※ウィルス※ Windows Live Messenger で感染!?at SEC
※ウィルス※ Windows Live Messenger で感染!? - 暇つぶし2ch738:名無しさん@お腹いっぱい。
08/12/26 15:29:05
>>736
英語のサイトに誘導されるのは確かfxstaller.exe が原因だった

↓このソフトダウンロードしたら
URLリンク(images.malwareremoval.com)

RSIT.exeを実行して
"Continue"をクリック
ちょっとするとメモ帳が開くからその内容を貼り付けてもらえれば
わかるんだけど。(または"C:\rsit"に保存されている「log.txt」)

これがいやならComboFix使ってもいいし



739:名無しさん@お腹いっぱい。
08/12/26 15:31:39
ウィルスは駆除出来たんだが 自動更新だけ直せない 教えてえらい人

740:名無しさん@お腹いっぱい。
08/12/26 15:32:59
ウィルスが作成している以上、無害ファイルというのは作らないと思うんだが・・・
まぁ言い方次第だろうけど、
自分のPCには無害なファイル?
準備段階で活動していないファイル
と言うべき“内容”かな

741:名無しさん@お腹いっぱい。
08/12/26 15:38:54
OneCareでトロイ駆除した後に
バスターを起動しスキャンをしたらスパイウェアがまだ出てきます
まだ残ってて繁殖でもしてるのでしょうか・・・

742:名無しさん@お腹いっぱい。
08/12/26 15:40:50
君たち!
まず無料のアンチウイルスソフトを入れる。
残った問題に対処する。
終了。

これで決まりだね!

743:名無しさん@お腹いっぱい。
08/12/26 15:44:08
他のトロイも呼び込んでるようなので
駆除後にもっかいスキャンしといた方がいいらしい

744:名無しさん@お腹いっぱい。
08/12/26 15:46:47
感染してるかどうかはどうすれば分かるの?

745:名無しさん@お腹いっぱい。
08/12/26 15:46:50
>>740
作るよ。
このウイルスを例にとるとiniファイル、dll、txtファイル、job、等作るけど
ini、dllは単体じゃ動作できない。主となるexeファイルがなければ無害。
ただの残骸。
txtファイルなんて単体でも無害でしょ。
↓これとか
C:\WINDOWS\system32\732335b2-.txt

NODがどこまで駆除できるかわからないけど、大本は
駆除できるみたいだから(だよね?)
NODが逃したとすれば大本がいないと動けないファイル類。

↓これとかw
C:\WINDOWS\system32\732335b2-.txt
ini類とか・・

746:名無しさん@お腹いっぱい。
08/12/26 15:49:24
Combofix使って削除したら自動更新も有効になったんだけど

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
が開けなくなった。
キーを開こうとしてエラーが発生しましたって出る

747:名無しさん@お腹いっぱい。
08/12/26 15:52:10
>>746
エラー内容はそんだけ?
再起動しても治らないのか?

748:名無しさん@お腹いっぱい。
08/12/26 16:00:02
>>746
直らなかった。
エラーの表示でぐぐったらレジストリが壊れてるとか書いてあった・・・
結局OSいれなおしか・・・うわーい

749:名無しさん@お腹いっぱい。
08/12/26 16:00:59
>>737
検出できてるのはダウンローダだけで、除去するまでに落とされた未知のマルウェアが活動してたら
止めようがない。マルウェア活動中だと主立ったセキュリティソフトは動作停止させられたりインストール失敗したり
させられるので、感染後に除去するのは困難。

別ドライブとかCD起動してから除去する形になるが、その環境がない場合にはOS入れ直しコース。

一旦擦り抜けて活動開始されちまった場合は、OS入れ直し以外では残骸がいつ活動再会するか不明。
WindowsUpdate止められたり、セキュリティソフトのパターン更新止められるような状況の場合は
素直にOS入れ直しやリカバリーを行なうこと。レジストリエディタの起動ができないケースもOS入れ直し。

750:名無しさん@お腹いっぱい。
08/12/26 16:03:02
>OS入れ直し以外では残骸がいつ活動再会するか不明。
本体がないのにどうやって活動するんだよw

751:737
08/12/26 16:04:22
>>749
だよなぁ。
ウイルスに感染したら基本リカバリーだな。

752:名無しさん@お腹いっぱい。
08/12/26 16:05:27
初期化ってどうやるんだ
Vistaのディスク入れて再起動してんのに何にも反応しないんだけど
Fキー押せばいいの?誰か頼む

753:名無しさん@お腹いっぱい。
08/12/26 16:05:37
メッセンジャーは使えるようになったのですが
自動更新が有効にならない場合は何が原因なのでしょう

754:名無しさん@お腹いっぱい。
08/12/26 16:06:10
大事なファイルをCDとかに焼いても大丈夫か誰か教えてくれ

755:名無しさん@お腹いっぱい。
08/12/26 16:08:46
まぁウイルスに感染したらOneCareとかNODとか使っても基本無駄だよな。
駆除するならログとってあやしいファイルをすべて割り出して削除するのが
確実に駆除できる。

Windows Live Messenger のスレの人たちはログもとらずにdll消してるみたいだけど
怖くないのかw


756:名無しさん@お腹いっぱい。
08/12/26 16:10:01
既出かもしれんが教えて。
これって最初のDropperがIExpress形式(古いアップデートパッチのキャビネットファイル自己展開形式)なExeがoctet/streamで送りつけられているんだけど,
IExpress形式ってブラウザでいきなり実行されたっけ?
手元にIEAKがなくてためしにパッケージ作れんので,誰か試した人が居たら教えて。
こんなんでIEに表示させた瞬間にEXE実行とかできるんだったら非常に困る。

757:名無しさん@お腹いっぱい。
08/12/26 16:11:11
>>752
メーカー製のパソコンならリカバリー。
リカバリーとはパソコン出荷当時の状態に戻すこと。
リカバリーのやり方は書いてあるはず

>>753
駆除できていない、もしくは、駆除はできていてもウイルスが書き換えた
レジストリーがそのまま

>>754
大丈夫。

758:名無しさん@お腹いっぱい。
08/12/26 16:13:05
>>756
>IEに表示させた瞬間にEXE実行
このウイルスの場合は実行ファイル本体を落として実行しないと
感染しないはずだけど・・
ホームページ見ただけで感染とかはあるけどね。

759:名無しさん@お腹いっぱい。
08/12/26 16:16:13
>>738でログとってくれればみるよ

760:名無しさん@お腹いっぱい。
08/12/26 16:16:59
>>759
まじか

761:名無しさん@お腹いっぱい。
08/12/26 16:17:37
コンパネ→管理ツール→サービス
Automatic Update(もしくは自動更新?)の項目のスタートアップの種類を「自動」にすりゃいいんじゃね?
ほっときゃ勝手に有効になるようなもんじゃないぞ

762:名無しさん@お腹いっぱい。
08/12/26 16:24:45
>>757
リカバリのことについて書いてる
説明書がないんですよ
説明書らしきものにそういう風なことが一切かかれてないんです

763:名無しさん@お腹いっぱい。
08/12/26 16:25:44
fxstaller.exeを消し、imgs.exeも削除して、OneCareとNODでトロイ削除。
ランダム羅列のDLLも消して、自動更新有効になりPCも普通に動いているように
みえるのですが、何もせずしばらく放っておくと「ドゥン!」というエラー音が突然鳴ります。
画面上は何も変化なし。
これはまだ感染してるということなのでしょうか。
ちなみにIRCBot.AKXは見つかりませんでした。よく覚えてないのですが別の名前の
トロイでした。

764:名無しさん@お腹いっぱい。
08/12/26 16:29:18
>>762
どこのめーかーのパソコン?

765:名無しさん@お腹いっぱい。
08/12/26 16:33:06
>>764
acerです
セットアップガイドみたいなもんはありますが、
真っ白なPCからの設定方法しか書いてないので分かりません

766:名無しさん@お腹いっぱい。
08/12/26 16:34:09
>>765
acerの型番もしっかり書いてくれないと調べようがない

767:名無しさん@お腹いっぱい。
08/12/26 16:36:54
>>766
Intel? Core? 2 Duo プロセッサーのASL3600-672032Pです

768:名無しさん@お腹いっぱい。
08/12/26 16:37:02
>>758
さんきゅ。俺の勘違いだったみたい。
IExpress.exeがXP標準であるってことで,手元でバッチファイルをEXE化してWEB鯖に入れてOctet/Streamで送出して・・ってやってもうまくいかなかったんで,なんでだー!と思ってた。
ぁゃιぃexeのクリックが必要だったのね。これで注意喚起しとくわ。

769:名無しさん@お腹いっぱい。
08/12/26 16:38:34
?は記号です暗号化されてしまいましたすみません

770:名無しさん@お腹いっぱい。
08/12/26 16:42:42
>>767
リカバリー領域があるみたい(つまりリカバリできる)
だからスタートメニューからそれらしいものない?
URLリンク(www.acer.co.jp)

771:名無しさん@お腹いっぱい。
08/12/26 16:46:05
>>770
リンク先を見ました
Acer eRecovery Managementが全てのプログラムの中にありました
これでリカバリできるのでしょうか

772:名無しさん@お腹いっぱい。
08/12/26 16:46:44
Windows自動更新が有効にできない。
URLリンク(linkinparkkussy.blog121.fc2.com)

こんな記事を見つけたんだが、どうだろうか?

773:名無しさん@お腹いっぱい。
08/12/26 16:50:22
>>771
それでできるはず
再インストールってのクリックしてみて。
おれはそのパソコン持ってないからあとは自分でやってみて

774:名無しさん@お腹いっぱい。
08/12/26 16:53:26
>>773
頑張ってみます

775:名無しさん@お腹いっぱい。
08/12/26 16:55:29
>>763
俺も今その状況だ
なんだろうね・・

776:名無しさん@お腹いっぱい。
08/12/26 17:00:12
今回の騒動、一連の挙動を見てみると、

・ダウンロード後ブラウザが「実行しますか?」の警告を出してくる
・vista なら UAC とか VirtualStore とかが大忙し

な気がするんだけど、そんなにホイホイOKボタン押しちゃう人ばかりだったりするの?

777:名無しさん@お腹いっぱい。
08/12/26 17:01:19
>>775
メッセージボックスが出ないということは、誤ったdllを削除したか
まだウイルスが残ってるか、システムが書き換えられてるか。

778:名無しさん@お腹いっぱい。
08/12/26 17:01:26
>>776
うん、愚かな人が多かったの

779:名無しさん@お腹いっぱい。
08/12/26 17:15:15
俺的まとめ
挙動はこんな感じ(????????はランダムな文字列)
リンクをクリックし、実行する

imgs.exeが解凍され実行される

fxstaller.exeが実行される

fxstaller.exeや????????.dllがPC起動時に実行する様に設定
IEでアンチウィルス導入表示を行う
WindowsUpdate無効化

fxstaller.exeはVirusのダウンロード等をする
????????.dll系はその他諸々?WindowsUpdate無効化やdll再生成も?
実際にメッセージ送信してるのはdll系かな…
生成ファイルや改変レジストリは>>728,731


感染の疑いは、
隠しファイルも含めてPC内を検索しimgs.exeが有ったらアウト
fxstaller.exeがタスクマネージャで見て動いてたらアウト

コマンドプロンプトを起動

dir /od /tw %windir%\system32\*.dll
を入力してenter
(これは拡張子がdllのファイルを最終更新日順にソートして表示するコマンド)

日付が25日以降で????????.dllが4つかそれ以上?有ったらアウトかも
(最終更新日が25日以降の正規dllの可能性あり)

780:名無しさん@お腹いっぱい。
08/12/26 17:16:09
以下不明
NOD32はWindowsUpdate無効化やdll再生成する方のdllは駆除出来ない場合がある?
OneCareもやらないとダメ?
それでもdll系が残り駆除出来ない場合あり?
エラー音が突然鳴る現象がある?

781:名無しさん@お腹いっぱい。
08/12/26 17:18:42
>>775
俺も時々画面に変化無しで「ピッ」て音が鳴る・・・
ウィルスの主要なファイル削除→NOD・OneCareでスキャン・駆除
→dll削除かましたはずなのにナゼダー

782:名無しさん@お腹いっぱい。
08/12/26 17:19:20
>>780
正確にはどっちやっても残骸が残らない可能性はある


783:名無しさん@お腹いっぱい。
08/12/26 17:26:59
ドゥン音が鳴るのは削除しきれてないから。
全て消せてる奴は問題は出ないよ。


784:782
08/12/26 17:29:41
逆に残る可能性の方が高いんだよね

785:名無しさん@お腹いっぱい。
08/12/26 17:32:49
友人だから大丈夫って油断があった。

っていっても、友人いない人にはわからんよね

786:名無しさん@お腹いっぱい。
08/12/26 17:34:38
>>785
油断ってか馬鹿なんだろ

787:名無しさん@お腹いっぱい。
08/12/26 17:35:38
エラー音について色々教えてくださってありがとうございました。
やっぱり削除しきれてないのか。リカバリするしかないかな。
外付けHDDはあるのですけどマイドキュメントなど外付けに移して
リカバリして戻したらまた感染なんかもあるのでしょうか。
マイドキュメントかなにかにimgs.exeがあったので(削除済み)
かなり不安です。


788:名無しさん@お腹いっぱい。
08/12/26 17:37:49
OneCareはオンラインじゃないとダメなんだよな?何か不安・・・
NOD32で本体消えてるはずだから問題ないのかな・・・?

789:名無しさん@お腹いっぱい。
08/12/26 17:38:15
ランダムdllが削除できない件
ところで感染してからプロセスにrundll32.exeが出るようになったんだが
終了させてもすぐ戻りやがる

790:名無しさん@お腹いっぱい。
08/12/26 17:39:26
>>787
ファイル個別に適当なフォルダ作って移動
フォルダ毎とか避けて
この程度のウイルス踏むなら
隠しファイルとかフォルダ自体ちゃんと見つけられる環境にあるとは思わないんで
まぁ・・・正直HDDフォーマットした方がいいとはおもうけど
この程度ならリカバリでもいいとおもうよ


791:名無しさん@お腹いっぱい。
08/12/26 17:40:12
>>788
不安ならクリーンインストール
何度も言われてる
不安がって試行錯誤する時間でクリーンインストール余裕で終わる

792:名無しさん@お腹いっぱい。
08/12/26 17:44:41
>>773
無事リカバリできました、ありがとうございます
ですがリカバリする前1GBと表示されていたメモリが0.99GBと表示されてるのですが
これを直す方法はありませんかね?何度もすみません

793:名無しさん@お腹いっぱい。
08/12/26 17:49:48
結局確実に修復するにはリカバリーしかないのか・・・糞ゥ・・・

794:名無しさん@お腹いっぱい。
08/12/26 17:51:50
復元

795:名無しさん@お腹いっぱい。
08/12/26 17:54:46
起きがけの寝ぼけた時間を狙ってくる恐ろしいウィルスだった(キリッ

796:名無しさん@お腹いっぱい。
08/12/26 18:05:21
ウイルスバスター対応遅すぎだろ・・あのノートンでさえ・・なのに。
終わってますね。

797:名無しさん@お腹いっぱい。
08/12/26 18:06:37
>>786
馬鹿だから油断するんだよ、天才

798:名無しさん@お腹いっぱい。
08/12/26 18:11:55
>>789
全然削除できてない世それ

そもそもファイル名がランダムなだけでリカバリーする程のウイルスじゃないぞ。

ログ取って調べたりセキュ板のスレに貼ればいい

799:名無しさん@お腹いっぱい。
08/12/26 18:24:18
HiJackThisで
O2 - BHO: (no name) - (中略) C:\WINDOWS\system32\tuvWomKe.dll

ってのがFix出来ないんだが、なんでだ


800:名無しさん@お腹いっぱい。
08/12/26 18:46:48
このウイルスにやらてからなんだがレジストリで削除とかをしてから自動更新ができないんだが
これを治す方法ってどうやればいい?

801:名無しさん@お腹いっぱい。
08/12/26 18:51:14
スレ内ぐらい検索しろよ

802:名無しさん@お腹いっぱい。
08/12/26 18:58:39
スレ内を検索する知能があればウイルスになんて感染しないだろw

803:名無しさん@お腹いっぱい。
08/12/26 19:00:34
>>799
Fixしても復活するの?

804:名無しさん@お腹いっぱい。
08/12/26 19:10:33
友人からだけど、ちょっと怪しいなって思って
avastでチェックしたがスルーだったので
実行してしまった/(^o^)\ 最凶クリスマスプレゼントww

最新のウイルスにかかったのは初めて
やっぱり油断禁物ですね。

805:名無しさん@お腹いっぱい。
08/12/26 19:26:08
>>800
onecareのPCセーフティでスキャンしてこい
ただバスターとかセキュリティソフトも一緒に検出してしまうけど。

806:名無しさん@お腹いっぱい。
08/12/26 19:36:24
>>804
変だなすぐ対応されたはずだが。
対応されるまでの隙があったか。

807:名無しさん@お腹いっぱい。
08/12/26 19:39:14
エロ動画消滅w

808:名無しさん@お腹いっぱい。
08/12/26 19:46:05
で…このウィルス感染するとどんなこと起きるん?
怖くてネットつかえねぇぇから携帯だスマソ

809:名無しさん@お腹いっぱい。
08/12/26 19:51:26
>>796
しかも土日はアップデートなし
つまり対応は来週月曜以降じゃないと対応してくれない可能性が高い

810:名無しさん@お腹いっぱい。
08/12/26 19:55:55
踏んでしまったんだが特になんの症状も出ないのが逆に怖い…

811:名無しさん@お腹いっぱい。
08/12/26 20:09:21
IEで変なページに飛ばされるのの対処は結局どうすればいいの?

812:名無しさん@お腹いっぱい。
08/12/26 20:17:04
実行したらどんな症状がおこるか まとめ

・メッセンジャーにインしている人にウィルスのダウンロード先URLを貼りつけて送信
・インターネットオプションより、セキュリティタブのレベルのカスタマイズが行われる
 その他-暗号化されていないフォームデータの送信 有効にする に書き換えられる
 (デフォルトは ダイアログを表示する にチェックが入っている)
・インターネットオプションより、プライバシータブの「インターネットゾーン」が一番下「すべてのCookieを受け入れる」に設定される(デフォルトは中)

813:名無しさん@お腹いっぱい。
08/12/26 20:25:10
なんか怖いから明日ヨドバシかヤマダ行ってくるわ…俺の判断は正しいか…?

814:名無しさん@お腹いっぱい。
08/12/26 20:32:51
>>813
正解

815:名無しさん@お腹いっぱい。
08/12/26 20:38:45
>>813
無料のアンチウイルスでおkだよ

816:名無しさん@お腹いっぱい。
08/12/26 20:48:04
ぃあ…本体データ?みたいなのはその無料ソフトで消去はできたんだ…だが自動更新は無効になってるし…完璧に治った人いるのか?リカバリなしで。

817:名無しさん@お腹いっぱい。
08/12/26 20:49:16
25日の1時過ぎくらいに感染して、ココ見ながら適当に駆除したんだけど
適当にやりすぎて消しちゃ不味いものも消したかも・・・

起動時に毎回
「C\WINDOWS\system32\bmusxpul.dllを読み込み中にエラーが発生しました
 指定されたモジュールが見つかりません」
て出るんだけど、これやばい・・・?

818:名無しさん@お腹いっぱい。
08/12/26 20:51:24
むしろバスターやノートンの方が危険

819:名無しさん@お腹いっぱい。
08/12/26 20:54:08
これってメッセンジャーソフト使ってないんなら感染しないんですよね?


820:名無しさん@お腹いっぱい。
08/12/26 20:55:14
NOD32でも完全駆除は無理そうよ

486 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:23:46
p://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=157
>>463 IMG455.jpg-www.photo.com を解凍し→ >>465 imgs.exe に感染するとできるファイル群
多数のdllファイル等が生成されましたが、MD5が共通するものだけ抜き出しました。

放っておくと、BHOが組み込まれ、偽セキュリティ対策ソフト(WinAntiVirus2009)ダウンロードページへ誘導されます。

488 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:32:10
>>486 の続きです。
NOD32 定義3717では0/6
メッセンジャーウイルス感染後にNOD32を入れた人は、exeの駆除はできていても
dll群の駆除ができていないので注意が必要です。

821:名無しさん@お腹いっぱい。
08/12/26 20:58:48
>>817
bmusxpul.dll をレジストリ エディタで検索してキーを削除すればいい。
面倒だから、Sysinternals の Autoruns で >>731 のレジストリ削除すれ。
後、dir /ah %windir%\system32\*.ini* でゴミが残ってる場合があるからそれも削除すれ。

ぶっちゃけ、imgs.exe, fxstaller.exe とか大して問題じゃない。こいつが spc.exe をDLして実行するから
面倒な事になってる。

URLリンク(www.virustotal.com)
これね

822:名無しさん@お腹いっぱい。
08/12/26 21:00:11
>>821
大手ベンダーが全滅・・・・
その中でバスターが・・・

823:名無しさん@お腹いっぱい。
08/12/26 21:00:37
>>816
完璧かどうかはわからないが、自動更新は有効になる・・・今のところは

NOD32、KINGSOFT、OneCare、Avastのスキャンかけた
何回再起したことやら

824:名無しさん@お腹いっぱい。
08/12/26 21:04:27
自動更新できない奴はためしにRUPERAntiSpywareやってみたらどうだろう
AVGでスキャンした後にこれ使ったら自動更新有効になった
たまたまかもしれんがものは試しに

825:名無しさん@お腹いっぱい。
08/12/26 21:05:15
手動で有効にすればいいだけ

826:名無しさん@お腹いっぱい。
08/12/26 21:07:02
>>821
spc.exeを>>820のアップローダにあげてくれないかのう。
速攻でベンダーに通報しますので。

827:名無しさん@お腹いっぱい。
08/12/26 21:08:25
ごめ、SUPERAntiSpywareな

828:817
08/12/26 21:16:05
>>821
直った!サンクス!

829:名無しさん@お腹いっぱい。
08/12/26 21:17:44
>>826
一応上げたけど、あんまり意味ないと思うよ。
DLする度にバイナリ変わるから。

URLリンク(tane.sakuratan.com)
virus

830:名無しさん@お腹いっぱい。
08/12/26 21:22:15
>>829
とりあえずPandaGlobalProtection2009で検出→隔離できたことを報告しておきます(疑わしいファイルとして検出)

831:名無しさん@お腹いっぱい。
08/12/26 21:23:58
>>829
ありがと。一応AVGに報告します。
それと検出スレにもはっときます。
これで一連のspcをGenericで検出できればいいんですけどね。

832:名無しさん@お腹いっぱい。
08/12/26 21:24:40
今日の朝にNOD32でトロイ駆除が終わったのでPCの電源を切って
ついさっきPCを立ち上げたばかりなんだけど、まだ完治にはほど遠いな。
立ち上げとほぼ同時に出てくるメッセのサインイン画面が出ないし
Internet Explorerをクリックしても一定時間とは言え反応なかったし。
こりゃOneCareでも導入して再びスキャンするしかないかな。

そういや、タスクからfxstaller.exeかimgs.exeを削除する対処法を
友達から教わったばかりなんだけど、そんなexeは見つからなかったんだ…

833:名無しさん@お腹いっぱい。
08/12/26 21:25:50
>>831
>これで一連のspcをGenericで検出できればいいんですけどね。
NOD32とNortonは厳しいな、特にNOD32は一度スルーしてしまうとどうしようもない

834:名無しさん@お腹いっぱい。
08/12/26 21:30:49
>>829
avastスルーしたんだけど・・・

835:名無しさん@お腹いっぱい。
08/12/26 21:32:56
>>829
Avira、Panda、Symantec、BitDefender、ESETに提出完了
Kasperskyにも提出しておきます

836:名無しさん@お腹いっぱい。
08/12/26 21:33:57
>>834
これは元のファイルから感染した後のファイルなので感染しなければおk

837:名無しさん@お腹いっぱい。
08/12/26 21:40:12
ノートン先生対応来たな

838:名無しさん@お腹いっぱい。
08/12/26 21:57:37
NOD32が完全駆除不可なのは俺も試して分かったけど
駆除可能な分でも、exeと自動実行のレジストリエントリしか消しておらず
なんか中途半端な駆除になってないか?
他で駆除した方が良さそう…

839:名無しさん@お腹いっぱい。
08/12/26 22:11:55
タスク消去、レジストリ削除、ファイル検索して削除、Onecareスキャン
で、dllも全部消えたし自動更新も有効になったんだが
直ってない奴が多いみたいだから不安になってきた

840:名無しさん@お腹いっぱい。
08/12/26 22:19:27
すいません!!
感染して、色々なスレのを試しても自動更新が直らなかったので
onecareのPCセーフティでスキャンしてたらRUNDLL
って名前の警告小窓(?)で
読み込みエラー発生 アクセス拒否されました
ってのが山の様に出続けてるのですが、これは一体どうしたらいいのでしょう?

エラーでてる場所が問題上がってたwindows\system32のなかなのですけども
該当の物は使用中で削除できませんって言われるんです


841:名無しさん@お腹いっぱい。
08/12/26 22:20:29
アンチウィルスソフトを駆除ソフトと勘違いしてる馬鹿共が日本にはこんなにいますw

842:名無しさん@お腹いっぱい。
08/12/26 22:20:54
ってかこんなにまで時間費やして必死に削除作業行うのはありえないなw
普通はバックアップとってあって、数時間程度で元通りになる。
製作者の思い通りだな。

843:名無しさん@お腹いっぱい。
08/12/26 22:23:09
>>841
安価だけつけてやんよ

844:名無しさん@お腹いっぱい。
08/12/26 22:27:00
普段ウイルスなんか感染しないからと鼻で笑ってる奴らだろここにいる奴らの大半は。
オンラインスキャンと体験版使うのに精一杯だからな。
そんな色々いれるくらいならリカバリーしろと

845:名無しさん@お腹いっぱい。
08/12/26 22:29:07
>>844
安価だけつけてやんよ

846:名無しさん@お腹いっぱい。
08/12/26 22:31:01
>>845
まねすんなよ

847:名無しさん@お腹いっぱい。
08/12/26 22:33:24
レジストリ内をfxstallerで検索したら

名前       種類      データ
000        REG_SZ myspacy
001 REG_SZ fxstaller
002 REG_SZ fxstaller.exe
003 REG_SZ imgs.exe
004 REG_SZ imgs
005 REG_SZ mysapacy
006 REG_SZ mspaint.exe

て出てきたんだけど、これってやばい?

848:847
08/12/26 22:34:19
ずれたw

849:名無しさん@お腹いっぱい。
08/12/26 22:35:25
HiJackThis、ComboFixが使えないNoobは大人しくリカバリしろってことだよ。

850:名無しさん@お腹いっぱい。
08/12/26 22:45:42
URLリンク(kissho1.xii.jp)
鍵はkey
俺はこれで駆除できた・・・気がするんだがどうなんだ

851:名無しさん@お腹いっぱい。
08/12/26 22:47:39
一通り削除できたと思ったんだが、rundll32.exeが常駐し続けてるなぁ
この場合はどうすればよいですか?

852:名無しさん@お腹いっぱい。
08/12/26 22:55:59
だめだ、もう俺はリカバリ
あばよ

853:名無しさん@お腹いっぱい。
08/12/26 22:57:41
スッキリ!!!

854:名無しさん@お腹いっぱい。
08/12/26 23:23:40
>>847
はいはいヤバスヤバス

OS再インストールコースいってらー

ダウンローダはブロックと除去できるの多いけど、稼動すると生成される>>829とか、そいつが落としてくる>>820なんかは
全部撃墜できるとこ少ないな。現時点では全てを除去できるのないから、複数のベンダー組み合わせてやるとか
しないとだめだわ。取り敢えず俺も検体提出いってくらー。

OS再インストールコースの方が早いし安全確実。

855:名無しさん@お腹いっぱい。
08/12/26 23:33:39
駆除が完了したゆとり君たちが活発に動き出しましたねw

856:名無しさん@お腹いっぱい。
08/12/27 00:04:31
と、情弱が何か言ってますw

857:名無しさん@お腹いっぱい。
08/12/27 00:05:21
Macなら感染しないっぽいな

858:名無しさん@お腹いっぱい。
08/12/27 00:06:50
これってファイルダウンロードをキャンセルしたらセーフ?

859:名無しさん@お腹いっぱい。
08/12/27 00:08:34
>>857
ウィルスとかはほとんどWindows向けだからな

860:847
08/12/27 00:11:19
ほんとにやばいみたいw
NOD32とOne Careはやって、その後もっかいフルスキャンして駆除したのに
レジストリにfxstaller普通にある
消しても出てくる

861:名無しさん@お腹いっぱい。
08/12/27 00:12:43
2008年5月末に公表された、有名な独立検査機関av-comparatives.orgによる新種のウイルスに対する検出能力調査では、総合成績(検知率と誤検知数の少なさの総合評価)で断トツのトップ成績(検知率72%・誤検知数8)に輝いた。
第2位はNOD(ESET)(検知率57%・誤検知数7)。
この2つだけが最優秀ソフトに認定された(新種のウイルスを検知する能力)。
なお、他の主な有名ソフトでは、McAfeeが32%(0),AVG32%(10),Microsoft29%(5),G DATA29%(11),Avast28%(23),カスペルスキー21%(2),ノートン18%(2),F-Secure6%(2)ほかであった。
なお、( )の数は誤検知数をあらわす。

862:名無しさん@お腹いっぱい。
08/12/27 00:15:37
>>861
情報古い
URLリンク(www.av-comparatives.org)

863:名無しさん@お腹いっぱい。
08/12/27 00:15:49
>>861
AntiVirのことね。

864:名無しさん@お腹いっぱい。
08/12/27 00:17:28
>>862
それは、未知のウイルスのテストじゃないじゃん。
既出のウイルス検知率だろ。

865:名無しさん@お腹いっぱい。
08/12/27 00:17:37
今回の騒ぎでわかったこと
ソースネクストは役にたたね
サブPCのAvastの方が優秀とか…

866:名無しさん@お腹いっぱい。
08/12/27 00:18:29
>>864
ゆとりもほどほどにね
>ProActive - Test

867:名無しさん@お腹いっぱい。
08/12/27 00:21:32
ID出ないとなんでも言えるんだなw

>>865
ウィルスセキュリティZEROのことか?
それなら実行直後に通信をブロック云々と出てきたんじゃないかい?
そういう警告を無視して許可したんだからもう手の着けようがないバカだよな

868:名無しさん@お腹いっぱい。
08/12/27 00:21:49
F2ブログでこれ取り上げてる人のところから来ますた。

IMG455踏んでしまって実行ファイルまで起動したが、
ウィルスキラーはトロイの木馬と見抜いて削除してくれた。
レジストリも調べたけど、報告されてるfxstallerとかも無かったし、
ウィルスキラーいけるんじゃないかと。

869:名無しさん@お腹いっぱい。
08/12/27 00:22:52
>>859
そもそもマックはexeファイル開けんらしいな…不便杉

870:名無しさん@お腹いっぱい。
08/12/27 00:28:01
>>860
>>820ちゃんと読んだ?

一旦発動させてしまうと、未対応の為除去されないファイルがある。
全部に対応したセキュリティソフトは現時点ではないので、どれで除去しても、必ずどこかに残骸が残る。

どれかが残って稼動している為に、起動する度に再生成されることになる。
消しても消しても、まだだ、まだ終わらんよっつって復活してくる訳だ。
現時点でこれを奇麗に消すためには、OSを入れなおすしかない。

>820に置いてあった検体の検出結果を一応挙げとくとこんな感じ。
(11/39) URLリンク(www.virustotal.com)
(12/39) URLリンク(www.virustotal.com)
(9/39) URLリンク(www.virustotal.com)
(7/39) URLリンク(www.virustotal.com)
(4/39) URLリンク(www.virustotal.com)
(7/39) URLリンク(www.virustotal.com)

871:名無しさん@お腹いっぱい。
08/12/27 00:31:52
年末年始もシマンテックやトレンドマイクロは仕事してるよね?

872:名無しさん@お腹いっぱい。
08/12/27 00:39:21
>>868
それはダメポなソフト。「ウィルスキラー」の中身は「Rising Antivirus」

ダウンローダの検体送ったら、こんな回答よこす会社です。捨てちまえ。
 >2. Filename:IMG455.jpg-www.photo.com
 > No malware.

多分検知したのは「cbXQgfcb.dll : Trojan.Win32.VUNDO.cel」と「awtTjgHy.dll : Trojan.Win32.VUNDO.cel」と
「xxywWpoo.dll : Trojan.DL.Win32.Undef.cud」の3つだと思うけど、その1ファイルは除去できても、
他がまるっきり残ってるから。

残念だったな。検出して除去しても「他が残っていない保証にはならない」のだよ。

873:名無しさん@お腹いっぱい。
08/12/27 00:41:06
トレンドマイクロは年末休暇ですがなにか?

874:名無しさん@お腹いっぱい。
08/12/27 00:45:50
AntiVirは土日休みだからこの間はアップデートしてくれねぇ・・・・

875:名無しさん@お腹いっぱい。
08/12/27 00:50:21
>>857
ざっと聞いて回ってみたがMacの感染者は見当たらんね。マカーの唯一の強みだな。

876:名無しさん@お腹いっぱい。
08/12/27 00:51:11
おい友人から
foto URLリンク(hi5) .eu.com/ id.php?=●●が連続で送られてくるんだけど
これ返信しても相手に聞こえてないのか?

877:名無しさん@お腹いっぱい。
08/12/27 00:52:47
>>872
検知したウィルスは「Trojan.Win32.Undef.vov」ひとつだな。
system32内でIMG455実行した時刻と同時刻に作られたファイルの中で、
特に変なのも確認できなかった。

まあ、ダメそうなソフトではあるが。

878:名無しさん@お腹いっぱい。
08/12/27 00:56:34
>>876
絶対にクリックするなよ!ウィルスだからな!

879:名無しさん@お腹いっぱい。
08/12/27 00:56:36
>>876
聞えない

880:名無しさん@お腹いっぱい。
08/12/27 00:58:09
>>870
そのうちの3つはNortonは検出できるようになってる、ま、全部検知できなきゃ意味ないんだけど
全部検知できるベンダーはいまだない・・・

881:名無しさん@お腹いっぱい。
08/12/27 00:58:10
sleipnirとavast先生のおかげでなんとも無かったが・・・
困ったなこれw

882:名無しさん@お腹いっぱい。
08/12/27 01:05:46
>>881
sleipnirだと大丈夫なもんなの?

883:名無しさん@お腹いっぱい。
08/12/27 01:06:45
やべぇクリックしちまったorz
Google Chromeさんは「エラー: このリンクは無効です。」
Sleipnirさんは「Internet Explorer は、要求された Web ページにリンクできませんでした。」
で、DLとかなにもされなかったけど、
これ、大丈夫なの?


884:名無しさん@お腹いっぱい。
08/12/27 01:08:56
>>882
URL送られてきてとりあえず踏んだら
MS-DOSアプリを実行しますか?って表示出してくれたから、なんじゃこりゃって感じで

885:名無しさん@お腹いっぱい。
08/12/27 01:22:05
ダウンロードしなければ大丈夫。

886:名無しさん@お腹いっぱい。
08/12/27 01:31:02
ダウンロードしても実行せずにゴミ箱ぽいぽいすれば大丈夫だぞ

887:名無しさん@お腹いっぱい。
08/12/27 01:31:52
>>737
ありがとうございます!

それと、AVGを試してみたところごっそりトロイなどを消せたのですが、とりあえずはこれで大丈夫でしょうか・・・・?

888:名無しさん@お腹いっぱい。
08/12/27 01:34:42
だめ。OS入れなおせwww

いや、発動させちゃった場合はマジに。

889:名無しさん@お腹いっぱい。
08/12/27 01:55:04
ウイルス対策ソフトを、乗り換える場合の各完全削除ツール一覧
URLリンク(kaspe.2chv.net)

890:名無しさん@お腹いっぱい。
08/12/27 02:21:55
>Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。

って書いてある日記サイトあるんだがIEじゃないと駄目なのか?
サファリとか火狐なら開いても発動しないのかね

891:名無しさん@お腹いっぱい。
08/12/27 02:23:44
ちょっと書き方がややこしいかも。

要するにファイルをダウンロードして実行したらoutってことでしょ。

892:名無しさん@お腹いっぱい。
08/12/27 02:26:28
落としても実行しなければセフなのかな。㌧
ウィルス検知されればある意味安心なんだが検知されないと見落としてるんじゃないかって逆に不安になるorz

893:名無しさん@お腹いっぱい。
08/12/27 02:30:03
やじうまwatchは多分連休でお休み中
ギガシンやスラッシュドットも来てない、はてな系もほとんど無し、
痛いニュースにあるわけもないし それほどの規模ではないのか、
それとも特落ちなのか?

894:名無しさん@お腹いっぱい。
08/12/27 02:41:50
消えない3つのウィルスの内、OneCareオンラインスキャンとAVGの最新定義で
一つだけ駆除できた

明日、仕事納めなんで、それ終わったらOS入れなおすか・・・

895:名無しさん@お腹いっぱい。
08/12/27 02:45:26
ノートン使ってる人はシマンテックに積極的に検体提出した方がいいよ
いくつか検体送ってみたが数時間で対応してくれた(私はNorton使ってないのでVirustotalで確認)
恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない、あとは一日単位

896:972
08/12/27 03:02:13
>>972
すみません。ヒントとなる場所を見つけたので自己解決とさせていただきます。

一応、同じ被害の人がここにもいるようなので置いときます。

※ウィルス※ Windows Live Messenger で感染!?
スレリンク(sec板:496番)

同じ被害の人がここにもいるようなので置いときます。
ノートンが素通りさせたので感染したようです。

897:名無しさん@お腹いっぱい。
08/12/27 03:03:08
激しく誤爆

898:名無しさん@お腹いっぱい。
08/12/27 03:04:14
>>859
俺はAviraメインだけど、SymantecやKaspersky、Mcfee、VirusBaster、avastとかに検体送ってる。
今回のIMG455.jpg-www.photo.comと>>820は送ってあるので後は対応待ちだな。

899:名無しさん@お腹いっぱい。
08/12/27 03:06:28
>>898の誤字が酷い件について
それと
× VirusBuster
○ TrendMicro

ね、VirusBusterだとハンガリーのアンチウイルスベンダーになっちゃうので

900:名無しさん@お腹いっぱい。
08/12/27 03:13:17
NOD32アンチウイルスをインストールしようとすると[1]と出てインストール出来ないのですが、どなたか解決方法分かる方教えていただけませんでしょうか?

901:名無しさん@お腹いっぱい。
08/12/27 03:19:53
昨日感染してこのスレ見つつ色々やってみたが
imgsは見つかったけど、fxstallerが一向に見つからない件
imgsだけ作成されてfxstallerが作成されないってのもあるのかな?

902:898
08/12/27 03:19:56
>>899
本当によく見ると酷いな……
安価は>>859になってるし(本来は>>895)。

MSは>>820のやつをssqOHYSJ.dll以外対応したかな?
心配なやつはOneCareいってくればいいかも。

URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)

ssqOHYSJ.dllはSymantecかTrendMicroかNOD32使ってりゃ検出する。
その他のがまちまちだから、心配ならやっぱりOneCare逝って来い。

903:名無しさん@お腹いっぱい。
08/12/27 03:21:22
追記>>901

ランダムdllも生成されてないっぽい

904:名無しさん@お腹いっぱい。
08/12/27 03:28:26
>>902
>>820の検体は私も大手ベンダーに提出しておきました(私が送ったベンダーはAvira、BitDefender、Symantec、Kaspersky、ESET、Panda)
Aviraは土日休みだから仕方ないとしてSymantecは最初オールスルーだったのにそこから数時間で4つも検出できたのはお見事だし対応速度も速く好感持てました

以前まではSymantecは検体送っても対応するのは1週間後というイメージがありましたから最近の対応の速さはそのイメージを払拭してくれますね(他にもいろいろと検体送りましたが大体1日で対応してくれました)
逆にガッカリしたのはBitDefender、こちらもいくつか検体送ってますがまだ対応してない検体が多い・・・
一日のアップデート回数は多いのに・・・

905:名無しさん@お腹いっぱい。
08/12/27 03:33:10
今OneCareでスキャンしたら、やっぱりトロイの木馬が出てきたな。
昨日のNOD32で完全に駆除されたわけじゃなかったのか。

906:名無しさん@お腹いっぱい。
08/12/27 03:36:41
onecareでトロイみつかったけど、駆除できませんとかいわれたぜ・・・

907:名無しさん@お腹いっぱい。
08/12/27 03:42:45
>>895
>恐らく数時間で対応してくれるのはSymantecとKaspersky、あとはMcAfeeぐらいしかない
そこは間違ってるので突っ込ませてくれ。

月に数回は新種の検体送ってるけど、ノートンが数時間ってのはなにかの間違いかと…って言う位対応遅いよ。
今回は運が良かったのかもね。数時間で対応したんじゃなくて、他の人がもっと早く検体提出してたので
対応までの時間が短かったように感じられるだけ。

最近は返答が1~2日で来るけど、それも新種は、検知できなかったので人力で解析しますって返答でCLOSE。
実際の対応は、1週間で終わってないとか結構あるよ。マカフィーも、返答はある程度早いけど、新種への対応は
鈍い気がしますね。

本当に早いのはカスペとAvira(AntiVir)。カスペは対応が異様な程早い。
それよりちょっと遅いけどFortinetも早いね。提出してないのはすり抜け多いが。

で、この文面書いてる間に、Fortinet きた。次のアップデートで対応。(※ パターンがアップされるまでは未対応です)
>820と>829の検体提出してから4時間位。今回は早かったな。

The samples you submitted will be detected as follows:
imgs.exe - W32/Agent.AZOB!tr
spc.exe - W32/Agent.AZOB!tr
IMG455.jpg-www.photo.com - W32/Agent.AZOB!tr
awtTjgHy.dll - W32/Dropper.CA!tr
cbXQgfcb.dll - W32/Dropper.CA!tr
ewulmrrn.dll - W32/Agent.AZOB!tr
xxywWpoo.dll - W32/Agent.AZOB!tr
ssqOHYSJ.dll - W32/Agent.AZOB!tr
InstallAVg_770522156649.exe - W32/FraudLoad.VET!tr

カスペは提出から10分位で返答。流石に誰かが先に提出済みだったんだとは思うが。
DLLは無害扱いしてる辺りに疑問が残るけど。

908:名無しさん@お腹いっぱい。
08/12/27 03:43:12
年末だしクリーンインストールオススメする(´・ω・)ス

909:名無しさん@お腹いっぱい。
08/12/27 03:48:05
今年のウイルス

910:名無しさん@お腹いっぱい。
08/12/27 03:49:10
>>907

Aviraはカスペより対応速度遅いよ
カスペと比べたら対応にだいぶ時間かかってる印象を受ける、ただAviraにとって最大の問題は土日なんだけど

ノートンとマカフィーは最近になってだいぶ対応が速くなった印象を受けるんだけどね~
じゃないとパルスアップデートやActiveProtectionが活きないって

911:名無しさん@お腹いっぱい。
08/12/27 03:52:43
RUNDLL
C:\WINDOWS\system32\tuvUNEXp.dll を読み込み中にエラーが発生しました。
アクセスが拒否されました。

ってのが無数に出てきてオワタwwww
もうクリーンインストールしかない・・・orz

912:910
08/12/27 03:54:21
あとノートンの場合はSymantecに検体提出してSymantecから返事来るだいぶ前に既に対応してるというパターンもありっていうかこのパターンばかり(Virustotalで確認、2009だったらもっと早く検出できるかもしれない)

913:898
08/12/27 03:56:03
>>907
カスペはssqOHYSJ.dll以外はウイルスって言って対応したはず。

ssqOHYSJ.dllはNo malicious code was found in this file.って言われた。

914:名無しさん@お腹いっぱい。
08/12/27 04:00:10
>>913
カスペから返事が来てたのか・・・
となると私の方にはカスペから返事は来ませんね・・・
Panda2009もssqOHYSJ.dllだけスルーであとは疑わしいファイルとして検出だからssqOHYSJ.dllはPandaにとっても白判定なんでしょうかね・・・
Pandaはメールで検体送っても返事が全く来ないからわかりません、ま、返事が来ないベンダーの方が多いんですけど(BitDefenderもavast!も)

915:898
08/12/27 04:11:56
Mcfeeからのお返事のコピペ。

5030850 ssqohysj.dll inconclusive null null 12/26/08 No
5030850 xxywwpoo.dll inconclusive null null 12/26/08 No
5030850 awttjghy.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 cbxqgfcb.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 ewulmrrn.dll current detection generic dropper.ca Trojan 12/26/08 No
5030850 installavg_770522156 new detection generic downloader.x Trojan 12/26/08 Yes

Mcfeeはssqohysj.dllとxxywwpoo.dllが白って言ってますね。うーん。
これはssqohysj.dllは白なのかな?でも対応しているベンダーもあるし……

916:名無しさん@お腹いっぱい。
08/12/27 04:14:41
>>915
KasperskyもPandaも白と言ってるしssqohysj.dllはやはり白なんじゃないかな?
Aviraにも提出したからあとはAviraの回答待ちですかね

917:898
08/12/27 04:16:14
一応、カスペの他のファイルのお返事も置いときますね。

awtTjgHy.dll - Trojan-Downloader.Win32.Agent.axsv,

cbXQgfcb.dll - Trojan-Downloader.Win32.Agent.axsx,

ewulmrrn.dll - Trojan.Win32.Agent.baer,

xxywWpoo.dll - Trojan.Win32.Monder.afwm

InstallAVg_770522156649.exe_ - Trojan-Downloader.Win32.FraudLoad.veti

918:名無しさん@お腹いっぱい。
08/12/27 04:21:10
>>912
対応済みの検体ばっか送ってるんならそりゃ速いよなー
俺は10回ぐらいしか送ったことないけどノートンのは対応遅い印象がある

何年かかっても直らないノートントラップの誤検知もなんとかしてくれないかな

919:名無しさん@お腹いっぱい。
08/12/27 04:26:12
NOD32後、Onecareでも消えないdllあって自動更新も有効に出来なかったけど
ComboFix使ってみたら正常に戻った・・・ように見える
まだなんか潜んでそうだからも一回フルスキャン中・・・

920:名無しさん@お腹いっぱい。
08/12/27 04:28:22
自動更新も有効になるし、ウイルスに掛かってたときのような重さもない
だけど、レジストリでfxstallerを検索かけると、またいくつかヒットする
害はないし、敢えて無視してるけど

921:名無しさん@お腹いっぱい。
08/12/27 04:51:31
NOD32、OneCare、SUPERAntiSpyware、Spybot、ウイルスバスター、手動でファイル及びレジストリ削除を
乗り継いで、ようやく一見元に戻った感じになった
対処としては今のところはOS入れ直しが一番手っ取り早そうだ

922:名無しさん@お腹いっぱい。
08/12/27 05:04:26
どの会社のアンチウィルスソフトがいいの考えるいい機会にはなったなw

923:名無しさん@お腹いっぱい。
08/12/27 05:16:00
よく分からない物踏んだり、実行したりする人って結構いるんだなと思った。

924:名無しさん@お腹いっぱい。
08/12/27 05:17:03
IEでなんか偽ソフトに飛ばないし
imgs.exe、これとか見つかんないしfxstallerも見つからないだ
しかも、これってシステムの復元ポイントも綺麗さっぱり消えて、復元出来ない訳だし
俺の場合復元できたってことは感染していない証拠なのかな?



925:名無しさん@お腹いっぱい。
08/12/27 05:23:15
>>919

セーフモードでスキャンして隔離させると削除出来ると思う

926:名無しさん@お腹いっぱい。
08/12/27 05:56:38
>>925
セーフモードでComboFixやったのがよかったのかも知れんな

927:名無しさん@お腹いっぱい。
08/12/27 05:57:37
OneCareのプロテクト スキャン
URLリンク(onecare.live.com)

928:名無し~3.EXE
08/12/27 07:36:09
マカフィー入ってる状態で感染して、5分おきにトロイの削除祭り;;
セーウモードでfxstaller.exeとimgs.exe削除して、再起動で立ち上げて
マカフィーの削除祭りが終わりを告げてくれて、NOD32でスキャン・削除したけど
それじゃ終わってないと知ってすぐにOneCare
ザクザク引っかかったけど、うちは全部消せた。
その後にAVGで問題無かったから大丈夫と信てる… いや信じたい…

今トロイの検出なし、メッセにも普通にイン出来てエラーもなし。
マカフィー入れてたおかげで、windows\system32に作られるファイル全部
削除してくれたおかげと、セーフモードで作業したのが良かったのかな?

とりあえず、もう開放されたい。これ、マジで;;

929:名無しさん@お腹いっぱい。
08/12/27 07:39:06
スレの進み方的に言って、いままでで一番感染が広まったんだろうなあ。
おれもメッセで広がるタイプには感染した。
ウィルスがメッセで来たことは何回かあったけど、今回は引っ掛かってしまったわ。

930:名無しさん@お腹いっぱい。
08/12/27 07:44:50
>>929
× おれもメッセで広がるタイプには感染した。
〇 おれもメッセで広がるタイプには初めて感染した。

すまん。

931:名無しさん@お腹いっぱい。
08/12/27 08:45:05
urlも疑わないでクリックしすぎだろ・・・w
まず引数として最後に自分のアドレスを持ってること自体・・。

932:名無しさん@お腹いっぱい。
08/12/27 08:48:42
俺の全然話さない知り合いが俺の画像を悪ふざけでネットにばらまいたのかと思ったんだよ!

933:名無し~3.EXE
08/12/27 09:15:46
>>932
うん、えっと、とりあえずだ
そんな話もしない知り合いに自分の画像渡すなっ!
吹いたじゃねーかwww

934:名無しさん@お腹いっぱい。
08/12/27 09:49:49
MicroSoftの返答 今朝の9:28。OneCareなら「ssqOHYSJ.dll」以外消せるかも。
他にも未知のもの落とされてる可能性があるので、やっぱりOS再インストールが最適解。

20081226.zip [Container]
+---IMG455.jpg-www.photo.com [VirTool:Win32/CeeInject.gen!J]
+---(SfxCab) [VirTool:Win32/CeeInject.gen!J]
+---imgs.exe [VirTool:Win32/CeeInject.gen!J]
+---ssqOHYSJ.dll [Changes to detection currently undergoing testing]
+---spc.exe [Trojan:Win32/AgentBypass.gen!I]
+---awtTjgHy.dll [Trojan:Win32/Vundo.gen!C]
+---cbXQgfcb.dll [Trojan:Win32/Vundo.gen!C]
+---ewulmrrn.dll [Trojan:Win32/Vundo.gen!Y]
+---InstallAVg_770522156649.exe [Trojan:Win32/FakeXPA]
+---xxywWpoo.dll [Trojan:Win32/Vundo.D]

935:名無しさん@お腹いっぱい。
08/12/27 10:04:43
ssqOHYSJ.dllに関しては、ウィルス本体に使用されるライブラリで、
それ自体はウィルス的活動をせず、実害はないのかもね。

936:名無しさん@お腹いっぱい。
08/12/27 10:22:04
本体削除、バスター、OneCareでスキャン
正常っぽい状態に復帰したけど、ネット接続切ってると
知らんタスク(バックグラウンド)がオフライン作業or再接続を聞いてきた orz


あきらめて再インスコ やっとオワタ

937:名無しさん@お腹いっぱい。
08/12/27 10:24:00
クリーンインストールなんか30分で終わるな。
64bit Windows Vista HomePremium SP1で

938:名無しさん@お腹いっぱい。
08/12/27 11:02:22
バックアップとってOS入れなおそうと思うんだけど
このウイルスUSB感染とかした例ありますか?

939:名無しさん@お腹いっぱい。
08/12/27 11:07:41
>>933
占い好きなやつからだったし、おれのメッセアドで占ったかと思った。
いきなりURL出すようなウィルスみたいな奴だから、開いた。

たぶん今回引っ掛かった人はほとんどがウィルスが出回ってることを知ってた人だと思う。
状況によっては油断するもんだよ。
自分は絶対感染しないとか思わないで明日は我が身と思うべきだなと思う。

940:名無しさん@お腹いっぱい。
08/12/27 11:08:22
明け方にも書いたけど、もう少し簡単に詳しく

セーフモードでスキャンかけると、システムに掴かませて削除出来ないウイルスが削除出来る可能性が高い

他の自己複製型ウイルスもこのタイプのものが多く、マカフィーの公式でも、このタイプはセーフでスキャンすれば隔離出来ると書いてあったとおもう

それとは別にアクティブにならないと検出されにくい物もあるので、こちらは通常起動でスキャンしたほうがいいかも

セーフして自己複製型消してからが一番手早いさばき方と推測してるど、一部消えない&鬼沸きな人はこの手順で試してみて

最後にワクチン配布されたらウイルス全部消えていても実行すれば、不要に書き込まれたレジストリを戻してもらえるかもしれない


941:名無しさん@お腹いっぱい。
08/12/27 11:30:50
アドレスとファイル名であからさますぎな時点で絶対に引っかからないなw
さすがにこれに引っかかるやつはどうかしてる。

942:名無しさん@お腹いっぱい。
08/12/27 11:36:53
引っ掛かるひっかからない言ってるやつはここからカエレ。人間誰にでも間違えはあるんだよ。あんたみたいないっつも家に引き込もってパソやってるやつはそりゃひっかからないだろうな(笑)

943:名無しさん@お腹いっぱい。
08/12/27 11:36:55
そんなにあからさまか?

944:名無しさん@お腹いっぱい。
08/12/27 11:43:59
>>941みたいなのがいっぱいいるから専門家は奔走するんだよな
こういう手合いはウィルス感染して撒き散らしていることにまったく気づかない

945:名無しさん@お腹いっぱい。
08/12/27 11:59:08
ssqOHYSJ.dllの検索結果 2 件中 1 - 2 件目 (0.07 秒)

946:名無しさん@お腹いっぱい。
08/12/27 12:01:52
imgs、fxstallerのexe削除、sys32内のランダム生成dllも消した
レジストリも掃除した

なのになぜか自動更新の警告が未だに出てくる

947:名無しさん@お腹いっぱい。
08/12/27 12:08:09
年末だから気をつけないと第二第三の…。

948:名無しさん@お腹いっぱい。
08/12/27 12:08:53
>>947
そうねえ・・・起動しっぱなしの人はスケジューラで更新したほうがいいね

949:名無しさん@お腹いっぱい。
08/12/27 12:35:44
なんか感染した自分が恥ずかしいな

950:名無しさん@お腹いっぱい。
08/12/27 12:44:07
メッセはずっとつけてるのに、そんなの送られてこなくて逆に寂しい。
全員に送ってるわけではないのね。

951:名無しさん@お腹いっぱい。
08/12/27 12:57:13
友人が感染してないのはいいことじゃないか

つか俺は同じ奴から3回届いたぜ
悪いとは思いつつ吹いた

952:名無しさん@お腹いっぱい。
08/12/27 12:57:40
C:\WINDOWS\system32\rundll32.exe "C:\WINDOWS\system32\byXPIcaY.dll",ShellPath
これはなにー?

953:名無しさん@お腹いっぱい。
08/12/27 13:05:08
>>951
なるほど、
ウイルス制作者→誰か の他にも
感染者→誰か でも移るんだもんな。

そしてワラタw

954:名無しさん@お腹いっぱい。
08/12/27 13:19:46
で、今回のばい菌はどんな悪さをするので?

955:名無しさん@お腹いっぱい。
08/12/27 13:22:20
・インチキセキュリティソフトのインスコ
・IRC-Botで遠隔操作(何でも可能)

956:名無しさん@お腹いっぱい。
08/12/27 13:26:06
遠隔操作…だと?あと50程で満スレ

957:名無しさん@お腹いっぱい。
08/12/27 13:33:24
遠隔操作というか、指令センターからの指令待ち。
URLリンク(www.ccc.go.jp)

958:名無しさん@お腹いっぱい。
08/12/27 13:54:00
25日に落としたIMG~~.comと、たった今落としたIMG~~.comのファイルサイズが違うぞ!?
ウィルスのバージョンアップでもしたのかなぁ?

959:名無しさん@お腹いっぱい。
08/12/27 14:21:32
今年のウイルス、今年のうちに~

960:名無しさん@お腹いっぱい。
08/12/27 14:23:22
年末年始は気をつけてね
URLリンク(www.antivirushell.com)

961:名無しさん@お腹いっぱい。
08/12/27 14:25:13
Aviraは土日入るとどうしようもないな
休みのおかげでまったくアップデートしない

962:名無しさん@お腹いっぱい。
08/12/27 14:38:06
どっかでみたO4エントリーだと思ったら今年の初め頃のVundoだった

963:958
08/12/27 14:42:19
IMG~~.comの中身が
今までは imgs.exe だったのが、
今回のは myspace.exe となっていました

不確か過ぎる情報になるが、古いタイプの物ならonecareとかだけでも対処できたっぽい(?)

964:名無しさん@お腹いっぱい。
08/12/27 14:45:21
>>963
ほとんど検知せず全滅の状態
URLリンク(www.virustotal.com)

ちなみにVTではスルーだけどPanda2009でも検出できます

965:名無しさん@お腹いっぱい。
08/12/27 14:53:06
OneCareで今やってるが出てくる出てくる同じ名前のやつがwこれ何時間くらいでおわるん?

966:名無しさん@お腹いっぱい。
08/12/27 14:54:36
>>963
またお寒い検出率。

myspace.exe(4/39)
URLリンク(www.virustotal.com)

IMG455.jpg-www.photo.com(6/39)
URLリンク(www.virustotal.com)

===== myspace.exe(4/39) =====
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J

===== IMG455.jpg-www.photo.com(6/39) =====
a-squared 4.0.0.73 2008.12.27 Backdoor.Rbot!IK
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)


967:名無しさん@お腹いっぱい。
08/12/27 14:57:02
>>966
GDATAがカスペ捨ててBitDefenderを選ぶのはわかるような気がする
でもBitDefenderって一度スルーするとどうしようもないんだよな・・・
その後の対応にかなり時間かかる

968:名無しさん@お腹いっぱい。
08/12/27 15:45:32
ウイルス?そんなもの来ませんでした
だって、友達がいないんだもん・・・

969:名無しさん@お腹いっぱい。
08/12/27 15:51:33
なんでメッセ入れてるの??????

970:名無しさん@お腹いっぱい。
08/12/27 16:19:39
とりあえずOneCareでセーフモードと通常でスキャンした…これで事が治まればいいのだが…

971:名無しさん@お腹いっぱい。
08/12/27 16:41:08
WIN2000でもいけるのないかな…_| ̄|○

972:名無しさん@お腹いっぱい。
08/12/27 16:46:29
>>971
@niftyウイルスチェック(カスペエンジン)
URLリンク(www.nifty.com)

973:名無しさん@お腹いっぱい。
08/12/27 16:47:10
OSの上書きインストールくらいじゃどうにもならなかった・・・

974:名無しさん@お腹いっぱい。
08/12/27 16:49:11
さっきPCショップでウイルス対策ソフトのとこ見てたらマカフィーがWIN2000でもいけますってあった

975:名無しさん@お腹いっぱい。
08/12/27 16:50:43
Spyware Doctorを使っている者なのですが
大体5分毎位に、

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Time

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Count

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Type

が出てきて困ってます。
IMG~~.comかかったのが26日の7時なのですが
このスレの最初から割と丹念に見て、
ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
未だに残っている状況です。

スレも最後の方なのですが、よろしくお願いしたいです・・。

976:名無しさん@お腹いっぱい。
08/12/27 16:59:43
うーむ、これ引っかかったやつは不注意すぐるぞ

977:名無しさん@お腹いっぱい。
08/12/27 17:03:22
感染したHDDを他のPCでスキャンしても、完全に除去できないの?

978:名無しさん@お腹いっぱい。
08/12/27 17:04:11
>>973
そりゃあ、OS自体は壊れている訳でないから当たり前といえば当たり前の結果だな
根本を削除しない限りもと通りにはならんよ

979:名無しさん@お腹いっぱい。
08/12/27 17:04:12
971です!ありがとう!!がんばってくる!!!
お前ら大感謝だっ( ´Д⊂

980:名無しさん@お腹いっぱい。
08/12/27 17:29:22
>>975

>>940を試してみて

> Spyware Doctorを使っている者なのですが
> 大体5分毎位に、
> ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
> 未だに残っている状況です。

> スレも最後の方なのですが、よろしくお願いしたいです・・。




981:名無しさん@お腹いっぱい。
08/12/27 17:52:08
超亀だが俺も>>903と同じ症状だわ
逆に不安になる


982:名無しさん@お腹いっぱい。
08/12/27 17:54:17
>>981
んー、一応クリックはしちゃった感じ?


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch