなかったらもう平気ですか?
レジストリから「Windows Udp Control Center」がなかったらもう平気ですか?
俺のAVG Free8.0がアップデートされたからプレゼントと戦ってくる
945 :名無し~3.EXE:2008/12/25(木) 21:45:57 ID:L3vy9o9K
imgs.exeは抜け穴作成の本体をインストールするプログラム
fxstaller.exeは抜け穴からスパイウェアなどを入れるプログラム
最初にfxstaller.exeの通信を遮断すると被害は最小限(というか皆無)に抑えられる
ってことがわかりました
悪さをしているのはランダム文字列.dllの方
fxstaller.exeは抜け穴からスパイウェアなどを入れるプログラム
最初にfxstaller.exeの通信を遮断すると被害は最小限(というか皆無)に抑えられる
ってことがわかりました
悪さをしているのはランダム文字列.dllの方
どうすりゃいいのかわかんね−・・・
自動更新も有効になったけど、NOD32がわけわからんdll見つける
こいつ放置するとなんかあるの?
自動更新も有効になったけど、NOD32がわけわからんdll見つける
こいつ放置するとなんかあるの?
947 :名無し~3.EXE:2008/12/25(木) 21:50:55 ID:+Calo1RJ
urqRIbcc.dllとかいう名前のどう見てもランダム文字列のやつが何度もNOD32に反応してるな。
「削除によって駆除されました」と出てるが、何度も表示されるあたり、復活してるのか?
「削除によって駆除されました」と出てるが、何度も表示されるあたり、復活してるのか?
俺も同じ
ここで手詰まりだわ
ここで手詰まりだわ
不安なやつはOSクリーンインストールしろよもう
これ以上メッセの友人に迷惑をかけるな
これ以上メッセの友人に迷惑をかけるな
どこかにdll生み出すヤツがいるのかもね
04eb78みたいな名前のtxtも消したった
NOD32をダウンロードしようとしても、
途中で検出アラートと共にウインドウ全部閉じられて
最後までダウンロード出来ないんですがどうしたらいいですか?
途中で検出アラートと共にウインドウ全部閉じられて
最後までダウンロード出来ないんですがどうしたらいいですか?
つーかさー、IE7を規定にしてるんだけど、リンククリックしてもダウンロードダイアログが表示されるだけで
自動実行はされないんだが、なんで感染してるの?
まあ、ちょっと実行して動作確認してみるか……
自動実行はされないんだが、なんで感染してるの?
まあ、ちょっと実行して動作確認してみるか……
AVG Free8.0がありえん量のdllファイル検出してる
これで一掃できればいいが
これで一掃できればいいが
延々と.dllが作成され続けてる・・・
一部の.dllも使用中とかで削除できんし、さてどうしたもんか
一部の.dllも使用中とかで削除できんし、さてどうしたもんか
957 :名無し~3.EXE:2008/12/25(木) 22:40:02 ID:/PLOmXf1
俺のAVG Free8.0は何も言ってくれないぞ。
明らかに怪しいファイルを直接スキャンしてもスルー。
アップデートは、新しいアップデートはありませんと言われた。
明らかに怪しいファイルを直接スキャンしてもスルー。
アップデートは、新しいアップデートはありませんと言われた。
⊂ミ⊃^ω^ )⊃ アウアウ!!
ってしたのか
もう脅威なくなったんじゃね?
つうか終わる気配しないんだが、終わるのかこれ
もう脅威なくなったんじゃね?
つうか終わる気配しないんだが、終わるのかこれ
友達すくねー俺に隙は無かった
・・・('A`)
・・・('A`)
2009使いづれーなマジで
戻したいが公式にはバージョン7しか置いてないのか…
つーかアイコンを今まで通りに右側に表示させたいんだがやりかたがまったく分からない…
公式には右になってるSSがあるのに…
戻したいが公式にはバージョン7しか置いてないのか…
つーかアイコンを今まで通りに右側に表示させたいんだがやりかたがまったく分からない…
公式には右になってるSSがあるのに…
知り合いが引っかかって送られてきたのでちといろいろ調べてみた
ダウンロードした状態では自己解凍ファイル
中にはimgs.exe
EXEファイルの後ろには暗号化した形跡のあるファイル
これで復元出来るのかな?
uREbcXCSgbWrVCVSeSfWErvVdsfERtv CurrentUser Console FullScreen sample
ダウンロードした状態では自己解凍ファイル
中にはimgs.exe
EXEファイルの後ろには暗号化した形跡のあるファイル
これで復元出来るのかな?
uREbcXCSgbWrVCVSeSfWErvVdsfERtv CurrentUser Console FullScreen sample
つーか、こっちに移動すれ
http://pc11.2ch.net/test/read.cgi/sec/1185780001/
http://pc11.2ch.net/test/read.cgi/sec/1185780001/
β版の広告消し探してスレ探して来てみたら大変なことになってるな…
とりあえずfofoは踏むなとまわりに告知しておくわ
がんばれおまえら、そしてメリークリスマス
とりあえずfofoは踏むなとまわりに告知しておくわ
がんばれおまえら、そしてメリークリスマス
968 :名無し~3.EXE:2008/12/25(木) 23:28:31 ID:fAatgNFR
>>967
そりゃemgs.exeは無いわ
そりゃemgs.exeは無いわ
>>968
確かにそりゃねーわな
確かにそりゃねーわな
じゃなくて、しっかりとimgs.exeで検索してるんだけどなぁ
Cと他のHDDもみてるんだが、見つからない
Cと他のHDDもみてるんだが、見つからない
『感染していない』ことを確認すんのってどうすればいいんだろ?
OS再インスコしようと思うが、マイドキュメント内のファイルには感染してないだろうか・・
色々バックアップ取りたいんだが
色々バックアップ取りたいんだが
msm_slってプロセスにある人いない?それがなんかあやしい
本来msn_slって名前なんだけど。
本来msn_slって名前なんだけど。
>>973
たぶんそれは関係ないと思う
たぶんそれは関係ないと思う
コマンド プロンプトで
cd %windir%\system32
dir /od /tw *.dll
とやって、ランダムな文字列の名前のdllが4つあったら感染
cd %windir%\system32
dir /od /tw *.dll
とやって、ランダムな文字列の名前のdllが4つあったら感染
Ultimate Boot CDのFreeDOS使ってランダム文字列のDLLファイル削除できた
>>970
起動時にテンポラリフォルダの中身を削除する設定にしてる場合、
既に消えてることも考えられる。
>>970
起動時にテンポラリフォルダの中身を削除する設定にしてる場合、
既に消えてることも考えられる。
つうかもうどれがランダム文字列なのかもわかんねーよw
>>975
12個あるんだが・・・
12個あるんだが・・・
一番新しい日付のだろ
うむ。感染したと思われる日時の奴
URLクリックして保存してダブルクリックしたら
このファイルを開けません
このファイルを開くには、作成者の〜〜〜
ってのが出てきてキャンセルして除去したんだけど、これはセーフ?
このファイルを開けません
このファイルを開くには、作成者の〜〜〜
ってのが出てきてキャンセルして除去したんだけど、これはセーフ?
それは複数のトロイに感染したな……
とりあえずシマンテックに送っておいた
>>984
全部移動させてみたが、移動出来ないのは1個だけだった
全部移動させてみたが、移動出来ないのは1個だけだった
感染したと思われる時間以降のランダムな文字列の名前のdllはひとつもない
だけど、さっきメッセにインしたらまだURL発信してるみたいなんだが
だけど、さっきメッセにインしたらまだURL発信してるみたいなんだが
これって移動出来たのは無害と見てsystem32に戻した方が良いのか?
>>987
その名前をメモして、回復コンソールかLinux ブートCD とかでそのファイルを削除すればいい
>>988
それ違うトロイだから分からん
チェックポイント
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ の下
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
タスクスケジューラ
その名前をメモして、回復コンソールかLinux ブートCD とかでそのファイルを削除すればいい
>>988
それ違うトロイだから分からん
チェックポイント
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ の下
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
タスクスケジューラ
991 :名無し~3.EXE:2008/12/26(金) 00:38:29 ID:XJFRfxvj
>>989
ダメ、移動できたのも何らかの準備されたファイルだから戻すのは危険
ダメ、移動できたのも何らかの準備されたファイルだから戻すのは危険
>>989
いや、多分トロイの残骸。Virus Totalに投げてみるとか
いや、多分トロイの残骸。Virus Totalに投げてみるとか
>>991-992
了解
了解
流れぶった切って申し訳ない(´・ω・`)
>>672, >>673
どうやら解決しました。
appwiz.cplでメッセ本体とおすすめパック削除したのに、2008インスコしようとすると「新しいバージョンが既にシンツトールされてます」
みたいなのが出て困ってたんですよ。
CCleanerで削除してもまだ残ってたみたいなのでもう一度Windows Installer Cleanup使ってみたら無事アンインストール出来たみたいです。
どうもありがとうございました!!
>>672, >>673
どうやら解決しました。
appwiz.cplでメッセ本体とおすすめパック削除したのに、2008インスコしようとすると「新しいバージョンが既にシンツトールされてます」
みたいなのが出て困ってたんですよ。
CCleanerで削除してもまだ残ってたみたいなのでもう一度Windows Installer Cleanup使ってみたら無事アンインストール出来たみたいです。
どうもありがとうございました!!
1000ならウィルス収束
996 :名無し~3.EXE:2008/12/26(金) 01:26:50 ID:e2OKp2RG
クリスマスが終わったんだがらウイルスもおわるよ。
サンタはトナカイだと思ってたんだが…トロイだったか
サンタはトナカイだと思ってたんだが…トロイだったか
メリークリスマスのはずが皆でベリークルシミマス(現在進行形)
オプー
N
1000ならさらに感染拡大
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。