08/07/22 21:09:04 UJDG5/Uk
>>596
垢ハックされた馬鹿が何言ってるんだ^^;お前より馬鹿いないよ^^;
601:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:09:58 syR6x+PG
>>596
馬鹿っていうなよ、この馬鹿
気分悪くなるだろ馬鹿
馬鹿しか知らないのかよ馬鹿
人の行動なんて千差万別なんだよ馬鹿
言葉に気をつけろよ馬鹿野郎
602:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:11:10 HTa+8yeM
スペシャルタスクチームレポート (2008/07/22)
URLリンク(www.playonline.com)
現在、ゲームデータの復元作業が完了するまでに数週間程度の時間を必要とする見込みとなっています。
です・・・
603:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:12:23 QUexA+HJ
・不正アクセスに関与していた
7月22日 (火) 約590件
一応対処はしているみたい
604:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:13:57 86KP/aqP
スペタクチーの報告の最後に連絡用のURL張ればいいのに
605:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:17:57 xyyElQvp
>>568
1.フラッシュプレーヤーはデフォルトでIEと一緒にインストールされている
2.フラッシュプレーヤーはWindowsUpdateでは更新されない
3.フラッシュプレーヤーの古いバージョンには脆弱性がある
本当に日本人か?ww
606:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:26:24 ujVDMXMc
>>605
いきなり意味不明なお前は日本人か?
607:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:27:13 tmxX8qJU
>>598>>599
なるほど
言われてみればそうだよなー
俺がサポセンだったらこのスレを推奨したいよw
608:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:30:47 86KP/aqP
>>607
それもだめw
余計な説明増えるだけだからw
609:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:33:23 UJDG5/Uk
>>607
お前みたいな馬鹿は絶対次もハックされるな^^
610: [―{}@{}@{}-] ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:37:57 1Ez3Gc+r
>>605
それはちょっと違う。
1. Windows XP SP1以降にはFlash Player 6.0.79.0が含まれる
2. Flash Player 6.0.79.0はWindows Updateで6.0.88.0に更新される
3. Adobe(Macromedia)が配布するFlash Player 7、8、9は
Windows Updateで更新されない
Flash Player 6.0.79.0以前、8.0.39.0以前、9.0.115.0以前には既知の脆弱性がある。
AdobeはFlash Player 7のサポート及びセキュリティアップデートの提供を終了している。
611:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:38:02 xyyElQvp
なんか荒らしが大量にやってきてるようだな
それだけ対策されて困ってるってことかw
612:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:41:00 v/HoVpSv
お前ら屑のせいでGM来るの遅いんだから今後ヴァナではでかい顔すんなよ
613:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:42:07 xyyElQvp
>>610
なるほど、つまり引っかかるのはユーザー側でアップデートされた
Flash Player 7/8/9 ユーザーが対象って事か
特に7はアップデートも終了していると...
自動アップデート機能をつけるか、認証受けてWindowsUpdateで
アップデートされるようにするか...
どのみちadobeには何らかの自動アップデート方法を提供してほしいねぇ~
614:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:43:23 D4u7/Ohu
Flash Playerはデフォで自動更新付いてるぞ
615:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:45:09 D4u7/Ohu
URLリンク(www.macromedia.com)
ここで設定出来るデフォで30日通知
616:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:47:14 DzLnp/aE
ヒント 夏休みw ps組みw
617:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:48:48 UJDG5/Uk
>>613
FPの自動更新も知らないのか^^;恥ずかしい奴だな^^;
618:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:51:26 tmxX8qJU
>>608
もー
自衛だけ頑張るw
619: [―{}@{}@{}-] ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:51:49 1Ez3Gc+r
>>613
今どきはそこら中のサイトがFlash 6よりも新しいFlash Playerを要求するから、
ユーザーが自分でインストールしてアップデートしていないケースが多いみたい。
>>614-615のとおり、30日間隔で更新チェックするらしいんだけど、
なぜか9.0.115.0(穴空き)のままでやられてしまった報告が多いんだよね。
今のところ穴が見つかっていない9.0.124.0は4月にリリースされているのに。
620:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 21:54:17 KthgDDV0
どうせファイアーウォールで知らず知らずのうちにアップデートの通知弾いてるような奴だろ
621:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:00:51 b4xCFaIp
サポセンに繋がらないとき
大代表に掛け「サポセンに繋がらない件での苦情」
ということを伝えれば、
渉外部経由で取り次いでもらえると思うよ。
自分がクレーマーであるという自覚をもって行動できない場合は
このやり方は勧められないが。
少なくともウチの会社の「お客様相談室に繋がらない」
という理由で苦情を申し立ててくる客はこう処理してる。
622:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:07:01 CcbTFQnu
POL入ろうと思ったらパスワードが違うで弾かれるんだが・・・
また不具合?アカハック!?!?!?
623:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:08:38 I1lAGk8y
>>622
おいィ今は不具合出てないぞ
もう一度落ち着いて入力しなおしてみるんだ
624:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:10:46 CcbTFQnu
>>623
21時からずっと入力してみてるんだけど。。。
625:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:12:39 /372irCo
卒業おめでとう('A`)
626:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:12:45 X9Dt83ii
>>624
明日からサポセンオンラインだ!
627:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:14:59 I1lAGk8y
>>624
となると残念だがアウアウの可能性が高いね
複垢もしくはリアルタイムで連絡の取り合えるフレに頼んでGM,コールして垢を凍結してもらうか、
それができないなら明日の11時からサポセンに有料リダイヤルオンライン
628:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:15:42 15xkYJSb
いまって普通にやって、NMとかやるの可能なの?
絶対ツールで負て無理とかかい?
629:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:17:31 tmxX8qJU
>>624
サポセンオンライン全く繋がらないから
オンライン部門じゃなくてオフゲ部門に電話して垢ハックを訴えるんだ
そしたらオンライン部門から折りTELL貰えるw
630:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:18:24 zpAeWZdO
日本語でおk
あとNMとかスレ違い 消えろカス
夏休みだなー
631:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:19:03 yrktlUxt
何語だよw
632:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:46:24 DzLnp/aE
業者も永遠居座ってるわけじゃないからなw
ツールもメモリー系はnmつらずにGM釣ったwとかいわれてるからw
RMTバブル時代よりはましかもねw
633:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 22:55:11 SWXqQaFL
ウィルスバスター2008で
>>20の設定できた人いる?
いろいろやってみてるんだけどなんか難しくって!
634:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 23:03:16 8lZ7h8SY
>>633
素人は出来なければしないほうがいい。
スクエニが将来鯖情報変え無い保証はどこにも無い。
そして、お前は鯖情報変わった時、前の設定を覚えているのか…?
つまり、そういう事だ。
解らなくなってここでまた聞かれても、お前個人の設定なんて知る訳ないしなー
635:633
08/07/22 23:23:31 SWXqQaFL
ここはそういう情報交換の場所だと思ってたんだけど。
28スレくらいでウィルスバスターのFW設定についてうまくいかないって書き込みがあって
それ見てからいろいろ試してるんだけど
どうしても穴がある設定になってしまうから
うまくできた人がいたら教えてほしいなと思ったんだ。
それに>>20の設定は今のPOLに対する設定で
個人は関係ないだろ?
636:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 23:40:07 U84YYIw0
>635
俺もあまりくわしくないから間違ってるかも抱けど
>20の設定は炎壁でアプリごとに詳細設定できるやつのための設定ってことだともおう
炎壁の詳細設定等でPOLアプリを追加してPOLアプリに対して詳細設定ってかんじで
できないのかな
637:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 23:51:39 lnQ4Ofv7
色々やってるけど難しくって!
色々試してるけど穴が!
こう言われてもさ、まともな返答する気になれない人の方が多いだろうw
638:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 23:54:23 I1lAGk8y
>>635
多分ZoneAlarmとかもFW専用のソフト用の設定だから、バスターでできるかどうかは分からないなー
639:635
08/07/22 23:54:49 SWXqQaFL
>>636
詳細設定枠がまず8個しかなくて
TCP/UDPとポートそれぞれにIPの範囲指定を5範囲設定するのに枠が足らないんです。
ネームサーバの指定枠もあるんだけど
名前解決を押してIPを特定しないと結局設定できないし
TCPとUDPをそれぞれ5個ずつPOLの設定として
分けると別で設定済みだとエラーがでてしまいます。
640:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/22 23:57:42 I1lAGk8y
>>639
過去ログ少し覗いてきたけど、同じようにバスターでは設定できないっていうレスがいくつかあった。
バスターだけで全て補うのは無理っぽいから、他にFWソフトを導入して設定した方がいいと思う
641:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 00:01:30 LV7St8B3
>>639
暫定的に
61.195.48.0~61.195.55.255(61.195.48.0/21)
61.195.56.0~61.195.59.255(61.195.56.0/22)
61.195.60.0~61.195.63.255(61.195.60.0/22)
を
61.195.48.0~61.195.63.255(61.195.48.0/20)
にまとめるとかはあかんのかね
642:635
08/07/23 00:06:39 ESnmpJeH
>>641
素人だからといって何も設定しないよりは
それのほうがいいですね。
それでやってみます。
>>640
3年分払ってしまったので上のでやってみます。
トレンドマイクロにも聞いてみます。
変な質問してすみませんでした。
643:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 00:19:47 JWVTjDGw
ネ実の被害報告なんてほんの一部で、実際は結構な被害者いるぞ
手に負えないくらいまで被害が増えないと◆には期待できないだろうな(GMみる限り今でも手に負えてないが)
644:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 00:25:36 MsV8AyK0
さっきフレがインしてきて感染したらしいと報告してきた。
wzcsvbxm.dll があったらしいと
まだ垢ハックはされてないので今のうちに対策するそうだ。
昨日の履歴で怪しいのは FF11スキル検索 とか言うサイトだけな?だって
以上報告でした。
645:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 00:32:10 yJnO7X01
>>635
ウィルスバスターのFWってみたことないのですが、>>20の設定で重要なのはリモートIPの指定です。
優先順位としてはIPの指定>ローカルポートの指定>リモートポートの指定だと思います。
646:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 00:32:26 JWVTjDGw
>>644
今、ログアウトしてるならアウトだな
647:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 00:43:07 ZS1eLN6P
アフォばかりだな(笑)
648:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 00:43:26 B5FCsE0I
>>643
手に負えないくらいの被害になってるから、巻き戻し処理をするようになったんだよ。
何ヶ月か前はそんなのしなかった。逆にRMTにお金売ったんじゃないですか?って言われたらしい
「被害報告が少ないので、もっと増えたら対策します」ともねw
増えてから対策した結果がこの現状なんだけどね~~♪
649:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:00:27 JWVTjDGw
・ギルやアイテムの現金による売買に関与していた
7月第1週 約60件
7月第2週 約150件
7月第3週 約200件
7月第4週 約230件
・RMTのための合成・競売所の利用
6月30日 (月) 約60件
7月7日 (月) 約480件
7月14日 (月) 約340件
・不正アクセスに関与していた
7月22日 (火) 約590件
・以前にRMTへの関与や不正行為により強制退会となった会員による再入会
7月22日 (火) 約20件
650:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:02:01 RPNrIA+e
590アカウントか、多いんだか少ないんだか微妙な
651:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:07:40 JWVTjDGw
>>650
ヒント:1垢ハックのギル・アイテムの宅配を30以内で終わらせて、競売に出品
652:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:11:08 B5FCsE0I
>>650
ハックした垢からお金を盗み移すキャラ(アカウント)と、お金を保存してるキャラは違うだろうから
足がつきやすいのは、保存垢のほうか?
653:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:11:43 DSu4y6S8
HIPSの話題が出てないですけど、そのあたりどうなんでしょう
654:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:14:34 ysvqbFRe
【スレログやテンプレ を 読んだか】 (Yes)
【 気付いた 日時 】 (2008/07/18)
【不審なアドレスのクリックの有無】 URLリンク(www)●ffxiah●com/index.php 要はFFAH?を先週見てみた
【ID・Passの認証方法】 (POLに保存で自動ログイン)
【 Pass変更の履歴 】(していた 1年程前)
【他人が貴方のPCを使う可能性の有無】 (No)
【他人が貴方のIDを使用したことが一度でもあるか】 (No)
655:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:14:35 JWVTjDGw
>>652
ログイン制限で最後にログアウトした日時とキャラクター名聞かれるから、その時点からの全ての取引は足がつくかと
656:654
08/07/23 01:15:20 ysvqbFRe
【 O S 】 (WinXP Home SP3)
【 使用 ブラウザ 】 (IE7.0.5730.13)
【WindowsUpdateの有無】 (7/1に行ったばかり)
【アンチウイルスソフト】 (Norton360 毎日更新ファイルがあれば更新)
(ただ先週は360v1を360v2に交換作業等をしていた為、一時的に
セキュリティが完全でない状態があったと思う)
【その他のSecurty対策 】 (なし)
【ウイルススキャン結果】 (発覚後Norton360v2で7/19に総合スキャン後、Trojan~が何か1つあった)
(wzcsvbxm.dllの改ざんは見つからなかった)
【FlashPlayerとRealPlayerのバージョン】(FlashPlayerは1か月前程度に更新)(RealPlayerは未導入)
【hosts変更】(無) 【PeerGuardian2導入】(無)
【 ツールの使用の有無 】 (No)
【 ネットカフェの利用の有無 】 (No)
657:654
08/07/23 01:16:20 ysvqbFRe
アイテムやギル等、全てやられてしまいました。
自分としては、自動ログインにしていたのが原因と思ってます。
前回のPOLバージョンアップ後にログイン出来なくなり、不具合と公式にあり復旧の報告後も
ログインは出来ませんでした。気にはなっていたが、どうする事も出来ず、不安な日を過ごして
本日朝から電話をし続けて夕方に電話を貰い、新パスワードをサポートセンターに貰い、ログインした所で発覚。
電話対応して頂いた方の話では、ハックの可能性大きく、今はこういった事例があまりに多い状態だとか。
先週、先々週はシャットダウンが遅い(フリーズ状態)が多々あったのが気になってはいました。
とりあえずサポートセンターに郵送(身分証明やサーバー名、キャラ名等)をし、書類一式が届いた時点で
どこまでか未定ですが、巻き戻し作業に入らせて頂くとの事。警察とのやりとりとは別に動くみたいですね。
658:654
08/07/23 01:17:26 ysvqbFRe
長々と失礼しました・・ご報告までに。
とりあえず警察に報告他で忙しくなりそうです。。。
659:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:20:28 1g48o8nA
だからXPはダメだって
Vista最強最高至高!!
660:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:23:20 JWVTjDGw
他のMMOでビスタでも被害報告あったと思うが
661:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:25:23 DSu4y6S8
バスター系というか、ウィルス駆除系というか、一般的に言われる
対ウィルスソフトでなにか勘違いしてる人って多そうだなぁ・・・
662:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:37:56 G7WS0EUI
>>654
> 【ウイルススキャン結果】 (発覚後Norton360v2で7/19に総合スキャン後、Trojan~が何か1つあった)
履歴を参照して、このマルウェアの正確な名前を教えていただけますか。
カスペルスキーオンラインスキャンの結果もお知らせいただけると助かります。
カスペルスキーオンラインスキャン(無料)
URLリンク(www.kaspersky.co.jp)
663:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:43:28 A7kJ7yJ/
>>661
抗ウイルスソフトはウイルスを駆除&防衛するためにある・・・言い換えるとそれぐらいしか出来ないんだけど、
それをファイアーウォール含めて、全部任せられると思って逆切れした>>633とかいるしなー
ってかソフトの注意書きとか読んでない人間多すぎだろ・・・
それ以前に。2chでマトモな答え貰えると思ってる時点で、頭どうかしてると思うのが、昔からいる2chネラーの意見だが、
最近の馬鹿ってどう思ってるんだろうねホントー
664:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:49:16 mrxojYaf
>>663
もう少しおおらかな気持ちでレスしなされ
馬鹿で抽出するとお前さんの発言ばっかり出てくる気がするんだが
665:654
08/07/23 01:50:37 ysvqbFRe
>>662さん
すいません、訂正させて下さい。
てっきりTrojanのウィルスと思い込んでいたのですが
落ち着いて検疫履歴を見ますと、Trojanではなく、Tracking Cookieとありました。
今回の件と関係ありますでしょうか? お恥ずかしいです。
666:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:53:09 LSBv6PuK
>>665
Tracking Cookieは関係ないと思う
スキャンで発見できないとなると新型かの?
667:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:54:38 JWVTjDGw
>>665
ノートンでクッキー1個が引っかかるのはデフォじゃね
668:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:57:38 DSu4y6S8
>>663
2chができたころは、まともな答えを返してくれる人が多かったですよ・・・w
669:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:57:40 G7WS0EUI
>>665
Tracking CookieはWebページの閲覧者を追跡するためにWebサイトの開設者が
仕込むCookieなので、アカウント窃取とは関係ないと思います。
そうすると、アカウントを盗まれた原因のマルウェアが見つかっていない状態
です。インフォメーションセンターから新しいパスワードを発行してもらっても、
同じPCでログインするとまたアカウントを盗られる可能性大です。PS2など
安全な環境があれば、そちらでPOLのパスワードを変更することをお勧めします。
また、カスペルスキーのオンラインスキャンをぜひ試してみてください。
670:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 01:58:38 yGzAe8lH
>>665
夕方ちょっと話してたんだけどkernaeghdrv.dllはあったりする?
671:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:03:00 DSu4y6S8
>>665
>>35の方法で探してみて「wzcsvbxm.dll」がいたりしました?
672:671
08/07/23 02:08:33 DSu4y6S8
>(wzcsvbxm.dllの改ざんは見つからなかった)
ごめんなさい、ここ見落としてた
今回のwzcsvbxm.dllではないみたいですね
673:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:11:54 LSBv6PuK
>>671
>>288-289の方が分かり易いよ
この方法だと自動更新を乗っ取るタイプならファイル名がwzcsvbxm.dll以外でも見つかるし
正規ファイル(wuauserv.dll)と同じ名前でファイルの置き場所を変える手法でも発見できるので便利
674:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:16:18 KBk1loA+
やっぱり感染してた
名前かえても、レジストリ閉じたら元に戻る
バスターは感知するけど何もしてくれないし
週末にクリーンインストールですね…
675:671
08/07/23 02:16:24 DSu4y6S8
>>673
ごめんなさい、それ書いた人(*^^*ゞ
そこを見つけられなくて、慌ててテンプレから落とした^^;
自分の書いたものくらい把握しとけt(ry
676:654
08/07/23 02:19:02 ysvqbFRe
皆さん、色々とありがとうございます。
現在、カスペルスキーのオンラインスキャンを実行中です。
重要なファイルとメモリには、特に何も見つかりませんでした。
ディスク内の検査で、まだ45%と途中ですが
見つかったウィルス1と、感染したオブジェクト2となっております。
>>670さん
スキャンが終わったら検索してみますね。
677:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:20:50 yGzAe8lH
>>676
スキャン終わったら検出名とファイル名を書き出してほしい。
あと、できればシステムから分離してその本体をパス付きZipでうpしてほしいなw
ちょこっとつきあってw
678:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:25:49 KBk1loA+
>>677
今後に役立つなら是非協力したいところですが
二行目のやり方がわからんっす…
679:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:26:37 t1oPsxQm
>>676
あなたの検体提供が、50万人のアカハックを救えるかも知れません。
複雑な操作は必要ありません。検体提供にご協力を。 -AC-
680:671
08/07/23 02:26:55 DSu4y6S8
>>676
スキャンが終わったら、ノートンの隔離ファイルのなかにそのウィルスの
名前がないか確認してください
Norton AntiVirus→レポート→権益と復元を表示(※これは2006の表示ですが)
みたいなところで隔離ファイルが残っていれば表示されます
681:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:27:57 yGzAe8lH
システムの分離の段取りは都度説明するよ。
とりあえず検出名とファイル名待ちでおkw
682:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:28:30 ERepkwkK
質問です、イン中のキャラを強引にのっとってハックされる被害ってなかったでしょうか?
LSメンの一人がリアフレで発覚したんですが・・・
683:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:29:28 yGzAe8lH
>>682
強引っていうか、POLは後から入るほうが優先なっちゃうから。
それでログイン合戦みたいなことになるのは今までも結構あったよ。
684:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:29:34 vqn+gslh
いくらでもある
正規パス抜かれたら後からログインされたらエラーメッセージで分かる
685:671
08/07/23 02:30:08 DSu4y6S8
>>682
別端末からログインされると、自分がログインしている状況を落とされます
686:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:30:38 xNISpn5P
>>682
普通にあった
687:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:30:51 JWVTjDGw
>>682
ロウアウトインのすれ違いざまにさき越されて垢ハックされたんじゃなくてか?
688:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:31:26 GSNYGDNz
>>677
バスターだとウイルス名 TROJ_GAMETHIE.DR
感染ファイル名 \WINDOWS\system32\wzcsvbxm.dll
バスターの詳細ページ URLリンク(www.trendmicro.co.jp)
FF関連で回覧してるのはエレメンとおててとブロガー数件と
一番怪しいのはFFAHです。
689:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:32:20 JWVTjDGw
ロウアウトイン× ログアウトイン
690:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:33:13 ERepkwkK
>>683-686
げ!やっぱあったのか;;
うぅ~・・・LSメンと共同で垢監視してるんですが、GMコール50人まちって;;
まにあいそうにない;;
ありがとうございます;;
691:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:34:30 s8f4O0jn
規約違反行為者への一斉対処について(7/22)
URLリンク(www.playonline.com)
・不正アクセスに関与していた
7月22日 (火) 約590件
不正アクセスに関与していたアカウントが590もあるなんて
被害者がどれだけいるか想像もつかんな。
692:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:35:49 yGzAe8lH
>>688
おけおけ、んじゃあシステムから分離つきあってくだちいw
スタート>ファイルを指定して実行>regedit
でレジストリエディタを起動して、wzcsvbxm.dllをレジストリ内検索。
そんでそいつがエントリされてるキーとエントリ内容を書き出してくだちいw
693:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:37:03 LSBv6PuK
DRって1個目か2個目のやつだよね
検体分離する必要あるの?
694:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:37:26 0R/tzPWv
今回の対処が終わって、泳がせていた(保持していた)アカウントへの被害が
多くならないことを祈る。
695:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:37:32 JWVTjDGw
>>690
POLからコールするよろし。
件名はフレが垢ハックされてること、内容はリアルで連絡の取れる仲でログイン制限を希望してること
最後にアウトした日時とキャラ名、書いとけば優先してGMに読まれる。
696:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:39:01 JWVTjDGw
後、サーバー名ね。真面目な話、アイテムギルはもう手遅れ
697:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:39:02 yGzAe8lH
>>693
あれ、DRって2個目のだっけか。
2個目の奴のID/PASS転送先ってどこやったっけ・・w
698:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:39:48 LSBv6PuK
>>697
2個目のなら
グーグルシディションw
699:688
08/07/23 02:41:00 GSNYGDNz
>>692
キーとエントリ内容っていうのがよくわからないんですが、
キーをコピーするで、コピペ↓
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
エントリ内容っていうのは何でしょうか
詳しくなくてすんませんです
700:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:43:09 yGzAe8lH
>>698
あー、まだ生きてんのか。
一回消えてたから、どっか移動したのかと思ってたよ・・w
>>688
ごめんー、勘違いしてた。
分離中止で、そんでそのPCは一度クリンスコしちゃってくだちい。
正直そこ以外にもレジストリ改ざんされてるだろうし、ドロッパが中にのこってる可能性が高いので。
手間かけてごめんなしあ;;
701:688
08/07/23 02:45:34 GSNYGDNz
>>700
いえいえ、レスありがとうございました!
バックアップとってクリーンインストールするであります
702:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:49:23 toMFlmTb
そもそもログイン中なのに別端末からログインできるのがおかしい。
ログイン中でなくても契約プロバイダ+地域から判断してログインカットすりゃいいのに
703:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:52:21 yGzAe8lH
信オンだか三国志オンライン?だか>>487>>497のやつが猛威ふるってるみたいだけど。
気になるんだよな、こいつFF11も対応してたらちょっと嫌な感じ。
704:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:53:47 yGzAe8lH
ちょっとぬけた
>>487
>>491
>>497だなw
705: [―{}@{}@{}-] ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:57:07 0I/BHK4p
>>20に関して。
まず最初に。これはpol.exeのプロセスの一部に同化してアカウント情報を送信する
マルウェアにしか効果がないことを理解してほしい。
これに該当する既知のものはwzcsvbxm.dllを使う3種のみ。
リモート(通信相手)のIPアドレスは>>641さんがaggregateしてくれたとおり
次の3つで>>20と同じ意味になる。
61.195.48.0/20(61.195.48.0 ~ 61.195.63.255)
202.67.48.0/20(202.67.48.0 ~ 202.67.63.255)
219.117.144.0/20(219.117.144.0 ~ 219.117.159.255)
pol.exeの通信相手として許可するIPアドレスを上記スクエニのサーバに限定すれば、
ポート番号の制限はさほど重要ではない。やってもいいけど。
また、>>20にある「ネームサーバの指定」は設定する意味がわからない。
pol.exeは名前解決をWindowsに丸投げするし、そのWindowsのリゾルバがスクエニの
DNSサーバと直接通信することはない。名前解決でWindowsがやり取りする相手は
プロバイダのDNSサーバ。
706:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 02:59:38 W0ios2ch
>>703
その人はkernaeghdrv.dllでFF11の垢ハックされた人みたいだけど
707:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:01:00 C6/0hdpO
>>706
どうでもいいがIDが2chだな
708:690
08/07/23 03:02:56 ERepkwkK
対処方おしえてくれた方ありがとうございました。
なんとか連絡きたのですが・・・
うぅぅ・・・目の前に業者がいたのに手が出せないって、くやしいかったです;
とりあえず、連絡とれるLSメンから停止措置を申請するようです。
709:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:06:00 yGzAe8lH
>>706
そうはいってるんだけど、本当にそうなのか追試もできてないからね。
マルウェア落とされるときには10-20個単位でドコドコ突っ込まれるわけだし、これだけじゃなんともいえないんだよなあ。
確実なのはこの手のdll読み込ませる手法も出てきたねってことくらいで。
そのIDいいなw
710:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:06:46 DSu4y6S8
>>755
■POL用ファイアーウォールの設定(アプリケーションルールでpol.exeの設定)まず最初に。
※これはpol.exeのプロセスの一部に同化してアカウント情報を送信するマルウェアにしか効果がありません。
現在、これに該当する既知のものはwzcsvbxm.dllを使う3種のみです。
許可しているリモートIPの範囲
61.195.48.0-61.195.55.255(61.195.48.0/21)
61.195.56.0-61.195.59.255(61.195.56.0/22)
61.195.60.0-61.195.63.255(61.195.60.0/22)
202.67.48.0-202.67.63.255(202.67.48.0/20)
219.117.144.0-219.117.159.255(219.117.144.0/20)
※FWによっては()内のIPアドレス範囲を指定できるようですので その場合()内の数値を使用すると設定が簡単です。
空けているローカルポート TCP1024-65535 UDP50000-65535
空けているリモートポート TCP25,80,110,443 ,50000-65535 UDP50000-65535
※契約プロバイダによってはローカルポート UDP53番が必要になるようです(プロバイダに確認してください)
↑こんな感じでいいですか
711:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:08:01 DSu4y6S8
「まず最初に」が余計だった・・・
712:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:10:10 JWVTjDGw
>>708
垢ハック後は宅配先の業者キャラから、その日の内に競売に流れるからFFAHで所持してたアイテム検索すれば
業者キャラ特定できる。まとめて同じキャラで出品してるから、深い悲しみに包まれるがな
713:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:17:56 DSu4y6S8
■POL用ファイアーウォールの設定(アプリケーションルールでpol.exeの設定)まず最初に。
※これはpol.exeのプロセスの一部に同化してアカウント情報を送信するマルウェアにしか効果がありません。
現在、これに該当する既知のものはwzcsvbxm.dllを使う3種のみです。
許可しているリモートIPの範囲
61.195.48.0-61.195.55.255(61.195.48.0/21)
61.195.56.0-61.195.59.255(61.195.56.0/22)
61.195.60.0-61.195.63.255(61.195.60.0/22)
202.67.48.0-202.67.63.255(202.67.48.0/20)
219.117.144.0-219.117.159.255(219.117.144.0/20)
あるいは
61.195.48.0/20(61.195.48.0-61.195.63.255)
202.67.48.0/20(202.67.48.0-202.67.63.255)
219.117.144.0/20(219.117.144.0-219.117.159.255)
※FWによっては()内のIPアドレス範囲を指定できるようですので その場合()内の数値を使用すると設定が簡単です。
空けているローカルポート TCP1024-65535 UDP50000-65535
空けているリモートポート TCP25,80,110,443 ,50000-65535 UDP50000-65535
※契約プロバイダによってはローカルポート UDP53番が必要になるようです(プロバイダに確認してください)
714: [―{}@{}@{}-] ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:21:32 0I/BHK4p
>>710
ネ実でテンプレ化するマルウェア対策はできるだけ「普通の人」向けにしてほしいんだ。
あまりマニアックな方向に発展させると、意味もわからずにいろいろやってネットに接続
できなくなったり、Windowsをマトモに動作できなくしてしまう人が現れかねないから。
パーソナルFWの設定については>>20と>>705を読んでわかる人だけが好みでやればいいと思ってる。Windows、Webブラウザなどなど、これらのソフトウェアにある既知の脆弱性を
解消する修正プログラムをしっかり適用することのほうがはるかに効果的だし。
パッチマネジメントって結構面倒だから、「普通の人」はそれだけで手一杯だと思う。
マニアックな人はこのスレから有用な情報を取捨選択して+αの方策を講じればおkって
ことで。
715:654
08/07/23 03:23:00 ysvqbFRe
現在、カスペルスキーの進行度は86%です。
見つかったウィルス2の、感染したオブジェクト5まで増えました・・・。
>>680さん
Norton360の1.0や2.0では何も発見されなかったんです。
検知機能の差なんでしょうか・・・ですので、Norton360の方は
検疫履歴は先程、書きましたTracking Cookie のみになります。
う~ん、Norton360ではウィルス検知が全くなかったのがショックです。
つい数日前に、1万円以上もして買って、いきなりこの結果が出た事と
ハッキングのダブルショックは、正直きついですね。
716:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:29:18 JsK+RFbi
PCで終了した時にエラーがでたんで、とりあえず
PS2でパスかえようとおもうんだけど、
パスってどこで変えるんだ・・・
717:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:35:22 JsK+RFbi
ごめん、自己解決しました
718:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:42:56 zDCMTCsb
今、いきなり「同じIDでログイン」されて切られ、その後何度かログインしようとして
「同じIDで」で落とされる。
そのうちログインすらできなくなった。IDもしくは、パスワードが違うとかいわれて・・・
インフォメーションセンターは昼間しかやってないし・・・どうすりゃええねん。
719:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:48:34 W0ios2ch
>>718
もし連絡できるフレなどが居たら、代わりにGMに言って凍結して貰うくらいしかないね。
それも時間かかるだろうし、凍結される頃には手遅れだと思うけど。
もし良かったらテンプレで報告お願いします。
720:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 03:51:06 sUPVHplY
未だに「救済措置は1人1回」の縛りを入れてる意味がわからない
721:654
08/07/23 03:52:45 ysvqbFRe
>>718さん
LSメンバーさん、フレンドさんに電話やメール等で
すぐにでも連絡がつくのであれば、事情を説明して、その方達にGMコールを
して頂く事を早急にお勧め致します。可能であればアカウントの一時凍結が可能かも
しれません。
それが不可能であれば、残念ながら朝11時以降に、サポートセンターに電話
をする方法しかないかもしれません。
722:654
08/07/23 03:59:17 ysvqbFRe
お世話になります、654で報告した者です。
C:\System Volume Information\_restore{04C088E9-26C0-4B8D-9ED2-0E120EC6DF49}\RP123\A0037495.dll
感染: Trojan-GameThief.Win32.WOW.bkf スキップ
C:\System Volume Information\_restore{04C088E9-26C0-4B8D-9ED2-0E120EC6DF49}\RP123\A0038454.dll
感染: Trojan-GameThief.Win32.WOW.bkf スキップ
カスペルスキーでオンラインスキャンが終わりましたので、ご報告しておきます。
Norton360 2.0 の総合スキャンでは検知されませんでしたが、カスペルスキーでは拾って頂けたみたいです。
LOGとして長いので途中で改行してあります。
ウィルス名から判断するに、おそらくこれと思われます。
今は、POLのパス等は変更しましたが、正直クリーンインストールを明日から行おうと思います。
723:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 04:04:58 vqn+gslh
カスペのオンラインスキャン使ってる人は設定どっちにしてるんだろう?
「標準」と「拡張」があって、なぜかデフォルトでは「初心者には勧められん」と説明書きのある「拡張」になってたと思うんだが
724:718
08/07/23 04:05:10 zDCMTCsb
>>719 >>721氏 即レスどうもです。この時間だとフレは誰も起きてないな。困った・・・。
以下テンプレ
【スレログやテンプレ を 読んだか】 (今から読みます)
【 気付いた 日時 】 (2008/7/23/AM3:20頃)
【不審なアドレスのクリックの有無】 (不審なアドレスへのクリックの記憶はなし)
【ID・Passの認証方法】 (自動ログイン)
【 Pass変更の履歴 】(していなかった)
【他人が貴方のPCを使う可能性の有無】 (No)
【他人が貴方のIDを使用したことが一度でもあるか】 (No)
【 O S 】 (Windows XP Home SP3)
【 使用 ブラウザ 】 (IE7)
【WindowsUpdateの有無】 (先週頭)
【アンチウイルスソフト】 (ウィルスセキュリティゼロ 更新はPC立ち上げの都度)
【その他のSecurty対策 】 (なし)
【ウイルススキャン結果】 (ただいまスキャン中)
【FlashPlayerとRealPlayerのバージョン】(無し)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【 ツールの使用の有無 】 (No)
【 ネットカフェの利用の有無 】 (Yes)今月頭に一度だけ
725:654
08/07/23 04:08:26 ysvqbFRe
>>723さん
私も拡張で行いましたが、デフォルトでは拡張の様です。
726:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 04:11:01 guCX3z8D
>>720
・Dupe対策
・複数回にすると予防しなくなる人がいる
・複数回引っかかる人は顧客としていらない
この辺だろ。
727:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 04:21:31 DSu4y6S8
さらに修正m(_ _)m
■POL用ファイアーウォールの設定(アプリケーションルールでpol.exeの設定)
※これはpol.exeのプロセスの一部に同化してアカウント情報を送信するマルウェアにしか効果がありません。
現在上記に該当する既知のものはwzcsvbxm.dllを使う3種のみです。
※下記設定(記述の仕方)はお使いのソフトによって異なりますので、それぞれのソフトのFQAをご自身でご確認ください。
許可しているリモートIPの範囲
61.195.48.0-61.195.55.255 (61.195.48.0/21)
61.195.56.0-61.195.59.255 (61.195.56.0/22)
61.195.60.0-61.195.63.255 (61.195.60.0/22)
202.67.48.0-202.67.63.255 (202.67.48.0/20)
219.117.144.0-219.117.159.255 (219.117.144.0/20)
※「61」で始まるIPは「61.195.48.0-61.195.63.255(61.195.48.0/20)」でくくってしまっても○
※FWによっては()内のIPアドレス範囲の設定の仕方を指定できるようなので、その場合()内の数値を使用すると設定が簡単です。
空けているローカルポート TCP1024-65535 UDP50000-65535
空けているリモートポート TCP25,80,110,443 ,50000-65535 UDP50000-65535
※契約プロバイダによってはローカルポート UDP53番が必要になるようです(プロバイダに確認してください)
728:727
08/07/23 04:28:50 DSu4y6S8
>>714
わたし自身がセキュリティに不得手で、このスレを見ながらの試行錯誤を繰り返しながら
なんとかしないとという状況なので、おっしゃることはよく理解できます
ただ、それをどう表現しようかと思うと、なかなかいい文章が思い浮かびません・・・
とりあえず有益な情報をピックアップしてテンプレ化し、それを残していくことが重要と思い
ここに張り付いていますm(_ _)m
729:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 04:30:32 guCX3z8D
>>728
つ URLリンク(pc11.2ch.net)
730:727
08/07/23 04:33:01 DSu4y6S8
>>729
ありがとうございます・・・w
731:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 04:47:00 fV1Db9Y+
>>714
PC使ってる人間が”すべて”ひっかかるなら大問題だけど、
ふつうにMSの自動更新やらフラッシュやらJAVAやらの自動更新をしてたら、ほぼ防げた問題で、
「簡単なテンプレ」は危険度を増すんじゃないかな。マルウェア対策って基本”心構え”じゃない?
少なくとも既知の(しかもまだ多くのソフトが対応していない)問題に対しての具体的な対策はのせるべきだと思う。
732:727
08/07/23 04:49:38 DSu4y6S8
ついでにというわけではありませんが、投げてみます
■具体的な自衛策その3 (※素人が考えた叩き台です)
9:HIPS(レジストリや設定ファイルの変更を監視するソフト)の導入
Unleak・Spybot(Teatimer)などのレジストリ変更を監視してくれるソフトを入れておくと、今回のような
レジストリ改ざんで動作するウィルスに対して「レジストリが変更される前に変更を許可するかどうかを
問い合わせてくれる」ので「怪しい」と思った場合はそれを拒否することによってウィルスの活動を阻害し
症状の発症を食い止めてくれます。もちろん「感染防止」ではなく「感染はする」のですが、それはいわば
「キャリアになる」状態で「発症」を防止する上ではかなり有効だと思います。
Unleak = URLリンク(soft3304.net)
Spybot = URLリンク(www.spybot.info)
(「セキュリティ HIPS」で検索するといろいろわかるかもです)
上でもお聞きしましたが、このあたりのお話が出てこないのでご意見をお聞かせください。
733:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 04:49:53 3DqQQSoK
>>720
どのような理由があっても
結論言っちゃえば自己責任だからね
プレイオンラインにログインするならこの自己責任に同意してるはずだから
734:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 04:50:38 NNyh7Emu
>>724
FlashPlayerかRealPlayerはどっちかは入ってると思うんだけどなあ…
FlashのVer.が古い+自動ログイン=パス抜かれる典型的なフラグ
巻き戻しあるから、あせらず今日からサポ戦アタックを!
にしてもここに載ってる対策じゃどうにもならんよ■eさんよ
せめて自動ログインやめれとか思い切って書けばいいのに
URLリンク(www.playonline.com)
735:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 05:12:07 M/Ejk8P2
>>727
Spybotが警告だしても意味のわからないひとはどうすれば。。。
736:727
08/07/23 05:24:01 DSu4y6S8
>>735
わたしもそのひとりではあります
警告が出てきたものに対して、それが何のソフトであるかを確認ができるまでは
とりあえず「そのまま」にして調べています
たいていのものは検索すればそれがなにかがわかりますし、検索して調べることで
自分の環境を把握することにもなると思います
そだな・・・
たとえばカスペルスキーが検索してウィルスだと言ってきたものがほんとうに
ウィルスなのか誤検索なのかがわかるまでは「そのまま」にして調べますよね
ウィルス定義とかを
もっとも、正規のファイルが危険なものに変わっていたらそれはわかりませんから
危険でも許可してしまう可能性は高いでしょうけど
737:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 05:43:58 EcUkaGm5
GOM Playerをインスコするときに出来るファイルの中にあるflashplayerなんちゃらって
Secuniaがブラウザのバージョンは最新でもプレイヤーのバージョンは古いんだよゴラァって怒るんだけど
更新の仕方が分からないから消したぜ
メディアプレイヤー系からハクられるのか知識ないから分からんが
738:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 06:42:17 M/Ejk8P2
>>727
なるほどなるほど、とりあえずその警告文を見てぐぐったりして
調べるわけですな。
それで自分の知っている、あるいは関連したソフトで確実に安全(まではいかないけど)信頼したものなら
解除、という方向ですね。
あきらかにあやしい警告とか例あったらうれしいですね。
739:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 07:00:29 4ZM2XtWT
>>705 バスタのFWでリゾルバ使うのは設定するときの入力の簡易化
登録されるのは 返ってきたIPだからその都度DNS使うわけではないとおも。
740:718
08/07/23 07:29:09 zDCMTCsb
>>734氏
失礼。FlashPlayerは入ってました。
AdobeのHPで確認できるんですね。
VerはWIN 9,0,124,0でした。
741:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:05:02 jGOXKlaY
>>692を見て検索したら四つもwzcsvbxm.dllが引っ掛かってもうパニクってるわ。
セキュリティソフトでは検出ゼロだけど怖ぇーから早速クリーンインスコしてくる。
742:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:12:23 LSBv6PuK
>>741
検索履歴じゃないよね?
判断付かないのならこれをやってみてくだされ
>>692の最後の行
>そんでそいつがエントリされてるキーとエントリ内容を書き出してくだちいw
743:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:18:58 t1oPsxQm
>>741
PS2か箱からパス変えるの忘れるなよ
744:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:20:06 hDOF+qyf
wzcsvbxm.dll
俺も出てきた
3台のPCのうち1台だけ出てくるよorz
カスペオンラインスキャンではウィルス検出されないが不安だ
一番セキュリティー面で気をつけていたPCだっただけに・・・
745:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:21:57 jGOXKlaY
こんな感じでOK?
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
746:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:23:14 LSBv6PuK
>>745
ファイルの検索履歴です>>21参照
747:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:26:37 EFT1RVQ/
F-Secure オンラインスキャンも張っとくお
(´・ω・`)つ URLリンク(www.f-secure.co.jp)
748:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:31:11 jGOXKlaY
>>21の ・キー位置 に載っている場所からアレが見つかるとOUTって訳か。
人間って良く知らない分野が原因でパニクるとダメだな。
ID:LSBv6PuK氏よ、こんな奴に付き合ってくれてありがとう。
749:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:36:28 OQg1gCIw
プレイ中に「他からログイン」されて落とされた人へ。
確実に垢ハックだから、まずしなくていけないのは、急いで相手がパス変更する前にログインして、
POL上でパスワードの変更。とにかく大急ぎで。ログイン合戦になると思うが。
変更が間に合えばとりあえず安心。
間に合わず、パスワードが違うといわれたら、パス変更されてしまった後。
リアルフレ、2垢等何でもいいから用意できたら、「POL上から」GM連絡。
ゲーム内でGM呼んでもほとんど意味ない。POLから連絡してくれってメッセージが帰ってくるだけ。
こんなことで時間を無駄にできない。
POL内からGMに伝えることは、アカウントハックされたということ、キャラの名前&ワールド名(倉庫も含めて全部言うと本人確認の意味でもよいかも)
前回ログアウトしただいたいの日時、もしログイン中に乗っ取られたならその後のログイン状況、何時ごろ乗っ取られたか、など。
あと、言われなかったけど私はPOL IDも伝えた。
これだけで特にメッセージのやり取り繰り返すこともなく1~2分でアカウントのログイン制限しました、とGMからチャットで連絡きた。
これだけ早ければ、被害は最小で済むかもしれない。
750:744
08/07/23 09:39:10 hDOF+qyf
HKEY_USERS\S-1-5-21-790525478-308236825-725345543-1000\Software
\Microsoft\Internet Explorer\Explorer Bars
\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU
これって危険でしょうか?
IEは特定のHP開く時くらいしか使ってないはず・・・
751:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:40:04 4ZM2XtWT
>>741 744
落ち着いたら >>5-6でテンプレ報告をお願いしたいです。
アンチウイルスソフトで不正監視をどう設定してたかも個人的には知りたいです。
752:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:43:03 tWXgDwzc
アフォしかいねぇな
753:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:47:19 OQg1gCIw
私のときの垢ハック後の業者の行動について。日曜日の明け方の6時間内くらいの出来事です。
(以下は被害状況からみた推測です)
白門で乗っ取られたが、まず白銀貨トレードで本国に飛んでると思う。
で、そこでアイテムギル持ち去り。なぜか2000ギル残ってた。
で、エクレアアイテムも結構捨てられてた。良いものだけなぜか残ってた。
収納は全部出されて家具も片付けられてた。収納可能数0の状態。
印章はすべて手持ちの状態。
ジョブも変えられて、なぜか忍者でエクレアアイテムの良いものだけフル装備にして白門モグで落ちてあった。
ついでに倉庫キャラ全削除;;。
この状況は何を意味するんだろう。アカウントを転売するつもりだったのだろうか。
だとしたら、業者がアカウント売るときの典型的な状態になってたので、説明はつくのだが。
ただ、どっちにしろ週明けには垢停止されるわけだし、まともに売れるはずはないのだが、、、
1日で売り抜く詐欺のつもりだったのだろうか。
だとしたら垢買うのも危険だな。
私の垢は準廃で10万くらいにはなりそうだったし・・・
754:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 09:58:26 guCX3z8D
>>753
業者の動きとかどうでもいいから・・・
STTにキャラだけ通報しとけ。
垢買うのが危険とかいまさら言うってことはRMTやってたのか?
755:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:01:13 OQg1gCIw
まあ意味ないっちゃないけど、あんまりこの辺書いてる人いなかったからな。。。
RMTというか、別垢買いたいなーと思ったことはあるもので。
756:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:05:10 8jUbDvx4
上記でもでてるけどGOM Player内のFlashPlayerは危険なのかしら?
アップできる方法あったら教えてくださいな。
削除したほうが良いのであろうか…
757:744
08/07/23 10:05:20 hDOF+qyf
【スレログやテンプレ を 読んだか】 Yes
【気付いた日時】 被害無し、>>692でwzcsvbxm.dll発見
【不審なアドレスのクリックの有無】不明だがここで危険視されたHPは見てません
【ID・Passの認証方法】手打ち、途中で変更2007.10までは自動でした
【 Pass変更の履歴 】2008.6.29(最終ログイン日変更後の再ログイン無し)
【他人が貴方のPCを使う可能性の有無】 No
【他人が貴方のIDを使用したことが一度でもあるか】 No
【 O S 】2000.SP4が1台(XPSP3が2台)
【 使用 ブラウザ 】IE6最新(IE7最新)/FireFox2.0.0.16(最新)
【WindowsUpdateの有無】今月のパッチ配布日
【アンチウイルスソフト】マカフィー2007(2008.10.15まで有効)自動更新により最新
レジストリ書き換えは許可制(だが過去スレですり抜けたと報告あり)
ファイアウォールに遮断IP数十箇所追加(FC2など)
【その他のSecurty対策 】 Spybot S&D(常駐)、Adware2007(非常駐、週1くらいで稼動)
【ウイルススキャン結果】カスペオンラインスキャン:ウィルス無し
【FlashPlayerとRealPlayerのバージョン】FlashPlayer9.0.124.0更新日時2008.5.3/RealPlayer無し
【hosts変更】リネ資料室のコピペ6/30、Spybot S&Dの書き込み7/19(毎週)
【PeerGuardian2導入】スパイウェア&広告、リネ資料室の台湾+韓国+中国+香港+トロイサイト(韓国3IPのみ許可)
【 ツールの使用の有無 】No【ネットカフェの利用の有無】No
758:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:06:40 vtz9aLWy
ffxiahがあやしいってことは
■eに伝わってるの?
759:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:09:19 MYu6ZQGa
FFAHがあやしいってシャウトで促してたら
天安門事件のGMが現れてそのシャウトやめろって言ってきたってレスをどこかで見た。
760:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:10:53 guCX3z8D
シャウトはともかく伝えて何するの?
運営が個人サイトに対してどうのできるならRMT業者のサイトなんかなくなってんだろ・・・。
原因となっているウイルスや脆弱性を報告するならまだ分かる。
761:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:11:02 1PoLxqaD
利用者多いサイトだから、ウィルス仕込まれただけじゃね?
762:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:12:09 guCX3z8D
感染源と思われるのって広告じゃないの?
763:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:14:47 x8LIcCWJ
いずれにしても、セキュリティ対策をまともにできないやつが見るには危険すぎるサイトってことだろw
764:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:16:01 mTx7C09d
お、おおおおおおおおおおおおおおおお!!
2度目のハkックwwwwwwww
俺脂肪:::
765:ただいま名無し変更議論中@板内を[注意喚起]で検索
08/07/23 10:16:33 guCX3z8D
最高の馬鹿きたこれw
詳しくよろw