08/12/26 04:41:45
NOD32インストールしようとしても
ネットワーク上の場所 ESET\ESET NOD32 Antivirus へアクセスできません
と出てインストールができない・・・orz
どなたか助けていただけませんか、OSはXPです。
645:名無しさん@お腹いっぱい。
08/12/26 04:43:44
>>637 です
結局NOD32での検出は0でした
その前にタスクマネージャのプロセスでf~ってファイルを消したのが原因でしょうかね・・?
今One Careの方やってるんですが1%で5個の項目で2個の問題が検出されました
長引きそうなのでこちらは放置して寝ます…。
ありがとうございました
646:名無しさん@お腹いっぱい。
08/12/26 04:44:57
>>644
スレの流れ通り
NODやめてOneCare使えば?
647:名無しさん@お腹いっぱい。
08/12/26 04:45:54
>>646
すいません、来てすぐ書き込んだのでまったくスレ読んでませんでした
OneCare使うことにします!ありがとうございました
648:名無しさん@お腹いっぱい。
08/12/26 04:52:59
>>645
念のためimgs.exeも検索しといたら?
感染した友達がPCつかなくなったらしい
対処ソフトDLしようとしたら動く気配なく焦ってキャンセルおしたら
今度はキャンセルしてもだめで電源強制で落としちゃったみたい
何度起動させても画面真っ暗だとさ
これはもう手遅れ・・か?
649:名無しさん@お腹いっぱい。
08/12/26 04:59:28
>>648
俺の友達も感染して強制終了かかって
電源入れてもつかないらしい
俺がかかった時も
MSNメッセンジャーで1分おきくらいに
次々と新しいウイルスが送り込まれてきたから・・・
パターンを変化させて増えていくのかな?
650:名無しさん@お腹いっぱい。
08/12/26 05:01:28
>>648 さん
>>645 です
imgs.exe の検索とはマイコンピュータを開いた時の
上のバーでの検索でいいのですか?
651:名無しさん@お腹いっぱい。
08/12/26 05:04:49
深刻だな
気付いてない人かなり居そう
652:名無しさん@お腹いっぱい。
08/12/26 05:11:47
>>650
>>648です
上のバーの検索でもいいし、スタートメニューの検索でもおkです
653:名無しさん@お腹いっぱい。
08/12/26 05:14:34
>>652 さん
>>650 です
了解しました
検索かけてみます
発見したら消去でいいんですか?
>>651 さん
結構深刻ですよね…
わずか1日でここまでの被害…。
そしてMSNもSkypも常時ログインの人もいるだろうから
今後どうなるか…。
考えるだけでも恐ろしいです
654:名無しさん@お腹いっぱい。
08/12/26 05:21:32
>>652さん
特にimgs.exeはなかったようです
なんと! 終わったはずのESET Smart Securityから
右下に注意?報告?がでました
「プログラムの作動中にウイルスを発見しました。
ファイル命 ((C/Windows/fll)すいません覚えてません…こんな感じでした)
トロイの木馬 隔離しました。」
だそうです
655:名無しさん@お腹いっぱい。
08/12/26 05:26:50
お祭り気分のとこに知り合いからURLきたら深く考えずにクリックしてしまうわ・・
まあ俺は保存して実行しなかったからセーフだったけど
次からは気をつけるし大丈夫だなキリッ
656:名無しさん@お腹いっぱい。
08/12/26 05:43:58
XP/SP2以前のPCの人はOneCare使えないという盲点
657:名無しさん@お腹いっぱい。
08/12/26 05:44:12
送信するURLにも何種類かあるみたいだな
とりあえず確認できたのは下の3つ
foto URLリンク(myspacy.biz)(メルアド)←俺が踏んだのはこれ。自動実行?
foto URLリンク(www.myspacy.biz)(メルアド)
foto URLリンク(hi5.eu.com)(メルアド)
658:名無しさん@お腹いっぱい。
08/12/26 05:44:49
そして元日早々年賀ファイルにひっかかる655であった
659:639
08/12/26 05:45:02
検体上げられる人がいたら
【鑑定目的禁止】検出可否報告スレ8
スレリンク(sec板)
にあげといてくれないかな。
660:639
08/12/26 05:47:56
>>657
おk
検体スレにもうでてるわ。
ちなみにAVGは対応している。
661:名無しさん@お腹いっぱい。
08/12/26 05:48:27
俺もサンタさんから最凶のクリスマスプレゼントをもらったんだぜ…
とりあえず、過去レスみてNOD32で検査して、imgs.exeとviewimage.com(だっけな?)
を駆除したんだが、これで大丈夫なんだろうか?何か埋もれていたりして・・・
今のところ、Liveメッセは自動で開かないようにしてるが、他に気をつけるところあるかな?
少々不安だぜ…。目立って不具合らしき不具合が出なかったのがよかったかな。。
662:661
08/12/26 05:51:18
ちなみにOSはVistaです。念のため、OneCareもやっといた方がいいでしょうか?
663:名無しさん@お腹いっぱい。
08/12/26 05:52:55
>>660
avastも対応したっぽい?
664:名無しさん@お腹いっぱい。
08/12/26 05:56:32
>>659
ノートンとマカフィーはおk。
今スキャンしたところの結果。
URLリンク(www.virustotal.com)
大体の大手は問題ない、ウイルスバスター使っている人は乙としかいえないが……
665:639
08/12/26 05:56:51
>>663
>>636だそうだ。
おれはAVGだけしかわからん。
666:名無しさん@お腹いっぱい。
08/12/26 06:04:15
素通りバスターやその他はアンインストールするより先に
オンラインスキャン版OneCare走らせたほうがいいな
667:639
08/12/26 06:07:09
>>664
乙です
668:名無しさん@お腹いっぱい。
08/12/26 06:07:10
前使ったことあったけどブラクラメールがふつうに送れることに気づいて速攻消した
669:名無しさん@お腹いっぱい。
08/12/26 06:09:26
昨日の夜中に友達から謎のメッセージを受け取り、
そこに添付されたURLをクリックしたんだけど
しばらく経ってからPCの調子が明らかにおかしくなっていった。
特に他のページに移動する時なんか読み込みが遅くなってたから
「これは何かあるな…」と思って調べるとウィルスだったというね…
ググって色んなサイト見てNOD32っていうのをインストールして
今に至るんだけど、検査するのにエラい時間かかるなぁ。
朝6時の時点で65%だから下手すればあと2時間は要するかな?
途中で中断させても大丈夫なら電源切りたいぜ。
ちなみに5つの脅威が検出された模様。
トロイの木馬は2つほど検出されたみたいです。
670:名無しさん@お腹いっぱい。
08/12/26 06:14:06
つかこれ添付ファイルを開く仕組みに脆弱性があるわけでなしに
ユーザに欠陥があるんじゃ
671:名無し~3.EXE
08/12/26 06:14:18
実践したのこっちにも、参考になるかわからんけど書いてみる
マカフィー入ってたけど、リンク踏んでスルーで感染した
その後ほぼ5分おきにトロイの削除祭り…
スキャンしてもなんも出ない。
fxstaller.exeってのがスタートに登録される→されない場合もあり
レジストリを起動してスタートアップ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center:fxstaller.exeを削除
その後OSをインストールしているドライブで
fxstaller.exeを検索(隠しファイルを表示にチェック)
とりあえず削除
次、imgs.exeの削除。
タスクマネージャーのプロセスにあるっていうけど無かった
でもファイル検索で発見して削除
この二つ絶対あるっぽい→これでマカフィーの削除祭り止まった。
書いてあったNOD32のアンチウィルス体験版使ってみたけど㍉
Win32/IRCBot.AKXtを2つ削除して終了
その後OneCareオンラインスキャン今かけてるけどザクザク出てくる。
OneCare終われば大丈夫とは言えないけど、マカフィーよりまし
マカフィーはスキャンしても相変わらず「中には誰も居ませんよ?」と
ふざけたことしか言いやがらない… 使えん。
バスターとかノートン先生の方はよくわからん。
あと、カスペはだめだった。スキャン済み;;
672:名無しさん@お腹いっぱい。
08/12/26 06:16:23
クリスマスの誘惑って奴よ・・・
みんな寂しかったんだよ
673:名無しさん@お腹いっぱい。
08/12/26 06:23:50
URLリンク(thiz.ultracoool.com)
自分の所にはコレがきたんだが同じ種類かな。
674:名無しさん@お腹いっぱい。
08/12/26 06:26:15
Windows Udp Control Center:fxstaller.exeがどうしても見つかりません
675:名無し~3.EXE
08/12/26 06:34:47
>>674
まさかとは思うけど一応。
Windowsのスタートメニューから「ファイル名を指定して実行」をクリックして
regedit入力しOKボタン。
HKEY_LOCAL_MACHINEって書いてあるフォルダ探す→開く
SOFTWAREってフォルダ探す→開く
その繰り返しでRunまで辿り着いたら、開いてるところにあるはず。
名前とデータをよく見るんだよ?
676:名無しさん@お腹いっぱい。
08/12/26 06:41:13
その方法だと出てこなかったので、fxstaller.exeで検索してみたら出て来たので削除しました
677:名無し~3.EXE
08/12/26 06:49:33
>>676
削除できたなら良かったっすね。
つか、OneCareスキャンで出てきても、ファイル消しきれないとか
見たんだけど、もうこれどうすりゃいいの?
と、OneCareスキャン中で問題見つかってる最中で呟いてみる
678:名無しさん@お腹いっぱい。
08/12/26 07:07:40
そもそもインストールすらできないぞ
679:名無し~3.EXE
08/12/26 07:55:13
全部削除できた。もう今日は寝る・・・
680:名無しさん@お腹いっぱい。
08/12/26 08:22:34
ノートン対策きた?
681:名無しさん@お腹いっぱい。
08/12/26 08:27:06
>>679
おつかれ つ旦~
俺も終わって有効化できた。一応avast入れなおしてフルスキャン中。
682:名無しさん@お腹いっぱい。
08/12/26 09:07:30
一応AVGでフルスキャン終わったとこなんだが
RunDLL
C:\Windows\System32\vtUlIyVn.dll を読み込み中にエラーが発生しました。
指定されたモジュールが見つかりません。
とか出るんだが、なんなんだこれ
683:名無しさん@お腹いっぱい。
08/12/26 09:28:12
警戒用コピペ
※ウィルス※ Windows Live Messenger で感染!?
スレリンク(sec板)
<危険> foto http:// ~
<危険>
<危険> Instant Messenger ソフトで、IMG455.jpg-www.photo.com トロイの木馬祭開催中
<危険>
<注意> [ ファイル名 ]
<注意> [.com] ← MS-DOS用実行ファイルの拡張子
<危険>
684:名無しさん@お腹いっぱい。
08/12/26 09:43:50
寝たら検査終わってた。
Win32/IRCBot,AGPていうのが検出されて駆除されたみたいだけど
これでもうおkなのかな?
まだ何かやったほうが良い事ってあるんだろうか?
もうPC消したいけど…
685:名無しさん@お腹いっぱい。
08/12/26 10:05:58
感染してるのは間違いなさそうなんだがAVGに引っかからなかったんだがwwww
686:名無しさん@お腹いっぱい。
08/12/26 10:11:07
>>684
うちの場合、NOD32でそれを駆除したけど
動作は軽くなったものの自動更新やらは有効にできないままなので
OneCareスキャンを試してるところ
687:名無しさん@お腹いっぱい。
08/12/26 10:13:59
今回のウイルスは
まず.com拡張子の物(簡単にいうとインストーラの様なもの)を落とさせて
実行すると感染、fxstaller.exeをシステムドライブのどこかに展開や
レジストリの改変を行う
この時点でメッセンジャ等でオンラインの登録されているユーザにurlを送りつける
そしてこのexeがIEの移動挙動を誘発させたりバックドアとなり
バックドアにより、多数のトロイを仕込まれます
まずはLANケーブルを抜き
対応済みのセキュリティソフト類で完全スキャンが妥当だと思われます
これにより実行ファイルとトロイの駆除、そしてレジストリ(これは手動かも)の修正となります
なおトロイに関してはどれが入るかは
どのくらい入っているかは対処の早い遅い、常駐のセキュリティソフト
これによって変わってくると思いますので、まずはLANケーブルを抜いておくことが
自分にも他の人にも一番いい対処になります。
まだすべての会社が対応というわけにはいきませんので、完全な駆除ができるとわかるまでは
熟練者以外はOSの入れ直すことがベストだとおもいます
688:名無しさん@お腹いっぱい。
08/12/26 10:22:20
再起動したらOnecareでトロイが検出された・・・
689:名無しさん@お腹いっぱい。
08/12/26 10:32:16
>>657
落ちてくるファイル自体は同じものだな。
踏む前だとNOD32でブロックできるが、踏んだ後だと、NOD32の起動が阻害されるんだろ。
起動を阻害する対象になってないマイナーなセキュリティソフトで、なおかつ、パターンが対応してる奴を
選んで使えばいいじゃん。
OneCareが大丈夫なんだろ。個人的にはAntiVirがお勧めなんだが、踏んだ後に入れても大丈夫かどうかだな。
しかし、非常に珍しいことに、シマンテックの対応速いな。もう対応しやがった。
いつもなら3日かかっても速いほうだというのに。
URLリンク(www.virustotal.com)
a-squared 4.0.0.73 2008.12.26 Riskware.Win32.CeeInject!IK
AntiVir 7.9.0.45 2008.12.25 Worm/Rbot.100352.2
Avast 4.8.1281.0 2008.12.25 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.25 Dropper.Generic.AEWD
BitDefender 7.2 2008.12.26 MemScan:Backdoor.RBot.YBJ
ClamAV 0.94.1 2008.12.26 Trojan.Rbot-56
GData 19 2008.12.26 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.26 VirTool.Win32.CeeInject
Kaspersky 7.0.0.125 2008.12.26 Trojan.Win32.Agent.azob
McAfee+Artemis 5474 2008.12.24 Generic!Artemis
Microsoft 1.4205 2008.12.26 VirTool:Win32/CeeInject.gen!J
NOD32 3717 2008.12.25 Win32/IRCBot.AKX
Prevx1 V2 2008.12.26 Malicious Software
SecureWeb-Gateway 6.7.6 2008.12.25 Worm.Rbot.100352.2
Sophos 4.37.0 2008.12.25 Troj/IRCBot-ZD
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
Symantec 10 2008.12.26 Trojan.Dropper
690:名無しさん@お腹いっぱい。
08/12/26 10:34:37
知り合いが感染して
URLリンク(nihonbuson.blog10.fc2.com)
URLリンク(nihonbuson.blog10.fc2.com)
を試して駆除できたらしいんだけど
フリーズしまくりでなにもできなくなったらしい
他にもそういう症状の方はおりますか??
691:名無しさん@お腹いっぱい。
08/12/26 10:35:53
>>689
2009になってからPulse Updateと相まって、対応を早くするとか何とか。
692:名無しさん@お腹いっぱい。
08/12/26 10:39:42
>>673
危険アドレスではあるけど別物じゃないかな?
693:名無しさん@お腹いっぱい。
08/12/26 10:40:58
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に登録されたWindows Udp Control Center:fxstaller.exe
これを消してOneCareでフルスキャンしウイルスを削除したところPCの方も安定し、
メッセンジャーでのURL送信もなくなりました
ですが、レジストリで検索したところ000 fxstaller.exeというのが残っていました
これは放置でよろしいのでしょうか・・・
694:名無しさん@お腹いっぱい。
08/12/26 10:52:05
昨夜感染して、こことメッセスレ見て状態は何とか抜けた
今は自動更新もすべて有効。
ここの>>572に俺がメッセスレに書いてたファイルの書き込み(改行ミスが全く同じなので多分そうだと思う)
利用してもらえてるのみて、少しは役に立てたんだと嬉しかった。
ところで、念のためにOneCareやってみてるけど、14%まで進んだら全く進まなくなった。
ノートン先生は先生で、今朝Trojan.Dropper ってのを検出して処理したって報告してきたから
多分まだどこかに潜ってるんだろうなとは思う。
695:名無しさん@お腹いっぱい。
08/12/26 11:01:16
ウィルスバスターはまだ対応してない?
696:名無しさん@お腹いっぱい。
08/12/26 11:07:09
OneCareやったけど除去できないとか言ってるんだけど…
697:名無しさん@お腹いっぱい。
08/12/26 11:18:05
OneCareで検出できるけど消せないファイルってどうしてる?
explorer.exeとかに一部のdllがロックされててどうにも消せない。
AVGとかも試してみたが何も検出してくれないんで、どうしていいやら。
698:名無しさん@お腹いっぱい。
08/12/26 11:19:06
unlockerでロック解除も試してみたが、当然ながらOSまきこんで落ちる。
699:名無しさん@お腹いっぱい。
08/12/26 11:23:04
>>693
ファイル名が変更されて隔離状態になっているので一応安心です
触らないように!
700:名無しさん@お腹いっぱい。
08/12/26 11:25:41
>>689
どうやら何種類かいるのかプログラムがいい加減なのかのどっちかだな
mixiを介して20人程がNODで対策してみたがみんな起動したよ
起動しない!と嘆く人は結局他のアンチウィルスがすでに入っていて
競合起こした場合だけだった
バイナリを調べてみたが阻害する因子はなかった
てことは亜種がすぐ出回ったってことかな・・・?
701:名無しさん@お腹いっぱい。
08/12/26 11:34:04
NOD32をインストールした後再起したのですが、デスクトップの画面でフリーズしてしまいました。
どうしたらいいでしょうか…?
702:名無しさん@お腹いっぱい。
08/12/26 11:35:01
>>682と同じ症状なんだがどうしたらいいんだこれ
削除は終わったが、起動するときのやつが残ったままってことかな
703:名無しさん@お腹いっぱい。
08/12/26 11:37:17
とりあえず参考意見程度だが……
レジストリで>>513を削除
imgs.exeを検索し削除
(spc.exeっていうのがC:\にあったからこれも削除、無い場合もあるかも)
OneCareでPCスキャン、explorer.exeとかトロイの木馬が検出されて隔離完了(?)
これをやっただけでも今のところPC安定、自動更新有効。
症状によって違うかもしれんがとりあえずお勧めする
704:703
08/12/26 11:37:58
×explorer.exe
○fxstaller.exe
何を書いてんだ俺は……
705:名無しさん@お腹いっぱい。
08/12/26 11:38:24
レジストリのスタートアップエントリが残ってるとか?
706:名無しさん@お腹いっぱい。
08/12/26 11:41:24
ComboFix使えうんこ共
707:名無しさん@お腹いっぱい。
08/12/26 11:54:40
AntiVirでスキャンしたあと>>497の方法やったんだけど何も出なかった
大丈夫なのこれ
708:名無しさん@お腹いっぱい。
08/12/26 12:06:33
なんかPCオワタっぽいから、仕事終わったら初期化して入れ直そ…
709:名無しさん@お腹いっぱい。
08/12/26 12:10:54
>>707
Onecareオンラインスキャンを試すんだ
710:名無しさん@お腹いっぱい。
08/12/26 12:46:11
再起動したら
アカウントログイン画面がでて先に進めねぇ
セーフモードでなんとかなるかな?
711:名無しさん@お腹いっぱい。
08/12/26 12:57:49
俺はカスペユーザーだが、ヒューリスティックで検出されず
結局定義ファイルが更新されるまで検出されんかった
昔カカクコムでNOD32がヒューリスティックで検出して有名になったが、
今回のこのウイルスをヒューリスティックで見つけられたものはなかったのか?
712:名無しさん@お腹いっぱい。
08/12/26 13:02:34 BE:822931946-2BP(25)
KIS2009使いだけど、
メッセで送られてきたIMG455.jpg-www.photo.comファイルってファイル実行しようとしたらアラート出たよ
ライセンス切れで11日から定義ファイル更新されてないのに・・・
713:名無しさん@お腹いっぱい。
08/12/26 13:04:03
ヒューリスティックかはわからんがOneCareが結構早めに対処できてたような
あとAntiVirとか
714:名無しさん@お腹いっぱい。
08/12/26 13:04:18
>>709
Onecareオンラインスキャンを3回まわしたが、駆除できないファイルがある
そして再起動後にスパイウェアを撒き散らすんだが・・・
レジストリも書き換えられるし・・・
もうね、、、
715:名無しさん@お腹いっぱい。
08/12/26 13:06:53
>>712
まじで?
俺は実行はしてないけど、カスペのスキャンの設定をヒューリ(ry最高まで上げて
手動スキャンしたけど何も無かったんだよなぁ
716:名無しさん@お腹いっぱい。
08/12/26 13:18:21 BE:617198663-2BP(25)
>>715
さっきやってみたけどヒューry有効+最高設定で手動スキャンは何も出ないね
実行して瀬戸際で止めてもらうしかアラートでないんじゃない?
スキャンしようとするとエクスプローラー止まるってのが怖いけど
717:名無しさん@お腹いっぱい。
08/12/26 13:26:02
>>716
わざわざ検証サンクスです!
そうか、ちゃんと寸前で止まるのか・・・。
となると普段ヒューリスティックをオンにしてる意味はあんまりないのかも?
いざというとき瀬戸際でちゃんととめてくれるのなら、ね。
ありがとうございましたっ
718:名無しさん@お腹いっぱい。
08/12/26 14:05:06
avastが162Gbを4時間かけてスキャンしてくれたぜ
特に目立った外傷はナシ
終わったーかなー?
719:682
08/12/26 14:10:21
>>513のが見あたらなくて、他の眺めてたら
MSServer rundll32.exe C:\Windows\System32\vtUlIyVn.dll,#1
ってのがあったからとりあえず勢いで消してみた、当然出なくなった
今のところ普通に使えてるから、まぁ大丈夫なんかな?
720:名無しさん@お腹いっぱい。
08/12/26 14:12:42
もう手遅れだろ・・
721:名無しさん@お腹いっぱい。
08/12/26 14:15:08
遅レス失礼します。
>>686
うちのPCも検査終了後でも自動更新は無効のままだった。
PCの調子次第ではOneCareでもスキャンしといたほうが良いのかもね。
てか、ここの書き込み見る限りトロイの駆除自体は完了したけど
まだ完治したわけではない人が多いのかな?
友達とも情報交換しておこうかなぁ。
722:名無しさん@お腹いっぱい。
08/12/26 14:16:56
なんでOS入れ直すって選択を選ばないんだろう・・・
723:名無しさん@お腹いっぱい。
08/12/26 14:18:45
それは最後の手段としてとっておく
724:名無しさん@お腹いっぱい。
08/12/26 14:21:04
dll書き換えられて寄生してる可能性も十分ありえるのに、
削除だけとかじゃ完全に対処できんわな。
素直にクリーンインストールするのが無難。
725:名無しさん@お腹いっぱい。
08/12/26 14:22:14
>>723
足掻いた時間>クリーンインストール
こうなるのが決定的
726:名無しさん@お腹いっぱい。
08/12/26 14:25:36
avastでフルスキャン→imgsとfxstallerが引っかかったから削除
手順にそってレジストリも削除。ついでにsys32のdllを削除しようとしたらロックされた
Unlockerで解除した瞬間エラー吐いてハードエラーの青画面
Onecareオンラインスキャンを回すと3個発見
しかし14%のあるところで止まる→sys32のdll2個の排除できず
入れ直す方がはやいかも知れん・・・
727:名無しさん@お腹いっぱい。
08/12/26 14:28:10
OS入れなおしたいが、残したいファイルに感染してるってことはないかなぁ・・
728:名無しさん@お腹いっぱい。
08/12/26 14:32:00
HiJackThisで以下をFix(エントリーに現れるのはこの4つ)
O2のエントリーはランダム8文字、(no name)となっているもの。(例:tuvWomKe.dll,wvUmkllL.dll)
O4エントリーもランダム8文字だが[7800f1cc]で見分けられる筈。
O20エントリーもランダム8文字。ただO20に現れる正規エントリーは少ないため見分けやすいと思う。
(例:ljJYPhEW.dll、wvUmjHXO.dll)
こんな感じ
O2 - BHO: (no name) - {F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0} - C:\WINDOWS\system32\tuvWomKe.dll
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [7800f1cc] rundll32.exe "C:\WINDOWS\system32\axhiujye.dll",b
O20 - Winlogon Notify: wvUmjHXO - C:\WINDOWS\SYSTEM32\wvUmjHXO.dll
このウイルスが作成するファイルリスト(多分みんな作るファイル数は同じ)
C:\WINDOWS\system32\eyjuihxa.ini
C:\WINDOWS\system32\axhiujye.dll
C:\WINDOWS\system32\732335b2-.txt
C:\WINDOWS\system32\eKmoWvut.ini2
C:\WINDOWS\system32\eKmoWvut.ini
C:\WINDOWS\system32\tuvWomKe.dll
C:\WINDOWS\system32\nnnoNgfd.dll
C:\WINDOWS\system32\byXQKbyX.dll
C:\WINDOWS\system32\wvUmjHXO.dll
C:\WINDOWS\fxstaller.exe
環境によってファイル名は変わってくるのでHiJackThis等ログ取得ツールを
使って調べる。
ひとついえることはツール使わないで削除するのは無謀
729:名無しさん@お腹いっぱい。
08/12/26 14:36:05
dllあっても大丈夫だと思うけどな。
システムが使ってるdllが改ざんされてたら、アンチウイルスも警告出すだろうし。
730:名無しさん@お腹いっぱい。
08/12/26 14:38:19
>>728のファイルが消えてればもう大丈夫かな?
731:名無しさん@お腹いっぱい。
08/12/26 14:38:42
ウイルスが改変するレジストリポイント
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0}]
C:\WINDOWS\system32\tuvWomKe.dll [2008-12-26 303104]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows UDP Control Center"=C:\WINDOWS\fxstaller.exe [2008-12-23 52786]
"7800f1cc"=C:\WINDOWS\system32\axhiujye.dll [2008-12-26 73216]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvUmjHXO]
C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0C:\WINDOWS\system32\tuvWomKe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=C:\WINDOWS\system32\wvUmjHXO.dll [2008-12-26 35328]
ファイル名のところはランダム文字列(8文字)
レジストリーはHiJackThisで間手単に処理可能
732:名無しさん@お腹いっぱい。
08/12/26 14:42:29
>>730
ファイル名は個人個人で違う。
何回も感染実験すれば各ファイルがどのように変化しているかわかると思うけど
そこまでやってない。
駆除完了の基準としては
・不正なタスクがない(コンパネ、パフォーマンストメンテナンスのタスクから
確認して)
・レジストリポイントに不正なエントリーがない。
・症状が完全に治まった
だと思う
733:名無しさん@お腹いっぱい。
08/12/26 14:45:16
結論から言うとComboFix使うのが楽
734:名無しさん@お腹いっぱい。
08/12/26 15:01:31
URLリンク(azurecolor.blog51.fc2.com)
ここよんできたんだけど
>>496だけじゃだめなの?
735:名無しさん@お腹いっぱい。
08/12/26 15:09:54
昨日OS入れなおしたんだが、時間が経ったら自動更新が有効にならなくなった。
わけがわからん。
今度はメッセンジャーとかでへんなURL送られてきてないんだけどなぁ・・・
736:名無しさん@お腹いっぱい。
08/12/26 15:21:58
NOD32、OneCareを試したところOneCareで消しきれないやつが出てきたんですが・・
しかもまた英語のサイトに誘導される現象が・・・
これは一体どうすればいいんでしょう
737:名無しさん@お腹いっぱい。
08/12/26 15:25:10
>>734
NODがどの程度ファイルを駆除(このウイルスに対応)してくれてるかわからないから
わからんけど、検出できてるってことはNODで駆除できると思う。
NODが検出したログをみて判断するのが一番。
少なくとも残骸が残ってる可能性はある。(ウイルスが作成した無害ファイル等)
738:名無しさん@お腹いっぱい。
08/12/26 15:29:05
>>736
英語のサイトに誘導されるのは確かfxstaller.exe が原因だった
↓このソフトダウンロードしたら
URLリンク(images.malwareremoval.com)
RSIT.exeを実行して
"Continue"をクリック
ちょっとするとメモ帳が開くからその内容を貼り付けてもらえれば
わかるんだけど。(または"C:\rsit"に保存されている「log.txt」)
これがいやならComboFix使ってもいいし
739:名無しさん@お腹いっぱい。
08/12/26 15:31:39
ウィルスは駆除出来たんだが 自動更新だけ直せない 教えてえらい人
740:名無しさん@お腹いっぱい。
08/12/26 15:32:59
ウィルスが作成している以上、無害ファイルというのは作らないと思うんだが・・・
まぁ言い方次第だろうけど、
自分のPCには無害なファイル?
準備段階で活動していないファイル
と言うべき“内容”かな
741:名無しさん@お腹いっぱい。
08/12/26 15:38:54
OneCareでトロイ駆除した後に
バスターを起動しスキャンをしたらスパイウェアがまだ出てきます
まだ残ってて繁殖でもしてるのでしょうか・・・
742:名無しさん@お腹いっぱい。
08/12/26 15:40:50
君たち!
まず無料のアンチウイルスソフトを入れる。
残った問題に対処する。
終了。
これで決まりだね!
743:名無しさん@お腹いっぱい。
08/12/26 15:44:08
他のトロイも呼び込んでるようなので
駆除後にもっかいスキャンしといた方がいいらしい
744:名無しさん@お腹いっぱい。
08/12/26 15:46:47
感染してるかどうかはどうすれば分かるの?
745:名無しさん@お腹いっぱい。
08/12/26 15:46:50
>>740
作るよ。
このウイルスを例にとるとiniファイル、dll、txtファイル、job、等作るけど
ini、dllは単体じゃ動作できない。主となるexeファイルがなければ無害。
ただの残骸。
txtファイルなんて単体でも無害でしょ。
↓これとか
C:\WINDOWS\system32\732335b2-.txt
NODがどこまで駆除できるかわからないけど、大本は
駆除できるみたいだから(だよね?)
NODが逃したとすれば大本がいないと動けないファイル類。
↓これとかw
C:\WINDOWS\system32\732335b2-.txt
ini類とか・・
746:名無しさん@お腹いっぱい。
08/12/26 15:49:24
Combofix使って削除したら自動更新も有効になったんだけど
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
が開けなくなった。
キーを開こうとしてエラーが発生しましたって出る
747:名無しさん@お腹いっぱい。
08/12/26 15:52:10
>>746
エラー内容はそんだけ?
再起動しても治らないのか?
748:名無しさん@お腹いっぱい。
08/12/26 16:00:02
>>746
直らなかった。
エラーの表示でぐぐったらレジストリが壊れてるとか書いてあった・・・
結局OSいれなおしか・・・うわーい
749:名無しさん@お腹いっぱい。
08/12/26 16:00:59
>>737
検出できてるのはダウンローダだけで、除去するまでに落とされた未知のマルウェアが活動してたら
止めようがない。マルウェア活動中だと主立ったセキュリティソフトは動作停止させられたりインストール失敗したり
させられるので、感染後に除去するのは困難。
別ドライブとかCD起動してから除去する形になるが、その環境がない場合にはOS入れ直しコース。
一旦擦り抜けて活動開始されちまった場合は、OS入れ直し以外では残骸がいつ活動再会するか不明。
WindowsUpdate止められたり、セキュリティソフトのパターン更新止められるような状況の場合は
素直にOS入れ直しやリカバリーを行なうこと。レジストリエディタの起動ができないケースもOS入れ直し。
750:名無しさん@お腹いっぱい。
08/12/26 16:03:02
>OS入れ直し以外では残骸がいつ活動再会するか不明。
本体がないのにどうやって活動するんだよw
751:737
08/12/26 16:04:22
>>749
だよなぁ。
ウイルスに感染したら基本リカバリーだな。
752:名無しさん@お腹いっぱい。
08/12/26 16:05:27
初期化ってどうやるんだ
Vistaのディスク入れて再起動してんのに何にも反応しないんだけど
Fキー押せばいいの?誰か頼む
753:名無しさん@お腹いっぱい。
08/12/26 16:05:37
メッセンジャーは使えるようになったのですが
自動更新が有効にならない場合は何が原因なのでしょう
754:名無しさん@お腹いっぱい。
08/12/26 16:06:10
大事なファイルをCDとかに焼いても大丈夫か誰か教えてくれ
755:名無しさん@お腹いっぱい。
08/12/26 16:08:46
まぁウイルスに感染したらOneCareとかNODとか使っても基本無駄だよな。
駆除するならログとってあやしいファイルをすべて割り出して削除するのが
確実に駆除できる。
Windows Live Messenger のスレの人たちはログもとらずにdll消してるみたいだけど
怖くないのかw
756:名無しさん@お腹いっぱい。
08/12/26 16:10:01
既出かもしれんが教えて。
これって最初のDropperがIExpress形式(古いアップデートパッチのキャビネットファイル自己展開形式)なExeがoctet/streamで送りつけられているんだけど,
IExpress形式ってブラウザでいきなり実行されたっけ?
手元にIEAKがなくてためしにパッケージ作れんので,誰か試した人が居たら教えて。
こんなんでIEに表示させた瞬間にEXE実行とかできるんだったら非常に困る。
757:名無しさん@お腹いっぱい。
08/12/26 16:11:11
>>752
メーカー製のパソコンならリカバリー。
リカバリーとはパソコン出荷当時の状態に戻すこと。
リカバリーのやり方は書いてあるはず
>>753
駆除できていない、もしくは、駆除はできていてもウイルスが書き換えた
レジストリーがそのまま
>>754
大丈夫。
758:名無しさん@お腹いっぱい。
08/12/26 16:13:05
>>756
>IEに表示させた瞬間にEXE実行
このウイルスの場合は実行ファイル本体を落として実行しないと
感染しないはずだけど・・
ホームページ見ただけで感染とかはあるけどね。
759:名無しさん@お腹いっぱい。
08/12/26 16:16:13
>>738でログとってくれればみるよ
760:名無しさん@お腹いっぱい。
08/12/26 16:16:59
>>759
まじか
761:名無しさん@お腹いっぱい。
08/12/26 16:17:37
コンパネ→管理ツール→サービス
Automatic Update(もしくは自動更新?)の項目のスタートアップの種類を「自動」にすりゃいいんじゃね?
ほっときゃ勝手に有効になるようなもんじゃないぞ
762:名無しさん@お腹いっぱい。
08/12/26 16:24:45
>>757
リカバリのことについて書いてる
説明書がないんですよ
説明書らしきものにそういう風なことが一切かかれてないんです
763:名無しさん@お腹いっぱい。
08/12/26 16:25:44
fxstaller.exeを消し、imgs.exeも削除して、OneCareとNODでトロイ削除。
ランダム羅列のDLLも消して、自動更新有効になりPCも普通に動いているように
みえるのですが、何もせずしばらく放っておくと「ドゥン!」というエラー音が突然鳴ります。
画面上は何も変化なし。
これはまだ感染してるということなのでしょうか。
ちなみにIRCBot.AKXは見つかりませんでした。よく覚えてないのですが別の名前の
トロイでした。
764:名無しさん@お腹いっぱい。
08/12/26 16:29:18
>>762
どこのめーかーのパソコン?
765:名無しさん@お腹いっぱい。
08/12/26 16:33:06
>>764
acerです
セットアップガイドみたいなもんはありますが、
真っ白なPCからの設定方法しか書いてないので分かりません
766:名無しさん@お腹いっぱい。
08/12/26 16:34:09
>>765
acerの型番もしっかり書いてくれないと調べようがない
767:名無しさん@お腹いっぱい。
08/12/26 16:36:54
>>766
Intel? Core? 2 Duo プロセッサーのASL3600-672032Pです
768:名無しさん@お腹いっぱい。
08/12/26 16:37:02
>>758
さんきゅ。俺の勘違いだったみたい。
IExpress.exeがXP標準であるってことで,手元でバッチファイルをEXE化してWEB鯖に入れてOctet/Streamで送出して・・ってやってもうまくいかなかったんで,なんでだー!と思ってた。
ぁゃιぃexeのクリックが必要だったのね。これで注意喚起しとくわ。
769:名無しさん@お腹いっぱい。
08/12/26 16:38:34
?は記号です暗号化されてしまいましたすみません
770:名無しさん@お腹いっぱい。
08/12/26 16:42:42
>>767
リカバリー領域があるみたい(つまりリカバリできる)
だからスタートメニューからそれらしいものない?
URLリンク(www.acer.co.jp)
771:名無しさん@お腹いっぱい。
08/12/26 16:46:05
>>770
リンク先を見ました
Acer eRecovery Managementが全てのプログラムの中にありました
これでリカバリできるのでしょうか
772:名無しさん@お腹いっぱい。
08/12/26 16:46:44
Windows自動更新が有効にできない。
URLリンク(linkinparkkussy.blog121.fc2.com)
こんな記事を見つけたんだが、どうだろうか?
773:名無しさん@お腹いっぱい。
08/12/26 16:50:22
>>771
それでできるはず
再インストールってのクリックしてみて。
おれはそのパソコン持ってないからあとは自分でやってみて
774:名無しさん@お腹いっぱい。
08/12/26 16:53:26
>>773
頑張ってみます
775:名無しさん@お腹いっぱい。
08/12/26 16:55:29
>>763
俺も今その状況だ
なんだろうね・・
776:名無しさん@お腹いっぱい。
08/12/26 17:00:12
今回の騒動、一連の挙動を見てみると、
・ダウンロード後ブラウザが「実行しますか?」の警告を出してくる
・vista なら UAC とか VirtualStore とかが大忙し
な気がするんだけど、そんなにホイホイOKボタン押しちゃう人ばかりだったりするの?
777:名無しさん@お腹いっぱい。
08/12/26 17:01:19
>>775
メッセージボックスが出ないということは、誤ったdllを削除したか
まだウイルスが残ってるか、システムが書き換えられてるか。
778:名無しさん@お腹いっぱい。
08/12/26 17:01:26
>>776
うん、愚かな人が多かったの
779:名無しさん@お腹いっぱい。
08/12/26 17:15:15
俺的まとめ
挙動はこんな感じ(????????はランダムな文字列)
リンクをクリックし、実行する
↓
imgs.exeが解凍され実行される
↓
fxstaller.exeが実行される
↓
fxstaller.exeや????????.dllがPC起動時に実行する様に設定
IEでアンチウィルス導入表示を行う
WindowsUpdate無効化
fxstaller.exeはVirusのダウンロード等をする
????????.dll系はその他諸々?WindowsUpdate無効化やdll再生成も?
実際にメッセージ送信してるのはdll系かな…
生成ファイルや改変レジストリは>>728,731
感染の疑いは、
隠しファイルも含めてPC内を検索しimgs.exeが有ったらアウト
fxstaller.exeがタスクマネージャで見て動いてたらアウト
コマンドプロンプトを起動
dir /od /tw %windir%\system32\*.dll
を入力してenter
(これは拡張子がdllのファイルを最終更新日順にソートして表示するコマンド)
日付が25日以降で????????.dllが4つかそれ以上?有ったらアウトかも
(最終更新日が25日以降の正規dllの可能性あり)
780:名無しさん@お腹いっぱい。
08/12/26 17:16:09
以下不明
NOD32はWindowsUpdate無効化やdll再生成する方のdllは駆除出来ない場合がある?
OneCareもやらないとダメ?
それでもdll系が残り駆除出来ない場合あり?
エラー音が突然鳴る現象がある?
781:名無しさん@お腹いっぱい。
08/12/26 17:18:42
>>775
俺も時々画面に変化無しで「ピッ」て音が鳴る・・・
ウィルスの主要なファイル削除→NOD・OneCareでスキャン・駆除
→dll削除かましたはずなのにナゼダー
782:名無しさん@お腹いっぱい。
08/12/26 17:19:20
>>780
正確にはどっちやっても残骸が残らない可能性はある
783:名無しさん@お腹いっぱい。
08/12/26 17:26:59
ドゥン音が鳴るのは削除しきれてないから。
全て消せてる奴は問題は出ないよ。
784:782
08/12/26 17:29:41
逆に残る可能性の方が高いんだよね
785:名無しさん@お腹いっぱい。
08/12/26 17:32:49
友人だから大丈夫って油断があった。
っていっても、友人いない人にはわからんよね
786:名無しさん@お腹いっぱい。
08/12/26 17:34:38
>>785
油断ってか馬鹿なんだろ
787:名無しさん@お腹いっぱい。
08/12/26 17:35:38
エラー音について色々教えてくださってありがとうございました。
やっぱり削除しきれてないのか。リカバリするしかないかな。
外付けHDDはあるのですけどマイドキュメントなど外付けに移して
リカバリして戻したらまた感染なんかもあるのでしょうか。
マイドキュメントかなにかにimgs.exeがあったので(削除済み)
かなり不安です。
788:名無しさん@お腹いっぱい。
08/12/26 17:37:49
OneCareはオンラインじゃないとダメなんだよな?何か不安・・・
NOD32で本体消えてるはずだから問題ないのかな・・・?
789:名無しさん@お腹いっぱい。
08/12/26 17:38:15
ランダムdllが削除できない件
ところで感染してからプロセスにrundll32.exeが出るようになったんだが
終了させてもすぐ戻りやがる
790:名無しさん@お腹いっぱい。
08/12/26 17:39:26
>>787
ファイル個別に適当なフォルダ作って移動
フォルダ毎とか避けて
この程度のウイルス踏むなら
隠しファイルとかフォルダ自体ちゃんと見つけられる環境にあるとは思わないんで
まぁ・・・正直HDDフォーマットした方がいいとはおもうけど
この程度ならリカバリでもいいとおもうよ
791:名無しさん@お腹いっぱい。
08/12/26 17:40:12
>>788
不安ならクリーンインストール
何度も言われてる
不安がって試行錯誤する時間でクリーンインストール余裕で終わる
792:名無しさん@お腹いっぱい。
08/12/26 17:44:41
>>773
無事リカバリできました、ありがとうございます
ですがリカバリする前1GBと表示されていたメモリが0.99GBと表示されてるのですが
これを直す方法はありませんかね?何度もすみません
793:名無しさん@お腹いっぱい。
08/12/26 17:49:48
結局確実に修復するにはリカバリーしかないのか・・・糞ゥ・・・
794:名無しさん@お腹いっぱい。
08/12/26 17:51:50
復元
795:名無しさん@お腹いっぱい。
08/12/26 17:54:46
起きがけの寝ぼけた時間を狙ってくる恐ろしいウィルスだった(キリッ
796:名無しさん@お腹いっぱい。
08/12/26 18:05:21
ウイルスバスター対応遅すぎだろ・・あのノートンでさえ・・なのに。
終わってますね。
797:名無しさん@お腹いっぱい。
08/12/26 18:06:37
>>786
馬鹿だから油断するんだよ、天才
798:名無しさん@お腹いっぱい。
08/12/26 18:11:55
>>789
全然削除できてない世それ
そもそもファイル名がランダムなだけでリカバリーする程のウイルスじゃないぞ。
ログ取って調べたりセキュ板のスレに貼ればいい
799:名無しさん@お腹いっぱい。
08/12/26 18:24:18
HiJackThisで
O2 - BHO: (no name) - (中略) C:\WINDOWS\system32\tuvWomKe.dll
ってのがFix出来ないんだが、なんでだ
800:名無しさん@お腹いっぱい。
08/12/26 18:46:48
このウイルスにやらてからなんだがレジストリで削除とかをしてから自動更新ができないんだが
これを治す方法ってどうやればいい?
801:名無しさん@お腹いっぱい。
08/12/26 18:51:14
スレ内ぐらい検索しろよ
802:名無しさん@お腹いっぱい。
08/12/26 18:58:39
スレ内を検索する知能があればウイルスになんて感染しないだろw
803:名無しさん@お腹いっぱい。
08/12/26 19:00:34
>>799
Fixしても復活するの?
804:名無しさん@お腹いっぱい。
08/12/26 19:10:33
友人からだけど、ちょっと怪しいなって思って
avastでチェックしたがスルーだったので
実行してしまった/(^o^)\ 最凶クリスマスプレゼントww
最新のウイルスにかかったのは初めて
やっぱり油断禁物ですね。
805:名無しさん@お腹いっぱい。
08/12/26 19:26:08
>>800
onecareのPCセーフティでスキャンしてこい
ただバスターとかセキュリティソフトも一緒に検出してしまうけど。
806:名無しさん@お腹いっぱい。
08/12/26 19:36:24
>>804
変だなすぐ対応されたはずだが。
対応されるまでの隙があったか。
807:名無しさん@お腹いっぱい。
08/12/26 19:39:14
エロ動画消滅w
808:名無しさん@お腹いっぱい。
08/12/26 19:46:05
で…このウィルス感染するとどんなこと起きるん?
怖くてネットつかえねぇぇから携帯だスマソ
809:名無しさん@お腹いっぱい。
08/12/26 19:51:26
>>796
しかも土日はアップデートなし
つまり対応は来週月曜以降じゃないと対応してくれない可能性が高い
810:名無しさん@お腹いっぱい。
08/12/26 19:55:55
踏んでしまったんだが特になんの症状も出ないのが逆に怖い…
811:名無しさん@お腹いっぱい。
08/12/26 20:09:21
IEで変なページに飛ばされるのの対処は結局どうすればいいの?
812:名無しさん@お腹いっぱい。
08/12/26 20:17:04
実行したらどんな症状がおこるか まとめ
・メッセンジャーにインしている人にウィルスのダウンロード先URLを貼りつけて送信
・インターネットオプションより、セキュリティタブのレベルのカスタマイズが行われる
その他-暗号化されていないフォームデータの送信 有効にする に書き換えられる
(デフォルトは ダイアログを表示する にチェックが入っている)
・インターネットオプションより、プライバシータブの「インターネットゾーン」が一番下「すべてのCookieを受け入れる」に設定される(デフォルトは中)
813:名無しさん@お腹いっぱい。
08/12/26 20:25:10
なんか怖いから明日ヨドバシかヤマダ行ってくるわ…俺の判断は正しいか…?
814:名無しさん@お腹いっぱい。
08/12/26 20:32:51
>>813
正解
815:名無しさん@お腹いっぱい。
08/12/26 20:38:45
>>813
無料のアンチウイルスでおkだよ
816:名無しさん@お腹いっぱい。
08/12/26 20:48:04
ぃあ…本体データ?みたいなのはその無料ソフトで消去はできたんだ…だが自動更新は無効になってるし…完璧に治った人いるのか?リカバリなしで。
817:名無しさん@お腹いっぱい。
08/12/26 20:49:16
25日の1時過ぎくらいに感染して、ココ見ながら適当に駆除したんだけど
適当にやりすぎて消しちゃ不味いものも消したかも・・・
起動時に毎回
「C\WINDOWS\system32\bmusxpul.dllを読み込み中にエラーが発生しました
指定されたモジュールが見つかりません」
て出るんだけど、これやばい・・・?
818:名無しさん@お腹いっぱい。
08/12/26 20:51:24
むしろバスターやノートンの方が危険
819:名無しさん@お腹いっぱい。
08/12/26 20:54:08
これってメッセンジャーソフト使ってないんなら感染しないんですよね?
820:名無しさん@お腹いっぱい。
08/12/26 20:55:14
NOD32でも完全駆除は無理そうよ
486 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:23:46
p://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=157
>>463 IMG455.jpg-www.photo.com を解凍し→ >>465 imgs.exe に感染するとできるファイル群
多数のdllファイル等が生成されましたが、MD5が共通するものだけ抜き出しました。
放っておくと、BHOが組み込まれ、偽セキュリティ対策ソフト(WinAntiVirus2009)ダウンロードページへ誘導されます。
488 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:32:10
>>486 の続きです。
NOD32 定義3717では0/6
メッセンジャーウイルス感染後にNOD32を入れた人は、exeの駆除はできていても
dll群の駆除ができていないので注意が必要です。
821:名無しさん@お腹いっぱい。
08/12/26 20:58:48
>>817
bmusxpul.dll をレジストリ エディタで検索してキーを削除すればいい。
面倒だから、Sysinternals の Autoruns で >>731 のレジストリ削除すれ。
後、dir /ah %windir%\system32\*.ini* でゴミが残ってる場合があるからそれも削除すれ。
ぶっちゃけ、imgs.exe, fxstaller.exe とか大して問題じゃない。こいつが spc.exe をDLして実行するから
面倒な事になってる。
URLリンク(www.virustotal.com)
これね
822:名無しさん@お腹いっぱい。
08/12/26 21:00:11
>>821
大手ベンダーが全滅・・・・
その中でバスターが・・・
823:名無しさん@お腹いっぱい。
08/12/26 21:00:37
>>816
完璧かどうかはわからないが、自動更新は有効になる・・・今のところは
NOD32、KINGSOFT、OneCare、Avastのスキャンかけた
何回再起したことやら
824:名無しさん@お腹いっぱい。
08/12/26 21:04:27
自動更新できない奴はためしにRUPERAntiSpywareやってみたらどうだろう
AVGでスキャンした後にこれ使ったら自動更新有効になった
たまたまかもしれんがものは試しに
825:名無しさん@お腹いっぱい。
08/12/26 21:05:15
手動で有効にすればいいだけ
826:名無しさん@お腹いっぱい。
08/12/26 21:07:02
>>821
spc.exeを>>820のアップローダにあげてくれないかのう。
速攻でベンダーに通報しますので。
827:名無しさん@お腹いっぱい。
08/12/26 21:08:25
ごめ、SUPERAntiSpywareな
828:817
08/12/26 21:16:05
>>821
直った!サンクス!
829:名無しさん@お腹いっぱい。
08/12/26 21:17:44
>>826
一応上げたけど、あんまり意味ないと思うよ。
DLする度にバイナリ変わるから。
URLリンク(tane.sakuratan.com)
virus
830:名無しさん@お腹いっぱい。
08/12/26 21:22:15
>>829
とりあえずPandaGlobalProtection2009で検出→隔離できたことを報告しておきます(疑わしいファイルとして検出)
831:名無しさん@お腹いっぱい。
08/12/26 21:23:58
>>829
ありがと。一応AVGに報告します。
それと検出スレにもはっときます。
これで一連のspcをGenericで検出できればいいんですけどね。
832:名無しさん@お腹いっぱい。
08/12/26 21:24:40
今日の朝にNOD32でトロイ駆除が終わったのでPCの電源を切って
ついさっきPCを立ち上げたばかりなんだけど、まだ完治にはほど遠いな。
立ち上げとほぼ同時に出てくるメッセのサインイン画面が出ないし
Internet Explorerをクリックしても一定時間とは言え反応なかったし。
こりゃOneCareでも導入して再びスキャンするしかないかな。
そういや、タスクからfxstaller.exeかimgs.exeを削除する対処法を
友達から教わったばかりなんだけど、そんなexeは見つからなかったんだ…
833:名無しさん@お腹いっぱい。
08/12/26 21:25:50
>>831
>これで一連のspcをGenericで検出できればいいんですけどね。
NOD32とNortonは厳しいな、特にNOD32は一度スルーしてしまうとどうしようもない
834:名無しさん@お腹いっぱい。
08/12/26 21:30:49
>>829
avastスルーしたんだけど・・・
835:名無しさん@お腹いっぱい。
08/12/26 21:32:56
>>829
Avira、Panda、Symantec、BitDefender、ESETに提出完了
Kasperskyにも提出しておきます
836:名無しさん@お腹いっぱい。
08/12/26 21:33:57
>>834
これは元のファイルから感染した後のファイルなので感染しなければおk
837:名無しさん@お腹いっぱい。
08/12/26 21:40:12
ノートン先生対応来たな
838:名無しさん@お腹いっぱい。
08/12/26 21:57:37
NOD32が完全駆除不可なのは俺も試して分かったけど
駆除可能な分でも、exeと自動実行のレジストリエントリしか消しておらず
なんか中途半端な駆除になってないか?
他で駆除した方が良さそう…
839:名無しさん@お腹いっぱい。
08/12/26 22:11:55
タスク消去、レジストリ削除、ファイル検索して削除、Onecareスキャン
で、dllも全部消えたし自動更新も有効になったんだが
直ってない奴が多いみたいだから不安になってきた
840:名無しさん@お腹いっぱい。
08/12/26 22:19:27
すいません!!
感染して、色々なスレのを試しても自動更新が直らなかったので
onecareのPCセーフティでスキャンしてたらRUNDLL
って名前の警告小窓(?)で
読み込みエラー発生 アクセス拒否されました
ってのが山の様に出続けてるのですが、これは一体どうしたらいいのでしょう?
エラーでてる場所が問題上がってたwindows\system32のなかなのですけども
該当の物は使用中で削除できませんって言われるんです
841:名無しさん@お腹いっぱい。
08/12/26 22:20:29
アンチウィルスソフトを駆除ソフトと勘違いしてる馬鹿共が日本にはこんなにいますw
842:名無しさん@お腹いっぱい。
08/12/26 22:20:54
ってかこんなにまで時間費やして必死に削除作業行うのはありえないなw
普通はバックアップとってあって、数時間程度で元通りになる。
製作者の思い通りだな。
843:名無しさん@お腹いっぱい。
08/12/26 22:23:09
>>841
安価だけつけてやんよ
844:名無しさん@お腹いっぱい。
08/12/26 22:27:00
普段ウイルスなんか感染しないからと鼻で笑ってる奴らだろここにいる奴らの大半は。
オンラインスキャンと体験版使うのに精一杯だからな。
そんな色々いれるくらいならリカバリーしろと
845:名無しさん@お腹いっぱい。
08/12/26 22:29:07
>>844
安価だけつけてやんよ
846:名無しさん@お腹いっぱい。
08/12/26 22:31:01
>>845
まねすんなよ
847:名無しさん@お腹いっぱい。
08/12/26 22:33:24
レジストリ内をfxstallerで検索したら
名前 種類 データ
000 REG_SZ myspacy
001 REG_SZ fxstaller
002 REG_SZ fxstaller.exe
003 REG_SZ imgs.exe
004 REG_SZ imgs
005 REG_SZ mysapacy
006 REG_SZ mspaint.exe
て出てきたんだけど、これってやばい?
848:847
08/12/26 22:34:19
ずれたw
849:名無しさん@お腹いっぱい。
08/12/26 22:35:25
HiJackThis、ComboFixが使えないNoobは大人しくリカバリしろってことだよ。
850:名無しさん@お腹いっぱい。
08/12/26 22:45:42
URLリンク(kissho1.xii.jp)
鍵はkey
俺はこれで駆除できた・・・気がするんだがどうなんだ
851:名無しさん@お腹いっぱい。
08/12/26 22:47:39
一通り削除できたと思ったんだが、rundll32.exeが常駐し続けてるなぁ
この場合はどうすればよいですか?
852:名無しさん@お腹いっぱい。
08/12/26 22:55:59
だめだ、もう俺はリカバリ
あばよ
853:名無しさん@お腹いっぱい。
08/12/26 22:57:41
スッキリ!!!
854:名無しさん@お腹いっぱい。
08/12/26 23:23:40
>>847
はいはいヤバスヤバス
OS再インストールコースいってらー
ダウンローダはブロックと除去できるの多いけど、稼動すると生成される>>829とか、そいつが落としてくる>>820なんかは
全部撃墜できるとこ少ないな。現時点では全てを除去できるのないから、複数のベンダー組み合わせてやるとか
しないとだめだわ。取り敢えず俺も検体提出いってくらー。
OS再インストールコースの方が早いし安全確実。
855:名無しさん@お腹いっぱい。
08/12/26 23:33:39
駆除が完了したゆとり君たちが活発に動き出しましたねw
856:名無しさん@お腹いっぱい。
08/12/27 00:04:31
と、情弱が何か言ってますw
857:名無しさん@お腹いっぱい。
08/12/27 00:05:21
Macなら感染しないっぽいな
858:名無しさん@お腹いっぱい。
08/12/27 00:06:50
これってファイルダウンロードをキャンセルしたらセーフ?
859:名無しさん@お腹いっぱい。
08/12/27 00:08:34
>>857
ウィルスとかはほとんどWindows向けだからな
860:847
08/12/27 00:11:19
ほんとにやばいみたいw
NOD32とOne Careはやって、その後もっかいフルスキャンして駆除したのに
レジストリにfxstaller普通にある
消しても出てくる
861:名無しさん@お腹いっぱい。
08/12/27 00:12:43
2008年5月末に公表された、有名な独立検査機関av-comparatives.orgによる新種のウイルスに対する検出能力調査では、総合成績(検知率と誤検知数の少なさの総合評価)で断トツのトップ成績(検知率72%・誤検知数8)に輝いた。
第2位はNOD(ESET)(検知率57%・誤検知数7)。
この2つだけが最優秀ソフトに認定された(新種のウイルスを検知する能力)。
なお、他の主な有名ソフトでは、McAfeeが32%(0),AVG32%(10),Microsoft29%(5),G DATA29%(11),Avast28%(23),カスペルスキー21%(2),ノートン18%(2),F-Secure6%(2)ほかであった。
なお、( )の数は誤検知数をあらわす。
862:名無しさん@お腹いっぱい。
08/12/27 00:15:37
>>861
情報古い
URLリンク(www.av-comparatives.org)
863:名無しさん@お腹いっぱい。
08/12/27 00:15:49
>>861
AntiVirのことね。
864:名無しさん@お腹いっぱい。
08/12/27 00:17:28
>>862
それは、未知のウイルスのテストじゃないじゃん。
既出のウイルス検知率だろ。
865:名無しさん@お腹いっぱい。
08/12/27 00:17:37
今回の騒ぎでわかったこと
ソースネクストは役にたたね
サブPCのAvastの方が優秀とか…
866:名無しさん@お腹いっぱい。
08/12/27 00:18:29
>>864
ゆとりもほどほどにね
>ProActive - Test
867:名無しさん@お腹いっぱい。
08/12/27 00:21:32
ID出ないとなんでも言えるんだなw
>>865
ウィルスセキュリティZEROのことか?
それなら実行直後に通信をブロック云々と出てきたんじゃないかい?
そういう警告を無視して許可したんだからもう手の着けようがないバカだよな
868:名無しさん@お腹いっぱい。
08/12/27 00:21:49
F2ブログでこれ取り上げてる人のところから来ますた。
IMG455踏んでしまって実行ファイルまで起動したが、
ウィルスキラーはトロイの木馬と見抜いて削除してくれた。
レジストリも調べたけど、報告されてるfxstallerとかも無かったし、
ウィルスキラーいけるんじゃないかと。
869:名無しさん@お腹いっぱい。
08/12/27 00:22:52
>>859
そもそもマックはexeファイル開けんらしいな…不便杉
870:名無しさん@お腹いっぱい。
08/12/27 00:28:01
>>860
>>820ちゃんと読んだ?
一旦発動させてしまうと、未対応の為除去されないファイルがある。
全部に対応したセキュリティソフトは現時点ではないので、どれで除去しても、必ずどこかに残骸が残る。
どれかが残って稼動している為に、起動する度に再生成されることになる。
消しても消しても、まだだ、まだ終わらんよっつって復活してくる訳だ。
現時点でこれを奇麗に消すためには、OSを入れなおすしかない。
>820に置いてあった検体の検出結果を一応挙げとくとこんな感じ。
(11/39) URLリンク(www.virustotal.com)
(12/39) URLリンク(www.virustotal.com)
(9/39) URLリンク(www.virustotal.com)
(7/39) URLリンク(www.virustotal.com)
(4/39) URLリンク(www.virustotal.com)
(7/39) URLリンク(www.virustotal.com)
871:名無しさん@お腹いっぱい。
08/12/27 00:31:52
年末年始もシマンテックやトレンドマイクロは仕事してるよね?
872:名無しさん@お腹いっぱい。
08/12/27 00:39:21
>>868
それはダメポなソフト。「ウィルスキラー」の中身は「Rising Antivirus」
ダウンローダの検体送ったら、こんな回答よこす会社です。捨てちまえ。
>2. Filename:IMG455.jpg-www.photo.com
> No malware.
多分検知したのは「cbXQgfcb.dll : Trojan.Win32.VUNDO.cel」と「awtTjgHy.dll : Trojan.Win32.VUNDO.cel」と
「xxywWpoo.dll : Trojan.DL.Win32.Undef.cud」の3つだと思うけど、その1ファイルは除去できても、
他がまるっきり残ってるから。
残念だったな。検出して除去しても「他が残っていない保証にはならない」のだよ。
873:名無しさん@お腹いっぱい。
08/12/27 00:41:06
トレンドマイクロは年末休暇ですがなにか?
874:名無しさん@お腹いっぱい。
08/12/27 00:45:50
AntiVirは土日休みだからこの間はアップデートしてくれねぇ・・・・
875:名無しさん@お腹いっぱい。
08/12/27 00:50:21
>>857
ざっと聞いて回ってみたがMacの感染者は見当たらんね。マカーの唯一の強みだな。
876:名無しさん@お腹いっぱい。
08/12/27 00:51:11
おい友人から
foto URLリンク(hi5) .eu.com/ id.php?=●●が連続で送られてくるんだけど
これ返信しても相手に聞こえてないのか?
877:名無しさん@お腹いっぱい。
08/12/27 00:52:47
>>872
検知したウィルスは「Trojan.Win32.Undef.vov」ひとつだな。
system32内でIMG455実行した時刻と同時刻に作られたファイルの中で、
特に変なのも確認できなかった。
まあ、ダメそうなソフトではあるが。
878:名無しさん@お腹いっぱい。
08/12/27 00:56:34
>>876
絶対にクリックするなよ!ウィルスだからな!
879:名無しさん@お腹いっぱい。
08/12/27 00:56:36
>>876
聞えない
880:名無しさん@お腹いっぱい。
08/12/27 00:58:09
>>870
そのうちの3つはNortonは検出できるようになってる、ま、全部検知できなきゃ意味ないんだけど
全部検知できるベンダーはいまだない・・・
881:名無しさん@お腹いっぱい。
08/12/27 00:58:10
sleipnirとavast先生のおかげでなんとも無かったが・・・
困ったなこれw
882:名無しさん@お腹いっぱい。
08/12/27 01:05:46
>>881
sleipnirだと大丈夫なもんなの?
883:名無しさん@お腹いっぱい。
08/12/27 01:06:45
やべぇクリックしちまったorz
Google Chromeさんは「エラー: このリンクは無効です。」
Sleipnirさんは「Internet Explorer は、要求された Web ページにリンクできませんでした。」
で、DLとかなにもされなかったけど、
これ、大丈夫なの?
884:名無しさん@お腹いっぱい。
08/12/27 01:08:56
>>882
URL送られてきてとりあえず踏んだら
MS-DOSアプリを実行しますか?って表示出してくれたから、なんじゃこりゃって感じで
885:名無しさん@お腹いっぱい。
08/12/27 01:22:05
ダウンロードしなければ大丈夫。
886:名無しさん@お腹いっぱい。
08/12/27 01:31:02
ダウンロードしても実行せずにゴミ箱ぽいぽいすれば大丈夫だぞ
887:名無しさん@お腹いっぱい。
08/12/27 01:31:52
>>737
ありがとうございます!
それと、AVGを試してみたところごっそりトロイなどを消せたのですが、とりあえずはこれで大丈夫でしょうか・・・・?
888:名無しさん@お腹いっぱい。
08/12/27 01:34:42
だめ。OS入れなおせwww
いや、発動させちゃった場合はマジに。
889:名無しさん@お腹いっぱい。
08/12/27 01:55:04
ウイルス対策ソフトを、乗り換える場合の各完全削除ツール一覧
URLリンク(kaspe.2chv.net)
890:名無しさん@お腹いっぱい。
08/12/27 02:21:55
>Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
って書いてある日記サイトあるんだがIEじゃないと駄目なのか?
サファリとか火狐なら開いても発動しないのかね
891:名無しさん@お腹いっぱい。
08/12/27 02:23:44
ちょっと書き方がややこしいかも。
要するにファイルをダウンロードして実行したらoutってことでしょ。
892:名無しさん@お腹いっぱい。
08/12/27 02:26:28
落としても実行しなければセフなのかな。㌧
ウィルス検知されればある意味安心なんだが検知されないと見落としてるんじゃないかって逆に不安になるorz
893:名無しさん@お腹いっぱい。
08/12/27 02:30:03
やじうまwatchは多分連休でお休み中
ギガシンやスラッシュドットも来てない、はてな系もほとんど無し、
痛いニュースにあるわけもないし それほどの規模ではないのか、
それとも特落ちなのか?
894:名無しさん@お腹いっぱい。
08/12/27 02:41:50
消えない3つのウィルスの内、OneCareオンラインスキャンとAVGの最新定義で
一つだけ駆除できた
明日、仕事納めなんで、それ終わったらOS入れなおすか・・・
895:名無しさん@お腹いっぱい。
08/12/27 02:45:26
ノートン使ってる人はシマンテックに積極的に検体提出した方がいいよ
いくつか検体送ってみたが数時間で対応してくれた(私はNorton使ってないのでVirustotalで確認)
恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない、あとは一日単位
896:972
08/12/27 03:02:13
>>972
すみません。ヒントとなる場所を見つけたので自己解決とさせていただきます。
一応、同じ被害の人がここにもいるようなので置いときます。
※ウィルス※ Windows Live Messenger で感染!?
スレリンク(sec板:496番)
同じ被害の人がここにもいるようなので置いときます。
ノートンが素通りさせたので感染したようです。
897:名無しさん@お腹いっぱい。
08/12/27 03:03:08
激しく誤爆
898:名無しさん@お腹いっぱい。
08/12/27 03:04:14
>>859
俺はAviraメインだけど、SymantecやKaspersky、Mcfee、VirusBaster、avastとかに検体送ってる。
今回のIMG455.jpg-www.photo.comと>>820は送ってあるので後は対応待ちだな。
899:名無しさん@お腹いっぱい。
08/12/27 03:06:28
>>898の誤字が酷い件について
それと
× VirusBuster
○ TrendMicro
ね、VirusBusterだとハンガリーのアンチウイルスベンダーになっちゃうので
900:名無しさん@お腹いっぱい。
08/12/27 03:13:17
NOD32アンチウイルスをインストールしようとすると[1]と出てインストール出来ないのですが、どなたか解決方法分かる方教えていただけませんでしょうか?
901:名無しさん@お腹いっぱい。
08/12/27 03:19:53
昨日感染してこのスレ見つつ色々やってみたが
imgsは見つかったけど、fxstallerが一向に見つからない件
imgsだけ作成されてfxstallerが作成されないってのもあるのかな?
902:898
08/12/27 03:19:56
>>899
本当によく見ると酷いな……
安価は>>859になってるし(本来は>>895)。
MSは>>820のやつをssqOHYSJ.dll以外対応したかな?
心配なやつはOneCareいってくればいいかも。
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
ssqOHYSJ.dllはSymantecかTrendMicroかNOD32使ってりゃ検出する。
その他のがまちまちだから、心配ならやっぱりOneCare逝って来い。
903:名無しさん@お腹いっぱい。
08/12/27 03:21:22
追記>>901
ランダムdllも生成されてないっぽい
904:名無しさん@お腹いっぱい。
08/12/27 03:28:26
>>902
>>820の検体は私も大手ベンダーに提出しておきました(私が送ったベンダーはAvira、BitDefender、Symantec、Kaspersky、ESET、Panda)
Aviraは土日休みだから仕方ないとしてSymantecは最初オールスルーだったのにそこから数時間で4つも検出できたのはお見事だし対応速度も速く好感持てました
以前まではSymantecは検体送っても対応するのは1週間後というイメージがありましたから最近の対応の速さはそのイメージを払拭してくれますね(他にもいろいろと検体送りましたが大体1日で対応してくれました)
逆にガッカリしたのはBitDefender、こちらもいくつか検体送ってますがまだ対応してない検体が多い・・・
一日のアップデート回数は多いのに・・・
905:名無しさん@お腹いっぱい。
08/12/27 03:33:10
今OneCareでスキャンしたら、やっぱりトロイの木馬が出てきたな。
昨日のNOD32で完全に駆除されたわけじゃなかったのか。
906:名無しさん@お腹いっぱい。
08/12/27 03:36:41
onecareでトロイみつかったけど、駆除できませんとかいわれたぜ・・・
907:名無しさん@お腹いっぱい。
08/12/27 03:42:45
>>895
>恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない
そこは間違ってるので突っ込ませてくれ。
月に数回は新種の検体送ってるけど、ノートンが数時間ってのはなにかの間違いかと…って言う位対応遅いよ。
今回は運が良かったのかもね。数時間で対応したんじゃなくて、他の人がもっと早く検体提出してたので
対応までの時間が短かったように感じられるだけ。
最近は返答が1~2日で来るけど、それも新種は、検知できなかったので人力で解析しますって返答でCLOSE。
実際の対応は、1週間で終わってないとか結構あるよ。マカフィーも、返答はある程度早いけど、新種への対応は
鈍い気がしますね。
本当に早いのはカスペとAvira(AntiVir)。カスペは対応が異様な程早い。
それよりちょっと遅いけどFortinetも早いね。提出してないのはすり抜け多いが。
で、この文面書いてる間に、Fortinet きた。次のアップデートで対応。(※ パターンがアップされるまでは未対応です)
>820と>829の検体提出してから4時間位。今回は早かったな。
The samples you submitted will be detected as follows:
imgs.exe - W32/Agent.AZOB!tr
spc.exe - W32/Agent.AZOB!tr
IMG455.jpg-www.photo.com - W32/Agent.AZOB!tr
awtTjgHy.dll - W32/Dropper.CA!tr
cbXQgfcb.dll - W32/Dropper.CA!tr
ewulmrrn.dll - W32/Agent.AZOB!tr
xxywWpoo.dll - W32/Agent.AZOB!tr
ssqOHYSJ.dll - W32/Agent.AZOB!tr
InstallAVg_770522156649.exe - W32/FraudLoad.VET!tr
カスペは提出から10分位で返答。流石に誰かが先に提出済みだったんだとは思うが。
DLLは無害扱いしてる辺りに疑問が残るけど。
908:名無しさん@お腹いっぱい。
08/12/27 03:43:12
年末だしクリーンインストールオススメする(´・ω・)ス
909:名無しさん@お腹いっぱい。
08/12/27 03:48:05
今年のウイルス
910:名無しさん@お腹いっぱい。
08/12/27 03:49:10
>>907
Aviraはカスペより対応速度遅いよ
カスペと比べたら対応にだいぶ時間かかってる印象を受ける、ただAviraにとって最大の問題は土日なんだけど
ノートンとマカフィーは最近になってだいぶ対応が速くなった印象を受けるんだけどね~
じゃないとパルスアップデートやActiveProtectionが活きないって
911:名無しさん@お腹いっぱい。
08/12/27 03:52:43
RUNDLL
C:\WINDOWS\system32\tuvUNEXp.dll を読み込み中にエラーが発生しました。
アクセスが拒否されました。
ってのが無数に出てきてオワタwwww
もうクリーンインストールしかない・・・orz
912:910
08/12/27 03:54:21
あとノートンの場合はSymantecに検体提出してSymantecから返事来るだいぶ前に既に対応してるというパターンもありっていうかこのパターンばかり(Virustotalで確認、2009だったらもっと早く検出できるかもしれない)
913:898
08/12/27 03:56:03
>>907
カスペはssqOHYSJ.dll以外はウイルスって言って対応したはず。
ssqOHYSJ.dllはNo malicious code was found in this file.って言われた。
914:名無しさん@お腹いっぱい。
08/12/27 04:00:10
>>913
カスペから返事が来てたのか・・・
となると私の方にはカスペから返事は来ませんね・・・
Panda2009もssqOHYSJ.dllだけスルーであとは疑わしいファイルとして検出だからssqOHYSJ.dllはPandaにとっても白判定なんでしょうかね・・・
Pandaはメールで検体送っても返事が全く来ないからわかりません、ま、返事が来ないベンダーの方が多いんですけど(BitDefenderもavast!も)
915:898
08/12/27 04:11:56
Mcfeeからのお返事のコピペ。
5030850 ssqohysj.dll inconclusive null null 12/26/08 No
5030850 xxywwpoo.dll inconclusive null null 12/26/08 No
5030850 awttjghy.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 cbxqgfcb.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 ewulmrrn.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 installavg_770522156 new detection generic downloader.x Trojan 12/26/08 Yes
Mcfeeはssqohysj.dllとxxywwpoo.dllが白って言ってますね。うーん。
これはssqohysj.dllは白なのかな?でも対応しているベンダーもあるし……
916:名無しさん@お腹いっぱい。
08/12/27 04:14:41
>>915
KasperskyもPandaも白と言ってるしssqohysj.dllはやはり白なんじゃないかな?
Aviraにも提出したからあとはAviraの回答待ちですかね
917:898
08/12/27 04:16:14
一応、カスペの他のファイルのお返事も置いときますね。
awtTjgHy.dll - Trojan-Downloader.Win32.Agent.axsv,
cbXQgfcb.dll - Trojan-Downloader.Win32.Agent.axsx,
ewulmrrn.dll - Trojan.Win32.Agent.baer,
xxywWpoo.dll - Trojan.Win32.Monder.afwm
InstallAVg_770522156649.exe_ - Trojan-Downloader.Win32.FraudLoad.veti
918:名無しさん@お腹いっぱい。
08/12/27 04:21:10
>>912
対応済みの検体ばっか送ってるんならそりゃ速いよなー
俺は10回ぐらいしか送ったことないけどノートンのは対応遅い印象がある
何年かかっても直らないノートントラップの誤検知もなんとかしてくれないかな
919:名無しさん@お腹いっぱい。
08/12/27 04:26:12
NOD32後、Onecareでも消えないdllあって自動更新も有効に出来なかったけど
ComboFix使ってみたら正常に戻った・・・ように見える
まだなんか潜んでそうだからも一回フルスキャン中・・・
920:名無しさん@お腹いっぱい。
08/12/27 04:28:22
自動更新も有効になるし、ウイルスに掛かってたときのような重さもない
だけど、レジストリでfxstallerを検索かけると、またいくつかヒットする
害はないし、敢えて無視してるけど
921:名無しさん@お腹いっぱい。
08/12/27 04:51:31
NOD32、OneCare、SUPERAntiSpyware、Spybot、ウイルスバスター、手動でファイル及びレジストリ削除を
乗り継いで、ようやく一見元に戻った感じになった
対処としては今のところはOS入れ直しが一番手っ取り早そうだ
922:名無しさん@お腹いっぱい。
08/12/27 05:04:26
どの会社のアンチウィルスソフトがいいの考えるいい機会にはなったなw
923:名無しさん@お腹いっぱい。
08/12/27 05:16:00
よく分からない物踏んだり、実行したりする人って結構いるんだなと思った。
924:名無しさん@お腹いっぱい。
08/12/27 05:17:03
IEでなんか偽ソフトに飛ばないし
imgs.exe、これとか見つかんないしfxstallerも見つからないだ
しかも、これってシステムの復元ポイントも綺麗さっぱり消えて、復元出来ない訳だし
俺の場合復元できたってことは感染していない証拠なのかな?
925:名無しさん@お腹いっぱい。
08/12/27 05:23:15
>>919
セーフモードでスキャンして隔離させると削除出来ると思う
926:名無しさん@お腹いっぱい。
08/12/27 05:56:38
>>925
セーフモードでComboFixやったのがよかったのかも知れんな
927:名無しさん@お腹いっぱい。
08/12/27 05:57:37
OneCareのプロテクト スキャン
URLリンク(onecare.live.com)
928:名無し~3.EXE
08/12/27 07:36:09
マカフィー入ってる状態で感染して、5分おきにトロイの削除祭り;;
セーウモードでfxstaller.exeとimgs.exe削除して、再起動で立ち上げて
マカフィーの削除祭りが終わりを告げてくれて、NOD32でスキャン・削除したけど
それじゃ終わってないと知ってすぐにOneCare
ザクザク引っかかったけど、うちは全部消せた。
その後にAVGで問題無かったから大丈夫と信てる… いや信じたい…
今トロイの検出なし、メッセにも普通にイン出来てエラーもなし。
マカフィー入れてたおかげで、windows\system32に作られるファイル全部
削除してくれたおかげと、セーフモードで作業したのが良かったのかな?
とりあえず、もう開放されたい。これ、マジで;;
929:名無しさん@お腹いっぱい。
08/12/27 07:39:06
スレの進み方的に言って、いままでで一番感染が広まったんだろうなあ。
おれもメッセで広がるタイプには感染した。
ウィルスがメッセで来たことは何回かあったけど、今回は引っ掛かってしまったわ。
930:名無しさん@お腹いっぱい。
08/12/27 07:44:50
>>929
× おれもメッセで広がるタイプには感染した。
〇 おれもメッセで広がるタイプには初めて感染した。
すまん。
931:名無しさん@お腹いっぱい。
08/12/27 08:45:05
urlも疑わないでクリックしすぎだろ・・・w
まず引数として最後に自分のアドレスを持ってること自体・・。
932:名無しさん@お腹いっぱい。
08/12/27 08:48:42
俺の全然話さない知り合いが俺の画像を悪ふざけでネットにばらまいたのかと思ったんだよ!
933:名無し~3.EXE
08/12/27 09:15:46
>>932
うん、えっと、とりあえずだ
そんな話もしない知り合いに自分の画像渡すなっ!
吹いたじゃねーかwww
934:名無しさん@お腹いっぱい。
08/12/27 09:49:49
MicroSoftの返答 今朝の9:28。OneCareなら「ssqOHYSJ.dll」以外消せるかも。
他にも未知のもの落とされてる可能性があるので、やっぱりOS再インストールが最適解。
20081226.zip [Container]
+---IMG455.jpg-www.photo.com [VirTool:Win32/CeeInject.gen!J]
+---(SfxCab) [VirTool:Win32/CeeInject.gen!J]
+---imgs.exe [VirTool:Win32/CeeInject.gen!J]
+---ssqOHYSJ.dll [Changes to detection currently undergoing testing]
+---spc.exe [Trojan:Win32/AgentBypass.gen!I]
+---awtTjgHy.dll [Trojan:Win32/Vundo.gen!C]
+---cbXQgfcb.dll [Trojan:Win32/Vundo.gen!C]
+---ewulmrrn.dll [Trojan:Win32/Vundo.gen!Y]
+---InstallAVg_770522156649.exe [Trojan:Win32/FakeXPA]
+---xxywWpoo.dll [Trojan:Win32/Vundo.D]
935:名無しさん@お腹いっぱい。
08/12/27 10:04:43
ssqOHYSJ.dllに関しては、ウィルス本体に使用されるライブラリで、
それ自体はウィルス的活動をせず、実害はないのかもね。
936:名無しさん@お腹いっぱい。
08/12/27 10:22:04
本体削除、バスター、OneCareでスキャン
正常っぽい状態に復帰したけど、ネット接続切ってると
知らんタスク(バックグラウンド)がオフライン作業or再接続を聞いてきた orz
あきらめて再インスコ やっとオワタ
937:名無しさん@お腹いっぱい。
08/12/27 10:24:00
クリーンインストールなんか30分で終わるな。
64bit Windows Vista HomePremium SP1で
938:名無しさん@お腹いっぱい。
08/12/27 11:02:22
バックアップとってOS入れなおそうと思うんだけど
このウイルスUSB感染とかした例ありますか?
939:名無しさん@お腹いっぱい。
08/12/27 11:07:41
>>933
占い好きなやつからだったし、おれのメッセアドで占ったかと思った。
いきなりURL出すようなウィルスみたいな奴だから、開いた。
たぶん今回引っ掛かった人はほとんどがウィルスが出回ってることを知ってた人だと思う。
状況によっては油断するもんだよ。
自分は絶対感染しないとか思わないで明日は我が身と思うべきだなと思う。
940:名無しさん@お腹いっぱい。
08/12/27 11:08:22
明け方にも書いたけど、もう少し簡単に詳しく
セーフモードでスキャンかけると、システムに掴かませて削除出来ないウイルスが削除出来る可能性が高い
他の自己複製型ウイルスもこのタイプのものが多く、マカフィーの公式でも、このタイプはセーフでスキャンすれば隔離出来ると書いてあったとおもう
それとは別にアクティブにならないと検出されにくい物もあるので、こちらは通常起動でスキャンしたほうがいいかも
セーフして自己複製型消してからが一番手早いさばき方と推測してるど、一部消えない&鬼沸きな人はこの手順で試してみて
最後にワクチン配布されたらウイルス全部消えていても実行すれば、不要に書き込まれたレジストリを戻してもらえるかもしれない
941:名無しさん@お腹いっぱい。
08/12/27 11:30:50
アドレスとファイル名であからさますぎな時点で絶対に引っかからないなw
さすがにこれに引っかかるやつはどうかしてる。
942:名無しさん@お腹いっぱい。
08/12/27 11:36:53
引っ掛かるひっかからない言ってるやつはここからカエレ。人間誰にでも間違えはあるんだよ。あんたみたいないっつも家に引き込もってパソやってるやつはそりゃひっかからないだろうな(笑)
943:名無しさん@お腹いっぱい。
08/12/27 11:36:55
そんなにあからさまか?
944:名無しさん@お腹いっぱい。
08/12/27 11:43:59
>>941みたいなのがいっぱいいるから専門家は奔走するんだよな
こういう手合いはウィルス感染して撒き散らしていることにまったく気づかない
945:名無しさん@お腹いっぱい。
08/12/27 11:59:08
ssqOHYSJ.dllの検索結果 2 件中 1 - 2 件目 (0.07 秒)
946:名無しさん@お腹いっぱい。
08/12/27 12:01:52
imgs、fxstallerのexe削除、sys32内のランダム生成dllも消した
レジストリも掃除した
なのになぜか自動更新の警告が未だに出てくる
947:名無しさん@お腹いっぱい。
08/12/27 12:08:09
年末だから気をつけないと第二第三の…。
948:名無しさん@お腹いっぱい。
08/12/27 12:08:53
>>947
そうねえ・・・起動しっぱなしの人はスケジューラで更新したほうがいいね
949:名無しさん@お腹いっぱい。
08/12/27 12:35:44
なんか感染した自分が恥ずかしいな
950:名無しさん@お腹いっぱい。
08/12/27 12:44:07
メッセはずっとつけてるのに、そんなの送られてこなくて逆に寂しい。
全員に送ってるわけではないのね。
951:名無しさん@お腹いっぱい。
08/12/27 12:57:13
友人が感染してないのはいいことじゃないか
つか俺は同じ奴から3回届いたぜ
悪いとは思いつつ吹いた
952:名無しさん@お腹いっぱい。
08/12/27 12:57:40
C:\WINDOWS\system32\rundll32.exe "C:\WINDOWS\system32\byXPIcaY.dll",ShellPath
これはなにー?
953:名無しさん@お腹いっぱい。
08/12/27 13:05:08
>>951
なるほど、
ウイルス制作者→誰か の他にも
感染者→誰か でも移るんだもんな。
そしてワラタw
954:名無しさん@お腹いっぱい。
08/12/27 13:19:46
で、今回のばい菌はどんな悪さをするので?
955:名無しさん@お腹いっぱい。
08/12/27 13:22:20
・インチキセキュリティソフトのインスコ
・IRC-Botで遠隔操作(何でも可能)
956:名無しさん@お腹いっぱい。
08/12/27 13:26:06
遠隔操作…だと?あと50程で満スレ
957:名無しさん@お腹いっぱい。
08/12/27 13:33:24
遠隔操作というか、指令センターからの指令待ち。
URLリンク(www.ccc.go.jp)
958:名無しさん@お腹いっぱい。
08/12/27 13:54:00
25日に落としたIMG~~.comと、たった今落としたIMG~~.comのファイルサイズが違うぞ!?
ウィルスのバージョンアップでもしたのかなぁ?
959:名無しさん@お腹いっぱい。
08/12/27 14:21:32
今年のウイルス、今年のうちに~
960:名無しさん@お腹いっぱい。
08/12/27 14:23:22
年末年始は気をつけてね
URLリンク(www.antivirushell.com)
961:名無しさん@お腹いっぱい。
08/12/27 14:25:13
Aviraは土日入るとどうしようもないな
休みのおかげでまったくアップデートしない
962:名無しさん@お腹いっぱい。
08/12/27 14:38:06
どっかでみたO4エントリーだと思ったら今年の初め頃のVundoだった
963:958
08/12/27 14:42:19
IMG~~.comの中身が
今までは imgs.exe だったのが、
今回のは myspace.exe となっていました
不確か過ぎる情報になるが、古いタイプの物ならonecareとかだけでも対処できたっぽい(?)
964:名無しさん@お腹いっぱい。
08/12/27 14:45:21
>>963
ほとんど検知せず全滅の状態
URLリンク(www.virustotal.com)
ちなみにVTではスルーだけどPanda2009でも検出できます
965:名無しさん@お腹いっぱい。
08/12/27 14:53:06
OneCareで今やってるが出てくる出てくる同じ名前のやつがwこれ何時間くらいでおわるん?
966:名無しさん@お腹いっぱい。
08/12/27 14:54:36
>>963
またお寒い検出率。
myspace.exe(4/39)
URLリンク(www.virustotal.com)
IMG455.jpg-www.photo.com(6/39)
URLリンク(www.virustotal.com)
===== myspace.exe(4/39) =====
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J
===== IMG455.jpg-www.photo.com(6/39) =====
a-squared 4.0.0.73 2008.12.27 Backdoor.Rbot!IK
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
967:名無しさん@お腹いっぱい。
08/12/27 14:57:02
>>966
GDATAがカスペ捨ててBitDefenderを選ぶのはわかるような気がする
でもBitDefenderって一度スルーするとどうしようもないんだよな・・・
その後の対応にかなり時間かかる
968:名無しさん@お腹いっぱい。
08/12/27 15:45:32
ウイルス?そんなもの来ませんでした
だって、友達がいないんだもん・・・
969:名無しさん@お腹いっぱい。
08/12/27 15:51:33
なんでメッセ入れてるの??????
970:名無しさん@お腹いっぱい。
08/12/27 16:19:39
とりあえずOneCareでセーフモードと通常でスキャンした…これで事が治まればいいのだが…
971:名無しさん@お腹いっぱい。
08/12/27 16:41:08
WIN2000でもいけるのないかな…_| ̄|○
972:名無しさん@お腹いっぱい。
08/12/27 16:46:29
>>971
@niftyウイルスチェック(カスペエンジン)
URLリンク(www.nifty.com)
973:名無しさん@お腹いっぱい。
08/12/27 16:47:10
OSの上書きインストールくらいじゃどうにもならなかった・・・
974:名無しさん@お腹いっぱい。
08/12/27 16:49:11
さっきPCショップでウイルス対策ソフトのとこ見てたらマカフィーがWIN2000でもいけますってあった
975:名無しさん@お腹いっぱい。
08/12/27 16:50:43
Spyware Doctorを使っている者なのですが
大体5分毎位に、
脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}
脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore
脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Time
脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Count
脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Type
が出てきて困ってます。
IMG~~.comかかったのが26日の7時なのですが
このスレの最初から割と丹念に見て、
ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
未だに残っている状況です。
スレも最後の方なのですが、よろしくお願いしたいです・・。
976:名無しさん@お腹いっぱい。
08/12/27 16:59:43
うーむ、これ引っかかったやつは不注意すぐるぞ
977:名無しさん@お腹いっぱい。
08/12/27 17:03:22
感染したHDDを他のPCでスキャンしても、完全に除去できないの?
978:名無しさん@お腹いっぱい。
08/12/27 17:04:11
>>973
そりゃあ、OS自体は壊れている訳でないから当たり前といえば当たり前の結果だな
根本を削除しない限りもと通りにはならんよ
979:名無しさん@お腹いっぱい。
08/12/27 17:04:12
971です!ありがとう!!がんばってくる!!!
お前ら大感謝だっ( ´Д⊂
980:名無しさん@お腹いっぱい。
08/12/27 17:29:22
>>975
>>940を試してみて
> Spyware Doctorを使っている者なのですが
> 大体5分毎位に、
> ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
> 未だに残っている状況です。
>
> スレも最後の方なのですが、よろしくお願いしたいです・・。
981:名無しさん@お腹いっぱい。
08/12/27 17:52:08
超亀だが俺も>>903と同じ症状だわ
逆に不安になる
982:名無しさん@お腹いっぱい。
08/12/27 17:54:17
>>981
んー、一応クリックはしちゃった感じ?