×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
この環境で感染
Windows XP HOME SP2
adobe関係
・実は9 と x の2つ入れてた。どっちが動いてたのか不明。
・今は削除して x だけ残ってる。
Firefox4.0で感染 ※アドオンなし
IE6とOpera11.01があるけど使ってなかった。
Norton AntiVirus 定義ファイル 2008/1/02
Norton InternetSecurity OFF
ルーター
海外のフラッシュ盛りだくさんの怪しいサイトで引っかかった気がする。
skipかなんか押したような。なんかDLしたような。
そして、Adf.ly に飛ばされまくった。ちょっと調べたが、このURL短縮サービスサイトに登録すると、ヒット数にしたがって金を稼げるらしい。※ 登録者があのウイルスをばらまいたのか?
そういえば、PC起動時にFDDがいつもより多く空アクセスされてた。
Windows XP HOME SP2
adobe関係
・実は9 と x の2つ入れてた。どっちが動いてたのか不明。
・今は削除して x だけ残ってる。
Firefox4.0で感染 ※アドオンなし
IE6とOpera11.01があるけど使ってなかった。
Norton AntiVirus 定義ファイル 2008/1/02
Norton InternetSecurity OFF
ルーター
海外のフラッシュ盛りだくさんの怪しいサイトで引っかかった気がする。
skipかなんか押したような。なんかDLしたような。
そして、Adf.ly に飛ばされまくった。ちょっと調べたが、このURL短縮サービスサイトに登録すると、ヒット数にしたがって金を稼げるらしい。※ 登録者があのウイルスをばらまいたのか?
そういえば、PC起動時にFDDがいつもより多く空アクセスされてた。
PR
あの novi.exe ウイルスの置き土産、adobe フォルダ隠しなのだが、直せた。
「ファイルとフォルダの神隠しⅡ」というソフトで、可視・不可視を個別に設定できる。
最初、コマンドプロンプトでやれるというので挑戦してみたが、分けわからなくて、リスクがあるので辞めといた。
「コントロールパネル」→「フォルダオプション」で、「表示」の一番下、「保護されたオペレーションシステムを表示しない」」のチェックを外して、adobe フォルダを可視化しておく。さっきのソフトにadobe フォルダをドロップして、いったん隠し設定に、またそれを解除すれば解決する。
スーパー隠し属性とは、システムファイルに対する隠し属性のこと。adobe フォルダもこれにされてた。
「ファイルとフォルダの神隠しⅡ」というソフトで、可視・不可視を個別に設定できる。
最初、コマンドプロンプトでやれるというので挑戦してみたが、分けわからなくて、リスクがあるので辞めといた。
「コントロールパネル」→「フォルダオプション」で、「表示」の一番下、「保護されたオペレーションシステムを表示しない」」のチェックを外して、adobe フォルダを可視化しておく。さっきのソフトにadobe フォルダをドロップして、いったん隠し設定に、またそれを解除すれば解決する。
スーパー隠し属性とは、システムファイルに対する隠し属性のこと。adobe フォルダもこれにされてた。
全ての元感染フォルダをチェックしたけど、ウイルスらしきファイルは全くなかった。
スタートアップにもタスクマネージャにもなし。
ブラウジングやPCの操作速度が少し早くなった気がする。
もともと別なものが感染してたのかな。
今回、セーフティーモードで起動してから駆除とかしなかった。
ただAnti-Malware つっこんで駆除でだいたいいける。
では、この一件終了。
スタートアップにもタスクマネージャにもなし。
ブラウジングやPCの操作速度が少し早くなった気がする。
もともと別なものが感染してたのかな。
今回、セーフティーモードで起動してから駆除とかしなかった。
ただAnti-Malware つっこんで駆除でだいたいいける。
では、この一件終了。
寝る前に 評判のAnti-Malware というソフトで調べてみた。
13件ヒット。
データぱくるウイルスが入ってた。
とりあえず全件消去した。
でも、PC立ち上げ直したら、novi.exe がスタートアップ項目に残ってた。チェックは外れてたけど。レジストリで手動削除。
あと、Temporary Internet Files フォルダに、bs.exe と ist.exe があったな。手動削除した。
困ったことに、adobe フォルダがシステムフォルダ扱いにされたままだった。これだけ、可視フォルダに直せないものか。
いいや、寝る。
(結果)
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Database version: 6420
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
2011/04/23 3:23:25
mbam-log-2011-04-23 (03-23-25).txt
Scan type: Quick scan
Objects scanned: 155616
Time elapsed: 11 minute(s), 11 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 4
Registry Values Infected: 5
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 2
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{431M3148-0A7R-8VTL-4G16-2531S1RG4634} (Trojan.Backdoor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{431M3148-0A7R-8VTL-4G16-2531S1RG4634} (Trojan.Backdoor) -> Delete on reboot.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Backdoor) -> Value: Policies -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Backdoor) -> Value: Policies -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender (Trojan.Agent.Gen) -> Value: Windows Defender -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Defender (Worm.AutoRun) -> Value: Windows Defender -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender (Trojan.Agent.Gen) -> Value: Windows Defender -> Quarantined and deleted successfully.
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Folders Infected:
(No malicious items detected)
Files Infected:
c:\documents and settings\my computer\application data\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
c:\program files\Adobe\adobe.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
13件ヒット。
データぱくるウイルスが入ってた。
とりあえず全件消去した。
でも、PC立ち上げ直したら、novi.exe がスタートアップ項目に残ってた。チェックは外れてたけど。レジストリで手動削除。
あと、Temporary Internet Files フォルダに、bs.exe と ist.exe があったな。手動削除した。
困ったことに、adobe フォルダがシステムフォルダ扱いにされたままだった。これだけ、可視フォルダに直せないものか。
いいや、寝る。
(結果)
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Database version: 6420
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
2011/04/23 3:23:25
mbam-log-2011-04-23 (03-23-25).txt
Scan type: Quick scan
Objects scanned: 155616
Time elapsed: 11 minute(s), 11 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 4
Registry Values Infected: 5
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 2
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{431M3148-0A7R-8VTL-4G16-2531S1RG4634} (Trojan.Backdoor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{431M3148-0A7R-8VTL-4G16-2531S1RG4634} (Trojan.Backdoor) -> Delete on reboot.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Backdoor) -> Value: Policies -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Backdoor) -> Value: Policies -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender (Trojan.Agent.Gen) -> Value: Windows Defender -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Defender (Worm.AutoRun) -> Value: Windows Defender -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender (Trojan.Agent.Gen) -> Value: Windows Defender -> Quarantined and deleted successfully.
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Folders Infected:
(No malicious items detected)
Files Infected:
c:\documents and settings\my computer\application data\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
c:\program files\Adobe\adobe.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
2ちゃんスレ見ると続々と被害者が出てるようだ。
あーめんどくせ。
Adobe 関係を全部アンインストしようと思った。
Documents and Settings フォルダ内にはadobe フォルダがあるのに、なぜかProgram フォルダではなくなってんだよね。隠しフォルダにされてた。通りで adobe 名でフォルダを作れないわけだ。
コントロールパネルのフォルダオプションから、「表示」→「保護されたオペレーションシステムを表示しない」のチェックを外す。するとadobe フォルダが見えるようになる。
そのadobe フォルダに adobe.exe が隠れていた。facebookのアイコン使ってる。
サイズ1102kb、作成 2005年9月10日、19:18:37、会社名 AVG Technologies CZ, s.r.o.、正式ファイル名 AVGUI.EXE。おまけに著作権とかあるw Copyright © 2011 AVG Technologies CZ, s.r.o.
http://ja.wikipedia.org/wiki/AVG_Technologies
Wikiによるとまともな会社らしい。
これも成り済ましかよ。
で、そのadobe.exe をデリートすんだけど、ものの2秒で復活しやがる。
チームプレイで複数のファイルがお互いを復活させるとか言われてるんだが。
タスクマネージャで、novi.exe が消えてることを確認してるのに、adobe.exeが復活するとは、他に仲間がいるのか?
あーめんどくせ。
Adobe 関係を全部アンインストしようと思った。
Documents and Settings フォルダ内にはadobe フォルダがあるのに、なぜかProgram フォルダではなくなってんだよね。隠しフォルダにされてた。通りで adobe 名でフォルダを作れないわけだ。
コントロールパネルのフォルダオプションから、「表示」→「保護されたオペレーションシステムを表示しない」のチェックを外す。するとadobe フォルダが見えるようになる。
そのadobe フォルダに adobe.exe が隠れていた。facebookのアイコン使ってる。
サイズ1102kb、作成 2005年9月10日、19:18:37、会社名 AVG Technologies CZ, s.r.o.、正式ファイル名 AVGUI.EXE。おまけに著作権とかあるw Copyright © 2011 AVG Technologies CZ, s.r.o.
http://ja.wikipedia.org/wiki/AVG_Technologies
Wikiによるとまともな会社らしい。
これも成り済ましかよ。
で、そのadobe.exe をデリートすんだけど、ものの2秒で復活しやがる。
チームプレイで複数のファイルがお互いを復活させるとか言われてるんだが。
タスクマネージャで、novi.exe が消えてることを確認してるのに、adobe.exeが復活するとは、他に仲間がいるのか?