探検


Skype lol is this your new profile pic?

1漆黒のダーク
垢版 |
2012/10/07(日) 13:51:47.86ID:1UYrwAys
lol is this your new profile pic? とSkypeから送られて指定されたURLに行くと
ZIPをDLされ、開くと強制的にほかの人にメッセージを送られる現象について
じょうほうが欲しい。誰から始まったかそれを知りたいし
解決方法も求む!!
2012/10/07(日) 20:06:08.59ID:???
>>150
上記ソフトウェアの仕組みが正確には分かりませんが、
より確実に対処したい場合は>>134やウィルススキャン等を実施するのが良いと思います。
2012/10/07(日) 20:08:39.49ID:???
まぁ一番確実な対処はクリーンインストー(ry
153sk
垢版 |
2012/10/07(日) 20:14:08.43ID:???
とりあえず、MSSEでもAvastでも異常が見つかりませんでした。
とはいえ、既にノートン入れてるのにこんな2つも常駐させたくもなく…。
Avastを停止させたらまた復活し出すのかと疑問符です。

クリーンインストールは出来ればしたくないな…。
154ななす
垢版 |
2012/10/07(日) 20:14:51.35ID:???
俺ん所にも届いたよ
これ個別に履歴削除って出来ないもんなのか?
2012/10/07(日) 20:15:30.61ID:???
>>>153
まだ正確な情報もなく、実験されてないので良く分からないですね・・・(T_T)
2012/10/07(日) 20:17:50.69ID:???
>>154
Skypeのデフォルト機能では「履歴の削除」でまとめて消すことしかできなさそうですね。
157yolu
垢版 |
2012/10/07(日) 20:29:55.74ID:???
mac使ってるんですが、
avast!でHomeにサーチかけたところ、
warning3とでたんですが、どうしたら良いんでしょうか・・。
158ななす
垢版 |
2012/10/07(日) 20:32:01.47ID:???
>>156
レスありがとう。触らないようにするわー
2012/10/07(日) 20:36:43.22ID:???
>>158
ご参考まで。

Win7だと、
C:\Users\*********\AppData\Roaming\Skype\****skypeユーザ名****\charsync

あたりに会話履歴が保存されているようです。
メッセージが飛んできた時間等からファイルを特定して削除すると良いでしょう。
中のdatファイルをUTF-8で開くと若干、中身を読むこともできます。

(実際に自分でやったことはありません。不具合が有るかもしれません。実行は自己責任でお願いします。)
2012/10/07(日) 20:38:57.20ID:???
あぁでもダメか・・・結局サーバ側からまた会話履歴をダウンロードしてくるから・・・
161fa
垢版 |
2012/10/07(日) 21:07:29.82ID:7uwyHL9r
URLクリックだけしちゃってexe実行とかしてない人は何消せばいいんだろう
2012/10/07(日) 21:07:51.95ID:???
ウイルス踏んじまってとりあえずavast!を導入したものの
どうしていいかさっぱりわからない

フォルダ全表示しても「AppData\Roaming\Skype」が出てこないけど、
とりあえず上に書いてあることで出来ることをやっていけばおkってこと?
このままだと俺のネット人生終わるんじゃね。
2012/10/07(日) 21:38:18.01ID:???
>>162
%AppData%\Skypeね
Skypeのフォルダではないよ。
↑のまま、スタートメニューの検索バーのところに入れたらフォルダが開くはず。

もしくは、
C:\Users\【ユーザ名】\AppData\Roaming\Skype
を開いてみて。Vistaの場合だが、他のWindowsだと違うかもしれん
164_
垢版 |
2012/10/07(日) 21:45:13.20ID:???
てst
165名無し
垢版 |
2012/10/07(日) 22:00:53.69ID:1fd9j4tN
外付けの中身がSystem Volume Informationファイルに変えられてたわ...
166七誌さん
垢版 |
2012/10/07(日) 22:23:14.51ID:???
仮想PCで踏んでみたところ、explorer.exeが
s15403588.onlinehome-server.info
というサーバーと接続を開始した。
それと同時にスタートアップに%appdata%\Pqcwcl.exeというのを作った。
このPqcwcl.exeはAdministratorでログインしても見えない不思議なやつだったよ。Everythingの検索には引っかかったが。
こっちがウイルスの本体でランダム数字.exeはSkypeを媒介として感染者を増やすためだけの
付属ツールなのではないかと。

Avast!を入れてみたらSkype自動送信ツールの数値.exeはブロックしたが、explorer.exeの通信は続いたままだった。
167sk
垢版 |
2012/10/07(日) 22:25:56.57ID:???
>>166
つまり…どういうことだってばよ??
に%appdata%\Pqcwcl.exeとかいうのを削除しなきゃいけないってことけ?
168七詩さん
垢版 |
2012/10/07(日) 22:28:58.63ID:???
とおもったらAvast!いれてPCを再起動したらexplorerの通信はなくなっていた。

Avast!最強伝説
169ぽん
垢版 |
2012/10/07(日) 22:33:20.19ID:???
XPの場合はRoamingはないと思う
170助けて
垢版 |
2012/10/07(日) 22:42:48.73ID:6NcoxUZb
もう俺には治せない…
2012/10/07(日) 22:52:43.30ID:???
メインのデスクPCはHDD複数接続とかで対処がめんどくさいので
とりあえずNortonで定義ファイルできるまでLANケーブル抜いとく
感染してないノートPCで用は済ます
勿論Skypeは起動しない
172助けて
垢版 |
2012/10/07(日) 22:57:57.78ID:6NcoxUZb
>>171 自分はこれに引っかかってNorton入れましたがダメでした
回線抜いておいたほうがいいですよね…
2012/10/07(日) 23:00:26.24ID:???
avastかMSSEの方が良いみたい。

今回、nortonはまだ対応していない。
174sk
垢版 |
2012/10/07(日) 23:02:58.76ID:???
Avast先輩強過ぎわろす
ノートン先生なにやってるの
175名無し
垢版 |
2012/10/07(日) 23:12:56.26ID:1fd9j4tN
外付けの変なファイル消してフォーマットしておけば大丈夫だよね?
176助けて
垢版 |
2012/10/07(日) 23:14:01.77ID:6NcoxUZb
外付けって言うのがよくわからないんですけど、ごめんなさい
パソコンそんなに詳しくなくて
177名無し
垢版 |
2012/10/07(日) 23:16:29.76ID:???
>>166
以前のDorkbot系ではユーザーモードルートキットを実装しているのもあったから、
今回もその可能性は否定できませんね。
また、explorer.exeへのコードインジェクションも同様ですね。
2012/10/07(日) 23:17:54.86ID:???
これDropboxとかのクラウドまでにもコピーしてたら痛いな…
2012/10/07(日) 23:19:51.18ID:???
>>178
少なくとも今のところ、dropboxへのウィルス拡散は確認されていません。
2012/10/07(日) 23:19:51.95ID:???
>>176
外付けってのは、USBとかで接続するPC箱の外部に設置するHDDのこと
2012/10/07(日) 23:20:45.64ID:???
>>179
mjkありがと
182名無しさん@いたづらはいやづら
垢版 |
2012/10/07(日) 23:23:42.56ID:Gbu6JwpM
結局URL踏んだだけじゃ感染しないの?

exe起動したやつだけ?教えてください
2012/10/07(日) 23:24:35.87ID:???
>>182
基本的にはexeを起動しなければ感染しないと考えられます。
184名無し
垢版 |
2012/10/07(日) 23:24:52.35ID:???
そう、自分で実行しない限り感染はしません
185名無しさん@いたづらはいやづら
垢版 |
2012/10/07(日) 23:27:21.18ID:Gbu6JwpM
>>183
ありがとうございますー
間違えて踏んでしまって。。
2012/10/07(日) 23:27:58.54ID:???
実行した後って、もともとのexe消えたよな
2012/10/07(日) 23:29:15.00ID:???
消えたものと記憶しています
188助けて
垢版 |
2012/10/07(日) 23:33:03.48ID:???
>>180 ありがとうございます。

勝手にURLが書き込まれる(skypeの友人)って事は感染してるって事ですよね
今までに書かれている事を試しては見たのですが結局、確実には消せないみたいで
パソコンに詳しい方が羨ましい。
2012/10/07(日) 23:34:12.28ID:???
>>188
システムの復元とかも全部やった?
2012/10/07(日) 23:59:25.06ID:???
今思ったんだが、別のパソコンで同じ\AppData\Roamingみたら既に

shared.lck(最終更新:2012/06/08)
shared.xml(最終更新:2012/09/29)

あったんだが…
このパソコンは93%くらいの確率で感染していないはずだが、
このファイルが直接ウイルスに関連しているのか、
そんで内容が書き換えられたからなのか…
それか、単にSkypeを起動すると絶対必要不可欠になってくるもので
自動的に生成されるものなのかが不明

普段このファイルは何をしているのか解析しないと分かんねぇな
色々と
2012/10/08(月) 00:14:13.24ID:???
>>190
>>65
192漆黒のダーク
垢版 |
2012/10/08(月) 05:53:56.39ID:XWxnetLk
みんな、ありがとう。
なんとか、対処方法見つかってよかった、
ただ、ここからが問題だ、
このウイルスが何のためにどこから流れてきたか
このウイルスがどうパソコンや個人情報に影響するかがわかっていない
以上、油断はできません、もしなにかわかったら教えてください!!
193漆黒のダーク
垢版 |
2012/10/08(月) 05:58:25.71ID:XWxnetLk
公式が対応していない今は自分たちで何とかしなければいけません
>>50の方法に加えシステム復元、クリーンインストール再起動
有効なウイルス対策ソフト(MEES Avas)で確認するのがよいでしょう。
あとは公式の発表を待ちましょう。

もし引っかかった人がいれば、このスレのURLを教えてください
そして、できれば症例を書き込んでもらえるよう協力お願いします。
194漆黒のダーク
垢版 |
2012/10/08(月) 06:09:47.59ID:XWxnetLk
スレ主より、協力願う
今、このウイルスの解決方法はわかった
だが、目的と症例がわからない
目的と症例を書き込んでほしい
症例はかかった人から、できるだけ集めてほしい
もしかしたら、サーバーとの通信があると言うことは
破壊系のウイルスに変化するのだって考えられる。
わかったら、正確な情報をカキコねがう!!
195月代
垢版 |
2012/10/08(月) 08:47:51.52ID:phvD1KOV
外付HDDのファイル属性変更とおそらくウィルスへのショートカット(属し変更されたファイルの名前)が生成されました
USBの記憶媒体でも感染が広がるかもしれません
196漆黒のダーク
垢版 |
2012/10/08(月) 08:49:36.50ID:XWxnetLk
緊急報告!!
ウイルスが進化したそうだ、>>50の方法でとり
朝確認後、ファイルの復活を確認
チャットの言葉がちょっとこれはあなたの新しいプロフィールの写真ですか?
に変化、処理ができてないか?
あるいは偽装かは未確認その他情報緊急調査ねがう
197助けて
垢版 |
2012/10/08(月) 08:51:11.27ID:???
>>189 まだそれはやってないです。後にやってみます。
私がやったのはwinキー+Rでskypeファイルを適当に消すのと
skypeツール→設定→詳細→他のプログラムから
って奴をやりました。
Skypeファイルの場合何を消していいのかわからないので、適当に消しましたが
今現在、再起動しても勝手にURLが送信されるという事にはなってません

Nortonでスキャンはしてみたのですが、効果は無い様で…

他にもやることがあるのでしょうが、ここは専門用語多いので私には
難しいですが…
198月代
垢版 |
2012/10/08(月) 08:56:17.16ID:???
>>196 マジか
一応削除とかはしたけど不安だな
199漆黒のダーク
垢版 |
2012/10/08(月) 08:57:13.44ID:XWxnetLk
>>195確認お願いします。
朝8時より、現在一人のウイルスの変化を確認
ちょっとこれはあなたの新しいプロフィールの写真ですか?に変化
おそらく、ファイルの書き換えサーバーからの受信による進化
が考えられる、今後も注意!!
200月代
垢版 |
2012/10/08(月) 09:01:06.98ID:???
>>199 すまん確認したいけど消しちまった
ただしHDDの中身は無事だった

ウィルスのDLが不可能になっているものがありますな
201そうま
垢版 |
2012/10/08(月) 09:14:12.59ID:K08nCmdd
はじめまして、はじめてここに書き込みます。
えっと俺も踏んでしまって…一度は直ったのですが
一日たつとインターネットが開けなくなってて
「Internet Explorer ではこのページは表示できません」
というページに飛ばされます。
いまは「セーフモードとネットワーク」で開き書き込んでます。
またUSBもぶっ壊れてしまいました…。
何か対処法あるのでしょうか?
本当に困ってます…情報を世としくお願いします。
202助けて
垢版 |
2012/10/08(月) 09:17:13.45ID:???
Fフォルダとはなんなんでしょうか?
exeが全て悪いものって訳ではないですよね?

203月代
垢版 |
2012/10/08(月) 09:17:53.69ID:???
>>201 USBってのはフラッシュメモリーのことだよな?
204漆黒のダーク
垢版 |
2012/10/08(月) 09:18:04.64ID:XWxnetLk
>>201なにかしらの対処をとった場合そのようなものになったのですか?
いま、ウイルスの進化が考えられます。
205漆黒のダーク
垢版 |
2012/10/08(月) 09:19:04.52ID:XWxnetLk
>>202 exeがすべて悪いわけではありません
206そうま
垢版 |
2012/10/08(月) 09:24:17.85ID:K08nCmdd
えっとフラッシュメモリです。

いろいろと対策法を試しました。
昨日はそれで直ったんですが
今日PCを開くとインターネットにつなげなくて
207月代
垢版 |
2012/10/08(月) 09:25:44.78ID:???
>>206 フラッシュメモリーの対策はしたか?
208漆黒のダーク
垢版 |
2012/10/08(月) 09:26:30.09ID:XWxnetLk
>>206 どんな対策をとったのか、具体的に教えていただけると幸いです
209そうま
垢版 |
2012/10/08(月) 09:27:06.48ID:K08nCmdd
>月代様  
どこにありますか!?
2012/10/08(月) 09:27:54.64ID:???
極力ネットワークに接続しないことが安全かと
ターゲットが何処に居るかも確認できてないので危険です
211漆黒のダーク
垢版 |
2012/10/08(月) 09:28:13.49ID:XWxnetLk
>>206それとスカイプのメッセージで
ちょっとこれはあなたの新しいプロフィールの写真ですか?
と例のURLを送ったりしてませんか?
いま、この症例の人が一人いて、ファイルも復活してるそうです。
212月代
垢版 |
2012/10/08(月) 09:28:29.50ID:???
>>209 そういやぁまだ対策かいてなかったわ
まず 服を脱ぎます
213ぽむ
垢版 |
2012/10/08(月) 09:30:09.29ID:2Bna6mBT

ちょっとこれはあなたの新しいプロフィールの写真ですか?
のあとにURL貼られたチャットが来ました。

昨日ちゃんと対処法はしたらしいんですけど、
また新しいウイルスでしょうか
214月代
垢版 |
2012/10/08(月) 09:30:53.86ID:???
俺の場合外付けHDDだけどまず感染前になかったフォルダ消して
エラーチェックかけて属性変更ツールで元通り 
最後に復元して完了だった(復元はしなくてもいいかもしれない
215そうま
垢版 |
2012/10/08(月) 09:33:03.47ID:K08nCmdd
>漆黒のダーク様 
俺が取った対処法は

Skypeの 「ツール」→「設定...」→ 「詳細」→
「他のプログラムからのSkypeへのアクセス管理」から消去

%appdata%でskype の中にある shared.lckを削除

%appdata%ででてきたexeを削除

msconfigでスタートUPから不明製造元不明のものを無効

バッチファイルを実行してから、Windowsを再起動

カスペルスキー 2012 30日無償試用版をDL

これぐらいです。
216月代
垢版 |
2012/10/08(月) 09:34:03.92ID:???
>>206 感染してメモリー外して対策したPCに刺しなおしたた?
もし対策した状態で刺して感染したとしたらUSBでも広まるかもしれないな
217そうま
垢版 |
2012/10/08(月) 09:34:59.47ID:K08nCmdd
>漆黒のダーク様 
いいえ、送ってないと思います。
lol is this your new profile pic?
こっちではないですよね?
こっちは開いたときに全ユーザーの送られてます
218月代
垢版 |
2012/10/08(月) 09:36:40.03ID:???
>>215 %appdata%のexe消すときプロセスキルしないとできないのあるよな
219そうま
垢版 |
2012/10/08(月) 09:37:42.63ID:K08nCmdd
>月代様
そうなんですか?試してみます。
エラーチェック、属性変更ツールは普通に出来ますか?
さしました。感染してるかもです…。
220漆黒のダーク
垢版 |
2012/10/08(月) 09:39:01.57ID:XWxnetLk
>>216さんはファイル復活しましたか?
221そうま
垢版 |
2012/10/08(月) 09:39:49.37ID:K08nCmdd
>月代様
プロセスキルですか?
どうすれば出来ますかね?
2012/10/08(月) 09:41:56.66ID:???
http://blogger.lemonkaju.net/2012/10/skype.html
ここの一番下にprogramfilesにアイコンがあるとか書いてあるが
223月代
垢版 |
2012/10/08(月) 09:44:06.23ID:???
>>219 エラーは普通に出来るけど属性変更はまとめて属性チェンジャーってのを使ったほうがいい
あとフォルダが全部ショートカットになってると思うけど開かないほうがいいぞ
224222
垢版 |
2012/10/08(月) 09:44:20.13ID:???
すまんh消すの忘れてた
225そうま
垢版 |
2012/10/08(月) 09:45:17.46ID:K08nCmdd
>月代様
了解しました。
226月代
垢版 |
2012/10/08(月) 09:45:19.76ID:???
>>221 タスクマネージャーから出来るゾ
227そうま
垢版 |
2012/10/08(月) 09:46:16.94ID:K08nCmdd
>月代様
やってみます
228月代
垢版 |
2012/10/08(月) 09:46:55.52ID:???
>>220 PCとHDD両方対策したあとだけど今のとこ再発なし
229
垢版 |
2012/10/08(月) 09:48:33.48ID:yGIjZ5b0
昨日ウイルスを踏んでしまい起動してしまったものです。
因みにPCはあまり詳しくありません。
現在拡散のほうは防げているのですが、skype の中にある shared.lckというのを何度削除しても復活して来ます。
これはやはりまだ危ないという事ですよね?
何か教えて頂ければ幸いです。
230そうま
垢版 |
2012/10/08(月) 09:49:45.06ID:K08nCmdd
>月代様
えっとタスクマネージャー→プロセスの後どうすればいいですか?
exeを全て消しちゃっていいんでしょうか?
231漆黒のダーク
垢版 |
2012/10/08(月) 09:50:15.67ID:XWxnetLk
協力願います
送られてくるチャット文章の変化を確認してほしいです。
たとえば日本語とかに
232月代
垢版 |
2012/10/08(月) 09:50:57.37ID:???
>>230それはあかん %appdata%にできたexeのみ消してください
233そうま
垢版 |
2012/10/08(月) 09:52:22.25ID:K08nCmdd
>月代様
えっと、exeはもうありません
234月代
垢版 |
2012/10/08(月) 09:53:52.89ID:???
>>233 ならいいんだすまんかった
235漆黒のダーク
垢版 |
2012/10/08(月) 09:56:12.03ID:XWxnetLk
今、確認しないといけないことがあるんです。
今、チャット文章が日本語に変化してるんです。
確証がほしんです
協力ほんとに願います。
236そうま
垢版 |
2012/10/08(月) 09:56:46.17ID:K08nCmdd
>月代様
いえ、ありがとうございます。

237そうま
垢版 |
2012/10/08(月) 09:57:21.74ID:K08nCmdd
>漆黒のダーク様
チャット文章の変化はまだ俺のとこには無いです

238月代
垢版 |
2012/10/08(月) 09:57:22.45ID:???
おじさんちょっとニコ生でウィルスについて語る枠取るわ
情報集まるかもしれんし
239ぽむ
垢版 |
2012/10/08(月) 09:57:55.57ID:2Bna6mBT
>>235

ちょっとこれはあなたの新しいプロフィールの写真ですか?
http://bit.ly/Q4PJwi?img=スカイプID

っていうやつじゃないですか?
私も知り合いから来ます。
240そうま
垢版 |
2012/10/08(月) 09:58:24.48ID:K08nCmdd
やはりネットにつながらない。
どうにかして、ネットに繋げるようにしたいんですが…。
241ぽむ
垢版 |
2012/10/08(月) 09:58:41.12ID:2Bna6mBT
ごめんなさいh消し忘れました
242そうま
垢版 |
2012/10/08(月) 09:59:52.66ID:K08nCmdd
>222様
レジストリエディタを開いた後どうしたらいいんでしょうか?
243漆黒のダーク
垢版 |
2012/10/08(月) 10:00:20.17ID:XWxnetLk
>>239ありです確信につながります
244漆黒のダーク
垢版 |
2012/10/08(月) 10:01:52.91ID:XWxnetLk
うむ、昨日は英語今回は日本語進化してるのかな?
245月代
垢版 |
2012/10/08(月) 10:06:34.17ID:???
進化してるな エキサイト先生に訳してもらうとこんな感じだし
日本語ができるやつが二次配布とも考えれるが
246漆黒のダーク
垢版 |
2012/10/08(月) 10:17:12.21ID:XWxnetLk
>>245二次配布はないだろう。
同じ人から来るのが多いから
247月代
垢版 |
2012/10/08(月) 10:18:41.43ID:???
>>246 そうか
248そうま
垢版 |
2012/10/08(月) 10:20:43.29ID:K08nCmdd
やっぱり何度試しても
「Internet Explorer ではこのページは表示できません」
というページに飛ばされ
インターネットが開けなくて…。
非常に困ってます

誰か助けてください。
情報を・・・。
249_
垢版 |
2012/10/08(月) 10:21:31.66ID:???
てst
250助けて
垢版 |
2012/10/08(月) 10:22:47.45ID:???
私は外付けがないだけまだ助かったのかな
251月代
垢版 |
2012/10/08(月) 10:24:11.84ID:???
>>250 外付けはひどと思う削除自体は簡単なんだけど
フォルダの表示を元に戻すのが
レスを投稿する