09/05/17 19:32:01 6zykGUMd0
>>350
まだ安心できない
354:192.168.0.774
09/05/17 19:33:43 OKDvuiXi0
ESCなりALT+F4なりで全部終了させて再起動したのかね
右半分が真っ白とか一時的な描画異常なんて誰でも経験する事で
再起動すればまず直る
再起動しても同じというならシラネ
355:192.168.0.774
09/05/17 19:34:19 MP/sWvjo0
>>353
いや、漏れて来るのは解ってるんだけど・・・。
私のトリップは◆XcxlmnqGqUです←―この人何処にいるのかしら。
356:192.168.0.774
09/05/17 19:34:38 4g69K7//0
hxxp://skyhighpremium■com
ここもかな。チェッカーでは1000%とでた
アクセスしたくないし、ソースチェッカー規制くらってる
357:192.168.0.774
09/05/17 19:35:22 DAUhxtRJ0
>>344
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
358:192.168.0.774
09/05/17 19:45:27 0KCBdJWL0
612 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:43:11 ID:I820zXBQ0
スレリンク(software板:611番)
611 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:30:30 ID:/KeDK9cs0
noscriptの「ブックマークから開いたサイトを許可する」って
履歴とブックマークの管理のウィンドウの履歴から開いても適用されるんだな
www.seibidoshuppan.co.jpここを開き直そうとしたらFlashが再生されたからうんこ漏らしたぜ・・・
martuz.cnを弾いてくれたから事なきだったけど
一応気になったからコピペ
そもそも「ブックマークから開いたサイトを許可する」はチェック入れるべきじゃないと思うけど
359:352
09/05/17 19:48:32 q9beek69O
>>354
それが再起動しても直らんのです。
書き忘れましたがOSは2kです。
携帯じゃ対応策調べようにもままならず…
些細なことでもいいんで、心当たりあれば教えてください。
360:192.168.0.774
09/05/17 19:50:13 7TaPV4fL0
>>358
サンキュー
361:192.168.0.774
09/05/17 19:51:58 4g69K7//0
>>358
^w^;
362:192.168.0.774
09/05/17 19:57:17 OKDvuiXi0
>>359
今内容見てきたがRemote Procedure Call停止って普通しないんじゃね?
そもそもあの内容が正しいかどうかも分からんから試す気にもならん
ただ135/445を閉じた方がいいのは事実なので自分はルータ側で閉じている
(と言うよりデフォルトで閉じられてたが)
元々あちらの板はID出ないし情報信用出来ないよ、見る価値無い
363:192.168.0.774
09/05/17 20:13:01 MpyKmePW0 BE:660438427-2BP(0)
なんだかいろいろご迷惑をおかけしております
>まとめ(黒)が見れない
急激にアクセス増えたので鯖が死にそうになってるみたいです
15時からの5時間でリファラーが2000件以上増えました
>メニューのリンクがおかしい
修正しました
364:192.168.0.774
09/05/17 20:17:00 4g69K7//0
>>188
AVG Anti-Virus Version 86
スレリンク(sec板:3番)
Q5. 2chのログにウィルスが検出されたんですけど
A5. ログに貼られたコードだけではPC内で感染行動をおこすことはできないので無害です。
AVG User Interface → ツール → 高度な設定 → 常駐シールド → 例外 に
ログフォルダを追加することで回避できます。
365:352
09/05/17 20:23:37 q9beek69O
>>362
ありがとうございます。いい勉強になりました… orz
迷惑ついでと言っては何ですが、この質問に適切な板を教えてもらえませんか?
板名からすると、PCサロン、windowsあたり?
366:192.168.0.774
09/05/17 20:24:12 zfzbOIpv0
>>363
とりあえず移転も検討してみたら?
URLリンク(wikiwiki.jp)
こことかに。解析も出来るみたい。
367:192.168.0.774
09/05/17 20:25:08 sDfaXn0wO
なぜGENOまとめWikiが劇重いんですか
368:192.168.0.774
09/05/17 20:27:26 sDfaXn0wO
>>363見て了解しました。無意味なレス消費して大変申し訳ないです。
369:192.168.0.774
09/05/17 20:28:09 OKDvuiXi0
>>365
この辺でいいんでない?
【マジレス】超初心者の質問に答えるスレ113【エスパー】
スレリンク(win板)
質問の基本だけど、何をしたかは勿論OSやその他環境等なるべく細かく書くようにね
その方が回答者も適切な回答を提示しやすいから
370:352
09/05/17 20:35:14 q9beek69O
>>369
スレまで誘導、ありがとうございます!
このご恩はどこかで誰かに返します。
371:192.168.0.774
09/05/17 20:40:21 MP/sWvjo0
2009 05/17 hostsファイルの古いドメイン二つを消去
martuz.cn一行でいいのね。もう旅に出ます。
372:192.168.0.774
09/05/17 21:14:42 W37Yk44D0
ちょっと気になるが、>>185は、どこで感染したんだ?
>>185の操作のみで感染したとなると、ちょっと不気味だ。
それとも、感染以外の単なるトラブルなのかな。
373:192.168.0.774
09/05/17 21:17:02 O8ZrwtGB0
有志が作って下さった
感染チェックツール
URLリンク(3rd.geocities.jp)
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
374:192.168.0.774
09/05/17 21:19:06 7TaPV4fL0
>>373
感染していた場合、cmd.exeを起動するのは危険とのことです。
375:192.168.0.774
09/05/17 21:23:32 O8ZrwtGB0
>>374
それただのネタだったみたい。
376:192.168.0.774
09/05/17 21:25:07 61lOiijw0
まさに情報の錯綜って感じだなオイ
377:192.168.0.774
09/05/17 21:25:21 7TaPV4fL0
そうだったんだ。
というわけなので、まとめサイトの人修正お願いします。
378:192.168.0.774
09/05/17 21:25:29 4g69K7//0
あぬビスレポート見ればわかるけど
感染してて、不発だった場合
手動でcmdを実行すると火がつく可能性がある
379:192.168.0.774
09/05/17 21:25:35 mNi/cx+s0
>>373
怖くて踏めない…
380:192.168.0.774
09/05/17 21:33:04 O8ZrwtGB0
>>379
安全だってば。
スクリーンショット
URLリンク(www.rupan.net)
381:192.168.0.774
09/05/17 21:35:16 U6FqnzDc0
>>363
ここに力を貸してもらえないか聞いてみたら?
幸せサーバープロジェクト 「アイデア・技術のある人募集中」★3
スレリンク(operate板)
382:192.168.0.774
09/05/17 21:36:30 M2s+iWsi0
>>379
これで何か起きた、って報告は聞かないから大丈夫w
383:192.168.0.774
09/05/17 21:37:11 WLY0wH0PO
>>373踏んだら感染した。
384:192.168.0.774
09/05/17 21:38:33 61lOiijw0
>>383
おせーよ携帯
385:192.168.0.774
09/05/17 21:38:50 O8ZrwtGB0
>>383
嘘はいけません。
386:192.168.0.774
09/05/17 21:41:40 N2pz4sCI0
なんともなかった
387:192.168.0.774
09/05/17 21:55:41 mNi/cx+s0
ほんとに? うう…
388:192.168.0.774
09/05/17 22:01:24 FwEBmaaZ0
正直ネット不慣れな俺には判別できんけど、ツール使わなくても確認はできるんだし安易に踏むべきじゃないのはわかる
389:192.168.0.774
09/05/17 22:17:19 xG23ce6c0
>>375
ネタだったのかよ
本当に錯綜って感じだな・・・結局大人しく暫くネットから離れてるのが正解か・・・
390:192.168.0.774
09/05/17 22:18:38 ++vAYPLj0
>>389
cmdの起動に問題があったこともあった
いまはしらん
391:192.168.0.774
09/05/17 22:19:30 BvZF1aRY0
亜種・新種が多すぎだからネタとも言い切れないのが困り物
392:192.168.0.774
09/05/17 22:23:00 FEBrgm5Z0
どっちにしろcmd実行で火噴いても、検出しても
クリーニンスコするだけだからいんじゃね
393:192.168.0.774
09/05/17 22:25:53 D2jCgTYH0
気が向くたびにcmd起動させては安全を確認している俺がいる。
ニフティの公式HPが感染のデマには心底焦ったからなぁ。
394:192.168.0.774
09/05/17 22:28:02 FEBrgm5Z0
ニフティのレンタル鯖だっけ?
395:192.168.0.774
09/05/17 22:29:58 hMuH46V60
正直怖くて、閲覧できません><
一応アドビは最新にしてるけど、やっぱりcmd起動してばっかりいるw
396:192.168.0.774
09/05/17 22:30:44 TTgW4pHv0
>>388
ツールつかったけど、しっかり使えたよ
山田チェッカー出たときも、こんな感じで疑心暗鬼だったのかもね
397:192.168.0.774
09/05/17 22:34:01 5b9h61kx0
sqlsodbc.chmのサイズが1,323
コマンドプロンプトとレジストリは開くんだけど・・・
このウィルスって感染してたら例えばどんな被害があるの?
まじ泣きそうなんだが
398:192.168.0.774
09/05/17 22:37:40 T9pTie3x0
>>337
okですよね、とかじゃなくて最新版に出来るならしておくもんですよ・・・
その面倒くさい精神が感染を招いてるのに不安で尚やらんってのは
他のが出てきたときにもくらかもよ
399:192.168.0.774
09/05/17 22:38:11 q8u6cZFi0
>>397
アウト
・ftpを介しての自サイトの改竄
・クレカ番号やID・Passの流出
・CPUの負荷の増大
ここら辺か?
クリーンインスコしてこい
400:192.168.0.774
09/05/17 22:38:11 BvZF1aRY0
自分のHP持ってなければ再起動した時点でPC終了、クリーンインストール以外の駆除手段無しって程度
HP持ってた場合気づかず更新するとそこがまた感染源に
401:192.168.0.774
09/05/17 22:38:51 N9SKEU4J0
検出スレから少し出張してきました。
スレリンク(sec板:963番) の一部自己転載です。
-----
え~、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
作成されるファイルを仮想PCで確保してみました。
ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)
muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。
MD5 : 3862b349b9b5c9283925e181ff9f5bf8
URLリンク(www.virustotal.com) (2/40)
sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白)
MD5 : 34cd61d83853e511f0a28027f639a1c9
URLリンク(www.virustotal.com) (0/40)
muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように)
gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。
あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。
タチ悪すぎ...
402:192.168.0.774
09/05/17 22:41:35 sXGsF7Ez0
マジでか…
sqlsodbc.chmのサイズが変わらないって話もなかったっけ?
気のせい?デマ?
判断材料がないとかやばすぎる
403:192.168.0.774
09/05/17 22:42:06 7TaPV4fL0
しかし今までこの形式のウイルスが出てこなかった(のかな?)
のが不思議なのかもしれないね。
404:192.168.0.774
09/05/17 22:44:36 5b9h61kx0
>>399
>>400
ありがとう
実は4月ごろに変なPCサイト見てからIEが強制終了するようになって
システム復元したらなおったんだよね。でも現在Windows update
に繋がらないから変だとは思ってた。
とりあえず今日は回線切ってクリーンインストールする
クレカはもってないから大丈夫なのかな?
405:401
09/05/17 22:47:19 N9SKEU4J0
>>397
>401の通り、sqlsodbc.chmのサイズが1,323バイトは、思いっきりアウトです。
可哀想ですが、現状では感染後に検出・駆除できるソフトが無いので、データを退避の上
再インストールするしか...
私の方で確認した結果では、SymantecもKasperskyも、オンラインスキャンでは感染していることが
確認できません(感染していても、何も検出しない)ので、注意お願いします。
# 今、マイクロソフトのオンラインスキャンを確認中。 マイクロソフトでダメなら、オンラインスキャンでは
多分、何やっても検知できない。
406:192.168.0.774
09/05/17 22:48:32 Zy7kEHYt0
初歩的な質問で申し訳ないのですが……
ウイルス対策としてhostsファイルをNotepadで開いて「127.0.0.1 martuz.cn」等を
書き込もうとしたんですが、すでにファイルに書き込まれているホスト名はアルファベット順に
並んでいるのですが、書き込むホスト名もその中にアルファベット順にしたがって
書き込んだ方がいいのでしょうか?
407:192.168.0.774
09/05/17 22:48:54 FwEBmaaZ0
>>404
windows updateに繋がらないって時点でアウトだろ・・・
408:192.168.0.774
09/05/17 22:49:01 IyeP3TLN0
u.bat 今はe.batか。こいつは去年の秋ぐらいからあるみたい
readerの脆弱性指摘も去年の秋だったかな
genoウイルス感染報告は海外で今年3/18ぐらいだったかな
ソース探してくるのがめんどくさいがそんな感じだったと記憶してる
409:192.168.0.774
09/05/17 22:49:10 ++vAYPLj0
>>402
あったきがする
>>404
オンラインでIDパスワードを使うサービスを使用しているなら
クリーンインストール後に変更推奨
他に安全なPCがあるならそちらからすぐにでも変更推奨
410:192.168.0.774
09/05/17 22:51:04 IyeP3TLN0
190 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/05/17(日) 01:51:35
>>178
>sqlsodbc.chmを書き換えて、何に転用しているかもよくわかってない。
ざっと見たところ、キーロガーのログ部分だね。おいらが見たのは反対からセーブしているやつだった。たとえば
あいうえお
は
おえういあ
って保存されてるよ。メモ帳なんかで開いてみれば、何が盗まれたかの一部はわかるんじゃないかな
411:192.168.0.774
09/05/17 22:51:08 sXGsF7Ez0
>>409
じゃあ感染しててもまったくわからないこともあるってことか…
鬱陶しいってレベルじゃねーぞこれ
412:192.168.0.774
09/05/17 22:52:46 IyeP3TLN0
感染してからsqlsodbc.chmをメモ帳を開けば面白いものが見れるのか?
413:192.168.0.774
09/05/17 22:52:58 FSY0bnP50
うっとおしさっていう点では、ここ数年稀に見るウイルスだな
414:274
09/05/17 22:53:26 7UVnacRX0
うっひょう、カスペなんかもダメなのか。
さっき(念の為)オンラインでフルスキャンしたばかりだと言うのに。
>1の症状らは皆無だし様子見るかな、avastがブロックしたと信じてw
415:192.168.0.774
09/05/17 22:53:45 mpI/NNW20
有志が作って下さった
感染チェックツール
URLリンク(3rd.geocities.jp)
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
チェック後の起動画面。
URLリンク(www.rupan.net)
416:192.168.0.774
09/05/17 22:53:59 rsd1W3Tn0
>>401
明らかに目立った不具合とかはありますか?
417:192.168.0.774
09/05/17 22:55:53 ++vAYPLj0
>>411
サイズがかわるかどうか怪しいからMD5とか確認しようって流れだった
いまはしらん
418:192.168.0.774
09/05/17 22:56:16 sDfaXn0wO
>>401
横レスですみませんが、
つまり、URLリンク(wepawet.cs.ucsb.edu)
などでソースを見たとき、martuz.cnやgumblar.cnが無くても感染の疑いがあるという事ですか?
419:192.168.0.774
09/05/17 22:59:44 1tk6kEt+0
>>418
なんでそうなるん?
420:192.168.0.774
09/05/17 23:04:10 vIxScWxq0
chmがキーロガーのログ部分なのか?
ちょっくらVMで感染してくるか。
421:192.168.0.774
09/05/17 23:05:11 QXwoDhGF0
ぷりんてぃんがGENOに汚染
422:192.168.0.774
09/05/17 23:05:49 sXGsF7Ez0
感染者がサイト持ってた場合、サイトが書き換わるのは確実
それ以外の症状は出るか不明
感染がわからないこともあるかも
CPU使用率とか目安にならない?
423:192.168.0.774
09/05/17 23:05:50 1tk6kEt+0
>>420
キーロガーじゃなくてsniffingしてる。
424:401
09/05/17 23:06:07 N9SKEU4J0
>>410
キーロガーのログなのかなぁ...私が確保したファイルは、中身思いっきり無意味な文字列だった。
何か暗号化されてるのか、それとも仮想PCで何も入っていないから無意味な文字列になったのか。
あと、マイクロソフトのOncareオンラインスキャン終わった。
...微妙。これ、レポートが出力されないから詳細がわからなすぎる。とりあえず、
1.展開された後のウイルス本体ファイルは削除された。(>401で、muvl.nugの方)
URLリンク(www.virustotal.com)で
MicrosoftがTrojan:Win32/Daonol.Dとして本体検出したので、行けるか?とおもったけど、
一応潜伏後の本体を捕まえそう。(絶対ではないと思うけど。)
2.レジストリの方に登録されたauxのマルウェア実行登録は、そのまま残っている。
少なくとも、SymantecやKasperskyよりは仕事してるようだが、『 ファイルを無断で削除 』してくれた
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)
一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→ URLリンク(onecare.live.com)
425:192.168.0.774
09/05/17 23:08:41 vIxScWxq0
>>423
盗聴?それだと俺なんかじゃ中身みるのは難しそうだな
426:192.168.0.774
09/05/17 23:11:13 0KCBdJWL0
sniffingしてるとして、どこに送ってるんだろ?
やっぱりmartuz.cn?
427:192.168.0.774
09/05/17 23:13:17 1a+FrLCg0
>>423
それだとここ最近多発してるオンラインゲームのアカウントハックはコイツが犯人の可能性が濃厚だな。
428:192.168.0.774
09/05/17 23:16:12 ++vAYPLj0
>>427
Genoさんとは別物です
429:192.168.0.774
09/05/17 23:18:28 vIxScWxq0
>>427
あれは中華やチョンのマルウェア仕込んだサイトじゃなかったか
430:192.168.0.774
09/05/17 23:19:29 SfYViNhDO
あーやばいなー
今PCおとして携帯でレスしてるんだけど今日エクスプローラ二回おちてフリーズも二回したからなー
感染してるかもしんねー
431:192.168.0.774
09/05/17 23:25:36 1a+FrLCg0
>>429
それにしちゃ薄く広いのが気になる。
FF11、RO、リネ2くらいのメジャーなのはともかく、マビノギやグラナド、MoEとかのマイナーゲーでも被害が出てる。
(ルナティア、完美世界は運営の失態なので除外)
432:192.168.0.774
09/05/17 23:26:13 vIxScWxq0
>>420
報告、俺も>>424だった。意味不。
433:401
09/05/17 23:26:41 N9SKEU4J0
>>416
嫌なことに、特に異変がない。 cmd.exeも普通に実行できるし、レジストリエディタも問題なく実行できる。
少なくとも、現在配布されているバージョンのウイルスについては、cmd.exe,レジストリエディタによる確認は不可能。
確認は、sqlsodbc.exeだけが頼りですね。
あと、動作が重くなったり、おかしくなった感じも特にない。仮想PCで重さの変化を感じないのだから、
実機ならまず気が付かんでしょう。
これ、今出回っているヤツだと、確実に感染したことに気がつかんと思う。 同人板その他、パンデミック状態になったの理解できるわ。
434:192.168.0.774
09/05/17 23:28:07 D2jCgTYH0
sqlsodbc.chmって、ヘルプファイルですよね?
なんでそんなとこの容量増やすんですか、このウィルス。
ヘルプの項目に嘘八百を追加するんですか?
435:401
09/05/17 23:28:50 N9SKEU4J0
>>433
>確認は、sqlsodbc.exeだけが頼りですね。
exeじゃねえ... sqlsodbc.chm ですな。
436:401
09/05/17 23:30:13 N9SKEU4J0
>>434
容量を増やしているのではなく、何かに使っているらしい。
書き換えられた後のファイルは、ヘルプファイルとしては壊れた状態で使い物にならない。
437:192.168.0.774
09/05/17 23:31:12 FSY0bnP50
>>424
あくまで推測だけど、サイト書き換えようのFTPのアカウントとキーとアドレス情報の格納場所じゃないかと思う。
chmファイルのサイズが一定しないっていう情報を4月騒動の頃にまとめサイトで見たことがあるんだが、
それは、他の感染PCとキー情報のやり取りをして、情報が増えて行ってるからではないかと思う。
で、他の感染PCと一切交換を行っていない初期サイズが1323バイトとか。
もし、感染した人の中に、chmファイルのサイズが時とともに増加していったっていう情報があれば、その線を疑えると思う。
438:192.168.0.774
09/05/17 23:31:27 ++vAYPLj0
>>431
RMTができれば日本での認知度なんて気にしてないのかもね
客がいれば利益は出るわけだしどのゲームでもやることは同じだし投資は少ないし
特定のターゲットにしぼるより広くやったほうがどれかが潰れても
被害を抑えられるかな
439:192.168.0.774
09/05/17 23:33:53 0KCBdJWL0
>>433
そこまで潜伏できるのにわざわざ明確な印残す意味が分からんなぁ>sqlsodbc.chm
あ、もしかしてsqlsodbc.chmを読み取り属性にしておくと拙いかな、これ?
440:192.168.0.774
09/05/17 23:34:06 OKDvuiXi0
一応書いておく、感染はしてないはず・・・・
sqlsodbc.chm(サイズ:50,727byte)
MD5 : f639afde02547603a3d3930ee4bf8c12
441:192.168.0.774
09/05/17 23:35:15 FSY0bnP50
>>437の補足として、ウイルスを駆除したにも関わらず、FTPパスを変えてなかったら、
自サイトをウイルス誘導ページに書き換えられたっていう報告があるらしい。
そのため、感染PC同士でFTPアカウント情報のやり取りをしており、
どこかに保存しているっていう観点からそう推理してみた。
442:192.168.0.774
09/05/17 23:36:01 MP/sWvjo0
ただいま。
>>434>ヘルプの項目に嘘八百を追加するんですか?
かなりの危険をおかしてまで、たったそれだけの無意味なウイルスは作らないと思うがw
sqlsodbc.chm自体が書き換わったら容量変わるだろ?
じゃあ、おやすみなさい。
443:192.168.0.774
09/05/17 23:36:19 vIxScWxq0
初期スレからいるが、f639という文字列を見る度に感じるホッという安心感はなんなんだろう
俺だけか
444:192.168.0.774
09/05/17 23:36:31 0H7sjBwe0
とりあえずsqlsodbc.chmの更新日時は一年前になってるからOKですよね?
445:192.168.0.774
09/05/17 23:37:21 q8u6cZFi0
>>444
サイズも要確認
446:401
09/05/17 23:37:40 N9SKEU4J0
>>418
ソース見ただけでは感染しないよ。(苦笑
逆に、自分がサイトの管理者であった場合なら、自分が管理しているサイトに異常が無くても
感染している可能性はある。 これは、今の所
・sqlsodbc.chm のサイズを確認。→1,323バイトとか、ファイルが異常に小さくなっていたら確実にアウト
・ダブルクリックして、ヘルプファイルとして開けるか? → ダブルクリックして『壊れている』と表示されたらヤバイ。
→ sqlsodbc.chmをワードパッドなどで開いてみる。ファイルが開けて、中身がテキストデータに置き換わっていたらアウト。
ぐらいしか確認の方法が無い。 cmd.exeとレジストリエディタによる確認方法は、忘れた方が良い。
さて、危ないから感染した仮想PCはゴミ箱行きにします。
447:192.168.0.774
09/05/17 23:37:48 qCuFPmlW0
感染してるか気になって自分も調べたんですけど
XP SP3 でsqlsodbc.chm が無かった
nliteで削ったりしたからだと思うけど。
448:192.168.0.774
09/05/17 23:39:32 OKDvuiXi0
>>447
2000で無い場合に作られるから多分XPでも挙動は同じじゃね?
449:192.168.0.774
09/05/17 23:40:56 qCuFPmlW0
>>448
ですよね。
とりあえず一安心。
アップデートにも繋がりますし。
450:192.168.0.774
09/05/17 23:44:02 ++vAYPLj0
chmは操作かく乱用のダミーっぽいとのこと
ソースは検出可否報告スレ
451:192.168.0.774
09/05/17 23:44:06 j/5AZ8AK0
>>440
現在感染なし
MD5値同じでした
452:192.168.0.774
09/05/17 23:44:47 rsd1W3Tn0
>>433
ありがとう。やっぱりもう重いだとかcmdが開かないとかそんな確認方法は無駄かも「しれない」のね。
sqlsodbc.chmの他にHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の様子はどうですか?
453:192.168.0.774
09/05/17 23:45:12 NJZAyhdU0
つか無料鯖で捨て垢作ってftpで適当なhtmlファイル上げてみてソース確認すれば感染確認できるやないかえ
454:192.168.0.774
09/05/17 23:56:05 kVP/8H1t0
ジェノチェッカーで、俺のPC(VISTA)のsqlsodbc.chmのサイズが46,133で感染の疑いが有るっていうんで、
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
を実行したら最終更新日が2006年11月……
これは、どれを信じりゃいいのかわからなくなってきたんだが。
455:192.168.0.774
09/05/17 23:59:16 jG2pcMw10
とりあえずAdobeのFlashとReaderを最新にするなりアンインストールしとけば平気ですか?
456:401
09/05/17 23:59:33 N9SKEU4J0
>>450
いや、それ私。(苦笑
ダミーと書いた方が先で、ロガーのデータという話の方が後。
この辺は、流石に自分で通信をあっちに傍受させる気はないんで、こちらでは確認はちょっと難しい。
457:192.168.0.774
09/05/18 00:02:47 kVP/8H1t0
>>446
vistaでジェノチェッカーを使用し、ファイルサイズが違うので感染の疑いが濃厚です。
と、出たのだが401さんの言うようにヘルプファイルで開けるし、最終更新日は遙か前だわ。
こうなるとジェノチェッカーで感染したと思いこんじゃう人が出てくるんじゃないだろうか…
458:192.168.0.774
09/05/18 00:02:52 xqkDEgVB0
このGENOって何の為のウィルスかは未だ良く分かってないんですよね?
オマケに感染したのかを2chとかで知って確認した人ぐらいしか自覚が無いらしいし…
新型インフルでは無いけどこれから爆発的に被害出そうで気味悪いなぁ
459:401
09/05/18 00:03:53 N9SKEU4J0
>>452
そこは今まで通り、auxとして登録されるのを確認してあります。>424の2番の所ですね。
詳しい人なら、そこを押さえるのが一番でしょう。 レジストリを確認しにくければ、やはりsqlsodbc.chmのサイズと中身かな。
cmd.exeとレジストリエディタは、あちらが改良したからには、今後のバージョンも使えないと思った方が良いかと。
460:192.168.0.774
09/05/18 00:04:48 vIxScWxq0
あーなんか勝手にドライバ作ってんのね
461:192.168.0.774
09/05/18 00:06:03 FSY0bnP50
なんか、ウイルス作者がこのスレ見て次verの対策練ってたらやだなぁ
462:192.168.0.774
09/05/18 00:08:40 j6rZXl7R0
>>459
今のところauxに痕跡は残しますか
折角regeditを起動させるようにしたみたいだし、レジストリを監視するのも面倒臭くなりそうだなあ
463:192.168.0.774
09/05/18 00:08:43 uebw+uxF0
とりあえず、初心者にわかりやすい説明としてはsqlsodbc.chmをダブクリで開いてみて、
エラーが出ないでヘルプファイルが開けたらセーフとかにしたほうが混乱が少なくていいんじゃマイカ?
464:192.168.0.774
09/05/18 00:09:39 RYc+mlfs0
sqlsodbc.chmのショートカットデスクトップに置いとくか
465:192.168.0.774
09/05/18 00:12:57 H93VbD2h0
>>463
なるほど
分かり易いですサンクス
466:192.168.0.774
09/05/18 00:16:49 r6TpwBf70
>>461
こわいこというなよ
467:192.168.0.774
09/05/18 00:23:11 kK4DaAw60
>>352
自分もはまりました。
RPC と 「有効なデバイスが関連づけられていない」で検索
URLリンク(ziddy.japan.zdnet.com)
こちらに書かれていた情報で直りました。
468:192.168.0.774
09/05/18 00:26:33 SGBG03gk0
>>456
ごめん><
469:192.168.0.774
09/05/18 00:29:04 uebw+uxF0
これって世界規模ではどんな感じで広がってるんだろうか。
あと質問なんだけれど、sqlsodbc.chmって開くと日本語でヘルプファイルが出てくる?
だったら、ジェノチェッカーでサイズの違いで感染に引っかかったというコメントが出る原因がわかるんだが。
もしそうなら俺がドイツ語版vistaを使っているからということで説明がつく。
470:192.168.0.774
09/05/18 00:31:26 yv43KHe00
>>469
日本語だね
>>111のITMedia見る限りでは全世界規模で広がってると考えてよさそう
471:192.168.0.774
09/05/18 00:31:28 +m52NSIq0
今Microsoft Updateをしようとしたら、エラー番号: 0x80072EFDが出て
できませんでした。OSはXP SP3です。
472:192.168.0.774
09/05/18 00:32:17 TQZo9UtD0
>>469
ドイツで多少出ているようです
後でレス探してみます
sqlsodbc.chmはヘルプが出ます
逆に出ないときは感染濃厚ということです
473:192.168.0.774
09/05/18 00:35:35 /YAiDTNe0
いつも思うんだけどさ。
こういう2ちゃんみたいな低俗な掲示板で、頑張ってウイルスと
戦うお前らって、
勇者だよね。
・・・ただのヒマ人?またまた御冗談を。
474:192.168.0.774
09/05/18 00:35:42 uebw+uxF0
>>470
ありがとう。おかげで謎が解けた。
しかし>>457.454でジェノチェッカーの精度に疑いがあると書いてしまった……
他の人が間違えないといいが。
475:192.168.0.774
09/05/18 00:36:49 Jag7vYy/0
今すっごいネット重いんだけどウイルスと関係ある?
476:192.168.0.774
09/05/18 00:37:32 0Y431MZ/0
>>472
俺が知ってるのは
>3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
>感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。
URLリンク(www3.atword.jp)
今現在どう進行してるのかね
477:192.168.0.774
09/05/18 00:42:50 uebw+uxF0
>>475
つテレホタイム
>>472
あぁ、ドイツの掲示板でも感染の装弾している所を発見。
やっぱり感染の確認方法はほとんど一緒。
やはり感染疑いのユーザーが雪崩れ込んでて、FUCK!の嵐でまともに相談できていない模様。
どこも一緒なんだなw
478:192.168.0.774
09/05/18 00:47:02 QCHe1qHC0
>>477
すまん、もしよければそのドイツの掲示板を
教えてはくれまいか。
479:192.168.0.774
09/05/18 00:47:30 EMdE+yZc0
>>461
ヒント:相手は外人
ここよりももっと有益な情報が書いてあって、しかもちゃんと纏められてる英語の掲示板見るのでここは見ません
480:192.168.0.774
09/05/18 00:49:25 vNF2317C0
さっきカスペルのチェックでマルウェア検出された俺涙目
今ウィルスバスターでもっかい確認中、ダメならもうだめだ
481:192.168.0.774
09/05/18 00:51:52 uebw+uxF0
>>478
大学とOB用の草の根BBSみたいな所だから、卒業した学生番号がいるんだが。
すまない、それ教えると俺の身元が割れちまうから勘弁してくれ。
482:192.168.0.774
09/05/18 00:52:58 QCHe1qHC0
>>481
承知した。ありがとう。
483:192.168.0.774
09/05/18 00:57:45 D1poB8XB0
作者ってマジで外人なのか
何のために・・・
484:192.168.0.774
09/05/18 00:58:15 +m52NSIq0
アップデートできなかったらってのは、エラー番号: 0x80072EFDがでたらと言うことですか?
それとも、Microsoft Updateのトップサイトにすらつながらない状態ですか?
485:192.168.0.774
09/05/18 00:58:23 0Y431MZ/0
巨大なbotnetの作成
486:192.168.0.774
09/05/18 00:58:25 j6rZXl7R0
金稼ぎじゃないかと言われてる
487:192.168.0.774
09/05/18 01:00:58 vNL6vAf4O
さっきからインターネットが繋がんないんだが…
感染したのかな?
488:192.168.0.774
09/05/18 01:10:07 2IEunuB80
>>483
外人の組織?で、普通に金儲けだと思うよ。
後は愉快犯とかが亜種作ってるんじゃないのかな。
国内のサイトの現状知ったらどう思うのかなー。
489:192.168.0.774
09/05/18 01:15:12 TTbAOLbH0
何よりこわいと思ったのが、製薬会社やらの普通の企業もやられてるのに、未だほとんどニュースとして公表されてないこと
2ch張り付いてる奴ならともかく、もう少し広まったら確実に普通にネットやってる連中のPC終わるぞ
490:192.168.0.774
09/05/18 01:16:58 EgqX730p0
>>489
イメージダウンになるから黙ってるんでしょ
491:192.168.0.774
09/05/18 01:18:53 p9Xcqg7P0
黙ってる方が後で大幅イメージダウンになるこのご時世
492:192.168.0.774
09/05/18 01:23:34 RCHjlpg60
>>489
ネットニュースで最近知ったが日本での発端が四月と聞いてビビッタよ
感染はしてなかったけど感染が判らないだけかも知れないのが気持ち悪い
493:192.168.0.774
09/05/18 01:29:06 j6rZXl7R0
アンチウイルスベンダーの対応も今一だからね…
積極的にプレスリリース出してる所も英語圏が中心でしょう
それが原因じゃないかなあ
494:192.168.0.774
09/05/18 01:33:23 TTbAOLbH0
個人的に一番嫌なのはカスペから乗り換えようとしてたノートン先生の今回の対応が残念すぎたこと
これでまたセキュリティを考え直さなきゃいけない
495:192.168.0.774
09/05/18 01:40:51 Y6ubUO900
感染の確認方法だけど、gnomeの人は初めから
sqlsodbc.chmとレジストリ値の確認だけで
cmd.exeやregeditの起動による確認方法は書いてないね
やっぱりこの人のところが一番信用できるなと思った
ニフティの件みたいに良く読まない人がデマ流したりして大変みたいだけど
これからもがんばってほしい
496:192.168.0.774
09/05/18 01:44:09 BzNhsWFE0
225のヤツとか逮捕の対象にならんの?
ウイルス広めるヤツは逮捕&死刑でいいでしょ。
497:192.168.0.774
09/05/18 01:46:45 AxgR+t010
>>496
225踏んで感染したんですか?
498:192.168.0.774
09/05/18 01:51:13 BzNhsWFE0
いんや。流石にリンクを踏むのが怖くてね。
後に感染したってあったから、もう少し注意が足りなかったら感染してたかも・・・
って考えるとな・・・。
499:192.168.0.774
09/05/18 02:18:04 zXvWG0pfO
>>489
そうだよ!何か今回おかしいよな!
まさかとは思うけど
同人誌とかアニメとかそういうのが大嫌いなやつが
このウイルスを再び蔓延させて
一気にヲタを潰そうと考えたのかもしれない
500:192.168.0.774
09/05/18 02:19:28 SGBG03gk0
>>499
そんなちっぽけなレベルの話じゃないです
501:192.168.0.774
09/05/18 02:19:44 zXvWG0pfO
>>492
何度も悪いけど
その時もあまりおおっぴらに取り上げられなかった筈
今回は何かおかしい
502:192.168.0.774
09/05/18 02:28:00 tHeAy9ld0
どうせ後で「GENOウイルス?あぁあんなんに騙されて大騒ぎしてた奴らなんてただの馬鹿だよww」ってことになんだろ?
503:192.168.0.774
09/05/18 02:28:52 z2bzI9GC0
/^7_
. ,' / /
| //ヘ
| / /
三 | / , ヘ
-‐¬ { ミ / /
\ / 三 L 」 ミ / _ ニコ // ヽ,
. X / | | ミ / >'´ ,.└''"´ ̄ ̄ `ヽ、 キャッシュ消せばいいんだよ
. / / 、 | | / ヽ ,. '´ 、、 ヽ ヽ
. ,′ , \ | |__ ノ , lヽ j /、lヽ ト、_,,.',
{ /´ ̄`'J r'´ r'"イ .ノ\| .レ r=;ァ'レ' { }
― -- { }. { !、 l rr=- / `'''l.>‐ .、
‐ ― ヽ. _人. レヽ.,ト' ー=‐' / l 、,,_,,ノ
/ /ヽl } \. ,}' ', /ヘ, /レ' ,/ >‐、
ヽ / /ミ ノ ノ、 ` 7'´レ1 ヽ 人ル'レ' 'i、_
/ / ミ (_/ \ レ~i` ヽ 、_ ( "
504:192.168.0.774
09/05/18 02:29:04 4oFiJRbxO
ieから火狐に変えれば予防出来る?
てか、初心者向けのまとめサイトってないかな?
505:192.168.0.774
09/05/18 02:30:38 z2bzI9GC0
>>504
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
4.Adobe Acrobat Readerの JavaScript 機能OFF
ここまでは出来るだろ。
506:192.168.0.774
09/05/18 02:30:55 O4S1nyz60
少なくとも4月頃は色んな板でやたらとスレ立って祭りしてたようなイメージがあるが
逆に今回の騒ぎ様の方が違和感というか今更感があるんじゃ?
507:192.168.0.774
09/05/18 02:34:46 g3jcf+6w0
情弱腐女子とニコ厨大好き東方・ボーカロイド同人サイトで
急速にパンデミック起こしたからじゃね
508:192.168.0.774
09/05/18 02:35:24 0qo6gqNs0
実際に感染してんのはそいつらだけだろうな
509:192.168.0.774
09/05/18 02:36:14 tHeAy9ld0
707 名前:GENO[sage] 投稿日:2009/05/18(月) 02:31:35 ID:93Cm5lq90
Photoshopとか割れ物使ってる人多いから
Adobe製品を丸ごとアップデートOFFにしてる人多そうだよね
そしてPDF ReaderやFlashまでアップデートされずにウイルスに狙われる
709 名前:GENO[sage] 投稿日:2009/05/18(月) 02:33:00 ID:9UIQFr160
>>707
なるへそ、だから同人で感染爆発してるのか
510:192.168.0.774
09/05/18 02:36:32 9OAY1try0
まぁ四月の時はGENOのサイト行ってない奴は他人事で済まされたからな
いや、実際済まなかったんだけどさ
511:192.168.0.774
09/05/18 02:36:54 PGXf1oVHO
夏コミが近いというのに
まったくもう!
512:192.168.0.774
09/05/18 02:37:32 ovjuZukc0
とりあえず、今日会社とか学校ある人は行き先のPCを要チェックかと。
セキュリティ部門の人とかが今回の件わかっていると被害を抑えることができるんだけど…
ベンダーが日本時間の月曜朝に対応するなんてありえないと思うし…
※まずはネットワークから切り離してhostsを変更してから再起動後に…
諸々のファイルチェックして…って大変だなぁ…
513:192.168.0.774
09/05/18 02:37:59 yKeLT0rF0
>>506
同人板の方で盛り上がって火がついて燃え移ったというか巻き込まれたというか
サイト持ちの人が多いのもあるけど、もともと燃えやすい極端な人が多い
きちんと理解していて宥めてる人に対して
危機意識が足りないと噛み付いてる状態で、セキュ板も随分荒れた
(同人板が荒したってわけじゃなくて同人板から流れてきた人が原因でスレ住人が荒れた)
514:192.168.0.774
09/05/18 02:40:05 uebw+uxF0
いや、意外と潜伏期間ってこんなもんなんじゃないのかな。
>>504
こっちの方が優しく教えてくれると思うぞ
【管理も】同人サイト・GENOウィルス注意7【閲覧も】
スレリンク(doujin板)l50
515:192.168.0.774
09/05/18 02:41:31 6Sa4e4kP0
誰かウイルスに確実に感染するサイト教えてください
とりあえず今のところ
成美堂出版 www.seibidoshuppan.co.jp/
livmail www.livmail.com/3others-page/janet/tokusen/index.htm
carwash www.carwash.co.jp/
senlights www.senlights.co.jp/seihin/kirenaru-1s.htm
を試してみました
誰かお願いします
516:192.168.0.774
09/05/18 02:44:44 yKeLT0rF0
>>515
まずアドベ製品のダウングレード
JSをオンにする。セキュリティソフトを解除
ファイアーウォールも解除
で閲覧すれば感染するかと
サイトが悪いんじゃ無くて環境のせいで感染しないんじゃない?
517:192.168.0.774
09/05/18 02:45:21 ovjuZukc0
こういうときは自宅警備員さんがうらやましい…かな?
うちの勤め先…絶対誰かGENO罠踏んでるだろうなぁ
本社の基幹でDenyしてくれてると安心なんだけど…
感染者には始末書というプレゼントが…(=ω=
518:192.168.0.774
09/05/18 02:48:05 O4S1nyz60
>>513
セキュ板のgenoスレも見てるから一応の流れは知ってる
確かにサイト持ってる友人もgeno騒動知らなかったみたいだったし
頻繁に2ちゃん覗いてないとそんなモンなのかねぇ…
519:192.168.0.774
09/05/18 02:51:10 yKeLT0rF0
>>518
更に砕くと
同人ノウハウの一つのスレで1回話題になってちょっと騒ぎになる
これは騒いで皆に知らせた方が良いということで同人板にスレが立つ
超盛り上がる。と言う感じ。たった一夜で連投規制のある板で凄い加速だよ
前々からこの手のタイプのウイルスはこんなもんでしょ
今回はけっこう広まってるからちょっと事情が違うけど
520:192.168.0.774
09/05/18 02:51:22 ua7Ctj4Z0
eSafeでも紹介記事が出てたようだ。5/14。
URLリンク(www.aladdin.co.jp)'s-weekend.html
521:192.168.0.774
09/05/18 02:52:28 d0ClE+9g0
>>513
同人板はカード番号抜かれるとかもう無茶苦茶言ってる奴がいるw
わからないことはわからないでいいのに異常なまでの恐怖心を煽るようなことを言うからゆとりが流れ込んでくるんだよ
自業自得だ
522:192.168.0.774
09/05/18 02:56:34 ImVScTUk0
>>499
これで割れのacrobatはすべて使い物にならなくなるワケだ.
adobeはホルホルしてるだろうなw
523:192.168.0.774
09/05/18 02:57:45 o7Ns7JFwP
>>521
それはないとは言い切れないよ
524:192.168.0.774
09/05/18 02:59:22 uebw+uxF0
>>521
感染サイトにまで誘導してる奴まで現れる始末だしな。
正直、彼らとは距離を置きたい。巻き添えくいそうでたまらんよ。
525:192.168.0.774
09/05/18 03:00:28 PGXf1oVHO
ケータイからPCブラウザ見るぶんには大丈夫なんでしょ?
526:192.168.0.774
09/05/18 03:00:50 3Vb3xWiS0
このウィルスなんて読むの?じぇの?げの?
527:192.168.0.774
09/05/18 03:01:08 /yFIekht0
★危険★
これも感染?
www.seibidoshuppan.co.jp
528:192.168.0.774
09/05/18 03:02:06 o7Ns7JFwP
>>527
してるね
529:192.168.0.774
09/05/18 03:02:24 g3jcf+6w0
同人板って他のν速やvipやここのウイルス対策スレと
明らかに毛色というかノリというか湿度が違う気がする
なんかこわい
530:192.168.0.774
09/05/18 03:04:32 wbZLj6zq0
>>527
GENOウイルスチェッカー
危険度1000%
超絶危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
評価ミス報告
531:192.168.0.774
09/05/18 03:04:48 7HSqf6Si0
>>529
ネチネチした連帯感みたいなのがあるな。
自治好きが多いんだと思う。
532:192.168.0.774
09/05/18 03:05:50 6Sa4e4kP0
>>516
>>515に追記します
>>515のサイトを踏んだ結果
成美堂出版はなんともなく
他3つのサイトではトロイが検出されました
けど感染したいウイルスはGENOです
現在の環境は
Windows XP Home SP3
IE6
reader 8
flash player 9
JS有効
セキュリティー無効
ファイアーウォール無効
です。
他にGENOに感染するための条件はなにかありますか?
533:192.168.0.774
09/05/18 03:07:29 PGXf1oVHO
何故感染したがる
534:192.168.0.774
09/05/18 03:08:21 eVa+R5Lo0
>>520
送信先はウクライナか・・・
しかし、北アメリカとかヨーロッパ全土が感染とは・・・
535:192.168.0.774
09/05/18 03:09:04 6Sa4e4kP0
>>533
○感染後の行動
・cmd.exeとregedit.exeが起動するか確認
・タスクマネージャーでcmdが勝手に動いてないか確認
・Acrobat(Adobe Reader?)が勝手に起動
・CPU使用率をチェック
・PDFファイルやシステムファイルが増殖してるかチェック
・cmdでdir C:\WINDOWS\system32\sqlsodbc.chmのサイズが50,727か確認
・最後cmdからrd /s /q c:を実行
○検証するブラウザ
IE6
IE7
IE8
Firefox 3.0.10
Opera 9.64
Chome 1.0.154.65
を自分で検証してみたい
536:192.168.0.774
09/05/18 03:09:23 ZooZ8biq0
>>531
同人女は他人から見たら馬鹿としか思えないローカルルールが多く、それらを守らないとヲチというリンチに遭う
危機感煽ってるくせに感染サイト晒せないのはそのせいだね
大いなる矛盾なんだが
あそこ見てると葬式の時だけはりきってる普段は地味なおばさんを思い出す
537:192.168.0.774
09/05/18 03:11:10 gtQ58YdFO
ラトビアでも流行ってると聞いたぞ
538:192.168.0.774
09/05/18 03:12:31 yKeLT0rF0
>>533
検体ほしいとか?
>>532
成美堂出版はソースは真っ黒だったんだが
ウイルスの搬入先が死んでるとこだったのかね?
539:192.168.0.774
09/05/18 03:13:01 PGXf1oVHO
>>535
ご、ごめん
解りやすく説明して
目的だけ
540:192.168.0.774
09/05/18 03:15:15 7HSqf6Si0
クリーンインストールすりゃ良いって分かってんだから、
予備のPC使って自分で確かめたいって奴もいるだろう。
541:192.168.0.774
09/05/18 03:16:23 uebw+uxF0
>>535
まさか感染したまま、満員電車に乗るような感じのことをするんじゃないだろうな。
542:192.168.0.774
09/05/18 03:16:43 vNF2317C0
>>537
えーと、バルト三国って北欧?なのかな
あそこらへんはIT強い国いくつかあったしそっちにも行きそうだ
ヨーロッパ・北アメリカ・北欧ときたらそろそろインドや東南アジア辺りもヤバそう
543:192.168.0.774
09/05/18 03:18:25 6Sa4e4kP0
>>538
他のスレでもそう聞いたよ
>>539
単なるブログのネタだよ
かれこれ6時間以上GENOウイルスを求めてさまよってる・・・
俺はただSSと検証レポをしたいだけなのに(´;ω;`)
まさかこんなに時間がかかるとは思わなんだぞ
544:192.168.0.774
09/05/18 03:18:33 yKeLT0rF0
>>536
同人女って言うかあの板がおかしいんだよ
類友のはずのノウハウ板はそうでもないし
同人板から移転が相次いで最近はあっちも大変らしいが。
545:192.168.0.774
09/05/18 03:19:11 XWeKEH7q0
>>535
・XP以下のWindowsでアクセスする。
・Adobe Readerをインストールしている。
・Flash Playerをインストールしている。
・JavaScriptを有効にする。
・Chrome以外のブラウザでアクセスする。
・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
・過去に攻撃サイトにアクセスしたことがあり、その際cookieが有効だった場合はcookieを削除する。以後cookieを拒否する
・もし以前に攻撃サイトにアクセスしたことがあり、その際「XP以下のWindows以外」でアクセスしていた場合はIPアドレスを変える
・セキュリティソフトを使用しない。
以上の条件を満たすことが必要。
これでも感染しないようであれば
・Adobe Reader、Flash Playerのバージョンを下げてみる
・仮想マシンを使っているならば、実機で試してみる
・NX bitが実装されているCPUを使用しているならば、実装されていないCPUを使用する
546:192.168.0.774
09/05/18 03:20:17 gtQ58YdFO
>>542
ラトビアはバルトで北欧地方だ
イギリスでもGENOかは分からないがウイルスが流行ってると聞いたが…これは定かじゃない
誰か知ってるやついるか
547:192.168.0.774
09/05/18 03:21:12 w3XVYZKL0
>>521
可能だろ、何言ってるんだ
548:192.168.0.774
09/05/18 03:21:23 PGXf1oVHO
>>540
なんだ…そんだけか
>>541
そしたらどうなるんですか?(;゚Д゚)ゴクリ...
549:192.168.0.774
09/05/18 03:21:45 wsKEiiw60
>>535
>・最後cmdからrd /s /q c:を実行
パニックにつけ込んだデマって怖いね
550:192.168.0.774
09/05/18 03:22:05 yKeLT0rF0
>>543
わかったちょっと待ってて
いくつか候補はあるんだが、すでに対応きてるかもだからからちと確認してくる
551:192.168.0.774
09/05/18 03:23:16 gtQ58YdFO
そういえば俺のパソコン感染して初期化した
GENOウイルスらしきものは見つからなかったがネットワークに接続できない
まさか今もパソコン内部に潜んでて進化してるなんてことないよな
552:192.168.0.774
09/05/18 03:24:28 SGBG03gk0
>>543
すでに1つDLしてたら24時間はDLできないって誰かが言ってた
しそこねたことがあったのかもしれない
IP変えられるならそれで挑戦してみるのも手かも
553:192.168.0.774
09/05/18 03:25:38 yKeLT0rF0
>>549
感染したら最後はそれでフィニッシュしないとw
アンチソフトでの駆除できないんだし。不思議なことはないよ
>>543
リボンマジックでググってみてくれ
このサイトもまだ対応してないっぽい。ソースが黒い
554:192.168.0.774
09/05/18 03:25:56 Z5hmtXFr0
774 名前:geno[sage] 投稿日:2009/05/18(月) 03:24:56 ID:E9Mwu5RAP
296 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/18(月) 03:20:10
なんか同人スレは「質問はセキュリティ板へ行け」みたいに言ってるぞw
なんでセキュ板がそこまで面倒みてやらなならんのだと・・・
しかも親切に質問に答えてやってると「セキュリティ板に乗っ取られてる!!」とかw
もうねアフォか馬鹿か同人かと・・・
555:192.168.0.774
09/05/18 03:26:01 PGXf1oVHO
>>543
レポートかw
確かにブログネタにしたら訪問者増えるよね、きっと
怖くて今ケータイからやってるんで力になってあげられないけど
同人サイトとかランキングとか同人サイトのリンクから梯子したりすれば見つかるんじゃない?
556:192.168.0.774
09/05/18 03:27:13 uebw+uxF0
>>543
海外サイト漁った方が早いぞ。
あっちのほうがいいかげんだから。
sqlsodbc.chmで検索かけてそこのページから飛ぶのだ。
557:192.168.0.774
09/05/18 03:27:21 pFQN0G770
>>543
Reader8で感染できなかったので9.0.0にしたら感染できた、たまたまかも知れないが
成美堂のtuz.cnは死んでる
あとIP変えまくれ
558:192.168.0.774
09/05/18 03:27:56 7HSqf6Si0
面白い流れになってきたなw
559:192.168.0.774
09/05/18 03:29:39 WSfvVExd0
>>557
>>207
Flash Playerは10.0.22.87と9.0.159.0がGENO関連の脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0がGENO関連の脆弱性を修正したver
以降は別の脆弱性を修正したver
560:192.168.0.774
09/05/18 03:29:45 gtQ58YdFO
外も中もウイルスだらけだな…(´д`)
561:192.168.0.774
09/05/18 03:30:55 6Sa4e4kP0
>>545
サンクス
とりあえず上の項目は全部試してる
ただ下の項目の下二つは
VMware上のXPでAthlon 64 X2 5600+だから
条件をクリアできてないな
>>549
まぁそれは今回の検証のオチってやつだよw
>>550
おねがいしますm( __ __ )m
>>552
IPはいろいろあって何度も変えてる
けど感染してない
>>553
一応リボンマジックも直接URLを入力して踏んでみた
けど感染しなかった
>>555
一月ぶりぐらいにかくブログですw
562:192.168.0.774
09/05/18 03:32:07 pFQN0G770
>>559
おお、そういうことだったのかありがとう
563:192.168.0.774
09/05/18 03:32:57 SGBG03gk0
実はすでに感染してるんじゃね・・・?
564:192.168.0.774
09/05/18 03:33:28 WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
565:192.168.0.774
09/05/18 03:34:39 CVgAB4qkP
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
566:192.168.0.774
09/05/18 03:35:19 Z5hmtXFr0
565 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:34:39 ID:CVgAB4qkP
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
567:192.168.0.774
09/05/18 03:35:33 PGXf1oVHO
>>560
まったくですね、新型インフルエンザ流行ってるから外出控えようと思って家でPCしようと思ったらウイルスが出回ってて、なんだかなー;
>>561
良い記事書いてくださいな(・∀・)オーエン
海外の二次創作サイトって感染してる所あるのかな
それともアダルトサイトの方が感染しやすいとか?
568:192.168.0.774
09/05/18 03:35:42 yKeLT0rF0
>>561
ティアラモードと株式会社まどかももう試してるだろうな
どうにも引っかからない環境にいるようにしか見えない
後は同人サイト巡りしかないわー
569:192.168.0.774
09/05/18 03:36:13 uebw+uxF0
>>564-565
おまえら……
ま、同人板には関わらないのが正解ってことだ。
570:192.168.0.774
09/05/18 03:37:43 gtQ58YdFO
外出もままならない、ネットもできない今、やることはポケモンしかねえ…
571:192.168.0.774
09/05/18 03:38:11 bnpUDzMr0
今日はウイルスの恐ろしさとストーカーの恐ろしさを知ることが出来た
572:192.168.0.774
09/05/18 03:38:39 6Sa4e4kP0
>>556
ちょっとググってみます
>>557
そういやリボンマジックじゃ
IP変えてないからちょっと試してみます
>>563
今のところsqlsodbc.chmのサイズは変化なし
再起動後も通常起動確認
>>567
ありがと
>>568
その二つはまだ踏んでないです・・・
今から踏んできます
573:192.168.0.774
09/05/18 03:40:03 SGBG03gk0
>>572
レジストリの確認はした?
574:192.168.0.774
09/05/18 03:40:25 XWeKEH7q0
>>545
ちょっと説明が不十分なので修正
× ・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
○ ・ロケーションバーにmartuz.cnを打ち込んでアクセスするのではなく、感染サイトからアクセスする。リファラを切っている場合は有効にする
>>561
となるとやはりredearとflashのバージョンかな。
reader 8.1.2、flash 9.0.115以下あたりではどうだろう。
575:192.168.0.774
09/05/18 03:41:55 O4S1nyz60
豚インフルとgenoウイルスの発見が同時期くらい
豚インフルの国内初感染者確認と同人板の感染者騒ぎがほぼ同時
あっちもこっちも絶妙なタイミングで大変だな
576:192.168.0.774
09/05/18 03:43:26 x3CeUoiK0
まさかGENOウイルスなんてなかった、なんてことはないよな?
577:192.168.0.774
09/05/18 03:45:41 gtQ58YdFO
>>576
それは一体どういうことだ?
578: ◆f/iQdjPxCM
09/05/18 03:46:55 76hdi/6T0
cmd.exe や regedt32.exe/regedit.exe の起動というのはほぼ当てになるまいし、
sqlsodbc.chm は環境問題もあるので、
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
の方から調べてみるのを初心者向けに試作してみた。
問題はこれ自体が「不審なEXEファイル」なことだねぇ……。
俺が言うのもなんだけど、一般の人は少なくとも、
玄人が仮想環境等を使って害が無さそうなことを確認してくれるまでは、
手を出さないこと推奨、かね。
想定ターゲットは win2k/xp(32bit).
俺以外の手で改竄された場合の検出用データ:
SIZE (GENOdetect.exe) = 6144
MD5 (GENOdetect.exe) = e33cbb5bd8604ca1c0f21d3d1f7482c1
SHA1 (GENOdetect.exe) = 137e15aa7d31a6d9337119eb5d8ad42575088192
SHA256 (GENOdetect.exe) = 38df6e4666e92dfbe414b5bf8bac9f91cff1ec9fc02058eabf76221845f10b86
SHA512 (GENOdetect.exe) = b45ae8d3e6221956207e1de461f681d0e53f68a2cff516c0eab7aa089a40a1fb4be8763db00bc3b2f5da52dd4a1fed3485c8584894d735810a38a04349949e0e
URLリンク(www1.axfc.net)
DLkey: testGENOdetect
579:192.168.0.774
09/05/18 03:48:56 x3CeUoiK0
>>577
そのまんまの意味。
何か普通のウイルスの広がり方と違う気がする。
検証実験も妙に少ないし。
580:192.168.0.774
09/05/18 03:52:06 6Sa4e4kP0
>>573
中身までは確認してないけど
起動はするみたいです
>>574
現在のヴァージョンは
reader 8.1.2
flash player 9.0.159.0
ですね
flash playerをもっとダウングレードしてみます
それととりあえずティアラモードと株式会社まどかを
踏んでみたけど感染症状なし
>>578
ちょっと試してみます
581:192.168.0.774
09/05/18 03:54:51 PGXf1oVHO
でっち上げかもね
582:192.168.0.774
09/05/18 03:55:50 SGBG03gk0
>>580
なかみのほう
auxのだけど>>578さんのできっとおkだね
583:192.168.0.774
09/05/18 03:57:20 VzSgGubRO
これ、感性の可能性あるのはWindowsのみ?
マックは平気なのかな?
584:192.168.0.774
09/05/18 03:58:27 6Sa4e4kP0
>>578>>582
試してみた
URLリンク(www.dotup.org)
やっぱり無事?なのかな?
585:192.168.0.774
09/05/18 04:00:07 e2dzUe840
自分のPCが感染してるかどうか
確実に確認できるウイルスチェッカー教えてください
586:192.168.0.774
09/05/18 04:00:41 gtQ58YdFO
>>579
確かに感染の波は少し変わってるが、存在そのものを否定するのは難しいぞ。
現に俺のパソコン感染したからな。まとめwikiに記載されてた症状と一致しまくった。
だがウイルスという名義で別の目的の用途をなしていたとしたら…それもそれで考えは広がるが。
(個人的な想像、もしもまとめwikiそのものがウイルスでっちあげ&発祥源だったらカオス)
587:192.168.0.774
09/05/18 04:00:41 PGXf1oVHO
一応聞かせて、ケータイでPCブラウザ見ても感染しないよね?
588:192.168.0.774
09/05/18 04:03:45 gtQ58YdFO
>>578
それはわからん。ただ携帯のフルブラウザで開くと感染の疑いがあるらしい。ただの携帯のインターネットなら問題ないが、PCページはどうかは不明だな。
調べても情報が入り混じっていて自分で確かめるしか確かな情報は得られないと思う…。
589:192.168.0.774
09/05/18 04:04:49 x3CeUoiK0
>>586
まぁさすがに何もないってことはないかw
ただちょっと作為を感じるよね。しばらく経過を見守るしかないか。
590:192.168.0.774
09/05/18 04:06:23 yKeLT0rF0
>>587-588
無い無い
ウイルス貰う事ができてもウイルスが動ける場所が携帯にはない。
PCように設計されてるウイルスだから、PCのシステムファイルがないと
役立たずだよ。MACやゲーム類もそうだよ。
携帯でブラウザ見れても、Windows専用ゲームとかはできないだろ
591:192.168.0.774
09/05/18 04:08:31 e2dzUe840
>>578
うちのXPが今のところ
sqlsodbc.chm → 1323バイト
regedit → 起動できず
cmd → 問題なし
タスクマネージャのsvchost → 問題なし
なんだけど、そっちのツールだと
「みつからなかったけど油断しないで下さい」だった。
これはどうなの?
592:192.168.0.774
09/05/18 04:09:17 yKeLT0rF0
>>591
アウト
593:192.168.0.774
09/05/18 04:09:24 gtQ58YdFO
>>589
作為…ちょっと同意。
ああ、様子見して鎮静化を待つのがいいな。だが鎮静化せずに余計騒ぎがあがったら大変だろうなw
594:192.168.0.774
09/05/18 04:10:43 e2dzUe840
>>592
うるさいうるさいうるさい
595:192.168.0.774
09/05/18 04:11:15 PGXf1oVHO
>>588
(;゚Д゚)
やっぱりフルブラウザは感染する可能性も無いと言えないんだね
フルじゃなければ良いのかな…
てかケータイの場合、感染したらどういった影響を及ぼすのか解らない…
だれか情報見つけたら教えてくださいませー(-人-)
自分で確かめるのは怖くて
596:192.168.0.774
09/05/18 04:11:39 JmCcr4Q60
>>591
sqlsodbc.chmダブルクリックしてもヘルプ開かないだろ?
ご愁傷様です。OS再インストールガンバレ
597:192.168.0.774
09/05/18 04:11:45 gtQ58YdFO
>>590
そうか、ありがとう。
じゃあ携帯での調べは安全にできるってことだな。
598:192.168.0.774
09/05/18 04:13:26 gtQ58YdFO
>>595
>>590
大丈夫みたいだぞ
599:192.168.0.774
09/05/18 04:13:28 RvJr4U680
最新のウィルスが来たんだって?
テンプレを読んでも分かりにくい・・・
できれば画像か動画はないか?
600:192.168.0.774
09/05/18 04:13:42 PGXf1oVHO
>>590
そうなんですか
安心した。
ケータイで同人サイトを経営してる自分は勝ち組ですな!
601:192.168.0.774
09/05/18 04:13:47 wsKEiiw60
少なくとも、SymantecやKasperskyよりは仕事してるようだが、『 ファイルを無断で削除 』してくれた
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)
一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→ URLリンク(onecare.live.com)
>>424より
>>591試す価値あるかもあくまで自己責任で
602:192.168.0.774
09/05/18 04:15:42 RX899dBK0
>>591
martuz.cnから落ちてきた検体踏んだら同じ症状で
「みつからなかったけど油断しないで下さい」だった
アウト
603:192.168.0.774
09/05/18 04:16:37 gtQ58YdFO
初期化後のデスクトップの何もなさははんぱなさすぎて感動するぜ、ファイト
604:192.168.0.774
09/05/18 04:22:28 mLA05Iwx0
今ウィンドウズモバイル搭載のスマートフォンで成美堂のURL踏んできた
イーモバイルのS21HT
IEとオペラでアクセスしたんだが別に動作が重たくなったりする訳でもなく大丈夫っぽいわ
携帯に感染しないのは分かってたが、ウィンドウズモバイルだとどうか分からなかったのでとりあえず人柱報告。
だからといって他の携帯が全て感染しないとは言い切れないのでその辺は自己責任な
605:192.168.0.774
09/05/18 04:28:01 MnmraP/O0
誤って成美堂のトコ踏んじゃったんだけど
sqlsodbc.chmは50.727でregeditとcmdも
起動したから問題無いかな?マジで不安だ……
606:192.168.0.774
09/05/18 04:28:48 dmXVT3NS0
>>604
俺も踏んできたわ
機種はウィルコムのW-ZERO3[es]
こっちも特に怪しい挙動はないな
いまんとこウィンドウズモバイルは大丈夫っぽい?かな?
607:574
09/05/18 04:31:54 x0S5Vdnh0
一応こっちでも回線をつなぎ変えて踏んでみたが、pdf、swfが落ちてこない。
串を通して踏んだら落ちてきた。
どうもうちのISPの一部または全部がmartuz.cnに焼かれているようだ。
他にも検体が落ちてこない人はISPごと焼かれているのかもしれない。
608:192.168.0.774
09/05/18 04:32:46 e2dzUe840
>>596
ダブルクリック・・・、してみた。
ちくしょーヘルプひらかねえわ。
609:192.168.0.774
09/05/18 04:32:47 RvJr4U680
結局画像か動画で取れたやついないの?
これじゃあ、どんな危険なのか良く分からん
俺が調べたところでは
・情報が盗まれる可能性があり
・つかまったらインスコ以外脱出不可 PCの中身があぽーん行き
・対処しようとしても勝手にメモリが食ってブルースクリーンにされる
という感じだな
610:192.168.0.774
09/05/18 04:34:20 e2dzUe840
>>601
こうなったらなんでもやらせてもらう
毒を食らわば皿まで
611:192.168.0.774
09/05/18 04:37:37 JmCcr4Q60
>>609
動画取ってどーすんだ?ブラクラじゃあるめーし目で見て判るようなウィルスだったら誰も苦労しねーよw
612:192.168.0.774
09/05/18 04:41:13 gb9ZDt5LO
>>591
どうみても完全に妖精です。
ヘルプファイルは46KB(英語)か50KB(日本語)以外アウト
加えてレジストリエディタ起動不能
コマンドプロンプト起動で重症化するかも
さっさとバックアップ取って再インストールしろ
613:192.168.0.774
09/05/18 04:44:22 V/AoiShOO
FC2ブログは感染しないよね?
それだけ教えて
614:192.168.0.774
09/05/18 04:44:24 k2CI1leb0
>>607
同じIPからの接続の場合、一定時間スリープするらしい。
時間を置かないと検体が拾えない。
で、>>578見てて思ったんだけど、Adobeの脆弱性がある環境なら、
ウィルス側がVistaを除外する必要ないよな。
HKLMの改変やProgram FilesやWindows以下のフォルダをいじると
UACが発動しちゃうけど、Users以下のフォルダに実体を置いて、
HKCU以下のレジストリ(\Software\Microsoft\Windows\CurrentVersion\Run)とか
なら発動しないでしょ。Adobe Updaterあたりに偽装したアプリでも仕込んで
おけばその後ユーザーにUAC昇格ダイアログでボタンを押させることも
できちゃうだろうし。
615:192.168.0.774
09/05/18 04:44:50 e2dzUe840
>>612
多分ダメなのは薄々わかってる
データのバックアップとるエリアがなくて悩んでんのよ
メーラのスパムブロックとかの設定もふくめたら
一日じゃとても終わらん
616:192.168.0.774
09/05/18 04:46:47 RvJr4U680
>>611
いや、メモリが異常なくらいは誰でも分かりそうな気がするんだがな・・・
ガジェットを使えばメモリーはデスクトップで見れるし
617:192.168.0.774
09/05/18 04:49:09 gb9ZDt5LO
>>615
落とすとBSODで再起不能になるかもしれないから電源オプションから電源切れないように設定して、
電気屋開くのを待って外付けHDDでも買ってこい
618:192.168.0.774
09/05/18 04:49:15 uebw+uxF0
>>608
完全にアウトだな。
素直に再インスコしとき。
619:192.168.0.774
09/05/18 04:51:19 Zugt4NPJO
今言われてるレジストリに残る形跡って具体的にどんなのなんだ
件のchmファイルは正常動作してるけど…
620:192.168.0.774
09/05/18 04:51:40 c4TnzPSv0
>>604
>>606
おお、人柱感謝。
ZERO3es持ちで、念のためOperaのJavaスクは無効にしておいたけど
その件すごく気になってたからすごく助かる。
621:192.168.0.774
09/05/18 04:52:08 /4TBD5OI0
>>615には不謹慎な質問だけど
感染したサイトがわかるなら教えてくれないか?
622:192.168.0.774
09/05/18 04:52:41 JmCcr4Q60
>>615
書き込みは別PCor携帯か?まさかと思うが感染濃厚なPCで書き込みしてねーだろうな?
もしそうならさっさとLANひっこ抜いてバックアップどうすっか考えろ
623:192.168.0.774
09/05/18 04:52:51 DIbDMt2D0
>>615
完全にアウト
自分も感染してリカバリ組だけど>>591の症状とほぼ一致というか
regeditも起動してアンチウイルスサイト関連にも繋がったけどやられてた
重症化する前にあきらめて対策とった方がいいよ、頑張れ
バックアップも感染してるの残さないように慎重にな
624:192.168.0.774
09/05/18 04:52:53 iUubSaQo0
とりあえずシステムの復元で問題なく使えているが
大事なID・パスワード入力はキーログされない
ソフトウエアキーボード入力にするわ
↓
URLリンク(www.vector.co.jp)
625:192.168.0.774
09/05/18 04:54:03 e2dzUe840
>>617
実は再起動はもう何回もやってたりしてる
最初はregeditできてたが再起動したらできなくなったけど
626:574
09/05/18 04:56:11 x0S5Vdnh0
>>614
>同じIPからの接続の場合、一定時間スリープするらしい。
その問題を回避するためにルータ再起動してIPを変えてみたんだが、
相変わらず検体は落ちてこない。
たぶんISPごと焼かれてるんだと思う。
もしかするとこれも時間が経てば落ちてくるようになるのかもしれないけど。
627:192.168.0.774
09/05/18 04:56:40 RvJr4U680
本当にGENOウイルスは世界最強だな
対処法はなし ウィルスセキュリティで検索しても引っかかりにくい つかまったらインスコしかなくPC中身はあぽーんされる
もう、各機関に通報されてもいいレベルだな と言っても既に見つかって対処法を考えてるだろうな
628:192.168.0.774
09/05/18 04:57:09 uebw+uxF0
かかりたい人間には、なかなかかからない。
インフルエンザにかかって学校を休みたい学生の気分だな
629:192.168.0.774
09/05/18 04:57:56 PGXf1oVHO
ケータイからなんだけど
感染してそうな同人サイトみつけた
30分前にアクセスした同人サイトの日記にGENOウイルスについての記事書いてあって
今もう一度そのサイト開いたらページが表示できなかった
630:192.168.0.774
09/05/18 04:58:54 /4TBD5OI0
>>628
まさにその通りだ
俺はこんなにも感染したいというのに!
631:192.168.0.774
09/05/18 04:59:14 JmCcr4Q60
>>624
ポインタクリックした時点のポインタ周辺の画像転送してID、PASS抜きってものあるので
ソフトウェアキーボードでも確実に安全っつー訳じゃないからなぁ…
主にネトゲのPASS抜きトロイで使われる手法だけどね
632:192.168.0.774
09/05/18 05:00:38 e2dzUe840
>>623
そうなのか、ありがとう。
こうなったらハードディスク増設するか安いし。
でもうちPCまだIDEだしな、うーん。
633:192.168.0.774
09/05/18 05:01:01 4oFiJRbxO
ジャバスクリプトとアクティブコントロール切ればie
634:192.168.0.774
09/05/18 05:02:26 PGXf1oVHO
>>629
あ、ゴメン
一時的な物だった;
なかなかないなー
635:192.168.0.774
09/05/18 05:04:12 uebw+uxF0
>>632
IDE→SATAの変換コネクタをかってきたらどうだ?
これとかいいよ。
SATA+IDE HDD つなが~るKIT USB light
URLリンク(www.novac.co.jp)
636:192.168.0.774
09/05/18 05:05:38 k2CI1leb0
>>624
キーロギングじゃなくてネットワークトラフィックを監視しているっぽいよ。
だから平文パスワードが流れるftpは思いっきりぶっこ抜かれるんじゃないかと。
>>626
そっか。それはすまんかった。
スリープするのは単一IPじゃなくてIP範囲なのかもしれないね。
ADSL再接続してIP変えても落ちてこないことは確かにある。
637:192.168.0.774
09/05/18 05:05:41 iUubSaQo0
>>631
今回のGENOはスクリーンショット撮ってないでしょ?
あとスクショはクリップボード転送禁止にすれば簡単に対策出来るんじゃない?
638:192.168.0.774
09/05/18 05:06:57 PGXf1oVHO
腐向け同人サイトを
ひたすら巡るしかないかなー
まとめに載ってるジャンルを。
コミケに応募したサイトとか、感染してるかも…
それかはネットでアンソロジー売ってるサイトとか
予想だけど
639:192.168.0.774
09/05/18 05:07:28 4oFiJRbxO
書きかけで送信しちまった。
ジャバスクリプトとアクティブコントロール切ればieやスレイプニルでも予防可能?
640:192.168.0.774
09/05/18 05:08:39 iUubSaQo0
>>636
それじゃ駄目か・・・
ルーターでftpポート禁止にしてるけど
通信しようとした記録があったわ
641:192.168.0.774
09/05/18 05:08:48 uebw+uxF0
>>638
パソコンの前に、君の脳みそが感染しそうで俺は心配です。
642:192.168.0.774
09/05/18 05:09:38 EAK2OqaQ0
ググるのは危険、と書いてあるからみんな情報収集しない…巧みだ…
643: ◆f/iQdjPxCM
09/05/18 05:10:41 76hdi/6T0
>>578
うっかり見逃してた故のミスを修正。
URLリンク(www1.axfc.net)
DLkey: testGENOdetect
SIZE (GENOdetect.exe) = 6144
MD5 (GENOdetect.exe) = 47d194576a07a7b5a8afd330b8686264
SHA1 (GENOdetect.exe) = 99e9925bdc0213dd3e39b081d558a2620a4d53f0
SHA256 (GENOdetect.exe) = 32d960ec159f56acd2bbe543d2d92010beb3cd8eb8ca55ff47e8524389749d08
SHA512 (GENOdetect.exe) = 6a5e9bca88d4a3abd8bead6c4493ae76d1e44248cd9c4d809c6edbe2ed01576f59bb39146d4a4510cae0de054ee9dc7add7712f64e853091e9ee84f9618165c4
644:192.168.0.774
09/05/18 05:10:57 PGXf1oVHO
>>641
何かには感染してるけど
ウイルスじゃないから心配しないで
645:192.168.0.774
09/05/18 05:11:15 e2dzUe840
>>635
おおサンキュー。そんなのあるのか。
急がずにじっくり調べるかな。
でも良く考えたらXPシステム用(Cドライブ)と、
データ用で別ドライブにしてたわ。
クリーンインストールっていっても
Cドライブだけでいいよね?
646:192.168.0.774
09/05/18 05:13:22 PGXf1oVHO
マリーアントア・ネットワーク「ググるのが危険ならヤフれば良いじゃない!!」
647:192.168.0.774
09/05/18 05:14:34 uebw+uxF0
頼むからMSNにだけは感染しないでくれよ。
ホットメールが使えなくなるとかなりきつい。
648:192.168.0.774
09/05/18 05:14:59 RvJr4U680
とりあえず、引っかかった人はすぐに各機関に通報するんだ!
・JCSA(日本コンピュータセキュリティ協会) URLリンク(www.jcsa.or.jp)
・情報処理推進機構 URLリンク(www.ipa.go.jp)
・警察 URLリンク(www.npa.go.jp)
649:192.168.0.774
09/05/18 05:19:52 l7w010Wk0
>>639
>>269 もやれば暫くは安全。
ついでに Proxomitron とかで eval\s*\( を void( あたりに書き換えるようにするといい。
650: ◆f/iQdjPxCM
09/05/18 05:19:58 76hdi/6T0
>>591, >>602 辺り
というわけで、ごめんミスがあって見逃してた可能性があるので、
まだ>>601等での解決をしていないようなら
>>643 で再度試してもらえますか?
まぁ、あいかわらず試作なんで、
検出されなかったからといって居ないとは限らないということでお願いします。
651:192.168.0.774
09/05/18 05:24:28 k2CI1leb0
>>649
>>639
>>269は例によってスペルミスがあるよ。
gumlar.cnじゃなくてgumblar.cnね。
652:GENO
09/05/18 05:27:08 c4TnzPSv0
>>878
人柱乙。ありがとう。
こういう情報は個人的にも助かるよ。
653:192.168.0.774
09/05/18 05:28:12 pcZYKxEF0
これは
654:652
09/05/18 05:31:14 c4TnzPSv0
スマン完全に誤爆だorz
655:192.168.0.774
09/05/18 05:31:22 2ybyztFx0
勇気あるな、>>638。俺なんかはもう、同人関連と関わりたくないわ。
セキュ板乗り込んで暴れ、質問に対して説明してやりゃ何故か逆切れ起こして掻き回す。
同人の板ではどうなってるかと思って見てみりゃ、私怨だか晒しだかウイルス防止よりジャンル?大事だとか言って、協力する気ゼロ。
それでいて、被害妄想だけは人一倍。
なんなんだ、あれは。
656:192.168.0.774
09/05/18 05:33:18 tFgIi2z+0
何だかんだ言って、拡散防止に勤める気は皆無なんだもなぁ同人は
URL踏むのが怖いからどうのこうのって、単にURLにスペース入れるなりサイト名だけにするなりすれば良いのにさ
657:604
09/05/18 05:37:22 mLA05Iwx0
今気付いた事だけど、ウィンドウズモバイルだから感染しないって訳じゃないと思うから、怪しいサイトをスマートフォン等で踏んだら母艦PCと同期しない方が良いと思う。
人柱報告をここのスレと同人、VIPにマルチで書いたけどセキュリティ板には書かなかった・・・
やっぱ書いたほうがいいかな?
658:591
09/05/18 05:38:18 e2dzUe840
>>650
さっそくやってみたけど結果は変わらなかった。
「みつけられなかったけど油断しないでください」
うちのXPは感染濃厚だけど
昼間仕事なんで今日の夜までは再インスコできないから
試作のVer.UPするならやってみるよ
659:192.168.0.774
09/05/18 05:39:18 uebw+uxF0
>>657
同人に書いて貴重な情報を流されるくらいなら、こっちに書いてもらうとありがたい。
情報をまとめることもできるし。
660:192.168.0.774
09/05/18 05:41:30 xKJ07MeN0
>>657
VIPってまともに機能してんの?
661:604
09/05/18 05:43:18 mLA05Iwx0
>>659
自分が出来ることはスマートフォンでの検証しかないけど、できる限り色んなとこ回ってみるわ
逐一報告します
662:192.168.0.774
09/05/18 05:44:04 FWzOpsLD0
>>650
変わらなかったです。踏んでみたのはこれ
URLリンク(anubis.iseclab.org)
663:192.168.0.774
09/05/18 05:45:47 PGXf1oVHO
>>655
もちろん怖いからケータイで探すよ
感染してるサイトがあれば他のサイトと比較して違いが出るかもしれないしー
あとはサイトとかで拍手レスや日記を見て
更新が途絶えてるサイトが怪しいかなーとかね
夏コミが近くなると、そういうのを毎日更新するサイトが結構あるんだなー
駄目かな、こんな捜索の仕方じゃ。
664:192.168.0.774
09/05/18 05:46:27 k2CI1leb0
とうとうPHPにbase64エンコードしてincludeするようになってしまったのか。
これは面倒だな。
665:192.168.0.774
09/05/18 05:46:35 /bqCRjF50
>>604
乙です。
検証よろしくお願いします。
666:192.168.0.774
09/05/18 05:46:43 FWzOpsLD0
:zC
dEl "C:\test\sample.exe"
iF EXIst "C:\test\sample.exe" goTO zC
dEL "C:\DOCUME~1\User\LOCALS~1\Temp\\e.bat"
実行したとき作られるe.batの中身はこんな感じ、ファイルを削除してる
667:192.168.0.774
09/05/18 05:46:49 2ybyztFx0
>>657
ありがとう。本当にありがとう。
あと、こちらへも書いて欲しい。お願い出来るかな。
668:192.168.0.774
09/05/18 05:48:24 uebw+uxF0
>>661
ありがとう
669:192.168.0.774
09/05/18 05:55:00 GfBjvcuO0
>>655>656
ハゲドウ、まともなのも少しはいるようだけど基本は保身しか考えてない
サイト名は風評被害ウォチが~で出せないとかアホかと
管理意識が低いのがバレると困るってだけだろ、Adobe更新出来ないサイト持ちも結構いるんじゃねーのw
感染してるサイト名書くだけの事すらしないんだからな。被害拡大なんて体のいいすり替え
670:192.168.0.774
09/05/18 05:55:04 PGXf1oVHO
ところでGoogleは感染してるのかな
671:192.168.0.774
09/05/18 05:57:18 /KUiF8zn0
>>670
してたら新聞載る
672:192.168.0.774
09/05/18 05:58:33 k2CI1leb0
>>670
Googleは感染していないが、Firefoxでページの先読みを有効にしたままだと
検索結果が表示された段階でアンチウィルスが警告を出す場合がある。
673:192.168.0.774
09/05/18 05:58:55 wcAYThWMO
>>670
火狐の先読み機能云々と混同してないか?
674:192.168.0.774
09/05/18 06:00:13 2ybyztFx0
>>669
974 名前:GENO 投稿日:2009/05/18(月) 05:48:53 ID:EASrZNYM0
>>970
今回のウイルスの広がりかたはおかしいし人為的かもとか
そもそも存在してるのか?なんて言われてるくらいよく分からないウイルスなのに
サイト晒すのはなあ…
感染した本人がアドレス晒すのは全然構わないと思いますが
いまだに、こんな事言ってるような連中だから。究極の保身体質だ。
感染拡大防止より、自分達の世界の方が大事なんだろ。そんな事では、下手すると自滅するのにね。
675:192.168.0.774
09/05/18 06:01:36 GfBjvcuO0
存在してるのか?にお茶吹いた
676:192.168.0.774
09/05/18 06:02:14 PGXf1oVHO
なるほど、サンクスです。
677:192.168.0.774
09/05/18 06:02:20 4oFiJRbxO
>>649
行の追加てテキストにファイルをドラッグして、
ずら-とならんでる127001~の一番下にコピぺすればいいのか?
678:192.168.0.774
09/05/18 06:03:25 xKJ07MeN0
>>674
もうほっといてやれよ
679:604
09/05/18 06:07:26 mLA05Iwx0
今うこっけいと小林製薬をスマートフォンで見てきた。
IE、オペラ共問題なし
あと感染していると思われるサイトを教えてほしいんだが、ここにURL直貼りじゃなくて、@を「あっと」に変える感じで書き込んでくれるとありがたい。
(直貼りすると踏む人が出て被害拡大するため)
とりあえず5つくらいサイト回って検証を終わりにしたいと思うので協力お願いします。
ちなみに携帯スペックは
イーモバイル
S21HT (HTC製)
ウィンドウズモバイル6.1
IEモバイルとオペラミニ9.5でトップページのみ踏む
ブラウザのオプションはデフォ
680:192.168.0.774
09/05/18 06:08:44 tFgIi2z+0
URIにアットマークは無いぞww
http://抜きで良いんじゃないかな
hだけ抜くと専ブラとかが補完してしまう
681:192.168.0.774
09/05/18 06:11:03 2ybyztFx0
>>679
@抜きってか、http://抜きって事じゃないかな?
682:192.168.0.774
09/05/18 06:11:07 PGXf1oVHO
>>679
解りやしたー
こういう時に携帯やiフォンは便利だよねw
683:192.168.0.774
09/05/18 06:11:49 f1LWJiL00
http:// 抜きでもリンクします
wwwを全角では?
684:604
09/05/18 06:13:07 mLA05Iwx0
>>680
送信した後気付いたorz
要は何も考えないでリンク踏んじゃうひとが踏まないようにしてくれればOKです。
って俺の検証って役に立つのか疑問・・・
685:192.168.0.774
09/05/18 06:13:42 uebw+uxF0
. を、どっと と平仮名でかけばいいんじゃないか?
686:192.168.0.774
09/05/18 06:19:13 5ta7ziYM0
.を。にするとかで対応すればいいと思う
www以降でも専ブラだとリンクしちゃうし
687:192.168.0.774
09/05/18 06:20:00 JmCcr4Q60
URLはピリオドを■辺りに変換して貼り付けるのが安全かねぇ?
とりあえず補完されにくい文字に置き換え推奨っつーことで
688:192.168.0.774
09/05/18 06:20:14 tFgIi2z+0
>>683
マジで?失礼しました
スペース挟むなりすれば確実かなぁ
689:192.168.0.774
09/05/18 06:25:16 PGXf1oVHO
GENOウイルスに感染してしまった方々のミクシィ日記
URLリンク(m.mixi.jp)
URLリンク(m.mixi.jp)
690:192.168.0.774
09/05/18 06:26:54 L4YY5vy4O
こうは?
www●ribbonmagic●com
691:604
09/05/18 06:47:20 mLA05Iwx0
>>690
分かればOKです。
ちなみに携帯では大丈夫でした。
そのサイト同人板のGENOスレにリダイレクトURL貼られててPCで踏んじゃったんだけど何故かGoogleに止められてAvast!先生は無反応だったw
火狐で設定そのままだったんだけどマジびびった
692:192.168.0.774
09/05/18 06:47:48 AnkkIdnX0
また落ちてくるexeのハッシュ値変わった
693:192.168.0.774
09/05/18 07:01:57 l7w010Wk0
>>691
今の所は大丈夫っぽい。
怪しい記述は見つからないな。
URLリンク(www.dan.co.uk)
694:192.168.0.774
09/05/18 07:12:50 mLA05Iwx0
GENOスレ巡回してたら朝になってた。。。
というわけでしばらく仮眠とります。
検証は起きてからやります
695:192.168.0.774
09/05/18 07:13:58 I1cI3dKE0
悪徳商法マニアックスのサイトもやばい
696:192.168.0.774
09/05/18 07:14:54 zJTySDnN0
>>694
乙むりすんな
697:192.168.0.774
09/05/18 07:18:00 4ySopLDi0
>>691 グーグル先生は何か警告出るしな。ヤフー先生はどうかな
698: ◆f/iQdjPxCM
09/05/18 07:19:14 76hdi/6T0
>>658, >>662
さんくす。
混乱を抑えるため、とりあえず 643 も消しました。
ふーむ。アプローチ自体が間違ってるのかなぁ。。。
暇なら
URLリンク(www1.axfc.net)
DLkey: testGENOdetect
SIZE (GENOenvinfo.exe) = 6656
MD5 (GENOenvinfo.exe) = c5f0ebdb0d694b071b24837833cc89ce
SHA1 (GENOenvinfo.exe) = 37d5a0fb446987977fecf2e67d317706523383b6
SHA256 (GENOenvinfo.exe) = eef0a50477b08410e4f124445fd9820bac470ab8f57247bf1009105f07d74854
SHA512 (GENOenvinfo.exe) = 235d80f1847962dddaa0f56237d97cd089be571f94b9e310c599350146b3ddec6258adf9457f4f5b70c20d0c3ef6053b0fdc720e66e701792b85812bb4400f5c
で作成される GENOenvinfo_log.txt を
(内容に個人情報等の公開してはまずい内容が含まれていないことを確認した上で)
教えてくれるとうれしいです。
699:192.168.0.774
09/05/18 07:24:45 ++caYdHRO
>>693
携帯からなんだが
怪しい記載があるように
みえるんだが
っおれはサイトをこれで改竄された被害経験者なのです。
700:192.168.0.774
09/05/18 07:28:20 qoS+NLbF0
>>698
URLリンク(www1.axfc.net)
どぞー
701:192.168.0.774
09/05/18 07:29:06 oK6yyyPI0
コメントアウトされてるから大丈夫だと思うけど気持ち悪いなw
コードには反応するかも
702:192.168.0.774
09/05/18 07:31:37 xiraJ4z90
avast!でスキャンしたら一個検出した
googleでukokkei.co.jpを検索した時の火狐のキャッシュらしい
703:192.168.0.774
09/05/18 07:32:23 k2CI1leb0
>>699
</HEAD>の直後にいるね。なんで残してるんだか。
704:192.168.0.774
09/05/18 07:34:42 4ySopLDi0
>>702 ”ukokkei.co.jp”でググったら俺もavast反応した。キャッシュだったけど。消したほうがいいな
705:192.168.0.774
09/05/18 07:36:05 zpCoVVcL0
>>663
PCの同人サイトは携帯ごと弾いてるところも少なくないと思う
名前が上がってる流行ジャンルのサーチからというのが
効率悪いようでいて一番早いかも知れない
706: ◆f/iQdjPxCM
09/05/18 07:36:39 76hdi/6T0
>>700
さんくす。受け取りましたー。
そして、理解。修正検討しますー。
707:192.168.0.774
09/05/18 07:38:06 +SS0hjWTO
初音ミクとかボーカロイドの同人が物凄い数感染してるっていうのは?
708:192.168.0.774
09/05/18 07:40:45 /4TBD5OI0
>>702
取り合えず無防備アタックしてみた
開いてるあいだCPU使用率が100%になった
けどC:\WINDOWS\system32\sqlsodbc.chmのファイルサイズに
変更は無いからGENOではないみたいだな
709:192.168.0.774
09/05/18 07:52:36 4ySopLDi0
なぁavast!が反応するならもし踏んでもチェストにいれて削除できるんじゃないの
710:192.168.0.774
09/05/18 07:56:48 l7w010Wk0
>>699
うん、俺にも見える…。
勘違いなのか、あの時点で本当に無かったのか、俺には判んないや。
711:192.168.0.774
09/05/18 08:08:11 yKeLT0rF0
おはよう
今度はレポートの人とは別でスレで感染サイト探し?
で検体集め?
ちと3行くらいでまとめてくれ。サイト探しとかなら協力できるかも
712:192.168.0.774
09/05/18 08:10:11 KPrwLMxK0
同人板の住人です。
沢山ご迷惑おかけしてもうしわけございません。
なんのお役にもたてませんが、同人サイトが多数登録
されている個人サーチというものがございます。
そこを探せば同人サイトが沢山みつかります。
複数のサーチを探すには、サーチエンジンのリンク集という
総合サーチを探せば便利です。
これくらいしか情報提供できません。
お役にたてなくて申し訳ございませんでした。
713:192.168.0.774
09/05/18 08:13:16 OsK02Ge20
>>712
適当にスレつくってURLリストを放り込んでくれ
機械的にサーチするのにも手動でシコシコやってたんじゃ、感染のペースに間に合わんぞ。
714:192.168.0.774
09/05/18 08:19:01 OFNjMzot0
2chに個人サイトのURLが残るのが嫌なら
ALINKとかの自動リンク集でも借りて感染サイト登録、対処されたら削除で駄目なのかね
URLリンク(alink.uic.to)
715:192.168.0.774
09/05/18 08:19:46 4oFiJRbxO
このウイルスって携帯はセーフだそうだが、360とか、PSP、PS3は?アウト?セーフ?