05/02/20 04:55:48 4vSBj3/N0
イ㌔
901:[名無し]さん(bin+cue).rar
05/02/20 05:16:19 K0csJR9x0
まあそのbmpがexeをダブルクリックした時に作られたものか
それ以降に作られたものかで大分違ってくると思うがな。
出来るなら作成日時を調べてみれ
902:[名無し]さん(bin+cue).rar
05/02/20 05:18:34 +X9Ooc1E0
>>891
パンツの中
それ以上は弄るな
903:[名無し]さん(bin+cue).rar
05/02/20 05:25:38 0sCHVoqu0
みつをぬるぽファイル感染した↓
同時に回線切断↓
感染した時間と同時に更新されたファイルの検索↓
Ulnha32.dllとまだ懲りないの?っつーファイルが作成されてた↓
マイドキュメントにダブクリした時の画像があった↓
Ulnha32を削除↓
30分経過異常無し
これでしばらく様子を見てみる
904:[名無し]さん(bin+cue).rar
05/02/20 06:20:08 c9AO+rwi0
先日、ノートン先生でウイルススキャンしたら800近くウイルスが見つかったのだが・・・。
まぁ、無問題だったけど。
905:[名無し]さん(bin+cue).rar
05/02/20 07:30:31 Sa0OEmj/0
「まず、ここは初心者の質問・救済スレではありません。」
などとテンプレに記載してあるが、質問者用のテンプレも置いてあるので
勘違いされるのでは?
感染報告者用のテンプレとしておけばどうでしょう。
906:[名無し]さん(bin+cue).rar
05/02/20 07:31:42 +cY18Z2t0
みつをぬるぽってバスターで発見できますか?
ぬるぽ!
907:[名無し]さん(bin+cue).rar
05/02/20 07:36:40 +Hnt8b/K0
ny起動して、自分のPCユーザー名で検索かけても何も出てこなかったら
安全(自分のデスクトップなどの情報はばらまかれていない)って判断していいの??
908:[名無し]さん(bin+cue).rar
05/02/20 07:47:41 HKtlrBoV0
初心者・感染者の情報交換スレにするならするで、
見合ったテンプレにした方が便利はいいと思うけど、
仕切って面倒見たい人はいないから変えようが無いな
909:[名無し]さん(bin+cue).rar
05/02/20 07:48:35 +ZCJH/J50
つーかもうジャンプ落とすな。
苺キンタマもジャンプで一気に広がったはず
910:[名無し]さん(bin+cue).rar
05/02/20 08:45:41 Li24BjR70
つーか、新種っぽい報告たくさんあがってるね。
流行してると言っても過言ではないな。
でも、解析のほうは…。
すぐ解析しろよ。普段、初心者煽ってるやつ。
911:[名無し]さん(bin+cue).rar
05/02/20 08:56:37 LvD+0OL30
>>910
新種のハッシュщ(゚Д゚щ)カモォォォン
912:[名無し]さん(bin+cue).rar
05/02/20 08:58:46 HKtlrBoV0
>>910
煽ってるのもアドバイスしてるのも初級者なんだから、解析なんてやるわけないだろ
解析する奴は好きでやってるだけだから、煽りもしなきゃ挑発にも乗らない
興味を惹かれるものがあって気が向いたときにやるだけ
913:[名無し]さん(bin+cue).rar
05/02/20 10:00:05 bXe+gXjx0
>>906
バスター入れてたけど無駄だったよ
914:[名無し]さん(bin+cue).rar
05/02/20 10:02:24 HVnJf9yt0
解析する能力あればこんなところに来ずとも、
自分で治している罠。
>>912の言うとおり気が向いたときだけやるぐらいだろ。
915:[名無し]さん(bin+cue).rar
05/02/20 10:13:51 dFxryCsz0
>>890
乙乙
916:[名無し]さん(bin+cue).rar
05/02/20 10:29:39 E2Aq9VId0
自分はもう消してしまったから確認できないんだけど、
偽装解除.batをメモ帳で開いて中身教えてくれる人キボン
917:[名無し]さん(bin+cue).rar
05/02/20 10:42:09 U8nQ1xfl0
>>916
また拾ってくるといいよ
918:[名無し]さん(bin+cue).rar
05/02/20 10:48:29 HVnJf9yt0
>>916
消してからすぐなら復元使うと復活の予感・・・・
919:[名無し]さん(bin+cue).rar
05/02/20 10:53:22 E2Aq9VId0
XPじゃないから復元は出来ない
920:[名無し]さん(bin+cue).rar
05/02/20 10:59:42 LD9uvuEI0
>>919
URLリンク(www.vector.co.jp)
921:[名無し]さん(bin+cue).rar
05/02/20 11:11:13 HVnJf9yt0
>>919
>>920のソフト使って復元。
解析ガンガレー。
レポお待ちしております。
922:[名無し]さん(bin+cue).rar
05/02/20 11:31:04 E2Aq9VId0
ファイルが見つからなかったってさ。
解析とかそんなたいした事する訳じゃなく(出来ん)
中身見たら消されたフォルダとか分かるかと思ったんだけど
923:[名無し]さん(bin+cue).rar
05/02/20 11:35:37 HKtlrBoV0
>>922
拡張子通りバッチファイルでテキストならともかく、
バイナリ実行ファイルはメモ帳で開いて見ただけじゃ
そんなのわかんないよ
924:[名無し]さん(bin+cue).rar
05/02/20 11:49:31 HVnJf9yt0
,,,,,,,,,,,,,,,,,,,,
/": : : : : : : : \
/-─-,,,_: : : : : : : : :\
/ '''-,,,: : : : : : : :i
/、 /: : : : : : : : i ________
r-、 ,,,,,,,,,,、 /: : : : : : : : : :i /
L_, , 、 \: : : : : : : : :i / 働いたら
/●) (●> |: :__,=-、: / < 負けかなと思ってる
l イ '- |:/ tbノノ \
l ,`-=-'\ `l ι';/ \ ニート(24・男性)
ヽトェ-ェェ-:) -r'  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ヾ=-' / /
____ヽ::::... / ::::|
/ ̄ ::::::::::::::l `─'''' :::|
すれ違いだが、このAA誰をモデルに書いたか知らなかったのだが、
本当にこんなことを言った奴がテレビに出ていたことを今日知ったよ。
しかし、似てるな。
925:[名無し]さん(bin+cue).rar
05/02/20 11:58:52 LD9uvuEI0
この人かw
URLリンク(e-ch.org)
926:924
05/02/20 12:00:28 HVnJf9yt0
>>925
n n
(ヨ ) ( E)
/ | _、_ _、_ | ヽ
\ \/( ,_ノ` )/( <_,` )ヽ/ / グッジョブ!!
\(uu / uu)/
| ∧ /
927:[名無し]さん(bin+cue).rar
05/02/20 12:41:35 wB0KCawp0
>>925
小学生にしか見えないんだが
928:[名無し]さん(bin+cue).rar
05/02/20 12:44:15 HVnJf9yt0
>>927
URLリンク(www.geocities.jp)
ググッタら出てきた。
929:[名無し]さん(bin+cue).rar
05/02/20 13:37:06 EsxpqMXQ0
偽装解除.bat持ってるけどうpしたほうがいいでつか?
930:[名無し]さん(bin+cue).rar
05/02/20 13:38:14 mhiZ7nKB0
お気に召すまま
931:[名無し]さん(bin+cue).rar
05/02/20 14:05:35 HoFdhgpF0
>>929
ほすぃ
932:929
05/02/20 14:09:27 EsxpqMXQ0
うpしてみた。
/up/739617e864e3.zip
パスはgishigishianan
933:[名無し]さん(bin+cue).rar
05/02/20 14:18:55 R0yRm3XQ0
すまん、ロダはどこ?
見てミマツ
934:929
05/02/20 14:31:45 EsxpqMXQ0
URLリンク(up.isp.2ch.net)
zipの下にDGCAで圧縮してまつ。
935:[名無し]さん(bin+cue).rar
05/02/20 14:32:23 HoFdhgpF0
>>932
どうもありがとう、 お借りします
と思ったんだけど、混んでるのかな?後で再チャレンジします。
936:[名無し]さん(bin+cue).rar
05/02/20 14:35:41 HP8bU9mu0
随分と住人が入れ替わったな
937:[名無し]さん(bin+cue).rar
05/02/20 14:52:53 Tn1dgTKZ0
繋がらないね
っていうかうpるって事はBATファイルじゃなかったんだね
938:[名無し]さん(bin+cue).rar
05/02/20 14:57:35 E2Aq9VId0
>>937
え?batファイルをzipにしたんじゃないの?
2ちゃんうpろだはいつも重い…。
939:[名無し]さん(bin+cue).rar
05/02/20 14:59:26 HKtlrBoV0
>>937
>>502
要するに>>923
940:[名無し]さん(bin+cue).rar
05/02/20 15:03:50 7DVoyCL50
>>939
といより圧縮しただけだろうが
このスレは圧縮も知らない厨房のスクツか?
941:[名無し]さん(bin+cue).rar
05/02/20 15:09:56 1pUDGUTm0
やばげなブツはpass掛けて圧縮したのをupするのがマナーっつーか常識じゃね?
942:[名無し]さん(bin+cue).rar
05/02/20 15:11:53 HKtlrBoV0
普通はそうだね
943:[名無し]さん(bin+cue).rar
05/02/20 15:15:28 R0yRm3XQ0
しつこくやったら落ちてきたわけだが
まず、先生におうかがいを立てるも、未検出。
batの中身はバイナリで、一応、Win32モードのexe
かなり熟練した者の手によるブツらしく、ご丁寧に暗号化され
洗練されていて冗長部がほとんどない
文字列として抽出できて意味を成すのは
USER32.DLL.COMCTL32.DLL MessageBoxA...InitCommonControls
ぐらいで、動作詳細は不明。解析には時間を要する。
944:[名無し]さん(bin+cue).rar
05/02/20 15:15:40 HKtlrBoV0
>>940
煽る前に、バッチファイルなら圧縮してろだ使うまでもなく、
ここにファイルの内容書けば済む話だって理解してくれよな
945:[名無し]さん(bin+cue).rar
05/02/20 15:16:31 7DVoyCL50
うpコメントで説明してると思ったら危険の一言だけか、確かにそれはマナー違反かな
946:[名無し]さん(bin+cue).rar
05/02/20 15:16:36 QiStA37A0
拡張子がbatなだけでバイナリって事じゃないの?
947:[名無し]さん(bin+cue).rar
05/02/20 15:18:16 7DVoyCL50
>>944
うわ、自分で勝手に勘違いしたのを逆ギレされたよ
レス見ると勘違いしてる自治厨みたいだから仕方ないか
948:[名無し]さん(bin+cue).rar
05/02/20 15:18:59 R0yRm3XQ0
追記、フォルダ内同梱のc00~c11は、すべてコード61(a)で埋め尽くされた
完全なダミーファイル。
949:[名無し]さん(bin+cue).rar
05/02/20 15:21:57 aT8DU0a/0
逮捕されたっていいじゃないの ウイルス作者だもの もうだめぽ
950:[名無し]さん(bin+cue).rar
05/02/20 15:31:24 lDr0p4910
解析神が来てくれたので、おとなしく結果を待ちましょう。
あと、スレ立てできる人は、次スレ準備ヨロ。
951:[名無し]さん(bin+cue).rar
05/02/20 15:46:49 1pUDGUTm0
>>950
次スレよろ
ニュイルスでな
952:[名無し]さん(bin+cue).rar
05/02/20 16:04:34 j3U+Riu20
ニュイルスだと餌がこねーじゃん
953:[名無し]さん(bin+cue).rar
05/02/20 16:45:38 Hv8xBnA50
ウイルス作者がここ観てこ踊りしてます
954:[名無し]さん(bin+cue).rar
05/02/20 17:50:40 HKtlrBoV0
暗号化はPeSpinかと思ったが手軽にはunpackできんな
VPC上で自己解凍したところでdumpして調べりゃいいんだろうけど...
無駄に煽られて気力も失せたことだし、深入りせず>943氏の解析に期待して様子見
955:[名無し]さん(bin+cue).rar
05/02/20 18:01:08 71dy6yLR0
>>954
> 暗号化はPeSpinかと思ったが手軽にはunpackできんな
> VPC上で自己解凍したところでdumpして調べりゃいいんだろうけど...
> 無駄に煽られて気力も失せたことだし、深入りせず>943氏の解析に期待して様子見
ぜんぜんわからん
956:[名無し]さん(bin+cue).rar
05/02/20 18:27:49 MH1Y46aK0
>>910
微妙な煽りだけど縦読みね
957:[名無し]さん(bin+cue).rar
05/02/20 18:27:54 XqoPt/Xd0
最近、厨が増えて解析人は生暖かく見守ってるんだろ。
PeSpinみたいなぐぐったらすぐ見つかるネタを、わざわざわからん
なんてここで言うなよ。
URLリンク(pespin.w.interia.pl)
958:[名無し]さん(bin+cue).rar
05/02/20 18:30:03 a05ithsQ0
>>943
taskmen.exeってない?あれば俺も踏んだ。途中で諦めてシステムリストアした。
(一般コミック・雑誌) [ジャンプ] [2005-12] DEATH NOTE page58.ExE
これ踏むとC:\windows\system32\ctfmon.exe作成されてアップロードいじられて
ウイルス散布者になれるよ。このファイルは本物もある。
俺が見つけた偽物は4355KB。
踏んでからタスクマネージャが起動しない。修復方法知ってたら教えて。
起動しようとしてもなにも起こらない。
959:943
05/02/20 19:35:36 R0yRm3XQ0
確かにVPCでログ見たほうが早そうだね。
あーと、期待してる方もいるようだが、
明日〆切りの漏れに何をしろと……すまん。
960:[名無し]さん(bin+cue).rar
05/02/20 19:53:23 JDOgNVM30
新種ってexe動かなくさせるやつと壁紙かえるだけの2種類?
もっとある?
961:[名無し]さん(bin+cue).rar
05/02/20 19:59:31 Dfwcj2dZ0
ハンタのがexe動かないやつで、
デスノ「2択」のが壁紙かえるだけ?
デスノ「胸中」のは?
962:[名無し]さん(bin+cue).rar
05/02/20 20:07:26 tSsymuK00
>>961
「2択の」方は壁紙変えるだけでなく、ウイルス踏んだときのデスクトップのスクショが撮られて
マイピクチャの中にあった。
まあ自分が調べた限りそれがUPされてるわけでは無さそうだったけど・・・。
963:962
05/02/20 20:10:37 tSsymuK00
二択 じゃなく「胸中」だったスマソ
964:[名無し]さん(bin+cue).rar
05/02/20 20:17:29 d165k0Tj0
>>962
俺もほぼ同じだがマイドキュメントの中にできてた。気持ちわるくなったから
削除した。
965:961
05/02/20 20:17:52 Dfwcj2dZ0
>>963
漏れも「胸中」踏んだんだけど、壁紙変えるのと、デスクトップスクショ、
それに、>>884で書いてあるUpdate Tmpフォルダがあったので
とりあえず削除。それで様子見るしかないかな・・・
。・゚・(ノ∀`)・゚・。ガンガロウゼ
966:961
05/02/20 20:38:48 JDOgNVM30
オレは二択の方。
SSはデスクトップに出来てた。
それ以外は何も無い様子。現在はシステムの復元して様子を見ている状態。
なんか出てきそうでこあいよ。
967:[名無し]さん(bin+cue).rar
05/02/20 20:48:36 HKtlrBoV0
↑の人さ、system32の下にunlha32.dllてのができてないか?
968:[名無し]さん(bin+cue).rar
05/02/20 21:02:08 z0gM5Hyi0
>>967
ウィルスに感染してないけど、system32の下にUNLHA32.DLLはあるよ
969:[名無し]さん(bin+cue).rar
05/02/20 21:04:16 HKtlrBoV0
>>968
うん、正規のUNLHA32.DLLは無害だしどうでもいいよ
970:961
05/02/20 21:06:14 Dfwcj2dZ0
>>967
ある・・・更新日時がウイルスにかかった日時・・
(((( ;゚Д゚)))ガクガクブルブル
971:[名無し]さん(bin+cue).rar
05/02/20 21:27:40 HKtlrBoV0
>>970
それも削除しておいて
以下、ですの解析者用メモ
「二択」
Winrarアイコン
OEP=00001268, VB6
「胸中」
Windowsフォルダアイコン
ASPack2.12
OEP=001450, VB6
UNICODEで"USERNAME" "のデスクトップ.bmp", "まだ懲りないの?.bmp",
"\UpdateTmp\","system32\Unlha32.dll"等のテキストを確認可
「偽装解除」
MSDOSアプリケーションアイコン
PESpin 0.3x - 0.4x -> cyberbob(?未確認)
OEP=(?未確認)
972:961
05/02/20 21:58:10 Dfwcj2dZ0
>>971
レスサンクス。削除しますた。
973:[名無し]さん(bin+cue).rar
05/02/20 21:59:37 vzk0vLui0
次スレよろ
↓
974:[名無し]さん(bin+cue).rar
05/02/20 22:15:52 6EgP222R0
Winnyを狙ったワーム・ニュイルス情報 Part34
スレリンク(download板)
975:[名無し]さん(bin+cue).rar
05/02/20 22:50:43 Zzxpz2zE0
デスノートン の「胸中」
てあたりしだい落として
アンチソフト(トレンド、ノートン)オンラインスキャンなども
したけど、検索にかからないね。新種だわ、ブル))
帰られてしまうデスクトップの壁紙って具体的にどんなのになってるの
絵とか字?具体的に教えて、
976:[名無し]さん(bin+cue).rar
05/02/20 23:09:47 0GbOKjpF0
>>498
977:[名無し]さん(bin+cue).rar
05/02/20 23:22:05 HKtlrBoV0
>>975
「胸中」のリソースとして含まれるのは、
BMP壁紙:縦書きの文字”晒されたっていいじゃない 泥棒だもの ぬるぽ”(白地に黒)”ぬ”(赤) 1024x768
アイコン:フォルダの絵(偽装用)、UNLHA.DLLの文字(ニセUNLHA32.DLL用)、白地に黒の時計の絵
978:[名無し]さん(bin+cue).rar
05/02/20 23:35:59 vzk0vLui0
>>974
乙です
979:[名無し]さん(bin+cue).rar
05/02/20 23:59:56 SIcXEarZ0
>>975にもあるけど
各種onlinescan10ヶとNODの結果(Avastとかもやりたいけどインストめんどいのでパス)
デスノ .bat mcafee
デスノ 胸中 なし
HHのやつ mcafee,NODアドバンスドヒューリスティック
まあジョークソフトも含まれてるだろうから検出できなくてもしょうがないのかな…
980:[名無し]さん(bin+cue).rar
05/02/21 00:09:49 YhVXu7wI0
検出できなくて当たり前
できたらラッキー
ぐらいの考え方じゃないとP2Pなんてやってらんない
981:[名無し]さん(bin+cue).rar
05/02/21 00:12:17 0fog3APh0
>>980
勇敢というよりはただの低スキルのバカだな
982:[名無し]さん(bin+cue).rar
05/02/21 00:17:25 YhVXu7wI0
えーと……
俺宛に言ってるのか?
俺はノートン先生とかを過信すんなって言いたかっただけなんだが。
先生に限らずアンチウイルスソフト全般についてだけど。
何か変なこと言った?
983:[名無し]さん(bin+cue).rar
05/02/21 00:20:21 AMAd3tfB0
スーパーハカーがあらわれた!
984:[名無し]さん(bin+cue).rar
05/02/21 01:33:12 bh4iS8+u0
アイアイ
985:[名無し]さん(bin+cue).rar
05/02/21 01:48:05 k+qX7kTh0
ぬゑぽ
986:[名無し]さん(bin+cue).rar
05/02/21 02:02:43 HpZojIy60
_
ミ ∠_)
/
/ \\
ウイーン Γ/了 | |
ウイーン |.@| | | ガッガッガッ
| / | . 人
|/ | < >_Λ∩ >>985
_/ | //. V`Д´)/
(_フ彡 /
987:[名無し]さん(bin+cue).rar
05/02/21 05:20:20 U24+gjSV0
┌─────────────────────────
│985 □ あぼ~ん □ あぼ~ん □ あぼ~ん □
└─────────────────────────
988:[名無し]さん(bin+cue).rar
05/02/21 07:44:14 DdVN9pqi0
こっち埋めんの?
989:[名無し]さん(bin+cue).rar
05/02/21 17:29:49 Mo6AciCQ0
埋めたければ埋めればいい
990:breakdown
05/02/21 18:17:41 2I3XfPPj0
>>958
私もそのファイルを踏んでしまってタスクが起動しない+スタートから終了出来なくなってしまいました。
でsystem32にあるtaskmgr.exeを見たところ色々と変なところがあったので、
他のXPのタスクマネージャーの実行ファイルを見たところファイルの大きさが違いました。10k位と100k位の差
で、その感染していないXPからtaskmgr.exeのファイルをコピーしてsystem32に貼り付けたところ、
ファイルを変えられ、又、10kバイト程度のファイルになってしまいました。
的当に何回か連打して貼り付けたら普段のファイルの容量より大きくなった時があったけどそのまま無視して貼り付けて、放置したところ、
書き換えが起こらなくなりました。
その後、Ctrl+Alt+Deleteボタンを押すと以前の様にタスクマネージャーが表示されるようになりました。
【環境】
XP taskmgr.exeを一応読み取り専用に変えたが効果は不明(書き換えられたから)
もしかしたら、書き換え側でバグが発生しただけかも知れないので何ともいえないですが、とりあえず出来たので(゚д゚)ウマー
ものすごく厨な直し方かも知れないけど一応書きました。
他に良い直し方があったらヾ(゚д゚;) スッ、スマソ
スタート→終了はどうやって直せばいいんだろう_| ̄|○
991:[名無し]さん(bin+cue).rar
05/02/22 02:27:55 3gIbuX9P0
うm
992:[名無し]さん(bin+cue).rar
05/02/22 03:32:22 gWQD1Jfe0
>>990
>>732してクリーンインスコ
993:[名無し]さん(bin+cue).rar
05/02/22 03:49:57 V8VdCyfV0
\∧_ヘ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
,,、,、,,, / \〇ノゝ∩ < 1000とり合戦いくぞゴルァ!! ,,、,、,,,
/三√ ゚Д゚) / \____________ ,,、,、,,,
/三/| ゚U゚|\ ,,、,、,,, ,,、,、,,,
,,、,、,,,U (:::::::::::) ,,、,、,,, まだ早えよ~ܷܵܶ
//三/|三|\ タリー
∪ ∪ (\_/)タリー タリー 1000ってなんだよ~
( ´Д) 猫でし タリー
/ つ (\_/) (\_/)ノ⌒ヽ、
(_(__つ⊂(´Д`⊂⌒`つ(´Д` )_人__) ))
994:[名無し]さん(bin+cue).rar
05/02/22 09:20:05 ADjJsxvZ0
994
995:[名無し]さん(bin+cue).rar
05/02/22 09:21:37 ADjJsxvZ0
995
996:[名無し]さん(bin+cue).rar
05/02/22 09:22:15 ADjJsxvZ0
996
997:[名無し]さん(bin+cue).rar
05/02/22 09:22:47 ADjJsxvZ0
7
998:[名無し]さん(bin+cue).rar
05/02/22 09:23:19 ADjJsxvZ0
8
999:[名無し]さん(bin+cue).rar
05/02/22 09:23:52 ADjJsxvZ0
999!!!
1000:[名無し]さん(bin+cue).rar
05/02/22 09:24:23 ADjJsxvZ0
1000!
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。