08/05/08 20:24:24
Blaster / Welchia についての情報
このウイルスは、MS03-026 の悪用を試みるワームです。
●症状
ネットワークの反応が遅く、
シャットダウンへのカウントダウンが始まります。
メッセージボックスの下に「RPCの異常終了です」などと表示されます。
もし「lsass.exeの異常終了です」ならば、上のSasserです。
「スタート」メニュー→「ファイル名を指定して実行」に
shutdown -a と入力し、[OK] する。これでカウントダウンは止まります。
Blasterにはいくつかの亜種があります。
マイクロソフトの解説ページ
URLリンク(www.microsoft.com)
Blaster トレンドマイクロ
URLリンク(www.trendmicro.co.jp)
Blaster シマンテック
URLリンク(www.symantec.co.jp)
Welchia トレンドマイクロ
URLリンク(www.trendmicro.co.jp)
Welchia シマンテック
URLリンク(www.symantec.co.jp)
7:名無しさん@お腹いっぱい。
08/05/08 20:24:55
「W32/Netsky」ウイルスの亜種(Netsky.Q)に関する情報
URLリンク(www.ipa.go.jp)
・差出人アドレスは詐称されます。
・件名: 以下のいずれかひとつ
* Mail Delivery System (<受取人メールアドレス>)
* Failure (<受取人メールアドレス>)
* Delivered Message (<受取人メールアドレス>)
* Deliver Mail (<受取人メールアドレス>)
* Delivery Error (<受取人メールアドレス>)
・添付ファイル名: { message、data、mail、msg } + { ランダムな数字、なし } + { .pif , .zip }
例: date7386.pif 、 message19392.zip など
「W32/Mydoom」(別名:Novarg)ウイルスに関する情報
URLリンク(www.ipa.go.jp)
・差出人アドレス(From): コンピュータから取得できたアドレスを詐称。
・件名:(以下の候補のいずれかを選択)
* Error
* Status
* Server Report
* Mail Transaction Failed
* Mail Delivery System
* hello
* hi
[ 任意の文字列 ]
・本文:(以下の候補のいずれかを選択)
"test"
"The message contains Unicode characters and has been sent as a binary attachment."
"The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."
"Mail transaction failed. Partial message is available."
[ 任意の文字列 ] [ 空白 ]
・添付ファイル名: ランダムなアルファベット
8:名無しさん@お腹いっぱい。
08/05/08 20:27:59
「既出です」Q&A
Q1.ノートンを使っていたら、2chのログからウィルスを発見しました。
ノートンをインストールしたら2chに書けなくなりました。
A1.ここを読みましょう。
URLリンク(info.2ch.net)
Q2.ウィルスを検出しましたが、どんなウィルスかわかりません
A2.各アンチウィルスベンダーのウィルス情報をまず確認しましょう。
・Symantec Security Response
URLリンク(www.symantec.com)
・Trend Micro ウイルス情報
URLリンク(www.trendmicro.co.jp)
・McAfee ウイルス情報
URLリンク(www.mcafeesecurity.com)
Q3.「世界の中心で生まれてきてすいません」という表示が出てきました 。
デスクトップの背景が蓮画像になってしまいます 。
A3.Winny関連ウィルスですので、Download板へどうぞ。
ブラクラに仕込まれている場合もあるので、心当たりがなくても一度参照して下さい。
Winnyを狙ったワーム・ニュイルス情報 Part67
スレリンク(download板)
Q4.アンチウィルスソフトを持っていないのですが、無料のものはないですか?
A4.このスレでフリーのアンチウィルスソフトを取り扱っていますので確認して下さい。
フリーのアンチウイルスソフト最強決定戦!
スレリンク(sec板)
Q5.ホームページが変なページになってしまいます
A5.ウィルスではなくスパイウェアですので、こちらへどうぞ
【総合】スパイウェア予防駆除 Part14
スレリンク(sec板)
9:名無しさん@お腹いっぱい。
08/05/08 20:28:44
感染の疑いがあり自分のアンチウイルスソフトで反応がない場合
他社のオンラインスキャンをするとウイルスが検出されることがあります
カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
URLリンク(www.kaspersky.co.jp)
シマンテック・セキュリティチェック
URLリンク(www.symantec.com)
ウイルスバスターオンラインスキャン
URLリンク(www.trendmicro.co.jp)
トレンド フレックス
URLリンク(trendflexsecurity.jp)
削除可
BitDefender Online Scanner
URLリンク(www.bitdefender.com)
削除可
Panda ActiveScan
URLリンク(www.pandasoftware.com)
削除可
F-Secure オンラインスキャナ
URLリンク(www.f-secure.co.jp)
ウイルスチェイサー for WEB
URLリンク(www.viruschaser.jp)
関連スレッド
オンラインによるウイルスチェックサービス
スレリンク(sec板)
※感染している場合ウイルスによっては外部と通信を行うものもありますので
パーソナルファイヤーウォール等でスキャンサイト以外の接続を遮断することをおすすめします
10:名無しさん@お腹いっぱい。
08/05/08 20:36:42
関連スレッド
セキュリティ初心者質問スレッドpart108
スレリンク(sec板)
Winnyを狙ったワーム・ニュイルス情報 Part67
スレリンク(download板)
☆☆トロイの木馬☆☆4台目
スレリンク(sec板)
sasser【スタコラサッサ】sasser Part2
スレリンク(sec板)
常駐しないから(・∀・)イイ!! SpywareBlaster 16
スレリンク(sec板)
【緊急!】ウィルス即行駆除方法【助けて!】Part2
スレリンク(sec板)
アンチウィルスソフトのウィルス誤検出
スレリンク(sec板)
毎日ウィルスメールが送られてくるのですが・・2通目
スレリンク(sec板)
【分析】HijackThis【研究】
スレリンク(sec板)
関連スレは次スレに移行してる場合もあります。
質問する前に検索しましょう
URLリンク(www.yahoo.co.jp)
URLリンク(www.google.co.jp)
11:名無しさん@お腹いっぱい。
08/05/08 20:40:27
テンプレ完了。
リンクは訂正しといた。が、間違えてたら訂正ヨロ。
12:名無しさん@お腹いっぱい。
08/05/08 23:53:56
テンプレ補足
P2P(Winny、Share、etc.)ウイルス(キンタマ、山田、原田、etc.)は板違い。移動しろ。
P2P以外(アップローダ、etc.)で踏んだとしても移動しろ。
Download
URLリンク(tmp6.2ch.net)
キンタマ、山田、ニュイルスなどでスレ探せ。
13:名無しさん@お腹いっぱい。
08/05/09 01:16:16
>>1
乙
ウイルスじゃないけど来たら誘導今話題の
Janeが強制終了する脆弱性が発覚 2
スレリンク(news板)
14:他スレから移動してきました
08/05/10 20:54:19
>>1さんスレ立て乙です。
伝聞なので状況が不明確です。申し訳ありません。
気になったので調べてみたのですが、見たことも聞いたこともない事例なのでこちらで質問してみます。
IBM製Win98(SEかどうかは不明)デスクトップPC起動後に、
IE7へのアップグレードを促すポップアップが出てくることがあるそうです。
毎回というわけではなく出たり出なかったりだそうです。
私はウィルスかスパイウェアを疑ったのですが、症状のものが見当たりません。
また、avastで検索したけど何もなかったそうです。
下記のような事例があるようですが、今回の事例とは大分違いますよね。
URLリンク(japan.cnet.com)
15:名無しさん@お腹いっぱい。
08/05/11 09:21:33
>>14
今時98なんて使ってる奴少ないから答えようがないし。
とにかくそのポップアップに関する情報が少なすぎるからわからん。
スクリーンショットとかあればわかりやすいけど。
16:名無しさん@お腹いっぱい。
08/05/11 10:53:02
>>15
おっしゃる通りだと思います。
私も画面を見たわけではないので、詳しい情報がわからないのです。すみません。
17:名無しさん@お腹いっぱい。
08/05/11 13:55:27
98にIE7は入ったっけ?
ダメじゃなかったかな
インストーラーでも入れたんじゃないか?
18:名無しさん@お腹いっぱい。
08/05/15 19:02:34
Fujisan.co.jp(富士山マガジンサービス)がサイト改竄、
SQLインジェクションでウイルス仕込まれる
URLリンク(internet.watch.impress.co.jp)
URLリンク(www.virustotal.com)
19:名無しさん@お腹いっぱい。
08/05/17 15:58:13
ここもグダグダだな
20:名無しさん@お腹いっぱい。
08/05/19 11:56:08
このスレは元々こんなもんだよ。普段どおりの過疎っぷりです。
21:名無しさん@お腹いっぱい。
08/05/23 15:21:19
ウィルスらしきファイルが削除出来ず困っています。
avast!を使用してスキャンしたところ、
C:\WINNT\system32\ir32_32.dll\┘┘┘┘というファイルが引っ掛かりました。
削除を実行してもエラーがでるし、ウィルスチェストにも移動できずに困っています。
ファイルパスの所を探しても見つからないし、ググっても海外サイトばかり引っ掛かるし
どうしていいまわかりません。avast!のエラーログは
「ファイルを削除中にエラーが生じました:そのファイルは高圧縮ファイル爆弾です」
です。OSはvistaを使用しています。どなたかわかる方いらっしゃいましたらよろしくお願いしますtt
22:名無しさん@お腹いっぱい。
08/05/23 15:26:49
誤検知じゃねーの?
VirusTotalにアップしてみろ
23:名無しさん@お腹いっぱい。
08/05/23 15:39:09
>>22
ありがとうございます。そういう方法があるとは知りませんでした!
ですがファイルパスの所を探しても当該ファイルは見当たりません。
何よりファイルの最後についてる┘┘┘┘の意味がわからないw
探しても見つからないって事は100%誤検知なんでしょうか?
24:名無しさん@お腹いっぱい。
08/05/23 15:52:17
ir32_32はIndeoコーデックだと思うので
そんな名前のディレクトリ(フォルダ)はちょっと考えにくい。
ディスク破損してるかもしれんよ。chkdsk /f してみたら?
25:名無しさん@お腹いっぱい。
08/05/23 16:15:27
>>24
chkdsk/f→予約→再起動 で、再起動時に何かチェックしているのはわかったのですが
不具合が起きているかどうかがわかりませんでした。再起動終了後には何も出て
こなかったんですが・・・
26:名無しさん@お腹いっぱい。
08/05/23 16:39:16
セーフで起動してスキャンしてみるとか?
27:名無しさん@お腹いっぱい。
08/05/23 16:59:06
>>26
やってきましたー
やっぱ誤検地くさいなーw
質問答えてくれてありがとうございます!
最後にオンラインスキャンでもしてみますヽ(^ω^)ゝ
28:名無しさん@お腹いっぱい。
08/05/23 19:10:49
本当に無いのかなリネームしないと各種アプリが見えないだけだったりして
29:名無しさん@お腹いっぱい。
08/05/23 21:19:01
スレリンク(sec板)
このスレの住人は薄情な奴ばかりだ・・・
お前ら俺を助けろ!
今日パソコンを付けたら、画面の中に落した覚えの無いフォルダが
あったから中身を見ようと、開いてみたら何も反応が無かったから
怪しいと思ってシマンテックのオンラインスキャンをしたら、ウイルスが見つかった!
そんで、見つかったウイルスをシマンテックのホムペを見て
駆除を試そうとしたら、レッグエディットがノートパッドに変えられてて断念した!
言っとくがウィニーはやってないぞ・・・
30:名無しさん@お腹いっぱい。
08/05/23 21:21:49
早くしてくれ・・・
31:名無しさん@お腹いっぱい。
08/05/23 21:39:10
薄情呼ばわりされたら薄情にならざるを得まい。
あっちのスレのテンプレ読んで対処するか、うせろ。
# 同じ板で同じ質問スレならなら住民はだいたいかぶってんのよ。
32:名無しさん@お腹いっぱい。
08/05/23 21:50:08
>>31
はいはい、わかりましたよ・・・消えますね・・・
消えればいいんだろ!
33:名無しさん@お腹いっぱい。
08/05/23 23:18:44
>>32
/ , -‐ (_) (_) ‐- ,
/ l_j_j_j と) (とi._i._i._l
/ / / \ \
/ / \ \ / /
/ / \ \(^Д^ )/ / プギャプギャプギャプギャーーーッ!!!!!
/ / ヽ /
/ ノ /
/ /
/ / \ \
― / ん、 \ \ | ヽヽ
― (__ ( > ) | ヽヽ |\
⌒ヽ ’ ・`し' / / i 、、 | ヽヽ |\ | \
人, ’ ’, ( ̄ / ド ド |ヽ |\ | |
Y⌒ヽ)⌒ヽ、 ) |
\_つ
34:名無しさん@お腹いっぱい。
08/05/23 23:45:34
>>29
と言うか、そっちのスレで既に回答が出てるだろ…
釣るつもりならもう少し痛く、ブッコワレタ感じでお願い。
35:名無しさん@お腹いっぱい。
08/05/28 00:45:49
改ざんされてるっぽいサイト(某メーカー)を見つけたんだが、
URLで改ざんかされてるか否かをスキャンしてくれるような
サービスってないですかね
36:名無しさん@お腹いっぱい。
08/05/28 14:19:43
ソースチェッカーでググれ。あれでわからんのなら
SiteAdvisorに投げて待て(こちらは有志の人力なので期待すんな)。
37:名無しさん@お腹いっぱい。
08/05/28 16:17:00
既に攻撃多発か?Flash Playerにゼロデイの脆弱性、大規模被害の恐れも
URLリンク(www.itmedia.co.jp)
Flash Playerに新たな脆弱性、サイト改竄と組み合わせた攻撃も発生
URLリンク(internet.watch.impress.co.jp)
38:35
08/05/28 19:04:38
>>36
ありがと。スクリプトタグで↓が埋まってるからアウトだろうなあ。
dota11.cn/m.js
つか、↑でググるとヒットしすぎ。そりゃ取っ手も取れるわ
39:名無しさん@お腹いっぱい。
08/05/28 19:26:55
>>38
ああ、うん、それはアウト。
40:名無しさん@お腹いっぱい。
08/05/29 07:22:40
Flashの件。0dayでは無く、9.0.124で対策済みの模様。
URLリンク(blogs.adobe.com)
URLリンク(www.avertlabs.com)
41:名無しさん@お腹いっぱい。
08/05/29 21:10:16
次のサイト(Yahoo!ブログ - るぽーん的ベトナム株で一喜一憂)
URLリンク(blogs.yahoo.co.jp)
にある次のリンクをクリックしたら、
■ベトナム株 掲示板■
ベトナム株を中心とした海外投資のための情報掲示板
URLリンク(www.online-sp.com)
マカフィーが、JS/Downloader AUD(トロイの木馬)を検出しました。
マカフィーが検出したので、被害はないようなのですが、もう一度
訪ねる気にはなれません。
しかし、どうしても見たいサイトなので、どなたかチェックしてもらえませんか?
念のため、URLリンク(blogs.yahoo.co.jp) のほうは全く問題ありません。
チェックしてもらいたいのは、URLリンク(www.online-sp.com) のほうです。
42:名無しさん@お腹いっぱい。
08/05/29 21:48:14
>>41
ウイルス付きだが、どうしても見たいなら見れば?
43:名無しさん@お腹いっぱい。
08/05/29 21:52:27
ウイルス反応あり
h抜けカス
44:名無しさん@お腹いっぱい。
08/05/30 15:01:54
>>41
width=740><BR></TH></TR></TBODY></TABLE></CENTER><!--erda8--><U style="DISPLAY: none"><script src="URLリンク(ghdys.byethost13.com)">
</script><a href="URLリンク(www.math.harvard.edu)">anal beads</a>lesbian anal beads
<a href="URLリンク(www.math.harvard.edu)">anal creampie</a>anal creampies
<a href="URLリンク(www.math.harvard.edu)">anal destruction</a>jessie anal destruction
<a href="URLリンク(www.math.harvard.edu)">anal fisting</a>lesbian anal fisting
<a href="URLリンク(www.math.harvard.edu)">anal fuck</a>gay anal fuck
<a href="URLリンク(www.math.harvard.edu)">anal fucking</a>gay anal fucking
<a href="URLリンク(www.math.harvard.edu)">anal rape</a>gay anal rape
<a href="URLリンク(www.math.harvard.edu)">anal virgin</a>anal virgins
<a href="URLリンク(www.math.harvard.edu)">anime girls</a>hot anime girls
<a href="URLリンク(www.math.harvard.edu)">anime hentai</a>hentai anime
<a href="URLリンク(www.math.harvard.edu)">anime lesbians</a>hot anime lesbians
<a href="URLリンク(www.math.harvard.edu)">anime sex</a>anime lesbian sex
45:名無しさん@お腹いっぱい。
08/05/30 15:03:20
>>41
<a href="URLリンク(www.math.harvard.edu)">anime xxx</a>xxx anime
<a href="URLリンク(www.math.harvard.edu)">asian anal</a>anal asian
<a href="URLリンク(www.math.harvard.edu)">asian ass</a>asian ass porn
<a href="URLリンク(www.math.harvard.edu)">asian fuck</a>asian teen fuck
<a href="URLリンク(www.math.harvard.edu)">asian lesbians</a>asian lesbian
<a href="URLリンク(www.math.harvard.edu)">asian milf</a>asian milfs
<a href="URLリンク(www.math.harvard.edu)">asian pussy</a>tight asian pussy
<a href="URLリンク(www.math.harvard.edu)">asian teens</a>hot asian teens
<a href="URLリンク(www.math.harvard.edu)">asian tits</a>big asian tits
<a href="URLリンク(www.math.harvard.edu)">atk hairy</a>atk natural hairy special
<a href="URLリンク(www.math.harvard.edu)">big black tits</a>black big tits
<a href="URLリンク(www.math.harvard.edu)">big natural tits</a>natural big tits
46:名無しさん@お腹いっぱい。
08/05/30 15:05:25
>>41
<a href="URLリンク(www.math.harvard.edu)">big tits round asses</a>big tits and round asses
<a href="URLリンク(www.math.harvard.edu)">black anal</a>black anal sex
<a href="URLリンク(www.math.harvard.edu)">black lesbians</a>black and white lesbians
<a href="URLリンク(www.math.harvard.edu)">blonde lesbians</a>hot blonde lesbians
<a href="URLリンク(www.math.harvard.edu)">busty asian</a>busty asians
<a href="URLリンク(www.math.harvard.edu)">casting couch teens</a>teens casting couch
<a href="URLリンク(www.math.harvard.edu)">cute teens</a>cute blonde teens
<a href="URLリンク(www.math.harvard.edu)">double anal</a>double anal penetration
<a href="URLリンク(www.math.harvard.edu)">ebony anal</a>ebony anal sex
<a href="URLリンク(www.math.harvard.edu)">ebony girls</a>ebony girls fucking
<a href="URLリンク(www.math.harvard.edu)">ebony lesbians</a>ebony lesbian
<a href="URLリンク(www.math.harvard.edu)">exploited black teens</a>exploited teens
47:名無しさん@お腹いっぱい。
08/05/30 15:07:33
>>41
<a href="URLリンク(www.math.harvard.edu)">fat gaining chicks</a>fat ugly chicks
<a href="URLリンク(www.math.harvard.edu)">fat girls fucking</a>hot fat girls
<a href="URLリンク(www.math.harvard.edu)">fat sex</a>fat girl sex
<a href="URLリンク(www.math.harvard.edu)">first time anal</a>first time anal sex
<a href="URLリンク(www.math.harvard.edu)">free amateur porn</a>free amateur porn videos
<a href="URLリンク(www.math.harvard.edu)">free asian porn</a>free asian porn videos
<a href="URLリンク(www.math.harvard.edu)">free hardcore porn</a>free hardcore porn videos
<a href="URLリンク(www.math.harvard.edu)">free nude celebs</a>free female celebs nude
<a href="URLリンク(www.math.harvard.edu)">gay anal</a>gay anal sex
<a href="URLリンク(www.math.harvard.edu)">gay anal sex</a>hardcore gay anal sex
<a href="URLリンク(www.math.harvard.edu)">gay anime</a>gay anime sex
<a href="URLリンク(www.math.harvard.edu)">gay blowjob</a>gay blowjobs
48:名無しさん@お腹いっぱい。
08/05/30 15:09:54
>>41
<a href="URLリンク(www.math.harvard.edu)">gay teens</a>gay teens in jockstraps
<a href="URLリンク(www.math.harvard.edu)">girls pissing</a>pissing girls
<a href="URLリンク(www.math.harvard.edu)
<!--//
SourceCheckerOn-line Ver 1.70b2
//-->
どれが悪さをしてるかは知らんw エロ広告ばかりみたいだな・・・
49:名無しさん@お腹いっぱい。
08/05/30 15:57:03
>>41
[このアドレスの安全度 99%]
意味わかんねー
50:名無しさん@お腹いっぱい。
08/05/30 17:24:34
外付けのHDDにワームウイルスを拾ってHDDのデータを全部消去されてしまった
すぐに外して電源も切って
PC本体はすぐにリカバリして無事だったけど
この外付けHDDをまたPCに接続するのは危険ですか?
接続した瞬間にPC本体にウイルスが入って来たりするんでしょうか?
それともウイルスの入ってるファイルを「実行」しないで削除すれば大丈夫でしょうか?
51:名無しさん@お腹いっぱい。
08/05/30 17:35:22
とりあえず対策ソフトをインスコして、繋げてみ
52:名無しさん@お腹いっぱい。
08/06/01 04:25:41
ウィルスを収集し、手持ちの市販ソフト6種の検知能力を試したいので、
下記アドレスへウィルスを送ってください。
マジレスです(大学の研究レポート作成のため)
ここならば、軽く1000種くらいは集まるかなと。。。
ossan56@mail.goo.ne.jp
53:名無しさん@お腹いっぱい。
08/06/01 05:12:10
ちょっと質問したいのですが
XPを再インストール直後(正確には退避ファイルを戻した後)
デスクトップをXPスタイル>クラシックスタイルに変更しようとしたところ
カスペルスキー7.0が一瞬POPアップしたのですが
確認する前に適応ボタンを押してしまい、後でイベントログを見ると
「別プロセスへの埋め込みを試みましたが、許可しました」
となってしまいました。
検知をみると c:\WINDOWS\System32\scvhost.exeにリスクウェアInvaderを検知したとでました
これは放置してよい類なのでしょうか?
もう一度再インストールしなおしたほうがよいのでしょうか・・・
54:名無しさん@お腹いっぱい。
08/06/01 05:29:02
あ 質問用のテンプレがありましたね・・・ スミマセン
55:名無しさん@お腹いっぱい。
08/06/01 11:25:47
ずっとカーソルの←を押された状態になっていて
もちろんキーボードのカーソルは異常なしです。
文章を書いていても戻って 文を章てい書 みたいになります。
色々起動させてPCを重い状態にするとカーソルの←に動く速度は遅くなるのですが
かなり不便です。これは新種のウィルスでしょうか??
56:名無しさん@お腹いっぱい。
08/06/01 19:13:50
キーボードいかれてるんだろ
57:53
08/06/01 19:49:57
53です。
一応自己完結しました。
色々ログを見たところscvhost.exeに感染ではなくて
scvhost.exeがデスクトップ関係のファイルにアクセスしてました(ファイル名は失念)
もう一台AVGを入れてるPCで変更してもまるで感知してないので
カスペルスキーの過剰反応かなと。
デスクトップを変えない限りカスペルスキーは反応しないので
もう一度再インストールしました。
58:名無しさん@お腹いっぱい。
08/06/02 01:39:35
rejoice91.exe ってウィルスですか?わかる人います?
59:名無しさん@お腹いっぱい。
08/06/02 07:12:57
ググれ
60:名無しさん@お腹いっぱい。
08/06/02 08:41:27
【使用OS】 「windows vista home premium」
【どんな症状が出るか】 「ゲームの途中に「ウィルスバスター2008の使用期限が~」広告が表示され、それを手動で消さない限りゲームの操作ができなくなる」
【症状が出る前に何をやったか】 「購入時のまま」
【症状を解決しようとどのような処置を取ったか】 「ウィルスバスター2008というソフトをツールバーから終了したがパソコンの電源を入れる度に起動している」
【その他の質問】 「アンチウィルスソフトがウィルスソフトなのは何故ですか?」
61:名無しさん@お腹いっぱい。
08/06/02 10:20:17
>>60
PC初心者版へGO !
62:名無しさん@お腹いっぱい。
08/06/03 19:46:51
OS:xp
アンチウィルスソフト avast!
ファイル名 C:\WINDOWS\system32\avmete.dll
マルウェアの名前 Win32:Agent-WVQ[tri]
マルウェアのタイ トロイの木馬
と出たんで、C:\WINDOWS\system32\avmete.dll を削除しようとしたんですが、削除出来ません
どうしたら良いですか?
関係あるかわかりませんが、
種類 アドオンにもブラウザヘルパーオプション
ファイル名 avmete.dll
とあります
63:名無しさん@お腹いっぱい。
08/06/03 19:47:35
下げてしまった…
64:名無しさん@お腹いっぱい。
08/06/03 20:21:59
>C:\WINDOWS\system32\avmete.dll
このファイルのプロパティ情報から分かることを書いてもらえます?
「作成日」「更新日」「ファイルサイズ」「組織名」「会社名」
65: ◆N9P3SuvBPo
08/06/03 20:22:54
名前消えてたよ~呪いだ~
66:名無しさん@お腹いっぱい。
08/06/03 20:58:03
>>64
「作成日」2007年12月24日
「更新日」2008年3月10日
「ファイルサイズ」105KB(108,032 バイト)
「組織名」「会社名」は解りません。
目に見える障害はネットに繋がらない事です
お願いします!
67: ◆N9P3SuvBPo
08/06/03 21:11:28
>66
ネット繋がらない…ってキツイな。
「組織名」「会社名」分からないってことは、プロパティ画面の何処にも載ってないということですか?
セーフモードで起動して「C:\WINDOWS\system32\avmete.dll」を削除
さらにアドオンの管理から「avmete.dll」を選択→無効
HijackThisがあれば上記のアドオンを無効にする変わりに
O2 - BHO: (no name) - {ED7C374E-DD1B-4092-8171-D8F7F0408082} - C:\WINDOWS\system32\avmete.dll
をFIXすれば良い
68:名無しさん@お腹いっぱい。
08/06/03 21:44:16
>>67
レス遅れました
「組織名」「会社名」はプロパティ画面の何処にも載ってないです…
セーフモードで起動しましたが「C:\WINDOWS\system32\avmete.dll」を削除できませんorz
69: ◆N9P3SuvBPo
08/06/03 21:53:48
>68
了解
セーフモードで削除出来ないと…
アドオンの管理の処理はどうでしたか?
やはり失敗に終わった?
70:名無しさん@お腹いっぱい。
08/06/03 21:59:22
>>69
HijackThisはないのですが、アドオンは無効にしてあります
71:名無しさん@お腹いっぱい。
08/06/03 22:04:37
BHOはSpybotインスコしているなら削除できるでしょ。
いっそうのこと直接キーを削除してしまえば?
72: ◆N9P3SuvBPo
08/06/03 22:07:25
>70
とりあえず、そのアドオンは無効に出来たと言う事ですね。
まだネットには繋がりませんか?
73:名無しさん@お腹いっぱい。
08/06/03 22:17:00
>>72
無効に出来ました、
まだ繋がりません…
ユーザー3つに分けてて、母と弟のをためしに使ってみた時は接続できたんですが、一旦ユーザーを変えたか再起動した後は使えなくなってました
ネトラジ用のネトナビ自体は繋がるんですが聞こうとすると一旦インターネットエクスプローラーにつなぐみたいで、やはりそこで駄目になります
あと壺なんかも最初は表示されるんですけどすぐに「終了します」と出ます
74: ◆N9P3SuvBPo
08/06/03 22:22:06
>73
自分のユーザーだと接続不可能ということですね。
>あと壺なんかも最初は表示されるんですけどすぐに「終了します」と出ます
ああ!それなら↓参照
スレリンク(sec板:354番)
75:名無しさん@お腹いっぱい。
08/06/03 22:27:16
>>74
もう全てのユーザーで接続出来ません、
76:名無しさん@お腹いっぱい。
08/06/03 22:34:12
>>74
接続は壺のせいで直るとして
だれかのHijackThis logだと3つも登録されていたよ。
O2 - BHO: (no name) - {0C971016-7AD1-4622-BCE7-EA5BDA34E4F1} - C:\WINDOWS\system32\avmete.dll
O2 - BHO: (no name) - {BF9EBA4D-6D46-42F8-9AC3-6EA61EEC3379} - C:\WINDOWS\system32\avmete.dll
O2 - BHO: (no name) - {C3608BBD-6FD9-4B33-8A7C-62ADF286BE42} - C:\WINDOWS\system32\avmete.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
をavmeteで検索して出てきたキーを削除させたほうがよくない?
77: ◆N9P3SuvBPo
08/06/03 22:38:11
全ユーザー接続不可能…ですか。
ツール>インターネットオプション>接続>LANの設定
LANにプロキシ サーバを使用する
のチェックを外す
これをやっても治りませんか?
>76
CLSID{0C971016-7AD1-4622-BCE7-EA5BDA34E4F1}
はいくつもエントリーがあるようですね。
かと言ってレジストリを直接編集させるのはちょっと…
ここはやはりHijackThisを使ったほうが安全だと思いますが?
78:名無しさん@お腹いっぱい。
08/06/03 22:43:58
>>77
あ、出来ました!!!
更新しても駄目だったので無理かな、と思ってたんですが、一回閉じて開いたらできました…wすんません
79:名無しさん@お腹いっぱい。
08/06/03 22:50:22
安全だけどソフトの使用説明もしないと…
キーの削除も説明しないとだめな子ならHijackThisに一票。
80: ◆N9P3SuvBPo
08/06/03 22:56:15
>78
ネット接続できるようになりましたか?
ちょっとレジストリを編集する前に、これ試してもらえます?
スタート→すべてのプログラム→アクセサリ→コマンドプロンプト
で、以下の文字を入力してEnter
regsvr32 /u C:\WINDOWS\system32\avmete.dll
再起動
ファイル=C:\WINDOWS\system32\avmete.dllを削除
もし無理なら、HijackThisの出番となります。
以下のサイトを熟読の上、HijackThisをインストールしてください。
URLリンク(www.higaitaisaku.com)
>79
万が一、HijackThisが聞かなければレジストリ直接編集もやむを得ないが…
81:名無しさん@お腹いっぱい。
08/06/03 22:57:09
取り敢えずの問題は解決しました!
お二方、有難うございます。
HijackThisの方はFixしてみたんですけどエラーみたいなのがでます
今画像うpします
82:名無しさん@お腹いっぱい。
08/06/03 23:20:15
>>80
スタート→すべてのプログラム→アクセサリ→コマンドプロンプト
で、以下の文字を入力してEnter
regsvr32 /u C:\WINDOWS\system32\avmete.dll
ここで失敗しましたとでます
HijackThisの結果↓
URLリンク(zero0.x0.com)
83: ◆N9P3SuvBPo
08/06/03 23:32:03
>82
regsvr32コマンド失敗は了解
こちらの件ですが、そのエントリー以外にもFIXしなくてはならない項目があります。
一旦HijackThisを閉じて、もう一度HijackThisを起動してスキャンして
出てきたログを貼ってもらえますか?
Running processesの部分のところに、ユーザー名がモロに出ていると思いますので
こちらの方は編集してもらって結構です。
84:名無しさん@お腹いっぱい。
08/06/03 23:40:59
>>83
ユーザー名出ませんでした
URLリンク(www.rupan.net)
85: ◆N9P3SuvBPo
08/06/03 23:54:52
>84
やはりな…投稿してもらった画像に(エラー画面で隠れてるけど)
O4 - HKLM\..\Run: [pccguide.exe] "というのがあったから「もしや」と思ったが…
こちらの件は後で処理します。
PCをセーフモードで起動して、以下の項目にチェックを付けてFIX
R3 - URLSearchHook: (no name) - {D2A5245A-B682-4C26-A507-173A774B2E70} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {f2c43e05-f53f-4131-a1a7-0f05f29609ac} - C:\WINDOWS\system32\lttfix.dll (file missing)
O2 - BHO: (no name) - {F9FA8F68-DEF5-4F5F-B325-478AE0FBD3FF} - C:\WINDOWS\system32\avmete.dll
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000373.exe 61A847B5BBF72810329B385575FA01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15806F97BDE4417E77DB6C0736AC53FD97CB77
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: lttfix - lttfix.dll (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
”セーフモードで再起動”
以下のファイルを削除
C:\WINDOWS\system32\avmete.dll
C:\WINDOWS\retadpu2000373.exe
C:\WINDOWS\system32\HPZipm12.exe
”通常モードで再起動”して、取り直したHijackThisを見せてもらえますか?
それと、こちら↓…心当たりはありますか?
C:\Documents and Settings\user\デスクトップ\SmileDownloader\SmileDownloader.exe
86:名無しさん@お腹いっぱい。
08/06/04 00:10:49
>>85
あります…なにか問題があるんですか!?
87: ◆N9P3SuvBPo
08/06/04 00:15:41
>86
作業は終わりました?
ちょっと気になってるんですが…
このファイルって何ですか?
88: ◆N9P3SuvBPo
08/06/04 00:26:48
ググった…動画保存ツールね。
失礼なこと聞いてすみません!
89:名無しさん@お腹いっぱい。
08/06/04 00:28:34
>>87
動画サイトの動画をurlを入れて自動的にダウソしてくれる物です、信用は出来る所のだとは思います
削除は、
一段目は無理でした…
二段目はどこにあるんでしょうか…?
三段目は削除しました
90:名無しさん@お腹いっぱい。
08/06/04 00:30:24
>>88
いやいや協力してもらってるのに失礼なんてないです!!
91: ◆N9P3SuvBPo
08/06/04 00:32:24
>89
なるほど…
C:\WINDOWS\system32\avmete.dll は削除できない
C:\WINDOWS\retadpu2000373.exe は見つからない
C:\WINDOWS\system32\HPZipm12.exe は削除できた
では、取り直した例のログをお願いします。
92:名無しさん@お腹いっぱい。
08/06/04 00:36:38
>>91
わかりました
一応ですけど、削除できないというのは そのファイルを使用中に削除しようとすると出るエラーの奴が出ます
93:名無しさん@お腹いっぱい。
08/06/04 00:38:58
助けてください。ウイルススキャンをしたら、4件のセキュリティーホールが見つかりました
しかも緊急って表示されてます。ウイルスバスターは更新してます
どうすればいいですか?
94: ◆N9P3SuvBPo
08/06/04 00:41:40
>93
WindowsUpdateは最新?
誘導しとく
セキュリティ初心者質問スレッドpart109
スレリンク(sec板)
95:名無しさん@お腹いっぱい。
08/06/04 00:42:54
>>91
でました。
URLリンク(www.rupan.net)
96:名無しさん@お腹いっぱい。
08/06/04 00:50:08
>>92
これ違うと思うので訂正します!
avmete を削除できません。
ディスクがいっぱいでないか、書き込み禁止になっていないか、またはファイルが使用中でないか確認してください。
と出ます
97: ◆N9P3SuvBPo
08/06/04 00:51:53
>95
残るはこれ1つだけですね。
O2 - BHO: (no name) - {F9FA8F68-DEF5-4F5F-B325-478AE0FBD3FF} - C:\WINDOWS\system32\avmete.dll
削除を妨げる親玉がどこかにいるんじゃ…?
お手数ですが、「C:\WINDOWS\ntbtlog.txt」を一旦削除してもらえないでしょうか?
で、再起動してF8連打→「ブートのログ作成を有効にする」を選んで起動した下さい
そしたら、「C:\WINDOWS\ntbtlog.txt」というファイルが作成されますので、
このファイルも投稿してもらえますか?
98:名無しさん@お腹いっぱい。
08/06/04 00:59:14
>>97
やっぱり親玉がどこかに・・・
すいません「C:\WINDOWS\ntbtlog.txt」はどこにありますか?無知で申し訳ないです
99:名無しさん@お腹いっぱい。
08/06/04 01:00:42
ntdtcsetup.log
もしかしてこれですか?
100: ◆N9P3SuvBPo
08/06/04 01:02:13
Cドライブ→Windowsフォルダ内にあります。
設定では「ntbtlog」というファイル名になってるかもしれません。
101: ◆N9P3SuvBPo
08/06/04 01:02:38
>99
これではありません。
102:93
08/06/04 01:08:11
94さん、ありがとうございました。
やっと安心して寝る事ができます
103:名無しさん@お腹いっぱい。
08/06/04 01:08:24
>>101
みつかりません・・orz
104: ◆N9P3SuvBPo
08/06/04 01:13:30
>103
うーん…
じゃあ、作業を進めてもらえますか?
PCを再起動→F8連打→ブートのログ作成を有効にする
これで「c:\windows内」に"ntbtlog.txt"という名前のファイルが作成されると思います。
105:名無しさん@お腹いっぱい。
08/06/04 01:19:55
>>104
出来ました!少しおまちください
106:名無しさん@お腹いっぱい。
08/06/04 01:22:45
>>104
URLリンク(www.rupan.net)
これです
107:名無しさん@お腹いっぱい。
08/06/04 01:25:13
あれ?もの凄く見づらくなってます?
108: ◆N9P3SuvBPo
08/06/04 01:25:31
>106
少々お待ち下さい
109:名無しさん@お腹いっぱい。
08/06/04 01:26:53
>>108
まってます!
110:名無しさん@お腹いっぱい。
08/06/04 01:37:00
学びにやりとりを見てたが一言
2人とも頑張れ、おやすみなさい。
111: ◆N9P3SuvBPo
08/06/04 01:53:55
>109
不正なドライバを疑っていたのだが外したか…
問題はありませんでした。
セーフモードでも削除できない
HijackThisの処理も無理
…『強削』の出番だ
以下のサイトから『強削』をダウンロード
URLリンク(www.vector.co.jp)
セーフモードで起動して
渦巻きのアイコンに、C:\WINDOWS\system32\avmete.dllをドラッグ&ドロップ
HijackThisを起動して
O2 - BHO: (no name) - {F9FA8F68-DEF5-4F5F-B325-478AE0FBD3FF} - C:\WINDOWS\system32\avmete.dll
をFIX
通常モードで再起動
112:名無しさん@お腹いっぱい。
08/06/04 01:54:54
>>111
やってみます。
113:名無しさん@お腹いっぱい。
08/06/04 02:05:35
>>111
渦巻にドラッグ→削除しますか?→はい→削除に失敗しました
orz
114: ◆N9P3SuvBPo
08/06/04 02:12:22
>113
うわ…やはり…
えと…ちょっと確認して欲しいのですが
コマンドプロンプトを開いて
cacls C:\WINDOWS\system32\avmete.dll
でアクセス権を確認してもらえますか?
115:名無しさん@お腹いっぱい。
08/06/04 02:13:26
リカバリコンソールから消せってのもあったぞ
116: ◆N9P3SuvBPo
08/06/04 02:15:23
>115
回復コンソールか…
この方法も実は考えてあるんだがな。
117:名無しさん@お腹いっぱい。
08/06/04 02:21:49
そうなのか、スマン。
あんまり下の階層じゃないし移動しにくくは無いと思うけど。
どっちにしろ口出してスマンかった。
118: ◆N9P3SuvBPo
08/06/04 02:24:10
>117
あ、別に良いですよ。
回復コンソールはカーネルモードで動作するマルウェアに対して有効な手段ですから。
リカバリする前の最後の手段として使いますんで。
119:名無しさん@お腹いっぱい。
08/06/04 02:25:04
>>114
BUILTIN\Users:R
BUILTIN\Power Users:C
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
MAYUMI-P7B5FSDP\mayumi_2:F
120: ◆N9P3SuvBPo
08/06/04 02:33:31
>119
おk
この方法試して見ますか…
もう一度コマンドプロンプトを開いて
cacls C:\WINDOWS\system32\avmete.dll /e /r system
で、処理は成功しましたか?
121:名無しさん@お腹いっぱい。
08/06/04 02:36:02
>>120
アクセスが拒否されました。
と出ました
122: ◆N9P3SuvBPo
08/06/04 02:37:59
>121
これでどう?
cacls C:\WINDOWS\system32\avmete.dll /c /e /r system
123: ◆N9P3SuvBPo
08/06/04 02:39:04
cが大文字だ…小文字に置き換えて
124: ◆N9P3SuvBPo
08/06/04 02:39:48
違った…
cが全角だ…半角に置き換えて
125:名無しさん@お腹いっぱい。
08/06/04 02:42:37
>>122
なにやら、
ファイルのアクセス制限リスト(ACL)を表示または変更します。
でまだ下の行にいっぱいでてきました!
126: ◆N9P3SuvBPo
08/06/04 02:45:00
>125
無視してEnter押して進めて
コマンドの中にミスがあったから訂正する
cacls C:\WINDOWS\system32\avmete.dll /c /e /r system
コピペして貼りつけてもOKです
127:名無しさん@お腹いっぱい。
08/06/04 02:49:10
>>126
ACCESS_DENIED: C:\WINDOWS\system32\avmete.dll
とでました
128: ◆N9P3SuvBPo
08/06/04 03:02:54
>127
アクセス拒否エラーを無視するオプション付けても…アクセス拒否エラーかよ。
となると、【回復コンソール】の出番となりますね。
こちらのサイトを良くお読みの上、回復コンソールのブートCDを作成してください。
URLリンク(lets-go.hp.infoseek.co.jp)
回復コンソールの前に
「セーフモードとコマンドプロンプト」で起動して、「Administrator」でログオン
以下のコマンドを入力(各改行ごとに[Enter]を押します)
途中でエラーが出ても無視して作業を進めてください
cd c:\windows\system32\
ren avmete.dll avmete.old
shutdown -r
129:名無しさん@お腹いっぱい。
08/06/04 03:07:01
>>128
やってみます!
130:名無しさん@お腹いっぱい。
08/06/04 03:36:25
2.マイクロソフトのサイトへ行くと下図のような場所があります。この中から自分のXPのEdition(HomeなのかProfessionalなのか)と適用済みのサービスパックに一致したものを選び、ダウンロードしてローカルに保存します。
あの、これができません・・・
131: ◆N9P3SuvBPo
08/06/04 03:39:03
>130
>>93ですか?
132:トロイ感染
08/06/04 03:41:27
>>131
トロイの方です!
フロッピーが6枚いるとか・・・
133: ◆N9P3SuvBPo
08/06/04 03:44:24
>132
あ…今CD作成やってる途中だったか…
CDからでも作れますよ。
今日はそろそろお休みなられたらどうですか?
自分も限界が来てるので。
134:トロイ感染
08/06/04 03:46:07
>>133
そうですね、長々すいません
またきます 色々有難うございました!
135: ◆N9P3SuvBPo
08/06/04 03:48:25
ほーい!
ノシ
136:名無しさん@お腹いっぱい。
08/06/04 06:25:57
検知力テスト(2008年6月3日)
Most Effective Antivirus Tools Against New Malware Binaries
URLリンク(mtc.sri.com)
Rank Detects Missed Product
1st 96% 69 AntiVir
2nd 95% 77 Ikarus
3rd 95% 83 Webwasher-Gateway
4th 95% 84 BitDefender
5th 91% 156 Kaspersky
6th 90% 172 F-Secure
7th 90% 179 AVG
8th 89% 196 Norman
9th 89% 198 Sophos
10th 89% 200 CAT-QuickHeal
11th 87% 235 Avast
12th 86% 263 ClamAV
13th 85% 277 Microsoft
14th 84% 289 DrWeb
15th 84% 290 eTrust-Vet
16th 84% 296 VirusBuster
17th 80% 372 F-Prot
18th 79% 379 TheHacker
19th 78% 403 Symantec
20th 78% 404 AhnLab-V3
21st 76% 447 Rising
22nd 75% 460 Fortinet
23rd 75% 465 VBA32
24th 74% 475 McAfee
25th 74% 489 Panda
26th 72% 524 NOD32v2
137:名無しさん@お腹いっぱい。
08/06/04 10:49:36
ノートンが起動できなくなる
タスクマネージャーが起動できなくなる
復元ができなくなる
XPの再アクチベーションを要求される
IEのホームページを書き換えられる
中華系の掲示板を見てたら、動作がむっちゃ重くなって
気がついたら一気に上記症状がおこった。
データの無いないパソコンだったので
即LAN切って新規インストールしたんだけど
ウィルスに感染したんかな?
138:名無しさん@お腹いっぱい。
08/06/04 10:51:28
先程のことなんですが、
あるファイルをダウンロードして中身を見ようとしたら、
コマンドプロンプト?が開いて、デスクトップに
あったものがほとんど消えてしまったのですが
やはりウイルスでしょうか?
ちなみに「くれくれくれくれくれ」といったものでした。
139:名無しさん@お腹いっぱい。
08/06/04 11:30:50
>>138
まず、絶対に電源を切らないでください。
救出できそうなファイルは外部メディアへ退避、後にウィルス検査。
OSは再起動して駄目そうなら潔く諦めること。
140:名無しさん@お腹いっぱい。
08/06/04 12:21:49
>>139
レスありがとうございます。
怖いので再インストールします・・・
141:名無しさん@お腹いっぱい。
08/06/04 15:21:33
virus total落ちてる?
142:名無しさん@お腹いっぱい。
08/06/04 15:25:24
繋がりはするがスキャンまでいかないな。
詰まってるのかな?
URLリンク(virscan.org)
URLリンク(scanner.virus.org) ←つながんね
URLリンク(virusscan.jotti.org)
お好きなのどぞー
143:名無しさん@お腹いっぱい。
08/06/04 15:32:05
>>142
ありがとう
144:名無しさん@お腹いっぱい。
08/06/04 15:41:47
スレリンク(sec板:101-200番)
にはLoveLetter-C
145:名無しさん@お腹いっぱい。
08/06/04 16:40:38
【使用OS】 「XPProSP3」
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 「avast! v4.8.1201」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「最新」
【スパイウェア対策ソフト】 「無し」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「無し」
【ルータの有無】 「有り」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「C:\WINDOWS\Super Turbo Tango Patcher\Tools\wfpdisable.exe」
【どんな症状が出るか】 「インストール時に検出で中止」
【症状が出る前に何をやったか】 「アイコン一括変更できる[Super Turbo Tango Patcher 7.08.2]のインストール」
【症状を解決しようとどのような処置を取ったか】
「検索→URLリンク(ca.com)
説明を見たところそういうソフトなので特に問題はないと判断するも自信なし」
【その他の質問】 「インストールしても特に問題は出ないでしょうか?」
146:名無しさん@お腹いっぱい。
08/06/04 17:04:08
ドライブcに
lxbu.log
lxbuscan.log
というファイルが数ヶ月前から作られていて、起動時に毎回更新しています。
ウイルススキャンをしても特に何もでてこなかったのですが、これはウイルスと関係していますかね?
147:145
08/06/04 17:17:04
ここのログ見直してVirusTotalでチェックしてみました。
誤検知かどうか微妙すぎてやっぱり分からないです
URLリンク(www.virustotal.com)
148: ◆N9P3SuvBPo
08/06/04 18:03:28
>昨夜の質問者さん
回復コンソールの件はどうなりました?
>137
中華系トロイだな…。
リカバリしたんだったら心配無用。
149:137
08/06/04 19:59:38
>>148
romma.exe
99ebz.exe
bz.exe
dayyw.exe
そいや、こんなファイルが起動しようとしてた
なんだろ?
バイナリエディタ起動させて勝手に書き換えるってこと?
150: ◆N9P3SuvBPo
08/06/04 20:08:44
>149
動作は分からんけど、正常なPCにはそんなファイルはありませんよ。
リカバリー(HDDフォーマットしてOS再インストール)はまだやってない?
151:名無しさん@お腹いっぱい。
08/06/04 20:11:53
>>150
いや、ノートンが立ち上がらないとか、どう考えても恐ろしかったんで
Cのリカバリーは終わった。
D以下はデータ専用ドライブなんでフォーマットするわけにもいかず
即接続切って、再インストール後にノートンでチェックしたら
一応問題なしでした。
152: ◆N9P3SuvBPo
08/06/04 20:19:00
>151
ノートンが立ち上がらなかったのは、ウイルスによってノートンが無効化されたためです。
今はノートンは正常に立ち上がり、スキャンしても検出が無いと言うのなら問題ありません。
153:名無しさん@お腹いっぱい。
08/06/04 20:24:03
ノートンが無効化されるなんて初めてだったんで
むっちゃ恐ろしかったです
154:名無しさん@お腹いっぱい。
08/06/04 20:40:58
>>147
リスクウェアとして検出されてる 自己責任でどうぞ
155:名無しさん@お腹いっぱい。
08/06/04 20:56:39
avast!とかKIS7.0が、トロイの木馬やらマルウェアを、10秒~30秒ごとに検知する・・・。
最近、公式Yahoo!の広告が、外国のサイトの、「~~に当選しました!おめでとう御座います!」系のサイトだったり、
「あなたのパソコンからウィルスが発見されました」とかの、偽セキュリティソフトのサイトの広告が出たり、強制的にジャンプしたり、
かなり怪しいサイトのポップアップが何もしてないのに出たり・・・
ウィルスに感染しちゃったのかな・・・?
ノートン入れてたんだけど、(その時から検知してた)あまりにも重いので、
二つのウィルスソフト(avast!とKIS7.0)に変えたのですが、ノートンをアンインストールしている間に感染してしまったのか・・・?
でもノートンをアンインストールする前からその症状が出ていたのですが・・・。
ちなみに、ノートンを無効にしたことは一度もありません。
ウィルスは、数十種類あって、マルウェアからトロイの木馬まであります。
どれもそのウィルスの場所は、Cドライブの、System32とかWin32がほとんどです。
avast!によると、マルウェアの種類は、「ドロッパー」みたいなんですが、
初めて検知した種類のウィルスなので、よくわからないです。。。
いつになったら治まるのでしょうか・・・?
【使用OS】 「WinXP Home SP2(SP3にした方がいいでしょうか?)」
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 「avast! HomeEdition 4.8・KIS7.0(その前までは、Norton Internet Security 2008)」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「」
【スパイウェア対策ソフト】 「-」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「-」
【ルータの有無】 「BUFFALO製 有」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「一例ですが、C:\WINDOWS\system32\wvUlKbAs.dll(これが一番最後に検出されました)」
156:155
08/06/04 20:59:59
長文失礼しました。
ちなみに、(今は改善されたのですが)昨日まで、インターネットの3分の2のサイトにアクセス出来ませんでした。
Yahoo!のトップページは問題なく表示されたのですが、メールとか検索等(その他諸々)とかは、全くアクセス不可能でした。
全部ウィルス系の仕業でしょうか?
157:トロイ
08/06/04 21:00:07
>>148
今回復コンソールのブートCDを作成中です
158: ◆N9P3SuvBPo
08/06/04 21:10:11
>155
アンチウイルスを複数入れるのは不味いです。
avastかKISのどちらかにしてください。
>【使用OS】 「WinXP Home SP2(SP3にした方がいいでしょうか?)」
今はまだSP2で構わないです。SP3にするのはまだしばらく待ったほうが良いかと。
検出されたウイルスはセーフモードで削除できませんか?
>157
了解です。
159:トロイ
08/06/04 21:11:55
>>158
>>128の 12.サービスパック適応済みのOSでは、もう1つだけ名ばかりのファイルが必要です。
たとえばXP/Pro SP2では、win51ip.sp2 (SP1/SP1aではwin51ip.sp1)が必要です。 win51ipのコピーでも作ってリネームしておけば良いでしょう。サービスパックのない無印バージョンでは必要ありません。
(たとえばHome SP1aの場合はwin51ic.sp1になるわけです)
これの意味がわかりません・・・
160:トロイ
08/06/04 21:13:08
>>158
すいません解決しました
161:155
08/06/04 21:17:27
>>158
早速のご回答有難う御座いました。
一様、検出されたウィルスは、全て削除しました。
今は完全に治まり、どのページにもアクセス可能となりました。
また今回の事にならないように、全ドライブの完全スキャンを行いたいと思います。
>アンチウイルスを複数入れるのは不味いです。
avastかKISのどちらかにしてください。
わかりました。どっち消すか検討してみます。
ご説明有難う御座いました。
162:トロイ
08/06/04 21:28:18
>>158
とりあえずCD-Rに焼きました。
163:トロイ
08/06/04 21:30:44
>>158これはどうやるんですか?
完成したCD-Rをドライブに入れ、起動実験をしてみましょう。BIOSの設定で、CDドライブがハードディスクドライブよりも起動順位で優先するようにしておくことが必要です。
途中、回復コンソールに入るためには画面で指定された[R]キーを押します。
キーボードの設定を問われたあと、どのwindowsを選ぶか尋ねられるので、回復したいXPがインストールされている場所の選択肢の番号キーを押します。
最後にadministratorのパスワードを尋ねられるので正しく入力してください。この辺はフロッピーディスクの起動ディスクの場合と全く同じです。
6枚入れ替えなくて良いことと、CDの方がFDよりも読み取りが早いので、段違いに起動が速いです。
164: ◆N9P3SuvBPo
08/06/04 21:31:20
>162
ということは、作成が終わったということですね。
回復コンソール起動確認の前に、BIOSの設定で起動デバイスの順番はどうなってます?
メーカー製のPCであれば、起動時のメーカーのロゴ画面で特定のキーを押すとBIOSの設定画面が開きます。
165:トロイ
08/06/04 21:32:38
>>164
自作してもらったやつです。
166: ◆N9P3SuvBPo
08/06/04 21:43:00
>165
自作PCか…なんとかBIOSの設定を確認することは出来ないものだろうか?
とりあえず、作成したCDをCDドライブに入れて再起動
↓
セットアップ画面で「R」を押す
↓
「半角/全角」を押す
↓
「Y」を押す
↓
「1」を押す
↓
パスワードを入力して「Enter」を押す(パスワードが設定されてない場合は、何も入力せずに「Enter」)
C:\WINDOWS>という文字が出れば成功
helpでコマンドの説明
exitで回復コンソールを終了して再起動
回復コンソールCDが駄目なら、OSと回復コンソールのマルチブートか…。
167:トロイ
08/06/04 21:43:31
>>164
CDROMでした
168:トロイ
08/06/04 21:49:25
>>128の作業はその後でいいんですか?
169: ◆N9P3SuvBPo
08/06/04 21:52:06
>167
一番最初に起動するのが、CDROMってことですね。
>168
回復コンソールにログオンできるか確認してからにしてください。
170:トロイ
08/06/04 21:53:36
>>169
あ、そうです、わかりました!
171:名無しさん@お腹いっぱい。
08/06/04 21:54:15
>>168
作者に聞けないなら面倒だが
スタート>すべてのプログラム>アクセサリ>システムツール>システム情報
システムモデルの値がMBの名前
MBの名前+BIOS等でぐぐれ
172:名無しさん@お腹いっぱい。
08/06/04 21:54:19
>>154
ありがとうございました。もう少し検索なりして調べて見ます
173: ◆N9P3SuvBPo
08/06/04 22:00:42
>171
その件なら問題は無いようです
ただ、パスワードで弾かれないかどうかが気掛かり…
たしか3回パスワードの入力に失敗すると再起動掛かるからなw
174:トロイ
08/06/04 22:03:45
>>173
あ、そういえばパスワードってなんですか?私が設定したおぼえはないのですが…
175: ◆N9P3SuvBPo
08/06/04 22:05:13
>174
Administratorのパスワードです。
設定した憶えがなければ、回復コンソールのパスワードを入力するところで
何も入力せずにEnterです。
176:トロイ
08/06/04 22:23:24
>>175
あの、セットアップ画面てどこの事ですか…?
177:名無しさん@お腹いっぱい。
08/06/04 22:26:13
>>176
あのさ。もうウイルス関係ないレベルだから
URLリンク(pc11.2ch.net)
とかで。
178: ◆N9P3SuvBPo
08/06/04 22:26:22
>176
回復コンソールCDを入れて再起動したんですよね?
青い色の画面が表示されて、CDの読みこみは始まりましたか?
179:トロイ
08/06/04 22:27:50
>>177
ああ、あまり時間をかけちゃアレかなと思ったんで…
調べてきます
180:名無しさん@お腹いっぱい。
08/06/04 22:28:42
>>178
始まりません、どっかで失敗したかな…
181:名無しさん@お腹いっぱい。
08/06/04 22:33:51
>>180
自作機ならOSも別売だったはずだよな?
OS付属の冊子「ファーストステップガイド」に回復コンソールの項目があるからry
182: ◆N9P3SuvBPo
08/06/04 22:33:59
>180
最初のほうで、何か一瞬だけ英語のメッセージは出ませんでした?
そこで何かキーを押してください。これでどう?
183:名無しさん@お腹いっぱい。
08/06/04 22:36:20
>>182
焼き方に問題があったかもしれません、もう少しお待ちを…
184:名無しさん@お腹いっぱい。
08/06/04 22:53:58
>>182
出来ましたがやはりパスワードがわかりません、製作者にパスワード聞いてからまた後日にでもいいでしょうか?
185: ◆N9P3SuvBPo
08/06/04 22:54:48
>184
パスワードで蹴られましたかw
少々お待ち頂けますか?
186:名無しさん@お腹いっぱい。
08/06/04 22:55:20
>>185
わかりました。
187:名無しさん@お腹いっぱい。
08/06/04 22:56:29
Can't Remove Advancecleaner Spyware!!!
URLリンク(forums.techguy.org)
[kill explorer]
C:\WINDOWS\system32\avica.dll
[start explorer]
# Return to OTMoveIt2, right click in the "Paste List of Files/Folders to Move" window (under the light Yellow bar) and choose Paste.
# Click the red Moveit! button.
# A log of files and folders moved will be created in the c:\_OTMoveIt\MovedFiles folder in the form of Date and Time (mmddyyyy_hhmmss.log). Please open this log in Notepad and post its contents in your next reply.
# Close OTMoveIt2
OTMoveIt
Explorer killed successfully
C:\WINDOWS\system32\avica.dll unregistered successfully.
C:\WINDOWS\system32\avica.dll moved successfully.
Explorer started successfully
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05262008_083046
OTMoveIt2
URLリンク(www.bleepingcomputer.com)
188: ◆N9P3SuvBPo
08/06/04 23:06:01
>186
普通に起動して
スタート→コントロールパネル→管理ツール→ローカルセキュリティポリシー→ローカルポリシー→セキュリティオプション
"回復コンソール:自動管理ログオンを許可する"を「有効」にする
ちなみに>187は
これと同じ方法で「C:\WINDOWS\system32\avmete.dll」を処理することはできませんか?
と聞いてます。
189:名無しさん@お腹いっぱい。
08/06/04 23:13:19
>>188
有効にしてからHijackThis、強削、普通に削除、試してみましたが無理でした…
190: ◆N9P3SuvBPo
08/06/04 23:17:44
>189
有効にしたのなら、もう一度回復コンソールにログオンできるかやってください。
今度はパスワード入力は要りません。
191:名無しさん@お腹いっぱい。
08/06/04 23:29:22
>>190
出来ました!
192: ◆N9P3SuvBPo
08/06/04 23:34:58
>191
回復コンソールで処理する前に、駄目元で↓を試してもらえます?
「セーフモードとコマンドプロンプト」で起動して、「Administrator」でログオン
以下のコマンドを入力(各改行ごとに[Enter]を押します)
途中でエラーが出ても無視して作業を進めてください
cd c:\windows\system32\
ren avmete.dll avmete.old
shutdown -r
これで駄目なら回復コンソールから
cd system32
ren avmete.dll avmete.old
exit
普通に再起動して、「C:\WINDOWS\system32\avmete.old」を削除
さらにHijackThisを起動して
O2 - BHO: (no name) - {F9FA8F68-DEF5-4F5F-B325-478AE0FBD3FF} - C:\WINDOWS\system32\avmete.dll
をFIX
もう一度PCを再起動
193:名無しさん@お腹いっぱい。
08/06/04 23:46:10
>>192
Administratorはパスワード要求されたので入れませんでした!
あの、今日の所はここまでにしてまた明日来てもいいですか?
あまり遅くまで付き合ってもらうのも申し訳ないですし、
194: ◆N9P3SuvBPo
08/06/04 23:51:50
>193
あ、そういうことね。
了解しました!
俺は明日は夕方以降にここに来れますので。
195:名無しさん@お腹いっぱい。
08/06/04 23:53:34
>>194
わかりました!今日も有難うございました!おやすみなさいませ。
196:名無しさん@お腹いっぱい。
08/06/05 00:14:22
2人ともおつかれ。
197:名無しさん@お腹いっぱい。
08/06/05 06:00:48
検知力テスト(2008年6月4日)
Most Effective Antivirus Tools Against New Malware Binaries
URLリンク(mtc.sri.com)
Rank Detects Missed Product
1st 96% 68 AntiVir
2nd 95% 77 Ikarus
3rd 95% 82 Webwasher-Gateway
4th 95% 83 BitDefender
5th 91% 157 Kaspersky
6th 90% 172 F-Secure
7th 90% 179 AVG
8th 89% 196 Sophos
9th 89% 196 Norman
10th 89% 201 CAT-QuickHeal
11th 87% 233 Avast
12th 86% 264 ClamAV
13th 85% 275 Microsoft
14th 84% 289 DrWeb
15th 84% 289 eTrust-Vet
16th 84% 295 VirusBuster
17th 80% 374 F-Prot
18th 79% 380 TheHacker
19th 78% 402 Symantec
20th 78% 408 AhnLab-V3
21st 76% 448 Rising
22nd 75% 459 Fortinet
23rd 75% 466 VBA32
24th 74% 473 McAfee
25th 74% 490 Panda
26th 72% 524 NOD32v2
198:名無しさん@お腹いっぱい。
08/06/05 08:01:54
>>194
来るな。ウイルス関係ない。
199:名無しさん@お腹いっぱい。
08/06/05 10:54:42
なんかパソコンから書き込めないから携帯から
昨日なんかのサイト見たら途中でフリーズして再起動したら、トロイの木馬が検出されたみたいのが出たんですけど、どうすればよいでしょうか?
200:名無しさん@お腹いっぱい。
08/06/05 12:04:33
リカバリ
201:名無しさん@お腹いっぱい。
08/06/05 19:40:34
◆N9P3SuvBPoさん、連日お世話になったトロイ感染者ですが
>>192の後者を実施した所、
C:\WINDOWS\system32\avmete.dll ファイルが消えました!!!
avast!にもせず、もう大丈夫だとおもいます。
有難うございました!
202:名無しさん@お腹いっぱい。
08/06/05 19:42:21
>>201
×avast!にもせず
○avast!にも反応せず
203: ◆N9P3SuvBPo
08/06/05 20:22:31
>201
回復コンソールで処理された、とのことで良いんですね。
あと…1つだけ重大なミスを犯してしまいました。
HijackThisで処理した
>O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
はプリンター関連のもので無害です。
まだ、ごみ箱の中にHPZipm12.exeが残っていたら
元の場所=C:\WINDOWS\system32\に戻しておいてください。
既にごみ箱から削除した後だったら、次に書いてあることはしなくてもいいです。
戻したら、↓のサイトの
URLリンク(www.higaitaisaku.com)
「Fixしたエントリの復帰方法」を参考に
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
を戻してください
PCの状態は前と比べてどうなりましたか?
204:名無しさん@お腹いっぱい。
08/06/05 21:36:30
>>203
ゴミ箱にあったので戻しました
状態はこれと言って今の所変化は無いです
ただもしかしたら、最近ネットしているとよくフリーズして
30分~1時間間隔でタスクマネージャで一旦終了。という事が良くあったので
トロイの木馬が原因だったのかもしれないとは思ってましたが
立ち上げ時のウーウーと言うavastの警告音は鳴らなくなったけど・・・w
205: ◆N9P3SuvBPo
08/06/05 21:45:49
>204
了解です。ほんとにすみませんでした。
あと、セキュリティソフトに付いてですが
Avastとウイルスバスター2007が入ってますね。
206:名無しさん@お腹いっぱい。
08/06/05 21:48:06
>>205
いえいえどーせプリンタ無いですからw
ウィルスバスターはなんだか製作者の人のやつみたいで更新してなくて放置してるだけです・・・w
207:名無しさん@お腹いっぱい。
08/06/05 21:49:38
いい加減ウザい
208: ◆N9P3SuvBPo
08/06/05 21:51:10
>206
ん?
製作者ってパソコンを自作してくれた友人のこと?
209:名無しさん@お腹いっぱい。
08/06/05 21:52:37
>>208
はい、そうですけど?
210: ◆N9P3SuvBPo
08/06/05 21:58:06
>209
それ、ライセンス違反ですよ!w
ま…セキュリティソフトの競合はPCにも宜しくないので
コンパネからウイルスバスターをアンインストールしてください
アンインストールしたら再起動して、PCの状態の変化も教えてください。
211:名無しさん@お腹いっぱい。
08/06/05 22:10:09
>>210
あ、今後気をつけます。
アンインストールしたら立ち上げてから使用できるまでがかなり早くなった気がしますね
212: ◆N9P3SuvBPo
08/06/05 22:17:33
>211
では解決で宜しいでしょう。
213:名無しさん@お腹いっぱい。
08/06/05 22:18:32
>>212
はい、どうも有難うございました!
214:名無しさん@お腹いっぱい。
08/06/05 22:51:14
212 ◆N9P3SuvBPo sage 2008/06/05(木) 22:17:33
>211
では解決で宜しいでしょう。
213 名無しさん@お腹いっぱい。 sage 2008/06/05(木) 22:18:32
>>212
はい、どうも有難うございました!
22:17:33
22:18:32
215:名無しさん@お腹いっぱい。
08/06/05 22:56:18
良いんじゃね?
流石にこんなに長く自演するバカは居ないだろw
216:名無しさん@お腹いっぱい。
08/06/05 23:35:25
PC起動してすぐ黒いウインドウが一瞬でるんだけど
ウインドウバーにwindows 32 comondって書いてある
ウイルス?
217:名無しさん@お腹いっぱい。
08/06/05 23:40:38
>>216
まずはウイルススキャンとスパイウェア検索
218:名無しさん@お腹いっぱい。
08/06/05 23:57:54
>>217
二つとも問題ないとでます
起動するたび一瞬だけそのウインドウが見えます
そのあとにスパイウェアが「レジストリの変更を拒否」と出ます
219: ◆N9P3SuvBPo
08/06/06 00:07:00
>218
スタートアップフォルダに怪しいファイルが作成されてない?
220:名無しさん@お腹いっぱい。
08/06/06 00:19:50
>>218
じゃあ、それじゃん
221:名無しさん@お腹いっぱい。
08/06/06 00:33:16
URLリンク(tikuwa.net)
ファイル解凍後
実行したところデスクトップのアイコンが全て消えてしまい
CPUが常に51%使用中になりました
Shit+Ctrl+EscでCPU50のプロセスの終了で1%に
なりましたがこのままで良いのでしょうか?
元に戻す方法を教えてください
222:名無しさん@お腹いっぱい。
08/06/06 00:33:49
リカバリ
223:名無しさん@お腹いっぱい。
08/06/06 04:35:43
なぜ実行するのか理解できない
224:名無しさん@お腹いっぱい。
08/06/06 10:51:37
馬鹿に馬鹿が判る。
だから俺は>221が解る。
225:218
08/06/06 11:55:21
>>219
フォルダには何も無いです
黒いウィンドウはコマンドプロンプトと同じウィンドウです
226:名無しさん@お腹いっぱい。
08/06/06 14:35:50
すみません。
カメラ屋にSDカードやメモリスティックを持っていって現像し、
それを自宅PCで再び使用しウィルスに感染・・ってあるんでしょうか?
最近メモリスティックでウィルス感染するウィルスがあるとニュースで
読んで「カメラ屋にあるのもPCだったような・・」と不安になりました。
227:名無しさん@お腹いっぱい。
08/06/06 15:59:13
有るよ
228:名無しさん@お腹いっぱい。
08/06/06 17:28:43
【使用OS】 「win XP」
【使用セキュリティソフトとバージョン】 「セキュリティZERO AVG」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「されている」
【スパイウェア対策ソフト】 「Spybot」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「いいえ」
【ルータの有無】 「無し」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「not-a-virus AdWare Win32 virtumonde.trz」
【どんな症状が出るか】 「『問題が発生したのでexplorerを終了します』と起動時にでる とても重い 起動時にいつもZEROがnot-a-virus AdWare Win32 virtumonde.trzを隔離する」
【症状が出る前に何をやったか】 「Janeのログからバックドア?と言う物を七個発見した」
【症状を解決しようとどのような処置を取ったか】 「セーフモードでシマンテック社のFixvundoとspybotで検査した」
【その他の質問】 「普通ポップアップなどが勝手に表示される症状が出るらしいのですが、そのような症状が一切出ません。
それと、PCが異常なほどに重くなりました。(起動に10分、ネットへの接続も5~10分ほどかかるようになりました)」
よろしくお願いします
229: ◆N9P3SuvBPo
08/06/06 18:04:33
>225
そのウィンドウが出てくるタイミングはどの辺?
>228
↓が抜けていますが?
Microsoft Update(MU)の状態】 「」
↓競合が起きています。
>【使用セキュリティソフトとバージョン】 「セキュリティZERO AVG」
PCが重いのはこれが原因だと思われます。
ウイルスセキュリティZEROをアンインストール
↓こちら問題ありません
>「Janeのログからバックドア?と言う物を七個発見した」
230:218
08/06/06 21:35:20
>>229
起動 → ようこそ → 壁紙でる → 下のバー&フォルダでる
→ 黒いウインドウが一瞬見える(1秒) → 下のバーから「スパイウェアがレジストリの変更を拒否しました」
消えるの速過ぎて何が書かれてるのかわからない
231:名無しさん@お腹いっぱい。
08/06/06 21:43:01
携帯掲示板でスレのレスを全部消すようなタグありませんか?嫌がらせの書き込みがひどいので…
そこはセキュリティないのでタグつかえるみたいなんです
232: ◆N9P3SuvBPo
08/06/06 21:59:23
>230
ん~
デスクトップが表示された後に出てくるってことですね。
いちかばちかの「ComboFix」を試して見ます?
URLリンク(bbs.higaitaisaku.com)
eScan、SilentRunnersは実行しなくても良いです。
233:名無しさん@お腹いっぱい。
08/06/06 22:20:34
【使用OS】 「Windows XP HOME SP2」
【Microsoft Update(MU)の状態】 「最新版」
【使用セキュリティソフトとバージョン】 「ウイルスバスター2008」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「はい」
【スパイウェア対策ソフト】 「上と同じ」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「はい」
【ルータの有無】 「有」
【スキャンの結果何が検出されたか】
JS_SHELL.BP
SWF_DLOADER.YVN
【どんな症状が出るか】
・IEを開くと左下のスターテスバーにおかしなエラーマークと共におかしな漢字が表示されます
・また、IEのページ上のほうにボックスが自動作成されて中にREALプレイヤーらしきものがあります。
・重くなる。
・ウイルス検出のダイアログが異常な数発生する。
【症状が出る前に何をやったか】
IEでネットを開いた。
【症状を解決しようとどのような処置を取ったか】
システムの復元をして、ウイルスとスパイウェアのフルスキャン。
【その他の質問】
フルスキャンして除去したという報告が出て暫くIEでWebを見てるとまた同じ症状になってしまいます。
また、該当PCとまったく関わりを持ってない別のPCでも同じ症状が出るのですがどうすればいいのでしょうか?
いきなりこんな症状が出て自分でなんとかしようとしましたがもうお手上げですorz
234:名無しさん@お腹いっぱい。
08/06/06 22:32:26
>>233
おそらくダウンローダー。複数感染していると思う。
出来るならローレベルフォーマットの後で、リカバリした方がいい。
235:名無しさん@お腹いっぱい。
08/06/06 22:34:17
>>233
FlashPlayerの脆弱性を利用して侵入する奴にやられてる。
プラグインはこまめに更新しなよ。
236: ◆N9P3SuvBPo
08/06/06 22:35:47
SWFってフラッシュか?
flashの脆弱性でも突かれたか?
237:名無しさん@お腹いっぱい。
08/06/06 22:37:01
Scriptも踏んでるっぽい
238:名無しさん@お腹いっぱい。
08/06/06 22:44:14
>>229
回答有難うございます
しかし本当に競合しているだけなのでしょうか?
アンインストールするには少し抵抗がありまして・・・
先ほど起動させるとexplorerだけでなくdrwtsn32も問題が発生したといい終了しました
できればこのウイルスの駆除方法も教えていただけないでしょうか?
239:名無しさん@お腹いっぱい。
08/06/06 22:45:26
>>234
回答どうもです。やっぱりリカバリーですかね…。
バスターの駆除機能を使うだけで復活は難しいですか?
240:名無しさん@お腹いっぱい。
08/06/06 22:52:03
>>239
多分……
>>233を見た感じじゃ何度かスキャン走らせてるみたいだし
その度に検出されるという事は、バックで何か動いてるんだろうと……
兎も角バックアップは取っておいた方がいいよ。
241:名無しさん@お腹いっぱい。
08/06/06 23:06:43
>>238
アンチウィルスを2ついれると安心感があるように思うんだろうが
常駐監視型のアンチウィルスはシステムに深く食い込むので
2つ使うと競合を起こし、システム自体が不安定になる。
drwtsn32=ドクターワトソン
Microsoftの正規プログラム
242:名無しさん@お腹いっぱい。
08/06/06 23:11:47
>>241
そうですか。
では早速ZEROをアンインストールさせていただきます
因みに、そのドクターワトソンやexplorerというものが問題が発生して勝手に終了しても大丈夫なのでしょうか?
243: ◆N9P3SuvBPo
08/06/06 23:16:10
>238
難しいな~
でさ、WindowsUpdateはしてないのか?
まさかSP無しのXPじゃないよな?
>239
俺もリカバリ推奨する
244: ◆N9P3SuvBPo
08/06/06 23:16:32
>241
補助さんくす
245:名無しさん@お腹いっぱい。
08/06/06 23:16:35
>>240
ありがとうございます。今からリカバリーしてきます…トホホ…
246:名無しさん@お腹いっぱい。
08/06/06 23:16:43
>>242
explorerは再起動すると思うけど、終了することは余り良くない。
兎も角どちらかアンインストールして再起動。
そのあとスキャンして見たらどうだろう。
気になるようなら、オンラインスキャンを掛けてみるか
常駐監視機能の無いアンチウィルスも入れて定期的にスキャン掛けてみたら良いよ。
常駐監視しないアンチウィルスなら競合はしない。
247:名無しさん@お腹いっぱい。
08/06/06 23:17:28
>>244
いえいえ、いつもご苦労さんです。
248: ◆N9P3SuvBPo
08/06/06 23:23:44
昔だったらHijackThisでどうにかなったもんだがな。
限界だしもう寝ます。
249:名無しさん@お腹いっぱい。
08/06/06 23:32:19
>>243
アップデータはしております
ちゃんとSPは入っています。返答が遅れて失礼しました。
やはり駆除は難しいのでしょうか?
感染しているウイルスはvirtumonde(?)というものだと勝手に思い込んでいるのですが・・・
>>246
そうですか・・・
では一旦アンインストールしてきます。(アンインストールはZEROのほうが良いのでしょうか?)
結果は後ほど報告させていただきます。
250:名無しさん@お腹いっぱい。
08/06/07 00:47:40
ZEROを削除したところ、非常に軽快な動きとなりました。
本当に有難うございました。
251:名無しさん@お腹いっぱい。
08/06/07 01:10:55
テンプレ使わないで申し訳ないんだけどちょっとした質問。
最近気づいたんだけど、IE開くと上の青いバーに google - Hacked by M703-06とか開いたページの名前の後に Hacked by M703-06が付くんだけどどういうこと?
たぶんM703-06は学校から連れてきたウィルスなんだけど削除したはずです。また潜んでるということですか?
252:名無しさん@お腹いっぱい。
08/06/07 01:28:31
>>251
まぁ全部のオンラインスキャン、スパイウェア検索してみれば?
駄目ならコールドインストールよ
253:名無しさん@お腹いっぱい。
08/06/07 01:41:59
>>251
少なくともIEのタイトルバーを表示するレジストリが書き換えられている。
これ自体は簡単に直せる。(方法はググれ)問題はウイルスが残っているか否か。
ウイルス検索は自分が使っていない複数ベンダーの>>252氏の方法で。
254:名無しさん@お腹いっぱい。
08/06/07 01:46:57
>>252
オンラインスキャン、シマンテックのウィルス検索、spybotすべてやりましたが何も見つかりませんでした。
IEをコールドインストールするんですか??
255:名無しさん@お腹いっぱい。
08/06/07 04:06:16
検知力テスト(2008年6月6日)
Most Effective Antivirus Tools Against New Malware Binaries
URLリンク(mtc.sri.com)
Rank Detects Missed Product
1st 96% 68 AntiVir
2nd 95% 77 Ikarus
3rd 95% 80 Webwasher-Gateway
4th 95% 83 BitDefender
5th 91% 157 Kaspersky
6th 90% 172 F-Secure
7th 90% 179 AVG
8th 89% 195 Sophos
9th 89% 195 Norman
10th 89% 200 CAT-QuickHeal
11th 87% 231 Avast
12th 86% 263 ClamAV
13th 85% 275 Microsoft
14th 84% 286 eTrust-Vet
15th 84% 287 DrWeb
16th 84% 295 VirusBuster
17th 80% 372 F-Prot
18th 79% 379 TheHacker
19th 78% 401 Symantec
20th 78% 409 AhnLab-V3
21st 76% 447 Rising
22nd 75% 457 Fortinet
23rd 75% 464 VBA32
24th 75% 471 McAfee
25th 74% 488 Panda
26th 72% 522 NOD32v2
256:名無しさん@お腹いっぱい。
08/06/07 11:21:25
昨日、質問した>>228です
ZEROを削除すると非常に軽快な動きをするようになりました。
有難うございました。
しかし何故かPCを起動させるとアプリケーションが何も実行されず、ツールバーも表示されないようになり
デスクトップの壁紙のみ見える状態になりました。
今のところタスクマネージャーで起動や終了、アプリの実行などを行っております。
257:218
08/06/07 13:31:52
>>232
いちかばちかってことは
ComboFixは何かリスクがある・高いんですか?
258:名無しさん@お腹いっぱい。
08/06/07 13:48:44
>>253
すいません。そのまま寝てしまいました。
レジストリ書き換えやってみます。
ありがとうございました。
259:名無しさん@お腹いっぱい。
08/06/07 15:11:47
URLリンク(orz-3.net)
これなに
260:名無しさん@お腹いっぱい。
08/06/07 15:33:51
>>259
※ 画像データを発見しました。25600 x 19200 - gif(324.95 KB)
※注意
途中で女の生首がPC画面に向かって迫ってくるグロテスクな画像(びっくりGIF)!
ブラウザがクラッシュする可能性があるため、
現在この画像は表示できません。
261: ◆N9P3SuvBPo
08/06/07 21:15:17
>256
>しかし何故かPCを起動させるとアプリケーションが何も実行されず、ツールバーも表示されないようになり
>デスクトップの壁紙のみ見える状態になりました。
…?
ちょっと調査お願い
「C:\WINDOWS\explorer.exe」を右クリック→プロパティ
で、ファイルサイズを教えてもらえますか?
>257
リスクというか、直るかどうかってことね。
>232のリンク先に、ComboFixの使い方を記してる書き込みがあるので。
262:名無しさん@お腹いっぱい。
08/06/07 22:16:02
>>261
昨夜はお世話になりました。
explorer.exeのファイルサイズは0.97 MBでした。
263: ◆N9P3SuvBPo
08/06/07 22:33:07
>262
サイズ:0.97MB (1,025,536バイト)
ディスク上のサイズ:0.98MB(1,028,096バイト)
なら問題無いと思うけど、念の為に
この「C:\WINDOWS\explorer.exe」を
URLリンク(www.virustotal.com)
でスキャンして結果を教えてくれますか?
264:名無しさん@お腹いっぱい。
08/06/07 22:38:17
>>263
サイズ0.97 MB (1,026,560 バイト)
ディスク上のサイズ0.97 MB (1,026,560 バイト)
となっております。
なんだか怪しい雰囲気なのでスキャンしてきます・・・
265:名無しさん@お腹いっぱい。
08/06/07 22:43:34
MD5: 5f211d16c79c6dc9c25b498b25068858
First received: 2007.12.20 00:45:20 (CET)
日付: 2008.06.02 02:09:07 (CET) [>5D]
結果: 0/32
Permalink: analisis/599cf2d0bf64ddc7a808f6430eb578dc
という結果が出てきました。
266: ◆N9P3SuvBPo
08/06/07 22:59:06
>265
結果は「感染なし」ですか。
次は…レジストリエディタを開いて、以下のキーの中にある
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
「shell」という名前のデータは何になっています?
267:名無しさん@お腹いっぱい。
08/06/07 23:07:00
>>266
ツールバーが無いので ファイル名を指定して実行 が押せないのですが、どうすれば良いのでしょうか・・・
初歩的な質問ですみません
268: ◆N9P3SuvBPo
08/06/07 23:09:59
>267
タスクマネージャから「ファイル」→「新しいタスクの実行」から出来ない?
269:名無しさん@お腹いっぱい。
08/06/07 23:20:44
>>266
shell は REG_SZ の Explorer.exe になっております。
270: ◆N9P3SuvBPo
08/06/07 23:32:59
>269
俺のも同じだから、問題無しだね。
でも、なんか不に落ちないと言いますか…
今しばらくお待ち頂けます?
271:名無しさん@お腹いっぱい。
08/06/07 23:43:12
>>270
いくらでも待たせていただきます。
そういえば少し心当たりがあるのですが、昨夜ZEROをアンインストールし、再起動をしたのですが、
再起動時にSpybotが ブラウザ ヘルパー(?)を何とか と言ってきたのでとりあえず変更を遮断しました。
しかし、また変更するか遮断するかをと聞かれ 常に選択 にチェックマークをいれ遮断しました。
その時からツールバーが表示されなくなったような気がします。
272:名無しさん@お腹いっぱい。
08/06/07 23:54:39
見かけたからこっちに書きにきた
Path :C:\WINDOWS
Long name :explorer.exe
Short name :
Full path name:C:\WINDOWS\explorer.exe
Size :1,026,560
Internal Type :Windows 4.10 x86 GUI progarm(:EXE32,*.EXE)
Description :Windows Explorer
Version :6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
CompanyName :Microsoft Corporation
InternalName :explorer
LegalCopyright :(C) Microsoft Corporation. All rights reserved.
OriginalName :EXPLORER.EXE
ProductName :Microsoft(R) Windows(R) Operating System
ProductVersion :6.00.2900.3156
Image base :1000000
MD5 5F211D16C79C6DC9C25B498B25068858
こういっちゃ何だけどディスクとかハード周りが問題でエクスプローラが
ヤバくなる事だってあるんじゃないのか
273: ◆N9P3SuvBPo
08/06/08 00:05:22
>271
他の人とexplorer.exeのサイズは同じようです。
spybotが~というのはあまり関係ないよーな…
>272
そうなんですか?
俺は一度もそういったもの経験したことが無いから…
壁紙のみの原因は一体…
いっそのことWFPを使ってexplorer.exeを修復して見るのはどうだろう?
274:名無しさん@お腹いっぱい。
08/06/08 00:11:12
>>273
確実性は無いから、確証じゃないけど、ディスクエラー等があって
ファイルシステムが読めなくてエクスプローラが止まった、とかくらいの予想なだけ
エクスプローラ落ちるとカベガミだけの時あるっしょ
275: ◆N9P3SuvBPo
08/06/08 00:15:33
>274
ありますね~
タスクマネージャから終了すると壁紙のみのデスクトップになりますね
さてどうしよう…>>228(現在デスクトップが壁紙のみの質問者)さんを
アダ被に誘導すべきか、あるいはリカバリ推奨と言ってやるべきか…
276:名無しさん@お腹いっぱい。
08/06/08 00:20:37
>>273
今先ほど再起動してきたのですが、
何故再起動したのかと言いますと、タスクマネージャからローカルディスクCを開いてみました。
すると 何とかの名前が違います(?) 何とかにアクセスできません(?) と表示されました (数秒で消えてしまいました)
多分、ローカルディスクの名前が変更されたかアクセスできない、と言う表示が出てきた気がします。
それから数秒後、なんとツールバーが表示されるようになりアイコンも表示されるようになりました。
しかし、そのツールバーやアイコンも数秒すると消え、また数秒すると表示され、という風に繰り返されるようになりました。
また表示が消えている間は何も操作が利かず状態になります。
もし感染しているウイルスがvirtumondeというものならばHijackThisと言う物で何とかなるのでしょうか?
長文失礼します。
277:名無しさん@お腹いっぱい。
08/06/08 00:23:55
切り分け、なんだろうけど
イベントビューア、チェックディスクあたりから入るのが妥当なんじゃないだろうか
それとアップデート、アプリの絡み、あたりかなぁ
278:名無しさん@お腹いっぱい。
08/06/08 00:24:53
ごめん >>276 を読んでなかったのでとりあえずハードの件は保留
279: ◆N9P3SuvBPo
08/06/08 00:35:41
>276
かなり重症と言いますか…
エラーメッセージの内容は、そのウィンドウがアクティブな状態でCtrl+Cキーを押せば
メッセージの内容をコピーすることができますよ。
virtumondeはHijackThisで処理できるのもあるけど、大抵の奴は処理できないものと考えた方が良いです。
280:名無しさん@お腹いっぱい。
08/06/08 00:38:04
>>279
そうですか・・・非常に残念です。
281: ◆N9P3SuvBPo
08/06/08 00:44:04
>280
駆除するの諦めてリカバリしますか?
(実はその方が手っ取り早い)
それともアダ被に行って駆除を手伝ってもらいますか?
(時間は掛かるし、100%確実って保証は無し)
282:名無しさん@お腹いっぱい。
08/06/08 01:02:56
・・・・アダ被に行って駆除を手伝ってもらいます
283: ◆N9P3SuvBPo
08/06/08 01:03:43
>282
分かりました
284:233
08/06/08 23:18:18
233です。
前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2008/06/06(金) 22:20:34
【使用OS】 「Windows XP HOME SP2」
【Microsoft Update(MU)の状態】 「最新版」
【使用セキュリティソフトとバージョン】 「ウイルスバスター2008」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「はい」
【スパイウェア対策ソフト】 「上と同じ」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「はい」
【ルータの有無】 「有」
【スキャンの結果何が検出されたか】
JS_SHELL.BP
SWF_DLOADER.YVN
【どんな症状が出るか】
・IEを開くと左下のスターテスバーにおかしなエラーマークと共におかしな漢字が表示されます
・また、IEのページ上のほうにボックスが自動作成されて中にREALプレイヤーらしきものがあります。
・重くなる。
・ウイルス検出のダイアログが異常な数発生する。
【症状が出る前に何をやったか】
IEでネットを開いた。
以上の症状が出ると相談したところリカバリーを勧めてもらいリカバリーしてまっさらな状態で
ウィンドウズアップデートしてウイルスバスターインストールしてIEを開いてmsnやヤフーを開いた瞬間に
FALSHを入れてないにも関わらずまた同じ症状が出ます。
リカバリー後に外部メモリやHDDなどは接続していないのですが…どうすればよいのでしょうか…
長文すいません。
285: ◆N9P3SuvBPo
08/06/08 23:51:00
>284
リカバリしたんですよね?
Cドライブだけじゃなくて、他のドライブもフォーマットしたんですよね。
…ブートセクタ感染型もしくはMBR感染型だろうか?
ここまで来るとなると、掲示板越しのサポートで手に追えるか微妙なところです。
正直言って…。
286:名無しさん@お腹いっぱい。
08/06/09 01:36:51
>>284
MBR感染系となると、HDDの物理フォーマットしか今のところ手がないね。
自分でやってもいいけど、間違うとかなりヤバイから
メーカーサポートに電話するといいと思う、
十中八九、修理対応という事になるだろうケドね。
まあ2、3週間PC預けることになると思うんで、その辺り覚悟してください。
287:名無しさん@お腹いっぱい。
08/06/09 06:20:52
検知力テスト(2008年6月8日)
Most Effective Antivirus Tools Against New Malware Binaries
URLリンク(mtc.sri.com)
Rank Detects Missed Product
1st 96% 71 AntiVir
2nd 95% 81 Ikarus
3rd 95% 83 Webwasher-Gateway
4th 95% 85 BitDefender
5th 91% 159 Kaspersky
6th 90% 175 F-Secure
7th 90% 181 AVG
8th 89% 199 Sophos
9th 89% 201 Norman
10th 89% 202 CAT-QuickHeal
11th 87% 234 Avast
12th 86% 265 ClamAV
13th 85% 277 Microsoft
14th 84% 290 eTrust-Vet
15th 84% 293 DrWeb
16th 84% 302 VirusBuster
17th 80% 378 F-Prot
18th 79% 385 TheHacker
19th 78% 407 Symantec
20th 78% 419 AhnLab-V3
21st 76% 453 Rising
22nd 75% 465 Fortinet
23rd 75% 471 VBA32
24th 74% 478 McAfee
25th 73% 496 Panda
26th 72% 529 NOD32v
288:名無しさん@お腹いっぱい。
08/06/09 09:46:23
Windows2000使ってるんですけど
昨日からWINNTのフォルダが読み取り専用、隠しフォルダ属性になってて
変更もできなくなってるんですが
これはウィルスが原因ですか?
289:名無しさん@お腹いっぱい。
08/06/09 10:06:01
attrib -r -h %windir%
290:名無しさん@お腹いっぱい。
08/06/09 10:18:31
>>289
システムフォルダは再設定できないと出ました…orz
291:233
08/06/09 11:50:12
とりあえずもう1台の感染PCもリカバリーしてみます。それでも無理なら業者に依頼します…
292:名無しさん@お腹いっぱい。
08/06/11 14:27:37
大変困ってるのでどなたか教えてください。
2台のパソコンを所有しているのですが、夜ネットした時点では普通に使えていたのですが、
次の日の昼みたら2台ともネットができなくなっておりました。
2台はLANで接続しています。
LANの接続やネット環境に問題があるのかとおもい、知人のPCへLANを差し込んでみたところ、普通にネットができました。
その為PCに問題があると思い、1台をクリーンインストール、1台をシステムの復帰をしてみました。
しかしながらそれでもネットにつなぐことができませんでした。
夜から昼の間にやったことといえば、スターウォーズの映画(avi)を見ただけです。
この映画は2台のPC両方で動作確認のため起動しました。
他にはちょびちょびネットみたことぐらいです。
物損かと思いましたが落としてもいません。もちろん叩いたり水の中に入れたりもしてません。
こんなたちの悪いウイルスがあるんでしょうか?
それともウイルスじゃないんでしょうか?
どなたか本当に困ってるので教えてくださいエロい人。