【大流行の】Antivirus2009【予感】

1 ：08/07/20 〜 最終レス ：11/01/09

削除方法教えてくださいm(_ _)m

2 ：

1年後に出直して来い

3 ：

てかシネ

4 ：

きわめて悪質な
スパイウエアです
私もコレ感染しました
ワク\フト装い
マイクロソフトHPそっくりのページが出てきて
インストールするか聞かれてYesでもＮｏでも感染します。
あとはクレジット入金手続きのポップアップが
しつこく出てきます。
現在ノートン、ウイルスゼロ、等どのワクチンも無効
当方は専門業者依頼で解決。
そろそろ各ワクチンで対策出るかな？

5 ：

　　　　　　　／　　 　 　＼
　　　　　 ／　　 ＼ ,　, ／＼
　　　　／　 　 （●）　 （●） ＼　　>>4感染するお前が悪い
　　 　 |　　 　 　 （__人__）　　　|
　 　 　 ＼　 　 　 ` ⌒ ´　　,／
.　　　 　 /⌒〜"￣,￣￣〆⌒,ﾆつ
　　　 　 |　　,＿_＿ﾞ＿__､rヾｲｿ⊃
　　　　　| 　 　 　 　 　 　｀l￣
.　　　 　 |　　　　　　　　　 |

6 ：

風邪を引いて頭が朦朧とした状態で感染してしまった…悔しい…ッ（ビクビク）

7 ：

一応、削除方法書かれてるHP見てやってるが、大丈夫かなぁ…
久々にウザいウイルス喰らったよorz
スパイウェアとか大無視でやってると駄目だなぁ

8 ：

http://bbs.higaitaisaku.com/cbbs.cgi?mode=all&number=99368&type=0&space=0&no=0

9 ：

age

10 ：

ざまぁとしか言いようがないな。ウイルス作者はもっとやれ

11 ：

12 ：

これ本当に厄介だよな
一応消せたは消せたみたいなんだが
IEに支障が残ってHP上の広告が
おかしくなってしまったorz

13 ：

AntivirusXP2008はシステムの復元すると
いいって聞いたけどどうなの

14 ：

>>13
システムの復元で解決とか言っちゃうやつは
信用しないほうがいいよ。何にも解ってないお馬鹿さんだから。

15 ：

システム復元するとwinlogon.exeのＣＰＵ使用率が異常になって動かなくなった

16 ：

２ちゃんで３日前に感染した。
セーフモードでもトロイしか駆除出来なくて
リカバリするしかなかった。

17 ：

HDD完全消去してからクリーンインストールが基本

18 ：

ComboFixじゃダメなのか？

19 ：

>>18
Combofixで大体おｋだよ
ただ完璧に駆除できるわけではない

20 ：

一応注意として自動処理後のログ確認は必須な。
ログみても良くわからないって奴はアダ被なんかに質問したほうがいい。

21 ：

8/1にbadongoから感染してHDDﾌｫｰﾏｯﾄ→ｸﾘｰﾝｲﾝｽﾄｰﾙ
３年間HDDに溜まったゴミもキレイになりました！
ありがとうWinAntivirus2009！！！！！！！！！１ありがとうbadongo！！！！！！１１！

22 ：

やっと駆除できた。　
ほんとにアンチスパイウェアかと
思ってカスタマーサポートにメール入れたら、翌日、買った方がいいと
詐欺師から連絡あった。　
詐欺師のE−メール：
support@antivirus-2009pro.com

23 ：

>>22
連絡したんですか？
私のは英語表記で「49ドルで購入して下さい」と書いてあった。
一瞬、画面がピンク色になったので、怪しいとは思いました。

24 ：

セーフモードで駆除しないといけないとは
頑固な汚れだぜ・・・

25 ：

早朝からやられたわ・・・警告出てブロックしたのに抜けてきやがった
寝不足なのに時間が吹っ飛んだわ、仕掛けた香具師

26 ：

今やられた
firefox2で検索して海外サイト開いたらインストールするか聞かれて
怪しかったので電源オンオフしたら壁紙が書き換えられて
メモ帳とか文字ばけしたタイトルになった
ComboFixでなおせるの？

27 ：

>>26
完全には無理だった。
googleやyahooでの検索が出来ない症状が残った。

28 ：

こっちはセーフモードで
Malwarebytes' anti-malwareとSpybotで
スキャンして駆除できた。

29 ：

わざわざリカバリしなくても良かったって事?
orz

30 ：

ググって色々な対処法見つけたけど
何故かそのウイルスソフトをダウンロードできない(接続できない？)

31 ：

グー感染してしまった。助けて-

32 ：

インターネット接続しようとするとポップアップブロックされて
ソフト購入を迫られるんだよね。
だから無料でダウンロード出来るスパイウェア対策ソフトに
たどり着けなかった。

33 ：

こっちはファイルをダウンロードできなくなった
zip形式のをダウンロードしようとしても書庫が壊れてたり
なんて悪質なんだろう

34 ：

セーフモードだとダウンロード出来ると思うが

35 ：

セーフモードでspybotsやらをダウンロードしようとしたところ
有効なWin32アプリケーションではありません とか出る上に
avastやらAVGやらのホームページには
アクセスすら出来ない(グーグルとかは普通に見られる)
無論通常モードでも同じ症状で、手も足も出ない
外部からのダウンロードが出来ない状態なので
これはもう諦めが肝心なのかしら

36 ：

http://applis.servehttp.com/index.htm
ComboFix.exe
ファイル名：00023568.rar　パスワード：abcd

37 ：

combofixはスリリングだな。マザボから聞いたことない音出たし

38 ：

windowsupdateが出来なくなったなんかブロックされてるっぽい
トレンドマイクロとかシマンテックも同じようにブロックされる
一応削除できたと思ってたけどまだなんか残りかすがあるみたい
本当に性質悪いねこれ

39 ：

>>38
セーフ・モードでやった？

40 ：

>>39
セーフモードじゃないと削除できなかったからその点は間違いないと思うんだけど
見逃しがあるかもしれないからもう一回一から確かめてみる

41 ：

ちなみに俺>>35とは別の人間ですんで
全く進展しない
別PCがあるからツールとかは落として来れるんだけど
combfixはrootkitが動いてるから再起動するぞって言われるばかり
セーフモードで起動しても結果同じ
SUPERAntiSpywareまでupdate潰される
困った困った
寝てから>>28の方法試してみます
自分が今までやったのは検索すると直ぐ見つかる手動で消してく方法です参考までに
バスターで検索したけど見つけてくれなかったので完全に手作業
バスター元々信頼度が低いから今こんな事に…

42 ：

BootSafeの”Safe Mode - Networking”選んでもダメなのか？
ダメなら他のオンラインPCで定義ファイル落として手動うｐだて
やり方は一番下に書いてある
http://www.superantispyware.com/definitions.html

43 ：

今後同じ目に会うかもしれない誰かのために引き続き報告をば
>>42
セーフモードとネットワークでSUPERAntiSpywareはupdateできました
で、ついでにそのままwindowsupdateしてみたけどだめトレンドマイクロや
シマンテックにも相変わらずアクセス不可状態
SUPERAntiSpywareを早速再実行、やっぱり残りカスがあったらしくそれを削除
その後spybotをセーフモドードとネットワークにてインストール&実行
zangoなるものが引っかかるそれを削除、続けて免疫実行
Malwarebytesをインストール&実行10個位ぽろぽろ出てきたのを全部削除
でもなんかエラーがでたので再起動してもう一度実行
すると名前trojanでその他のステータスが空白の変なものが
上記の10個位のは情報が出ていたのに何故かコレは名前以外空白、それも削除
ここまで来てようやくcombofixが起動するようになったので実行
再起動後windowsupdateが可能に、ウイルス対策ソフト会社のサイトにもアクセス可能に
それと他の人にもいたけどメモ帳のフォントがおかしくなっていたのも解決
念のため今からもう一回チェックしてきます

44 ：

乙

45 ：

一応の最終報告を
セーフモードとネットワークにて一連の対策ソフトで再検知
ひとまず何も見つからない状態となりました
それで安全かと言われるとまた別問題でしょうけど
件の症状は再発しませんでした
ちなみに>>38の時点で壁紙とスクリーンセーバー強制変更
画面のプロパティのタブ消失は解決していました
webのアクセス制限とメモ帳のフォント破綻が残っていました
まとめますと
手動で削除できるものはできる限り削除する(この部分は以下のソフトがやってくれるかもしれません)
セーフモード(とネットワーク)でこのスレで名の挙がった対策ソフトを片っ端から使う
すると何とか駆除されるようですでも一つでは完全に対応しきれていないようです
SUPERAntiSpyware、spybot(スキャンと免疫)、Malwarebytes、combofixの4つを使いました
おそらくこのソフト群の前者3つで駆除できるものと思われます
以上です、拙い文で長々とレスしましたが少しでも参考になれば幸いです

46 ：

AV2009だけならSASだけで完全対応してるんだが･･･
症状や検出名からして、どうやら複合感染みたいだな
とにかく乙でした

47 ：

Vundoだろ
spybotとか使いう必要ないから

48 ：

まぁまぁ、せっかくまとめてくれたんですから。

49 ：

Vundoタイプのマルウェアは
・ComboFix
・malware byte anti-malware
が有効。
ComboFixは特に強力だけど実行するだけじゃ意味なし。
ログを確認後、CFScriptで残った悪玉を処理しないと効果なし。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Vundo系にSmitFraudFix使う人いるけどこれはZlob系
のマルウェアに使うものだから使うのは間違い。

50 ：

感染原因は何だい？
どういう状況で感染するんだろう

51 ：

このウイルスは亜種がたくさんありどんどん更新されてるので同じ物かわかりませんが下の情報があります
http://www.mcafee.com/japan/mcafee/support/AntivirusXP_20082009.asp
http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-AB.dldr
このサイトもこのウイルスの事が乗っています
https://isec.ipa.go.jp/zha-virusdb/web/Detail.php
トレンドマイクロは乗って無かったです
私はトレンドマイクロのウイルスバスターなんですが反応しませんでした
オンラインスキャンではトレンドマイクロは無反応
マカフィーはウイルスに反応あり
シマンテックはウイルスに反応あり の結果でした
ウイルス名： [downloader-ash.gen.b,downloader-ash.gen.b] [trojan.blusod] [TROJ_FAKEALRT.CN]みたいです
C:\WINDOWS\system32\のフォルダに
lphcgvsj0etd1.exe lphcgvsj0etd1.scr
phcgvsj0etd1.bmp作られました
症状は壁紙がVirtumondeに書き換えられマカフィのFakeAlert-AB.dldrの壁紙になりました
IEとFirefoxでは動作が非常に重く下記のサイトにアクセスすると127.0.0.1(localhost)にアクセスするので開けません
symantec.com
trendmicro.com
mcafee.com
www.f-secure.com
support.microsoft.com
download.microsoft.com
hostsファイルは改変されていません。nslookupでも正常に名前解決できています。
proxy経由だとアクセスできました。感染後にインストールしたsafariだとアクセスできました
メモ帳（notepad）はファイル等のメニューも含めて全て文字化けします。
パソコンがフリーズしたりします。
ハードディスクの調子が悪いかと思い、他のハードディスクにtrueimageでクローンコピーしましたが
ハードディスクを交換してもフリーズするのでウイルスが原因だと思います。
あいまいな表現なのですがexplorerとieとfirefoxとnotepadの動作がいつもと違う感じがします
8/23にFirefoxで海外サイトを開いただけで感染しました
怪しいサイトが開いたので×やOKで閉じないでタスクマネージャから落としすぐに再起動してからおかしくなりました

52 ：

c:\windows\system32\a.exe
っていうのも作られていた
ウイルスバスターで検索したらBKDR_AGENT.ANQDでたけどあってるかどうかは不明

53 ：

>>51
質問掲示板に投稿する内容じゃないだろ
ツリー荒らしにしかなっていぞ。
こまどりさんに対してのレスならともかくお前のチラ裏じゃねぇか
せめてforumの情報フォーラムに投稿しろ・・・

54 ：

こんなスレのっけても何の参考になんないだろ
アダ被をちょこっとみて目に付いたツール薦めてるだけなんだし

55 ：

>>53
すまん
とにかくパソコンの動きが重くて何度も何度も書込んでやっと書込めたんだ

56 ：

マ女＠FNさん？

57 ：

　　　　　　　∧＿∧　 ／￣￣￣￣￣￣￣
　　　　　　　（；´Д｀）＜　kkさんすいません本当にすみませんすぐ片付けますんで。
　　-=≡ 　/　　　 ヽ　 ＼＿＿＿＿＿＿＿
.　　　　　 /|　|　　 |. |
　-=≡　/.　＼ヽ／＼＼_
　　　　/　　　 ヽ⌒)==ヽ_）=　∧＿∧
-= 　 /　/⌒＼.＼　||　　|| 　(´･ω･`) >>51
　　／ ／　　　 >　） || 　 ||　( つ旦O
　/　/ 　　　　/ ／＿||＿ ||　と＿)＿) ＿.
　し'　　　　　（＿つ￣(_））￣ (.)）￣ (_））￣(.)）

58 ：

どこから感染するん？

59 ：

>>38
SUPERAntiSpyware Scan
Malwarebytes' Anti-Malware
spybot
をセーフモードでためしましたがIEとFireFoxのアクセス制限とメモ帳の破綻は直りません
できたらログをみせてもらえないでしょうか？
SUPERAntiSpyware Scanのログの場所
C:\Documents and Settings\Administrator等\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs
Malwarebytes' Anti-Malware
C:\Documents and Settings\Administrator\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs
combofixは下のメッセージが表示されて動きません
"ComboFix has detected the presence of rootkit activity and needs to reboot the machine"

60 ：

20080825antivirusの掲示板
ttp://www.computing.net/answers/security/antivirus-xp-2008-eradication-help/23275.html
google機械翻訳
ttp://translate.google.com/translate?u=http%3A%2F%2Fwww.computing.net%2Fanswers%2Fsecurity%2Fantivirus-xp-2008-eradication-help%2F23275.html&hl=ja&ie=UTF-8&sl=en&tl=ja

61 ：

>>60
で？ｗ

62 ：

とりあえずわかった事
これらのファイルが作られる
C:\WINDOWS\system32\lphcnkwj0enhh.exe,lphcpjhj0egf3.exe,lphcgvsj0etd1.exe等ランダムな名前
C:\WINDOWS\system32\lphcgvsj0etd1.scr
C:\WINDOWS\system32\phcgvsj0etd1.bmp
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\drivers\tdssserv.sys
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\drivers\tdssserv.sys
lphcnkwj0eXXX.exeの詳細な動作についてはIPA情報処理推進機構　ウイルス情報iPedia(ウイルス情報データベース)
downloader-ash.gen.b,downloader-ash.gen.b
trojan.blusod
TROJ_FAKEALRT.CN
等の名前で検索するとある
https://isec.ipa.go.jp/zha-virusdb/web/Top.php
tdssはたぶんネットワークをおかしくしてるかもしれない

63 ：

tdssの情報は検索したけどほとんど見つからなかった
症状
IEとFireFoxでセキュリティ系のホームページにアクセスできなくなるhostsは改変されて無い
IEとFireFoxの動作がかなり重くなるフリーズする
Mac用ブラウザsafariのwindows用ではアクセスできるttp://www.apple.com/jp/safari/download/
壁紙改変
スクリーンセーバー改変
メモ帳notepadのメニューも文書も文字化けする。文字化けした状態でファイルを開く等の操作するとnotepadが落ちる
ComboFix.exe使えなくなる"ComboFix has detected the presence of rootkit activity and needs to reboot the machine"
SDFix.exeは使えるttp://downloads.andymanchesta.com/RemovalTools/SDFix.exe
パソコンがフリーズしやすくなる
フリーズするからだと思うけどスキャンディスクが走る場合がある
デフラグがたぶんできなくなる
個人的にだけどハードディスグが調子悪いように見えるようになる
感染ルート
ホームページを見ただけで有無を言わさずに感染する
OKとかクリックするとおまけに偽ウイルスソフトがインストールされる
8/23に海外のクラックサイトを見て感染した
そのホームページを見てももう感染しない
関連情報があるホームページ
アダ被　まだ解決してないけど詳しそうな人が多いらしいのでぜひこのスレのような素人っぽい方法以外で原因究明してもらいたい
ttp://bbs.higaitaisaku.com/cbbs.cgi?mode=all&number=100404&type=0&space=0&no=0
海外のセキュリティ掲示板　SDFixで解決済み
ttp://www.computing.net/answers/security/antivirus-xp-2008-eradication-help/23275.html
機械翻訳
ttp://translate.google.com/translate?u=http%3A%2F%2Fwww.computing.net%2Fanswers%2Fsecurity%2Fantivirus-xp-2008-eradication-help%2F23275.html&hl=ja&ie=UTF-8&sl=en&tl=ja

64 ：

感染時に使ってたブラウザはFireFox2.0.0.16

65 ：

tdssはまだ動いてる
C:\WINDOWS\system32\tdssservers.dat
http://stableclick.com/ctl/crcmds/main
http://update.microsofttransfer.com/ctl/crcmds/main
http://updatemicr0s0ft.net/ctl/crcmds/main
http://updatepanel.us/ctl/crcmds/main

66 ：

tdss情報　海外フォーラム
http://www.bleepingcomputer.com/forums/topic165397.html
http://www.bleepingcomputer.com/forums/topic164968.html
http://www.bleepingcomputer.com/forums/topic164968.html
http://www.geekstogo.com/forum/Virus-alert-system-tray-t207685.html

67 ：

tdssファイルは存在していても検索したりしても見つかりません
ルートキットって凄いね

68 ：

TDSSが実行中は
TDSSの単語を含むファイル名が見えなくなる
セーフモードでSDFixをYで1回実行すると
TDSSファイルが見えるようになる
SDFixは正常に動作できない
もう1度すると動作する
rootkit系の下記のツールでは発見できなかった
Trendmicro RootkitBuster
McafeeRootkitDetective
Sysinternals RootkitRevealer レジストリ発見した
Sophos Anti-Rootkit
F-Secure BlackLight
Silent Runners

69 ：

http://forums.whatthetech.com/Windows_Warning_Message_t94763.html

70 ：

TDSSは下で削除できる
SDFixセーフモードでSDFixをYモードを2回実行
Gmer
Malwarebytes' Anti-Malware全部スキャンするのでかなり時間がかかる
TDSSはwindowsからはセーフモードでも見えない

71 ：

ウイルスバスター2008で、さくっと感染したおいらが来ましたよ

72 ：

>>71
セーフモードでSDFixを2回すれば直る
gmerはダメだった
それ以外で直す方法はわからない
今のところこのプログラムを検知して且つ削除できるツールはSDFix以外にないと思う
アダ被もまだ解決できないし、スキルある香具師でてこい

73 ：

まあ感染の仕方がどう考えても自業自得だったんだけど感染したわ。
俺もお前らの仲間だぜ、よろしくな。

74 ：

>>72�d
色々やってみたけど駄目だったんで再ｲﾝｽｺしてもーた。
疲れたなり。

75 ：

>>70
>>72
ごめんかんちがい
gmerじゃなくてcatchme 0.2だった

76 ：

OS通常モードで感染後ほとんど弄ってない状態でcatchmeを実行
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
HKLM\SYSTEM\CurrentControlSet\Services\TDTCPerv
scanning hidden autostart entries ...
scanning hidden files ...
C:\WINDOWS\system32\drivers\tdssserv.sys 36864 bytes
C:\WINDOWS\system32\tdssadw.dll 32768 bytes
C:\WINDOWS\system32\tdssinit.dll 61440 bytes
C:\WINDOWS\system32\tdssl.dll 20480 bytes
C:\WINDOWS\system32\tdsslog.dll 12288 bytes
C:\WINDOWS\system32\tdssmain.dll 12288 bytes
C:\WINDOWS\system32\tdssserf.dll 12288 bytes
C:\WINDOWS\system32\tdssservers.dat 136 bytes
C:\WINDOWS\Temp\tdss146d.tmp 12288 bytes
C:\WINDOWS\Temp\tdss1d0.tmp 12288 bytes
C:\WINDOWS\Temp\tdss23da.tmp 0 bytes
C:\WINDOWS\Temp\tdss2a04.tmp 0 bytes
C:\WINDOWS\Temp\tdss2fa1.tmp 0 bytes
C:\WINDOWS\Temp\tdss37ca.tmp 0 bytes
C:\WINDOWS\Temp\tdss4e26.tmp 12288 bytes
C:\WINDOWS\Temp\tdss4e3f.tmp 0 bytes
C:\WINDOWS\Temp\tdss4e8d.tmp 0 bytes
C:\WINDOWS\Temp\tdss5bdb.tmp 0 bytes

77 ：

C:\WINDOWS\Temp\tdss784c.tmp 0 bytes
C:\WINDOWS\Temp\tdss8131.tmp 0 bytes
C:\WINDOWS\Temp\tdss816f.tmp 0 bytes
C:\WINDOWS\Temp\tdss82c7.tmp 0 bytes
C:\WINDOWS\Temp\tdss8400.tmp 0 bytes
C:\WINDOWS\Temp\tdss844e.tmp 0 bytes
C:\WINDOWS\Temp\tdss8680.tmp 0 bytes
C:\WINDOWS\Temp\tdss8fc7.tmp 0 bytes
C:\WINDOWS\Temp\tdss9005.tmp 0 bytes
C:\WINDOWS\Temp\tdss914e.tmp 0 bytes
C:\WINDOWS\Temp\tdss918b.tmp 0 bytes
C:\WINDOWS\Temp\tdss9321.tmp 0 bytes
C:\WINDOWS\Temp\tdss9376.tmp 0 bytes
C:\WINDOWS\Temp\tdss93e3.tmp 0 bytes
C:\WINDOWS\Temp\tdss951b.tmp 0 bytes
C:\WINDOWS\Temp\tdss9579.tmp 0 bytes
C:\WINDOWS\Temp\tdss9ce.tmp 32768 bytes
C:\WINDOWS\Temp\tdss9e7d.tmp 0 bytes
C:\WINDOWS\Temp\tdssa1ed.tmp 0 bytes
C:\WINDOWS\Temp\tdssa3b2.tmp 0 bytes
C:\WINDOWS\Temp\tdssb016.tmp 224 bytes
C:\WINDOWS\Temp\tdssb64f.tmp 36864 bytes
C:\WINDOWS\Temp\tdssb815.tmp 16384 bytes
C:\WINDOWS\Temp\tdssb9ba.tmp 12288 bytes
C:\WINDOWS\Temp\tdssbb9f.tmp 12288 bytes
C:\WINDOWS\Temp\tdssbfc5.tmp 32768 bytes
C:\WINDOWS\Temp\tdssc66c.tmp 12288 bytes
C:\WINDOWS\Temp\tdssce47.tmp 0 bytes
C:\WINDOWS\Temp\tdssd0d8.tmp 0 bytes
C:\WINDOWS\Temp\tdssd349.tmp 0 bytes
C:\WINDOWS\Temp\tdssdb2d.tmp 0 bytes
C:\WINDOWS\Temp\tdssddae.tmp 0 bytes

78 ：

C:\WINDOWS\Temp\tdssdf05.tmp 0 bytes
C:\WINDOWS\Temp\tdsse01f.tmp 0 bytes
C:\WINDOWS\Temp\tdsse0bb.tmp 0 bytes
C:\WINDOWS\Temp\tdsse196.tmp 0 bytes
C:\WINDOWS\Temp\tdsse241.tmp 0 bytes
C:\WINDOWS\Temp\tdsse407.tmp 0 bytes
C:\WINDOWS\Temp\tdsse5eb.tmp 0 bytes
C:\WINDOWS\Temp\tdsse781.tmp 0 bytes
C:\WINDOWS\Temp\tdsse908.tmp 0 bytes
C:\WINDOWS\Temp\tdssf0c8.tmp 36864 bytes
C:\WINDOWS\Temp\tdssf731.tmp 20480 bytes
C:\WINDOWS\Temp\tdssfc51.tmp 12288 bytes
C:\WINDOWS\Temp\tdssfcaf.tmp 0 bytes
C:\WINDOWS\Temp\tdssfe36.tmp 0 bytes
C:\WINDOWS\Temp\tdssffcc.tmp 0 bytes
C:\WINDOWS\Temp\Temporary Internet Files
C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5
C:\WINDOWS\Temp\tpm10E3.log 61440 bytes
C:\WINDOWS\Temp\tpm11C1.log 483328 bytes
C:\WINDOWS\Temp\tpm1236.log 36864 bytes
C:\WINDOWS\Temp\tpmD77.log 458752 bytes
C:\WINDOWS\Temp\WGAErrLog.txt 256 bytes
C:\WINDOWS\Temp\WGANotify.settings 416 bytes
C:\WINDOWS\Temp\WPDNSE
scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 74

79 ：

たぶんオランダ語だけど
http://nucia.nl/forum/showthread.php?t=40027
catchmeでルートキットの存在を確認して
combofixしようとするけどダメで
セーフモードでsdfixでYで実行してる

80 ：

catchmeとsdfixとMalwarebytes' Anti-Malware以外でこのプログラムを見つけれるものはまだ見つかってないです
sdfix以外の対処方法
ハードディスクを別のパソコンに繋いで感染してないOS上からtdssを削除するかリネームしたら直ると思う
後で試して報告する

81 ：

tdssserv.sysが
tdssadw.dll
tdssinit.dll
tdssl.dll
を作成する

82 ：

復元ポイントは消されるよ
wiki見ていて感染した人もいる
http://oshiete1.watch.impress.co.jp/qa4275636.html
このウイルスに感染するのを防ぐ方法は今のところない気がします

83 ：

rootkit
tdssserv.sys
MD5:117959b6d17ca1a65391e6b0e6e99b75
http://www.virustotal.com/isis/156dbf66eba2199c238df83de5f12e7a

84 ：

tdssadw.dll
md5:41569535cd2cf991b6d14b17cdebc304
http://www.virustotal.com/isis/204ef460c11b6ac2a672846dbc4a4b1c
tdssinit.dll
md5:cc31276e0daa79ec639a9ea2de55b99a
http://www.virustotal.com/jp/isis/0caa01e59183488d3dd36f181abb37dd
tdssl.dll
md5:7cb122b25f9206a73a99bd2bdd9e25cd
http://www.virustotal.com/isis/36b791a8d13bd7f447aad4925975429a
tdsslog.dll
md5:173a7fcfa333efd1de9cabc21b1365e2
http://www.virustotal.com/isis/a91941d1710413b89c4cdf309a8c39d2
tdssmain.dll
md5:f5e1ccb5d6276f5fa86528b01f53bf1e
http://www.virustotal.com/isis/92e9575b5abbcbfa3305e82a4f2d3cf3
tdssserf.dll
md5:67e17f3c7f3c0134cac7374fd013d9f4
http://www.virustotal.com/isis/d5c13a6a18302669916c7687aaaa0b70
tdssserv.sys
md5:117959b6d17ca1a65391e6b0e6e99b75
http://www.virustotal.com/isis/156dbf66eba2199c238df83de5f12e7a
tdssservers.dat
md5:6dda2bebe31a15347a270efae0beb410
http://www.virustotal.com/isis/156dbf66eba2199c238df83de5f12e7a

85 ：

このスレ見てたらお馬鹿さんばっかで頭痛くなってきた

86 ：

>>85
このスレ以外でtdssに対応する方法書いたサイト日本に無いと思うけど

87 ：

セーフモードでcombofixも無理なのか？
CFScriptでrootkit(そのた関連ファイルも)削除できないの？
駄目だったらGMERで処理したりAvira Rootkit Detection とか使ってみたら？

88 ：

combofixで余裕でした
これって色々亜種があるんじゃないの
一発で直る奴もいればそうでないやつもいる

89 ：

表面に見える偽ウイルスソフトは同じだけど裏で動くプログラムは何パターンもある
8月後半にではじめたメモ帳破綻のパターンのTDSSが厄介

90 ：

>>88
一発というかウイルス駆除は一筋縄ではいのが普通だと思うが…。
油断してると再発するぞ。
>>89
http://bbs.higaitaisaku.com/cbbs.cgi?mode=one&number=100557&type=0&space=0&no=0
今後の展開にwktk

91 ：

ママ姐さんが簡単に駆除してくれるんですね、わかります。

92 ：

>>90
アダ被は2chを馬鹿にしてるからな
このスレ奨めたんだけど見てないんだろうな
アダ被にTDSSで相談して解決できた事例はまだ1つも無いよ
2chは玉石混合の情報で自由なのが好き
日本語不自由な俺様も強要してくれる
このすれの半分以上は俺メモだｗｗｗｗｗ

93 ：

今後の課題としてどうやってこのウイルスを防いだらいいかわからない
wiki見ただけでも感染するからね
lphcgxxが表面上に見えるニセブルーバックなどの悪戯プログラム
他にもa.exeなどもバレバレなのに仕込む
↑を削除して安心させるため？
rootkitのTDSSが裏で立ち上がっていてwindowsから見えない
tdssと言うファイルをwindowsのどこに作っても作った瞬間に見えなくなる
tdssと言う名前で数種類のウイルスを仕込んでいるのに
このウイルス作成者はなぜlphやa.exeはバレバレな状態で仕込んだのかがわからない
この手のウイルスでこっそりばれないように悪さするタイプがでてきたら、感染してもずーーと
気づかないままの状態になる
ルートキット怖いです

94 ：

>>92
TDSSの事例は今回がアダ被では初。
＞今後の課題としてどうやってこのウイルスを防いだらいいかわからない
WindowsUpdate、AntiVirusSoftの導入

95 ：

>>94
firefoxで感染してるいるのに？
windowsupdateしていて感染したのに？
ウイルス対策ソフトは導入済みでスルーしてるのに？
http://pc11.2ch.net/test/read.cgi/sec/1217436431/859-
ちなみにパターンファイルができたのはこのウイルスに感染してから約2週間後なんですけど
このウイルスに感染していてもwinndows上からもウイルス対策ソフトからは見えませんけどこのウイルスにどうやって
対抗するんですか？

96 ：

>>94
>>84をみると2008.09.02になってやっとパターンファイルはできた
でもねパターンファイルなんてrootkitには意味無いんですよ
だってさwindowsからウイルスは見えないから、当然ウイルス対策ソフトからも見えないので
感知できないんですよ・・・わかるかな？

97 ：

>>95
お前が感染したサイトはどこだよ
実際検証してみたい。
>>96
rootkit=検知不能ではないだろ（いずれそうなると言われてるけど)
実際AntiRootkit検出力テストなんてものがあるくらいだし
それに今現在のアダ被の事例見てみるとComboFixで問題のrootkitは処理されてる
(今後どうなるかはツリーが途中なのでわからんが。)
とりあえず心配なやつは、SandBox使ったりSystem Safety Monitorとか使えばいいと思うよ

98 ：

つCFScript
完

99 ：

>>97
どのサイトか詳細は不明だけど
↓のサイトを開いて
http://keygen.ms/crack/95039/
Download Crack and Keygenをクリック
http://crackstorage.net/get_uploaded_file.php
Download Fileクリック
ここら辺りから異常に気づいてパソコンを電源ボタンで再起動しました
今はもうこのサイトで同じ事をしても感染しません
>>rootkit=検知不能
現状のウイルスソフトで発見はできなかった
catcheme系でのみ検知できた
ウイルス感染後にイメージでバックアップを一応とってある

100read 1read

1read 100read

TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

常駐しないから（・∀・）ｲｲ!! SpywareBlaster 21 (434)
【経済産業省】ハッカー甲子園【主催】 (308)
【N豚N奴】一番いいセキュリティソフトはなんだ!!50 (460)
【総合】サンドボックス　砂箱　sandbox (239)
ウイルスバスター信者がウゼーと思っている奴の数→ (275)
Avira Free Antivirus Part 139 (798)
--log9.info------------------
前川陽子 (210)
'80〜'95年くらいの昔の名曲をひたすら挙げるスレ (201)
【JAM Project】松本梨香 (452)
クレヨンしんちゃんの歌 (867)
Milk Lariat みるくらりあっと part2 (394)
【ｱﾆｿﾝ界の】平野・茅原・後藤ｱﾆﾒﾛに枕営業【危機】 (228)
一般人が聞いても引かないアニソン (698)
志倉千代丸　5th (472)
これはネ申曲だと胸を張って言える曲！！part1 (423)
菅野よう子と梶浦由記、何故差がついたか・・・ (275)
エロゲソング Part2 (768)
名曲揃い！ドラゴンボールソングを語れ！【其之四】 (582)
savage genius（サヴィッジ・ジーニアス） 4 (245)
スフィア【戸松寿高垣豊崎】 (429)
聴けば涙するアニソン名曲中の名曲　part3 (408)
NARUTO -ナルト- 主題歌 (317)
--log55.com------------------
【お買い得】中古車購入相談スレ/31台目
☆車歌軍団★
【チリ】五式中戦車、四式中戦車【チト】
輸送機 空中給油機総合スレ part17
[蝦夷国賊]空自次期主力戦闘機考察スレ[禁止]　735
【ベリエフ】飛行艇・水上機総合スレ12【カタリナ】
ゲハの移住先として視察にきた(´・ω・`)
軍艦の食事について語るスレ71食目