セキュリティ初心者質 ..
2:名無しさん@お腹いっぱい。
07/04/25 21:51:32
《参考》
・Windowsの動作がおかしい
Windows板
URLリンク(pc11.2ch.net)
Windows.FAQ - ウィンドウズ処方箋
URLリンク(winfaq.jp)
・分類不明の質問
PC初心者板
URLリンク(pc11.2ch.net)
・2ちゃんねるの仕様の質問
初心者の質問板
URLリンク(etc6.2ch.net)
・2chスレッドタイトル検索
URLリンク(ttsearch.net)
・なんでもいいからとりあえず検索
Google
URLリンク(www.google.co.jp)
・ページ内検索
Win:[Ctrl ]+[F] Mac:[コマンド]+[F]
3:名無しさん@お腹いっぱい。
07/04/25 21:56:14
【ウィルス情報質問 総合スレッド★Part42】
スレリンク(sec板)
【ノートン】インターネットセキュリティ Ver.112【2007】
スレリンク(sec板)
【VB】ウイルスバスター2007 Part29【TrendMicro】
スレリンク(sec板)
がんばれマカフィー Part.33 / ガンバレMcAfee
スレリンク(sec板)
【Anti Virus】Kaspersky Lab Part33【AntiSpy】
スレリンク(sec板)
【ムーミン】F-Secure総合 Part【ウイルス対策】
スレリンク(sec板)
NOD32アンチウィルス Part46
スレリンク(sec板)
【無料で使えるアンチウイルスソフト】
AVG Anti-Virus Version52
スレリンク(sec板)
avast! Anti-Virus Part68
スレリンク(sec板)
【cool】BitDefender Free Edition 20【free】
スレリンク(sec板)
Avira AntiVir PersonalEdition Classic Part27
スレリンク(sec板)
【オープンソース】ClamWin Antivirus【フリー】
スレリンク(sec板)
4:名無しさん@お腹いっぱい。
07/04/25 21:57:00
・ソフトがなければ、オンラインウィルススキャン
シマンテック・セキュリティチェック
URLリンク(www.symantec.com)
ウイルスバスターオンラインスキャン
URLリンク(www.trendmicro.co.jp)
Panda ActiveScan - Free Antivirus Online
URLリンク(www.pandasoftware.com)
(※署名済みActiveXコントロールのダウンロードを有効にすること)
カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
URLリンク(www.kaspersky.co.jp)
■特定のファイルや出所不明のファイルを複数のエンジンでスキャンしたい場合■
URLリンク(www.virustotal.com)
・ウィルス対策ソフトの用語
「駆除」:ファイルからウィルスを取り除くこと。
「隔離、検疫」:ファイルをリネーム、移動。実行できなくする。
「削除」:ファイル自体を削除。ワーム本体は通常、削除される。
・デマウィルス(安全なファイルをウィルスだと言い張る偽情報)
jdbgmgr.exe、sage.exeなどは全てWindowsのシステムファイル。
「jdbgmgr.exe」に関するデマメール情報
URLリンク(www.ipa.go.jp)
・webメール:添付ファイルを実行した場合、感染確率大。
hotmail:ウィルス検査はあるが、新種のウィルス相手には無力。
・MacはWindowsのウィルスに感染するか?
WindowsのアプリケーションはMacでは通常は実行できないので、
感染はしない。但し、保菌してMac→Winへ感染する例がある。
・ファイアーウォールがトロイのアクセスをブロックしたが…
アウトバウンドで検出:感染の可能性高。
インバウンドで検出:感染の可能性低。念のためにチェック。
※たまたまバックドアツールが通常使うポートと同じ場合もある。
5:名無しさん@お腹いっぱい。
07/04/25 21:57:33
【各種 Firewall】
・ZoneAlarm
URLリンク(www.zonelabs.com)
・Kerio Technologies Inc/Kerio Personal Firewall
URLリンク(www.kerio.com) URLリンク(www.sunbelt-software.com)
・Tiny Personal Firewall
URLリンク(www.tinysoftware.com)
・Agnitum Outpost
URLリンク(www.agnitum.com)
・Sygate Personal Firewall
URLリンク(www.sygate.com)
・AtGuard
URLリンク(www.atguard.com)
・BlackICE Defender
URLリンク(blackice.jp)
・Snort for Win32
URLリンク(www.datanerds.net)
【ログ解析ツール】
・ICEWatch
URLリンク(www.angelfire.com)
・ZoneLog Analyser
URLリンク(zonelog.co.uk)
6:名無しさん@お腹いっぱい。
07/04/25 21:59:12
【スパイウェア対策】
【総合】スパイウェア予防駆除 Part13
スレリンク(sec板)
スパイウェア削除ソフトAd-awareSE その33
スレリンク(sec板)
スパイウェア削除ソフト Spybot Part37
スレリンク(sec板)
【スパイウェア削除】Hitman Pro【完全撲滅】
スレリンク(sec板)
常駐しないから(・∀・)イイ!! SpywareBlaster 13
スレリンク(sec板)
制限付きサイトへ登録 IE-SPYAD Part2
スレリンク(sec板)
【スパイウェア】SpywareGuard【感染阻止】
スレリンク(sec板)
不正ファイル検知ソフトPestPatrol その5
スレリンク(sec板)
7:名無しさん@お腹いっぱい。
07/04/25 21:59:42
■Internet Explorer:つねに最新バージョンにアップデートしておく。
(IE6SP2・IE7以降推奨)
■安全なブラウザを利用する:
Opera URLリンク(www.jp.opera.com); URLリンク(www.opera.com)(英語)
Opera日本語ファイル URLリンク(my.opera.com)
Firefox URLリンク(www.mozilla-japan.org)
■怪しいメール:開かずに捨てる。IE6.0SP2,IE7以上でなく
Outlook Expressを使用している場合、メールをクリックしただけで感染する場合が
あるので、プレビュー機能は必ずオフにしておく。
■アンチウィルス:常に最新パターン(ウィルス定義ファイル)に更新してないと意味なし
■不審なURL対策:
URLの文字列をよく見る。sex、loli、search、virusなどの文字列が入っていないか?
鑑定スレ
勇気がなくて踏めない人のための鑑定スレPart13
スレリンク(hack板)
勇気が無くて見られない画像解説スレ Part846
スレリンク(entrance板)
その他「勇気」「鑑定」等のキーワードで鑑定スレを検索。
初心者が誤ってクリックしないよう、ウィルスやブラクラへ直接リンクを張らないこと。
リンク先を直接見る→「対象をファイルに保存」→メモ帳で一度開いてみる。
■アダルトサイト対策
インターネットオプション→セキュリティ→インターネット→レベルのカスタマイズ
→ ActiveX、JAVA、スクリプトを全て無効
ブラウザハイジャッカーの99%はIE以外では作動しない。IEの部品を利用しないOperaや
Firefoxを利用するとトラブルを防げる。
■最近はウィルス以外にブラウザを乗っ取って個人情報を盗んだり、エロサイトに飛ばし
たりするスパイやハイジャッカーが流行している。アンチウィルスソフトだけでは防げ
ないのでアンチスパイソフトも入れておく。
参考 URLリンク(www13.plala.or.jp)
8:名無しさん@お腹いっぱい。
07/04/25 22:00:24
【IPアドレス】
・自分のIPアドレスを確認
9x系:[ファイル名をしてして実行]→winipcfg.exeを実行。
NT系:コマンドプロント起動→ipconfig /allを実行。
・他人のIPアドレスを確認
MS-DOSプロンプト(コマンドプロンプト)を起動して、
netstat -anを実行。表示されたポートから判断。
・IPアドレスから個人情報は漏れるか?
プロバイダが所有する情報は公権力が無い限り、外部漏洩は
通常なし。それよりもクラッキング対策をするべき。
・IPアドレスからプロバイダを知りたい
一例→URLリンク(whois.ansi.co.jp)
もしくは【Whois】でググレカス。なお、結果を貼りつけても無視される。
【掲示板】
・掲示板荒らし対策
注意、警告、放置、削除、一時閉鎖、利用制限、通告、完全閉鎖。
冷静に判断し、対応。困っているのは貴方だけではない。
・掲示板利用者のIPアドレスは調べられるか?
HTMLソースに書いてある場合もある。
9: ◆N9P3SuvBPo
07/04/25 22:30:42
>1
お疲れ様
10:名無しさん@お腹いっぱい。
07/04/25 22:33:59
>>1乙。
11:補足テンプレ
07/04/25 22:39:57
■2007年2月最新の総合的なアンチウイルス性能テスト結果。
(av-comparatives.orgという専門組織のテスト)
※ウイルス定義パターン検出+ヒューリスティック検出の総合性能※
スレリンク(sec板:336番)
12:補足テンプレその2
07/04/25 22:42:58
■matousec.comによるファイアーウォールの最新リークテスト結果
スレリンク(sec板:107-108番)
13:910
07/04/25 22:53:25
前スレ>>993
今ちょうどタスクマネージャで同じものを確認しました。
以下、2レスに分けてプロセスを書き出します。
Hidemaru.exe(3)
checkup.exe
taskmgr.exe
wuauclt.exe
Sleipnir.exe
TabUserW.exe
ctfmon.exe
checkupsvc.exe
gnotify.exe
wdfmgr.exe
igfxtray.exe
Tablet.exe
rundll32.exe
spoolsv.exe
ccEvtMgr.exe
ccSetMgr.exe
alg.exe
realsched.exe
svchost.exe(6)
explorer.exe
14:910
07/04/25 22:54:24
eabservr.exe
wscntfy.exe
lsass.exe
services.exe
winlogon.exe
ccApp.exe
csrss.exe
smss.exe
hphmon05.exe
hpwuschd.exe
SynTPEnh.exe
SynTPLpr.exe
tfswctrl.exe
symwsc.exe
jusched.exe
hkcmd.exe
System
System Idle Process
ポップアップが出ているときは「wuauclt.exe」が無く、
代わりに「Red3.exe」が表示されていました。
15:名無しさん@お腹いっぱい。
07/04/25 22:55:22
Red3.exeでググったら中華サイトばっかりで萎えたwww
16:名無しさん@お腹いっぱい。
07/04/25 22:55:39
RedWolfでwinamp入れてるやつ居る?
17:名無しさん@お腹いっぱい。
07/04/25 22:55:51
SlightTaskManagerでRed3.exeの場所を特定しましょう
18: ◆N9P3SuvBPo
07/04/25 22:55:52
RED WOLF 云々 〜 が表示される人
次のサイトを見てHijackThis(以下HJT)をダウンロードして下さい。
URLリンク(www.higaitaisaku.com)
hijackthis.exeを実行
↓
Open the Misc Tools section をクリック
↓
Startuplist(integrated: v1.52)のところにある、
「List also minor sections(full)」
「List empty sections(complete)」
の2つにチェックを付けて、
Generate Startuplist Logをクリック
↓
英語のメッセージだけど「ログを作るか?」みたいなことが出てくるので
そのまま「はい(Y)」をクリック
↓
「startuplist.txt」が作成されて、同じ場所にそいつが保存される。
↑の奴と、「ブートのログ作成を有効にする」で起動して作成した
c:\windows\ntbtlog.txtの2つのファイルを、
うpロダに晒してもらえるか?
19:993
07/04/25 23:00:51
前スレの993ですが、貰ってアップしてみました。
EXEをZIPで包んだだけです。
このファイル自体が危ないのかどうか判らないので。
自己責任でお願いします。
Keyはred3
20:名無しさん@お腹いっぱい。
07/04/25 23:01:43
どこにうpしたのかな?かな?
21:993
07/04/25 23:01:55
って、アドレス書いてないw
URLリンク(mumei24.run.buttobi.net)
22:名無しさん@お腹いっぱい。
07/04/25 23:04:30
993に書いてもらった感染主です('A`)
とりあえずダイアログ閉じなければいまんとこ10分以上
PC落ちません
23:名無しさん@お腹いっぱい。
07/04/25 23:06:30
追記
レジストリ内検索して三箇所にred3.exeを確認
24:名無しさん@お腹いっぱい。
07/04/25 23:07:26
ずいぶんとシンプルだな・・・
25:名無しさん@お腹いっぱい。
07/04/25 23:08:19
ダイアログ出てる状態でプロセスを強制終了した結果8分後に電源落ち
26:名無しさん@お腹いっぱい。
07/04/25 23:10:31
backdoorからshutdown.exe実行されてる希ガス
27:910
07/04/25 23:12:59
>>18
HijackThisは作成しました。
オンラインスキャンが終わり次第ブートのログを作成します。
28:名無しさん@お腹いっぱい。
07/04/25 23:13:31
red3をAVIRA社に送ってみる
29:名無しさん@お腹いっぱい。
07/04/25 23:18:36
pfファイルを見ると
\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\NTDLL.DLL
その他色々なパスがあるな
30:名無しさん@お腹いっぱい。
07/04/25 23:23:45
red3.exe、今検索したらうちのPCにも出てきたけど、
これ削除しちゃって大丈夫かな
31:名無しさん@お腹いっぱい。
07/04/25 23:24:41
もう1つスレ立ってる
今一生懸命テンプレ貼ってるようだ
32:名無しさん@お腹いっぱい。
07/04/25 23:25:17
virustotal
URLリンク(www.virustotal.com)
webwasherが反応してるがほとんどスルー
33: ◆N9P3SuvBPo
07/04/25 23:25:53
>31
確認した
どうすんのよ〜w
34:名無しさん@お腹いっぱい。
07/04/25 23:27:15
eSafe 7.0.15.0 04.25.2007 suspicious Trojan/Worm
Fortinet 2.85.0.0 04.25.2007 suspicious
Webwasher-Gateway 6.0.1 04.25.2007 Win32.ModifiedUPX.gen!90 (suspicious)
対処は3つとも同じか
35:86スレ909
07/04/25 23:28:34
973の上記HPの通り削除しようとしたのですが、
キーとなるところに該当フォルダ(zcrsnrsj)がありませんでした。
18はいまからやってみます。
36:名無しさん@お腹いっぱい。
07/04/25 23:29:26
Virus.Org
URLリンク(scanner.virus.org)
バスターもスルーしてる…
37:名無しさん@お腹いっぱい。
07/04/25 23:29:29
>>33
せっかくだからこのスレの次に使いましょう
38:名無しさん@お腹いっぱい。
07/04/25 23:30:32
>>36
オールスルーじゃまいか
39: ◆N9P3SuvBPo
07/04/25 23:31:27
>37
そうするしかありませんね。
40:名無しさん@お腹いっぱい。
07/04/25 23:33:31
おそらくタイマーでただ単に電源を落とすソフトだとおもわれる
41:名無しさん@お腹いっぱい。
07/04/25 23:33:44
>>35
亜種だから名前が違う
zhnzvennってのがないか?
42: ◆N9P3SuvBPo
07/04/25 23:34:46
>40
c:\windows\tasks\?
43:86スレ909
07/04/25 23:36:40
>41
zhnzvennはあります。削除してきます。
ログに関しては適当なupロダ探してますので少々お待ち下さい。
44:名無しさん@お腹いっぱい。
07/04/25 23:38:21
exeは単純だから
ウイルスとして認識されない可能性が高いな
45:名無しさん@お腹いっぱい。
07/04/25 23:38:41
おk
C:\Program Files\Common Files\Microsoft Shared\MSInfo に
zhnzvenn.drv
zhnzvenn.ime
zhnzvenn.sys
zhnzvenn.tmp
四つ確認、レジストリも確認したらzhnzvennで改変あり
46:名無しさん@お腹いっぱい。
07/04/25 23:39:34
exeは単純だから
ウイルスとして認識されない可能性が高いな
47:46
07/04/25 23:41:51
操作ミス失礼しました
48:名無しさん@お腹いっぱい。
07/04/25 23:42:11
ものすごくシンプルだなぁ。これがウイルスか?
49:名無しさん@お腹いっぱい。
07/04/25 23:42:27
うは、俺も感染してるし・・・。
ただ、俺の場合、ダイアログが表示されて
すぐに閉じたんだが、1時間以上電源切れてない。
感染源はどこだ・・・。
50:46
07/04/25 23:42:39
よし、ためしにNET切断してRed3を起動してみる、さらば
51: ◆N9P3SuvBPo
07/04/25 23:43:15
>47
書き込もうとしたら重くなっただろ?
52:名無しさん@お腹いっぱい。
07/04/25 23:43:50
.idata:0040803C ; Segment type: Externs
.idata:0040803C ; _idata
.idata:0040803C ; HMODULE __stdcall LoadLibraryA(LPCSTR lpLibFileName)
.idata:0040803C extrn LoadLibraryA:dword
.idata:00408040 ; FARPROC __stdcall GetProcAddress(HMODULE hModule,LPCSTR lpProcName)
.idata:00408040 extrn GetProcAddress:dword
.idata:00408044 ; BOOL __stdcall VirtualProtect(LPVOID lpAddress,SIZE_T dwSize,DWORD flNewProtect,PDWORD lpflOldProtect)
.idata:00408044 extrn VirtualProtect:dword
.idata:00408048 ; void __stdcall ExitProcess(UINT uExitCode)
.idata:00408048 extrn ExitProcess:dword
.idata:0040804C
.idata:00408050 ;
.idata:00408050 ; Imports from USER32.dll
.idata:00408050 ;
.idata:00408050 ; int __stdcall MessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)
.idata:00408050 extrn MessageBoxW:dword
.idata:00408050
53:名無しさん@お腹いっぱい。
07/04/25 23:45:46
VBか?
54:910
07/04/25 23:45:50
オンラインスキャン終わりました。
特にそれらしいものは検出されなかったようです。
前スレ>>973は今から試してみようと思います。
>>18
一応できました。これでいいんでしょうか?
startuplist
URLリンク(www.uploda.org)
ブートのログ
URLリンク(www.uploda.org)
どちらもパスはsecでお願いします。
55:名無しさん@お腹いっぱい。
07/04/25 23:48:28
>>54
Loaded driver \??\C:\Program Files\Common Files\Microsoft Shared\MSInfo\zhnzvenn.sys
があるね。
56:名無しさん@お腹いっぱい。
07/04/25 23:48:48
ありがちな事だけど、NOD32も完全スルーだね。
57: ◆N9P3SuvBPo
07/04/25 23:49:39
>54
時間かかるけど良い?
できたら他の人も解析に協力してくれると…
58:名無しさん@お腹いっぱい。
07/04/25 23:50:34
ダイヤログにのってたサイト
URLリンク(www.milw0rm.com)
59:名無しさん@お腹いっぱい。
07/04/25 23:53:58
startuplistで
zhnzvenn: \??\C:\Program Files\Common Files\Microsoft Shared\MSInfo\zhnzvenn.sys (autostart)
60:名無しさん@お腹いっぱい。
07/04/25 23:54:29
>>57
手伝いたいんだが、何すりゃいいか判らん・・・('A`)
61:名無しさん@お腹いっぱい。
07/04/25 23:54:33
新規質問です。
OSはXP
セキュリティーソフト:アンチウイルス5プラス
ファイアウォール無使用
最近、「dos.generic.ICMP.Smurf」という攻撃を受けます。
一応セキュリティーソフトの引っかかるのですが、一度やそこらの
攻撃なら問題ないのですが、結構な数がきます。
一応「dos.generic.ICMP.Smurf」については自分なりに調べて見ましたが、
英語と漢字ばかりでわかりませんでした。
これは、どうしたらいいのでしょうか?
どうがご教授おねがいします。
62:名無しさん@お腹いっぱい。
07/04/25 23:55:38
>>61
DOS攻撃でググる
63:名無しさん@お腹いっぱい。
07/04/25 23:56:37
>>62
了解、早速実行してみます。
64:名無しさん@お腹いっぱい。
07/04/25 23:56:59
上にほうでwinampがなんたらっていってたけど
Winamp v5.33 にはセキュ穴あるぞ
URLリンク(www.st.ryukoku.ac.jp)
65:名無しさん@お腹いっぱい。
07/04/25 23:57:51
前スレで代理で書き込んでもらったものです
zhnzvenn、Red3、とりあえずSafeモード起動で
片っ端からファイルもレジストリも削除して
再起動後、再検索しても引っかからず
一通りの対処はこれで出来たっぽいです
66:名無しさん@お腹いっぱい。
07/04/26 00:00:17
Red2.exeを確認
67: ◆N9P3SuvBPo
07/04/26 00:01:09
sscdbhk5.sysは?
68:名無しさん@お腹いっぱい。
07/04/26 00:01:09
URLリンク(worldaofwr.net)
69:名無しさん@お腹いっぱい。
07/04/26 00:03:58
>>68
ウイルス。EXP/Ani.Gen
70:名無しさん@お腹いっぱい。
07/04/26 00:04:55
>>68
ピロリ
ういるす
71:名無しさん@お腹いっぱい。
07/04/26 00:04:57
>>61です。
結局のところ、初期化しようが、何をしようが無駄というわけですかねー…
どうしたらいいのか…
誰か、いい方法ありませんか?
72:名無しさん@お腹いっぱい。
07/04/26 00:05:19
>>71
ネットにつながない。
73:910
07/04/26 00:05:44
>>57
よろしくお願いします。
>>55
>>59
それを
URLリンク(www.trendmicro.co.jp)
のように削除すればいいということでしょうか?
74: ◆N9P3SuvBPo
07/04/26 00:06:06
>68それがどうしたw
ANIの脆弱性なんて俺のWindows98には通用しない!
75:名無しさん@お腹いっぱい。
07/04/26 00:07:15
>>72
それはそうですがー…
どうしたら、攻撃を防げるのでしょうか?
無理なんですかねー?
76:名無しさん@お腹いっぱい。
07/04/26 00:08:01
Red2.exeと同じフォルダにgj.exeの存在を確認した
77:名無しさん@お腹いっぱい。
07/04/26 00:08:35
ノートンならだいじょうび
78:名無しさん@お腹いっぱい。
07/04/26 00:08:49
>>75
ルータつける
79:86スレ909
07/04/26 00:09:51
遅くなってすみません。
ntbtlog.txtとstartuplist.txtをupしました。
URLリンク(www.uploda.org)
パスは「zhnzvenn」です。
宜しくお願いします。
80:名無しさん@お腹いっぱい。
07/04/26 00:11:38
>>73
rootkitbusterつかってないの?
URLリンク(www.trendmicro.com)
これでrootkitは削除されるはずだが
81:名無しさん@お腹いっぱい。
07/04/26 00:15:09
>>75
>ファイアウォール無使用
ルータ買って、FWも使用
82:名無しさん@お腹いっぱい。
07/04/26 00:15:29
>>78
ルーター…自分には無理でした。
もう、無視していいのでしょうかねー
この攻撃はいつやむのか…むしろ止むのでしょうか…?
アンチウイルスには、攻撃者からのネットワーク切断などの機能は
83:86スレ909
07/04/26 00:15:52
検索したところ、C:\WINDOWS\Temp内に
red2.exe、Red3.exe、gj.exeがあります。
これはすべて削除してもよいのでしょうか?
削除するとしたら、削除方法は
右クリック削除だけでいいのでしょうか?
84:名無しさん@お腹いっぱい。
07/04/26 00:16:38
>>82
ネットにつないでいる限りみんな攻撃受けてるから。
85:名無しさん@お腹いっぱい。
07/04/26 00:19:25
Tempフォルダから移動したところダイアログの発生は停止しました
86:名無しさん@お腹いっぱい。
07/04/26 00:21:12
>>84そうなんですかー
じゃあー、ウイルスみたいに、ものすごい悪質でもないなら無視して
大丈夫ということでしょうか?
結局、何かを大量に送りつけて、重くしようという攻撃なんですね?
ウイルスやスパイウェアのように悪質ではないということでしょうか?
87:名無しさん@お腹いっぱい。
07/04/26 00:21:57
82
スパイ除去ソフトを、7個ぐらい、仕入れて、完全スキャン
除去してみれば、DOS攻撃、ポートスキャンがこなくなるよ。
88:名無しさん@お腹いっぱい。
07/04/26 00:25:25
>>86
セキュリティソフトに引っかからない攻撃を受けたら感染乙
既に受けてないとも言い切れないしな。
89:名無しさん@お腹いっぱい。
07/04/26 00:28:58
>>87
この攻撃は、何か自分のパソコンに目標物があってそこを狙って
攻撃しているのですか?
自分はってきり、自分の接続しているIDのようなものが相手に知られて
攻撃されていたものだと思っていましたが…
>>88
あれってやっぱり、ウイルスとかスパイのプログラムも入っているんですか!?
どうしたらいいものか…今の自分にできるのは、無視して諦めるくらいですかねー…
90:名無しさん@お腹いっぱい。
07/04/26 00:31:27
基本的に、ターゲットして攻撃するのは
ハックとかクラックだな。
これはどちらかといえばウイルス
91:910
07/04/26 00:34:43
>>80
あ、それだけでよかったんですか。
試してみます。ありがとうございます。
ついでに自分のところでもtempフォルダにred2.exe、
Red3.exe、gj.exeが見つかりました。
92:名無しさん@お腹いっぱい。
07/04/26 00:35:35
>>90
そうなんすかー、じゃー、そこら辺にあるオンラインウイルススキャンソフトを片っ端
から使ってみれば、もしかしたら見つかるかも知れないということですか?
さらに初期化すれば万事解決ですか?
93:名無しさん@お腹いっぱい。
07/04/26 00:37:38
89
自分、思うに、スパイソフトが信号だして、それにのかって
DOS攻撃、ポートスキャンアタックが着てると思うよ。
スパイ除去ソフトを、7個ぐらい、仕入れて、完全スキャン
すると、不思議と、全然、来なくなるよ。
94:名無しさん@お腹いっぱい。
07/04/26 00:43:20
>>92です
初期化する覚悟はできています。
初期化すると解決されますかねー?
95:名無しさん@お腹いっぱい。
07/04/26 00:43:23
>>92
今どんだけスキャンしようと
結局FWもルータも無しなら堂々巡り。
導入する気がないなら諦めれ。
96:名無しさん@お腹いっぱい。
07/04/26 00:43:31
>>91
rootkitは専用ツールじゃないと削除がむずかしいから
rootkitbusterでスキャン→trend flexでスキャン→zhnzvennでpc内検索→Red3.exe Red2.exeでpc内検索
こんな流れか
97:名無しさん@お腹いっぱい。
07/04/26 00:47:26
あとtempフォルダ内は全削除
98:名無しさん@お腹いっぱい。
07/04/26 00:48:18
ルータも、1万円であるから、買えばいいよ。
99:名無しさん@お腹いっぱい。
07/04/26 00:49:07
3kくらいであるだろw
100:名無しさん@お腹いっぱい。
07/04/26 00:49:45
俺の見解
red2.exe red3.exeについて
Sun Microsystems社のjavaアプレットが
最新版でないと感染すると思われる。
一定時間でWindowsをシャットダウンするコマンドを実行する。
あとわかんね
101: ◆N9P3SuvBPo
07/04/26 00:51:56
初めての作業なんで一応…
>54
c:\windows\system32\drivers\sscdbhk5.sys
のプロパティを見て、作成日や会社名とか教えてくれ。
後、JWordの残骸発見
>HKLM\Software\Microsoft\Windows\CurrentVersion\Run
>CnsMin = Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
>Enumerating Browser Helper Objects
>IDN Helper Object - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL - {118CE65F-5D86-4AEA-A9BD-94F92B89119F}
systemdoctor
>Enumerating Download Program Files
[{09F1ADAC-76D8-4D0F-99A5-5C907DADB988}]
CODEBASE = URLリンク(cdn.downloadcontrol.com)
>73
ntbtlog.txt問題無し
startuplistも問題無し
前スレでトレンドフレックスのオンラインスキャンとルートキットバスターで
駆除は終わったのかな?
102:名無しさん@お腹いっぱい。
07/04/26 00:54:52
>>98
もう、むしろ1万払うくらいなら、初期化したほうが得する状態です。
大体の感染源も解っていますし、いままで、そんなことなかったので、
その感染源にさえ行かなければ何とかなると思いますので、初期化でよろしい
でしょうか?自分も1万なら買いたい思いますが、なにぶん学生なもので…
103:名無しさん@お腹いっぱい。
07/04/26 00:56:31
>>101
乙
ログ見たけどものすごい量で俺はあきらめた
104:名無しさん@お腹いっぱい。
07/04/26 00:56:46
あと、どこのセキュリティーソフトがお勧めですか?
あと、このソフトはやめたほうがいい、などの情報お願いします。
105:名無しさん@お腹いっぱい。
07/04/26 01:02:31
>>104
ZEROとキング、バスターはやめておけ、どちらも性能が論外。
お勧めなのはノートン、カスペ、NOD32あたり。
無料はAntiVirがいい(ノートン、カスペ、NOD32より性能が上)
106:名無しさん@お腹いっぱい。
07/04/26 01:08:28
102
ルータ、5000円ぐらいであるみたいだね。
FWつきのルータを導入したほうが、早いかも。
安いFWつきのルータいれて、スパイ除去ソフトで除去したがいい気がするけど。
107:名無しさん@お腹いっぱい。
07/04/26 01:08:36
>>105
ありがとうございます。参考にさせていただきます。
>>102
初期化してみますが、解決されるでしょうか?
108:名無しさん@お腹いっぱい。
07/04/26 01:12:09
>>107
最善策を却下しながら自分の妥協案に同意を求めんなよw
皆それでOKとは思わないからルータが必要と言ってるんだ。
したいなら勝手にすればいいが、お前以外に誰も初期化なんて発言はしてないよ?
URLリンク(arena.nikkeibp.co.jp)
ノーガードPC置いときますね
109:86スレ909
07/04/26 01:13:31
Tempフォルダ内のものもすべて削除しました。
910さんのログのようですが、
前スレの対応で駆除できているようなら大丈夫でしょうか。
原因が不明のようですので、しばらくの間はお絵かき掲示板も
利用しないでおきます。
連休中に新しいパソコンに乗り換え、
今後はしっかりとセキュリティをしておこう思います。
長時間遅くまで親身な対応をしてくださり、
本当にありがとうございました。
110: ◆N9P3SuvBPo
07/04/26 01:18:22
>109
ブラウザのJavaScript切っておけば良いんじゃない<お絵Bに行く時
111:名無しさん@お腹いっぱい。
07/04/26 01:19:25
JavaはJavaScriptとはちがうぞww
112:名無しさん@お腹いっぱい。
07/04/26 01:20:43
Firefoxで安全快適です><
113: ◆N9P3SuvBPo
07/04/26 01:21:28
>111
自分が言ったJavaScriptは、アクティブスクリプトのことです。
なんか紛らわしくてすいません…
114:名無しさん@お腹いっぱい。
07/04/26 01:23:18
それの被害って最高でどういうものが予想されるのか?
115:名無しさん@お腹いっぱい。
07/04/26 01:29:20
gj.exeは終了スクリプトっぽい
116:名無しさん@お腹いっぱい。
07/04/26 01:31:48
ぐっじょぶ
117:名無しさん@お腹いっぱい。
07/04/26 01:32:08
gj.exeを実行するとシャットダウン
red2.exe red3.exeを実行するとレットウルフのダイアログが表示された
118:名無しさん@お腹いっぱい。
07/04/26 01:36:33
レジにも残骸があるかもね
119: ◆N9P3SuvBPo
07/04/26 01:42:57
俺の出番はここで終了だな。
後、>>54
>c:\windows\system32\drivers\sscdbhk5.sys
SonyのDVD関係のドライバかな?
やっぱ気になるな…
120:名無しさん@お腹いっぱい。
07/04/26 01:45:59
◆N9P3SuvBPo氏はじめ、皆さんお疲れ様でした
結局、
>本トロイの木馬はBIOSに入力していますので、
>どちらのアンチウィルス対策ソフトウェアでも削除することができません。
というのはただの脅しだったのかな
121:名無しさん@お腹いっぱい。
07/04/26 01:46:03
俺のほうにもそれは入ってないな
122: ◆N9P3SuvBPo
07/04/26 01:48:26
>120
誰が見ても脅しでしょうね。
>121
ブートのログとStartuplistの両方で確認が取れた
systemで実行されている
他の人のログを見たけどやはり入ってませんでした。
123:910
07/04/26 01:50:34
>>96
rootkitで削除してtempフォルダ内にあったexeもすべて綺麗にしました。
みなさん、本当にありがとうございます。
>>101
わざわざありがとうございます。
感染していたパソコンが家族に取られてしまったため、
現在確認が出来ません……明日改めて報告した方がいいでしょうか?
124:名無しさん@お腹いっぱい。
07/04/26 01:52:05
結局、感染源と感染方法は何だったの?
125: ◆N9P3SuvBPo
07/04/26 01:53:42
>123
とりあえずお疲れ様でした。
>明日改めて報告
了解です。
126:名無しさん@お腹いっぱい。
07/04/26 01:55:57
さすがセキュ板クオリティ。やることが違う
127:名無しさん@お腹いっぱい。
07/04/26 01:56:51
確かに、感染源と感染方法は知りたいな。
>>110
JavaScript切ってると、お絵かきできなかったような。
記憶が曖昧でスマンが。
ともあれ、皆さんお疲れ様。
128:名無しさん@お腹いっぱい。
07/04/26 01:59:00
Javaを最新版にした結果なんとかなったから
コントロールパネルからJavaの設定ひらいてupdateしとくといいかも
129: ◆N9P3SuvBPo
07/04/26 02:00:05
ちょっと大事なこと言うの忘れていたw
>123
P2Pはあまり推奨ではないのですが…
Startuplistのログで確認が取れました。
余計なお世話かもしれんが…
>127
>JavaScript切ってると、お絵かきできなかったような。
俺も詳しくは知らないけど、多分そうだと思う。
閲覧だけなら問題は無い。
130:名無しさん@お腹いっぱい。
07/04/26 02:04:48
すいませんレジストリって何なんですか?
丁寧に教えてください
131:名無しさん@お腹いっぱい。
07/04/26 02:07:13
Wikipedia項目リンク
132:名無しさん@お腹いっぱい。
07/04/26 02:07:42
しかし、メアドまでつけて金でも毟り取ろうとしていたのだろうか?
実に悪質だ!
133:名無しさん@お腹いっぱい。
07/04/26 02:22:40
毛虱
134:910
07/04/26 02:31:04
>>129
すみません、以前MADムービーの配布でBitTorrentを使ったことがあります。
P2Pの話で不快に思われた方がいらっしゃったら申し訳ありません。
今はもちろん使用していませんし、アンインストールもしたつもりだったのですが
それがまだ残っているということなんでしょうか?
135:名無しさん@お腹いっぱい。
07/04/26 02:31:38
ログを見て解析を行なう者
実際に感染させてその挙動を調べる者
ハッカーの溜まり場かここはww
136:名無しさん@お腹いっぱい。
07/04/26 02:33:28
リカントをやっつけられるぐらいですね
137: ◆N9P3SuvBPo
07/04/26 02:35:22
>134
レジストリエディタ開いて↓のキーの中身を確認してみて。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
BitTorrent = "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimizedがあるので。
では落ちます。
138:名無しさん@お腹いっぱい。
07/04/26 03:12:48
今日たまたまこのスレ見たが、ここは凄い人の集まりだったのか。
超初心者だから全然意味わからんが、なんか凄い事してるのはわかったよ。
139:名無しさん@お腹いっぱい。
07/04/26 03:22:27
忙しい世話焼きが多いんだよw
140:名無しさん@お腹いっぱい。
07/04/26 03:25:13
セキュリティゼロだから上のようなトラブルおきるんだな
やはりマカフィーだな
141:名無しさん@お腹いっぱい。
07/04/26 03:48:57
みんなすごい!感染者の人も礼儀正しいし。
2ちゃんねるの良心を見た気がしたわ。
142:名無しさん@お腹いっぱい。
07/04/26 04:02:52
ちっ!俺がいない間に解決しやがって
俺のスーパーテクが発揮できなかったじゃないか
143:名無しさん@お腹いっぱい。
07/04/26 06:32:05
>>119
ググったところ(正しい物なら)Sonic Solutionsの
CD/DVDの読みor書き込み関連のドライバっぽい。
144:名無しさん@お腹いっぱい。
07/04/26 07:52:12
結局昨日のredwolfについての感染源は曖昧なまま?
JAVAを最新版にしとけば感染しないのか?
winampとの関係は?
145:名無しさん@お腹いっぱい。
07/04/26 08:52:45
red.exe実行したらspybotのteatimer反応しまくり
146:名無しさん@お腹いっぱい。
07/04/26 09:36:27
このインターネットウォッチの記事に書いてあること嫁w
URLリンク(internet.watch.impress.co.jp)
147:名無しさん@お腹いっぱい。
07/04/26 09:36:58
断る
148:名無しさん@お腹いっぱい。
07/04/26 09:39:45
そうかwww
>収集したボットプログラムの検体は延べ97万4,999体/3万1,082種に達した。
>市販のウイルス対策ソフトで検知できないものも1,711種見つかったという。
>さらに、このうちの1,259種については駆除ツールで対応し、CCCのサイトで提供。
>駆除ツールは5万4,699回ダウンロードされた。
149:名無しさん@お腹いっぱい。
07/04/26 09:41:21
検知できないものがわずが1711種だけなわけね〜www
桁が2つまちがってる。最低でも10万種は検知できないw
150:名無しさん@お腹いっぱい。
07/04/26 10:59:12
ウィルス即効駆除方法スレから誘導されてきますた。
アナ板に貼ってあったリンクを踏んだら、谷亮子の画像と共にサイミーって奴と
URLリンク(www.trendmicro.co.jp)
WMFって奴に引っかかりました。
URLリンク(www.trendmicro.co.jp)
なんかのプログラムをダウンロードさせまくられそうになりましたが、バスター2006が隔離してくれたので手動で削除しました。
この2つのウイルスってかなりヤバイ部類ですかね?サイトを見る限りは普通っぽいみたいですが・・。
あとは一時ファイルとクッキーと履歴を消したんですが(バスターでの検索はこれから)、
カスペルスキーで検索すると検知されたウイルスが1つと疑わしいオブジェクトが20見つかりました。
Exploit.HTML.Mhtってのが2ちゃんのログにあるみたいです。
あとはロックされていますと出ています。
TAWARAの画像自体がブラクラなのに・・・orz
151:名無しさん@お腹いっぱい。
07/04/26 11:09:30
その本スレのリンク貼ってくれ
152:150
07/04/26 11:34:03
>>151
レスどうもです。今見てきましたらあぼーんされてました(´・ω・`)
一見、ありがちなうpローダーみたいなリンクでした。
153:名無しさん@お腹いっぱい。
07/04/26 13:42:45
>>150
どっかのスレで、IEのキャッシュ消せ、と書いた覚えがあるが……。
まあ、検出されても実害ない。Windows Update(Microsoft Update)で最新の状態にしてあれば。
うちのカスペでも2chのログに反応する。それだけ。消したければ、消してもいい。
放置しても何も起きんけどね。
154:153
07/04/26 13:46:14
>どっかのスレで、IEのキャッシュ消せ、と書いた覚えがあるが……。
おっと、別件だった。スマン。
*'``・* 。
| `*。
,。∩ *
+ (´・ω・`) *。+゚ 煮るなり、焼くなり、好きにして〜
`*。 ヽ、 つ *゚*
`・+。*・' ゚⊃ +゚
☆ ∪~ 。*゚
`・+。*・ ゚
155:名無しさん@お腹いっぱい。
07/04/26 15:09:29
じゃあ焼いとく
) :::::ヽ ノ :::::::::::: )
, -‐―‐‐-、 ( ::::::) ( ::::::;;;;;;;(
/ , ヽ. ) ..;;;ノ ) :..::.::::: )
l */_ノ/ヽ)ノ ( .::::( ノ:::::::,;,;;;;,;,ノ
| (| | ┰ ┰|l | ヽ: ::::: )ノ::,,-‐''"
l lj |、''' - ''ノ| | ヽ;;:: ノ ∧∧
| l {l.つ とl} リ <>>153><l (゚- ゚*)、
(_ノ_,ノ〈,i.⌒}⌒} !し' ~〔 ̄ ̄ ̄.〕~ UU,,c,)
 ̄  ̄´ |┏━┓|
156:名無しさん@お腹いっぱい。
07/04/26 16:12:13
>>150
そのスレに誘導して!
157:名無しさん@お腹いっぱい。
07/04/26 16:59:25
RED WOLFの件で
うpされていたgj.exe、Red3.exe、Red2.exe、RED3.EXE-199506E7.pfをF-Secureに送ったところ悪意のあるコードは含まれていないとの事。
158:名無しさん@お腹いっぱい。
07/04/26 17:05:43
シャットダウンさせるのは悪意のあるコードとは言えませんか・・・・
そうですか・・・・・
159:名無しさん@お腹いっぱい。
07/04/26 17:14:46
>>16
RedWolfでwinamp入れてるやつ居る?
入れてる
最近1日ー2日位前?
アップデートしてから
レットウルフ発動するようになった
160:名無しさん@お腹いっぱい。
07/04/26 17:58:59
>>157
うpされたファイルを逆アセンブラしてみたけど非常にシンプルなコードが書いてあるだけ。
161:910
07/04/26 18:03:43
>>137
ありました……削除!
>>119
遅くなってすみません。
shared driver compornent
Sonic Solutions
2004/12/22/0:34:32
でした。
>>16
winampは以前入れたことがあります。
でも確かすぐにアンインストールしてしまったような。
162:名無しさん@お腹いっぱい。
07/04/26 18:04:28
>>160
間違い:逆アセンブラ
正解 :逆アセンブル
163: ◆N9P3SuvBPo
07/04/26 18:08:37
今帰った
>161
>Sonic Solutions >143にも書かれている通り問題無いです。
(ソニーではなくてソニックか…)
今のところ症状は出てる?
164:名無しさん@お腹いっぱい。
07/04/26 18:09:05
Dear Sir or Madam,
Thank you for your email to Avira's virus lab.
Tracking number: INC00035460.
We received the following archive files:
File ID Filename Size (Byte) Result
276866 up0901.zip 13.8 KB OK
A listing of files contained inside archives alongside their results can be found below:
File ID Filename Size (Byte) Result
276867 Red3.exe 10.5 KB CLEAN
276868 RED3.EXE-199506E7.pf 18.33 KB CLEAN
Please find a detailed report concerning each individual sample below:
Filename Result
Red3.exe CLEAN
The file 'Red3.exe' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.
Filename Result
RED3.EXE-199506E7.pf CLEAN
The file 'RED3.EXE-199506E7.pf' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.
Kind regards
Avira Virus Lab
だとさ(一部略
165:910
07/04/26 18:49:28
>>163
いえ、おかげさまで、もうポップアップもシャットダウンされることもありません。
家族が使っている間も特におかしな動作などはなかったようです。
166: ◆N9P3SuvBPo
07/04/26 18:51:57
>165
はい了解しました。
167:名無しさん@お腹いっぱい。
07/04/26 19:00:37
>>157
>うpされていたgj.exe、Red3.exe、Red2.exe、RED3.EXE-199506E7.pf…
Red3.exeは>>19でうpされてますが
gj.exe、Red2.exeはどこにうpされているんでしょうか?
168:150
07/04/26 19:40:25
レスありがとうございます。
>>153
なるほどカスペの特徴なんですね(・∀・)
>>154-155
ワラタ( ´∀`)
>>156
ここなんですが何気に踏んでしまいました・・・(´・ω・`)
スレリンク(ana板:66番)
何故か即効であぼーんされました。
169:名無しさん@お腹いっぱい。
07/04/26 19:54:46
>>16
RedWolfでwinamp入れてるやつ居る?
REd3.exeうpの感染主です
amp入れてます。スタートアップ登録の
タスクトレイにクイック起動状態で。
現在は終了させてありますが。
ただ、お絵かき掲示板がどうのとか言ってた部分で
自分の巡回ルートもお絵かきとか、二次元系の掲示板なわけで…
170:名無しさん@お腹いっぱい。
07/04/26 20:11:13
RedWolf感染者ですが、winampは入れていません。
感染元を特定できればよかったのですが……残念です。
171:名無しさん@お腹いっぱい。
07/04/26 20:15:57
失礼します。
【使用OS】WinXP
【使用ブラウザ】 IE6
【Microsoft Update(MU)の状態】 すみません、わかりません
【ウイルス対策ソフトとバージョン】 WinAntiVirusのフリー
【スパイウェア対策ソフト】 同じく
【ファイアウォール】 windowsについているもの
【ルータの有無】 あり
【具体的な症状】
・フラッシュが表示されず、ブラウザ上部に黄色いバーで
「セキュリティの設定により、Webサイトによる、このコンピュータに
インストールされているActiveXコントロールの実行は許可されません」とでる。
・フラッシュプレイヤーのHPに行っても表示されないので、
プレイヤーがダウンロードできない。
・セキュアページに入ることが出来ない。
【過程と措置】
とりあえず、セキュリティの設定を一番ゆるいものにしてみたり、
SSLを利用する などにすべてチェックを入れてみたりしたのですが改善されません。
管理者でログインしています。
とりあえずセキュリティの設定がおかしいのだと感じたのでこちらに来てみたのですが、
どなたかこの症状で分かる方いらっしゃるでしょうか?
172:名無しさん@お腹いっぱい。
07/04/26 20:55:02
>>171
ネタ質?
URLリンク(www.shareedge.com)
173:名無しさん@お腹いっぱい。
07/04/26 20:58:05
>>171
おまいさん、WinAntiVirusを使っているのかね。 (´・ω・) カワイソス
スレリンク(sec板)
174:名無しさん@お腹いっぱい。
07/04/26 21:20:23
【使用OS】WinXP
【使用ブラウザ】 IE6、Firefox
【Microsoft Update(MU)の状態】 最新
FirefoxでHPを見ていて、
前のページに戻るボタンを押すと
画面が一瞬黒くなることがあるのですが(文字以外の部分が真っ黒になる感じ)
これはウィスルに感染しているのでしょうか?
特に関係ないですか?
175:名無しさん@お腹いっぱい。
07/04/26 21:57:04
相性の悪いadd-onがあるんだろ
176:名無しさん@お腹いっぱい。
07/04/26 21:59:19
>>171
>>172
ありがとうございます。
そんなものが会社のパソコンに入っていたとは…
予想外でした。無知を恥じます。ありがとうございました!
177: ◆N9P3SuvBPo
07/04/26 22:11:21
>176
>そんなものが会社のパソコンに入っていたとは…
>予想外でした。無知を恥じます。
無知なのはそれを入れた人だろ
コンピューターの管理者だったら色んな意味での神だな
178:名無しさん@お腹いっぱい。
07/04/26 22:11:29
悪意のあるウェブサイト(中華系?)にアクセス→javaの脆弱性を利用→rootkit入りbotを仕込まれる→知らぬ間にbackdoor開かれる
→red.exe gj.exe仕込まれる→折をみてbackdoorからred.exe gj.exe実行→メッセージ表示 shutdown
こんなシナリオどうよ?
179:名無しさん@お腹いっぱい。
07/04/26 22:18:08
>>176
会社のPC全てウイルスの宝庫だったりして…
情報は流れ放題、そして誰もそれに気付いてないとか。
あなおそろしや。
180: ◆N9P3SuvBPo
07/04/26 22:22:06
>178
>javaの脆弱性を利用
で思ったんだけど、まさかこれなわけないよね。
「QuickTime」の脆弱性--Windowsの「IE」にも影響(CNET Japan)
URLリンク(headlines.yahoo.co.jp)
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4320日前に更新/257 KB
担当:undef