12/10/07 20:36:43.22
>>158
ご参考まで。
Win7だと、
C:\Users\*********\AppData\Roaming\Skype\****skypeユーザ名****\charsync
あたりに会話履歴が保存されているようです。
メッセージが飛んできた時間等からファイルを特定して削除すると良いでしょう。
中のdatファイルをUTF-8で開くと若干、中身を読むこともできます。
(実際に自分でやったことはありません。不具合が有るかもしれません。実行は自己責任でお願いします。)
160:名無しさん@いたづらはいやづら
12/10/07 20:38:57.20
あぁでもダメか・・・結局サーバ側からまた会話履歴をダウンロードしてくるから・・・
161:fa
12/10/07 21:07:29.82 7uwyHL9r
URLクリックだけしちゃってexe実行とかしてない人は何消せばいいんだろう
162:名無しさん@
12/10/07 21:07:51.95
ウイルス踏んじまってとりあえずavast!を導入したものの
どうしていいかさっぱりわからない
フォルダ全表示しても「AppData\Roaming\Skype」が出てこないけど、
とりあえず上に書いてあることで出来ることをやっていけばおkってこと?
このままだと俺のネット人生終わるんじゃね。
163:名無しさん
12/10/07 21:38:18.01
>>162
%AppData%\Skypeね
Skypeのフォルダではないよ。
↑のまま、スタートメニューの検索バーのところに入れたらフォルダが開くはず。
もしくは、
C:\Users\【ユーザ名】\AppData\Roaming\Skype
を開いてみて。Vistaの場合だが、他のWindowsだと違うかもしれん
164:_
12/10/07 21:45:13.20
てst
165:名無し
12/10/07 22:00:53.69 1fd9j4tN
外付けの中身がSystem Volume Informationファイルに変えられてたわ...
166:七誌さん
12/10/07 22:23:14.51
仮想PCで踏んでみたところ、explorer.exeが
s15403588.onlinehome-server.info
というサーバーと接続を開始した。
それと同時にスタートアップに%appdata%\Pqcwcl.exeというのを作った。
このPqcwcl.exeはAdministratorでログインしても見えない不思議なやつだったよ。Everythingの検索には引っかかったが。
こっちがウイルスの本体でランダム数字.exeはSkypeを媒介として感染者を増やすためだけの
付属ツールなのではないかと。
Avast!を入れてみたらSkype自動送信ツールの数値.exeはブロックしたが、explorer.exeの通信は続いたままだった。
167:sk
12/10/07 22:25:56.57
>>166
つまり…どういうことだってばよ??
に%appdata%\Pqcwcl.exeとかいうのを削除しなきゃいけないってことけ?
168:七詩さん
12/10/07 22:28:58.63
とおもったらAvast!いれてPCを再起動したらexplorerの通信はなくなっていた。
Avast!最強伝説
169:ぽん
12/10/07 22:33:20.19
XPの場合はRoamingはないと思う
170:助けて
12/10/07 22:42:48.73 6NcoxUZb
もう俺には治せない…
171:名無しさん@いたづらはいやづら
12/10/07 22:52:43.30
メインのデスクPCはHDD複数接続とかで対処がめんどくさいので
とりあえずNortonで定義ファイルできるまでLANケーブル抜いとく
感染してないノートPCで用は済ます
勿論Skypeは起動しない
172:助けて
12/10/07 22:57:57.78 6NcoxUZb
>>171 自分はこれに引っかかってNorton入れましたがダメでした
回線抜いておいたほうがいいですよね…
173:名無しさん@いたづらはいやづら
12/10/07 23:00:26.24
avastかMSSEの方が良いみたい。
今回、nortonはまだ対応していない。
174:sk
12/10/07 23:02:58.76
Avast先輩強過ぎわろす
ノートン先生なにやってるの
175:名無し
12/10/07 23:12:56.26 1fd9j4tN
外付けの変なファイル消してフォーマットしておけば大丈夫だよね?
176:助けて
12/10/07 23:14:01.77 6NcoxUZb
外付けって言うのがよくわからないんですけど、ごめんなさい
パソコンそんなに詳しくなくて
177:名無し
12/10/07 23:16:29.76
>>166
以前のDorkbot系ではユーザーモードルートキットを実装しているのもあったから、
今回もその可能性は否定できませんね。
また、explorer.exeへのコードインジェクションも同様ですね。
178:名無しさん@いたづらはいやづら
12/10/07 23:17:54.86
これDropboxとかのクラウドまでにもコピーしてたら痛いな…
179:名無しさん@いたづらはいやづら
12/10/07 23:19:51.18
>>178
少なくとも今のところ、dropboxへのウィルス拡散は確認されていません。
180:名無しさん@いたづらはいやづら
12/10/07 23:19:51.95
>>176
外付けってのは、USBとかで接続するPC箱の外部に設置するHDDのこと
181:名無しさん@いたづらはいやづら
12/10/07 23:20:45.64
>>179
mjkありがと
182:名無しさん@いたづらはいやづら
12/10/07 23:23:42.56 Gbu6JwpM
結局URL踏んだだけじゃ感染しないの?
exe起動したやつだけ?教えてください
183:名無しさん@いたづらはいやづら
12/10/07 23:24:35.87
>>182
基本的にはexeを起動しなければ感染しないと考えられます。
184:名無し
12/10/07 23:24:52.35
そう、自分で実行しない限り感染はしません
185:名無しさん@いたづらはいやづら
12/10/07 23:27:21.18 Gbu6JwpM
>>183
ありがとうございますー
間違えて踏んでしまって。。
186:名無しさん@いたづらはいやづら
12/10/07 23:27:58.54
実行した後って、もともとのexe消えたよな
187:名無しさん@いたづらはいやづら
12/10/07 23:29:15.00
消えたものと記憶しています
188:助けて
12/10/07 23:33:03.48
>>180 ありがとうございます。
勝手にURLが書き込まれる(skypeの友人)って事は感染してるって事ですよね
今までに書かれている事を試しては見たのですが結局、確実には消せないみたいで
パソコンに詳しい方が羨ましい。
189:名無しさん@いたづらはいやづら
12/10/07 23:34:12.28
>>188
システムの復元とかも全部やった?
190:名無しさん@いたづらはいやづら
12/10/07 23:59:25.06
今思ったんだが、別のパソコンで同じ\AppData\Roamingみたら既に
shared.lck(最終更新:2012/06/08)
shared.xml(最終更新:2012/09/29)
あったんだが…
このパソコンは93%くらいの確率で感染していないはずだが、
このファイルが直接ウイルスに関連しているのか、
そんで内容が書き換えられたからなのか…
それか、単にSkypeを起動すると絶対必要不可欠になってくるもので
自動的に生成されるものなのかが不明
普段このファイルは何をしているのか解析しないと分かんねぇな
色々と
191:名無しさん@いたづらはいやづら
12/10/08 00:14:13.24
>>190
>>65
192:漆黒のダーク
12/10/08 05:53:56.39 XWxnetLk
みんな、ありがとう。
なんとか、対処方法見つかってよかった、
ただ、ここからが問題だ、
このウイルスが何のためにどこから流れてきたか
このウイルスがどうパソコンや個人情報に影響するかがわかっていない
以上、油断はできません、もしなにかわかったら教えてください!!
193:漆黒のダーク
12/10/08 05:58:25.71 XWxnetLk
公式が対応していない今は自分たちで何とかしなければいけません
>>50の方法に加えシステム復元、クリーンインストール再起動
有効なウイルス対策ソフト(MEES Avas)で確認するのがよいでしょう。
あとは公式の発表を待ちましょう。
もし引っかかった人がいれば、このスレのURLを教えてください
そして、できれば症例を書き込んでもらえるよう協力お願いします。
194:漆黒のダーク
12/10/08 06:09:47.59 XWxnetLk
スレ主より、協力願う
今、このウイルスの解決方法はわかった
だが、目的と症例がわからない
目的と症例を書き込んでほしい
症例はかかった人から、できるだけ集めてほしい
もしかしたら、サーバーとの通信があると言うことは
破壊系のウイルスに変化するのだって考えられる。
わかったら、正確な情報をカキコねがう!!
195:月代
12/10/08 08:47:51.52 phvD1KOV
外付HDDのファイル属性変更とおそらくウィルスへのショートカット(属し変更されたファイルの名前)が生成されました
USBの記憶媒体でも感染が広がるかもしれません
196:漆黒のダーク
12/10/08 08:49:36.50 XWxnetLk
緊急報告!!
ウイルスが進化したそうだ、>>50の方法でとり
朝確認後、ファイルの復活を確認
チャットの言葉がちょっとこれはあなたの新しいプロフィールの写真ですか?
に変化、処理ができてないか?
あるいは偽装かは未確認その他情報緊急調査ねがう
197:助けて
12/10/08 08:51:11.27
>>189 まだそれはやってないです。後にやってみます。
私がやったのはwinキー+Rでskypeファイルを適当に消すのと
skypeツール→設定→詳細→他のプログラムから
って奴をやりました。
Skypeファイルの場合何を消していいのかわからないので、適当に消しましたが
今現在、再起動しても勝手にURLが送信されるという事にはなってません
Nortonでスキャンはしてみたのですが、効果は無い様で…
他にもやることがあるのでしょうが、ここは専門用語多いので私には
難しいですが…
198:月代
12/10/08 08:56:17.16
>>196 マジか
一応削除とかはしたけど不安だな
199:漆黒のダーク
12/10/08 08:57:13.44 XWxnetLk
>>195確認お願いします。
朝8時より、現在一人のウイルスの変化を確認
ちょっとこれはあなたの新しいプロフィールの写真ですか?に変化
おそらく、ファイルの書き換えサーバーからの受信による進化
が考えられる、今後も注意!!
200:月代
12/10/08 09:01:06.98
>>199 すまん確認したいけど消しちまった
ただしHDDの中身は無事だった
ウィルスのDLが不可能になっているものがありますな
201:そうま
12/10/08 09:14:12.59 K08nCmdd
はじめまして、はじめてここに書き込みます。
えっと俺も踏んでしまって…一度は直ったのですが
一日たつとインターネットが開けなくなってて
「Internet Explorer ではこのページは表示できません」
というページに飛ばされます。
いまは「セーフモードとネットワーク」で開き書き込んでます。
またUSBもぶっ壊れてしまいました…。
何か対処法あるのでしょうか?
本当に困ってます…情報を世としくお願いします。
202:助けて
12/10/08 09:17:13.45
Fフォルダとはなんなんでしょうか?
exeが全て悪いものって訳ではないですよね?
203:月代
12/10/08 09:17:53.69
>>201 USBってのはフラッシュメモリーのことだよな?
204:漆黒のダーク
12/10/08 09:18:04.64 XWxnetLk
>>201なにかしらの対処をとった場合そのようなものになったのですか?
いま、ウイルスの進化が考えられます。
205:漆黒のダーク
12/10/08 09:19:04.52 XWxnetLk
>>202 exeがすべて悪いわけではありません
206:そうま
12/10/08 09:24:17.85 K08nCmdd
えっとフラッシュメモリです。
いろいろと対策法を試しました。
昨日はそれで直ったんですが
今日PCを開くとインターネットにつなげなくて
207:月代
12/10/08 09:25:44.78
>>206 フラッシュメモリーの対策はしたか?
208:漆黒のダーク
12/10/08 09:26:30.09 XWxnetLk
>>206 どんな対策をとったのか、具体的に教えていただけると幸いです
209:そうま
12/10/08 09:27:06.48 K08nCmdd
>月代様
どこにありますか!?
210:名無しさん@いたづらはいやづら
12/10/08 09:27:54.64
極力ネットワークに接続しないことが安全かと
ターゲットが何処に居るかも確認できてないので危険です
211:漆黒のダーク
12/10/08 09:28:13.49 XWxnetLk
>>206それとスカイプのメッセージで
ちょっとこれはあなたの新しいプロフィールの写真ですか?
と例のURLを送ったりしてませんか?
いま、この症例の人が一人いて、ファイルも復活してるそうです。
212:月代
12/10/08 09:28:29.50
>>209 そういやぁまだ対策かいてなかったわ
まず 服を脱ぎます
213:ぽむ
12/10/08 09:30:09.29 2Bna6mBT
ちょっとこれはあなたの新しいプロフィールの写真ですか?
のあとにURL貼られたチャットが来ました。
昨日ちゃんと対処法はしたらしいんですけど、
また新しいウイルスでしょうか
214:月代
12/10/08 09:30:53.86
俺の場合外付けHDDだけどまず感染前になかったフォルダ消して
エラーチェックかけて属性変更ツールで元通り
最後に復元して完了だった(復元はしなくてもいいかもしれない
215:そうま
12/10/08 09:33:03.47 K08nCmdd
>漆黒のダーク様
俺が取った対処法は
Skypeの 「ツール」→「設定...」→ 「詳細」→
「他のプログラムからのSkypeへのアクセス管理」から消去
%appdata%でskype の中にある shared.lckを削除
%appdata%ででてきたexeを削除
msconfigでスタートUPから不明製造元不明のものを無効
バッチファイルを実行してから、Windowsを再起動
カスペルスキー 2012 30日無償試用版をDL
これぐらいです。
216:月代
12/10/08 09:34:03.92
>>206 感染してメモリー外して対策したPCに刺しなおしたた?
もし対策した状態で刺して感染したとしたらUSBでも広まるかもしれないな
217:そうま
12/10/08 09:34:59.47 K08nCmdd
>漆黒のダーク様
いいえ、送ってないと思います。
lol is this your new profile pic?
こっちではないですよね?
こっちは開いたときに全ユーザーの送られてます
218:月代
12/10/08 09:36:40.03
>>215 %appdata%のexe消すときプロセスキルしないとできないのあるよな
219:そうま
12/10/08 09:37:42.63 K08nCmdd
>月代様
そうなんですか?試してみます。
エラーチェック、属性変更ツールは普通に出来ますか?
さしました。感染してるかもです…。
220:漆黒のダーク
12/10/08 09:39:01.57 XWxnetLk
>>216さんはファイル復活しましたか?
221:そうま
12/10/08 09:39:49.37 K08nCmdd
>月代様
プロセスキルですか?
どうすれば出来ますかね?
222:名無しさん@いたづらはいやづら
12/10/08 09:41:56.66
URLリンク(blogger.lemonkaju.net)
ここの一番下にprogramfilesにアイコンがあるとか書いてあるが
223:月代
12/10/08 09:44:06.23
>>219 エラーは普通に出来るけど属性変更はまとめて属性チェンジャーってのを使ったほうがいい
あとフォルダが全部ショートカットになってると思うけど開かないほうがいいぞ
224:222
12/10/08 09:44:20.13
すまんh消すの忘れてた
225:そうま
12/10/08 09:45:17.46 K08nCmdd
>月代様
了解しました。
226:月代
12/10/08 09:45:19.76
>>221 タスクマネージャーから出来るゾ
227:そうま
12/10/08 09:46:16.94 K08nCmdd
>月代様
やってみます
228:月代
12/10/08 09:46:55.52
>>220 PCとHDD両方対策したあとだけど今のとこ再発なし
229:ま
12/10/08 09:48:33.48 yGIjZ5b0
昨日ウイルスを踏んでしまい起動してしまったものです。
因みにPCはあまり詳しくありません。
現在拡散のほうは防げているのですが、skype の中にある shared.lckというのを何度削除しても復活して来ます。
これはやはりまだ危ないという事ですよね?
何か教えて頂ければ幸いです。
230:そうま
12/10/08 09:49:45.06 K08nCmdd
>月代様
えっとタスクマネージャー→プロセスの後どうすればいいですか?
exeを全て消しちゃっていいんでしょうか?
231:漆黒のダーク
12/10/08 09:50:15.67 XWxnetLk
協力願います
送られてくるチャット文章の変化を確認してほしいです。
たとえば日本語とかに
232:月代
12/10/08 09:50:57.37
>>230それはあかん %appdata%にできたexeのみ消してください
233:そうま
12/10/08 09:52:22.25 K08nCmdd
>月代様
えっと、exeはもうありません
234:月代
12/10/08 09:53:52.89
>>233 ならいいんだすまんかった
235:漆黒のダーク
12/10/08 09:56:12.03 XWxnetLk
今、確認しないといけないことがあるんです。
今、チャット文章が日本語に変化してるんです。
確証がほしんです
協力ほんとに願います。
236:そうま
12/10/08 09:56:46.17 K08nCmdd
>月代様
いえ、ありがとうございます。
237:そうま
12/10/08 09:57:21.74 K08nCmdd
>漆黒のダーク様
チャット文章の変化はまだ俺のとこには無いです
238:月代
12/10/08 09:57:22.45
おじさんちょっとニコ生でウィルスについて語る枠取るわ
情報集まるかもしれんし
239:ぽむ
12/10/08 09:57:55.57 2Bna6mBT
>>235
ちょっとこれはあなたの新しいプロフィールの写真ですか?
URLリンク(bit.ly)スカイプID
っていうやつじゃないですか?
私も知り合いから来ます。
240:そうま
12/10/08 09:58:24.48 K08nCmdd
やはりネットにつながらない。
どうにかして、ネットに繋げるようにしたいんですが…。
241:ぽむ
12/10/08 09:58:41.12 2Bna6mBT
ごめんなさいh消し忘れました
242:そうま
12/10/08 09:59:52.66 K08nCmdd
>222様
レジストリエディタを開いた後どうしたらいいんでしょうか?
243:漆黒のダーク
12/10/08 10:00:20.17 XWxnetLk
>>239ありです確信につながります
244:漆黒のダーク
12/10/08 10:01:52.91 XWxnetLk
うむ、昨日は英語今回は日本語進化してるのかな?
245:月代
12/10/08 10:06:34.17
進化してるな エキサイト先生に訳してもらうとこんな感じだし
日本語ができるやつが二次配布とも考えれるが
246:漆黒のダーク
12/10/08 10:17:12.21 XWxnetLk
>>245二次配布はないだろう。
同じ人から来るのが多いから
247:月代
12/10/08 10:18:41.43
>>246 そうか
248:そうま
12/10/08 10:20:43.29 K08nCmdd
やっぱり何度試しても
「Internet Explorer ではこのページは表示できません」
というページに飛ばされ
インターネットが開けなくて…。
非常に困ってます
誰か助けてください。
情報を・・・。
249:_
12/10/08 10:21:31.66
てst
250:助けて
12/10/08 10:22:47.45
私は外付けがないだけまだ助かったのかな
251:月代
12/10/08 10:24:11.84
>>250 外付けはひどと思う削除自体は簡単なんだけど
フォルダの表示を元に戻すのが
252:漆黒のダーク
12/10/08 10:29:50.83 XWxnetLk
緊急会議放送やっています、情報交換お願いします。
URLリンク(live.nicovideo.jp)
253:名無しさん@いたづらはいやづら
12/10/08 10:31:59.58
>>242
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ここで起動時に自動実行するアプリケーションがわかる
明らかに不明なものは怪しいからググりながら解析進めるといい
254:漆黒のダーク
12/10/08 10:33:39.95 XWxnetLk
↑ありがとうございます、解析やってみます。
255:ああああ
12/10/08 10:35:07.23 SRMKzqQ3
>>248
大変そうですね。
障害の切り分けだけ実施してみてください。
Windowsキーとrキーを同時に押したあと、
cmdと入力してください。
コマンドプロンプトを開いたら、
ping 8.8.8.8 と入力してみてください。
そこで
Repry from 8.8.8.8 bytes=32 time=5ms TTL=~~
というのが出ればIEがウイルスに感染しています。
IE以外のブラウザを使用するのがとりあえずの対策になります。
IE以外のブラウザが入っていない場合は、
もうちょっと対策まってください
256:漆黒のダーク
12/10/08 10:35:41.83 XWxnetLk
ただいま、ファイルの解析を行っています。
完了するまでお待ちください
257:名無しさん@いたづらはいやづら
12/10/08 10:39:03.28 Y2tVqfGT
>>194
症例は判らないけど、犯人の目的は被害者のPCを乗っ取って犯罪に利用するためだろうね。
一度進入されたら、クリーンインストールした方が安心だと思いますよ、最悪の場合、今報道されているニュースのように
身に覚えの無い犯罪の容疑者にされる可能性もありますから。
第3者にPCを乗っ取られるとどうなるのか、専門家に聞きました。
URLリンク(headlines.yahoo.co.jp)
258:名無しさん@いたづらはいやづら
12/10/08 10:41:14.94
逆にコメントを英語から日本語にしたところが怪しい
ターゲットが日本になってるってことだろ?
259:漆黒のダーク
12/10/08 10:49:11.52 XWxnetLk
ちょっといいか?ファイルを誰かが改変したとは考えられないでしょうかね?
260:月代
12/10/08 10:51:07.13
もともと日本がターゲットで日本語から英語にて日本語に戻したとは考えられないだろうか?
261:名無しさん@いたづらはいやづら
12/10/08 10:56:09.42
日本語になってるってことは垢が日本のってわかってるってことだよな
262:漆黒のダーク
12/10/08 10:56:14.37 XWxnetLk
解析結果
レジリストの一部変更
スカイプの自動送信システムの作成
ウイルス作成者に強制的に個人情報を流失可能?
263:名無しさん@いたづらはいやづら
12/10/08 10:57:29.14
感染PCを放置すると、大変な事になる場合もあるみたいです。
殺人予告:遠隔操作の可能性 捜査員「ウイルス検出困難」
URLリンク(mainichi.jp)
264:名無しさん
12/10/08 10:57:49.28
URLリンク(kuku.neko2.net)
URLリンク(blog.babibubebo.org)
ココらへん見てみると、攻撃者サーバーからのデータが変わったとか。
昨日までの削除方法だけじゃ完全じゃないみたいだ。
265:†Reimu
12/10/08 10:58:02.63 k7FQJHJ9
英文も日本語文もチャットきただけじゃ何も起きないですよね…?
凄い気になるんですが
266:漆黒のダーク
12/10/08 10:59:21.27 XWxnetLk
解析結果2
スマホアンドロイド版でのウイルス感染は低いと
267:名無しさん@いたづらはいやづら
12/10/08 11:00:38.95
次枠はよ
268:助けて
12/10/08 11:02:42.96
確実にウィルスがなくなったと確認する方法はないの?
269:漆黒のダーク
12/10/08 11:05:10.13 XWxnetLk
>>265URLにいかない限りだいじょうぶだと思います
270:月代
12/10/08 11:05:17.98
次枠は? 取らないなら俺が取るが
271:漆黒のダーク
12/10/08 11:06:17.54 XWxnetLk
>>270 とりますよ
272:名無しさん@いたづらはいやづら
12/10/08 11:06:21.48
>>270
11:30から予約枠でやるらしい
273:†Reimu
12/10/08 11:06:28.58 k7FQJHJ9
>>269 URLは完全にスルーしてますw
今のとこ、チャットきてるだけは大丈夫なんですね
274:月代
12/10/08 11:07:22.29
了解
275:月代
12/10/08 11:09:33.66
USBで広がるかも知りたいところだな
276:名無し
12/10/08 11:10:56.77
日本語版はMSSE検知なし
今からMSに提出
277:漆黒のダーク
12/10/08 11:11:16.15 XWxnetLk
>>275了解 聞いてみます
278:漆黒のダーク
12/10/08 11:12:41.17 XWxnetLk
>>276了解です、対処考えます
279:名無しさん@いたづらはいやづら
12/10/08 11:12:43.73
>>276
頼みます
280:助けて
12/10/08 11:16:45.61
このウィルスが完璧に消えたって人は居るの?
281:漆黒のダーク
12/10/08 11:17:24.31 XWxnetLk
新たな可能性を確認
コンタクトを自動で送るexeの起動を確認
コンタクトを申請しURLと例の文章を発行
282:名無しさん@いたづらはいやづら
12/10/08 11:17:44.72
>>280
完全に消えたかどうか確認する根拠が無い
専門家からの発表もないままだから…
283:月代
12/10/08 11:18:26.25
恐らくだが俺は消えたと思われる
284:名無しさん@いたづらはいやづら
12/10/08 11:18:33.53
>>281
これはひどいな
285:月代
12/10/08 11:19:35.39
サイバーテロでいいよなもう
286:漆黒のダーク
12/10/08 11:19:45.22 XWxnetLk
>>280現状確認できてません。
287:名無し
12/10/08 11:21:16.85 tGL8bBRk
感染の恐れがある場合はどうすればいいのだろうか。
288:月代
12/10/08 11:21:41.16
>>287 ネットから切断
289:漆黒のダーク
12/10/08 11:21:45.49 XWxnetLk
>>283油断しないでください
解析の結果ウイルス側
290:名無しさん@いたづらはいやづら
12/10/08 11:21:56.46
SkypeのAPIでここまでなるとは・・・
291:月代
12/10/08 11:22:43.85
>>289 油断はしてないさ
292:漆黒のダーク
12/10/08 11:29:53.18 XWxnetLk
生放送開始しました。
URLリンク(live.nicovideo.jp)
293:ゲーム放送部
12/10/08 11:29:56.04 ts5a3HS/
URLリンク(live.nicovideo.jp)
放送部の生
詳細
A4B1.exeが Skypeに申請 タスクマネージャの プロセスにこのEXEがあった
もう1個は
536.exe*36が Skypeに申請 タスクマネージャの プロセスにこのEXEがあった
この2つは 時間になると停止
294:sk
12/10/08 11:34:12.99
Vvswsrってなんだ?
これがMSEでワームとして削除され、起動プログラムにも入ってたからチェック外しといたんだが。
295:助けて
12/10/08 11:35:09.26
私はURLが送られてきてクリックをしました
ですがファイルを保存するではなく、プログラムで開くをクリックしたのですが
これでも感染はしているのでしょうか?
今はwinキー+Rでskypeファイルを適当に消すのと
skypeツール→設定→詳細→他のプログラムから
って奴をやりました。
Skypeファイルの場合何を消していいのかわからないので、適当に消しましたが
今現在、再起動しても勝手にURLが送信されるという事にはなってません
復元はまだです。
296:名無しさん@いたづらはいやづら
12/10/08 11:36:12.55
>>294
LANケーブル抜くの推奨
297:sk
12/10/08 11:39:43.23
ついでに参照したらこれ出たんだけど意味あるの?↓
URLリンク(www.microsoft.com)
298:漆黒のダーク
12/10/08 11:40:40.07 XWxnetLk
ただいま、強制的にファイルをインストールされたとゆう
きました
299:ゲーム放送部
12/10/08 11:42:47.82 ts5a3HS/
EE1.exe*32確認
>>293 の*36ってやつは*32です
300:助けて
12/10/08 11:47:44.50
俺もメモリ食ってるから感染してるのかな…
301:名無しさん@
12/10/08 11:48:08.95
Avast大先生にいろいろヤって貰ってとりあえずは収まったみたいなんだが、油断ならない状況だな
今のところ俺みたいな素人に出来るのはこれくらいっぽい。基本ROMだがここは定期的に確認します。
>>295
俺も保存してないけどこのざまだから多分開いたらアウト
同じく適当に消してAvast大先生に2時間くらいハッスルして貰ったら多少楽になった。
302:漆黒のダーク
12/10/08 11:49:53.36 XWxnetLk
50分注意
303:助けて
12/10/08 11:50:02.14
>>301マジですか、私はもう半分以上食われてる… 感染してるなこれは
304:ウイルス作った人
12/10/08 11:51:57.08
俺はボッチだけど勝手に人が追加されててウイルス送られてきたどういうことだ?
305:名無しさん@いたづらはいやづら
12/10/08 11:52:55.57
事情が無い限りネットワークを物理的に切断
これ大切
被害拡大防止のために
306:名無しさん@いたづらはいやづら
12/10/08 11:55:11.49
夜中に送られないってこと+時間が若干ずれるってことは手動送信?
307:助けて
12/10/08 11:55:17.38
ニコ生やってる人は、感染してる人も居るの?
308:ゲーム放送部
12/10/08 11:58:15.85 ts5a3HS/
自分感染してます
げんざい確認されてる意味不明exeは
A4B1.exe 536.exe*32 EE1.exe*32
309:漆黒のダーク
12/10/08 11:59:42.87 XWxnetLk
解析結果3
システム復元で復興を確認?
それでも、だめだったら、パーチィションのフリーソフトを
つかい、ずらす、で復興を確認
ただ、昨日もこれでだめだっったから油断禁止
310:漆黒のダーク
12/10/08 12:01:01.83 XWxnetLk
緊急放送を開始
スレリンク(hack板)l50
311:sk
12/10/08 12:01:36.66
>>308
それってroaming内にあるアプリケーション?
削除しても復活する?
312:ゲーム放送部
12/10/08 12:06:05.81 ts5a3HS/
F820exe実行確認
313:漆黒のダーク
12/10/08 12:12:02.75 XWxnetLk
ファイル送信者の検索を試みるが
MD5と言う暗号ソフトを使い暗号化
314:漆黒のダーク
12/10/08 12:14:47.79 XWxnetLk
MD5のソフトの詳しい情報
解決情報を検討してくれればありがたい
315:月代
12/10/08 12:16:10.86
エキサイト訳によると
lol is this your new profile pic? = lolはこれです、あなたの新しいプロフィール写真?
→is this your new profile pic? = これはあなたの新しいプロフィール写真ですか。
になりました
316:あ
12/10/08 12:21:59.16
lolはwの意味だからな
317:助けて
12/10/08 12:22:14.40
これ感染している人はニコ生の人やここに居る人だけじゃなくて
全国的に居るって事ですよね?
318:漆黒のダーク
12/10/08 12:22:17.98 XWxnetLk
lolの意味とどこの地域しれべてほい
319:ウイルス作った人
12/10/08 12:27:50.75
こwwれwwはwwwあなたwwwのwwうぇwww新しい1wwwwうぇwwぷろふぃーるデスカwww
ッテカンジカ
320:月代
12/10/08 12:28:46.59
チャットの送信止まった時刻ってありますか?
321:亀頭に祈祷
12/10/08 12:33:33.48 YGmoLDAp
アソコがウイルス感染
322:漆黒のダーク
12/10/08 12:33:47.14 XWxnetLk
>>320 だね、それがわかればウイルス作成者からの送信かPCからの送信からか
わかるから、だれか調べてくれ
323:ななし
12/10/08 12:34:03.71
Hotfileのウイルス本体は消えたのか
十分に拡散されたってことだろうか?
324:引っかかった人
12/10/08 12:35:10.04
skypeをアンインストールした後programdataの中にskypeファイルがまだ残ってて
その中にspybotがレジストリが書き換えられましたーで反応しまくってたフォルダが二個あった
削除したら調子よくなった
325:sk
12/10/08 12:35:16.09
>>320
チャットの送信が止まった時刻ってどういう意味か分からない。
対処しなければ今も送信されてるんじゃないの
326:ああああ
12/10/08 12:35:34.31 SRMKzqQ3
>>321
それは重要な問題ですね。
ムヒをぬりたくったほうがいいです
327:名無し
12/10/08 12:35:49.77
だねー、軒並み削除されてる
328:亀頭に祈祷
12/10/08 12:36:35.90 YGmoLDAp
>>322
とりあえずムヒ塗ってサランラップで巻き巻きしました
329:ななし
12/10/08 12:37:22.31
例のウイルスのうpロダがHotfileだけど、亜種も含めて大体削除か・・・
330:名無し
12/10/08 12:37:26.57 GqgAj07X
lolってネトゲ用語じゃなかった?
laugh of loudly, laugh out loud, lots of laughtの略
いずれも爆笑の意だが、実際はかなり軽い意味で用いられる
日本で言うwや(笑)に近い
LOLwikiより
331:亀頭に祈祷
12/10/08 12:41:05.17 YGmoLDAp
<<330
亀頭lol
332:ああああ
12/10/08 12:49:07.06 SRMKzqQ3
>>328
それで大丈夫なはずです。
しばらく様子見して、問題等でたら教えてください
333:漆黒のダーク
12/10/08 12:53:10.86 XWxnetLk
ここのURLにウイルス情報ないか調べてほしいです。
協力願います。
URLリンク(www.4chan.org)
海外版の2hcのようなものらしいです
334:$
12/10/08 12:56:03.38
Hello people I came overseas from Japan
Do not you know anything about the virus problem of skype?
でおk
335:$
12/10/08 12:57:18.72
4chのInternationalの所に書き込んでくれるとうれしい
あってないかもしれないけど・・・・・
336:漆黒のダーク
12/10/08 12:57:21.27 XWxnetLk
>>334詳しくお願い
337:名無し
12/10/08 12:59:29.97
つーかそれ4chanに書き込むようなことなのかよw
338:亀頭に祈祷
12/10/08 12:59:37.67 YGmoLDAp
>>336
Hello,I am from Japan.
I Love KITO.
OK?
339:漆黒のダーク
12/10/08 12:59:42.42 XWxnetLk
4hcに書き込みます。
詳しい情報載せます。
340:No. 16
12/10/08 13:01:56.56
Non sai quello che il virus è collegata a quella americana Skype Ciao?
341:No. 16
12/10/08 13:04:00.03
English may find wrong way Skype blocking virus
I was infectedI
342:亀頭に祈祷
12/10/08 13:04:09.52 YGmoLDAp
>>340
You Love 亀頭?
343:ああああ
12/10/08 13:07:51.77 SRMKzqQ3
>>338
Oh,I live in Kanagawa!
I love xvideo ,ok ?
344:亀頭に祈祷
12/10/08 13:09:29.81 YGmoLDAp
English may find wrong way Skype blocking 亀頭
I was infectedI
345:漆黒のダーク
12/10/08 13:09:31.23 XWxnetLk
>>3414hcのスレッド情報?
346:名無しさん@いたづらはいやづら
12/10/08 13:10:45.29
>>343
おい
xvideoではなくxvideosだ
347:& ◆uF2vMFi3gwMn
12/10/08 13:11:15.76 ms2Lzrtc
사실 내 소행이었다거야! 대변 일본인 모두가!
くたばれにほんじん
348:ああああ
12/10/08 13:12:40.61 SRMKzqQ3
>>346
すいませんでした・・・
349:亀の人
12/10/08 13:12:47.21
すべては俺の自演だったんだよ!
350:漆黒のダーク
12/10/08 13:13:16.62 XWxnetLk
スレ主として怒りますよ
ここは真剣な場です、
わかりますか?
今起こっている状況を解決しなければいけません
そのためのスレです
351:タートルヘッド
12/10/08 13:14:05.65 YGmoLDAp
>>347
まじめに解決しようとしてるから、そういうコメやめようか
352:恋
12/10/08 13:15:47.34 LexniLKa
うんうん
353:NO.16
12/10/08 13:16:17.29
Play You do not know that anyone really as the end of the virus now? Troublesome and sent all the way from the earlier
347 >>
You FACK
354:タートルヘッド
12/10/08 13:17:18.67 YGmoLDAp
Play You do not know that anyone really as the end of the virus now? Troublesome and sent all the way from the earlier
347 >>
You 亀頭
355:sk
12/10/08 13:19:19.88
>>350
放送で取り上げるから楽しんで書きこむ人がいるんだよ。
明らかに意味無いのはスルーしなよ。
356:タートルヘッド
12/10/08 13:20:34.20 YGmoLDAp
>>353
翻訳してみた。
これで、亀頭の終わりとして本当に誰も知らない亀頭?勃つ以前からのすべての方法を送っ
347>>
あなたは亀頭
357:あ
12/10/08 13:20:54.37
メ:i:i:i:i:i:i〈 ,,,,,,、 ヽ:i:i:i:i:i:i:i:i:i:ヽ
〃丿:i:i:i:i:i:i:| ,〃""´`` ヽ:i:i:i:i:i:i:i:i:i:i、
ル':i:i:i:i:i:i:i:i:i:} ,,,,,,, "//´ ̄ヾi}. ヽ:i:i:i:i:i:i:i:i:i:i、
ノ:i:i:i:i:i:i:i:i:i:i:i:i{ 〃"´´`ェ、 (;;( ● ノ;ノ .V:i:i:i:i:i:i:i:i:i:}
:i:i:i:i:i:i:i:i:i:i:i:i:iハ. ii /;;/´●`;;} ヾニニ" V:i:i:i:i:i:i:i:i:i:ヽ
:i:i:i:i:i:i:i:i:i:i:i:i:i:ハ. ゙ヾヽ、__ノノ .'、:i:i:i:i:i:i:i:i:i:i:i:
:i:i:i:i:i:i:i:i:i:i:i:i:i:i} ∨:i:i:i:i:i|
:i:i:i:i:i:i:i:i:i:i:i:i:i:i} 〃 |:i:i:i:i:i:i}
:i:i:i:i:i:i:i:i:i:i:i:i:i:ハ. ,ノ/ |:i:i:i:i:i:i}
:i:i:i:i:i:i:i:i:i:i:i:i:i:i:ヘ. 、 , -":..:/ }:i:i:i:i:i:i}
、:i:i:i:i:i:i:i:i:i:i:i:i:i:i:iヽ ヽ._ ___,,-‐ウ:..:.ノ /:i:i:i:i:i:i丿
,ゝ:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:ヽ. :..:.ヽ.__,r─ -‐´ r-ノ:..:/ /:i:i:i:i:i:i:i{
:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:\ :..:..ヽ. ーー r‐':..:..:../ ./:i:i:i:i:i:i:i:i{
:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i{ }:iト、 :..:..ヽ ー、___,,r‐' ー'´/:../ ./:i:i:∧:i:i:i:i
:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i∧ハ V} \ :..:.ヽ.__' ` _/:..:/ ,, ノ:i:i:i/ ヽ:i:i}
:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:i:〉 ヽ〉|:| \._ ヾ:..:.. ̄ ̄:..:..:..:.ノ ノ r "´:i:i:i/ |ノヽ
358:NO.16
12/10/08 13:20:58.40
I live in Japan, the other has not come over here do not know
359:漆黒のダーク
12/10/08 13:21:02.63 XWxnetLk
>>355ありがとう
360:NO.16
12/10/08 13:21:56.06
>>357
It's what's stop this tongue-in-cheek
Now is the destination resolution
361:漆黒のダーク
12/10/08 13:22:32.14 XWxnetLk
>>358 ありがとう
362:NO.16
12/10/08 13:23:19.50
I saw your movie connictewa?
363:い
12/10/08 13:23:33.47
上、 /⌒ヽ, ,/⌒丶、 ,エ
`,ヾ / ,;;iiiiiiiiiii;、 \ _ノソ´
iキ / ,;;´ ;lllllllllllllii、 \ iF
iキ' ,;´ ,;;llllllllllllllllllllii、 ナf
!キ、._ ,=ゞiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii!! __fサヘ.
/ `ヾ=;三ミミミミヾ仄彡彡ミミヾ=`´ 'i、
i' ,._Ξミミミミミヾ巛彡////iii_ |
| ;if≡|ヾヾヾミミミミヾヾ、//巛iiリ≡キi |
| if! |l lヾヾシヾミミミ川|ii//三iリ `キi |
| ,if ,f=|l l lヾリリリリリ川川|爪ミミiリ=t、キi |
| ;iナ,サ |l l l リリ川川川川|爪ミミiiリ キi キi |
| iナ ;サ |l l リリリリ川川川川l爪ミミilリ キi キi |
| iサ ;サ, |リ リリ川川川川川l爪ミミiリ ,キi キi |
| iサ ;サ, | リ彡彡川川川川|爪ミミiリ ,キi :キ、 |
,i厂 iサ, |彡彡彡彡ノ|川川|爪ミミリ ,キi `ヘ、
,√ ;サ, |彡彡彡彡ノ川川|ゞミミミリ ,キi `ヾ
´ ;サ, |彡彡彡彡川川リゞミミリ ,キi
;サ, |彡彡彡彡リリリミミミシ ,キi
,;#, |彡彡ノリリリリミミミシ ,キi
;メ'´ !彡ノリリリリリゞミミシ `ヘ、
;メ ヾリリリリノ巛ゞシ `ヘ、
;メ ``十≡=十´ `ヘ、
ノ ゞ
364:名無しさん
12/10/08 13:23:54.25
昨日に続き今日もきてみた。こんにちはー。
ここまで読んだけど、
IEがバックグラウンドでDLしてくる拡散用プログラム(ランダム文字列4文字.exe)が改変されたってとこか。
365:NO.16
12/10/08 13:24:43.41
I hate insects
Please stop
366:名無しさん@いたづらはいやづら
12/10/08 13:25:30.93
ちょっとLANケーブル繋いでみようかな
367:NO.16
12/10/08 13:26:25.30
You already speak Japanese?
Looking 2ch
368:そうま
12/10/08 13:26:36.44 K08nCmdd
やっぱり何度試しても
「Internet Explorer ではこのページは表示できません」
というページに飛ばされ
インターネットが開けなくて…。
非常に困ってます
誰か助けてください。
情報を・・・。
369:ああああ
12/10/08 13:27:29.08 SRMKzqQ3
>>368
他のブラウザがあれば
それつかってください
370:NO.16
12/10/08 13:28:18.35
I want to speak English difficult Japanese
こんにちわ
371:月代
12/10/08 13:28:58.63
俺英語のやつに感染したけどIEに改変はなかった
372:名無しさん
12/10/08 13:29:05.49
>>368
ウィルス本体がIEをバックグラウンドで起動させてるんだよね。それで回線食いつぶしてるとか?
タスクマネージャでiexplore.exeを一旦強制終了させて、もう一度起動してもだめ?
373:タートルヘッド
12/10/08 13:29:07.89 YGmoLDAp
.,,,,,iiiiiiiiiiiiiiiiiiiiiiiii,,,,_
,,,,iilllllllllllllllllllllllllllllllllllllllliii,,
.,iiilllllllllllllllllllllllllllllllllllllllllllllllllllllii,,,
.,,illllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllii,
,illlllllllllllllllll!!!!!!!!!!!!lllllllllllllllllllllllllllllllllllli
.,,lllllllll!!゙゙゛ :゚゙゙!!!llllllllllllllllllllllll,
.,illllllllll :゙゙゙!!llllllllllllllli、
.,lllllllllll ゙゙!lllllllllll|
.,llllllllll! .llllllllllll
. ,,llllllllll,,,,,,,,,,,,___ lllllllllll
.,f゙.゙!lllll!lllllllllllllllllllllliii, .illllllllll
..廴 .llll゙ lllllllllllllllllllllllllllliiiii,,,,,,iiiiiilliiiiiiii,, ,lllllllllll
.レ.!レlll゙ .illllllllllllllllllllllllllllll!!lllllllllllllllllllllllllii,,,illllllllll゙
l .!レ゙°!lllllllllllllllllllllllll!゙’.lllllllllllllllllllllllllllllllllllllllll
l ,il ..゙゙!!!llllllllllll!!お ,lllllllllllllllllllllllllllll!lllll!゙,
.《゙゙`z ..,,,,wlil .l゙!llllllllllllllllllllllll!,il!゙’ .l
. ゚━l .,l!~ .,i!゙ .:゙,,゙!!llllllllllllllll!".!’,,r.l
..l ,#゜ .゙゚''゙!rillllあ.ll!  ̄” ̄ ,i!゙乂
'l .l° !, '野
《 ..liiiiii,゙゙゙!!!iiiiiii,,、 .!l ,i,,,il″
.'l .゙゙゙!lllllliiiiiii,,,,,iiii, .'l, ,,l゙”
゙┐ ゚゙゙゙!!!!!!!゙゙゙゙゙゙ ゙’ ,,l°
;ラi, ,xl″
:゚≒,,,,,,,,,,,,,,yilャl゙″
374:漆黒のダーク
12/10/08 13:30:01.87 XWxnetLk
タートルヘッドさんまじでやめてください
自重しろわかりますかね?
じゃまなんですよ
375:NO.16
12/10/08 13:30:52.18
今はウイルスがやんでるのかもしれないけど
また後からくるとかそんな展開なんだ?
376:名無しさん
12/10/08 13:30:54.12
hostsの改変とかはないよね?
377:ああああ
12/10/08 13:30:54.98 SRMKzqQ3
>>374
ほんとですよね
僕のタートルヘッドも激怒してます
378:名無しさん
12/10/08 13:31:48.54
>>374
黙ってNGしろよ
お前が構うのがうれしいんだよ。きみネット初心者?
なんか昨日からずっと見てたけど知識少ないし文章も幼いし。
379:ああああ
12/10/08 13:32:05.27 SRMKzqQ3
>>376
hostsファイルの改変はなかったです。
380:亀頭に亀頭
12/10/08 13:32:23.03 YGmoLDAp
>>374
>>377
本当ですよね!!!まじタートルヘッド消えろ!
381:ああああ
12/10/08 13:33:00.09 SRMKzqQ3
>>380
もう名前が祈ってすらねえじゃねえかww
382:NO.16
12/10/08 13:34:26.13
ああああ?さんと何とかのダークさんが放送してる人ですか?
解析がんばれです
383:亀頭に亀頭
12/10/08 13:34:38.03 YGmoLDAp
>>381
ボクは別人です!まじめに解決しましょう!
384:名無しさん
12/10/08 13:36:03.21
>>379
ありがとう。
ついでに聞くけど>>255の根拠は何?8.8.8.8はGoogleのPublicDNSだよね?
そこからpingが戻ってきたらウィルス感染ってどういうこと?
385:NO.16
12/10/08 13:37:27.39
いい加減にしてください マジメにやってください
たーとるへっど? 日本語でキチガイです
386:漆黒のダーク
12/10/08 13:38:46.01 XWxnetLk
>>384戻ってきてIEが使えないってことはIEがダメになってるってことです
もし繋がってない状態でグルグルになるのはわかりますが
つながっててIEがグルグルになってるとゆうことはIEがおかしくなって
IEが壊れてるとゆうことです
387:ああああ
12/10/08 13:39:35.68 SRMKzqQ3
>>384
Googleから応答が帰ってくる⇒ネットにつながる
IEが見れない⇒pingが帰ってくるのにIEが見れない
つまりIEがおかしい⇒他のブラウザをつかいましょう
こういうこと
388:う
12/10/08 13:39:58.12
゙=c_ \ /_っ='
く:::\ /:::>'
\::::\ ...-ー、,-─ /::::/
\ ` .-=・=- i、-=・=- /
\.. / ー-' ヽ /
{. ト--=--イ }
!.;〉 ,,,,, ,,,,, i.;.;.;.}
彡' """"''' '''"""゙゙ ヽ;.;.j
. (ヽi -=・ニ= =ニ・=- !ィ)
} ;| `'‐‐'´ノ `'‐‐'´ !;.{
ヽ| /( 。 。)ヽ 丿|.ノ
/⌒.\. ヽ: il´トェェェイli. / /⌒\
/ ノつ\.ヽ:!l |,r-r-|! //⊂ \
o0○ノ / 3 \ (::::⌒ヽ / とノ\ ヽ○0o
( /、_ノ\ Y `(_、_) / \´ )゚
\_) `ヽ : : : * : : : | (_ノ
. | `-=ニ=-) ' .:::::::|
\ `ニニ´ .:::::/
/ ー--´ ヽ:::
/ ヽ / /:::
/ /へ ヘ/ /:::
/ \ ヾミ /|:::
(__/| \___ ノ/:::
389:名無しさん
12/10/08 13:41:14.60
>>387
ああ、べつにGoogleじゃなくてもどこでもよかったのねw
ping通してネットにつながってるのかのチェックか
390:NO.16
12/10/08 13:42:24.00
一応ウイルスは感染してしまったがさっきからテレビとパソコンの様子がおかしい
それが原因か?
391:NO.16
12/10/08 13:44:08.84
一応ウイルスは感染してしまったがさっきからテレビとパソコンの様子がおかしい
それが原因か?
やらretaa
392:NO.16
12/10/08 13:45:47.93
スカイプにログインができなくなった
本格的にヤバイかもしれ
393:う
12/10/08 13:49:28.56
>>392
わろたwwwwwwwwwwwwwwwwwwwwwwwwwwwww
394:嗚呼
12/10/08 13:50:50.02
外付けHDDの属性変更?がされて中身が表示されないようになってしまったのですが戻す方法はないでしょうか?
ちょうどウイルスに感染したと思われる時間にdesktop.iniが生成されておりそれが原因かと削除してみましたが直りません。
skypeの方のウイルスファイルの削除、avastでウイルスチェックなどやってみましたが外付けの方は直らないです。
外付けに大事なファイル等保存しているのでとても困ってます。まさか外付けがやられるとは…
395:名無しさん@いたづらはいやづら
12/10/08 13:52:37.15
>>394
外付けHDDのファイル復活方法はフォルダーオプションで保護されたオペレーティング システム ファイルを
表示しないのチェックを外す。これをやって新しいフォルダ作ってデータを移すといいよ
396:395
12/10/08 13:54:45.17
んで、元々あったフォルダが半透明になったパターンのフォルダは消しちゃっていいよ
ただし、間違ってもシステム系フォルダは消さないことね
397:漆黒のダーク
12/10/08 13:54:47.23 XWxnetLk
解決方法上がりました
398:漆黒のダーク
12/10/08 13:55:29.20 XWxnetLk
・IPとくてい可能性ある
=RANケーブル引っこ抜いてさす(有線の場合)
=コントロールパネルで無効にし有効にする(無線)
399:名無しさん
12/10/08 13:56:11.92
RANケーブルワロタ
400:ああああ
12/10/08 13:56:39.85
RANけーぶるってなんだよwwwwwwwwwwwwwwwwwwwwwwwwwwwww
401:漆黒のダーク
12/10/08 13:57:06.46 XWxnetLk
・ウインドーズボタンとRを同時に押して出てきたところに
%appdata%
これを入力して
解凍したデータを消す
ゴミ箱からも削除
これでもう回ることはないと思う
skypeのツール⇒設定⇒詳細の一番下に他のプログラムからのskypeへのアクセス管理にあるやつを削除してください!!お願いします!
402:漆黒のダーク
12/10/08 13:57:53.39 XWxnetLk
・スカイプのアカウント取り直し
・セキュリティ対策
MSSEのダウンロード
403:漆黒のダーク
12/10/08 13:58:27.82 XWxnetLk
・システムの復元で戻す(復元ポイントがあれば)
ない場合(ウイルスとレジリストリで)
URLリンク(esupport.trendmicro.co.jp)
(完璧ではない)がXPでは大丈夫になった
404:ああああ
12/10/08 13:58:53.68 SRMKzqQ3
対策を実施する前に
静電気対策とかあるので
『服を脱ぐ』
これをしたほうが効果的です
405:ラ㍑たくまチャソ ◆RarITtOllo
12/10/08 14:08:00.68
スカイプのほうは直せたが
IEが開けなくなってるわ
こちらWin7
406:漆黒のダーク
12/10/08 14:14:15.51 XWxnetLk
>>405これはスカイプと個人情報流出処理なので
IEは解決できてません
スミマセン
407:ああああ
12/10/08 14:18:18.04 SRMKzqQ3
>>405
IEじゃなくてChromeとかOpera使ってください。
IEは今セキュリティーホールが出ていて危険です
408:progr
12/10/08 14:18:34.71 YOsExgAn
URLリンク(kuku.neko2.net)
に書いてある方法を実行すると、直ります
409:漆黒のダーク
12/10/08 14:23:27.94 XWxnetLk
>>408ウイルスサイトでわ
410:月代
12/10/08 14:23:55.70
>>409 俺は普通に見れた
411:漆黒のダーク
12/10/08 14:26:17.72 XWxnetLk
mjk403エラーでたよ
412:名無しさん@いたづらはいやづら
12/10/08 14:35:56.08
なんか、今日になって、大量に外部からのアクセスが来ていることが分かりました。
ノートンさんに凄い勢いではじかれています。ウィルスの影響かもしれませんね。
413:ああああ
12/10/08 14:38:15.89 SRMKzqQ3
>>412
外部からのアクセスkwsk
414:漆黒のダーク
12/10/08 14:38:31.52 XWxnetLk
>>ノートンさんが感知したとゆうことでいいですか?
415:名無しさん@いたづらはいやづら
12/10/08 14:41:32.85
ノートンさんが外部からのアクセスを感知してはじいています。
昨日までのログにはこういったものはありませんでしたので、
ウィルスの影響であることを考えています。
アクセス元のIPアドレスは様々です。
416:名無し
12/10/08 14:43:10.43 yhQhs25Y
2012年10月8日 12:40
URLリンク(hotfile.com) がファイル削除したみたいですね。
という報告を発見しました。
417:395
12/10/08 14:44:00.96
>>414
感知とは違うと思う
あくまでノートンのFWがただはじいてるだけじゃないかと
418:名無しさん@いたづらはいやづら
12/10/08 14:44:44.84
外部から接続してくるIPアドレスの内、何個か調べてみると、どうも中国のようです。
様々なIPアドレスが有ることから考えると、中国が踏み台にされているのでしょうか。
419:ああああ
12/10/08 14:46:52.34 SRMKzqQ3
超こええ
420:名無しさん@いたづらはいやづら
12/10/08 14:47:39.52
あ、イスラエルも居ました。メキシコも居ました。
これは・・・ウィルスに感染した人が踏み台にされて他のパソコンに接続しようとしているのかもしれませんね・・・
421:漆黒のダーク
12/10/08 14:48:25.86 XWxnetLk
>>418踏み台の可能性はありますね
ただ世の中尖閣諸島の問題があるので
なんとも言えませんね。
よければ情報提供しませんか?
情報まだまだほしいんで
よければ返事ください
422:名無しさん@いたづらはいやづら
12/10/08 14:49:57.69
取り急ぎ、流動IPアドレスなので、一旦IPアドレスを変更しました。
今の所、外部からの接続は見当たりません。
どうもIPアドレスも持っていかれてしまうようですね。結構悪質です。
知らない間に相当蔓延して踏み台大漁状態になってしまいそうですね。
423:名無しさん@いたづらはいやづら
12/10/08 14:52:29.87
>>421
そろそろ出かけようと思っているので、今日は余り情報提供できなさそうです(´・ω・`)
424:漆黒のダーク
12/10/08 14:53:32.63 XWxnetLk
>>422私たちも解決情報を89%わかったんですが
まだほかにも調べたいとおもうので
情報いち早く取るため協力願います
連絡先URLリンク(live.nicovideo.jp)
で掲示板から情報交換願いますってうってくれれば
425:漆黒のダーク
12/10/08 14:54:20.63 XWxnetLk
>>423とりあえず、とゆうことで・・・・
426:lotus
12/10/08 14:54:52.23
逆汗中。。。需要ある?
427:漆黒のダーク
12/10/08 15:01:26.72 XWxnetLk
対策してないひとからのチャットとURL送信止まりました
なにか関係があるんでしょうか?
428:名無しさん@いたづらはいやづら
12/10/08 15:07:28.60
>>426
あぁ、逆アセンブリか・・・需要はもしかしたらあるかもしれない。
429:漆黒のダーク
12/10/08 15:12:31.94 XWxnetLk
3時14分またURLと文章を確認しました
430:名無しさん@いたづらはいやづら
12/10/08 15:14:02.80
逆汗したいがファイルがない...
とりあえずスカイプ立ち上げて放置中
431:漆黒のダーク
12/10/08 15:15:34.26 XWxnetLk
>>430きいていいか?
最後のチャット送信から
かなり間があいてる
これはつまりPCからの送信ではなく
ウイルス作成者からの指示で動くういるすでわ?
432:名無しさん@いたづらはいやづら
12/10/08 15:17:46.38
>>431
ダークさん最後に送信されたメッセージって何時かわかりますか?
433:名無しさん@いたづらはいやづら
12/10/08 15:18:22.40
hotfileからウィルスをダウンロードしてきてキックしてURLを送る形だから、
もしかしたらhotfileがウィルス削除した結果、ダウンロードができなくなって、
停止してしまったのかもしれないな・・・(それだったら相当軟弱な作りだが・・・w)
それか友達がPC停止して寝たとか。
434:名無しさん@いたづらはいやづら
12/10/08 15:19:43.83
>>431
複数のbot→スカイプに例のURL入のメッセージ→それ踏んだやつから拡散
だろうから踏んだ奴とコンタクトとらんとダメとなるな
435:漆黒のダーク
12/10/08 15:20:57.84 XWxnetLk
えっとまず13時33分にきてチャットが停止
15時00分に再度送信を確認
436:名無しさん@いたづらはいやづら
12/10/08 15:21:54.21
>>435
と言うことはまた別の垢でウイルスを配布すしてるはず
437:名無しさん@いたづらはいやづら
12/10/08 15:22:11.81
>>435
ありがとですー
438:名無し
12/10/08 15:22:17.40
なんかウイルスをセーフモードで
PC起動すると駆除できるファイル
持ってるってコメントネットサーフィンしててみました。
439:名無しさん@いたづらはいやづら
12/10/08 15:23:07.70
そういえばこれは既出?
URLリンク(pastebin.com)
440:漆黒のダーク
12/10/08 15:24:04.98 XWxnetLk
>>438 駆除できましたか?
このウイルスはレジストリからの消去が解析の結果わかったので
それを消せるソフトなら
441:naz0ya
12/10/08 15:27:50.07
感染した状態でパケットキャプチャーした人いない?
442:嗚呼
12/10/08 15:32:56.67
>>395>>396
保護されたオペレーティング システム ファイルを
表示しないのチェックを外す
これをやってみましたが、隠されたフォルダ?等の表示がされません…
他外付けHDDのファイルを復活させる方法はないでしょうか?
443:月代
12/10/08 15:35:51.29
>>442 隠しファイルを表示するようになっているのかい?
444:名無しさん@いたづらはいやづら
12/10/08 15:38:12.43 peg3zZ5S
一度感染したけどすぐに情報集めてシステムの復元などをしたところ
外付けHDDを接続してもデータが飛ぶことはないし
IEはつながったまま途切れないし
skypeから例のURL付きメッセージもこないんだが
まだ潜伏期間でこれから発動するのかな?
445:名無しさん@いたづらはいやづら
12/10/08 15:38:22.39
誰かもともとの感染ファイル持ってる人居る?
446:naz0ya
12/10/08 15:39:07.83
>>444
botなら時間設定されてるかもね
447:漆黒のダーク
12/10/08 15:40:51.58 XWxnetLk
>>445あります
448:嗚呼
12/10/08 15:42:17.64
>>443
チェック外したら表示されました
ありがとうございます
この表示された半透明のファイルを移すというのはどうすればいいのでしょうか?
この半透明ファイルを元の隠しファイルとは違う通常表示される形式に戻すのは無理なのでしょうか?
449:lotus
12/10/08 15:43:31.81
>>441
skype_0*10*0*2_********.exeで良ければ感染させてみるけど?
450:月代
12/10/08 15:43:33.67
>>448 属性変更ツール使えば可能 コマンドでもできる
451:sk
12/10/08 15:44:08.99
>>445
URLリンク(goo.gl)(skyp-id)
でまたダウンロードすればいいんじゃないの?
452:名無しさん@いたづらはいやづら
12/10/08 15:45:27.29
>>447
もらえません?
453:月代
12/10/08 15:45:44.33
>>451 それもう消されてるわ
454:sk
12/10/08 15:46:18.78
マジか いつの間に。
455:名無しさん@いたづらはいやづら
12/10/08 15:47:03.79
451です
ウイルス対策ソフトの挙動を見たくて…
456:ab
12/10/08 15:48:26.19
>>448
>>408のurlのサイトに解決方法がある。
urlをブラウザのアドレスバーにコピペしないと見られないっぽいので気を付けて
457:名無しさん@いたづらはいやづら
12/10/08 15:49:03.06
安価間違えた452です
458:名無し
12/10/08 15:52:17.79 shH/DNYk
何度消しても消しても何度も何度もまた出てくるんです
全く意味がわかりませんん・・・・・・・・
459:名無しさん@いたづらはいやづら
12/10/08 15:53:38.16
URLリンク(hp.vector.co.jp)
このソフト便利
通信量とか接続先が確認できるから便利
460:naz0ya
12/10/08 16:06:18.17
spotfluxでIP隠せないか?
461:438
12/10/08 16:08:32.01
今、対策ファイル持ってる方と交渉してもらった所ですが、
効いたら放流するので、いいのかな、、、、ちょっとまってください。
462:lotus
12/10/08 16:09:45.64
>>460
何故に?
463:名無しさん@いたづらはいやづら
12/10/08 16:11:14.24
>>460
多分これならIP抜かれることは無いと思う
URLリンク(www.spotflux.com)
464:438
12/10/08 16:11:23.39
ファイルの配布許可貰えました。
これからセーフモードはいって、
対策してみます。
465:lotus
12/10/08 16:26:30.79
とりあえず、下に書いたURLにskype_0*10*0*2_********.exeの激流ファイルを流したから。
パスは目欄な。
URLリンク(www1.axfc.net)
466:漆黒のダーク
12/10/08 16:35:06.64 XWxnetLk
第二解析を開始
URLリンク(live.nicovideo.jp)
467:漆黒のダーク
12/10/08 16:44:39.59 XWxnetLk
Google Apps Scriptに関して知りたいです
これを利用して操作してるんじゃないかと
468:438
12/10/08 16:44:53.78
こんにちは、結果からいいますと、判断不能です、
僕のパソコンでは起動できませんでした、
ファイル受け渡し中にファイルが破損した可能性も考えられますが、
もらった人に話しかけるの話しかけづらい;
誰かこのファイル試してもらえる方いませんか?
ただ、二つつ条件あります。
・ウイルスバスターか、対策できるセキュリティーソフト持ってる方。
(受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
(安全確保)
条件を満たしていただけるようでしたら、
何らかの形でファイルお渡しします。
469:漆黒のダーク
12/10/08 16:47:54.95 XWxnetLk
私が原型に近いファイルを所持し解析をおこなってもらってます
URLリンク(live.nicovideo.jp)
ここでスカイプIDをおしえ送りたいとおもいます
よければ解析お手伝いねがいます
470:438
12/10/08 16:50:43.65
ぁー、例の方からメッセージ、来ました。
XP以下のPS(?)だた「このファイルいるよー」って、
もう一度試してみようかと思います。
471:438
12/10/08 16:52:35.40
間違い:XP以下のPS(?)だた「このファイルいるよー」って、
修正:OSがXP以下のPC(?)だと、「このファイルいるよー」って、
472:漆黒のダーク
12/10/08 17:17:56.97 XWxnetLk
仮想OS持ってる方元ウイルスファイルありますので
実行してレジストリの変化確かめれる方協力願います
473:情弱
12/10/08 17:30:00.68
ごめんなさい情弱です。
セーフモードからソフトで消してみたり、色んなソフトで試してウイルスがないって出るのにパソコンがフリーズします。
助けてください…もうどうすればいいかわかりません…
474:漆黒のダーク
12/10/08 17:43:47.23 XWxnetLk
>>473レジストリの消去ファイル特定できず、現状100%消去の可能性が低いです
レジストリの変化確認しないと・・・って感じです
とりあえずIP変更で個人情報の流出と>>50のスカイプの対処で拡散は止まるでしょう
475:名無しさん@いたづらはいやづら
12/10/08 17:43:58.13 peg3zZ5S
>>473
システムの復元はした?
476:名無しさん@いたづらはいやづら
12/10/08 17:47:47.53
IEが「s15403588.onlinehome-server.info」(213.165.71.153)にずっと接続してる
477:漆黒のダーク
12/10/08 17:50:58.84 XWxnetLk
了解です、参考にします
478:名無しさん@いたづらはいやづら
12/10/08 17:52:55.43
これは本当?
lol is this your new profile pic?から始まるメッセージのSKYPEウィルスを踏んでしまった場合
PCの電源をいれた直後にF8キーをひたすら連打し セーフモードで起動。
winキー+Rを押して ファイル名指定して実行を開く
入力欄に%appdata%といれてOK その中にある SKYPEのアイコンを右クリックで削除
その他 1.EXEや4桁のファイルでファイルサイズが60KB、もしくは24KBのファイルを削除
PC再起動
USBメモリやほかドライブへの感染もあるようです。
アンチウィルスソフトで すべてのドライブのフルスキャンかけてください。
おつかれさまでした
概要
実行してしまった場合、%appdata%フォルダ内にskypeのアイコンのEXEファイル(ファイル名ランダム)を作成し
そのファイルを実行後、ファイル自体が見えなくなり、コマンドラインからも消すことができなくなります。
また、レジストリのHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runに自信のファイルを起動時に
実行するように値を書き込みます。
レジストリを消しても直後にレジストリの値が復活します。
その後 ランダムのEXEファイルを作成し、起動します。
親exeを削除することができないため SKYPEでの連携をとめてもファイルを作成し続けます。
セーフモードで起動した場合 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runのキーの
ファイルを実行しないため 親のEXEファイルが消えません。 この状態で削除し、次回起動時に親EXEファイルを
実行させないようにして完了です。
親ファイルが作成したEXEは約60KB、もしくは24KBのランダムファイル名が作成される模様です。
479:恋
12/10/08 17:53:36.37 LexniLKa
関係があるかどうかわかんないけど
480:漆黒のダーク
12/10/08 17:53:43.68 XWxnetLk
213.165.71.153IP広場の検索によるとドイツだそうです
213.165.71.153の情報願います
踏み台の可能性も考えられますが
481:漆黒のダーク
12/10/08 17:57:33.71 XWxnetLk
>>478はさらにIPアドレスの変更で大丈夫になるかと
482:名無しさん@いたづらはいやづら
12/10/08 17:59:36.24
パケットキャプチャーで見てみると119.110.94.100ってところにつながるんだが?
483:名無しさん@いたづらはいやづら
12/10/08 18:00:28.17
74.125.235.249 アメリカにつながるw
484:漆黒のダーク
12/10/08 18:02:21.88 XWxnetLk
ウイルスにかかった人はIEで確認してどこと通信しているか早期に確認お願いします
485:漆黒のダーク
12/10/08 18:04:30.29 XWxnetLk
ウイルスかかった人IP変更でも無効の可能性あり!!
不正なIPからの接続を確認しました
486:438
12/10/08 18:04:51.76
例のファイル実行しましたが、状況改善しました。
完全かどうかはわかりませんが、ダウンロードできるようにしてみます。
下記は同意していただきたいですが、
・ウイルスバスターか、対策できるセキュリティーソフト持ってる方。
(受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
(安全確保)
487:名無しさん@いたづらはいやづら
12/10/08 18:06:45.32
60.254.154.96 a60-254-154-96.deploy.akamaitechnologies.com
192.168.3.6
203.175.180.254
488:漆黒のダーク
12/10/08 18:07:13.69 XWxnetLk
>>438それよりIEからの見覚えのないIPの確認してください
489:漆黒のダーク
12/10/08 18:07:57.85 XWxnetLk
かなりやばい状況です、IP対策とった状態からの現状です
490:ここ
12/10/08 18:09:44.60
放送どこでやってますか?
491:名無しさん@いたづらはいやづら
12/10/08 18:10:19.53
>482
それドワンゴ
492:漆黒のダーク
12/10/08 18:10:58.76 XWxnetLk
URLリンク(live.nicovideo.jp)
ここです
493:恋
12/10/08 18:11:19.57 LexniLKa
URLリンク(live.nicovideo.jp)
494:名無しさん@いたづらはいやづら
12/10/08 18:11:58.11 peg3zZ5S
>>484
確認の仕方を教えてくれませんか
495:名無しさん@いたづらはいやづら
12/10/08 18:12:20.76
先ほど急に会議から消えてすいません
にわかな知識で調べてみました。
>>476の続きです
不審なプロセス
「4D99.exe *32」が実行中
実行後更新されたフォルダ
c:\windows\inf\setupapi.dev.log(1248kb)
c:\windows\inf\setupapi.ev1(4kb)
c:\windows\inf\setupapi.ev2(3kb)
c:\windows\inf\setupapi.ev3(31kb)
c:\windows\inf\usbstor.PNF(58kb)
c:\windows\System32\DriverStore\FireRepository\usbstor.inf_amd64_neutral_0725c2806a159a9d\usbstor.PNF(58kb)
IEで一瞬「w6.hotfire.com」(199.7.177.218)に接続されました。1sもなかった
Skypeプロセスを終了後も>>476と同じ接続先に接続されてまー
496:漆黒のダーク
12/10/08 18:12:36.04 XWxnetLk
スレ主から緊急自体発生を確認をいたしました
まず、IEから、見知らぬIPから更新が来てます。
で、レジストリの変更さらにシステム復元、IPアドレス変更
できてます
かなりやばいです
497:名無しさん@いたづらはいやづら
12/10/08 18:13:49.24
URLリンク(live.nicovideo.jp)
こいつらが情弱すぎて 面白いww
498:漆黒のダーク
12/10/08 18:14:41.22 XWxnetLk
しかもくるIPがちゃんと存在するIPです。
このウイルスの被害の抜き取り被害者?と考えられます
499:名無しさん@いたづらはいやづら
12/10/08 18:18:32.04
なんでそうなるんだよ お前らはどうしてそこで被害者とむすびつけられるんだよ
500:漆黒のダーク
12/10/08 18:18:38.73 XWxnetLk
IP偽装を1件確認
確信はありませんが早期対策ねがいます
501:tamesinitukau
12/10/08 18:19:30.96
パスワードはメールアドレス欄です。
ダウンロードする際は、
下記を同意してください、おねがいします。
・ウイルスバスターか、
対策できるセキュリティーソフト持ってる方が望ましい。
(受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
(安全確保)
アドレスの先頭にhいれてください。
URLリンク(kie.nu)
>>488 さん
IPですか?
特に・・・IP確認で「なんだろう」という事はないです。
502:ここ
12/10/08 18:21:24.59
>>495の続きです
関係あるか分かりませんが…
あらたに更新されたファイル
C:\Windows\System32\LogFiles\scm\eaca24ff-236c-401d-a1e7-b3d5267b8a50(1kb)
Skypeがちょくちょく落ちる
503:漆黒のダーク
12/10/08 18:22:39.08 XWxnetLk
えーっと、ウイルスにかかったひとがランダムにしかも常に更新する
状態に陥るようです、ただしウイルスとの関係は91%です
504:438
12/10/08 18:30:43.66
一応の改善はできた対策ソフト(?、スカイプで出回っているウイルス(?))
アップロードしました、
パスワードはメールアドレス欄に書かれています、
ダウンロードする際は
以下の点に同意お願いします。
・ウイルスバスターか、
ウイルス系に対策できるセキュリティーソフト持ってる方が望ましい。
(受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
(安全確保)
↓ファイル保管アドレス
アドレス先頭へhをいれてください。
URLリンク(kie.nu)
>>488さん
こんにちは、
IEでの見覚えのないIPですか、
僕の所ではそれらしきものは見当たりませんでした、
情報、ありがとうございました。
505:ここ
12/10/08 18:31:33.07
仮想PCwin7x64で昨日で1分に1回くらい>>476の接続先にアップリンクしてる
506:名無し
12/10/08 18:41:07.30
ウイルス起動後、MSSE定義アップデート。
今MSSEでフルスキャン中。
507:情弱
12/10/08 18:45:21.73
473です。
復元で9月30日の所まで戻しました。
再発防止策としてはスカイプの確認、appdate内確認以外で何かしておくほうがよいでしょうか?
問題解決にいそしんでるときに申し訳ないです…
508:438
12/10/08 18:46:38.06
あ、>>504は、セーフモードで、使うソフトらしいです
509:漆黒のダーク
12/10/08 19:00:09.97 XWxnetLk
>>507は100%OKとは言えません
こちらは復活をかけてもどこかのIPから接続&こっちからの強制介入が
みられました、そのIPがウイルスとの関係はまだ確認されてませんが
一様気おつけてください
510:名無しさん@いたづらはいやづら
12/10/08 19:24:16.43
URLリンク(upup.bz)
作成されたexeの中身の一部
511:名無しさん@いたづらはいやづら
12/10/08 19:26:15.95
ほいもう一つ
URLリンク(upup.bz)
512:名無しさん@いたづらはいやづら
12/10/08 19:28:10.80
URLリンク(upup.bz)
513:naz0ya
12/10/08 19:30:03.25
URLリンク(upup.bz)
514:ん
12/10/08 19:36:35.43 ebKTXWM6
Fドライブって外ずけHDのことですか?
515:漆黒のダーク
12/10/08 19:41:19.07 XWxnetLk
>>Fは新しく入れらHDDだそうです
516:名無しさん@いたづらはいやづら
12/10/08 19:44:12.14
スレチで申し訳ないですが
さっき3人でウィルス議論してた方たちはもう枠取らないんですか?
517:naz0ya
12/10/08 19:46:40.97
URLリンク(upup.bz)
日本語
518:漆黒のダーク
12/10/08 19:57:25.21 XWxnetLk
>>516とってくれる人待ちですね。
枠とってた人のPCは隔離するそうなので
519:ここ
12/10/08 19:57:29.55
URLリンク(geocities.yahoo.co.jp)
URL短縮サービスにアクセス解析昨日がついてるらしい
それで日本からのアクセス(ry
520:漆黒のダーク
12/10/08 20:03:08.08 XWxnetLk
>>519とゆうことはクリックするだけで。。。。
521:名無し
12/10/08 20:11:23.60 cFnWr/v6
こういう状態なら安心だっていうのがわかればいいんですけどね
522:ここ
12/10/08 20:13:24.58
>>521
規模が大きいのにメディアとかでそんなに騒がれてないからね
不思議
こんなのLINEでやられたらどうなることだか
523:naz0ya
12/10/08 20:13:39.41
URLリンク(upup.bz)
URLリンク(upup.bz)
524:ここ
12/10/08 20:15:17.32
>>523
俺のと綴り違うけど影響してることは確かなのは分かった
とりあえずそのソースコードはどのファイルのなの?
525:naz0ya
12/10/08 20:16:38.14
>>524
例の乱数ファイル
526:名無し
12/10/08 20:17:27.74
Brnknl.exe
527:名無し
12/10/08 20:18:18.28
OllyDbgだよね?
特にパッキングとかされてないのか
528:名無しさん@いたづらはいやづら
12/10/08 20:24:32.20
ご参考
URLリンク(kuku.neko2.net)
529:naz0ya
12/10/08 20:28:20.79
>>524
例のウイルスを起動した時に生成される乱数ファイルのソースコードです
530:ここ
12/10/08 20:29:48.50
了解ですー
ありがとうございます
531:naz0ya
12/10/08 20:33:18.72
多分ylsussというのが悪さしているのかも?
っていうのが自分の意見
532:名無しさん@いたづらはいやづら
12/10/08 20:34:23.20
ワルサス?
533:漆黒のダーク
12/10/08 21:13:28.07 XWxnetLk
で、なぜ日本語になったか
なぜファイルが強制的にDLされたか
それを調べましょう
次があるかもしれませんからね
534:にん
12/10/08 21:39:04.11 9A67dMI/
感染したら共有ネットワーク?のPCもやばくなるのか?
535:_
12/10/08 21:41:40.51
てst
536:名無しさん@いたづらはいやづら
12/10/08 21:47:03.17
>>534 いまのところ大丈夫っぽい 検証した人がいる
537:そうま
12/10/08 22:34:07.17 K08nCmdd
やっぱり何度試しても
「Internet Explorer ではこのページは表示できません」
というページに飛ばされ
インターネットが開けなくて…。
非常に困ってます
誰か助けてください。
情報を・・・。
538:月代
12/10/08 22:48:00.67
>>537 現状は消すのみです
IE以外のブラウザを使用してください
539:名無し
12/10/08 22:50:31.80 cFnWr/v6
このウイルスにかかったらIE使えなくなるもんなの?
540:名無し
12/10/08 22:50:34.37
>>537
(Windows Vista以降であれば、管理者権限で起動すること。)
コマンドプロンプトで以下を入力してEnter
「netsh winsock reset」
試してみて。
541:そうま
12/10/08 22:52:45.83 K08nCmdd
>月代様
どのブラウザも表示されません
542:そうま
12/10/08 22:53:39.61 K08nCmdd
>名無し様
OSは7です
えっともう少し詳しく教えてくださるとうれしいです。
543:名無し
12/10/08 22:57:47.35
スタートボタンクリック。
「すべてのプログラム」-「アクセサリ」-「コマンドプロンプト」
これを右クリックして「管理者として実行」
黒い画面と白文字のウィンドウが表示されると思うので、
「netsh winsock reset」を入力してEnter
再起動しろとか言われるので、再起動する。
544:そうま
12/10/08 23:00:04.81 K08nCmdd
>名無し様
了解しました、やってみます。
ありがとうございます!
545:助けて
12/10/08 23:06:03.74
すいません、外出していましてスレみてませんでした。
完全に消す方法は見つかりましたか?
また、このウィルスはパソコンにどのような作用がありますか?
546:漆黒のダーク
12/10/08 23:09:37.35 XWxnetLk
今、ウイルスexeをアセンブリ言語にしてよめるようになったので
いま、やっております
今のとことIEに関してのプログラムがないです
あとコノプログラム何かと一定時間で何かと更新している模様
それがなになのか不明 わかりしだい報告します
547:みつるぎ
12/10/08 23:17:51.03 zDB+bmP1
クリーンインストールしたんですが
そのパソコンで使ってたメールアドレスを使うのってやっぱり危ないですかね?
548:漆黒のダーク
12/10/08 23:24:56.68 XWxnetLk
IEのレジストリの場所わかるひといる?
549:名無し
12/10/08 23:26:56.24
そんなことも分からんで静的解析できんのかよw
てか、IEの"何の"レジストリを知りたいの?
550:漆黒のダーク
12/10/08 23:29:47.31 XWxnetLk
exe調べた結果元のファイルをエディタしてやったんだがこれどうだとおもう?
S0040806c: 0040806c db 'ファイルが壊れています!',0
S00408088: 00408088 db 'アーカイブファイルが、オープンできません!',0
551:漆黒のダーク
12/10/08 23:34:07.90 XWxnetLk
いやみつけて、exeに検索かけたんだが・・・
0040c080 dd KERNEL32.dll_SetCurrentDirectoryA_name-IMAGEBASE
552:名無し
12/10/08 23:39:06.24
てか、解析してんのはどのバイナリなの?
553:sage
12/10/09 00:55:06.05
何このスレ
554:そうま
12/10/09 01:03:38.06 gUon89MH
>名無し様
試してみたんですけど
再起動しても何も変化無かったです::
555:sage
12/10/09 01:14:55.92
書き込んでる人たちの年齢層を知りたい
556:名無し
12/10/09 01:30:30.03
>>554
あら、LSPを修復すれば直ると思ったんだが。ごめんね。
マルウェア本体の駆除はできてるのかな?
まだマルウェアが動いてる状態だと元に戻されるのかもね。
本当はHijackThisとかでログを見て判断したいけど、ネットつながらないから無理かな・・・
557:そうま
12/10/09 01:37:18.67 gUon89MH
> 556
セーフモードで起動は駄目ですかね?
いま、セーフモードとネットワークで開けてます
558:そうま
12/10/09 01:48:24.22 gUon89MH
>>556
セーフモードで起動は駄目ですかね?
いま、セーフモードとネットワークで開けてます
559:そうま
12/10/09 01:50:01.22 gUon89MH
>>538
対応しているブラウザってなにがあるんですかね?
グーグルもIEも使えませんでした;;
560:名無し
12/10/09 01:56:28.85
>>558
セーフモードでOKってことはまだ駆除ができてないみたいだね。
URLリンク(kuku.neko2.net)
ここの駆除用バッチファイルをダウンロードして、実行してみて。
テストしてみたけど、マルウェアさえ駆除すればネットワークも復旧するっぽい。
たぶんTCP/IPレベルで通信できてないから、どのブラウザでも無駄だよ。
561:そうま
12/10/09 02:02:02.65 gUon89MH
>>560
分かりました、やってみます。
ありがとうございます。
562:そうま
12/10/09 02:03:30.50 gUon89MH
>>560
えっと
貼ってあるURLに行こうとすると拒否されます
「Web サイトによってこのページの表示を拒否されました」
563:そうま
12/10/09 02:07:31.96 gUon89MH
>>560
あっ何とか開けました。
ですが実行しても
「処理を終了しました」
となって何もなりません。
564:名無し
12/10/09 02:12:45.99
セーフモード上で実行しました?
565:そうま
12/10/09 02:14:22.58 gUon89MH
はい、「セーフモードとネットワーク」上で開いて実行しました
566:名無し
12/10/09 02:17:29.32
はて、そのバッチファイルで駆除できてないんかね~
MBAMでスキャンでもしてみるかな。
URLリンク(download.cnet.com)
このソフト使ってスキャンしてみてください。
567:そうま
12/10/09 02:19:46.86 gUon89MH
分かりました、やってみます。
568:名無しさん@いたづらはいやづら
12/10/09 04:07:20.55
そもそもこのウィルス rootkitだから 通信の状況とか深くまではみれないはずなんだが・・・
569:名無し
12/10/09 07:08:08.27
でも、ユーザーモードRootkitでしょ
570:名無しさん@いたづらはいやづら
12/10/09 08:23:11.09
ウィルス見てないから分からんけどサービスとかスタートアップは調べたのか?
571:漆黒のダーク
12/10/09 08:24:40.79 b/zJW4X4
とゆうか、結局IEが使えなくなったのはなぜ?
見知らぬIPにこちらから送信しているのはなぜ?
って疑問がのこるんだよね
572:名無しさん@いたづらはいやづら
12/10/09 08:33:39.09
homepage.infとかmsiexec.exeの書き換えじゃないんかと
IEが繋がらなくなっただけならこの可能性は高いんじゃないかと、exe自体起動しないパターンはIE破損してるとかかなぁ
そういう場合はプログラムの追加と削除のwindowsコンポーネントでIE削除してからまた追加すれば行けるかもしれんがIEのバグで起動しなくなるかもっていう
感染してないから分からんけどそう思う
573:漆黒のダーク
12/10/09 08:33:42.71 b/zJW4X4
これが、ウイルスのexeをソースでだし、エディタで返還したやつ
file:///D:/Users/FMV/Desktop/Hbdsdz.exe.asm
574:漆黒のダーク
12/10/09 08:34:45.90 b/zJW4X4
↑みすw
575:アホがeater
12/10/09 09:43:55.48
>>573
釣りでもアホ
576:a
12/10/09 11:39:14.13
これ結局、どういうウィルスなんです?
どんな影響があるんですかね?
577:_
12/10/09 11:41:56.17
ワーム
578:漆黒のダーク
12/10/09 11:46:59.74 b/zJW4X4
>>576いちよう、ウイルスのURLをスカイプチャットで送りさらに
何かしらのものをかってにDLしている
それがなんなのかはわからないが、一定の時間になると実行する
プログラムかとその他の脅威はないんじゃないかと、IP抜き取りは
まだわからないし、今は公式まち
579:漆黒のダーク
12/10/09 12:01:10.11 b/zJW4X4
これでみえるかな?
URLリンク(www.dotup.org)
580:漆黒のダーク
12/10/09 12:02:37.34 b/zJW4X4
>>579がウイルスのexeのソースをエディターで変換したやつ
で、このソースのなかにtimeってのがいくつかあるから
時間式だと、思うんだが
どうだろう?
581:名無しさん@いたづらはいやづら
12/10/09 12:48:45.67
対した知識もない奴が リーバスエンジニアリングしたものでいきがるな
おまけに、疑問がのこるんだよね・・とか 公式待ちとか
どこの公式だよwww
582:名無しさん@いたづらはいやづら
12/10/09 12:56:20.77
スレ最初から見てれば分かると思うが
にわかがハッカー()気取りしてアホみたいに騒いでるのもいれば
真面目に解決しようと努力してる方もいるしなw
583:名無しさん@いたづらはいやづら
12/10/09 13:05:20.56
漆黒のダーク
ウイルスのexeのソースをエディターで変換したやつ wwwwwwwwwwwwwww
これがソースだとでもおもっているの?w
584:名無しさん@いたづらはいやづら
12/10/09 13:06:07.16
そして都合の悪いことはすべて無視w
585:漆黒のダーク
12/10/09 13:26:37.38 b/zJW4X4
批判するならしてかまわないです。
必死に解決しようとしている人の気持ちが分かんないようですね
それそれで、私はかまわないです。
非常に残念です。
補足、公式はスカイプの公式のことですよ。
586:天才ショッカー ◆KjV5V9dJA6Be
12/10/09 13:29:12.84 LQ3QTgWK
漆黒のダークよ。ショッカー軍団に入らないか?
今なら幹部にしてやるぞ・
587:名無しさん@いたづらはいやづら
12/10/09 13:29:49.18
>>585
アンタが何したっていうんだよ
どうせ知識ないからわからないだろうがアンタのレス何一つ役立っとらんぞ
588:名無しさん@いたづらはいやづら
12/10/09 13:31:08.48
つまんね
589:漆黒のダーク
12/10/09 13:39:23.12 b/zJW4X4
>>587そうですか、お役に立てずすみません。
590:漆黒のダーク
12/10/09 13:46:31.85 b/zJW4X4
>>589は何をもとめているのやらw
591:名無し
12/10/09 13:48:42.48
自分で自分でレスするとか恥ずかしくないの?
とっとと死ねよ
592:名無し
12/10/09 13:49:54.18
>>591
自分で自分にレスするとか恥ずかしくないの?だ
間違えんなカス
593:名無しさん@いたづらはいやづら
12/10/09 13:56:57.12
揚げ足取りに必死でわろたw
どうせ例の中学生なんだろうな・・・
594:名無しさん@いたづらはいやづら
12/10/09 13:58:16.56 gay2HccI
>>587
それこそおまえは何の役にも立っていないどころか邪魔してるだけなんだけど?
595:名無しさん@いたづらはいやづら
12/10/09 14:01:08.48
もうちょっと冷静になれよ?
596:名無しさん@いたづらはいやづら
12/10/09 14:03:08.09
>>594
大人なら落ち着こうな?
子供なら仕方ないか
597:名無しさん@いたづらはいやづら
12/10/09 14:03:18.72
大手ニコ生コミュ主に放送ミラーされてバカにされてるくらいだからなw
あの大手コミュ主のほうが分かりやすく検証や駆除方法教えてくれたわ
まあ セーフモードの起動ですらめんどいっていうやつだからなww
こいつw
598:名無しさん@いたづらはいやづら
12/10/09 14:05:26.21
レジリストをレリジスト()
別
に馬鹿にしたいとかそういんじゃなくて
分かんないんだったら素直に分かんないと見守ればいいものを
調子乗るわ、大手を馬鹿にしたりとか酷いからな
599:名無しさん@いたづらはいやづら
12/10/09 14:08:15.13
あれ 漆黒のダーク だまちゃったぞ
600:名無しさん@いたづらはいやづら
12/10/09 14:09:15.63
ごめんごめんw
ちょっといじめすぎちゃったね!
役に立ってるから頑張れ!
早くセーフモードすら知らないおばあちゃんやお爺ちゃんにもできるように
頑張ってくれよ!
生放送でもそうひと達向けにも頑張る!って言ってたじゃん!
601:名無しさん@いたづらはいやづら
12/10/09 14:17:56.23
マジレスするとタスクマネージャかコマンドプロンプトからプロセス切ってWinキー+R→msconfigでスタートアップからチェック外せばいいだけだろ
ほとんどのウィルスなんてスタートアップかサービスに寄生するしかない
俺なら「アプリケーションエラー: "0x00000000"の命令が" 0x00000000"のメモリを参照しました。メモリが"read"になることはできませんでした。」
ってダイアログが出てskype.exeが入ってるフォルダに偽装したdll設置してdll優先的に読み込ました上にプロセス見てもexeが起動してないように見せかける
こんなん踏んでる>>1も相当なアホだけど、このウィルス作った奴もIE繋がらないっていうバレバレのウィルス作ってる時点でかなりのアホ
602:名無しさん@いたづらはいやづら
12/10/09 14:35:18.87
601 あまいな 今回のウィルスはrootkitだぞ
msconfigではずしたあとに再度msconfig起動するとチェック戻ってるんだぜ
レジストリ消しても、復活する。 親EXEがrootkitなので見えないし消せない
よってセーフモードで起動される前に消すが有効
603:名無しさん@いたづらはいやづら
12/10/09 14:42:14.04 qHr/8hav
漆黒のダーク出てこなくなったwwww
604:名無しさん@いたづらはいやづら
12/10/09 14:59:53.95
漆黒のダークが日本人かどうかってのも怪しいくらいだわw
スレッド を スレット とか 一応 を いちよう とかw
まぁ、小学生なんだろうけどwww
605:漆黒のダーク
12/10/09 15:11:19.34
ニホンジン ヒドイネ
606:漆黒のダーク
12/10/09 15:15:23.69 jzJM1V0J
名前パクリやめて
607:名無しさん@いたづらはいやづら
12/10/09 15:45:46.75
結局 名前パクリやめてかw
608:名無しさん@いたづらはいやづら
12/10/09 15:46:27.12
むしろこんなこと書き込んでる>1は余計にみんなに混乱を与えてるだけ
609:名無しさん@いたづらはいやづら
12/10/09 15:48:51.02
>>607
よく見ろ
IDが違う
610:名無しさん@いたづらはいやづら
12/10/09 16:09:59.88
avastでフルスキャン&ブートタイム検査
その後でESETのオンラインスキャン
これで直ったっぽいんだがなぁ・・・どうなんだろ
611:ABC
12/10/09 16:13:17.96 B3vEXiWS
スカイプ ウイルス セーフモード この3つでぐぐれ
犯人探ししてもこれだけ広がってたら簡単に見つからんと思うが
612:名無しさん@いたづらはいやづら
12/10/09 16:14:55.90
犯人を捜すのは俺たちの仕事じゃない そもそも日本人じゃないだろう
613:ABC
12/10/09 16:16:33.57 B3vEXiWS
今回のってウイルス作れるやつじゃないと解決方法わからん内容だよな
614:名無しさん@いたづらはいやづら
12/10/09 16:22:16.61
しったか乙
615:名無しさん@いたづらはいやづら
12/10/09 16:30:57.67
別にウィルスつくれなくても解決方法わかるやろ
それなりの知識があれば。
616:sage
12/10/09 16:41:48.69 brwmDHSw
最近流行ってるSkypeウィルスを綺麗さっぱり消すバッチファイル
ってやつで全部消せるんじゃないの?
617:名無しさん@いたづらはいやづら
12/10/09 16:43:21.06
消せるよ
618:a
12/10/09 17:02:56.03
>>616 これ消せるんですか?やってみよう。
619:名無しさん@いたづらはいやづら
12/10/09 17:39:56.37
いよいよ >1は雲隠れか
620:助けて
12/10/09 17:42:20.00
ちなみにこのウィルスってどのくらいの規模なんですかね?
>>616 これやった人いらっしゃいます?
621:ここ
12/10/09 17:45:30.75
情報提供ありがとうございます。
SkypeのAPIに関しての問題
ブラウザ(IEかな?)に関しての問題
ウイルスプログラムの自動インストールに関する問題
についてすべてのプログラムのパージョンで感染前の状態に戻せるという事で大丈夫ですか?
622:名無しさん@いたづらはいやづら
12/10/09 17:56:59.65
システムの復元をおすすめします
623:名無しさん@いたづらはいやづら
12/10/09 18:03:05.23
レベル低いなw
俺なら1秒で解決できないぜw
624:w
12/10/09 18:23:25.69
外付けに作られた、わざとらしいショートカットを実行しようとして、Nortonに止められたわ。
一応働いてるみたいやな。
625:名無しさん@いたづらはいやづら
12/10/09 18:45:09.39
ぬるぽ
626:ここ
12/10/09 18:46:03.39
>>624
とりあえず私も確認したら高リスク脅威と認められ、exeファイルの中身が完全に削除されたみたいです。
私はNortonなんですけども、他のアンチウイルスソフトを利用している人は、
対応情報をカキコしてくれたらありがたい。
対応している場合は、すべてのドライブをフルスキャンかけた方が良さそうですねw
627:w
12/10/09 18:59:01.96
>>626
現在、Notonで『システムの完全スキャン』してます。
現在、脅威でひっかかったのは『cookieによる追跡』だけやな。
628:漆黒のダークbyby
12/10/09 19:16:31.61 b/zJW4X4
パッチの有効性を実証し確認しました。
解決策が見つかったんで、スレ閉じます。
では、ノシ
629:天才ショッカー ◆KjV5V9dJA6Be
12/10/09 19:36:04.25 LQ3QTgWK
よかったね解決して
630: 忍法帖【Lv=8,xxxP】(1+0:8)
12/10/09 20:30:56.01 3D6xb/Gg
あっちゃー
俺もこのexe踏んじゃった・・・が
今のところなんの影響もでない
すぐノートンが動いてたから防げたんだろか
ウィルスの確認方法ないですか?
631:_
12/10/09 20:57:10.05
てst
632: 忍法帖【Lv=15,xxxPT】(1+0:8)
12/10/09 21:06:00.24
>>630
C:\Users\(UserName)\AppData\Roamingの下の方に最近が最終更新日のexeがあったら
感染してると思われ
フォルダーの開き方はwinキー+Rでファイル名を指定して実行を開いて
そこに括弧内(%AppData%)を入力する
633: 忍法帖【Lv=8,xxxP】(2+0:8)
12/10/09 21:14:25.53 3D6xb/Gg
さんくす
Skype更新日3分前や・・・
\(^o^)/オワタ
634:名無しさん@いたづらはいやづら
12/10/09 21:16:43.72
Fドライブの他にJドライブにも
RECYCRERというフォルダが作られてました
635:_
12/10/09 22:34:12.80
$Recycle.Bin
636:鴉
12/10/09 22:55:41.83
skype_09-10-2012_image.zip が飛んできて、内部に
skype_09-10-2012_image.exe を確認しました。
日本語メッセージの亜種も出回っているようです。ご注意を。
637:名無し
12/10/09 23:02:47.33
>>636
宜しければURLを教えていただきたい。
638:鴉
12/10/09 23:10:29.08
>>637
>ちょっとこれはあなたの新しいプロフィールの写真ですか?
>URLリンク(goo.gl)
というのが送られてきますね。USERNAMEは各自のスカイプIDです。
zipが落ちてくるので、内部のexeを実行で感染します。
639:名無し
12/10/09 23:26:48.32
ありがとうございます。
でも、削除されちゃいましたね・・・
640:x
12/10/09 23:29:34.55 GBeQSNxf
●中国製PC、出荷時マルウェア混入と
マイクロソフトの調査活動で判明!
中国製PCに出荷時、製造過程でマルウェアが混入されていたという、
マイクロソフトの注意喚起を知らない人、無警戒な人も多いので要注意。
中国にとって都合の悪い情報なのか、中国資本の圧力で情報削除が
されているようなので、注意喚起のために拡散を!
ネット銀行のアカウントを抜き取るもの、PC内の情報取得や漏洩を
行うもの、サイバー攻撃を隠す機能なども持つもの等がある様子。
※ソース
『中国製パソコン 出荷時 マイクロソフト 』
↑上記用語をコピーしてネット検索すれば、多数の注意喚起報告あり。
641:名無しさん@いたづらはいやづら
12/10/09 23:47:51.24
東京都足立区
642:恋
12/10/10 00:05:20.33 q624s5wv
ダークさんいますか~?
643:sage
12/10/10 00:09:42.45
結局、なんなのこのスレ
ガキが気取ってるようにしか見えんのだけど?
644:恋
12/10/10 00:38:13.19 q624s5wv
ヘルプ ミ~
645:恋
12/10/10 00:40:02.84 q624s5wv
ウイルスにスカイプ乗っ取られて
サインインできなくなりました~
646:恋
12/10/10 00:40:32.63 q624s5wv
ウイルス削除に失敗しました
647:そうま
12/10/10 01:40:08.59 n914aYnj
>>566
「クイックスキャン」でスキャンして
出てきた四つを消去したんですけど
現状は変わらず繋がってくれません。
「フルスキャン」じゃないと駄目なんでしょうか?
またそれをスキャンする場所は普通に起動した場所でしょうか?
それともセーフモードでもOK?
648:そうま
12/10/10 01:41:19.01 n914aYnj
いろいろ試してみましたが
まったく現状は変わらず
ブラウザが繋がってくれません…。
だれか、助けて。
649:名無しさん@いたづらはいやづら
12/10/10 02:32:42.11
恋さんはもう必要なデータ他に移してリカバリ=OS再インストールした方がいいよ
650:名無しさん@いたづらはいやづら
12/10/10 02:35:49.43
>>648
URLリンク(support.microsoft.com)
とりあえずここ見てIEを入れ直してみてどうなるかだね
651:そうま
12/10/10 02:43:03.10 n914aYnj
>>650
分かりました。ありがとうございます。
652:名無しさん@いたづらはいやづら
12/10/10 07:23:28.77
スレとじまーすで逃げたのか??
犯人さがすんでしょ はよw
どうせ きになってみちゃってるんでしょーww
653:漆黒のダーク
12/10/10 08:45:17.42 qKn1/jsq
みなさま、おはようございます。
昨日試したパッチではだめのようです。
>>648さんはPWを変更して乗っ取られたようなので。
やはり、セーフモードから、本体を消すしかないのでしょうかね
セーフモードから消した人は復活しましたか?
654:_
12/10/10 09:06:34.18
大変っすなあ
655:名無しさん@いたづらはいやづら
12/10/10 09:14:54.13
パッチに頼ってる時点でお前にウィルスの削除は無理
656:天才ショッカー ◆KjV5V9dJA6Be
12/10/10 09:25:21.45 pZHPYPcL
見事にゴミばっかだなこのスレ