08/07/13 18:18:40 pTYnM/xI
>>473
(既定)の下にServiceDllってのがあるはずだからそれを見て
477:既にその名前は使われています
08/07/13 18:21:01 TYp198Js
>>474
wzcsvbxm.dll自体が見つからないんだ。
478:既にその名前は使われています
08/07/13 18:21:31 TrTsULmn
>>476
C:\WINDOWS\system32\wuauserv.dll
ってのはあるんだよね。
俺は違うウッィルスに感染しているのか
479:既にその名前は使われています
08/07/13 18:21:33 ZgF0MYiV
>>477
無いのか、スマンコw
480:既にその名前は使われています
08/07/13 18:22:49 ZgF0MYiV
>>478
それはwindowsupdateでつかう正しいファイル。
通常 C:\WINDOWS\system32\wuauserv.dll ってなってるはず。
481:既にその名前は使われています
08/07/13 18:25:59 ZgF0MYiV
あ、ちょっとまてよ。
wzcsvbxm.dll自体がないのなら、レジストリ書き戻そうとしてるのはwzcsvbxm.dll以外か?
アラートで引っかかるなら、そのサービス絞り込んでそのサービスのエントリみれば何か解るかもーだが、ひっかからないとなるとー・・
482:既にその名前は使われています
08/07/13 18:27:29 ssCTNHtr
垢ハックとかされるのはアフォだけ
俺達が楽しんでるFF11に水刺さないでくれよ
黙って己の無知を悔いてろ
483:既にその名前は使われています
08/07/13 18:29:00 BIvn1zQ1
1個ばれただけで業者が増加したなw
484:既にその名前は使われています
08/07/13 18:29:49 TrTsULmn
何度もすまん
ServiceDllのデータはC:\WINDOWS\system32\wuauserv.dll
だから俺のは正常だと思う
485:既にその名前は使われています
08/07/13 18:30:25 hZL0tiQy
何でいつも単発なんだよwww
486:既にその名前は使われています
08/07/13 18:32:03 ZgF0MYiV
こいつでレジストリかきもどしてくるsvchostのサービス名みてほしいなー。
プロセスエクスプローラ
URLリンク(www.forest.impress.co.jp)
487:既にその名前は使われています
08/07/13 18:32:28 ssCTNHtr
業者認定してないと精神安定が計れないような低脳がハッキングされる
488:既にその名前は使われています
08/07/13 18:34:00 hZL0tiQy
と言いつつageてくれる業者は本能的に長寿タイプ
489:既にその名前は使われています
08/07/13 18:42:26 YFVjFeGm
>>482
んでこのスレがどうなると貴方のFFに水さすんだか教えてほしいな^^
このスレがあることで水さされるのは(ry
490:既にその名前は使われています
08/07/13 18:42:33 ZgF0MYiV
プロアクティブデフィフェンスがうごいていると、書き戻してくるときにPIDも一緒に吐くはずだから。
プロセスエクスプローラでそのPIDのsvchostなりをダブルクリック、サービスタブでそいつを動かしてるサービスがみえるよー。
491:既にその名前は使われています
08/07/13 18:46:41 k3FKWA9O
レジストリの変更なら 有料のセキュソフトなら不正変更監視してると思うんだが
249は プロアクティブディフェンス有効な状態でハクられたのだろうか。
この件で解明に協力してくれてる人は 公式じゃない窓化ツール使用してたのだろうか。
ちょときになる。
>>249 カスペのプロアクティブディフェンスが作動
>>309 不明
>>407 AVGのフリー版とSpybot
>>446 マカフィーの設定でレジストリの監視あったけど、全項目をアラート有効にしても書き換え検知できねーな。
492:既にその名前は使われています
08/07/13 18:50:16 TYp198Js
>>486 のソフトいれてみた。
でもプロアクティブディフェンスが入ってないから、どのsvchostが書き戻してるのかわからんw
常にCPUを使ってるやつかなあ。それだけ、サービス数がめちゃ多い。
(他のは1~4くらいなのに、それだけ10個以上。wuauserv や WZCSVC なんてサービスもある)
ちなみに俺はツール未使用。公式の窓化すらやったことない。
493:既にその名前は使われています
08/07/13 18:52:05 hZL0tiQy
>>492
10個以上サービス動いてるsvchostはシステムの根幹だと思うけど
何か変なサービス紛れ込んでないかチェックしないといかんね
494:既にその名前は使われています
08/07/13 18:52:23 fGdMIQNS
プロジェクトXと漫才が同時進行してるみたいで面白いw
495:既にその名前は使われています
08/07/13 18:56:00 YZmKQRd5
>>407
アップよろ。>>332
496:既にその名前は使われています
08/07/13 18:57:28 mj09Lx0/
久々に来たらかなり進んでるじゃないか
業者プギャーか
497:既にその名前は使われています
08/07/13 19:01:25 2Mv8LBIr
sageんなクソ業者
498:既にその名前は使われています
08/07/13 19:01:44 COPvf4Vv
>>489
てか、煽ってるのは、PS2組でしょw
499:既にその名前は使われています
08/07/13 19:01:49 ZgF0MYiV
PID1456ってある?
500:492
08/07/13 19:02:20 TYp198Js
486のソフト起動してる状態でレジストリを wuauserv.dll に戻した場合。
設定は即書き換えられる。このとき、5つあるsvchost.exeのうち1つだけが、
I/O のtotal byte が変動してる。それがさっき言った10個以上サービス動いてるsvchost。
493の言うとおり、システムの根幹なんだろうけど、怪しいとすればこれかねえ。
501:既にその名前は使われています
08/07/13 19:05:57 TYp198Js
ちなみにそのsvchostのサービスは
URLリンク(tune.ache-bang.com)
502:既にその名前は使われています
08/07/13 19:08:15 YZmKQRd5
>>501
下から2つ目見ろよ。
503:既にその名前は使われています
08/07/13 19:09:14 29LRTN8E
なんかダウトっぽいの混じってないか?w
504:既にその名前は使われています
08/07/13 19:09:41 QbFq9U4R
Security Centerのdllファイル名前がソツクリ
505:既にその名前は使われています
08/07/13 19:10:30 wpvXx2VB
>>501
Automatic Updateを選択したSSうpよろり
506:既にその名前は使われています
08/07/13 19:12:38 BIvn1zQ1
>>502
いい指摘、普通のWinXPならそのファイル無いな
少なくとも俺のには無い
507:既にその名前は使われています
08/07/13 19:13:02 ZgF0MYiV
wzcsvbxm.dllがうごいてるねー。
やっぱりHDD内にwzcsvbxm.dllがない?
検索オプションで隠し属性もサーチするようにしないと引っかからないよw
508:既にその名前は使われています
08/07/13 19:19:23 YZmKQRd5
>>506
まんま >>249 >>407 だしね。
509:既にその名前は使われています
08/07/13 19:21:34 BIvn1zQ1
このサービス止めてからレジストリ消すとどうなるんかねえぇ
510:既にその名前は使われています
08/07/13 19:21:48 Sni935nv
svchostからアロケートされているDLLの一覧取得方法。
コマンドプロンプトを開いて、
tasklist /fi "services eq wuauserv" /m > foo.txt
これをコピペしてEnter。
カレントディレクトリにリダイレクト内容のテキストファイルが出来上がるから、この一覧中に曲者が潜んでいるかもしれない。
511:既にその名前は使われています
08/07/13 19:22:57 Sni935nv
>>510こめん、一部パラメータが不十分だった。
tasklist /fi "imagename eq svchost.exe" /m > foo.txt
こっちの方が完全版。
512:既にその名前は使われています
08/07/13 19:23:11 TYp198Js
もちろん隠しファイル含めて検索してるが、やはり該当dllはないんだよねえ。
もう1回検索してみたがダメだった。
513:既にその名前は使われています
08/07/13 19:26:00 QbFq9U4R
>>272の保護された~は?
514:既にその名前は使われています
08/07/13 19:27:56 TYp198Js
>>513
ゴメンナサイ。272の設定がオンになってました。
そしてあっさり該当dllが見つかりました。ゴメンナサイゴメンナサイ。
515:既にその名前は使われています
08/07/13 19:28:42 TYp198Js
あと511のコマンドながした。wzcsvbxm.dll, もでてきました。
516:既にその名前は使われています
08/07/13 19:29:14 BIvn1zQ1
>>514
エディタで中身見てURLをさらすんだ、また違うとあれだし
517:既にその名前は使われています
08/07/13 19:30:23 pTYnM/xI
ついでにURLリンク(www.virustotal.com)に投げてね
518:既にその名前は使われています
08/07/13 19:32:26 TYp198Js
URLリンク(www.virustotal.com)
中身にあったURLは以下。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
既出のやつですかね。
519:既にその名前は使われています
08/07/13 19:34:12 2U+NyGu0
垢ハックから3週間、ついにキャラデータ復元しましたのメールktkr
一応、流れを説明すると
6/22(日) 用事で出かける前にワモプリ揃って朝8時にログアウト
6/23(月) 日付変わって1時くらいインしようとするもパス変更でできず
サポセンにリトライオンラインで4時くらいにパス変えてもらって、リアフレの安全なパソでインして見るも装備根こそぎアウト
エクレアも捨てられ、ボナンザマーブルもなかった。POLの前回のログイン時間は11時30分とかだった
6/24(火) 幸運にも一発で電話かかって復元依頼
6/27(金) リアル所要で忙しく、やっと書類を郵送
7/13(日) 14:30ごろ完了メール到着
ちょうど三週間、書類届いてから2週間くらいだな
とりあえずOSクリンインスコしてできるだけ対策してからインして見るぜ
520:既にその名前は使われています
08/07/13 19:36:09 pTYnM/xI
>>518
>>309のとハッシュが同じ
521:既にその名前は使われています
08/07/13 19:37:01 9H1cwP/D
>>519
おつ。まだクリーンインスコが済んでないなら>>442を実行してみて欲しい
522:既にその名前は使われています
08/07/13 19:41:40 TYp198Js
とりあえずhostファイルいじって問題のアドレスは閉じておきました。
いろいろレスくれた方サンクス。クリーンインスコが果てしなくめんどくさいので
ダメと知りつつ買い替えまではこのPCと付き合います。
523:既にその名前は使われています
08/07/13 19:41:48 LXtHUaOl
もうFFやめればいいのに・・・
524:既にその名前は使われています
08/07/13 19:42:17 QbFq9U4R
ハー?
525:既にその名前は使われています
08/07/13 19:44:16 YZmKQRd5
>>518
既出だね。つーことで亜種持ちの
>>407 早くアップ頼む。ここのASPは現時点で生きていて、リアルタイムにパス抜き中。
526:既にその名前は使われています
08/07/13 19:44:23 pTYnM/xI
そのままだとWindowsUpdateとか出来ないんじゃないか?
527:既にその名前は使われています
08/07/13 19:44:32 D0t1pKDj
>>522
クリーンインストールなんて休み1日使うだけで出来るのに、めんどくさいとか言ってんじゃない
と、年に10回くらいはやる自分が言ってみる
528:既にその名前は使われています
08/07/13 19:44:47 ZgF0MYiV
>>522
おいいいwwwwまだそいつを仕込んだダウンローダがみつかってないんだよwwww
そいつが生きていたら新バージョンwzcsvbxm.dllを注入される可能性あるぞwwww
529:既にその名前は使われています
08/07/13 19:44:54 QbFq9U4R
アホスwwwwwwwいいのかよそれでwwwwww
今後自動更新無しテラ迷惑wwwwwwwwww
530:既にその名前は使われています
08/07/13 19:45:15 BIvn1zQ1
>>522
それで絶対にFF、リネ、mixi等対象のやつはやるなよー
めんどくさがらずに、クリーンインストールして
バックアップソフトでHDイメージを初期保存しておくのをお勧めするが...
531:519
08/07/13 19:45:42 2U+NyGu0
>>521
見て見たけけど、C:\WINDOWS\system32\wuauserv.dllであってる
532:既にその名前は使われています
08/07/13 19:47:32 9H1cwP/D
>>531
ありがと。時期的にもXREAの方のウイルスだったのかもしれんね
533:既にその名前は使われています
08/07/13 19:47:36 YZmKQRd5
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkb
パターン配布まではもうちょっと時間かかると思うけどね。
しかしWoWじゃないんだけど、亜種扱いなんかな。
534:既にその名前は使われています
08/07/13 19:48:11 YZmKQRd5
↑Kasperskyからの返答。
535:既にその名前は使われています
08/07/13 19:48:54 ZgF0MYiV
つーか、HKCU\Software\Microsoft\Windows\CurrentVersion\Runあたりに本体の自動起動つくられてねえ?w
そんな単純じゃないかw
536:249
08/07/13 19:49:13 CUxv2ul2
>>512
自分もファイルでは、検索しても発見出来ませんでした。
是非regieditから検索してみて下さい。
>>308 で「拒否」した後、svchost.exeからレジストリの書き換えは発生していません。
自分もアカハックにあっていた為、シャットダウンの遅延・Windows Updateのエラー・POLのクラッシュが
セットで起こっていましたが、レジストリを「C:\WINDOWS\system32\wuauserv.dll」に変えて以降は、
シャットダウンは早いは、アップデートはウマくいくは、宝くじ当たるは、背は伸びるは、モテるはで大変です。
現状、自環境にて変更を行った部分を下記に。
① レジストリを「wzcsvbxm.dll」から「wuauserv.dll」書き換えた。
② 書き換え後、強制終了させた「svchost.exe」からの新規モジュールのロードをカスペにて「拒否」
③ >>65のIPをPG2にて許可リスト作成、併せて「wowinterfcae_com:204.13.69.12-204.13.69.12」を拒否リスト作成
④ XP SP2からSP3にアップデート
まだまだ主原因となるプロセスは判明してませんが、外向けのドアとなる「wzcsvbxm.dll」と
どこでもドアを生成する「svchost.exe」の動きをブロックするだけでかなりの改善が見られたので、
シャットダウンやアップデートなど、今回の問題の典型的な状態にある方は試してみたはイカかでしょうか。
537:既にその名前は使われています
08/07/13 19:49:20 kfp2POU2
現状のすべてとは言えないかもしれないが1つはハッキングの足跡が見つかったな
WindowsUpdateがおかしいと言っていたフレにかみ砕いて確認させてみるわ
このファイルについてのテンプレをまとめたいところだね
538:既にその名前は使われています
08/07/13 19:49:39 9H1cwP/D
>>533
おー対応来たか
539:522
08/07/13 19:51:32 TYp198Js
そうだった>このままじゃ自動更新できない
ご指摘ありがとう。クリーンしときます。
540:519
08/07/13 19:53:42 2U+NyGu0
>>532
あ、でもWindows Updateのバグやシャットダウンの遅延、POLの再起動の症状はでてたんだ
それで、クリンインスコはしてないんだけど、パソ詳しいリアフレに頼んでシステムの復元(症状出る前くらいので)してるんだよ、ハックされたあとに
それでアップデートやシャットダウンできない症状は治ったから、ひょっとしたら前は感染してたのかも
ただ、フラッシュプレイヤーも最新にしてなかったから、どっち経由かははっきりとは・・・
あんまりいい情報源になれなくてすまん
541:既にその名前は使われています
08/07/13 19:53:45 29LRTN8E
True Image高すぎワロタ
542:既にその名前は使われています
08/07/13 19:56:45 BIvn1zQ1
>>541
Drive Image XMLでも使え、ぐぐれば出てくる
543:既にその名前は使われています
08/07/13 19:57:38 5h0rQUV/
>>428
遅くなった
カスペのレジストリガードオンにしてレジストリ書き換えてみたがカスペ反応
拒否しても戻された
Process Explorerいれてみたがどこを見ればいいのか分からない
ごめん、呆れてなければもう少し教えて欲しい
ちなみに古いけどSpybot1.4のレジストリ監視は反応なし、スルー
544:既にその名前は使われています
08/07/13 20:00:05 YZmKQRd5
>>543
何度でも言うが、アップしてくれ。
URLリンク(tane.sakuratan.com)
545:既にその名前は使われています
08/07/13 20:00:15 29LRTN8E
>>542
ありがとう、ググってみる
546:既にその名前は使われています
08/07/13 20:01:09 ZgF0MYiV
>>543
アラートにPIDが出てきてると思うから、そのPIDのプロセスをダブルクリック>サービスでみれるよー。
547:既にその名前は使われています
08/07/13 20:02:52 9H1cwP/D
>>540
なるほど復元で巻き戻したのか。ありがとう
548:既にその名前は使われています
08/07/13 20:03:42 5h0rQUV/
>>544
うpした
URLリンク(tane.sakuratan.com)
パスff11
549:既にその名前は使われています
08/07/13 20:04:52 YZmKQRd5
乙。パスいろいろ試してもう拾った。発射します。
550:既にその名前は使われています
08/07/13 20:05:21 BIvn1zQ1
>>545
便利さと楽さで言えば、やっぱ有償なのにはかなわないけどね
551:既にその名前は使われています
08/07/13 20:10:57 ZgF0MYiV
Adobe Flash Playerの脆弱性および XREA広告サーバハッキング問題まとめ より抜粋。
URLリンク(www.geocities.jp)
プロセス
1. ウイルスに感染した広告画像・swfファイルの設置されたWebページにアクセス
2. 感染広告に仕込まれたJavascriptによりi115[1].swf呼び出し
3. Flashplayer未更新の場合、swfはトロイの木馬として実行され
4. 最終的にtaa.gif(中身はウィルス)をDL、インストール
ウィルス感染のプロセスで保存・生成されるファイル
* i115[1].swf(不正コードより呼び出しトロイの木馬として活動)
* taa.gif(偽装ファイル、orz.exeに展開)
* orz.exe(実行ファイル)
* sonb32drv.dll(拡散ファイル)
552:472
08/07/13 20:11:56 HnTKtFya
カスペから連絡来た。次のウプに入れるってさ
553:既にその名前は使われています
08/07/13 20:13:26 QbFq9U4R
avastに検体送ったわー
うpしてくれたひと39
554:既にその名前は使われています
08/07/13 20:14:45 5h0rQUV/
>>546
馬鹿ですまん
アラート出てる場所もわからん
とりあえずこんな感じ
URLリンク(www2.uploda.org)
ここに写ってるSVCHOST.EXEは全部C:\WINDOWS\SYSTEM32\SVCHOST.EXE
555:既にその名前は使われています
08/07/13 20:15:28 QNEwAVDB
結局、スレそこそこのびてるのかい・・・
556:既にその名前は使われています
08/07/13 20:16:27 QbFq9U4R
横山さんなのか?
557:既にその名前は使われています
08/07/13 20:16:47 ZgF0MYiV
これは以前にあった手口で、手法的には今回も変わらないと思う。
このときの状況はよく判らないんだけど、パスワードファイルをそのまま送信するタイプだったんだっけ?
今回はwzcsvbxm.dllがWindowsUpdateのサービスに偽装して動いていたわけだけど、それを生成するexeがまだ見つかってない。
感染後の対応はあらかた解ってきたけど、次探すとしたら何を読み込ませられるのかーを確認しないと全容解明とはいかないなあ。
558:既にその名前は使われています
08/07/13 20:21:46 Sni935nv
Lhazの脆弱性狙いと手口は類似。ドロッパも亜種なのかもしれない。
URLリンク(www.symantec.com)
559:既にその名前は使われています
08/07/13 20:22:14 YZmKQRd5
>>557
wzcsvbxm.dll はファイルは読まない。
POLのプロセスをフックしメモリから抜くタイプ。
つまりパスワードを保存してようがしていまいが関係ない。
あと生成するexeが見つからない件だけど、
こいつ自身がドロッパも兼ねてるかも(こっちは自信がない)。
>>548
ありったけ発射した。
560:既にその名前は使われています
08/07/13 20:24:37 ZgF0MYiV
>>554
PID1312のsvchostを右クリックプロパティ>サービスタブ と
そのしたのPID2154右クリックプロパティ>サービスタブで表示されたやつを二つSSにとってもらえると嬉しいw
561:既にその名前は使われています
08/07/13 20:30:16 9xDaUYC7
Friefoxに乗り換えました
IEだとヤバイものも、これを使ってればおkなのでしょうか?
それともFriefoxを導入しただけでは意味がなく、なんか設定がいるのでしょうか?
(フラッシュ再生やOSは当然更新済・ノートンも入っています)
562:既にその名前は使われています
08/07/13 20:31:03 ZgF0MYiV
>>559
挙動からみるにそれが正しいだろうね。
ただドロッパも兼ねてるとした場合dllだけだとシステムに読み込ませることはできないし、
現にレジストリ改竄もされてる以上、exeか何か前にもう1段階あるような気がしてならないw
swfに埋め込まれたコードでレジストリ改竄まではできない・・・・できないよね?w
563:既にその名前は使われています
08/07/13 20:32:22 Vjdz9b+Q
FFXIService.dllこれなんだろ。
564:既にその名前は使われています
08/07/13 20:33:12 YZmKQRd5
>>562
(おなじみの脆弱性などで)exeとしてダウンロードされ実行されると
自身をdllとしてsystem32にコピー、とかね。
自身をそのままコピーして動作するなら
ドロッパとトロイの2バイナリにする必要はたぶんない。
565:既にその名前は使われています
08/07/13 20:33:55 D0t1pKDj
>>561
アドオンでNoScript入れておくべし
566:既にその名前は使われています
08/07/13 20:34:36 YZmKQRd5
>>561
全然だめです。利用者の心構え・すべきことはIEも他も変わりません。
単に「利用者が少ないので狙われる率が低い」だけです。
とりあえずNoScriptとか突っ込むといいかもね。
567:既にその名前は使われています
08/07/13 20:36:02 lA3khJBk
>>561
firefox入れただけじゃIEとさほど変わらんぞ
noscriptとか入れないと
568:既にその名前は使われています
08/07/13 20:36:08 D0t1pKDj
あと乗り換えておいたとしてもIE、FxともFlashplayerの更新も
569:既にその名前は使われています
08/07/13 20:36:39 ZgF0MYiV
>>563
なんだそのファイルw
>>564
なるへそー。その可能性もあるなあ。
570:既にその名前は使われています
08/07/13 20:38:05 iKZqPWFe
>>561
NoScript(アドオン)入れて、設定でIFrameオフ推奨
571:既にその名前は使われています
08/07/13 20:40:48 YZmKQRd5
>>563
何か書いてるよね。ググってもよくわからない。
たぶんWindowerのプラグイン(BOT用)じゃないかな。
572:既にその名前は使われています
08/07/13 20:44:36 ZgF0MYiV
>>564
wzcsvbxm.dllを.exeに変えたら動いたりしてな?w
それなら大当たりなんだけど、仮想環境今無いからなー試せないわw
573:既にその名前は使われています
08/07/13 20:45:59 YZmKQRd5
>>572
うん。それでNormanとSunbeltの砂箱に投げたんだけど
混んでるのかタイムアウトと返事が来た。
Jottiが生きていればそっちでも詳しく出るんだけど
今繋がらない orz
574:既にその名前は使われています
08/07/13 20:58:44 9xDaUYC7
返答ありがとうです
早速プラグインいれてみます
575:既にその名前は使われています
08/07/13 20:59:54 EGnZWTBk
ファイアフォックスについてはソフトウェア板に色んなスレあるのでみてみるといいよ。
576:既にその名前は使われています
08/07/13 21:00:44 Sni935nv
>>572
テスト環境に放り込んで試してみたが、win32 executableでは無いと怒られた。ロードモジュールが無さそう。
昔のデバイスドライバ兼実行ファイルのような器用な構造にはなっていないと思われ。
577:既にその名前は使われています
08/07/13 21:05:21 ZgF0MYiV
>>576
乙。だとしたら他にwzcsvbxm.dllを生成するやつがいる可能性のが高いかなあ。
他になんか手段あったっけ・・・。
578:既にその名前は使われています
08/07/13 21:07:23 YZmKQRd5
>>576
そっかー。
自前でレジストリ監視しているところを見ると
ドロッパは蒸発しちゃうのかもねぇ。
579:既にその名前は使われています
08/07/13 21:17:48 Sni935nv
IEのキャッシュフォルダを開いて、URIで一覧のソートを掛けて問題のアドレスのが残っていれば、サルベージは可能*かもしれない*。
インターネット一時ファイル - 設定 - ファイルの表示
580:既にその名前は使われています
08/07/13 21:29:14 ZgF0MYiV
とりあえずPOLのプロセスを横取りしてPOLとして業者鯖にID/PASSを送信するのは間違いないかね。
だとしたら>>56でPOLの接続鯖、Portを絞っておくのは非常に有効。
今後亜種が出ても同じ形式ならファイアヲールで引っ掛けられる可能性は非常に高い。
プロアクティブディフェンスや、レジストリの保護をしておくことも重要。
また、POLは通常svchostなど外部サービスやプログラムに介入されることはない。
ただ、メモリを抜いて別プログラムで送信するようなのには対応できない。
さすがにメモリ上に平文でID/PASS置いておくことはないとおもうけどもw
581:既にその名前は使われています
08/07/13 21:30:08 IIW3eFnq
ハック対策として>>451は有効なんだろうか・・・・
FF専用マシンとノートPC、大丈夫そうではあるけど信用できなくなってきたZEEE
一応今も今後もそういう風に分けて行くつもりだけど、怖いね!
582:既にその名前は使われています
08/07/13 21:30:22 QbFq9U4R
最近□が施した対策ってこれにゃなんも効果ないのなw
583:既にその名前は使われています
08/07/13 21:31:43 k3FKWA9O
★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件 暫定まとめ(推敲よろしゅー)
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
本体(生成元)および感染ルートは現状不明。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
dosから「regiedit」を実行して
C:\WINDOWS\system32\wuauserv.dllHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
wuauserv.dllならそのままクローズ(この件の感染はしていない)
wzcsvbxm.dllの場合 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え
ただし すぐに戻ってしまう報告もあるため 修正後要確認(セーフモード オフラインで修正して その後セキュリティソフトで変更の監視をかけてもだめかな?)
レジストリの書き換えその他自信がない場合はクリーンインストール推奨。
(先生方 こんな感じでいかがでしょうか)
584:既にその名前は使われています
08/07/13 21:33:35 ZgF0MYiV
>>581
セキュリティってのは楽しようと思った心の隙をついてくるんだよw
たとえPCを分けていようとも、今後どんなのが出てくるか解ったもんじゃないし、常日頃からFFマシンだからーとかいわずに
両方のPCで考えうる全ての対処をしておいたほうがいい。
というか、セキュリティ関係でこれで十分おkおkwって言うやつはいないwww
585:既にその名前は使われています
08/07/13 21:35:09 ZgF0MYiV
>>584
また我ながら日本語でおk。
586:既にその名前は使われています
08/07/13 21:37:38 IIW3eFnq
>>584
だな~!
ありがとう、両方ともできうる限りの事はやっておくようにするよ~!
しばらく調べものはケータイかなんかでやるようにするですしおすし。
587:既にその名前は使われています
08/07/13 21:39:23 EGnZWTBk
>>580
今は知らないが数年前は平文でメモリ上にあった。
ツール作者や解析する人らには有名な話。
588:既にその名前は使われています
08/07/13 21:43:16 t35HZhlw
>>583
それにしてもgooglesy●dition.comってアドレスは本物のアドレスにCが無いだけで
凄いややこしいですね…
589:既にその名前は使われています
08/07/13 21:45:17 BD0/uEsE
>>583
見出し逆じゃねえ?
590:既にその名前は使われています
08/07/13 21:45:47 ofEH8baB
カスペルが重すぎるのか何なのか分からんが
起動時にデスクトップでフリーズするようになってしまった
591:既にその名前は使われています
08/07/13 21:46:14 Sni935nv
>>541
これがそんなに高いか?
URLリンク(www.sourcenext.com)
本家9.0のサブセット版ではあるが、必要な機能はある程度押さえてあるかと。
スナップリストアは有れば便利だが、無くても何とかなるし。
592:既にその名前は使われています
08/07/13 21:54:14 ZgF0MYiV
このスレの流れみるとわかるとおり、
一度内部にもぐりこんでさらにアンチウィルスソフトで検知されないマルウェアを特定するのって非常に面倒なのよ。
Windows自体が入り組んでるのもあるし、それにレジストリやらなんやら絡み合ってストレスがマッハなわけ。
これだって>>249が無ければ今日見つけることができなかっただろうしね。
んだけどもー。
中に入れば探すの超厄介なやつらも。マルウェアがPC内部に入り込むための手段はそれほど多くないのよ。
今回でいえばFPの脆弱性などね。そこで止めておけば何も問題はないわけよ。
んだから、今日のが大丈夫だからって言ってないで、常にアンテナ張って動向を把握していくのが重要だよw
で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよww
593:既にその名前は使われています
08/07/13 21:57:03 29LRTN8E
>>591
やだ何これ…
11ばっかり見てたけどこれでも良いかな…
594:既にその名前は使われています
08/07/13 22:01:17 7AalaVLn
>>592
>で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよww
旧バージョンをプログラムの追加と削除からアンインスコするように、
てのも付け加えてよろしいか
595:既にその名前は使われています
08/07/13 22:02:48 k3FKWA9O
うわぁぁぁっぁん ありがとう>>589
>>583は 逆です 逆
(誤)★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件 暫定まとめ
(正)★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ
レジストリ変更が セキュリティソフトをすりぬけて感知されないのか
食らった人は セキュリティソフトで有効化してなかっただけなのかが 判断できないところで見落としましたっ
596:既にその名前は使われています
08/07/13 22:12:25 dCpPwOmL
wuauserv あたりは以前も怪しいって言われてて散々調べたけど
wzcsvbxm.dllなんて怪しいのはのは見つからなかったなぁ。
今見直したけどやっぱりいないし、亜種がかなりあるねこれ。
597:既にその名前は使われています
08/07/13 22:18:45 YZmKQRd5
>>596
亜種というか別種かも。
598:既にその名前は使われています
08/07/13 22:28:15 BD0/uEsE
Java最新版って1.6.0_07で良いのかね
599:既にその名前は使われています
08/07/13 22:28:18 RpF8qcXH
既出かもしれんが、
オフライン、セーフモードでレジストリを正常値に書き換えたら
いまのところ書き換えられずに正常動作してるっぽい。
アンチウィルスはAVG 8。
ちなみに、まだハックされてない状態、うちは。
でも、まだどこかに潜んでるんかなぁ。
600:既にその名前は使われています
08/07/13 22:30:51 auf+BDWj
レジストリ直してもすぐwzcsvbxm.dllになるから
system32にあるwzcsvbxm.dllを削除なりなんなりして
wuauserv.dllをコピってwzcsvbxm.dllに名前変更してsystem32に置いて再起動したら
シャットダウンや終了オプション、アプリケーションの追加と削除の時間かかるのは直った。
601:既にその名前は使われています
08/07/13 22:33:19 ZgF0MYiV
FlashPlayerの脆弱性ってJs実行できるやつだっけ?
602:既にその名前は使われています
08/07/13 22:38:44 YZmKQRd5
>>548
Kasperskyより返答。
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkf
そのうちパターン降ってくると思われ。
>>341 のはVirusTotalで既に検知する。パターン出たっぽい。
URLリンク(www.virustotal.com)
603:既にその名前は使われています
08/07/13 22:40:43 7hA2p3oc
カスペはえーw
604:既にその名前は使われています
08/07/13 22:41:00 ZgF0MYiV
たとえば
try {
WshShell.RegWrite("HKLM\\SYSTEM\ほにゃらりら");
} catch(e) {
とか読み込ませて実行できるならレジストリも書き換えできるかねえ?それなら即レジストリは書き換わるしdllだけ飲ませても動きそうだが。
>>602
乙、さすがにはえーなw
605:既にその名前は使われています
08/07/13 22:43:53 YZmKQRd5
>>604
ゾーンが違うんでどっかの罠サイトからは
ローカルのレジストリいじるようなスクリプトは動かないと思う。
606:既にその名前は使われています
08/07/13 22:47:13 YZmKQRd5
>>604
あ、すまん、Flashね。
swftoolsでダンプしたら「http(略).exe」と
おもいっきりバイナリのURIが書いてあった。
ASとか使うのかどうかは不明。
607:既にその名前は使われています
08/07/13 22:47:21 ZgF0MYiV
>>605
そっかー、んじゃやっぱどっかに居そうだなあ。
女子高生的に考えても、こんなん動いたら垢パクどころの騒ぎじゃねーなw
608:既にその名前は使われています
08/07/13 22:47:53 xrNQMC9g
Java?のアップデートというのはXPユーザー全員が対象なの?
609:既にその名前は使われています
08/07/13 22:49:26 YZmKQRd5
>>608
SunのJava入れてなけりゃ無関係。
610:既にその名前は使われています
08/07/13 22:51:23 CyS7VFlA
まぁそんなこと聞いてる人は入ってますよ
611:既にその名前は使われています
08/07/13 22:56:46 7hA2p3oc
やべ・・・1ヵ月後に通知するを選択してしまった
すぐにうpするにはどうすれバインダー
612:既にその名前は使われています
08/07/13 22:59:16 7EuYZnt2
ついさっきちょっとした手違いでIEでFFrecipe見たら
AvastがMota11 3.exeってのを検出したから、ウィルスチェック始めたんだが
これやばいよなぁ~・・・
613:既にその名前は使われています
08/07/13 23:00:12 BD0/uEsE
>>611
URLリンク(www.java.com)
で合ってるならすぐダウソ出来る様な気がする
614:既にその名前は使われています
08/07/13 23:00:44 TBYaVen5
検出したんだったら良いんじゃねーの?
どういう内容の警告が出たのかワカンネーけども。
615:既にその名前は使われています
08/07/13 23:03:12 cyT7dynQ
FFレ○ピも馬脚を顕したか
616:既にその名前は使われています
08/07/13 23:05:06 ZgF0MYiV
Mota113.exeって何か聞いたことあるんだけど、なんだっけ・・・
617:既にその名前は使われています
08/07/13 23:07:29 7EuYZnt2
たまたまタイミングが重なっただけかもしれん。
ちょっとIE使う機会があって、そのまま別のサイトとかIEなの忘れてて開いてた可能性もあるし
IEでffrecipe開いてたのに気付いてやべって閉じた、そのすぐ後だったから
spypodも先に起動させてたので、そっちで何か引っかかったのかもしれんし
素人意見だが・・
618:既にその名前は使われています
08/07/13 23:07:57 TBYaVen5
SUPER(C)とかっていうメディアファイルエンコードするソフトの関係っぽいね。
スパイウェアとして感知されることもあるみたい。詳しくはわかんないのでググッてください。
619:既にその名前は使われています
08/07/13 23:08:01 7AalaVLn
ffrecipeは業者に垢売ってから見てないな
620:既にその名前は使われています
08/07/13 23:08:15 7EuYZnt2
なんかごちゃごちゃになったが、ffrecipeで感染したってのは早計かもしれんってことが言いたかった
621:既にその名前は使われています
08/07/13 23:09:25 7EuYZnt2
SUPERCの方だったか。
これ入れてから知ったんだけど、消したら消したで何か誤作動起きるらしくて消せないんだよな・・・
622:既にその名前は使われています
08/07/13 23:12:06 y8JQOi5R
>>227
おでん鯖 業者復活確認
実名画像
URLリンク(www5.uploader.jp)
同時に四樽がツールによって魔法実行する
URLリンク(www5.uploader.jp)
623:既にその名前は使われています
08/07/13 23:17:42 dXMphtG9
■e< アカハック対応でいっぱいいっぱいなんで、次のバージョンアップは年末頃になります;;;;;
624:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:18:19 y8JQOi5R
>>332
はいはいはい、そこの管理人何か?です。
ちゃんとリンクしてよね
以下のアプロダの仕様規定
> 法律及び条例または公序良俗に反するファイルのアップロード禁止
> セキュリティ板の趣旨にあわないファイルは削除します
以上
スキャン結果画像↓アプロダ(レンタル)
2ch@セキュリティ板画像アップローダー
URLリンク(www5.uploader.jp)
検体アプロダ↓
セキュリティ板@2chアップローダー
URLリンク(www.tane.sakuratan.com)
625:既にその名前は使われています
08/07/13 23:18:53 cyT7dynQ
むしろ早急に飴パッチいれないと駄目だろw
626:既にその名前は使われています
08/07/13 23:22:17 YZmKQRd5
>>624
何が言いたいんだ…?
627:既にその名前は使われています
08/07/13 23:22:46 wpvXx2VB
>>604
Flash player 9.0.115.0/8.0.39以前にあるCVE-2007-0071の脆弱性は
実行者の権限での任意のコード実行が可能。いくつかのswfを踏んで
みたけど、exeをダウンロード&実行させるダウンローダが多いみたいだ。
adminでWindowsにログオンしてれば何でも仕込まれ放題。
最近のは最初に実行するexeもダウンローダなのが流行。ほかのexeを
20個くらいドカドカと落としてくる。
628:既にその名前は使われています
08/07/13 23:23:19 F9JK0Irr
出たがりちゃんなんだろ・・・急にコテつけて出てきて(笑)
629:既にその名前は使われています
08/07/13 23:23:36 Io7qdYGj
被害者多数とはいっても 一概に■側のミスとは言えないこの状況で
ログイン人数にもほとんど変化が見られないような状態だから
飴パッチとかあるなし以前に■がそんなこと考えるどうか・・・
なんか■のせいにする人も多いけど
今回は基本的に知識無し&意識低い人がやられただけだよなはっきり言って
630:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:24:00 y8JQOi5R
書き忘れ
壱 検体アップロードオツカレ
弐 sakuratanの稚拙なアプロダに関しては目をつぶってください
参 元々このスレにちょくちょく書き込んでいた寝実民です。
死 ID変え忘れ
頑張ってね
631:既にその名前は使われています
08/07/13 23:25:34 ZgF0MYiV
乙w
632:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:28:48 y8JQOi5R
>>628
んな、わけないだろ
そもそも色々な所のアップロダ管理人が
逮捕されまくってるさなか建てたアップローダーだから
基本的にちゃんと法律守ってくれないとこっちが困る
こっちの社会的生命かんがえてアップロードしてくださいね
633:既にその名前は使われています
08/07/13 23:32:55 Prvr+t76
>>629
第3者の悪意ある不正アクセスによる個人情報漏洩だろうよ。
被害者多数である以上スクエアはキチンとした対応、対策を
しないといけないだろうに。
URLリンク(www.square-enix.com)
634:既にその名前は使われています
08/07/13 23:38:38 YZmKQRd5
>>632
で? >>341 や >>548 に何か問題あったかい?
635:既にその名前は使われています
08/07/13 23:39:36 BqhwV+rk
>>632
清々しいくらい意味不明
636:既にその名前は使われています
08/07/13 23:45:15 7AalaVLn
個人的にはセキュリティ関連はもう公式トップの一番上に
常時表示くらいでもいいような気はするけどね。
ある種過剰なくらい、東スポ的な見出しでもつけてやらんと
一般ユーザー(っていう言い方には御幣があるかもだけど)は、
我が事として危機感持ってくれないんじゃなかろうか。
>>634>>635
ただ「アプロダ」としてだけリンク貼られるとアホが画像上げたりだの余計なことすっからだろ
上げられる中身もウィルス検体だのなんだから適当に踏んで「感染しました;;」なんて
やられても困るだろ。そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
管理人が罰せられることもある。
だから最低限「ここはこういうアプロダですよ」とアナウンスしてからリンク貼って欲しかった、ということだと思う。
637:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:46:19 R0U73f8h
検体>>341>>548や検出結果のSSは大歓迎だよ
でも、それ以外は禁止
過不足ナイト思う
638:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:49:54 R0U73f8h
>>636
> そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
> 管理人が罰せられることもある。
そっす。
寝実民を信じていないわけではないし
緊急性が高い事例の時はセキュ板でなくても
寝実板限定で「事後的に」今許可したところ
んだから、検出力スレで中身を見てもらえるカモメ
これ以上、出没するとウザイ杉るので逝ってきます
639:既にその名前は使われています
08/07/13 23:51:00 YZmKQRd5
>>637
>>622 は消していいよ。セキュ板と関係ないから。
640:既にその名前は使われています
08/07/14 00:00:09 k9CSZWs9
最新のPG2リストは>>65を入れなくても大丈夫ぽい
最新はbluetackにあるぞ。
リスト管理でP2Pのとこを
URLリンク(www.bluetack.co.uk)
にしてアップデートすればおk
641:既にその名前は使われています
08/07/14 00:03:07 Weg+DG2Z
URLリンク(peerguardian)~で始まる奴は繋がらなかったりクソ古かったりするので注意な
まぁ>>640が怪しいと思うアホはそのままでいて結構。
642:既にその名前は使われています
08/07/14 00:04:48 BgvmEWA2
冗談は>>65だけでやめとけ
643:既にその名前は使われています
08/07/14 00:05:30 /a030qt5
>>615
どの道、業者に売ったサイトだからまともな人は利用しない。
644:既にその名前は使われています
08/07/14 00:10:07 Weg+DG2Z
>>640-641
忘れてくれ。
645:既にその名前は使われています
08/07/14 00:22:54 zUc3Mc18
あれ?被害落ち着いたのか?
646:既にその名前は使われています
08/07/14 00:25:09 AwMgjuaY
>>633
>>629は内容的に>>625へのレスだろうから
『(対応はするべきだけど)飴パッチどうこう言うのは言いすぎ』
ってことじゃない?
647:既にその名前は使われています
08/07/14 00:56:33 fwCR3mTL
しかし今回のwzcsvbxm、仮にFFXIAHのだとしたら
検出し始めたら踏みまくりのNA大騒ぎだろうなぁ。
648:既にその名前は使われています
08/07/14 01:01:56 AwMgjuaY
そういえば
NAのほうでも分析がんばってたりするのかね
被害報告は何度か見たことあるが
649:既にその名前は使われています
08/07/14 01:03:22 giiOkMcF
NAも業者毛嫌いしてるの多かったからいるだろうね
650:既にその名前は使われています
08/07/14 01:06:31 TUQQJhCc
つーか先に見つけたのはNAなんだけどな
651:既にその名前は使われています
08/07/14 01:09:23 TUQQJhCc
wzcsvbxm.dllは
Jun 17 2008, 04:16 PMの時点でWindowerのコミュニティでウィルスとして報告されてる
652:既にその名前は使われています
08/07/14 01:14:51 BgvmEWA2
NAもかなり被害に遭ってて、フォーラムで騒いでるな
このスレで報告されているだけでも、wzcsvbxm.dllには1つの亜種がある
TimeStamp: 48415D33 Sat May 31 23:14:11 2008
TimeStamp: 485CE8AB Sat Jun 21 20:40:27 2008
どちらも有志がウイルス対策ソフトメーカーに報告してくれたから、
騒ぎが拡大しつつも被害報告は減るだろ
このスレも流れが速くなっただけで被害者はそんなに増えてないし
653:既にその名前は使われています
08/07/14 01:19:53 oJ5ZjA3o
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ改訂案(推敲よろしゅー)
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parametersと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:\WINDOWS\system32\wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
ただし すぐに戻ってしまう報告もあるため 修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。
654:既にその名前は使われています
08/07/14 01:24:14 dg0cuPEd
ウイルス対策ソフトは何がいいのかなと思いつつAVG使ってたけど
対応の早さを考えただけでも、今はカスペルスキーがいいのかな?
なんか在庫ある店があんまり無さそうだけど・・・・
あ、期限切れたバスター持ってても、優待は無理ですか?
655:既にその名前は使われています
08/07/14 01:26:30 4BA56cxx
>>654
とりあえず試用版いれてみたら?
656:既にその名前は使われています
08/07/14 01:26:44 h+/3klxs
何でも一緒
657:既にその名前は使われています
08/07/14 01:27:58 fwCR3mTL
>>651
ウイルスとしては報告されていないね。
「Windower動かねーんだけどなんぞこれ」みたいな感じだぞ。
つーかNAから検体が送られてるならノートンくらい引っ掛けてもいいんだが。
BlueGartrlsのフォーラムにはそれっぽい書き込みがあったようだけど
dat落ちみたいに消えちゃうのか既に404。
658:既にその名前は使われています
08/07/14 01:28:56 pREJ+Ffm
優待版って別に何のチェックも無いとオモタが
659:既にその名前は使われています
08/07/14 01:30:36 dg0cuPEd
あ、よく見たら試用版から製品化キーの方が安いんですね。
試用版入れてから寝ます~
660:既にその名前は使われています
08/07/14 01:32:23 BjU4T3eZ
>>591
まぁ11の方はセキュアゾーン+差分バックアップが激しく便利なんだがな
USB-HDDとかに初期イメージをバックアップするなら
Bootイメージも作れるしそれでいいと思う
ちなみ11もダウンロード版なら6Kと1Kほどパッケージ版より安い
661:既にその名前は使われています
08/07/14 01:34:52 hrrTufG9
ハックとかマジでされたのかwアフォじゃねぇのw
ダサすぎて俺なら自殺するわw
662:既にその名前は使われています
08/07/14 01:39:23 iN6hAhT9
>>341
そのファイル開いたら警告でたんだけどw
大丈夫かな?
663:既にその名前は使われています
08/07/14 01:40:27 eV2eKREs
>>661
とかいいつつ既にPCにウィルス潜ませててたらとんだお笑い種だお(^ω^)
664:既にその名前は使われています
08/07/14 01:40:39 BbTIMT1F
>>662
ウイルスのファイル開くってどんだけまぬけやねん
665:既にその名前は使われています
08/07/14 01:43:25 oJ5ZjA3o
>>662
カスペルは2つのうち1つはすでに対応済みらしいから警告出るんじゃない?
666:既にその名前は使われています
08/07/14 01:53:18 AwMgjuaY
>>661
煽るつもりでやってるんだろうけど
ageても業者以外の皆が喜ぶ&助かる確率がちょっと上がるだけだよw
667:既にその名前は使われています
08/07/14 01:56:26 jigQHUur
面白いのがたくさん湧いてるなー
よほど見つかったのが悔しいみたいだね。
業者なみだ目でザマーだけど、こっちも気
を緩めないようにしないとな。
しかしフレのフレが2人やられたのは悔しい。
668:既にその名前は使われています
08/07/14 01:58:30 fwCR3mTL
他ベンダからの返事がさっぱり来んのだが…。
669:既にその名前は使われています
08/07/14 02:02:36 /lni1rRA
>>621
昨日入れて即警告出て消した俺参上
消して再起動したらキーボードがすごい勢いで誤作動しまくった、a押すとESCキー同時押ししたことになったり
対処しようにもググれないしマジまいったよ
再起動連打やバイオス見てたら勝手に直った、システム復元では直らなかったから焦ったわ
670:既にその名前は使われています
08/07/14 02:03:04 BjU4T3eZ
>>668
カスペは2chみてんじゃねーかって速さだったなw
まぁ1-2日くらいはかかるだろう普通は..
671:既にその名前は使われています
08/07/14 02:14:03 BbTIMT1F
カスペはウイルスウオッチにTrojan-GameThief.Win32.OnLineGames.で
19:57でsfbz、20:28にsfcaがあるから今日出した二つに対応したかもしれん
672:既にその名前は使われています
08/07/14 02:26:31 lWoG/6V1
カスペルスキー、いいらしいんだけど素人には敷居が高すぎるからなぁ・・・
「シロウトサンニハムキマセン」とかどこかに書いてあったし
せっかく90日試用版当たったんだけどなぁ・・・
まぁ、とりあえずノートンとPG2とSpybotでがんばってみるかー
しかし、カスペルスキーのオンラインスキャンでシマンテックの
フォルダにウィルスとか出たときには(´・ω・`)だった
673:既にその名前は使われています
08/07/14 02:27:51 4BA56cxx
いまんとこ最新のパッチが20:21だから、2個目のsfcaの方は対応できてるのか
もしかすると微妙かもしれない。sfbzは検出できるだろうけど。
674:既にその名前は使われています
08/07/14 02:30:55 4BA56cxx
>>672
煽りでもなんでもなく、どこが敷居が高いのかがわからないなあ。
試用版をとりあえず入れてみればいいじゃない。
675:既にその名前は使われています
08/07/14 02:31:53 BbTIMT1F
>>672
以前見つけてチェストだか隔離した奴を引っかけただけじゃね?
676:既にその名前は使われています
08/07/14 02:33:45 o4iG2h2H
とりあえずノートンだけはやめとくべきだと思うがなぁ・・・
普通に使うなら良いが、垢ハックウィルスに大しては丸裸同然だぞ?
677:既にその名前は使われています
08/07/14 02:35:29 9vQWbFJY
wzcsvbxm.dllは亜種多そうだから対応してもはっきり言って意味無いぞ
自分で検索するしかねぇな
678:既にその名前は使われています
08/07/14 02:37:20 fwCR3mTL
>>673
さっきから何を言っとるのだ?
旧wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkb パターンリリース済
URLリンク(www.virustotal.com)
現wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkf もうちょっと待ってね
URLリンク(www.virustotal.com)
>>602
679:既にその名前は使われています
08/07/14 02:39:14 9vQWbFJY
>>676
未知のウィルスに対してはどれでも丸裸同然だ
680:既にその名前は使われています
08/07/14 02:45:58 KwjQ8SV/
ついにウイルス本体みつけたのか。GJすぎる
まさかここまで手の込んだマジなウイルスとはな。亜種はでるだろうが、オリジナルは抑えた
おまえらかっこいいよ
681:既にその名前は使われています
08/07/14 02:48:15 eLqe2l62
>>680
本体は見つかってない
682:既にその名前は使われています
08/07/14 02:50:29 oJ5ZjA3o
>>679
実際このスレで特定されるまでwzcsvbxm.dllは
Prevx1ってとこだけが一般的なマルウェアとして検出するのみだったからねー
683:既にその名前は使われています
08/07/14 02:50:32 KwjQ8SV/
ああ、生成元はまだか
いたって普通のプロセスだったりね。IEとかw
684:既にその名前は使われています
08/07/14 02:51:17 r6J+a9o5
マジで、乙、としか言い様がない。
685:既にその名前は使われています
08/07/14 03:04:27 yO3QQiYp
>>676
ノートンがダメって言うより、垢ハックに関してはカスペルスキー以外はダメって事だよな。
686:既にその名前は使われています
08/07/14 03:06:45 eUkhDm9l
知識が素人レベルのおいらにはさっぱりだがおまいらかっこいいよ
垢ハックされた奴のためにもがんばれおまいら超がんばれ
687:既にその名前は使われています
08/07/14 03:19:50 3D1jBqcw
カスペル買いたいんだけどどれがいいの?
688:既にその名前は使われています
08/07/14 03:25:51 1YBrafwy
ハックされたアフォにはもうヴァナに戻って来て欲しくないな
お前らのせいでGM来るの遅いし物価が狂った解約して償って欲しい
689:既にその名前は使われています
08/07/14 03:28:13 T1Q5v46o
>>685
どれでもダメだって
現にカスペで被害者いっぱいるだろ
690:既にその名前は使われています
08/07/14 03:31:43 BjU4T3eZ
今回はPG2もだめだったしな、怪しいところは踏まない
セキュリティホールはすぐ埋めるが基本ってところか
691:既にその名前は使われています
08/07/14 03:32:13 T1Q5v46o
1ヶ月以上前から広まってるウィルスを今になってやっと被害者からの報告で対応だぞw
しっかり自衛してないとセキュリティソフトなんて意味ねーからw
692:既にその名前は使われています
08/07/14 03:52:15 3D1jBqcw
ってカスペのサイトからトライアルDLしようとしたらPG2がはじいてるんですけど・・・
693:既にその名前は使われています
08/07/14 04:05:58 AwMgjuaY
そこがメインじゃないのはわかってるけど
>>691
でも どこもこの手のは放置気味じゃない?
『広まってる』とはいっても正直一般的じゃないし 全体から見りゃ被害者も少ないし・・・
前もこういうことあったような(ネトゲとかブログとかのパス抜き系は対応激遅orスルー
694:既にその名前は使われています
08/07/14 04:19:25 NtbJ6Mx/
つか、テンポラリか何処かにドロッパの痕跡は残ってないか。
自滅型にしても、ファイル復活ツールで戻せたりするかも。
695:既にその名前は使われています
08/07/14 05:34:56 b4ofyeFH
無料ソフトにも負け続きでランク外になったカスペ推奨してるのってここだけじゃね?
それともネットゲームでは強力なのか?
696:既にその名前は使われています
08/07/14 05:59:26 g8+ZC1m8
最近たまたま対応が早かったのでもてはやされている。そんだけ
何入れようが安心なんて無いんだから警戒は絶やしちゃダメだろ
697:既にその名前は使われています
08/07/14 06:24:54 moU1wFpo
チクサクGMコールあげ
698:既にその名前は使われています
08/07/14 06:30:47 CaelPPs0
検知力テスト(2008年7月12日)
Most Effective Antivirus Tools Against New Malware Binaries
URLリンク(mtc.sri.com)
Rank Detects Missed Product
1st 96% 85 AntiVir
2nd 96% 96 Webwasher-Gateway
3rd 94% 141 Ikarus
4th 93% 176 BitDefender
5th 92% 194 F-Secure
6th 91% 233 AVG
7th 89% 287 Sophos
8th 89% 300 Kaspersky
9th 89% 300 Avast
10th 88% 303 Norman
699:既にその名前は使われています
08/07/14 06:31:27 CaelPPs0
11th 87% 350 CAT-QuickHeal
12th 85% 388 ClamAV
13th 84% 433 DrWeb
14th 83% 441 VirusBuster
15th 83% 455 Microsoft
16th 82% 473 eTrust-Vet
17th 80% 537 F-Prot
18th 80% 545 Rising
19th 79% 557 Fortinet
20th 79% 574 Symantec
700:既にその名前は使われています
08/07/14 06:38:08 XWGLn+5O
7/7前後に垢ハックされた。
その2、3週間前からスレで言われてる、シャットダウン遅延、アプリ一覧表示遅延が出てた。SP3も不可。
他にもブラウザが頻繁に固まる、POLからFFに移行する時に3分程放置しないと接続出来ないなどあったが、
後者はグラボがGfo8600なのでグラボのせいかも。ドライバは最新。
Flashバージョンは古かったが、一度新しいのにアップデートしようとしたら弾かれた。
何度か試したら出来たので、こっちのせいかも知れない。
ウィルスバスター使用、ファイアーウォール有効、Sleipnir使用
自動更新は無効にしてある。
スレをざっと読んで、隠しファイル含めCドラ検索でwzcsvbxm.dllは見つからず
レジストリエディタで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauservを辿って開こうとすると
wuauservを開けません。キーを開こうとしてエラーが発生しました。と出る。
レジストリ検索すると引っかかる serviceDll %systemRoot%\System32\wzcsvbxm.dll ServiceMain
>>450実行すると、エラー:指定されたレジストリ キーまたは値が見つかりませんでした。
問題なさそうならスルーしてくれ。
レジストリ、ウィルス、ウィンドウズシステムに関する知識はあまりない。
701:既にその名前は使われています
08/07/14 06:43:34 g8+ZC1m8
無いならなおさら自動更新オフにするなよw
702:既にその名前は使われています
08/07/14 06:51:50 fwCR3mTL
なんかセキュ板から変なのが紛れ込んでるなw >>695-696
703:既にその名前は使われています
08/07/14 06:55:24 TOu0sxmL
対応状況更新。
GDataも対応した模様。
Trojan-GameThief.Win32.WOW.bkb
URLリンク(www.virustotal.com)
Trojan-GameThief.Win32.WOW.bkf
URLリンク(www.virustotal.com)
704:既にその名前は使われています
08/07/14 06:58:02 TOu0sxmL
bkfはこっちか。
Trojan-GameThief.Win32.WOW.bkf
URLリンク(www.virustotal.com)
705:既にその名前は使われています
08/07/14 07:04:33 fwCR3mTL
GDATAはKasperskyとavastくっつけただけだからすぐパターン回るね。
F-Secureは自社での検証が入るのでちょっと遅れる。
706:既にその名前は使われています
08/07/14 07:35:01 tr549L/i
>>700
レジストリをwzcsvbxm.dllで検索して引っかかるなら問題おおありだよ。
通常wzcsvbxm.dllなんてdllはWindowsで使われることはないw
707:既にその名前は使われています
08/07/14 07:37:50 zM56q/MB
亀鯖の業者の新規販売窓口?
Eachainn
垢ハックしたキャラの高額アイテムを安く売りさばいている気がする。
708:既にその名前は使われています
08/07/14 07:51:10 HSkUXhbX
カスペでwzcsvbxm.dll反応するようになったけど駆除は出来ないんだね
709:既にその名前は使われています
08/07/14 07:54:25 tr549L/i
>>708
WindowsUpdateのサービスを騙って常駐してるからね。
セーフモードで起動すれば駆除できると思うけど。
それでも駆除できなかったらセーフモードでレジストリを正規のものに書き換えてからwzcsvbxm.dllをリネーム。
そんで普通に起動かけて駆除してみw
710:既にその名前は使われています
08/07/14 07:58:09 ZfiL1Iii
カスペは対応早いな
対応は早いが長所は検出できていなかったことを忘れてはいけない
カスペ入れておけば大丈夫と思い込むことが危険
711:既にその名前は使われています
08/07/14 08:02:06 SuA7MG6+
検出できないことが長所かwww
712:既にその名前は使われています
08/07/14 08:08:50 MI9FBil4
×長所
○長女
713:既にその名前は使われています
08/07/14 08:20:09 IPQlXr23
スクエニ今日も電話つながんないだろうな
714:既にその名前は使われています
08/07/14 08:29:14 3D1jBqcw
俺用メモ
--------キャラクター復元サービス申請書類テンプレ---------
去る7月○日、御社にアカウントハッキングの件で連絡させて頂いた○○と申します。
電話対応して頂いた際、復元サービスの説明と申請の方法を伝えて頂きましたのでこのような形で
サービスの申請願いを郵送させて頂きました。
身分証明と共に、公式の内容に同意し下記に記載したキャラクターの復元を申請致します。
ワールドサーバー名○○ 復元申請キャラクター数○ 復元申請キャラクター名○○○
POLID○○○ POL以外のメールアドレス○○○○
【被害の詳細】パス変えられてインできねwwwww入れるようになったらアイテムねえwwwwもうだめぽw
宛先はこちら↓
スクウェア・エニックス インフォメーションセンター
〒151-8544 東京都渋谷区代々木3-22-7 新宿文化クイントビル10F
715:既にその名前は使われています
08/07/14 08:50:17 tr549L/i
>>710
カスペルさんに限らず、アンチウィルスソフトはインスコ後デフォルトで使ってるとザルだしね。
716:既にその名前は使われています
08/07/14 08:57:03 MP5uq74q
avastは何やってもザルだぜ
717:既にその名前は使われています
08/07/14 09:17:27 BjU4T3eZ
新種のウィルス&ワームにざるじゃねぇ所なんてどこにもねぇw
やっぱ安全を求めるならブラウザ専用マシン(VPC含む)を用意するしかないだろうねぇ
718:既にその名前は使われています
08/07/14 09:22:17 Xrlpj2xt
>>716
無料でザルじゃないの教えてください
719:既にその名前は使われています
08/07/14 09:32:36 DJFu2WjP
レジストリが書き換わっているにも関わらずwzcsvbxm.dllがない
正規の値にレジストリ書き直したら普通に書き直せた
が、シャットダウンの遅延変わらず、system32\svchost.exeも残ったまま
全然詳しくないんだけど、これってまだ解決してないよね
720:既にその名前は使われています
08/07/14 09:33:36 uFxJRDi2
カスペ入れたら下り50Mだったのが10Mまで落ちた
さすがにこれじゃ耐えられん
721:既にその名前は使われています
08/07/14 09:46:55 DLEEgKDQ
>>718
Antivir
722:既にその名前は使われています
08/07/14 09:54:41 FGTtE03J
NoScriptでgooglesyndicationが引っかかると心臓に悪いな
○googlesyndication(googleのアフィ)
×googlesydition(垢ハックのIDパス送信先)
723:既にその名前は使われています
08/07/14 09:59:17 i6OozX3y
>>718
AntiVir ただし英語版しかないのであんまり流行らない
724:既にその名前は使われています
08/07/14 10:05:40 9ZURV3I3
Avira AntiVirは日本語の解説サイトがあるので英語でもそんなに困ることはないでしょう。
725:既にその名前は使われています
08/07/14 10:08:21 Xw/cO/U/
たかがウィルス対策ソフトで英語版・日本語版ってのに拘る人もいるんだろうか
726:既にその名前は使われています
08/07/14 10:08:58 BjU4T3eZ
>>720
私もそれでカスペでなくてAntiVirつかってるからなぁ~
RWIN固定化されちゃうんだよね
まぁ一般人が50Mとか使ってるのなんて日本くらいとは言え...
727:既にその名前は使われています
08/07/14 10:11:52 JfOiYFSV
>>700
ハックされた俺とまったく同じ症状だわ…。
728:既にその名前は使われています
08/07/14 10:13:14 tr549L/i
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 現状まとめ(>>653の挙動周り修正)
【レジストリ】
WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
・キー位置
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
・感染時エントリ(値)
%SystemRoot%\system32\wzcsvbxm.dll (未感染Windowsでは%SystemRoot%\system32\wuauserv.dll)
wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更されていると考えられる。
乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了?
そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・ooglesy●dition.com 74.86.1●85.101
729:既にその名前は使われています
08/07/14 10:16:32 tr549L/i
>>719
検索の詳細設定オプションで
システムフォルダの検索
隠しファイルとフォルダの検索
サブフォルダの検索
にチェックいれて検索してもでないかなあ?
730:既にその名前は使われています
08/07/14 10:28:01 DJFu2WjP
>>729
そうしても引っ掛からないんだ
参ったな
731:既にその名前は使われています
08/07/14 10:31:44 tr549L/i
少なくともエントリが%SystemRoot%\system32\wuauserv.dll以外になってる時点で感染してるのはほぼ確実といっていいだろうなー。
%SystemRoot%\ってのは、ほにゃらら:\WINDOWS\って意味ね。
>>730
エクスプローラのツール>フォルダオプション>表示で全てのファイルとフォルダを表示する。 になってる?
732:既にその名前は使われています
08/07/14 10:35:41 DJFu2WjP
WUも試してみたがしっかりフリーズする
プログラムの追加と削除でのプログラム一覧表示も異常に遅い
>>731
なってる
もちろん直接system32見にいっても見つからない
733:既にその名前は使われています
08/07/14 10:37:37 oJ5ZjA3o
保護されたオペレーティング~
のチェックを外してあるか確認
734:既にその名前は使われています
08/07/14 10:38:47 tr549L/i
>>732
フォルダオプションの
保護されたオペレーティングシステムファイルを表示しない(推奨)
のチェック外れてる?w
735:既にその名前は使われています
08/07/14 10:40:22 I97JYoXU
クレジットカード使ってた場合って、もしかしてクレジットの番号まで盗られてますかね・・・?
736:既にその名前は使われています
08/07/14 10:41:18 tr549L/i
>>735
クレカは下4桁だかマスクされてるんじゃないっけ。
737:既にその名前は使われています
08/07/14 10:45:35 Ga0POk/5
>>735
今回のようなPOLパス抜きではカード情報は盗まれない
ただしカード決済の場合はキャラ作成や鯖移転が即時おこなえるので
あなたのカードを利用して有料サービスを勝手に使われるかもしれない
738:既にその名前は使われています
08/07/14 10:48:57 DJFu2WjP
>>733>>734
うわああ申し訳ないそれで見付けられた
中身はgooglesydition.comだった
ありがとう
739:既にその名前は使われています
08/07/14 10:52:28 3yI6XHDZ
Trojan-GameThief.Win32.WOW.bkf の駆除はもう少し
時間がかかるって事?
740:既にその名前は使われています
08/07/14 10:56:30 tr549L/i
>>738
んじゃあそのdllを
URLリンク(www.virustotal.com)
に投げて結果URLはってね。
>>739
システムサービスとして動いているからアンチウィルスソフトなんかだと検知はできても駆除はできないかも。
セーフモードでレジストリの修正してからなら出来ると思うがw
んだけど、まだドロッパの特定ができてないし>>640のような状況だから大人しくクリンスコしたほうがいいよ。
なに仕込まれてるか解ったもんじゃないしw
741:既にその名前は使われています
08/07/14 10:58:03 zHPvtkyP
感染したPCの対象レジストリを開こうとすると
エラーが出て開けない状態の人が前のほうにいたと思いますが
家も同じ状態で
セーフモードからだとレジストリが正常に開けたので
wuauserv.dllに書き直し
wzcsvbxm.dllをリネーム後再起動して削除したところ
終了オプションの表示が遅くなる現象が改善されました。
ちなみにwzcsvbxm.dllの中身のアドレスは下記でした。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
742:既にその名前は使われています
08/07/14 11:01:34 tr549L/i
>>740
アンカーまちがえたw
×>>640
○>>627
さーせんしたww
743:既にその名前は使われています
08/07/14 11:03:20 3yI6XHDZ
>740
thx
744:既にその名前は使われています
08/07/14 11:06:32 BjU4T3eZ
まぁ、問題解析を優先するんじゃないなら
ウィルス本体も見つかって無い事だし
素直にクリーンインストールをお勧めするよ
>>727
パスワードを安全な環境で(オペさんに変えてもらったってのも含む)
変更後、復旧待ちで解析してみたいってなら
セーフモードで立ち上げてみると該当レジストリ見れるかも
Windows XP を セーフモードで起動する方法
URLリンク(support.microsoft.com)
745:既にその名前は使われています
08/07/14 11:12:54 DJFu2WjP
>>740
どうぞ
URLリンク(www.virustotal.com)
746:既にその名前は使われています
08/07/14 11:16:40 tr549L/i
通常POLはsvchostなどから介入うけることはまずないと思っていていい。
逆にいえば、介入されたら何かしら問題がおきていると考えれw
ファイアヲールのプロアクティブディフェンス機能を利用したり、
POLのアプリケーションルールを>>56にしておくことが非常に有効だと考えられる。
この手の手法であれば感染してもID/PASS送信前に引っ掛けられる可能性は高いよw
747:既にその名前は使われています
08/07/14 11:17:51 BQyOSTuY
被害あって復元待ちなのですが、
復元待ちの間用にと「はじめてのFFXI」新規アカウントで、今朝POLログイン中、
急に「別の場所からログインされました」みたいなのが出ました。
すぐにログインし直して様子をみていると、また別の場所からログインされたが出たので、
またかと思いパスワード変えました。(それにしてもタイミングがよすぎる?)
実は、被害後カスペルスキーでTrojan-GameThief.Win32.OnLineGamesというのを検知して駆除したので
安心していたのでしたがダメな様で・・・
クリーンインストールっていうのはOSから入れ直す様なので、ノートパソコンは関係ないのでしょうか?
ノートパソコンをリカバリーしようと思いますが、リカバリー後はXP SP1になってしまいますが、
まず先にWindows UpdataでSP3最新まで更新、Flash最新でしょうか?
それともネットにつなげる前にウイルス対策ソフトのインストールが先なのでしょうか?
748:既にその名前は使われています
08/07/14 11:21:38 tr549L/i
>>745
検知はされてるみたいだけどこれもハッシュちがうなw
亜種ってかバージョン違いかもしれないけど、今後ひっかからない奴組んでくる可能性もあるので。
wzcsvbxm.dlなりみつけたらURLリンク(www.virustotal.com)に送って確認していくのがいいかもしれないねw
749:既にその名前は使われています
08/07/14 11:21:56 JXjz5KAA
>>747
今すぐPS2か360を買ってきてそれで即座にパスを変更後、二度とPCでFFを
やらないでください。お願いします。
750:既にその名前は使われています
08/07/14 11:26:19 tr549L/i
>>747
SP3やセキュリティソフトなどを先にDLなり用意しておいて、リカバリ後オフラインでそれらインスコしていくのがいいと思うよw
FlashPlayerもアンインスコしてから、WindowsUpdateかければいいんじゃないかなw
751:既にその名前は使われています
08/07/14 11:26:29 sK+6PmYQ
wzcsvbxm.dllってカスペルのオンラインスキャンで検出は出来てる?
検出され出来ればPCに詳しくないフレに先に指示出来る
見つかったら即PCを切り離させてレジストリの再確認と駆除方法を検討しようと思ってる
752:既にその名前は使われています
08/07/14 11:28:56 Ga0POk/5
>>747
どう説明したらいいのやら・・・
カペルスキーだろうが他の何だろうが全部のウィルスを完全に検出して駆除できません
ノートPCであってもデスクトップPCであっても外側の形が違うだけで中の仕組みは同じ
クリーンインストールというのはウィンドウズから全部を消して入れなおすことです
ノートパソコンに付属のマニュアルにしたがって行ってください
クリーンインストールができたらネットに接続する前にウィルス対策ソフトを入れましょう
その後にウィンドウズアップデートやフラッシュプレイヤーの更新を一つ一つ行います
753:既にその名前は使われています
08/07/14 11:29:02 BjU4T3eZ
>>751
何個(最初の1つ?)かは出てるけど、すべては出ていないとおもう
今また>>745で増えてるしね
754:既にその名前は使われています
08/07/14 11:33:24 tr549L/i
>>751
現時点でこの3種は検出されるのは確認したよ。
パターンファイルが降ってきてるかどーかはAvira民の俺にはわからないw
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkb
MD5: c6af4d4acd8b13e7def1770ac84aec23
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkf
MD5: a63ac3af3b8fdab8746767c458b33d10
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkf
MD5: 3ada06c88eabf3c2581f482400d924bc
755:既にその名前は使われています
08/07/14 11:35:09 oJ5ZjA3o
>>751
試してみた
昨日ここで発見された2つは検知する
今日の分は検体が手元にないから分からない
756:既にその名前は使われています
08/07/14 11:40:00 k1i/gyz+
俺のPC 指摘されてるサイトはもちろん、ほぼありとあらゆるFFサイト見まくってるけど感染してないな
なにが勝因なのか自分でもワカランw
757:既にその名前は使われています
08/07/14 11:42:05 JXjz5KAA
>>747
いっとくけど、749は冗談じゃないよ。その知識では復元後に必ずまたやられる。
そして2回目の復元サービスはない。だから悪いことは言わない。二度とPCで
FFやるな。
758:既にその名前は使われています
08/07/14 11:42:55 egmCNGgx
>>756
お前のようなアフォが感染している
759:既にその名前は使われています
08/07/14 11:47:27 sK+6PmYQ
>754
報告ありがとう
解る人なら問題の本質を簡単に説明出来るんだけど
初心者にはかなりかみ砕いて説明しなければいけないだよね
簡単な検出、難しく無い(ミスしない)対応の指示を考えるわ
760:既にその名前は使われています
08/07/14 11:48:14 tr549L/i
>>756
>>592でも言ったんだけど、マルウェアがPC内部に入り込むための手段はそれほど多くないんだよね。
そこらの動向をしっかり把握して、対処してれば感染する可能性はぐっと低くなる。
が。
>なにが勝因なのか自分でもワカランw
つーことだし、今回は単純に運が良かったってだけじゃねw
761:既にその名前は使われています
08/07/14 11:51:29 BQyOSTuY
>>747です
ごめんなさい。もうPS2買ってきます。
本アカウントは復元待ちで凍結中なのですが、
新しく再発行されたパスワードを凍結中でも、サポセンでさらに新しく再発行することはできるでしょうか?
あと再発行されるパスワードって数字4つアルファベット大文字4つの合計8文字ですよね?
単純すぎるのですが、もっと複雑にできるでしょうか?
762:既にその名前は使われています
08/07/14 11:55:47 BjU4T3eZ
>>757
まぁ確かに落ち着くまではPS2なりXBOX360なりに退避してるのが
いいと思うな
特に二回目は復旧してもらえんしな
いまさらそこまでする気はないってならまぁお休みしててもいいと思うが
ついでにそのまま引退できて良いかもしれん...
763:既にその名前は使われています
08/07/14 11:56:51 zPSbCltV
>>747
本気で言ってるなら、あんたパソコンでネトゲやっちゃだめだ。
あまりにも知識が無さ過ぎる。あんたみたいな人がウィルス撒き散らすんだよ。
ノートパソコンだってOS無ければ動かないんだから、
クリーンインストールが関係ないとか、馬鹿でも言わないようなことだぞ?
764:既にその名前は使われています
08/07/14 11:59:03 tr549L/i
>>761
へこむなよww
とはいえ>>747の言うとおりPS2なり×箱でやればPCよりは安全だしね。
ただ、PCを使う限り今後もいろんなマルウェアに悩まされていくわけだから、
少しずつでも自分の環境を把握して、セキュリティソフトが一体何をしてるのか理解していくことが重要だよw
8桁以上じゃないっかなー。最大桁数は忘れた。
もう>>747が言ったんだし何度も同じこと言わなくてもいいんじゃねww
765:既にその名前は使われています
08/07/14 11:59:08 zPSbCltV
>>761
もっと複雑ってどういう意味?
766:既にその名前は使われています
08/07/14 11:59:35 Vb9WTlhz
新しく再発行されたパスワードを凍結中でも、サポセンでさらに新しく再発行することはできるでしょうか?
↑屑エニに聞けw
あと再発行されるパスワードって数字4つアルファベット大文字4つの合計8文字ですよね?
単純すぎるのですが、もっと複雑にできるでしょうか?
↑復元されてから自分の好きなように変更しろw
767:既にその名前は使われています
08/07/14 12:01:11 jigQHUur
>>765
オマエは、、、2チャンネルやっちゃダメだw
複雑ってのは英数記号大文字小文字文字数をいろいろ組み合わせていくことを
言ってるんだと気付けよ。その程度がわからないやつが他人にえらそうにすんなよw
768:既にその名前は使われています
08/07/14 12:01:53 Vb9WTlhz
>>765 12DAdfgdafe343glete43wtとかにしたいってことじゃね?
769:既にその名前は使われています
08/07/14 12:05:27 tr549L/i
>>764
またアンカミス、いやほんとすいまえんえdしあ;;
×>>747
○>>757
770:既にその名前は使われています
08/07/14 12:06:43 BQyOSTuY
へこみました・・・
771:既にその名前は使われています
08/07/14 12:07:36 WQUx1mer
あたりまえだバカ
772:既にその名前は使われています
08/07/14 12:08:41 WQUx1mer
今のあなたのPCってパスないのと変わらんの。
なんで強度の心配とかしてんの?
773:既にその名前は使われています
08/07/14 12:11:01 1Ti6KZbR
まだ今回のアカハック完全に解決してないけどそろそろ送信先わかってるとこには反撃したいとこだ
まぁ 反撃したとこで ウィルス減るわけじゃないけど
うさばらしにはなるかな
774:既にその名前は使われています
08/07/14 12:11:05 oQ/lf3kO
>>770
ここはあくまでネ実であってサポセンでは無いって事だわ。
煽りなんて当然と思わないとね。
775:既にその名前は使われています
08/07/14 12:13:26 WOQ1siHF
>>770
言い方は非常に不親切だが>>766は的確な事を言っているよ。
凍結中にさらにパスワード再発行してくれるかどうかは
サポートセンターに聞かなきゃ分からないし(たぶんしてくれるとは思うけど)、
パスワードは後でいくらでも自分で好きに変更できる。
このスレを面倒でも最初からよく読んで、少しでも知識をつけてね。
巻き戻しは一度きりなんだし、結局自分の身は自分で守るしかないからね。
776:既にその名前は使われています
08/07/14 12:14:34 47YLqBCM
強度の心配することはいいことだ
777:既にその名前は使われています
08/07/14 12:15:47 zPSbCltV
>>767
チャンネルとか書いちゃう痛い奴から、どうこう言われる筋合いは無いねw
あの程度の知識しか無いID:BQyOSTuYが
数字4つアルファベット大文字4つ以外を使いたいという意味で
複雑という言葉を使ったわけではないと判断できる材料が、>>761にあるのかよ?w
>英数記号大文字小文字文字数をいろいろ組み合わせていくこと
これって、おまえの都合で勝手に想像しただけだろw
そういうのは「個人的解釈」って言うんだよ。なんでそれが唯一無二の正解みたいに自信持てるんだwww
778:既にその名前は使われています
08/07/14 12:17:20 WQUx1mer
力抜けよ
779:既にその名前は使われています
08/07/14 12:19:16 I5xYa5Fi
ハックされてwzcsvbxm.dll探してみても引っかからないんだが…。
これはローカルハックなんかね?
ところで、POLのセキュリティ設定もブっこ抜かれる?
780:既にその名前は使われています
08/07/14 12:21:15 Cd7yQcwk
まあ、あんまり強度の高いパスワードは、往々にして運用面でボロが出たりする
概して覚えづらい、入力しづらいパスワードになるから
個人で使う分には、ソーシャルハッキング(パスワードのメモ書きを見られる等)は
あまり考える必要は無いけれど
781:既にその名前は使われています
08/07/14 12:22:41 tr549L/i
そういえば、感染PCでPOL.exeは全員エラー落ちするの?
前スレだか前々スレだか前々々スレだかでPOLの接続先が業者鯖になってるっていう報告あったから
>>728でプロセスを乗っ取るとか書いちゃったけど、落ちないでそのままゲームに進めるっていうなら、
POLから発射されるID/PASSを抜き取ってwuauserとして送信することも可能な気がしてきた。
だとしたらPOLの接続鯖絞ってもあまり意味ないんかなあ。
プロアクティブディフェンスを常駐させてれば引っかかるとしても。
782:既にその名前は使われています
08/07/14 12:25:49 Vb9WTlhz
>>777 御高説たれたところ ぷっw
783:既にその名前は使われています
08/07/14 12:25:52 tr549L/i
>>779
これで試してみて無かったらレジストリ確認してみw
>>729
>>734
POLのセキュリティ設定は前にあった手法のパスワードファイルをそのまま盗み出す手口に対応したもので
今回のにはあまり役にたたんよw
784:既にその名前は使われています
08/07/14 12:27:56 oJ5ZjA3o
>>779
>ハックされてwzcsvbxm.dll探してみても引っかからないんだが…。
>>728のレジストリを調べて正規ファイルなら別物かと
>ところで、POLのセキュリティ設定もブっこ抜かれる?
POLの通信を乗っ取る手口だから
『保存・セキュリティ設定』とか『保存無・スクリーンキーボード・手打ち』とか関係なく持って行かれると思われる
785:既にその名前は使われています
08/07/14 12:29:07 OY0AuQ0V
受付番号もらって、恐らく本日の着で書類送ったんだけど
いつから凍結始まるのかな?やるならさっさとやってくれええ
いつ始まるものかと、ログインしてはアカハク受けた
切ない姿の俺のキャラを見るのは辛いよ(ノД`)
786:既にその名前は使われています
08/07/14 12:31:11 oJ5ZjA3o
>>785
サポセンに直接依頼したら書類の到着とか関係なく
受付番号出して貰った時点で垢凍結されるよ
787:既にその名前は使われています
08/07/14 12:31:19 I5xYa5Fi
>>783
取りあえず、全部読んで全部試してみた。
System32も隠しファイルも全部確認。
でも親切にありがとな!
POLのセキュリティ設定は話題に上がらないだけあって、やっぱり役にたたんか…
外部のUSBメモリに…ってそれすらもアテにならないよな。
788:既にその名前は使われています
08/07/14 12:33:52 tr549L/i
>>787
ただし、以前の手法には効果はあるからして。
PCに突っ込む穴さえあれば以前の手法だろうと動かせちゃうわけだから、設定しておいて損はないとは思うよw
789:既にその名前は使われています
08/07/14 12:34:58 ApGn707U
>>781
前兆症状、Winシャットダウンしか出ていない場合もあるですよ。
感染したのが今洗い出し中のだったとしたら、ですが。
790:既にその名前は使われています
08/07/14 12:38:00 tr549L/i
>>789
だとしたら、POLの通信をぬいちゃってサービス名乗ってID/PASS送信するバージョンがある可能性もあるわなー。
俺のもってるwzcsvbxm.dllだとPOL自体が繋ぎにいっちゃてるように見えるけど。
791:既にその名前は使われています
08/07/14 12:41:57 jigQHUur
>>777
お前痛いから茶化したのに気付いてないカワイソウな子なのね。
なんでも上から物申せば通ると思ってると、お前が痛い目にあったときに
誰も助けてくれないぞ?調子こいてんじゃぁねぇよぅ。
792:既にその名前は使われています
08/07/14 12:43:59 OY0AuQ0V
>>786
あら、そうなんだ?
火曜日に受付番号出してもらったけど、とりあえず昨日まで入れたよ?
793:既にその名前は使われています
08/07/14 12:45:43 I5xYa5Fi
前兆症状は
・アップデートでフリーズする(二度目から可能)
・POLが途中でシャットダウン
・Winシャットダウン
他に何かあるかな?
一応、前兆症状もまとめておいた方がいいと思うんだが…。
俺はここの住人のお陰で現在は感染していない事が判明。ありがたや。
794:既にその名前は使われています
08/07/14 12:47:26 OY0AuQ0V
>>793
プログラムの追加と削除で、プログラム一覧が出るのに時間がかかる、もしくは出ない
もかな
795:既にその名前は使われています
08/07/14 12:47:42 tr549L/i
>>793
・アップデートでフリーズする
・POLが途中でシャットダウン(二度目から可能)
・Winシャットダウン
こうじゃなかったっけ。つかこう思ってたw
796:既にその名前は使われています
08/07/14 12:48:44 j8zk7Un9
>>792
もうこのままの方が卒業できていいのかもしれんぞ…
冗談はさておき、郵送?ってのはメールなり電話なりでやりとり出来ない場合の代替手段じゃないかと思うのだが
POLの場合は何か郵送しないといけないわけ?
797:既にその名前は使われています
08/07/14 12:48:48 wAHqaN0O
反面教師ですね。わかります。
798:既にその名前は使われています
08/07/14 12:51:07 I5xYa5Fi
追加してみました。他にもあったら報告お願いします。
【典型的な前兆症状】
・各種アップデートでフリーズする(二度目から可能)
・POLが途中でシャットダウン(二度目から可能?)
・Winがシャットダウン
・アプリケーションがやたら重い
・「プログラムの追加と削除」にて一覧が出るのに時間がかかる・もしくは出ない
799:既にその名前は使われています
08/07/14 12:52:54 BgvmEWA2
>>781
wzcsvbxm.dllはpolのプロセス内にスレッドを1つ作って悪さをするっぽい。
だから、pol.exeのプロセスがアカウント情報を送信するように見えるはず。
作りが悪くなければPOLとFFXIは問題なく動いててもおかしくない。
というわけで、パーソナルファイアウォールソフトでpol.exeの通信相手を
スクエニのサーバに限定するのは無駄ではないと思う。
もちろん、別プロセスで悪さをする従来型には無力なので、PG2を併用するのが
いいかと。
(マニアじゃない人向けの注意w)
「入られた時点で負け」なので、上記の対策は飽くまで保険。
感染したあとの対応はクリーンインストールが鉄則。
800:既にその名前は使われています
08/07/14 12:54:47 oJ5ZjA3o
前スレから移行するときにテンプレがいくつか貼られ忘れてる
その中には前兆症状のまとめも含まれてる
801:既にその名前は使われています
08/07/14 12:55:17 tr549L/i
>>799
すれっど注入かー、なるへそ。ありがとうw
802:既にその名前は使われています
08/07/14 12:57:10 I5xYa5Fi
>>796
いきなり郵送しても取り合って貰えないよ。
まずは電話で本人確認、状況の確認と相談、こちらの希望やロールバックのリスク(取ったアイテムが消える)
などを相互に確認してIDを発行してもらう。
その上でIDを記載した身分証(免許・住民票・保険証)のコピーにIDを書き込んで対応してもらう。
2週間以上かかると言われたけど、10日でキャラが戻ってきたよ。
803:既にその名前は使われています
08/07/14 12:57:13 zPSbCltV
>>791
馬鹿のくせに何言ってんの?
804:既にその名前は使われています
08/07/14 12:57:47 QGj47THP
ちょっとおまいらの意見をきかせてくれ。
ID・PASS送信までの想定される動きで間違いないとすると、
FF終了時に、シャットダウン(メニューなり/shutdownなり)で終了せず、
ログアウトとかで戻っていって、パスワードを唯一無二なものに変更して
POLを終了させれば問題なさそうな気がするんだが。
重要なのは、パスワード変更時に、
これまで設定したことのないパスワードにする
な。
805:既にその名前は使われています
08/07/14 12:58:08 tr549L/i
12 名前:既にその名前は使われています[] 投稿日:2008/07/10(木) 21:02:57 ID:wZvpwWq5
こんな症状が出たら感染の疑いありです、大至急対策を!
◆Windows Updateがフリーズする
◆POLを起動するとエラーが出る(2回目からは正常に起動)
◆シャットダウンに時間がかかるようになった
これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た1~2週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、 すでにパスを盗まれ処理待ちである可能性が高いです!
「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにやられます。
被害報告は6月中旬から以前の20倍近いペースで増えています!
至急ウィルスチェック・Flashplayer更新・パスワード変更を!
Flashのバージョン確認
スレリンク(ogame板:20-番)
カスペルスキーオンラインスキャン(無料)
URLリンク(www.kaspersky.co.jp)
806:804
08/07/14 12:59:04 QGj47THP
書き忘れたけど、
>>804は、あくまで暫定対処ね。
807:既にその名前は使われています
08/07/14 13:00:53 j8zk7Un9
>>802
ああ、そうかパスワード再発行じゃなくてキャラ差し戻しなんだよな。
それならそれ位厳重じゃないと逆に怖いな。
丁寧な解説有り難う。納得した。
808:既にその名前は使われています
08/07/14 13:01:55 Ga0POk/5
>>798
半端なまとめするな!
809:既にその名前は使われています
08/07/14 13:02:28 SdIVzw8/
つーかサポセンいつになったら繋がるんだよ・・・
810:既にその名前は使われています
08/07/14 13:03:51 tr549L/i
>>804
運用上、それが面倒でなく確実にパスワードを覚えているのならば効果はあるとおもうなー。
一応パスワードなり変える所はSSLだかで暗号化通信してるみたいだし。
そこも監視されてたらどーだろう。まだそこまでみてないw
811:既にその名前は使われています
08/07/14 13:05:35 j8zk7Un9
ここ数日パス変更しようとすると鯖重すぎて繋がらないんだが?
変更中にリトライ祭とかどうすんの?しぬの?
812:既にその名前は使われています
08/07/14 13:06:01 m6a84xs8
PG2が以下のIPを弾きます
aguse.jpで調べたのですがこれはかなり危険なサイトでしょうか?
気持ち悪いのでクリーンインストールすることに決めたのですが
正体がはっきりしないとスッキリしないので
よろしければ教えてください
221.4.211.3
サイトのタイトル:Welcome to JBoss™
実際に表示されるサイトのURL:URLリンク(221.4.211.3)<)
あと「入力されたURLは存在しませんでした。」
はどんな場合に表示されるのでしょうか?
よろしくお願いします
813:既にその名前は使われています
08/07/14 13:06:19 Ga0POk/5
ここ最近でこんな症状が出たら感染の疑いありです、大至急対策を!
◆Windows Updateがフリーズし実行できない
◆POLを起動するとエラーが出る(2回目からは正常に起動)
◆Windowsのシャットダウンに時間がかかるようになった
◆アプリケーションの追加と削除を選択して表示されるまでに時間がかかるようになった
これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た1~2週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、 すでにパスを盗まれ処理待ちである可能性が高いです!
「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにパスを盗まれます。
被害報告は6月中旬から以前の20倍近いペースで増えています!
至急ウィルスチェック・Flashplayer更新・パスワード変更を!
Flashのバージョン確認
スレリンク(ogame板:20-番)
カスペルスキーオンラインスキャン(無料)
URLリンク(www.kaspersky.co.jp)
814:既にその名前は使われています
08/07/14 13:06:48 F6kwfyZ3
直リンするとは良い度胸だ
815:既にその名前は使われています
08/07/14 13:06:58 oJ5ZjA3o
パスを変えると強制ログアウトになるし
新パスで入るならハッカーに新パスを送ることになるので
ログイン中に落とされる恐怖は払拭されないですね
816:既にその名前は使われています
08/07/14 13:07:23 Ga0POk/5
>>812
URLを張るときはドットを●にかえてくれ。。。
817:既にその名前は使われています
08/07/14 13:07:38 j8zk7Un9
>>812
やっちまったな……
818:既にその名前は使われています
08/07/14 13:07:59 Ga0POk/5
ていうか釣りたいのかね
819:既にその名前は使われています
08/07/14 13:08:10 m6a84xs8
ああ、すみませんURL直張りしてしましました
たいへん申し訳ありません
↑踏まないでください
820:既にその名前は使われています
08/07/14 13:09:17 Ga0POk/5
IDをNGしたから問題ない
821:既にその名前は使われています
08/07/14 13:09:42 I5xYa5Fi
>>805
おお、抽出ありがとう!
UpdeteとPOL起動には問題ないが、シャットダウンにちょっと時間かかるのはPCのせいだろうな。
822:既にその名前は使われています
08/07/14 13:09:49 tr549L/i
>>812
危ないサイトっていいながら直リンするなよ。誰か飛んだらどーするんだw
PG2が弾いたんなら大丈夫じゃないか?
弾いたからそのサイト飛べなかったんだろうしw
823:既にその名前は使われています
08/07/14 13:10:53 7FBMRL5F
まずレジストリエディタで問題のdllを検索して見つからなかったらとりあえずは現状ではセーフってことでしょうか?