09/04/11 00:08:08
URLリンク(www.btfree.info)
Code by:c418478c216f027
URLリンク(www.btfree.info)
Code by: d5ddf2d3204c8f4
29:名無しさん@お腹いっぱい。
09/04/11 00:12:06
>>27
>>16
30:名無しさん@お腹いっぱい。
09/04/11 00:14:36
しかし発症すると露骨にわかるんだけど、キーロガーやボットなどが
静かに活動するようなものだったらどうなっていたんだ?
というかそういうのがすでに蔓延している可能性もあるのか?
31:名無しさん@お腹いっぱい。
09/04/11 00:16:33
ボットンPCなんて腐る程あるだろ
たまにボット攻撃がなんたらかんたらてニュースになったりしてんじゃん
32:名無しさん@お腹いっぱい。
09/04/11 00:16:57
XP SP3
Adobe Reader9.1
Flash 10は最新版の一つか二つ手前だったはず
4月4日の13:15にIE7でGENO訪問
メモリ馬鹿食いしてブラウザ強制終了
あれ、おかしい
再びIE7でGENO訪問
同じようにメモリ馬鹿食いしてブラウザ強制終了
どうやら食らったのはpdfの方
初期のころ言われていたレジストリの改変や
あやしいバッチファイルなどは見つからず
とりあえずシステムの復元で4月3日の状態を復元
その後VB2008とa-squaredで何度か検索を行ったが
今回の犯人に関係しそうな検出はいまのところ無し
まぁさっさとリカバリした方がいいに決まっているのだが
33:名無しさん@お腹いっぱい。
09/04/11 00:24:30
久々に悪質なウイルス
34:名無しさん@お腹いっぱい。
09/04/11 00:30:13
>>29
それで終わりだと思ってるの?そんな甘ちゃんがなんでこんなスレにいるの?
35:名無しさん@お腹いっぱい。
09/04/11 00:34:45
個人で解析なんて不可能に近いから
怪しいものは各ベンダに検体として送る方が有効。
36: ◆W07s5cWHb.
09/04/11 00:37:11
>>32
質問です♪
Genoサイトを踏んだ時のWindowsログインユーザにはAdmin権限ありだった?
それともPowerUser権限、もしくはただのUser権限のみだった?
37: ◆W07s5cWHb.
09/04/11 00:39:35
あ、>>28のリンクは踏んだらヤバいからね。
おいらがちょっと前に踏んでしまって
マイドキュメント等が一切合財消されたウィルスだから。
38:32
09/04/11 00:42:36
>>36
モロにAdmin権限あり
39:名無しさん@お腹いっぱい。
09/04/11 00:43:33
危険だと分かってて直リンはってる香具師は警察に突き出すべき?
40:32
09/04/11 00:45:45
GENOにアクセスしてブラウザが落ちた時点では
正直これほど厄介なものに遭遇していたとは思ってなかった
すぐにタスクマネージャを立ち上げて変なものが動いてないか確認しとけば良かった
41: ◆W07s5cWHb.
09/04/11 00:56:54
>>38
報告どうもです。
てか、報告内容をまとめると
結局、2回共に部分的に食らったみたいな感じだけど、
もしかするとブラウザを即効で閉じた事で
恐らくEXEファイルがダウンロードされて実行される事を防げたって感じかもね。
さもなければReaderが9.1の場合はメモリ馬鹿食いで落ちても結果的に脆弱性は突かれずに
EXEのダウンロードまで行われずにExplorer.exeの乗っ取りは行われないって事かと。
ただ、Flashの方が最新版じゃない可能性があったのなら、そっちで何か食らった可能性も捨てきれないね。
で、Flash側でどんな感じの悪さをされるのかが、まだあまり解析されていない部分なんだけどね。
でも、まぁ、その状態にまでなったら、可能な限りリカバリかクリーンインストールすべきだね。
ホント、お疲れ様でした。
42:名無しさん@お腹いっぱい。
09/04/11 01:00:32
Adobe Reader入れた状態で踏んでメモリ食うのは仕様、アウトでもセーフでも起こる現象
flashは9.0.115.0以下でないならおk
不安ならリカバリ
43: ◆W07s5cWHb.
09/04/11 01:01:38
>>39
警察以前に2ch運営の板の所定のスレに報告すれば
削除人があぼーんしてくれるし、
場合によっては一発で張った奴をアク禁にしてくれたりします。
44: ◆W07s5cWHb.
09/04/11 01:02:53
>>42
フォローどうもです。
45:名無しさん@お腹いっぱい。
09/04/11 01:42:19
>>24
ありがとうございます。
試してみたら>18のサイトは表示されないけどexeが落ちてくる。MD5は正常。
j-waveのネットラジオを聞ける。GYAOは不明。
WindowsUpdateはIE7は成功したけど下のプログラムはインストールされなかった。
「Microsoft .NET Framework 3.5 Service Pack 1 および .NET Framework 3.5 ファミリ更新プログラム (KB951847) x86」
46:名無しさん@お腹いっぱい。
09/04/11 01:44:48
la.exeを感染させた(実行後一度再起動させた)ドライブを別のwindowsの外部ドライブにして
aviraでスキャンかけてみたけどかかるファイルは一つだけだね(~\Drivers32\auxに登録されたやつね)
sqlsodbc.chmは無視だね
でもこの方法だとレジストリ見てくれないな
47:名無しさん@お腹いっぱい。
09/04/11 02:03:58
>>28
スレリンク(sec板)
48:名無しさん@お腹いっぱい。
09/04/11 02:05:09
.NET Frameworkは
Windows Installer
ASP .NET State Sevice
のサービスが停止されてるとインストール失敗する
という可能性もある
間違ってたら訂正ヨロ
49:名無しさん@お腹いっぱい。
09/04/11 02:25:11
ひろゆきのマネして自分のことをおいらって言うヤツは大抵が自意識過剰な勘違いクン
50:名無しさん@お腹いっぱい。
09/04/11 02:30:32
おいらもそう思う
51:名無しさん@お腹いっぱい。
09/04/11 02:39:36
おいらんも
52:名無しさん@お腹いっぱい。
09/04/11 02:53:44
おいらも
53:名無しさん@お腹いっぱい。
09/04/11 02:57:02
中島らも
54: ◆W07s5cWHb.
09/04/11 03:12:09
おまいら
55:名無しさん@お腹いっぱい。
09/04/11 03:12:34
植木等
56:名無しさん@お腹いっぱい。
09/04/11 03:13:54
Linux勝ち組?
57:名無しさん@お腹いっぱい。
09/04/11 03:41:19
分かち合える仲間がいないから負け組みじゃね?
58: ◆W07s5cWHb.
09/04/11 03:43:32
ディストリ毎に信者が内紛起こしてるからねw
59:名無しさん@お腹いっぱい。
09/04/11 04:10:01
ウブンツなら仲間もそこそこいるべ
60:名無しさん@お腹いっぱい。
09/04/11 04:26:27
感染したドライブのイメージをVPC内に復元してavastですべて高にして完全スキャンしたら
system volume information内にA0003748.exeが隠れてました。
1月時点でのバックアップには含まれてないし最後に編集した日付が09/04/04ですから
ここで引っかかったときに作られたんでしょうかね。
ファイルサイズ15360バイト
win30:Trojan-gen{Other}
61:名無しさん@お腹いっぱい。
09/04/11 07:32:59
>>45
Microsoft.NETのインストールは任意なんで、自動更新されなくても正常。
あとRegedit.exeが起動出来れば、GENOウィルスに関しては大丈夫だろうな。
念の為AdobeのReaderとFlashは最新版にしておけばOK。
62:名無しさん@お腹いっぱい。
09/04/11 08:58:15
>>28のはノートン先生が反応して感染させてくれないぞ
63:名無しさん@お腹いっぱい。
09/04/11 09:30:48
crestronjapan鯖落ちてるな
やっとメンテかw
64:名無しさん@お腹いっぱい。
09/04/11 09:32:27
>>9 に書かれているどこかのスレの958です。
再度Virustotalでスキャンしてみました。
各社対応が始まったようで検出率が上がっているようです。
ファイル名 _ycmmf_.cjq.zip 受理 2009.04.11 02:20:16 (CET)
現在の状態: 読込み中 ... 順番待ち 待機中 スキャン中 完了 発見せず 停止
結果: 15/40 (37.5%)
a-squared 4.0.0.101 Trojan.Agent!IK
AhnLab-V3 5.0.0.2 Win-Trojan/Agent.18944.JQ
AntiVir 7.9.0.138 TR/Agent.caaj.B
Avast 4.8.1335.0 Win32:Trojan-gen {Other}
AVG 8.5.0.285 Delf.JTL
CAT-QuickHeal 10.00 Trojan.Agent.IRC
eTrust-Vet 31.6.6450 Win32/SillyDl.HDU
Fortinet 3.117.0.0 PossibleThreat
GData 19 Win32:Trojan-gen {Other}
Ikarus T3.1.1.49.0 Trojan.Agent
K7AntiVirus 7.10.698 Trojan.Win32.Malware.1
McAfee+Artemis 5580 Generic!Artemis
McAfee-GW-Edition 6.7.6 Trojan.PSW.Delf.AB
NOD32 4000 a variant of Win32/Delf.OEX
Prevx1 V2 High Risk Cloaked Malware
AVGは検出しましたが、またしてもカスペルスキーはダメでした。
Kaspersky 7.0.0.125 -
65:名無しさん@お腹いっぱい。
09/04/11 09:32:38
puppine↓ここもやっとw
現在、緊急メンテナンス作業中です。
せっかくお越しいただいたのに申し訳ございませんが、
復旧まで今しばらくお待ち下さい。
66:名無しさん@お腹いっぱい。
09/04/11 09:43:57
ええ~
昔カスペが最強とか言われてたような気が・・
セキュリティってのはとことん気が抜けねぇなぁ
67:名無しさん@お腹いっぱい。
09/04/11 09:57:50
>63
謝罪文が何所にもないな4日位放置してたのに
68:名無しさん@お腹いっぱい。
09/04/11 09:58:28
AVG対応して安心したけど、除去や亜種の対応は、どうなったの?
69:名無しさん@お腹いっぱい。
09/04/11 10:08:02
レス28 ここも感染してるぞ!
94、100.178.211 ラトビア行きだ
おまいら迂闊に踏むなよ
70:名無しさん@お腹いっぱい。
09/04/11 10:11:43
鯖乗っ取られすぎワロタ
71:69
09/04/11 10:19:56
訂正
誤 : 94、100.178.211 ラトビア行きだ
正 : 94、100.178.211 ロシア行きだ
72:名無しさん@お腹いっぱい。
09/04/11 10:24:14
>>64=>>66
たった一つや二つのウイルスでその反応w
他社の工作はひどいもんだなあ
73:名無しさん@お腹いっぱい。
09/04/11 10:28:14
セキュリティソフトメーカーとハッカーのいたちごっこですからね
74:名無しさん@お腹いっぱい。
09/04/11 10:40:35
inetnum: 94.100.176.0 - 94.100.183.255
netname: MAILRU-NET08
descr: Mail.Ru
descr: NetBridge Services
country: RU
admin-c: VG659-RIPE
tech-c: VG659-RIPE
status: ASSIGNED PA
mnt-by: MNT-NETBRIDGE
person: Vladimir Gabrelyan
address: 47, Leningradsky prospect, Moscow, Russia
e-mail: gabrelyan@corp.mail.ru
fax-no: +7 495 7256357
phone: +7 495 7256357
nic-hdl: VG659-RIPE
Information related to '94.100.176.0/20AS47764'
route: 94.100.176.0/20
descr: LLC netBridge Services
origin: AS47764
mnt-by: MNT-NETBRIDGE
Information related to '94.100.178.0/24AS47764'
route: 94.100.178.0/24
descr: MAILRU-DC1
origin: AS47764
mnt-by: MNT-NETBRIDGE
75:名無しさん@お腹いっぱい。
09/04/11 10:41:36
>>66
マッチポンプでなく驚いているだけなら他のセキュソフトでも同じ事は起きるぞw
万能のソフトなんて無い
76:名無しさん@お腹いっぱい。
09/04/11 11:22:19
a-squaredとavastとAntiMalwareで検出したウィルスを全部削除して
セーフモードでComboFixとSDFix掛けてレジストリやら掃除して
Sqlsodbc.chmは削除してから正常な奴に入れ替えて
SystemVolumeInformation内ファイルも全部削除して
WindowsUpdate掛けて、Adobe ReaderとFlashも最新にアップデートしたけど
これで大丈夫かな?チョー心配だ。
77:名無しさん@お腹いっぱい。
09/04/11 11:25:45
セーフモードでComboFixが動くなら、発症前だったって事だね
裏山
78:名無しさん@お腹いっぱい。
09/04/11 11:38:13
>>77
いや、最初はセーフモードでも動かなかった。
アンチウィルスソフトで検出できてもどうしても削除できないファイル(GENOウィルス本体かも)
が邪魔していた。
いろいろ試した結果、BARTsPEで起動CDを作ってなんとか↑のファイルを削除成功。
その後、ComboFixが使えるようになった。
しんどかったよ。
79:名無しさん@お腹いっぱい。
09/04/11 11:50:34
URLリンク(www.virustotal.com)
がんばってみた
80:名無しさん@お腹いっぱい。
09/04/11 11:53:04
>>78
乙だわ。
81:名無しさん@お腹いっぱい。
09/04/11 11:55:47
>>79
感染元アドレス:hxxp://
OS:
Flash:
Adobe reader:
セキュリティソフト:
82:名無しさん@お腹いっぱい。
09/04/11 12:01:35
お前らがここまで手こずるウイルスなんて珍しいな、どんだけ凶悪なんだな
83:名無しさん@お腹いっぱい。
09/04/11 12:10:25 BE:626922427-2BP(0)
感染元アドレス:hxxp://94.247.2.195/news/?id=10&
OS:Windows XP SP3
Flash:最新さっき入れた
Adobe reader:None
セキュリティソフト:ZoneAlarm(とAvast!はきった)
でURLリンク(www.virustotal.com)
84:名無しさん@お腹いっぱい。
09/04/11 12:13:40
いや。これは驚くだろ
ZEROが対応してる
85:名無しさん@お腹いっぱい。
09/04/11 12:14:33
新種EXE PDF SWFまとめZIP
609 名前: クモマグサ(アラバマ州)[sage] 投稿日:2009/04/11(土) 12:10:30.43 ID:gGW25rxB
>>607
すまぬ、よろしくお願いします。m(_ _)m
URLリンク(tane.sakuratan.com)
DL : geno
解凍.: virus
入手元 94.247.2.195 (geno関連)
86:名無しさん@お腹いっぱい。
09/04/11 12:43:33
>>78
アンチウイルス何つかったの?
PEでブートCDは作ったけど、検出できなくて困ってるorz
87:名無しさん@お腹いっぱい。
09/04/11 13:00:06
ZEROが対応ってまじ?
88:名無しさん@お腹いっぱい。
09/04/11 13:04:52
>>86
俺の場合a-squaredでC:\Windows直下に妙な名前のファイルが検出された。
(こいつはavast!やspybotでは検出されなかった)
これが恐らく親玉ファイル。種類はTrojan-SPY.AGENT!IKだった。ちなみにファイル名はランダムになるらしい。
そいつをBARTsPE起動CDのワードパッドからファイル指定して削除。
CD抜いてHDDからXPを再起動。C:\RECYCLERに先ほど削除した
親玉ファイルがリネームされて残っているのでこいつを削除すればOK。
89:名無しさん@お腹いっぱい。
09/04/11 13:10:00
>>88
ありがとう
a-squared Free 4.0でいいの?
なんか嬉しくなってきた
90:76=78=88
09/04/11 13:17:07
>>89
それで検出した。
もしダメなら、>>64の別のソフトを試せばいいと思う。
91:名無しさん@お腹いっぱい。
09/04/11 13:22:40
>>88
そんだけじゃ、まだ残ってるぞ
92:名無しさん@お腹いっぱい。
09/04/11 13:27:01
a-squared って他のソフトと共存できましたっけ?
93:88
09/04/11 13:31:41
>>88はとりあえず親玉ファイルの削除だけ。
あとは出来ることは>>76にあるとおり。
再意インストール以外で、他にやれる事があるなら教えて。
94:名無しさん@お腹いっぱい。
09/04/11 13:32:08
>>92
Free版はできる。有償版は知らない。
95:名無しさん@お腹いっぱい。
09/04/11 13:36:40
>>94
㌧
いれてくる
96:名無しさん@お腹いっぱい。
09/04/11 13:39:23 BE:1791204285-2BP(0)
617 名前: クモマグサ(アラバマ州)[sage] 投稿日:2009/04/11(土) 13:36:21.50 ID:gGW25rxB
>>609
602です。てか、串通してるわけでもないのに何でアラバマ州なんじゃ。(w
ええと、検出スレの方で指摘がありましたが、中に入っていたvirus.swfはJS(スクリプト)でした。申し訳ない。
こちらでもファイルをエディタで開いて確認しました。 IEのキャッシュから引きずり出したんだけど、手違いをしたらしい。
で、id=3の方なんだけど、こちらでは踏んでも何も落ちてきませんでした。向こうも一休み中かも...油断はできませんが。
id=10については、>592さんと同じ物が落ちてきました。ファイル名はランダムなんで、>592さんと同じくu2.exeに名前を変えてパス付きzipでアップしました。
URLリンク(tane.sakuratan.com)
DL : geno
解凍.: virus
URLリンク(www.virustotal.com)
余裕のある方、検出スレ(>>609)に転載お願いします。m(_ _)m
97:名無しさん@お腹いっぱい。
09/04/11 13:40:00
ただしa-squared Freeは誤検出も多いぞ
98:名無しさん@お腹いっぱい。
09/04/11 13:45:29
>>88
すでに自動ツールがやってるかもしらんが、下記各項目を確認すれ
1、C:\WINDOWS\に作られるランダム名のファイルを削除(これは>>88で実施済み)
2、C:\WINDOWS\system32\sqlsodbc.chmを本来の正しいもので上書きする
正しいファイルは MD5 (sqlsodbc.chm) = f639afde02547603a3d3930ee4bf8c12
3、regeditで下記レジストリデータの削除確認。上記1のランダムファイル名がデータ欄にある
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux?
4、regeditで下記のキーが無いことを確認する
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
99:88
09/04/11 13:58:28
>>98
全部大丈夫だった。まとめてくれて、ありがとう。
100:名無しさん@お腹いっぱい。
09/04/11 14:05:14
>>42
>flashは9.0.115.0以下でないならおk
踏んだ時Adobe Readerは最新の8.1.4だったけど、Adobe Flashが最新じゃない9.0.124.0だったのに
ウイルスに反応しなかったのはこの理由なのかな。
101:名無しさん@お腹いっぱい。
09/04/11 14:31:15
通販サイト「GENO」の改ざん、広告掲載サイトにも影響 (Security NEXT - 2009/04/08更新)
URLリンク(www.security-next.com)
中古PC通販サイト「GENO」が不正アクセスで改ざん (Security NEXT - 2009/04/08更新)
URLリンク(www.security-next.com)
ウェブサイトが改ざん被害、閲覧でウイルス感染のおそれ - ナクソス (Security NEXT - 2009/04/09更新)
URLリンク(www.security-next.com)
広告掲載サイトで改ざん、ウイルス感染のおそれ - ECナビ (Security NEXT - 2009/04/10更新)
URLリンク(www.security-next.com)
102:名無しさん@お腹いっぱい。
09/04/11 14:46:17
103:名無しさん@お腹いっぱい。
09/04/11 15:03:02
このウイルスは感染したPCから同一LAN内の他のPCに感染しますか?
104:名無しさん@お腹いっぱい。
09/04/11 15:08:38
ミスったorz
このウイルスは感染したPCから同一LAN内の他のPCに感染しますか?
家族で使用していて計3台あり、LAN内のデータ共有等はありません。
3台ともルーターからぶら下がっているだけです。
踏んだと思われる時期は6日月曜の夕方から夜にかけてで、
踏んだ疑いがあるのは1台のPCのみです。(「思われる」とか「疑い」というのは、2chブラウザで誤ってマウスカーソルを
GENOのURLのところに置いてしまい、プレビュー機能のようなもの(といっても「情報なし」とか2chのスレ名等が
ポップアップで出るだけですが。ただマウスカーソルをURLに置くと外と通信するようです。)
が機能してしまったということで、「疑い」です。)
OSはすべてXPSP3でReaderとFlashのバージョンは当時不明です。(踏んだ疑いのあるPCはリカバリ済みでReaderとFlashは最新にしました。)
以前から3台すべてのPCにノートン(2009)を入れていて、すべてウイルス定義を火曜夕方当時最新にしてスキャンしましたが、
tracking cookieのみ検出しました。(これは時々よくひっかかるので、関係は無いと思います。)
ちなみに挙動はどのPCも怪しくなく(疑いのあるPCはリカバリ前も)、regeditも起動しました。
105:名無しさん@お腹いっぱい。
09/04/11 15:14:23
久々に悪質なウイルス
GENOは潰れるのかな?
106:名無しさん@お腹いっぱい。
09/04/11 15:16:16
sqlsodbc.chmの本来の正しいものってどこにあるの?
107:名無しさん@お腹いっぱい。
09/04/11 15:22:30
a-squared Free 4.0 のカスタムスキャンでチェック付けまくって
試してみたけど ¥Windows直下 どころか Cドライブ全体からも
Trojan-SPY.AGENT!IK は見つからなかった。
ちなみに モロに発症中
ブラウザ落ちまくり レジストリエディタ起動不能
コマンドプロンプト起動不能 ComboFix起動不能
助けてorz
108:名無しさん@お腹いっぱい。
09/04/11 15:25:31
っクリーンインストール
109:名無しさん@お腹いっぱい。
09/04/11 15:27:23
>>104
> このウイルスは感染したPCから同一LAN内の他のPCに感染しますか?
感染したまま放置したら他のPCにも感染するかもね。
ちゃんと機能していたら、自分自身をアップデートするかもしれんし。
ま、専ブラでサムネ表示させただけなら大丈夫だと思うけど。
110:107
09/04/11 15:45:44
C:\Windowsのなかに パラボラアンテナのアイコンで
{00000005-00000000-00000008-00001102-00000008-10011102}.CDF
こんなのがあって、これ移動も削除も出来ないんだけど、
これって怪しいですか?
111:名無しさん@お腹いっぱい。
09/04/11 15:57:51
>>107
コンピュータの復元試してみ
112:名無しさん@お腹いっぱい。
09/04/11 16:38:37
Crestron復活しているけど、謝罪は一言も無い
こういうのは断じてゆるせん!!
113:名無しさん@お腹いっぱい。
09/04/11 16:54:04
別に許してくれって頼んでないし
114:名無しさん@お腹いっぱい。
09/04/11 16:55:26
>>107
面倒だからOSを再インスコしろ
115:名無しさん@お腹いっぱい。
09/04/11 17:00:45
IE落ちまくりじゃ、オンラインスキャンも使えないな。
116:名無しさん@お腹いっぱい。
09/04/11 17:09:28
お客様各位
URLリンク(www.geno.co.jp)
"不具合のあったプログラムを消去して正常なプログラムが動作するようにするため、
お客様側の対処といたしましてはwebブラウザのキャッシュをリセットして頂く事を
お願い致します。"
"尚、サーバーのウィルス感染や個人情報の流出はございません。"
117:名無しさん@お腹いっぱい。
09/04/11 17:16:43
>>107
URLリンク(www29.atwiki.jp)
GENOウイルスまとめ
このスレに
対処方らしきものがある。
118:名無しさん@お腹いっぱい。
09/04/11 17:17:09
>>116
流失→流出 new!
スレリンク(owabiplus板:1番)
流失だったみたいだよね
119:名無しさん@お腹いっぱい。
09/04/11 17:38:38
昨夜、ここのリンク踏んだらウイルス警告でた。
例のGENOウイルスかと思いキャッシュクリアしたけれど、
さっきウインドウズ再起動したら起動時スキャンでJS.Downloader.vc.3096が発見。
アドビリーダーとフラッシュもアップデートしたのに。
このレスは2月11日だけど当時から感染してたのかな?
サイズ電源を語れヽ( ゚Д゚)人(゚Д゚ )ノ
スレリンク(jisaku板:219番)
120:名無しさん@お腹いっぱい。
09/04/11 17:50:01
>>107
もうどうにかしてるとは思うが一応。
エクスプローラでc:\windowsを開いて
regedit.exeを選択、編集->コピー、編集->貼り付け
できた
コピー ~ regedit.exe
ってファイルをrrr.exeにリネーム
そのrrr.exeをダブルクリック(実行)
そうすればレジストリエディタが開くはずだから
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
をひらいて、その中の
aux
をダブルクリック、値のデータをコピーしてメモ帳あたりで保存しといて。
##その値が他のmidiとかmixerの値と違う、c:\windows\system32\以下ではない、*.dllや*.drvではないなら以下を実行##
そのauxを右クリックして削除を選択、レジストリエディタを終了。
そのままwindowsを再起動してみて
わかりやすく言うと、コピー&リネームすればregeditが動くと思うから
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
を削除して再起動して
それでおかしくないようならそのままシステムの復元すればいいとおもうよ
121:名無しさん@お腹いっぱい。
09/04/11 17:51:56
>>119
セキュリティソフトは何ですか?
122:名無しさん@お腹いっぱい。
09/04/11 17:59:25
キングソフトの新しいのSP1です。
キャッシュクリアだけじゃ駄目みたいだね。
123:名無しさん@お腹いっぱい。
09/04/11 18:04:58
キングソフトかぁ
育ちがいいですねえ
124:名無しさん@お腹いっぱい。
09/04/11 18:05:43
大体対応したかな。
結局事前に食い止めたソフトはどれなのさ?
125:名無しさん@お腹いっぱい。
09/04/11 18:08:14 BE:272081164-2BP(0)
>>119
ただのiframe埋め込みだよ
ハゲ
<iframe src="URLリンク(www.amazon.co.jp)
=http%3A%2F%2Fwww.amazon.co.jp%2Fgp%2Fslides%2Fmake-money.html%3Fpf%5F
rd%5Fm%3DAN1VRQENFRJN5%26pf%5Frd%5Fs%3Dleft-nav-3%26pf%5Frd%5Fr%3D00SV
8SBX757SKDDMXB5J%26pf%5Frd%5Ft%3D101%26pf%5Frd%5Fp%3D70095606%26pf%5Fr
d%5Fi%3D489986&tag=dmoney-22&linkCode=ur2&camp=247&creative=1211" heig
ht=0 width=0></iframe>
<iframe src="URLリンク(ck.jp.ap.valuecommerce.com)
60859&pid=875183741&vc_url=http%3a%2f%2fshopping%2eyahoo%2eco%2ejp%2fi
nfo%2fpoints%2fshopping_points%2findex%2ehtml" height=0 width=0></ifra
me>
<iframe src="URLリンク(pt.afl.rakuten.co.jp)
%3a%2f%2fwww.rakuten.co.jp%2fdoc%2finfo%2frule%2fservice.html" height=
0 width=0></iframe>
126:名無しさん@お腹いっぱい。
09/04/11 18:23:08 BE:408121766-2BP(0)
>>119
で悪用されたスクリプトの配布元
凄すぎww
127:名無しさん@お腹いっぱい。
09/04/11 18:33:34
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
128:名無しさん@お腹いっぱい。
09/04/11 18:38:40
>>126
URLリンク(www.usamimi.info)
貼り忘れ
129:名無しさん@お腹いっぱい。
09/04/11 19:11:18
GENOには暫くアクセスしない方がいいな
130:名無しさん@お腹いっぱい。
09/04/11 19:55:38
>>219の4の項目(PendingFileRenameOperations)なんだけど、
うちの見たらこうなっていたんだけどなにこれ?
\??\C:\WINDOWS\system32\SET5A.tmp
!\??\C:\WINDOWS\system32\LegitCheckControl.dll
131:名無しさん@お腹いっぱい。
09/04/11 20:16:50
PendingFileRenameOperations
は入れとくと再起動時にリネームするらしい
LegitCheckControl.dll
はWGA(認証プログラム)らしい
ウイルスが認証プログラムを書き換えようとしてるのか
書き換えられたプログラムをシステムが戻そうとしてるのか
認証プログラムかデータがおかしくなった(とシステムが考えた)か
132:名無しさん@お腹いっぱい。
09/04/11 20:31:20
>>131
WGA書き換えられるとupdateできんって事?
133:名無しさん@お腹いっぱい。
09/04/11 20:39:28
>>130
両方のファイルサイズ教えて。あとデジタル著名あるかどうか
うちのXPsp3のLegitCheckControl.dllは1480232バイト
うちもcomodoいれて感染させて再起動したらえらく起動に時間かかった後に認証が必要とか言われたから気になる
このときは復元しても直らなかった希ガス
134:名無しさん@お腹いっぱい。
09/04/11 20:48:02
>>132
updateってか認証が通らなければセーフモード以外で起動できなくなる
もしくは逆にクラックされて常に認証が通るようになるとか
MSにクラック版と判断されて壁紙黒くなるかも
135:名無しさん@お腹いっぱい。
09/04/11 21:18:03
>>130
もちろん忘れてはいけないのはこのウィルスがあなたのプロダクトキーや認証コードを盗もうとしているという可能性です。
認証が必要と言われたらあきらめてクリーンインストールしましょう
136:名無しさん@お腹いっぱい。
09/04/11 21:33:24
ノートだからいくらでも盗んでってくれ。
IBMでもレッツでもFMVでもHPでもどれでもいいよ。
どうせ共通キーだからw
137:名無しさん@お腹いっぱい。
09/04/11 21:41:07
大体対応したかな。
結局事前に食い止めたソフトはどれなのさ?
138:107
09/04/11 22:07:51
>>111
復元ポイントのフォルダに潜伏してるかもと思って
復元機能をOFFにして削除しちゃいましたorz
>>120
詳しい説明ありがとう
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
この値は 他のmidiやmixerと同じ値でした。
139:107
09/04/11 22:14:46
C:\WINDOWS\system32を見るとこんなのがありました
sqlsodbc.chmxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
これは一体・・・
140:名無しさん@お腹いっぱい。
09/04/11 22:17:27
>>138
新種か
141:名無しさん@お腹いっぱい。
09/04/11 22:23:41
グーグルあたりのクローラで改竄チェックとかしてくれればいいのに
142:名無しさん@お腹いっぱい。
09/04/11 22:23:51
>>138
チェックしても何も引っかからないの?
セーフモードでチェックしてみた?
一つのソフトがダメなら>>64にある他のソフトで再度チェック。
これでもダメならSDFix。セーフモードで動けば儲けモノ。
143:名無しさん@お腹いっぱい。
09/04/11 22:24:17
亜種キタ?
144:107
09/04/11 22:24:24
a-squaredのレポートうpしてみました
URLリンク(www.dotup.org)
これだ! っていうのあったら教えてください
145:名無しさん@お腹いっぱい。
09/04/11 22:25:04
genoかどうか分からんが
セキュリティサイト全般に繋がらない
MSのサイトに繋がらない
隠しファイル表示設定しても表示されない←復元設定オフッたら表示された
デスクトップにa.exeっていう隠しファイルがネットにアクセス要求してる
外付けHDのオートランがうまく起動しない
イモバでネット接続すると凄いポートスキャン攻撃
146:名無しさん@お腹いっぱい。
09/04/11 22:35:50
>>144 とりあえずこれ。
C:\Program Files\CravingExplorer\unins000.exe 検出: Trojan-Dropper.Agent!IK
147:名無しさん@お腹いっぱい。
09/04/11 22:36:50
>>145
wwwww
何というノーガード戦法
中学生かよwww
148:名無しさん@お腹いっぱい。
09/04/11 22:37:29
>>145
スレの上のほうみて該当しなければ
USB経由でなにかもらっちゃったとか
149:107
09/04/11 22:48:01
>>146
削除してみました
今セーフモードで改めてCドライブをスキャンしています
150:名無しさん@お腹いっぱい。
09/04/11 22:49:15
>>106
俺は、ウィルス感染していない別PCから持ってきた。
XPのインスコCDから抽出できるかもしらん。
151:名無しさん@お腹いっぱい。
09/04/11 22:50:20
>>144
おい、Quake3やらせろ
152:名無しさん@お腹いっぱい。
09/04/11 22:59:56
インスコおわた
GENOめ、余計な時間をかけさせおって。
153:名無しさん@お腹いっぱい。
09/04/11 23:25:50
>132
ESETだめぽorz
OperaでJavaScriptやプラグインも切ってアクセスしたのに。
154:名無しさん@お腹いっぱい。
09/04/11 23:26:58
NODがだめなのは今に始まったことじゃないしw
155:名無しさん@お腹いっぱい。
09/04/11 23:43:54
大体対応したかな。
結局事前に食い止めたソフトはどれなのさ?
156:名無しさん@お腹いっぱい。
09/04/12 00:05:34
今回の件でノーガード戦法の素晴らしさが理解できたようだな
157:名無しさん@お腹いっぱい。
09/04/12 00:11:15
>>156
代金払いは着払い。クレカ払いは潔く諦める。
拾ったエロファイルはすばやく外付けHDDに格納。
踏んじまったら即クリーンインストール。
結局、ノートン先生もただの効果のない御守りに過ぎなかったのだね。
158:名無しさん@お腹いっぱい。
09/04/12 00:12:30
>155
>結局事前に食い止めたソフトはどれなのさ?
AMD64または互換CPU
159:153
09/04/12 00:16:38
大幅にハードウェアが変更されたので新たにライセンス取得しろと言われたorz
160:名無しさん@お腹いっぱい。
09/04/12 00:23:28
みんな元気?
クリーンインスコしたよw
今、puppylinux、V2Cで書き込んでるっっっw
161:107
09/04/12 00:40:54
C:\WINDOWS にeqqbbr.ptnというものが
Trojan-PWS.Delf!IKとして検出されました。
消しても消しても数秒で復活します(汗
162:名無しさん@お腹いっぱい。
09/04/12 00:50:46
>>161
BARTsPEで作ったCDで起動して、ワードパッドから削除
163:名無しさん@お腹いっぱい。
09/04/12 01:11:47
>>161
再インスコしよ
164:76
09/04/12 01:24:17
俺的GENOウィルス駆除までのまとめ
感染症状が俺の場合と似ていれば効くかもしれないが、副作用もあるかもしれないので、あまり期待はするな。
ダメなら再インスコ推奨。
■俺の感染症状■スタートアップ登録アプリが起動しない、regedit.exeやcmd.exeが起動できない、
WindowsUpdateが出来ない、ブラウザが頻繁に異常終了する、ComboFixが使用不能、
一部のアンチウィルスソフトが検査中にハング、ウィルスデータ更新が出来ないなど一部のサイトにアクセスできなくなる
(1)セーフモードにてa-squared Free(ダメなら他のソフト)で親玉ファイルを検出(C:\Windows直下でファイル名はランダム)。
これはWindowsXP上からは削除できない(Trojan-SPY.AGENT!IKと特定、他の種類の場合もありうる)
(2)BARTsPEで起動CDを作り、これで起動。ワードパッドを立ち上げ、開く→ファイル指定→削除→
再起動→CD抜いてHDDからWindowsXP起動(もし、これで感染症状が緩和されたら望みあり)
(3)C:\RECYCLER内に先ほど削除した親玉ファイルがリネームされて残ってるので、これを削除
(4)2009年4月4日以降の日付でシステムの復元ポイント作っていたため、C:\SystemVolumeInformation内
にウィルスが残留の可能性が高いので、復元機能をOFFにして再起動で上記内の復元ファイルを削除
(5)C:\Windows\system32\sqlsodbc.chmが改竄されていたので、これを削除し別PCから正常なファイルを移植(コピー)
(6)セーフモードにてComboFixとSDFixを用いてレジストリを掃除。アンチウィルスソフトで他のウィルスも徹底的に検出・削除
(7)WindowsUpdateを行い、AdobeReader及びFlashを最新版へアップデート
最期に>>98の項目3と4を確認する。
165:名無しさん@お腹いっぱい。
09/04/12 01:59:03
報告
スレリンク(salt板:42-番)
166:名無しさん@お腹いっぱい。
09/04/12 02:12:59
>>164
GJ
コマンドライン教えないとわかんない子多いんじゃないかな
C:\WINDOWS\ファイル名 /delete
または
C:\WINDOWS\del ファイル名
こんなだっけ
167:名無しさん@お腹いっぱい。
09/04/12 02:15:45
>>165
WDSCのブログ,2009年04月03日付に気になる文面があったが、杞憂?
>皆様いつもありがとうございます。
>さて、昨晩より本日19:30頃まで、WDSCのサイト(URLリンク(death-sauce.jp))が
>接続障害により一切表示できない状態となっておりました。
GENOや他のサイトはそういうことはなかったんだっけ?
168:153
09/04/12 02:19:01
>167
改竄されてたらしい
スレリンク(salt板)l50
169:名無しさん@お腹いっぱい。
09/04/12 02:27:51
スレリンク(news板:736番)
736 名前: ペチュニア(北海道)[] 投稿日:2009/04/12(日) 02:20:29.70 ID:tDouvA5w
これ既出?
★No. 179 管理人 2009/01/25 16:51
サイトの改竄にご注意下さい
先日、ご自分のサイトが勝手に改竄されたという相談があり、FTPのログを
調べましたところ、同様の手口で被害に逢われた方が他にもおられた事が
判明しました。
こちらで把握した方々には連絡済ですが、ログは一ヶ月分しか残していない
ため、他にも同様の手口で改竄された可能性がありますのでご注意下さい。
今のところわかっている事は次の通りです。
・FTPを使って index.html を読み出し、何らかの改竄をして上書きされる
・改竄によって、閲覧者はウイルスの仕込まれたサイトに接続させられる
(ウイルス名はTrojan-Downloader.HTML.Agent.mu ただし違うケースもある)
・FTPの接続元は、海外(ラトビア共和国)
・パスワードアタックをされた形跡はない
・パスワードを変えてもすぐに同じで被害に逢う
以上の事から、何らかの手段でパスワードが盗まれたものと思われます。
また、パスワードを変えても再度被害に逢う事から、ウイルスやマルウエア
などによるものと考えられます。
もし、このような事に遭遇しましたら、ご自分のPCをウイルスチェック
した後にパスワードを変更して下さい。また、パスワードは誰にも知られ
ないよう管理にご注意下さい。
URLリンク(kemono.cc)
170:名無しさん@お腹いっぱい。
09/04/12 05:48:50
>>144
OSをクリーンインストールしなさい
vncとか自分で入れたのか?
171:107
09/04/12 07:32:26
>>161に書いた消しても復活するデータですが
メモ帳を新規作成して、eqqbbr.ptnにリネームして上書きしたところ
ずっと0KBを維持しているので、とりあえずは大丈夫そうです。
しかし症状はなにもかわりません。
172:107
09/04/12 07:35:09
>>170
VNCは自分でインストールして使っていました
説明が足りませんでした すみません
再インストールするわけにいかない状況なので
(数年使いこんだOSで各種インストールCDが紛失など)
なんとしても駆除する方向で頑張ろうと思っています。
DVDライティングソフトも動作しないのでバックアップもできません><
173:名無しさん@お腹いっぱい。
09/04/12 08:52:16
チェックしてみました。
URLリンク(www.virustotal.com)
レジストリですが、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
に関しては、この値だけでなく、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux4
のような、aux*(*は任意の値)をチェックしたほうがいいです。
当方の場合、aux4に書かれてました。
値は、c:\windows\system\..\pqcna.dge
のような感じになってました。
174:107
09/04/12 09:03:12
>>173
今見てみたら aux3の値が>>171のc:\Windows\eqqbbr.ptnになっていました
とりあえず他のauxと同じ値に書き換えておきました。
症状は変わらず。
175:名無しさん@お腹いっぱい。
09/04/12 09:09:16
>>174 その値は削除するんだよ。
ウィルスをいくらリネームしても症状が変わらないんじゃ同じこと。そいつを削除しないと始まらない。
BARTsPEで起動CD焼いて、コレで起動してから>>164のようにウィルスを削除するんだ。
参考サイト
URLリンク(www.geocities.jp)
URLリンク(nnspaces.sakura.ne.jp)
但し、XPのインストールCDが必要だから、注意。
無くても何とかなる場合も稀にあるらしいが、あまり期待は出来ない。
176:名無しさん@お腹いっぱい。
09/04/12 09:21:06
ここも参考に
Bart's PE Builder スレッド 6枚目
スレリンク(win板)
177:名無しさん@お腹いっぱい。
09/04/12 10:05:31
>>169
・パスワードを変えてもすぐに同じで被害に逢う
これが怖いな。
ただ個々のユーザーのPCにボットが生息しているんではなく、
ハックしてサーバのFTPバスワードを盗んでいる可能性は
ないのか? さすがに暗号化もしてないなんてことはないよな?
178:107
09/04/12 10:14:12
>>175
aux3を無くせって事ですか?
とりあえず、現状報告ですが、
c:\Windows\eqqbbr.ptnは完全消滅しましたが
以前症状は治まりません aux3を丸ごと削除してみます
あ、あとsystem32のsqlsodbc.chmも削除しました。
不具合が起きたら別PCから移植します。
179:名無しさん@お腹いっぱい。
09/04/12 10:15:45
>>169
とんでもねえな
180:107
09/04/12 10:16:37
>>175
PEのディスクは作成済みなのですが、
a-squared Free(更新済み)をセーフモードで起動しても
親玉の検出ができないようで、行き詰っていますorz
181:名無しさん@お腹いっぱい。
09/04/12 10:21:00
クリーンインストールしてParagon Drive Backup Expressでリカバリディスク作った
これで万が一があってもすぐに復旧できる><
182:名無しさん@お腹いっぱい。
09/04/12 10:24:21
>>177
169によれば「パスワードアタックをされた形跡はない」ってことだけど、
どうだかわからないね。
183:名無しさん@お腹いっぱい。
09/04/12 10:27:57
>>180
現時点で、セーフモードでComboFixが動かないのか?
184:107
09/04/12 10:31:31
>>183
動きませんorz
DOS窓もリネームしないと動かない状況です
185:107
09/04/12 10:36:05
>>174の工程で正規ドライバーを指定しているのですが、
もしかしたら正規ドライバーが上書きされたかもと思い、
正規ドライバーを削除してみました
186:名無しさん@お腹いっぱい。
09/04/12 10:37:40
>>180
a-spuaredは、本体は検知しても、書き換えられてしまったレジストリとかを修正してくれる訳じゃない。
ぶっちゃけ、「感染後の対処としては不十分」だよ。どこのセキュリティベンダーでもそこんとこは一緒。
感染ファイルの感染部分だけ除去ができるケースなんて稀なんだから、復元ポイントがないなら、
諦めてクリーンインストールしろよ。
>>172
>再インストールするわけにいかない状況なので
>(数年使いこんだOSで各種インストールCDが紛失など)
そーゆーもんは、まとめて焼いとくか、HDD内に置いとくもんだぜ。
ぶっちゃけ、今回のは踏んだ後は、諦めるしかない。
ドライバー類はネットで集められる。
ソフトに関しては諦めろ。ソフトは、高い勉強料かもしれんが見つからないなら買いなおせ。
長期間入れ直さないで使ってるOSがゴミだらけで重くなってるしちょうどいいんじゃね。
187:名無しさん@お腹いっぱい。
09/04/12 10:44:41
>>185
ComboFixだけでなくSDFixという手もあるけど、
このブログが参考にならんかな?
URLリンク(www.interbars.co.jp)
188:107
09/04/12 10:46:28
現状のまとめ
スキャンソフト a-squared Free(更新済み)
スキャンするとc:\Windows内にeqqbbr.ptnが見つかり
削除するも、1秒で復活するので、テキストをリネームして上書き。
レジストリーで
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Drivers32\aux2 の値がc:\Windows\eqqbbr.ptn と
なっており、値を正規ドライバに変更
↑これによりc:\Windows\eqqbbr.ptnが完全削除可能になり削除した
ついでに、Windows\system32\sqlsodbc.chm と
sqlsodbc.chmxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
の、二点を削除(不具合が起きたら別PCから移植予定)
このあと、セーフモードでスキャンしてもトロイ系は見つからない
しかし、いまだDOS窓はリネームしないと起動せず、
セーフモードでComboFixも起動しない。
WEBブラウザーも落ちまくる
こんな感じですorz
189:107
09/04/12 10:52:17
>>186
これを機会にSSDと言う悪魔の囁きが聞こえている状況ですが、
現状のOS環境を手放せる状況ではないのでもう少し頑張りたいです
GENOに怒鳴り込みに行きたいくらいです。数百キロあるので行けませんが。
>>187
さっそく試してみます アドバイスありがとう
190:名無しさん@お腹いっぱい。
09/04/12 11:00:55
>>189
geno秋葉原店舗を見ると、ああ、中古屋だなぁ・・・と改めて納得できるよ。
リースあがりのDELLのキーボードとかが100円で大量にあったり。
殴りこむ気も失せるw
191:物騒だなオイ ◆Sqq/BUSSOU
09/04/12 11:01:11
auxの値についてちょっと調べてみた。アレか、Pathの通ったディレクトリから
アプリケーションを読み込む際の設定かなんかなのかな。専門じゃねェから
よく判らんけど。
[HKEY_CLASSES_ROOT\CLSID\{FAE3D380-FEA4-4623-8C75-C6B61110B681}\Schemas\{22383CF1-ED17-4E2E-AF17-D85B8F6B30D0}]
"aux"="URLリンク(ns.adobe.com)"
[HKEY_CLASSES_ROOT\CLSID\{FAE3D380-FEA4-4623-8C75-C6B61110B681}\Schemas\{BB5ACC38-F216-4CEC-A6C5-5F6E739763A9}]
"aux"="URLリンク(ns.adobe.com)"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FAE3D380-FEA4-4623-8C75-C6B61110B681}\Schemas\{22383CF1-ED17-4E2E-AF17-D85B8F6B30D0}]
"aux"="URLリンク(ns.adobe.com)"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FAE3D380-FEA4-4623-8C75-C6B61110B681}\Schemas\{BB5ACC38-F216-4CEC-A6C5-5F6E739763A9}]
"aux"="URLリンク(ns.adobe.com)"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\DOS Devices]
"AUX"="\\DosDevices\\COM1"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Session Manager\DOS Devices]
"AUX"="\\DosDevices\\COM1"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Control\Session Manager\DOS Devices]
"AUX"="\\DosDevices\\COM1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices]
"AUX"="\\DosDevices\\COM1"
192:名無しさん@お腹いっぱい。
09/04/12 11:03:18
>>189
↓このキー自体削除したほうがいいじゃねぇか?>>120でも言ってるが。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2
193:名無しさん@お腹いっぱい。
09/04/12 11:04:47
ν速現行板落ちたな
陰謀か?
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
スレリンク(news板)l50x
194:名無しさん@お腹いっぱい。
09/04/12 11:05:10
うわコテ消してねェw ごめん。
以上、Windows XP SP2。上4つがAcrobatを呼び出す際の設定、下4つがcmdを呼び出す
際の設定と思われる。アプリケーションのバージョンやユーザ環境によって若干の差異は
あるかも知れんが、正常な値はこんなもんだろうよ。
Bart's PEを使用して駆除を試みるんなら、ウィルス本体の削除⇒レジストリのハイブから
該当の値を修正、削除⇒書き換えられたシステムファイルを正常なファイルで上書き... の
手順で何とかなりそう。
参考:レジストリ・ハイブをロードしてオフラインでレジストリを閲覧・編集する
URLリンク(www.atmarkit.co.jp)
195:名無しさん@お腹いっぱい。
09/04/12 11:06:43
>>192
手元のPC数台で確認したけど、レジストリ上では
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux」
って値はやっぱり通常存在しないっぽ。消して問題ない。多分。
196:名無しさん@お腹いっぱい。
09/04/12 11:20:31
セキュ板では、コテ禁止なのか。
197:107
09/04/12 11:21:40
>>190
メールの返事も来ないし、本気で腹がたちます。
秋葉じゃなくて日本橋なら近いけどGENOが無いしw
>>192,195
aux2と3を削除したのですが、SDFixが終わったら
一応auxも削除しておきます
ありがとうございます
198:名無しさん@お腹いっぱい。
09/04/12 11:25:32
>>197
心配ならレジストリの値をバックアップしとくといい。
該当する値を選択して、ファイルメニューからエキスポートを選択、デスクトップ
かなんかに適当な名前付けて保存すれ。がばれ。
199:名無しさん@お腹いっぱい。
09/04/12 11:28:06
>>196
嫌がる人おるからね。
せめてセキュ板なんだからID出てもいいとは思う。
200:名無しさん@お腹いっぱい。
09/04/12 11:30:39
☆予防について
XP使ってないから、どの程度安全性確保できるか分からないけど
基本標準ユーザーで運用し、フラッシュ、アクロともに最新で
念のためIEならば最低限アクロバットプラグイン無効にしておけばいいんでないの?
201:名無しさん@お腹いっぱい。
09/04/12 11:31:04
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux3
こちらのPCではこれらの値はすべてwdmaud.drvになっている、
WDMオーディオドライバマッパーだと思うので消さない方がいいんじゃまいか?
202:名無しさん@お腹いっぱい。
09/04/12 11:39:08
>>201
感染PC、非感染PCで対応が分かれるんじゃねかな。
感染している場合はレジストリで指定されてる実ファイルの確認が要る。
っていうか、wdmaud.drvって本来はC:\WINDOWS\system32直下に有るんじゃ
無かったっけか? なんか変じゃね? そうでもねェのかな。
203:202
09/04/12 11:44:19
うん、値が「C:\WINDOWS\system32\wdmaud.drv」になってなけりゃ疑った方が
良い気がする、やっぱ。その場合は「C:\WINDOWS\system32\drivers」直下に
有る"wdmaud.drv"をリネームしとくと無難かも。
204:名無しさん@お腹いっぱい。
09/04/12 11:45:28
>>201
auxって外部入力じゃなかったっけ?そもそも、そんなのが4系統も必要か?
wdmaud.drvなら
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave
でロードされてるし。「レジストリ aux」でググルとウィルス関連多いし。
205:名無しさん@お腹いっぱい。
09/04/12 11:45:57
まァ何よ、間違えてても音が鳴らん程度の問題にしかならんからw
206:名無しさん@お腹いっぱい。
09/04/12 11:46:05
>>199
コテつけただけで、叩かれるのはどうなの?と思う。
zlkon virusは、ジルコン・ウイルス?と読むんか。
GENO ウィルスで、現在定着してるし、いまさら名前は変えられない。
GENOという店が、お客に対して無責任な態度を取ったという事実とともに
名前は広まっていくだろう。
207:202
09/04/12 11:47:50
>>204
あ、Path通ってるからあの記述でも間違いじゃないんだな。悪り。
208:名無しさん@お腹いっぱい。
09/04/12 11:51:46
>>206
な~。やっぱGENOウィルスはGENOウィルスだよな。
209:名無しさん@お腹いっぱい。
09/04/12 11:54:45
ν速スレ落ちてしまったがな。
何やってんだYO!
潰すまでやれよ!
210:名無しさん@お腹いっぱい。
09/04/12 11:57:57
>>209
3日で自動DAT落ち
211:107
09/04/12 12:01:28
駆除完了した模様です!!!!!!
タスクトレイのスタートアップも正常な数のアイコンが起動していて
普通にDOS窓もレジストリエディタも開くようになり、
落ちまくっていたWEBページでもブラウザが落ちなくなりました。
どうやら始めに落としてきたComboFixが壊れていたようで、
教えて君.netからリンクされているComboFixを落としてみると実行できました。
でも、他のPCで前者は正常に起動していたので、わけわからんとです。
しかし結果オーライと言う事で。。。お騒がせしました。
そして、沢山のアドバイスしていただいたみなさんありがとうございました
212:名無しさん@お腹いっぱい。
09/04/12 12:02:04
>>200
Acrobatの設定から動的サービス(スクリプト)の使用を無効にすればいいと思う。
もしくはIEの「セキュリティの設定」から、
・「ActiveXコントロールとプラグインの設定」→「ActiveXコントロールに対して自動的にダイアログを表示」を有効に
・スクリプト→アクティブスクリプトの設定を「ダイアログを表示する」に
である程度セキュリティレベルを上げることも出来る。人的スキルに依るところが
多いし、ページ開くたびにメッセージがウザイかも知らんけどまァ、感染するより
マシかと。
213:201
09/04/12 12:05:36
今ここを見てるんだけど今一わからん><
p://www3.atword.jp/gnome/
214:名無しさん@お腹いっぱい。
09/04/12 12:14:42
>>213
Windowsのシステムファイルと同じ名前のエントリでウィルスがレジストリを
書き換えるので始末に困る、というお話。
215:164
09/04/12 12:18:42
>>211 オメ
>>どうやら始めに落としてきたComboFixが壊れていたようで、
>>教えて君.netからリンクされているComboFixを落としてみると実行できました。
これは、俺もそうだったようだ。ComboFixをダブルクリックしてもDOS窓が一瞬開いただけで
何も起こらなかったが、親玉を消し去った後、再度ダウンロードした奴は使えるようになった。
念のため>>98を確認した方がいい。
216:名無しさん@お腹いっぱい。
09/04/12 12:27:37
すみません。GENOにかかるとAVGのアイコンをクリックしてもアクティブなアイコンがありませんとかって
表示されます?
217:名無しさん@お腹いっぱい。
09/04/12 12:28:44
>>209
なんかネタがあれば立て直すんだけどなぁ
218:名無しさん@お腹いっぱい。
09/04/12 12:29:16
>>216
限りなく怪しいと思う
219:名無しさん@お腹いっぱい。
09/04/12 12:31:44
>>216
regedit起動できる?
220:107
09/04/12 12:34:53
>>215
色々アドバイスありがとう
やっぱりウイルスが最初に落としたComboFixを破壊していたんですね
親玉ウイルスを削除した事によって新たに落としたComboFixが動いたと。
ちなみに
auxを消したからから音が鳴らなくなりましたw
ドライバーを入れなおしたら一旦削除していたwdmaud.drvが復活しました。
レジストリに新たにAUXを作り、値をwdmaud.drvに指定したところで
今から再起動して確認してきます。
221:名無しさん@お腹いっぱい。
09/04/12 12:36:16
>>219
regeditって?再起動したらなぜかAVG使えるようになりました
でも、2・3日前にエロ動画をDLしたときにCPU負荷が80%とかなっていたことが
あったのですごく不安・・・・
222:名無しさん@お腹いっぱい。
09/04/12 12:37:12
スレリンク(pc板)
223:名無しさん@お腹いっぱい。
09/04/12 12:37:30
スタート→ファイル名を指定して実行→rededit
224:名無しさん@お腹いっぱい。
09/04/12 12:38:37
誤爆
スタート→ファイル名を指定して実行→regedit
225:名無しさん@お腹いっぱい。
09/04/12 12:38:45
>>221
スタートボタン→ファイル名を指定して実行→regedit→OKボタン
で、レジストリエディタが立ち上がるか?
226:219
09/04/12 12:39:42
>>221
書き込み間違いました。すみません
regeditって?再起動したらなぜかAVG使えるようになりました
でも、2・3日前にエロ動画をDLしたときにCPU負荷が80%とかなっていたことが
あったのですごく不安・・・・
検索してファイル名を指定して実行したらレジストリエディタが立ち上がりました
大丈夫ですか?
227:名無しさん@お腹いっぱい。
09/04/12 12:43:05
言えるのはグレー
白とも黒とも言い切れない
228:名無しさん@お腹いっぱい。
09/04/12 12:44:26
ここのレス1から見て自分で試すしかない
229:名無しさん@お腹いっぱい。
09/04/12 12:48:28
Tempフォルダに
Perflib_Perfdata_58c.dat
ってファイルがあったけどこれ怪しい?
タイムスタンプはPCを起動した時刻になってる
あとエクスプローラーのフォルダオプションで
「登録されている拡張子は表示しない」のチェックが
外していたはずなのにチェックありになってた
230:107
09/04/12 12:49:19
>>220の音が出ない件ですが、サウンドドライバを入れ替えたのが原因で
WMPの設定がウマくいってないだけのようです。
GOMプレイヤーをインストールしてみると音がでました。
また、Windowsの効果音もでています。
231:名無しさん@お腹いっぱい。
09/04/12 12:59:29
マカーでfirefox使ってるけど大丈夫だよね
メモリ使用量が多い気がするぜ
232:153
09/04/12 13:07:36
>229
異常終了しなかった?
233:229
09/04/12 13:13:18
>>232
Perflib_Perfdataについては改めてググってみたけど
異常終了はしてない
Unlockerをインストールしてロック解除を試みてみたら
jqs.exeがロックしてた
234:名無しさん@お腹いっぱい。
09/04/12 13:22:36
>>231
怪しいプロセスが動いてないかチェックしる
235:153
09/04/12 13:26:41
>233
してるんだよ
URLリンク(support.microsoft.com)
236:229
09/04/12 13:32:29
>>235
異常終了をしたときに生成されるファイルだということは理解したが、
電源ブチ切りとかそういうことは一切していない
終了オプションから電源を落として再起動してみたらやはりTEMPにPerflib_Perfdataが出来る
237:229
09/04/12 13:34:53
とりあえずregeditもWindows Updateも特に阻害される様子は無い
上の方に書いてあるようなレジストリの値も存在しない
でも安全かどうかはまだいまいち分からない
238:名無しさん@お腹いっぱい。
09/04/12 14:07:10
調べれば調べるほどとんでもないウイルスだなこりゃ
239:名無しさん@お腹いっぱい。
09/04/12 14:08:38
俺のワキガ並にとんでもねえな
240:名無しさん@お腹いっぱい。
09/04/12 14:12:00
新種の処理現場に立ち会えて勉強になるわ
感染してないと気が楽だ
241:107
09/04/12 14:26:53
感染PCが完全復活したので、ComboFixの吐き出したtxtをうpしときます
URLリンク(www.dotup.org)
自分みてもサッパリですが、わかる方のなにか参考にでもなれば。
242:名無しさん@お腹いっぱい。
09/04/12 15:40:31
どうも数日前にこれに感染したっぽいんだが、
このウイルスって他人にも広がる…?
個人でサイト運営してるんだが、今日メールで「ウイルス対策ソフトが反応するんですが感染してませんか?」
と言われたので。
サイトも感染してるならまるごと消したほうがいいんでしょうか?
243:153
09/04/12 15:44:44
>242
メールには感染してない?
差し支えなければアドレス晒してくれ
特攻して来る
244:名無しさん@お腹いっぱい。
09/04/12 15:46:12
なんにせよアクセスできないようにしといた方がいいよ
それから詳しく調べれ
245:名無しさん@お腹いっぱい。
09/04/12 15:48:58
もう下火だな
246:名無しさん@お腹いっぱい。
09/04/12 15:53:54
>>242
おまいがGENOウィルス感染
→おまいのFTPアドレスとパスワードが94.247.2.195へ流出
→FTP経由でおまいのサイトに新型GENOウィルスが注入される
→>>107がそれを見て新型に感染w
247:242
09/04/12 15:58:13
死にたくなって来た…
IE落ちまくりでサイト削除もままならないから
明日辺りネカフェでも行って全部消してくるか
ネカフェは流石に大丈夫ですよね?
248:名無しさん@お腹いっぱい。
09/04/12 15:59:01
ノートン2009はこのウィルス対応してるの?
GENNOで何度か買い物してるので心配です。
249:名無しさん@お腹いっぱい。
09/04/12 16:00:48
>>247
プロバは対応してくれないの?
250:名無しさん@お腹いっぱい。
09/04/12 16:05:07
>>248
>>9
>>64
251:名無しさん@お腹いっぱい。
09/04/12 16:11:43
これまでのあらすじが8日にとまってる。
252:名無しさん@お腹いっぱい。
09/04/12 16:11:59
>>248
対応しているアンチウィルスも完全に設定されていれば「感染を防ぐ」事はできる。
しかし、趣味で一部の機能を止めてあったりすれば簡単に感染する。
また、感染したPCからウィルスを完全に駆除できるアンチウィルスは、残念ながら、
まだどこにも無い。
253:名無しさん@お腹いっぱい。
09/04/12 16:14:24
196 名前:名無しさん[sage] 投稿日:2009/04/09(木) 13:21:42 0
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。
被害者が多ければ集団訴訟なんかできないかと思っています。
かなり難しい戦いになると思いますが。
メールや電話でGENOに報告された方おられましたらご連絡ください。
GENOウイルス被害者の会
URLリンク(yy701.60.kg)
254:名無しさん@お腹いっぱい。
09/04/12 16:33:27
203 名前:名無しさん[] 投稿日:2009/04/11(土) 14:44:01 0
URLリンク(www.geno-web.jp)
[良品中古] Intel Pentium4 2.40GHz Socket478 (512KB/ 800MHz/ -)
[商品番号] GA07031000
[販売価格] 99,999,999 円
204 名前:名無しさん[sage] 投稿日:2009/04/11(土) 16:22:01 0
>>203
avast! Web シールド の 警告
アクセス拒否
avast! Web シールド は 遮断したファイルまたはページを検出し、
そのオブジェクトへのアクセスを許可しません。
205 名前:名無しさん[] 投稿日:2009/04/11(土) 16:28:24 0
これって改竄されているよね。
GENOはまだ知らないようだ。近寄らないほうが賢明か。
206 名前:名無しさん[sage] 投稿日:2009/04/11(土) 16:39:27 0
>>203
ウイルス注意
219 名前:名無しさん[] 投稿日:2009/04/11(土) 21:05:24 0
Top->CPパーツ館->CPU->Pentium4 2.80GHz->右の欄のPentium4 2.40GHz です。
255:名無しさん@お腹いっぱい。
09/04/12 16:35:29
どこで感染するかもわからん未知のウイルスか
うかつにネットサーフィンも出来ない時代が来たか
256:名無しさん@お腹いっぱい。
09/04/12 16:39:09
もう携帯でいいや
257:名無しさん@お腹いっぱい。
09/04/12 16:44:14
>>242
サイトのソース見てみたらどうだね。見覚えのないのが入ってたら、消した後で、対策を検討しろ。
258:名無しさん@お腹いっぱい。
09/04/12 16:51:29
>>242
これ以上感染経路広げないでください。
259:名無しさん@お腹いっぱい。
09/04/12 17:07:12
>>231
今のところ被害はWin系だけかな。
・アンチ ウイルスソフト でチェック
・アクティビティモニタ >> すべてのプロセス
で変なプロセスがないかチェック
今後の亜種が心配ならJavaScript/Java は切っとくといいかも
こんな感じでどうっすか。
260:名無しさん@お腹いっぱい。
09/04/12 18:16:53
まだまだ感染拡大中なのか
261:名無しさん@お腹いっぱい。
09/04/12 18:37:05
>>253
これってドメイン危険すぎるんだが地雷?
262:名無しさん@お腹いっぱい。
09/04/12 18:39:25
>>253
ドメインがマズかったよな
あまりにも有名すぎる
263:名無しさん@お腹いっぱい。
09/04/12 18:42:49
>>253
-- 「2009/04/12 6:18」のキャッシュをチェックしています。 --
ブラクラチェックが完了しました注意!ループタグを発見! (1)
ブラクラチェックが終了しました。
※ フォームタグを発見しました。(7)
../test/bbs.cgi
../test/bbs.cgi
../test/bbs.cgi
../test/bbs.cgi
../test/delete.cgi
※ 隠しスクリプトを発見しました。(7)
上記アドレスのチェックもお勧めします。(そのままチェックできます。)
264:名無しさん@お腹いっぱい。
09/04/12 18:43:33
URLリンク(yy701.kakiko.com)
.kgドメインなんか出さずにこっちのURLで宣伝してれば良かったのだよ
265:名無しさん@お腹いっぱい。
09/04/12 18:53:24
どうして2ch以外の掲示板に行かなければならんのか分からん。
266:名無しさん@お腹いっぱい。
09/04/12 18:55:24
yy701.60.kg
yy701.kakiko.com
206.223.153.55
banana3123.maido3.com
ワロタ
267:名無しさん@お腹いっぱい。
09/04/12 19:08:42
banananだと!?
268:名無しさん@お腹いっぱい。
09/04/12 19:21:29
>>242
糞サイトさっさと消せ。俺も消したんだし
269:名無しさん@お腹いっぱい。
09/04/12 19:49:09
その外部板じゃなくてwikiの方でまとめとけば良かったんじゃないの
270:名無しさん@お腹いっぱい。
09/04/12 19:51:25
naxos,geno,rakuten.ne.jp/gold/i-na/
juicyrock
crestronjapan.com
mag-puppine.com
は、もうウイルスが無くなったでFA?
271:名無しさん@お腹いっぱい。
09/04/12 19:52:43
>>254の改竄はどうなったん?
272:名無しさん@お腹いっぱい。
09/04/12 20:55:43
>・sqlsodbc.chmのハッシュを調べて
>F639AFDE02547603A3D3930EE4BF8C12
>と異なる値が出た場合感染してる可能性あり
同じ値だったけど小文字でもいいの?
273:名無しさん@お腹いっぱい。
09/04/12 21:08:36
>>272
おk。
大文字小文字は使用しているハッシュ算出ソフトで異なるだけ。
値が寸分違わず一緒ならハッシュ一致。
274:名無しさん@お腹いっぱい。
09/04/12 21:25:38
>>270
いま直ってるとしても原因究明できたのかがわからないから
いつ復活してもおかしくはないとおもう
275:名無しさん@お腹いっぱい。
09/04/12 22:05:05
>>274
それは、ちょっと気が遠くなるお話で。
あれらの会社が、原因究明をすることが可能なのか
可能であっても、発表する気があるのか疑問だ。
感染したサイトのリスト
naxos,geno,rakuten.ne.jp/gold/i-na/
juicyrock
crestronjapan.com
mag-puppine.com
death-sauce.jp
kemono.cc
某USのサイト(苦笑)
の9箇所か。
276:名無しさん@お腹いっぱい。
09/04/12 22:16:53
パピーヌ
277:名無しさん@お腹いっぱい。
09/04/12 22:20:56
>>259
firefoxを落とした時によくエラー吐いてたから心配だったんだけど
一旦アンインストールして、再インスコしたらとりあえず安定した。
ClamXavとか
.symantecのセキュリティスキャンでも何もでないから大丈夫ぽい。
ありがと
parallelsでxpを起動させてるけどそっちも大丈夫でした
278:名無しさん@お腹いっぱい。
09/04/12 22:22:28
276は誤爆スマソ
これだけではあれなので自分はハッシュも異常なく症状もなくウイルスバスター2009も検知せず
カスペのオンラインスキャンでも検知せず(でも絶対サイトは踏んでいた)
でカスペの試用版入れたら検知されたという人のレスを見てそれ入れてみたらウイルス出た
ある意味すぐに検知されたほうが楽になれたw
279:名無しさん@お腹いっぱい。
09/04/12 22:32:48
>>275
どう見ても、氷山の一角としか思えんのだが。
280:名無しさん@お腹いっぱい。
09/04/12 22:45:00
乗っ取り可能なサイトなんて無数にありそうだしねー
281:名無しさん@お腹いっぱい。
09/04/12 22:53:58
どうせなら世界が大騒ぎするようなとこ乗っ取ればいいのにw
282:名無しさん@お腹いっぱい。
09/04/12 23:00:12
捕まりたくはないんだろ
283:名無しさん@お腹いっぱい。
09/04/12 23:01:21
え・・・まだ対応してないの?
284:名無しさん@お腹いっぱい。
09/04/12 23:31:50
韓国でハッキング大会してるんだっけ?
285:名無しさん@お腹いっぱい。
09/04/13 01:39:16
m●ag-puppine.com/about/は、まだ危険?
286:名無しさん@お腹いっぱい。
09/04/13 01:43:23
1週間~1日の潜伏期間も終わり、そろそろエボラに変貌する頃。
287:名無しさん@お腹いっぱい。
09/04/13 01:44:15
1週間~1日じゃなく1週間~10日だった。
288:名無しさん@お腹いっぱい。
09/04/13 01:49:10
正直気は抜けないな
初期に感染が発覚したサイトが対処したとしても
今度どこに仕掛けられるか分からない
もしかしたら、今回こちらがとった対処法を逆手にとって
ぱわーうp版をバラ撒くかも・・
289:153
09/04/13 01:53:16
>285
現在、緊急メンテナンス作業中です。
せっかくお越しいただいたのに申し訳ございませんが、
復旧まで今しばらくお待ち下さい。
対応も遅いが復旧も遅い
290:名無しさん@お腹いっぱい。
09/04/13 01:54:47
大騒ぎするようなとこはのっとられないとおもうわけで
291:名無しさん@お腹いっぱい。
09/04/13 02:13:23
ぼくらが大騒ぎされないサイトの常連かもしれないわけで
292:名無しさん@お腹いっぱい。
09/04/13 02:16:02
原因わからず適当に再開するよりはちゃんと突き止めるまで
閉鎖してたほうがマシというかたぶん普通
すぐ再開するほうがこわい
293:153
09/04/13 02:20:39
>292
一度復旧したもののaboutだけ放置プレイだったと聞いたけど?
294:名無しさん@お腹いっぱい。
09/04/13 03:07:40
一般的な話のつもりでしたごめんなさい
聞いたけど?とかいわれてもわかりません><
295:名無しさん@お腹いっぱい。
09/04/13 03:27:58
かわいい
296:名無しさん@お腹いっぱい。
09/04/13 04:04:46
ビビッ太ので報告
今、四式戦闘機でググって、実物かプラモの写真とか見たいと思って、
3k-hobby.deci.jp/air/select_item.php?id=waha48jt067&zone=0
(http://先頭に補えよ)
開けたら、突然何かのpdfがありませんだか、そういうメッセージが出て、
俺様の愛用しているFISが、ウィルスを削除しましたってポップアップ出した
pdfがらみみたいなので、このGENOウィルスかなとか思ったんだけど、
ホントビビッ達す
なんかさ、ググった一覧の中に、感染サイトがウヨウヨいると思ったら、
怖くてネットーサーフィンwwwしづらくなってきたよwwwwww
297:名無しさん@お腹いっぱい。
09/04/13 04:30:44
>>296
報告乙。OSは何ですか?
298:名無しさん@お腹いっぱい。
09/04/13 04:39:46
ニュー速スレ死んだのか・・
299:名無しさん@お腹いっぱい。
09/04/13 05:37:40
ウィルスそのものより、乗っ取りの手段が気になる
こんな簡単に何度もサイトを乗っ取れるもんなんかね?
300:名無しさん@お腹いっぱい。
09/04/13 06:46:41
>>297
XP の SP3 ッス
ブラウザは firefox で、
プラグインは、Adobe Acrobat plug-In Version 7.00 for Netscape で
フラッシュのプラグインのヴァージョンの見方がわかりません
たぶん v10 だと思います(インストールした記憶があるので)
正直、感染した可能性もなきにしもあらずですが、
まだ再起動してないので、再起動するのが楽しみッス
301:名無しさん@お腹いっぱい。
09/04/13 06:58:17
>>300
フラッシュのサイトの右側のFAQをクリック。
webプレイヤーの動作検証サイト、をクリックする。
aboutにカーソルを持って行く。
これでわかるよ。
302:名無しさん@お腹いっぱい。
09/04/13 06:59:38
>>299
スパムメールでウイルスサイトへ誘導→スパイウェアを仕込む→FTP操作で改竄JSを置く
303:名無しさん@お腹いっぱい。
09/04/13 07:07:32
>>301
すごく丁寧にアリガトゴザマス
Version 10.0.12.36 でした
304:名無しさん@お腹いっぱい。
09/04/13 08:46:51
これだけやっかいなウイルスなのにニュースサイトではほとんど騒がれていないな
やっぱり大手サイトが感染しないと話題にならないのかね
305:名無しさん@お腹いっぱい。
09/04/13 09:11:23
自動増殖するタイプじゃないと、どこもまともに対処しないのな。
悪質性はかなりのものだと思うんだが。
会社のPCなんて未だに古いAcrobatReader使ってやがるし、いつ感染してもおかしくない状態。
バージョンアップしろってつっついても、Windowsもウイルス対策ソフトも最新だからと知らん顔。
業務用バスターがそんなに信用できるとは知らなかった。
306:名無しさん@お腹いっぱい。
09/04/13 09:23:54
>>303
Reader、Flashとも最新版でないようなので不安なところだ。
>>96 のウイルス入りPDFならF-Secureが対応済みなので大丈夫だろう。
u2.exeはスルーなのでFlashから感染してるかもだ。
↓とりあえず最新版リンク。
Adobe Reader 9.1
URLリンク(get.adobe.com)
Adobe Reader 7.1.1 Update - Multiple Languages
URLリンク(www.adobe.com)
Adobe Flash Player 10.0.22.87
URLリンク(get.adobe.com)
307:名無しさん@お腹いっぱい。
09/04/13 10:22:02
>>305
無知な人に説明してもラチがあかないんだよな
308:名無しさん@お腹いっぱい。
09/04/13 11:44:36
524 名前:名無しさん[sage] 投稿日:2009/04/13(月) 11:07:30 0 (PC)
ウェンディーツアーって旅行会社のHPにマルウェアサイトへリダイレクトさせるやつが仕込まれてる模様
GENOと関係あるのかな
526 名前:名無しさん[sage] 投稿日:2009/04/13(月) 11:08:57 0 (PC)
>>524
見てみた
ネットワークシールド: マルウェアサイト online2163.com/def1/index.phpへの接続を遮断しました
Google先生でもonline~ってサイトは損害~になってる
527 名前:名無しさん[sage] 投稿日:2009/04/13(月) 11:11:55 0 (PC)
>>524
そのサイトの全ページがなってるっぽい
309:名無しさん@お腹いっぱい。
09/04/13 12:03:50
現地のツアー会社みたいだな
日本人スタッフはいるみたいだけど
310:名無しさん@お腹いっぱい。
09/04/13 12:34:37
commandがOKでcmdがダメなPCがあったから、何かと思ったら、これか…。
311:名無しさん@お腹いっぱい。
09/04/13 14:29:21
ウイルスなんてチェルノブイリ以来だからwktkしてたのに…。
a-squaredでチェックしたら普通に削除できてしまった。
まだ潜伏もあるかもしれんから、再インスココースだったけど、1台はしばらく保留にしてみる。
312:名無しさん@お腹いっぱい。
09/04/13 15:10:11
そんなものですむわけがありません
313:名無しさん@お腹いっぱい。
09/04/13 15:12:11
このウイルス不発してんじゃね?
314:名無しさん@お腹いっぱい。
09/04/13 16:06:45
感染したあとに何をしでかすのか結局よく分からん
ラトビアだかロシアだかにどんなデータを送信してるのかもわからんし
解析って時間がかかるもんだな
315:名無しさん@お腹いっぱい。
09/04/13 16:17:20
どっかのウイルス対策ソフトベンダーは発見から15分以内に解析が終わるとか言ってた気ガス
316:153
09/04/13 16:37:35
アクセスする度に違う物がロードされて来るのに解析出来る訳がない
317:名無しさん@お腹いっぱい。
09/04/13 16:47:54
対策ソフトが役に立たないとなればどうすればいいのだろう
お手上げではないか
318:名無しさん@お腹いっぱい。
09/04/13 16:49:42
どこで感染するかわからない
感染したら何をされるかもわからない
319:名無しさん@お腹いっぱい。
09/04/13 16:50:11
XP豚涙拭けよ?
320:名無しさん@お腹いっぱい。
09/04/13 16:51:39
Vistaでも設定しだいでは感染できるだろこれ
変に高速化とかしてるとやばそう
321:名無しさん@お腹いっぱい。
09/04/13 16:53:48
>>317
既知の問題を利用した感染とされているから
Adobe ReaderとAdobe Flash Player
を最新にしておけばいいのではないだろうか
322:名無しさん@お腹いっぱい。
09/04/13 16:59:54
とりあえずPGでラトビアとロシアを
弾いてみるのはどうだろう
323:名無しさん@お腹いっぱい。
09/04/13 17:04:43
まだ治んないの?
なんというザルショップw
324:名無しさん@お腹いっぱい。
09/04/13 17:04:49
ラトビアからロードされるコードは「現状では」pdfとswfの脆弱性をついているが、
中の人が気まぐれで別の攻撃コードに変えてくる可能性もある。
万全を期すなら、使用しているブラウザと、ブラウザに入っているプラグインを全て最新にしておいた方がいいかもしれない。
325:名無しさん@お腹いっぱい。
09/04/13 17:05:45
Flash10は重いからFlash9の「9r159」を使ってる
お前らはどうしてる?
326:名無しさん@お腹いっぱい。
09/04/13 17:10:05
感染してるし・・・最悪ー
327:名無しさん@お腹いっぱい。
09/04/13 17:14:49
>>325
同じだ、10だとブラウザ固まる
328:名無しさん@お腹いっぱい。
09/04/13 17:23:04
AMD64交互CPU+WindowsXPsp2/sp3の組み合わせはロードしてもコード実行しないね
vistaも
329:153
09/04/13 17:49:41
IntelのCPUはチップセット次第なのでハードウェアレベルでの対応は怪しげ
i7系は多分大丈夫
330:名無しさん@お腹いっぱい。
09/04/13 18:43:36
VISTAのYESマン仕様は危険。
331:名無しさん@お腹いっぱい。
09/04/13 19:11:26
もう下火だね
332:名無しさん@お腹いっぱい。
09/04/13 20:12:14
ねぇ…相談なんだけど、修理に5万かかるって言われたらどうする?5年程前に買ったpcだからもういっそミニノート型でXPにしようかなと思うんだけどもみんなならどうする?
333:別883
09/04/13 20:13:55
先日別スレでBart'sPE修復したものですが。。。
サイトの感染経路が判明しました。
どうやらこのウイルス、感染すると自分のアクセスしたFTPに
勝手にログインして、ファイルを改ざんする模様です。
うちのサイトもいくつかやられました。。。
サイト公開してるみなさんも十分注意してください。
334:名無しさん@お腹いっぱい。
09/04/13 20:15:53
>>332
修理内容が分からなきゃ答えようがない
335:名無しさん@お腹いっぱい。
09/04/13 20:17:23
>>333
それが事実ならGENOの鯖は阿部が感染してFTP経由?
犯人は阿部かw
336:別883
09/04/13 20:18:53
>>335
おそらくその通りだとおもわれます。
うちの鯖はローカル以外アクセスできない設定なんですが、
それでも改ざんされてたので、感染したPCから書き換えたようです。
337:名無しさん@お腹いっぱい。
09/04/13 20:21:58
左下から秒針のような音がし出してさアハハブルースクリーンになったら5万コースだよ気をつけて。ここの人は色々詳しいからここまで被害受ける人はいないだろうけど。携帯から文字打つって大変だねアハハ
338:名無しさん@お腹いっぱい。
09/04/13 20:25:25
どうりでくそ対応なわけだ
阿部も社長に言えないってか?www
誰か社長に教えてやれよ
339:名無しさん@お腹いっぱい。
09/04/13 20:26:35
URLリンク(torrent-finder.com)
このトレントサーチで検索かけたとたん、AVASTがJSにトロイ!
とか言って警告きたんですが、
これもそういう類ですか?
最近、WEBが怖いです(´・ω・`)
340:名無しさん@お腹いっぱい。
09/04/13 20:29:47
>335の証言は決定的だな
阿部、自首しろよ
店は残れるかもよ
あっ、ごめんなさいできないピーターパン症候群阿部に自首は㍉かw
341:名無しさん@お腹いっぱい。
09/04/13 20:30:46
あ、レスきてる。人って優しいねアハハハードが壊されちゃったみたい。みんななら何買う?アハハ色々調べたいけど携帯だからさ。見にくいわ表示されないわでさアハハハハ
342:名無しさん@お腹いっぱい。
09/04/13 20:34:18
>>341
左下がどこかわからないし、あなたにはだれもレスしていませんでした
携帯だって改行くらいできるよ
たぶんデータ飛んでるだろうし新しいPC買ったほうがマシだよ
343:名無しさん@お腹いっぱい。
09/04/13 20:34:53
あげ
344:名無しさん@お腹いっぱい。
09/04/13 20:36:47
>>341
まずは飯喰って風呂入って寝ろ
話は翌朝だ
345:名無しさん@お腹いっぱい。
09/04/13 20:40:37
携帯から2chなんて初めてなんで
ごめんね。
ネカフェ行きます…
346:名無しさん@お腹いっぱい。
09/04/13 20:46:59
ウザっ
347:名無しさん@お腹いっぱい。
09/04/13 20:49:01
修理依頼なんて頼むレベルじゃ自力で直せないのは明白
つか修理頼んでもリカバリされてクリーンインスコ状態だ
諦めて新しいPC買え
348:名無しさん@お腹いっぱい。
09/04/13 20:55:29
まあ5万円あれば5年前のパソコンより高性能なPCは買えるわな
349:名無しさん@お腹いっぱい。
09/04/13 20:57:22
345がPCからよりJK携帯のが上な予感w
350:名無しさん@お腹いっぱい。
09/04/13 21:01:33
>>333
ローカルLAN内PCヤバイ予感
351:名無しさん@お腹いっぱい。
09/04/13 21:32:23
最初に適当な(もしくは自分で用意した?)サイトに罠を仕掛けて
スパムメールなどで誘導、そこにアクセスさせて感染させる
感染するとそのPCがFTPへ接続するのを監視し、パスを盗んで勝手にログイン、
そこのファイルも改ざんして、アクセスしてくる新たな獲物を待つ…って感じ?
352:名無しさん@お腹いっぱい。
09/04/13 21:34:09
5万出すならそこそこ良いのが代えるだろ。
3Dゲームやるならちと足りないが。
持ち運ばないならミニノートじゃなくてHPの4万の奴当たりがいいんじゃね?
デスクトップならHPでもDELLでも3万から有るしな。
353:名無しさん@お腹いっぱい。
09/04/13 21:36:25
ミイラ取りがミイラにってやつですねわかりました
354:名無しさん@お腹いっぱい。
09/04/13 21:40:19
何件か改ざんされたサイトあったけど
研音とか微妙なんだよね、スパムで釣ったなら
ただ、サイト管理者が興味持ちそうな系のなのかな
あくまでも仮定の検証
355:名無しさん@お腹いっぱい。
09/04/13 21:58:43
もう話すことないから書きこまないで落とそうか
356:名無しさん@お腹いっぱい。
09/04/13 21:59:49
流れ切ってスマンが質問(´Д`;)
噂だとsystem volume information内にもウイルスが入り込むようだけど
HDDをフォーマットあるいはパーティションの削除すればsystem volume informationフォルダもクリアされる?
このウイルスに感染したようなので、クリーンインスコする前に増設したHDD3台の処理に対する質問です
357:名無しさん@お腹いっぱい。
09/04/13 22:04:49
>>355
社員乙
358:名無しさん@お腹いっぱい。
09/04/13 22:09:06
>>355
安心しろニュー速スレ立ったからw
GENOウイルス 鯖管理者のPCがウイルス感染の可能性 お詫びは削除
スレリンク(news板)l50
359:名無しさん@お腹いっぱい。
09/04/13 22:13:43
社員ここ見てるんでしょ?
それでこの対応とかってアリエナイ
こういう店使ってる人は並行してweb見てるだろうし
売り上げの事や今後の事を考えないんだろうか
アホでもひっかからない火消しばっかで効果あると思ってんの?
360:名無しさん@お腹いっぱい。
09/04/13 22:14:53
そうかそうか、阿部ちゃん自身が引っかかっちゃったのか
そりゃ火消しに必死になる罠
上司(経営者?)には上手いこと誤魔化して説明したんだろうな
361:名無しさん@お腹いっぱい。
09/04/13 22:20:09
>>356
スルーされててカワイソスw
その認識でおk
362:名無しさん@お腹いっぱい。
09/04/13 22:30:50
>>361
レスありがとう!
普通にスルーされてて悲しかった(´Д`;)
この認識で良いのですね
これで安心してクリーンインスコできます。
363: ◆W07s5cWHb.
09/04/13 22:46:16
なんか予想通りの展開になってきたなw
364:名無しさん@お腹いっぱい。
09/04/13 22:48:03
げげげー、GENOから宣伝メールが来た
もうウイルスは取れたのか?
365:名無しさん@お腹いっぱい。
09/04/13 22:49:40
怖くて踏めねえ・・・・・
366:名無しさん@お腹いっぱい。
09/04/13 22:50:02
ウイルスはメールに添付されてます
367:名無しさん@お腹いっぱい。
09/04/13 23:11:16
不正アクセスじゃなくて自分から貰いにいって
それが悪さしたってことなのね
368:名無しさん@お腹いっぱい。
09/04/13 23:17:12
(メルマガより抜粋)
>ジェノラーの皆様―お久しぶりです。
>いろいろな意味を込め、今回だけは、ぜひやらせて下さい!!
…だそうです、マジ怖くて踏めない
つーか、このメールも受信して大丈夫なんかいな?
369:名無しさん@お腹いっぱい。
09/04/13 23:18:08
>>368
マジこえーよ
もう受信しちまったよ・・・
迷惑メール判定させておくか・・・
370:名無しさん@お腹いっぱい。
09/04/13 23:19:51
ジェノラー(笑)
371:名無しさん@お腹いっぱい。
09/04/13 23:27:26
退会不可ってほんと?w
372:名無しさん@お腹いっぱい。
09/04/13 23:28:16
メール開封確認ってIPアドレス送るのかな
373:名無しさん@お腹いっぱい。
09/04/13 23:29:01
もうインターネットは信用できねえ
374:名無しさん@お腹いっぱい。
09/04/13 23:31:23
迷惑メール判定しました。
375: ◆W07s5cWHb.
09/04/13 23:31:52
>>367
恐らくそーいう事。
阿部とやらに自白させて
どこのサイトを踏んで食らったのかを聞き出すのが
一番の近道かもしれないな。
さもなければ、今回感染したサイトの各管理担当者なんかにも。
それがこれ以上の感染被害を食い止める最善の道。
殆どエイズみたいな感じだな。こうなったら。
376:名無しさん@お腹いっぱい。
09/04/13 23:34:18
GENOと阿部はエイズで感染者はHIVカワイソス
377:名無しさん@お腹いっぱい。
09/04/13 23:36:28
GENO 阿部と検索しまくって候補に入れちゃえYO
378:名無しさん@お腹いっぱい。
09/04/13 23:37:07
>>375
ということは感染源さえ特定できて、近づかないように警告されれば
無差別にバラ撒かれまくるってことにはならないんだね
結局、セキュリティ管理の甘さが招いた失態ってことか
379:名無しさん@お腹いっぱい。
09/04/13 23:42:04
ν速にスレ立った模様。
スレリンク(news板)l50
380:名無しさん@お腹いっぱい。
09/04/13 23:48:11
>>379
>>358
381: ◆W07s5cWHb.
09/04/13 23:53:17
>>378
それは感染したサイトの管理者が感染サイトを逐一適切に修正した上で、
自らのPCもちゃんとクリンインスコかリカバリを適切に行って
完全にウィルスフリーな体になってくれればって事が大前提だけどね。
いずれにしても、このウィルスは結局目に見える部分はAcrobatRasderとFlashの脆弱性を突いて、
それとは別に、恐らくログイン成功したFTPアカウントとバスワードを送出するキーロガーが仕込まれるのかと。
で、もしかすると、このキーロガーにJavascript書き換え機能が埋め込まれているのかも知れないけど、
そこまでは現段階では何とも言えないな。
人力でクラッカーが入ってきている可能性も十分ある。
イントラのFTP鯖でも感染したケースが発生すれば、キーロガーにJavascript書き換え機能内蔵だと思うけど。
いずれにしてもそれなら感染してまた増殖する部分の流れが一致して、すんなりと腑に落ちるよね。
とにかく、この種の商用サイト管理者以外でも、ブログや無料Web鯖、レン鯖等、
FTPでもログイン出来ちゃう鯖に日頃からログインしまくってる人は本当に注意しないと。
382:名無しさん@お腹いっぱい。
09/04/13 23:56:19
でもお詫びには
外部からアクセスされた形跡ありっていわれてたよな。
イントラのFTP鯖感染での、Javasctipr書き換えだと
嘘のお詫び発表したのか。
383:名無しさん@お腹いっぱい。
09/04/13 23:57:29
>>381
>>336
384: ◆W07s5cWHb.
09/04/13 23:59:50
>>383
見落としてたわw
となると、Javascript書き換え機能内蔵キーロガーか。
これ、マジで凶悪杉だろw
なんかこれの改変が流行りそうな悪寒がする。
385:名無しさん@お腹いっぱい。
09/04/14 00:01:14
>4月4日、4月7日に当社のwebサイトに外部より不正アクセスが有り、
>一部のプログラムに不具合が生じ、当社のHP以外のページへリンクされる状態が
>発生しました。ご迷惑をおかけしまことに申し訳ございません。
>現在は外部からのアクセスができないように対処いたしました。
>現在すべてのプログラムは正常となっております。
4日、7日に不正アクセス
プログラムに不具合が生じ
このプログラムがJavascriptの事なのか、
それとも、GENO鯖ウイルス感染の事なのか わからないから怖いな。
386: ◆W07s5cWHb.
09/04/14 00:02:47
てか、ヘッダ部分でインクルードしてた
書き換えたJavascriptのファイル名とかも
感染サイトによってまちまちで一致していないんじゃなかったっけ?
凶悪過ぎるw
387:名無しさん@お腹いっぱい。
09/04/14 00:02:50
スパムメールか エロサイト巡りか 出会い系の宣伝か
違法コピー・クラック系のファイルに紛れ込んでいたか
本人しか知らないけど、とにかく業務用サーバ、もしくはそれに繋いでいるPCで
業務に関係ない行為をしてしまったのが原因というわけだ
セキュリティの基本っつーか、非常にありがちな感染経路だったんだな
388:名無しさん@お腹いっぱい。
09/04/14 00:10:56
83 : マーガレット(中部地方):2009/04/13(月) 23:25:49.13 ID:hizGX0Z7
63 ヒマラヤユキノシタ(コネチカット州)[] 2009/04/06(月) 00:38:17.10 ID:8fz7e8f5
短縮貼った奴も同罪な
ああマジどうすんだよ
995 ヒマラヤユキノシタ(コネチカット州)[] 2009/04/06(月) 09:53:37.05 ID:8fz7e8f5
会社のPCでZIP落としてるのばれた。
本当に死にたい。
10 ヒマラヤユキノシタ(コネチカット州)[] 2009/04/06(月) 10:04:30.21 ID:8fz7e8f5
GENOよりも短縮貼った奴が許せない
144 ケンタウレア・モンタナ(コネチカット州)[] 2009/04/06(月) 10:55:46.05 ID:8fz7e8f5
自宅謹慎になったわ
88 : トリアシスミレ(catv?):2009/04/13(月) 23:31:48.63 ID:fKROZ1lj
自宅謹慎が阿部なら社長も知ってるな
389:名無しさん@お腹いっぱい。
09/04/14 00:11:19
>とにかく業務用サーバ、もしくはそれに繋いでいるPCで
>業務に関係ない行為をしてしまったのが原因というわけだ
P2Pの流出騒ぎも全部これだよな
なんで仕事PCなんぞでそんな危険なことするんだろうか
まぁなにしてたのかは知らないけど
私用と分けることがそんなに困難なのか?
390:名無しさん@お腹いっぱい。
09/04/14 00:12:09
>>385
不正アクセスじゃないじゃん
嘘吐き過ぎる
391: ◆W07s5cWHb.
09/04/14 00:12:30
>>387
恐らくこれはどこかのサイトで食らったのが原因だと思うよ。これ。
結局、誰もアクセスしないレベルの個人サイトでも本当は結構感染してて見過ごされているだけって事で、
以前においらがあてずっぽで言った添付ファイル付きスパムメールからの感染じゃなくて、
どこか感染源のサイトを踏んで別883氏と同じ感じで自分の管理する鯖を感染させたってだけかと。
基本中の基本も知らない素人が
ECサイトの管理を行ってた事に起因する悲劇だわな。
原因を作った担当者は半年間の50%減俸処分相当って感じだな。これ。
懲戒解雇されても文句言えないレベル。
392:名無しさん@お腹いっぱい。
09/04/14 00:14:22
>>388
社長も知ってるなってどういう意味?
393:名無しさん@お腹いっぱい。
09/04/14 00:16:22
懲戒免職されないのは恩赦だな
他に管理者居ないのかよ
394:名無しさん@お腹いっぱい。
09/04/14 00:16:50
>>390
不正アクセス も あったのかもしれない
395:名無しさん@お腹いっぱい。
09/04/14 00:18:36
>>392
誰が処分するのか考えよう
396:名無しさん@お腹いっぱい。
09/04/14 00:20:04
>>395 なるw 現場だけで対処したわけじゃないといいたいのか。ありり
知らないとは言わせないねw
397:名無しさん@お腹いっぱい。
09/04/14 00:26:50
ネットショップのサーバに外から入って来るデータって注文情報だけでしょ?
それとカード会社からの情報や…メールサーバも兼ねている所も多いのかな
どちらにせよ、そのPCでネットサーフィンしちゃダメなんじゃね?
398:名無しさん@お腹いっぱい。
09/04/14 00:31:17
>>333
自分のPCがどこで感染したのか、心当たりはあるの?
399: ◆W07s5cWHb.
09/04/14 00:34:43
>>397
うん。
とっととクリーンインストールかちゃんとリカバリしないと駄目。
てか、今のところ、この無駄に高機能なキーロガーがしでかすとほぼ判明した事が
FTPログイン & Javascript書き換えってだけで、
他にもなにか悪さする可能性も十分に有りうるよ。
鯖側の顧客情報流出だけじゃなくて、
キーロガーが潜んだままでPCを使い続けると、
どこかのサイトで入力したIDパスワードが入力した都度流出したり、
カード情報等も流出する可能性も現段階では十分有りうると思うよ。
400:名無しさん@お腹いっぱい。
09/04/14 00:40:20
エリート権限って響きに勘違いしちゃったんだろw
401:名無しさん@お腹いっぱい。
09/04/14 00:47:00
4/3にOperaでgenoにアクセス。Acrobat起動しておかしいな思ってた。
その後しばらくしてウィルス情報を知り、ウィルススキャンした。
Operaのキャッシュにトロイがあったが感染はしていないみたい。
Athlon64がプロテクトしてくれたのかな?サンキューAMD!
402: ◆W07s5cWHb.
09/04/14 00:49:53
>>401
4/3だと金曜日だよね。
それが事実だとげの側の公式見解にまた嘘が見つかった事になるよね。
もう何人かそーいう報告をしてくれている人がいるけど。
403:名無しさん@お腹いっぱい。
09/04/14 00:59:47
現象を見てないからよくわからんのだけど
adobe readerが起動して接続に行くわけだよね?
感染した人はZAなりavastなりXP Firewallなりの反応はなかったの?
それとも接続を完全に許可してたってこと?
404:名無しさん@お腹いっぱい。
09/04/14 01:01:23
401です。アクセスしたのは土曜日だったから4/4でした。訂正します。すみません。
405:153
09/04/14 01:17:27
>403
勝手に実行されるからセキュリティホールなんだよ
406:名無しさん@お腹いっぱい。
09/04/14 01:22:00
>>403
環境AMD64+WindowsXPsp2Flash最新adobe reader7
IE6 Sleipnir1.66でGENO閲覧
pdfはバックグラウンドロード
FWはノートンIS:無反応
5日に再起動時にpdf終了処理するぞゴラされて異変に気づく
5日の再起動まで6日連続起動毎日GENO閲覧
407:名無しさん@お腹いっぱい。
09/04/14 01:24:26
64だとpdfが開かないんだよ。まだセキュリティソフト完全無力な
時なのに、何度geno訪問しても症状はでなかった。
XPで古いverで完全該当なのにね。CPUで影響でないなんてありえるのかね。
408:名無しさん@お腹いっぱい。
09/04/14 01:27:35
んなことないんじゃね?
PDFを開いててもDEPが働いてオーバーフローしない(した瞬間に強制終了)
だけじゃね?