Skype lol is this your new profile pic?

1 名前：漆黒のダーク [2012/10/07(日) 13:51:47.86 ID:1UYrwAys.net] lol is this your new profile pic? とSkypeから送られて指定されたURLに行くと ZIPをDLされ、開くと強制的にほかの人にメッセージを送られる現象について じょうほうが欲しい。誰から始まったかそれを知りたいし 解決方法も求む!! 201 名前：そうま [2012/10/08(月) 09:14:12.59 ID:K08nCmdd.net] はじめまして、はじめてここに書き込みます。 えっと俺も踏んでしまって…一度は直ったのですが 一日たつとインターネットが開けなくなってて 「Internet Explorer ではこのページは表示できません」 というページに飛ばされます。 いまは「セーフモードとネットワーク」で開き書き込んでます。 またUSBもぶっ壊れてしまいました…。 何か対処法あるのでしょうか? 本当に困ってます…情報を世としくお願いします。 202 名前：助けて mailto:sage [2012/10/08(月) 09:17:13.45 ID:???.net] Fフォルダとはなんなんでしょうか？ exeが全て悪いものって訳ではないですよね？ 203 名前：月代 mailto:sage [2012/10/08(月) 09:17:53.69 ID:???.net] >>201　USBってのはフラッシュメモリーのことだよな？ 204 名前：漆黒のダーク [2012/10/08(月) 09:18:04.64 ID:XWxnetLk.net] >>201なにかしらの対処をとった場合そのようなものになったのですか？ いま、ウイルスの進化が考えられます。 205 名前：漆黒のダーク [2012/10/08(月) 09:19:04.52 ID:XWxnetLk.net] >>202 exeがすべて悪いわけではありません 206 名前：そうま [2012/10/08(月) 09:24:17.85 ID:K08nCmdd.net] えっとフラッシュメモリです。 いろいろと対策法を試しました。 昨日はそれで直ったんですが 今日PCを開くとインターネットにつなげなくて 207 名前：月代 mailto:sage [2012/10/08(月) 09:25:44.78 ID:???.net] >>206　フラッシュメモリーの対策はしたか？ 208 名前：漆黒のダーク [2012/10/08(月) 09:26:30.09 ID:XWxnetLk.net] >>206　どんな対策をとったのか、具体的に教えていただけると幸いです 209 名前：そうま [2012/10/08(月) 09:27:06.48 ID:K08nCmdd.net] >月代様　　 どこにありますか!? 210 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 09:27:54.64 ID:???.net] 極力ネットワークに接続しないことが安全かと ターゲットが何処に居るかも確認できてないので危険です 211 名前：漆黒のダーク [2012/10/08(月) 09:28:13.49 ID:XWxnetLk.net] >>206それとスカイプのメッセージで ちょっとこれはあなたの新しいプロフィールの写真ですか？ と例のＵＲＬを送ったりしてませんか？ いま、この症例の人が一人いて、ファイルも復活してるそうです。 212 名前：月代 mailto:sage [2012/10/08(月) 09:28:29.50 ID:???.net] >>209　そういやぁまだ対策かいてなかったわ まず　服を脱ぎます 213 名前：ぽむ [2012/10/08(月) 09:30:09.29 ID:2Bna6mBT.net] ちょっとこれはあなたの新しいプロフィールの写真ですか？ のあとにURL貼られたチャットが来ました。 昨日ちゃんと対処法はしたらしいんですけど、 また新しいウイルスでしょうか 214 名前：月代 mailto:sage [2012/10/08(月) 09:30:53.86 ID:???.net] 俺の場合外付けHDDだけどまず感染前になかったフォルダ消して エラーチェックかけて属性変更ツールで元通り　 最後に復元して完了だった(復元はしなくてもいいかもしれない 215 名前：そうま [2012/10/08(月) 09:33:03.47 ID:K08nCmdd.net] >漆黒のダーク様　 俺が取った対処法は Skypeの 「ツール」→「設定...」→ 「詳細」→ 「他のプログラムからのSkypeへのアクセス管理」から消去 %appdata%でskype の中にある shared.lckを削除 %appdata%ででてきたexeを削除 msconfigでスタートUPから不明製造元不明のものを無効 バッチファイルを実行してから、Windowsを再起動 カスペルスキー 2012 30日無償試用版をDL これぐらいです。 216 名前：月代 mailto:sage [2012/10/08(月) 09:34:03.92 ID:???.net] >>206　感染してメモリー外して対策したPCに刺しなおしたた？ もし対策した状態で刺して感染したとしたらUSBでも広まるかもしれないな 217 名前：そうま [2012/10/08(月) 09:34:59.47 ID:K08nCmdd.net] >漆黒のダーク様　 いいえ、送ってないと思います。 lol is this your new profile pic? こっちではないですよね? こっちは開いたときに全ユーザーの送られてます 218 名前：月代 mailto:sage [2012/10/08(月) 09:36:40.03 ID:???.net] >>215　%appdata%のexe消すときプロセスキルしないとできないのあるよな 219 名前：そうま [2012/10/08(月) 09:37:42.63 ID:K08nCmdd.net] ＞月代様 そうなんですか?試してみます。 エラーチェック、属性変更ツールは普通に出来ますか? さしました。感染してるかもです…。 220 名前：漆黒のダーク [2012/10/08(月) 09:39:01.57 ID:XWxnetLk.net] >>216さんはファイル復活しましたか？ 221 名前：そうま [2012/10/08(月) 09:39:49.37 ID:K08nCmdd.net] ＞月代様 プロセスキルですか？ どうすれば出来ますかね? 222 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 09:41:56.66 ID:???.net] blogger.lemonkaju.net/2012/10/skype.html ここの一番下にprogramfilesにアイコンがあるとか書いてあるが 223 名前：月代 mailto:sage [2012/10/08(月) 09:44:06.23 ID:???.net] >>219　エラーは普通に出来るけど属性変更はまとめて属性チェンジャーってのを使ったほうがいい あとフォルダが全部ショートカットになってると思うけど開かないほうがいいぞ 224 名前：222 mailto:sage [2012/10/08(月) 09:44:20.13 ID:???.net] すまんh消すの忘れてた 225 名前：そうま [2012/10/08(月) 09:45:17.46 ID:K08nCmdd.net] ＞月代様 了解しました。 226 名前：月代 mailto:sage [2012/10/08(月) 09:45:19.76 ID:???.net] >>221　タスクマネージャーから出来るゾ 227 名前：そうま [2012/10/08(月) 09:46:16.94 ID:K08nCmdd.net] ＞月代様 やってみます 228 名前：月代 mailto:sage [2012/10/08(月) 09:46:55.52 ID:???.net] >>220　PCとHDD両方対策したあとだけど今のとこ再発なし 229 名前：ま [2012/10/08(月) 09:48:33.48 ID:yGIjZ5b0.net] 昨日ウイルスを踏んでしまい起動してしまったものです。 因みにPCはあまり詳しくありません。 現在拡散のほうは防げているのですが、skype の中にある shared.lckというのを何度削除しても復活して来ます。 これはやはりまだ危ないという事ですよね？ 何か教えて頂ければ幸いです。 230 名前：そうま [2012/10/08(月) 09:49:45.06 ID:K08nCmdd.net] ＞月代様 えっとタスクマネージャー→プロセスの後どうすればいいですか? exeを全て消しちゃっていいんでしょうか? 231 名前：漆黒のダーク [2012/10/08(月) 09:50:15.67 ID:XWxnetLk.net] 協力願います 送られてくるチャット文章の変化を確認してほしいです。 たとえば日本語とかに 232 名前：月代 mailto:sage [2012/10/08(月) 09:50:57.37 ID:???.net] >>230それはあかん　%appdata%にできたexeのみ消してください 233 名前：そうま [2012/10/08(月) 09:52:22.25 ID:K08nCmdd.net] ＞月代様 えっと、exeはもうありません 234 名前：月代 mailto:sage [2012/10/08(月) 09:53:52.89 ID:???.net] >>233　ならいいんだすまんかった 235 名前：漆黒のダーク [2012/10/08(月) 09:56:12.03 ID:XWxnetLk.net] 今、確認しないといけないことがあるんです。 今、チャット文章が日本語に変化してるんです。 確証がほしんです 協力ほんとに願います。 236 名前：そうま [2012/10/08(月) 09:56:46.17 ID:K08nCmdd.net] ＞月代様 いえ、ありがとうございます。 237 名前：そうま [2012/10/08(月) 09:57:21.74 ID:K08nCmdd.net] ＞漆黒のダーク様 チャット文章の変化はまだ俺のとこには無いです 238 名前：月代 mailto:sage [2012/10/08(月) 09:57:22.45 ID:???.net] おじさんちょっとニコ生でウィルスについて語る枠取るわ 情報集まるかもしれんし 239 名前：ぽむ [2012/10/08(月) 09:57:55.57 ID:2Bna6mBT.net] >>235 ちょっとこれはあなたの新しいプロフィールの写真ですか？ bit.ly/Q4PJwi?img=スカイプID っていうやつじゃないですか？ 私も知り合いから来ます。 240 名前：そうま [2012/10/08(月) 09:58:24.48 ID:K08nCmdd.net] やはりネットにつながらない。 どうにかして、ネットに繋げるようにしたいんですが…。 241 名前：ぽむ [2012/10/08(月) 09:58:41.12 ID:2Bna6mBT.net] ごめんなさいh消し忘れました 242 名前：そうま [2012/10/08(月) 09:59:52.66 ID:K08nCmdd.net] ＞222様 レジストリエディタを開いた後どうしたらいいんでしょうか? 243 名前：漆黒のダーク [2012/10/08(月) 10:00:20.17 ID:XWxnetLk.net] >>239ありです確信につながります 244 名前：漆黒のダーク [2012/10/08(月) 10:01:52.91 ID:XWxnetLk.net] うむ、昨日は英語今回は日本語進化してるのかな？ 245 名前：月代 mailto:sage [2012/10/08(月) 10:06:34.17 ID:???.net] 進化してるな　エキサイト先生に訳してもらうとこんな感じだし 日本語ができるやつが二次配布とも考えれるが 246 名前：漆黒のダーク [2012/10/08(月) 10:17:12.21 ID:XWxnetLk.net] >>245二次配布はないだろう。 同じ人から来るのが多いから 247 名前：月代 mailto:sage [2012/10/08(月) 10:18:41.43 ID:???.net] >>246　そうか 248 名前：そうま [2012/10/08(月) 10:20:43.29 ID:K08nCmdd.net] やっぱり何度試しても 「Internet Explorer ではこのページは表示できません」 というページに飛ばされ インターネットが開けなくて…。 非常に困ってます 誰か助けてください。 情報を・・・。 249 名前：_ mailto:sage [2012/10/08(月) 10:21:31.66 ID:???.net] てｓｔ 250 名前：助けて mailto:sage [2012/10/08(月) 10:22:47.45 ID:???.net] 私は外付けがないだけまだ助かったのかな 251 名前：月代 mailto:sage [2012/10/08(月) 10:24:11.84 ID:???.net] >>250　外付けはひどと思う削除自体は簡単なんだけど フォルダの表示を元に戻すのが 252 名前：漆黒のダーク [2012/10/08(月) 10:29:50.83 ID:XWxnetLk.net] 緊急会議放送やっています、情報交換お願いします。 live.nicovideo.jp/watch/lv110905653?ref=community 253 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 10:31:59.58 ID:???.net] >>242 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ここで起動時に自動実行するアプリケーションがわかる 明らかに不明なものは怪しいからググりながら解析進めるといい 254 名前：漆黒のダーク [2012/10/08(月) 10:33:39.95 ID:XWxnetLk.net] ↑ありがとうございます、解析やってみます。 255 名前：ああああ [2012/10/08(月) 10:35:07.23 ID:SRMKzqQ3.net] >>248 大変そうですね。 障害の切り分けだけ実施してみてください。 Windowsキーとrキーを同時に押したあと、 cmdと入力してください。 コマンドプロンプトを開いたら、 ping 8.8.8.8　と入力してみてください。 そこで Repry from 8.8.8.8 bytes=32 time=5ms TTL=〜〜 というのが出ればIEがｳｲﾙｽに感染しています。 IE以外のブラウザを使用するのがとりあえずの対策になります。 IE以外のブラウザが入っていない場合は、 もうちょっと対策まってください 256 名前：漆黒のダーク [2012/10/08(月) 10:35:41.83 ID:XWxnetLk.net] ただいま、ファイルの解析を行っています。 完了するまでお待ちください 257 名前：名無しさん＠いたづらはいやづら [2012/10/08(月) 10:39:03.28 ID:Y2tVqfGT.net] >>194 症例は判らないけど、犯人の目的は被害者のPCを乗っ取って犯罪に利用するためだろうね。 一度進入されたら、クリーンインストールした方が安心だと思いますよ、最悪の場合、今報道されているニュースのように 身に覚えの無い犯罪の容疑者にされる可能性もありますから。 第3者にPCを乗っ取られるとどうなるのか、専門家に聞きました。 headlines.yahoo.co.jp/videonews/fnn?a=20121007-00000041-fnn-soci 258 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 10:41:14.94 ID:???.net] 逆にコメントを英語から日本語にしたところが怪しい ターゲットが日本になってるってことだろ？ 259 名前：漆黒のダーク [2012/10/08(月) 10:49:11.52 ID:XWxnetLk.net] ちょっといいか？ファイルを誰かが改変したとは考えられないでしょうかね？ 260 名前：月代 mailto:sage [2012/10/08(月) 10:51:07.13 ID:???.net] もともと日本がターゲットで日本語から英語にて日本語に戻したとは考えられないだろうか？ 261 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 10:56:09.42 ID:???.net] 日本語になってるってことは垢が日本のってわかってるってことだよな 262 名前：漆黒のダーク [2012/10/08(月) 10:56:14.37 ID:XWxnetLk.net] 解析結果 レジリストの一部変更 スカイプの自動送信システムの作成 ウイルス作成者に強制的に個人情報を流失可能？ 263 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 10:57:29.14 ID:???.net] 感染PCを放置すると、大変な事になる場合もあるみたいです。 殺人予告:遠隔操作の可能性　捜査員「ウイルス検出困難」 mainichi.jp/select/news/20121008k0000m040079000c.html 264 名前：名無しさん mailto:sage [2012/10/08(月) 10:57:49.28 ID:???.net] ttp://kuku.neko2.net/?num=2793 ttp://blog.babibubebo.org/archives/547 ココらへん見てみると、攻撃者サーバーからのデータが変わったとか。 昨日までの削除方法だけじゃ完全じゃないみたいだ。 265 名前：†Reimu [2012/10/08(月) 10:58:02.63 ID:k7FQJHJ9.net] 英文も日本語文もチャットきただけじゃ何も起きないですよね…？ 凄い気になるんですが 266 名前：漆黒のダーク [2012/10/08(月) 10:59:21.27 ID:XWxnetLk.net] 解析結果２ スマホアンドロイド版でのウイルス感染は低いと 267 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 11:00:38.95 ID:???.net] 次枠はよ 268 名前：助けて mailto:sage [2012/10/08(月) 11:02:42.96 ID:???.net] 確実にウィルスがなくなったと確認する方法はないの？ 269 名前：漆黒のダーク [2012/10/08(月) 11:05:10.13 ID:XWxnetLk.net] >>265ＵＲＬにいかない限りだいじょうぶだと思います 270 名前：月代 mailto:sage [2012/10/08(月) 11:05:17.98 ID:???.net] 次枠は？　取らないなら俺が取るが 271 名前：漆黒のダーク [2012/10/08(月) 11:06:17.54 ID:XWxnetLk.net] >>270 とりますよ 272 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 11:06:21.48 ID:???.net] >>270 11:30から予約枠でやるらしい 273 名前：†Reimu [2012/10/08(月) 11:06:28.58 ID:k7FQJHJ9.net] >>269　URLは完全にスルーしてますｗ 今のとこ、チャットきてるだけは大丈夫なんですね 274 名前：月代 mailto:sage [2012/10/08(月) 11:07:22.29 ID:???.net] 了解　 275 名前：月代 mailto:sage [2012/10/08(月) 11:09:33.66 ID:???.net] USBで広がるかも知りたいところだな 276 名前：名無し mailto:sage [2012/10/08(月) 11:10:56.77 ID:???.net] 日本語版はMSSE検知なし 今からMSに提出 277 名前：漆黒のダーク [2012/10/08(月) 11:11:16.15 ID:XWxnetLk.net] >>275了解　聞いてみます 278 名前：漆黒のダーク [2012/10/08(月) 11:12:41.17 ID:XWxnetLk.net] >>276了解です、対処考えます 279 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 11:12:43.73 ID:???.net] >>276 頼みます 280 名前：助けて mailto:sage [2012/10/08(月) 11:16:45.61 ID:???.net] このウィルスが完璧に消えたって人は居るの？ 281 名前：漆黒のダーク [2012/10/08(月) 11:17:24.31 ID:XWxnetLk.net] 新たな可能性を確認 コンタクトを自動で送るexeの起動を確認 コンタクトを申請しＵＲＬと例の文章を発行 282 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 11:17:44.72 ID:???.net] >>280 完全に消えたかどうか確認する根拠が無い 専門家からの発表もないままだから… 283 名前：月代 mailto:sage [2012/10/08(月) 11:18:26.25 ID:???.net] 恐らくだが俺は消えたと思われる 284 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 11:18:33.53 ID:???.net] >>281 これはひどいな 285 名前：月代 mailto:sage [2012/10/08(月) 11:19:35.39 ID:???.net] サイバーテロでいいよなもう 286 名前：漆黒のダーク [2012/10/08(月) 11:19:45.22 ID:XWxnetLk.net] >>280現状確認できてません。 287 名前：名無し [2012/10/08(月) 11:21:16.85 ID:tGL8bBRk.net] 感染の恐れがある場合はどうすればいいのだろうか。 288 名前：月代 mailto:sage [2012/10/08(月) 11:21:41.16 ID:???.net] >>287　ネットから切断 289 名前：漆黒のダーク [2012/10/08(月) 11:21:45.49 ID:XWxnetLk.net] >>283油断しないでください 解析の結果ウイルス側 290 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 11:21:56.46 ID:???.net] SkypeのAPIでここまでなるとは・・・ 291 名前：月代 mailto:sage [2012/10/08(月) 11:22:43.85 ID:???.net] >>289　油断はしてないさ 292 名前：漆黒のダーク [2012/10/08(月) 11:29:53.18 ID:XWxnetLk.net] 生放送開始しました。 live.nicovideo.jp/watch/lv110908987?ref=community 293 名前：ゲーム放送部 [2012/10/08(月) 11:29:56.04 ID:ts5a3HS/.net] live.nicovideo.jp/watch/lv110910242 放送部の生 詳細 A4B1.exeが　Skypeに申請　タスクマネージャの　プロセスにこのEXEがあった もう１個は 　 　536.exe*36が　Skypeに申請　タスクマネージャの　プロセスにこのEXEがあった この２つは　時間になると停止 294 名前：ｓｋ mailto:sage [2012/10/08(月) 11:34:12.99 ID:???.net] Vvswsrってなんだ？ これがMSEでワームとして削除され、起動プログラムにも入ってたからチェック外しといたんだが。 295 名前：助けて mailto:sage [2012/10/08(月) 11:35:09.26 ID:???.net] 私はURLが送られてきてクリックをしました ですがファイルを保存するではなく、プログラムで開くをクリックしたのですが これでも感染はしているのでしょうか？ 今はwinキー＋Rでskypeファイルを適当に消すのと skypeツール→設定→詳細→他のプログラムから って奴をやりました。 Skypeファイルの場合何を消していいのかわからないので、適当に消しましたが 今現在、再起動しても勝手にURLが送信されるという事にはなってません 復元はまだです。 296 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/08(月) 11:36:12.55 ID:???.net] >>294 LANケーブル抜くの推奨 297 名前：ｓｋ mailto:sage [2012/10/08(月) 11:39:43.23 ID:???.net] ついでに参照したらこれ出たんだけど意味あるの？↓ www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Worm%3aWin32%2fDorkbot.I&threatid=2147646554 298 名前：漆黒のダーク [2012/10/08(月) 11:40:40.07 ID:XWxnetLk.net] ただいま、強制的にファイルをインストールされたとゆう きました 299 名前：ゲーム放送部 [2012/10/08(月) 11:42:47.82 ID:ts5a3HS/.net] EE1.exe*32確認 ＞＞293　の*36ってやつは*32です 300 名前：助けて mailto:sage [2012/10/08(月) 11:47:44.50 ID:???.net] 俺もメモリ食ってるから感染してるのかな… 301 名前：名無しさん＠ mailto:sage [2012/10/08(月) 11:48:08.95 ID:???.net] Avast大先生にいろいろヤって貰ってとりあえずは収まったみたいなんだが、油断ならない状況だな 今のところ俺みたいな素人に出来るのはこれくらいっぽい。基本ROMだがここは定期的に確認します。 >>295 俺も保存してないけどこのざまだから多分開いたらアウト 同じく適当に消してAvast大先生に2時間くらいハッスルして貰ったら多少楽になった。

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef