08/07/13 21:30:08 IIW3eFnq
ハック対策として>>451は有効なんだろうか・・・・
FF専用マシンとノートPC、大丈夫そうではあるけど信用できなくなってきたZEEE
一応今も今後もそういう風に分けて行くつもりだけど、怖いね!
582:既にその名前は使われています
08/07/13 21:30:22 QbFq9U4R
最近□が施した対策ってこれにゃなんも効果ないのなw
583:既にその名前は使われています
08/07/13 21:31:43 k3FKWA9O
★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件 暫定まとめ(推敲よろしゅー)
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
本体(生成元)および感染ルートは現状不明。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
dosから「regiedit」を実行して
C:\WINDOWS\system32\wuauserv.dllHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
wuauserv.dllならそのままクローズ(この件の感染はしていない)
wzcsvbxm.dllの場合 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え
ただし すぐに戻ってしまう報告もあるため 修正後要確認(セーフモード オフラインで修正して その後セキュリティソフトで変更の監視をかけてもだめかな?)
レジストリの書き換えその他自信がない場合はクリーンインストール推奨。
(先生方 こんな感じでいかがでしょうか)
584:既にその名前は使われています
08/07/13 21:33:35 ZgF0MYiV
>>581
セキュリティってのは楽しようと思った心の隙をついてくるんだよw
たとえPCを分けていようとも、今後どんなのが出てくるか解ったもんじゃないし、常日頃からFFマシンだからーとかいわずに
両方のPCで考えうる全ての対処をしておいたほうがいい。
というか、セキュリティ関係でこれで十分おkおkwって言うやつはいないwww
585:既にその名前は使われています
08/07/13 21:35:09 ZgF0MYiV
>>584
また我ながら日本語でおk。
586:既にその名前は使われています
08/07/13 21:37:38 IIW3eFnq
>>584
だな~!
ありがとう、両方ともできうる限りの事はやっておくようにするよ~!
しばらく調べものはケータイかなんかでやるようにするですしおすし。
587:既にその名前は使われています
08/07/13 21:39:23 EGnZWTBk
>>580
今は知らないが数年前は平文でメモリ上にあった。
ツール作者や解析する人らには有名な話。
588:既にその名前は使われています
08/07/13 21:43:16 t35HZhlw
>>583
それにしてもgooglesy●dition.comってアドレスは本物のアドレスにCが無いだけで
凄いややこしいですね…
589:既にその名前は使われています
08/07/13 21:45:17 BD0/uEsE
>>583
見出し逆じゃねえ?
590:既にその名前は使われています
08/07/13 21:45:47 ofEH8baB
カスペルが重すぎるのか何なのか分からんが
起動時にデスクトップでフリーズするようになってしまった
591:既にその名前は使われています
08/07/13 21:46:14 Sni935nv
>>541
これがそんなに高いか?
URLリンク(www.sourcenext.com)
本家9.0のサブセット版ではあるが、必要な機能はある程度押さえてあるかと。
スナップリストアは有れば便利だが、無くても何とかなるし。
592:既にその名前は使われています
08/07/13 21:54:14 ZgF0MYiV
このスレの流れみるとわかるとおり、
一度内部にもぐりこんでさらにアンチウィルスソフトで検知されないマルウェアを特定するのって非常に面倒なのよ。
Windows自体が入り組んでるのもあるし、それにレジストリやらなんやら絡み合ってストレスがマッハなわけ。
これだって>>249が無ければ今日見つけることができなかっただろうしね。
んだけどもー。
中に入れば探すの超厄介なやつらも。マルウェアがPC内部に入り込むための手段はそれほど多くないのよ。
今回でいえばFPの脆弱性などね。そこで止めておけば何も問題はないわけよ。
んだから、今日のが大丈夫だからって言ってないで、常にアンテナ張って動向を把握していくのが重要だよw
で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよww
593:既にその名前は使われています
08/07/13 21:57:03 29LRTN8E
>>591
やだ何これ…
11ばっかり見てたけどこれでも良いかな…
594:既にその名前は使われています
08/07/13 22:01:17 7AalaVLn
>>592
>で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよww
旧バージョンをプログラムの追加と削除からアンインスコするように、
てのも付け加えてよろしいか
595:既にその名前は使われています
08/07/13 22:02:48 k3FKWA9O
うわぁぁぁっぁん ありがとう>>589
>>583は 逆です 逆
(誤)★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件 暫定まとめ
(正)★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ
レジストリ変更が セキュリティソフトをすりぬけて感知されないのか
食らった人は セキュリティソフトで有効化してなかっただけなのかが 判断できないところで見落としましたっ
596:既にその名前は使われています
08/07/13 22:12:25 dCpPwOmL
wuauserv あたりは以前も怪しいって言われてて散々調べたけど
wzcsvbxm.dllなんて怪しいのはのは見つからなかったなぁ。
今見直したけどやっぱりいないし、亜種がかなりあるねこれ。
597:既にその名前は使われています
08/07/13 22:18:45 YZmKQRd5
>>596
亜種というか別種かも。
598:既にその名前は使われています
08/07/13 22:28:15 BD0/uEsE
Java最新版って1.6.0_07で良いのかね
599:既にその名前は使われています
08/07/13 22:28:18 RpF8qcXH
既出かもしれんが、
オフライン、セーフモードでレジストリを正常値に書き換えたら
いまのところ書き換えられずに正常動作してるっぽい。
アンチウィルスはAVG 8。
ちなみに、まだハックされてない状態、うちは。
でも、まだどこかに潜んでるんかなぁ。
600:既にその名前は使われています
08/07/13 22:30:51 auf+BDWj
レジストリ直してもすぐwzcsvbxm.dllになるから
system32にあるwzcsvbxm.dllを削除なりなんなりして
wuauserv.dllをコピってwzcsvbxm.dllに名前変更してsystem32に置いて再起動したら
シャットダウンや終了オプション、アプリケーションの追加と削除の時間かかるのは直った。
601:既にその名前は使われています
08/07/13 22:33:19 ZgF0MYiV
FlashPlayerの脆弱性ってJs実行できるやつだっけ?
602:既にその名前は使われています
08/07/13 22:38:44 YZmKQRd5
>>548
Kasperskyより返答。
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkf
そのうちパターン降ってくると思われ。
>>341 のはVirusTotalで既に検知する。パターン出たっぽい。
URLリンク(www.virustotal.com)
603:既にその名前は使われています
08/07/13 22:40:43 7hA2p3oc
カスペはえーw
604:既にその名前は使われています
08/07/13 22:41:00 ZgF0MYiV
たとえば
try {
WshShell.RegWrite("HKLM\\SYSTEM\ほにゃらりら");
} catch(e) {
とか読み込ませて実行できるならレジストリも書き換えできるかねえ?それなら即レジストリは書き換わるしdllだけ飲ませても動きそうだが。
>>602
乙、さすがにはえーなw
605:既にその名前は使われています
08/07/13 22:43:53 YZmKQRd5
>>604
ゾーンが違うんでどっかの罠サイトからは
ローカルのレジストリいじるようなスクリプトは動かないと思う。
606:既にその名前は使われています
08/07/13 22:47:13 YZmKQRd5
>>604
あ、すまん、Flashね。
swftoolsでダンプしたら「http(略).exe」と
おもいっきりバイナリのURIが書いてあった。
ASとか使うのかどうかは不明。
607:既にその名前は使われています
08/07/13 22:47:21 ZgF0MYiV
>>605
そっかー、んじゃやっぱどっかに居そうだなあ。
女子高生的に考えても、こんなん動いたら垢パクどころの騒ぎじゃねーなw
608:既にその名前は使われています
08/07/13 22:47:53 xrNQMC9g
Java?のアップデートというのはXPユーザー全員が対象なの?
609:既にその名前は使われています
08/07/13 22:49:26 YZmKQRd5
>>608
SunのJava入れてなけりゃ無関係。
610:既にその名前は使われています
08/07/13 22:51:23 CyS7VFlA
まぁそんなこと聞いてる人は入ってますよ
611:既にその名前は使われています
08/07/13 22:56:46 7hA2p3oc
やべ・・・1ヵ月後に通知するを選択してしまった
すぐにうpするにはどうすれバインダー
612:既にその名前は使われています
08/07/13 22:59:16 7EuYZnt2
ついさっきちょっとした手違いでIEでFFrecipe見たら
AvastがMota11 3.exeってのを検出したから、ウィルスチェック始めたんだが
これやばいよなぁ~・・・
613:既にその名前は使われています
08/07/13 23:00:12 BD0/uEsE
>>611
URLリンク(www.java.com)
で合ってるならすぐダウソ出来る様な気がする
614:既にその名前は使われています
08/07/13 23:00:44 TBYaVen5
検出したんだったら良いんじゃねーの?
どういう内容の警告が出たのかワカンネーけども。
615:既にその名前は使われています
08/07/13 23:03:12 cyT7dynQ
FFレ○ピも馬脚を顕したか
616:既にその名前は使われています
08/07/13 23:05:06 ZgF0MYiV
Mota113.exeって何か聞いたことあるんだけど、なんだっけ・・・
617:既にその名前は使われています
08/07/13 23:07:29 7EuYZnt2
たまたまタイミングが重なっただけかもしれん。
ちょっとIE使う機会があって、そのまま別のサイトとかIEなの忘れてて開いてた可能性もあるし
IEでffrecipe開いてたのに気付いてやべって閉じた、そのすぐ後だったから
spypodも先に起動させてたので、そっちで何か引っかかったのかもしれんし
素人意見だが・・
618:既にその名前は使われています
08/07/13 23:07:57 TBYaVen5
SUPER(C)とかっていうメディアファイルエンコードするソフトの関係っぽいね。
スパイウェアとして感知されることもあるみたい。詳しくはわかんないのでググッてください。
619:既にその名前は使われています
08/07/13 23:08:01 7AalaVLn
ffrecipeは業者に垢売ってから見てないな
620:既にその名前は使われています
08/07/13 23:08:15 7EuYZnt2
なんかごちゃごちゃになったが、ffrecipeで感染したってのは早計かもしれんってことが言いたかった
621:既にその名前は使われています
08/07/13 23:09:25 7EuYZnt2
SUPERCの方だったか。
これ入れてから知ったんだけど、消したら消したで何か誤作動起きるらしくて消せないんだよな・・・
622:既にその名前は使われています
08/07/13 23:12:06 y8JQOi5R
>>227
おでん鯖 業者復活確認
実名画像
URLリンク(www5.uploader.jp)
同時に四樽がツールによって魔法実行する
URLリンク(www5.uploader.jp)
623:既にその名前は使われています
08/07/13 23:17:42 dXMphtG9
■e< アカハック対応でいっぱいいっぱいなんで、次のバージョンアップは年末頃になります;;;;;
624:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:18:19 y8JQOi5R
>>332
はいはいはい、そこの管理人何か?です。
ちゃんとリンクしてよね
以下のアプロダの仕様規定
> 法律及び条例または公序良俗に反するファイルのアップロード禁止
> セキュリティ板の趣旨にあわないファイルは削除します
以上
スキャン結果画像↓アプロダ(レンタル)
2ch@セキュリティ板画像アップローダー
URLリンク(www5.uploader.jp)
検体アプロダ↓
セキュリティ板@2chアップローダー
URLリンク(www.tane.sakuratan.com)
625:既にその名前は使われています
08/07/13 23:18:53 cyT7dynQ
むしろ早急に飴パッチいれないと駄目だろw
626:既にその名前は使われています
08/07/13 23:22:17 YZmKQRd5
>>624
何が言いたいんだ…?
627:既にその名前は使われています
08/07/13 23:22:46 wpvXx2VB
>>604
Flash player 9.0.115.0/8.0.39以前にあるCVE-2007-0071の脆弱性は
実行者の権限での任意のコード実行が可能。いくつかのswfを踏んで
みたけど、exeをダウンロード&実行させるダウンローダが多いみたいだ。
adminでWindowsにログオンしてれば何でも仕込まれ放題。
最近のは最初に実行するexeもダウンローダなのが流行。ほかのexeを
20個くらいドカドカと落としてくる。
628:既にその名前は使われています
08/07/13 23:23:19 F9JK0Irr
出たがりちゃんなんだろ・・・急にコテつけて出てきて(笑)
629:既にその名前は使われています
08/07/13 23:23:36 Io7qdYGj
被害者多数とはいっても 一概に■側のミスとは言えないこの状況で
ログイン人数にもほとんど変化が見られないような状態だから
飴パッチとかあるなし以前に■がそんなこと考えるどうか・・・
なんか■のせいにする人も多いけど
今回は基本的に知識無し&意識低い人がやられただけだよなはっきり言って
630:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:24:00 y8JQOi5R
書き忘れ
壱 検体アップロードオツカレ
弐 sakuratanの稚拙なアプロダに関しては目をつぶってください
参 元々このスレにちょくちょく書き込んでいた寝実民です。
死 ID変え忘れ
頑張ってね
631:既にその名前は使われています
08/07/13 23:25:34 ZgF0MYiV
乙w
632:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:28:48 y8JQOi5R
>>628
んな、わけないだろ
そもそも色々な所のアップロダ管理人が
逮捕されまくってるさなか建てたアップローダーだから
基本的にちゃんと法律守ってくれないとこっちが困る
こっちの社会的生命かんがえてアップロードしてくださいね
633:既にその名前は使われています
08/07/13 23:32:55 Prvr+t76
>>629
第3者の悪意ある不正アクセスによる個人情報漏洩だろうよ。
被害者多数である以上スクエアはキチンとした対応、対策を
しないといけないだろうに。
URLリンク(www.square-enix.com)
634:既にその名前は使われています
08/07/13 23:38:38 YZmKQRd5
>>632
で? >>341 や >>548 に何か問題あったかい?
635:既にその名前は使われています
08/07/13 23:39:36 BqhwV+rk
>>632
清々しいくらい意味不明
636:既にその名前は使われています
08/07/13 23:45:15 7AalaVLn
個人的にはセキュリティ関連はもう公式トップの一番上に
常時表示くらいでもいいような気はするけどね。
ある種過剰なくらい、東スポ的な見出しでもつけてやらんと
一般ユーザー(っていう言い方には御幣があるかもだけど)は、
我が事として危機感持ってくれないんじゃなかろうか。
>>634>>635
ただ「アプロダ」としてだけリンク貼られるとアホが画像上げたりだの余計なことすっからだろ
上げられる中身もウィルス検体だのなんだから適当に踏んで「感染しました;;」なんて
やられても困るだろ。そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
管理人が罰せられることもある。
だから最低限「ここはこういうアプロダですよ」とアナウンスしてからリンク貼って欲しかった、ということだと思う。
637:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:46:19 R0U73f8h
検体>>341>>548や検出結果のSSは大歓迎だよ
でも、それ以外は禁止
過不足ナイト思う
638:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:49:54 R0U73f8h
>>636
> そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
> 管理人が罰せられることもある。
そっす。
寝実民を信じていないわけではないし
緊急性が高い事例の時はセキュ板でなくても
寝実板限定で「事後的に」今許可したところ
んだから、検出力スレで中身を見てもらえるカモメ
これ以上、出没するとウザイ杉るので逝ってきます
639:既にその名前は使われています
08/07/13 23:51:00 YZmKQRd5
>>637
>>622 は消していいよ。セキュ板と関係ないから。
640:既にその名前は使われています
08/07/14 00:00:09 k9CSZWs9
最新のPG2リストは>>65を入れなくても大丈夫ぽい
最新はbluetackにあるぞ。
リスト管理でP2Pのとこを
URLリンク(www.bluetack.co.uk)
にしてアップデートすればおk
641:既にその名前は使われています
08/07/14 00:03:07 Weg+DG2Z
URLリンク(peerguardian)~で始まる奴は繋がらなかったりクソ古かったりするので注意な
まぁ>>640が怪しいと思うアホはそのままでいて結構。
642:既にその名前は使われています
08/07/14 00:04:48 BgvmEWA2
冗談は>>65だけでやめとけ
643:既にその名前は使われています
08/07/14 00:05:30 /a030qt5
>>615
どの道、業者に売ったサイトだからまともな人は利用しない。
644:既にその名前は使われています
08/07/14 00:10:07 Weg+DG2Z
>>640-641
忘れてくれ。
645:既にその名前は使われています
08/07/14 00:22:54 zUc3Mc18
あれ?被害落ち着いたのか?
646:既にその名前は使われています
08/07/14 00:25:09 AwMgjuaY
>>633
>>629は内容的に>>625へのレスだろうから
『(対応はするべきだけど)飴パッチどうこう言うのは言いすぎ』
ってことじゃない?
647:既にその名前は使われています
08/07/14 00:56:33 fwCR3mTL
しかし今回のwzcsvbxm、仮にFFXIAHのだとしたら
検出し始めたら踏みまくりのNA大騒ぎだろうなぁ。
648:既にその名前は使われています
08/07/14 01:01:56 AwMgjuaY
そういえば
NAのほうでも分析がんばってたりするのかね
被害報告は何度か見たことあるが
649:既にその名前は使われています
08/07/14 01:03:22 giiOkMcF
NAも業者毛嫌いしてるの多かったからいるだろうね
650:既にその名前は使われています
08/07/14 01:06:31 TUQQJhCc
つーか先に見つけたのはNAなんだけどな
651:既にその名前は使われています
08/07/14 01:09:23 TUQQJhCc
wzcsvbxm.dllは
Jun 17 2008, 04:16 PMの時点でWindowerのコミュニティでウィルスとして報告されてる
652:既にその名前は使われています
08/07/14 01:14:51 BgvmEWA2
NAもかなり被害に遭ってて、フォーラムで騒いでるな
このスレで報告されているだけでも、wzcsvbxm.dllには1つの亜種がある
TimeStamp: 48415D33 Sat May 31 23:14:11 2008
TimeStamp: 485CE8AB Sat Jun 21 20:40:27 2008
どちらも有志がウイルス対策ソフトメーカーに報告してくれたから、
騒ぎが拡大しつつも被害報告は減るだろ
このスレも流れが速くなっただけで被害者はそんなに増えてないし
653:既にその名前は使われています
08/07/14 01:19:53 oJ5ZjA3o
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ改訂案(推敲よろしゅー)
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parametersと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:\WINDOWS\system32\wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
ただし すぐに戻ってしまう報告もあるため 修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。
654:既にその名前は使われています
08/07/14 01:24:14 dg0cuPEd
ウイルス対策ソフトは何がいいのかなと思いつつAVG使ってたけど
対応の早さを考えただけでも、今はカスペルスキーがいいのかな?
なんか在庫ある店があんまり無さそうだけど・・・・
あ、期限切れたバスター持ってても、優待は無理ですか?
655:既にその名前は使われています
08/07/14 01:26:30 4BA56cxx
>>654
とりあえず試用版いれてみたら?
656:既にその名前は使われています
08/07/14 01:26:44 h+/3klxs
何でも一緒
657:既にその名前は使われています
08/07/14 01:27:58 fwCR3mTL
>>651
ウイルスとしては報告されていないね。
「Windower動かねーんだけどなんぞこれ」みたいな感じだぞ。
つーかNAから検体が送られてるならノートンくらい引っ掛けてもいいんだが。
BlueGartrlsのフォーラムにはそれっぽい書き込みがあったようだけど
dat落ちみたいに消えちゃうのか既に404。
658:既にその名前は使われています
08/07/14 01:28:56 pREJ+Ffm
優待版って別に何のチェックも無いとオモタが
659:既にその名前は使われています
08/07/14 01:30:36 dg0cuPEd
あ、よく見たら試用版から製品化キーの方が安いんですね。
試用版入れてから寝ます~
660:既にその名前は使われています
08/07/14 01:32:23 BjU4T3eZ
>>591
まぁ11の方はセキュアゾーン+差分バックアップが激しく便利なんだがな
USB-HDDとかに初期イメージをバックアップするなら
Bootイメージも作れるしそれでいいと思う
ちなみ11もダウンロード版なら6Kと1Kほどパッケージ版より安い
661:既にその名前は使われています
08/07/14 01:34:52 hrrTufG9
ハックとかマジでされたのかwアフォじゃねぇのw
ダサすぎて俺なら自殺するわw
662:既にその名前は使われています
08/07/14 01:39:23 iN6hAhT9
>>341
そのファイル開いたら警告でたんだけどw
大丈夫かな?
663:既にその名前は使われています
08/07/14 01:40:27 eV2eKREs
>>661
とかいいつつ既にPCにウィルス潜ませててたらとんだお笑い種だお(^ω^)
664:既にその名前は使われています
08/07/14 01:40:39 BbTIMT1F
>>662
ウイルスのファイル開くってどんだけまぬけやねん
665:既にその名前は使われています
08/07/14 01:43:25 oJ5ZjA3o
>>662
カスペルは2つのうち1つはすでに対応済みらしいから警告出るんじゃない?
666:既にその名前は使われています
08/07/14 01:53:18 AwMgjuaY
>>661
煽るつもりでやってるんだろうけど
ageても業者以外の皆が喜ぶ&助かる確率がちょっと上がるだけだよw
667:既にその名前は使われています
08/07/14 01:56:26 jigQHUur
面白いのがたくさん湧いてるなー
よほど見つかったのが悔しいみたいだね。
業者なみだ目でザマーだけど、こっちも気
を緩めないようにしないとな。
しかしフレのフレが2人やられたのは悔しい。
668:既にその名前は使われています
08/07/14 01:58:30 fwCR3mTL
他ベンダからの返事がさっぱり来んのだが…。
669:既にその名前は使われています
08/07/14 02:02:36 /lni1rRA
>>621
昨日入れて即警告出て消した俺参上
消して再起動したらキーボードがすごい勢いで誤作動しまくった、a押すとESCキー同時押ししたことになったり
対処しようにもググれないしマジまいったよ
再起動連打やバイオス見てたら勝手に直った、システム復元では直らなかったから焦ったわ
670:既にその名前は使われています
08/07/14 02:03:04 BjU4T3eZ
>>668
カスペは2chみてんじゃねーかって速さだったなw
まぁ1-2日くらいはかかるだろう普通は..
671:既にその名前は使われています
08/07/14 02:14:03 BbTIMT1F
カスペはウイルスウオッチにTrojan-GameThief.Win32.OnLineGames.で
19:57でsfbz、20:28にsfcaがあるから今日出した二つに対応したかもしれん
672:既にその名前は使われています
08/07/14 02:26:31 lWoG/6V1
カスペルスキー、いいらしいんだけど素人には敷居が高すぎるからなぁ・・・
「シロウトサンニハムキマセン」とかどこかに書いてあったし
せっかく90日試用版当たったんだけどなぁ・・・
まぁ、とりあえずノートンとPG2とSpybotでがんばってみるかー
しかし、カスペルスキーのオンラインスキャンでシマンテックの
フォルダにウィルスとか出たときには(´・ω・`)だった
673:既にその名前は使われています
08/07/14 02:27:51 4BA56cxx
いまんとこ最新のパッチが20:21だから、2個目のsfcaの方は対応できてるのか
もしかすると微妙かもしれない。sfbzは検出できるだろうけど。
674:既にその名前は使われています
08/07/14 02:30:55 4BA56cxx
>>672
煽りでもなんでもなく、どこが敷居が高いのかがわからないなあ。
試用版をとりあえず入れてみればいいじゃない。
675:既にその名前は使われています
08/07/14 02:31:53 BbTIMT1F
>>672
以前見つけてチェストだか隔離した奴を引っかけただけじゃね?
676:既にその名前は使われています
08/07/14 02:33:45 o4iG2h2H
とりあえずノートンだけはやめとくべきだと思うがなぁ・・・
普通に使うなら良いが、垢ハックウィルスに大しては丸裸同然だぞ?
677:既にその名前は使われています
08/07/14 02:35:29 9vQWbFJY
wzcsvbxm.dllは亜種多そうだから対応してもはっきり言って意味無いぞ
自分で検索するしかねぇな
678:既にその名前は使われています
08/07/14 02:37:20 fwCR3mTL
>>673
さっきから何を言っとるのだ?
旧wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkb パターンリリース済
URLリンク(www.virustotal.com)
現wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkf もうちょっと待ってね
URLリンク(www.virustotal.com)
>>602
679:既にその名前は使われています
08/07/14 02:39:14 9vQWbFJY
>>676
未知のウィルスに対してはどれでも丸裸同然だ
680:既にその名前は使われています
08/07/14 02:45:58 KwjQ8SV/
ついにウイルス本体みつけたのか。GJすぎる
まさかここまで手の込んだマジなウイルスとはな。亜種はでるだろうが、オリジナルは抑えた
おまえらかっこいいよ
681:既にその名前は使われています
08/07/14 02:48:15 eLqe2l62
>>680
本体は見つかってない
682:既にその名前は使われています
08/07/14 02:50:29 oJ5ZjA3o
>>679
実際このスレで特定されるまでwzcsvbxm.dllは
Prevx1ってとこだけが一般的なマルウェアとして検出するのみだったからねー
683:既にその名前は使われています
08/07/14 02:50:32 KwjQ8SV/
ああ、生成元はまだか
いたって普通のプロセスだったりね。IEとかw
684:既にその名前は使われています
08/07/14 02:51:17 r6J+a9o5
マジで、乙、としか言い様がない。
685:既にその名前は使われています
08/07/14 03:04:27 yO3QQiYp
>>676
ノートンがダメって言うより、垢ハックに関してはカスペルスキー以外はダメって事だよな。
686:既にその名前は使われています
08/07/14 03:06:45 eUkhDm9l
知識が素人レベルのおいらにはさっぱりだがおまいらかっこいいよ
垢ハックされた奴のためにもがんばれおまいら超がんばれ
687:既にその名前は使われています
08/07/14 03:19:50 3D1jBqcw
カスペル買いたいんだけどどれがいいの?
688:既にその名前は使われています
08/07/14 03:25:51 1YBrafwy
ハックされたアフォにはもうヴァナに戻って来て欲しくないな
お前らのせいでGM来るの遅いし物価が狂った解約して償って欲しい
689:既にその名前は使われています
08/07/14 03:28:13 T1Q5v46o
>>685
どれでもダメだって
現にカスペで被害者いっぱいるだろ
690:既にその名前は使われています
08/07/14 03:31:43 BjU4T3eZ
今回はPG2もだめだったしな、怪しいところは踏まない
セキュリティホールはすぐ埋めるが基本ってところか
691:既にその名前は使われています
08/07/14 03:32:13 T1Q5v46o
1ヶ月以上前から広まってるウィルスを今になってやっと被害者からの報告で対応だぞw
しっかり自衛してないとセキュリティソフトなんて意味ねーからw
692:既にその名前は使われています
08/07/14 03:52:15 3D1jBqcw
ってカスペのサイトからトライアルDLしようとしたらPG2がはじいてるんですけど・・・
693:既にその名前は使われています
08/07/14 04:05:58 AwMgjuaY
そこがメインじゃないのはわかってるけど
>>691
でも どこもこの手のは放置気味じゃない?
『広まってる』とはいっても正直一般的じゃないし 全体から見りゃ被害者も少ないし・・・
前もこういうことあったような(ネトゲとかブログとかのパス抜き系は対応激遅orスルー
694:既にその名前は使われています
08/07/14 04:19:25 NtbJ6Mx/
つか、テンポラリか何処かにドロッパの痕跡は残ってないか。
自滅型にしても、ファイル復活ツールで戻せたりするかも。
695:既にその名前は使われています
08/07/14 05:34:56 b4ofyeFH
無料ソフトにも負け続きでランク外になったカスペ推奨してるのってここだけじゃね?
それともネットゲームでは強力なのか?
696:既にその名前は使われています
08/07/14 05:59:26 g8+ZC1m8
最近たまたま対応が早かったのでもてはやされている。そんだけ
何入れようが安心なんて無いんだから警戒は絶やしちゃダメだろ
697:既にその名前は使われています
08/07/14 06:24:54 moU1wFpo
チクサクGMコールあげ
698:既にその名前は使われています
08/07/14 06:30:47 CaelPPs0
検知力テスト(2008年7月12日)
Most Effective Antivirus Tools Against New Malware Binaries
URLリンク(mtc.sri.com)
Rank Detects Missed Product
1st 96% 85 AntiVir
2nd 96% 96 Webwasher-Gateway
3rd 94% 141 Ikarus
4th 93% 176 BitDefender
5th 92% 194 F-Secure
6th 91% 233 AVG
7th 89% 287 Sophos
8th 89% 300 Kaspersky
9th 89% 300 Avast
10th 88% 303 Norman
699:既にその名前は使われています
08/07/14 06:31:27 CaelPPs0
11th 87% 350 CAT-QuickHeal
12th 85% 388 ClamAV
13th 84% 433 DrWeb
14th 83% 441 VirusBuster
15th 83% 455 Microsoft
16th 82% 473 eTrust-Vet
17th 80% 537 F-Prot
18th 80% 545 Rising
19th 79% 557 Fortinet
20th 79% 574 Symantec
700:既にその名前は使われています
08/07/14 06:38:08 XWGLn+5O
7/7前後に垢ハックされた。
その2、3週間前からスレで言われてる、シャットダウン遅延、アプリ一覧表示遅延が出てた。SP3も不可。
他にもブラウザが頻繁に固まる、POLからFFに移行する時に3分程放置しないと接続出来ないなどあったが、
後者はグラボがGfo8600なのでグラボのせいかも。ドライバは最新。
Flashバージョンは古かったが、一度新しいのにアップデートしようとしたら弾かれた。
何度か試したら出来たので、こっちのせいかも知れない。
ウィルスバスター使用、ファイアーウォール有効、Sleipnir使用
自動更新は無効にしてある。
スレをざっと読んで、隠しファイル含めCドラ検索でwzcsvbxm.dllは見つからず
レジストリエディタで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauservを辿って開こうとすると
wuauservを開けません。キーを開こうとしてエラーが発生しました。と出る。
レジストリ検索すると引っかかる serviceDll %systemRoot%\System32\wzcsvbxm.dll ServiceMain
>>450実行すると、エラー:指定されたレジストリ キーまたは値が見つかりませんでした。
問題なさそうならスルーしてくれ。
レジストリ、ウィルス、ウィンドウズシステムに関する知識はあまりない。
701:既にその名前は使われています
08/07/14 06:43:34 g8+ZC1m8
無いならなおさら自動更新オフにするなよw
702:既にその名前は使われています
08/07/14 06:51:50 fwCR3mTL
なんかセキュ板から変なのが紛れ込んでるなw >>695-696
703:既にその名前は使われています
08/07/14 06:55:24 TOu0sxmL
対応状況更新。
GDataも対応した模様。
Trojan-GameThief.Win32.WOW.bkb
URLリンク(www.virustotal.com)
Trojan-GameThief.Win32.WOW.bkf
URLリンク(www.virustotal.com)
704:既にその名前は使われています
08/07/14 06:58:02 TOu0sxmL
bkfはこっちか。
Trojan-GameThief.Win32.WOW.bkf
URLリンク(www.virustotal.com)
705:既にその名前は使われています
08/07/14 07:04:33 fwCR3mTL
GDATAはKasperskyとavastくっつけただけだからすぐパターン回るね。
F-Secureは自社での検証が入るのでちょっと遅れる。
706:既にその名前は使われています
08/07/14 07:35:01 tr549L/i
>>700
レジストリをwzcsvbxm.dllで検索して引っかかるなら問題おおありだよ。
通常wzcsvbxm.dllなんてdllはWindowsで使われることはないw
707:既にその名前は使われています
08/07/14 07:37:50 zM56q/MB
亀鯖の業者の新規販売窓口?
Eachainn
垢ハックしたキャラの高額アイテムを安く売りさばいている気がする。
708:既にその名前は使われています
08/07/14 07:51:10 HSkUXhbX
カスペでwzcsvbxm.dll反応するようになったけど駆除は出来ないんだね
709:既にその名前は使われています
08/07/14 07:54:25 tr549L/i
>>708
WindowsUpdateのサービスを騙って常駐してるからね。
セーフモードで起動すれば駆除できると思うけど。
それでも駆除できなかったらセーフモードでレジストリを正規のものに書き換えてからwzcsvbxm.dllをリネーム。
そんで普通に起動かけて駆除してみw
710:既にその名前は使われています
08/07/14 07:58:09 ZfiL1Iii
カスペは対応早いな
対応は早いが長所は検出できていなかったことを忘れてはいけない
カスペ入れておけば大丈夫と思い込むことが危険
711:既にその名前は使われています
08/07/14 08:02:06 SuA7MG6+
検出できないことが長所かwww
712:既にその名前は使われています
08/07/14 08:08:50 MI9FBil4
×長所
○長女
713:既にその名前は使われています
08/07/14 08:20:09 IPQlXr23
スクエニ今日も電話つながんないだろうな
714:既にその名前は使われています
08/07/14 08:29:14 3D1jBqcw
俺用メモ
--------キャラクター復元サービス申請書類テンプレ---------
去る7月○日、御社にアカウントハッキングの件で連絡させて頂いた○○と申します。
電話対応して頂いた際、復元サービスの説明と申請の方法を伝えて頂きましたのでこのような形で
サービスの申請願いを郵送させて頂きました。
身分証明と共に、公式の内容に同意し下記に記載したキャラクターの復元を申請致します。
ワールドサーバー名○○ 復元申請キャラクター数○ 復元申請キャラクター名○○○
POLID○○○ POL以外のメールアドレス○○○○
【被害の詳細】パス変えられてインできねwwwww入れるようになったらアイテムねえwwwwもうだめぽw
宛先はこちら↓
スクウェア・エニックス インフォメーションセンター
〒151-8544 東京都渋谷区代々木3-22-7 新宿文化クイントビル10F
715:既にその名前は使われています
08/07/14 08:50:17 tr549L/i
>>710
カスペルさんに限らず、アンチウィルスソフトはインスコ後デフォルトで使ってるとザルだしね。
716:既にその名前は使われています
08/07/14 08:57:03 MP5uq74q
avastは何やってもザルだぜ
717:既にその名前は使われています
08/07/14 09:17:27 BjU4T3eZ
新種のウィルス&ワームにざるじゃねぇ所なんてどこにもねぇw
やっぱ安全を求めるならブラウザ専用マシン(VPC含む)を用意するしかないだろうねぇ
718:既にその名前は使われています
08/07/14 09:22:17 Xrlpj2xt
>>716
無料でザルじゃないの教えてください
719:既にその名前は使われています
08/07/14 09:32:36 DJFu2WjP
レジストリが書き換わっているにも関わらずwzcsvbxm.dllがない
正規の値にレジストリ書き直したら普通に書き直せた
が、シャットダウンの遅延変わらず、system32\svchost.exeも残ったまま
全然詳しくないんだけど、これってまだ解決してないよね
720:既にその名前は使われています
08/07/14 09:33:36 uFxJRDi2
カスペ入れたら下り50Mだったのが10Mまで落ちた
さすがにこれじゃ耐えられん
721:既にその名前は使われています
08/07/14 09:46:55 DLEEgKDQ
>>718
Antivir
722:既にその名前は使われています
08/07/14 09:54:41 FGTtE03J
NoScriptでgooglesyndicationが引っかかると心臓に悪いな
○googlesyndication(googleのアフィ)
×googlesydition(垢ハックのIDパス送信先)
723:既にその名前は使われています
08/07/14 09:59:17 i6OozX3y
>>718
AntiVir ただし英語版しかないのであんまり流行らない
724:既にその名前は使われています
08/07/14 10:05:40 9ZURV3I3
Avira AntiVirは日本語の解説サイトがあるので英語でもそんなに困ることはないでしょう。
725:既にその名前は使われています
08/07/14 10:08:21 Xw/cO/U/
たかがウィルス対策ソフトで英語版・日本語版ってのに拘る人もいるんだろうか
726:既にその名前は使われています
08/07/14 10:08:58 BjU4T3eZ
>>720
私もそれでカスペでなくてAntiVirつかってるからなぁ~
RWIN固定化されちゃうんだよね
まぁ一般人が50Mとか使ってるのなんて日本くらいとは言え...
727:既にその名前は使われています
08/07/14 10:11:52 JfOiYFSV
>>700
ハックされた俺とまったく同じ症状だわ…。
728:既にその名前は使われています
08/07/14 10:13:14 tr549L/i
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 現状まとめ(>>653の挙動周り修正)
【レジストリ】
WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
・キー位置
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
・感染時エントリ(値)
%SystemRoot%\system32\wzcsvbxm.dll (未感染Windowsでは%SystemRoot%\system32\wuauserv.dll)
wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更されていると考えられる。
乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了?
そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・ooglesy●dition.com 74.86.1●85.101
729:既にその名前は使われています
08/07/14 10:16:32 tr549L/i
>>719
検索の詳細設定オプションで
システムフォルダの検索
隠しファイルとフォルダの検索
サブフォルダの検索
にチェックいれて検索してもでないかなあ?
730:既にその名前は使われています
08/07/14 10:28:01 DJFu2WjP
>>729
そうしても引っ掛からないんだ
参ったな
731:既にその名前は使われています
08/07/14 10:31:44 tr549L/i
少なくともエントリが%SystemRoot%\system32\wuauserv.dll以外になってる時点で感染してるのはほぼ確実といっていいだろうなー。
%SystemRoot%\ってのは、ほにゃらら:\WINDOWS\って意味ね。
>>730
エクスプローラのツール>フォルダオプション>表示で全てのファイルとフォルダを表示する。 になってる?
732:既にその名前は使われています
08/07/14 10:35:41 DJFu2WjP
WUも試してみたがしっかりフリーズする
プログラムの追加と削除でのプログラム一覧表示も異常に遅い
>>731
なってる
もちろん直接system32見にいっても見つからない
733:既にその名前は使われています
08/07/14 10:37:37 oJ5ZjA3o
保護されたオペレーティング~
のチェックを外してあるか確認
734:既にその名前は使われています
08/07/14 10:38:47 tr549L/i
>>732
フォルダオプションの
保護されたオペレーティングシステムファイルを表示しない(推奨)
のチェック外れてる?w
735:既にその名前は使われています
08/07/14 10:40:22 I97JYoXU
クレジットカード使ってた場合って、もしかしてクレジットの番号まで盗られてますかね・・・?
736:既にその名前は使われています
08/07/14 10:41:18 tr549L/i
>>735
クレカは下4桁だかマスクされてるんじゃないっけ。
737:既にその名前は使われています
08/07/14 10:45:35 Ga0POk/5
>>735
今回のようなPOLパス抜きではカード情報は盗まれない
ただしカード決済の場合はキャラ作成や鯖移転が即時おこなえるので
あなたのカードを利用して有料サービスを勝手に使われるかもしれない
738:既にその名前は使われています
08/07/14 10:48:57 DJFu2WjP
>>733>>734
うわああ申し訳ないそれで見付けられた
中身はgooglesydition.comだった
ありがとう
739:既にその名前は使われています
08/07/14 10:52:28 3yI6XHDZ
Trojan-GameThief.Win32.WOW.bkf の駆除はもう少し
時間がかかるって事?
740:既にその名前は使われています
08/07/14 10:56:30 tr549L/i
>>738
んじゃあそのdllを
URLリンク(www.virustotal.com)
に投げて結果URLはってね。
>>739
システムサービスとして動いているからアンチウィルスソフトなんかだと検知はできても駆除はできないかも。
セーフモードでレジストリの修正してからなら出来ると思うがw
んだけど、まだドロッパの特定ができてないし>>640のような状況だから大人しくクリンスコしたほうがいいよ。
なに仕込まれてるか解ったもんじゃないしw
741:既にその名前は使われています
08/07/14 10:58:03 zHPvtkyP
感染したPCの対象レジストリを開こうとすると
エラーが出て開けない状態の人が前のほうにいたと思いますが
家も同じ状態で
セーフモードからだとレジストリが正常に開けたので
wuauserv.dllに書き直し
wzcsvbxm.dllをリネーム後再起動して削除したところ
終了オプションの表示が遅くなる現象が改善されました。
ちなみにwzcsvbxm.dllの中身のアドレスは下記でした。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
742:既にその名前は使われています
08/07/14 11:01:34 tr549L/i
>>740
アンカーまちがえたw
×>>640
○>>627
さーせんしたww
743:既にその名前は使われています
08/07/14 11:03:20 3yI6XHDZ
>740
thx
744:既にその名前は使われています
08/07/14 11:06:32 BjU4T3eZ
まぁ、問題解析を優先するんじゃないなら
ウィルス本体も見つかって無い事だし
素直にクリーンインストールをお勧めするよ
>>727
パスワードを安全な環境で(オペさんに変えてもらったってのも含む)
変更後、復旧待ちで解析してみたいってなら
セーフモードで立ち上げてみると該当レジストリ見れるかも
Windows XP を セーフモードで起動する方法
URLリンク(support.microsoft.com)
745:既にその名前は使われています
08/07/14 11:12:54 DJFu2WjP
>>740
どうぞ
URLリンク(www.virustotal.com)
746:既にその名前は使われています
08/07/14 11:16:40 tr549L/i
通常POLはsvchostなどから介入うけることはまずないと思っていていい。
逆にいえば、介入されたら何かしら問題がおきていると考えれw
ファイアヲールのプロアクティブディフェンス機能を利用したり、
POLのアプリケーションルールを>>56にしておくことが非常に有効だと考えられる。
この手の手法であれば感染してもID/PASS送信前に引っ掛けられる可能性は高いよw
747:既にその名前は使われています
08/07/14 11:17:51 BQyOSTuY
被害あって復元待ちなのですが、
復元待ちの間用にと「はじめてのFFXI」新規アカウントで、今朝POLログイン中、
急に「別の場所からログインされました」みたいなのが出ました。
すぐにログインし直して様子をみていると、また別の場所からログインされたが出たので、
またかと思いパスワード変えました。(それにしてもタイミングがよすぎる?)
実は、被害後カスペルスキーでTrojan-GameThief.Win32.OnLineGamesというのを検知して駆除したので
安心していたのでしたがダメな様で・・・
クリーンインストールっていうのはOSから入れ直す様なので、ノートパソコンは関係ないのでしょうか?
ノートパソコンをリカバリーしようと思いますが、リカバリー後はXP SP1になってしまいますが、
まず先にWindows UpdataでSP3最新まで更新、Flash最新でしょうか?
それともネットにつなげる前にウイルス対策ソフトのインストールが先なのでしょうか?
748:既にその名前は使われています
08/07/14 11:21:38 tr549L/i
>>745
検知はされてるみたいだけどこれもハッシュちがうなw
亜種ってかバージョン違いかもしれないけど、今後ひっかからない奴組んでくる可能性もあるので。
wzcsvbxm.dlなりみつけたらURLリンク(www.virustotal.com)に送って確認していくのがいいかもしれないねw
749:既にその名前は使われています
08/07/14 11:21:56 JXjz5KAA
>>747
今すぐPS2か360を買ってきてそれで即座にパスを変更後、二度とPCでFFを
やらないでください。お願いします。
750:既にその名前は使われています
08/07/14 11:26:19 tr549L/i
>>747
SP3やセキュリティソフトなどを先にDLなり用意しておいて、リカバリ後オフラインでそれらインスコしていくのがいいと思うよw
FlashPlayerもアンインスコしてから、WindowsUpdateかければいいんじゃないかなw
751:既にその名前は使われています
08/07/14 11:26:29 sK+6PmYQ
wzcsvbxm.dllってカスペルのオンラインスキャンで検出は出来てる?
検出され出来ればPCに詳しくないフレに先に指示出来る
見つかったら即PCを切り離させてレジストリの再確認と駆除方法を検討しようと思ってる
752:既にその名前は使われています
08/07/14 11:28:56 Ga0POk/5
>>747
どう説明したらいいのやら・・・
カペルスキーだろうが他の何だろうが全部のウィルスを完全に検出して駆除できません
ノートPCであってもデスクトップPCであっても外側の形が違うだけで中の仕組みは同じ
クリーンインストールというのはウィンドウズから全部を消して入れなおすことです
ノートパソコンに付属のマニュアルにしたがって行ってください
クリーンインストールができたらネットに接続する前にウィルス対策ソフトを入れましょう
その後にウィンドウズアップデートやフラッシュプレイヤーの更新を一つ一つ行います
753:既にその名前は使われています
08/07/14 11:29:02 BjU4T3eZ
>>751
何個(最初の1つ?)かは出てるけど、すべては出ていないとおもう
今また>>745で増えてるしね
754:既にその名前は使われています
08/07/14 11:33:24 tr549L/i
>>751
現時点でこの3種は検出されるのは確認したよ。
パターンファイルが降ってきてるかどーかはAvira民の俺にはわからないw
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkb
MD5: c6af4d4acd8b13e7def1770ac84aec23
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkf
MD5: a63ac3af3b8fdab8746767c458b33d10
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkf
MD5: 3ada06c88eabf3c2581f482400d924bc
755:既にその名前は使われています
08/07/14 11:35:09 oJ5ZjA3o
>>751
試してみた
昨日ここで発見された2つは検知する
今日の分は検体が手元にないから分からない
756:既にその名前は使われています
08/07/14 11:40:00 k1i/gyz+
俺のPC 指摘されてるサイトはもちろん、ほぼありとあらゆるFFサイト見まくってるけど感染してないな
なにが勝因なのか自分でもワカランw
757:既にその名前は使われています
08/07/14 11:42:05 JXjz5KAA
>>747
いっとくけど、749は冗談じゃないよ。その知識では復元後に必ずまたやられる。
そして2回目の復元サービスはない。だから悪いことは言わない。二度とPCで
FFやるな。
758:既にその名前は使われています
08/07/14 11:42:55 egmCNGgx
>>756
お前のようなアフォが感染している
759:既にその名前は使われています
08/07/14 11:47:27 sK+6PmYQ
>754
報告ありがとう
解る人なら問題の本質を簡単に説明出来るんだけど
初心者にはかなりかみ砕いて説明しなければいけないだよね
簡単な検出、難しく無い(ミスしない)対応の指示を考えるわ
760:既にその名前は使われています
08/07/14 11:48:14 tr549L/i
>>756
>>592でも言ったんだけど、マルウェアがPC内部に入り込むための手段はそれほど多くないんだよね。
そこらの動向をしっかり把握して、対処してれば感染する可能性はぐっと低くなる。
が。
>なにが勝因なのか自分でもワカランw
つーことだし、今回は単純に運が良かったってだけじゃねw
761:既にその名前は使われています
08/07/14 11:51:29 BQyOSTuY
>>747です
ごめんなさい。もうPS2買ってきます。
本アカウントは復元待ちで凍結中なのですが、
新しく再発行されたパスワードを凍結中でも、サポセンでさらに新しく再発行することはできるでしょうか?
あと再発行されるパスワードって数字4つアルファベット大文字4つの合計8文字ですよね?
単純すぎるのですが、もっと複雑にできるでしょうか?
762:既にその名前は使われています
08/07/14 11:55:47 BjU4T3eZ
>>757
まぁ確かに落ち着くまではPS2なりXBOX360なりに退避してるのが
いいと思うな
特に二回目は復旧してもらえんしな
いまさらそこまでする気はないってならまぁお休みしててもいいと思うが
ついでにそのまま引退できて良いかもしれん...
763:既にその名前は使われています
08/07/14 11:56:51 zPSbCltV
>>747
本気で言ってるなら、あんたパソコンでネトゲやっちゃだめだ。
あまりにも知識が無さ過ぎる。あんたみたいな人がウィルス撒き散らすんだよ。
ノートパソコンだってOS無ければ動かないんだから、
クリーンインストールが関係ないとか、馬鹿でも言わないようなことだぞ?
764:既にその名前は使われています
08/07/14 11:59:03 tr549L/i
>>761
へこむなよww
とはいえ>>747の言うとおりPS2なり×箱でやればPCよりは安全だしね。
ただ、PCを使う限り今後もいろんなマルウェアに悩まされていくわけだから、
少しずつでも自分の環境を把握して、セキュリティソフトが一体何をしてるのか理解していくことが重要だよw
8桁以上じゃないっかなー。最大桁数は忘れた。
もう>>747が言ったんだし何度も同じこと言わなくてもいいんじゃねww
765:既にその名前は使われています
08/07/14 11:59:08 zPSbCltV
>>761
もっと複雑ってどういう意味?
766:既にその名前は使われています
08/07/14 11:59:35 Vb9WTlhz
新しく再発行されたパスワードを凍結中でも、サポセンでさらに新しく再発行することはできるでしょうか?
↑屑エニに聞けw
あと再発行されるパスワードって数字4つアルファベット大文字4つの合計8文字ですよね?
単純すぎるのですが、もっと複雑にできるでしょうか?
↑復元されてから自分の好きなように変更しろw
767:既にその名前は使われています
08/07/14 12:01:11 jigQHUur
>>765
オマエは、、、2チャンネルやっちゃダメだw
複雑ってのは英数記号大文字小文字文字数をいろいろ組み合わせていくことを
言ってるんだと気付けよ。その程度がわからないやつが他人にえらそうにすんなよw
768:既にその名前は使われています
08/07/14 12:01:53 Vb9WTlhz
>>765 12DAdfgdafe343glete43wtとかにしたいってことじゃね?
769:既にその名前は使われています
08/07/14 12:05:27 tr549L/i
>>764
またアンカミス、いやほんとすいまえんえdしあ;;
×>>747
○>>757
770:既にその名前は使われています
08/07/14 12:06:43 BQyOSTuY
へこみました・・・
771:既にその名前は使われています
08/07/14 12:07:36 WQUx1mer
あたりまえだバカ
772:既にその名前は使われています
08/07/14 12:08:41 WQUx1mer
今のあなたのPCってパスないのと変わらんの。
なんで強度の心配とかしてんの?
773:既にその名前は使われています
08/07/14 12:11:01 1Ti6KZbR
まだ今回のアカハック完全に解決してないけどそろそろ送信先わかってるとこには反撃したいとこだ
まぁ 反撃したとこで ウィルス減るわけじゃないけど
うさばらしにはなるかな
774:既にその名前は使われています
08/07/14 12:11:05 oQ/lf3kO
>>770
ここはあくまでネ実であってサポセンでは無いって事だわ。
煽りなんて当然と思わないとね。
775:既にその名前は使われています
08/07/14 12:13:26 WOQ1siHF
>>770
言い方は非常に不親切だが>>766は的確な事を言っているよ。
凍結中にさらにパスワード再発行してくれるかどうかは
サポートセンターに聞かなきゃ分からないし(たぶんしてくれるとは思うけど)、
パスワードは後でいくらでも自分で好きに変更できる。
このスレを面倒でも最初からよく読んで、少しでも知識をつけてね。
巻き戻しは一度きりなんだし、結局自分の身は自分で守るしかないからね。
776:既にその名前は使われています
08/07/14 12:14:34 47YLqBCM
強度の心配することはいいことだ
777:既にその名前は使われています
08/07/14 12:15:47 zPSbCltV
>>767
チャンネルとか書いちゃう痛い奴から、どうこう言われる筋合いは無いねw
あの程度の知識しか無いID:BQyOSTuYが
数字4つアルファベット大文字4つ以外を使いたいという意味で
複雑という言葉を使ったわけではないと判断できる材料が、>>761にあるのかよ?w
>英数記号大文字小文字文字数をいろいろ組み合わせていくこと
これって、おまえの都合で勝手に想像しただけだろw
そういうのは「個人的解釈」って言うんだよ。なんでそれが唯一無二の正解みたいに自信持てるんだwww
778:既にその名前は使われています
08/07/14 12:17:20 WQUx1mer
力抜けよ
779:既にその名前は使われています
08/07/14 12:19:16 I5xYa5Fi
ハックされてwzcsvbxm.dll探してみても引っかからないんだが…。
これはローカルハックなんかね?
ところで、POLのセキュリティ設定もブっこ抜かれる?
780:既にその名前は使われています
08/07/14 12:21:15 Cd7yQcwk
まあ、あんまり強度の高いパスワードは、往々にして運用面でボロが出たりする
概して覚えづらい、入力しづらいパスワードになるから
個人で使う分には、ソーシャルハッキング(パスワードのメモ書きを見られる等)は
あまり考える必要は無いけれど
781:既にその名前は使われています
08/07/14 12:22:41 tr549L/i
そういえば、感染PCでPOL.exeは全員エラー落ちするの?
前スレだか前々スレだか前々々スレだかでPOLの接続先が業者鯖になってるっていう報告あったから
>>728でプロセスを乗っ取るとか書いちゃったけど、落ちないでそのままゲームに進めるっていうなら、
POLから発射されるID/PASSを抜き取ってwuauserとして送信することも可能な気がしてきた。
だとしたらPOLの接続鯖絞ってもあまり意味ないんかなあ。
プロアクティブディフェンスを常駐させてれば引っかかるとしても。
782:既にその名前は使われています
08/07/14 12:25:49 Vb9WTlhz
>>777 御高説たれたところ ぷっw
783:既にその名前は使われています
08/07/14 12:25:52 tr549L/i
>>779
これで試してみて無かったらレジストリ確認してみw
>>729
>>734
POLのセキュリティ設定は前にあった手法のパスワードファイルをそのまま盗み出す手口に対応したもので
今回のにはあまり役にたたんよw
784:既にその名前は使われています
08/07/14 12:27:56 oJ5ZjA3o
>>779
>ハックされてwzcsvbxm.dll探してみても引っかからないんだが…。
>>728のレジストリを調べて正規ファイルなら別物かと
>ところで、POLのセキュリティ設定もブっこ抜かれる?
POLの通信を乗っ取る手口だから
『保存・セキュリティ設定』とか『保存無・スクリーンキーボード・手打ち』とか関係なく持って行かれると思われる
785:既にその名前は使われています
08/07/14 12:29:07 OY0AuQ0V
受付番号もらって、恐らく本日の着で書類送ったんだけど
いつから凍結始まるのかな?やるならさっさとやってくれええ
いつ始まるものかと、ログインしてはアカハク受けた
切ない姿の俺のキャラを見るのは辛いよ(ノД`)
786:既にその名前は使われています
08/07/14 12:31:11 oJ5ZjA3o
>>785
サポセンに直接依頼したら書類の到着とか関係なく
受付番号出して貰った時点で垢凍結されるよ
787:既にその名前は使われています
08/07/14 12:31:19 I5xYa5Fi
>>783
取りあえず、全部読んで全部試してみた。
System32も隠しファイルも全部確認。
でも親切にありがとな!
POLのセキュリティ設定は話題に上がらないだけあって、やっぱり役にたたんか…
外部のUSBメモリに…ってそれすらもアテにならないよな。
788:既にその名前は使われています
08/07/14 12:33:52 tr549L/i
>>787
ただし、以前の手法には効果はあるからして。
PCに突っ込む穴さえあれば以前の手法だろうと動かせちゃうわけだから、設定しておいて損はないとは思うよw
789:既にその名前は使われています
08/07/14 12:34:58 ApGn707U
>>781
前兆症状、Winシャットダウンしか出ていない場合もあるですよ。
感染したのが今洗い出し中のだったとしたら、ですが。
790:既にその名前は使われています
08/07/14 12:38:00 tr549L/i
>>789
だとしたら、POLの通信をぬいちゃってサービス名乗ってID/PASS送信するバージョンがある可能性もあるわなー。
俺のもってるwzcsvbxm.dllだとPOL自体が繋ぎにいっちゃてるように見えるけど。
791:既にその名前は使われています
08/07/14 12:41:57 jigQHUur
>>777
お前痛いから茶化したのに気付いてないカワイソウな子なのね。
なんでも上から物申せば通ると思ってると、お前が痛い目にあったときに
誰も助けてくれないぞ?調子こいてんじゃぁねぇよぅ。
792:既にその名前は使われています
08/07/14 12:43:59 OY0AuQ0V
>>786
あら、そうなんだ?
火曜日に受付番号出してもらったけど、とりあえず昨日まで入れたよ?
793:既にその名前は使われています
08/07/14 12:45:43 I5xYa5Fi
前兆症状は
・アップデートでフリーズする(二度目から可能)
・POLが途中でシャットダウン
・Winシャットダウン
他に何かあるかな?
一応、前兆症状もまとめておいた方がいいと思うんだが…。
俺はここの住人のお陰で現在は感染していない事が判明。ありがたや。
794:既にその名前は使われています
08/07/14 12:47:26 OY0AuQ0V
>>793
プログラムの追加と削除で、プログラム一覧が出るのに時間がかかる、もしくは出ない
もかな
795:既にその名前は使われています
08/07/14 12:47:42 tr549L/i
>>793
・アップデートでフリーズする
・POLが途中でシャットダウン(二度目から可能)
・Winシャットダウン
こうじゃなかったっけ。つかこう思ってたw
796:既にその名前は使われています
08/07/14 12:48:44 j8zk7Un9
>>792
もうこのままの方が卒業できていいのかもしれんぞ…
冗談はさておき、郵送?ってのはメールなり電話なりでやりとり出来ない場合の代替手段じゃないかと思うのだが
POLの場合は何か郵送しないといけないわけ?
797:既にその名前は使われています
08/07/14 12:48:48 wAHqaN0O
反面教師ですね。わかります。
798:既にその名前は使われています
08/07/14 12:51:07 I5xYa5Fi
追加してみました。他にもあったら報告お願いします。
【典型的な前兆症状】
・各種アップデートでフリーズする(二度目から可能)
・POLが途中でシャットダウン(二度目から可能?)
・Winがシャットダウン
・アプリケーションがやたら重い
・「プログラムの追加と削除」にて一覧が出るのに時間がかかる・もしくは出ない
799:既にその名前は使われています
08/07/14 12:52:54 BgvmEWA2
>>781
wzcsvbxm.dllはpolのプロセス内にスレッドを1つ作って悪さをするっぽい。
だから、pol.exeのプロセスがアカウント情報を送信するように見えるはず。
作りが悪くなければPOLとFFXIは問題なく動いててもおかしくない。
というわけで、パーソナルファイアウォールソフトでpol.exeの通信相手を
スクエニのサーバに限定するのは無駄ではないと思う。
もちろん、別プロセスで悪さをする従来型には無力なので、PG2を併用するのが
いいかと。
(マニアじゃない人向けの注意w)
「入られた時点で負け」なので、上記の対策は飽くまで保険。
感染したあとの対応はクリーンインストールが鉄則。
800:既にその名前は使われています
08/07/14 12:54:47 oJ5ZjA3o
前スレから移行するときにテンプレがいくつか貼られ忘れてる
その中には前兆症状のまとめも含まれてる
801:既にその名前は使われています
08/07/14 12:55:17 tr549L/i
>>799
すれっど注入かー、なるへそ。ありがとうw
802:既にその名前は使われています
08/07/14 12:57:10 I5xYa5Fi
>>796
いきなり郵送しても取り合って貰えないよ。
まずは電話で本人確認、状況の確認と相談、こちらの希望やロールバックのリスク(取ったアイテムが消える)
などを相互に確認してIDを発行してもらう。
その上でIDを記載した身分証(免許・住民票・保険証)のコピーにIDを書き込んで対応してもらう。
2週間以上かかると言われたけど、10日でキャラが戻ってきたよ。
803:既にその名前は使われています
08/07/14 12:57:13 zPSbCltV
>>791
馬鹿のくせに何言ってんの?
804:既にその名前は使われています
08/07/14 12:57:47 QGj47THP
ちょっとおまいらの意見をきかせてくれ。
ID・PASS送信までの想定される動きで間違いないとすると、
FF終了時に、シャットダウン(メニューなり/shutdownなり)で終了せず、
ログアウトとかで戻っていって、パスワードを唯一無二なものに変更して
POLを終了させれば問題なさそうな気がするんだが。
重要なのは、パスワード変更時に、
これまで設定したことのないパスワードにする
な。
805:既にその名前は使われています
08/07/14 12:58:08 tr549L/i
12 名前:既にその名前は使われています[] 投稿日:2008/07/10(木) 21:02:57 ID:wZvpwWq5
こんな症状が出たら感染の疑いありです、大至急対策を!
◆Windows Updateがフリーズする
◆POLを起動するとエラーが出る(2回目からは正常に起動)
◆シャットダウンに時間がかかるようになった
これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た1~2週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、 すでにパスを盗まれ処理待ちである可能性が高いです!
「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにやられます。
被害報告は6月中旬から以前の20倍近いペースで増えています!
至急ウィルスチェック・Flashplayer更新・パスワード変更を!
Flashのバージョン確認
スレリンク(ogame板:20-番)
カスペルスキーオンラインスキャン(無料)
URLリンク(www.kaspersky.co.jp)
806:804
08/07/14 12:59:04 QGj47THP
書き忘れたけど、
>>804は、あくまで暫定対処ね。
807:既にその名前は使われています
08/07/14 13:00:53 j8zk7Un9
>>802
ああ、そうかパスワード再発行じゃなくてキャラ差し戻しなんだよな。
それならそれ位厳重じゃないと逆に怖いな。
丁寧な解説有り難う。納得した。
808:既にその名前は使われています
08/07/14 13:01:55 Ga0POk/5
>>798
半端なまとめするな!
809:既にその名前は使われています
08/07/14 13:02:28 SdIVzw8/
つーかサポセンいつになったら繋がるんだよ・・・
810:既にその名前は使われています
08/07/14 13:03:51 tr549L/i
>>804
運用上、それが面倒でなく確実にパスワードを覚えているのならば効果はあるとおもうなー。
一応パスワードなり変える所はSSLだかで暗号化通信してるみたいだし。
そこも監視されてたらどーだろう。まだそこまでみてないw
811:既にその名前は使われています
08/07/14 13:05:35 j8zk7Un9
ここ数日パス変更しようとすると鯖重すぎて繋がらないんだが?
変更中にリトライ祭とかどうすんの?しぬの?
812:既にその名前は使われています
08/07/14 13:06:01 m6a84xs8
PG2が以下のIPを弾きます
aguse.jpで調べたのですがこれはかなり危険なサイトでしょうか?
気持ち悪いのでクリーンインストールすることに決めたのですが
正体がはっきりしないとスッキリしないので
よろしければ教えてください
221.4.211.3
サイトのタイトル:Welcome to JBoss™
実際に表示されるサイトのURL:URLリンク(221.4.211.3)<)
あと「入力されたURLは存在しませんでした。」
はどんな場合に表示されるのでしょうか?
よろしくお願いします
813:既にその名前は使われています
08/07/14 13:06:19 Ga0POk/5
ここ最近でこんな症状が出たら感染の疑いありです、大至急対策を!
◆Windows Updateがフリーズし実行できない
◆POLを起動するとエラーが出る(2回目からは正常に起動)
◆Windowsのシャットダウンに時間がかかるようになった
◆アプリケーションの追加と削除を選択して表示されるまでに時間がかかるようになった
これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た1~2週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、 すでにパスを盗まれ処理待ちである可能性が高いです!
「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにパスを盗まれます。
被害報告は6月中旬から以前の20倍近いペースで増えています!
至急ウィルスチェック・Flashplayer更新・パスワード変更を!
Flashのバージョン確認
スレリンク(ogame板:20-番)
カスペルスキーオンラインスキャン(無料)
URLリンク(www.kaspersky.co.jp)
814:既にその名前は使われています
08/07/14 13:06:48 F6kwfyZ3
直リンするとは良い度胸だ
815:既にその名前は使われています
08/07/14 13:06:58 oJ5ZjA3o
パスを変えると強制ログアウトになるし
新パスで入るならハッカーに新パスを送ることになるので
ログイン中に落とされる恐怖は払拭されないですね
816:既にその名前は使われています
08/07/14 13:07:23 Ga0POk/5
>>812
URLを張るときはドットを●にかえてくれ。。。
817:既にその名前は使われています
08/07/14 13:07:38 j8zk7Un9
>>812
やっちまったな……
818:既にその名前は使われています
08/07/14 13:07:59 Ga0POk/5
ていうか釣りたいのかね
819:既にその名前は使われています
08/07/14 13:08:10 m6a84xs8
ああ、すみませんURL直張りしてしましました
たいへん申し訳ありません
↑踏まないでください
820:既にその名前は使われています
08/07/14 13:09:17 Ga0POk/5
IDをNGしたから問題ない
821:既にその名前は使われています
08/07/14 13:09:42 I5xYa5Fi
>>805
おお、抽出ありがとう!
UpdeteとPOL起動には問題ないが、シャットダウンにちょっと時間かかるのはPCのせいだろうな。
822:既にその名前は使われています
08/07/14 13:09:49 tr549L/i
>>812
危ないサイトっていいながら直リンするなよ。誰か飛んだらどーするんだw
PG2が弾いたんなら大丈夫じゃないか?
弾いたからそのサイト飛べなかったんだろうしw
823:既にその名前は使われています
08/07/14 13:10:53 7FBMRL5F
まずレジストリエディタで問題のdllを検索して見つからなかったらとりあえずは現状ではセーフってことでしょうか?
824:既にその名前は使われています
08/07/14 13:11:41 Fr1YoSfd
>>812
責任とって削除してこいよ
825:既にその名前は使われています
08/07/14 13:12:42 fe6AZ7ct
>>809
オレは仕事中に時々掛けてみるって感じで
4日目にやっと繋がったが、リダイヤル30回くらいしたかな。
来月の携帯料金明細見るのが鬱だわ。
半年分の課金を軽く上回る額だろうな。
826:既にその名前は使われています
08/07/14 13:14:01 tr549L/i
>>823
そうともいえない。
現時点ではwzcsvbxm.dllのケースでしか報告はないけど。
これはただのファイル名であって、名前はなんでもいいからね。
unkotinko.dllでもいい。
該当レジストリキーまで行って見たほうがいいと思うよ。
827:既にその名前は使われています
08/07/14 13:14:44 m6a84xs8
本当に申し訳ないことを…
以後、書き込みは自重いたします
お騒がせいたしました
でも、もし何かわかりましたら教えていただけると助かります
828:既にその名前は使われています
08/07/14 13:14:49 I5xYa5Fi
>>823
逆に正規のwuauserv.dllを検索してみたらどうかな?
829:既にその名前は使われています
08/07/14 13:18:05 oJ5ZjA3o
>>812
中国だから弾いてると思われる
国別リストで弾いてる場合は、危険か安全かまでは分からない
例えば韓国のリストにはwikipediaJPのアドレスも含まれていたりする
ただし危険なアドレスも当然含まれているので踏むなら自己責任で
830:既にその名前は使われています
08/07/14 13:18:10 Fr1YoSfd
>>827
削除要請してね
自分のけつくらいふいてください
スレリンク(saku2ch板)
831:既にその名前は使われています
08/07/14 13:19:32 WeXiXYyD
ウィルスどんどん貼れよ
このスレのURLだから踏んでも大丈夫なんて思ってるアフォには良い薬だ
832:既にその名前は使われています
08/07/14 13:22:50 7FBMRL5F
レスありがとうございます!
昨日フレンドがなぜか別鯖に、そのリア友からハックされたと聞いてビクんビクんしてます
今は仕事中なので確認できないのですが帰ったら確認することは
問題のdllを検索
正規のdllを検索
該当のキーと言うのがわからないのですが('A`)
833:既にその名前は使われています
08/07/14 13:23:39 F6kwfyZ3
といってageてくれる業者は本能的に長寿タイプ
834:既にその名前は使われています
08/07/14 13:25:36 oJ5ZjA3o
>>832
>>728を見てね
835:既にその名前は使われています
08/07/14 13:25:36 tr549L/i
>>832
>>728はまだ書きかけだから、>>653のが解りやすいかもねw
836:既にその名前は使われています
08/07/14 13:26:27 Ga0POk/5
不安な人はクリーンインストールしたほうがいい
837:既にその名前は使われています
08/07/14 13:27:01 QGj47THP
自分のマシンのレジストリに unkotinko.dll が登録されてたら鬱すぎるww
838:既にその名前は使われています
08/07/14 13:29:48 tr549L/i
>>837
過去に滝川クリトリスってプロセス名のマルウェアがおりましてな・・・
839:既にその名前は使われています
08/07/14 13:32:15 tr549L/i
というか、まだドロッパの特定できてないしレジストリの改竄確認したら、クリンスコ推奨するよ。
ただクリンスコ前にURLリンク(www.virustotal.com)にwzcsvbxm.dlを送って結果URLをここに張ってほしいけどw
840:既にその名前は使われています
08/07/14 13:32:46 7FBMRL5F
今メモりました!ありがとうございます
今まで他人事だと思ってたけど身内に被害がでて本当にヤバい状態なんだとわかりました('A`)
スクエニさんはちゃんとした対応してくれないのかな、もっと安全に楽しくゲームしたいです
あの頃の砂丘がまぶしいです
841:既にその名前は使われています
08/07/14 13:34:08 m6a84xs8
>>830さん
削除依頼出しておきました
お騒がせしました
こんなマヌケにレスして下さった方々
本当にありがとうございます
842:既にその名前は使われています
08/07/14 13:35:19 tr549L/i
どんなシステム組んでも、最大のセキュリティホールになりえるのはユーザの存在だからね。
ユーザが意識が変わったときにあの頃の砂丘が戻ってくるんじゃないw
843:既にその名前は使われています
08/07/14 13:35:29 oJ5ZjA3o
検体を挙動説明付きでスクエニに送ったら対策とってくれるだろうか?
844:既にその名前は使われています
08/07/14 13:35:41 XECJYs/m
しかし、今はFFのおかげでハック被害者が目に見えてくる場合もあるだろうが、
潜在的な被害者はむちゃくちゃいそうだなこりゃ。しかもそのほとんどが>>747
みたいなやつばっかりだとすると、、、、いやー俺もハッキングしたくなってくるな
マジで。濡れ手に粟じゃねえかよ。
845:既にその名前は使われています
08/07/14 13:36:11 5ZwIop9c
>>830
釣りですか?
846:既にその名前は使われています
08/07/14 13:37:09 WeXiXYyD
ウィルスどんどん貼れよ
このスレのURLだから踏んでも大丈夫なんて思ってるアフォには良い薬だ
847:既にその名前は使われています
08/07/14 13:37:46 Fr1YoSfd
>>845
意味がわからん
848:既にその名前は使われています
08/07/14 13:38:24 WAIxQP07
受付番号って確認しなきゃだめなもの?
俺サポセン電話>パス再交付>垢ハックだった場合の郵送による申請説明>身分証送付>GMコール>郵送申請したので垢凍結依頼
だったから受付番号なんて知らないんだが。受付されたかどうか聞くだけのためにサポセンに電話やコールすんの気が引けるけどしたほうがいいのかな。
849:既にその名前は使われています
08/07/14 13:38:42 j8zk7Un9
>>845
意味がわからん
850:既にその名前は使われています
08/07/14 13:38:47 Y/z/51gv
>>830
重要削除には該当しないはず、通常のほうで依頼しないとだめ
851:既にその名前は使われています
08/07/14 13:39:04 5ZwIop9c
>>847
どうみても[要請]板案件ではありません。
削除ガイドラインを見直してきましょう
852:既にその名前は使われています
08/07/14 13:42:22 Fr1YoSfd
>>851
素でまちがったわ
削除整理のほうか・・・
853:既にその名前は使われています
08/07/14 13:44:58 tr549L/i
>>843
ローカルでやられちゃうのはどうしようもないからなー。
なんとかしようとしたらnproなりマルウェアまがいの入れなきゃなくなるしw
ただID/PASSの認証を暗号化通信するとかワンタイムパスとかくらいは議題には上がってるんじゃねw
854:既にその名前は使われています
08/07/14 13:45:40 Ga0POk/5
メモリからIDとパスが抜き取れる仕様を早く直せ
855:既にその名前は使われています
08/07/14 13:45:40 j8zk7Un9
削除依頼にも種類があるんだな
なるほどなー
856:既にその名前は使われています
08/07/14 13:45:50 m6a84xs8
度々すみません、自分で探して以下の削除板に
依頼しましたので、大丈夫かと思います
スレリンク(saku板)l50
857:既にその名前は使われています
08/07/14 13:51:32 I5xYa5Fi
>>848
最初から垢ハックの疑いでサポセン行ったなら受付番号は交付されるはず。
その番号で状況の確認と調査の手が入るから。
一番良いと思うのはGMに通報して垢凍結(サポセンでも可能)、後日サポセンにリダイアルオンライン。
そこで受付番号貰って、身分証と一緒に郵送。
受付番号なくても大丈夫だと思うけど、調査依頼と一致させるのに時間がかかる=復活が遅れる
一応、サポセンに電話して進捗状況を聞いてみるのもいいかと思う。そこで改めて番号振られると思うし。
今は比較的空いてる時間帯だから、すぐ電話するか、後日改めてかけると良いと思う。
858:既にその名前は使われています
08/07/14 13:57:04 qV55h30z
こんなすぐ落ちるスレで削除依頼とか頭悪すぎるなwハックされるのもうなずけるw
859:既にその名前は使われています
08/07/14 14:00:10 j8zk7Un9
地雷は除去したほうがいいだろ
860:既にその名前は使われています
08/07/14 14:01:17 PpBDQf7b
FFAHみてると垢ハックしたキャラの装備を売ってるキャラがあからさま過ぎるんだがw
861:既にその名前は使われています
08/07/14 14:02:25 qV55h30z
2ちゃんの運営がすぐ仕事するとでも思ってるのかw
早くて1週間後だwwwwww
862:既にその名前は使われています
08/07/14 14:02:51 BjU4T3eZ
というか常時ageでいいだろww
2chブラウザのsageはきっとけw
863:既にその名前は使われています
08/07/14 14:06:05 XOxf3eZy
嫌いな奴がログインしてない
恐らくハックされたな
ざまぁwwwwwww業者GJwwwwwwwwwwwwwwwww
864:既にその名前は使われています
08/07/14 14:08:23 tr549L/i
>>854
メモリから直に抜いてるわけじゃないとおもうよ。
それで抜けたらもっと良い方法があるw
865:既にその名前は使われています
08/07/14 14:08:50 BjU4T3eZ
>>861
十中八九すでにスレは落ちてるなwww
866:既にその名前は使われています
08/07/14 14:10:10 WAIxQP07
>>857
ありがとう。そうしてみる。
867:既にその名前は使われています
08/07/14 14:15:34 9l7E5VhS
>>854
1,2年位前に、どっかのツーラー作者がIDパスのぶっこぬきソースを公開したら修正された・・・はずw
868:既にその名前は使われています
08/07/14 14:19:46 giiOkMcF
あー、俺身分証と一緒に受付番号送付するの忘れてた・・・・
サポセンの電話に出た女がめちゃくちゃ滑舌悪くて何いってるのかマジで聞き取れなかったし・・
メモり忘れてたと思うわ。(何回も、は?すいません、何言ってるか分かりません。って言ったし)
で、今6/30日に送って今も完了メール着てないしな。
受付番号一緒に送付しなくても平気なんだよね。もう完全にイライラしてブチギレそうだわ
サポセンの受付にするやつはちゃんと喋れる奴にしろよ。
869:既にその名前は使われています
08/07/14 14:20:22 s8qojN3k
6月上旬からOSの調子が悪く
ノートン、adware、spybotするも検出なしでしたが
OSクリーンインストール。
その後月末になりパスワード変えられログインできなくなりまして
こちらの板にてシャットダウンに時間がかかる、
アップデートできない、ソフト削除ができない等の症状が
不調ではなく感染だったことを知ったのですが
今現在症状は出てないのですが
もういちどクリーンインストールしたほうがいいのでしょうかね やっぱり、、?
870:既にその名前は使われています
08/07/14 14:22:18 fwCR3mTL
こんなの日本で使ってる人いないだろ…というところにも送って数時間。
URLリンク(www.virustotal.com)
Ikarus…だと…?
871:既にその名前は使われています
08/07/14 14:23:08 Ga0POk/5
メモリにそのまま展開してたのですぐ抜き取れたのは修正
IDとパスを保存したファイルが抜き取られていたのを修正
パケットの監視をしてIDとパスを抜き取っているのが放置
こんなところ?
小学生が宿題をやり直しを言われたみたいな状態
872:既にその名前は使われています
08/07/14 14:30:31 F6kwfyZ3
>>868
サポセンのねーちゃんにまで牙剥くとは度し難いな
873:既にその名前は使われています
08/07/14 14:35:10 tr549L/i
>>871
>>799 がその点について言及してるから見てみるといいかもw
874:既にその名前は使われています
08/07/14 14:35:26 j8zk7Un9
サポセンはしょせん雇われ人
テンプレ通りの回答しかこないよ
875:既にその名前は使われています
08/07/14 14:38:49 oJ5ZjA3o
>>870
ウィルスの検出名がほぼ同じだし、データベース共有してるんじゃないかな
876:既にその名前は使われています
08/07/14 14:39:56 NxxNOKeJ
どうもキレる相手間違えてる奴が多いな
877:792
08/07/14 14:40:02 OY0AuQ0V
>>802
俺も電話確認の上、受付番号=IDをもらって、それを記載した依頼状を書き上げて、保険証の写しと同封して送付したけど
ロールバックのリスクの部分は、HPの書面を印刷して、一筆入れるという形でいいといわれたな
①リダイアルオンラインorGM通報⇒
②垢凍結⇒
③再度リダイアルオンライン⇒
④復旧依頼⇒
⑤受付番号受領⇒
⑥書類発送
という流れの、②③④をすっ飛ばして、⑥にきてるのが俺の状態かな
サポセンの人も、リダイアルオンラインはきついでしょうと、
すっ飛ばすならこういう風に出来ますよと、案内してくれたな
その分、書類到着まで自由に動けるんだろうけど
これってやり様によっては使われなかった印章とかを一気に消費して
アイテムをフレに預けて復帰後返却、再度印章消費とかできちゃうよねえ
思いついたけど、「そんなことして復旧させてもらえなくなっても知らないぞ」と
フレに脅されたなwww
878:既にその名前は使われています
08/07/14 14:43:25 PKjQ4cEg
なんでこんなに伸びてるんだw
879:既にその名前は使われています
08/07/14 14:44:04 9l7E5VhS
>>877
それやったら、フレが業者の一部とみなされてBANされそうだなw
880:既にその名前は使われています
08/07/14 14:51:45 fwCR3mTL
>>875
他社での検出名をそのまま流用したんだろうね。
中小ではよくある。
しかし誤検知大王のIkarusがこんなに早いとは…。
881:既にその名前は使われています
08/07/14 15:01:36 qCgIu30F
sage進行は危険です。
882:既にその名前は使われています
08/07/14 15:04:55 uFxJRDi2
アプリケーション追加と削除が何か新しく入れた後とか1回目開くのに結構時間かかる時があるんだけど
2回目からは一瞬で表示される
これどうなんすか?
883:既にその名前は使われています
08/07/14 15:08:12 CaelPPs0
パソコン初心者質問総合スレはここですか?
884:既にその名前は使われています
08/07/14 15:09:00 tr549L/i
>>882
それだけじゃなんともいえない。
そこらへんが遅くなるのはレジストリが肥大化してたりゴミキーたまってたりしてるとなりがちだけどw
885:既にその名前は使われています
08/07/14 15:11:41 giiOkMcF
あとでもっかいサポセンに電話してマジで作業してんのか聞いてみるかな
待ち期間長すぎて何か疑わしくなってきた
886:既にその名前は使われています
08/07/14 15:15:49 giiOkMcF
アカ凍結中で巻き戻し作業中の人のアカってPOLにインすると
「何らかの理由でこのIDには~~」って言われる?
巻き戻し作業中でとか書かれればほっとするんだけどな。やはり電話しかない
887:既にその名前は使われています
08/07/14 15:19:49 Y/z/51gv
>>885
長すぎって、まだ2週間なんでしょ?
1ヶ月くらいみておかないと駄目かもね、被害状況如何では
888:既にその名前は使われています
08/07/14 15:20:51 fe6AZ7ct
>>885
無駄な凸はやめれw余計にサポセン混むだろ。
6月t13日にハックされた者の復帰に3週間以上掛かってるから
ハック時期によっては1ヶ月とか要するんじゃね?
心配ならもう一度書類作って
「ちゃんと届いてるか心配で再送付してみまつた^^;」って送ればいいんじゃねかな?
889:既にその名前は使われています
08/07/14 15:21:40 OnyXJk9v
ここは無駄にサボセンが混み合う理由がよくわかるスレッドですね
890:既にその名前は使われています
08/07/14 15:24:10 /c01cY15
未感染の人のレジストリ値って、全員 wuauserv.dll なの?
おれ、wscsvc.dll なんだが、、、
891:既にその名前は使われています
08/07/14 15:25:28 pREJ+Ffm
>>890
落ち着け
もう一個下だ
892:既にその名前は使われています
08/07/14 15:25:40 tr549L/i
>>728
またちょっと修正叩き台
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入すると考えられる。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更または追加されているようだ。
POLのプロセスを使用して業者鯖にID/PASSを送信する。送信後POL異常終了?(異常終了しないケースもあるため後期Verでは落ちない可能性
//たしかにURLリンク(www.virustotal.com)でいきなりファイルサイズ倍なってるもんなw進化したのかもしれんw
そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・googlesy●dition.com 74.86.1●85.101
893:既にその名前は使われています
08/07/14 15:29:33 VAFPhRec
>>868
ハックされた馬鹿が何いってんだ。
何が原因でハックされたの?馬鹿はPS2でやっとけよ。
894:既にその名前は使われています
08/07/14 15:32:51 /c01cY15
>>891
即レスさんくす。
ちと顔洗ってくるわ。
895:既にその名前は使われています
08/07/14 16:00:49 Z9ABI75N
>>893
FF 裸パッチ
896:既にその名前は使われています
08/07/14 16:05:29 giiOkMcF
公式に1週間以上かかるとか。平均2週間以上じゃねーか死ねボケ
人によっては10日とかで終わってんし、ふざけんなボケ
897:既にその名前は使われています
08/07/14 16:10:02 /a030qt5
同じ質問多いから次スレのテンプレに
A、アカウントハック受けた場合クレカ悪用されるか?
Q、予断はできませんが今の所下4桁のみなので悪用はされません。
自己防衛の為にクレジットカードでウェブマネーを買ってFF11をウェブマネーで課金する
ようにしましょう。
898:既にその名前は使われています
08/07/14 16:12:26 Y0P9W3v7
もう書類が到着したと思われる日から3週間経つが何も変化がない。
ちょっとサポセン電話してくる。
899:既にその名前は使われています
08/07/14 16:34:11 tr549L/i
【POLでの対策叩き台】
ID/PASSは未保存に、自動ログインも解除。
POLの接続できる鯖をファイアヲールのアプリケーションルールで絞っておく。>>56
プロアクティブディフェンス機能のついたセキュリティソフトを導入、常駐させる。
・カスペルスキー、Comodo Diffence+、etc(他にあったら追記してくだちい
アクティブコネクションリストを表示できるセキュリティソフトを導入。(コマンドプロンプトからnetstat -bでもいいけど
・Comodo(追記してくだちい
1.POL起動(まだ接続しない
この時点でsvchostなどがPOLに対して介入してきたとアラートが出た場合、FF11関係の何かに関係したマルウェアに感染している可能性がある。
通常、POL.exeはsvchostなどサービスからの介入をうけることはない。アラートが出たら解決するまでログインはしないこと。
2.アクティブコネクションリストを表示する。(ファイアヲールによって名前違うかも
POLがどこにも接続していないことを確認する。
3.偽アカウントでログイン試行。
ID caonima5963 Pass 4649などでも(うっかり一致を避けるため、できるだけ既存のPOLID命名規則と離れたものにすること。
4.アクティブコネクションリストでPOLが現在接続している鯖を確認する。
>>56 参照
□e鯖以外への接続が確認されたら感染している可能性がある。解決するまでログインしないこと。
5.手順全てをクリアしたら正規アカウントでログイン。よい旅を。
900:既にその名前は使われています
08/07/14 16:37:19 Mhc/GFUw
Java最新版が公開、複数の脆弱性を修正
URLリンク(internet.watch.impress.co.jp)
901:既にその名前は使われています
08/07/14 16:39:06 VAFPhRec
>>897
WM→クレカは出来たけど
クレカ→WMはできないんじゃなかったっけ。
902:既にその名前は使われています
08/07/14 16:45:19 wUNDP4k7
>>901
クレカ→WMへの支払方法変更できます。つか先月しました。
903:既にその名前は使われています
08/07/14 16:45:48 Ga0POk/5
>>901
>>897
904:既にその名前は使われています
08/07/14 16:46:12 z/1tttsf
ウィルス踏んだー
AHかどっかのFFブログサイトだなぁこれ。。バスターじゃ検出されねぇけど
カスペルスキーで検出された。FFやってないPCだったから助かった。
気をつけろよ。
905:既にその名前は使われています
08/07/14 16:47:25 DtjRfX8F
>>904
お前が気をつけろ
906:既にその名前は使われています
08/07/14 16:47:45 UanjR5cU
>>897
webmoneyをわざわざクレカで買うってアホか
コンビニで買えば一番安全なのに
907:既にその名前は使われています
08/07/14 16:49:40 eptm+bgl
Webmani-を通販で買えば襲われる心配も無い
908:既にその名前は使われています
08/07/14 16:52:47 FGTtE03J
>>906
まあウェブマネーのWEBページでハッキングや番号流出みたいなことがあったら
大問題になるし、補償もそれなりにしてもらえるとは思うよ
明らかに第三者が利用した鯖移動代でも「クレカ会社に交渉してください」としか
言わないどっかの会社よりは
909:既にその名前は使われています
08/07/14 16:56:29 VAFPhRec
>>908
それは警察とクレカ会社の仕事だよ
910:既にその名前は使われています
08/07/14 16:58:01 3pBcQTcV
レジストリエディタで見たらwzcsvbxm.dllがいやがった…('A`)
例の2箇所の値はwuauserv.dllのまま。
保菌状態かしらん…。
911:既にその名前は使われています
08/07/14 17:01:49 tr549L/i
>>910
どこのキーにいたのw
912:既にその名前は使われています
08/07/14 17:05:13 Xw/cO/U/
>>908
>明らかに第三者が利用した鯖移動代でも「クレカ会社に交渉してください」としか 言わないどっかの会社よりは
それは■がどうこうする話じゃない。
913:既にその名前は使われています
08/07/14 17:06:30 wVHsBhSR
>>910
俺もファイルサーチしてから、レジストリ検索したら
検出されて驚いたけど、ファイルサーチの履歴が
レジストリに入ってるだけだった。
914:既にその名前は使われています
08/07/14 17:09:10 fwCR3mTL
ノートンから返事来た。自動返信。
wzcsvbxm.dll Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis
(意訳)
自動処理では有害とは認められないので解析チームに回すね!
おせーよ。
>>910
削除できるなら今は動いていないから削除。
活動中は削除できないからね。
915:既にその名前は使われています
08/07/14 17:11:41 aAUL/u8s
金だけ受け取ってるから悪印象なんだよなぁ。
ハックによる鯖移動でスクエニがもうけてることになるし…
916:既にその名前は使われています
08/07/14 17:13:45 tr549L/i
それなりに進んできたかなw
URLリンク(www.virustotal.com)
917:既にその名前は使われています
08/07/14 17:14:39 /dQPsDnk
もう中国全域からPOLへのアクセス禁止にしちゃえよ
ダメ?
918:既にその名前は使われています
08/07/14 17:14:43 Ga0POk/5
早漏が立てる前に張っておく
●● RMT業者の垢ハックが多発している件29 ●● スレ番号29だけど本当は30
スレリンク(ogame板)
919:既にその名前は使われています
08/07/14 17:21:19 X6T2CjZ8
既に報告あがってるかもだけど>653とは場所がちがったので一応報告しておきます
HKEY_LOCAL_USER\software\Microsoft\search Assistan\ACMru\5603(5604)
にありました
920:既にその名前は使われています
08/07/14 17:21:21 VAFPhRec
>>915
迷惑メールの時のドコモと同じ
921:既にその名前は使われています
08/07/14 17:22:35 fwCR3mTL
>>916
GDATAとF-SecureはKasperskyエンジンで引っ掛けた分だから
実質MicrosoftとIkarusとKasperskyだけなのがなんともw
922:既にその名前は使われています
08/07/14 17:23:41 fwCR3mTL
>>919
それはファイル検索した時の履歴だろjk
923:既にその名前は使われています
08/07/14 17:26:57 X6T2CjZ8
>922
ではスルーでおねがいします
すみませんでした
924:既にその名前は使われています
08/07/14 17:29:12 iyTfYA5H
>>918
前スレ直ってないよ
925:既にその名前は使われています
08/07/14 17:29:55 DtjRfX8F
Vistaだからか知らないけど>>653とは全然レジストリの構成ちがうわ
wuauserv.dllもwzcsvbxm.dllもないし
シャットダウン表示遅延やらWindowsUpdate失敗やらは発生してないしFFもインスコしてないPCだからまぁいいけど
926:既にその名前は使われています
08/07/14 17:33:45 tr549L/i
>>921
たしかにずーっと上の方で言われてるとおり最近カスペルさんスコアあんまよくないけど。
検体だしてからパターン出るまではやいから魅力なんだよなあw
というかNAは6月中旬ころには目つけてたみたいだけど、検体だしてなかったのかよw
927:既にその名前は使われています
08/07/14 17:34:19 iBbL4ctp
質問します~
垢ハックされたので、サポセンに連絡してアカウント停止をお願いしたのですが、
アカウント停止の状態というのは、
パスワードが違いますというふうになるのですか?
それとも、pol自体にはいれなくなるのですか?
もしかしたら、また垢ハックくらったのかも;;