08/07/13 00:43:31 1+rDb201
流れぶったぎり
SecuniaPSIで、古いFlashバージョンが見つかる云々のレスが前にあったと思うけど
GOMPlayer使ってる人はこの中のに反応してるんで
C:\WINDOWS\system32\Macromed\Flashの中にある Flash9f.ocxを
C:\Program Files\GRETECH\GomPlayerのとこにコピーして古いのを消せばOK
GOMのインストーラで入れたままだとバージョン7のままだった。
一応報告しとく。
151:既にその名前は使われています
08/07/13 01:17:49 bPXLbkBf
FF11は去年に解約したのですが
最近PCのシャットダウンに数分かかるようになり
いろいろ調べてみてここに来ました。
FF11のコンテンツIDは全て解約し
退会した後にPOLのパスワードやIDのメモも捨ててしまったので
FF11にログインできないので確認することが出来ません。
解約したあとでもアカハックされるのでしょうか?
152:既にその名前は使われています
08/07/13 01:19:23 cu6AdjP8
巻き戻しって垢ハックされた日の通りの戻るのかな?
それプラスさらに1週間ほど巻き戻るのかな・・・それだったらLV10くらい下がるは・・
153:既にその名前は使われています
08/07/13 01:21:29 Xz6qYol2
データが残ってなければ最大3ヶ月巻き戻るよ^^
154:既にその名前は使われています
08/07/13 01:22:17 7AalaVLn
今日も被害は普通に発生している模様。
落ち際にフレからテルがあり、PTメンバーのフレがアカウントハックにあったらしく、
急遽解散して有志でかけつけたところまさに身ぐるみはがされて落ちるとこだったらしい。
依然ヤツらは活動中、油断無きように。
155:既にその名前は使われています
08/07/13 01:22:40 OIbcxMAJ
>>151
解約して放置しているキャラも課金され盗まれる
他のネトゲーでも解約し放置したキャラクターが盗まれたという報告はたくさんあるよ
まぁカード被害とかない限り二度とやらんのなら気にすることもないんじゃね?
156:既にその名前は使われています
08/07/13 01:23:01 pTYnM/xI
一応報告
クリーンインストール(Cドライブのフォーマットからやった)直後のPOL起動でもwmiprvse.exeは起動するよ
157:既にその名前は使われています
08/07/13 01:27:24 YZmKQRd5
>>151
解約したならヴァナでの被害はないだろうけど、
変なの飼ってるのも気持ち悪いだろ。
クレカ情報やいろんなパスワード抜く奴があるし。
ま、ただシャットダウンが遅い、てだけじゃ
Windowsが変になっただけかもしれんけど
そういうのはPC初心者板やWindows板で。
ウイルス関係はセキュリティ板ね。
158:既にその名前は使われています
08/07/13 01:27:45 cu6AdjP8
>>153
まじかよ・・・エクレアないし巻き戻しなしにしようかな・・・
159:既にその名前は使われています
08/07/13 01:30:11 d7KDfnvk
>>148
なるほど。そいつは確かに協力(強力)だあ。
最近シャットダウンが遅いだのどうだのと、一人喚いてたけど、こいつが悪さしてたのか。
こいつ、ひょっとすると、ウイルス駆除ソフトが動き出すと、自動で消えるタイプだったりして。
160:151
08/07/13 01:40:50 bPXLbkBf
レスありがとうございます
FF11解約済みでもパス盗まれ課金されるのですね・・・
しかし解約した後なのでそれを自分で確認出来ないとなると
どうすれば・・・
161:既にその名前は使われています
08/07/13 01:41:10 CGiEnJ4j
>>150
これは盲点だった
ありがとう
162:既にその名前は使われています
08/07/13 02:13:17 9TdXO4H9
今日2垢分やられたお!!
余りのレジコ垢停止したけど、サポセン休みの土日にやるとはなかなか。
こりゃ24時間とは言わないが、土日も体力出来るセンタとか必要じゃね?
まぁ対応(ロールバックとか)はかなりの時間要するだろうけどGMとのやりとりだけじゃ不安だよ。
163:既にその名前は使われています
08/07/13 02:17:54 QiCUaC+a
ちなみにさ、PG2って、
>>65で「許可」の設定やったら、そのアプリの「許可」以外のIP接続は自動で弾くような仕様になってるの?
他のを弾く設定にしなきゃ意味ないんじゃ、と思ったんだが、
それだと許可が選べる理由がないか
164:既にその名前は使われています
08/07/13 02:24:42 QiCUaC+a
よく考えたらexeファイルの指定もしてないな
これじゃ意味ないんじゃ…
165:既にその名前は使われています
08/07/13 02:27:53 7lZNjsl6
伸びが悪くなってきたってコトは、多少は沈静化してきたのかな?
166:既にその名前は使われています
08/07/13 02:28:22 /1UmRSQ5
それはどうかな
167:既にその名前は使われています
08/07/13 02:54:06 B41XcXSl
>>155
レベル上げ中業者PTのPL役が昔だったら先行業者PTで育ったキャラだったのが
最近だとノーマークのが行き成り現れてる。
AF2着た白とかハックされたキャラではと思うと遣り切れないものがあるな。
168:既にその名前は使われています
08/07/13 02:55:16 hqC07ghP
ヘルプ読んでもやり方まで詳しくないから、カスペ学習モード取りやめ…。
ポート開放とかやり方分からない俺アホス。
いや、自分なりに今まで調べたけど、むっずいわ。
FFやる為のカスペテンプレ欲しいわ…orz
169:既にその名前は使われています
08/07/13 03:02:03 N/8Oh9UF
学習モードにしないと外への送信全部スルーで盗まれ放題
170:既にその名前は使われています
08/07/13 03:15:20 N/8Oh9UF
>>163
お前は何を言ってるんだw
PG2はファイアウォールじゃないぞ
171:既にその名前は使われています
08/07/13 03:16:13 dCpPwOmL
>>153
最近の報告で3ヵ月巻き戻しとかあったけ?あっても稀なケースだろそんなの。
こんだけ待たされて3ヶ月とか戻るともっと騒がてれるはずだしあんま不安煽るなよ。
>>158
今までの報告だとハック時間わかってれば、最後に落ちた1時間前後にもどったって報告から
24-30時間巻き戻ったって報告まであるから参考までに。
このスレ結構いるけど3ヶ月って数字は見たこと無い。
可能性としてはあるかもしれないからまぁ自己責任で。
172:既にその名前は使われています
08/07/13 03:19:13 bwKe3DWT
昨日やられました。
接続制限の巻き添え食らってようやく入れたーと思ったら
パスワードが違います・・・
173:既にその名前は使われています
08/07/13 03:23:03 pTYnM/xI
やられました報告が2件来てるけど
テンプレを・・・・って無いのかよw
174:既にその名前は使われています
08/07/13 03:24:30 pTYnM/xI
----------報告用テンプレ、書ききれない場合は複数レスに分けて下さい----------
【 気付いた日時 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス、ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【他人が貴方のIDを使用したことが一度でもあるか】 (Yes/No)
【ID・Passの認証方法】 (POLに保存/自動ログイン/手打ち、途中で変更した場合はその履歴、例:自動ログイン→○月○日から手打ち、等)
【 Pass変更の履歴 】(していた/していなかった、していたなら最後にパスを変えたのはいつか)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 ツールの使用の有無 】 (Yes/No、Yesの場合はそのToolの説明)
【 ネットカフェの利用の有無 】 (Yes/No)
【 OS 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【FlashPlayerとRealPlayerのバージョン】(更新日時をわかる範囲で 未導入であれば無し)
【 アンチウイルスソフト 】 (NortonInternetSecurity2008 等の名称、及びパターン更新日)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでC:\WINDOWS\System32\●●.DLLをTrojan.W32●●として発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
175:既にその名前は使われています
08/07/13 03:31:16 EGnZWTBk
ヾミ || || || || || || || ,l,,l,,l 川〃彡|
V~~''-山┴''''""~ ヾニニ彡| 垢ハックはする・・・・・・!
/ 二ー―''二 ヾニニ┤ するが・・・
<'-.,  ̄ ̄ _,,,..-‐、 〉ニニ| 今回 まだ その時と場所の
/"''-ニ,‐l l`__ニ-‐'''""` /ニ二| 指定まではしていない
| ===、! `=====、 l =lべ=|
. | `ー゚‐'/ `ー‐゚―' l.=lへ|~| そのことを
|`ー‐/ `ー― H<,〉|=| どうか諸君らも
| / 、 l|__ノー| 思い出していただきたい
. | /`ー ~ ′ \ .|ヾ.ニ|ヽ
|l 下王l王l王l王lヲ| | ヾ_,| \ つまり・・・・
. | ≡ | `l \__ 我々がその気になれば
!、 _,,..-'′ /l | ~''' 感染したPCのアカウントハックは
‐''" ̄| `iー-..,,,_,,,,,....-‐'''" / | | 10年後 20年後ということも
-―| |\ / | | 可能だろう・・・・・・・・・・ということ・・・・!
| | \ / | |
176:既にその名前は使われています
08/07/13 03:33:55 N/8Oh9UF
可能かもしれんがさすがにサービス終了してるだろうw
177:既にその名前は使われています
08/07/13 03:36:51 R3yiTC4w
ログイン中に業者に落とされて業者とログイン合戦の報告少ないよな
ログアウト中に盗まれるのが多いとこ見るとサーチでログインしてないか監視して
盗んでるんだろうな。
178:既にその名前は使われています
08/07/13 03:40:13 F9JK0Irr
ハクラレTIMEは2:00~13:00頃っぽい
業者冗談抜きで死ねばいいのに。ゲームで殺意が芽生えるなんて
179:既にその名前は使われています
08/07/13 03:45:20 gNn9ztfu
パス変更ってXBOXでやれば安全ですよね?
180:既にその名前は使われています
08/07/13 03:51:24 Xz6qYol2
絶対安全とは言えない^^
181:既にその名前は使われています
08/07/13 03:56:19 zc1nMfb8
被害にあった人の感染箇所が現状PCのみと仮定すれば
XboxやPS2でのPW変更に成功すれば安全といってもいいでしょう
でもホントか嘘かわからないけどパス記憶してないPCのFFユーザがハクられた報告が前スレにあったから
変更後にPCでプレイするならば心配の種は尽きませんね
182:既にその名前は使われています
08/07/13 04:16:24 McH4l2cI
>>177
ログイン中に盗まれたよ
エラーメッセージに焦っていて細部まで覚えていないが、「他からログインしています」のような文章がざっと読めた
30秒ほどで自分のキャラは回線切断出して、落ち
そばにいたフレの話によると、即リポップして倉庫に向ったらしい
他のフレからもログイン中の似たような症状でハックされたヤツがいるって聞いたから割とあるのかも
被害はなかったんだが、パス変えられたのが痛かった
183:既にその名前は使われています
08/07/13 04:19:18 OYG5Stbe
復旧したので報告
24日正常にログアウト
25日ハクられ(パスワードが違います) サポセンに連絡→パス変更依頼
26日被害確認 GMに連絡→垢凍結及び復旧依頼(3キャラ分)
27日証明書送付(土日挟んでいるので■は30日月曜日に確認か?)
7月12日復旧完了のメール
ログインして確認したら23日ログアウトしたときのデータに巻き戻ってた
宅配・競売・ポストのアイテム以外は戻っていました
184:既にその名前は使われています
08/07/13 04:24:10 wpbkqqm+
>160
「解約」の意味により違う。
POLアカウントごと退会(普通の人はわざわざやらない)したなら
POL退会者向けのFFウェルカムバックキャンペーンもしくは
電話連絡をしないとPOLアカウントは復活しないので一応安全。
POLアカウントを残して、ただコンテンツID(キャラ)の解約をした場合は
お金持ち装備もったままとかだと狙われるかもね。
二度とFFやらないってんならPOL退会がいいかも。
185:既にその名前は使われています
08/07/13 04:54:32 gNn9ztfu
とりあえずPS2でPOLパス変更に成功したのですが
もしPCに何か仕込まれてる場合新パスワードをPCに打ち込んだ瞬間送信されてしまいますか?
やはりクリーンインストールしないとだめ?
186:既にその名前は使われています
08/07/13 04:57:16 Wuihf3uA
>やはりクリーンインストールしないとだめ?
しないでまたハックされても報告しなくていいから
187:既にその名前は使われています
08/07/13 05:04:29 coBNjaSe
>>185
クリーンインストールしてもまた仕込まれそうだし
PCは諦めてPS2かXBOXでやってなよ
188:既にその名前は使われています
08/07/13 05:06:12 cu6AdjP8
>>183
すごく参考になったわ
2週間前後信じて巻き戻しにしてPS2に移動しよう・・・
189:既にその名前は使われています
08/07/13 05:07:23 CkbiGwol
ちょっとお聞きしたいのですが
WindowsUpdateやコントロールパネルを開けるのにすごく時間がかかったり、
シャットダウンに時間がかかったりするのでウィルスがいるのは
間違いないと思うのですが、PCでFFはしないので
今のとこ被害はないんですが、銀行振り込みや他のゲーム等の
パスも抜かれるんでしょうか??
PCについてはまったくの無知でして、ご教授お願いします
190:既にその名前は使われています
08/07/13 05:08:39 xpZ+q3Sx
その可能性は十分にあるとしか言えない
191:既にその名前は使われています
08/07/13 05:10:47 a3fXT6dU
>>189
世の中には、FF11のアカハックウィルスしか存在しないとでも?w
192:既にその名前は使われています
08/07/13 05:11:35 gNn9ztfu
クリーンインストールするしかなさそうですね、面倒だけど。
ほんとに中国人いい加減にしてほしい
193:既にその名前は使われています
08/07/13 05:14:27 EGnZWTBk
クリーンインストール ウイルス感染
で、調べてみると理由がわかるよ。
194:既にその名前は使われています
08/07/13 05:33:11 QiCUaC+a
>>170
いや、スマンコ
>>65がそういう説明してるから、
無理じゃね?と思ってさ
195:151
08/07/13 05:37:25 bPXLbkBf
>>184
POLを退会したあとに再びPOLにログインしようとすると復活手続きのための
パスワードとIDの確認の画面になったのは覚えてるのでパスワードとIDが盗まれると
これによりログインされ勝手に復活手続きされることもあるんですよね・・・?
196:既にその名前は使われています
08/07/13 05:42:14 wpbkqqm+
>195
退会してから三ヶ月ちょい(データ残っててその復活手続きできる)以内だとできちゃうかも。
197:既にその名前は使われています
08/07/13 06:13:41 gEExB3Z1
PG2で■eと2chとニコニコだけ許可してあと遮断するのってどうすればいいでしょう?
198:151
08/07/13 06:27:55 bPXLbkBf
>>196
私は退会して半年以上経ちますが少し不安ですね・・・
レスありがとうございました
199:既にその名前は使われています
08/07/13 07:22:23 QiCUaC+a
>>195
俺の経験上、退会して2年半以上放置してた2アカがふつーに復帰させれたから、
運が良い(悪い?)といつまででもデータ残ってるよ
2アカは復活する可能性が比較的高いだろうから、優先的に残されてたのかもしれんが
200:既にその名前は使われています
08/07/13 07:31:58 QiCUaC+a
>>197
確認のためにざっとマニュアルも読んできたけど、
基本遮断で許可した奴だけ通すって機能は無い臭い。
あくまで指定したIPを弾くだけ。
なんで許可するってチェックがあるのかすごく謎だが…
201:既にその名前は使われています
08/07/13 07:35:37 QiCUaC+a
あぁ、自動で読み込んだリストの中に、許可したいIPがあったら困るからか
ますます>>65が無意味…
202:既にその名前は使われています
08/07/13 07:44:56 4aCMT4b9
PG2のP2Pリスト入れると、そのIPはじくので許可の出し方じゃなかったっけそれ
203:既にその名前は使われています
08/07/13 07:51:40 lA3khJBk
>>202
阿呆をいちいち相手する必要ないぞ
204:既にその名前は使われています
08/07/13 07:54:29 0XELpq6b
ニムダやクレズが可愛く思えてくるはw
あれは基本的に破壊するためだけのものだったからな・・・
205:既にその名前は使われています
08/07/13 08:02:45 ffyV8DnO
試しにPG2のP2Pの項目にチェックしてFFつないでみ?
繋がらないから
だから、P2Pの項目にチェックしつつ>>65を許可してそれ以外を弾くの
わかった?机上演習ばかりしてないで実際やりなさいww
ベンゾーさんwww
206:既にその名前は使われています
08/07/13 08:18:56 gEExB3Z1
報告 今GMとお話してキャラを凍結してもらった。
んで、本人確認の書類が届き次第順番待って復旧作業して
終わったら書類に書いたこっちの連絡用メアドに「終わったよーん」
ってメールが来る。
がいしゅつかもしれないけど、いちお報告。
GM>凍結(ログイン制限)>書類送る>待つ>作業完了メールくる>復帰
こんな流れ。
207:既にその名前は使われています
08/07/13 09:16:41 tQUH6hFu
ざっとスレ読むと復旧作業に必要な時間に個人差があるのかな。
2週間の間に他のゲームにハマってどうでもよくなってきたから困る。
208:既にその名前は使われています
08/07/13 09:27:52 hTH2CyE6
>>207
FFが仕事じゃ無いなら楽しいことやりゃいいじゃん
209:既にその名前は使われています
08/07/13 09:41:46 MFbyOcj4
windows update開くと重いんだけど、これってやばいんだっけ?
あと更新しようとしてもエラーでてできないんだけど、【どうすればいいですか?】
210:既にその名前は使われています
08/07/13 09:44:24 +8lINgve
スレ読めば理解できるだろ・・・
211:既にその名前は使われています
08/07/13 09:58:11 hRo9L5OU
知り合いがアカハックにあったんだが、ちょっと聞いてくれ
箇条書きで行く
・家族(2人)でFFをしている、1人はPC、1人はPS2
・PCがウィルスに感染しアカハックされる
・PS2の人がGMを呼び出しPCのキャラをアカ停止
・念のためPS2アカのパスワードを変更しておく
・3時間くらいしてPS2の人がログインしようとしたらログインできず
・PS2の人もアカハック被害
もちろんPS2の人は感染の疑いがあるPCでログインなぞしていないし、変更した
パスワードはかなり意味の無い記号羅列らしい
それで想像なんだが、仕込まれたトロイが同一ネットワーク上にあるPS2やPCの
アカウントを盗むようにできてたりしないかな
PS2のプログラムがどうなってるか知らないが、今回の出来事は結構衝撃だわ
PS2でログインパスワード保存してなければ回避できたかもしれんが…
212:既にその名前は使われています
08/07/13 09:59:56 RYc2VP/m
パスワード間違ってるだけじゃあ
213:既にその名前は使われています
08/07/13 10:03:37 kLSaZth3
被害妄想乙って感じ
理論と実践は違う
パスを変えたというのが本当にPOLのログインパスだったのか?
(過去にPOLのメンバーパスと勘違いしていた人もいる
パスを変えた後にPCで本当にログインしていないのか?
214:既にその名前は使われています
08/07/13 10:04:26 +8lINgve
PS2でパス変更しての被害はないしな
パス間違ってるだけだろ
215:既にその名前は使われています
08/07/13 10:05:34 kLSaZth3
パスワードかえたあとに昼寝してしまって変えたパスを忘れたときは焦ったなーw
216:既にその名前は使われています
08/07/13 10:05:44 zL0pSSUg
理論的に出来ないことはないが、コストに対してリターンが少なすぎる
パスワードが間違ってるだけな気がする
217:既にその名前は使われています
08/07/13 10:12:27 Sni935nv
>>170
いやいや、PG2は普通にIP based firewallだろ。
無論、IDSやHIPSとしての機能は持たないが。
218:既にその名前は使われています
08/07/13 10:13:03 Prvr+t76
PCにPS2のアカウントを登録してんじゃ?w
219:既にその名前は使われています
08/07/13 11:06:45 pTYnM/xI
>>206
垢凍結の後に
サポセンに電話>新パス発行>ログインして被害状況確認>復旧申請>
が抜けてる
220:既にその名前は使われています
08/07/13 11:08:10 +NM+HKZU
>>218
アカウントは全プラットフォーム共通だよ、はとこの子の玄孫よ
221:既にその名前は使われています
08/07/13 11:09:55 zL0pSSUg
>>218
あと考えられる可能性は、■eがPS2アカウントの方を勝手にアカ停にした
222:既にその名前は使われています
08/07/13 11:20:50 BqhwV+rk
PS2でパス取られたとか、ビニール傘をアロンアルファで補強したら空を飛べるってくらい
胡散臭い話も、基本的な理解が無い人にとっては信じられる話な訳ですよ
223:既にその名前は使われています
08/07/13 11:41:48 acFlpEi4
PCにグリッドマンをインストールしてない人が集うスレはここですか?
224:既にその名前は使われています
08/07/13 11:44:01 YfKnezUC
ピィスィ( ゚Д゚)
225:既にその名前は使われています
08/07/13 11:56:27 rMm+8+jy
>>168
設定しないんじゃカスペにした意味も半減。
前スレにも設定のヒントとか書いてあったはずだし、わかるまで100回よむべし。
どうしてもできないならPSなり箱なりでやれ。
226:既にその名前は使われています
08/07/13 12:11:20 NVAwxVT0
今さらなんだが、カスペがもてはやされる理由は何?
NODの価格.com事件で真っ先に検出みたいな
人気になったりシェア伸ばしたりする理由はないの?
227:既にその名前は使われています
08/07/13 12:12:25 rPB6UH67
うちの鯖の中華スシマシーンとネツラーは既に戻ってきた
明日の被害報告を楽しみます
228:既にその名前は使われています
08/07/13 12:13:20 xfHKwfw9
>>226
山田みたいなマイナーなウィルスへの対応が早いとか
カスタマイズ次第で軽くなるとか
まぁその辺だろう
229:既にその名前は使われています
08/07/13 12:15:26 kLSaZth3
>>226
以前の垢ハックのときに検出できたソフトだった
新ウィルスへの対応が早い
検出率がいつも高いソフトはない
対応が早いが誤検出も当然ある
230:既にその名前は使われています
08/07/13 12:17:01 NVAwxVT0
>>228
【なるほど。】
プリインストールのノートンからじゃ、優待版は買えないかな?^^;
231:既にその名前は使われています
08/07/13 12:19:04 rPB6UH67
>>230
FF11やらないならノートンは十分ですけど
FF11やるなら(´・ω・`)
232:既にその名前は使われています
08/07/13 12:24:45 aGt8EsWk
>>76
順番待ち
233:既にその名前は使われています
08/07/13 12:25:54 kLSaZth3
パーフェクトな対策ソフトはないよ
特定のソフトがその時期は良かったという認識のほうがいい
234:既にその名前は使われています
08/07/13 12:26:52 r1GzBgRu
FFAHって結局なんだったの?中華の刺客だったの?
235:既にその名前は使われています
08/07/13 12:27:28 9H1cwP/D
ウイルスVSアンチウイルスは、かならずウイルス側が先手を取るからねぇ
後手のアンチウイルスが対策を講じるまでに引っかかったらアウト
236:既にその名前は使われています
08/07/13 12:27:50 BsaeBhnA
>>226
カスペルスキーって定義ファイルの更新が他のウィルス対策ソフトより頻繁なんです。
237:既にその名前は使われています
08/07/13 12:39:23 8ZihgPXR
>>236
特定の拡張子のみ検索除外ってできる?
238:既にその名前は使われています
08/07/13 12:40:29 krg2u1zQ
>>234
だから悪いのはAHじゃなく広告だと何度言ったら(´・ω・`)
改竄されたサイトが2万とか言われてるのにAHばっか
目の敵にしてるとノーマークのところからサクッと
やられるよ?
AHなんて対策していれば全く怖くないよ。
239:既にその名前は使われています
08/07/13 12:41:19 krg2u1zQ
>>238
240:既にその名前は使われています
08/07/13 12:42:38 krg2u1zQ
>>238
全くというのは語弊があるね。訂正してお詫びいたします。
241:既にその名前は使われています
08/07/13 12:43:53 BsaeBhnA
>>237
それは無理だと思います。軽く設定覗いてみたかぎりでは
242:既にその名前は使われています
08/07/13 12:44:08 OzL1Vn4m
AHって一回悪質な広告系の苦情が多くて広告少なくしたら
赤字になったってんでまた元に戻したんじゃなかったっけ?
243:既にその名前は使われています
08/07/13 12:45:11 rMm+8+jy
>>237
いまどき、その程度のことができないソフトなんてあるの?
244:既にその名前は使われています
08/07/13 12:46:20 rMm+8+jy
>>241
おいおい、ちゃんとファイルマスクできるようになってるよ。
ヘルプにもあるでしょうよ。
245:既にその名前は使われています
08/07/13 12:48:21 BsaeBhnA
>>237
私自身は行っていないのでわかりませんが 除外マスクに拡張子を登録すれば可能かもしれません。
これぐらいの回答しかできません。申し訳ない
246:既にその名前は使われています
08/07/13 12:51:04 xfHKwfw9
>>237
設定>脅威と除外
あとはヘルプ見るなりググるなりしてくれ
247:既にその名前は使われています
08/07/13 12:51:05 krg2u1zQ
>>242
今現在、googleadservisesしか確認できないな。
248:既にその名前は使われています
08/07/13 12:51:41 YfKnezUC
というか知らないなら無理に答えないでも。却って混乱するよ。
249:既にその名前は使われています
08/07/13 12:59:50 CUxv2ul2
POL起動するとwzcsvbxm.dllの問題でエラーが出るんだが、
同じ問題抱えてる人いるかなぁ?
ちなみにエラー窓放置してるとそのままプレー出来るが、
プレー中でもエラー窓に返答するとPOLクラッシュするw
現在アカハック後、復元待ち中
250:既にその名前は使われています
08/07/13 13:05:35 xfHKwfw9
>>249
なんだその怪しいDLLはw
251:既にその名前は使われています
08/07/13 13:06:22 eW/9iWil
データ復元希望を郵送してハックされた垢でログインすると
GMからのメッセージ着信するまで待機してくださいってあるんだけど
この画面でずっと待ってないと駄目?待ち人数1番目になってるから不安なんだ
252:既にその名前は使われています
08/07/13 13:06:32 62Ef0XIb
つーるじゃんw
253:既にその名前は使われています
08/07/13 13:09:00 pTYnM/xI
うちのPCはwzcsvc.dllならあるけどwzcsvbxm.dllは無い
wzcsvbxmでググっても4件しか出てこないし、怪しいファイルかもしれない
254:既にその名前は使われています
08/07/13 13:11:11 9H1cwP/D
>>253
windower(=窓化ツール)のページだべ
窓化関係でエラー吐かれてるだけじゃないかね
255:既にその名前は使われています
08/07/13 13:21:47 ZgF0MYiV
>>249
windowerつかってるのかね?
256:既にその名前は使われています
08/07/13 13:22:11 CUxv2ul2
以前「FFWindower改斬 for PC版」ってのを使ってたんだが、
現在未使用で、公式窓orフルスクリーンにしてるがそれでもエラーするのよ
「wzcsvbxm.dll」はPC内検索しても出てこないんだよなぁ
257:既にその名前は使われています
08/07/13 13:23:43 ZgF0MYiV
なんてエラーでおちるか書き出してみてほしいかねw
258:既にその名前は使われています
08/07/13 13:24:59 NVAwxVT0
ツーラーに答える奴なんているのかねえw
259:既にその名前は使われています
08/07/13 13:27:58 YZmKQRd5
>>249 はツーラーなのでスルーで。
ツーラーが罠ツール踏んでハクられたら少しはヴァナも綺麗になるさ。
260:既にその名前は使われています
08/07/13 13:30:16 ZgF0MYiV
レジストリキーでそのdllの読み出しされてて、dllが存在しない場合エラーになるんだが。
改斬でそんなdllの登録はされないんだなー。
POLのレジストリ書き換えることもないしなあ。
261:既にその名前は使われています
08/07/13 13:31:42 CyS7VFlA
本家のほうにあるんじゃね?
262:既にその名前は使われています
08/07/13 13:33:12 ZgF0MYiV
本家はつかったことないからわからないんだけど、間違いなく本家はつかってないんだよな?w
263:既にその名前は使われています
08/07/13 13:33:58 62Ef0XIb
>>259
ヒント:キャラ復活サービス
264:既にその名前は使われています
08/07/13 13:36:10 CUxv2ul2
公式窓は色あいが酷くて見づらかったので「改斬」を使ってた。
windowerの本家(英語版?)は使ったこといっす。
265:既にその名前は使われています
08/07/13 13:38:56 CUxv2ul2
>>263
いや、アカハクされて倉庫キャラ全削除→メインキャラ鯖移動だったから、
倉庫をまず復活してから復元作業依頼してるところなんですよ。
266:既にその名前は使われています
08/07/13 13:39:22 ZgF0MYiV
エラー出るタイミングはどこだろう。POL起動時かそれともFF動いてからか。
267:既にその名前は使われています
08/07/13 13:40:05 011kEVK8
wzcsvbxm.dllはwindowerと関係ないぞ
つーかそれがウィルスの正体と思われる
268:既にその名前は使われています
08/07/13 13:41:37 CUxv2ul2
>>266
POL起動時にスプラッシュ画面が出て、次のアカウント表示させる画面あたりで発生します。
エラー窓にて詳細を表示すると下記のメッセージが出ます。
AppName: pol.exe AppVer: 1.18.7.0 ModName: wzcsvbxm.dll
ModVer: 0.0.0.0 Offset: 00002d60
269:既にその名前は使われています
08/07/13 13:46:24 xfHKwfw9
>>268
ほぼウィルスだな
そのファイルが何処かにあるはず
徹底的に検索して探し出せ
270:既にその名前は使われています
08/07/13 13:48:56 CUxv2ul2
>>267
>>269
なるほど・・・。
ではでは探してみます。
271:既にその名前は使われています
08/07/13 13:51:26 NVAwxVT0
なるほど、窓化ソフトのDLLと同じ名前を使うことで
発覚を防いでるっつーわけか。
でもFFWindower改斬 for PC版っていうのもツールだろ?
272:既にその名前は使われています
08/07/13 13:53:12 pTYnM/xI
>>270
フォルダオプションで
ファイルとフォルダの表示>全てのファイルとフォルダを表示する
保護されたオペレーティングシステムファイルを表示しないのチェックを外してある
になってる?
273:既にその名前は使われています
08/07/13 13:55:56 BIvn1zQ1
>>271
ツールだな、使用環境すべては自己責任対象だ
正直相談に乗る気すらおきん
274:既にその名前は使われています
08/07/13 13:56:12 ZgF0MYiV
真っ当なプログラム開発しててModVer: 0.0.0.0はネーワな
windowerでも改ざんでもw
それに正規POL起動してもエラーでるならPOLのレジストリの中に変なエントリ埋め込まれてる可能性が高いと思うし。
POL自体書き換えられてる可能性も以前住人でハッシュチェックしたところ書き換えられているようでもなかったしなー。
275:既にその名前は使われています
08/07/13 13:57:03 lsp2xTWG
窓化ツールはwzcsvbxm.dllなんて使わない
wzcsvbxm.dllが見つからないならPOL起動時にwzcsvbxm.dllを一時的に生成するウィルス本体がいるはず
276:既にその名前は使われています
08/07/13 13:57:35 hZL0tiQy
おいィ?sourceforge繋がりにく過ぎでしょう?
277:既にその名前は使われています
08/07/13 13:57:53 ZgF0MYiV
ツールの是非はこのスレには関係ないw
ちなみに今落としてきたけど改ざんに上記dllもないw
278:既にその名前は使われています
08/07/13 13:58:22 9H1cwP/D
Windowerのフォーラム見る限り、ハッキング被害者の報告で名前が出てるな。
一応場所は
located in:
c:\documen~1\mike\locals1~\temp\42cf_appcompat.txt
とある。多分
documents and settings\ユーザー名\Local Settings\temp
だと思う
279:既にその名前は使われています
08/07/13 13:59:54 xfHKwfw9
>>270
検索する前にこの設定をしているか確認した方が良い
>URLリンク(support.microsoft.com)
1. [スタート] ボタンをクリックし、[検索] をクリックします (または [検索] をポイントして [ファイルやフォルダ] をクリックします)。
2. [設定を変更する] をクリックし、[インデックス サービスを使う (ローカル検索を速くする)] をクリックします。
3. [インデックス サービスの設定を変更する (詳細)] をクリックします。インデックス サービスを有効にする必要はありません。
4. ツール バーで、[コンソール ツリーの表示/非表示] ボタンをクリックします。
5. 左側のウインドウで、[インデックス サービス - ローカル コンピュータ] を右クリックし、[プロパティ] をクリックします。
6. [生成] タブで、[未登録の拡張子のファイルにインデックスを付ける] チェック ボックスをオンにし、[OK] をクリックします。
7. インデックス サービス コンソールを閉じます。
後、海外サイトではflash player系で感染したんじゃないか?みたいな話題が出ている。
OSのファイルで無い以上、リネームするなり削除するなり対策した方が無難っぽいね
280:既にその名前は使われています
08/07/13 14:02:31 CUxv2ul2
>>272
はい。
隠しファイルも表示するようになってます。
今レジストリ検索掛けて見たところ・・・
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters の中の
「ServiceDll」→「REG_EXPAND_SZ(種類)」に%SystemRoot%\System32\wzcsvbxm.dllって値が割り当てられてます。
うーむ・・・これは消していいものなのどうなのか・・・。
281:既にその名前は使われています
08/07/13 14:05:19 N/8Oh9UF
お、一気に核心に近づいた予感
282:既にその名前は使われています
08/07/13 14:05:59 ZgF0MYiV
これは可能性の話。
wzcsvbxm.dllを検索してもいないというなら自己消滅するような仕組みがなされていると考えられる。
そのようなマルウェアを使う場合、仕様上一回こっきりしかつかえないわけだけど
wzcsvbxm.dllを自己生成するプログラムがある、またはPC起動時に本体をDLしてくるようなプログラムをOSに仕込んでいる可能性。
283:既にその名前は使われています
08/07/13 14:06:02 pTYnM/xI
>>280
うちのPCはD:\WINDOWS\system32\wuauserv.dllってなってる
284:既にその名前は使われています
08/07/13 14:07:04 fFi79L18
たった今、アカウントハックの被害を確認。
倉庫専用アカウント(キャラ)が所持していたメインアカウントの移動可能アイテムの中で、
高額アイテムをピンポイントで抜き取り。
ギルはほとんど持ってなかったけど、競売で売れたデモクロの代金(460K)は手付かず。
3キャラいるんだが全てに3国の礼服を着せてたんだけど、今ログインしたところ裸だった。
もしや…!と思い青くなってログインしたけど、なんだかな~;;
セキィリティソフトは以前は入れてたんだけど、ゲーム中にポップアップウィンドウで全画面
終了されるのがウザくてアンインストール済み;;
FFAHも結構頻繁に利用してました;;
最近は垢ハックが騒がれてたから、つい最近カスペルスキー?のオンラインウィルススキャン
実行したばかりなんですが、やっぱそれじゃ不十分だったかな;
メインキャラのほうはゲーム専用マシンと化しているPCでやってて、ネットサーフィンそのもの
利用が無かったから無事だったのかな。。。
(PC2台でメイン+倉庫と使い分け、IDやパスの登録情報の共有も無し)
むーん…困ったな。前回ログイン時間(ハックされた時間)が昨日の深夜02:27なんだけど、
夜勤組みの俺はどうやってもその時間ログイン不可ですww
285:既にその名前は使われています
08/07/13 14:07:58 ZgF0MYiV
\wuauserv これってウィンドウズウpデトだよねえ。
なるへそ・・・
286:既にその名前は使われています
08/07/13 14:08:42 9H1cwP/D
>>284
いま話題になってるやつはカスペでもまだ検出されてない可能性がある
しかし昨日の深夜tってアクセス制限かけた後の被害か
287:既にその名前は使われています
08/07/13 14:10:17 HTNTDv+Z
過剰に警戒心を煽るため捏造報告が多数あることも考慮しような
288:既にその名前は使われています
08/07/13 14:10:45 ZgF0MYiV
たしか前スレか前々スレかで、svchostの親がwuauservだったって報告あったよねえ。
これじゃね?
289:既にその名前は使われています
08/07/13 14:10:45 wpvXx2VB
>>280
今回のやつがやっと出てきたかな
そのキーには本来、
C:\WINDOWS\system32\wuauserv.dll
が設定されている
これはAutomatic Updatesサービス(自動更新)ね
Windows Updateが使えなくなる、POLを立ち上げるとsvchost.exeがpol.exeに
云々というのもこれが原因かな
290:既にその名前は使われています
08/07/13 14:13:07 xfHKwfw9
>>285
取りあえず、本来の値に戻した方が良いかもね
291:既にその名前は使われています
08/07/13 14:13:44 fGdMIQNS
■eやアンチウィルスソフト社員が小躍りして喜んでるぞ今頃w
292:既にその名前は使われています
08/07/13 14:13:59 62Ef0XIb
被害にあったのになんでログインできたの。
嘘報告?
293:既にその名前は使われています
08/07/13 14:15:25 9H1cwP/D
>>292
パスを変更せずに金目のものだけ盗む手口もある
294:既にその名前は使われています
08/07/13 14:17:08 BIvn1zQ1
>>290
本来の値以前に、OS入れなおしたほうがいいと思うが
レジストリが書き換わってるって事は、以前居たまたは
今居る可能性があるわけで...
295:既にその名前は使われています
08/07/13 14:18:44 ZgF0MYiV
クリンスコは必要だけど、もうちょっと付き合ってほしいww
296:既にその名前は使われています
08/07/13 14:18:44 DsXei056
>>291
□やAVはわれわれの敵じゃないからな。敵はあくまでウイルス開発者と業者。
297:既にその名前は使われています
08/07/13 14:19:48 wpvXx2VB
まずは、PS2か感染してないPCなど安全な環境でPOLパスワードを変更お勧め
298:既にその名前は使われています
08/07/13 14:21:05 rMm+8+jy
いったん元の値に書き直して、何回かwinを再起動したりPOL起動したり
してみるといいかもね。
それでまた書き換えられてたら、どの段階で書き換えられるのか、はっきりするだろうし。
299:既にその名前は使われています
08/07/13 14:21:45 ZgF0MYiV
あとは本体見つけられれば検体だせるし、最高なんだけどなあ。
エントリ変えられててdllがない。うーん。
ID:CUxv2ul2はPOL起動時毎回エラーでるの?
300:既にその名前は使われています
08/07/13 14:21:52 x9dil7U4
>>296
アブソリュート ヴァーチューですね^^
301:既にその名前は使われています
08/07/13 14:22:33 N9+lFeZX
しかし、そこが書き換わってるのに、カスペで検出できないのはおかしいな。
「HKLM\System\ControlSet???\Services\*\Parameters」は
プロアクティブディフェンスのレジストリガードで保護対象になってる。
ウィルス本体は検出できなくても、レジストリ書き換えの時の警告が出るはずなんだが…
当然、オンラインスキャンじゃ見つからないけど、カスペをインストールしている人ならどこかで必ず警告が出ているはず。
302:既にその名前は使われています
08/07/13 14:23:42 62Ef0XIb
デフォだとレジストリガード無効じゃね?
ちがったっけ。
303:249
08/07/13 14:26:04 CUxv2ul2
レジストリを本来の値に変更した所、直ぐにカスペのプロアクティブディフェンスが作動。
「許可」するとレジストリがまた書き換えられて
%SystemRoot%\System32\wzcsvbxm.dll に戻ってしまいます。
「拒否」しても直ぐにディフェンスが作動。
ディフェンス状態で放置したまま再度レジストリ見てみると、
自分で変更した正規の値になったままです。
変更しようとしているプロセスは物議醸してる例のコレ。
C:\WINDOWS\System32\svchost.exe
304:既にその名前は使われています
08/07/13 14:27:31 YZmKQRd5
>>301
プロアクティブディフェンスは重いという理由で切ってる人も多い。
>>284 みたいにアンチウイルスアンインスコは論外だけど。
305:既にその名前は使われています
08/07/13 14:29:09 N9+lFeZX
インストール時に有効にするか無効にするか選択が出たかもしれない。
アプリケーションインテグリティコントローラはさすがに使い方が難しいが、
アクティビティアナライザとレジストリガードは個人的にONを推奨したい。
>>303
ついに来たか!?
出来れば検体提出を。
306:既にその名前は使われています
08/07/13 14:29:36 ZgF0MYiV
>>303
あたりだな。
その変更かけようとしてるscvhostの親はなんだろう。
307:既にその名前は使われています
08/07/13 14:33:55 ZgF0MYiV
>>306
あとwindowsupdateの状態は今どーなってるかな。有効か無効か。
308:249
08/07/13 14:44:30 CUxv2ul2
>>307
自動更新が有効になってます。
Update自体はアカハックにあった他のユーザーさんと同じで、
エラーでコケますけれども。
●ディフェンス状態 ~その後~
①svchost.exeを停止するべくタスクマネージャー起動。
②起動後svchost.exeをモニタしながらディフェンスに「拒否」返答。
③6つ存在するsvchost.exeの内、1つにCPU使用率の変化あり。
④変化のあるsvchost.exeをプロセス強制終了
⑤プロセス停止後、いくつか新規モジュールをロードしようとするもカスペディフェンスで「拒否」し続ける。
⑥そして静かになった・・・・
レジストリは今のところ自分で変更した本来の「wuauserv.dll」です。
309:既にその名前は使われています
08/07/13 14:44:37 aDq0XTDD
被害にあったPC放置してたんだが、今確認したら249氏と同じ状況になってた。
dllファイルをノートパッドで開いたら、
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
って文字列がある。
ビンゴ?
310:既にその名前は使われています
08/07/13 14:48:05 ZgF0MYiV
>>309
>>308
おまいらはなんてエロイ子なんだ・・・
>>309はdllがあるの?だったらそれの検体を提出してほしい。
>>308はそのままウィンアップデートを無効にして再起動してレジストリが書き換わるか見て欲しい。
311:既にその名前は使われています
08/07/13 14:48:09 9H1cwP/D
>>309
ビンゴくせー
312:既にその名前は使われています
08/07/13 14:48:50 pTYnM/xI
>>309
そのアドレスは危険なアドレスだから当たりかも
313:既にその名前は使われています
08/07/13 14:49:02 wpvXx2VB
>>309
あたりだね。pol.exeがHTTPリクエストを投げようとしたと
報告されていた送信先IPアドレスと同じ
できれば、そのDLLをVirusTotalに送信して、調査結果ページのURLを貼ってほしいなあ
URLリンク(www.virustotal.com)
314:既にその名前は使われています
08/07/13 14:49:11 BIvn1zQ1
>>309
アメリカか...PG2でもデフォルトは弾けないな
315:既にその名前は使われています
08/07/13 14:49:47 9H1cwP/D
116 名前:既にその名前は使われています[] 投稿日:2008/07/11(金) 02:19:43 ID:rXnyWkMU
PG2で204.13.69.12をブロックする設定方法
1. メモ帳かテキストエディタを起動して、次の1行をコピペ
wowinterfcae_com:204.13.69.12-204.13.69.12
2. PG2のフォルダの下にあるlistsフォルダに“deny.txt”という名前で保存
(通常は C:\Program Files\PeerGuardian2\lists\deny.txt になる)
3. PG2の[リスト管理]ボタンを押す
4. [追加(A)]ボタンを押す
5. 「説明」のテキストボックスに“deny”(半角英数ならなんでもいい)と入力する
6. 「場所」の[ファイル]ラジオボタンを選んだまま[参照]ボタンを押す
7. さっき保存した“deny.txt”を選んで[開く(O)]ボタンを押す
8. 「種類」の[ブロック]ラジオボタンが選択されていることを確認して[OK]ボタンを押す
9. リスト管理のウィンドウを閉じる
コマンドプロンプトを開いて、“ping 204.13.69.12”を実行して、
“Destination host unreachable”.と表示され、PG2にはブロックログが表示されればおk
注意: 決してWebブラウザで204.13.69.12につなごうとしちゃダメだぞ
316:既にその名前は使われています
08/07/13 14:49:53 BIvn1zQ1
>>312
あぁ危険リストの方にははいってるん?
317:既にその名前は使われています
08/07/13 14:50:19 ZgF0MYiV
2 0 4 . 1 3 . 6 9 . 1 2は危険ドメインなってるね。
URLリンク(smith.rowiki.jp)
318:既にその名前は使われています
08/07/13 14:50:53 9H1cwP/D
>>314
一応大流行していたときにはブロックリストに入れてあったらしい
7月上旬に消されたとかいう話だった
319:既にその名前は使われています
08/07/13 14:52:05 ZgF0MYiV
WindowsUpdateを名乗って常駐して、POLの起動監視してるのかなーと予測。
320:既にその名前は使われています
08/07/13 14:54:11 Prvr+t76
URLリンク(www.npa.go.jp)
ここに電話したらスクエニからログインした記録
を出してもらってくれと言われた。
くれんのかなスクエニ
321:既にその名前は使われています
08/07/13 14:55:41 aDq0XTDD
>>313
やってみた。これでOK?
URLリンク(www.virustotal.com)
322:既にその名前は使われています
08/07/13 14:57:08 wpvXx2VB
>>321
ありがとう。やはり、ほぼ全滅状態なのか。
323:既にその名前は使われています
08/07/13 14:59:02 9H1cwP/D
>>320
ユーザーからの要請では出してくれないから、警察権力で要請してもらうしかない
324:既にその名前は使われています
08/07/13 14:59:17 ZgF0MYiV
>>321
こんだけスルーしてれば引っかからないわなあ。
あとはお願いだけど、マカヒー・トレンドマイクロ・シマンテック・カスペル・・・・などアンチウィルスソフトのベンダーに検体提出してほしい。
325:既にその名前は使われています
08/07/13 15:00:45 QbFq9U4R
どこで踏んだんだろうね
326:既にその名前は使われています
08/07/13 15:01:06 pTYnM/xI
>>321
Prevx1ってのが1つだけ対応してるのかw
327:既にその名前は使われています
08/07/13 15:02:30 Prvr+t76
URLリンク(www.kokusen.go.jp)
ここにも相談しないとな・・
328:既にその名前は使われています
08/07/13 15:06:17 YfKnezUC
【鑑定目的禁止】検出可否報告スレ6
スレリンク(sec板)
さすがにあちこちのベンダーに検体提出汁とまではいえないので、↑のスレ
で1にあるろだ使って報告してくれるとかなり有り難い。
329:既にその名前は使われています
08/07/13 15:06:28 asjr1CDN
PG2で204.13.69.12をブロックしてpol起動しても何もログに出てないってことは
今回のは感染してないって認識でおk?
330:既にその名前は使われています
08/07/13 15:14:35 ZgF0MYiV
>>328
そっちのがいいねw
331:既にその名前は使われています
08/07/13 15:19:25 BIvn1zQ1
>>318
なるほど、それでリネージュのほうには無いのか
>>317
そこのPG2リストも追加したら、ブロックしまくりで見れないところ多すぎ
とりあえず204.13.69.12を個人用のリストに追加っと
332:既にその名前は使われています
08/07/13 15:21:09 YZmKQRd5
そこの 1 のロダはちょっと不具合あったので
URLリンク(tane.sakuratan.com)
になってると思った。
ちゃっちゃとアップしてね。
333:既にその名前は使われています
08/07/13 15:23:06 YZmKQRd5
>>331
ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト(臨時)
URLリンク(sky.geocities.jp)
ここが頻繁に更新してる。
334:既にその名前は使われています
08/07/13 15:25:47 fGdMIQNS
お前ら偉い!
335:既にその名前は使われています
08/07/13 15:27:12 hZL0tiQy
きた!メイン検体きた!これでかつる!
336:既にその名前は使われています
08/07/13 15:28:17 auf+BDWj
wzcsvbxm.dllをノートパッドで開くと色々面白い事が書いてあるなw
337:既にその名前は使われています
08/07/13 15:29:00 YZmKQRd5
ただ別な(ウイルス本体の)exeから正規のファイル(svchostとか)に注入する奴だと
後者じゃなくて前者も欲しいなぁ。どこでどれを踏んだかわからんけど。
338:既にその名前は使われています
08/07/13 15:29:53 YZmKQRd5
>>336
面白がってないでアップするんだ!
339:既にその名前は使われています
08/07/13 15:33:48 7lZNjsl6
クリーンインスコ終了!
なに入れてたとか全然覚えてねぇよ・・・
340:既にその名前は使われています
08/07/13 15:34:59 NVAwxVT0
メシ食って買い物して帰ってきたらだいぶ話が進んでいてワロタ
341:309
08/07/13 15:36:40 aDq0XTDD
URLリンク(tane.sakuratan.com)
infected
↓ここに載ってるメアド一覧とSymantecには提出した。
URLリンク(rosafe.rowiki.jp)
McAfeeみたいなアカ取得が必要なとこには出してない。
342:既にその名前は使われています
08/07/13 15:37:27 ZgF0MYiV
>>341
GJ
343:既にその名前は使われています
08/07/13 15:38:48 wpvXx2VB
>>341
超お疲れさまでした。
これで大勢のプレイヤーが業者の罠から逃れられるように
なるでしょう。ありがとーー。
344:既にその名前は使われています
08/07/13 15:40:20 9H1cwP/D
>>341
ものすごい乙
褒美になるか分からんがもっふもっふ画像をやろう
URLリンク(www2.uploda.org)
罠ではないが怖いなら踏まないでくれたまえ
345:既にその名前は使われています
08/07/13 15:43:01 rMm+8+jy
>>341
お疲れ様でした。こういうのは、ほんとに助かります。
346:既にその名前は使われています
08/07/13 15:44:22 WH0Big0W
>>331
そこのPG2リストってどこにある?
347:既にその名前は使われています
08/07/13 15:45:54 BIvn1zQ1
>>346
URLリンク(smith.rowiki.jp)
まぁブロックされまくるのは私の使い方がまずいのかもしれんが
どっちか許可リストの可能性もあるけどよくわからなかった
348:既にその名前は使われています
08/07/13 15:49:40 WH0Big0W
>>347
あったあったありがとう
アグレッシブのほうだとjpサイトでも容赦なく弾いてるなw
349:既にその名前は使われています
08/07/13 15:55:42 oX9KF7bl
おまいらすげええええええええええええええええええええええ
リロードしまくって興奮しまくりだZE!!!!!!!!!!!!!!
350:既にその名前は使われています
08/07/13 15:56:06 HBv2gWGX
お前らほんとすごいな!!
よくやった!
351:既にその名前は使われています
08/07/13 15:57:37 YZmKQRd5
>>341
フォーム経由のとこ(バスターとか)送った。
ちなみにNormanの砂箱の返答
wzcsvbxm.exe : Not detected by Sandbox (Signature: NO_VIRUS)
[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Library(DLL)
* Executable file structure: OK
[ General information ]
* File length: 15872 bytes.
* MD5 hash: 2d58d90e5d2bf22f7f7689751ad60d35.
352:既にその名前は使われています
08/07/13 15:58:49 j91S+/YO
見つけるのに2週間以上もかかってんのかよ
やっぱり感染してんのは雑魚だけだな
353:既にその名前は使われています
08/07/13 15:59:53 s5gE3y+N
みんなよくやった!感動したぞ!
354:既にその名前は使われています
08/07/13 16:00:49 4W6gHllj
この一連の流れをまとめてテンプレに入れるしかないな。
355:既にその名前は使われています
08/07/13 16:02:19 YZmKQRd5
FFXIService.dll
これはツールくさいな。ツールの偽装なのか?
356:既にその名前は使われています
08/07/13 16:02:20 krg2u1zQ
よく見つけてくれましたGJ
ここはすぐクリーンインスコしろ言うからな。
検体分離の一番の障害はぶっちゃけこれ。
357:既にその名前は使われています
08/07/13 16:02:37 hZL0tiQy
>>352
ミジンコは調子に乗ってると病院食を喰うハメになる
358:既にその名前は使われています
08/07/13 16:03:00 9TocD76h
いやいや
感染源特定しないと何の解決にもなってないだろw
359:既にその名前は使われています
08/07/13 16:04:28 fGdMIQNS
対応してるソフトをググったらぞんざいな云われ方してて泣いた
360:既にその名前は使われています
08/07/13 16:05:02 EGnZWTBk
特定できるスキル持ちにクリーンインスコしろよって言わないよ。
361:既にその名前は使われています
08/07/13 16:05:43 7AwSjjNN
>>344
予想通りすぎてフイタ
362:既にその名前は使われています
08/07/13 16:05:53 YZmKQRd5
>>358
いいんだよ、アンチウイルスが捕捉し始めれば
そのサイト見ただけで警告出るわけで。
FFXIAHのFlash広告みたいに撤去済みの可能性もある。
363:既にその名前は使われています
08/07/13 16:07:06 VpD4/Ezn
ネ実も捨てたもんじゃないな!
364:既にその名前は使われています
08/07/13 16:07:30 9TocD76h
感染した人でwzcsvbxm.dllがある人と無い人がいる時点でそれが本体では無い
365:既にその名前は使われています
08/07/13 16:07:33 F9JK0Irr
ウィルス特定?できたのか
それ弾く方法はウィルスソフトの内容更新待つしかないのかな
366:既にその名前は使われています
08/07/13 16:07:57 YZmKQRd5
Normanの砂箱の続きが来た。
URLリンク(research.sunbelt-software.com:80)
まーアカウントハッカーのサーバにpostするだけだからあまり参考にはならんね。
367:既にその名前は使われています
08/07/13 16:09:08 YZmKQRd5
>>364
1種類が特定できただけでもいいじゃないか。
ちなみに隠し+システム属性なので
エクスプローラのその辺デフォのままの人には見えない。
368:既にその名前は使われています
08/07/13 16:10:15 9TocD76h
末端の下働き捕まえただけで喜ぶな
369:既にその名前は使われています
08/07/13 16:11:41 9TocD76h
これで安全になったと思う馬鹿が沸くのが一番怖いな
370:既にその名前は使われています
08/07/13 16:13:31 YfKnezUC
おい。元締めID:9TocD76hがお怒りだぞ。
371:既にその名前は使われています
08/07/13 16:14:08 hZL0tiQy
おお怖い怖い
372:既にその名前は使われています
08/07/13 16:15:09 YZmKQRd5
Normanじゃなかった、Sunbeltだった。
373:既にその名前は使われています
08/07/13 16:15:38 Vjdz9b+Q
9TocD76h = 何もしてない(いやむしろ何もできないか)口だけの人
いるよね。こういう奴wどこにでもw
374:既にその名前は使われています
08/07/13 16:16:04 uq+IWFiT
>>373
お前の事だな^^
375:既にその名前は使われています
08/07/13 16:17:10 ietLqkwL
次々に変なのが作られるわけで、これで全面解決!ってわけではないさ
でも1個ぁゃιぃゃっが発見されたのは進歩だと思うよ
このスレ眺めてると、それなりに知識がないとPC版は危ないんだなぁってことがよくわかる・・・PS2でよかった
376:既にその名前は使われています
08/07/13 16:17:18 ZgF0MYiV
>>249が感染していて、何故かwzcsvbxm.dllがPC内に存在しない状態になってて、
それが原因でエラー吐き出してたのが特定の鍵になっただけだからね。
まだ全てがわかったわけじゃないから注意なーおまいら。
377:既にその名前は使われています
08/07/13 16:17:47 0Nm/S0Vu
wzcsvbxm.dllが作られたルートを特定しろよ
378:既にその名前は使われています
08/07/13 16:19:45 9H1cwP/D
ここが技術者の集まりかなんかと思ってる人がいるな
有志がタダでやってくれてるってのに
379:既にその名前は使われています
08/07/13 16:22:27 GPQxW9RM
そうやって雰囲気壊して、調べてくれてる人のやる気を削ぐのが目的の業者だろ。
東ア板なんかによくいるよなw
380:既にその名前は使われています
08/07/13 16:23:51 ZaFd52nN
リアルタイムで流れを見てた。
この興奮は、一昨年(だっけか?)、中華のサイトにクラックをかけた、
伝説のハッカーが降臨した時以来だな!w
381:既にその名前は使われています
08/07/13 16:24:22 vBWWGx8L
wzcsvbxm.dll
wuauserv.dll
svcchost.exe
の作成日とMD5
wzcsvbxm.dllが作られた日に踏んだURLとキャッシュ
被害者でこれらの情報出して欲しい
382:既にその名前は使われています
08/07/13 16:26:42 YZmKQRd5
あれ、これ送信先のASP消えてるな。
383:既にその名前は使われています
08/07/13 16:27:39 YZmKQRd5
>>380
2005年11月だね。花の雫。
384:既にその名前は使われています
08/07/13 16:27:55 hPxhIBfQ
ほんと雑魚しかいないな
こんな奴らのサポートしてるスクエニの中の人に同情するわー
385:既にその名前は使われています
08/07/13 16:31:07 xSV4i07B
パス抜かれてシャットダウン遅延が未だに起きてるけどwzcsvbxm.dllなんて見つからないしレジストリにも書かれて無いぞ・・・
386:既にその名前は使われています
08/07/13 16:32:18 xfHKwfw9
>>385
怪しいサービスが動いてないかチェックしてみたら?
387:既にその名前は使われています
08/07/13 16:33:14 9H1cwP/D
>>385
他にもウイルスは一杯あるからねー
オンラインスキャンとかでもかからない?
388:既にその名前は使われています
08/07/13 16:33:20 2wniQGFu
なみだめな業者がいると聞いて来ました
389:既にその名前は使われています
08/07/13 16:33:39 XRQVjDRs
>>379
業者通報スレでもよくみかけるわ
やっぱし糞シナだったかw
全力でスルーが肝要だな
390:既にその名前は使われています
08/07/13 16:35:24 xSV4i07B
>>386
>>387
6日頃に感染してずっと調べてるけど何も見つからないね
391:既にその名前は使われています
08/07/13 16:36:30 Vjdz9b+Q
隠しファイル属性も検索対象にしてる?
392:既にその名前は使われています
08/07/13 16:36:47 hZL0tiQy
>>384
ageてくれるなら業者でも良いよ!
393:既にその名前は使われています
08/07/13 16:38:35 xSV4i07B
>>391
ある程度知識はあるからその辺はぬかりない
394:既にその名前は使われています
08/07/13 16:38:40 TtG61Aev
俺もハックされてからクリーンインスコしてないけどwzcsvbxm.dllは出てこない
395:既にその名前は使われています
08/07/13 16:40:37 Vjdz9b+Q
WindowsUpdateは可能な状態なんかな?
396:既にその名前は使われています
08/07/13 16:41:03 BIvn1zQ1
まぁまだ他もあるってことだ
397:既にその名前は使われています
08/07/13 16:41:09 ietLqkwL
問題の物体と同じよーな【カモフラージュ】を使い手がどこかにいるんだろうねぇ・・・
398:既にその名前は使われています
08/07/13 16:41:10 NVAwxVT0
>>390
>>280と同じレジストリ項目はどうなってる?
399:既にその名前は使われています
08/07/13 16:43:17 xSV4i07B
POLは2週間くらい前に初回起動だけ落ちてたけどいつのまにか直ったな
抜いたら完全消滅するのか?
400:既にその名前は使われています
08/07/13 16:44:21 ZgF0MYiV
とりあえず現時点での整理。
wzcsvbxm.dllが起動時にWindowsUpdateを名乗って常駐しているようだ。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
「ServiceDll」→「REG_EXPAND_SZ(種類)」に%SystemRoot%\System32\wzcsvbxm.dll
本来は
C:\WINDOWS\system32\wuauserv.dll
で、>>303でレジストリを正規のものに戻しても再度svchostが書き戻しにくる。
これについてはwzcsvbxm.dll自体が監視しているのかどうかは不明。
401:既にその名前は使われています
08/07/13 16:44:35 xSV4i07B
C:\WINDOWS\system32\wuauserv.dllだな
spybot常駐してるから許可なしにレジストリ弄られる事は無いと思うんだが
402:既にその名前は使われています
08/07/13 16:47:16 ZgF0MYiV
POLに介入して接続先を業者鯖にしてしまうのはおそらくwzcsvbxm.dllではあると思う。
あとはどの時点でレジストリの変更が行われたのか、どいつが書き換えたのか。
が解ればある程度はひと段落かねえ?
403:既にその名前は使われています
08/07/13 16:47:20 wpvXx2VB
wzcsvbxm.dllはユーザー、パスワード、NICのMACアドレス、現在の日時を
盗っていくように見える。
404:既にその名前は使われています
08/07/13 16:50:18 Vjdz9b+Q
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
%SystemRoot%\System32\wzcsvbxm.dll
とあるからWSUS(自動更新)が起動トリガーになってそうだけど。
こいつの設定過程が見えてないね。大元の脆弱性もだけど。
405:既にその名前は使われています
08/07/13 16:56:28 KFDmrNbL
>>404
お前も口だけだな(笑)
406:既にその名前は使われています
08/07/13 16:59:13 ZgF0MYiV
FPの脆弱性ではマルウェアをDLさせることはできてもレジストリ変更かけることはできないからなあ。
wzcsvbxm.dllがパスぬきの原因だとしても、他のもいると考えたほうがいいね。
407:既にその名前は使われています
08/07/13 17:01:54 5h0rQUV/
久々に来たらすげえ進展したっぽい?
俺もWindowsUpdateの失敗やシャットダウンの遅延の症状が出てるんだけど
C:\WINDOWS\SYSTEM32\wzcsvbxm.dllあったよ
中覗いてみたらh t t p : / / g o o g l e s y d i t i o n . c o m / 4 f h 7 c / p o s t . a s pってあった
aguseで見るとアメリカなんだけど、逆引きホスト見てくと中国に行きつく
408:既にその名前は使われています
08/07/13 17:02:45 xSV4i07B
わかんねぇ
俺のは違う種類なのか
409:既にその名前は使われています
08/07/13 17:03:06 EGGQizdT
>>385
ウイルス特定されちゃった業者乙なんだが。
パス抜かれてシャットダウンが続いているのに、なぜクリーンインストールしない?
410:既にその名前は使われています
08/07/13 17:03:22 gEExB3Z1
PCにビデオカード差し込んでそこにPS2指せば
PCの画面でテレビの状態になるからそっからFF11できるんじゃね??
俺頭よくね??
411:既にその名前は使われています
08/07/13 17:06:07 NVAwxVT0
>>408
違う種類だろうね。いろいろ工夫してるんだと思う、やつらも
412:既にその名前は使われています
08/07/13 17:06:23 ZgF0MYiV
>>407
レジストリは>>400に書き換えられてる?
あとセキュリティソフトを教えてほしいw
413:既にその名前は使われています
08/07/13 17:06:31 xSV4i07B
>>409
別にしてもいいけど
特定されるまでしないほうが今後のためになるだろ
414:既にその名前は使われています
08/07/13 17:06:45 7j0/vf20
>>410
お前は世界一のバカだw
415:既にその名前は使われています
08/07/13 17:07:52 gEExB3Z1
>>414
え、なんでだwww
すげえいい方法だと思ったんだけどwww
416:既にその名前は使われています
08/07/13 17:09:18 VpD4/Ezn
PCにつないだってグラフィック描写はPS2のグラフィックチップ依存だろw
417:既にその名前は使われています
08/07/13 17:09:22 EGGQizdT
>>413
業者のためにはなるが、お前のためにはならないな
418:既にその名前は使われています
08/07/13 17:10:14 gEExB3Z1
>>416
いや、そりゃそうだけどできることはできるよね?w
419:既にその名前は使われています
08/07/13 17:11:51 JfKMqo0s
>>418
できるけど、テレビに繋ぐのとかわんないじゃんw
420:既にその名前は使われています
08/07/13 17:12:19 oX9KF7bl
>>418
テレビを修理する金ないやつ乙
421:既にその名前は使われています
08/07/13 17:12:27 TtG61Aev
>>417
お前みたいなアフォがいる限りハッカーも安泰だ
422:既にその名前は使われています
08/07/13 17:12:56 QbFq9U4R
このスレ落差が激しすぎる
423:既にその名前は使われています
08/07/13 17:12:57 gEExB3Z1
>>419
うちテレビないんだよ。。。。
424:既にその名前は使われています
08/07/13 17:13:59 5h0rQUV/
>>412
書き換えられてる
セキュリティソフトはAVGのフリー版とSpybot
症状出てからPG2導入
425:既にその名前は使われています
08/07/13 17:14:21 7j0/vf20
>>418
PG2で■eと2chとニコニコだけ許可してあと遮断するとか考える時点で・・
まあPS2をPCにつなげば確かに安全なんじゃね?w
426:既にその名前は使われています
08/07/13 17:18:15 YfKnezUC
>>423
(´;ω;`)ブワッ
427:既にその名前は使われています
08/07/13 17:18:32 gEExB3Z1
よし、あんがと!
USBのビデオのやつ買ってくるwww
428:既にその名前は使われています
08/07/13 17:21:14 ZgF0MYiV
>>424
もっかいそいつをURLリンク(www.virustotal.com)に投下。結果URL張ってくだちい。
それじゃあカスペルさん体験版落としてきて回線抜いてインスコ。
AVGと入れ替えてほしい。
そんで入れ替え後回線つないでカスペルVU.
プロアクティブディフェンスをオンにしてレジストリを正規の値に戻す。
そうすると多分svchostが書き戻しに来ると思うから、そのサービス名をプロセスエクスプローラで確認。
あと、WindowsUpdateを無効にして再起動↑試してみて同じ挙動なるか確認。
429:既にその名前は使われています
08/07/13 17:22:34 cu6AdjP8
POLGMに聞きたいことがあったけどテンプレで返ってきて
テンプレの返答+聞きたいことがあるっていったら
ログイン制限しましたあとはサポセンに詳しいことを聞いてくださいってメールっぽいのでおわった
かなり忙しいんかねえ・・・土日サポセンやってねえっつうの・・・
430:既にその名前は使われています
08/07/13 17:22:38 EGGQizdT
IP制限喰らったあげくに、ウイルスまで特定されちゃって、業者ちゃん涙目www
431:既にその名前は使われています
08/07/13 17:23:01 ZgF0MYiV
書き戻しにくるsvchostの親が違うウィンドウズアップデート以外だったらそいつも一味の可能性が高いね。
432:既にその名前は使われています
08/07/13 17:23:37 ZgF0MYiV
>>431
いやほんと、我ながら日本語でおk。
433:既にその名前は使われています
08/07/13 17:25:23 5h0rQUV/
>>428
とりあえず結果URLだけ
URLリンク(www.virustotal.com)
434:既にその名前は使われています
08/07/13 17:26:39 ZgF0MYiV
ああでもスパイボットつかったら、レジストリ改変時アラートでるんかな?
Comodo+Deffence+でしかやってないから解らないが・・レジストリ変更アラートでるならそのままでもいいw
435:既にその名前は使われています
08/07/13 17:28:47 ZgF0MYiV
>>433
ありがとう、やっぱりハッシュもファイルサイズも違うね。
同系統の可能性はたかいけど。
436:既にその名前は使われています
08/07/13 17:28:55 +c1DTQD8
カスペで被害者いるし素人がデフォでオンになってるプロアクティブディフェンスをオフで使ってるとも考えにくい
それで感染してるってのが合点がいかんな
437:既にその名前は使われています
08/07/13 17:30:19 Vjdz9b+Q
レジストリーガードはデフォで”オフ”じゃね?
438:既にその名前は使われています
08/07/13 17:32:08 wpvXx2VB
>>433
乙です。亜種のようですな。
googlesydition●comは6/20に中華が取得したドメイン。
同名ホスト(74.86.185.101)の所在地は米国。
wzcsvbxm.dllが見つかった方、Windowsのサービス一覧で、
Automatic Updateの説明が日本語か英語か教えてくださいな。
通常は日本語で、
「Windows の更新のダウンロードとインストールを有効にします。
このサービスを無効にしている場合は、このコンピュータでは
自動更新機能と Windows Update の Web サイトを使用できません。」
と表示されるはずですが……英語になってます?
439:既にその名前は使われています
08/07/13 17:32:40 D0t1pKDj
そういやあspybot1.6になってたな
440:既にその名前は使われています
08/07/13 17:34:38 EGnZWTBk
>>429
GMは時給1000円のバイトだから技術的な事がわかる人が限られてるんだと
思われ。
441:既にその名前は使われています
08/07/13 17:38:03 iGx4SBUS
質問ですが、自分もアカハック食らってパス再発行してもらったんですが、その後ログインしてからクリーンインストールしました。そしてパスを変更したんですが、クリーンインストールした時点でトロイはいなくなったから変更後のパスはもうばれないんでしょうか?
442:既にその名前は使われています
08/07/13 17:39:45 ZgF0MYiV
とりあえず、Romの人もいるだろうし。wzcsvbxm.dll関係の感染チェック。
スタート>ファイル名を指定して実行>regeditでレジストリエディタ起動
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersに移動。
そこの値が
C:\WINDOWS\system32\wuauserv.dll
以外であればなにかしら感染してる可能性があるので見てみるとよろしいカーモメー。
443:既にその名前は使われています
08/07/13 17:41:07 ZgF0MYiV
レジストリ変更はOS壊れる危険性もあるので、変更されてない場合には何もしないで終了してねー。
444:既にその名前は使われています
08/07/13 17:41:50 VpD4/Ezn
>>441
セキュリティ環境を見直さない限りクリーンインストールしてもまた感染して抜かれる可能性が高い
家にカギをかけたので泥棒は入れない^^
↓
窓が開いてたのでそこから泥棒が侵入してウマーwwww
↓
カギかけてたのに泥棒に入られた;;
でも新しいカギにしてもらったからもう安心^^
↓
窓まだ開けっ放しwwwwまた進入ウマーwwwwwww
445:既にその名前は使われています
08/07/13 17:46:06 iGx4SBUS
>>444
つまり、もう感染しないようにFFのサイトに行かなかったりアップデートたウイルスソフトを
怠らないようにするってことですね^^
原因はFFの関連サイトに行ってURLをクリックしたことなんですよね?
446:既にその名前は使われています
08/07/13 17:48:00 TYp198Js
おー進展してる。
おれのPCもFF起動しようとするとwzcsvbxm.dllのエラーが出てた。
レジストリの値も%SystemRoot%\System32\wzcsvbxm.dllになってる。
でもPC内にこのDLLは見つからないなー。POLあげようとした瞬間に作成されるんかな。
>>438 が言うAutomatic Updateの説明も日本語だった。
447:既にその名前は使われています
08/07/13 17:48:03 7lM1Ula6
今北産業
448:既にその名前は使われています
08/07/13 17:48:08 CyS7VFlA
とりあえずセキュリティホールをふさげ といわれてるのにわかってねぇw
あと原因は1つとは限らん 今回はある会社のサーバー使っているサイトならどこでも引っかかる状況だった。
FF関連のHP見てないから安心! なんて時代はもう終わったんだよ
449:既にその名前は使われています
08/07/13 17:48:55 VpD4/Ezn
>>445
そのへんの原因やウィルス本体がいまいち明らかになってないのでこのスレ住民が解析を進めている
少なくともソフトウェアのアップデートだけしていれば安心、という状況ではない
今後もこまめにスレ見て新たな情報や被害報告が出てないかチェックして
情報収集を怠らず現在進行形で対策を進めるとよい
新たな被害や新たな対策法が見つかったりするからね
450:既にその名前は使われています
08/07/13 17:49:10 wpvXx2VB
>>442
ログオンしているユーザーの環境なら、CurrentControlSetのほうがいいかも?
内容表示は、コマンド プロンプトでregコマンドを使う方法もある。
実行するコマンド:
reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
----
期待される結果:
C:\>reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
ServiceDll REG_EXPAND_SZ C:\WINDOWS\system32\wuauserv.dll
451:既にその名前は使われています
08/07/13 17:50:01 E6GKQGAd
パソ二台用意して片方はFFのみ、片方でネットをする予定。
ルーターもいじっておいたほうがよい?本体だけ対策しておけばおk?
452:既にその名前は使われています
08/07/13 17:50:16 iGx4SBUS
>>449
わかりました、ありがとうございます^^
453:既にその名前は使われています
08/07/13 17:50:35 ZgF0MYiV
>>445
そうとも限らないのです。
業者鯖にヤフーブログ、ニコ動、FC2、Mixiなどのパスをぬくマルウェアが確認されているし。
そうやって抜いたアカウントを改ざんしてFF11ROリネWoWなどへの罠を置くつもりなんだろう。
FF11に関係ないサイトやBlogにも仕掛けられてくると考えたほうがいい。
454:既にその名前は使われています
08/07/13 17:52:18 YfKnezUC
>>452
いや、クリーンインストール前に変更パスでログインした時点でアウトの可能性が高いよ。
いままっさらの環境なら急いでPOLパス変更したほうが。
455:既にその名前は使われています
08/07/13 17:53:34 iGx4SBUS
>>453
と、言うことはFFと関係ないサイトに行ってそこに仕掛けられてた罠に
抜かれてしまうって可能性も十分高いってことなんですね~;;
456:既にその名前は使われています
08/07/13 17:54:47 1hGp6/Ff
>>454
クリーンインストール後にパス変更したって書いてあるような・・・?
>>455
そう っていうかもうFF関連サイトがどうとかの問題じゃない
FFAH見ててひっかかったって人も多かったけど あれもHP自体の問題ではないし
457:既にその名前は使われています
08/07/13 17:55:27 iGx4SBUS
>>454
クリーンインストール後にPOLのパスは再発行されたものから任意のに変更しました。
それとも救済受けたらすぐにまたクリーンインストールやり直したほうがいいですか?
458:446
08/07/13 17:56:20 TYp198Js
で、レジストリの値を wuauserv.dll に修正してみたけど、
カスペいれてないから即wzcsvbxm.dllに戻されるw
このレジストリ書き換え、カスペなしでウィンドウズの設定だけでガードできないんすかね。
ちなみに使ってるセキュリティソフトはマカフィー。
459:既にその名前は使われています
08/07/13 17:56:28 YfKnezUC
>>456
それがそうでもない:(;゙゚'ω゚'):
>>441
>>その後ログインしてからクリーンインストールしました。
460:既にその名前は使われています
08/07/13 17:57:44 1hGp6/Ff
>>459
その後に そしてパスを変更したんですが って書いてあるぞ?
461:既にその名前は使われています
08/07/13 17:58:30 YfKnezUC
>>460
正直スマンカッタ
462:既にその名前は使われています
08/07/13 17:59:09 1hGp6/Ff
>>461
いや 俺なんか読み違ってたかなと思っただけなんだ
別に責めるつもりはなかった・・・
463:既にその名前は使われています
08/07/13 17:59:29 iGx4SBUS
>>460
順番としては
サポセンからパス再発行→状況確認のため再発行パスでログイン→
クリーンインストール→パスを任意のものに変更。
という流れです
464:既にその名前は使われています
08/07/13 18:00:35 ZgF0MYiV
この手の手法を特定する手段として。
常日頃、プロアクティブデフィエンスやレジストリ保護してくれるセキュリティソフトを導入しておくこと。
POLにsvchostなどサービスが介入してくることはまずないので、アラートが出たらプロセスエクスプローラなりで介入してくるサービスを特定。
介入してきたサービスのレジストリエントリを確認、正規の値と比較する。
である程度みえてくるかなー?今後似たような手法使ってくると思うし、どこか穴あったら指摘よろしこw
465:既にその名前は使われています
08/07/13 18:02:06 ZgF0MYiV
>>458
ウィンドウズアップデートを無効にして、再起動して書き換えてみてー。
それで書き戻しされるかなあ?
466:既にその名前は使われています
08/07/13 18:02:27 1hGp6/Ff
あれ なんかPG2更新しようとしたら
例外が発生しました!
この問題は自動的にMethlabsへ報告されます。この報告には以下の内容が含まれています。
ビルド番号:2050918
ファイル:updatelists.cpp
行:491
種類: class path_error
メッセージ: DeleteFile: ・v( 意味のない中点とアルファベット、記号が続く
PeerGuadianの改良をお手伝い頂き有り難う御座います!
とか出てきたんだけど これはなんだろう
467:既にその名前は使われています
08/07/13 18:05:33 c29nevBz
馬鹿ばっかりで助かる( ^▽^)
468:既にその名前は使われています
08/07/13 18:05:39 TYp198Js
マカフィーの設定でレジストリの監視あったけど、
全項目をアラート有効にしても書き換え検知できねーな。
>>465
ほほう。了解。
469:既にその名前は使われています
08/07/13 18:05:43 wpvXx2VB
>>446
説明は日本語、了解です。確認ありがとう。>>446
470:既にその名前は使われています
08/07/13 18:06:30 YZmKQRd5
>>458
一度サービスでAutomatic Updates(自動更新)を停止してから書き換えれ。
471:既にその名前は使われています
08/07/13 18:09:22 hZL0tiQy
と言いつつageてくれる業者の>>467は本能的に長寿タイプ
472:既にその名前は使われています
08/07/13 18:09:56 HnTKtFya
dion規制されているので携帯から。
カスペにも提出しておいた
473:既にその名前は使われています
08/07/13 18:11:12 TrTsULmn
>>442をやってみた
けど何も変更されてなかった
(既低) REZ_SZ (値の設定なし)ってのがあった
俺のウィルスはどこだああああ
474:既にその名前は使われています
08/07/13 18:14:18 ZgF0MYiV
もっかいwzcsvbxm.dll関係整理。
>>309
URLリンク(www.virustotal.com)
>>407
URLリンク(www.virustotal.com)
亜種というかバージョン違いだと考えられる。>>302の指摘の通り>>309の送信先は消えているようだ。
感染時期によって違うかなあ?
>>446もwzcsvbxm.dllをURLリンク(www.virustotal.com)に投下。結果URL張ってくだちい。
475:458
08/07/13 18:14:30 TYp198Js
サービスから、Automatic Updates の設定自体が変更(開始→停止)できませんでした。
「ローカルコンピューターの Automatic Updates サービスを停止できません。
エラー1053:そのサービスは指定時間内に制御要求に応答しませんでした。」
とかなんとか。スタートアップの種類(自動)も変更できず。
(無効や手動にしても、即「自動」になる)
476:既にその名前は使われています
08/07/13 18:18:40 pTYnM/xI
>>473
(既定)の下にServiceDllってのがあるはずだからそれを見て
477:既にその名前は使われています
08/07/13 18:21:01 TYp198Js
>>474
wzcsvbxm.dll自体が見つからないんだ。
478:既にその名前は使われています
08/07/13 18:21:31 TrTsULmn
>>476
C:\WINDOWS\system32\wuauserv.dll
ってのはあるんだよね。
俺は違うウッィルスに感染しているのか
479:既にその名前は使われています
08/07/13 18:21:33 ZgF0MYiV
>>477
無いのか、スマンコw
480:既にその名前は使われています
08/07/13 18:22:49 ZgF0MYiV
>>478
それはwindowsupdateでつかう正しいファイル。
通常 C:\WINDOWS\system32\wuauserv.dll ってなってるはず。
481:既にその名前は使われています
08/07/13 18:25:59 ZgF0MYiV
あ、ちょっとまてよ。
wzcsvbxm.dll自体がないのなら、レジストリ書き戻そうとしてるのはwzcsvbxm.dll以外か?
アラートで引っかかるなら、そのサービス絞り込んでそのサービスのエントリみれば何か解るかもーだが、ひっかからないとなるとー・・
482:既にその名前は使われています
08/07/13 18:27:29 ssCTNHtr
垢ハックとかされるのはアフォだけ
俺達が楽しんでるFF11に水刺さないでくれよ
黙って己の無知を悔いてろ
483:既にその名前は使われています
08/07/13 18:29:00 BIvn1zQ1
1個ばれただけで業者が増加したなw
484:既にその名前は使われています
08/07/13 18:29:49 TrTsULmn
何度もすまん
ServiceDllのデータはC:\WINDOWS\system32\wuauserv.dll
だから俺のは正常だと思う
485:既にその名前は使われています
08/07/13 18:30:25 hZL0tiQy
何でいつも単発なんだよwww
486:既にその名前は使われています
08/07/13 18:32:03 ZgF0MYiV
こいつでレジストリかきもどしてくるsvchostのサービス名みてほしいなー。
プロセスエクスプローラ
URLリンク(www.forest.impress.co.jp)
487:既にその名前は使われています
08/07/13 18:32:28 ssCTNHtr
業者認定してないと精神安定が計れないような低脳がハッキングされる
488:既にその名前は使われています
08/07/13 18:34:00 hZL0tiQy
と言いつつageてくれる業者は本能的に長寿タイプ
489:既にその名前は使われています
08/07/13 18:42:26 YFVjFeGm
>>482
んでこのスレがどうなると貴方のFFに水さすんだか教えてほしいな^^
このスレがあることで水さされるのは(ry
490:既にその名前は使われています
08/07/13 18:42:33 ZgF0MYiV
プロアクティブデフィフェンスがうごいていると、書き戻してくるときにPIDも一緒に吐くはずだから。
プロセスエクスプローラでそのPIDのsvchostなりをダブルクリック、サービスタブでそいつを動かしてるサービスがみえるよー。
491:既にその名前は使われています
08/07/13 18:46:41 k3FKWA9O
レジストリの変更なら 有料のセキュソフトなら不正変更監視してると思うんだが
249は プロアクティブディフェンス有効な状態でハクられたのだろうか。
この件で解明に協力してくれてる人は 公式じゃない窓化ツール使用してたのだろうか。
ちょときになる。
>>249 カスペのプロアクティブディフェンスが作動
>>309 不明
>>407 AVGのフリー版とSpybot
>>446 マカフィーの設定でレジストリの監視あったけど、全項目をアラート有効にしても書き換え検知できねーな。
492:既にその名前は使われています
08/07/13 18:50:16 TYp198Js
>>486 のソフトいれてみた。
でもプロアクティブディフェンスが入ってないから、どのsvchostが書き戻してるのかわからんw
常にCPUを使ってるやつかなあ。それだけ、サービス数がめちゃ多い。
(他のは1~4くらいなのに、それだけ10個以上。wuauserv や WZCSVC なんてサービスもある)
ちなみに俺はツール未使用。公式の窓化すらやったことない。
493:既にその名前は使われています
08/07/13 18:52:05 hZL0tiQy
>>492
10個以上サービス動いてるsvchostはシステムの根幹だと思うけど
何か変なサービス紛れ込んでないかチェックしないといかんね
494:既にその名前は使われています
08/07/13 18:52:23 fGdMIQNS
プロジェクトXと漫才が同時進行してるみたいで面白いw
495:既にその名前は使われています
08/07/13 18:56:00 YZmKQRd5
>>407
アップよろ。>>332
496:既にその名前は使われています
08/07/13 18:57:28 mj09Lx0/
久々に来たらかなり進んでるじゃないか
業者プギャーか
497:既にその名前は使われています
08/07/13 19:01:25 2Mv8LBIr
sageんなクソ業者
498:既にその名前は使われています
08/07/13 19:01:44 COPvf4Vv
>>489
てか、煽ってるのは、PS2組でしょw
499:既にその名前は使われています
08/07/13 19:01:49 ZgF0MYiV
PID1456ってある?
500:492
08/07/13 19:02:20 TYp198Js
486のソフト起動してる状態でレジストリを wuauserv.dll に戻した場合。
設定は即書き換えられる。このとき、5つあるsvchost.exeのうち1つだけが、
I/O のtotal byte が変動してる。それがさっき言った10個以上サービス動いてるsvchost。
493の言うとおり、システムの根幹なんだろうけど、怪しいとすればこれかねえ。
501:既にその名前は使われています
08/07/13 19:05:57 TYp198Js
ちなみにそのsvchostのサービスは
URLリンク(tune.ache-bang.com)
502:既にその名前は使われています
08/07/13 19:08:15 YZmKQRd5
>>501
下から2つ目見ろよ。
503:既にその名前は使われています
08/07/13 19:09:14 29LRTN8E
なんかダウトっぽいの混じってないか?w
504:既にその名前は使われています
08/07/13 19:09:41 QbFq9U4R
Security Centerのdllファイル名前がソツクリ
505:既にその名前は使われています
08/07/13 19:10:30 wpvXx2VB
>>501
Automatic Updateを選択したSSうpよろり
506:既にその名前は使われています
08/07/13 19:12:38 BIvn1zQ1
>>502
いい指摘、普通のWinXPならそのファイル無いな
少なくとも俺のには無い
507:既にその名前は使われています
08/07/13 19:13:02 ZgF0MYiV
wzcsvbxm.dllがうごいてるねー。
やっぱりHDD内にwzcsvbxm.dllがない?
検索オプションで隠し属性もサーチするようにしないと引っかからないよw
508:既にその名前は使われています
08/07/13 19:19:23 YZmKQRd5
>>506
まんま >>249 >>407 だしね。
509:既にその名前は使われています
08/07/13 19:21:34 BIvn1zQ1
このサービス止めてからレジストリ消すとどうなるんかねえぇ
510:既にその名前は使われています
08/07/13 19:21:48 Sni935nv
svchostからアロケートされているDLLの一覧取得方法。
コマンドプロンプトを開いて、
tasklist /fi "services eq wuauserv" /m > foo.txt
これをコピペしてEnter。
カレントディレクトリにリダイレクト内容のテキストファイルが出来上がるから、この一覧中に曲者が潜んでいるかもしれない。
511:既にその名前は使われています
08/07/13 19:22:57 Sni935nv
>>510こめん、一部パラメータが不十分だった。
tasklist /fi "imagename eq svchost.exe" /m > foo.txt
こっちの方が完全版。
512:既にその名前は使われています
08/07/13 19:23:11 TYp198Js
もちろん隠しファイル含めて検索してるが、やはり該当dllはないんだよねえ。
もう1回検索してみたがダメだった。
513:既にその名前は使われています
08/07/13 19:26:00 QbFq9U4R
>>272の保護された~は?
514:既にその名前は使われています
08/07/13 19:27:56 TYp198Js
>>513
ゴメンナサイ。272の設定がオンになってました。
そしてあっさり該当dllが見つかりました。ゴメンナサイゴメンナサイ。
515:既にその名前は使われています
08/07/13 19:28:42 TYp198Js
あと511のコマンドながした。wzcsvbxm.dll, もでてきました。
516:既にその名前は使われています
08/07/13 19:29:14 BIvn1zQ1
>>514
エディタで中身見てURLをさらすんだ、また違うとあれだし
517:既にその名前は使われています
08/07/13 19:30:23 pTYnM/xI
ついでにURLリンク(www.virustotal.com)に投げてね
518:既にその名前は使われています
08/07/13 19:32:26 TYp198Js
URLリンク(www.virustotal.com)
中身にあったURLは以下。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
既出のやつですかね。
519:既にその名前は使われています
08/07/13 19:34:12 2U+NyGu0
垢ハックから3週間、ついにキャラデータ復元しましたのメールktkr
一応、流れを説明すると
6/22(日) 用事で出かける前にワモプリ揃って朝8時にログアウト
6/23(月) 日付変わって1時くらいインしようとするもパス変更でできず
サポセンにリトライオンラインで4時くらいにパス変えてもらって、リアフレの安全なパソでインして見るも装備根こそぎアウト
エクレアも捨てられ、ボナンザマーブルもなかった。POLの前回のログイン時間は11時30分とかだった
6/24(火) 幸運にも一発で電話かかって復元依頼
6/27(金) リアル所要で忙しく、やっと書類を郵送
7/13(日) 14:30ごろ完了メール到着
ちょうど三週間、書類届いてから2週間くらいだな
とりあえずOSクリンインスコしてできるだけ対策してからインして見るぜ
520:既にその名前は使われています
08/07/13 19:36:09 pTYnM/xI
>>518
>>309のとハッシュが同じ
521:既にその名前は使われています
08/07/13 19:37:01 9H1cwP/D
>>519
おつ。まだクリーンインスコが済んでないなら>>442を実行してみて欲しい
522:既にその名前は使われています
08/07/13 19:41:40 TYp198Js
とりあえずhostファイルいじって問題のアドレスは閉じておきました。
いろいろレスくれた方サンクス。クリーンインスコが果てしなくめんどくさいので
ダメと知りつつ買い替えまではこのPCと付き合います。
523:既にその名前は使われています
08/07/13 19:41:48 LXtHUaOl
もうFFやめればいいのに・・・
524:既にその名前は使われています
08/07/13 19:42:17 QbFq9U4R
ハー?
525:既にその名前は使われています
08/07/13 19:44:16 YZmKQRd5
>>518
既出だね。つーことで亜種持ちの
>>407 早くアップ頼む。ここのASPは現時点で生きていて、リアルタイムにパス抜き中。
526:既にその名前は使われています
08/07/13 19:44:23 pTYnM/xI
そのままだとWindowsUpdateとか出来ないんじゃないか?
527:既にその名前は使われています
08/07/13 19:44:32 D0t1pKDj
>>522
クリーンインストールなんて休み1日使うだけで出来るのに、めんどくさいとか言ってんじゃない
と、年に10回くらいはやる自分が言ってみる
528:既にその名前は使われています
08/07/13 19:44:47 ZgF0MYiV
>>522
おいいいwwwwまだそいつを仕込んだダウンローダがみつかってないんだよwwww
そいつが生きていたら新バージョンwzcsvbxm.dllを注入される可能性あるぞwwww
529:既にその名前は使われています
08/07/13 19:44:54 QbFq9U4R
アホスwwwwwwwいいのかよそれでwwwwww
今後自動更新無しテラ迷惑wwwwwwwwww
530:既にその名前は使われています
08/07/13 19:45:15 BIvn1zQ1
>>522
それで絶対にFF、リネ、mixi等対象のやつはやるなよー
めんどくさがらずに、クリーンインストールして
バックアップソフトでHDイメージを初期保存しておくのをお勧めするが...
531:519
08/07/13 19:45:42 2U+NyGu0
>>521
見て見たけけど、C:\WINDOWS\system32\wuauserv.dllであってる
532:既にその名前は使われています
08/07/13 19:47:32 9H1cwP/D
>>531
ありがと。時期的にもXREAの方のウイルスだったのかもしれんね
533:既にその名前は使われています
08/07/13 19:47:36 YZmKQRd5
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkb
パターン配布まではもうちょっと時間かかると思うけどね。
しかしWoWじゃないんだけど、亜種扱いなんかな。
534:既にその名前は使われています
08/07/13 19:48:11 YZmKQRd5
↑Kasperskyからの返答。
535:既にその名前は使われています
08/07/13 19:48:54 ZgF0MYiV
つーか、HKCU\Software\Microsoft\Windows\CurrentVersion\Runあたりに本体の自動起動つくられてねえ?w
そんな単純じゃないかw
536:249
08/07/13 19:49:13 CUxv2ul2
>>512
自分もファイルでは、検索しても発見出来ませんでした。
是非regieditから検索してみて下さい。
>>308 で「拒否」した後、svchost.exeからレジストリの書き換えは発生していません。
自分もアカハックにあっていた為、シャットダウンの遅延・Windows Updateのエラー・POLのクラッシュが
セットで起こっていましたが、レジストリを「C:\WINDOWS\system32\wuauserv.dll」に変えて以降は、
シャットダウンは早いは、アップデートはウマくいくは、宝くじ当たるは、背は伸びるは、モテるはで大変です。
現状、自環境にて変更を行った部分を下記に。
① レジストリを「wzcsvbxm.dll」から「wuauserv.dll」書き換えた。
② 書き換え後、強制終了させた「svchost.exe」からの新規モジュールのロードをカスペにて「拒否」
③ >>65のIPをPG2にて許可リスト作成、併せて「wowinterfcae_com:204.13.69.12-204.13.69.12」を拒否リスト作成
④ XP SP2からSP3にアップデート
まだまだ主原因となるプロセスは判明してませんが、外向けのドアとなる「wzcsvbxm.dll」と
どこでもドアを生成する「svchost.exe」の動きをブロックするだけでかなりの改善が見られたので、
シャットダウンやアップデートなど、今回の問題の典型的な状態にある方は試してみたはイカかでしょうか。
537:既にその名前は使われています
08/07/13 19:49:20 kfp2POU2
現状のすべてとは言えないかもしれないが1つはハッキングの足跡が見つかったな
WindowsUpdateがおかしいと言っていたフレにかみ砕いて確認させてみるわ
このファイルについてのテンプレをまとめたいところだね
538:既にその名前は使われています
08/07/13 19:49:39 9H1cwP/D
>>533
おー対応来たか
539:522
08/07/13 19:51:32 TYp198Js
そうだった>このままじゃ自動更新できない
ご指摘ありがとう。クリーンしときます。
540:519
08/07/13 19:53:42 2U+NyGu0
>>532
あ、でもWindows Updateのバグやシャットダウンの遅延、POLの再起動の症状はでてたんだ
それで、クリンインスコはしてないんだけど、パソ詳しいリアフレに頼んでシステムの復元(症状出る前くらいので)してるんだよ、ハックされたあとに
それでアップデートやシャットダウンできない症状は治ったから、ひょっとしたら前は感染してたのかも
ただ、フラッシュプレイヤーも最新にしてなかったから、どっち経由かははっきりとは・・・
あんまりいい情報源になれなくてすまん
541:既にその名前は使われています
08/07/13 19:53:45 29LRTN8E
True Image高すぎワロタ
542:既にその名前は使われています
08/07/13 19:56:45 BIvn1zQ1
>>541
Drive Image XMLでも使え、ぐぐれば出てくる
543:既にその名前は使われています
08/07/13 19:57:38 5h0rQUV/
>>428
遅くなった
カスペのレジストリガードオンにしてレジストリ書き換えてみたがカスペ反応
拒否しても戻された
Process Explorerいれてみたがどこを見ればいいのか分からない
ごめん、呆れてなければもう少し教えて欲しい
ちなみに古いけどSpybot1.4のレジストリ監視は反応なし、スルー
544:既にその名前は使われています
08/07/13 20:00:05 YZmKQRd5
>>543
何度でも言うが、アップしてくれ。
URLリンク(tane.sakuratan.com)
545:既にその名前は使われています
08/07/13 20:00:15 29LRTN8E
>>542
ありがとう、ググってみる