GENOウィルス・質問掲示板

1 ： 管理者 2009/05/19(火) 14:11:05 ID:j+OelyjY: わからないことはこちらで質問しましょう。
作っておきながら何なのですが、管理者は質問にお答えできません。答えてくださる方を待ちましょう。

GENOウィルス・初心者用まとめはhttp://www40.atwiki.jp/gegegeno/です。
4 ： テンプレ 2009/05/19(火) 15:15:12 ID:j+OelyjY: 「怖いウイルスが流行ってるって聞いたけど何していいかさっぱりわからない！」
まずはまとめサイトを確認して下さい。具体的な対処法が載っています。
初心者の方はhttp://www40.atwiki.jp/gegegeno/ がおすすめ

・分からないことがあるから質問したいんだけど…
まとめサイトや>>1-10あたりに答えがないか探しましょう。
次にスレッド内に同じ質問や話題がないかも確認しましょう。
（調べものにはページ内検索が有効です。windowsならCtrlとFを同時押しでそのページ内にある単語を検索できます）
5 ： テンプレ 2009/05/19(火) 15:16:06 ID:j+OelyjY: ■Ｑ：Vista使っているんですがsqlsodbc.chmが見つからりません。
wikiに乗ってる検索方法しても見当たらず、0411にも0409にも無いです。無いと感染してるのですか？

Ａ：コントロールパネルのフォルダオプションの
「表示の登録されている拡張子は表示しない」のチェック外してありますか？
外していないと「sqlsodbc」ってファイルしか見つからず
「sqlsodbc.chm」で検索しても引っかかりません。

つまり、chmは省略されているということです。
不安になったのならsqlsodbcの項を右クリック 1番下のプロバティを開く
するとファイルの種類に「コンパイルされた HTML ヘルプファイル (.chm)」とでているはずです。
http://www40.atwiki.jp/gegegeno/pages/17.htmlに載っています。

■Ｑ：Vistaでsqlsodbcを見つけました。でもサイズが49,5KBってでてる！これってやばい？

Ａ：落ち着いてください。
sqlsodbcのプロバティを開くと「サイズ　49.5 KB (50,727 バイト)」と表示されているはずです。
それ以外の数値は感染の疑いが高いです。

ディスク上のサイズが微妙に違うのは
ディスクは4096バイトを1ブロックとして扱っていて、実質50727バイトのファイルを収納するには
ディスク上に4096*13ブロック＝53248バイト分占有してしまう、ということです
6 ： 名無しさん＠chs 2009/05/19(火) 15:59:00 ID:D2UX+XLs: 感染してしまったあなたがサイト運営をしていなくとも、あなたのパソコンを利用して他のサイトにウィルスを仕込ませる可能性があります。

と、感染してた！のページにあるのですが、どんなウイルスなの？の図解画像には『感染したPCで(感染していない)HPを見てもそのHPは感染しない』
とあります。これはどちらが正しいのでしょうか。
7 ： 名無しさん＠chs 2009/05/19(火) 16:08:01 ID:xNObp7gw: 感染したPCで、感染していないHPをみる→HPは感染しない。

が、正しいです。

1行目に関しては、このウイルスの挙動にまだ未知の部分がある為、
可能性のひとつとして挙げられているものかと思います。

だからといって、油断はなさらずに
感染しないよう自衛することが大切ですよ。
8 ： 名無しさん＠chs 2009/05/19(火) 16:57:30 ID:JKBxLW02: >>6
「どちらが」正しいというわけではなく、
それぞれ別のケースの話になります。

『感染したPCで(感染していない)HPを'見ても'そのHPは感染しない』
のですが
『感染したパソコンをネットに繋いだまま放置しておくと、
'持ち主の知らない間に勝手に'
よそのHPなどに侵入する為の通り道等にされる可能性があります』
ということです
9 ： 名無しさん＠chs 2009/05/19(火) 17:13:35 ID:UCQ1hhoU: ﾏｶｰで誘導されてきました
感染危険度1000％、ソースも真っ黒なところを踏みました
javascriptオフ、プラグインオフ、Flash捨ててあります
ＦＴＰ系アンインストール済みです

大丈夫でしょうか？
10 ： 名無しさん＠chs 2009/05/19(火) 17:18:34 ID:/09KbCoQ: Macには感染しません
11 ： 名無しさん＠chs 2009/05/19(火) 17:19:56 ID:tyx479+c: >>9
幾つかあるまとめwikiのどれかを読んでそのサイト踏んだ時に対策ができていたかをチェック
質問の意図が絞られてないし、状況を説明しないと質問に答えられるわけが無い
質問をもう少し整理してきましょう
12 ： 名無しさん＠chs 2009/05/19(火) 17:22:32 ID:xcA2gmZY: >>9
踏んでから対処じゃ遅いような
wikで説明している感染しているかの確認はしましたか？
それからじゃないとこちらからも答えようがありません。
13 ： 名無しさん＠chs 2009/05/19(火) 17:24:39 ID:oZqaAbRg: >>9
現在（5/19）時点で感染が確認されているOSはWindowsXPを含むそれ以前のＭｉｃｒｏｓｏｆｔのOSです。
なのでMacintoshでの感染の可能性は低いかと。
しかし今後Macintoshが攻撃対象になるやもしれませんので、感染に対する対策（危険なIPの遮断など）を取ることをオススメいたします。
私はMacintoshを持ってないのでMacintoshでの感染対策に関しては他の誰か情報をくださいー
14 ： 名無しさん＠chs 2009/05/19(火) 17:30:45 ID:UCQ1hhoU: すみません、さすがに焦ってしまいました。
色々なまとめは拝見していて可能な限りの対策はしたマックです。javascriptオフ等で踏みました。

感染確認方法などありましたらご教授いただきたいなと。
15 ： 名無しさん＠chs 2009/05/19(火) 17:33:39 ID:hjbo8re6: 自PC未感染、自サイト未汚染を確認してほっと一息。
で、これを機会に面倒がってた自サイトの各ファイルに埋め込んでいたjavascriptを外部ファイルに置き換えようと思うのですが、
外部javascriptファイルの書き換えがあったって報告は来てませんよね…？
攻撃対象はHTML ファイルだけ？Javascriptファイルも攻撃対象？
16 ： 名無しさん＠chs 2009/05/19(火) 17:34:20 ID:JKBxLW02: >>14
感染報告が今の所ありませんので確認方法も現在はわかりかねます
17 ： 名無しさん＠chs 2009/05/19(火) 17:38:12 ID:oZqaAbRg: >>14
ご不安のようでしたらまとめサイトのこのページに目を通し
ttp://www31.atwiki.jp/doujin_vinfo/pages/25.html
下部に記してあるマカー用ウイルススキャンソフトでscanしてみては如何？
18 ： 名無しさん＠chs 2009/05/19(火) 17:39:50 ID:JKBxLW02: >>15
>外部javascriptファイルの書き換えがあったって報告は来てませんよね…？
現在の所は主だったところにはありません
よって攻撃対象ではないと思われます
しかしサイトのHTMLが汚染されれば何の意味もないと思いますが。
19 ： 14 2009/05/19(火) 17:56:37 ID:hjbo8re6: >>16､17
さっそくレスありがとうございます。
質問に質問を重ねて申し訳ないのですが、お分かりならご教授ください。
HTML ファイルの汚染はjavascriptコードを記述していないケースも報告されているのでしょうか。
ヘッダータグにあるjavascriptコードの後ろに自動挿入されてしまうところまでは理解できているのですが。

そこまで検証が進んでいないようでしたらこの質問はスルーでお願いします。
20 ： 名無しさん＠chs 2009/05/19(火) 17:58:15 ID:hjbo8re6: 申し訳ありません、前レスは14ではなく15の者です…
汚して申し訳ない。
21 ： 名無しさん＠chs 2009/05/19(火) 17:59:13 ID:UCQ1hhoU: >>17
どうもです、まとめが繋がらないので時間をかえて様子を見ます。

もし感染等疑いが出たら該当スレに報告します。ありがとうございました。
22 ： 名無しさん＠chs 2009/05/19(火) 18:04:34 ID:oZqaAbRg: >>21
あー、まとめサイトメンテ中ですね・・・
取りあえず『GENOウィルス Macintosh』でググって一番上に出てくるまとめサイトのキャッシュでご覧ください・・・
23 ： 名無しさん＠chs 2009/05/19(火) 18:08:19 ID:JKBxLW02: >>19
サイト総てのhtmlが汚染されていたという報告があったことから
HTMLにもとあったjavascriptコードを改変するというわけではないようです
つまり、元のページにjavascriptが有る無しは関係なく
汚染コードを埋め込んでいます。

逆にもとあったjavascriptコードを改竄するのに限られるというなら
外部であろうとなかろうとjavascriptファイルも危ないということになります
24 ： 名無しさん＠chs 2009/05/19(火) 18:13:29 ID:/09KbCoQ: >>19
http://www31.atwiki.jp/doujin_vinfo/pages/16.html

.htmlファイルのbodyタグ直前、.phpファイルの先頭、.jsファイルの末尾に覚えのない難読化された
javascript（unescape、eval、replaceが入っていたら黒）が埋め込まれる
「images」ディレクトリ内に「images.php」というファイルが生成される

と書かれていますが私自身はhtmlのものしか見たことないです
25 ： 名無しさん＠chs 2009/05/19(火) 18:13:36 ID:JKBxLW02: >>19
追加ですが、汚染コードが挿入される場所は
ヘッダーの後ろにある確率が高いというだけで、
ヘッダーの後ろの元々記述してあるjavascriptコードのみを改竄する、
というわけではありません
26 ： 名無しさん＠chs 2009/05/19(火) 18:39:45 ID:444VtCEE: ノートン先生もウィルスに対応したそうですが、
これで万が一感染していたとしてもクリーンインストールをしなくても
済む、という解釈でいいでしょうか？
27 ： 名無しさん＠chs 2009/05/19(火) 18:55:59 ID:oZqaAbRg: >>26
あくまで検出出来るようになっただけですので感染予防と感染確認と言った意味では有効かと。
しかし駆除出来るわけではないので感染したらクリーンインストール推奨です。
感染予防などにしても次々と亜種が出てくるので何時までも安心と言う事ではありませんので注意してください。
28 ： 名無しさん＠chs 2009/05/19(火) 18:56:28 ID:o0UT+EIQ: >>26
17 ：192.168.0.774：2009/05/19(火) 17:42:30 ID:dwwg46Fb0
GENOウイルスって何？サイトを見ただけで感染するウィルス　G DATAとSophosがいち早く対応
ttp://japan.techinsight.jp/2009/05/sanada200905191636.html

・G DATA Internet Security 2009
⇒Trojan.JS.PYU (エンジン A)
　HTML:IFrame-EB [Trj] (エンジン B)
[3PC 1年版]

Avira AntiVir 9 Personal(フリー・英語版)
⇒HTML/Crypted.Gen [virus]
　HEUR/HTML.Malware [heuristic]

他のセキュリティソフトのユーザーは、ワクチンが提供されるまで十分注意する必要があるだろう。

ということだそうなので、まだ注意が必要かと思われます。
29 ： 26 2009/05/19(火) 19:00:12 ID:444VtCEE: >>27 >>28
すばやい回答ありがとうございます。
自分のパソコンでは、今までのチェック方法では感染は確認できなかったのですが、
最終確認のためにやっておこうとおもいます。
30 ： 名無しさん＠chs 2009/05/19(火) 19:19:20 ID:dDSmV9O2: >>19
htmlファイルの場合は画像の中にコードが埋め込まれているものがある
（IE7までが読み込む可能性があり危険。IE8では対策済み）
あと、phpを使ったCMS（身近なとこでは個人設置型のブログシステム）
の一部で挿入コードがややこしくなった
（より発見しづらくなった）新型のケースが確認されてる。
htmlで構築されてるのはいいけど、php使用のブログだったら気をつけて。
31 ： 名無しさん＠chs 2009/05/19(火) 20:13:03 ID:mKn83ZJg: 未だに窓98を使ってるんですが、感染してるのか確認はどうやったらいいですか？
対策サイトを見ても2000までしかないのがほとんどで…
ご存じでしたら教えてください。
32 ： 名無しさん＠chs 2009/05/19(火) 20:13:22 ID:QzPh78xM: 26の質問を見て気になったのですが、シマンテックのオンラインスキャンを使って
検索した場合GENOウイルスの検知は可能なんでしょうか？
ある程度対応していると言われるAVASTやカスペでもオンラインスキャンでは
検出できないという話がありましたが…。
33 ： 名無しさん＠chs 2009/05/19(火) 20:32:14 ID:o0UT+EIQ: >>32
基本的に検出できないようです。
時間ごとに自己書き換えで検出が非常に難しいそうです。
検出には対応したノートンと
ワクチンができたと思しきG DATAとSophosが検出可能だと考えていいと思います。
Avastはちょっと詳しくはわかりませんが、
感染時に検出するケースとしないケースがあるようです。
やはり感染はsqlsodbcの有無とサイズ確認しかないみたいですね。これも少し怪しいですが。
34 ： 名無しさん＠chs 2009/05/19(火) 20:37:00 ID:oZqaAbRg: >>31
Windows98に関しては使用者が少数のためか感染情報が見あたりませんね（自分が見た限りでは）
こちらの質問に関しては、他の方に任せます。
>>32
この手のvirusはセキュリティソフトが対応し始めると次の亜種が出てくるのでイタチごっこの様な展開が予想されます。
現在GamblerはAdobe製品の脆弱性を狙っているので、これらの製品を最新にしていれば大丈夫かと（あくまで現在時点です）。
ワクチンが出来たとの情報がありますが実証はまだありませんので各関連スレを覗くのも手かと。

両氏のサイトのGumblar（GENOウィルス）関連の情報は、電網に対して一般レベルの知識しかない私にも解りやすく記しており、かなり有益ですので一通り目を通すことをオススメいたします。
gnome氏のサイト
ttp://www3.atword.jp/gnome/2000/01/14/gumblar-%EF%BC%9F%E3%81%A8%E3%81%8A%E3%82%82%E3%81%A3%E3%81%9F%E3%82%89/
excomp氏のサイト
ttp://excomp.cocolog-nifty.com/blog/
35 ： 名無しさん＠chs 2009/05/19(火) 20:38:34 ID:dDSmV9O2: >>31

【管理も】同人サイト・GENOウィルス注意7【閲覧も】
http://changi.2ch.net/test/read.cgi/doujin/1242565127/

70 名前：ゲノ[sage] 投稿日：2009/05/17(日) 22:42:06 ID:F7icl20GO
今の所、win98の感染報告は無し？
当分、win98でレンタル鯖のファイルマネジャからの更新にしようかと思うが
意味ない？

▼ 73 名前：ＧＥ[sage] 投稿日：2009/05/17(日) 22:43:18 ID:gL3wqKiX0
>>70
win98を狙ったウィルス自体カズがすくないんじゃね？

▼ 77 名前：GENO[sage] 投稿日：2009/05/17(日) 22:43:39 ID:uEd/QI2I0
>>70
GENOはともかく、98は今まで問題になってる何よりもセキュリティホールだらけなんで、そろそろ引退させれ

▼ 88 名前：GENO1[sage] 投稿日：2009/05/17(日) 22:46:33 ID:hQt3UNqs0
>>70
win98はWindowsのサポートが切れてるし、
対応ウイルスソフトもないから
感染する可能性が低いとは言い切れない

だとさ
36 ： 名無しさん＠chs 2009/05/19(火) 20:58:29 ID:QzPh78xM: 回答ありがとうございます。把握しました。ついでに別件の質問もさせて下さい。

ご紹介いただいたサイト含め、確認できた情報全て使いPCを調べたところ
感染の確認はできませんでしたが、PCのうち一台がreaderやflashの最新版を入れた後
再起動→微調整と情報確認・IE8インスコ→PCoff→電源をつけるといった流れで操作したところ
最後の起動時にブルースクリーンが発生しました。

感染症状の1つに再起動時にブルスクというのがあると聞いて確認したのですが
再チェックの結果やはり感染の証拠は見つかりませんでした。
また、英文に「初めてなら再起動しろ」というような指示があったので再起動したところ
通常通りに起動され、その後一度も青画面にはなっていません。
報告の中に「ネットに繋がっていないときにクラッシュさせるから青画面になる」
といったレスを確認したのですが、PC起動時はケーブルをつないだままでした。

今はバックアップをとりいつでもクリーンできるように用意して隔離していますが
現時点でこのPCの危険度はどのくらいのものでしょうか。
ブルースクリーン自体が普通にたまに出るエラーなので偶然の可能性もあり今ひとつ判断がつきません。
37 ： 名無しさん＠chs 2009/05/19(火) 21:08:21 ID:oZqaAbRg: >>36
一通りチェックし、クリアしたのであれば大丈夫かと思いますが・・・
ご不安であればKasperskyなどでもう一度scanしてみて、他のvirusの有無なども調べてみては？
もしそれもクリアしてまだご不安なら、いっそクリーンした方が精神衛生的によろしいかと。
こればっかりは自己の判断に任せるしかないので・・・
38 ： 名無しさん＠chs 2009/05/19(火) 21:14:53 ID:oDb+sJCI: >>36
ブルースクリーン出たらってわけじゃないがいつPCが壊れてもいいように重要なものからバックアップしとけ

マイコン右クリ→管理→イベントビューア
これでエラーを見ていく
ググりながらでもエラーの切り分けができるかもしれない
39 ： 名無しさん＠chs 2009/05/19(火) 21:26:32 ID:I4+i9Pmw: 立ててくれた方、本当にありがとうございます。

各所の対策スレで時折「IEはダメ（ブラウザは火狐かオペラ使え）」という発言が散見されます。
これはIE、またはIEコンポーネントブラウザを使用するにあたって
インターネットオプションでJavascriptを無効にするだけでは
対策にならないということなのでしょうか？
どなたか解説をお願いします。

ちなみにAdobe関係、IPブロック等は対策済みです。
40 ： 名無しさん＠chs 2009/05/19(火) 21:30:39 ID:xcA2gmZY: >>39
543 ：GENO：2009/05/19(火) 20:06:52 ID:bU5xWrItO
>527
別に火狐だから安心なんじゃなくて、火狐だとjsのオンオフの切り替えが楽だから、みんなそっちにしてるだけ。
IEだとブラウザを立ち上げ直さないとオンオフの切り替えが出来ないから。
自分はオンにする気なんて更々ないからIE8のままだよ。
まあ、ネッサ自体携帯でしてるのもあるけど。

544 ：GENO：2009/05/19(火) 20:10:06 ID:8IZbHnCg0
>>543
IE系のタブブラウザでも手軽にオンオフ出来るの多いぞ

545 ：GENO：2009/05/19(火) 20:11:51 ID:e5YYAVMX0
むしろ切り替えのし易さは
アドオン導入火狐＝一部のIE系タブブラウザ＞無アドオン火狐

だそうです、ねらーの人は本スレもみたほうがいいかと（質問は避けてね）
41 ： 名無しさん＠chs 2009/05/19(火) 21:52:13 ID:QrTEU8pI: まとめサイトを拝見しながら感染のチェックをしました。
チャートをそのまま実行していき、最後にsqlsodbc.chmのハッシュを確認したのですが
文字列は同じなのですが英字が小文字で表示されました。
こちらは問題はないのでしょうか？
42 ： 名無しさん＠chs 2009/05/19(火) 21:54:21 ID:I4+i9Pmw: >>40
ありがとうございます！大変参考になりました。
確かにスレイプニルなどはJavascript無効に設定しても
1クリックで一時的に許可できるので、使いやすいと思います。

ですがそのためには、インターネットオプションでは
Javascriptを有効にしておく必要があるんですよね。

恥かきついでにもう一つ質問してしまいますが
要するに

・規定のブラウザはIE系タブブラウザで、Javascript無効設定
・IEは使わないけどインターネットオプションでJavascript有効設定

という状況の場合
これはセキュリティ上やはり問題なんでしょうか？
もしかするとこの辺がIE系はダメだといわれる所以なのでしょうか。
43 ： 19 2009/05/19(火) 22:17:53 ID:VK8/tpz+: >>23-25
遅くなりましたが、レスありがとうございました。
クロスブラウザ対応の為にjavascriptを利用していたのですが、現段階では外部ファイルにしても未知数ということですね…
悩ましい問題ですが、知恵を捻ってみます。感謝です。
44 ： 名無しさん＠chs 2009/05/19(火) 22:23:38 ID:dDSmV9O2: >>41
問題はないと思うけど不安ならsqlsodbc.chmをダブルクリックして開いてみ
無事に開ければ今のところ大丈夫
壊れてたらアウトっぽい。報告よろ

>>42
セキュリティ的にはそれで大丈夫だと思われます
ただ気軽にIEコンポのタブブラウザでJavaScript有効にしたあと
他のサイトで無効にするのを忘れるという人為的なミスは起きやすい。
firefox＆Noscriptを薦めるひとがいるのは
そういった人為的ミスをカバーできるという意味合いもあります。

（Sleipnir2.0系列ならツール＞URIアクション＞URIアクションマネージャで
サイトごとのセキュリティ設定切り替えも可能ですが、
特定サイトにアクセス→自動で設定切り替え　となった後、他にアクセスした際に
自動切り換えされたセキュリティ設定がそのまま次へ引き継がれてしまうのが面倒かもしれません）
45 ： 名無しさん＠chs 2009/05/19(火) 22:24:41 ID:o0UT+EIQ: >>41
小文字大文字か、よりも
・正常に起動ができるか
・更新日時（ここ最近になっていたら要注意）
・サイズ
のような気がします。おそらく上記の問題がなければ、
小文字大文字でもかまわないかと思われます

>>42
二つ以上のブラウザをもっていない上、こちらのOSがVistaなのでUACをきらない限り
今は感染しないという状況にあるので正確性には欠けると思いますが、
今回はIEでAdobeの脆弱性を狙ったものだそうなので、
IE（JavaScriptON）でも他ブラウザでJavaScriptがOFFならば
使われるのはそっちのはずなので、おそらくなんら問題がないかと思われます。
断言しきれることではないので、不安ならJavaScriptをきっておくことをお勧めします。
きっておけば今のところ防げます。

IE系はダメというのはOFFにしてもブラウザを消してからもう一度
立ち上げない限りOFFが適応されていないからです。
そうしないと切り替えできないから面倒臭いんです。
46 ：るた 2009/05/19(火) 22:25:30 ID:LfQlaPHo: はじめまして
この前､同人サイトを見ていた最中､いきなりＰＣがブチッと音を立てて消えました
電源ボタンを押しても､全然つかないんです
新ウイルスの可能性は､有るのでしょうか?
とても心配です…
47 ： 名無しさん＠chs 2009/05/19(火) 22:30:03 ID:o0UT+EIQ: >>46
つかない、といわれてもいろいろありますので
もう少し詳しくお願いします。
（たとえばブルースクリーンがでて起動しない、そもそも電源が入らない、BEEP音がして最初でとまる等）
つかなくなった状況もできるだけ詳しく書いてください。

>>44すみません被りました…
48 ： 名無しさん＠chs 2009/05/19(火) 22:36:44 ID:dDSmV9O2: >>46
そのパソコンにウイルス対策ソフトははいってますか
家のなかにもっとパソコン詳しい人はいませんか
そのパソコン買ったときについてきているはずのCDはちゃんととってありますか

正直バックアップとってクリーンインストール（初期化）推奨
49 ： 名無しさん＠chs 2009/05/19(火) 22:37:33 ID:oDb+sJCI: >>46
ウイルスかどうかよりもPCメーカーに電話しましょう
50 ： 名無しさん＠chs 2009/05/19(火) 23:28:46 ID:QrTEU8pI: >>44-45
お答えありがとうございます。
ダブルクリックで起動できました。
ハッシュを調べた時のサイズは49.5KB（ファイルを右クリックしてプロパティで50.727バイト
であることも確認済み）
更新日時は2004年8月5日21:00で、フォルダ内の他のファイルも殆どが同じ日時なので
OSをインストールした時の日時かと思います。
avastとニフティでもスキャンして問題はなかったのですが、この点だけが気になっていたので
安心しました。
バックアップして、しばらくネットを控えようと思います。
本当にありがとうございました。
51 ： 名無しさん＠chs 2009/05/19(火) 23:28:52 ID:Htt6CK1Y: はじめまして
心配で仕方ないので質問させていただきます。

Adobe最新バージョン、JS切っている状態で
危険度1000％のサイトを踏んでしまいました。
今現在、チェックしても異常が見られませんでしたが
Avastでスキャンしたところfirefoxのキャッシュファイルが反応しました。

この場合やはりクリーンインストールをした方がいいのでしょうか？
またインストールする場合
今からバックアップをとっても大丈夫なんでしょうか？
質問ばかりですみません…あまりパソコンに詳しくないもので
是非ご教授して下ると助かります。
52 ： 名無しさん＠chs 2009/05/19(火) 23:29:42 ID:xcA2gmZY: PCの電源を蹴っ飛ばしてないか？
モニタの接続部分が外れてないか？
PCが古くてHDDがご臨終になってないか？
グラボが飛んでないか？

なんでもかんでもウイルスのせいにしないように、まずは落ち着いて。
53 ： 52 2009/05/19(火) 23:31:07 ID:xcA2gmZY: すいません、>>52は>>46に対してです。
54 ： 名無しさん＠chs 2009/05/19(火) 23:32:28 ID:ey5VFoOo: すいません、ちょっとお聞きしたいです。
ノートンなど今回のウイルスに対応し始めたセキュリティソフトに
移ろうかと思い、各サイトを見ようと思ったのですが何故かサイトを
見ることが出来ません。
使用しているパソコンは感染しておらず、セキュリティソフトは
現在マカフィーを使用しています。
他のサイトは問題なく見ることが出来るのに、どうしてかそれらの
セキュリティソフトのページのみが見れません。
Wikiに載っている方法で確認して感染していないということだった
のですが、これは実は感染しているのでしょうか？
それとも、マカフィーがブロックしてしまっているのでしょうか？
すみませんが、分かる方がいましたら教えていただけると有難いです。
55 ： 名無しさん＠chs 2009/05/19(火) 23:36:50 ID:dDSmV9O2: >>51
キャッシュファイルをJS許可状態で見てないよね？
まだ見てないならファイルをJSオフのまま削除
で大丈夫だと思う

怖いなら先にバックアップをとったあとで再起動→sqlsodbc.chmをチェック
あと、>>51が踏んだアドレスは確実にGENOスクリプトの入ったアドレスなの？
GENOチェッカーだけでなくソースを見て確認した人はいる？
56 ： 名無しさん＠chs 2009/05/19(火) 23:41:41 ID:JjxAM4wc: 質問。
XP SP2です。昨日の夜ぐらいに、もう落ちちゃってますがインターネット板のスレを見て
意味も分からずに
C:\WINDOWS\system32\drivers\etc にある hosts っていうファイルに
コピペして何行か書き足したんですが、

そのあとネットでいろいろ見てて何となくイベントビューアーのログを見ると（システムのとこ）
警告！！って黄色い三角形が出てて、
「ネットワークアドレスが 080046A9E06C のネットワークカードに対して、
ネットワーク (DHCP サーバー) から割り当てられたアドレスを書き換える
ことができませんでした。次のエラーが発生しました:
セマフォがタイムアウトしました。ネットワークアドレス (DHCP) サーバー
から引き続き、アドレスの取得を試みます。」

時間的に、hostsに書き加えた後だから、それが原因かも？と思い
ここで質問させてもらったんですが、場所違いだったらごめんなさい。
なんか怖そうなんですが、ネットは繋げてるし動作に特に変なとこはないと思います。
放っておいて大丈夫でしょうか。
57 ： 名無しさん＠chs 2009/05/19(火) 23:47:11 ID:xcA2gmZY: それGENOウイルスと関係あるわけ？
まとめサイトに感染しているかどうかの確認はしましたか？
ここはすべてのPC動作に対して答える質問掲示板ではありませんよ。
58 ： 名無しさん＠chs 2009/05/19(火) 23:49:53 ID:JjxAM4wc: 56です。GENOウイルスのスレを見ながらやったことなので、
こちらで質問でしてしまいましたが
確かにスレ違いでした。ごめんなさい。移動します。
59 ： 名無しさん＠chs 2009/05/19(火) 23:51:30 ID:dDSmV9O2: >>54
マカフィーとFWを一瞬だけ止めて見れないページに入れないかどうか試す
それで入れなかったら何かに感染してるかもしれない。GENOに限らず。
あと、windowsのアップデートもできるかどうか確認したほうがいい

>>56
心配ならhostを一旦書き換え前のものに戻してみてはどうか。
それこそインターネット板のスレのどっかに類似のレスがあるかもしれないが
（対策でhost系のもののうち、どれか「やらないほうがいい」ってレスがついたものがあった気がする）
60 ： 名無しさん＠chs 2009/05/20(水) 00:01:34 ID:TnJjRr6M: 2chのスレを開こうとしたらいきなりavastにトロイの木馬が発見されましたと言われました。

スレでダミーコードと言われたのですが…ダミーコードとは何でしょうか？
61 ： 36 2009/05/20(水) 00:03:23 ID:yeQFOEaw: 遅くなりましたが回答ありがとうございました。
その後Aviraなども試して未検知・ブルスク以外のおかしな挙動が全く確認できなかったので
安全な可能性が高いかと思います。
体質上どうしても100％安全と言い切れないのがネットの怖いところですがこればっかりは…。
念のため現状で保留、様子を見つつウイルス対策がもう少し進んでから再チェックと最終判断を
することにします。
62 ： 名無しさん＠chs 2009/05/20(水) 00:04:05 ID:wCs3e77w: ググってみた？
63 ： 名無しさん＠chs 2009/05/20(水) 00:07:15 ID:pjVVruds: >>55
レスありがとうございます
ファイルはAvastのチェストに入れてから削除してしまいました。
JSは切ってたと思います

成美堂がまだ感染状態だった時に踏んでしまいました…
後、コピペでAvastへの偽リンクを
また違うパソコンで踏んでしまいました
こちらは危険度が低いので気にしてませんでしたがやはり危険だったのでしょうか？

どちらもsqlsodbc.chmは大丈夫だったので特に気にしてなかったのですが
今更になって心配になってたので質問させていただきました…
64 ： 名無しさん＠chs 2009/05/20(水) 00:07:45 ID:Eb/sOW3M: >>60
ノートントラップでググレ
65 ： 名無しさん＠chs 2009/05/20(水) 00:08:46 ID:pxyXfixU: すいません、>>62は>>60へ
66 ： 名無しさん＠chs 2009/05/20(水) 00:10:05 ID:9d9YTbVA: >>60
ようこそ
ダミーコードとはスレにウイルス検出されるようなコードを書き込んで
ウイルスソフトに誤検知させるお騒がせなコードのことです。
（ノートン先生でもよくあります）
ウイルスソフトが騒ぎますがソフトの設定で例外設定をすることにより避けることができます。

えーと、>>60にはまず専用ブラウザでスレを見ることを薦める。
それから以下めんどいからコピペ

879 名前：avast[sage] 投稿日：2009/05/18(月) 19:38:07 ID:bu1U6ndf0
avastが反応してるのは標準スキャナでなくオンアクセススキャナなんだが。
要するにログフォルダとか関係なくて外から流れてくるデータの中に
混ざっている不正文字列を検出して通信遮断している状態。

885 名前：avast[sage] 投稿日：2009/05/18(月) 19:45:55 ID:jGHJiH5w0
879の続き

なんで、webシールドの例外へ
http://changi.2ch.net:80/doujin/dat/*
と指定してやれば読み込めるようになる。

標準シールドの追加設定でも専ブラのログフォルダを例外設定しとかないと引っかかるがな。
67 ： 名無しさん＠chs 2009/05/20(水) 00:11:35 ID:orfu5mMc: >>46
普通にパソコン本体のコンセントを抜いて、十秒くらい待ってからもう一度さして、それから電源ボタン押せばおｋ
これで電源が入らなかったら修理してください

多分それ、本体の内部に埃がたまって熱くなってるのが原因。一度解体して掃除するのがいい
解体できる自信がなかったら修理に出すかパソコンショップでやってもらえ、下手したら壊すから
68 ： 名無しさん＠chs 2009/05/20(水) 00:11:51 ID:y+3d8Tw2: >>60
あなた？本スレの>668？
そのスレ全部読み返したら記事見つかるって言われてたでしょ？
なんで5分も立たずにこっちに凸するかなあ･･･

あれは荒らしがavastを誤認識させるウイルスコード（無害）が張られてるだけで

ただしこのままだとスレが読めなくなるので

1 検出されたファイル名をコピー
2 タスクバーに常駐しているavastアイコンをクリック
3 標準シールドをダブルクリック
4 追加設定→下の追加ボタンを押す
5 出てきたテキストボックスみたいなのに貼り付け→OK押す

これで指定したスレはavastは激怒しなくなります

同人サイト・GENOウィルス注意8スレから一部抜粋させてもらいました。
69 ： 名無しさん＠chs 2009/05/20(水) 00:13:22 ID:9d9YTbVA: >>61 >>63
乙
sqlsodbc.chmが大丈夫ならGENO感染はしてないと思われます。
警戒しつつ様子を見ていくぐらいで丁度いいかと
70 ： 名無しさん＠chs 2009/05/20(水) 00:14:38 ID:/cQiU5dA: >>63
平気なら平気です。危険度というのが有志のウイルスチェッカーのことをさしているなら、
危険度が高かったといえど、1000％以外あまりあてにならないです。危険じゃなかったケースがあります。
忍者ツールなんか危険度が801%とかでましたが全く問題ありませんでしたし。
かといって1000％以外なら安全ということはないですが。
71 ： 名無しさん＠chs 2009/05/20(水) 00:18:22 ID:1BFc9Jpg: すいません、初めてウイルスが探知されたので怖くてどうしても誰かに質問したかったです…
よく調べてなくてすいませんでした

とりあえずパソコンは無事みたいなので良かったです

ありがとうございました！
72 ： 42 2009/05/20(水) 00:23:58 ID:+v892Njo: >>44-45

＞ただ気軽にIEコンポのタブブラウザでJavaScript有効にしたあと
＞他のサイトで無効にするのを忘れるという人為的なミスは起きやすい。

これは確かにあり得そうですね。
十分注意しながら使いたいと思います。

＞今回はIEでAdobeの脆弱性を狙ったものだそうなので、
＞IE（JavaScriptON）でも他ブラウザでJavaScriptがOFFならば
＞使われるのはそっちのはずなので、おそらくなんら問題がないかと思われます。

わかりやすい説明ありがとうございます。
腑に落ちた分、少しは安心して使えそうです。

お二人とも、丁寧な解説を本当にありがとうございました。
73 ： 名無しさん＠chs 2009/05/20(水) 00:33:48 ID:pjVVruds: >>69 >>70
ありがとうございます。
とりあえず、様子をみてみる事にします。

危険サイトを踏んだ当時は1000％だった為心配でした…
ついでにバックアップは今のうちにとっといたほうがいいですよね。

一先ず安心できました。ありがとうございました！
74 ： 名無しさん＠chs 2009/05/20(水) 00:37:14 ID:2XmuuLZ2: >>59
レス有難うございます。
試してみましたが、やっぱり開かなかったので別のものに感染しているようですね。
クリーンインストールをしてみようと思います。
丁寧に教えてくださり、有難うございました。
75 ： 名無しさん＠chs 2009/05/20(水) 01:35:20 ID:spco+aUs: 対策ページでReaderとFlashを最新にすれば大丈夫とのことでしたが、最新にしておけば感染サイトをみても平気なのでしょうか？
(～についてで見てみたらReader9バージョン9.1.1でした。Flashは10です)

またフレッツウイルスクリアを使用しているのですが対応ファイルはまだ出ていませんよね…？
76 ： 名無しさん＠chs 2009/05/20(水) 01:44:00 ID:9d9YTbVA: >>75
両方最新なら一応大丈夫。壁を二重三重に固めるという意味で
ブラウザのJavaScriptオフやWindows Updateの更新（最新まで）もやっとくといいです。

フレッツウイルスクリアについては他のユーザーの人の情報がないとわかりませんが
大本がウイルスバスターと同じ会社の配給なので近いうちにどうにかなるんでないかな？
（バスターは最新の更新で対応されたっぽいので）
77 ： 名無しさん＠chs 2009/05/20(水) 01:45:33 ID:Eb/sOW3M: >>75
あとはreaderのスクリプトも切っとけ
感染の報告はないが100%平気かはわからないから
そのサイトの管理者じゃないならできるだけアクセスしないほうがいいと思う

下段に関して
使用しているアンチウイルスのサイトでウイルスデータベース探せば判るかも
78 ： 名無しさん＠chs 2009/05/20(水) 01:58:59 ID:FCAEAvMs: 先ほどは本スレで質問してしまい失礼しました

JS:Redirector-Hでググると一番上に出てくるサイト
http://ja■pastebin■ca/1409588

avastが反応する＆あやしいソースもあるんだけどこれって黒？
だとしたらヤバイと思うんだけど・・・
79 ： 名無しさん＠chs 2009/05/20(水) 02:00:17 ID:NjhhttSk: >>76 >>77
ありがとうございました。
要は先程のことをやっておけばネットしてもある程度は大丈夫という事ですよね？

もう一つ質問なのですが、仮に感染した場合、やはり初期化しか方法は無いんですかね？
80 ： 名無しさん＠chs 2009/05/20(水) 02:03:55 ID:/cQiU5dA: >>78
見た限りじゃ白です。
一番上しかみてないですが。

>>79
今のところはそのようです。
一部スレでは別の方法を今試しているようですが
まだ結果はでていないですね。
対策をしっかりやれば亜種がでない限り平気そうです。
81 ： 名無しさん＠chs 2009/05/20(水) 02:04:01 ID:mxQ7ETC6: >>78
http://geno.2ch.tc/
ここでチェックしてみると
危険度90%
まあまあ危険なURLです。詳しい人に聞いてみましょう。

だそうだ、しかし
100%程度が出ても現状ではたぶん大丈夫です。(05/19 20:45現在)
ともあるのでなんともいえない
82 ： 名無しさん＠chs 2009/05/20(水) 02:10:34 ID:9d9YTbVA: >>78
アドレス削って大本を見るとわかるけど
いろんな人間が何かしらのソースを貼っておける公共サイト……らしい
サイトが感染しているんじゃなく誰かがウイルスコードを参考に貼ってる記事っぽいね
ダミーコードと同じ反応が出ちゃってるんじゃないか
83 ： 78 2009/05/20(水) 02:17:10 ID:FCAEAvMs: >>80-82
回答ありがとうございます

ウィルスコードに反応しただけだったんですね
スクリプトなのか記載されているのか判断付きませんでした
安心しました
84 ： 名無しさん＠chs 2009/05/20(水) 02:22:37 ID:Eb/sOW3M: >>79
マルウェアに感染したPCを確実に安全にしようと思ったら初期化だね
85 ： 名無しさん＠chs 2009/05/20(水) 02:32:11 ID:wCs3e77w: >>80 >>84
ありがとうございました
86 ： 名無しさん＠chs 2009/05/20(水) 04:21:02 ID:2ojblxMQ: XPでsqlsodbcのサイズが10.32kbという
不穏な数字なのですが
現在不具合はなく、カスペルスキーでも
異常なしとの診断にクリーンインストールするべきか迷っています
（普段はNOD32を使用しており、FTP使用予定はありません）
87 ： 名無しさん＠chs 2009/05/20(水) 04:40:34 ID:696e4Ix2: sqlsodbc.chmをダブルクリックしてみてください。
「データソースウィザードヘルプ」が起動すると正常です。
88 ： 名無しさん＠chs 2009/05/20(水) 07:21:20 ID:FY4MWi/A: XP　SP3　セキュリティーソフトはノートンです。
ブラウザはいつもスレイプニールを使っているので、
スレイプニールオプションでjsを切ったのですが、IE
の方でも切った方がいいのでしょうか？
また、切るものは「java　アプレットのスクリプト」
「アクティブスクリプト」「スクリプトによる貼り付
けの処理」の三つでしょうか？
89 ： 名無しさん＠chs 2009/05/20(水) 10:00:27 ID:EVknohEU: >>86
10.32kb
本当にsqlsodbcファイルなら確実に汚染されてます。
亜種が多いためスキャンに引っかからないことは多い。
スキャンで黒とでたら黒だけど、白判定は微妙
90 ： 名無しさん＠chs 2009/05/20(水) 11:25:39 ID:1rXzVV5U: 質問です。
IE8にバージョンアップしたのですが、javascript関係の設定は
全部無効にした方が良いですか？
「xssフィルター」は有効にしても意味が無いのでしょうか？
91 ： 名無しさん＠chs 2009/05/20(水) 11:25:53 ID:JjxAM4wc: 実際に感染サイトに遭遇したことがないんですが、
そのサイトのtopページ（一番上のディレクトリのindex.html）がソースを隅々まで見て確実に無事なら
あとのページはまず大丈夫と思ってしまっていいでしょうか？
92 ： 名無しさん＠chs 2009/05/20(水) 11:38:06 ID:enM0VRdo: >>91
同人サイト向けwikiの管理者向けページに

> index以外全て改ざんされていた、全体の約7～8％くらいしかされていなかったなど、
> 人によって状況は違うので全てチェックしてください

と書かれているので、index.htmlだけ見てもそのサイト自体の安全性はわかりません。
93 ： 91 2009/05/20(水) 11:41:35 ID:JjxAM4wc: >>92
ありがとうございました………orz
94 ： 名無しさん＠chs 2009/05/20(水) 11:43:38 ID:eX8im2qo: >>91
そうとは言い切れなないでしょう
TOP以下数階層にわたって書き換えられたという報告があります。
サイト管理者がそれを知らずにTOPページだけ修復した結果、
下の階層は手付かずということは充分ありうる話です。
95 ： 名無しさん＠chs 2009/05/20(水) 12:47:02 ID:/cQiU5dA: >>90
無効にしなければ意味はないです。
フィルター有効で防げるなら、今頃ここまで蔓延してないと思いますので
おそらく有効でありません

>>88
スレイプニルは使ってないのであいまいな情報でしかわかりませんが、
IEブラウザ（もしくはGecko）を使用しているとかいてあったので、念のためJSをきっておいたほうがいいかもしれません。
ttp://www31.atwiki.jp/doujin_vinfo/pages/19.html
Sleipnir　ツール→Sleipnirのオプション→ビュー（Trident）→
　　デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す
切るのはこちらで十分なようです。

>>91
三階層までの感染が確認されてます。
とある感染サイトは入口のみ未感染で他真っ黒でした。
TOPが安全だから～というのはあんまりアテになりません。
96 ： 名無しさん＠chs 2009/05/20(水) 13:04:58 ID:AMvhnWQQ: 失礼します。
まとめサイトに従って、ウィルスバスターの設定でファイアウォールを有効にし、特定IPの遮断を設定したのですが、逆に遮断しない方がいいとも聞きました。
設定を消去した方がいいのでしょうか？
97 ：るた 2009/05/20(水) 13:30:20 ID:CNWm5/VI: みなさん､解答ありがとうございました!
色々と試してみる事にしました。
ウイルスとはあまり関係なかったようです。
ご迷惑をおかけしてすいませんでした。
98 ： 名無しさん＠chs 2009/05/20(水) 14:51:49 ID:9WXYxBM6: 質問です
管理しているサイトが感染していたのですがPCは大丈夫のようでした
サイトが感染しているからといって
必ずしも管理人も感染しているというわけではないのでしょうか？
99 ： 名無しさん＠chs 2009/05/20(水) 15:01:58 ID:qh+X0UdM: 失礼します。
まとめに載っていた方法で感染の有無を確かめたところ、感染はしていませんでした。
こういう状態でサイト（私のはfc2ブログ）に感染しているという事は、あるのでしょうか？
初心者丸出しですみません！；；；
100 ： 名無しさん＠chs 2009/05/20(水) 15:20:17 ID:xIYAinjM: >>98
PCが感染していないとサイトが感染する事はありません
もう一度PCのチェックとウイルスを検出出来るソフトでスキャンしてみた方が良いです
そしてサイトのソース記述もちゃんとウイルスコードなのか再確認して下さい
サイトを管理してるPCは一つだけですか？

>>99
FC2ブログは大元が感染しない限り大丈夫だと思います
亜種もどんなのが出ているのか把握は出来ていないので
対策は万全にしていて下さい

新着レス表示