【緊急!】ウイルス即行駆除方法【助けて!】Part3

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 02/06 06:52 / Filesize : 343 KB / Number-of Response : 953
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/06/30(月) 21:53:05 ]: □　突然ウィルスに感染し困り果ててるあなたのためのスレ
□　ここで礼儀正しく助けを求めて即行で解決法を教えてもらおう！

前スレ
pc11.2ch.net/test/read.cgi/sec/1172583844/

ルータがある場合は、次を実行汁！

1)一度電源オフ
2)セーフモードで起動（メーカロゴが出たら、F8を軽く何度かたたく、５～６回）
3)セーフモードとネットワークを選んで起動、VGAモードなので画面が普段と違う
4)システム復元を無効にする（復元ポイントの削除）
　スタート～コントロールパネル～パフォーマンスとメンテナンス～システム～システムの復元
　「システムの復元を無効にする」チェック入れる
5)IEを起動し、Cookieやキャッシュを消す
　ツール～インターネットオプション～全般～閲覧の履歴（一時ファイル、 Cookie、履歴等）すべて削除
6)次に、カスペのオンラインスキャナでどんなウイルスいるか調べる
　　ttp://www.just-kaspersky.jp/security/onlscan.html
　こいつでは駆除できない。どんなウイルスにやられたか正体を確かめる（超重要）

　またはF-secureオンラインスキャナ、@niftyウイルスチェックサービスを利用する（駆除機能付き）
　　ttp://www.f-secure.co.jp/v-descs/disinfestation.html
　　ttp://www.nifty.com/security/vcheck/
7)再起動後、ウイルス情報を元に改変されたhostsファイル、レジストリを修整・削除する
8)すべてが終わったら4)のシステムの復元設定を有効にもどす

　
　対策は、何を使ったら一番有効か、ここで聞け

　広帯域接続、フレッツ接続ツール接続や、ブリッジ接続は、諦めてぇ～
369 名前：名無しさん＠お腹いっぱい。 [2008/09/18(木) 13:56:00 ]: お試しウイルスバスターしてましたが菌潜んでた感じです。そういえばAVGしてからもAVG宣伝サイトに派手なゲームの宣伝が点滅してででした。ヤフーには出現してません。アドバイスよろしくお願いします。
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/18(木) 17:42:54 ]: shine
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/18(木) 23:00:44 ]: 輝き
372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/19(金) 11:42:01 ]: 社員乙
373 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 00:41:20 ]: 【使用OS】XP Pro SP3
【使用ブラウザ】Sleipnir1.67,IE7,FireFox3
【Microsoft Updateの更新の状態】自動更新設定で現状最新
【セキュリティソフトと年式】Norton SystemWorsk2005(パターン08/09/24最新)
【スパイウェア対策ソフト】NSW2005以外のスパイウェア対策ソフト常駐無し
【回線の種類・ルータの有無】CATVでルータ使用中
【具体的な症状】被害は確認できていません(あるのかもしれないが少なくとも気付いていない)。
【過程と措置】隠しファイルで全ドライブのルートにautorun.inf、resycledフォルダとその中にboot.comが作成される。
手作業で消しても1分以内に復活。
autorun.infの中身は、
［ａｕｔｏｒｕｎ］
ｓｈｅｌｌｅｘｅｃｕｔｅ＝”ｒｅｓｙｃｌｅｄ￥ｂｏｏｔ．ｃｏｍ　ｃ：”
ｓｈｅｌｌ￥Ｏｐｅｎ￥ｃｏｍｍａｎｄ＝”ｒｅｓｙｃｌｅｄ￥ｂｏｏｔ．ｃｏｍ　ｃ：”
ｓｈｅｌｌ＝Ｏｐｅｎ
※c:の部分は各ドライブのアサインになる
※フィルタに引っかかって投稿できないので全角にしました
NSW2005最新パターンで全ドライブ検索してもスルー。
ぐぐってもこれくらいの情報しかない。
ttp://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=shellexecute%3D%22resycled%5Cboot.com&num=50
日本語情報が無くて困ってるんだけど超フレッシュなウイルスなんでしょうか？
各ウイルスソフトの日本語ホームページで探してみましたが、同じ物は見つけられませんでした。
【その他】autorunということで電源切るのが怖くて付けっぱなしなんですけど、どんな被害があるのかと駆除方法がわかるなら教えていただきたいです。
NSW2005削除して最新の無料試用版各種を試そうにも再起動が怖くてできない。
一応現在NOD32のOnlineScan試そうとしてるんだけど、1時間経っても更新ファイルをﾀﾞｳｿしきれず。。。
よろしくです。
374 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 00:44:31 ]: あと2～3分おきにFDDがガッとアクセスしているようです。
FDは入っていませんが。
USBメモリやUSBストレージは現在繋がっておりません。
375 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 00:55:48 ]: 助平なサイトやメールをやらなければウイルスソフトは必要ないですか？
376 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 01:00:59 ]: どなたか教えて下さい。ANTIVIRUS2008というウイルスが入ったので色々調べてAVASTをいれたのですがライセンスがないので起動しません。どうすれば良いのですか？　
また、初心者でも分かりやすいソフトはないですか？よろしくお願いしますm(__)m
377 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 14:27:24 ]: >>376
AVG
378 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 14:34:45 ]: >>376
WinAntiVirus
Systemdoctor
Winfixer
ZeroVirus

全部フリーソフト
379 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 14:47:34 ]: わかりやすい奴なら、Unigray Antivirusがいいよ
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/27(土) 15:20:03 ]: 質問です。

昨日あたりからパソコンの動作が重くなりました。
恐らく怪しいexeを起動してしまい、それが原因でウイルスに感染したのではないかと思っています。
偶々IEのツールバー一覧を見てたら「peltodgx」という聞き慣れないツールバーを発見しました。
調べて見たら、やはりウイルスでした。
しかし、有力な情報が載っていなくて困っています。

OSの再インストール以外に対処方法がありましたらよろしくお願いします
381 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/27(土) 15:26:38 ]: IEのツールバーならアドオンの管理から無効にしときゃいいんじゃね?
382 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 15:28:30 ]: カスペのオンラインスキャン
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/27(土) 15:33:20 ]: 【ウィルス情報質問　総合スレッド★Part45】
pc11.2ch.net/test/read.cgi/sec/1210245681/935
質問です。

昨日あたりからパソコンの動作が重くなりました。
恐らく怪しいexeを起動してしまい、それが原因でウイルスに感染したのではないかと思っています。
偶々IEのツールバー一覧を見てたら「peltodgx」という聞き慣れないツールバーを発見しました。
調べて見たら、やはりウイルスでした。
しかし、有力な情報が載っていなくて困っています。

OSの再インストール以外に対処方法がありましたらよろしくお願いします

セキュリティ初心者質問スレッドpart113
pc11.2ch.net/test/read.cgi/sec/1222443322/23
質問です。

昨日あたりからパソコンの動作が重くなりました。
恐らく怪しいexeを起動してしまい、それが原因でウイルスに感染したのではないかと思っています。
偶々IEのツールバー一覧を見てたら「peltodgx」という聞き慣れないツールバーを発見しました。
調べて見たら、やはりウイルスでした。
しかし、有力な情報が載っていなくて困っています。

OSの再インストール以外に対処方法がありましたらよろしくお願いします
384 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 17:29:39 ]: >>373
autorun.inf以外にもスタートアップ(msconfigで確認)にもウィルスの起動登録がされていると思うよ。
あと、隠しファイルの表示が出来なくなっていると思うから、それも確認。

トレンドかカスペルのオンラインスキャンで駆除は出来ると思うけど、壊されたレジストリは手動で直してください。
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/27(土) 18:12:56 ]: ※もし困っているユーザーさんが居たら下記参照。

2008年9月24日
ESET Smart Security パーソナルファイアウォール機能のアップデートによる通信障害について
ttp://canon-its.jp/supp/eset/osh_20080924.html
現状の対策としては、誠に恐れ入りますが、ESET Smart Security の再インストール
もしくは修復セットアップをしていただきますようお願いいたします。

2008年9月12日
ウイルス定義データベース[3435]にアップデートしたとき、
他のアプリケーションが起動しなくなる現象について
ttp://canon-its.jp/supp/eset/osh_20080912.html
対象製品：
NOD32アンチウイルス V2.7 / ESET NOD32アンチウイルス V3.0 / ESET Smart Security

※これまでのトラブル履歴の一部（製品スレッド・テンプレ）
pc11.2ch.net/test/read.cgi/sec/1220712949/3-33
386 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 22:10:19 ]: 376です。377さん、378さん、379さんありがとうございました。すべてやってみたいと思います。治ったらまたお礼しますm(__)m
387 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 22:18:50 ]: 378 379は詐欺ソフト
388 名前：名無しさん＠お腹いっぱい。 [2008/09/27(土) 23:04:47 ]: そうなんですか(涙)？
389 名前：名無しさん＠お腹いっぱい。 [2008/09/28(日) 00:20:02 ]: @niftyウイルスチェックサービス（駆除機能付き)
tp://www.nifty.com/security/vcheck/?mid=601287&lid=20
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/28(日) 17:33:53 ]: すみません、スレチかもしれませんが質問させてください。

先日、以下のURLを踏みました。
その時間には書き込みが無かったのですが
後でスレを覗きに行くとウイルスを感知したという書き込みがありました。
しかし、自分が導入しているノートン先生には反応がありませんでした。

何回かチェックをしているのですが反応はありません。
反応しない理由がわかりません。
アップデートはしています。

下のサイトはトロイの木馬に感染しているようです。

weartherty.heteml.jp/auction

よろしくお願いします。
391 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/28(日) 17:55:27 ]: どうみてもフィッシング詐欺サイトです。本当に(ry
392 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/28(日) 18:31:39 ]: >>390
pc11.2ch.net/test/read.cgi/sec/1210245681/942-943
393 名前：390 mailto:sage [2008/09/28(日) 21:07:11 ]: 390です。
ウイルスと聞いてチェックしたのですが
検出しないことに慌てて書き込んでしまいました…

ご回答ありがとうございました！
394 名前：名無しさん＠お腹いっぱい。 [2008/09/30(火) 12:39:27 ]: 【使用OS】　　XPHomeSP2
【使用ブラウザ】　　　IE7
【Microsoft Updateの更新の状態】　　自動更新設定
【セキュリティソフトと年式】　　ウイルスバスター2008
【スパイウェア対策ソフト】　　同じ
【回線の種類・ルータの有無】　　光回線でルータ使用中
【具体的な症状】　ＲＰＣの終了なんとかで再起動
【過程と措置】　タスクを見てみて怪しいものは起動してないように見える。ウイルスバスターでスキャンしても異常なし。
【その他】　
blasterウイルスと症状は似ていますが上の通りです。対処方法をお願いします。
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/30(火) 13:14:53 ]: バスターのせいです。バスタースレでどうぞ
396 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/30(火) 14:01:36 ]: >>394
【msblast】RPCの異常終了専用ｽﾚ3【ｶｳﾝﾄﾀﾞｳﾝ】
pc11.2ch.net/test/read.cgi/pcqa/1060926668/894-

今現在、原因・対処法は不明。
397 名前：名無しさん＠お腹いっぱい。 [2008/09/30(火) 14:47:36 ]: 【使用OS】　　XPHomeSP2
【使用ブラウザ】　　　IE7
【Microsoft Updateの更新の状態】　　自動更新設定
【セキュリティソフトと年式】　　ウイルスバスター2008
【スパイウェア対策ソフト】　　同じ
【回線の種類・ルータの有無】　　光回線でルータかどうか解りませんが光電話でＮＴＴからレンタルしている物
【具体的な症状】　ウイルスバスター（青い小窓）が反応しっぱなしです。
　　　　　　　　　 Mal_Otorun1という名前が出ます
【過程と措置】　　ＰＣ内をウイルスバスターで検索しました（２度）それでも小窓が
　　　　　　　　　出っ放しです。
【その他】　　　　どうしたらいいのでしょうか？
398 名前：名無しさん＠お腹いっぱい。 [2008/09/30(火) 22:06:50 ]: >>397
削除したらいいでしょ
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/30(火) 22:49:33 ]: >>397
www.trendmicro.co.jp/Vinfo/virusencyclo/default5.asp?VName=Mal_Otorun1
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/01(水) 01:21:56 ]: オートランか……
手順間違うと面倒だから正確に操作して消せよ
401 名前：397 [2008/10/01(水) 06:56:20 ]: 色々ありがとうございます。
>>398
削除出来なくて困っています。
>>399
ここのページも見てみました。
そもそも隠しファイルを表示させるにいくらチェックしても反応してくれません。
あとそこのページにはリムーバブルから検出されると書いてあるんですが
ウイルスバスターが反応するフォルダはＣとＤなんです。
>>400
手順もですが何から手をつけたらいいのかさっぱりなんです。
402 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/01(水) 11:12:21 ]: 俺も結構最近autorun食らった
autorun系にはNODが強いらしい
俺も感染したPCのうちの1台はこれでなんとかなった

だけど時間たつとレジストリ弄られまくったり変なファイル呼び込んできたりで
俺の場合感染したもう1台が、何もかもをインストールできなくなったんで
泣く泣くフォーマット→再インストールした
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/01(水) 12:35:06 ]: >autorun系にはNODが強いらしい
はいここ注意ね
404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/01(水) 13:24:16 ]: >>401
＞そもそも隠しファイルを表示させるにいくらチェックしても反応してくれません。
当たり前。

保護されたオペレーティングシステム(ry
のチェックを外さないと見えない。
これで見えたらautotun.infをメモ帳で開いて中身を見てみろ。
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/01(水) 20:29:56 ]: 自動実行に注意しなよー
406 名前：397 [2008/10/01(水) 21:23:05 ]: 何度もありがとうございます。
>>402
我が家も再インストールしかなさそうな感じがしてきましたorz
>>403
何故なんでしょうか？
>>404
保護された（ryのチェックははずしても隠しファイルが表示されないんです。
何度すべての（ryにチェックを入れても適応を押すと戻ってしまいます。
>>405
次からUSBメモリーをさす時はシフトを押しながらにします（合ってますよね？）

もう再インストールしかないような感じですね。
はぁ…
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/01(水) 22:39:03 ]: >>406
それどこから検出してんだよ
場所によっては誤検出かもしれないから
ちゃんと書け
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 01:50:46 ]: >>406
あってる>USBメモリーをさす時はシフトを押しながら

けど、いちいちめんどうだから
自分はディスクやUSBメモリのトップに「autorun.inf」ってフォルダを作った
（もちろんウィルス全部削除した上で、再感染予防策として）
単純だけど感染防げるんで重宝する
409 名前：406 [2008/10/02(木) 10:11:19 ]: 本当に何度もすみません。
アドバイス本当に嬉しいです。

>>407
ウイルスバスターが検出する場所はＣドライブとＤドライブです。
Ｄドライブは特に何も入っていないのに検出されます。
でも、隠しファイルがどうしても表示されないので
見えないだけなのかもしれません。

>>408
フォルダを作っておけば感染予防になるんですね。
ＵＳＢメモリーは仕事で必須なので次からそうやってみます。

隔離ファイルが３０００を超えましたorz
それでウイルスバスターが起動しなくなりました…
右下画面に青い小窓はバンバン出るのですが、バスターを起動させても
反応無しです。（タスクマネージャーで見ても「反応なし」）

もう再インストールします。
大変な物を引き込んでしまいました…
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 14:44:53 ]: バスターｗ
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 17:26:43 ]: 検知/隔離してるならバスターでも別に問題は無い。
むしろ、ウイルスにはAVキラーなんて奴もあるから、そっちが厄介。
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 19:31:10 ]: >>411
> 検知/隔離してるならバスターでも別に問題は無い。

"Mal_Otorun1"はautorun.infの検出のみだから、問題ないとは言えない。。
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 19:32:33 ]: 【使用OS】Windows XP Home Edition SP2 日本語版
【使用ブラウザ】IE7
【Microsoft Updateの更新の状態】自動更新設定で現状最新
【セキュリティソフトと年式】ZoneAlarm Security 7.0
【スパイウェア対策ソフト】SpyBot 1.6
【回線の種類・ルータの有無】
　・Yahoo! BB 26Mモデム
　・PLANEX Gigabit Ether ルータ　BRL-04G
　・LANには2台のPCが接続
　　1. 上記の感染PC
　　2. Win2kProが存在するが、症状は見られず
【具体的な症状】
　・感染に気付いた切っ掛けは、次の2つ
　　・殆どのアンチウイルスソフトを扱うウェブページが閲覧不可（タイムアウト）
　　　ex) Kaspersky symantec等を含むURLが軒並みアクセス不可
　　・Klez系ウイルスのように、regeditやtaskmgrが「管理者により使用不可」になる
　　・↑窓の手やregedit /s等でレジストリ書き換え後も自動的に使用不可フラグ設定
　・explorerの隠しファイルの表示フラグも「表示しない」に強制変更（手動で"表示する"を適用後もすぐに元に戻される）
　・リムーバブルディスクにウイルス書き込み（破壊実験用PC（WinXP HomeSP2J、ネットワーク無）にUSBメモリを接続したところ、同様の症状が発生）
　・ZoneAlarmの設定ウィンドウやスキャナが軒並み強制終了される
　・別PCから入手したカスペルスキーV6体験版も、インストールは出来たが起動せず
【過程と措置】
　・現在のところ、明らかに怪しげなファイルが消去/追加された様子はなし
　・FIX_Klezでスキャンしたものの、検知せず
　・ウイルススキャナが動作しないため、ウイルスの種類が確認不可
　・アンチウイルス系サイトにアクセスできないため、オンラインスキャナ使用不可

ウイルススキャンが出来ないというのはかなりのハンデになりそうですorz
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 21:29:17 ]: >>413
うーむ……AVキラーかもね。中華系か。
ここを見れたらDLしてセーフモードで実行してみてください。
ttp://www.norman.com/Virus/Virus_removal_tools/24789/

まあ、無駄かもしれません。
正直リカバリが一番いいと思う……
ちなみにZoneのAntiVirusはカスペらしいので、カスペを使うと同じことになると思いますよ。
FセキュアかNorton、BitDefenserを試してみてください。
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 21:30:17 ]: 訂正
BitDefenser→BitDefender　名前間違った。
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 21:35:15 ]: セーフモード　又は　セーフモードとネットワーク
417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 21:42:37 ]: >>413
サイバークリーンセンターが見れるかどうか判らんが
CCCのツールも試しておいたほうがいいかもな
418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 21:50:47 ]: Norman Malware Cleaner は対応ウイルスの数は多いけど
エンジンは遅いからそのつもりで臨む方がいいかと
誤検知は少ないと思うんだが……
419 名前：413 mailto:sage [2008/10/02(木) 22:51:28 ]: Norma_Malware_Cleanerはダウンロード出来ましたが、実行後すぐにプロセスを強制終了させられます。
CCCクリーナーによれば、PE_Sality.EMに感染していて修復不可なのでリカバリせよという診断結果になりました。

Linux使いの友人と連絡が取れたので、USBメモリに勝手に生成された、
・autorun.inf
・spico.pif
・tefrfa.cmd
の3つのファイルを送り、スキャンしてもらったところ、
・spico.pif - Win32.Tanatos.M
・tefrfa.cmd - Win32.Sality.aa
であることが判明しました。
両者とも過去1週間以内に発見されたウイルスのようです。感染経路については、現在のところ思い当たる節はありません。
応急処置として、USBメモリに対して、Unlocker 1.8.7でプロセスからのロックを解除しながら同名のディレクトリを作成しました。

今後の方針ですが、現在の感染したパーティションの空き領域を詰めてパーティションを
作成し、新たにWindows XPをインストールしてから、感染したパーティションを
フルスキャン後に必要ファイルをサルベージしようと思うのですが、
パーティションを切り分けただけでは新たにインストールするOSにまで感染が及ぶことはあるのでしょうか？
一応、USBメモリに見つかった上記3ファイルと同名のディレクトリを現在あるすべてのパーティションに作成しておくつもりです。
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 23:28:16 ]: >>419
お手数でなければ
tane.sakuratan.com/
に感染ファイルをアップしてもらえないですか？検体を提出したいんですが。
421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/02(木) 23:56:16 ]: サルティか……ネットにつなぐと厄介ですね。
とりあえず PE_SALITY.EM の情報
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_SALITY.EM

感染後のパーティション分けについては試みたことがないので判らない……
422 名前：413 mailto:sage [2008/10/03(金) 00:20:35 ]: >>420
アップロードしました : tane0086.rar
DLKey : security
>>413の書き込みにある、autorun.inf等のディレクトリ対策済USBメモリでWin2Kからアップロードしましたが、現在Win2Kには感染していないようです。
pifファイルについては解凍後に拡張子が表示されないようなのでご注意ください。
必要なファイルが足りなかったら仰って下さい。
それでは宜しくお願いしますｍ（）ｍ

>>421
ネットワークはとりあえず感染PCのNICを無効にしていて、この書き込みはWin2kのほうから書き込んでいます。
パーティションの件は人柱になってみようと思っていますが、明日は仕事が早いので今日は作業を一旦休止して、明日頑張ります。
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/03(金) 01:19:21 ]: >>422
420ですが。ありがとう。exeとcmdファイルはAVGで検出できました。
フリー版でよければAVGつかってみたらどうですか？
ただ、駆除じゃなくて感染ファイル自体を隔離します。
424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/03(金) 01:21:26 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=86
dlkey security

pc11.2ch.net/test/read.cgi/sec/1214830385/413
pc11.2ch.net/test/read.cgi/sec/1214830385/419
pc11.2ch.net/test/read.cgi/sec/1214830385/422

より
425 名前：424 mailto:sage [2008/10/03(金) 01:22:53 ]: 誤爆ｗ
鑑定スレに投げるつもりでした。
426 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/03(金) 09:17:27 ]: infはどうでもいいとして、他の2匹は
メモ帳(notepad)とマインスイーパ(winmine)に似せてある。
notepadとwinmineが上書きされちゃってるかも。

XPSP3では
notepad.exe 67,584バイト(windows、windows\system32)
winmine.exe 119,808バイト(windows\system32)

ちなみに2匹とも
Kaspersky Virus.Win32.Sality.aa
Dr.WEB Win32.Sector.9
427 名前：422 mailto:sage [2008/10/04(土) 00:08:54 ]: パーティション作成によるOSインストール+ファイルサルベージに成功しましたので、報告します。

【使用ソフト】
・Acronis Disk Director Suite 10
・Unlocker 1.8.7

【前準備】
・感染PCをネットワークから隔離し、システム上の記憶媒体のルートにautorun.infという名前のディレクトリを作成し、リムーバブルディスクはPCから外して置く
・リムーバブルディスクのautorun.infファイルは手動削除がほぼ不可能なので、unlockerというツールを用いて削除する
・autorun.infファイルを削除しても、ウイルスがすぐにautorun.infを書き込むので、次のようなバッチファイルを対象リムーバブルディスクのルートディレクトリに作成し実行しておく

:BEGIN
mkdir autorun.inf
GOTO BEGIN

【手順】
1. 感染されたPCにAcronis Disk Director Suite 10をインストール
2. 感染したOSの入っているパーティションサイズを減らし、空き領域を作る
3. 空けた領域にNTFSの基本パーティションを作成
4. 再起動してWindowsXPのインストールCDからブートし、手順3で作成したパーティションにWinXPを新規インストール
5. 感染したパーティションにアクセスしないように十分注意しながら、新OSに必要最低限のドライバをインストール
6. ZoneAlarm 7をインストールし、最新の定義ファイルに更新
7. 感染したパーティションに対してウイルススキャンをかける
8. 必要なファイルをサルベージする（但し、実行可能バイナリは極力サルベージしない）
9. 新OSの方にAcronis Disk Director Suite 10をインストール
10 不要になった感染パーティションを完全（物理）フォーマット後にパーティション削除
11. 手順10で空けた領域と新OSの領域をマージ
12. 恐らくフラグメンテーションが激しいので、デフラグを掛けて置く

恐る恐る行った作業なので、冗長な部分や間違い等が多々あるとは思いますが、訂正してやって下さい。
皆さんの協力で無事に仕事環境が取り戻せました。　有難う御座いましたｍ（）ｍ
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/05(日) 00:12:26 ]: 乙だが、そんな状況で使ってたんだ、サルベージした中にも他のウイルスが感染してる可能性がないとはいえんぞ
429 名前：名無しさん＠お腹いっぱい [2008/10/05(日) 21:51:44 ]: 最近、意味の分からないアダルトサイトにうかつに入ってしまい、１クリック詐欺にあいました。
「ほっとけばいいだろ～」って思ってたんですが、
１０分に１回ぐらいでウィンドウが出るんですよ。
『このサイトの権利を有しています。その時に料金が発生しています。』
的な感じのが出るんですよorz
　僕は、あんまりネットの事は詳しくないんですが、
たぶん「exeファイル」だと思います。
ウィルスバスターで試してみてもウィルス、スパイウェアが３９件出ただけで、
その、ファイルが消えないんです。
９０日で、その権利が消えるらしいのですが、それまで待てません＞＜なので、
誰か、良い削除の仕方をご存じの方がいらっしゃればお教えしてはいただけませんか？
よろしくお願いします。
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/05(日) 21:58:10 ]: >>429
キャッシュファイルを削除
ウイルスの場所をここに掲示。
感染ファイルをtane.sakuratan.com/にアップしてくれるとうれしいです。
431 名前：429 [2008/10/05(日) 22:05:40 ]: >>430
どうやるんですかね？
全然ネット初心者で分かんないですｗごめんなさい。
もう少し分かりやすく説明していただけませんか？
　感染ファイルってのは、今僕のパソコンに出てる
「料金発生」でお金を振り込め！って言ってる、
10分に1回ぐらい出るやつのことですかね？
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/05(日) 22:08:40 ]: >>431
ウイルスバスターで検出されたファイルですよ。それが感染してます。
そのままゴミ箱に入れてもいいものかだれか判断してくれるかも。
アップできるならその方が助かるけど無理しないでください。
433 名前：429 [2008/10/05(日) 22:11:17 ]: >>432
すみません。消してしまいました。
さっき、ウィルスバスターで見てみたんですが、出てきませんでした。
本当にすみません。
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/05(日) 22:12:14 ]: >>433
じゃあよかったっすねｗ
435 名前：429 [2008/10/05(日) 22:14:25 ]: >>434
でも、今出てきてるんです。
今、自分の、このパソコンの画面の画像をコピーするのってどうやってやるんですかね？
たしかできましたよね？
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/05(日) 22:15:01 ]: >>435
alt + printscreen
ペイントを起動、コピペ
ですね。
437 名前：429 [2008/10/05(日) 22:19:33 ]: >>436
ありがとうございます！
これで、この邪魔なファイルの画像お見せしますね。
少々お待ちを・・・
438 名前：429 [2008/10/05(日) 22:22:19 ]: やべ！！
どうやって貼ってお見せすればいいんでしょうか？
後先考えず言っちゃった。
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/05(日) 22:23:37 ]: www-2ch.net:8080/up/
オヌヌメです
440 名前：429 [2008/10/05(日) 22:26:05 ]: >>439
どうもありがとうございます！
441 名前：429 [2008/10/05(日) 22:31:25 ]: >>439
貼りました！
DLパスは『4526』です。
442 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/05(日) 22:36:54 ]: >>441
onecare.live.com/site/ja-JP/default.htm
迷わずこれやりましょう。
いろいろ削除してくれます。
443 名前：429 [2008/10/05(日) 22:41:16 ]: >>442
これは、『フルスキャン』すればいいんですかね？
444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/05(日) 22:45:50 ]: www.microsoft.com/japan/protect/products/computer/onecaresteps.mspx
クイックスキャンでいいかと思います。
445 名前：429 [2008/10/05(日) 22:47:35 ]: >>444さん
分かりました！やってみます！
446 名前：429 [2008/10/05(日) 22:57:31 ]: >>444
これって、フルスキャンと、クイックスキャンとどう違うんですか？
447 名前：名無しさん＠お腹いっぱい。 [2008/10/05(日) 23:26:20 ]: 先日パソコンがウイルスに感染しクリーンインストールしました。
ウイルスに感染している時に接続していた外付けHDDをクリーンインストール後に接続するのは危険でしょうか？
安全に接続する方法はありますか？
アドバイスよろしくお願いします。
448 名前：429 [2008/10/06(月) 00:03:41 ]: >>444
すみません。できないんですけど。
windows live Onecare PC　セーフティでエラーが発生しました。このスキャンを終了して、もう一度やり直してください。
って出たので、やり直したんですがまたまたエラーです。（涙
いったいどうすればいいのでしょう？
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/06(月) 00:06:07 ]: >>429の引っ掛かったワンクリウェア見つけた。

一応、駆除方法書いとく。
1.　タスクバーを右クリックして「タスクマネージャ」を起動
　　プロセスタブを開いて『www.adult-maniac.com.exe』を停止する。
2.　スタートメニューの「検索」を開いて、「ファイルとフォルダすべて」をクリック
　　『www.adult-*.com.*』を検索して、見つかったファイルを削除する。
3.　スタートアップ管理ソフトで『www.adult-maniac.com.bat』を削除する。
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/06(月) 05:24:23 ]: AVGでtrojan horse generic11 alcpが数度にわたって発見されているのですが、
該当ファイルがwindowsのシステムファイルだったのにうっかり削除してしまいました。
起動の度に「なんとかっていうdllファイルがありません」と表示されて
いつ動かなくなるかとビクビク、しかもその後も何度も同じように
感染報告が出てくる。
どうしたらいいんでしょうか。
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/06(月) 05:31:48 ]: >>450
>>4の質問用テンプレート使って。
ウイルス名とファイルの場所は正確に。
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/06(月) 05:39:38 ]: 失礼しました、書き直します

【使用OS】XPメディアエディション
【使用ブラウザ】Internet Explorer 6
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　AVG8.0（フリー）
【スパイウェア対策ソフト】　　なし

【回線の種類・ルータの有無】　　ヤフーADSLのルータつきモデム
【具体的な症状　AVGでtrojan horse generic11 alcpが何度も検出される
【過程と措置】　ファイルを隔離すると起動時に隔離したファイルrjhdjvwy.dllが見つかりません、等と
表示されます。
【その他】起動時にアイコンの表示がかなり遅れるようになった。文字を打つときも反応が鈍いし、画面の書き換えが遅いような気が……
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/06(月) 05:58:48 ]: >rjhdjvwy.dll
これシステムファイルじゃねーよ。これ自体ウイルス。
起動時にrjhdjvwy.dllを読み込むように細工されたんだろう。

リカバリを推奨するが、できないなら
ttp://www.higaitaisaku.com/hijackthis.html
このページを見てHijackThisでログを取って下のスレに投下して。

【分析】HijackThis【研究】
pc11.2ch.net/test/read.cgi/sec/1091346741/
454 名前：名無しさん＠お腹いっぱい。 [2008/10/06(月) 18:01:55 ]: 【使用OS】　XP Home SP３
【使用ブラウザ】　　Internet Explorer 7
【Microsoft Updateの更新の状態】　手動
【セキュリティソフトと年式】　ウイルスバスター 2008
【スパイウェア対策ソフト】　　

【回線の種類・ルータの有無】　　光回線でルータ使用していません。

【具体的な症状】PCを使っているうちに重くなり、そのうちＣＰＵ使用率が100％になってとても使いづらいです。
　　　　　　　　知らないうちに新しいユーザーアカウントができてました。これは削除しました。
　　　　　　　　インターネットエクスプローラーの調子が悪いことが多くなりました。
　　　　　　　　IMEが今までワードの画面にあったのですが、ここから消えてしまい、全然関係ないところに表示されてます。　
【過程と措置】ウイルスバスターがトロイの木馬「worm_ircbot.adn」を検出したが隔離不能だったので、　
　　　　　　　手動で駆除するようにといってきました。対応方法を見たら、「検出ファイルを削除」と
　　　　　　　あったのですが、分からなかったのでそのままにしておきました。
　　　　　　　a-squared　free　でスキャンしたら、いろいろでてきたのですが、高リスクのものが２つあり
　　　　　　　「backdoor.win32.rbot.bqi.」「backdoor.win32.rbot.buf」でした。
　　　　　　　検疫で、リストアを選んでおきました。
　　　　　　　Virus　total　のサイトで、上記のウイスルが感染していたファイルをアップロードしてみました。
　　　　　　　C:\System Volume Information\_restore{13AF1B0F-D417-4D6E-BC95-C0D522C154A7}\RP1334\A0088390.exe
　　　　　　　これは、すでに解析がすんでいますとなり、現在の状態　完了、結果　36（赤色）/36（100％）となっていました。
　　　　　　　C:\WINDOWS\I386\DLLHOST.EX_/dllhost.exe
　　　　　　　こちらは、アップロードしたら、0バイトですと表示されました。

　　　　　　　まだ、ウイルスはPCに残っているんでしょうか？どうかよろしくお願いします。
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/06(月) 18:54:24 ]: >>454
バックドア　【backdoor】　～　IT用語辞典より
　　クラッカーにより侵入を受けたサーバに設けられた、不正侵入を行なうための「裏口」。
　　クラッカーはコンピュータへの侵入に成功すると、次回も侵入できるように、管理者に気づかれないよう
　こっそりと侵入経路を確保する。これがバックドアである。
　　バックドアが設置されていると、管理者が不正侵入に気づいて侵入路をふさいでも、クラッカーは前回
　侵入時に設置したバックドアから再び不正侵入を行なうことができる。
　　また、コンピュータウイルスが感染する際に、外部からの操作を受け入れるための窓口としてバックドアを
　設置する場合もある。
　　バックドアを使って侵入すると、たいていの場合はコンピュータのすべての機能を不正に使用できるため、
　他のコンピュータへの攻撃の踏み台として利用されてしまうことも多い。
　　不正アクセスが確認された後に、ディスクのフォーマットやOSの再インストールを行なうべきとされているのは、
　バックドアを完全に消去するためでもある。

☆早急にルータ導入して初期化すべし（LANケーブル抜いとけ）
456 名前：444 mailto:sage [2008/10/06(月) 19:17:58 ]: >>448
>>449ってことでｗ
457 名前：名無しさん＠お腹いっぱい。 [2008/10/06(月) 19:20:55 ]: >>455
　　ありがとうございました。早速実行します。
458 名前： ◆N9P3SuvBPo mailto:sage [2008/10/06(月) 21:09:33 ]: >454
どうやってアップロードしたのか？
この「C:\System Volume Information\_restore{13AF1B0F-D417-4D6E-BC95-C0D522C154A7}\RP1334\A0088390.exe」
というファイルを。
System Volume Informationは通常では絶対にアクセスできないはずなんですがね。

仮に感染が上記の奴だけなら、システムの復元を無効→再度有効にするだけで、駆除完了ですが
症状にあるように、知らないアカウントが作成されたとの事ですので、
すでに色々仕掛けられている可能性が有ります。
リカバリしてください。

C:\WINDOWS\I386の中身はリカバリイメージのバックアップファイル群です。
問題ありません。
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/06(月) 21:16:16 ]: >>454
ウイルスバスターってのはなんなの？未然に防がないのか？
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/06(月) 22:02:25 ]: >>453
アドバイスありがとうございました。誘導いただきましたスレで
相談中です。なんとかリカバリにはいかずに済みそうです。
461 名前：454 [2008/10/07(火) 10:35:44 ]: >458
アップロードは、ファイル名をコピペしました。ダメだったんでしょうか？
アドバイス、ありがとうございました。

LANケーブルを抜いておくように教えていただいたのですが、一時的に差して
１分とか短い時間のネット接続も危険なのでしょうか？
462 名前：429 [2008/10/07(火) 12:25:19 ]: >>449さん
ありがとうございました！
おかげで、ファイルを消すことができました。
これからは、気をつけたいと思います
本当にありがとうございました。
463 名前： ◆N9P3SuvBPo mailto:sage [2008/10/07(火) 17:35:32 ]: >461
コピペか…
アクセスが制限されてるフォルダでも、そのような方法を取ればアップロードできるってことですね。

短い時間でも危険ですね。
繋ぎっぱなしは問題外ですが…
464 名前：名無しさん＠お腹いっぱい。 mailto:447 [2008/10/08(水) 08:32:54 ]: 質問用テンプレートを使っていなかったのでもう一度書き込みます。
すみませんでした。

【使用OS】　　　Microsoft Windows XP Professional SP3
【使用ブラウザ】　　　firefox3
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　NTTセキュリティ対策ツール
【スパイウェア対策ソフト】　　なし

【回線の種類・ルータの有無】　　光回線でルータ使用中

【具体的な症状】　
１週間ほど前から何もしていないときでもCPU使用率が１００％になり動作が重くなりました。３日前にパソコンの電源を入れたときブルースクリーンがでて　起動できなくなりました。

【過程と措置】
セーフモードで起動しオンラインスキャンを実行したところウイルスを検出しましたがほとんどが駆除できなかったので必要なデータを外付けHDDに移してリカバリしました。
ウイルス名は詳しくは覚えていませんがbackdoor…、rootkit…、torojan…というのがありました。
データを移したあと外付けHDDをスキャンしたときはウイルスは検出されませんでした。

リカバリしたパソコンに外付けHDDを接続しても問題ないでしょうか？
ここかセキュリティ初心者質問スレどちらに書き込むか迷ってこちらに書き込みました。
よろしくお願いします。
465 名前： ◆0fQkHdNop2 mailto:sage [2008/10/08(水) 11:43:05 ]: >>464
可能性は低いが外付けHDDにウィルスが入ってる可能性はある。
しかし、外付けHDDのデータは捨てれないだろうから、接続前に、
まず、Microsoft update（windows update）を完全にして、それから
「NTTセキュリティ対策ツール」（ウィルスバスターの旧バージョンの変形
らしい）が役立たずなので別のウィルス対策ソフトにすべきだ。
金があればカスペルかノートン、金が無ければAvira AntiVir かAvastと
フリーのFWに交換すべきだ。そしてそれを最新状態にupdate。
それから、意外と盲点なのが圧縮・解凍ソフトを最新バージョン使う事だ。
コントロールパネルのインターネットオプションのセキュリティーで、
Active Xとjava scriptはオフにする。
また、ブラウザーはOperaをインストールして、それをデフォにする。
また、もし、その「外付けHDD」が便利ツール自動起動タイプの場合には
動起動オフにしてから接続すべきだ。
そして、パソコン本体からケーブルはずしネットから切断した状態で
外付けHDDに接続すれば良い。ウィルスがいても休眠状態のはずだ。
その状態でウィルスチェック。
Ad-AwareかSpybotでスパイウェアチェック。
いくらチェックしてもexeファイルはクリックしない事。
466 名前： ◆0fQkHdNop2 mailto:sage [2008/10/08(水) 11:46:32 ]: >>464
カスペルかノートンの場合にはFW付きのインターネットセキュリティー
にしてくれ。どっちかというと、その状態ではカスペル・インターネット
セキュリティー推奨。
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/08(水) 12:19:23 ]: >>465
ウイルスバスターがなんで駄目なのか説明してくれないか？
468 名前： ◆0fQkHdNop2 mailto:sage [2008/10/08(水) 12:24:51 ]: >>464が「NTTセキュリティ対策ツール」入れててウィルス感染して
オンラインスキャンでウィルス発見したと言ってる。
だから(>>464の環境や使用法にとって)「NTTセキュリティ対策ツール」（ウィルスバスターの旧バージョンの変形
らしい）が役立たずと言ったのだ。
469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/09(木) 12:33:02 ]: 【使用OS】　　　XP Home SP2
【使用ブラウザ】　　　Internet Explorer 6
【Microsoft Updateの更新の状態】　　　自動更新
【セキュリティソフトと年式】　　カスペルスキーインターネットセキュリティ7
【スパイウェア対策ソフト】　　なし

【回線の種類・ルータの有無】　　光回線でルータ使用中

【具体的な症状】
上記セキュリティソフトでファイルスキャンを行おうとした所、反応せず、
IE上でのアドオン（ウェブアンチウイルス）を開こうとするとIEが固まり、ツールバーのセキュリティソフトアイコンを開こうとしても反応しなくなりました
ぱにくってオンラインスキャンを行おうとttp://www.kaspersky.co.jp/やttp://www.trendflexsecurity.jp/index.phpのアドレスを開こうとしましたが、
（ttp://so.7walker.net/guide.phpからはソースを取得できるのに）IEが応答なし状態になるのでウイルスの感染を疑いました。
【過程と措置】
タスクマネージャを眺めると、開いているブラウザの数のわりに妙にIEXPLOREプロセスが多いなと思ったので、
すべてのブラウザを閉じた上でなお１つ残ったIEXPLORE.EXEプロセスを終了させると、
エクスプローラがアプリケーションエラーを起こして再起動した後、セキュリティソフトが復旧しました。
現在はセキュリティソフトでルートキットスキャンを実行しています。
【その他】
なんらかのウイルス感染を疑いましたが、勘違いだったのでしょうか。
470 名前： ◆0fQkHdNop2 mailto:sage [2008/10/09(木) 13:33:41 ]: >>469
その時だけ一回なら、何とも言えない。
何度かそういう状態になったのならウィルスかスパイウェアか遠隔操作ツール。
その場合はリカバリ推奨。

一回だけの不具合の場合の対策は、

(1)そのファイルをカスペでファイルスキャン。
(2)システムの復元をする。
(3)システムの復元を一旦無効にしてから再度有効にする。
(4)ウィルス完全スキャン。
(5)スパイウェア対策専用ソフトでスパイウェアのスキャン。
471 名前： ◆0fQkHdNop2 mailto:sage [2008/10/09(木) 13:39:03 ]: >>469
大事な事を言い忘れてた。
Microsoft updateが不完全。
それではウィルスやスパイウェアに感染しやすい。
まず、Microsoft updateで「カスタム（手動）」でIE7インストール。
SP3より先にIE7入れる事。
それから、「高速」updateでSP3入れる。

>【使用OS】　　　XP Home SP2
>【使用ブラウザ】　　　Internet Explorer 6
>【Microsoft Updateの更新の状態】　　　自動更新
472 名前：469 mailto:sage [2008/10/09(木) 14:03:26 ]: 一回だけの不具合です。
>>470の通りにしてから様子をみてみます。
ありがとうございました。
473 名前：454 [2008/10/09(木) 23:11:53 ]: 教えていただいたルーターの導入と初期化ができましたので、
ネットに接続できるようになりました。

>463
　お返事ありがとうございました。
474 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/09(木) 23:39:45 ]: >>471
無知はコテ付けるな勘違い野郎
他の板池
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 01:09:35 ]: いきなり復元を勧めるなよ
476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 07:36:49 ]: IE7勧めるなよ・・・しかもXP環境の奴に・・・
477 名前： ◆0fQkHdNop2 mailto:sage [2008/10/10(金) 09:18:51 ]: >>476
Microsoft　updateのバグのせいでSP3より先にIE7入れないと、SP3入れたたら
それ以後updateできなくなるから(Microsoftがupdateのバグ修正するまでは）
先にIE7インストールするのが絶対必要。
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 09:29:05 ]: マジで？
そんなん初めて聞いたわ。
479 名前： ◆0fQkHdNop2 [2008/10/10(金) 09:32:14 ]: IE6をIE7にしてもMicrosoft update (windows update）するとき以外は
使わないようにしたら良い。
私は普段はOperaとFirefoxを使ってる。
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 09:46:23 ]: んだよ、ググったら必ずそうなるって分けじゃないじゃん。

てか、本当にIEが関係あるのか？
IE７でもなる場合はそうなるんじゃねえの？
481 名前： ◆0fQkHdNop2 [2008/10/10(金) 10:24:08 ]: >>480
最近、Windows XP SP2を再インストールしたらupsdateできないのだ。
自動更新や高速updateではSP3以降updateできなくなるのだ。

実際に8月頃updateできなくて困って調べたらカスタム（手動）で
IE7をSP3より先に入れたら回避できるとの指摘があった。

Ookami氏サイト↓参照
realvana.exblog.jp/8541642/

そのとおり、先にIE7入れたら本当にうまくいった。
Microsoftは難しい解決法示してるが、update順序変えたら良いのだ。
support.microsoft.com/kb/953541/ja
482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 10:47:59 ]: XP SP3インストールでIE 7が削除不可能に、MSが注意
ttp://www.itmedia.co.jp/news/articles/0805/07/news049.html
483 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 11:41:25 ]: >>477
それは知らなかったがSP3を勧める必要はまだないと思うが
484 名前： ◆0fQkHdNop2 [2008/10/10(金) 12:06:15 ]: >>469は自動更新にしながらSP2,IE6なので、おそらく他のupdateも
止まってるはず。
また、SP3に若干の問題はあってもMicrosoftがSP3前提でセキュリティー
ホール対策とupdateしてるので、特に知識のある者以外はSP3入れるべき
だし、自動更新や高速updateなら（>>469のような機能不全でなければ）
SP3はインストールされる。
485 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 14:32:57 ]: >>477
俺できたけど
486 名前：名無しさん＠お腹いっぱい。 [2008/10/10(金) 15:13:04 ]: >>477
まあコレも読んどけ。
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071121/287765/
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 15:30:29 ]: >>469のケースに関しちゃ、たしかにウイルス感染の線は薄そうだが
念のため一度セーフモードでスキャンしておいたほうが良いね
CCCクリーナーを使うのも良い

SP3の問題に関しちゃ、本人がSP3を回避しているか
MSCTが入ってるとか空き容量とかその辺の問題があるからとか
SP3導入前に更新するべき更新項目が実行されてないとか
あとはリカバリしてアップデータが古い更新できないからとか
7月以前にダウンロードが表示されているのに無視してたとか
色々ケースはあるかも知れん。

OPERAとFireFoxに関しちゃ好みだからな
アドオンの導入がめんどくさいとか、良くわからんって人なら
迷わずOPERAが良いだろうが……結局あれも好みだからな
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 15:36:51 ]: >あとはリカバリしてアップデータが古い更新できないからとか
あとはリカバリしてアップデータのバージョンが古くなり、新しい更新が出来ない。
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 16:21:02 ]: Fire「F」ox(笑)
490 名前： ◆0fQkHdNop2 mailto:sage [2008/10/10(金) 16:32:01 ]: >>487

>>469
>【Microsoft Updateの更新の状態】　　　自動更新
491 名前： ◆0fQkHdNop2 mailto:sage [2008/10/10(金) 16:40:23 ]: >>485
update不能の不具合は8月以降。32bit XP SP2の場合。
少なくとも、先週まではupdate不能の不具合があったみたいだ。
尚、私もそれ以前にリカバリした別のXPパソコンはupdateの不具合はない。
492 名前： ◆0fQkHdNop2 mailto:sage [2008/10/10(金) 16:42:30 ]: >>486

>>477 >>479
493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 17:35:25 ]: >>490
だから自動更新でも7月以前はダウンロードをクリックしないと
SP３はダウンロードされないわけよ

本人様子見たいって言ってるからまあそういうことだろ
494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 17:37:52 ]: 自動適用は8月からだったろ
495 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 17:43:38 ]: MSCTが入ってるとそれ以前の問題
ServicePack自体を受け付けない
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/10(金) 17:54:09 ]: >>469
まあ、ServicePackを適用しとけというのは間違いじゃないが
カスペが入ってると更新も面倒だし……というか7は古いな
無償バージョンアップできから２００９にアップさせとけよー
ついでにSP3も適用してしまえばいい
497 名前： ◆N9P3SuvBPo mailto:sage [2008/10/10(金) 20:23:43 ]: XPSP2のサポートはまだ続いているのに、updateできない？
ま、ComboFixで一掃したほうが良いっすね。
498 名前：454 [2008/10/10(金) 23:54:00 ]: たびたびすみません。

【使用OS】　XP Home SP３
【使用ブラウザ】　　Internet Explorer 7
【Microsoft Updateの更新の状態】　手動
【セキュリティソフトと年式】　ウイルスバスター 2008
【スパイウェア対策ソフト】　　

【回線の種類・ルータの有無】　　光回線でルータ使用していません。

【過程と措置】上記の状態でしたが、ウイルスに感染したので、こちらでいただいたアドバイスにしたがって
　　ルーター導入・初期化しました。
　　Avast　でスキャンしたら、　win32:gnome-d[wrm]　と　vbs:malware-gen　が検出されました。
　　チェストは成功し、感染元（？）はワードのファイルでした。
　　その後、f-secure　のオンラインスキャンを実行しました。
　　TrackingCookie.2o7 、TrackingCookie.Advertising 、TrackingCookie.Webtrends　が検出されました。
　　処理を選びました。TrackingCookie　は危険度が低いと聞いたのですが、それでいいでしょうか？

　　このあと、何をすればいいでしょうか？よろしくお願いします。
499 名前： ◆N9P3SuvBPo mailto:sage [2008/10/11(土) 00:00:44 ]: >498
感染元となったファイルは、HDDに戻す前にスキャンした？
戻した後でも、開かなければ問題ないです。
Cookieは気にするまでもないが、削除を推奨します。

他に症状がなければ、解決で。
500 名前：454 [2008/10/11(土) 00:41:12 ]: >499
感染元のファイルは、HDDに戻す前にスキャンしませんでした。
全然思いつきませんでした。
ファイルを探したんですが、見つかりませんでした。でも、感染元は「スーパー３.doc」で
「スーパー最終２.doc」というのを開いてしまいました。これが一番似た名前でした。
問題ないといいのですが・・・。
たびたび回答ありがとうございます。
501 名前：名無しさん＠お腹いっぱい。 [2008/10/11(土) 00:59:35 ]: 【使用OS】 Windows XP Home SP3
【使用ブラウザ】 IE7
【Microsoft Updateの更新の状態】 Microsoft　Update できません
【セキュリティソフトと年式】　　カスペ2009　英語版
　　　　　　　　　　　　　　　　　　　ad-aware スパイボット（アップデートできません）
【回線の種類・ルータの有無】　　CATV

【具体的な症状】スパイウェアにかかった後、Microsoft UpdateやそのSupportページ
　　　　　　　　　　　　Trendを除く殆どのアンチウイルスソフトウェアのサイトに接続できなくなりました
　　　　　　　　　　　　そのせいでアップデートもできなくなりました。。。
　　　
ググってみるとそういうマルウェアがあるみたいなのですが
探しても対処法が分かりません
ご存知の方いらっしゃいましたら、どうか助けてください
宜しくお願いします
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/11(土) 01:03:26 ]: >>501
おそらくVundo

↓ComboFix(デスクトップに保存、Wクリックで実行、警告画面が出たら"はい"で)
download.bleepingcomputer.com/sUBs/ComboFix.exe

実行後再起動するからCドライブ直下に保存されるComboFix.txtの内容を貼り付けるか
ComboFix.txtをどっかのロダに上げるかして。
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/11(土) 01:49:00 ]: 【使用OS】　　Vista　ホームプレミアム
【使用ブラウザ】　　Lunascape
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　ノートンインターネットセキュリティ
【スパイウェア対策ソフト】　　ノートンインターネットセキュリティ

【回線の種類・ルータの有無】　　光回線、ルータなし

【具体的な症状】　PC上にあるフォルダのどれを開いてもWarning!の表示がでる。エクスプローラが一緒に停止してしまう。
ttp://up3.pandoravote.net/img/pandorakabe00001342.jpg
この画像のようになります。
【過程と措置】　海外のサイトを巡回していて、気づいたらこのような状態になっていました。
Windowsフォルダをノートンでスキャンしてみてもみつかりません。
システムの復元でちゃんと動いた日付にもどしてもなおりません。　
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/11(土) 02:00:43 ]: >>503
pc11.2ch.net/test/read.cgi/sec/1162464139/
505 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/11(土) 11:27:57 ]: >>503
>>502を実行してください
ログも
506 名前：454 [2008/10/12(日) 23:38:18 ]: またお願いします。

突然、DOS画面（？）のウインドウが開いて、勝手に閉じました。それでスキャンしたら

a-squared　free　→　バックドア　２種類、低・中リスク多数（未処理）
avast　　　　　　→　0
f-securer　　　　→　trackingcookie　２種

バックドアが検出されたから、また初期化なのでしょうか？
それとも、a-squared　の誤検出なのでしょうか？
たびたびで申し訳ないのですが、よろしくお願いします。
507 名前： ◆N9P3SuvBPo mailto:sage [2008/10/13(月) 00:10:42 ]: >506
a-squared　free　で検出したファイル名とウイルス名は何？
508 名前：454 [2008/10/13(月) 00:29:04 ]: >507
C:\System Volume Information\_restore{13AF1B0F-D417-4D6E-BC95-C0D522C154A7}\RP1334\A0088390.exe
検出: Backdoor.Win32.Rbot.bqj

C:\WINDOWS\I386\DLLHOST.EX_/dllhost.exe
検出: Backdoor.Win32.Rbot.buf

よろしくお願いいたします。
509 名前： ◆N9P3SuvBPo mailto:sage [2008/10/13(月) 00:46:18 ]: >508
上のC:\System Volume Information\_restoreはシステムの復元フォルダからなので、
一旦システムの復元を無効にすることで、処理は終わる。

下の奴…前、俺がI386フォルダに感染するウイルスはないと申しましたが、
念の為、このサイトでそのC:\WINDOWS\I386\DLLHOST.EX_/dllhost.exeをスキャンしてください。
ttp://www.virustotal.com/jp/
510 名前：454 [2008/10/13(月) 00:49:59 ]: >508　　　間違えました。すみません。

>507
こちらが正しいです。よろしくお願いします。

C:\System Volume Information\_restore{13AF1B0F-D417-4D6E-BC95-C0D522C154A7}\RP13\A0001289.exe
検出: Backdoor.Win32.Rbot.buf!A2

C:\WINDOWS\I386\DLLHOST.EX_/dllhost.exe
検出: Backdoor.Win32.Rbot.buf!A2
511 名前：454 [2008/10/13(月) 00:59:41 ]: >509
　510　は、509　を見ずに書いてしまいました。
　教えていただいたことをやってみます。
　いつもいつもありがとうございました。
512 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/13(月) 19:41:21 ]: 【使用OS】　　Win XP Pro SP3
【使用ブラウザ】標準はIE7(踏んだ時はSleipnir 1,66)
【Microsoft Updateの更新の状態】最新の状態
【セキュリティソフトと年式】 F-Secure Internet Security 2008
【スパイウェア対策ソフト】同上

【回線の種類・ルータの有無】光回線でルータ使用中

【具体的な症状】無し
【過程と措置】
www1.chironoworks.com/love_storm/link/
↑のサイトで80M以上のアップローダーを探してた時、リンクを
クリックしたらF-Secureがウイルス検知、ウイルス名はTrojan-Downloader.JS.Agent.chw
指示に沿って駆除しようとしたらF-Secureが強制終了しました。
その後再起動掛けてスキャンしても問題無し。駆除出来たと思っていいのでしょうか？ウイルスの場所、F-Secureのログは
C:\Documents and Settings\ユーザー名\Local Settings\Temporary Internet Files\Content.IE5\74H2TP87\mystery-blue_com[1].htm 処理: 名前変更済み

強制終了したのが気掛かりです。。。
513 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/13(月) 20:09:45 ]: >>512
強制終了しているのであればまだそのトロイの木馬が潜伏している可能性がある。
一度F-Secure Internet Security 2008をアンインストールして
AVGやAvast等のフリーソフトを導入し、再度スキャンかけてみたらどうかな？

あと、Trojan-Downloader.JS.Agent.chwに感染し、そのときに作成されてしまった
ファイルをすべて削除することと、AVGやAvast等のフリーソフトを導入し、
再度スキャンかけて見るときに、自動的にシステムの復元ポイントを作成する
のチェックは外してみてね。
514 名前： ◆N9P3SuvBPo mailto:sage [2008/10/13(月) 20:44:58 ]: >513
F-Secure入れてるのに何故アンインストールを奨める？
515 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/13(月) 21:14:20 ]: んだ、わざわざセキュリティソフト入れ替えせんでもマルウェア駆除ツール落としてきて使えばいいだろ
Norman Malware CleanerとかDr.WEB CureIt!とかKaspersky Virus Removal Toolsとか

セーフモードで実行してね
516 名前：454 [2008/10/13(月) 22:11:49 ]: >509
C:\WINDOWS\I386\DLLHOST.EX_/dllhost.exeをスキャンしてみました。
0 bytes size received　　でした。

本当にお世話になりました。ありがとうございました。
517 名前： ◆N9P3SuvBPo mailto:sage [2008/10/13(月) 22:13:36 ]: >516
どうやら、過剰反応もしくは誤検出のようでしたね。
無事で何よりです。
518 名前： ◆0fQkHdNop2 [2008/10/13(月) 22:49:28 ]: >>512
セキュリティーホールがなければ見ただけ感染はないのですが、あなたの
使ってたブラウザーのSleipnir 1,66は古くてセキュリティーホールがあり
感染し、ついでにF-Secureも狙われて落とされた疑いがあります。

窓の社記事参照
www.forest.impress.co.jp/article/2004/10/21/tabbrowsersecad.html
>「Sleipnir」「Firefox」などのタブ切り換え型Webブラウザーに存在する脆弱性
問題は、Trojan-Downloader.JS.Agent.chwが悪さの本体でなく悪さの本体
の侵入の手引きしただけのものの可能性があり、すでにバックドア造られ
たり、パスワード抜かれたりしてる可能性もあります。
今さらリネームされたTrojan-Downloader.JS.Agent.chw削除しても無駄です。
セキュリティーを考えるならリカバリとパスワード変更を推奨します。
また、ブラウザーもOperaを推奨します。
519 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/13(月) 23:03:16 ]: >>518
F-Secureで反応してんだろボケ
検出されたディレクトリを見ろあほ

馬鹿みたいにリカバリ薦める前に詳細なログとるなり症状聞くなりしてみたら？
感染してないってことがわかるから。
お前マジで無知すぎる。

アダ被とか言う割には何を学んできたのって感じ。
520 名前：512 mailto:sage [2008/10/13(月) 23:12:21 ]: 皆様レスありがとうございます。
あれから他メーカーのオンラインスキャンや
駆除ツール等を試したところ、問題ありませんでした。
強制終了の件はF-Secureに報告済み。
お騒がせしました。m(_ _)m

PS もう開発の止まったブラウザ(Sleipnir 1,66)を使うのは止めます。。。
521 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/13(月) 23:16:10 ]: >>512
問題ない。強制終了はしているが、
ちゃんと問題のファイルはリネームようなので問題ないでしょう
目だった症状も泣く、F-Secureも普通に動いていてますよね？
522 名前： ◆N9P3SuvBPo mailto:sage [2008/10/13(月) 23:18:35 ]: 強制というか、処理終わったら自動で閉じちゃうオチだったりしてな
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/13(月) 23:35:28 ]: >>514
だってF-Secureに反応して強制終了してるんでしょ？
それなら別ソフトを導入して再スキャンして結果見たほうがいいじゃん。
524 名前：512 mailto:sage [2008/10/13(月) 23:42:44 ]: >>521 >>522
レスありがとうございます。強制終了後、再起動掛けたら
F-Secureは普通に常駐しました。その後レポート欄に
「検出したウイルスは再起動すれば駆除完了」とあった
ので、再び再起動→完全スキャンで何も問題ありません
でした。今も普通に動いています。

また、検知した場所にも、ファイル表示の状態が
「全てのファイルとフォルダを表示する」にチェック、
「保護されたオペレーションシステムファイルを表示しない」はチェックオフ
の状態でももう何もありませんでした。駆除完了で解決でいいでしょうか？
525 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/13(月) 23:52:52 ]: >>523 >>518
そんな簡単にアンチウイルスも乗っ取られないし、
アンチウイルスの警告画面が出てる時点で感染行為はSTOPされてる訳で。
そもそもちゃんと確認もせずになぜリカバリーやら
ソフトのアンインストールを薦める？
最新版の2008を何の確認もなしにアンインストール指示出すなんて
もっての外。

>>524
＞駆除完了で解決でいいでしょうか？
完了です。F-Secureが瀬戸際でキッチリ処理してますんで。
Sleipnirのうｐだて忘れずに
526 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 00:08:30 ]: >>519
>検出されたディレクトリを見ろあほ

セキュリティーホールがあって、リネームされてなければインターネットの
テンポラリ・キャシュにあっても活動済みの可能性はある。
ここで、注意すべきはTrojan-Downloader.JS.Agent.chwが名前からして
悪事の主体でなく運び屋にすぎない可能性が高い事。

リネームされててもセキュリティーホールがあってウィルス対策ソフトが
落とされたら活動した可能性が高い。F-SecureとしてもIEでなく比較的
マイナーで安全性が高いと思ってたSleipnirのセキュリティーホール利用
された場合には検知してリネームしても活動抑えれたか疑問で、F-Secureが
落とされた事を考えるとすでにバックドア造られパスワード抜かれた可能性
もある事。そして、そのバックドアはウィルス対策ソフトでも検知できない
場合もある事だ。
しかも、F-Secureは企業ユーザーが多いから企業機密の入ってる仕事用
パソコンなら大事とってリカバリしてパスワード変更が順当。

>>524
>駆除完了で解決でいいでしょうか？

Trojan-Downloader.JS.Agent.chwが名前からして悪事の主体でなく運び屋に
すぎない可能性が高い。そいつがリネームされてても悪事の後でリネーム
され、バックドア造られた後の祭りの可能性もある。
バックドアはウィルス対策ソフトに反応しない場合もあるので、
企業機密とか入ってるパソコンならリカバリとパスワード変更推奨。
527 名前： ◆N9P3SuvBPo mailto:sage [2008/10/14(火) 00:09:10 ]: そもそもF-Secureはカスペと同じエンジンを積んでるからな。

>525の言う通り、F-Secureが水際で感染を食い止めている
＞処理: 名前変更済み
他に指示することと言えば、BlackLightによるスキャンだろ
（BlackLight…2008に搭載されてたかな）
528 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 00:17:03 ]: >>525
>そんな簡単にアンチウイルスも乗っ取られないし

数年前にノートンとかの有名ウィルス対策ソフトを停止させるウィルスが
大流行したのを知らないのですか？
それで、現在のノートンはデフォでシマンテック「製品の保護」がオン
になってて、場合によっては設定変更防止のパスワードかけれるように
なっている。カスペも最強のFWのoutpost（有料最新版）も自己防御機能
をPRしてる。まあ、落とされたF-Secureは自己防御能力が低いのだろう。
529 名前： ◆N9P3SuvBPo mailto:sage [2008/10/14(火) 00:27:25 ]: >528
対策ソフトを無効化するマルウェアの存在を、回答者が知らないと思ってるんですか？
数年前ってまさか、Dark_Lolitaのことを言ってるんじゃないですよね？

専ブラからの検出も、まさかリカバリを奨めることはしないでしょうね…？
530 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 00:35:30 ]: >>527
>そもそもF-Secureはカスペと同じエンジンを積んでるからな。

それは知りませんでした。
Virusu-bulletinではAVK2008はカスペルエンジン使用との注釈がありますが
F-Secureは別物としてテストしてます。優秀ですけど。
www.virusbtn.com/news/2008/09_02.xml

また、もし仮にウィルス対策エンジンがカスペルと同じでも自己防御力は
カスペルより、はるかに劣ってる可能性があります。

>for all

Exploitとかdownloaderは感覚的には感染というより運び屋です。
問題はExploitとかdownloaderと一緒に読み込まれた本体がウィルスでなく
バックドア造るコードの場合にはセキュリティーホールがあればサイトを
読み込んだ時点でパソコンが自由に操作されてる危険がある事です。
そしてできたバックドアはウィルス対策ソフトに反応しない可能性が
ある事です。これは数年前、私自身が何度も試した経験のある事実です。
531 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 00:46:51 ]: 五年前になりますが、JS.EXCEPTIONというExploitかdownloaderに分類される
見ただけ感染のサイトで（サポート終了でセキュリティーホールのあった)
Windows 95のパソコンで何度も試しました。
pc11.2ch.net/test/read.cgi/sec/1001423524/82n-84

後で、インターネットのテンポラリ・ファイル・フォルダにあった
JS.EXCEPTION削除してもバックドアは消えませんでした。
これは厳然たる事実です。
532 名前：名無しさん＠お腹いっぱい。 [2008/10/14(火) 01:06:29 ]: >>531
お前は浅はかな知識で必死に自分を正当化してるけど
質問者に混乱を招くだけだから止めてくれないかね？
少なくともお前は現時点で流行してるマルウェアや
駆除方法を全く理解してないよね。
数年前の少ない知識をまるで自慢するかのように回答してるだけ
そんなに感染を疑うならHiJakThisのログ、SilentRunnersのログをとってもらったら？
ただリカバリー指示しかできないの？

頭が的外れな憶測でしか動いてないよ。
この粘着といい真性のキチガイ臭がする
533 名前：名無しさん＠お腹いっぱい。 [2008/10/14(火) 01:20:26 ]: >>531
当たり前だろw
脆弱性突かれて完全感染したんだから
テンポの感染元消しただけじゃ意味ないことなんてみんな知ってるんだよ。
でも今回の場合はエフセキュがそのマルウェアに対応しててマルウェアが行動に移す前にストップをかけrenameした。
つまり感染はしてないわけ。
これ理解できないわけじゃないよね？
小学生でもわかるレベルな。

それと5年前のマルウェアに95のパソコンで行った感染実験の話なんてする価値ないです。
534 名前：名無しさん＠お腹いっぱい。 [2008/10/14(火) 07:53:03 ]: 【使用OS】　　　XP
【使用ブラウザ】　　　sleipnir
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】......
【スパイウェア対策ソフト】......

【回線の種類・ルータの有無】　　無線RAN

【具体的な症状】主にＳｐｙｗａｒｅかと。事の発端はｒａｐｉｄ　ａｎｔｉｖｉｒｕｓとかいうウイルス対策ソフトまがいの
ウイルスにやられているものかと思います。
【過程と措置】　ｎｏｒｔｏｎからｋａｓｐｅｒｓｋｙに変えようとしたとき誤って
ファイルをダウンロードしたしたために、そこからウイルスが進入。
いきなり５つくらいウインドが開き、ｓｐｙｗａｒｅに感染しています、と表示され、
勝手に何かしらのソフトをダウンロードしようとしてくる。
なぜかそこからｋａｓｐｅｒｓｋｙがインストールできなかったため、
ウイルスバスターの体験版をインストールし、スキャンしたが、症状は治らず。
状態はさらに深刻化し、ほぼ常にフリーズ状態。たまに、動かせたりもするが、
いかなるプログラムを実行しようとしても、実行できず、フリーズする。
セーフモードを起動しても、起動できないため、手ごまいている状態です。
Ｃドライブをフォーマットするしかないでしょうか？
535 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/14(火) 08:01:25 ]: そこまで酷いとリカバリしかないだろ。
536 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/14(火) 08:10:15 ]: >>534
まさかとは思いますが、
ノートンとバスターが二つ入ってる状態。。な訳ないですよね？
537 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/14(火) 08:13:29 ]: リカバリしろ
フォーマット＝リカバリじゃないから気を付けてな
538 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/14(火) 20:10:41 ]: >>537
リカバリ
それは
伝家の宝刀

そして涙をのんで行う最終手段
539 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/14(火) 20:18:43 ]: 定期的にバックアップとってればたいして痛くもなけどな
540 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 21:34:38 ]: >>534
>　ｎｏｒｔｏｎからｋａｓｐｅｒｓｋｙに変えようとしたとき誤って
>ファイルをダウンロードしたしたために、そこからウイルスが進入。

なんで、カスペルに変えようとして無関係のファイルをダウンロード
してウィルス感染するのか不思議なので考えたのですが、もしかして、
ファイル交換してるのですか？
Torrent以外のファイル交換はセキュリティーのリスクは非常に大きいですよ。
541 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 21:35:48 ]: >>532
>そんなに感染を疑うならHiJakThisのログ、SilentRunnersのログをとってもらったら？

スパイウェアの場合、宣伝とか嫌がらせが目的のものが多いからHiJakThisのログに
現れ識別しやすい。また、愉快目的のウィルスの破壊行為もHiJakThisのログに現われ
識別しやすいのかもしれない。しかし、セキュリティーホール利用した営利目的の
ステルスタイプの侵入ではHiJakThisを妨害したり、HiJakThisのログに現われなかったり、
HiJakThisのログに現われてもよほど注意しないと識別困難だったりするので、労多くして功少なしだろう。しかし、慣れてる者が見ればバックドアの痕跡を発見できる可能性は
否定しないので、貴殿が見て上げると言うなら止めはしない。

Semplice氏のブログ記事↓参照
「擬態・偽装するマルウェア - ファイル名・エントリ名とHijackThisによる修復の難」
blog.lucanian.net/archives/50698253.html

>少なくともお前は現時点で流行してるマルウェアや
>駆除方法を全く理解してないよね。

それはあなただろう。私の述べた基本は変わってない。
変わったのはマルウェアがより巧妙になってる事だ。
あなたは、それを無視してHiJakThisのログとか言ってる。
（もちろん、HiJakThisのログでバックドア発見できる可能性は否定しないが
以前よりは難しくなってるはずだ。）
尚、最近はセキュリティーソフトを無効化するウィルスが以前ほど猛威
振るってないのは、セキュリティーソフト各社が対応策を講じたからで、
未だにウィルスに落とされるF-Secureは自己防衛に関しては進歩が見られない。
だいたい、F-Secure Internet Securityと言えばファイアウォールとセットに
なってるわけで強制終了させられたら侵入されまくりじゃないか。
542 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 21:36:35 ]: >>529
>対策ソフトを無効化するマルウェアの存在を、回答者が知らないと思ってるんですか？
>数年前ってまさか、Dark_Lolitaのことを言ってるんじゃないですよね？

私は>>513でも>>523でもないですが、あなたは>>525なのですか？

「Dark_Lolita」って検索したら2ちゃんねるでしか通用しない俗称なのか
超マイナーなウィルスみたいで、ウィルス対策ソフトメーカーのHPには
載ってないので、どんなウィルスか知りません。
セキュリティーソフトを無効化するウィルスで有名なのはKlez（クレズ）
だと思います。2002年には最も流行したウィルスとして有名です。

@IT記事「最も流行したウイルスはクレズ、トレンドが年間ランキング発表」参照
www.atmarkit.co.jp/news/200212/18/trend.html

トレンドマイクロ社HP記事参照
www.trendmicro.co.jp/Vinfo/virusencyclo/default5.asp?VName=WORM%5FKLEZ%2EE&VSect=T
>・ウイルス対策ソフトの停止：
>「WORM_KLEZ.E」では、以下の名称のプロセスを終了させます。
543 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 21:37:11 ]: >>533
>でも今回の場合はエフセキュがそのマルウェアに対応してて
>マルウェアが行動に移す前にストップをかけrenameした。
>つまり感染はしてないわけ。

リネームの時期についての認識が甘いね。
F-SecureがTrojan-Downloader.JS.Agent.chwを含んだインターネット
キャッシュをリネームしたのは、>>512が再起動して再スキャンした時でしょう。
つまり、Trojan-Downloader.JS.Agent.chwと共に読み込まれた悪質コードは
リネーム前に実行されてるはずです。
Trojan-Downloader.JS.Agent.chwと悪意コード実行後にF-Secure再起動して
リネームしても無意味です。わかりますか？

それから、前もって言っておきますと、Trojan-Downloader.JS.Agent.chwは
セキュリティーホールのあるブラウザーで見た時は活性化してF-Secureを強制
終了させますが、インターネット・キャッシュに入った状態ではクリックさえ
しなければ休眠状態なので再起動後のF-Secureでリネームできたのでしょう。

>それと5年前のマルウェアに95のパソコンで行った感染実験の話なんてする価値ないです。

5年前でも、本質は同じです。違いはマルウェアは進歩してステルス化してる事です。
尚、ノートンは落とされないように進化しましたが、F-Secureはウィルスに落とされ
てるので、今でも自己防御対策が不十分もしくは対策されてないと思います。
544 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 21:37:43 ]: >>512
セキュリティーを考えればリカバリと（漏れた疑いのある）
パスワード等の変更を強く推奨します。

しかし、どうしてもリカバリが嫌なら、「システムの復元」が
使える場合には、問題の時点以前のクリーンな復元ポイントまで
復元して、一旦、「システムの復元」無効にして別の復元ポイントの
ウィルスやバックドア消して、再度「システムの復元」を有効にし、
その後、すべてのソフトのアップデートし、それから、（漏れた疑いの
ある）パスワード等も変更してください。
545 名前：512 mailto:sage [2008/10/14(火) 22:45:46 ]: >>525さん、◆N9P3SuvBPoさん、はじめ皆さん
ありがとうございました。いまのところ何も問題無いので
このまま様子見ることにします。

◆0fQkHdNop2さん、レスありがとうございます。
>>518に貼ってある窓の杜の記事は前から知ってて、
Sleipnirの設定は常にJavaScriptとActivXは切ってました。
(勿論IEの設定も両方無効にして)

ただ、IE6では問題無かったのにIE7ではJavaScript、ActivX共に無効、
Sleipnirでも両方無効にしても、Sleipnirの検索バーでGoogle検索すると
IEの設定が勝手に変わってしまうという不具合がありましたが。。。
これはおそらくIE7の検索バーが絡んでそうですが、まぁこの問題が
見つかった時点で「危ないなぁ・・・」と思いながらも使ってた自分が悪いです(汗)

それから、>>543に書いてあるリネームの時期は、再起動&再スキャンの前です。
再スキャンでは何も出ませんでしたので。
ここは>>512で「再起動掛けてスキャンしても問題無し」と書いたのですが(汗)

これ以上は荒らしの原因になりそうなので、ここでおいとまします(爆)
みなさんありがとうございました。m(_ _)m
546 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/14(火) 23:04:28 ]: >>541
「バックドアが仕組まれている可能性がある、アンチウイルスソフトの検出を逃れている」
↑あなたは何を基準にどう判断しそしてリカバリー指示をだしてるの？
なんの根拠もなく憶測だけでリカバリーを推奨していることを指摘してるんですが。

＞ステルスタイプの侵入ではHiJakThisを妨害したり、HiJakThisのログに現われなかったり
そんなことは承知してます。だからみんなHiJackThis以外のログ取得ツールを使うわけで

＞未だにウィルスに落とされるF-Secureは自己防衛に関しては進歩が見られない。
これはウイルスに落とされたと勝手にあなたが決めつけてるだけ
>>522のような可能性も考えられるよね。
なぜ確実にウイルスに落とされたと思うのでしょ？仮に落とされたとして処理ができているのはなぜ？
それにSelf-Protection　AwardでF-Secure 2007はSilverをとってます。
これは一例ですが、根拠もなしに判断するよりかはまし。
www.anti-malware-test.com/?q=taxonomy/term/16

あなたの回答ならアダ被の質問掲示板で
「各種ログには現われてないだけでバックドアやrootkitに感染している恐れがある」と言えますよね？
そんなこといったらリカバリーしか選択肢がないですよね。これが正しいでしょうか？
アダ被の質問掲示板でもこの隠れた感染の可能性を指摘してみてはどうでしょ？ｗ

＞、>>512が再起動して再スキャンした時でしょう。
そうなんですか？なぜあなたがわかるのでしょう？教えてください。
正直私にはわかりません。これは質問者が一番よくわかってることだと思いますが。
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/14(火) 23:05:48 ]: つづき

＞悪質コードはリネーム前に実行されてるはずです。
実行される瀬戸際にSTOPしたからF-Secureの検出窓が出たんです
つまり以下の例と同じです。
もしあなたの憶測が正しければ彼らは感染している可能性が高くなりますね
forum.higaitaisaku.com/viewtopic.php?t=1138
www.higaitaisaku.com/antiviruswarning.html

＞違いはマルウェアは進歩してステルス化してる事です。
ステレス化しか頭にないみたいですね。
確かにマルウェアはステレス化していますけど

あなた"何の根拠もなく隠れた感染がある"
といって質問者を脅してるだけ。
正直roguewareと一緒です。

長文レス失礼
548 名前： ◆0fQkHdNop2 [2008/10/14(火) 23:27:44 ]: >>546-547
>実行される瀬戸際にSTOPしたからF-Secureの検出窓が出たんです

それが事実としたら初めて書かれた事。>>512では検知されてからstopと
なっている。順序が逆。
本人かF-Secure社員しか知りえない。
あなたは>>512ですか？
それともF-Secure社員ですか？

尚、>>512本人はリネームはF-Secureが落される前と>>545で述べてるが
それは>>512を読む限り想定不能。>>545より前の文章のデータでは私の
診断が間違っていたとは思わない。ただ、>>512が書いていない事があれば
違うが、それは私の責任ではない。
549 名前： ◆0fQkHdNop2 mailto:sage [2008/10/14(火) 23:37:31 ]: >>546
>なぜ確実にウイルスに落とされたと思うのでしょ？
>仮に落とされたとして処理ができているのはなぜ？
>それにSelf-Protection　AwardでF-Secure 2007はSilverをとってます。

F-Secureの社員？
馬鹿じゃないの？
ファイア・ウォールとセットになってるのにウィルスと遭遇してる
悪質サイト閲覧中に強制終了してるって偶然？
悪質サイトもしくはウィルスに強制終了させられたと考えるのが順当。
それでなければ、そんなに落ちやすいファイアウォールって危険。ゴミ以下。
役立たずもいいところ。それだったら無料のWindowsのファイアウォールの
方がずっとマシ。
550 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 00:31:46 ]: ＞F-Secureは普通に常駐しました。その後レポート欄に
＞「検出したウイルスは再起動すれば駆除完了」とあった
＞ので、再び再起動→完全スキャンで何も問題ありません
ということと質問者自身が
＞リネームの時期は、再起動&再スキャンの前です。
といっていることを考えると強制終了はF-Secureが妨害されたのではなく
F-Secureが"問題ファイルを処理するための動作"の可能性が高いよね。
正直どのタイミングでリネームされたかなんてことは不毛な議論です。

＞>>545より前の文章のデータでは私の
＞診断が間違っていたとは思わない。
>>512だけを見ると確かかに貴方が指摘される可能性は無くはないですよ。
でも「間違っていたとは思わない」という謎の確信と
>>526の回答はおかしいと指摘しているわけで。

＞ファイア・ウォールとセットになってるのにウィルスと遭遇してる
ファイアウォールがあってもウイルスには遭遇します。

＞悪質サイト閲覧中に強制終了してるって偶然？
悪質サイトを見てウイルスがあり反応したからこそのことです。
安全なサイトを見ていて突然落ちるほうがあやしいです。

＞悪質サイトもしくはウィルスに強制終了させられたと考えるのが順当。
少なくとも質問者の書き込みを見るとその可能性は低い考えるのが順当では？
強制終了自体単なる強制終了ではない(つまり>>522氏のような)という可能性もあるわけで。
>>545の書き込みとアンチウイルスソフトを妨害するウイルスの情報で縛られてません？

それと>>541の「Semplice氏のブログ」はSemplice氏ではなくLuca氏ですよ。
(hatenaの方ではLucaLuca)
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 00:45:47 ]: 　　 ∧,,,∧
　　（´・ω・)　　3行にまとめろぉ～
　　（U　　　)
　　　｀ｕ-ｕ´
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 01:32:34 ]: 【使用OS】XP Home
【使用ブラウザ】　　　Internet Explorer 7
【Microsoft Updateの更新の状態】自動更新設定
【セキュリティソフトと年式】ノートン 2008
【スパイウェア対策ソフト】　　

【回線の種類・ルータの有無】　光回線

【具体的な症状】
立ち上げるとsystem32\cmd.exeというプログラム？が作動し変な絵が
｢釣りでした｣って文字と共にmicrosoftpictureにて表示されました。
今日電源を入れたところいきなりドキュメントのファイルが全て削除され↓の
サイトの方のように10分でシャットダウンしますとなってメッセージ｢おやすみー｣とありました。
detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1317423033
【過程と措置】@niftyウイルスチェックサービス、ウイルスバスター2009の体験版
でスキャンしても検出されません。

どうぞお助けください…
553 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 01:40:24 ]: F-Secureが強制終了したって、GUIが落ちただけじゃねーの？

>>552
踏んだファイルちょーだい。
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 02:21:51 ]: >>553
すいません、踏んだファイルは削除しちゃったんです。
555 名前： ◆N9P3SuvBPo mailto:sage [2008/10/15(水) 04:05:58 ]: >545
JavaScriptを無効にしていたのなら、絶対に大丈夫です。
無事解決でなによりです。

>543
ダークロリータは2004年後半にうｐろだ掲示板で流行したウイルスの俗称
画像ファイルに偽造されたhtmlファイルを踏むと「Dark_Lolita」という
タイトルのページが開いて感染（CoolWebSearchに）
当時はMicrosoftがこの脆弱性に対処してくれず、対策ソフトを入れていても
感染してしまう人が多かったのですよ。
Klezなんてめっそう古いウイルスを出されても…

あとあなたが>540で
＞Torrent以外のファイル交換はセキュリティーのリスクは非常に大きいですよ。
って言ってるが、ファイル交換ソフト全般はリスクが伴うってことは知らないのか？

確かにリカバリーは正しい回答ですが、（俺も時々リカバリを奨めるし）
今回のような件はリカバリする必要は皆無です。
とりあえずしばらくは回答を任せようと思います。
556 名前：５３４ [2008/10/15(水) 05:11:08 ]: 返答遅れました。
ノートンをアンインストールしたあと、ウイルスバスターインストールしました。
フォーマットとリカバリの区別はわかるんですが、いかんせんリカバリディスクを
持っていないため、取り寄せる必要があります。
で、気になることがあるんですが、リカバリできないといった状況は
起こりうるのでしょうか？フリーズするのはデスクトップ画面でフリーズするんですが、
最初のセットアップ画面は操作できます。

また、今回の感染はｔｏｒｒｅｎｔファイルから感染したものです。
557 名前：名無しさん＠お腹いっぱい。 [2008/10/15(水) 05:22:34 ]: CD/DVDドライブが壊れててリカバリCDが読めないとかかな
そんな心配よりさっさとCD取り寄せろ
まあBIOSやられてたら（ないと思うけど）リカバリしても無理だけどな
558 名前：５３４ [2008/10/15(水) 05:32:15 ]: 現在ＤＥＬＬ　ｉｎｓｐｉｒｏｎ２２００を使ってるんですが、
調べた限りではリカバリＣＤはなく、フォーマットしてＯＳを
再インストールって流れらしいんですが、ｄｅｌｌはそういうもんなんでしょうか？
559 名前：名無しさん＠お腹いっぱい。 [2008/10/15(水) 05:35:29 ]: OEM版ならOEM版のOSCDがついてきてるはずだ。探せ。
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 07:41:54 ]: >>558
板違い。
pc11.2ch.net/notepc/
561 名前：名無しさん＠お腹いっぱい。 [2008/10/15(水) 22:26:06 ]: ウイルスが発見されたとの表示が出ました。
ウイルスはTROJ FAKEAV.MCSです。手動で削除しなければならないのですが、対応の仕方がわかりません。
どなたか教えてください。お願いします。
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 22:40:18 ]: >>561
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_FAKEAV.MCS
しばらく様子見た方がいいよ。
563 名前：名無しさん＠お腹いっぱい。 [2008/10/15(水) 22:58:42 ]: >>562さん

どうもありがとうございます。
ウイルスが見つかった時に詳細としてこのページが開きました。誤警告の発生ということは、私のパソコンに現れた警告が誤警告であった可能性が考えられるとみてよいのでしょうか？

よくわからなくて困っています。
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 23:24:57 ]: ウイルス情報にわざわざ誤警告って書いてあるんだから、
その名称の検出はすべて誤警告なんだろ。

不安なら対応するまで手動で隔離しておけばいいんじゃない？
565 名前： ◆0fQkHdNop2 [2008/10/15(水) 23:28:44 ]: >>555
>あとあなたが>540で
>＞Torrent以外のファイル交換はセキュリティーのリスクは非常に大きいですよ。
>って言ってるが、ファイル交換ソフト全般はリスクが伴うってことは知らないのか？

>>556
>また、今回の感染はｔｏｒｒｅｎｔファイルから感染したものです。

いや、まあ、まいったね。
しかし、言い訳させてもらうと、私は、Torrentを安全とは言ってない。

ノートン・スレでの発言参照。
pc11.2ch.net/test/read.cgi/sec/1223216481/671
【ﾉｰﾄﾝ】Norton Internet Security Ver.151【2009】
671 ： ◆0fQkHdNop2 ：2008/10/11(土) 16:26:58
>>668
Winnyしてるならカスペに軍配が上がるね。
重大企業機密とか国家機密とか大金のからむパスワードもなく、
ファイル交換もしてないならノートンとOperaで十分だと思う。
ファイル交換でもTorrentくらいなら、よほど怪しいサイトの
Torrent利用しなければ大丈夫のように思う。
（保証できないので自己責任で）
566 名前： ◆0fQkHdNop2 [2008/10/15(水) 23:32:05 ]: （さっきの続き）

(1)Torrentの場合はWinnyより匿名性が低く、特定のサイトからダウンロード
するのでWinnyより安全な場合が多い。
Torrentの場合、サイトからダウンロードファイル選択するわけで、
そのサイト運営者がファイルをチェックしてくれる事も多いらしい。

heatwave_p2p氏のブログ記事↓参照
peer2peer.blog79.fc2.com/blog-category-8.html#no1138
>一方で、BitTorrentの最大の強みの1つとして（少なくとも、
>危害を抑制するという観点から）、サイトスタッフが、アップロード
>された.torrentファイルの中から可能な限り悪意あるソフトウェアを
>排除するよう尽力しているということがあり、それによってBitTorrentは
>比較的、マルウェアフリーが保たれている。

(2)Torrentの場合、途中でファイル改ざんの危険がWinnyより低いらしい。

(3)Torrentの場合、欲しいファイルだけをダウンロードしやすいが、
Winnyの場合には、やみくもに偽装されたりパスワードかけられたり
してる内容不明な「お宝」ファイルをせっせと偽装・パスワード解除
する場合が多く、開けてびっくり玉手箱ならぬ開けて感染・亜種ウィルス
（ウィルス対策ソフトメーカー非対応）という事も多いらしい。
567 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 23:34:35 ]: いいかげん他所でやれ！
568 名前： ◆0fQkHdNop2 [2008/10/15(水) 23:35:14 ]: >>534
>　ｎｏｒｔｏｎからｋａｓｐｅｒｓｋｙに変えようとしたとき誤って
>ファイルをダウンロードしたしたために、そこからウイルスが進入。

>>556
>また、今回の感染はｔｏｒｒｅｎｔファイルから感染したものです。

いや、ノートンをアンインストールしてカスペルをインストールする
最中にファイルをダウンロードしてウィルス感染って、まさか、と言うか、
やはりと言うか、「割れ・カスペル」ダンロードしてインストールしようと
してウィルスに感染したって事なんかな？
ファイル交換してる者の中にはセキュリティー・ソフトとかWindowsの割れモノ
使ってる者がいるらしいけど、超ハイリスクだ。
カスペルの割れモノなんてクラッカーが提供してるわけで、仮に、ウィルスが
なくてもバックドア付きのカスペルとかで不正アクセスの踏み台に使われる危険
がある。その場合、運が悪ければ逮捕されて数十日拘留されて新聞に実名載る
事もありうるわけだ。その覚悟あるのかな？

ともかく、ファイル交換で無料でダウンロードした有料ソフトウェアを違法に
インストールするのは危険だ。フリーのソフトに限定すべきだ。
それも、できればmd5sumとかSHA-1とかのハッシュ値明示されてるのが安全だ。
（ただし、md5sumは研究者レベルでは技術的に偽造できるらしいので、そろそろ
注意が必要だ。尚、md5sumとかSHA-1とかのハッシュ値計算のwindows用フリー
ソフトはvectorで入手可能。Linuxには通常はOSに計算プログラムが含まれてる。）
たとえば、Linuxの一種Ubuntu↓
www.ubuntulinux.jp/products/JA-Localized/download
569 名前： ◆0fQkHdNop2 [2008/10/15(水) 23:35:47 ]: 尚、動画・音楽ファイルの場合、ウィルス・チェック後にセキュリティーホールの
ないプレーヤーで再生すれば感染の危険はほとんどないはずだ。
しかし、Winnyの場合、動画・音楽ファイルかどうか不明な偽装・暗号化ファイルを
せっせと偽装・暗号化解除する関係で何が何やらわからないまま感染するケースが
多いと思われる。
570 名前： ◆0fQkHdNop2 [2008/10/15(水) 23:37:40 ]: >>512について、リカバリ不要論の皆さんへ、

(1)悪質サイトでウィルスに遭遇した時、F-Secureが強制終了した事について、

これが、ウィルスや悪質サイトに落された（強制終了させられた）のでなく、
元々F-Secure　Internet Securityが落ちやすいのならF-Secure ISはファイア
ウォール付きのセキュリティーソフトとして欠陥商品。
常識的に考えればウィルスもしくは悪質サイトに落された（強制終了させられた）
と考えるべきだろう。

(2)F-Secureが悪質サイトでウィルスと遭遇中に強制終了しても安全なのか？

たとえば、>>555（ ◆N9P3SuvBPo）氏は、

>JavaScriptを無効にしていたのなら、絶対に大丈夫です。

としているが、悪質サイトでファイアウォールが落ちて、絶対安全なのか？
IP知られてるわけだから侵入されまくりの可能性もある。
悪質サイトどころかどこにも接続してなくとも、ファイアウォールなしで一日
放置すれば危険なのに。

さらに、おとといsecuniaによって判明した事だが、セキュリティーホールが
あれば、ほとんどのセキュリティーソフトは無力でExploit検知できないのだ。
つまり、他のExploitがあっても見逃してる可能性があるのだ。

Internet watch記事参照
internet.watch.impress.co.jp/cda/news/2008/10/14/21158.html

Secuniaレポート参照（F-Secureの検知率は3%未満）
secunia.com/gfx/Secunia_Exploit-vs-AV_test-Oct-2008.pdf
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/15(水) 23:58:03 ]: >>570
いい加減ウザイ。
迷惑だからやめろ。荒らしか？

お前らももうこいつにレスすんなよ。キチガイ粘着厨だからNGWord入れておけ
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 00:00:40 ]: >>565さん

ありがとうございます。

その手動で隔離のやりかたが分からなくて困っていました。
でも警告自体が誤警告であるかもしれないということがわかり、様子も見ながらやっていきたいと思います。
573 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 00:06:15 ]: >>572
バスタースレに行って聞くといいよ。
同じように誤警告でてる人が居るみたいだし。
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 00:08:12 ]: >>570
いい加減迷惑だからアダ被で回答してくれ。
お前のような知識豊富な人間がいればアダ被も助かるだろうから
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 00:33:23 ]: >>512について思うところを。

F-Secureが落ちたことが気になる、F-Secureで検出出来ない感染が気になるのなら、
F-Secureやカスペルスキー以外のオンラインスキャンで再チェックするのが
妥当じゃないだろうか、と思うのだが。
シマンテック、トレンドマイクロ、マカフィーのいずれか一つが良いと思う。

それでも何も出なければ、無理にリカバリは必要ないと思うんだが。

悪質サイトに行けば即座に何でもかんでも起こる可能性があると考えるのは、
明らかに飛躍しすぎだと漏れは思うね。

例えば…
ttp://www.forest.impress.co.jp/article/2004/10/21/tabbrowsersecad.html
のような脆弱性があっても、それが即座にアクセスバイダウンロード感染に繋がるとは
到底思われない。

ダイアログボックスやウェブフォームの脆弱性は、
あくまでもフィッシングなどに利用される危険性などに限定されると思われ。
>>512がSleipnir1.66遣いだろうと、今回のケースにその脆弱性は関係ないだろうな。

脆弱性を感染と結び付けて考えるんなら、脆弱性の内容をちゃんと考慮しないとイカンだろ。

もちろん、Exploitが感染に結び付くためには、該当する脆弱性が
解消『されていない』ことが前提になることは忘れちゃイカンね。
576 名前：575 mailto:sage [2008/10/16(木) 00:35:28 ]: >>571
悪りぃな。一瞬早く書いちまった。もう黙るから勘弁しちくり
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 06:46:35 ]: >>573

ありがとうございます。
そっちのスレで様子見てみます。
丁寧な対応ありがとうございました。
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 08:04:24 ]: >>575
もっともな意見だがこの基地外粘着コテは
恐らくバックドアやルーキットが仕組まれているからアンチウィルスやオンラインスキャンじゃ
検出出来ない
とか抜かすから無駄。
基地外はシカトするしかない。
579 名前：578 mailto:sage [2008/10/16(木) 08:09:42 ]: ×ルーキット
○ルートキット
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 15:41:05 ]: 【使用OS】XP Pro SP2
【使用ブラウザ】Internet Explorer 7
【Microsoft Updateの更新の状態】自動更新設定
【セキュリティソフトと年式】
【スパイウェア対策ソフト】Spybot-SD
【回線の種類・ルータの有無】光回線でルータ使用中
【具体的な症状】
a-squared Free 3.5を使ってスキャンしたところ、
Backdoor.Win32.Rbot.buf!A2
という診断結果が出ました。
高リスクとあるので、消そうと思うのですが、
時々誤検出もあるとの事なので迷っています。
場所はC:\WINDOWS\$NtServicePackUninstall$\dllhost.exeと表示されています。
これは危険なものなのでしょうか？
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 16:57:14 ]: >>580
つttp://www.virustotal.com/jp/
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 19:43:21 ]: 【使用OS】XP Home SP2
【使用ブラウザ】　Internet Explorer 7
【Microsoft Updateの更新の状態】　　自動更新設定
【セキュリティソフトと年式】　AVG
【スパイウェア対策ソフト】　　Spybot
【回線の種類・ルータの有無】　　光回線でルータ使用中

【具体的な症状】　
トロイの木馬Agent_r.DLというものに感染したようです。
ウィルス除去ソフト販売ページのような所に飛ばされてしまいます
【過程と措置】
何日か前から検出され、そのたび削除していたのですが、毎日のように検出されてしまいます。

正常に戻すためにはどうしたらよいのでしょうか？
ご協力お願いいたします。
583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 21:41:10 ]: >>582

↓ComboFix(デスクトップに保存、Wクリックで実行、警告画面が出たら"はい"で)
download.bleepingcomputer.com/sUBs/ComboFix.exe

実行後再起動するからCドライブ直下に保存されるComboFix.txtの内容を貼り付けるか
ComboFix.txtをどっかのロダに上げるかして。
584 名前： ◆0fQkHdNop2 [2008/10/16(木) 23:02:15 ]: >>575
>ダイアログボックスやウェブフォームの脆弱性は、あくまでも
>フィッシングなどに利用される危険性などに限定されると思われ。 >>>512が>Sleipnir1.66遣いだろうと、今回のケースにその脆弱性は関係ないだろうな。

言われてみれば、たしかにそうですね。
いや、>>512でF-Secureが悪質サイト閲覧中に落されたという事で、
セキュリティーホールがあるはずだが、>>512はMicrosoft update最新。
だったらsleipnir 1.66にセキュリティーホールがあるはずと考え探した
ものです。

しかし、あの窓の社記事のsleipnir 1.66の脆弱性でなくとも、s
leipnir　2.xx系には少なくとも3つのセキュリティーホールが見つかった
ようで、sleipnir 1.66にもそれらの脆弱性はあった可能性が高いでしょう。
しかも、sleipnir　1.xx系は「wikipedia」によればソースコード盗難と
会社化によって開発打ち切りになったようで、それ以外にもセキュリティー
ホールがある可能性もあります。実際、>>512=>>545は、

>ただ、IE6では問題無かったのにIE7ではJavaScript、ActivX共に無効、
>Sleipnirでも両方無効にしても、Sleipnirの検索バーでGoogle検索すると
>IEの設定が勝手に変わってしまうという不具合がありましたが。。。

としており、これは単なる不具合というよりセキュリティーホールであって、
勝手にJavaScript、ActivXが有効にされるという重大な脆弱性があるという
事です。
585 名前： ◆0fQkHdNop2 mailto:sage [2008/10/16(木) 23:09:59 ]: >>575
>F-Secureやカスペルスキー以外のオンラインスキャンで再チェックするのが
>妥当じゃないだろうか、と思うのだが。
>シマンテック、トレンドマイクロ、マカフィーのいずれか一つが良いと思う。

いや、バックドアが存在しても、それでバックドアが発見される可能性は
極めて低いだろう。
sechuniaの報告によれば、セキュリティーホールを利用した比較的定型的な
Exploitでさえ、セキュリティーソフトの検知率は極めて低いのだ。
だとすれば、非定形的で自由度の高いバックドアをセキュリティーソフトが
検知できる可能性はさらに低いと思われる。

Internet watch記事参照
internet.watch.impress.co.jp/cda/news/2008/10/14/21158.html

Secuniaレポート参照（F-Secureの検知率は3%未満）
secunia.com/gfx/Secunia_Exploit-vs-AV_test-Oct-2008.pdf
586 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 23:22:04 ]: >>583
やってみました。
www1.axfc.net/uploader/File/l/6657842736/File_12451.txt
よろしくお願いします。

オンラインスキャンをいくつか試しても検出されなくて削除に手間取っています。
587 名前： ◆0fQkHdNop2 mailto:sage [2008/10/16(木) 23:37:20 ]: >>586
見れないのは私だけ？
見れても、どのみちわからないだろうけど。
588 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/16(木) 23:37:39 ]: >>586
直リン禁止
ttp://www1.axfc.net/uploader/File/so/12451

>"D:\\pv\\Winny2\\Winny.exe"=
>"C:\\Documents and Settings\\user\\デスクトップ\\Winny2\\Winny.exe"=
>"D:\\Winny2\\Winny.exe"=
ねぇ、これなに？
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 00:02:21 ]: >>580はアンチウイルス使ってよ。
590 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 00:05:30 ]: にゃ。
591 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 00:21:10 ]: 検出率なんざ所詮手法次第な部分もあるからなぁ
Exploitつっても更新に気をつけて置けば何とかなるだろ個人向けのPCだし。
まあ板的にOSの更新なんて基本だと思うけどね。

しかしどの情報も所詮海外のものだしなんだかねえ
日本にもそういう団体があってほしいもんだなあ
592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 00:21:47 ]: >>588
直りん禁止でしたか、お手数おかけしました

言い訳になってしまいますがwinnyは使用方法がわからず…
だいぶ前に使ってみてそれ以来なのでwinnyからの感染の可能性はゼロだと思います。
593 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 00:24:06 ]: 残ってんのも問題じゃね？
594 名前：名無しさん＠お腹いっぱい。 [2008/10/17(金) 00:24:24 ]: 以下の内容をコピーしてCFScript.txtという名前で保存。
セーフモードで起動して、
Combofix.exeに保存したtxtファイル(CFScript.txt)をドロップアンドドラッグ。

↓以下の内容

File::
C:\WINDOWS\system32\XDva120.sys
D:\\Winny2\\Winny.exe
C:\\Documents and Settings\\user\\デスクトップ\\Winny2\\Winny.exe
D:\\pv\\Winny2\\Winny.exe

Driver::
XDva120

症状が解決してないならMBAMで処理する予定でつ
595 名前：名無しさん＠お腹いっぱい。 [2008/10/17(金) 00:29:00 ]: 初心者スレで書いたのですが全くレスがつかないのでこちらで聞いてもいいでしょうか。。
596 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 00:29:41 ]: >>594
ちょっとまて、XDva120.sysはゲームのファイルかもしれない。
597 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 00:32:08 ]: >>596
リネ？
もし違ってたら訂正よろしく
ググったら黒っぽいが
明日早いから寝る
598 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 00:32:27 ]: >>595
新しい人ならテンプレ>>4使ってね
599 名前：595 [2008/10/17(金) 00:43:57 ]: >>598
ありがとうございます。ウイルス感染は初めてなもので戸惑っております。よろしくお願いします。

【使用OS】　　vista HP SP1
【使用ブラウザ】　　firefox (noscript有効)
【Microsoft Updateの更新の状態】　　自動更新設定
【セキュリティソフトと年式】　　　antivir/comodo
スパイウェア・ボット対策ソフト　spybot

【回線の種類・ルータの有無】　　ルータなし

【具体的な症状】　普段は安全なサイトしかみないのですがantivirでフルスキャンしているときに
　　　　　　　　　TR/Agent.53248.164 Trojan を検出　調べても出てこなかったのでとりあえず隔離しました
　　　　　　　　　検出されたファイルはC:\fjuty\FSTIEmcf.exeです
　　　　　　　　　どの定義ファイルで検知したのかをみたところ、10月15日の最新の定義ファイルででした

【その他】　　　　３週間ほどまえにリカバリしたばかり。その日のうちにantivir・comodoをｲﾝｽﾄｰﾙ
　　　　　　　　　危険といわれるポートはとりあえず閉じて基本的なルールを作りhipsは有効、慎重に来ていたのでかなりショックです
　　　　　　　　　ご検出だといいのですがなにかわかることはあるでしょうか
　　　　　　　　　
　　　　　　　　　尚隔離してしまったのでvirus totalには送れなかったです
　　　　　　　　　またfirefoxでブラウジング中にクリックジャッキング？みたいな警告が出たことがあります。
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 00:56:09 ]: ん、富士通製？
601 名前：599 mailto:sage [2008/10/17(金) 00:57:02 ]: はい富士通製です
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:02:34 ]: 誤検出だと思いますが……
とりあえず
ttp://www.avpusers.org/ug4win/quarantine.html
を参考にファイルを復帰させて、一度コピーをとり
ウイルストータルの審査に掛けられないでしょうか？
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:14:19 ]: MicrosoftもSecuniaのセキュリティソフト比較調査を批判
ttp://internet.watch.impress.co.jp/cda/news/2008/10/16/21196.html
やっぱ一団体の審査だけじゃわからねえ
604 名前：599 [2008/10/17(金) 01:16:50 ]: >>602
すでに解析されていますと出たのでそのURLです。当方見方が分からないのでおねがいします
ttp://www.virustotal.com/jp/reanalisis.html?773a034d984b8928ef00b297030ce775
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:24:15 ]: あれ最終レポート見れないな？
606 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:25:48 ]: でたでた
ttp://www.virustotal.com/jp/analisis/773a034d984b8928ef00b297030ce775
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:32:43 ]: ほとんどヒューリの検出ですか
AVAST・Ａｖｉｒａが反応
G DATAとBitがGeneric
カスペ・Norton・Norman・トレンド・マカ反応なし

３６/７ってのは誤検出で良いんじゃないかなと思うけど
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:36:56 ]: >>599
ここでの結論は誤検出ですが
そのフォルダにあるのは富士通のツール類だったと思うので
ご心配でしたら、富士通のサポートに電話してみてください。
609 名前：599 mailto:sage [2008/10/17(金) 01:36:59 ]: みなさんありがとうございます
正直驚いているのですが
２点ほどお聞かせください

隔離というのはファイルの活動を無効化するという認識でいいのでしょうか
アンチウイルスをアンインストールする場合隔離されていたファイルはどうなるのでしょうか
ウイルストータルのヒューリスティックかどうかというのはどこでわかるのでしょうか
610 名前：599 mailto:sage [2008/10/17(金) 01:37:45 ]: >>608
わかりました
fjutyは富士通のフォルダだったのですね
ありがとうございます
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:45:42 ]: Generic＝コレはヒューリ検出の典型的な名前だったと思う
ちなみに殆どってのは、日本にもあるソフトって意味です
ややこしくてごめんなさい
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:46:48 ]: >>609
隔離はファイルをリネームして隔離フォルダに移動する。(つまり実行できなくなる)
アンインストールしても隔離したものは大抵の場合は残る。
ヒューリスティック検出は名称に「Generic」とか「gen」とか「heuristic」が付いてる。

>>586
XDva120.sysがウイルスかどうか分からなかったので、
「C:\WINDOWS\system32\XDva120.sys」をVirusTotalでスキャンして。

後はSUPERAntiSpywareを使ってみて。
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:47:26 ]: Heurだったんじゃね？
Genericは亜種だったと思うが、ヒューリみたいなものかな？
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:49:28 ]: 隔離フォルダの扱いはソフトにも拠ります
一部はアンインストールするときに隔離フォルダごと削除したりするソフトもあります
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 01:54:45 ]: まあ、アンインスコ前に隔離フォルダは処理したほうが良いってことだよなあ。
ヒューリついては>>612のほうが詳しそう。

今回のVT検出はヒューリは少ないんだが
実質検出してるソフトがAVIRAとAVAST、Ikarosぐらいなので
まあなんとも言いにくいものの、誤検出の可能性は高いんじゃないかと思いますよ
616 名前：599 mailto:sage [2008/10/17(金) 01:58:27 ]: >>611-615
ありがとうございました勉強になります。
とりあえず隔離で様子をみてみることにします。
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 03:33:02 ]: >>613
ジェネリック方式は実行中のプログラムの動作を監視して検出するとか。
似たようなものだから、分かりやすくヒューリスティックでいいんじゃね？
618 名前：582 mailto:sage [2008/10/17(金) 15:23:38 ]: お答えがもらえなかったのでもう一度

トロイの木馬agentというものに感染してしまったようで
削除しても再起動するたびに検出され
それのイタチゴッコです。

_restoreフォルダから検出されているので
システムの復元を無効にして、AVGでスキャンしてみたのですが検出されませんでした。
他のオンラインスキャンも試してみたのですがやはり検出されませんでした。

非常に困っています。ご指導よろしくお願いします
619 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/17(金) 17:52:59 ]: >>618 >>518
>>612をよーく見てみ？
620 名前： ◆0fQkHdNop2 mailto:sage [2008/10/17(金) 22:26:02 ]: >>599
TR/Agent.53248.164については、14 Oct 2008 17:31 (GMT+1)・日本時間10月
15日午前1時31分にAviraの定義
www.avira.de/de/threats/section/vdfhistory/ivdf_no/7.00.07.40/7.00.07.40.html
がなされたもので、(GMT+1)=(CET)なので、Virustotalでの>>606の検査の
二日前に定義されたにすぎない。もう一度、Virustotalで調べてウィルス
認定が増えてないかチェックすべきだ。
尚、もし仮にウィルスだとすれば、FirefoxでもNoScriptのプラグインで
IFrameを禁止してなければクリックジャックの被害に合うが、それで
ウィルス感染するのか少し疑問を感じる。
富士通のパソコンの中にはリカバリーディスクをHDDのリカバリ領域から
自作するようになってる機種もあるが、万が一、そういう機種でネット
接続前にリカバリディスク作成してなければ今回の件に関係するかも
しれない。（あまり、屋上屋に推測重ねると叩かれて荒れるので、
これ以上述べるのは、そういう場合だとのレスがあるまで控える。）
621 名前：名無しさん＠お腹いっぱい。 [2008/10/17(金) 23:55:19 ]: パソコンには無知なんで困ってるんですが、
ウイルスのファイルある場所を検索しても見つからないんです。
かといって消えているわけではなくて、検索したら出てきて困ってます。
どうすればいいかわかる方教えてください。
622 名前：名無しさん＠お腹いっぱい。 [2008/10/17(金) 23:59:53 ]: 564 名前：名無しさん＠お腹いっぱい。[] 投稿日：2008/10/17(金) 23:58:06
パソコンには無知なんで困ってるんですが、
ウイルスのファイルある場所を検索しても見つからないんです。
かといって消えているわけではなくて、検索したら出てきて困ってます。
どうすればいいかわかる方教えてください。
623 名前： ◆0fQkHdNop2 mailto:sage [2008/10/18(土) 10:55:02 ]: >>618
私はCombofixのログ見てもわからないのだが、Combofixはパソコン状態の
診断ログ吐き出すだけでなく自動で治す効果もあるらしい。
そして、一回でダメでも二回Combofixしたら治ったという人もいるので
ダメ元でもう一回新しいCombofixダウンロードして実行すれば？

よしを氏＠「どうでもいい話」ブログ
doodemoiihanashi.seesaa.net/pages/user/m/article?article_id=85510731&stq=session%3A%3Ablog%3A%3A8e35f8f64a40dbc2792c0b3a4560585d
>このComboFixも１回では駆除できず、
>２回目の実行で完全に駆除できました。
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/18(土) 17:34:26 ]: だとしても企業専用フォルダに仕込む理由がなくねえか？
ウイルスだったらsystemを狙うだろ。
しかもCドライブだsしな。
HDDリカバリだったらパーティションでDなりEなりに分けるだろ。
625 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/18(土) 18:50:43 ]: ttp://sageuploader.if.land.to/cgi-bin/1upload/src/sage1_7151.mid
↑のファイルを再生したら変な音がして青画面になった後
勝手に再起動してしまいました
どんなウイルスなのか教えてください
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/18(土) 18:56:02 ]: >>625
鑑定スレじゃないんだが
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/18(土) 18:56:43 ]: これはひどい
ttp://www.google.co.jp/search?q=sageuploader.if.land.to/cgi-bin/1upload/src/sage1_7151&hl=ja&lr=&rlz=1B3GGGL_jaJP243JP243&filter=0
628 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/18(土) 18:57:27 ]: だれか>>625が貼ったURL踏んでくれ。
俺はPC壊したくないんで踏みたくない。

っていう事になるからウイルスの疑いがあるURLを貼るのはやめましょう。
629 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/18(土) 19:04:37 ]: あやしいファイルを実行するスレ
pc11.2ch.net/test/read.cgi/sec/1140517079/
630 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/18(土) 19:11:04 ]: >>626-629
ごめんなさい>>629のところに行ってきます
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/18(土) 20:35:07 ]: AntiVirは誤検出多いよ
ネトゲもウイルス扱いするし
632 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/18(土) 20:35:58 ]: 何でも見逃すNODよりはマシ
633 名前：618 mailto:sage [2008/10/18(土) 21:57:18 ]: ありがとうございますなんとか駆除できたようです！
本当に感謝です。
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 03:06:32 ]: >>599
＞C:\fjuty\FSTIEmcf.exe
うちもAVASTとＡｖｉｒａで引っ掛かりましたｗ
FSTIEmcf.exeの更新日時は　10/18　9:00　だったんだけど、
「アップデートナビ」・「更新した内容の確認」を見ると、最終更新日は9/11。
いつの間に更新されたんだろうか？

C:\fjuty\README\FSTIEMCF.TXT には

＞1. 製品概要
＞============
＞ IE設定表示(以降本ツールと記す)は、ログオン中のユーザーの
＞ Internet Explorerの設定情報を一覧表示するアプリケーションです。

と書かれてた。IE使わんし、ってことで、気持ち悪いんで僕も隔離しときました。
635 名前： ◆0fQkHdNop2 mailto:sage [2008/10/19(日) 10:34:23 ]: >>599 >>620 >>634
あれから、誰かがVirustotalに検体提出したのかハッシュ値で調べると
AhnLab-V3がWin-Trojan/Xema.variantとして定義してたので、認定会社が
一つ増えて8/36になってますね。
ttp://www.virustotal.com/analisis/8b3ade945101af617887fb0e235c462a
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 11:44:07 ]: >>599 >>634
FSTIEmcf.exeをzipにしてtane.sakuratan.com/に上げてくれる？
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 15:22:27 ]: アンラボが増えとる
638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 15:35:30 ]: このスレで新種/亜種発見？
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 16:12:03 ]: >>635
何で自己レスしてるの？

それに
>Internet Explorerの設定情報を一覧表示するアプリケーション
この辺で誤認する可能性はあるよ
国内のソフトはまだまだ誤検出されやすい
640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 16:18:47 ]: >>636
うｐしました
パスは 634 です
641 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 16:30:48 ]: すみません。ここ↓に結果が出ていないソフトは、対応できていないという認識でいいのでしょうか？
ttp://www.virustotal.com/jp/analisis/b34040b29cdba3a69f35b92cbc9a91fe
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 16:45:31 ]: >>640
さんきゅですー
643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 17:02:40 ]: >>641
そですー
f.exeをzipにしてtane.sakuratan.com/に上げてくれる？
644 名前：名無しさん＠お腹いっぱい。 [2008/10/19(日) 17:23:27 ]: 新種と聞いて
645 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 17:40:17 ]: >>640
pc11.2ch.net/test/read.cgi/sec/1216217642/594

ttp://www.virustotal.com/jp/analisis/a2b714843927542001419a2e44496b96
日本語ならAvastの無料版使えばOK
646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/19(日) 21:28:15 ]: 【鑑定目的禁止】検出可否報告スレ7
pc11.2ch.net/test/read.cgi/sec/1216217642/597-598

誤検出だな
647 名前：名無しさん＠お腹いっぱい。 [2008/10/20(月) 00:30:26 ]: 昨日、情報センター出版局という”旅の指差し会話帳”で結構有名な出版社のHPから
ipodで使えるタイ語のダウンロード版を購入して解凍と同時にウイルス警告！！

対象のファイルを削除して再度ウイルスチェックをかけ直したら
警告が出なかったけど他のアンチウイルスソフトを導入して
チェックした方が良い？
ちなみに入っているアンチソフトはZEROです。
648 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/20(月) 05:14:55 ]: >>647
638 名前：名無しさん＠お腹いっぱい。[] 投稿日：2008/10/20(月) 00:35:41
昨日、情報センター出版局という”旅の指差し会話帳”で結構有名な出版社のHPから
ipodで使えるタイ語のダウンロード版を購入して解凍と同時にウイルス警告！！

対象のファイルを削除して再度ウイルスチェックをかけ直したら
警告が出なかったけど他のアンチウイルスソフトを導入して
チェックした方が良い？
ちなみに入っているアンチソフトはZEROです。
649 名前：名無しさん＠お腹いっぱい。 [2008/10/20(月) 06:26:28 ]: 質問です
山田チェッカーで・・

検索結果：
山田ウイルスに感染している可能性があります。
詳細は www3.atwiki.jp/yamada/ まで。
疑惑箇所：
HOSTSファイル

と出ました。avastとウイルスバスターのオンラインスキャンしましたが検出されません。
感染者の支援サイトなど見て、タスクマネージャーで調べましたが感染してるかどうか
分かりません。。

全くの素人です。感染してるかどうかどうすれば分かるでしょうか・・・
ご教授お願いします
650 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/20(月) 07:57:41 ]: 【使用OS】XP Home SP3
【使用ブラウザ】slepnir1.61 （IE7）
【Microsoft Updateの更新の状態】自動更新は通知のみ、10月にはいってから更新していない
【セキュリティソフトと年式】AVG8
【スパイウェア対策ソフト】　　
【回線の種類・ルータの有無】光回線、ルータ使用中
【具体的な症状】
・フォルダオプションですべてのファイルとフォルダを表示できない
・タスクマネージャーが起動不可
・ネットワーク接続を無効にできない
・各ドライブの下に隠しファイル属性のauto.exe、AutoRun.inf、w1019.exeが作成されている
【過程と措置】　
AVGでウイルスがいると出たのでCドライブをスキャン
IEのキャッシュのフォルダとTempフォルダ配下に大量にウイルスがいたので
Shift+Delで削除（何かは覚えていない）
ネットワークケーブルを物理的に抜いた
とりあえず、システムの復元を無効にした
再度、AVGでスキャンしたら、「SHeur.CPJO」というのが検出された
感染していたファイルは「C:\WINDOWS\shengji.exe」というファイルだった
【その他】　
なんなのかわからず怖いため、感染しているPCはネットから切り離た
接続してオンラインスキャンを試してみても大丈夫なのでしょうかもう1台pcありますが規制中のため携帯から書き込みです
どうしたらよいのかアドバイスたおねがいします
651 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/20(月) 15:56:52 ]: >>649
changi.2ch.net/test/read.cgi/download/1224331381/3

>>650
ネット接続は危険でしょう。Dr.WEB CureIt!使ってみたら？
もう一台のPCで落として感染PCにCDかUSBメモリでコピーすればいいから。

あと、感染PCに接続したUSBメモリ・HDD等は絶対に他のPCに接続しないでね。
652 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/20(月) 18:30:36 ]: ルータがある場合は、次を実行汁！

1)一度電源オフ
2)セーフモードで起動（メーカロゴが出たら、F8を軽く何度かたたく、５～６回）
3)セーフモードとネットワークを選んで起動、VGAモードなので画面が普段と違う
4)システム復元を無効にする（復元ポイントの削除）
　スタート～コントロールパネル～パフォーマンスとメンテナンス～システム～システムの復元
　「システムの復元を無効にする」チェック入れる
5)IEを起動し、Cookieやキャッシュを消す
　ツール～インターネットオプション～全般～閲覧の履歴（一時ファイル、 Cookie、履歴等）すべて削除
6)次に、カスペのオンラインスキャナでどんなウイルスいるか調べる
　　ttp://www.just-kaspersky.jp/security/onlscan.html
　こいつでは駆除できない。どんなウイルスにやられたか正体を確かめる（超重要）

　またはF-secureオンラインスキャナ、@niftyウイルスチェックサービスを利用する（駆除機能付き）
　　ttp://www.f-secure.co.jp/v-descs/disinfestation.html
　　ttp://www.nifty.com/security/vcheck/
7)再起動後、ウイルス情報を元に改変されたhostsファイル、レジストリを修整・削除する
8)すべてが終わったら4)のシステムの復元設定を有効にもどす

これの5)のネットに接続が出来ないんですがどうすればできますか？
光回線でルーター使って無線で飛ばしてます
653 名前：名無しさん＠お腹いっぱい。 [2008/10/20(月) 18:33:48 ]: >>652
>>4
654 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/20(月) 18:42:06 ]: 【使用OS】　　　xp sp1
【使用ブラウザ】　　　sleip nir
【Microsoft Updateの更新の状態】　　　通知のみ
【セキュリティソフトと年式】　　 avast
【スパイウェア対策ソフト】　　同上

【回線の種類・ルータの有無】　　光回線でルータ使用中

【具体的な症状】　まだわからないけどavastが反応したからいつものように推奨の「チェストへ移動」（初心者なもんでこれの意味も分からない）をしたのですが失敗してそのまま

【過程と措置】　
【その他】とりあえず>>1の措置をとりたいのですが>>652の通りネットに接続できないのでどうすればいいのかご教授願います。
655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/20(月) 19:20:19 ]: >>654
クッキーキャッシュの削除はオフラインでもできる
スタート～コントロールパネル～インターネットオプション

ネットに接続できないとなると・・ネカフェとかの他PCでNorman Malware Cleanerを落としてきて
セーフモードでスキャンしてみるとか
自動的にデスクトップに結果がログファイルで示されるのでそれを見る
656 名前：Li mailto:lipeng072@hotmail.com [2008/10/21(火) 01:46:53 ]: The same virus I have been meet! I don't know how to due to it. Is there anybody can help ours? My Email is lipeng072@hotmail.com. If you have a good idea to solve it. Please share to our. Thank you.
657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/21(火) 08:31:42 ]: >>656
Fuck you.
658 名前：名無しさん＠お腹いっぱい。 [2008/10/21(火) 09:00:47 ]: >>652
>光回線でルーター使って無線で飛ばしてます

有線LAN にしないとダメだよ。
セーフモードだから、無線接続は�
659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/21(火) 17:01:57 ]: >>655
結果見てもどうゆう状況になっているのかりかいできないのですけどコピペしてもいいですか？
660 名前：654 mailto:sage [2008/10/21(火) 18:08:54 ]: Number of processes/threads found: 601
Number of processes/threads scanned: 601
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 31s
Scanning file system...
Scanning: C:\*.*
C:\WINDOWS\Downloaded Program Files\hgstartjp25.exe (Infected with W32/Downloader.PJC)
Deleted file
C:\WINDOWS\system32\vedxg3am1et3.exe (Infected with Suspicious_F.gen)
Deleted file
:\WINDOWS\system32\vedxga1me4t1.exe (Infected with Suspicious_F.gen)
Deleted file
Scanning: D:\*.*
Scanning: c:\System Volume Information\*.*
Running post-scan cleanup routine:
Number of files found: 157567
Number of archives unpacked: 6730
Number of files scanned: 157529
Number of files not scanned: 38
Number of files skipped due to exclude list: 0
Number of infected files found: 3
Number of infected files repaired/deleted: 3
Number of infections removed: 3
Total scanning time: 56m 55s

一応こんな状況です
Number of infected files found: 3
Number of infected files repaired/deleted: 3
Number of infections removed: 3
ってことは全部対処できてるってことですよね？
661 名前：652 mailto:sage [2008/10/21(火) 20:31:52 ]: よく分からなかったんですけど一応上の三つのファイルは消去したんですけどまだ普通に起動したらavastが反応しまくるんですけどやばいですかね？
662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/21(火) 20:53:11 ]: msconfigのスタートアップで、項目名・コマンドが空白で（思いっきり伸ばしても空白のまま）で、
場所がHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runになっているのがあるのですが、
削除する方法はありませんでしょうか？
場所がわからないと、どうしようもないのですが、たぶん消さないとまずいですよね？
663 名前：652 mailto:sage [2008/10/21(火) 20:56:54 ]: 何度も何度もすいません
起動するたびにavastがWin32:Jpedrop-B [Expl]を２つほど検知するんですが
ググッたらWin32:Jpedrop-B [Expl]はavastの誤検知って書いてあったんですが起動するたびに２つも毎回誤検知するなんておかしいですよね？
664 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/22(水) 08:28:17 ]: avastスレにでも行けよ
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/22(水) 09:01:14 ]: >>663
なんかトラぶってるねぇ
ところでＸＰはＳＰ3までアップデートしないの？
ＡＶＧもそうだったけどＳＰ１だといろいろ誤検出あるよ
ＳＰ3にしてからavast入れてみれば？
666 名前：650 mailto:sage [2008/10/23(木) 08:27:28 ]: ネットで情報収集してみましたがわからず、cドライブをリカバリしました。
リカバリ後、オンラインスキャンをしたらSystem Volume～にウイルスが検出されたので各ドライブをフォーマットし、再度オンラインスキャンしたらウイルスは検出されませんでした。
見つかったのはbackdoor～ってウイルスでした。

〉〉650
ありがとございました。
リカバリしてしまったので、原因はわからずじまいですが、
リカバリ覚悟でネットに接続してスキャンしてみたらみたら
新たにウイルスがダウンロードされました。
ダウンロードするやつやらいろいろいたみたいなので、やっぱりネット接続は危険でした。
667 名前：650 mailto:sage [2008/10/23(木) 08:34:27 ]: うわ、レス番号まちがえてしまいました。
>>651
ありがとございました。
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/23(木) 15:52:25 ]: 何か書いてる途中で直っちゃったんだけど、モヤモヤするから書いとく。
System syock2ってゲームのnocd探して
ttp://m0001.gamecopyworld.com/games/pc_system_shock_2.shtml
ここで System Shock 2 v1.0 [GERMAN] No-CD/Fixed EXE っての落として使ったんだけど、
一瞬フルスクリーンになって、直ぐに強制終了。CTDって言うのかな。
で、何か色々なショートカットとかのアイコンが表示されなくなった。
再起動してみたらウイルスセキュリティZEROが二つ検知。
c:\windowsからemwl.exe Trojan.Win32.Malware.1とrvoelbxt.exe Trojan.win32.Vapsup.kpe
で、オンラインスキャンしたりspybotで検索始めたりwindowsフォルダをスキャンしたりしてるうちに何故か直る。

ここはチラシの裏じゃないよね。ごめんね。
669 名前：名無しさん＠お腹いっぱい。 [2008/10/23(木) 17:04:50 ]: windows warninig message
って言う壁紙が張られるんですが
検索したｻｲﾄなどで紹介されている駆除方法では
消えなかったんですけど
消せる方法を教えてください。
お願いします。
670 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/23(木) 18:01:29 ]: それだけの情報でどう答えろと言うんだ？
671 名前： ◆0fQkHdNop2 mailto:sage [2008/10/23(木) 20:40:23 ]: >>669
ああそれ、アンインストールに難の有るスパイウェア対策ソフトで駆除
できるらしいけど、毒（？）をもって毒を制するというか、結局は別の
スパイウェアもどきに苦労するわけで、金払って有料版買うかリカバリか
という選択になるかも。

pokemonzu.blog55.fc2.com/blog-entry-1361.html

↑PC Tools社のSpyware Doctor（Google パックにもある）で駆除できる
らしいが、実はそのSpyware Doctorのアンインストールが難しいらしい。

まあ、リカバリした方が良いかもね。
672 名前：インスコマン ◆qlwUrCXXtM [2008/10/23(木) 21:35:25 ]: >>671
Spyware Doctorで中途半端に駆除するくらいならリカバリーしたほうがよさそうな

>>668
System shock2ってまた懐かしい
gamecopyworldはたまに使うけどそんなこともあるんだね
673 名前：名無しさん＠お腹いっぱい。 [2008/10/23(木) 23:23:06 ]: キーボードの入力がスペースキーとバックスペースキーしか
受け付けなくなってしまったんですが、一度再起動して
「前回正常起動時の構成」で起動したら治りました。

aviraでスキャンしたのですが見つかりませんでした。
これは新種ウイルスなのか、ＰＣのシステム的なエラーが起こったのか
どっちなんでしょうか？
674 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/24(金) 03:07:59 ]: >>669 >>671
Spyware Doctor
pc11.2ch.net/test/read.cgi/sec/1147405865/

かなり古い昔は良いソフトだったらしいけどね。
個人的に今は推奨は出来ないね。以下はアダ被の情報。
ttp://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=410
675 名前：名無しさん＠お腹いっぱい。 [2008/10/24(金) 03:46:21 ]: あげ
676 名前：名無しさん＠お腹いっぱい。 [2008/10/25(土) 23:46:48 ]: カスペル・avast通過したファイルがあって、
でもVirusTotalで数個「トロイ」ですと出た。
でも種類を断定されわけじゃなく、トロイの可能性がありますという表記。

そのファイルを間違って実行してしまって、
あわててそのファイルを消して、感染してしまったと
嘆きながらカスペルで完全スキャンしたんだけど、
感染したファイルは見つからず。オールクリーン。

こういう事ってありますか？
トロイに間違えられるけど別に害の無いファイルっていう事。
677 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/26(日) 02:16:45 ]: >>676
そういう場合、何らかのウィンドウが出るのが普通。何も出ないのはトロイの可能性大。
他社のオンラインスキャンを試してみるべし
678 名前：名無しさん＠お腹いっぱい。 [2008/10/26(日) 02:41:02 ]: >>677
あ、ウインドウは出ました。
一応実行ファイルなので、機能も使えました。
もしかしたらトロイが付属してたら・・と心配になったんです。

スキャンはavastとカスペルとあとオンラインのトロイスキャンも。

すべてオールクリーンでした。

そんな感じですがどうでしょうか？
やはり最初のトロイ疑惑がちょっと気になってます。
一応ＺoonAlarmも入れてますが、特に変な接続はないです。
679 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/26(日) 09:37:51 ]: >>676
そりゃカスペで通過したファイルなら、
それを実行してから完全スキャンしても、
カスペじゃ感染したファイル見つからないだろう。
やるなら通過しなかったソフトでスキャンしないと。
680 名前：名無しさん＠お腹いっぱい。 [2008/10/26(日) 12:43:07 ]: >>679
あ、書き忘れてましたｗ
ノートンでもスキャンしましたが、
一個も感染は見つかりませんでした。

やっぱり一部のソフトでトロイっぽく判断される
だけで安全だったようです。

ありがとうございました。
681 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/26(日) 12:57:12 ]: 追記ｗ

ノートンはトロイっぽいですと検出したソフトの一つです。
682 名前：６６９ [2008/10/26(日) 19:15:13 ]: windowsをｱﾝｲﾝｽﾄｰﾙしたいんですけど
全てのパーテッションを削除すれば
windowsは消えますか？
683 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/26(日) 19:25:17 ]: どうやって削除しようとしてる？
特に削除とかしなくても、リカバリ(=PC購入時の状態に戻す操作)すれば普通は削除される
684 名前：６６９ [2008/10/26(日) 19:27:24 ]: リカバリcdがないので
困ってます。
685 名前：名無しさん＠お腹いっぱい。 [2008/10/26(日) 19:44:08 ]: ハードディスク抹消を使えばいいよ。
そのあとお好みのOS入れりゃいいんじゃないの。
686 名前：669 [2008/10/26(日) 21:44:20 ]: ありがとうございます。
解決しました。
687 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/29(水) 02:01:14 ]: 表示も移動も削除もできない
プロパティも表示されない画像ファイルがあるんですが
ウイルスの類でしょうか？
688 名前：名無しさん＠お腹いっぱい。 [2008/10/29(水) 08:53:43 ]: パソコン起動したらいきなりドロッパーとかいうマルウェアが検出されたんですがどうすればいいんでしょうか？
しかもなんか削除できなかったぽいんですけど････
689 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/29(水) 09:19:09 ]: テンプレを読まない奴は窓から小一時間(ry
690 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/30(木) 01:03:22 ]: このファイルをダブルクリックしてしまいました
www1.axfc.net/uploader/Ne/so/35614　　pass　sage
症状は今のところはっきり現れていません

誰か助けてください。お願い致します
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/30(木) 12:25:21 ]: >>690
ああ、それはもう無理だね。
あきらめろ。再インストールをオススメする。

もしくはほっておくか。。。。。

でもそのウイルスはヤバいね・・・・。俺じゃなくてよかった。
692 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/30(木) 12:31:07 ]: はいはいﾜﾛｽﾜﾛｽ
693 名前：名無しさん＠お腹いっぱい。 [2008/10/30(木) 18:57:24 ]: >>690
別にどうってことなかったが・・・・・
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/30(木) 20:03:47 ]: exe実行する奴っているんだなあ……
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/30(木) 22:45:28 ]: >>690
F-Secureに提出したら無害だってさ
696 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/30(木) 23:52:16 ]: >>695
ありがとうございます。
カスペにも提出したら無害だよーんって言われたので安心しました
お手数おかけしました
697 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/10/31(金) 20:56:16 ]: 無害ですが、児童ポルノを発見すると通報する機能があります。
698 名前：名無しさん＠お腹いっぱい。 [2008/11/01(土) 01:38:04 ]: ウイルスに感染してしまったので、>>1のセーフモードでの駆除方法を試そうと思ったのですが、(4)システム復元の無効というやつのやり方がわかりません。。。

使用しているOSはWindows2000SP4で、
ブラウザはlunascape4というのを使ったり、IEを使ったりしていました。

セーフモードで起動して、IEを使ってオンラインスキャンをしようと思ったのですが、スタートページの時点でページを表示できませんエラーになってしまいます。
これは、システム復元の無効をやっていないからですか？？
Windows2000での操作は、どうやったらいいんでしょうか。。。

一応、アンチウイルスソフトで、マカフィーセキュリティセンターがあったので、今、それでスキャンを試しているところなんですが。。。
オンラインスキャンがやりたいです。

どなたか起きてませんか？？？
699 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/01(土) 01:49:58 ]: >>698
システムの復元けしても直らないよ
もう寝ます
700 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/01(土) 02:01:14 ]: >>698
Windows2000はシステムの復元は無いらしいよ。

ルータとLANケーブルで繋いでる？
「セーフモードとネットワーク」で起動してる？
701 名前：698 mailto:sage [2008/11/01(土) 02:17:06 ]: >>700
無いのですか。。。一生懸命探してました。ありがとうございます。

F8を押したら項目が3つ出て、セーフモードとネットワークを選びました。大丈夫だと思います。

ルータとは、今までは無線で繋いでいました。ちなみに、コレガのやつを使っています。
今も、USBの子機が刺さっているので、大丈夫だと思うのですが。。。

マカフィーのスキャンが終わったら、通常モードで再起動してみようと思ってますが、病状が悪化しそうで怖いです。
702 名前：名無しさん＠お腹いっぱい。 [2008/11/01(土) 02:37:47 ]: あきらめてリカバリした方が早い
703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/01(土) 02:41:12 ]: 少なくとも、起動出来るうちに必要なファイルをバックアップして置いた方がいいな。
704 名前：698 mailto:sage [2008/11/01(土) 02:47:50 ]: >702
やっぱりそうなんですかね。。。
リカバリというのをすると、今まで作ったファイルとかも消すんですよね

マカフィー終わりました、検出隔離ともにゼロでした。。。
なんでマカフィーだとゼロなんでしょうか。これを、ウイルスバスターのサイトのオンラインスキャンとかすると、ウイルスが検出されるのです。。。

ウイルスを甘く見てました。。。
705 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/01(土) 10:54:52 ]: 誤認じゃね
706 名前：698 mailto:sage [2008/11/01(土) 16:56:58 ]: 698です
結局、感染していたのはrlvknlg.exe という、トロイだかバックドアだかのよくわからないやつでした。
少し調べて、なんとか駆除はできたみたいです。
今、あちこちのメーカーのスキャンを試したりしているところです。今のところ異常ないです。
色々アドバイスくださった方、ありがとうございました。
早くお金ためてOS変えたいです。
707 名前：名無しさん＠お腹いっぱい。 [2008/11/01(土) 20:32:53 ]: >>706
Vista マシンだとお金をドブに捨てるようもの
Mac(中身はUNIX) をオススメする、感染機会も98％は削減されるだろう
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/01(土) 20:48:04 ]: Vista止めるなんてもったいない。
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/01(土) 21:53:49 ]: ＰＣ初心者です。スレ違いでしたら申し訳ありません。
【使用OS】XP
【セキュリティソフトと年式】ウイルスバスター2009
【過程と措置】
ウイルス検索（クイック）をしていたら、ウイルスが発見したので、
見つかったSCVH0ST.exeを削除しました。
しかし再度ウイルス検索をしたところ、
同じ場所からSCVH0ST.exeが検出されました。
（そのフォルダを開いてもそのファイルは見つかりませんでした）　

ちなみに、クイック検索でなく全体検索をしたところ、
SCVH0ST.exeが別の場所でも発見されました。
しかしそちらの方は削除した後ウイルス検索にかけても
ウイルスは検出されませんでした。

【具体的な症状】
ネットなど、ＰＣの動作に問題はありませんが、
何故かyoutubeやニコニコ動画などが見れません。
最新のAdobeFlash PlayerをＤＬしろ、とあるので
ＤＬしたのですが、し終わった後も
「最新Flash PlayerをＤＬしてください」となっており
動画が見られない状態になったままなのです。
（もちろん再起動はしました。それからその後も
　何度か繰り返しましたが結局駄目なままでした。）　　

ネットは使えるし一見問題がなさそうなのですが、
一度消したウイルスが何故まだあるのか？
そのウイルスが原因で動画が見れないのか？
（似たような名前のSVCH0ST.EXEというものもあるようですが
こちらはSCVH0ST.exeというものです。）
など全くお手上げ状態です。
どなたかご意見をお願いいたします。
710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/01(土) 23:04:38 ]: XPAntivirus2008Removalとかいうインチキセキュソフトをインスコさせられたみたいだな
ｸﾞｸﾞっても日本語ではほとんど出てこないな。
こういうのはリカバリが結局一番早くて確実だとｵﾓｳﾖ。
711 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/02(日) 01:34:35 ]: ええと、消したとのことだが、この程度の事は知って消したんだよな？
gigazine.net/index.php?/news/comments/20061009_svchost/

もし知らずに消したんならリカバリしとけ。
712 名前：名無しさん＠お腹いっぱい。 [2008/11/02(日) 09:21:38 ]: >>711
大丈夫だろ、SCVH0ST.exe 全然スペル違うし。
SVC じゃないし、H0ST ってオーじゃなくゼロになっている。
　>>709 はまず IE のキャッシュを消しみることだな。
　そこに偽装されたものが残っていること多いから
713 名前：709 mailto:sage [2008/11/02(日) 09:51:42 ]: レスありがとうございます。
SCV、ですのでSVC…のものとは違うと思われます。
HO（オー）STがH0（ゼロ）STはちょっと今確認ができませんが
最初の３文字が違うので大丈夫…だと思います。
とりあえずＩＥのキャッシュを消して、それでも駄目なようなら
リカバリをしようと思います。ありがとうございました。
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/02(日) 12:30:16 ]: >>710
>>325
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/02(日) 18:55:36 ]: >>712
素で打ち間違いだとオモタ
716 名前：名無しさん＠お腹いっぱい。 [2008/11/02(日) 19:57:13 ]: system32/kcrnaegh1Drv.dll

adawareで見つかった。ぐぐっても情報なし。
海外の情報が数件。情報流出ほどの重大な危険性はなさそうだが、どうでしょうか？
一応削除はできたと思いますが、これまでの被害は何が考えられるかお願いします。
717 名前：716 mailto:sage [2008/11/02(日) 19:58:50 ]: Win32.TrojanPWS.OnlineGame has a TAC rating of 10
>>716の別名です。
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/02(日) 19:59:38 ]: ネトゲの中華トロイだろ
719 名前：716 mailto:sage [2008/11/02(日) 20:23:52 ]: それがゲームはまったくやらないし、
ファイル月メールを開いたことも無いです。
ネットサーフィンしてる間に仕込まれたのかもしれません。
720 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/02(日) 20:57:36 ]: テンプレ使わずに質問してる奴ってまともな回答求めてない釣りだろ
721 名前：名無しさん＠お腹いっぱい。 [2008/11/03(月) 14:09:41 ]: Win-Dropper/Small.31776とRedirected Hostfile Entries

見つかりました削除していいでしょうか？
恐怖で頭が一杯です
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/03(月) 14:55:43 ]: ひとつ前のレスも読めないのか
723 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/03(月) 15:04:11 ]: >>721
まず、Win-Dropper/Small.31776だけど、見つかった場所が
ブラウザーのインターネットキャッシュのフォルダで、
windowsとブラウザーが最新なら多分問題ない。

問題はRedirected Hostfile Entries で、これはスパイウェア
みたいだが、簡単に削除できるかどうか不明だし、削除できても
悪影響が残るかもしれない。

あまり効果を期待はできないが下の方法を試したら？

「システムの復元」ができれば「システムの復元」して、その後
一旦「システムの復元」を無効にして、再度「システムの復元」を
有効にする。それでも悪影響があれば、アダ被記事参考にして
hostファイル対策。
その後、すべてのソフトを最新版にupdate。

www.higaitaisaku.com/fukugen.html
www.higaitaisaku.com/hosts.html
724 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/03(月) 15:20:33 ]: >>723
有難うございます、試してみます。
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/05(水) 08:15:39 ]: >>723
復元信者乙
726 名前：716 [2008/11/05(水) 21:52:43 ]: すいませんでした。テンプレうめました。

【使用OS】　　　XP Home SP2
【使用ブラウザ】　　　firefox1.2
【Microsoft Updateの更新の状態】　　　三ヶ月前からやっていない
【セキュリティソフトと年式】　　pcgate2.2
【スパイウェア対策ソフト】　　adaware
【回線の種類・ルータの有無】　　adslでルータ使用
【具体的な症状】30分に一回くらいhdがカリカリカリカリと今までなかったアクセスをするようになった。
おかしいと思い、adawareやったら検出。adawareで削除したら、それがなくなった。

スパイウェア名
system32/kcrnaegh1Drv.dll
Win32.TrojanPWS.OnlineGame has a TAC rating of 10

海外の情報が数件。情報流出ほどの重大な危険性はなさそうだが、どうでしょうか？
一応削除はできたと思いますが、これまでの被害は何が考えられるかお願いします。
727 名前： ◆0fQkHdNop2 mailto:sage [2008/11/05(水) 22:43:28 ]: >>726
>【使用ブラウザ】　　　firefox1.2
>【Microsoft Updateの更新の状態】　　　三ヶ月前からやっていない
>【セキュリティソフトと年式】　　pcgate2.2

という事はウィルス対策ソフトは入ってないしwindowsもブラウザーも
セキュリティーホールだらけという事ですね。
まあ、HDDのカリカリカリカリという音に気付いただけ上出来という事
ですかね。そのカリカリカリカリは悪事のコード実行しまくりという音
ですのでバックドアが造られパスワード等の個人情報抜かれまくりと
覚悟した方がいいですね。
まあ、リカバリ推奨。リカバリ後は、まずMicrosoft updateをカスタムで
先にIE7インストール、それから「高速」「自動更新」。その他のソフトも
最新版にupdate。当然、Firefoxも最新版にしてアドオンのNoScriptも
入れる。ウィルス対策ソフトも入れる。金がなければAvast（非営利・
家庭用は無料だと思う）でも入れる。

どうしても、リカバリ嫌なら自己責任で。（ただし、せめてパスワード
変更してウィルス対策ソフト入れて、すべてのソフトは最新版にupdate）
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/05(水) 23:33:50 ]: >>726
ＰＣゲートということはＮＥＣですか。ＺＯＮＥ系だったと思いますが、出来れば乗り換えたほうがいいかもよ。

PWS.OnlineGam はアカウントハックといわれるウイルスによくある名前。
ウイルス自体はオンラインゲームのＩＤ・パスをぶっこ抜くタイプのウイルスですが
コイツはオンラインから仕込まれる例が多いようなので、他にも仕込まれている可能性があるかもです。
アンチウイルスが入ってないようだし、全ては判らんのでなんともいえないですが。

更新状態を見る限り>>727の言うとおり今はちょっと問題が多い
まあどの道、ウイルス駆除や更新作業に時間がかかるので、
ここはリカバリしたほうが早いと思う。
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/09(日) 08:33:25 ]: C:\WINDOWS\SYSTEM32\MSGD1.DLL
\\?c:\WINDOWS\system32\msGDI1.dll
C:\WINDOWS\SYSTEM32\WMDMPMSVC.DLL
\\?\c:\WINDOWS\system32\wmdmpmsvc.dll
オンデマンドスキャンを何回やってもこの表示が出ます。
Cドライブの中のsystem32フォルダを探っているときにも検出されました。
これは、削除ができていないのでしょうか。
それとも増殖していて削除が追いついていないのでしょうか。
730 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/09(日) 10:23:59 ]: >>729
削除出来るけど普通に削除しようとしても駄目に決まってる
731 名前：名無しさん＠お腹いっぱい。 [2008/11/09(日) 10:30:05 ]: 【使用OS】　　　XP Home SP3
【使用ブラウザ】　　Internet Explorer 7
【Microsoft Updateの更新の状態】　　自動更新
【セキュリティソフトと年式】　カスペ　2009
【スパイウェア対策ソフト】　　ad-adware2008

【回線の種類・ルータの有無】　　CATV　ルーター無

【具体的な症状】　
Fantibag.Bって感染したのですがこれって修復不可能なのでしょうか？
対処法が分からなくて困ってるのですが
どなたかご存知の方いらっしゃいましたら、お助けください
宜しくお願いします
732 名前： ◆0fQkHdNop2 mailto:sage [2008/11/09(日) 12:22:47 ]: >>731
>Fantibag.Bって感染したのですがこれって修復不可能なのでしょうか？

「Fantibag.B」という名称はカスペのウィルス名じゃないようです。
カスペでは「Bagle」というみたいですね。
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=94137
オンラインスキャンで発見されたのですか？

まず、本当に感染したのか感染したと誤解してるのか、その発見状況
が不明なのでわからない。（ブラウザーのインターネットキャッシュ
に入ってもソフトのupdateが完全なら見ただけでは感染しない。
ただし、クリックすればカスペ未対応の亜種なら感染する。）

普通は、クリックしなければカスペ入れててMicrosoft updateや
他のソフトのupdateも完全なら簡単には感染しない。

そのFantibag.Bに感染すればカスペのupdateサイトに接続できなく
なるはずだから、カスペのupdateサイトに接続できてるか
updateして調べたら良い。
それから、レジストリの改変も調べてください。
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2005-091514-5546-99&tabid=2
733 名前：名無しさん＠お腹いっぱい。 [2008/11/09(日) 12:37:53 ]: 【使用OS】　　　XP Pro SP3
【使用ブラウザ】　　Sleipnir
【Microsoft Updateの更新の状態】　　自動更新
【セキュリティソフトと年式】　ウイルスキラー 2008

【回線の種類・ルータの有無】　　FTTH　ルーター有

【具体的な症状】　
トロイの木馬Agent.ADKAというものに感染してしまったようです。
うまく言葉にできないんですが、ログインすると「ユーザー名.コンピュータ名」といった形でユーザーが作成され、そのユーザーを使用する形になってしまいます　※(1)参照
「SpyBot Search&Destroy」や「Malwarebytes' Anti-Malware」で検出したものを駆除しましたが変化はみられませんでした。 ※(2)参照

インストールディスクを使用して修復インストールも試してみましたが、「セットアップは次のフォルダを作成できません」と出て続行することができません。　※(4)参照
HDDの故障かと思いましたが、CHKDISKで異常はありませんでした。

とりあえず、XPとVistaのデュアルブートですので急遽Vistaを使用しています。
どなたかご存知の方いらっしゃいましたら、宜しくお願いします。

(1)www.hsjp.net/upload/src/up51813.jpg
(2)www.hsjp.net/upload/src/up51817.png
(3)www.hsjp.net/upload/src/up51818.png
(4)www.hsjp.net/upload/src/up51820.jpg
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/09(日) 13:38:45 ]: ちゃっちゃとリカバリしろ
735 名前： ◆0fQkHdNop2 mailto:sage [2008/11/09(日) 13:40:13 ]: >>733
(2)の画像がNot Foundで見れないですし、そのAgent.ADKAも知りません。
また、本当はリカバリが安全確実で、以下の方法は効果がないかも
しれませんが、一応述べときます。

起動時にF8キー押してセーフモード起動しadministratorでログオン。
「システムの復元」ができればシステムの復元する。
システム復元ができた場合、その後、もう一度、セーフモード起動し
administratorでログオン。
[コントロールパネル]→[ユーザーアカウント]で勝手に作成された
アカウント削除。
その後、Vistaで起動してXP側のパーティションのtdssserf1.dll削除。
その後、システム復元ができた場合、XPを通常起動して、コントロール
パネルのシステムで「システムの復元」を一旦無効にして、その後、
再度有効にしすべてのソフトupdate。
そして、アダ被参考にしてhosts ファイル対策。
ttp://www.higaitaisaku.com/hosts.html
ttp://www.higaitaisaku.com/fukugen.html

ただし、↑コレが全く効果ない場合や危険性が残る場合もあるので
リカバリ推奨。
736 名前：733 [2008/11/09(日) 13:51:22 ]: これです
(2)www.hsjp.net/upload/src/up51849.png

hosts ファイル対策を試してみます。
737 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/09(日) 14:06:48 ]: >>736
感染例が少ないマルウェアかと思ったら
ただのVundoとFakeAlartか
738 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/09(日) 17:22:06 ]: >>730
どうすれば削除できますか？
739 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/10(月) 00:46:58 ]: www.subculture.com/backdoor.html
ここ踏んでウイルスに感染したっぽいです…
どうしたらいいですか？
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/10(月) 08:06:04 ]: >>739
それのどこがウイルス何ですか？w
741 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/10(月) 15:14:00 ]: よく判らんが鑑定スレでは有害と診断されてた
つか>>739よ、backdoorなんてモロな名前の付いたタページを踏むなよ
742 名前：726 [2008/11/10(月) 16:59:30 ]: >>727
いちおうルータかんでるし、古いけどFWSもあります。
それでも個人情報ぬかれてる可能性ってあるんですか？
この二つがウイルスによる送信を止めると思うのですが。
リカバリ後の指導ありがとうございます。
保存するデータが多いのでしばらくはできないのですが
最終的にはリカバリして使いたいと思います。
>>728
zoneの有料のやつです。ただし相当古いので
zoneのフリーの最新版のほうがよっぽどいいかもしれません。
オンラインゲームはやってないしファイル月メールも開いたことはないです。
仕込まれたとすればエロサイトでjava有効にしていたときくらいしか
思いつきません。
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/10(月) 18:32:06 ]: >>742
まあ、どんな状態であれOSの更新や、アプリの脆弱性を放置してると
普通にみてて何か拾ってしまっても不思議さはないよ

それから個人的にZoneのフリーは余りお勧めできない
使うならまずCOMODOでも試したほうが良いと思う。英語だが。
もし日本語しかダメならPCToolSのファイヤーウオールが良いかも知れない…
コイツは……若干導入がめんどくさいんだが、まあまあの性能。
744 名前： ◆0fQkHdNop2 mailto:sage [2008/11/11(火) 07:49:24 ]: >>742
>いちおうルータかんでるし、古いけどFWSもあります。
>それでも個人情報ぬかれてる可能性ってあるんですか？
>この二つがウイルスによる送信を止めると思うのですが。

仮にFWがウィルスからの自発的な外部への通信を止めれたとしても、
セキュリティーホールを放置して、そのマルウェア仕込んだサイトを
再度閲覧すればマルウェアが収集した情報は抜かれる可能性があります。
なぜなら、現在のFWは、リークテスト100%のものでも改変されてない
ブラウザーからセキュリティーホール利用して情報抜かれるのは防止できない
からです。
リークテストはマルウェアが単独で外部に情報リークするのを防止できるか
というテストであって、ユーザーが信頼済みとするブラウザーにセキュ
リティーホールがあって、ユーザーが悪質サイトにアクセスして情報
抜かれる場合のテストではないからです。
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/11(火) 19:54:36 ]: >>744
説教乙
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/16(日) 19:55:53 ]: >>743
ありがとうございます。
ゾーンさえ使ってれば間違いないってのはもう古いんですかね。
セキュリティ板とかでそれらのソフトについて調べてみます。
>>744
いろんな方法があるんですね。
やはりセキュリティはしっかりしておかないとだめですね。
関係ないかもしれませんが、もしかしたらスパイウェア仕込まれたのは
中国のダウンロードサイトかもしれません。
表示されたアルファベット入れてダウンロードボタン押して
megauproadみたいに40秒くらいまつと落とせるようになってダウンロードボタン
押して落とすサイトですが、名前は忘れてしまいました。
747 名前：名無しさん＠お腹いっぱい。 [2008/11/16(日) 23:56:35 ]: >>729
私も同じやつに感染したようです。
ウィルスバスターのパターンファイルをアップデートして、ウィルス検索をしたら引っかかりました。

c:\WINDOWS\system32\wmdmpmsvc.dll

隔離できないから手動で削除しろということらしいですが・・・。
プロセスを終了させないと削除できないみたいだけれど、タスクマネージャーを開いても、それらしいのが見当たらないです。
どうしたらいいのでしょう？
748 名前：名無しさん＠お腹いっぱい。 [2008/11/17(月) 00:18:34 ]: >>747
セーフモード
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/18(火) 02:01:08 ]: >>747
なんつかーまあ
ttp://ziddy.japan.zdnet.com/qa4486990.html
750 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/18(火) 16:25:37 ]: ちょっち協力してください
BitDefenderで以下のファイルがヒットしました。
\system32\wuauserv.dll
Trojan.Dmservinf.A だそうです。
ただ、調べてみるとこのdllはWindows updateに関わるファイルらしく
手持ちのカスペルでは検出しませんでした。
またココvirusscan.jotti.org/でスキャンしてもBDしか検出しません。
誤検出ですかね？
ハッシュを記しておきますんで、どなたか照合してくださいませんか？
ファイルバージョン 5.4.3790.5512
XP SP3 です。

MD5:0B5488CFD275885A935D7701242B4390
6,656 Bytes
751 名前：名無しさん＠お腹いっぱい。 [2008/11/18(火) 17:54:27 ]: あげろって。
752 名前： ◆0fQkHdNop2 mailto:sage [2008/11/18(火) 18:09:29 ]: >>750
VirusTotal
www.virustotal.com/buscaHash.html
では、4/36だった。
しかし、MicrosoftがVirus:Win32/Messoum.Cと認定してるので
削除できるなら削除してもWindows等のMicrosoft製ソフトには
悪影響はないだろう。ただし、他社のソフトや周辺機器に不具合
出る可能性は排除しないので、圧縮して保存してから削除が
望ましい。
753 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/18(火) 22:05:37 ]: >>748-749
ありがとうございます。
セーフモードで起動してみたら削除できました。
しかし・・・。
レジストリの削除？？
どうしたらいいんだろ・・・レジストリのことは全然わかりませんorz
754 名前：750 mailto:sage [2008/11/19(水) 02:02:34 ]: >>752
削除してみました。
その後updateページにアクセスすると同名異サイズのdllがダウンロードされた模様。
もちろん、こっちは検出されませんでした。
1/3くらいのサイズ
怖い怖い
755 名前：名無しさん＠お腹いっぱい。 [2008/11/23(日) 19:06:53 ]: 【使用OS】　2k SP4
【使用ブラウザ】　sleipnir
【セキュリティソフトと年式】　avast
【具体的な症状】　最近avastから度々警告が出て､そのたびにチェストへ移動していました。
avast、F-secureオンラインスキャナでスキャン、駆除しましたがしばらくするとまた警告が出てきます。
先程カスペでスキャンしたところ、以下のような結果でした。
どうすればいいでしょうか？

C:\WINNT2\7XQ2QQrror 感染: Rootkit.Win32.Agent.ewr
C:\WINNT2\lee.exe 感染: Backdoor.Win32.Hupigon.euup
C:\WINNT2\winword.exe 感染: Backdoor.Win32.Hupigon.euup
756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/23(日) 19:07:40 ]: リカバリ
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/23(日) 19:18:21 ]: >>755
レジストリエディタを使用して
7XQ2QQrror
lee.exe
winword.exe
に関連付けされているレジストリを消去してみたら？
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/23(日) 20:46:42 ]: >>755
ルートキットに感染してるならマジでリカバリした方がいいよ。
759 名前： ◆0fQkHdNop2 mailto:sage [2008/11/23(日) 21:12:01 ]: >>755
私もリカバリ案に賛成。
問題は、ウィルス対策ソフト入れててウィルス感染した事。
同じ事をすれば、また感染するだろう。

ファイル交換してるか、WindowsやSleipnirやAvast等のソフトのどれかの
update不足で既知のセキュリティーホール放置があるのではあるまいか？
普通、すべてのソフトのupdateが完全なら見ただけウィルス感染は極めて
稀だ。（非公開のセキュリティーホールを踏むのは滅多にない。）
だから、update不足か、それともファイル交換でやみくもに怪しい「お宝
ファイル」をクリックして亜種とかのウィルス対策ソフト未対応のウィルス
に感染したと思わずにはいられない。
760 名前：名無しさん＠お腹いっぱい。 [2008/11/23(日) 22:23:24 ]: >>759
お前のスレで質問してるんだから早く初心者に丁寧に答えろ
他のスレ行ったけど回答ねえんだ
761 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/23(日) 22:32:30 ]: >>759
つまりあれか。

「ケツの穴に入れたものが余りにも気持ちよかったからつい入れたくなっちゃうんだ。」

こういう事か。
762 名前：名無しさん＠お腹いっぱい。 [2008/11/24(月) 18:42:28 ]: Trojan.Exploit.131
Downloader
の2つに感染していることがわかったのですが、
感染しているファイルがみつからなく、駆除方法がわかりません。

何卒お助け下さい。<(_ _)>
763 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/24(月) 19:44:47 ]: >>762
>>1
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/26(水) 05:12:17 ]: 【OS】WindowsXP-SP2
【ウイルスソフト】ウイルスバスター2008

どなたかご回答お願いします
ttp://a-draw.com/up/で3109番のMP3ファイルをダウンロードしようとパスワードを入れ、
ダウンロードボタンを押しましたが確認画面が出てこず、
いきなりファイアウォールだけ無効になってしまいました
(ウイルス機能は無事)
ファイアウォールを有効にしようとしても「処理できません」と
出て、動作が鈍くなったので、バスター&パソコンの再起動を
試みましたが、無理でした

①1度目のパソコン再起動後、パソコンの動作が異様に遅い
→ウイルスバスターで検索を試みる→が、無茶苦茶動作が遅く
CPU100%になることも…パソコンからはファンの大きな音が…

②二度目の再起動&ウイルス検索を試みるが、①と同じ

③三度目に再起動しファイアウォール有効にさせようとするが、
結果は同じ
しかし、パソコンの動きとウイルスバスターは元に戻ったので

検索かけたが、ウイルス&スパイウェアは検出されず
→検索終了後ファイアウォール有効化に成功
これはウイルスやスパイウェアが原因でしょうか？
もし原因なら検出されなかったということでしょうか？
カスペルスキーのオンラインスキャンを試しましたが、
スキャン自体ができませんでしたorz

すみませんが、ご回答お願いします
長文失礼しました
765 名前：764 mailto:age [2008/11/26(水) 05:19:54 ]: 補足です
【インターネットブラウザ】IE６
【メモリ】１G

です
よろしくお願いします
766 名前：764 mailto:sage [2008/11/26(水) 05:41:03 ]: 何度もすみません…今立ち上げたらまたファイアウォール無効になってましたorz

やっぱりウイルスかスパイウェアなのかも…(泣)
767 名前：名無しさん＠お腹いっぱい。 [2008/11/26(水) 07:27:20 ]: マイクロソフトもＸＰは、ＳＰ３とＩＥ７を対象にアップデートしているので、
ＳＰ３とＩＥ７にした方がいいのかも。
768 名前：名無しさん＠お腹いっぱい。 [2008/11/26(水) 09:09:06 ]: >>767
レスありがとうございます
SP2は今でも自動アップデートが実行されますが、
やはりS３に変えるべきでしょうか？;

以前SP1→SP2乗り換えした途端パソコン故障した経験が
あるので躊躇してましたorz
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/26(水) 09:17:32 ]: とっとと変えろ。
770 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/26(水) 10:17:39 ]: >>769
はい…orz

今ウイルスバスターに聞いたら検出されないなら、ウイルスやスパイウェアではなく
ファイアウォールに問題があるかもと言われました

でもウイルスやスパイウェアのないファイルのダウンロードが
原因でファイアウォールに不具合が起きるんでしょうか？CPU相変わらず100%付近だしorz
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/26(水) 10:30:18 ]: とっとと変えろ。
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/26(水) 21:12:22 ]: >>764
何も引っ掛からないかもしれないけど、
とりあえず>>1の方法からF-Secureの
オンラインスキャン試してみて。あ、VBは
期限切れじゃないよね？

>>767
SP2もIE6もまだサポート終わってないよ。
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/26(水) 21:32:56 ]: >>772
ありがとうございますVBの期限はあと２年ありますｗ

これでもし原因がVBだと決定したら、２年契約にかなり後悔…orz
774 名前： ◆N9P3SuvBPo mailto:sage [2008/11/26(水) 21:49:28 ]: 何故ファイアーウォールが無効になってしまったのかは分かりませんが
早い話、リカバリしたほうが良いのでは？と思います。
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/26(水) 22:47:43 ]: >>774
レスありがとうございます
ウイルスバスターのサポートで聞いて、試したところ…

①立ち上げ時には無効②バスター終了させ、再起動→有効になる

って感じです
その前までは超スロー&フリーズで設定もエラー起きてたぐらいですので、
一歩前進って感じですｗ

サポート側としてはウイルスバスターを終了させると、CPU使用率が大幅に下がったこと、
またウイルスバスターで検索かけても検出数0だったことから、
ファイルがウイルスやスパイウェアではなく、ファイアウォール
自体に問題があるので、ファイアウォールのみ再インストールした方が
良いと判断しました

また、ファイルに関してはファンスレを除く限り、大半の人が
正常にダウンロード出来たようです

やはりリカバリーはした方が良いのでしょうか？orz
776 名前： ◆N9P3SuvBPo mailto:sage [2008/11/26(水) 23:07:14 ]: >775
バスターのファイアーウォールが無効になったのは
>764のMP3ファイルをDLしようとしたところですよね？
それまではちゃんと正常に、ファイアーウォールが動作していたんですよね。

気掛かりなのは何故MP3ファイルをDLしようとした（実行はしてない）のに、
ファイアーウォールが無効になってしまったのか…

そのうｐろだサイト見て来たけど、問題のファイル、結構DLされてるんですね。

この場合、やはりリカバリした方が宜しいかと思いますね。
FWが無効になったら気持ちの良いものではありませんし。

って、完全無防備で危険なサイトに特攻するような俺が言っても説得力の欠片も無いと思いますがw
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/26(水) 23:29:51 ]: >>776
ご親切に色々とお教え頂きありがとうございます
問題のファイルはファンスレの大半の人達がダウンロード出来て、
再生出来たのにウイルスだのスパイウェアだのと言うなと怒られてしまいましたorz
最初はうｐ主の自演かと思いましたが、違うようですし…

あと、ウイルスバスター2008について調べたところ、
ファイアウォールが無効になった人がいたようです(原因は不明とのこと)
サポートからは不具合だからリカバリーと再インストールを薦められたそうですｗ

一度再インストールしてみて、駄目ならリカバリーしてみます

あと、ウイルス対策ソフトはカスペルスキーに乗り換えた方が良いでしょうか？
778 名前： ◆N9P3SuvBPo mailto:sage [2008/11/26(水) 23:38:18 ]: >777
はい。

「あれがいいぞ」とか「これがお奨めですよ」とアドバイスはしますが、
最終的な判断はそちらでお願いします。
乗り換える前に体験版を使ってみる手もありますが。
779 名前： ◆N9P3SuvBPo mailto:sage [2008/11/26(水) 23:40:14 ]: 補足

間違えても、ZEROと付くものは絶対に止めておいてくださいね。
780 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 00:29:01 ]: >>778 >>779
ありがとうございます
カスペルスキーはオンラインスキャンが無理だったので、
まずは体験版を使ってみようと思います
無知な自分に色々とご親切にお教えくださり本当にありがとうございます(´；ω；｀)
781 名前：772 mailto:sage [2008/11/27(木) 00:57:24 ]: 期限が二年余ってるならVer2009にUGして
そのまま使ってても良さそうだけど、
「不具合だからリカバリ&再インスト」って言う
ようなサポートでは、乗り換えた方が良いかもね(^^;
(普通は修正パッチ出すもんだが・・・)

それからリカバリの補足で、下記熟読
ttp://www.higaitaisaku.com/cleaninst.html
782 名前：名無しさん＠お腹いっぱい。 [2008/11/27(木) 12:33:26 ]: 昨日あるサイトの動画を見ていて突然フリーズしシステムインスコする様な画面になりました。すぐ電源を切り再起動したのですが、一発目起動時はかなり重く今までなかった様な時間がかかりました。レジストリ書き換えとかされてる気がします。OS再インスコする予定ですが、
783 名前：名無しさん＠お腹いっぱい。 [2008/11/27(木) 12:35:24 ]: >>782続き知りたいのは動画サイトを見てて、そこからウイルスとか入ってくるものなんでしょうか？ウイルスバスター2008を使用していて、バージョンは最新です。OSはVista sp1です
784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 16:28:10 ]: >>783
あるから感染したんだろ
それ位察しろ
785 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 16:42:21 ]: 【使用OS】　　　XP Home SP3
【使用ブラウザ】　　　Internet Explorer 7
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　なし
【スパイウェア対策ソフト】　　なし
【回線の種類・ルータの有無】　　ADSL　無線

【具体的な症状】　
今までセキュリティソフトを入れていなかったのですが、カスペエンジンのniftyで
オンラインスキャンをした所『Trojan-GameThief.Win32.OnLineGames.biuv』が見つかりました。
場所は『C\WINDOWS\system32\KarnaeghDrv.dll』です。
しかし、niftyでは駆除してしまいます。
駆除の仕方が分からないのですが、どうすればいいか分かる方よろしくお願いします。
786 名前：785 mailto:sage [2008/11/27(木) 16:53:08 ]: 書き間違いがありました。下から2行目は

niftyでは駆除『失敗』してしまいます。

です。
787 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 16:58:59 ]: カスペの体験版入れて駆除すれば？
788 名前：785 mailto:sage [2008/11/27(木) 16:59:44 ]: カスペの体験版だと駆除できるのですね。
ありがとうございました。早速試して見ます。
789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 20:02:45 ]: 【使用OS】　　　XP Home SP2
【使用ブラウザ】　　　FireFox3
【Microsoft Updateの更新の状態】　　　無効
【セキュリティソフトと年式】　　なし
【スパイウェア対策ソフト】　　なし
【回線の種類・ルータの有無】　　ADSL　ルータ有り

【具体的な症状】　
プロセスでspoolsv32とwmiprvseがユーザー名で動いていたため、怪しいと思いフレックスオンラインスキャンにかけた所以下の二つのウイルスが確認されました

WORM_AUTORUN.BCT
BKDR_PROTUX.AT

それぞれ該当名の不正なファイルがsystem32直下に存在していたため、削除
レジストリは手動で二つのオートランを削除し、更に二つの名前でキー検索したところShellの記述も書き加えられていたため削除
以上でほぼ問題なく使えていますが、上記ウイルスのデーターベースに詳しい対応方法が書いてないため確証が持てません
同ウイルスの詳しい駆除方法、または駆除方法が記載されているページについてご存知の方いらっしゃればご教授願います
ちなみに件の後、導入したウイルスバスター２００９ではウイルスは検出されませんでした
790 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 20:07:27 ]: >>789
何故バスター･･･カスペの方が検出率高いのに

値段で選ぶと痛い目見るよ
791 名前：789 mailto:sage [2008/11/27(木) 20:16:51 ]: >>790
カスペは相性が悪いのかブルースクリーン連発するのでやむを得ずお蔵入りです
いくら検出率が高くてもシステムに過度に干渉するソフトウェアは正直どうかと思いました
ただ、バスターはバスターで非常に微妙な使い心地でしたので、ノートンにすれば良かったと後悔しています
792 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 20:43:12 ]: 君はソースネクストでも入れておけばいいと思うよ
793 名前：789 mailto:sage [2008/11/27(木) 21:23:21 ]: >>792
私の書き込みが何かお気に触りましたでしょうか？

上記質問ですが、フレックスオンラインスキャンでのウイルスデータということで、テンプレに沿っておらず申し訳ない
既に削除してしまったので確かめにくいですが、カスペでの当該ウイルスは以下の二つになると思います
Worm.Win32.AutoRun.bct
Protux.at
794 名前：789 mailto:sage [2008/11/27(木) 21:32:38 ]: 何度もすみません
下のウイルスの名称は
Backdoor.Win32.Protux.at
の間違いでした
795 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 21:40:41 ]: この際怪しい海外音楽ダウンロード系サイト行ってダウンロードしまくるといいよ。
796 名前：名無しさん＠お腹いっぱい。 [2008/11/27(木) 22:21:58 ]: >>794
autorunはusbなんかを差し込むとusbにも感染して
感染したusbをさしこむとry
usb差し込んで変なファイル作られてないなら大丈夫かな
797 名前：名無しさん＠お腹いっぱい。 [2008/11/27(木) 22:38:40 ]: 【使用OS】　　　XP Home SP2
【セキュリティソフトと年式】　ウイルスバスター2009　
【スパイウェア対策ソフト】　　同上

【回線の種類・ルータの有無】　ADSL　ルーター有

【具体的な症状】　
手動検索を先日かけたところ、『TROJ_MESOUM.AE』というウイルスに感染していると言う通知を受け、隔離したのですが
隔離フォルダから駆除を試したところ、駆除ができませんでした。
削除していいものかよくわからないので、感染していたファイル名を検索していたらこちらを拝見させていただいたので
相談したくて書き込みをさせていただきました。

どうしたらよいのでしょうか？

感染したファイルは
C\WINDOWS\system32\msGDl1.dllです

よろしくお願いいたします。
798 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 22:43:17 ]: >>797
flashget入れてるだろ
スパイウェアソフトだからアンインストールしろ
799 名前：797 mailto:sage [2008/11/27(木) 22:44:54 ]: 連続ですみません。補足です。
【使用ブラウザ】fire fox3
よろしくお願いいたします。
800 名前：名無しさん＠お腹いっぱい。 [2008/11/27(木) 23:14:11 ]: antivirus2009の削除はできないでしょうか。
カスペ2009入れているのですが、削除できません。
801 名前：797 mailto:sage [2008/11/27(木) 23:16:02 ]: >>798
レスありがとうございます。
flashget 削除しました。

この『C\WINDOWS\system32\msGDl1.dll』は削除しても大丈夫なファイルなので
しょうか？
何度もすみません。
802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/27(木) 23:58:56 ]: >>801
大丈夫(だと思う。
一回ゴミ箱へ移動して問題がなければ空にすればいい。
803 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/28(金) 00:04:55 ]: >>801
大丈夫(だと思う。
一回ゴミ箱へ移動して問題がなければ空にすればいい。
804 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/28(金) 00:13:52 ]: >>801
大丈夫(だと思う。
一回ゴミ箱へ移動して問題がなければ空にすればいい。
805 名前：797 mailto:sage [2008/11/28(金) 02:13:05 ]: >>802
レスありがとうございます。
無事問題を解消することができました。

本当にありがとうございました。
806 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/28(金) 07:01:25 ]: >>800
>>504
807 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/28(金) 14:32:47 ]: 【使用OS】　　 XP SP3
【使用ブラウザ】　　　Internet Explorer 7
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　ウイルスバスター2007
【スパイウェア対策ソフト】　　同上
【回線の種類・ルータの有無】　　ADSL　ルータ有り

【具体的な症状】　
手動でウイルス検索をかけたところ、『POSSIBLE_MHT』というウィルスが検知されました。
場所は『C:\Program Files\Jane Style\Jane2ch.exe』です。
「詳細を見る」をクリックすると、右下に警告？みたいな青い窓が出て
「『TSC_GENCLEAN』というトロイの木馬が悪さしようとしたから、修復しましたよ。大丈夫です。」
というようなメッセージが出ました（すぐ消えてしまったのでうろ覚えですが・・・）。
その後、『POSSIBLE_MHT』を駆除しようとしましたが、「駆除できませんでした」というメッセージが出て
焦って削除のボタンを押したら、削除は実行できたようです。
その後、念の為『C:\Program Files\Jane Style\Jane2ch.exe』のみをウイルス検索しましたが
何も検知しませんでした。

『POSSIBLE_MHT』自体をググっても、ほぼ情報が無いみたいで正体が分りません。
ウイルスの対応としては、削除で終了で大丈夫なのでしょうか？
あと、『POSSIBLE_MHT』と『TSC_GENCLEAN』は、関連するものなのでしょうか？
関連しないなら、『TSC_GENCLEAN』は別に駆除しないといけないのでしょうか？

お手数ですが、教えてくださるととてもありがたいです。
よろしくお願いします。

【過程と措置】　
【その他】
808 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/11/28(金) 14:34:01 ]: ソフトウェア板かバスタースレでどうぞ。
誤検知だと思うが。
809 名前：807 mailto:sage [2008/11/28(金) 15:44:57 ]: 私がグズグズしてる間に、どなたかがバスター2007スレにコピペしてくれたようですね。
どうもありがとうございます。
810 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/01(月) 17:32:00 ]: そういえばバージョンあがったんだっけ？
ＪＡＮＥ
811 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/01(月) 18:02:25 ]: はいぃ？（by右京）
812 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/02(火) 00:34:27 ]: 片山右京
813 名前：名無しさん＠お腹いっぱい。 [2008/12/04(木) 00:03:39 ]: 【使用OS】　　　XP PRO　SP2
【使用ブラウザ】　　　火狐3
【Microsoft Updateの更新の状態】　　自動更新設定
【セキュリティソフトと年式】　　avast
【スパイウェア対策ソフト】　　SPYbot adware2008

【回線の種類・ルータの有無】　USEN 光回線

【具体的な症状】avastからの警告でファイル名C:\autorun.inf　マルウェアの名前BV:AutoRun-E [Wrm]と出て
削除とチェストへ移動を試みるもすぐにまた警告表示が出てくる無限ループ状態。同様にD、E、Gのautorun.infも出てくる始末

【過程と措置】
海外サイトの歩き渡りで操作ミスで誤って怪しいファイルインスト、その後avastの警告表示が出るがなぜか
無限ループの嵐。ぐぐってautorunを調べるもやはり対処方法がわからず
どうかご教授お願いします
814 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/04(木) 00:21:12 ]: >>813
ttp://drweb.jp/support/cureit.html
これをセーフモードで使ってみて。
815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/04(木) 00:48:53 ]: お尋ねしたいのですが、
spy-bot、ad-aware、onecare、Nortonでスキャンをかけて
出てきた問題を修正・削除し、もう一度スキャンかけたら
出てこなくなったので安心しました。
816 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/04(木) 00:53:25 ]: んあ？ｗ
817 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/04(木) 11:07:59 ]: 【使用OS】　XP
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　ウイルスバスター 2008

ウイルスバースターをいれてるのですが、試しにniftyのオンラインスキャンをしてみたところ
Packed.Win32.Krap.bが見つかりました
なぜか駆除できません
どうすればよいでしょうか？
818 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/04(木) 12:24:52 ]: >>817
ttp://www.t-hoso.net/cgi/mt/2008/10/14/revoexeusb.html
この辺参考に。分からなければ◆N9P3SuvBPo氏等の指示
を。

◆N9P3SuvBPo氏は・・・まだ寝てるかな？w
819 名前： ◆N9P3SuvBPo mailto:sage [2008/12/04(木) 17:45:48 ]: autorun系…USBメモリが原因か？
どちらにせよクリーンインストール（全ドライブ完全初期化）したほうが早いですね～
820 名前：817 mailto:sage [2008/12/04(木) 19:42:17 ]: >>819
シマンテックのオンラインスキャンでも検出されませんでした。
いったいどのような症状がでるウイルスなのでしょうか？
調べてみたんですがよくわからなっかたので、簡単に教えてもらえたらうれしいです。
821 名前： ◆N9P3SuvBPo mailto:sage [2008/12/04(木) 20:08:54 ]: >820
例えばこれを見てもらえれば分かるかとおもいますが（一部コピペ）
ttp://headlines.yahoo.co.jp/hl?a=20081202-00000082-zdn_ep-sci
＞感染すると、システムファイルの破壊やオンラインゲーム情報の盗難、別のマルウェアをダウンロードするなどの被害が発生する。

と、このような奴です。
822 名前：817 mailto:sage [2008/12/04(木) 20:16:17 ]: >>821
ありがとうございます
大事なファイルやパスワードは暗号化してありますが、不安です
漏洩の可能性もあるということですよね！？
初期化します
823 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/04(木) 20:58:03 ]: >>822
後、身の回りのUSBメモリ等も確認した方がいい。
↓を参考に、感染してたら駆除。
ttp://www.cyber-concierge.co.jp/pc_tama/other/revo.html

>>821
しかし、売上トップを誇るSymantecでもスルーだと、
まだまだ広がりそうなウイルスですな・・・・・
824 名前：インスコマン [2008/12/04(木) 21:14:09 ]: お前ら少しはぐぐれよ
www.nifty.com/sec24/notice/
＞現象：PIXELA社のTVキャプチャ用ソフトウェア「StationTV」が、ウイルス「Packed.Win32.Krap.b」として検出される
＞原因：カスペルスキー社のパターンファイルの問題による誤検知

そもそも検出されたディレクトリの確認もせず、なぜ>>818がautorun系のmalwareと
判断したのかもわからん。
825 名前： ◆N9P3SuvBPo mailto:sage [2008/12/04(木) 21:19:26 ]: >824
ウイルス名を鵜呑みにしてしまいました！
＞検出されたディレクトリの確認
すっかり忘れてたよ。

やっちまった…駄目だなこんなようじゃ…
826 名前：817 mailto:sage [2008/12/04(木) 21:32:10 ]: >>824
>>825

ディレクトリの確認って具体的にどのような作業をすればよいのでしょうか
感染してたのはウイルスバスターのディレクトリと、ＤＲＭ解除関係のディレクトリでした。
827 名前： ◆N9P3SuvBPo mailto:sage [2008/12/04(木) 21:39:18 ]: >826
＞Packed.Win32.Krap.b
が検出された場所のことです。

バスターのディレクトリというと、バスターが隔離したファイルを保存しておく所だね。

＞ＤＲＭ解除関係
ここ、詳しく。
ドライブ名～ファイル名まで一字一句正確に（コピペでもおｋ）
828 名前：817 mailto:sage [2008/12/04(木) 22:16:01 ]: >>827
丁寧にありがとうございます。
もう一回スキャンして調べてみます。
829 名前：818 mailto:sage [2008/12/04(木) 22:52:39 ]: >>824
スマン、F-Secure等のサイト見て、autorun系と
判断してしまった。指摘サンクスm(_ _)m

それから>>817、◆N9P3SuvBPo氏
騒がせてゴメンね

荒修行してくる・・・
830 名前：インスコマン mailto:sage [2008/12/04(木) 23:24:18 ]: まぁ>>817は幸いまだリカバリしてないみたいだし
そんなに焦ってリカバリ指示する必要もないと思ふ
831 名前：817 mailto:sage [2008/12/05(金) 03:10:31 ]: >>827 >>829 >>830
System Volume Information\_restore{E9FEAFDF_7F79-47OE-84D4-416FOD251643\RP700\A120310.rbf

Program Files\Trend micro\Virus Buster\Quarantine\B7.tmp

今改めて確認してみたら上記の二つの場所に感染しているようです。
832 名前：817 mailto:sage [2008/12/05(金) 03:12:56 ]: F secureのオンラインスキャンでも出てきませんでした
833 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/05(金) 04:06:21 ]: >>831
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/464delrd/delrd.html
ttp://wiki.higaitaisaku.com/wiki.cgi?page=%C9%FC%B8%B5%A5%DD%A5%A4%A5%F3%A5%C8%A4%CE%BA%EF%BD%FC%A1%A2%BA%EE%C0%AE
834 名前：817 mailto:sage [2008/12/05(金) 18:13:23 ]: 無事全部退治することができました。
みなさん丁寧に教えてくださり本当にありがとうございました。
835 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/06(土) 08:38:05 ]: 【使用OS】Windows VISTA x64　 Ultimate　　
【使用ブラウザ】Internet Explorer 7
【Microsoft Updateの更新の状態】自動ダウンロード、手動更新
【セキュリティソフトと年式】Kaspersky インターネットセキュリティ2009
【スパイウェア対策ソフト】　　同上

【回線の種類・ルータの有無】　　光回線でルータ（無線）使用中

【具体的な症状】ｶｽﾍﾟﾙの完全スキャンで大量のファイルにHEUR:Worm.Win32.Genericを確認、Avastでは確認されず
【過程と措置】インターネットで検索するもHEURがなかったり、完全一致するウイルス情報みつからず・・（Yahoo)
【その他】これはウイルスなのか誤検知なのか・・・ウイルスなら駆除方法お願いしますorz
836 名前：八頭 ◆YAGApwSaEw mailto:sage [2008/12/06(土) 09:52:54 ]: >>835
ヒューリスティック（予測検出）
　　↓
HEUR:Worm.Win32.Genericを確認
　　　　　　　　　　　　　　↑
　　　　　　　　　　　　ジェネリック（無印部品検出）

検出された場所を書いてごらん（件数が多いのならスクリーンショット提示でも可）
837 名前：名無しさん＠お腹いっぱい。 [2008/12/08(月) 21:28:43 ]: 【使用OSXP Home SP2
【使用ブラウザInternet Explorer 7とFire Fox(家族はＩＥ)
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　ない　
【スパイウェア対策ソフト】　　ない

【回線の種類・ルータの有無】　　不明
【具体的な症状】　症状なし
【過程と措置】　Trend Frexのオンラインスキャンで削除不能のウイルスが検出されました
【その他】　 TROJ_GAMETHIAYV

助けてくださいお願いします！
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/08(月) 21:44:36 ]: >>837
ウイルスバスターの体験版入れろ。
839 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/08(月) 21:47:08 ]: >>837
【セキュリティソフトと年式】　ない　
ってｗｗｗ

ザマー( ＾∀＾)ｹﾞﾗｹﾞﾗ

リカバリしろ
840 名前：837 [2008/12/08(月) 22:02:18 ]: ウイルス削除でぐぐって出てきたCanonITソリューションの
アンチウイルス入れてみました。
838さんのレスを待つことができませんで、悪気はありません。
とりあえずスキャンかけているところです。

ちなみに、先ほど挙げたウイルスはヤバイのでしょうか？なぜ削除不能なのですか？
841 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/08(月) 22:12:58 ]: >>840
オンラインゲームのアカウント情報を盗むウイルス。
削除できないのは削除対象ファイルが使用中だから。
842 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/09(火) 02:03:36 ]: と言うわけだから、セーフモードでスキャンしろ。
843 名前：名無しさん＠お腹いっぱい。 [2008/12/09(火) 13:39:39 ]: 初めまして。

ウイルスバスターで駆除をしているときに覚えの無い「トロイの木馬」と言うファイルが毎回出てくるんですがファイル検索しても引っ掛かりません

どうしたらいいですか？
844 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/09(火) 13:40:44 ]: バスターの操作方法なんざ知ったこっちゃないので
バスタースレでどうぞ。
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/09(火) 17:38:11 ]: 【使用OS】　XP ver2002
【使用ブラウザ】　　firefox3
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　ウイルスバスター 2009
【スパイウェア対策ソフト】　　同上

【回線の種類・ルータの有無】　　光回線でルータ使用中

【具体的な症状】　
検索終了後11/13に TORJ_AGENT.HKH 12/9に TORJ_DLOADR.LHが隔離されていたことに気づく。
taskmagr.exeが12/9に隔離　A0594572.dllが11/14に隔離されていました。

このトロイのファイル２つは駆除していいのですか？
あと、感染した２つのファイルからウイルスを駆除しようとすると
「この隔離ファイルは処理できません。復元しないで下さい。アップデートを実行し、新しいパターンファイルで駆除を試してください」
と表示されるのですが、アップデートは最新の状態です。

タスクマネージャーが隔離されてるのと関係あるのかも知れませんが、高い頻度で他のソフトが起動しないです（何回もやったり、１０分ほどするといままで起動しなかったソフトが全部まとめて起動します。）
　　　
どうかよろしくお願いします
846 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/09(火) 18:57:52 ]: >>845
トレンドマイクソのサポートへ
847 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/09(火) 20:16:02 ]: 質問ですが画面にフセインとブッシュの画像のポップアップが５？分おきに出るんだけど前例ある？
848 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/09(火) 20:26:50 ]: >>845
>>844
849 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/09(火) 21:44:04 ]: >>847
楽しそうだけどｗ
アダ被に言ってこいよ
pc11.2ch.net/test/read.cgi/sec/1225537809/3 参照
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 01:36:30 ]: XPのパソコンが真っ暗な画面で左上に白い点滅するものが出てる画面から進まなくなりました。
電源を切ってもメーカーロゴ→その黒い画面になります。
ウイルスかすら分かりませんがどうしたものでしょうか？
851 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 03:19:45 ]: >>850
ウイルスは関係無いと思われ　ハードウェアに問題あり
メーカーに問い合わせた方が良い
852 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 07:09:54 ]: レジストリが破損した場合もそうなる
まずリカバリか修復セットアップ
ダメなら故障やハードの問題なので851の言うとおり
853 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 07:58:56 ]: >>851,852
心から感謝です。
ありがとうございます。
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 15:28:41 ]: >>850
フロッピーとかCDとか入れっぱじゃあるまいな
855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 16:28:45 ]: >>854
入ってないです。
ただ最近DVDドライブが
変な音を立てていたんですが関係ありますかね？
856 名前：名無しさん＠お腹いっぱい。 [2008/12/10(水) 17:01:11 ]: 【使用OS】　　　XP
【使用ブラウザ】　　　Internet Explorer 7
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　Mcafee
【スパイウェア対策ソフト】　　？？

【回線の種類・ルータの有無】　　？？無線LANです

【具体的な症状】　中国語がたまに流れてCPU使用率が100%に・・・
【過程と措置】　ブラウザを閉じると収まるのでとりあえず放置

PC詳しくないんでお願いします・・・
857 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 17:40:28 ]: >>856
ウイルスソフトのflashgetを消す
858 名前：名無しさん＠お腹いっぱい。 [2008/12/10(水) 17:45:58 ]: >>857
ありがとうございます！flashgetってウイルスだったんですか？？汗
アンインストールってことでいいんでしょうか？
859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 17:48:33 ]: ttp://okwave.jp/qa4530288.html
IEの一時ファイルを消すと直るって情報もある。
860 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 17:51:41 ]: >>858
最近あんたみたいな質問者がたくさんいて
みんなflashgetが入ってる。
中国製のソフトだし使わない方がいい。
861 名前：名無しさん＠お腹いっぱい。 [2008/12/10(水) 17:55:32 ]: >>859
試しましたがダメでした・・・

>>860
そうなんですか。何製とか気にせず使ってました。。迅速な対応ありがとうございます！
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 17:57:53 ]: 少し前にはRPCの異常終了で再起動ってのもあったな。
その時もFlashGetが怪しいとか言われてた。

他にはtaskmagr.exeがsystem32に作成されるとか。
863 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 18:02:47 ]: >>862
そういえばあったな。
中国産はなんでも信用できないな
864 名前：名無しさん＠お腹いっぱい。 [2008/12/10(水) 19:15:40 ]: 何度も申し訳ないです。flashgetをアンインストールして再起動しましたがダメでした・・・。
タスクマネージャーを見たところプロセスのiexplore.exeが（消しても）勝手に立ち上がり、そのときに中国語が流れるようです。
申し訳ないんですがご教授お願いします。。
865 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 19:25:16 ]: >>864
HiJackThisでログとって貼ってくれ
www.higaitaisaku.com/hijackthis.html
866 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 19:28:47 ]: >>864
Process Explorerでiexplore.exeのプロパティを開いて、ImageタブのParentが何か教えてくれ。

窓の杜 - Process Explorer
ttp://www.forest.impress.co.jp/lib/sys/wincust/taskservice/prcsxplorer.html
867 名前：名無しさん＠お腹いっぱい。 [2008/12/10(水) 19:37:26 ]: >>865 >>866
いま少しお待ちいただけるとありがたいです！
868 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 20:37:49 ]: >>865
どこに貼り付ければいいんでしょうか・・・
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 20:47:36 ]: スレに貼るよりアプロダに上げてくれた方が見やすい。
870 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 20:48:34 ]: >>865さん>>866さん
対応が遅くなってしまって本当に申し訳ないです。CPU使用率が食われているせいか全然先にすすめてません（＋＿＋；）
また、仕事が入ってしまったためPCの前を離れなければいけなくなってしまいました･･･。今夜中には行うので是非是非お願いします（；＿；）
871 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 21:09:27 ]: 多分>>870と同じ症状に陥ってる
ttp://www2.uploda.org/uporg1845820.txt
Flashgetは削除
C:\Program Files\を隠し含めてFlashで検索しても何も出なかった
872 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 21:25:05 ]: >>871
セーフモードで起動。

以下のファイルをゴミ箱へ(数日たってもパソコンに異常がなければ空にしておｋ)
C:\WINDOWS\System\updates.exe

以下のフォルダが存在すれば削除
C:\Program Files\FlashGet\

HiJackThisで以下をFix(一部文字化けしてるけど)
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll (file missing)
O2 - BHO: TBSB00684 - {5DF88FEF-6F36-4D60-9064-FB0379EB53F1} - C:\PROGRA~1\NTTE-RT\toolbar\flets.dll (file missing)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll (file missing)
O3 - Toolbar: ？？？？？？？？？？？？？？？ - {F3CDFEBC-E1CC-42F5-A7F2-1020A21F57BB} - C:\Program Files\NTTE-RT\toolbar\flets.dll (file missing)
O9 - Extra button: ？？？？？？？？？？？？？ - {6CB1FA39-5745-4733-859F-E9C82A68F848} - C:\Program Files\NTTE\OSA_SupportTool\start.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)
O23 - Service: Microsoft NtfsSvc Manager Service (NtfsSvc) - Unknown owner - C:\WINDOWS\System\updates.exe

HiJackThisでわかるのはこれくらい
873 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 21:28:00 ]: >>866
Parentはsvchost.exe(860)

>>872
やってくる
874 名前： ◆N9P3SuvBPo mailto:sage [2008/12/10(水) 21:32:48 ]: ↓も
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

あと、作業後JAVAのUpdateも行なうこと。
875 名前： ◆N9P3SuvBPo mailto:sage [2008/12/10(水) 21:35:28 ]: 追記

Adobe AcrobatのUpdateも行なってください
他にAdobe製品があって、最新じゃなければUpdateしてください
876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 22:14:45 ]: >>874はFixの方なんだろうけど勘違いでごみ箱へ
結果起動時にログインしようとすると強制的にログアウトされるようになっちまった
只今携帯からアクセス中
877 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 22:25:35 ]: >>876
XPのセットアップディスクかなんかで回復コンソール立ち上げて
以下のコマンド入力。

cd system32
↓
expand ドライブのパス(FとかHとか):\i386\userinit.ex_
↓
copy userinit.exe userinit32.exe
↓
これでだめならご臨終
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 22:27:29 ]: copy userinit.exe userinit32.exe
まで終わったら
exit
って打ってパソコン再起動してみて。
879 名前： ◆N9P3SuvBPo mailto:sage [2008/12/10(水) 22:35:31 ]: >876
セーフモードでそのファイル本体を削除してしまったか…
回復コンソールがあれば>877の指示に

（通常モードならシステム保護でファイルが復活するが）
880 名前： ◆N9P3SuvBPo mailto:sage [2008/12/10(水) 22:58:06 ]: なんか駄目だな俺…
881 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 23:17:30 ]: スペック的にも苦しいと感じていたからいい機会だと思うわ
協力に感謝
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 23:19:52 ]: >>880
まあまあ
883 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 23:20:33 ]: スレ違いかもしれないですが
>>850みたいな状況になったらどうすればいいですか？
買った店？メーカー？
自力ではどうにかならないものですか？
884 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/10(水) 23:33:08 ]: HDDが逝かれてなけりゃ、リカバリCD突っ込めば直るんじゃね？
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/11(木) 00:03:50 ]: >>884
ありがとうございます。
近いうちにやります。
でダメならプロにお任せですね。
886 名前： ◆N9P3SuvBPo mailto:sage [2008/12/11(木) 00:05:07 ]: みんな俺みたいな感染しない環境になってくれれば…あーでも
感染しない環境ってかなり不便だしなー
特に初心者はその環境にするにはリスクが高すぎるから
（例えば不要なサービスを無効にする作業…地雷有）

やはり、MUやセキュリティソフトに頼らざるを得ないか。
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/12(金) 13:57:31 ]: なったらなったでＰＣじゃなく使用者に感染しそうだ
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/12(金) 18:36:43 ]: 以前の>>864です。遅れてしまって大変申し訳ないです。
あの後、色々と友人から教えてもらってX-Cleanerって奴のお試し版で何とかなりましたｗ
X-Cleanerってのは大丈夫ですよね？汗
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/12(金) 19:09:48 ]: aviraが誤検出するやつね
890 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/15(月) 20:01:34 ]: 【使用OS】　　　XP Home SP3
【使用ブラウザ】　　　Opera.Internet Explorer 7
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　avast

昨日、オンラインスキャンを行ったところ以下の結果ができてきました
ttp://cos-memo.net/cos-contents/uploader2/src/up1872.jpg

名前で検索したのですが詳しい対処法などが得られずどうすればよいのかわからない状態です
2つとも削除した方がいいのでしょうか？

後、今日Janeを使用中にNGIDに追加を行おうとすると、いつもと違う警告音がなることに気づきました
普段は小さな警告音なのですが、今はPCがフリーズした時にキーを叩くと鳴るプーという大きな音がなります
これもウイルスか何かが影響しているのでしょうか？
何か対処すべき行動があれば教えてください
891 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/15(月) 21:10:45 ]: >>890
上のはPackerの誤検出じゃね？
下のはSpybotのHostsの変更を検出してんじゃないか？

ビープ音はシラネ
892 名前：890 mailto:sage [2008/12/15(月) 21:43:59 ]: >>891
ということは、削除せずに放置でいいのですかね？
音の方は関係ないようなので、Janeのスレで聞いてみたいと思います
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/15(月) 21:45:37 ]: >>890
そんなに怖けりゃアンチウイルス入れろ
入れたくなけりゃ自分で考えやがれ
894 名前：名無しさん＠お腹いっぱい。 [2008/12/15(月) 23:14:37 ]: 中国語の音声が流れるウイルスについてですが、こんな方法があるみたいです。
→detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1321271703

要約すると、ﾀｽｸﾏﾈｰｼﾞｬｰでIEXPLORE.EXEとtaskmagr.exeのプロセスを閉じてtaskmagr.exeのファイルを検索・削除するというものでした。

taskmagr.exeとは削除してよいものなのでしょうか？この回答者の日本語が少し変なのでとまどっております・・・
895 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/16(火) 00:43:48 ]: revoとかkavoとかここ最近（1週間）流行している？
C:が開かん、USBが開かんとかで呼ばれては手動駆除・・・
いい加減疲れました。

まだ、ノートン先生2009しか対応してないんでしょうか？
896 名前：名無しさん＠お腹いっぱい。 [2008/12/16(火) 09:09:07 ]: >>895
USB 型のAutoraun ワームは亜種がいっぱいありすぎる
駆除しやすいのは NOD32
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/16(火) 14:14:32 ]: >駆除しやすいのは NOD32
(笑)
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/17(水) 17:20:19 ]: ttp://99.180.226.188:8080/bbs/sonline.scr

これキーロガーだそうなんですが、踏んだだけで感染しますか？
どなたか教えてください。お願いします。
899 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/17(水) 18:14:55 ]: 実行すれば感染するだろ。
scrの動作はexeと変わらん。
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/17(水) 18:22:18 ]: ttp://www.virustotal.com/analisis/eb171da83ac105ced15173d8afe63903
○ AntiVir avast AVG BitDefender Dr.WEB Kaspersky Norton バスターソースネクスト
× McAfee NOD32

直リンすんな
901 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/17(水) 20:29:06 ]: ttp://www.uploda.org/uporg1862658.jpg

デスクトップ画面にこんな画像が表示されています。

消去することができず、困っております。
スパイウェアの一種？？

親切な方対処方法教えてくださいm(_ _)m
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/17(水) 20:35:21 ]: SUPERAntiSpywareとComboFix使え。
903 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/17(水) 22:03:18 ]: >>901
pc11.2ch.net/test/read.cgi/sec/1162464139/
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/18(木) 14:11:05 ]: >>899 返答ありがとうございました。直リンは踏まないようにします。
905 名前：名無しさん＠お腹いっぱい。 mailto:1 [2008/12/19(金) 12:14:50 ]: HTML_HEKIRE.PRN という新種っぽいウイルスに感染されました。ウイルスバスターでは隔離不能となっています。助けてください
906 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/19(金) 13:27:54 ]: 削除すれば?
907 名前：名無しさん＠お腹いっぱい。 mailto:1 [2008/12/19(金) 13:35:46 ]: >>906
削除とはどういう意味でしょうか？また、どうやって削除するのですか？
908 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/19(金) 13:37:13 ]: >>907
>>905
> ウイルスバスターでは隔離不能となっています。助けてください

なら他のソフトでスキャンして処理すればOK
909 名前：名無しさん＠お腹いっぱい。 [2008/12/19(金) 13:41:19 ]: >>908
「隔離不能」ということは、システムが使用中ということだろう
場所をメモしてセーフモード起動でもしないと、他のソフトからも駆除できないと思うが
910 名前：名無しさん＠お腹いっぱい。 mailto:1 [2008/12/19(金) 13:55:07 ]: >>908
スキャンする場合はそのソフトを購入したりウイルスバスターをアンインストールすることになりますか？

>>909
場所をメモするっていうのはそのウイルスが入った場所ってことですか？
すみません。パソコンかなりの初心者なんです
911 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/19(金) 14:17:28 ]: >>905
テンプレも埋めずにあちこちでマルチしないでください
しかもセキュ質で回答者の指示無視してるよね

この辺整理してからきてください
912 名前：名無しさん＠お腹いっぱい。 mailto:1 [2008/12/19(金) 14:42:31 ]: >>911
テンプレってどういう意味ですか？
あとマルチってそんにいけないことなんですか？
913 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/19(金) 15:11:42 ]: >>912
テンプレは>>4
マルチは迷惑行為なので、嫌われる＝スルーされるYO！
914 名前：名無しさん＠お腹いっぱい。 mailto:1 [2008/12/19(金) 15:26:27 ]: マルチってそんなに悪いことだったんですか。みんなに嫌われちゃうんですか？皆さんすみませんでした。俺もうここの人しか頼れる人いなかったのに。
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/19(金) 15:59:52 ]: うせろ
916 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/19(金) 16:01:45 ]: >>914
マルチ死ね
917 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/19(金) 18:54:26 ]: 自演で荒すな
918 名前：名無しさん＠お腹いっぱい。 mailto:？？？ [2008/12/19(金) 22:01:09 ]: 先日、ウイルスバスター２００９の体験版をダウンロードし今使わせてもらってるんですが、
やたら重いんです。
PC起動し、完全にブラウザー立ち上がるまでに、約５分位掛かり遅くて困ってます。
それまではこんな事はなかったんですけど。
多分ウイルスだと思うんですが、バスターでウイルス検索しても引っ掛かりません。
変なサイトを踏んだ記憶もないし原因は分かりませんが、
とにかくウイルスバスター２００９を使用してから、やたら重くなる現象が起きて困ってるんです。
解決策あれば教えて下さい。よろしくお願いします。
919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/19(金) 22:19:25 ]: >>918
使ってるPCメーカーのサポートに電話すれば？
920 名前：918です。 mailto:？？？ [2008/12/19(金) 22:29:42 ]: >>919
明日にでも、PCメーカーに問い合わせしてみます。
有難う御座いました。
921 名前：名無しさん＠お腹いっぱい。 [2008/12/20(土) 21:17:52 ]: 【使用OS】　　　XP Home SP2
【使用ブラウザ】　　　IE 7
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　ウイルスバスター 2008
【スパイウェア対策ソフト】　　

【回線の種類・ルータの有無】　　光回線でルータ使用中

【具体的な症状】　
最初に何とかhtmlとか言うウイルスが下に突然表示された窓でかかったと知らされました。誤報とか書いてあったんで無視しました。
次にまた窓でトロイの木馬が見つかりましたと出てきました。TROJ_AGENT.AFZPとかいうのでググっても出ないです。
ウイルス駆除の経験が無いのでどうしたら良いかちょっとわかりません。ご教授お願いします。

【過程と措置】　
922 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/21(日) 07:51:33 ]: >>921
>>1をやるとかNorman Malware Cleaner、Dr.WEB CureIt!とかで検索すればどれかに当たるだろ
バスターonlyじゃ頼りないから時々こういうのでsafeモードスキャンするといい
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/21(日) 16:20:49 ]: >>922
ありがとうございます。
検出されなかったのでやっぱり誤報かなと思います。
924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/23(火) 19:11:44 ]: ちなみにNorman Malware Cleanerはアンチウイルスじゃないぞ。
925 名前：921 [2008/12/23(火) 20:47:13 ]: たびたびすいません。
C:\DOCUME~1\user\LOCALS~1\TEMP
やシステムフォルダに２時間おきくらいに隔離されたと窓で出ます。
検索はその度かけていますが、引っかからないようです。
926 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/23(火) 21:42:17 ]: >>925
「TROJ_AGENT.AFZP」最近情報が載ったみたいですね。
ttp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EAFZP&VSect=P

Winタスクスケジューラを起動して、一定時間や日ごとにランダムな名前で自身をシステムフォルダ
にCopyするって成ってますね。セーフモードで起動してフルスキャンして取れませんか？
927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/23(火) 23:29:14 ]: バスタはセーフ起動できないんじゃ？
928 名前：926 mailto:sage [2008/12/23(火) 23:43:06 ]: ちとググってみたら出来ないみたいですね。ってことは手動なのか！(--;)
929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/24(水) 03:48:55 ]: 【使用OS】　　　XP Home SP3
【使用ブラウザ】　　　firefox3.0.5、Internet Explorer 7
【Microsoft Updateの更新の状態】　　　自動更新設定
【セキュリティソフトと年式】　　マカフィーｖ13.0
【スパイウェア対策ソフト】　　スパイボット

【回線の種類・ルータの有無】　　光回線でルータ使用中

【具体的な症状】　ＨＤＤのアクセスランプが常に点滅
　　　　　　　　　　　　WINDOWSアップデート不可、ウィルス対策ベンダーのアクセス不可
　　　　　　　　　　　　スパイボットをアップデートすると127.0.0.1とかいうＩＰに接続しようとする
【過程と措置】　　　www.ipa.go.jp/security/antivirus/bot.html
　　　　　　　　　　　　ここの3）の対策に書いてあるように
　　　　　　　　　　　　C:\WINDOWS\SYSTEM32\DRIVERS\ETCのフォルダにあるHOSTSファイル
　　　　　　　　　　　　を見ましたが「127.0.0.1 localhost」しか記述がありません。
930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/24(水) 12:55:21 ]: ここはカスペの釣りスレです
助ける気なんてありません
931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/24(水) 17:21:36 ]: >>929
vectorからアンチウイルスのお試し版をダウンできないかな。
ＡＶＧとかで撃退したらどうでしょ。
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/24(水) 17:25:24 ]: ここはNOD32厨雑音の釣り板です
助ける気なんてありません
933 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/24(水) 17:47:11 ]: >>929
ネカフェでNorman Malware Cleaner、Dr.WEB CureIt!、Kaspersky Virus Removal Toolを落としてきて
セーフモード起動で順次スキャンしてみる。当たるかどうか知らんが・・
当たらんかったらリカバリしちゃった方がいいんじゃないかな。
934 名前： ◆N9P3SuvBPo mailto:sage [2008/12/24(水) 18:33:16 ]: >929
tdssという名前のファイル作って消えたら
TDSS系√キットにやられてます。

リカバリ推奨
935 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/24(水) 21:02:52 ]: >>929
「マカフィーｖ13.0」ってどういう製品か判らないんだけど正規ユーザーなら以下をやってみれば？
他のPCで、以下のサイトの説明通り最新スキャンエンジンとDATをDLして、該当PC上で処理する。

ttp://www.mcafee.com/japan/mcafee/support/faq/answer_f_spec.asp?wk=SP-00016
936 名前：929 mailto:sage [2008/12/24(水) 23:39:16 ]: カスペルスキーが効いたので事なきを得ました。
返信くれた方たち、ありがとうございます。
937 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/24(水) 23:58:55 ]: 【使用OS】XP Pro SP2
【使用ブラウザ】Opera Firefox 兼用
【Microsoft Updateの更新の状態】手動更新(2週間ほど前にアップデート)
【セキュリティソフトと年式】Avast4.8 PeerGurdian2
【スパイウェア対策ソフト】Spybot　

【回線の種類・ルータの有無】光回線ルータ使用中

【具体的な症状】PeerGuadian2(フィルタリストは中韓台等を弾く程度)を導入していたのですが、
本日帰宅してPC起動後暫くしてから何故か中国IPに接続しようとするログが連続して出るようになり
(動かしていたネットワーク関連ソフトを全て落としてもログが出続ける)

【過程と措置】
不審に思ってオンラインスキャンや手持ちのセキュリティソフト一式を走らせるも、何も検知されず。
タスクマネージャのプロセスを１個１個当たった結果、svchost.exeの一つが何故か当該IPへのリモートアクセスを
指示し続けていた為、このプロセスを終了させ、指示を出していたC:\Windows\system32\YAHOOAAOSHP.dllと言う
ファイルを削除した所、接続しようとするログが停止しました。当該ファイルは10/25作成となっていたので、
以前から動いていた可能性もあるのですが、各所で調べても当該ファイルに関する情報が見あたらず
これだけで済んだのか解らずに困っております。尚、アクセスしようとしていたIPは61.145.113.116で
リネージュ？等のMMOのアカウントハッキング対策のページにてブラックリストに入っていたIPであると言う
情報を確認しています。aguseでのチェックではウィルスは見つからなかったです。

このYAHOOAAOSHP.dllに関する情報と駆除対策があれば、どなたかお知恵を拝借させて下さい
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/25(木) 01:37:52 ]: >>937
そのファイルを　ttp://www.virustotal.com/　に投げて検出名を書くとレスつきやすいかと
939 名前：938 mailto:sage [2008/12/25(木) 01:40:43 ]: よく読んだら「削除した」って書いてありました、しつれ
940 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/25(木) 16:21:43 ]: >>929
ためしにウィルス対策ベンダーのURLをnslookupしてみてくれ
変なIPにつながるように改変されてるかもしれん、市販されてる駆除ソフトとかでやっても無駄
俺が感染したことのあるやつだったら再フォーマットしてwindowsインスコしか手がない
941 名前：名無しさん＠お腹いっぱい。 mailto:age [2008/12/28(日) 13:56:37 ]: この板に来るの初めてなんですが
フリーティケットシアターがマルウェアに感染していて、ふりぃのかうんたを使用している全てのページで警告が出るのですが、こういった報告は何処ですればいいでしょうか？
942 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/29(月) 03:10:38 ]: つまり、ＡＶＡＳＴ使いか。
943 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/29(月) 03:12:05 ]: >>941
まあ今はAVAST!スレを見ろとしか言えん
944 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/12/31(水) 14:08:03 ]: >>937
www.akibaoo.co.jp/jan-jpg/1/2500020032701.jpg
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/06(火) 08:35:37 ]: 検索かけても何も出てこないのでお聞きしたいのですが

メッセで滅多に会話しない人が急に
ttp://（送ってきた人の@より前のメッセアドレス）.cool-newyear-party-pics.com
ttp://happy-new-year.awesomeofferz.com

上記2つのアドレス送られてきたので上の方を覗いたら400エラーでサイト表示なし
もう一つ見てみようと思ったらここ1、２週間メッセウイルス流行ってたのを思い出して、
下のURLの方開くのやめたのですが、危ないURLなのかわかる方いましたらよろしくおねがいします
946 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/06(火) 15:15:42 ]: ※ウィルス※ Windows Live Messenger で感染!?2
pc11.2ch.net/test/read.cgi/sec/1230376538/
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/06(火) 19:07:23 ]: >>946
ドモドモです。ネットリじっくり見てきます
948 名前：名無しさん＠お腹いっぱい。 [2009/01/06(火) 20:41:06 ]: myspacy.biz/viewimage.php?=winny119@ipa.go.jp

↑これってウイルスですか？トロイが検出されて削除したんですが…不安です。
削除すればもう大丈夫なんでしょうか？
IPAのwinny119番ってことなんですが、本当はトラップなんですか？
詳しい方教えてください。
949 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/06(火) 21:11:02 ]: >>948
ドメインが"myspacy.biz"でしょ。IPAでないことぐらい判ると思うのだが．．．
検出できた物以外がスルーしてることもあるかもね。複数のベンダーの
オンラインスキャンしてみると良いかもね。

ttp://www.aguse.jp/?m=w&url=http%3A%2F%2Fmyspacy.biz%2Fviewimage.php%3F%3Dwinny119@ipa.go.jp
では、「Backdoor.Win32.IRCBot.hcb」と検出されてるね。（カスペルスキー）
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/06(火) 21:35:52 ]: >>948
>>946
951 名前：名無しさん＠お腹いっぱい。 [2009/01/07(水) 00:23:15 ]: >>949-950
ありがとうございます。
952 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/07(水) 03:22:04 ]: 　　 ∩＿＿＿∩
　　 | ノ　　　　　ヽ/⌒)
　 /⌒) (ﾟ)　　　(ﾟ)　|　.|
　/　/　　( _●_)　ミ/
.（　　ヽ　　|∪|　　／
　＼　　　ヽノ　/ 　　　おちんちんびろーん
　 /　　　　　　/
　|　　　_つ　 /
　|　 /UJ＼　＼
　|　/ 　　　 )　 )
　∪　　　（　＼
　　　　　　＼＿)

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef