※ウィルス※ Windows Live Messenger で感染!?

1 ：Steam：2007/07/30(月) 16:20:01: Windows Live Messenger の知人リスト宛に、メッセンジャーの会話ウィンドウを利用したファイル転送でアヤシいファイル(***.scr)を送りつけてくるウィルスが流行っているようです。

友人の会社では、社内連絡の一手段として Windows Live Messenger を利用しているのですが、あっという間に感染拡大してしまったようです。
感染源は上海の工場という話もあります。
ファイルの受信を拒否、または、受信したファイルを解凍しない(zip形式になっている)、または、解凍してもスクリーンセーバーを実行しない、とすれば感染はしないようです。

2007/07/30 現在、Symantec ではなんのアラートも発していません。
ウィルスとして検出できません。
2 ：名無しさん＠お腹いっぱい。：2007/07/30(月) 16:22:18: シマンテックはどうでも良いからファイルをくれ
適当なアップローダに「virus」とパスワードを設定したZIP形式のファイルをアップロードしろ
3 ：Steam：2007/07/30(月) 16:24:59: ちなみに、MSN Messenger も同様の感染媒体となっています。
4 ：Steam：2007/07/30(月) 16:25:41: 2　>

はいはい
5 ：Steam：2007/07/30(月) 16:26:58: ありゃ、変な番号指定しちゃった。
ごめん。

>2
6 ：名無しさん＠お腹いっぱい。：2007/07/30(月) 18:17:25: スレ立てた本人ではないけれど
これだと思う
宜しく頼む

ttp://sakuratan.ddo.jp/uploader/source/date46425.zip
7 ：Steam：2007/07/30(月) 18:25:23: >6

確かに。

送りつけてくるファイルの名称は、

・album00.zip
・image00.zip
・image000.zip
・images0.zip
・photo_album00.zip
・photos2007_00.zip
※それぞれ拡張子前の "0"、"00"、"000" は同桁数の数字。

などを確認しています。

なんてゆーウィルスなんでしょうか?
8 ：名無しさん＠お腹いっぱい。：2007/07/30(月) 18:29:12: >>6
AVGでは対応してる。
9 ：名無しさん＠お腹いっぱい。：2007/07/30(月) 19:49:06: >>8
してないよ
10 ：名無しさん＠お腹いっぱい。：2007/07/30(月) 20:30:38: IRC　BOT
NORTON　バスター系はBOTをヒューリスティックで亜種検知できないみたいね
11 ：Steam：2007/07/30(月) 20:55:29: 脳豚ｷﾀ

[W32.Mubla.B] と検出。
12 ：Steam：2007/07/30(月) 20:57:03: 気になる脳豚ユーザーは、以下のページから Rapid Release 版を落として入れてみると吉。

http://www.symantec.com/ja/jp/avcenter/rapidrelease.download.html
13 ：名無しさん＠お腹いっぱい。：2007/08/01(水) 14:42:32: 俺のところにも先程、ファイルが送られてきてうっかり開いてしまった。
ファイル名はIMG34814
何か知ってますか？
14 ：名無しさん＠お腹いっぱい。：2007/08/01(水) 15:09:29: つーか知り合いだからって.scrを何の疑いもなく開く奴がアホだろ…
15 ：名無しさん＠お腹いっぱい。：2007/08/01(水) 15:45:00: まーそーゆーなよ。
人間誰だって間違いはあるさ
16 ：名無しさん＠お腹いっぱい。：2007/08/01(水) 18:22:38: 間違いの先が大事なんだよね
17 ：名無しさん＠お腹いっぱい。：2007/08/02(木) 14:19:23: 昨日からWindows Live メッセンジャー公式ページの緊急告知欄にこの事が載ってたな
てか大分前からこういうウィルスあるぞ
18 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:18:14: 友人が感染してしまったんだがどうやって駆除するんだ…
19 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:27:24: 送られてきたけど、「これなに？」と聞いても返事はないし
解凍してみたらscrだしと怪しさ爆発だったので実行はしなかった。
やっぱりウイルスか…。
何をするウイルスなの?まきちらすだけ？
20 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:28:56: ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=1
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=2
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=3
だそうです。
21 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:29:45: これに知り合いが感染したぽ
ただ、脳豚は無反応だったらしい

亜種出てるのかな？
22 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:30:51: これじゃないなｗ
23 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:31:57: ファイルスキャンしても無反応。
Symantec仕事汁！
24 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:32:47: もし受信してデータを開いてしまったら、とりあえずメッセを再起動しる。
そうしないと他人にデータを送り続ける模様。

定かではないが自分の周囲では再起動した相手から再度送られてくることはなかった。

確定情報ではないので、受信だけしてしまった人でもメッセは再起動した方が無難だと思う。
25 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:38:08: img1756.scrというファイルで送られてきました
ええ、感染しましたともorz
26 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:39:00: 今この時間で書き込んでるもしくは見たという人達は皆お仲間の可能性があるな
27 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:39:34: 25も僕も多分>>20の2つ目のものが送られてきたと思う。
英文とファイル名一緒だし
28 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:39:52: http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-072302-0958-99

これっぽいな
29 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:40:48: 感染したらインスタントメッセージの送信ができなくなって
登録してあるメンバーに勝手にデータを送りまくるらしい

でも>>24と同じくメッセ再起動したら直ったみたいだ
安心はできんが、とりあえず引っかかったやつはメッセ再起動
30 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:40:51: >>23
更新パッチ来てるよ。
超重いけどなorz
31 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:43:25: >>26
友達の友達とかかもしれんなｗ
32 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:43:27: 感染したばあいどうしたらいいのTT
33 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:48:16: 41.0 KB (41,984 バイト)
MD5：8f8b66e936ba101efc6e3cb5d1dec814
34 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:48:55: 997 ：名無し~3.EXE：2007/08/08(水) 02:30:16 ID:2w0Rs8Du
開いた奴はWindowsフォルダ直下のimg1756.zipを消せ
35 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:49:05: スタート→ファイルを指定して実行で「regedit」
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
これを探して削除
落としたZIPとファイルを削除
おそらくこれで大丈夫
36 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:50:06: >>34
それだけじゃ何の解決にもならねー
37 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:50:10: Ativir対応してねえ・・
38 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:51:41: だれかこのimg1756.scr実行しちゃうといったい何が起こるのか詳しく知ってる人いない？
39 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:53:46: あ、そうだ。vistaなんだけど、実行しちゃった後で「管理者権限が必要です・・・」とかメッセージが出たから、もしかしてUACかなんかが防いでくれた？
40 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:54:01: 強制リロードみたいなのが始まる
と同時に処理が重くなる
メッセンジャーオンラインメンバーへ同時に
英文と一緒にimg1756.zipを送信
41 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:54:20: これってimg1756.zip自体は開いてもだいじょぶなのかな？
中に入ってるscr実行すると感染？
42 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:57:51: >>41
そう
43 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:58:21: >>41
大丈夫と思って興味本位で開こうとしちゃいかんよｗ
44 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:58:49: img1756.src
45 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:59:13: 何度も書きこむようなんだけど、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
が見つからなかったってことは、やっぱりセーフだったのかなぁ・・・
46 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 02:59:37: 右クリックで「構成」ってのをクリックしてもアウアウｗｗｗ
47 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:00:11: >>45
開いてないならセーフだと思うが、スキャンとかは怠らないほうがいいとおもう
48 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:00:33: 復元したら戻った　
明日ソフト買いに行く
49 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:00:50: MD5ハッシュから酷似ファイル検出ツールないんだろうか・・・
>>33のハッシュで検索かけたいなぁ
50 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:02:36: 亜種でただパニック招くだけじゃね？
51 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:03:54: スキャンしても検知しないんだってば
52 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:04:42: zip開かなきゃ大丈夫なんだが感染した場合はどうなんだろ
53 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:04:48: これは亜種なのか？
Windows直下にファイルが作られるなんてのは無かったと思うんだが
54 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:05:27: うちにもさっき来ました～＞＜　今携帯メールでメッセ仲間にメールしまくってます
55 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:05:42: これ、アウトもしくはセーフだと明確にわかる確認方法ってどこだろう？
56 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:06:44: 他人にファイルを送っているか否か、だね。
送ってなければせふせふ。送ってたら確実にキャリア。
57 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:07:01: こんな感じ

ｘｘｘｘｘｘｘｘの発言 (1:48):
look @ this picture of me, when I was a kid

ｘｘｘｘｘｘｘｘの送信:
img1756.zip(41.1 KB)
承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D)
58 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:07:34: おそらく今現在ここにいる人たちは全員同じ型のウイルスに感染してそうだが
そのウイルスが何らかのセキュリティソフトで検知されたって人はいないのか
新型なのだろうか
59 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:07:38: メッセージ内容は数パターン確認
60 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:08:17: 20 名前：名無しさん＠お腹いっぱい。投稿日： 2007/08/08(水) 02:28:56
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=1
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=2
ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=3
だそうです。

まさにこれ。
61 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:08:18: Norton先生、トレンドマイクロは沈黙
62 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:08:19: 感染してたらメッセの発信できない。
感染してなければ普通にメッセで話しかけられる。

で、おｋ？
63 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:08:25: とりあえずﾏｶﾌｨｰは検出してくれなかった
64 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:08:46: 今んところwindowsフォルダにzipがあるかないか、が感染の判断基準じゃない？
65 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:08:51: バスターだがZIP開く前にスキャンして検知しなかった
66 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:09:25: そのファイル届いた相手とは普通に話してた
複数での会話だったから可能だったのかもしれないけど
67 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:09:34: 俺も感染したぜ、多分 >>20 のやつ
一応、怪しいファイル等は削除したけど、まだ完全に駆除できたかわからん
68 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:09:50: >>47
開いちゃったんだけど・・・
69 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:10:07: >>58
今ノートン先生で絶賛スキャン中。
「検出しました」が1つ出てる
70 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:10:14: パッチか何か入れてる奴は
会話ログを見てみ
会話ログに明らかに話しかけてない奴のログが出来てたり
なんか訳分からん英文を相手に送りつけてたら危険
71 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:10:19: >>60
亜種だから駆除できないね
72 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:10:25: 開いても何もせずそのまま削除していれば大丈夫、のはず。
73 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:10:30: 怖い椰子は今日一日メッセを断って、
セキュリティソフトの更新を待つのがベスト。
ぶっちゃけそれしか手は無いぽ。
74 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:11:10: >>6はkasperskyで検出したぞ
75 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:11:26: >>58
ノートンはもう定義ファイルが更新されているようだけど、
なにしろ今さっき出たみたいだし普通の人は定義ファイルの更新間に合っていないだろう

ちなみにVB2007はウイルスチェックしても無反応だった
開いてないから開いたときの挙動はﾜｶﾝﾈ
VBの定義ファイル更新まだかなー
76 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:11:43: ちょｗｗｗｗｗなんで開くんだｗｗｗｗ
77 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:12:06: Windows Live Messenger Part 1
http://pc11.2ch.net/test/read.cgi/win/1151079007/

需要あるかはわからんけど
ここにあったウィルス送信時のメッセまとめてみた

what the fuck, did you see this?

hey man, did you take this picture?

look @ this picture of me, when I was a kid

look @ my cute new puppy :D

I just took this picture with my webcam, like it?

check it, i shaved my head
78 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:12:17: Avast!使ってるが感染しちまった。
フルスキャンしたが無反応
79 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:12:30: 実物うｐしとく。
http://kamaitachi.blogdns.net/cgi-bin/izna/manage/img0347.zip

実行しても知らんぞ
80 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:12:56: Avast使ってるけど反応しなかったなー
81 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:13:13: windowsフォルダの一つ下にSVCHOST.EXE-16C7D411.pfってのができてるっぽいんだが
これ癌かな？
ぐぐると中文が出てきて困るｗ
82 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:13:18: Norton定義更新しても認識しない
83 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:13:57: >>79
ああ、scrをダブルクリックしたくてうずうずする・・・
84 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:14:20: >>76
なんかそういうの送って来そうな外人から来たんだよwwwww
まあ友達少ないから感染拡大しなかったんだがな
85 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:14:35: >>83
やめろ、マジでシャレにならないからやめるんだー
86 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:14:59: しかし、凄いな
ここ見てる奴ら全員、知り合いの知り合いの知り合いの・・・とかって辿って行けるって事かｗ

ノートンで定義ファイルの更新きてるな
87 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:15:06: >>83
俺もだ・・・
さっきまで感染した友人と電話して、なんであんなの開くんだよｗｗｗｗって馬鹿にしてたのに
いざ落ち着いてみると開きたくてしかたない
88 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:16:03: 実行してしまったのに、レジストリキーもなければ、Windowsフォルダにzipがない自分が逆に怖いのですが・・・
89 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:16:14: 知り合いからの送信だったから開くつもりだった

複数回、ファイルを送信されて、
what the fuck, did you see this?

って発言があって解凍するのを自重した。英語が無かったらやってた
90 ：ちゃぱ ◆p21ChapaJA ：2007/08/08(水) 03:16:42: 友人から送られてくるから、油断すると開いてしまうんだろうな。
91 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:16:57: 俺もきた、そして開いた
でも再起動したら今のところ問題ないっぽい
http://pc11.2ch.net/test/read.cgi/sec/1178009646/
あとこっちでも少し話題になってる
92 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:17:32: >>90
このウイルスの感染力はそこが源だろうな・・・
知り合いだから大丈夫という安心感から安易に開いてしまう。
俺もそうだけどorz
93 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:17:40: いまこれ消した。　だいじょうぶかな？
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
94 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:17:41: 俺も危なかった。友人二人から同じファイルを別々の英語でってとこと、zipの中身がscrってので
これはヤバいと思って消したよ。
95 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:17:44: そんなトリ誤爆
96 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:17:55: >>89
基本的に解凍まではセーフ
その後実行ファイルを開いたらアウト

.scrなんていかにもなファイルだし、ひっかかるのは素人だけだと思われ
97 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:18:43: 竜ちゃんも感染すると思うな
98 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:18:59: >>91
648俺だｗｗｗｗ
99 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:19:25: >>90　その通りだったよ

ノートンの試用版落として定義ファイル更新して
復元止めてフルスキャンってのが今のところ最善だと思う
100 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:19:30: でもやっぱ親しい人からだと意外と開いてしまうよな
101 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:19:48: 解凍だけで感染したって人が何人かいるみたい
詳しい情報求む
102 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:20:05: 現在の状況では亜種まで完全に削除できるソフトは無いのかな？

とりあえず出来る事としては、メッセのタイトルを注意を促すタイトルに変更、
その後メッセを落としておくのが一番かな？
103 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:20:19: >>99
いいから>>79スキャンしてみろよ
104 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:20:29: http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=2
向こうから引っ張ってきたよ

そんなに深刻でもないみたい
105 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:21:01: >>90
ちゃぱｗｗｗｗｗｗｗｗｗ
ROもうやってないの？あと廃スレにこのネタ投下してきてもいい？ｗ
106 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:21:15: 知り合いから来るのと、
状況によって英文が来ないでただファイルがぽん、と送られてくる
ウィルスとしては失敗なんだろうけど、その無言が最強のカモフラージュになってるｗ
107 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:21:17: >>103　いや今試用版を落として定義ファイル更新までしかしてないｗｗｗｗ
108 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:22:41: 友人が感染して送ってきたんだけど、自分の名前を
「なんだこれ？」
「再起動してくる」
とかいろいろ変えてるわりにメッセージを送ってこなくてなんだこいつと思ったんだけど
メッセージが送れないからそうしてたんだね。
すげー納得した。
109 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:23:22: src実行して再起動かけたらバスターさんが反応した
直前にパターンファイル最新にしといたが、srcの方はチェックしても無反応だったな
110 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:23:36: >>101
俺の友人も解凍しただけで感染したっつってたな。
その友達はPCに詳しい（そっち系の学校行ってた）から
ウイルスくさいファイルは容易に開くような奴じゃないわけで

解凍しただけで感染って可能なものなのだろうか
111 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:23:54: >>105
良いけど、もう覚えてる人居ないと思う。
すれ違いゴメン。
112 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:24:02: 急速拡大中か・・・
大手が対応しても、定義更新までのラグで結構広がりそうだな
113 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:24:08: なんかアカハック系だって話を友人が友人から聞いたって話が出てるんだが・・・
どうなんだべなぁ・・・
114 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:24:10: 更新したら違うトロイ発見されたｗｗｗｗ
115 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:24:14: >>86
＞ここ見てる奴ら全員、知り合いの知り合いの知り合いの・・・とかって辿って行けるって事かｗ
だよな、それはやっぱ面白いわー
メールじゃなくてメッセで感染するあたりがリアルタイムで笑えるな
絶対この中に近い知り合いいるだろww
116 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:24:14: >>110
キンタマとかはそうじゃなかったっけ？
117 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:24:17: 親しかったのと、日頃相手が簡単な英語で話かけてくるのと、ニコニコの犬猫動画を貼りあう中だったので疑わずに開いてもた。
（メッセージは私の新しいくてかわいい子犬を見てくださいだった）

この中でROプレイヤーが知り合いに居るやつどれくらい居る？
俺の周りの感染者全員RO関係者なんだが。
118 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:25:15: ちゃぱじゃないか！
最近見ないけどどうしたんだ？
ちなみに俺はAカセ民。
119 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:25:33: 元ROプレイヤーから送られてきたｗ
RO関係で何かあったのか？
120 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:25:56: ROプレイヤーが来ましたよ
やっぱRO関係でリアルタイムに流行ってるんだな
121 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:26:16: RO厨は癌スレに帰れｗ
122 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:26:54: ROってネトゲ？
123 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:26:58: 取りあえず感染した人で何かやばい事になった人居る？
知人にひたすら英文とファイルを送りつけるだけ？
124 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:26:59: >>110
無理じゃね？
解凍ソフトのバグでもつかない限りは。
125 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:27:00: ただ単にこんな時間に起きているヤツがネトゲやってる率高いだけだろ
126 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:27:12: だからスレ違いだから俺に触んじゃNEEEEEEEE
127 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:27:15: いや感染者はROプレイヤーが多いみたい。
ROつながりの人間にどんどん感染してる模様。
128 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:27:35: 送ってきた相手：たぶん現役ROプレイヤー
送られてきた（つまり俺）：元ROプレイヤー
送った相手：関係ない人々(つД｀)とROプレイヤーと元ROプレイヤー
129 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:27:44: ネトゲのわけねーだろカスが

ＲＯ、つまり「ろ」ってことだよ
130 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:27:51: 普通のzipで解凍だけで感染ってあるっけ？
解凍ソフトのバグでならあったような気もするが
131 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:28:45: ネトゲから感染てことは、RMT業者経由だろうね
132 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:29:02: ネットゲー（ここではROとする）でメッセのフレ数増やしたユーザー多そうだし
関係者が増えるのは当然なのかも。
133 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:29:05: >>130
無い
134 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:29:17: すまんAntivir対応してた
135 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:29:32: フレリストには居ないぞ＜ROプレイヤー
まあ友達の友達とかなら居るんだろうが
136 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:29:52: そういえば感染した友人もリアルの知り合いだから忘れてたけどROプレイヤーだった
そいつもROの知り合いから送られてみたみたいなこといってたな
137 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:30:56: .srcクリックしてもantivirが対応してくれたんだが
138 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:31:47: FWが反応してくれなかったら俺もやられてたなあ。。。
139 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:31:52: こっちは自分はROやったことがないが友人が元ROプレイヤーだった
140 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:32:22: くっそJuneめ・・・
141 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:32:47: >>137
SCRじゃないの？
142 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:33:36: やるなantivir
ノートン先生と競合しない？なら導入してみたいところだ
143 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:33:57: >>110
つまり、そのPCに詳しい友人は、
間違って実行してしまい、
とっても恥ずかしくなって誤魔化すために「解凍するだけで～～」

だと可愛いな。
144 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:34:49: avastはどうよ？
145 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:35:37: 友達がときめもオンライン界隈で感染拡大を報告してきてﾜﾛﾀｗｗｗｗｗｗｗｗ
146 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:36:18: ROで知り合った人から来るなｗもう三年も前から話してないし消せばよかったｗ
147 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:36:34: もうここまできたら～～界隈とか関係なくね
全然違う集いの人間３人から来た
148 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:36:44: ROってRedOrchestraかと思った
149 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:36:51: >>144

>>80

スレ内くらい検索しようぜ
150 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:37:00: >>144
少なくとも1時間ほど前受信して、スキャンした時はまだ無反応だった
151 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:37:08: この時間に起きててこんなスレを見ている連中が
たまたまネトゲユーザー率が高かったってだけじゃ
152 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:37:07: >>144
更新日時8/7だしZIPスキャンしても反応なかったよ
153 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:37:27: 人生オワタ
154 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:37:37: AntiVir落としてるんだけどすっげ重い
155 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:38:27: もう知り合いの種類関係なく感染しまくってるよ
共通するのは全員アホっぽいところだな
156 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:38:57: つかファイル送信来た人間から
「友達がかかったっぽいから気をつけて」といわれたんだが
そいつもかかってるはずだよな
157 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:39:21: >>156
本人に教えてやれよ！
158 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:39:23: ちなみに今問題になってるファイルは>>6のファイルじゃなくて>>79のファイル
159 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:39:28: >>156
送信きてるならそいつもかかってる。ガチで。
160 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:39:59: 「解凍しないように」なんかは事前に止める為の警告だろうな
それが「解凍するとまずい」って誤解されたんだろ思うぞ。
.srcを実行する直前まで行かずに
受信を断ればそこで解決する問題だしな
161 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:40:18: >>79
ついさっきの更新でKaspersky反応するようになった
162 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:41:43: scr実行するとどこに何のファイルが出てくんのよ。それ削除すりゃいいじゃない
163 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:41:52: >>142
Antivirを非常駐にすればいけるんじゃない？
>>143
専門者より割れ屋とかの方がよっぽど詳しいし慣れてる。
164 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:42:03: >>162
じゃためしてみてよ
165 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:43:24: exe、src、 comはウイルスの可能性が高いってｎｙで覚えたから大丈夫だった
やっててよかったｎｙ
166 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:43:28: >>157
>>159
優しすぎて涙でてきた
すでにそいつ寝てるんだが名前見る限りでは今はもう気づいてるっぽい
明日確認してみる
167 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:44:12: とりあえず現在の情報としては
antivir　　対策済み？ただし劇重
脳豚　　　更新ファイルup済み
avast 　乙。
Kaspersky　更新で反応
という事でおｋ？

追伸
感染された方は使用しているウィルス対策ソフトと、
駆除できたかどうか報告お願いします。
168 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:44:50: gifにきをつけろよおまえら
169 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:46:18: 久々に連絡取れないかとメッセたちあげたいけどやっぱやらない漏れが来ましたよ

>>143
窓だってjpgとかmpgとか勝手にプレビューするしどこで実行されてるかわからないぜ？
170 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:46:22: Norton (virus.def: 2007/08/07 rev.18) 無反応
171 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:46:26: >>165俺が居る
nyやってなかったら危なかった元ROプレイヤー
172 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:46:35: >>168
gifより偽装jpgの方が怖い
癖で復元しようとしてしまう
173 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:47:24: 感染してるやつにMSNメールして
そいつは見れるのか？
174 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:47:25: norton: 8/9 rev9 でファイルに反応しません。
さすがノートン。
175 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:48:06: ノートン先生はすばらしいな
176 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:48:07: バスター無反応氏ね
177 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:48:23: 使用ソフト　：McAfee Managed Total Protection
定義ファイル：5091.0000（2007/08/06 12:37:42）

状態　　　　：スキャン中。
　　　　　　　scrファイルの削除とﾒｯｾ再起動により送信は停止した模様。
　　　　　　　その後ﾚｼﾞｽﾄﾘの削除も行った。
178 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:48:40: 結局ノートンは対応してるのかしてないのか
179 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:49:15: カスペルスキー
削除はしたみたいだが駆除はできなかったらしいが大丈夫なのかこれ
180 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:49:19: バスター感染後再起動したら偽装svchost駆除してくれたぞ
181 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:49:23: してそうでしてない
182 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:49:43: 削除するにはファイル削除とレジストリ削除だろ？
レジストリは削除したが、ファイルはどれを削除すればいいんだ？
183 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:50:06: antivirインスコ中なんだけど
ttp://www.vipper.net/vip300313.jpg.html
antivir自体がスパイウェアみたいなんだが( ；´Д｀)
184 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:51:04: >>178
>>170
最新でも対応してない
185 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:51:04: >>183
おまえスパイウェアのすべてが悪いものとおもってね？
186 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:51:16: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"

レジストリはこれ削除でおｋ？
187 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:51:50: >>179
ファイル自体がウイルスだから削除でおｋ
188 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:52:07: >>183
おまいさんそんな事言ったらJ-Wordやグーグルツールバーもスパイウェアになるんだぜ？
189 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:52:09: >>169
あぁ分かってる。ただそうだと可愛いな、と思っただけです。
ちょっと挑発っぽかったな。すまん。
190 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:52:13: >>182
WINDOWSフォルダ直下にsvchost.exeが隠しファイルで存在してる
作成日時だか更新日時だかが感染した日時（つまりここ数時間前）になってたら消す
俺の場合は日時が今日の午前2時になってたから消した
191 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:52:55: >>188
どう考えてもJ-Word入れる奴アホだろ
192 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:53:32: J-Wordはウィルス
193 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:53:54: Norton先生は夏休みなので、削除機能は休暇中です。

ということでおｋ？
194 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:53:55: >>191
PC初心者にありがちな事
J-Word標準装備
一日一回はエロ画像、エロ動画閲覧しようとして脳豚先生激怒
195 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:54:05: 俺もウィルス
196 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:54:45: >>195
いやいや俺がウィルスですよ
197 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:55:06: AntiVir検出できた
「WORM/Sdbot.41984.42」
198 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:55:33: いやまてよ・・・つまりウイルスがウイルスってことだな
199 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:55:51: ノートン反応するぞ。
ちなみにレジストリ削除しても上手く隠れてることがあるので要注意。
それをノートンがさっき感知した
200 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:56:01: おちつけｗｗｗｗ
201 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:56:08: >>198
つまり、いいかえると・・・・？
202 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:56:13: >>197
>>197
>>197
203 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:57:52: とりあえずzipきてもＤＬしてなかったらおｋ？
204 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:59:15: >>203
答えはＮＯだ
205 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:59:20: >>203
zipの中にあるscr実行しなければおｋ
206 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:59:26: リアルにもネットにも友達がいない俺には関係ない話だな・・・
207 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 03:59:44: デスクトップのscrファイルが使用中とか出て消せない
208 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:00:49: >>206
元気出せよ
209 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:01:10: >>206
お前の友達ならこのスレの住人がいるじゃないか！
210 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:01:18: >>206
ｴﾛｻｲﾄいって引っかからんようにな・・・
211 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:01:23: VB2007(8.5.1002/4.637.00) 検出できた。対応してるっぽい。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_IRCBOT.ADU

……けど俺のPCが非力なせいか反応遅いよ (･ω･`)
検索準備してる間フルアクセス可能って意味ないじゃん。買い替えだな……。
212 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:01:28: >>206
俺がおくってやるよ・・・
213 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:02:15: >>206
俺もおくってやんよ
214 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:02:21: 寝るけどお前らがんばれよ
215 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:03:29: vistaは問題ないっぽい・・・？
実行はせずに、勝手にサムネ表示してただけだからなんとも言えないけれども
216 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:05:09: >>211
たぶん今はやってるのはこれで間違いないっぽいなぁ
217 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:05:37: なんかファイル名ちがくね？
218 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:06:48: >>211
情報公開日: 2007/07/30
ってことはこれの亜種って感じってことでいいの？
219 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:07:00: >>211のはimg1756.scrの人とは違うやつ
220 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:07:41: 亜種っぽいね
ファイル名からしてimg○○○○.zipで数字４桁だし
221 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:07:43: WORM_IRCBOT.ADU
ウイルスサイズ: 116,736 Bytes

ここですでに違う
41,984 Byteだ
222 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:07:45: >>215vistaも感染例あるよ（友達）
223 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:08:13: いろいろ出てくるな。
224 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:08:36: >>222
どうせUAC切ってたんだろ
225 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:08:48: >>222
感染するのか・・・サムネ表示だけだったら問題ないってことだね
226 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:09:09: 亜種だな。
書き込むレジストリの位置が違う。
227 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:09:42: >>207
ttp://cowscorpion.com/file/Unlocker.html
これ使え
228 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:10:09: >>227
ウイルス注意
229 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:10:18: >>211
>>6かな
230 ：211：2007/08/08(水) 04:10:24: >>219
ごめん。>>6 で検出実験した。

さて、乗り換え先のソフトは何にするかな、と。
231 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:10:59: スクリーンセーバーに差胸表示なんてあったっけ？
232 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:11:19: >>211
今のは>>79のファイルね
233 ：211：2007/08/08(水) 04:13:17: ごめん。>>79 に出てたのか。気付かなかった(´･ω･`)
あい。まだ VB2007 未対応です。
234 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:13:27: ノートン試用版→liveupdate(最新になるまで)→>>79（俺かかったやつ）検出不可
えー
235 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:14:22: >>228
脳内バッドセクタ注意
236 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:14:51: img1756.zip
うｐったほうがいい？一応開かないである。
237 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:15:10: >>236
>>79
238 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:16:01: >>237
把握。ROMに戻る。
239 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:16:59: にしても心臓に悪い
登録してる奴数名から同時にこのファイルが送られてきて何事かと思った
240 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:18:11: 感染した人が一人送り始めるとほかの感染者からも同時に来るな。
タイミングがいいだけなんだろうか。
241 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:20:05: 感染したはずなんだが該当するレジストリが見当たらないなぁ
ファイルは消した
242 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:20:25: >>240
時間決まってるんだと思う
俺も送られて来たタイミング同じだから
243 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:21:22: 該当するレジストリはあったんだが、更新日時を見ずに消してしまった。
再起動したが一応挙動に変化なし。
サインインしてみたらファイルを送る様子はない。
244 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:21:32: >>242
なるほど
245 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:23:17: バスター乗り換え検討するか。まだ８ヶ月も更新期間残ってるけど(´･ω･`)

ところで、ウイルスって送信側は自分が送ってるかどうか一目でわかりますか？
246 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:24:35: 俺の場合は窓が多数開いて６人くらいに一斉に勝手にファイル送ってた。
速攻サインアウトしたが。
247 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:25:35: AOLのフリーアンチウィルスソフト「Active Virus Shield」はどうやら対応済み。
わざとひっかからせて検索かけると見事にみつけてくれた。
Trojan program Backdoor.Win32.SdBot.aad
File: C:\WINDOWS\img1756.zip\img1756.scr

Trojan program Backdoor.Win32.SdBot.aad
File: C:\WINDOWS\svchost.exe

とのいう名でHITしましたよ、っと。
248 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:26:14: >>245
フレンド登録が多いと送信がいっきにされるためにフリーズした状態になるらしい。
送信にすぐ気づいた人は強制終了して全員には送信されなかったとか。
249 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:26:38: 数週間前に後輩から話を聞いてたからよかったものの
知らなかったら開いてただろうなぁ
250 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:27:38: >>246 >>248
thx。とりあえず送信しているわけじゃ無さそうだから一安心です。
251 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:27:57: メッセ経由のウイルス自体は昔からあるぞ
252 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:29:02: - WORM_SDBOT.41984.42 -
41.984 Bytes
MD5: 8f8b66e936ba101efc6e3cb5d1dec814

症状：
次のファイルを投下して実行
%SystemRoot%\a.bat
%Windows%\svchost.exe
%Windows%\img1756.zip
レジストリエントリを作成
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"

例：
ｘｘｘｘｘｘｘｘの発言 (1:48):
＜下記メッセージのいずれか＞
ｘｘｘｘｘｘｘｘの送信:
img1756.zip(41.1 KB)
承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D)

メッセージ内容：
・what the fuck, did you see this?
・hey man, did you take this picture?
・look @ this picture of me, when I was a kid
・look @ my cute new puppy :D
・I just took this picture with my webcam, like it?
・check it, i shaved my head
253 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:29:05: >>247
AOLつえええええええ
254 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:29:38: >>247
ぐぐってみたらこれが出てきたけどどうなの？
http://www.avira.com/jp/threats/section/fulldetails/id_vir/1606/worm_sdbot.aad.364.html
255 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:30:25: vistaでUAC有効ならscr実行しちゃっても大丈夫なの？
256 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:31:39: あー直りんしちまったすまん
257 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:31:41: >>255
へたにやらないほうがいいんじゃない？
Vistaで感染したひともいるんだし。
258 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:31:50: >>255
Administratorに昇格させなきゃOK
259 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:32:41: img1756.zipもろもろ削除、レジストリ削除した後メッセ起動したら送信されてしまった。
Windows再起して、おそるおそるインしたら大丈夫だった。
もう大丈夫かな？
260 ：247：2007/08/08(水) 04:33:00: >>254
どうなんだろう、完全に定義把握してるわけじゃないのかもしれないね。
けど少なくとも、大感染起こしてる｢img1756.scr/svchost.exe｣の2つは見つけてくれました。
とりあえず報告をしてみたとです。
261 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:33:56: >>252
一応実際にantivirで駆除した時の名前と症状を
現在の情報でまとめたものです
262 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:34:02: >>259
送られるタイミングが同じだって事を考えると、安心できない？
263 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:35:45: >>257

すでに実行してしまいましたorz

なんか管理者権限がどうのこうのっていうメッセージが出てきた
264 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:36:17: >>262
つまりは
%SystemRoot%\a.bat
%Windows%\svchost.exe
%Windows%\img1756.zip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
を削除したらひとまず安心って事かな
265 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:36:30: >>263
管理者権限に昇格させるなよｗ
266 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:38:31: 絶対にさせるなよ！
267 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:39:34: >>263
そこで管理者に昇格させるとwindowsフォルダのアクセス権限を与えてしまってシステムが改ざんされる恐れがある

管理者権限無いと他のプログラムの処理にも割り込めないんだっけ？
268 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:47:26: a.batがみつかんねー
svchost.exeはみつけたんだけどな
269 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:48:03: レジストリと元ファイル削除しても転送しようとしたんだが
メッセ再起動してなかったんだがそれかね？
270 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:50:06: >>268
俺も。windowsのimg1756.scrとレジストリはいたから消したのだけど
他のは見つからないから諦めてantivirインスコして今更新中。
271 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:51:23: 便乗して英文と共にエロ画像詰め合わせ送ろうぜ
272 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:53:29: >>264
そのどれも見つからなかったんだが、感染してないってことなのかなぁ
ご丁寧にダブルクリックまでしてやったんだが
273 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:56:09: Vistaなら平気
274 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:57:33: 別のディレクトリにsvchost.exeがあるけどこれは無関係？
更新日時が8月4日になっとる
感染したのは今日。
275 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:58:08: %SystemRoot%\a.bat はセキュリティセンターサービスの停止のため一時的に作成＆実行されるんだと思われ。
276 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:58:31: svchost.exeは色々あるからむやみに消すと…
277 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 04:58:36: >>274
16 名前：名無し~3.EXE[sage] 投稿日：2007/08/08(水) 04:40:10 ID:fUDzskwv
普段からタスクマネージャをチェックしてる奴なら分かると思うが、
svchostは元々システムに必要なものとして幾つか存在している。

今回のはそれに偽装しているウイルスの一種だから、
svchostがあればウイルスだと勘違いして全削除してしまうと大変なことになるぞｗ
278 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:00:52: VistaでWindowsフォルダ内にimg1756がないって言っている人。

C:\Users\<ユーザー名>\AppData\Local\VirtualStore\Windows

内を見てみなさい。

でも、

Vistaなら実行しちゃっても大丈夫なんだよな。
Vistaなら実行しちゃっても大丈夫なんだよな。
Vistaなら実行しちゃっても大丈夫なんだよな。
279 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:01:29: ttp://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-080614-3458-99&tabid=2

かかっちまった。。。orz
これぽい
280 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:02:37: >>275
なるほどな
ならとりあえず様子見しとくか……

俺はsvchostはプロセスチェッカーで偽者ぽいのを見つけたぜ
一つだけwindows直下にあってアイコンがスクリーンセーバーになっててワラタ
281 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:05:09: ばーか

ばーか

ばーか

ばーか

ばーか
282 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:05:53: ていうかどうやってメッセンジャー乗っ取って変なメッセージとかファイル送るの？
283 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:08:26: >>282
別にメッセのっとるなんて大それたことをしなくても
ただ起動しているメッセに向かってメッセージとファイルを送信するように命令すればいいだけ

具体的にどういう命令をとかどういったプログラムをとかまでは俺にはわからないが
おまいさんも別にそこまで知りたくはないだろう
284 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:08:39: 一瞬窓開いて閉じるのがみえるよ。
コマンドプロンプトからうごかしてんじゃね？わからんけど(´･ω･`)
285 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:09:43: >>283

いや、何か原因のファイルがあって、それ削除すりゃ何も問題ないのかと思って
286 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:17:10: 原因のファイルからOSのレジストリに侵入して命令を書き換えてんだから、
侵入された後にファイルだけ消しても意味は無い。

まあ散々過去ログで出てる話だが。
287 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:32:56: ノートン反応しませんね
感染したら反応しますよ
いみねえよ（笑）
288 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:41:40: 綺麗に消せればレジストリくらい残ってても無問題
289 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 05:54:49: AntiVirで検出しなかったから検体送ってみたわけだが
漏れが送ったころにはすでに対応された後だったのかorz
相変わらず平日だと時間に関係なくこまめにうpだてくるよなあ
昨日の夜9時ごろにうpだてした定義だと検出できなかったのにorz
290 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 06:56:31: antivirアップデートしてzip解凍してみたらもう対応してるﾜﾛﾀ
291 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 07:47:01: Norton AntiVirus2006対応してねえええｗｗｗｗｗｗ
もうっ早くしてくれないとダブルクリックしちゃうぞっ
292 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 07:52:58: しろよ
293 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 09:03:46: 社会人スレですねここは＾＾
294 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 09:25:41: 色々消してから>>264のチェックしてみたらRUNから先のがなかったんだけど
これって消えてるってことでいいんかな
安心していいんですかね
295 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 09:56:23: もし
zip名がimg1756.zipでなく、「良質scr」で
ファイル名が「ニコニコ組曲.scr」とかだったら被害は10倍だったろうなｗ
296 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 10:34:02: 何でこんなにレス付いてんだ？ｗ
びっくり
297 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 11:10:30: >>282
メッセのプロトコルは解析されていくらでも情報あるし
MSG.pmとか使えばPerlからでも接続できるぞ
298 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 11:11:33: 感染後の対処方法まとめ

1. 感染したらLANを引っこ抜く
2. レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Genuine Logon の削除
3. 念のためにWindows再起動
4. 必要無いと思いますが、システムの復元を無効化(_RESTOREにあるファイルを削除する)
5. C:\WINDOWS\svchost.exeの削除
6. C:\WINDOWS\img1756.zipの削除
7. 必要無いと思いますが、Windows再起動
8. 4を実行した人は、システムの復元を有効化
9. アンチウイルスのソフトウェアを全て最新にする
10. 全スキャンを実行する
11. 全スキャン中は暇なので、反省の意味をこめて首を吊る

以上でおｋ？
299 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 11:13:03: 吊ると家族に迷惑かかるから、樹海へGO
300 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 11:32:55: 寝てる間に来てた調べたらここにたどり着いた
しかし、相手がオフラインでもう受信できなかったｗ
301 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 11:39:21: とりあえず>298の通りにやって11まで来たわ
しかし、数人に送信済み+見事全員に感染したらしい
　∧||∧
（　 ⌒ ヽ今まで
　∪　　ﾉ　　生きててごめんなさい
　　∪∪
302 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 11:40:11: VB2007はまだ対応してなさげ。
はやくしてくれ('A`)
303 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:06:29: >>1
そのウイルスのサンプルを、www.virustotal.comという機関サイトにアップロードして、
どこのアンチウイルスソフトが検知できるか調べられた結果画像。（検知名は赤字で記載）。

Symantec（ノートン）検知名：10 W32.Scrimge.A
AntiVir 7.4.0.57検知名：Worm/Sdbot.41984.42
BitDefender 7.2検知名：Backdoor.Sdbot.AUX
Ikarus T3.1.1.12検知名：Backdoor.SdBot.AUX
Kaspersky 4.0.2.24検知名：Backdoor.Win32.SdBot.aad
Webwasher-Gateway 6.0.1検知名：Worm.Sdbot.41984.42

Microsoft製アンチウイルスやAhnLab-V3やNOD32などは、
まだ検知できない状態なのでご注意。

関連スレ
http://pc11.2ch.net/test/read.cgi/sec/1181834645/
304 ：303：2007/08/08(水) 12:09:16: 検知画像のリンクを貼り忘れた。
http://www5.uploader.jp/user/tane/images/tane_uljp00091.png
305 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:09:32: >>302
トレンドマイクロに、検体を送らない事には、対応されないよ。
306 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:30:31: 友人が感染したといってきた
俺にはファイル来てないけどね
307 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:34:22: バスターさんにパッチきましたね
308 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:49:31: スレタイが Live Messenger になってるけど、MSN Messenger と Windows Messenger も
同様に感染すると考えていいんだよな？
309 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:50:05: WINDOWS直下でなくてシステム32の中にsvchost.exeがあるんだけど('A`)
ちなみに更新日時は8/5感染したのは昨日の夜。
削除しようとしたらディスクがいっぱいでないか（ｒｙってでるんですけど、これってもしかしｔ
310 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:52:38: >>309

>>274
>>276
>>277
311 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:56:06: >>310
いまカスペルでスキャンしたらウイルス検知しました

検知しました: トロイ Backdoor.Win32.SdBot.aad ファイル: C:\WINDOWS\svchost.exe
312 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:56:36: 更新日時が感染時刻と近かったら消してもいいと思うけど
自己責任でお願い
俺は消したよ
313 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 12:56:43: 追記：システム32のは無罪だったようです。
コエー
314 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 13:03:24: >>311
Kasperskyは流石に、早期対応>>303できていますからねぇ。
315 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 13:06:08: svchost.exeは普通はｼｽﾃﾑ32かDLLｷｬｯｼｭの中にしか存在しない
ﾀｽｸﾏﾈでいくつも起動してるようにみえるけど全て一つのファイルのはず
316 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 13:33:56: Vistaはどうなん？
317 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 14:00:28: vistaは大丈夫とか上で言ってるよ、よく分からないけどさ
ところでウイルスバスターのアップデート来てたけど、検出とかされるようになった？
自ら感染とかzip入れるとか怖くてできないっすよ
318 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 14:20:15: >>317
.scrをスキャンしても無反応だった
開いたときの動作は勇者に任せる
319 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 14:27:10: スキャン無反応→開いても無反応
320 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 14:35:05: >>319
それは対応されてないってことかｗ
321 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 14:57:01: ﾜｰｲ! 僕らの夏だー

　　　　∧＿∧ 　　　 ∧＿∧　　　　 ∧＿∧　　. 　　∧＿∧
　　　（´∀｀/ﾞ)　　　　（´∀｀　）　　　 (（´∀｀/ﾞ)　　　　（ ´∀｀）
　　　と　　〈　　　 ⊂)　　つ　　　ヽ,　　　〈　　　　と　　　つ
　　 (⌒ﾞ　 ,,ﾉ)　　　　（　、　ﾉ)　　　　ヽ (⌒ﾉ)　　　　（　　（_）
　　　　　｀ヽ,_,）　　　　　し'"し'　　　　　　　l,_,ﾉ　　　　　　し'"´
322 ：sage：2007/08/08(水) 15:17:42: >>318
WINDOWS直下に作成されたsvchost.exeにも無反応だった。
323 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 15:28:15: ageてしまった
324 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 15:29:55: MEの俺はなんともないぜ。
325 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 16:10:19: 俺も朝方やられたが、受信するときはノートン先生全く反応無かったな
よくファイルの送受信する相手と話してる最中だったからうっかり

img1756.zip削除→スキャン→ウイルス発見→削除
やったら>>264はなかった
履歴見てみると、最初は低レベルで問題なしってなってるが
リスク高レベルって１分後に変わってるｗ
俺のとこのは、W32.Spybot.Wormだったな。
役に立つか分からんけど、一応情報ってことで

>>295
sm17566.zipとかｗ
326 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 16:32:37: ttp://gigazine.net/index.php?/news/comments/20070808_messenger_worm/
327 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 20:20:22: >>326
ついにそこで記事が出たか
328 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 20:27:05: メッセ＼(^o^)／
329 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 22:16:35: >>303
NOD32に頼っていたら、思いっきり感染していた・・・・。
(　；∀；)

他の製品の体験版で、やっと駆除できた。
330 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 22:18:23: これに感染した人は一度ウイルス対策について勉強した方がいいと思うよ
対策ソフトのせいにしないで（そりゃ対応早い方がいいが・・・）
331 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 22:26:34: >329
つ　検体を送る
332 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 22:28:24: うちは添付ファイルの名前が違う。
pictures07-01.zip
亜種？？
333 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 22:31:52: 知り合いからファイル送られてきたんだが
人妻.zipだった。
これもアウト？
334 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 22:32:19: うｐ！
335 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 22:32:53: 俺が鑑定してやるから
うｐよろしく
336 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 22:53:20: >>330
そういわれましても頻繁にメッセしてた友達から来たものでして、、、
337 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 23:05:36: >>336
俺もそうだった
ウイルススキャンしても反応無いからついつい開いてしまったよ
338 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 23:10:41: >>336
その考えがすでにダメな希ガスｗ
339 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 23:14:00: >>336-337
・突然英文のメッセージ
・拡張子がscr
（突然スクリーンセーバーファイルを送ってくるなんて不自然極まりなく、またscrはウイルスでは定番）
・相手に返事をしてもウイルスのせいで反応が戻ってこない

これだけの条件が整えばキチンとした知識があれば泥酔してても開くか微妙ってとこだろ
340 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 23:25:02: この程度のウィルスで助かったというのが内心。
ああ、でも送信された人にはすまねぇ('A｀
341 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 23:25:46: 自分の対応の甘さは死にたくなる
ウィルスのことちっとは勉強しようと思うようになった

ここで紹介されている駆除方法を試した後、感染源の人が
「このウィルス自己増殖するよ。俺は25箇所やられてる」
「レジストリとファイル削除しても本体はどこかに居る」
「ネットで情報が上がってる奴の亜種でもっと凶悪」
って言ってるんですけど電波認定していいんですかね？
342 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 23:28:25: >>341
なんか吹いたｗｗ
343 ：名無しさん＠お腹いっぱい。：2007/08/08(水) 23:53:07: 感染源が何言っても説得力がないからなぁ・・・
まあ自分も感染してるならどっちの意見も怪しいがｗ
344 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 00:32:38: >>339
英文れば怪しさ爆発なんだけどな
俺の場合、無言でファイルだけ送られたんだよ

狩り中でバタバタしてたときだったからとりあえず受信だけして
終わったときにはもう送り主はいなかった
送り主は俺がゲームしてることが多いのわかってるから
たまにそうやって無駄口叩かずファイルだけ送ってくることがあるやつだったし
今度もそれかと思ってたorz
345 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 00:40:13: ROなんてそれこそMMOBBSに専用スレがあるくらい
アカウントハックが盛んなのに、よくもまぁホイホイ踏むもんだ。
346 ：sage：2007/08/09(木) 00:49:01: NOD32の最新定義ファイル2444で検知可能っぽい

img0347.zip - Win32/IRCBot.XZ トロイ

ttp://www.canon-sol.jp/product/nd/virusupd/vupd_page17.html
347 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 01:12:54: なんかメッセで流れてるの二種類あるみたいね。
危険なやつと危険じゃないやつ。
348 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 01:44:43: >>346
危険な方の奴には、まだ対応してないらしいよ。
349 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 01:50:15: メッセージ付きのやつと
メッセージ付きじゃない(無言の)やつ
の二種類ならわかるんだが危険なやつってなんだ？
350 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 05:06:31: >>347
危険な奴と危険でない奴って何なの？
351 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 07:24:25: バスターがいまだに無反応な件
ちょうど今月で期限切れるし、乗り換えるならどこがいいかな？
352 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 07:26:23: バスターからなら何でもいい気がする。
353 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 09:30:56: >>336
・突然英文のメッセージ
日頃から英文のメッセージをたまに混ぜて送ってくるやつだった
・拡張子がscr
スクリーンセイバーのやり取りもよくする中

犬猫動画のやり取りよくしてたからpuppyの字に反応して開いてしまった('A`
354 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 10:28:28: AVGは対応してる？
355 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 10:34:35: リア友がこれに感染してたからメッセ禁止したら電話かかってきて泣かれた
356 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 10:53:55: >>355
禁止はやりすぎだろｗｗｗ
357 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 10:58:22: ネット禁止といって反応を楽しめ！
358 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 11:36:17: つうかなんでもクリックするかｗ
359 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 13:39:34: 別に感染してたからって禁止にするほど害は自分にはないだろｗｗｗｗ
360 ：参考までに：2007/08/09(木) 16:48:14: 【最重要情報】

※※※アンチウイルス製品の真実※※※
http://pc11.2ch.net/test/read.cgi/sec/1174028244/240-248
361 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 16:54:28: バスターさんにアップデートｋｔｋｒ
勇者様コテンパンにしてくだせえ
362 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 18:47:28: バスターｺﾈ━━━━━━('A`)━━━━━━ !!!!!
8.5.1002/4.639.00
363 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 19:06:54: 最新は/4.641.00だぞ
364 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 20:36:31: ｷﾀﾜァ*･ﾟﾟ･*:.｡..｡.:*･ﾟ(ｎ‘∀‘）ηﾟ･*:.｡. .｡.:*･ﾟﾟ･*!!!!!
すまね。アップデート途中で確認していたらしい orz
365 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 20:43:03: ドンマイｗ
366 ：名無しさん＠お腹いっぱい。：2007/08/09(木) 23:36:21: バスターあまりにもこないから検体送りつけておいたんだけど
連絡ナッシング。バスターに対しての評価ががた落ちしています。
367 ：名無しさん＠お腹いっぱい。：2007/08/10(金) 00:10:11: >>366
http://tmp6.2ch.net/test/read.cgi/tubo/1176131495/867-868
368 ：名無しさん＠お腹いっぱい。：2007/08/13(月) 16:15:25: 英語嫌いでローマ字自体見るのも憎たらしいと言っていた
友達から来たので開かなかった
369 ：名無しさん＠お腹いっぱい。：2007/08/15(水) 13:30:25: VirusTotalで各社の検知対応を調べてみた。
http://www.virustotal.com/resultado.html?0fbef627e98ffde154ec6c915581fa0e

まだ対応して無いとこあるんだね
370 ：名無しさん＠お腹いっぱい。：2007/08/15(水) 13:39:28: 2007 年 8 月のセキュリティ情報
公開日: 2007年8月15日

MS07-042 : Windows の重要な更新

MS07-043 : Windows の重要な更新

MS07-044 : Excel の重要な更新

MS07-045 : Internet Explorer の重要な更新

MS07-046 : Windows の重要な更新

MS07-047 : Windows Media Player の重要な更新

MS07-048 : Windows Vista の重要な更新

MS07-049 : Virtual PC および Virtual Server の重要な更新

MS07-050 : Windows の重要な更新

Top of section
このセキュリティ情報は、2007 年 8 月に公開したセキュリティ情報の一覧です。

2007 年 8 月のセキュリティ情報の公開により、2007 年 8 月 10 日に公開した事前通知をこのセキュリティ情報に置き換えました。
事前通知サービスの詳細については、「マイクロソフトセキュリティ情報の事前通知」をご覧ください。
371 ：名無しさん＠お腹いっぱい。：2007/08/20(月) 08:22:53: セキュリティ板＠削除議論・自治スレッド
http://qb5.2ch.net/test/read.cgi/sakud/1090504381/

強制IDや強制リモホ表示の是非について投票募ってます。
ある程度意見溜まったら申請出しますのでご協力お願いします。
コピペで失礼しました。ｍ(＿＿)ｍ
372 ：名無しさん＠お腹いっぱい。：2007/09/17(月) 02:56:41: avast!
>>79をダウンロードしたら
Win32:Sdbot-4892 [Trj]で検出した
373 ：名無しさん＠お腹いっぱい。：2007/09/28(金) 12:13:08: 今AVGアップデートしてスキャンかけたら引っかかった。
374 ：名無しさん＠お腹いっぱい。：2007/10/04(木) 19:33:37: なんか上と同じようなかんじでひっかかったtanya19.zipとかいうのが
カスペルスキーでスキャンできなかった。
375 ：名無しさん＠お腹いっぱい。：2007/12/17(月) 02:43:36: >>332
俺も同じようなファイルで着たな。
ちくしょう！！！
376 ：名無しさん＠お腹いっぱい。：2007/12/26(水) 11:42:17: メリークリスマスに亜種出現

Chirstmas-2007.zip

中身クリックしちまったぜ・・・('A`)
バスターすり抜けて感染しｔ
377 ：名無しさん＠お腹いっぱい。：2007/12/26(水) 11:55:33: そんな露骨に怪しいファイルに触れるな・・・
378 ：名無しさん＠お腹いっぱい。：2007/12/26(水) 18:01:00: >>376
＞Chirstmas-2007.zip

俺もまったく同じだわ･･･。ノートン無反応。
ちょうど友人とメッセ中だったんでうかつだった･･･。
379 ：376：2007/12/26(水) 21:15:46: いろいろサイト調べてなんとか削除成功したっぽい。
安全の確認が取れ次第、レポします。
しばしお待ちを。
ただし、プロではないので自己責任で消して下さい。
380 ：名無しさん＠お腹いっぱい。：2007/12/26(水) 21:57:08: 376とは違う者だが、対処完了、大体の流れ書いておく。

"ChristmasImg2007-12.zip"
W32.Scrimge.Aの亜種。トロイ。

-----------------------------------

①システムの復元をオフにする

②自動Runキーの削除：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\　以下にある "svho.exe" "Msnmsgr.exe" を削除
後者はマイクロソフトの署名が無いため本物と見分け。

③本体の削除：
　WINDOWSフォルダ："ChristmasImg2007-12.zip"
　System32フォルダ："svho.exe"

　後者は　隠しファイルを表示するにチェックしていても表示されないため、
　適当な0byteのファイルを作って"svho.exe"とリネームし、
　System32フォルダにぶち込んで上書き後、削除するといい。

④再起動後、暫く様子見て大丈夫ならシステムの復元をオンにする。

-----------------------------------

キー名はスペルちょい違うかもしれん。
自己再生するんで全部根こそぎ排除しないと駄目だったわ。
381 ：名無しさん＠お腹いっぱい。：2007/12/26(水) 21:58:10: すまんミス。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run　以下
382 ：376：2007/12/27(木) 00:20:59: >>380
もしかするとCドライブ直下に同じ作成日時で01ASetup.exe、a00000.exe、st.exeなどは生成されてなかった？
怪しいファイルなんだけどそれらも消してしまった方がいいかも・・・。

それと私の場合、最初に
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ryan1918="servidevice.exe"
があった。
これも消した方がいいみたい。

どうやらryan1918="servidevice.exe"が動き出すと>>380のようなファイルが生成されて>>380のとおりの対処をするしかないみたい。

このウィルス結構やっかいかも・・・。
ちょっと文の意味分かりにくくてごめん。
うまくまとめずらい。
383 ：名無しさん＠お腹いっぱい。：2007/12/27(木) 06:35:10: どう探してもryan1918="servidevice.exe"っていうのが見つからない。
他のは全部消せたんだが・・・
384 ：名無しさん＠お腹いっぱい。：2007/12/27(木) 12:41:34: >>383
それ、見つからないって人結構いるみたいだね。
推測なんだけど自己展開して消えたのかなーとか思う。
385 ：4925：2007/12/28(金) 13:34:32: "ChristmasImg2007-12.zip"
を削除したら次は　New-Year2008-imgaes.zip というファイルが
WINDOWSフォルダに作成されています。
386 ：名無しさん＠お腹いっぱい。：2007/12/28(金) 17:14:44: New-Year2008-imgaes.zip が送りつけられてきた。
回答して、scrファイルが現れ、ちょっと怪しいと思ったものの、右クリック->テスト
をしてしまいました。対処方法をお願いします。
387 ：名無しさん＠お腹いっぱい。：2007/12/28(金) 17:59:18: ぎゃーす！俺もニューイヤーやっちまった！380さんや376さんのクリスマスと
同じようにやろうとしたものの、発見できず・・・
奴は何をしでかすものなのでしょうか・・・？
388 ：名無しさん＠お腹いっぱい。：2007/12/28(金) 18:11:35: 少なくとも　WINDOWSフォルダ　に　New-Year2008-imgaes.zip　ファイルが
あったので、それは削除したんだが。それ以外はまったくもって不明。
アンチウイルスソフトも反応しないし。新しいウイルスなのかな。
2，3日のうちには定義ファイルが更新されるんじゃないですかね。
389 ：名無しさん＠お腹いっぱい。：2007/12/28(金) 19:45:41: 俺もニューイヤーっちまった

ウインドウズファイルの保護
ウインドウズを正しく動作させるために必要なファイルが、
認識できないバージョンのファイルに置き換えられています。
システムの安全を維持するためにこれらのファイルを元の
バージョンに復元する必要があります

ってエラーメッセージが出るようになったorz
390 ：名無しさん＠お腹いっぱい。：2007/12/28(金) 20:18:24: ニューイヤー開いたけど削除方法全てそのファイルが見当たらなくて削除できないな
391 ：名無しさん＠お腹いっぱい。：2007/12/28(金) 22:33:19: >>385
ChristmasImg2007-12.zipやられたんだが、
New-Year2008-imgaes.zipはどこにも見当たらないのは自分だけ？

ちなみにChristmasImg2007-12.zipは380さんのやり方で削除済みです。
392 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 00:04:59: 380さんのやり方で
" servidevice.exe""Msnmsgr.exe"は消せたんですが
"svho.exe"が見当たりません＞＜

ChristmasImg2007-12.zipが消してもやはり生成されます。
system32のほうのsvho.exeも上書きされませんでした。

どっかに対処法ないですかねえorz
393 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 01:50:33: うーん、厄介なもん踏んじゃった･･･
これ、なぜバスター系が反応しないんだろう･･･
394 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 01:56:01: 俺もNew-Year2008-imgaes.zipやってしまった
情報無いからどうしていいのかわからん・・・
395 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 01:57:49: 同じくやってしまった
情報出るの待つしかないかな～
396 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 01:59:24: >>393
昨日今日にばら撒かれたモノだけに…
今ごろは解析＆定義ファイル更新作業頑張ってると予測。

ええ踏みましたよ('A`)
とりあえず送信してるような素振り見せた瞬間
急いでタスクマネージャ開いて怪しいファイル（msnなんちゃらだったかメッセンジャーぽい名前の）とか怪しいのを落として
WINDOWSフォルダのNew-Year2008-imgaes.zipを消して…
今の所その程度しかできねえ…orz
397 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:01:27: 俺だけかとおもったけど
仲間がこんなにいるなんて・・・

はやくかいせきおわらないかな・・・
398 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:04:30: 受け取っちまったが…開かずに消した。
大丈夫かな？開かなかったら何もないかな？
過去スレにあったレジストリに関しては検索してみたけど何も出てなかった…
399 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:07:44: .scr踏むこと自体ありえない
400 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:09:09: ZIPを展開して出てきたファイルを実行していなければ、おそらく感染はしていないと思われる。
401 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:11:05: なんかちょくちょく左上にウィンドウが勝ってに立ち上がった後
すぐに消えるんだがこれなんだ？・・・
まさかウィルス？・・・
402 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:13:19: >>399
だよな。ウィルスの可能性のある拡張子を安易に開くってのが信じられない。
403 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:14:23: それがな、意外と少し話してるくらいの相手だと気になって踏んでしまうモノなのだよ。
何か送ってきたのかなとかそういう確認してしまうモノで。
404 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:14:43: 以下、自己責任で。

これが一番新しい情報と思われ。
ttp://d.hatena.ne.jp/lpm11/20071229
405 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:17:22: >>403
俺も送られてきたけど英語ばっかの文章で解凍したら.scrだった
いくら親しくても絶対あけないわｗ
.scrが危険と知ってて開くやつはおかしいし、知らないのは無知すぎる
406 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:18:11: >>404
「msmsgrus.exe」ってやつ、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
にもあったな。一応消しといたがアタリかな
407 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:18:56: って書いてあるね…忘れてくれ
408 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:19:53: もはや余談かもしれないけどNew-Year2008なんちゃらはavast!のチェックをくぐりぬけていた
相手に「これなに？」って聞こうとしたら反応おかしかったので開かずに済んだ
409 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:21:53: >>408
俺もavastで検疫したけど大丈夫だった上にそういうことしそうな人だったから開いた
迂闊だった
410 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:23:16: 開いてないけど俺にも来た。AVGももちろんすり抜けた。
2008のほうね。
411 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:30:14: これってさ、俺の場合実行したらエラーでて起動できないって言われるんだけど
他の感染した人も同じようにエラー出た？
なんか>>404の説明にあるような例に一つも当てはまらないんだけど
412 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:31:36: 俺　exe.を消そうとしたら　アクセスを拒否されました　ってでるんだが・・・
どうしたらいいんだ・・・　ＰＣ初心者だからわからない・・・
413 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:33:24: さあ、PCを窓から投げ捨てよう！
414 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:34:21: vistaだと、書いてあるようなファイルが見つからないんだけど、
なんででしょうか？

vistaでwindowsにフォルダ出来てる人います？
415 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:35:17: フォルダじゃ確認できないみたいよ
コマンドプロンプト確認してみ
416 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:41:19: >>412
以下、自己責任でやれよ。
もう一度言って置く。

自　己　責　任　で　や　れ

まず、UnLockerをインストールする。
「UnLocker」でググるかゲイツに聞けば、多分出てくるはずだ。
で、設定を変えずにインストールする。
その後、コマンドプロンプトから、
"c:\Program Files\Unlocker\Unlocker.exe" C:\Windows\msmsgrsu.exe
と入力すると、ダイアログが出てくるので、
左下のドロップダウンリストから、「削除する」を選ぶ。
で、OKボタンを押すと削除できるはずだ。
417 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:42:21: コマンドプロンプトでも見つからない。
dir New-Year2008-imgaes.zip
でいいよね？

>>404読んだけどmsmsgrus.exeてのも見つからなかった。

ま、なるようになるか。
418 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:47:50: vistaじゃないけど俺もmsmsgrus.exe見つからん
感染してるのかはっきりしないから不安だ・・・
419 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:50:11: ・WINDOWSフォルダにmsmsgrsu.exeが見つからない
・コマンドプロンプトでも弾かれる
上記の場合、WINDOWSフォルダとは別の場所で右クリック
新規作成→(適当に)テキストファイル→ファイル名を『msmsgrsu.exe』に変更。
拡張子云々表示されるので許可。
出来たファイルをWINDOWSフォルダに入れると上書きするか聞かれるので「はい」を選択。
その後はWINDOWSフォルダに『msmsgrsu.exe』が表示されるようになってるのでゴミ箱へ。

これで消えているはず…
420 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 02:55:52: 悩むくらいならクリーンインストールした方が早いと思う俺は異常なのか
初心者なら他のものも飼ってそうだし
421 ：418：2007/12/29(土) 02:57:24: WINDOWSフォルダに上書きも何もなしに普通に置けてしまった・・・
ホントに感染してるんだろうか・・・？
scrファイルを実行したときに、エラー出て実行できないって言われてるんだけど、
実行したら感染してるはずなんだよね？
422 ：416：2007/12/29(土) 03:02:04: >>419
その方法でどうにかしようと思ったんだが、
どうもうまく削除できなかったんだよね。
なので、Unlockerを使う方法を書いておいた。
別にUnlockerに限らず、使い慣れてるツールがあれば、
それを使えばいいと思う。

>>420
本当はそれが一番安全だよな。
423 ：416：2007/12/29(土) 03:05:32: >>421
感染してるかの確認の一番楽な手段は、
C:\WINDOWSにNew-Year2008-imgaes.zipが有るか無いかだと思う。
もちろん、あったら感染してる。
424 ：418：2007/12/29(土) 03:10:00: New-Year2008-imgaes.zipも見つからないし、
>>419の方法と同じ要領で上書きしようとしても反応なかったな・・・
これは感染してないと考えていいのか・・・
425 ：416：2007/12/29(土) 03:14:02: >>424
一応、レジストリの、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
も確認してみて、
MsnLiveMessengerが無ければ感染してないんじゃないかな。

後日、対応したパターンファイルが出た後に、
ウイルス対策ソフトでスキャンすることをお勧めするけどね。
426 ：418：2007/12/29(土) 03:21:28: >>425
何回か確認してるし、もう一度確認してみたけどMsnLiveMessengerも見つからないわ。
これで一応大丈夫だろうとは思うけど、一度開こうとはしてるわけだし
念のため後日ウィルススキャンはちゃんとやってみる。

対策教えてくれてありがとう。
427 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 03:28:10: 同じくさっき喰らったッスよ……。
感染は確実にしたが除去できたかがわからないンだぜ……。
428 ：416：2007/12/29(土) 03:36:02: >>427
1.再起動してもWINDOWSディレクトリにNew-Year2008-imgaes.zipが生成されない
2.コマンドプロンプトから、WINDOWSディレクトリのmsmsgrsu.exeを削除しても、
「そんなファイルねーよ」（意訳）と言われる。
3.レジストリのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
MsnLiveMessengerが存在しない。
上の3つを満たしてれば、とりあえず削除できたと考えていいと思う。
ただし、専門家じゃないので、「思う」しか言えない。すまん。
429 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 03:44:38: >>428
いや、そうして具体的に上げてもらってすごく助かった。
全スレ見直せばいいのだが混乱状態の俺にはそれがなにより有り難い……。

一応その条件はクリアできたみたいだ。
本当にありがとう。
430 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 03:47:32: McAfeeだったら対応してるんじゃないか？
http://www.mcafee.com/japan/security/virC2007.asp?v=W32/Checkout!0e4a3c52

つか、くれ。
Messengerやってないからよくわからん。
飼ってるのF-Secureだし。
431 ：416：2007/12/29(土) 03:49:33: >>429
ファイルの削除漏れとかがあったら困るので、
対応するパターンファイルが出たら、
ウイルス対策ソフトのスキャンしておくのをお勧めする。

あと、無意味にageるのは良くないぜｗ
432 ：416：2007/12/29(土) 03:53:49: >>430
そのページに乗ってるのは、
Christmas-2007.zip
を送りつけてる奴。
で、今日（昨日？）から流行ってるのが、
New-Year2008-imgaes.zip
を送りつけてくる奴。

まあ、亜種だとは思うが、
ファイル名が違ったり、
レジストリの登録名が違ったりするから、
各アンチ・ウイルス・ソフトベンダーは後者にはまだ対応できてないと思う。
少なくとも、ウィルスバスターはまだ対応できてなかった。
433 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 04:01:51: >>431
っと、重ねて申し訳ない。
……sageれてっかな？　無知この上なくて謝るしかできねぇｗ
434 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 04:02:57: 俺もうっかり踏んだが（まさに相手が、その手のファイルを送りそうな人だった）、
カスペルスキーの体験版で駆除出来たっぽい感じなので
引っかかった人は試してみるのもいいかも

カスペルスキーのインストール後に再起動要求されるけど無視した（自己責任でどぞ）
435 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 07:18:05: ノートンは対応した。
>>404のページに書いていること以上は検出しなかったな。
436 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 12:28:15: 「お、ウイルスじゃん」って思って、なぜかクリックしてしまった阿呆は俺だけ？
437 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 12:33:42: >>436
好奇心旺盛なのはいいけどせめて仮想でやれｗ
438 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 14:57:05: Happy2008.zip\Happy2008-Card.comってのが送られてきた
439 ：416：2007/12/29(土) 17:16:49: >>438
まだ中国語サイトにしか情報が出てないなあ
440 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 20:27:03: ウィルス感染して以来ネットの通信速度が異常なまでに遅くなった。
>>416の方法で削除したんだが、直らない。
同じ現象の人いるか？
441 ：名無しさん＠お腹いっぱい。：2007/12/29(土) 21:37:10: 実行しようとしたらエラー吐いて開けなかったんだけどこれって助かったのか？
442 ：名無しさん＠お腹いっぱい。：2007/12/30(日) 02:18:09: >>440
復元するんだから当たり前だ
このスレ見直したら書いてる
>>441,428
443 ：名無しさん＠お腹いっぱい。：2007/12/30(日) 05:07:33: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"は無かったけど
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft" = "svchost.exe"は見つかったなー。

迂闊だった、不甲斐ない自分を悔しかない。
444 ：名無しさん＠お腹いっぱい。：2007/12/30(日) 17:51:25: windowsフォルダにある「msmsgrsu.exe」は隠しファイル属性である上に、ＸＰだと画像アイコンになってる。
また、起動時にインターネットにアクセスする。自分はゾーンアラームの警告で気が付いた。
ＡＶＧのスキャンもノートンも無反応でタスクマネージャよりmsmsgrsuを停止、その後隠し属性の「msmsgrsu.exe」と
New-Year2008-imgaes.zip とかっていうzip（恐らくメッセンジャーで送られてきたものと一緒）を削除した。レジストリも削除したけど。
445 ：名無しさん＠お腹いっぱい。：2007/12/31(月) 02:14:50: 知り合いが感染した時は
「syshos.exe」っていう謎のファイルが原因になってた。
New-Year2008-images.zipを解凍したって言ってたけど
いろいろパターンがあるんじゃないだろか
446 ：名無しさん＠お腹いっぱい。：2007/12/31(月) 11:25:29: みんな気付いてないかも知れないけどＣドライブ直下にも怪しいexeが大量に生成されてる場合があるから注意して。
そのexeが生成された時にバスターで警告が出た。
あと、最初に感染してから時間経つごとに次々形を変えるっぽい。
下手すると遠隔操作を行われている可能性もあるので、感染したら、

・むやみやたらにメッセンジャー、ネットワークに繋がない。
・パソコンを付けっぱなしにしない。

ぐらいはした方が良さそうね。
当たり前だけど・・・。

あとトレンドマイクロに一週間ほど前にウィルス検体を送っておいたので、
バスター使ってる人は対応してくれることを祈るしかない。
447 ：名無しさん＠お腹いっぱい。：2007/12/31(月) 14:49:43: 今度はawtqn.dllとawtqn.exeが生成されてイミフ＼(^o^)／
448 ：名無しさん＠お腹いっぱい。：2007/12/31(月) 21:16:14: これ入れたら再起動繰り返すよ
449 ：名無しさん＠お腹いっぱい。：2007/12/31(月) 21:39:17: http://kurage.jpn.ch/RecWav/M_RECWAV_Media.asp?Speech=1221925210420071231213800
450 ：名無しさん＠お腹いっぱい。：2008/01/02(水) 07:59:52: >>447
ｍｊｄ？
俺んとこはsystem32にawtqq.exeが生成されて意味不明＼(＾o＾)／
カスペが反応して消してくれるんだけど、再起動するたびに蘇る^q^；
なんぞこれ/^ω^＼ほぇぇ
451 ：名無しさん＠お腹いっぱい。：2008/01/04(金) 18:57:58: Windows OneCare　で何か反応したな。無関係かな。
　自己解決するから。ここの板で答えないでね。
452 ：名無しさん＠お腹いっぱい。：2008/02/06(水) 19:20:46: つかいきなり来てごめんなさい
あまりウイルスと関係のないのですが
メッセのスレここくらいしかなさそうなので・・・
先ほど友人がメッセを再起動させたところ
INできなくなってしまい
俺はPC自体を再起動させて　メッセにINしようとしたら
INできなくて

簡単にいうと
いちどサインアウト　→　サインイン　→「メンバーリストが表示できない」→　別アドでもIN
→「できるじゃん・・・」→本体でログイン　→　「エラー」　→　両方ともINできなくなってしまいました
誰かこれについてわかるかたいません？
453 ：名無しさん＠お腹いっぱい。：2008/02/06(水) 21:20:17: >>452
不具合中です。

【鯖落】MSN・WindowsMessenger Part3【報告】
http://pc11.2ch.net/test/read.cgi/win/1173271073/
454 ：名無しさん＠お腹いっぱい。：2008/02/06(水) 23:02:20: メンバーリストが利用できないため～は違う？
ヘルプ通りにやっても再起動してもサインインできないんだが。
友達はサインインできてるのに。
455 ：名無しさん＠お腹いっぱい。：2008/02/07(木) 01:21:49: >>454
人によって問題無かったり問題あったりとバラバラなのがいつものパターン
だが再インストールしても無意味だから、鯖が直るのを待つだけでいい。

いつもそうだからｗ
456 ：名無しさん＠お腹いっぱい。：2008/02/27(水) 02:01:09: まーたサインインできね。
457 ：名無しさん＠お腹いっぱい。：2008/03/04(火) 17:08:40: さっき偽メッセ起動したら
win32/vmalum.bxrfに感染
って出ていきなりメッセンジャー削除された。ググってもHITなし。なんだろこれ。
458 ：名無しさん＠お腹いっぱい。：2008/03/07(金) 03:09:11: これにやられた。どうすれば寛解する？
459 ：名無しさん＠お腹いっぱい。：2008/03/09(日) 00:43:39: 非常に初歩的な質問で申し訳ありません。
教えていただけるとありがたいことがあって伺いました。

>>1にあるようなタイプのウィルスは、Mac版のWindows Messengerを使用している人からのファイル送信という形でも、Windows版のWindows Messengerに届く可能性はあるのでしょうか？
もしそうだと、Macの使用者は感染することなく、感染ファイルの広がりに介在することがあり得るのではないかと素人考えでは思うのですが。

というのは、私のMessengerに怪しいファイルが届いたようなのですが（解凍していません）、どう考えても、Mac版を使用している人を介在して届いたとしか考えられないのです。

もしご存知の方がいらしたら、お答え、どうかよろしくお願いいたします。
460 ：名無しさん＠お腹いっぱい。：2008/03/09(日) 01:34:03: メッセ経由で流されるのですから、
端末種類を無視して流れる可能性は大いにあるのでは？
461 ：459：2008/03/09(日) 02:34:56: >>460
レス、どうもありがとうございます。
しかも迅速に。感謝しています。

やはり、その可能性かなりありますよね？
そうなると、私は自分のところで感染をくい止めるとしても、Mac版ユーザーである友達が別の人に感染ファイルを送ってしまう可能性もまた大きいですよね。
そのことを、Mac版ユーザーの友達に指摘してみようかどうか迷っています。
本当なら少しでも可能性があるなら指摘するべきなのでしょうが、人間関係に傷が付きかねないので。
でも、うまく話してみようかと思っています。
462 ：名無しさん＠お腹いっぱい。：2008/03/09(日) 08:41:25: >>461
まず、「この前○さんから△という名のファイルが届いたんですが、送った覚えあります？」
と聞いてみて、もし送っていなければ
「最近、メッセを経由して自分が知らない内に勝手にウイルスファイルをばら撒かれる事件が増えているから、
もし覚えが無いなら○さんが何かに感染してるんじゃないかって心配になって」

といった感じで、あなたを心配しているというニュアンスで説明してみては？

まあ、こういったファイルは受け取った本人が開かなければ感染しないものが大半らしいですが
適当に開いたもののよく分からないので破棄しただけで、対処していないという可能性もありますからね。
463 ：459 461：2008/03/09(日) 13:20:17: >>462
アドヴァイス、どうもありがとうございます。
どう言おうかと考えていたので助かります。

おっしゃるように「心配している」というニュアンスで話してみることにします。

ありがとうございました。
464 ：名無しさん＠お腹いっぱい。：2008/07/28(月) 13:37:45: ファイルじゃなくてUrlを送るウイルスに知らずに感染してしまったようです
これにかかった人いますか？
465 ：名無しさん＠お腹いっぱい。：2008/07/28(月) 19:10:04: >>464
Windows Live Messenger Part 4
http://pc11.2ch.net/test/read.cgi/win/1212889040/

ここで何度も報告が出ています。
出ているだけで、具体的な対策方法はありませんけれど…
466 ：名無しさん＠お腹いっぱい。：2008/07/29(火) 00:23:06: >465
ｔｈｘ！
ウイルスじゃないのね。
Pass変更しようとHotmailのｵﾌﾟｼｮﾝに
ｱｸｾｽしてるのにいつまで経っても画面が変わらない・・・
467 ：名無しさん＠お腹いっぱい。：2008/07/29(火) 02:23:52: ウイルスではないとは言っていないどころか
勝手に送るタイプならば、まさにウイルスかと思うのですが。

とりあえず、セキュリティーソフトを入れているならば
アップデートの上でフルスキャン
468 ：名無しさん＠お腹いっぱい。：2008/07/30(水) 23:49:18: >467
そうなんですか？？
AintiViでﾌﾙｽｷｬﾝしましたけど
なんにも出なかったです
469 ：名無しさん＠お腹いっぱい。：2008/07/31(木) 03:33:50: 新種であればウイルス対策ソフトでも未対応のために検知出来ないので
他社がフリーで公開しているオンラインスキャンを試すのも手ではあります。
470 ：名無しさん＠お腹いっぱい。：2008/08/04(月) 23:52:54: 自分もhttp://自分のメッセＩＤ.のアドレスを踏んでしまいましたが
カスペ、バスター、スパイボットともに何もでませんでした。
ただconime.exeとかいうプロセスが立ち上がっていてＤＯＳプロンプトを立ち上げると
でるとかでそれが立ち上がっていたのでなんか不安ですね・・・・
471 ：名無しさん＠お腹いっぱい。：2008/08/10(日) 05:37:47: >>470さんと同じ様なものを自分も踏んでしまった。
いまのところ何も検出していないけど不安だ
472 ：名無しさん＠お腹いっぱい。：2008/08/10(日) 22:23:46: 俺もそんなのきた
どうも自分の垢からメッセに登録してる知人にも送られてるみたいなんだが
あと、「別の場所でサインインしました」ってことになってる
473 ：名無しさん＠お腹いっぱい。：2008/08/13(水) 12:03:43: 結構蔓延してるみたいだねぇ
何かのゲームに誘ってくれたのかと思ってホイホイPASS入力しちゃったけど
とりあえずパスの変更だけすれば問題なさそうかな、特に変わったこともないし
知り合いはパスなんて入れてないけどURLを配信してしまうようになったとか言ってるし良く分からないな
474 ：名無しさん＠お腹いっぱい。：2008/08/21(木) 03:04:15: 台湾人から来たメッセの「自分のID.なんたら」を捨てアドで踏んだのだけど
どうもトロイの木馬らしいよ
ぐぐっても、中国語のサイトが多い
英語もあるけど

Messengerはアドレス帳をオンラインに置くから、それをインポートして次の人を探すようだ
475 ：名無しさん＠お腹いっぱい。：2008/08/21(木) 03:24:54: >>470,471
というか、これは多分パソコンに感染するタイプではないと思うよ
コンタクトリストをオンラインに置いてあることをいいことに、
ログインIDとパスワードを入力するとそれを記録して勝手にログイン、
コンタクトリストにある友人にメッセージを送る
476 ：名無しさん＠お腹いっぱい。：2008/08/21(木) 05:02:24: 最近　何か月もメッセしてない　中国在住の友人から　
夜中の3時ごろに　メッセが届く
しかもオフラインで

クリックしたら　MSNアドレス　と　パスを　入力する画面になる
面倒だから　何日か放置してたら

今夜は　しつこくURLが届いた
クリックしたら　アメリカのアダルトサイトに誘導され
調べたら　ここに辿り着きました

どうしお　
477 ：名無しさん＠お腹いっぱい。：2008/08/21(木) 06:52:15: ３つめのドメインはアダルトサイトに誘導されるようだ
最初の２つは単に感染させるだけ
そのうち本格的な破壊をするようになるのかな
478 ：名無しさん＠お腹いっぱい。：2008/08/22(金) 06:04:04: 興味本位でクリックしない事が対策の基本
479 ：名無しさん＠お腹いっぱい。：2008/08/29(金) 08:30:58: MSNから注意喚起が出てますね。
スピムと言うそうで。

ttp://messenger.live.jp/spim/index.htm
480 ：名無しさん＠お腹いっぱい。：2008/09/09(火) 01:13:37: いきなり仲間入りを求めてきて、入れた瞬間会話開いて英文で
「～～にアクセスして欲しい」
「貴女はこの窓を開いたから通信料を払わないと駄目」

とかいうのが最近あるんだけど、一体何？
481 ：名無しさん＠お腹いっぱい。：2008/09/09(火) 01:21:02: 何という以前に、安易に招き入れない方が良いのでは・・・
482 ：名無しさん＠お腹いっぱい。：2008/09/09(火) 21:23:29: それは分かってるよ。
でもスパムよりこれの方が多いから、なぜ全然問題にならないのかな？
と思ったんです。
483 ：名無しさん＠お腹いっぱい。：2008/09/09(火) 21:45:22: 何を基準に多いと言っているのか分かりませんが
少なくとも私や周囲にはそういった話は皆無ですよ
484 ：名無しさん＠お腹いっぱい。：2008/10/18(土) 14:05:43: >>480
http://messenger.live.jp/spim/index.htm
485 ：名無しさん＠お腹いっぱい。：2008/10/18(土) 14:07:17: 484は誤爆ｽ
486 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:36:58: foto　というコメント共に怪しげなアドレスと受信者のメアドを乗せたウイルスが爆発感染中
487 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:40:50: ファイル名は
IMG455.jpg-www.photo.com
488 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:43:09: http://pc11.2ch.net/test/read.cgi/win/1224427238/678-

これか
489 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:43:37: Windows Live Messenger Part 5
http://pc11.2ch.net/test/read.cgi/win/1224427238/l50

俺も感染した。今身内で爆発的に感染してる
490 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:45:45: アンチウイルス入れてる奴は、ちゃんと検体送ってくれよ
491 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:50:03: 感染した場合の対処法がわかんねー。
けっこう動作重くなるな
492 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:51:56: とりあえず感染した人はメッセを落とすこと。
上がっている限り、同じ相手にでも何度も送り続けるから。
493 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:54:06: どうしようどうしようと焦ってオンラインのままでは
その間に知り合いに次々感染させて迷惑だからね
494 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:55:07: メッセに感染したことをメッセで伝えようとしたらリアルタイムで送りやがるから携帯かメールで教えるしかないな・・・
後mixiとか
495 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 02:56:09: メッセの表示名に警告を載せてからサインアウトする手はある
496 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 03:00:00: foto
ttp://xxx.myspacy.biz/xxxxxxxxx.php?=xxxxxx@hotmail.com

こんな具合のURLがメッセンジャーで誰かから送られてきていませんか？
これはウィルスに感染するサイトのURLです！！

・ウィルス名
IRCBot.AKX　トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。

・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ　他の大手メッセンジャーツール

・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。

・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。

１、http://canon-its.jp/product/eset/trial_ess.html
NOD32アンチウィルス体験版をダウンロード（要メールアドレス）
２、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
３、既存のウィルス対策ソフトをアンインストール
４、NOD32アンチウィルスをインストール
５、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
６、パソコンをインターネットに接続されている状態にし、NOD３２アンチウィルスのウィルス定義ファイルを最新の状態にする
７、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
８、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了
497 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 03:01:40: とりあえずもっと簡単な方法のコピペはっとく

foto
ttp://xxx.myspacy.biz/xxxxxxxxx.php?=xxxxxx@hotmail.com

こんな具合のURLがメッセンジャーで誰かから送られてきていませんか？
これはウィルスに感染するサイトのURLです！！

・ウィルス名
IRCBot.AKX　トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。

・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ　他の大手メッセンジャーツール

・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。

・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。

１、http://canon-its.jp/product/eset/trial_ess.html
NOD32アンチウィルス体験版をダウンロード（要メールアドレス）
２、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
３、既存のウィルス対策ソフトをアンインストール
４、NOD32アンチウィルスをインストール
５、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
６、パソコンをインターネットに接続されている状態にし、NOD３２アンチウィルスのウィルス定義ファイルを最新の状態にする
７、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
８、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了
498 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 04:44:19: 見事に感染 orz

対策かいてくれてる方ありがとう、489見る限り、497で大丈夫そうかな

明日やってみます、ありがとうございました
499 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 05:21:18: うわ・・・なんてこったい。感染してしもた。
対策書いてくれている人がいらっしゃるみたいなんで、すぐに実行します。
500 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 05:24:15: 現在日本国内で大規模に感染爆発している模様
要注意
501 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 05:32:18: 特徴としては感染している人のところにはメッセージがこないで、
感染していない人にはメッセージが来るところ

メッセージきたけど、もう来なくなったって人は要注意
感染してる可能性あり
502 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 05:49:10: 多分このウィルスのおかげでwindowsの自動更新が無効になった。
有効にしようとしても無理なんだけど、これはレジストリ書き換えられたのかな？
レジストリ触るの怖いんだが、どうしよう…
503 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 05:52:44: レジストリでなく、とあるランダムな文字列.dllファイルがSystem32フォルダの中に仕込まれたのが原因
Windows Live Messenger Part 5
http://pc11.2ch.net/test/read.cgi/win/1224427238/
こっちでいろいろやってる人がいるよ
504 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 05:54:23: >>503
了解です。
すばやい対応助かります。ありがとう
505 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 08:47:28: もしかしてリンク先のexeファイル実行でなく
ページを開いただけで感染ですか？
だとしたらたちが悪い…
506 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 10:23:45: なんだよ。これ騒いでる奴らって、みずから怪しいURL踏んでるんじゃんｗ
ほんとにセキュ板の住人かよｗ自業自得じゃないか。
こんなのに引っかかってるような奴らは、普段からワンクリサイトとか踏んでるんじゃないのか？
507 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 10:33:41: セキュ板の住人だからこそ、一般人より先に踏んで初心者の為に対処法を探さなくてはいけないのだ。
508 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 14:47:59: そのおかげで俺も対処ができた。
セキュ版の住人の皆には感謝している。ありがとう。
509 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 15:05:00: >>505
exeファイル実行で感染
510 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 15:32:01: 何度も言うが、exeでなくcomファイルだ

ファイル名がimgなんたらwww.photo.comとなっているから騙されてるんだろうが
511 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 15:35:16: 一応ソフトで隔離したけどシステム構成ユーティリティにfxstaller.exeがまだ残ってるんだがなんでだ
512 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 15:47:19: レジストリエントリに残ってるからだろ
513 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 15:53:52: >511
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Windows Udp Control Center　データ名：fxstaller.exe
514 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 16:04:47: ごめ。残ってました。レスサンクスです。
515 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 16:44:51: 検知率トップのAntiVirとかG DATAあたりは対応してるのと違うか？
おれは、仮想化化させて実行させてみたが、仮想上とはいえ感染したやつには
同情するわ。
おれは仮想化解除できれいさっぱり感染なくなったけど。
516 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 16:53:30: ふむ
517 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 16:57:15: 検出率トップだからなんとかっていうのはあまり当てにならんよ
実際、今回の場合はWindows Live OneCareが対応速かった“らしい”からね
518 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 17:36:01: これって保存したらまずいの？
それとも、クリックするだけでもまずいの？
519 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 17:38:38: >>518
実行したら
520 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 18:02:06: 結局25日0:00以後配布活動始めたのかな？
2時からの書き込みが多いけど
521 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 18:15:40: 迷惑なサンタクロースだぜ
522 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 18:22:18: Windowsが通常起動できんくなってしまったんだが・・・これはウイルスのせい？それとも故障？
523 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 18:46:01: ここのおかげで対処法がわかりました
ありがとう
524 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 20:33:25: のーがーど戦法の俺に死角はなかった
525 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 20:36:42: かみんぐつーん
526 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 20:39:30: つんつくつん？
527 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 20:56:32: でーもそのサンタはーハッカー
528 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 21:18:26: くそっ
とんだクリスマスだぜ。

対策書いてくれた人サンクス。
529 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 22:31:47: マカフィーも削除しましたってトロイの木馬ポップアップ出るけど
すぐそれの繰り返しで何の役にも立ってない
530 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 22:44:11: 開かないでダウンロードだけしてしまったんだが感染してるんだろうか・・・・
レジとラスクマネージャーみたけどそれらしきものはないし・・・・
ＤＬしたファイルは消したが・・・・だめーぽ？
531 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 22:49:52: 感染していたらメッセの登録してある人にURL窓がどんどん行くから聞いてみればいい
開かないようにも注意勧告もな
532 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 22:51:50: >>531

知り合いに聞いたらきてないそうです。
別ＰＣも４台立ち上げましたがメッセージこないので大丈夫かと思います

情報ありがとうございます
533 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 22:59:04: >>496-497
VirusTotal検出結果 14/39 (35.9%)
http://www.virustotal.com/reanalisis.html?46a50edf24ed6e128dbe6db2d8b8a351

AntiVir：Worm/Rbot.100352.2
AVG：Dropper.Generic.AEWD
Kaspersky：Trojan.Win32.Agent.azob
McAfee+Artemis：Generic!Artemis
Microsoft：VirTool:Win32/CeeInject.gen!J
NOD32：Win32/IRCBot.AKX

すりぬけるソキュリティソフト：Avast・McAfee・Symantec・TrendMicro
534 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:09:04: NOD32アンチウィルス体験版ダウンロードできねー
みんな落としてんのかね
535 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:09:58: 深夜まで待って落とすと良いよ
536 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:13:22: 検出結果のアドレスまちがえた。

結果: 14/39 (35.90%)
http://www.virustotal.com/jp/analisis/7ec5fbcb09eb16190b80738b7110ede9

>>534
下記の製品でも検出と除去できますよ

無料：AntiVir・AVG
有料：Kaspersky・NOD32・（McAfee+Artemis/McAfee単体はだめ）
537 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:15:12: >>536
その製品でも除去の方法は>>497と一緒ですか？
538 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:15:50: ちなみにOne careでも駆除できた
539 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:17:26: >>534
https://www.ecstudio.jp/ssl/nod32/pre_trial.html
こっちならどうだ？中身たぶんCANONのと一緒だとおもうが
540 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:19:50: >>539
ダウンロードできた。ありがとう
541 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:21:06: 知り合いが引っかかって送られてきたのでちといろいろ調べてみた

ダウンロードした状態では自己解凍ファイル
中にはimgs.exe

EXEファイルの後ろには暗号化した形跡のあるファイル

これで復元出来るのかな？
uREbcXCSgbWrVCVSeSfWErvVdsfERtv CurrentUser Console FullScreen sample

てことはimgs.exeがランダム文字.dllなどを生成しているんだろう
542 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:27:52: インスコしたはいいがどうやってNOD32を起動させるかわからない
543 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:39:00: >>537
大体同じ適当にやっとけ。

但し、感染状態で、インストールが蹴られるセキュリティソフトもあるかもしれん。
感染してから除去できるソフトを探して入れる場合は、複数のベンダーの奴を
入手してダメなら他のを試すといいかも。

Dr.Webが対応してたら、LiveCD使えるんで感染状態でもどうにかなるんだけど、
今回のは対応してないからなぁ。

>>542
ちょｗｗｗおまｗｗｗ
544 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:40:20: >>541
[ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.

[ Changes to registry ]
* Accesses Registry key "HKLM\System\CurrentControlSet\Control\Session Manager".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Accesses Registry key "HKCU\Console".
* Accesses Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "wextract_cleanup0" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".

[ Process/window information ]
* Creates process "imgs.exe".

[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe (52786 bytes) : no signature detection.
545 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:42:32: >>542
いやいやマジで
再起動してどうすんのよ
546 ：名無しさん＠お腹いっぱい。：2008/12/25(木) 23:49:06: >>545
それはねーよｗｗｗｗｗｗｗｗｗ
初心者ってレベルじゃねーぞｗｗ
普通に起動しろ
547 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:02:48: 起動できた
何をやっていたんだ俺は
548 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:12:39: 検体をとりあえずシマンテックに送っておいたお
明日には対応くるお
549 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:17:36: やられた・・・ッ・・・スパイボットが止めてくれたのに・・・開くなよ俺ッ・・・
とりあえず対策どおりに対策とるかのう
550 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:23:45: NOD32で駆除トロイが駆除できました
ってなったらおｋ？
551 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:24:58: ウィルスバスター有料版アンインスコしちまったんだよなぁ、どうしよう
552 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:25:10: うっかり開いた　orz
スキャンはスルーしたけどレジストリ書き換えは
拒否ってくれたんだろうかウチのバスターさんは……

めんどいから明日駆除しよう
553 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:33:57: これってURLクリックした時点でアウト？
554 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:40:40: まさかNODの陰謀じゃねーだろうなｗ

まぁ俺はAVGで駆除したが。

念のためNODでもやっとこうかな・・・無駄？
555 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:42:06: >>553
開くまではセフ
ファイルダウンロードするまではセフ
ファイル実行したらアウト

PC内をimgs.exeで検索して見つからなかったらセフ
556 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:42:10: URLだけならなんともない
ファイルを実行する感染
557 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:43:50: >>555
>>556
サンクス
558 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 00:50:27: 俺も一年以上メッセしてない人からいきなりメッセが来て、なんぞやと思いつつ
ファイルをダウンロード

でも拡張子がCOMとか正直「？」だったので実行はせず(多分）
ﾀｽｸﾏﾈｰｼﾞｬｰ見て、imgsやfxstallerのﾀｽｸは見当たらず

感染したらPCが重くなったりするのかね、よく分からん･･･
559 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:00:02: >>558
マカフィーユーザーだが、マカフィーがトロイの木馬を検出して削除しました
とポップアップが出た瞬間にメッセの会話ウィンドウやIEが勝手に閉じる。
メッセのほうは閉じたらもう開かない。
IEは定期的にでるトロイ削除メッセージとともに落ちる。
（実際は削除できていない）
nod32ダウンロードするのにブラウザ立ち上げるとダウンロードしきる前に
ブラウザ落ちるから結局さっきネカフェいって落としてきた。
560 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:03:15: ttp://nihonbuson.blog10.fc2.com/blog-entry-970.html
ttp://nihonbuson.blog10.fc2.com/blog-entry-971.html

ここのやり方じゃ駄目なのか？
561 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:05:43: >>560

それやっても、DLLが残ってダメなことがある。

今の俺の状態がそうだ・・orz
562 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:08:06: とりあえずバスター使って今検出中。
ウィルスバスター君じゃだめだったりする？
563 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:10:26: まあ、実際に感染して困ってるのはこっちだからな
ttp://www.virustotal.com/analisis/7bd3b0d7330a2e492425965526e67d44
564 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:10:29: 全然駄目
565 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:11:19: 間違えてダウンロードしてしまって感染したか気になってるんだが
よくみるとデスクトップに見慣れないＩＭＧ[1].jpg...ってあって
これ実行したらアウトで実行せずに削除すればセーフって事か？
566 ：497：2008/12/26(金) 01:12:08: すまそん497書いた者です
書いている時点では自分で使っているESET Smart Securityが反応してすぐに隔離してくれた＆
感染した友人数名にこの方法を試してもらたっところうまくいったので作成しました。
この時点で対応していたウィルス対策で一番ファイル容量が小さくて高速に動作するものが
ESET（NOD32）だったのでNODを使った対処法をうｐした次第です
おそらくもじゅ一日経過しているので他のウィルス対策ソフトでもひっかかるようにはなっている
でしょうが、このたった１日でも対策が遅れたらどれくらい被害が拡大するかと考えると非常に
恐ろしいものがあります。
なのでこれを急ごしらえさせてもらった次第です。お役に立てたら何より。
567 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:13:43: >>565
俺もそれだわ
ブラウザは火狐使っててそれをDLして起動はしてない

>>559みたいな症状は出てないけど・・・・不安だなこれ
568 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:14:55: 自動更新が有効にならない・・・
NOD32でスキャンかけて再起したあとは有効に出来るのに
一回、スタンバイすると、また無効になるし。スタンバイしてるのに勝手に起動するし
もうわけわかんね
誰か教えてくれ
569 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:15:45: 俺もＤＬはしたけど実行はしてないな
実行しなければ大丈夫とは言っても不安ＭＡＸ
570 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:17:40: 再起動すると自動更新有効にできるが、しばらくするとまたできなくなるな・・・
どっかから監視してて時間ごとになんかやってんのか・・・ってavastが変なメッセージ吐いてきたな。
ちょっとやべぇぜ
571 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:19:06: >>570
俺も同じ状況・・・
駆除はできたっぽいんだけどねぇ
572 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:31:36: >>570 571
ファイル名　　　　　　　　　フォルダ名　　　　　　　　　　　　　　　　　　　　　　　　　　　　　サイズ　　　種類　
imgs.exe　　　　　　　　　C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP000.TMP　　　52KB　　　アプリケーション
imgs.exe　　　　　　　　　C:\Documents and Settings\ユーザー名\Local Settings\Temp\IXP001.TMP　　　52KB　　　アプリケーション
IMGS.EXE-27984726.pf　　　C:\WINDOWS\Prefetch 30KB　　　PFファイル
IMGS.EXE-36EA1AEB.pf 　　C:\WINDOWS\Prefetch 　　　　　　　　　　　　　　　　　　　　　　　　　14KB PFファイル

NOD32で駆除したがdllが復活し続けたので探したら上記のが残ってた
削除したらdll増えなくなり今のところ自動更新も機能してる
573 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:32:33: Avira AntiVir Personal Free ntiVirus
でのスキャン中にWarnings: 1 と出た。

つまり…？
574 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:33:17: ｽﾏｿsage忘れあ
575 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:36:12: フリートライアルいんすこできねええええええ
576 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:40:23: これって今夜急に広がりだしたの？
577 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:40:38: >>572
下２種類のは検索で出てきたんだが「imgs.exe」自体が見当たらないんだよねぇ・・・
578 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:41:26: うほ、クリスマスプレゼント！
な感じで広がったと思われ
579 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:45:47: 知人にNOD32を大量にばらまいてる俺ｗ
580 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:47:52: 板違いかもしれないけど分かる人いたら教えてください
JaneでリンクふむとIEでページ出てくるんですけど
Firefoxで出すように設定ってどうすればいいですか？
581 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:50:17: >>577
駆除でimgs.exeが隔離された可能性があるか
imgs.exeが隠しフォルダ内にあるので検索されてない可能性があるかも
下2つは削除しておｋだと思う
582 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:51:11: やべえええ今気付いた
さっきから調子悪いなと思ってたらどうすればいいんだ
583 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:52:13: imgs.exe出てこないからNOD32でやるしかないなぁ
584 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:52:58: 何人かの知り合いからこれ送られてきたがひらかなくてよかったｗｗ
585 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:53:52: >>570
同時に複数のセキュリティソフト入れるなよ…。

>>568
メモリ上や他のどこかに居残ってるんだろ。

わけわかんなくなった奴らは素直にOS入れ直せよ。
586 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:54:37: >>582
とりあえずメッセンジャー停止して497辺りから見るといい
587 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:54:39: >>580
既定をFxに設定してみれば？
588 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:57:37: セキュリティソフト全部アンインスコして>>497の方法でやったら治った。
自動更新も有効になってる。再起動したがそのままだ。
589 ：580：2008/12/26(金) 01:57:45: どうやらググり方が悪かったようだ
再度ググったら解決方法出てきた
レスくれた>>587ありがとう、板汚しすまんこ

テスト
http://www.google.co.jp/
590 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:58:27: >>586
ありがとう
やってみる
591 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 01:59:51: >>588
把握

こいつに３時間くらい時間取られてる･･･
592 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:07:57: うぬぁ！
NOD32で駆除完了したと思ったが、One　Careかけたらトロイ３種検出された
自動更新も無事にできるようになった・・・

NOD32は最新にしたのに・・反応しないとはどういうこっちゃ！
593 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:13:07: >>592
それはしょうがない
簡単な例で言うとSpybotの後にカスペ使うとゾロゾロ発見されるし
カスペの後にSpybot使ってもゾロゾロ発見される。
検索のパターンファイルがソフトによるからね。
594 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:14:13: >>593
なるほどなるほど、一概にこれは優秀だ！って言えないのね
595 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:21:16: >>592-594
まて
ってことは>>497やっても安全じゃないってことか？
596 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:24:34: そりゃそうだ。こいつ、トロイダウンローダーでもあるから、他のトロイを落として実行してるよ
597 ：592 594：2008/12/26(金) 02:24:57: >>595
俺は>>497のとおりやって１個駆除できた
だが、自動更新が何度やっても有効にされないからOne Careを使ったんだ（時間が経つと無効になる）
そしたら３種のトロイが出てきて削除→自動更新有効になった（時間経っても無効にならなくなった）

やっと平穏が訪れたってとこかな
598 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:25:01: 今回の件に関してはNOD32が良かったってことっしょ
599 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:25:15: 取りあえずメッセ起動して人に迷惑かかってなけりゃおｋ

どうしても心配ならOS入れ直して再出発だ

簡単だろ？
600 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:28:24: スタンバイから勝手に復帰した件について
601 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:29:30: ちょっと時間がアレなんでLANケーブル引っこ抜いて明日まで保留とかでも問題ないかな・・・？
今から駆除すると時間かかりそうだ
602 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:33:44: >>598
これ重要だよな

ただ、価格.com事件の時もこいつだけできたってところを見ると惚れちゃうよね
603 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:39:19: NOD32スキャン長い･･･　朝までかかるかな
604 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:39:28: 勝手にdll作られてる
Onecare試してるが応答しねぇ
605 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:40:11: >>597
なるほど
ってことで>>497しか試してない俺が自動更新有効できるか試した結果
できませんでした(´・ω・`)
606 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:43:12: トロイの種類によるんじゃないか？
NOD32が良かったり、Onecareが良かったり、手動削除が良かったり。
607 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:45:22: 1分に1個の割合でトロイが検出される。。。
608 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 02:57:06: てかさぁ、ノートンとか使っている人は一旦アンインストールする必要あるの？
対応済みのNOD32やAVGを落として、いったん現在使用中のを切って、対応済みのをｲﾝｽｺして、駆除。その後、フリーのは切って今までのを再開させる。
みたいな方法じゃダメなのかね？
609 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:01:12: NOD32スキャン長すぎる(´･ω･`)
610 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:02:25: >>497だけ試したやつだけど、ＩＥ定期的に出てくるやつなおんねぇ
611 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:03:21: >>610
インターネットオプション→プライバシー→インターネットゾーンを中以上に
612 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:07:39: >>611
㌧
後は自動更新有効にできるようになんだけど、avastでいけるかな・・
613 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:15:53: 感染後スパイボットかけて再起動したらPCがご臨終した
invalid system diskが出て回復コンソールでMBRとBOOT直しても起動不可
HDD変えても無駄
どうやら電源投入直後に強制的にFDD読みに行くみたいで
何も入ってないFDDがLED点滅させながらギコギコ動く
614 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:18:03: それは、違うだろうｗ
615 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:21:25: これって
オンラインの人のみに届くの？
616 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:23:10: 違わん
メッセンジャーのfoto～で感染してなった
諦めて再セットアップしたが無駄だった
同じ症状で起動しない
617 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:24:57: >>608
検体提出はしたけど、ノートンは対応遅いから対応待ちしててもだめだよ。

NOD32も検出はするけど、実際に入ってる状態でインストールするとNOD32の動作自体が
阻害されちゃうので役立たずってパターンだね。よくあることだけどつかえねー。

別パーティションのOSとか別PCに入れて、感染HDDをスキャンして除去するならいいんだろうけど。

>>598
ダウト。NOD32でダウンローダは消せても、消すまでの間に落とされた別の奴がすり抜けてるので
>597みたいな不具合再発の事例が出る。

ぶっちゃけ、NOD32は軽さ以外のメリットないよ。今回は引っ掛かったけど、新種の殆どはスルーだし
（ヒューリスティックもあまり強力じゃない…その分動作が軽いが）新種への対応も遅い。

カスペやAntiVirが数時間で新種に対応してくるのに対して下手すると３週間かかるとかなめてんのかと。
新種に対してはシマンテック並に弱いので、NOD32はあんまり信じちゃいけない。
618 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:33:59: >>602
価格.comの時は(NODみたいなヒューリスティックではなく)
「以前からすでに対応済みの対策ソフトがありました」
と価格.com自身で後から訂正してる
それがカスペルスキーな
619 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:34:34: system32にどうやっても消せないdllがあるんだよなぁ
これが気になる
620 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:35:41: NODでスキャンして２つ見つけたけど、有効化できなかったからOneCareを使ってみる
621 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:36:12: >>619
jkKなんたら？
622 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:38:07: 海外でもパニックでこちらはOneCareを推奨してる
623 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:40:37: >>621
7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
624 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:42:35: big kisses ってのが送られてきたことがある。
流行ってるんだね。
625 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:51:32: OneCareフルスキャンでいいのかな
626 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:55:04: >>625
それがいい。
627 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 03:58:47: >>626
把握
７分で0%とか･･･、こりゃ寝てたほうがいいな･･･
628 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:09:04: すいません　どうやら感染したようです
LANだけ抜いてノーパソで対策を探していたところここに流れ着きました。

ttp://canon-its.jp/product/eset/trial_ess.html
で体験版をダウンロードして
ESET　Smart　Securityというのコンピュータの検査というのを実行しています
ですが９０％で脅威の数０なのですが
これはみなさんが言っているNOD３２とは違うのでしょうか？
629 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:11:04: 上のものです
すいません文脈おかしいですね
ESET　Smart Security　というのの　コンピュータの検査　というのを実行しています
630 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:12:56: ↑にもあるけど経過報告
24日時点のウィスルバスターはどスルー＾＾；
NOD32（25日配布のウィルス定義）で少し軽くなり、セキュリティ無効⇒有効に切り替わった
ただ別サイトに飛んだり、PC消す際にexeplorer.exeが終了しない現象は残る
なのでいまOneCareをかけてるけど８％で３個も検出されてるｗｗｗ
完全に直ったらまた書く
631 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:13:21: 100％になるまで待つべし。
特定のファイルが感染してるわけなので、まだ見つかってないんだろう。
632 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:15:08: >>629
630だけどそれがNOD32ってのはおｋ
けどそれだけじゃ直らない
633 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:15:27: とりあえず最善はOne Careかね
634 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:15:42: がんがん悪化していくな
初期での措置が遅れた友人パソが沈黙しちまった
635 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:16:46: リアルタイムで感染してるのかワロタｗ
636 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:17:07: お、Avast対応されたらしいな

クソが、消してNOD32入れたばっかだっつーの！
637 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:22:06: >>632　さん
>>629　です
ありがとうございます

One Careは
ttp://onecare.live.com/standard/ja-jp/default.htm?mkt=ja-jp
の体験版でいいですか？
Avastも対応されたようで
Onw Care
638 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:23:00: きれちゃいました　
NOD３２がおわったらOnw Careもやったほうがいいですよね？
639 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:23:50: >>637
体験版じゃなくてＰＣセーフティーってのをやりな。
よほど緊急でない限り体験版はつかわんよ。
ＰＣセーフティがおわったら無料のＡＶＧとかＡvastとかいれておけばおｋ。
640 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:30:19: >>637
ttp://onecare.live.com/site/ja-jp/center/howsafe.htm
ここのプロテクトスキャンってのに今かけてる
体験版もあったんだ？
基本的にPC詳しくないからオンラインスキャンとDLしてスキャンするのの何が違うのかいまいちわかってない＾＾；
俺自身これでいいのかな？
641 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:30:25: >>639　さん
ありがとうございます
NOD32が99％なんで
終わったらOnw careの方やって
無料のやつ入れてみます

こんな夜遅くでもこんないい人たちがいてくれて助かった…

ありがとうございますー
642 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:33:15: FireｆoxにIE Tabいれて、ｆirefoxからOneCareオンラインスキャン
って便利だなぁｗ
643 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:40:10: 自分のPCはOS再インスコなりでいいけど、
メッセ友に悪い事しちゃったなって罪悪感でいっぱいだぜ・・・
644 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:41:45: NOD32インストールしようとしても
ネットワーク上の場所　ESET\ESET NOD32 Antivirus　へアクセスできません
と出てインストールができない・・・orz
どなたか助けていただけませんか、OSはXPです。
645 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:43:44: >>637　です
結局NOD32での検出は0でした
その前にタスクマネージャのプロセスでf～ってファイルを消したのが原因でしょうかね・・？

今One Careの方やってるんですが1％で5個の項目で2個の問題が検出されました
長引きそうなのでこちらは放置して寝ます…。
ありがとうございました
646 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:44:57: >>644
スレの流れ通り
NODやめてOneCare使えば？
647 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:45:54: >>646
すいません、来てすぐ書き込んだのでまったくスレ読んでませんでした
OneCare使うことにします！ありがとうございました
648 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:52:59: >>645
念のためimgs.exeも検索しといたら？

感染した友達がＰＣつかなくなったらしい
対処ソフトＤＬしようとしたら動く気配なく焦ってキャンセルおしたら
今度はキャンセルしてもだめで電源強制で落としちゃったみたい
何度起動させても画面真っ暗だとさ

これはもう手遅れ・・か？
649 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 04:59:28: >>648
俺の友達も感染して強制終了かかって
電源入れてもつかないらしい

俺がかかった時も
MSNメッセンジャーで１分おきくらいに
次々と新しいウイルスが送り込まれてきたから・・・
パターンを変化させて増えていくのかな？
650 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:01:28: >>648 さん
>>645 です
imgs.exe　の検索とはマイコンピュータを開いた時の
上のバーでの検索でいいのですか？
651 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:04:49: 深刻だな
気付いてない人かなり居そう
652 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:11:47: >>650
>>648です
上のバーの検索でもいいし、スタートメニューの検索でもおｋです
653 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:14:34: >>652　さん
>>650　です
了解しました
検索かけてみます

発見したら消去でいいんですか？

>>651　さん
結構深刻ですよね…
わずか１日でここまでの被害…。
そしてMSNもSkypも常時ログインの人もいるだろうから
今後どうなるか…。
考えるだけでも恐ろしいです
654 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:21:32: >>652さん
特にimgs.exeはなかったようです

なんと！　終わったはずのESET　Smart　Securityから
右下に注意？報告？がでました

「プログラムの作動中にウイルスを発見しました。
ファイル命　((C/Windows/fll)すいません覚えてません…こんな感じでした）
トロイの木馬　隔離しました。」

だそうです
655 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:26:50: お祭り気分のとこに知り合いからURLきたら深く考えずにクリックしてしまうわ・・
まあ俺は保存して実行しなかったからセーフだったけど
次からは気をつけるし大丈夫だなｷﾘｯ
656 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:43:58: ＸＰ/ＳＰ２以前のＰＣの人はOneCare使えないという盲点
657 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:44:12: 送信するURLにも何種類かあるみたいだな
とりあえず確認できたのは下の３つ
foto http://myspacy.biz/viewimage.php?=(メルアド)←俺が踏んだのはこれ。自動実行？
foto http://www.myspacy.biz/viewimage.php?=(メルアド)
foto http://hi5.eu.com/id.php?=(メルアド)
658 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:44:49: そして元日早々年賀ファイルにひっかかる655であった
659 ：639：2008/12/26(金) 05:45:02: 検体上げられる人がいたら
【鑑定目的禁止】検出可否報告スレ8
http://pc11.2ch.net/test/read.cgi/sec/1228314831/

にあげといてくれないかな。
660 ：639：2008/12/26(金) 05:47:56: >>657
おｋ
検体スレにもうでてるわ。
ちなみにＡＶＧは対応している。
661 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:48:27: 俺もサンタさんから最凶のクリスマスプレゼントをもらったんだぜ…

とりあえず、過去レスみてＮＯＤ３２で検査して、imgs.exeとviewimage.com（だっけな？）
を駆除したんだが、これで大丈夫なんだろうか？何か埋もれていたりして・・・

今のところ、Liveメッセは自動で開かないようにしてるが、他に気をつけるところあるかな？
少々不安だぜ…。目立って不具合らしき不具合が出なかったのがよかったかな。。
662 ：661：2008/12/26(金) 05:51:18: ちなみにOSはVistaです。念のため、OneCareもやっといた方がいいでしょうか？
663 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:52:55: >>660
avastも対応したっぽい？
664 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 05:56:32: >>659
ノートンとマカフィーはおｋ。
今スキャンしたところの結果。
http://www.virustotal.com/jp/analisis/52a259bfc97ca8188b3a0552e7fd6baa

大体の大手は問題ない、ウイルスバスター使っている人は乙としかいえないが……
665 ：639：2008/12/26(金) 05:56:51: >>663
>>636だそうだ。
おれはＡＶＧだけしかわからん。
666 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 06:04:15: 素通りバスターやその他はアンインストールするより先に
オンラインスキャン版OneCare走らせたほうがいいな
667 ：639：2008/12/26(金) 06:07:09: >>664
乙です
668 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 06:07:10: 前使ったことあったけどブラクラメールがふつうに送れることに気づいて速攻消した
669 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 06:09:26: 昨日の夜中に友達から謎のメッセージを受け取り、
そこに添付されたURLをクリックしたんだけど
しばらく経ってからPCの調子が明らかにおかしくなっていった。
特に他のページに移動する時なんか読み込みが遅くなってたから
「これは何かあるな…」と思って調べるとウィルスだったというね…

ググって色んなサイト見てNOD32っていうのをインストールして
今に至るんだけど、検査するのにエラい時間かかるなぁ。
朝6時の時点で65％だから下手すればあと2時間は要するかな？
途中で中断させても大丈夫なら電源切りたいぜ。

ちなみに5つの脅威が検出された模様。
トロイの木馬は2つほど検出されたみたいです。
670 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 06:14:06: つかこれ添付ファイルを開く仕組みに脆弱性があるわけでなしに
ユーザに欠陥があるんじゃ
671 ：名無し~3.EXE：2008/12/26(金) 06:14:18: 実践したのこっちにも、参考になるかわからんけど書いてみる
マカフィー入ってたけど、リンク踏んでスルーで感染した
その後ほぼ5分おきにトロイの削除祭り…
スキャンしてもなんも出ない。

fxstaller.exeってのがスタートに登録される→されない場合もあり
レジストリを起動してスタートアップ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center：fxstaller.exeを削除
その後ＯＳをインストールしているドライブで
fxstaller.exeを検索(隠しファイルを表示にチェック)
とりあえず削除

次、imgs.exeの削除。
タスクマネージャーのプロセスにあるっていうけど無かった
でもファイル検索で発見して削除
この二つ絶対あるっぽい→これでマカフィーの削除祭り止まった。

書いてあったNOD32のアンチウィルス体験版使ってみたけど㍉
Win32/IRCBot.AKXｔを２つ削除して終了
その後OneCareオンラインスキャン今かけてるけどザクザク出てくる。

OneCare終われば大丈夫とは言えないけど、マカフィーよりまし
マカフィーはスキャンしても相変わらず「中には誰も居ませんよ？」と
ふざけたことしか言いやがらない…　使えん。

バスターとかノートン先生の方はよくわからん。
あと、カスペはだめだった。スキャン済み；；
672 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 06:16:23: クリスマスの誘惑って奴よ・・・
みんな寂しかったんだよ
673 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 06:23:50: http://thiz.ultracoool.com
自分の所にはコレがきたんだが同じ種類かな。
674 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 06:26:15: Windows Udp Control Center：fxstaller.exeがどうしても見つかりません
675 ：名無し~3.EXE：2008/12/26(金) 06:34:47: >>674
まさかとは思うけど一応。

Windowsのスタートメニューから「ファイル名を指定して実行」をクリックして
regedit入力しOKボタン。

HKEY_LOCAL_MACHINEって書いてあるフォルダ探す→開く
SOFTWAREってフォルダ探す→開く
その繰り返しでRunまで辿り着いたら、開いてるところにあるはず。
名前とデータをよく見るんだよ？
676 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 06:41:13: その方法だと出てこなかったので、fxstaller.exeで検索してみたら出て来たので削除しました
677 ：名無し~3.EXE：2008/12/26(金) 06:49:33: >>676
削除できたなら良かったっすね。

つか、OneCareスキャンで出てきても、ファイル消しきれないとか
見たんだけど、もうこれどうすりゃいいの？
と、OneCareスキャン中で問題見つかってる最中で呟いてみる
678 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 07:07:40: そもそもインストールすらできないぞ
679 ：名無し~3.EXE：2008/12/26(金) 07:55:13: 全部削除できた。もう今日は寝る・・・
680 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 08:22:34: ノートン対策きた？
681 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 08:27:06: >>679
おつかれ　つ旦~
俺も終わって有効化できた。一応avast入れなおしてフルスキャン中。
682 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 09:07:30: 一応AVGでフルスキャン終わったとこなんだが

RunDLL
C:\Windows\System32\vtUlIyVn.dll を読み込み中にエラーが発生しました。
指定されたモジュールが見つかりません。

とか出るんだが、なんなんだこれ
683 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 09:28:12: 警戒用コピペ

※ウィルス※ Windows Live Messenger で感染!?
http://pc11.2ch.net/test/read.cgi/sec/1185780001/

<危険>　foto http:// ～
<危険>　
<危険>　Instant Messenger ソフトで、IMG455.jpg-www.photo.com トロイの木馬祭開催中
<危険>　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
<注意>　　　　　　　　　　　　　　　　　　[　　　　ファイル名　　　　　 ]
<注意>　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 [.com] ← MS-DOS用実行ファイルの拡張子
<危険>　
684 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 09:43:50: 寝たら検査終わってた。

Win32/IRCBot,AGPていうのが検出されて駆除されたみたいだけど
これでもうおkなのかな？
まだ何かやったほうが良い事ってあるんだろうか？
もうPC消したいけど…
685 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:05:58: 感染してるのは間違いなさそうなんだがAVGに引っかからなかったんだがｗｗｗｗ
686 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:11:07: >>684
うちの場合、NOD32でそれを駆除したけど
動作は軽くなったものの自動更新やらは有効にできないままなので
OneCareスキャンを試してるところ
687 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:13:59: 今回のウイルスは
まず.com拡張子の物（簡単にいうとインストーラの様なもの）を落とさせて
実行すると感染、fxstaller.exeをシステムドライブのどこかに展開や
レジストリの改変を行う
この時点でメッセンジャ等でオンラインの登録されているユーザにurlを送りつける

そしてこのexeがIEの移動挙動を誘発させたりバックドアとなり
バックドアにより、多数のトロイを仕込まれます

まずはLANケーブルを抜き
対応済みのセキュリティソフト類で完全スキャンが妥当だと思われます
これにより実行ファイルとトロイの駆除、そしてレジストリ（これは手動かも）の修正となります
なおトロイに関してはどれが入るかは
どのくらい入っているかは対処の早い遅い、常駐のセキュリティソフト
これによって変わってくると思いますので、まずはLANケーブルを抜いておくことが
自分にも他の人にも一番いい対処になります。

まだすべての会社が対応というわけにはいきませんので、完全な駆除ができるとわかるまでは
熟練者以外はOSの入れ直すことがベストだとおもいます
688 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:22:20: 再起動したらOnecareでトロイが検出された・・・
689 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:32:16: >>657
落ちてくるファイル自体は同じものだな。

踏む前だとNOD32でブロックできるが、踏んだ後だと、NOD32の起動が阻害されるんだろ。
起動を阻害する対象になってないマイナーなセキュリティソフトで、なおかつ、パターンが対応してる奴を
選んで使えばいいじゃん。

OneCareが大丈夫なんだろ。個人的にはAntiVirがお勧めなんだが、踏んだ後に入れても大丈夫かどうかだな。

しかし、非常に珍しいことに、シマンテックの対応速いな。もう対応しやがった。
いつもなら３日かかっても速いほうだというのに。

http://www.virustotal.com/jp/analisis/e273db4dbbaf759b7874d1e5acf517f9
a-squared 4.0.0.73 2008.12.26 Riskware.Win32.CeeInject!IK
AntiVir 7.9.0.45 2008.12.25 Worm/Rbot.100352.2
Avast 4.8.1281.0 2008.12.25 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.25 Dropper.Generic.AEWD
BitDefender 7.2 2008.12.26 MemScan:Backdoor.RBot.YBJ
ClamAV 0.94.1 2008.12.26 Trojan.Rbot-56
GData 19 2008.12.26 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.26 VirTool.Win32.CeeInject
Kaspersky 7.0.0.125 2008.12.26 Trojan.Win32.Agent.azob
McAfee+Artemis 5474 2008.12.24 Generic!Artemis
Microsoft 1.4205 2008.12.26 VirTool:Win32/CeeInject.gen!J
NOD32 3717 2008.12.25 Win32/IRCBot.AKX
Prevx1 V2 2008.12.26 Malicious Software
SecureWeb-Gateway 6.7.6 2008.12.25 Worm.Rbot.100352.2
Sophos 4.37.0 2008.12.25 Troj/IRCBot-ZD
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
Symantec 10 2008.12.26 Trojan.Dropper
690 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:34:37: 知り合いが感染して
ttp://nihonbuson.blog10.fc2.com/blog-entry-970.html
ttp://nihonbuson.blog10.fc2.com/blog-entry-971.htm
を試して駆除できたらしいんだけど

フリーズしまくりでなにもできなくなったらしい
他にもそういう症状の方はおりますか？？
691 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:35:53: >>689
2009になってからPulse Updateと相まって、対応を早くするとか何とか。
692 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:39:42: >>673
危険アドレスではあるけど別物じゃないかな？
693 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:40:58: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center：fxstaller.exe
これを消してOneCareでフルスキャンしウイルスを削除したところPCの方も安定し、
メッセンジャーでのURL送信もなくなりました
ですが、レジストリで検索したところ000 fxstaller.exeというのが残っていました
これは放置でよろしいのでしょうか・・・
694 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 10:52:05: 昨夜感染して、こことメッセスレ見て状態は何とか抜けた
今は自動更新もすべて有効。
ここの>>572に俺がメッセスレに書いてたファイルの書き込み（改行ミスが全く同じなので多分そうだと思う）
利用してもらえてるのみて、少しは役に立てたんだと嬉しかった。

ところで、念のためにOneCareやってみてるけど、１４％まで進んだら全く進まなくなった。
ノートン先生は先生で、今朝Trojan.Dropper ってのを検出して処理したって報告してきたから
多分まだどこかに潜ってるんだろうなとは思う。
695 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:01:16: ウィルスバスターはまだ対応してない？
696 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:07:09: OneCareやったけど除去できないとか言ってるんだけど…
697 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:18:05: OneCareで検出できるけど消せないファイルってどうしてる？
explorer.exeとかに一部のdllがロックされててどうにも消せない。
AVGとかも試してみたが何も検出してくれないんで、どうしていいやら。
698 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:19:06: unlockerでロック解除も試してみたが、当然ながらOSまきこんで落ちる。
699 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:23:04: >>693
ファイル名が変更されて隔離状態になっているので一応安心です
触らないように！
700 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:25:41: >>689
どうやら何種類かいるのかプログラムがいい加減なのかのどっちかだな
mixiを介して20人程がNODで対策してみたがみんな起動したよ
起動しない！と嘆く人は結局他のアンチウィルスがすでに入っていて
競合起こした場合だけだった
バイナリを調べてみたが阻害する因子はなかった
てことは亜種がすぐ出回ったってことかな・・・？
701 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:34:04: NOD32をインストールした後再起したのですが、デスクトップの画面でフリーズしてしまいました。
どうしたらいいでしょうか…？
702 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:35:01: >>682と同じ症状なんだがどうしたらいいんだこれ
削除は終わったが、起動するときのやつが残ったままってことかな
703 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:37:17: とりあえず参考意見程度だが……

レジストリで>>513を削除
imgs.exeを検索し削除
（spc.exeっていうのがC:\にあったからこれも削除、無い場合もあるかも）
OneCareでPCスキャン、explorer.exeとかトロイの木馬が検出されて隔離完了（？）

これをやっただけでも今のところPC安定、自動更新有効。
症状によって違うかもしれんがとりあえずお勧めする
704 ：703：2008/12/26(金) 11:37:58: ×explorer.exe
○fxstaller.exe

何を書いてんだ俺は……
705 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:38:24: レジストリのスタートアップエントリが残ってるとか？
706 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:41:24: ComboFix使えうんこ共
707 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 11:54:40: AntiVirでスキャンしたあと>>497の方法やったんだけど何も出なかった
大丈夫なのこれ
708 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 12:06:33: なんかPCｵﾜﾀっぽいから、仕事終わったら初期化して入れ直そ…
709 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 12:10:54: >>707
Onecareオンラインスキャンを試すんだ
710 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 12:46:11: 再起動したら
アカウントログイン画面がでて先に進めねぇ

セーフモードでなんとかなるかな？
711 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 12:57:49: 俺はカスペユーザーだが、ヒューリスティックで検出されず
結局定義ファイルが更新されるまで検出されんかった

昔カカクコムでNOD32がヒューリスティックで検出して有名になったが、
今回のこのウイルスをヒューリスティックで見つけられたものはなかったのか？
712 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 13:02:34 ?2BP(25): KIS2009使いだけど、
メッセで送られてきたIMG455.jpg-www.photo.comファイルってファイル実行しようとしたらアラート出たよ
ライセンス切れで11日から定義ファイル更新されてないのに・・・
713 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 13:04:03: ヒューリスティックかはわからんがOneCareが結構早めに対処できてたような
あとAntiVirとか
714 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 13:04:18: >>709
Onecareオンラインスキャンを３回まわしたが、駆除できないファイルがある
そして再起動後にスパイウェアを撒き散らすんだが・・・
レジストリも書き換えられるし・・・
もうね、、、
715 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 13:06:53: >>712
まじで？
俺は実行はしてないけど、カスペのスキャンの設定をヒューリ（ｒｙ最高まで上げて
手動スキャンしたけど何も無かったんだよなぁ
716 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 13:18:21 ?2BP(25): >>715
さっきやってみたけどヒューｒｙ有効+最高設定で手動スキャンは何も出ないね
実行して瀬戸際で止めてもらうしかアラートでないんじゃない？

スキャンしようとするとエクスプローラー止まるってのが怖いけど
717 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 13:26:02: >>716
わざわざ検証サンクスです！
そうか、ちゃんと寸前で止まるのか・・・。
となると普段ヒューリスティックをオンにしてる意味はあんまりないのかも？
いざというとき瀬戸際でちゃんととめてくれるのなら、ね。

ありがとうございましたっ
718 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:05:06: avastが162Gbを4時間かけてスキャンしてくれたぜ
特に目立った外傷はナシ
終わったーかなー？
719 ：682：2008/12/26(金) 14:10:21: >>513のが見あたらなくて、他の眺めてたら

MSServer rundll32.exe C:\Windows\System32\vtUlIyVn.dll,#1

ってのがあったからとりあえず勢いで消してみた、当然出なくなった
今のところ普通に使えてるから、まぁ大丈夫なんかな？
720 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:12:42: もう手遅れだろ・・
721 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:15:08: 遅レス失礼します。
>>686
うちのPCも検査終了後でも自動更新は無効のままだった。
PCの調子次第ではOneCareでもスキャンしといたほうが良いのかもね。

てか、ここの書き込み見る限りトロイの駆除自体は完了したけど
まだ完治したわけではない人が多いのかな？
友達とも情報交換しておこうかなぁ。
722 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:16:56: なんでOS入れ直すって選択を選ばないんだろう・・・
723 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:18:45: それは最後の手段としてとっておく
724 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:21:04: dll書き換えられて寄生してる可能性も十分ありえるのに、
削除だけとかじゃ完全に対処できんわな。
素直にクリーンインストールするのが無難。
725 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:22:14: >>723
足掻いた時間＞クリーンインストール

こうなるのが決定的
726 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:25:36: avastでフルスキャン→imgsとfxstallerが引っかかったから削除
手順にそってレジストリも削除。ついでにsys32のdllを削除しようとしたらロックされた
Unlockerで解除した瞬間エラー吐いてハードエラーの青画面
Onecareオンラインスキャンを回すと3個発見
しかし14％のあるところで止まる→sys32のdll2個の排除できず
入れ直す方がはやいかも知れん・・・
727 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:28:10: OS入れなおしたいが、残したいファイルに感染してるってことはないかなぁ･･
728 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:32:00: HiJackThisで以下をFix(エントリーに現れるのはこの4つ)
O2のエントリーはランダム８文字、(no name)となっているもの。（例：tuvWomKe.dll,wvUmkllL.dll)
O4エントリーもランダム８文字だが[7800f1cc]で見分けられる筈。
O20エントリーもランダム８文字。ただO20に現れる正規エントリーは少ないため見分けやすいと思う。
（例：ljJYPhEW.dll、wvUmjHXO.dll）

こんな感じ
O2 - BHO: (no name) - {F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0} - C:\WINDOWS\system32\tuvWomKe.dll
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [7800f1cc] rundll32.exe "C:\WINDOWS\system32\axhiujye.dll",b
O20 - Winlogon Notify: wvUmjHXO - C:\WINDOWS\SYSTEM32\wvUmjHXO.dll

このウイルスが作成するファイルリスト(多分みんな作るファイル数は同じ)
C:\WINDOWS\system32\eyjuihxa.ini
C:\WINDOWS\system32\axhiujye.dll
C:\WINDOWS\system32\732335b2-.txt
C:\WINDOWS\system32\eKmoWvut.ini2
C:\WINDOWS\system32\eKmoWvut.ini
C:\WINDOWS\system32\tuvWomKe.dll
C:\WINDOWS\system32\nnnoNgfd.dll
C:\WINDOWS\system32\byXQKbyX.dll
C:\WINDOWS\system32\wvUmjHXO.dll
C:\WINDOWS\fxstaller.exe

環境によってファイル名は変わってくるのでHiJackThis等ログ取得ツールを
使って調べる。

ひとついえることはツール使わないで削除するのは無謀
729 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:36:05: dllあっても大丈夫だと思うけどな。
システムが使ってるdllが改ざんされてたら、アンチウイルスも警告出すだろうし。
730 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:38:19: >>728のファイルが消えてればもう大丈夫かな？
731 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:38:42: ウイルスが改変するレジストリポイント
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0}]
C:\WINDOWS\system32\tuvWomKe.dll [2008-12-26 303104]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows UDP Control Center"=C:\WINDOWS\fxstaller.exe [2008-12-23 52786]
"7800f1cc"=C:\WINDOWS\system32\axhiujye.dll [2008-12-26 73216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvUmjHXO]
C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0C:\WINDOWS\system32\tuvWomKe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328]

ファイル名のところはランダム文字列(8文字）
レジストリーはHiJackThisで間手単に処理可能
732 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:42:29: >>730
ファイル名は個人個人で違う。
何回も感染実験すれば各ファイルがどのように変化しているかわかると思うけど
そこまでやってない。

駆除完了の基準としては
・不正なタスクがない(コンパネ、パフォーマンストメンテナンスのタスクから
確認して)

・レジストリポイントに不正なエントリーがない。

・症状が完全に治まった

だと思う
733 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 14:45:16: 結論から言うとComboFix使うのが楽
734 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:01:31: http://azurecolor.blog51.fc2.com/blog-entry-315.html
ここよんできたんだけど
>>496だけじゃだめなの？
735 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:09:54: 昨日OS入れなおしたんだが、時間が経ったら自動更新が有効にならなくなった。
わけがわからん。
今度はメッセンジャーとかでへんなURL送られてきてないんだけどなぁ・・・
736 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:21:58: NOD32、OneCareを試したところOneCareで消しきれないやつが出てきたんですが・・
しかもまた英語のサイトに誘導される現象が・・・
これは一体どうすればいいんでしょう
737 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:25:10: >>734
NODがどの程度ファイルを駆除(このウイルスに対応)してくれてるかわからないから
わからんけど、検出できてるってことはNODで駆除できると思う。
NODが検出したログをみて判断するのが一番。
少なくとも残骸が残ってる可能性はある。(ウイルスが作成した無害ファイル等)
738 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:29:05: >>736
英語のサイトに誘導されるのは確かfxstaller.exe が原因だった

↓このソフトダウンロードしたら
http://images.malwareremoval.com/random/RSIT.exe

RSIT.exeを実行して
"Continue"をクリック
ちょっとするとメモ帳が開くからその内容を貼り付けてもらえれば
わかるんだけど。(または"C:\rsit"に保存されている「log.txt」）

これがいやならComboFix使ってもいいし
739 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:31:39: ウィルスは駆除出来たんだが　自動更新だけ直せない　教えてえらい人
740 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:32:59: ウィルスが作成している以上、無害ファイルというのは作らないと思うんだが・・・
まぁ言い方次第だろうけど、
自分のPCには無害なファイル？
準備段階で活動していないファイル
と言うべき“内容”かな
741 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:38:54: OneCareでトロイ駆除した後に
バスターを起動しスキャンをしたらスパイウェアがまだ出てきます
まだ残ってて繁殖でもしてるのでしょうか・・・
742 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:40:50: 君たち！
まず無料のアンチウイルスソフトを入れる。
残った問題に対処する。
終了。

これで決まりだね！
743 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:44:08: 他のトロイも呼び込んでるようなので
駆除後にもっかいスキャンしといた方がいいらしい
744 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:46:47: 感染してるかどうかはどうすれば分かるの？
745 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:46:50: >>740
作るよ。
このウイルスを例にとるとiniファイル、dll、txtファイル、job、等作るけど
ini、dllは単体じゃ動作できない。主となるexeファイルがなければ無害。
ただの残骸。
txtファイルなんて単体でも無害でしょ。
↓これとか
C:\WINDOWS\system32\732335b2-.txt

NODがどこまで駆除できるかわからないけど、大本は
駆除できるみたいだから(だよね？)
NODが逃したとすれば大本がいないと動けないファイル類。

↓これとかｗ
C:\WINDOWS\system32\732335b2-.txt
ini類とか・・
746 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:49:24: Combofix使って削除したら自動更新も有効になったんだけど

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
が開けなくなった。
キーを開こうとしてエラーが発生しましたって出る
747 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 15:52:10: >>746
エラー内容はそんだけ？
再起動しても治らないのか？
748 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:00:02: >>746
直らなかった。
エラーの表示でぐぐったらレジストリが壊れてるとか書いてあった・・・
結局OSいれなおしか・・・うわーい
749 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:00:59: >>737
検出できてるのはダウンローダだけで、除去するまでに落とされた未知のマルウェアが活動してたら
止めようがない。マルウェア活動中だと主立ったセキュリティソフトは動作停止させられたりインストール失敗したり
させられるので、感染後に除去するのは困難。

別ドライブとかCD起動してから除去する形になるが、その環境がない場合にはOS入れ直しコース。

一旦擦り抜けて活動開始されちまった場合は、OS入れ直し以外では残骸がいつ活動再会するか不明。
WindowsUpdate止められたり、セキュリティソフトのパターン更新止められるような状況の場合は
素直にOS入れ直しやリカバリーを行なうこと。レジストリエディタの起動ができないケースもOS入れ直し。
750 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:03:02: >OS入れ直し以外では残骸がいつ活動再会するか不明。
本体がないのにどうやって活動するんだよｗ
751 ：737：2008/12/26(金) 16:04:22: >>749
だよなぁ。
ウイルスに感染したら基本リカバリーだな。
752 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:05:27: 初期化ってどうやるんだ
Vistaのディスク入れて再起動してんのに何にも反応しないんだけど
Fキー押せばいいの？誰か頼む
753 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:05:37: メッセンジャーは使えるようになったのですが
自動更新が有効にならない場合は何が原因なのでしょう
754 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:06:10: 大事なファイルをCDとかに焼いても大丈夫か誰か教えてくれ
755 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:08:46: まぁウイルスに感染したらOneCareとかNODとか使っても基本無駄だよな。
駆除するならログとってあやしいファイルをすべて割り出して削除するのが
確実に駆除できる。

Windows Live Messenger のスレの人たちはログもとらずにdll消してるみたいだけど
怖くないのかｗ
756 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:10:01: 既出かもしれんが教えて。
これって最初のDropperがIExpress形式（古いアップデートパッチのキャビネットファイル自己展開形式）なExeがoctet/streamで送りつけられているんだけど，
IExpress形式ってブラウザでいきなり実行されたっけ？
手元にIEAKがなくてためしにパッケージ作れんので，誰か試した人が居たら教えて。
こんなんでIEに表示させた瞬間にEXE実行とかできるんだったら非常に困る。
757 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:11:11: >>752
メーカー製のパソコンならリカバリー。
リカバリーとはパソコン出荷当時の状態に戻すこと。
リカバリーのやり方は書いてあるはず

>>753
駆除できていない、もしくは、駆除はできていてもウイルスが書き換えた
レジストリーがそのまま

>>754
大丈夫。
758 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:13:05: >>756
＞IEに表示させた瞬間にEXE実行
このウイルスの場合は実行ファイル本体を落として実行しないと
感染しないはずだけど・・
ホームページ見ただけで感染とかはあるけどね。
759 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:16:13: >>738でログとってくれればみるよ
760 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:16:59: >>759
まじか
761 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:17:37: コンパネ→管理ツール→サービス
Automatic Update（もしくは自動更新？）の項目のスタートアップの種類を「自動」にすりゃいいんじゃね？
ほっときゃ勝手に有効になるようなもんじゃないぞ
762 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:24:45: >>757
リカバリのことについて書いてる
説明書がないんですよ
説明書らしきものにそういう風なことが一切かかれてないんです
763 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:25:44: fxstaller.exeを消し、imgs.exeも削除して、OneCareとNODでトロイ削除。
ランダム羅列のDLLも消して、自動更新有効になりPCも普通に動いているように
みえるのですが、何もせずしばらく放っておくと「ドゥン！」というエラー音が突然鳴ります。
画面上は何も変化なし。
これはまだ感染してるということなのでしょうか。
ちなみにIRCBot.AKXは見つかりませんでした。よく覚えてないのですが別の名前の
トロイでした。
764 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:29:18: >>762
どこのめーかーのパソコン？
765 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:33:06: >>764
acerです
セットアップガイドみたいなもんはありますが、
真っ白なPCからの設定方法しか書いてないので分かりません
766 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:34:09: >>765
acerの型番もしっかり書いてくれないと調べようがない
767 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:36:54: >>766
Intel？ Core？ 2 Duo プロセッサーのASL3600-672032Pです
768 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:37:02: >>758
さんきゅ。俺の勘違いだったみたい。
IExpress.exeがXP標準であるってことで，手元でバッチファイルをEXE化してWEB鯖に入れてOctet/Streamで送出して・・ってやってもうまくいかなかったんで，なんでだー！と思ってた。
ぁゃιぃexeのクリックが必要だったのね。これで注意喚起しとくわ。
769 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:38:34: ？は記号です暗号化されてしまいましたすみません
770 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:42:42: >>767
リカバリー領域があるみたい(つまりリカバリできる)
だからスタートメニューからそれらしいものない？
http://www.acer.co.jp/support/faq/notepc/note070131001.html
771 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:46:05: >>770
リンク先を見ました
Acer eRecovery Managementが全てのプログラムの中にありました
これでリカバリできるのでしょうか
772 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:46:44: Windows自動更新が有効にできない。
http://linkinparkkussy.blog121.fc2.com/blog-entry-100.html

こんな記事を見つけたんだが、どうだろうか？
773 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:50:22: >>771
それでできるはず
再インストールってのクリックしてみて。
おれはそのパソコン持ってないからあとは自分でやってみて
774 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:53:26: >>773
頑張ってみます
775 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 16:55:29: >>763
俺も今その状況だ
なんだろうね･･
776 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:00:12: 今回の騒動、一連の挙動を見てみると、

・ダウンロード後ブラウザが「実行しますか？」の警告を出してくる
・vista なら UAC とか VirtualStore とかが大忙し

な気がするんだけど、そんなにホイホイＯＫボタン押しちゃう人ばかりだったりするの？
777 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:01:19: >>775
メッセージボックスが出ないということは、誤ったdllを削除したか
まだウイルスが残ってるか、システムが書き換えられてるか。
778 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:01:26: >>776
うん、愚かな人が多かったの
779 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:15:15: 俺的まとめ
挙動はこんな感じ(????????はランダムな文字列)
リンクをクリックし、実行する
↓
imgs.exeが解凍され実行される
↓
fxstaller.exeが実行される
↓
fxstaller.exeや????????.dllがPC起動時に実行する様に設定
IEでアンチウィルス導入表示を行う
WindowsUpdate無効化

fxstaller.exeはVirusのダウンロード等をする
????????.dll系はその他諸々？WindowsUpdate無効化やdll再生成も？
実際にメッセージ送信してるのはdll系かな…
生成ファイルや改変レジストリは>>728,731

感染の疑いは、
隠しファイルも含めてPC内を検索しimgs.exeが有ったらアウト
fxstaller.exeがタスクマネージャで見て動いてたらアウト

コマンドプロンプトを起動

dir /od /tw %windir%\system32\*.dll
を入力してenter
(これは拡張子がdllのファイルを最終更新日順にソートして表示するコマンド)

日付が25日以降で????????.dllが4つかそれ以上？有ったらアウトかも
（最終更新日が25日以降の正規dllの可能性あり）
780 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:16:09: 以下不明
NOD32はWindowsUpdate無効化やdll再生成する方のdllは駆除出来ない場合がある？
OneCareもやらないとダメ？
それでもdll系が残り駆除出来ない場合あり？
エラー音が突然鳴る現象がある？
781 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:18:42: >>775
俺も時々画面に変化無しで「ピッ」て音が鳴る・・・
ウィルスの主要なファイル削除→NOD・OneCareでスキャン・駆除
→dll削除かましたはずなのにﾅｾﾞﾀﾞｰ
782 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:19:20: >>780
正確にはどっちやっても残骸が残らない可能性はある
783 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:26:59: ドゥン音が鳴るのは削除しきれてないから。
全て消せてる奴は問題は出ないよ。
784 ：782：2008/12/26(金) 17:29:41: 逆に残る可能性の方が高いんだよね
785 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:32:49: 友人だから大丈夫って油断があった。

っていっても、友人いない人にはわからんよね
786 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:34:38: >>785
油断ってか馬鹿なんだろ
787 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:35:38: エラー音について色々教えてくださってありがとうございました。
やっぱり削除しきれてないのか。リカバリするしかないかな。
外付けHDDはあるのですけどマイドキュメントなど外付けに移して
リカバリして戻したらまた感染なんかもあるのでしょうか。
マイドキュメントかなにかにimgs.exeがあったので（削除済み）
かなり不安です。
788 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:37:49: OneCareはオンラインじゃないとダメなんだよな？何か不安・・・
NOD32で本体消えてるはずだから問題ないのかな・・・？
789 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:38:15: ランダムdllが削除できない件
ところで感染してからプロセスにrundll32.exeが出るようになったんだが
終了させてもすぐ戻りやがる
790 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:39:26: >>787
ファイル個別に適当なフォルダ作って移動
フォルダ毎とか避けて
この程度のウイルス踏むなら
隠しファイルとかフォルダ自体ちゃんと見つけられる環境にあるとは思わないんで
まぁ・・・正直HDDフォーマットした方がいいとはおもうけど
この程度ならリカバリでもいいとおもうよ
791 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:40:12: >>788
不安ならクリーンインストール
何度も言われてる
不安がって試行錯誤する時間でクリーンインストール余裕で終わる
792 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:44:41: >>773
無事リカバリできました、ありがとうございます
ですがリカバリする前1GBと表示されていたメモリが0.99GBと表示されてるのですが
これを直す方法はありませんかね？何度もすみません
793 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:49:48: 結局確実に修復するにはリカバリーしかないのか･･･糞ゥ･･･
794 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:51:50: 復元
795 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 17:54:46: 起きがけの寝ぼけた時間を狙ってくる恐ろしいウィルスだった（ｷﾘｯ
796 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 18:05:21: ウイルスバスター対応遅すぎだろ･･あのノートンでさえ・・なのに。
終わってますね。
797 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 18:06:37: >>786
馬鹿だから油断するんだよ、天才
798 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 18:11:55: >>789
全然削除できてない世それ

そもそもファイル名がランダムなだけでリカバリーする程のウイルスじゃないぞ。

ログ取って調べたりセキュ板のスレに貼ればいい
799 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 18:24:18: HiJackThisで
O2 - BHO: (no name) - （中略） C:\WINDOWS\system32\tuvWomKe.dll

ってのがFix出来ないんだが、なんでだ
800 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 18:46:48: このウイルスにやらてからなんだがレジストリで削除とかをしてから自動更新ができないんだが
これを治す方法ってどうやればいい？
801 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 18:51:14: スレ内ぐらい検索しろよ
802 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 18:58:39: スレ内を検索する知能があればウイルスになんて感染しないだろｗ
803 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 19:00:34: >>799
Fixしても復活するの？
804 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 19:10:33: 友人からだけど、ちょっと怪しいなって思って
avastでチェックしたがスルーだったので
実行してしまった／(^o^)＼　最凶クリスマスプレゼントｗｗ

最新のウイルスにかかったのは初めて
やっぱり油断禁物ですね。
805 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 19:26:08: >>800
onecareのPCセーフティでスキャンしてこい
ただバスターとかセキュリティソフトも一緒に検出してしまうけど。
806 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 19:36:24: >>804
変だなすぐ対応されたはずだが。
対応されるまでの隙があったか。
807 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 19:39:14: エロ動画消滅ｗ
808 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 19:46:05: で…このウィルス感染するとどんなこと起きるん？
怖くてネットつかえねぇぇから携帯だスマソ
809 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 19:51:26: >>796
しかも土日はアップデートなし
つまり対応は来週月曜以降じゃないと対応してくれない可能性が高い
810 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 19:55:55: 踏んでしまったんだが特になんの症状も出ないのが逆に怖い…
811 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:09:21: IEで変なページに飛ばされるのの対処は結局どうすればいいの？
812 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:17:04: 実行したらどんな症状がおこるか　まとめ

・メッセンジャーにインしている人にウィルスのダウンロード先URLを貼りつけて送信
・インターネットオプションより、セキュリティタブのレベルのカスタマイズが行われる
　その他-暗号化されていないフォームデータの送信　有効にする　に書き換えられる
　（デフォルトは　ダイアログを表示する　にチェックが入っている）
・インターネットオプションより、プライバシータブの「インターネットゾーン」が一番下「すべてのCookieを受け入れる」に設定される（デフォルトは中）
813 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:25:10: なんか怖いから明日ヨドバシかヤマダ行ってくるわ…俺の判断は正しいか…？
814 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:32:51: >>813
正解
815 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:38:45: >>813
無料のアンチウイルスでおｋだよ
816 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:48:04: ぃあ…本体データ？みたいなのはその無料ソフトで消去はできたんだ…だが自動更新は無効になってるし…完璧に治った人いるのか？リカバリなしで。
817 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:49:16: 25日の1時過ぎくらいに感染して、ココ見ながら適当に駆除したんだけど
適当にやりすぎて消しちゃ不味いものも消したかも・・・

起動時に毎回
「C\WINDOWS\system32\bmusxpul.dllを読み込み中にエラーが発生しました
　指定されたモジュールが見つかりません」
て出るんだけど、これやばい・・・？
818 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:51:24: むしろバスターやノートンの方が危険
819 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:54:08: これってメッセンジャーソフト使ってないんなら感染しないんですよね？
820 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:55:14: NOD32でも完全駆除は無理そうよ

486 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/26(金) 20:23:46
p://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=157
>>463 IMG455.jpg-www.photo.com を解凍し→ >>465 imgs.exe に感染するとできるファイル群
多数のdllファイル等が生成されましたが、MD5が共通するものだけ抜き出しました。

放っておくと、BHOが組み込まれ、偽セキュリティ対策ソフト（WinAntiVirus2009）ダウンロードページへ誘導されます。

488 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/26(金) 20:32:10
>>486 の続きです。
NOD32　定義3717では0/6
メッセンジャーウイルス感染後にNOD32を入れた人は、exeの駆除はできていても
dll群の駆除ができていないので注意が必要です。
821 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 20:58:48: >>817
bmusxpul.dll をレジストリエディタで検索してキーを削除すればいい。
面倒だから、Sysinternals の Autoruns で >>731 のレジストリ削除すれ。
後、dir /ah %windir%\system32\*.ini* でゴミが残ってる場合があるからそれも削除すれ。

ぶっちゃけ、imgs.exe, fxstaller.exe とか大して問題じゃない。こいつが spc.exe をDLして実行するから
面倒な事になってる。

ttp://www.virustotal.com/analisis/437b764fa9bbb0bd5544dc18d5aa9695
これね
822 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:00:11: >>821
大手ベンダーが全滅・・・・
その中でバスターが・・・
823 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:00:37: >>816
完璧かどうかはわからないが、自動更新は有効になる・・・今のところは

NOD32、KINGSOFT、OneCare、Avastのスキャンかけた
何回再起したことやら
824 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:04:27: 自動更新できない奴はためしにRUPERAntiSpywareやってみたらどうだろう
AVGでスキャンした後にこれ使ったら自動更新有効になった
たまたまかもしれんがものは試しに
825 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:05:15: 手動で有効にすればいいだけ
826 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:07:02: >>821
spc.exeを>>820のアップローダにあげてくれないかのう。
速攻でベンダーに通報しますので。
827 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:08:25: ごめ、SUPERAntiSpywareな
828 ：817：2008/12/26(金) 21:16:05: >>821
直った！ｻﾝｸｽ！
829 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:17:44: >>826
一応上げたけど、あんまり意味ないと思うよ。
DLする度にバイナリ変わるから。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=158
virus
830 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:22:15: >>829
とりあえずPandaGlobalProtection2009で検出→隔離できたことを報告しておきます（疑わしいファイルとして検出）
831 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:23:58: >>829
ありがと。一応ＡＶＧに報告します。
それと検出スレにもはっときます。
これで一連のspcをGenericで検出できればいいんですけどね。
832 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:24:40: 今日の朝にNOD32でトロイ駆除が終わったのでPCの電源を切って
ついさっきPCを立ち上げたばかりなんだけど、まだ完治にはほど遠いな。
立ち上げとほぼ同時に出てくるメッセのサインイン画面が出ないし
Internet Explorerをクリックしても一定時間とは言え反応なかったし。
こりゃOneCareでも導入して再びスキャンするしかないかな。

そういや、タスクからfxstaller.exeかimgs.exeを削除する対処法を
友達から教わったばかりなんだけど、そんなexeは見つからなかったんだ…
833 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:25:50: >>831
＞これで一連のspcをGenericで検出できればいいんですけどね。
NOD32とNortonは厳しいな、特にNOD32は一度スルーしてしまうとどうしようもない
834 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:30:49: >>829
avastスルーしたんだけど・・・
835 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:32:56: >>829
Avira、Panda、Symantec、BitDefender、ESETに提出完了
Kasperskyにも提出しておきます
836 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:33:57: >>834
これは元のファイルから感染した後のファイルなので感染しなければおｋ
837 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:40:12: ノートン先生対応来たな
838 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 21:57:37: NOD32が完全駆除不可なのは俺も試して分かったけど
駆除可能な分でも、exeと自動実行のレジストリエントリしか消しておらず
なんか中途半端な駆除になってないか？
他で駆除した方が良さそう…
839 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:11:55: タスク消去、レジストリ削除、ファイル検索して削除、Onecareスキャン
で、dllも全部消えたし自動更新も有効になったんだが
直ってない奴が多いみたいだから不安になってきた
840 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:19:27: すいません！！
感染して、色々なスレのを試しても自動更新が直らなかったので
onecareのPCセーフティでスキャンしてたらＲＵＮＤＬＬ
って名前の警告小窓（？）で
読み込みエラー発生　アクセス拒否されました
ってのが山の様に出続けてるのですが、これは一体どうしたらいいのでしょう？

エラーでてる場所が問題上がってたwindows\system32のなかなのですけども
該当の物は使用中で削除できませんって言われるんです
841 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:20:29: アンチウィルスソフトを駆除ソフトと勘違いしてる馬鹿共が日本にはこんなにいますw
842 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:20:54: ってかこんなにまで時間費やして必死に削除作業行うのはありえないなｗ
普通はバックアップとってあって、数時間程度で元通りになる。
製作者の思い通りだな。
843 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:23:09: >>841
安価だけつけてやんよ
844 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:27:00: 普段ウイルスなんか感染しないからと鼻で笑ってる奴らだろここにいる奴らの大半は。
オンラインスキャンと体験版使うのに精一杯だからな。
そんな色々いれるくらいならリカバリーしろと
845 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:29:07: >>844
安価だけつけてやんよ
846 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:31:01: >>845
まねすんなよ
847 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:33:24: レジストリ内をfxstallerで検索したら

名前　　　　　　　種類　　　　　　データ
000　　　　　　　 REG_SZ myspacy
001 REG_SZ fxstaller
002 REG_SZ fxstaller.exe
003 REG_SZ imgs.exe
004 REG_SZ imgs
005 REG_SZ mysapacy
006 REG_SZ mspaint.exe

て出てきたんだけど、これってやばい？
848 ：847：2008/12/26(金) 22:34:19: ずれたｗ
849 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:35:25: HiJackThis、ComboFixが使えないNoobは大人しくリカバリしろってことだよ。
850 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:45:42: http://kissho1.xii.jp/7/src/7jyou17788.zip.html
鍵はkey
俺はこれで駆除できた・・・気がするんだがどうなんだ
851 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:47:39: 一通り削除できたと思ったんだが、rundll32.exeが常駐し続けてるなぁ
この場合はどうすればよいですか？
852 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:55:59: だめだ、もう俺はリカバリ
あばよ
853 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 22:57:41: スッキリ！！！
854 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 23:23:40: >>847
はいはいﾔﾊﾞｽﾔﾊﾞｽ

OS再インストールコースいってらー

ダウンローダはブロックと除去できるの多いけど、稼動すると生成される>>829とか、そいつが落としてくる>>820なんかは
全部撃墜できるとこ少ないな。現時点では全てを除去できるのないから、複数のベンダー組み合わせてやるとか
しないとだめだわ。取り敢えず俺も検体提出いってくらー。

OS再インストールコースの方が早いし安全確実。
855 ：名無しさん＠お腹いっぱい。：2008/12/26(金) 23:33:39: 駆除が完了したゆとり君たちが活発に動き出しましたねｗ
856 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:04:31: と、情弱が何か言ってますｗ
857 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:05:21: Macなら感染しないっぽいな
858 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:06:50: これってファイルダウンロードをキャンセルしたらセーフ？
859 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:08:34: >>857
ウィルスとかはほとんどWindows向けだからな
860 ：847：2008/12/27(土) 00:11:19: ほんとにやばいみたいｗ
NOD32とOne Careはやって、その後もっかいフルスキャンして駆除したのに
レジストリにfxstaller普通にある
消しても出てくる
861 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:12:43: 2008年5月末に公表された、有名な独立検査機関av-comparatives.orgによる新種のウイルスに対する検出能力調査では、総合成績（検知率と誤検知数の少なさの総合評価）で断トツのトップ成績（検知率72％・誤検知数8）に輝いた。
第2位はNOD(ESET)(検知率57％・誤検知数7）。
この2つだけが最優秀ソフトに認定された（新種のウイルスを検知する能力）。
なお、他の主な有名ソフトでは、McAfeeが32％（0）,AVG32％（10）,Microsoft29％（5）,G DATA29%(11),Avast28％(23),カスペルスキー21％（2）,ノートン18%(2),F-Secure6%(2)ほかであった。
なお、（　）の数は誤検知数をあらわす。
862 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:15:37: >>861
情報古い
ttp://www.av-comparatives.org/seiten/ergebnisse_2008_11.php
863 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:15:49: >>861
AntiVirのことね。
864 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:17:28: >>862
それは、未知のウイルスのテストじゃないじゃん。
既出のウイルス検知率だろ。
865 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:17:37: 今回の騒ぎでわかったこと
ソースネクストは役にたたね
サブPCのAvastの方が優秀とか…
866 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:18:29: >>864
ゆとりもほどほどにね
＞ProActive - Test
867 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:21:32: ID出ないとなんでも言えるんだなｗ

>>865
ウィルスセキュリティZEROのことか？
それなら実行直後に通信をブロック云々と出てきたんじゃないかい？
そういう警告を無視して許可したんだからもう手の着けようがないバカだよな
868 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:21:49: F2ブログでこれ取り上げてる人のところから来ますた。

IMG455踏んでしまって実行ファイルまで起動したが、
ウィルスキラーはトロイの木馬と見抜いて削除してくれた。
レジストリも調べたけど、報告されてるfxstallerとかも無かったし、
ウィルスキラーいけるんじゃないかと。
869 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:22:52: >>859
そもそもマックはexeファイル開けんらしいな…不便杉
870 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:28:01: >>860
>>820ちゃんと読んだ？

一旦発動させてしまうと、未対応の為除去されないファイルがある。
全部に対応したセキュリティソフトは現時点ではないので、どれで除去しても、必ずどこかに残骸が残る。

どれかが残って稼動している為に、起動する度に再生成されることになる。
消しても消しても、まだだ、まだ終わらんよっつって復活してくる訳だ。
現時点でこれを奇麗に消すためには、OSを入れなおすしかない。

>820に置いてあった検体の検出結果を一応挙げとくとこんな感じ。
(11/39) http://www.virustotal.com/jp/analisis/0968d2c9ffd51806706128d5786b34eb
(12/39) http://www.virustotal.com/jp/analisis/f39e180bbc33af81381d9551539e892e
(9/39) http://www.virustotal.com/jp/analisis/ff133698239993014d3df8ad0e6f2bf8
(7/39) http://www.virustotal.com/jp/analisis/d094fc6b2ffaf7a030f895382f9a8d4e
(4/39) http://www.virustotal.com/jp/analisis/382ee4d0e199b0e5741106ba83e8bf57
(7/39) http://www.virustotal.com/jp/analisis/e9c7322a9f83043475ca5088a035218f
871 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:31:52: 年末年始もシマンテックやトレンドマイクロは仕事してるよね？
872 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:39:21: >>868
それはダメポなソフト。「ウィルスキラー」の中身は「Rising Antivirus」

ダウンローダの検体送ったら、こんな回答よこす会社です。捨てちまえ。
　>2. Filename:IMG455.jpg-www.photo.com
　> No malware.

多分検知したのは「cbXQgfcb.dll ： Trojan.Win32.VUNDO.cel」と「awtTjgHy.dll ： Trojan.Win32.VUNDO.cel」と
「xxywWpoo.dll ： Trojan.DL.Win32.Undef.cud」の３つだと思うけど、その１ファイルは除去できても、
他がまるっきり残ってるから。

残念だったな。検出して除去しても「他が残っていない保証にはならない」のだよ。
873 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:41:06: トレンドマイクロは年末休暇ですがなにか？
874 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:45:50: AntiVirは土日休みだからこの間はアップデートしてくれねぇ・・・・
875 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:50:21: >>857
ざっと聞いて回ってみたがMacの感染者は見当たらんね。マカーの唯一の強みだな。
876 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:51:11: おい友人から
foto http://hi5　.eu.com/　id.php?=●●が連続で送られてくるんだけど
これ返信しても相手に聞こえてないのか？
877 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:52:47: >>872
検知したウィルスは「Trojan.Win32.Undef.vov」ひとつだな。
system32内でIMG455実行した時刻と同時刻に作られたファイルの中で、
特に変なのも確認できなかった。

まあ、ダメそうなソフトではあるが。
878 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:56:34: >>876
絶対にクリックするなよ！ウィルスだからな！
879 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:56:36: >>876
聞えない
880 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:58:09: >>870
そのうちの3つはNortonは検出できるようになってる、ま、全部検知できなきゃ意味ないんだけど
全部検知できるベンダーはいまだない・・・
881 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 00:58:10: sleipnirとavast先生のおかげでなんとも無かったが・・・
困ったなこれｗ
882 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 01:05:46: >>881
sleipnirだと大丈夫なもんなの？
883 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 01:06:45: やべぇクリックしちまったorz
Google Chromeさんは「エラー: このリンクは無効です。」
Sleipnirさんは「Internet Explorer は、要求された Web ページにリンクできませんでした。」
で、DLとかなにもされなかったけど、
これ、大丈夫なの？
884 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 01:08:56: >>882
URL送られてきてとりあえず踏んだら
MS-DOSアプリを実行しますか？って表示出してくれたから、なんじゃこりゃって感じで
885 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 01:22:05: ダウンロードしなければ大丈夫。
886 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 01:31:02: ダウンロードしても実行せずにゴミ箱ぽいぽいすれば大丈夫だぞ
887 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 01:31:52: >>737
ありがとうございます！

それと、AVGを試してみたところごっそりトロイなどを消せたのですが、とりあえずはこれで大丈夫でしょうか・・・・？
888 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 01:34:42: だめ。OS入れなおせｗｗｗ

いや、発動させちゃった場合はマジに。
889 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 01:55:04: ウイルス対策ソフトを、乗り換える場合の各完全削除ツール一覧
http://kaspe.2chv.net/wiki/index.php?FAQ#sf6db04d
890 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 02:21:55: ＞Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。

って書いてある日記サイトあるんだがIEじゃないと駄目なのか？
サファリとか火狐なら開いても発動しないのかね
891 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 02:23:44: ちょっと書き方がややこしいかも。

要するにファイルをダウンロードして実行したらoutってことでしょ。
892 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 02:26:28: 落としても実行しなければセフなのかな。㌧
ウィルス検知されればある意味安心なんだが検知されないと見落としてるんじゃないかって逆に不安になるorz
893 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 02:30:03: やじうまwatchは多分連休でお休み中
ギガシンやスラッシュドットも来てない、はてな系もほとんど無し、
痛いニュースにあるわけもないしそれほどの規模ではないのか、
それとも特落ちなのか？
894 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 02:41:50: 消えない３つのウィルスの内、OneCareオンラインスキャンとAVGの最新定義で
一つだけ駆除できた

明日、仕事納めなんで、それ終わったらOS入れなおすか・・・
895 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 02:45:26: ノートン使ってる人はシマンテックに積極的に検体提出した方がいいよ
いくつか検体送ってみたが数時間で対応してくれた（私はNorton使ってないのでVirustotalで確認）
恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない、あとは一日単位
896 ：972：2008/12/27(土) 03:02:13: >>972
すみません。ヒントとなる場所を見つけたので自己解決とさせていただきます。

一応、同じ被害の人がここにもいるようなので置いときます。

※ウィルス※ Windows Live Messenger で感染!?
http://pc11.2ch.net/test/read.cgi/sec/1185780001/496

同じ被害の人がここにもいるようなので置いときます。
ノートンが素通りさせたので感染したようです。
897 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:03:08: 激しく誤爆
898 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:04:14: >>859
俺はAviraメインだけど、SymantecやKaspersky、Mcfee、VirusBaster、avastとかに検体送ってる。
今回のIMG455.jpg-www.photo.comと>>820は送ってあるので後は対応待ちだな。
899 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:06:28: >>898の誤字が酷い件について
それと
×　VirusBuster
○　TrendMicro

ね、VirusBusterだとハンガリーのアンチウイルスベンダーになっちゃうので
900 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:13:17: NOD32アンチウイルスをインストールしようとすると［1］と出てインストール出来ないのですが、どなたか解決方法分かる方教えていただけませんでしょうか？
901 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:19:53: 昨日感染してこのスレ見つつ色々やってみたが
imgsは見つかったけど、fxstallerが一向に見つからない件
imgsだけ作成されてfxstallerが作成されないってのもあるのかな？
902 ：898：2008/12/27(土) 03:19:56: >>899
本当によく見ると酷いな……
安価は>>859になってるし(本来は>>895)。

MSは>>820のやつをssqOHYSJ.dll以外対応したかな？
心配なやつはOneCareいってくればいいかも。

http://www.virustotal.com/analisis/cbaeb34bd36303b125942df8155a11ad
http://www.virustotal.com/analisis/6835c3e0504c1020842a51248942698f
http://www.virustotal.com/analisis/9ba0755a9375d31a100d444d97e8443c
http://www.virustotal.com/analisis/0a296a218bae2ea7fc8dba5373529ec3
http://www.virustotal.com/analisis/8f3e37963609ebab44eb1f1cfa39ad78
http://www.virustotal.com/analisis/e6d31c693f3d3802ab6b89040d123a37

ssqOHYSJ.dllはSymantecかTrendMicroかNOD32使ってりゃ検出する。
その他のがまちまちだから、心配ならやっぱりOneCare逝って来い。
903 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:21:22: 追記>>901

ランダムdllも生成されてないっぽい
904 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:28:26: >>902
>>820の検体は私も大手ベンダーに提出しておきました（私が送ったベンダーはAvira、BitDefender、Symantec、Kaspersky、ESET、Panda）
Aviraは土日休みだから仕方ないとしてSymantecは最初オールスルーだったのにそこから数時間で4つも検出できたのはお見事だし対応速度も速く好感持てました

以前まではSymantecは検体送っても対応するのは1週間後というイメージがありましたから最近の対応の速さはそのイメージを払拭してくれますね（他にもいろいろと検体送りましたが大体1日で対応してくれました）
逆にガッカリしたのはBitDefender、こちらもいくつか検体送ってますがまだ対応してない検体が多い・・・
一日のアップデート回数は多いのに・・・
905 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:33:10: 今OneCareでスキャンしたら、やっぱりトロイの木馬が出てきたな。
昨日のNOD32で完全に駆除されたわけじゃなかったのか。
906 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:36:41: onecareでトロイみつかったけど、駆除できませんとかいわれたぜ・・・
907 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:42:45: >>895
>恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない
そこは間違ってるので突っ込ませてくれ。

月に数回は新種の検体送ってるけど、ノートンが数時間ってのはなにかの間違いかと…って言う位対応遅いよ。
今回は運が良かったのかもね。数時間で対応したんじゃなくて、他の人がもっと早く検体提出してたので
対応までの時間が短かったように感じられるだけ。

最近は返答が１～２日で来るけど、それも新種は、検知できなかったので人力で解析しますって返答でCLOSE。
実際の対応は、１週間で終わってないとか結構あるよ。マカフィーも、返答はある程度早いけど、新種への対応は
鈍い気がしますね。

本当に早いのはカスペとAvira（AntiVir)。カスペは対応が異様な程早い。
それよりちょっと遅いけどFortinetも早いね。提出してないのはすり抜け多いが。

で、この文面書いてる間に、Fortinet きた。次のアップデートで対応。（※　パターンがアップされるまでは未対応です）
>820と>829の検体提出してから４時間位。今回は早かったな。

The samples you submitted will be detected as follows:
imgs.exe - W32/Agent.AZOB!tr
spc.exe - W32/Agent.AZOB!tr
IMG455.jpg-www.photo.com - W32/Agent.AZOB!tr
awtTjgHy.dll - W32/Dropper.CA!tr
cbXQgfcb.dll - W32/Dropper.CA!tr
ewulmrrn.dll - W32/Agent.AZOB!tr
xxywWpoo.dll - W32/Agent.AZOB!tr
ssqOHYSJ.dll - W32/Agent.AZOB!tr
InstallAVg_770522156649.exe - W32/FraudLoad.VET!tr

カスペは提出から10分位で返答。流石に誰かが先に提出済みだったんだとは思うが。
DLLは無害扱いしてる辺りに疑問が残るけど。
908 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:43:12: 年末だしクリーンインストールオススメする(´・ω・)ｽ
909 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:48:05: 今年のウイルス
910 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:49:10: >>907

Aviraはカスペより対応速度遅いよ
カスペと比べたら対応にだいぶ時間かかってる印象を受ける、ただAviraにとって最大の問題は土日なんだけど

ノートンとマカフィーは最近になってだいぶ対応が速くなった印象を受けるんだけどね～
じゃないとパルスアップデートやActiveProtectionが活きないって
911 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 03:52:43: RUNDLL
C:\WINDOWS\system32\tuvUNEXp.dll　を読み込み中にエラーが発生しました。
アクセスが拒否されました。

ってのが無数に出てきてｵﾜﾀｗｗｗｗ
もうクリーンインストールしかない・・・orz
912 ：910：2008/12/27(土) 03:54:21: あとノートンの場合はSymantecに検体提出してSymantecから返事来るだいぶ前に既に対応してるというパターンもありっていうかこのパターンばかり（Virustotalで確認、2009だったらもっと早く検出できるかもしれない）
913 ：898：2008/12/27(土) 03:56:03: >>907
カスペはssqOHYSJ.dll以外はウイルスって言って対応したはず。

ssqOHYSJ.dllはNo malicious code was found in this file.って言われた。
914 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 04:00:10: >>913
カスペから返事が来てたのか・・・
となると私の方にはカスペから返事は来ませんね・・・
Panda2009もssqOHYSJ.dllだけスルーであとは疑わしいファイルとして検出だからssqOHYSJ.dllはPandaにとっても白判定なんでしょうかね・・・
Pandaはメールで検体送っても返事が全く来ないからわかりません、ま、返事が来ないベンダーの方が多いんですけど（BitDefenderもavast!も）
915 ：898：2008/12/27(土) 04:11:56: Mcfeeからのお返事のコピペ。

5030850 ssqohysj.dll inconclusive null null 12/26/08 No
5030850 xxywwpoo.dll inconclusive null null 12/26/08 No
5030850 awttjghy.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 cbxqgfcb.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 ewulmrrn.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 installavg_770522156 new detection generic downloader.x Trojan 12/26/08 Yes

Mcfeeはssqohysj.dllとxxywwpoo.dllが白って言ってますね。うーん。
これはssqohysj.dllは白なのかな？でも対応しているベンダーもあるし……
916 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 04:14:41: >>915
KasperskyもPandaも白と言ってるしssqohysj.dllはやはり白なんじゃないかな？
Aviraにも提出したからあとはAviraの回答待ちですかね
917 ：898：2008/12/27(土) 04:16:14: 一応、カスペの他のファイルのお返事も置いときますね。

awtTjgHy.dll - Trojan-Downloader.Win32.Agent.axsv,

cbXQgfcb.dll - Trojan-Downloader.Win32.Agent.axsx,

ewulmrrn.dll - Trojan.Win32.Agent.baer,

xxywWpoo.dll - Trojan.Win32.Monder.afwm

InstallAVg_770522156649.exe_ - Trojan-Downloader.Win32.FraudLoad.veti
918 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 04:21:10: >>912
対応済みの検体ばっか送ってるんならそりゃ速いよなー
俺は10回ぐらいしか送ったことないけどノートンのは対応遅い印象がある

何年かかっても直らないノートントラップの誤検知もなんとかしてくれないかな
919 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 04:26:12: NOD32後、Onecareでも消えないdllあって自動更新も有効に出来なかったけど
ComboFix使ってみたら正常に戻った・・・ように見える
まだなんか潜んでそうだからも一回フルスキャン中・・・
920 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 04:28:22: 自動更新も有効になるし、ウイルスに掛かってたときのような重さもない
だけど、レジストリでfxstallerを検索かけると、またいくつかヒットする
害はないし、敢えて無視してるけど
921 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 04:51:31: NOD32、OneCare、SUPERAntiSpyware、Spybot、ウイルスバスター、手動でファイル及びレジストリ削除を
乗り継いで、ようやく一見元に戻った感じになった
対処としては今のところはOS入れ直しが一番手っ取り早そうだ
922 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 05:04:26: どの会社のアンチウィルスソフトがいいの考えるいい機会にはなったなｗ
923 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 05:16:00: よく分からない物踏んだり、実行したりする人って結構いるんだなと思った。
924 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 05:17:03: IEでなんか偽ソフトに飛ばないし
imgs.exe､これとか見つかんないしfxstallerも見つからないだ
しかも、これってシステムの復元ポイントも綺麗さっぱり消えて、復元出来ない訳だし
俺の場合復元できたってことは感染していない証拠なのかな？
925 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 05:23:15: >>919

セーフモードでスキャンして隔離させると削除出来ると思う
926 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 05:56:38: >>925
セーフモードでComboFixやったのがよかったのかも知れんな
927 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 05:57:37: OneCareのプロテクトスキャン
ttp://onecare.live.com/site/ja-jp/center/howsafe.htm
928 ：名無し~3.EXE：2008/12/27(土) 07:36:09: マカフィー入ってる状態で感染して、5分おきにトロイの削除祭り；；
セーウモードでfxstaller.exeとimgs.exe削除して、再起動で立ち上げて
マカフィーの削除祭りが終わりを告げてくれて、NOD32でスキャン・削除したけど
それじゃ終わってないと知ってすぐにOneCare
ザクザク引っかかったけど、うちは全部消せた。
その後にＡＶＧで問題無かったから大丈夫と信てる…　いや信じたい…

今トロイの検出なし、メッセにも普通にイン出来てエラーもなし。
マカフィー入れてたおかげで、windows\system32に作られるファイル全部
削除してくれたおかげと、セーフモードで作業したのが良かったのかな？

とりあえず、もう開放されたい。これ、マジで；；
929 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 07:39:06: スレの進み方的に言って、いままでで一番感染が広まったんだろうなあ。
おれもメッセで広がるタイプには感染した。
ウィルスがメッセで来たことは何回かあったけど、今回は引っ掛かってしまったわ。
930 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 07:44:50: >>929
× おれもメッセで広がるタイプには感染した。
〇おれもメッセで広がるタイプには初めて感染した。

すまん。
931 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 08:45:05: urlも疑わないでクリックしすぎだろ・・・ｗ
まず引数として最後に自分のアドレスを持ってること自体・・。
932 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 08:48:42: 俺の全然話さない知り合いが俺の画像を悪ふざけでネットにばらまいたのかと思ったんだよ！
933 ：名無し~3.EXE：2008/12/27(土) 09:15:46: >>932
うん、えっと、とりあえずだ
そんな話もしない知り合いに自分の画像渡すなっ！
吹いたじゃねーかｗｗｗ
934 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 09:49:49: MicroSoftの返答今朝の9:28。OneCareなら「ssqOHYSJ.dll」以外消せるかも。
他にも未知のもの落とされてる可能性があるので、やっぱりOS再インストールが最適解。

20081226.zip [Container]
+---IMG455.jpg-www.photo.com [VirTool:Win32/CeeInject.gen!J]
+---(SfxCab) [VirTool:Win32/CeeInject.gen!J]
+---imgs.exe [VirTool:Win32/CeeInject.gen!J]
+---ssqOHYSJ.dll [Changes to detection currently undergoing testing]
+---spc.exe [Trojan:Win32/AgentBypass.gen!I]
+---awtTjgHy.dll [Trojan:Win32/Vundo.gen!C]
+---cbXQgfcb.dll [Trojan:Win32/Vundo.gen!C]
+---ewulmrrn.dll [Trojan:Win32/Vundo.gen!Y]
+---InstallAVg_770522156649.exe [Trojan:Win32/FakeXPA]
+---xxywWpoo.dll [Trojan:Win32/Vundo.D]
935 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 10:04:43: ssqOHYSJ.dllに関しては、ウィルス本体に使用されるライブラリで、
それ自体はウィルス的活動をせず、実害はないのかもね。
936 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 10:22:04: 本体削除、バスター、OneCareでスキャン
正常っぽい状態に復帰したけど、ネット接続切ってると
知らんタスク（バックグラウンド）がオフライン作業or再接続を聞いてきた　orz

あきらめて再インスコ　やっとオワタ
937 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 10:24:00: クリーンインストールなんか30分で終わるな。
64bit Windows Vista HomePremium SP1で
938 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:02:22: バックアップとってＯＳ入れなおそうと思うんだけど
このウイルスＵＳＢ感染とかした例ありますか？
939 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:07:41: >>933
占い好きなやつからだったし、おれのメッセアドで占ったかと思った。
いきなりURL出すようなウィルスみたいな奴だから、開いた。

たぶん今回引っ掛かった人はほとんどがウィルスが出回ってることを知ってた人だと思う。
状況によっては油断するもんだよ。
自分は絶対感染しないとか思わないで明日は我が身と思うべきだなと思う。
940 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:08:22: 明け方にも書いたけど、もう少し簡単に詳しく

セーフモードでスキャンかけると、システムに掴かませて削除出来ないウイルスが削除出来る可能性が高い

他の自己複製型ウイルスもこのタイプのものが多く、マカフィーの公式でも、このタイプはセーフでスキャンすれば隔離出来ると書いてあったとおもう

それとは別にアクティブにならないと検出されにくい物もあるので、こちらは通常起動でスキャンしたほうがいいかも

セーフして自己複製型消してからが一番手早いさばき方と推測してるど、一部消えない＆鬼沸きな人はこの手順で試してみて

最後にワクチン配布されたらウイルス全部消えていても実行すれば、不要に書き込まれたレジストリを戻してもらえるかもしれない
941 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:30:50: アドレスとファイル名であからさますぎな時点で絶対に引っかからないなｗ
さすがにこれに引っかかるやつはどうかしてる。
942 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:36:53: 引っ掛かるひっかからない言ってるやつはここからカエレ。人間誰にでも間違えはあるんだよ。あんたみたいないっつも家に引き込もってパソやってるやつはそりゃひっかからないだろうな(笑)
943 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:36:55: そんなにあからさまか？
944 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:43:59: >>941みたいなのがいっぱいいるから専門家は奔走するんだよな
こういう手合いはウィルス感染して撒き散らしていることにまったく気づかない
945 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:59:08: ssqOHYSJ.dllの検索結果 2 件中 1 - 2 件目 (0.07 秒)
946 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:01:52: imgs、fxstallerのexe削除、sys32内のランダム生成dllも消した
レジストリも掃除した

なのになぜか自動更新の警告が未だに出てくる
947 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:08:09: 年末だから気をつけないと第二第三の…。
948 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:08:53: >>947
そうねえ・・・起動しっぱなしの人はスケジューラで更新したほうがいいね
949 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:35:44: なんか感染した自分が恥ずかしいな
950 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:44:07: メッセはずっとつけてるのに、そんなの送られてこなくて逆に寂しい。
全員に送ってるわけではないのね。
951 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:57:13: 友人が感染してないのはいいことじゃないか

つか俺は同じ奴から３回届いたぜ
悪いとは思いつつ吹いた
952 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:57:40: C:\WINDOWS\system32\rundll32.exe "C:\WINDOWS\system32\byXPIcaY.dll",ShellPath
これはなにー？
953 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:05:08: >>951
なるほど、
ウイルス制作者→誰か　の他にも
感染者→誰か　でも移るんだもんな。

そしてﾜﾗﾀｗ
954 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:19:46: で、今回のばい菌はどんな悪さをするので？
955 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:22:20: ・インチキセキュリティソフトのインスコ
・IRC-Botで遠隔操作(何でも可能)
956 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:26:06: 遠隔操作…だと？あと50程で満スレ
957 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:33:24: 遠隔操作というか、指令センターからの指令待ち。
https://www.ccc.go.jp/bot/
958 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:54:00: 25日に落としたIMG～～.comと、たった今落としたIMG～～.comのファイルサイズが違うぞ！？
ウィルスのバージョンアップでもしたのかなぁ？
959 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:21:32: 今年のウイルス、今年のうちに～
960 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:23:22: 年末年始は気をつけてね
http://www.antivirushell.com/2008/12/post-37.html
961 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:25:13: Aviraは土日入るとどうしようもないな
休みのおかげでまったくアップデートしない
962 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:38:06: どっかでみたO4エントリーだと思ったら今年の初め頃のVundoだった
963 ：958：2008/12/27(土) 14:42:19: IMG～～.comの中身が
今までは　imgs.exe　だったのが、
今回のは　myspace.exe　となっていました

不確か過ぎる情報になるが、古いタイプの物ならonecareとかだけでも対処できたっぽい（？）
964 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:45:21: >>963
ほとんど検知せず全滅の状態
ttp://www.virustotal.com/jp/analisis/c23355a77b30e86467723f2689cea033

ちなみにVTではスルーだけどPanda2009でも検出できます
965 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:53:06: OneCareで今やってるが出てくる出てくる同じ名前のやつがwこれ何時間くらいでおわるん？
966 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:54:36: >>963
またお寒い検出率。

myspace.exe(4/39)
http://www.virustotal.com/jp/analisis/afb8e49c32fb4bf3fd8d758f61e8c484

IMG455.jpg-www.photo.com(6/39)
http://www.virustotal.com/jp/analisis/9e2f3a26c0eae08fcbb3ef65ec423924

===== myspace.exe(4/39) =====
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J

===== IMG455.jpg-www.photo.com(6/39) =====
a-squared 4.0.0.73 2008.12.27 Backdoor.Rbot!IK
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
967 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:57:02: >>966
GDATAがカスペ捨ててBitDefenderを選ぶのはわかるような気がする
でもBitDefenderって一度スルーするとどうしようもないんだよな・・・
その後の対応にかなり時間かかる
968 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 15:45:32: ウイルス？そんなもの来ませんでした
だって、友達がいないんだもん・・・
969 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 15:51:33: なんでメッセ入れてるの？？？？？？
970 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:19:39: とりあえずOneCareでセーフモードと通常でスキャンした…これで事が治まればいいのだが…
971 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:41:08: WIN2000でもいけるのないかな…＿|￣|○
972 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:46:29: >>971
@niftyウイルスチェック(カスペエンジン)
ttp://www.nifty.com/security/vcheck/
973 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:47:10: OSの上書きインストールくらいじゃどうにもならなかった・・・
974 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:49:11: さっきPCショップでウイルス対策ソフトのとこ見てたらマカフィーがWIN2000でもいけますってあった
975 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:50:43: Spyware Doctorを使っている者なのですが
大体5分毎位に、

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Time

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Count

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Type

が出てきて困ってます。
IMG～～.comかかったのが26日の7時なのですが
このスレの最初から割と丹念に見て、
ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
未だに残っている状況です。

スレも最後の方なのですが、よろしくお願いしたいです・・。
976 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:59:43: うーむ、これ引っかかったやつは不注意すぐるぞ
977 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:03:22: 感染したＨＤＤを他のＰＣでスキャンしても、完全に除去できないの？
978 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:04:11: >>973
そりゃあ、OS自体は壊れている訳でないから当たり前といえば当たり前の結果だな
根本を削除しない限りもと通りにはならんよ
979 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:04:12: 971です！ありがとう！！がんばってくる!!!
お前ら大感謝だっ（ ´Д⊂
980 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:29:22: >>975

>>940を試してみて

＞ Spyware Doctorを使っている者なのですが
＞大体5分毎位に、
＞ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
＞未だに残っている状況です。
＞
＞スレも最後の方なのですが、よろしくお願いしたいです・・。
981 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:52:08: 超亀だが俺も>>903と同じ症状だわ
逆に不安になる
982 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:54:17: >>981
んー、一応クリックはしちゃった感じ？

230 KB [ ２ちゃんねる３億PV/日をささえるレンタルサーバー \877/2TB/100Mbps]

■ おすすめ２ちゃんねる開発中。。。 by FOX ★
このスレを見ている人はこんなスレも見ています。(ver 0.20)
Windows Live Messenger Part 5 [Windows]
Windows Live Messenger Part 6 [Windows]
TalesWeaver JP combo 556hit [大規模MMO]
予言されていた「飯島愛」の死 [オカルト]

新着レスの表示

掲示板に戻る全部前100 次100 最新50

read.cgi ver 05.0.7.8 2008/11/13 アクチョン仮面 ★
FOX ★ DSO(Dynamic Shared Object)