ウイルス感染
◇-ウイルス感染-恵美(1/11-10:50)No.19744 ┗Re:ウイルス感染─"Hybris"-Ai-net(1/11-11:11)No.19747 ┗Re:ウイルス感染─"Hybris"-恵美(1/11-11:31)No.19749 ┣Re:ウイルス感染─"Hybris"-Ai-net(1/11-13:00)No.19755 ┃┗Re:ウイルス感染─"Hybris"-Ai-net(1/11-18:11)No.19775 ┣Re:ウイルス感染─"Hybris"-マサミ(1/11-13:05)No.19756 ┗Re:窓の移動-どんべい(1/11-14:56)No.19763 ┗Re:窓の移動-恵美(1/12-13:02)No.19826 ┗Re:窓の移動-Ai-net(1/12-16:45)No.19831
| 19744 | ウイルス感染 | 恵美 | 1/11-10:50 |
OS名:Windows98 パソコン名:Attic ソフト名:? ウイルス感染をしたみたいで、ウイルスバスターズ2001の体験版を使ってみた のですが、駆除できません。今の状態は、大きな渦巻き状のものが、画面一杯に広 がり、ほとんど画面が見えない状態です。また、ウイルス駆除のページへアクセス しようとすると、ページが見つかりませんの表示が出て、どうも、ウイルスが邪魔 をするようです。どうしたら、駆除できるのでしょうか?これを書くのも、かなり 苦労して、書いています。 | |||
| 19747 | Re:ウイルス感染─"Hybris" | Ai-net | 1/11-11:11 |
| 記事番号19744へのコメント 恵美さんは No.19744「ウイルス感染」で書きました。 >OS名:Windows98 >ウイルス感染をしたみたいで、ウイルスバスターズ2001の体験版を使ってみた >のですが、駆除できません。今の状態は、大きな渦巻き状のものが、画面一杯に広 >がり、ほとんど画面が見えない状態です。また、ウイルス駆除のページへアクセス >しようとすると、ページが見つかりませんの表示が出て、どうも、ウイルスが邪魔 >をするようです。どうしたら、駆除できるのでしょうか?これを書くのも、かなり >苦労して、書いています。 わぉ!「渦巻き」!新型の "Hybris" のようですね。 VirusScan では、dat-4115 で対応している "W32/HYBRIS.INI" かな。 Ai-net 以下、その情報と対処方法の引用抜粋のみ IPA からの引用抜粋 http://www.ipa.go.jp/security/topics/hybris.html ----------------------------------------------------------- ●ウイルスの概要 このウイルスは、一部で報道されているような、メール一斉送信タイプの ものではありません。 (注:メール一斉送信タイプとはアドレス帳に登録されているアドレスを 使ってメールを送信するもので、LOVELETTERやStagesウイルスなどがあります。) また、W32/MTXのように、感染したパソコンからメールを送信すると同じ相手 に2通目のウイルス付きメールを自動送信するものでもありません。 このウイルスは、受信メールやWebサイトからメールアドレスを取得して メールを送信します。 従って、ウイルスメールは単独で届きます。また、メールをやりとりしたこと のない、まったく関係のない相手方から届くことがあります。 感染したパソコンが日本語環境の場合は、差出人、件名、本文が空白の のっぺらぼうメールで、添付ファイルは「ランダムな8文字のアルファベット」 +「.exe」の名称となります。 ただし、海外から送信されたメールは、差出人が、Hahahaで、件名、本文等が 入ります。(表参照) 本ウイルスは、日本では11月にIPAに最初の相談がありました。世界では、 9月に最初に発見されています。 ◆追加情報(平成13年1月5日追加) 9月24日または、毎日毎時59分に、画面の中央に渦巻きを表示する亜種も 発見されています。 参考: http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32hybrisc.htm ----------------------------------------------------------- nai.com/japan からの引用抜粋 ----------------------------------------------------------- ウイルス除去の方法 WINDOWS98 スタートメニューから「ファイル名を指定して実行」をクリックし、 "SFC”とタイプして「OK」をクリックします。 「インストールディスクからファイルを抜出す」を選びます。 入力ボックスで、C:\WINDOWS\SYSTEM\WSOCK32.DLL”とタイプし、 スタートをクリックします。 Restore from boxに”C:\WINDOWS\OPTIONS\CABS ”とタイプするか、 お手持ちの Windows 98 CD-ROM からWindows98フォルダを開きます。 「OK」をクリックし、後の動作に従ってください。 ----------------------------------------------------------- | |||
| 19749 | Re:ウイルス感染─"Hybris" | 恵美 | 1/11-11:31 |
| 記事番号19747へのコメント > >ウイルス除去の方法 >WINDOWS98 > >スタートメニューから「ファイル名を指定して実行」をクリックし、 >"SFC”とタイプして「OK」をクリックします。 > >「インストールディスクからファイルを抜出す」を選びます。 > >入力ボックスで、C:\WINDOWS\SYSTEM\WSOCK32.DLL”とタイプし、 >スタートをクリックします。 > >Restore from boxに”C:\WINDOWS\OPTIONS\CABS ”とタイプするか、 >お手持ちの Windows 98 CD-ROM からWindows98フォルダを開きます。 > >「OK」をクリックし、後の動作に従ってください。 > ----------------------------------------------------------- > ありがとうございます。 早速、やってみましたが、「システムファイルチェッカー」が、ちょうど渦巻きの 中にはいってしまうので、その後の処理ができません。引っ張り出そうとしても ちょうどできない位置になってしまうのです。 | |||
| 19755 | Re:ウイルス感染─"Hybris" | Ai-net | 1/11-13:00 |
| 記事番号19749へのコメント 恵美さんは No.19749「Re:ウイルス感染─"Hybris"」で書きました。 >早速、やってみましたが、「システムファイルチェッカー」が、ちょうど渦巻きの >中にはいってしまうので、その後の処理ができません。引っ張り出そうとしても >ちょうどできない位置になってしまうのです。 うぅ〜ん なんか、どこかの悪ガキが「『渦巻き』を追加すりゃ もっとすごくなりそう」と 考えたんでしょう。 ◆ほかのパソコンからコピーできる場合 ◎ WSOCK32.DLL のコピー ほかの まともな Windows 98 のパソコンの WSOCK32.DLL をフロッピーにコピー して、そのフロッピーの書き込み禁止タブをスライドして(穴が開くようにして) おきましょう。 ◎ DOS モードでのマシン起動 いかれちゃったパソコンの Windows を終了して、いったん電源を切りましょう。 起動用フロッピーがあれば、それを入れてパソコンを起動しましょう。 起動用フロッピーがなければ、また電源を入れて2秒ほどして、F8キーを 押して、黒い画面の選択リストがでたら、しめたもの! でなかったら、電源を切って、また トライしてみましょう。 選択リストの Command prompt only を、↓キーか数字キーで選びましょう。 WSOCK32.DLL のコピーを入れたフロッピーを入れて、次のコマンドを入力しま しょう。 copy wsock32.dll c:\windows\system 「上書きしちゃってもいいの?」とかみたいなのが出るでしょうが、 上書きしちゃいましょう。 あとは、フロッピーを抜いて、パソコンの電源を切って、またパソコンを 起動しましょう。 ◆ほかのパソコンからコピーできない場合 ◎作成データのバックアップ 自分で作ったファイルやメールの内容、IDとかパスワードの内容など 無くなっては困るファイルを、Dドライブとか他のフロッピーなどに コピーしておきましょう。 ◎リカバリ CD-ROM による Windows 98 インストール パソコンの取扱説明書を読みながら、システム リカバリ CD-ROM を使って Cドライブだけをフォーマットして Windows 98 をインストールしなおし ましょう。 Ai-net | |||
| 19775 | Re:ウイルス感染─"Hybris" | Ai-net | 1/11-18:11 |
| 記事番号19755へのコメント まずいなぁー。感染後の対処は、けっこう やっかいです。 前の私が引用した「ウィルス除去の方法」は、新しい「渦巻き」バージョンには 対応しきれません。 WSOCK32.DLL を正規のものに差し替えるだけでなく、ウィルスがそこら中に ばらまかれていると思われるので、全部を検出して正しく除去しなきゃダメ。 下のように、初心者じゃ「フォーマットして Windows インストール」が いいみたい。 Ai-net 以下、引用抜粋のみ CSA(日本コンピュータセキュリティ協会) からの引用抜粋 http://www.jcsa.or.jp/w32Hybrs.html ------------------------------------------------------------------------ もし、渦巻きが表示されて消えないときには。(2001-01-09 追記) W32/Hybrisのバージョンによっては、画面いっぱいに白黒の回る渦巻きが表示 されることがある。 渦巻きは止められないばかりか、常に他の全てのウインドウの前に位置するため、 実にジャマである。 この渦巻きを消すためには、一旦、セーフモードで立ち上げる。そうすると渦巻き は現れないので、この隙にWin.iniの[windows]にある、run=C:\WINDOWS\SYSTEM\ (乱数8文字).exe の部分を消して保存し、再起動するか、 (再起動後にシステムフォルダの乱数8文字.exeを削除する方がよいので この名前はメモしておいた方がよい) 「スタート」->「ファイル名を指定して実行」で「Msconfig」と打ち込んで、 「システム設定ユーティリティ」を起動し、「win.ini」タブをクリック、 [windows]の田マークをクリックして、表示された run= の前のレチェックを外す。 そして適用ボタンを押してOKで閉じ、再起動する。 ただし、Wsock32.dll ファイルに感染している、W32/Hybrisを殺さない限り、 全然、問題の解決には なっていないので、ここで満足してしまわないように お願いする。 ------------------------------------------------------------------------ Sophos Anti-Virus - CSE からの引用抜粋 http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32hybrisc.htm ------------------------------------------------------------------------ コンポーネントがアップデート可能なため、ワームをアップデートする方法も 変化します。現段階では2種類が確認されています。 アップデート方法の1つ目は、おそらくワームの作成者が管理しているであろう Webサイトから、暗号化されたコンポーネントをダウンロードしようとする方法 です。この Webサイトは今現在では使用不能な状態になっています。しかしなが ら、このコンポーネントは違う Webサイトのアドレスを持つようにアップデート することが可能です。 もう1つの手段は、現在のプラグインをUsenet Newsgroup の alo.comp.virusに 投稿し、別の感染マシンが投稿したプラグインからアップデートするという手法 を持っています。これらも暗号化されており、どのプラグインがインストール されているかを区別するため4文字の識別名と4文字のバージョンナンバーを含む ヘッダー情報を持っています。 もう1つのワームのコンポーネント部分はPC上の拡張子が.ZIP、.RARの圧縮ファ イルを検索します。ファイルが見つかると、その中に拡張子.EXEのファイルが あるかどうかを検索し、.EXEのファイルを.EX$ にリネームします。それから、 自身のコピーをオリジナルの名前を使って圧縮ファイルに追加します。 毎年9月24日または、2001年の毎日毎時間の59分に、画面の中央に動く大きな 渦巻きを表示させるというペイロード(発病機能)のコンポーネントがあり ます。この渦巻きは閉じることが困難です。 ------------------------------------------------------------------------ | |||
| 19756 | Re:ウイルス感染─"Hybris" | マサミ | 1/11-13:05 |
| 記事番号19749へのコメント 恵美さんは No.19749「Re:ウイルス感染─"Hybris"」で書きました。 みなさん、ウィルス感染するとなんとか駆除しようと 奮闘なさるようですが、かなりのスキルが必要です。 スキルがあれば、そもそもウィルスファイルを開くはず がありません。 したがって、あきらめてリカバリーするほうが労力も時間 も少なくてすみますよ。 | |||
| 19763 | Re:窓の移動 | どんべい | 1/11-14:56 |
| 記事番号19749へのコメント >早速、やってみましたが、「システムファイルチェッカー」が、ちょうど渦巻きの >中にはいってしまうので、その後の処理ができません。引っ張り出そうとしても >ちょうどできない位置になってしまうのです。 渦巻きを体験していないので分かりませんが SFCが起動したらalt+Spaceキーを同時に押しし、カーソルの↓を1回押して リターンしてカーソルで見える場所まで移動しリターンして下さい。 アプリの終了はalt+F4で出来ます。 | |||
| 19826 | Re:窓の移動 | 恵美 | 1/12-13:02 |
| 記事番号19763へのコメント どんべいさんは No.19763「Re:窓の移動」で書きました。 >>早速、やってみましたが、「システムファイルチェッカー」が、ちょうど渦巻きの >>中にはいってしまうので、その後の処理ができません。引っ張り出そうとしても >>ちょうどできない位置になってしまうのです。 > >渦巻きを体験していないので分かりませんが >SFCが起動したらalt+Spaceキーを同時に押しし、カーソルの↓を1回押して >リターンしてカーソルで見える場所まで移動しリターンして下さい。 >アプリの終了はalt+F4で出来ます。 みなさん、いろいろとありがとうございました。 実は、ここへ投稿してからすぐに、ブラウザがすべて強制終了してしまうようになり、 ここへも来る事ができなくなっていました。トレンドマイクロ社の「ウイルスバスターズ200 1」を買ってきたのですが、インストールさえもはねられてしまう状態で、困り果てていたのです が、サポートセンターの方と連絡が取れ、2時間くらいかかって、電話で誘導してもらい、やっ と駆除に成功しました。しかし、この渦巻き型は、今年になってからすごい勢いで、 流行しているらしいので、みなさんもお気をつけくださいね。わたしにしても、いつまた、 出てくるかわからないそうですので、常に、バスターズのバージョンアップをして、 しばらく様子を見たほうがいいそうです。 本当にお世話になりました。 > | |||
| 19831 | Re:窓の移動 | Ai-net | 1/12-16:45 |
| 記事番号19826へのコメント 恵美さんは No.19826「Re:窓の移動」で書きました。 >実は、ここへ投稿してからすぐに、ブラウザがすべて強制終了してしまうようになり、 >ここへも来る事ができなくなっていました。トレンドマイクロ社の「ウイルスバスターズ200 >1」を買ってきたのですが、インストールさえもはねられてしまう状態で、困り果てていたのです >が、サポートセンターの方と連絡が取れ、2時間くらいかかって、電話で誘導してもらい、やっ >と駆除に成功しました。しかし、この渦巻き型は、今年になってからすごい勢いで、 >流行しているらしいので、みなさんもお気をつけくださいね。わたしにしても、いつまた、 2時間ですかぁ。たいへんですねぇ。 トレンドマイクロで直接対応していたということからすると、、、 新種ウイルス情報 http://inet.trendmicro.co.jp/virusinfo/hotvirus_topix.asp おお!でてます。(^_^)(すばやいぞ > トレンドマイクロ) Ai-net | |||
何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり
| 参考 | 回数 | 投稿日時 | 何か一言 |
|---|---|---|---|
| ○ | 初めて | 2004/05/08/(土) 12:47:31 | MSIE6/WinXP |
