Skype lol is this your new profile pic?

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 2ch.scのread.cgiへ]
Update time : 11/28 19:49 / Filesize : 159 KB / Number-of Response : 726
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：漆黒のダーク [2012/10/07(日) 13:51:47.86 ID:1UYrwAys.net]: lol is this your new profile pic? とSkypeから送られて指定されたURLに行くと
ZIPをDLされ、開くと強制的にほかの人にメッセージを送られる現象について
じょうほうが欲しい。誰から始まったかそれを知りたいし
解決方法も求む!!
84 名前：おなぬーますたー [2012/10/07(日) 16:44:25.82 ID:moyYDNz/.net]: で
このウイルスは何をするんだよ
個人情報でも流出させんの？
85 名前：名無し mailto:sage [2012/10/07(日) 16:47:57.17 ID:???.net]: MSSE:駆除
Norton:"脅威なし"
86 名前：漆黒のダーク [2012/10/07(日) 16:48:49.23 ID:1UYrwAys.net]: >>82 復元は突発的に復活する可能性あるので>>50参照
87 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 16:49:07.05 ID:???.net]: >>83
なるほど。ご参考までに、自分のOSはWin 7 64です。
88 名前：名無しさん mailto:sage [2012/10/07(日) 16:50:42.66 ID:???.net]: >>84
>>33が事実なら、他のウィルスをダウンロードしている可能性がある。
俺は>>26だけど、そのときはVundoとかいろいろDLされた

決して、
SkypeでのURL拡散が止まったからウィルス駆除完了したとは考えないこと。
裏で怪しいプロセスが動いていないか、ネットワークが動いていないかをきちんと見守ること。
89 名前：名無しさん＠いたづらはいやづら [2012/10/07(日) 16:51:59.61 ID:p1F7I01z.net]: >>3
某サイトでは消すのはshared.xmlであって
shared.lckは消すなって書いてあるが・・・。

ていうかそもそも今回の件でいうと感染した場合
roaming内に直接スカイプアイコンのexeが生成されるらしいから
それを消すのがとりあえずの方法じゃねーかな
90 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 16:54:41.47 ID:???.net]: 自分はavastとMSSEとNortonの3重でスキャン中です。
まだ見つかっていないウィルスが後々検出される可能性もありますが。
91 名前：漆黒のダーク [2012/10/07(日) 16:55:19.19 ID:1UYrwAys.net]: >>90結果まってます
92 名前：名無しさん mailto:sage [2012/10/07(日) 16:56:50.60 ID:???.net]: 感染した人のshared.lckってファイルサイズがいくらかあるの？
通常は中身は何もないと思うんだけど。消して意味があるのか疑問。

shared.xmlはSkypeに接続できない不具合のときに消すと復旧するっていうファイルだし、
ということは接続先とか各種設定を保存したものなんじゃないのかな
だからそのファイルが改竄されて悪用とかならありそうだけど。
93 名前：名無しさん [2012/10/07(日) 17:04:14.89 ID:ZaH1LBxg.net]: exe.を踏まなければいいのか？
それともzip.を開いた時点でアウト？
94 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 17:04:56.84 ID:???.net]: >>91
目ぼしいファイルを削除した後なので、ウィルスは殆ど見つかりませんね。
唯一見つかったのは、>>77で見つけたショートカットのコマンドをコピー・保存していたテキストファイルのみですｗ

ひとまずはこれで対処は終わりとしたいですが、
まだウィルス対策ソフトが対応していないウィルスが後で見つかることもあるので、
油断は禁物ですね。

やはりできる人はクリーンインストー（ｒｙ
95 名前：名無しさん＠いたづらはいやづら [2012/10/07(日) 17:05:09.07 ID:p1F7I01z.net]: >>93
exe開いた時だよ

まぁ念のためにスキャンはやっとくべき
96 名前：名無しさん mailto:sage [2012/10/07(日) 17:05:09.81 ID:???.net]: ニュー速から

25 ：黒トラ(大阪府)：2012/10/07(日) 16:48:17.89 ID:Xa9fsuCU0
MSSE:駆除
Norton:"脅威なし"
97 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 17:06:00.82 ID:???.net]: >>93
基本的にはexeファイルが実行されていなければ問題無いはずです。
念のため、上の方の対策をしておいても良いかもしれません。
98 名前：名無しさん [2012/10/07(日) 17:06:05.06 ID:ZaH1LBxg.net]: >>95
ありがとう。
一応avastやっとくわ
99 名前：漆黒のダーク [2012/10/07(日) 17:07:16.93 ID:1UYrwAys.net]: ウイルス名判明しました
wormウイルスだそうです
詳しいことはURLへ
e-words.jp/w/E383AFE383BCE383A0.html
100 名前：名無し [2012/10/07(日) 17:08:00.61 ID:7p/nzXS4.net]: avastでスキャン途中だが、Ihoyog.exeってのが隔離された
URL踏んでからAviraが起動できなくてAvast入れたんだが、
２週間前のフルスキャンじゃAviraは何も検出してなかったから、たぶんこれかな
101 名前：漆黒のダーク [2012/10/07(日) 17:08:50.42 ID:1UYrwAys.net]: wormで気になる点ががある
破壊的症状とゆうのがまだでてない
繁殖はしているが・・・
ぐぬぬ
だれかしれべてくれないか？
102 名前：名無しさん mailto:sage [2012/10/07(日) 17:09:29.10 ID:???.net]: レジストリとかまだ一時的な削除のほかのまとめは無いのかな？
103 名前：漆黒のダーク [2012/10/07(日) 17:09:33.54 ID:1UYrwAys.net]: >>100了解した
104 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 17:25:32.27 ID:???.net]: 収まった模様です。自分のやったことを記載しておきます。

「AppData\Roaming\Skype」内を全消去
→右クリックで消せないものはタスクマネジャーでプロセスを停止してから消去

本日変更が有ったファイルを検索して全消去
→システムファイル等の消しにくいものは残しておいた。
→この時、メールデータも一緒に削除してしまったので、復元をするハメに。

システム再起動(裏でダウンロードがスケジュール実行されているような・・・)

システムの復元で昨日まで戻す

新しいSkypeアカウントで実験開始。URL送付なし。問題無さそう。
その他いくつかのウィルス対策ソフトでスキャン。問題無さそう。
→新種のウィルスで後で見つかる可能性も有る。
105 名前：漆黒のダーク [2012/10/07(日) 17:29:18.78 ID:1UYrwAys.net]: >>104やはりどこかにファイルの一部が残っている場合があるんですね
106 名前：名無しさん mailto:sage [2012/10/07(日) 17:33:34.60 ID:???.net]: >>99 >>101
WORMってのはウィルス名というよりジャンルだな、というのはおいといて。

>>33にあるIEが別のウィルスをダウンロードしてるという件は大丈夫なの？
skypeに拡散するためのワームなんてただのきっかけの用途なんじゃないのかな
107 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 17:39:14.43 ID:???.net]: >>106
>>33です。大丈夫であるという断言はできませんが、
どうも自身と同じような類のウィルスをダウンロードしてきていたようなので、
基本的には上記対策で解決可能なのではないかな、と思います。

ダウンロードしてきていたファイルは全部Nortonで確認していました。
ダウンロード先はRoaming\Skypeの所で、
ダウンロードされてきたファイルを実行してSkype APIで他の人にメッセージを送っている模様でした。
実際、ダウンロードされた瞬間、プロセスにそのexeが追加され、Skypeでメッセージが飛んでいました。

いくつかNortonさんにスキャンしてもらっていたのですが、Nortonさんは無反応でした。
(というよりも無反応だから自動ダウンロードができていたというか。)
108 名前：名無し [2012/10/07(日) 17:39:14.95 ID:PJaBgGQ7.net]: https://www.virustotal.com/file/51100553d15597e9d0ca98aa0f3be3ab5a49c0ca10808456b7a92884296e1b68/analysis/
109 名前：漆黒のダーク [2012/10/07(日) 17:40:56.25 ID:1UYrwAys.net]: >>106 >>107 ありがとうです
110 名前：ななし [2012/10/07(日) 17:42:45.29 ID:XfJlPNxs.net]: 対応した手順↓
①skype→ツール→設定→詳細→詳細設定→ほかのryからアクセスの削除
②windowsキー+Rで"%appdata%"→見慣れないexeファイル（スカイプアイコン等の、
自分は２個だった）削除
③windowsキー+Rでmsconfig→スタートUPから不明製造元不明のものを無効に（↑
で削除したファイルと同じ名前のものがあったので）
ちなみに私のはEdrirmという名前でした。

ウイルス感染時にはIEやクローム等が使えなくなる程度の症状でしたが
現在は回復

しかし気になることが
skype→プロパティ→セキュリティに不明なアカウントが追加（多分）されていました
skypeプロパティは初めてみるのであったのか知りませんが、怪しい　と
削除しようとしたところ、親からアクセス許可を継承してるためオブジェクト
が削除できないとのことでした。

皆さんはどうでしょうか？ということと
問題であれば対応方法を教えていただきたい
111 名前：太郎 mailto:sage [2012/10/07(日) 17:51:09.65 ID:???.net]: おれっちはwin732bit IE9なんだけどIEがタスクバーからは起動できなくなったなー
他のブラウザから2chとか開いて安価とかクリックするとIEが起動するんだけど
なんか設定変えられたんかね？それともまだ残ってるのかな？
112 名前：名無しさん mailto:sage [2012/10/07(日) 17:55:00.17 ID:???.net]: >>107
なるほど。Skype APIを使って送ってるのね
DLしている別のウィルスも役割が同じだとすれば、
>>50の方法で少なくともSkypeへの友達の拡散は止められるし、それでだいたい解決みたいですね
113 名前：名無しさん mailto:sage [2012/10/07(日) 17:56:46.82 ID:???.net]: >>108
virustotalありがとう
まだまだ大手は壊滅に近いな
114 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 17:59:06.76 ID:???.net]: 送られてきた奴踏まなければ送られてくること自体以外は被害なし？
115 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 18:01:59.84 ID:???.net]: >>112
それで一筋縄にはいかなくて、ダウンロードされてきたウィルスにも新たにskypeへのアクセス権が追加されていますｗ
ですので、定期的にダウンロードしてくる元を絶たないといけないのです。

どうも色々な人の対処策を比較して考えてみると、
再起動をすると、ダウンロードがされなくなるようです。

ですので、何回消してもウィルスソフトがダウンロードされてきて止まらない、という場合には、
再起動やシステムの復元などをお試しください。

>>110
自分のアカウントは特に変化はないように思いました。
AdministratorsとUsersとSystemです。

ただ、この辺り詳しくないので、ほかの人の続報を待ちましょうか。
116 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 18:02:45.01 ID:???.net]: >>114
無いはずです。
117 名前：漆黒のダーク [2012/10/07(日) 18:03:34.66 ID:1UYrwAys.net]: >>115感謝です。その他情報まってます。
それとこのウイルスはかなり昔からあるそうです
118 名前：名無しさん mailto:sage [2012/10/07(日) 18:04:10.81 ID:???.net]: >>50の
凍結したデータを消す
ってどういう意味？
119 名前：ｓｋ mailto:sage [2012/10/07(日) 18:05:32.36 ID:???.net]: >>107
%appdata%のskype内のデータは全て消しましたが、再起動すると%appdata%内に４～３ケタの英数字アプリケーションが再出現します。
これらはスカイプの設定の他のプログラムからのskypeへのアクセスを管理で出てくるアプリケーションと同じものです。
これが発生しない方法はないのでしょうか？
120 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 18:11:26.61 ID:???.net]: >>119
私は>>104で防止できました。

システムの再起動だけで防げない場合、システムの復元も行った方が良いかもしれません。
また、MSSEやAvast(両方無料)が本ウィルスに対応しているようなので、そちらでのスキャンも実施した方が良いかもしれません。
121 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 18:12:37.58 ID:???.net]: あ、あと、Fドライブのフォルダにウィルスソフトとウィルスソフトを起動する似非ショートカットが作られていたので、
そちらの削除も必要だと思います。
122 名前：漆黒のダーク [2012/10/07(日) 18:14:00.17 ID:1UYrwAys.net]: >>120 >>121 ありです、今後もお願いします
123 名前：名無しのiPhone使い [2012/10/07(日) 18:18:44.45 ID:V14yAtdG.net]: ちなみにこれってiPhoneでも感染するのかな？気がつく前に間違って押したら「ダウンロード出来ません」って出てダウンロードに失敗したみたいだけど...
感染しているかどうか確認する方法があればな...
124 名前：名無しさん mailto:sage [2012/10/07(日) 18:19:06.25 ID:???.net]: >>115
ほうほう。IEにそうさせてるものが何かはまだ不明というわけだね

ということはこういう感じかな
1.友人からlol is this your new profile pic?の発言とともに、skype_06102012_image.zipが送られてくる。
2.skype_06102012_image.zipの中身はskype_06102012_image.exe。実行すると感染。
3.感染するとskype_06102012_image.exeがその場から消えるが、バックグラウンドでIEが起動。
4.友人に拡散するための実行プログラム(ランダムのアルファベット4文字.exe)を%AppData%\Skype\内にダウンロード？
5.SkypeAPIを利用し、友人への拡散を実行する。
skype_06102012_image.exe本体が消えた(移動した？)後に、IEを制御しているプログラムは今のところ不明。

っていうところかな？（あくまで推測
125 名前：名無しさん mailto:sage [2012/10/07(日) 18:21:58.91 ID:???.net]: >>123
確実なことは言えないけど、
あくまで実行ファイルはWindowsでしか実行できないexeなのでiOSではおそらく問題無い。
wine系のWindowsエミュレータ(?)を入れていない限りはMacも同様。
126 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 18:25:29.62 ID:???.net]: >>124
自分の認識でもそんな感じです。
127 名前：漆黒のダーク [2012/10/07(日) 18:37:57.99 ID:1UYrwAys.net]: このウイルスは変化する可能性はあるのかな？
128 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 18:39:22.56 ID:???.net]: 症状にばらつきがあるので、もしかしたら様々な亜種が有る可能性は有ります。
129 名前：ｓｋ mailto:sage [2012/10/07(日) 18:40:23.98 ID:???.net]: >>120
システム復元はなぜかエラーがでてうまくいきませんので、なんとかして取り除く方向で頑張りたいです。
MSSEをダウンロードしてみます。
あと、Fドライブはなく、CドライブとDドライブなわけですが、擬似ショートカットの見つけ方がよくわかりません。
どうするのがよいのでしょう？
130 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 18:44:02.67 ID:???.net]: >>129
Windowsのファイル検索機能で本日作成されたファイルを全て検索し、
その中から「ショートカット」を探して削除するのが良いと思います。
他にも怪しいファイルが有れば削除する方が良いかもしれません(大事なファイルは消さないように気を付けて・・・)。

普通のショートカットと似非ショートカットの見分け方ですが、
右クリックでプロパティか何かを見た時に、
変なコマンド(%System32%/cmd.exe "start・・・"みたいな)が入っているものが似非ショートカットです。
131 名前：名無しのiPhone使い [2012/10/07(日) 18:44:38.07 ID:V14yAtdG.net]: ＞＞125
情報ありがとうっす...てかよく考えたらそれ以前に落とせませんでしたからね。
一応Macに繋いじゃったんでavast先生に診てもらってます。
132 名前：名無しさん mailto:sage [2012/10/07(日) 18:47:51.18 ID:???.net]: >>129
フォルダオプションを開く(エクスプローラ上で、Altキー⇒ツール⇒フォルダオプション)
↓
表示タブ
↓
隠しフォルダが見えないようにしてあるなら、[すべてのファイルとフォルダを表示する]を有効にする。
もうひとつ、一番下の方にある[保護されたオペレーティングシステムファイルを表示しない(推奨)]のチェックをはずす。
なんか警告出るけどここは無視。
各ドライブ上に、$RECYCLE.BINもしくはRECYCLERフォルダ(どちらもの可能性)が表示
あとは中身を探してみてくれ
133 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 18:48:55.65 ID:???.net]: >>129
そうだあと、窓+Rでmsconfigを起動してスタートアップにウィルスファイルが含まれていないか見ておいた方が良いと思います。
そういう報告が有ったので。

タスクマネジャーでiexplorerのプロセスも切っておいた方がより安全かも。
134 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 19:01:32.39 ID:???.net]: 僭越ながら現状まとめ

　・「AppData\Roaming\Skype」内を全消去
　　　(消去できないexeファイルはタスクマネジャーでプロセス停止してから消去)
　・本日変更が有ったファイルを検索して怪しい物(exe、ショートカット、等？)を全消去
　・各ドライブの中のゴミ箱の中身をすべて削除
　・ msconfigでスタートアップに入っているウィルスソフトを消去
　・ iexplorerのプロセスを停止
　・システム再起動orシステムの復元で感染前に戻す
　・ AvastやMSSEでスキャン
135 名前：ｓｋ mailto:sage [2012/10/07(日) 19:09:13.95 ID:???.net]: >>132
$RECYCLE.BINが表示されました。
が、中身はゴミ箱と、「S-1-5-21-1928356326-1789006262-1695655949-1003」とかいう長ったらしい名前のフォルダが一つでした。
何か原因があるのでしょうか。

>>130
検索が終わりましたが、今日の日付で更新、作成されたものはひっかかりませんでした。
136 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 19:11:43.97 ID:???.net]: >>135
じゃあショートカットの件は大丈夫そうですね。

ゴミ箱の中にexeファイルが有れば消去しておいてください。
S-1-・・・・・はなんだったかな・・・
137 名前：名無しさん mailto:sage [2012/10/07(日) 19:24:16.78 ID:???.net]: >>135
S-1-なんたらかんたらは、ゴミ箱に入っているゴミファイルだった気がする。俺もずいぶん前からあるよ
今回の件とは無関係のはず
138 名前：137 mailto:sage [2012/10/07(日) 19:25:55.49 ID:???.net]: あ、でも、>>136さんの言うようにもしゴミ箱内にexeファイルがあったら消しておくとおｋ
139 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 19:28:57.57 ID:???.net]: IE開けなかったわけではないけど、ネット接続がプツプツ切れた
ネットワークと共有センターの状態を表示→診断でなおせた。
これでIEを使うことができたんだけどこの情報役にたたないだろうか

ついでに復元しただけでなおったけど、他になにもしなくていい？
140 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 19:34:08.97 ID:???.net]: >>139
もしかしたらそのままでも良いかもしれませんが、どこかのドライブのフォルダ等にウィルスが残っている可能性が有るので、
>>134等の手順を踏んでPC内からウィルスを削除することをお勧めします。
141 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 19:44:21.08 ID:???.net]: skypeのパスワードも変更しておきました
142 名前：名無しさん mailto:sage [2012/10/07(日) 19:46:48.13 ID:???.net]: 対処プログラム(Win7用)
www1.axfc.net/uploader/Sc/so/383995.zip
問題のファイル削除とレジストリ内自動起動設定解除と
Skypeの設定変更。※IEとウイルスの強制終了も
よく分からん奴はこれ使え
143 名前：名無しさん mailto:sage [2012/10/07(日) 19:49:53.90 ID:???.net]: 嫌儲とニュー速にも貼ってあったけど怖すぎワロタｗｗ
144 名前：名無しさん [2012/10/07(日) 19:50:31.63 ID:6Bgszm6S.net]: lol is this your new profile pic?
これでDLしたソフト名「AutoKMS」
このフォルダorインストーラーがトロイの木馬をマンエンさせてる
ソフトです
ウイルスバスターなどでサーチかけてください
145 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 19:54:18.73 ID:???.net]: >>142
AppData\Roaming\内のexeファイルを事前に消してから
試しにやってみたが、ウィルスが見つからないって言われたな。
146 名前：ｓｋ mailto:sage [2012/10/07(日) 19:56:03.32 ID:???.net]: よくわからないが、Avast入れたら復活しなくなった。
効果があったということなのかよくわからん。
>>142
vista用はないのですかっ
147 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 19:59:06.12 ID:???.net]: >>146
vistaと7って基本的なアーキテクチャーは同じじゃなかったっけ。
結構、vistaでも動きそうな気がする。

まぁ・・・善意から作られているのかもしれないけど、
ちょっと怖いけどね、こういうexeを実行するのはｗ
(今日のウィルスの件も有ったことだし。)
148 名前：名無し mailto:sage [2012/10/07(日) 20:03:14.98 ID:???.net]: 自分もついふんでしまったのでPCを2日前に復元したんですが
復元じゃ意味ないですか？
149 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 20:04:39.02 ID:???.net]: >>148
症状は出なくなるかもしれませんが、
PCの中にウィルスが残っている可能性が有り、
その駆除が必要であると思います。

手順として>>134が有ります。
また、Skypeのパスワード変更もしておいた方が安心でしょう。
150 名前：ｓｋ mailto:sage [2012/10/07(日) 20:04:49.20 ID:???.net]: >>147
やってみたら同じく「見つからない」って言われました。
無いとみていいのか…
151 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 20:06:08.59 ID:???.net]: >>150
上記ソフトウェアの仕組みが正確には分かりませんが、
より確実に対処したい場合は>>134やウィルススキャン等を実施するのが良いと思います。
152 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 20:08:39.49 ID:???.net]: まぁ一番確実な対処はクリーンインストー（ｒｙ
153 名前：ｓｋ mailto:sage [2012/10/07(日) 20:14:08.43 ID:???.net]: とりあえず、MSSEでもAvastでも異常が見つかりませんでした。
とはいえ、既にノートン入れてるのにこんな２つも常駐させたくもなく…。
Avastを停止させたらまた復活し出すのかと疑問符です。

クリーンインストールは出来ればしたくないな…。
154 名前：ななす mailto:sage [2012/10/07(日) 20:14:51.35 ID:???.net]: 俺ん所にも届いたよ
これ個別に履歴削除って出来ないもんなのか？
155 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 20:15:30.61 ID:???.net]: >>>153
まだ正確な情報もなく、実験されてないので良く分からないですね・・・(T_T)
156 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 20:17:50.69 ID:???.net]: >>154
Skypeのデフォルト機能では「履歴の削除」でまとめて消すことしかできなさそうですね。
157 名前：yolu mailto:sage [2012/10/07(日) 20:29:55.74 ID:???.net]: mac使ってるんですが、
avast!でHomeにサーチかけたところ、
warning3とでたんですが、どうしたら良いんでしょうか・・。
158 名前：ななす mailto:sage [2012/10/07(日) 20:32:01.47 ID:???.net]: >>156
レスありがとう。触らないようにするわー
159 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 20:36:43.22 ID:???.net]: >>158
ご参考まで。

Win7だと、
C:\Users\*********\AppData\Roaming\Skype\****skypeユーザ名****\charsync

あたりに会話履歴が保存されているようです。
メッセージが飛んできた時間等からファイルを特定して削除すると良いでしょう。
中のdatファイルをUTF-8で開くと若干、中身を読むこともできます。

(実際に自分でやったことはありません。不具合が有るかもしれません。実行は自己責任でお願いします。)
160 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 20:38:57.20 ID:???.net]: あぁでもダメか・・・結局サーバ側からまた会話履歴をダウンロードしてくるから・・・
161 名前：fa [2012/10/07(日) 21:07:29.82 ID:7uwyHL9r.net]: URLクリックだけしちゃってexe実行とかしてない人は何消せばいいんだろう
162 名前：名無しさん＠ mailto:sage [2012/10/07(日) 21:07:51.95 ID:???.net]: ウイルス踏んじまってとりあえずavast!を導入したものの
どうしていいかさっぱりわからない

フォルダ全表示しても「AppData\Roaming\Skype」が出てこないけど、
とりあえず上に書いてあることで出来ることをやっていけばおｋってこと？
このままだと俺のネット人生終わるんじゃね。
163 名前：名無しさん mailto:sage [2012/10/07(日) 21:38:18.01 ID:???.net]: >>162
%AppData%\Skypeね
Skypeのフォルダではないよ。
↑のまま、スタートメニューの検索バーのところに入れたらフォルダが開くはず。

もしくは、
C:\Users\【ユーザ名】\AppData\Roaming\Skype
を開いてみて。Vistaの場合だが、他のWindowsだと違うかもしれん
164 名前：_ mailto:sage [2012/10/07(日) 21:45:13.20 ID:???.net]: てｓｔ
165 名前：名無し [2012/10/07(日) 22:00:53.69 ID:1fd9j4tN.net]: 外付けの中身がSystem Volume Informationファイルに変えられてたわ...
166 名前：七誌さん mailto:sage [2012/10/07(日) 22:23:14.51 ID:???.net]: 仮想PCで踏んでみたところ、explorer.exeが
s15403588.onlinehome-server.info
というサーバーと接続を開始した。
それと同時にスタートアップに%appdata%\Pqcwcl.exeというのを作った。
このPqcwcl.exeはAdministratorでログインしても見えない不思議なやつだったよ。Everythingの検索には引っかかったが。
こっちがウイルスの本体でランダム数字.exeはSkypeを媒介として感染者を増やすためだけの
付属ツールなのではないかと。

Avast!を入れてみたらSkype自動送信ツールの数値.exeはブロックしたが、explorer.exeの通信は続いたままだった。
167 名前：ｓｋ mailto:sage [2012/10/07(日) 22:25:56.57 ID:???.net]: >>166
つまり…どういうことだってばよ？？
に%appdata%\Pqcwcl.exeとかいうのを削除しなきゃいけないってことけ？
168 名前：七詩さん mailto:sage [2012/10/07(日) 22:28:58.63 ID:???.net]: とおもったらAvast!いれてPCを再起動したらexplorerの通信はなくなっていた。

Avast!最強伝説
169 名前：ぽん mailto:sage [2012/10/07(日) 22:33:20.19 ID:???.net]: XPの場合はRoamingはないと思う
170 名前：助けて [2012/10/07(日) 22:42:48.73 ID:6NcoxUZb.net]: もう俺には治せない…
171 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 22:52:43.30 ID:???.net]: メインのデスクPCはHDD複数接続とかで対処がめんどくさいので
とりあえずNortonで定義ファイルできるまでLANケーブル抜いとく
感染してないノートPCで用は済ます
勿論Skypeは起動しない
172 名前：助けて [2012/10/07(日) 22:57:57.78 ID:6NcoxUZb.net]: >>171 自分はこれに引っかかってNorton入れましたがダメでした
回線抜いておいたほうがいいですよね…
173 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 23:00:26.24 ID:???.net]: avastかMSSEの方が良いみたい。

今回、nortonはまだ対応していない。
174 名前：ｓｋ mailto:sage [2012/10/07(日) 23:02:58.76 ID:???.net]: Avast先輩強過ぎわろす
ノートン先生なにやってるの
175 名前：名無し [2012/10/07(日) 23:12:56.26 ID:1fd9j4tN.net]: 外付けの変なファイル消してフォーマットしておけば大丈夫だよね？
176 名前：助けて [2012/10/07(日) 23:14:01.77 ID:6NcoxUZb.net]: 外付けって言うのがよくわからないんですけど、ごめんなさい
パソコンそんなに詳しくなくて
177 名前：名無し mailto:sage [2012/10/07(日) 23:16:29.76 ID:???.net]: >>166
以前のDorkbot系ではユーザーモードルートキットを実装しているのもあったから、
今回もその可能性は否定できませんね。
また、explorer.exeへのコードインジェクションも同様ですね。
178 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 23:17:54.86 ID:???.net]: これDropboxとかのクラウドまでにもコピーしてたら痛いな…
179 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 23:19:51.18 ID:???.net]: >>178
少なくとも今のところ、dropboxへのウィルス拡散は確認されていません。
180 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 23:19:51.95 ID:???.net]: >>176
外付けってのは、USBとかで接続するPC箱の外部に設置するHDDのこと
181 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 23:20:45.64 ID:???.net]: >>179
mjkありがと
182 名前：名無しさん＠いたづらはいやづら [2012/10/07(日) 23:23:42.56 ID:Gbu6JwpM.net]: 結局ＵＲＬ踏んだだけじゃ感染しないの？

exe起動したやつだけ？教えてください
183 名前：名無しさん＠いたづらはいやづら mailto:sage [2012/10/07(日) 23:24:35.87 ID:???.net]: >>182
基本的にはexeを起動しなければ感染しないと考えられます。
184 名前：名無し mailto:sage [2012/10/07(日) 23:24:52.35 ID:???.net]: そう、自分で実行しない限り感染はしません

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef