全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

●● RMT業者の垢ハックが多発している件28 ●●

1 名前：既にその名前は使われています：2008/07/10(木) 20:52:23 ID:V5Emx5pz: ここはRMT業者が一般プレイヤーのID・パスワードを盗んで不正にログインし、アイテムやギルを奪う事件についてのスレッドです。
詳細は>>2-20くらい、スレ内での報告は報告テンプレで（>>10あたり）
◆垢ハックの予防と自衛が各プレイヤーに求められています！
前スレ　●RMT業者による不正アクセスの報告・対策ｽﾚｯﾄﾞ26●
http://changi.2ch.net/test/read.cgi/ogame/1215465339/1-100
まとめサイト
【FF11】アカウント不正ログイン被害まとめ(過去ログあり)　http://ort.sakura.ne.jp/taisai/
FF11Warning（ハッキングに重点をおいて詳しくまとめてあります）　http://miku.a.orn.jp/miku2/
FFIX Virus問題まとめサイト（初心者さん向け）　http://www.eonet.ne.jp/~lunaticwaltz/notvirus_ffxi/

★リアルタイムで被害に遭われている方へ★
まずサポセンに電話し、不正アクセスの被害にあっていると伝えましょう(本人確認の後、対処してくれます)
ttp://www.playonline.com/ff11/rule/uacs01.html

■スクウェア・エニックスインフォメーションセンター
　 TEL:0570-003-399(PHSからは03-5333-1860）
　月曜～金曜　11:00～19:00（土・日・祝・指定休日はお休み）
※サポセンが営業時間外の場合は、別アカウントを所持しているならそれでログインしてGMを呼ぶか、
　他にログインできるアカウントがない場合はサポセンが開いてから電話をすることになります。
2 名前：既にその名前は使われています：2008/07/10(木) 20:52:53 ID:V5Emx5pz: 　 ■アカウントハックとは
主に中国のRMT業者（※1）がFF11関係のサイト（blogや情報サイト等）にアカウント情報を吸い出せる
罠ツールを仕掛けたサイトアドレスを貼り、FF11プレイヤーにそれを踏ませることにより
IDとpassを盗んで不正にログインし、所持アイテムやギルをを奪ってしまう（※2）行為の事です。
ログイン時にパスワードも変更され利用者本人がログイン出来なくなることも多々あります。

奪われたアイテムは各鯖にいるアイテム販売用キャラ（※3）が競売や店売りしてる模様。

※1：blogへの書き込みIP、リンクで飛んだ先のHPアドレスの所持者を調べると中国な為
※2：アイテムを奪われるだけの人も居れば、サーバー移動させられてたりキャラが消されていたり
と多種多様の報告があります。
※3：(鯖名3文字+ジョブ名3文字)シリーズ等、必要に応じて複数の鯖に作成される業者の販売担当キャラ。
ttp://karimohu.com/uploader/src/nejitsu11245.png
3 名前：既にその名前は使われています：2008/07/10(木) 20:53:16 ID:V5Emx5pz: ■予防と自衛が各プレイヤーに求められています。
被害に遭わないためにも各自でできる限りの防衛手段を身に着けておきましょう。
【公式より抜粋】

▼内容が不明なサイトにアクセスしない
（blogのレスの名前部分（HPアド）にリンクをつけてリンクアドレスを見せないようにする手口もあります。
　絶対にリンクを押す前にアドレスを見る事）

▼不明なサイトにあるソフトウェアのダウンロードを不用意に行わない

▼Windows Updateを定期的に実行し、Windowsを常に最新の状態に保つ
　※詳しくはマイクロソフト社の公式サイトを参照のこと。

▼利用しているWebブラウザーなどを定期的にアップデートして常に最新のプログラムを使用する

▼スクウェアエニックス社が使用を認めていない外部ツールを絶対に使用しない

▼ウイルス駆除ソフトを常に最新のバージョンで使用する
4 名前：既にその名前は使われています：2008/07/10(木) 20:53:39 ID:V5Emx5pz: ■具体的な自衛策その２

４：IPフィルタを導入する
　　PeerGuardian2というフリーソフトで特定の国(この場合は特に中国)のIPへのアクセスを遮断できます

　　★PeerGuardian2の導入・設定方法はここから
　　　　リネージュ資料室 ttp://lineage.paix.jp/guide/security/basic-ipfilter.html
　　　　このURLを踏みたくない人はgoogleで『リネージュ資料室』で検索してメニューから
　　　　セキュリティー対策→IPフィルタ　で確認してください。

５：IE以外のウェブブラウザを使用する
　　Firefox、Opera、Safariなど。
　　ただしそれぞれのブラウザにもセキュリティホールが見つかることもあるので、ブラウザ自体の
　　アップデートも行う必要があります。

６：不審な・見覚えの無いURIを踏む必要がある場合は、まずaguse.jpやソースチェッカーを使用する。
　　http://www.aguse.jp/
　　URIを入力するとそのページのSSとドメイン情報、各ブラックリストに照らし合わせた結果が表示されます。
　　ソースチェッカーにはWebページ上のものと、DLして使用できるフリーソフトがあります。
　　http://so.7walker.net/
5 名前：既にその名前は使われています：2008/07/10(木) 20:59:35 ID:V5Emx5pz: 　■具体的な自衛策その３
７：SecuniaPSIを導入する
　　SecuniaPSIというフリーソフトでWindowsUpdateでは更新されない各種アプリケーション、プラグイン、ソフトウェアが最新版であるかどうか
　　チェックする事が出来ます。最近多発しているソフトウェアの脆弱性を突いたウィルスの感染・攻撃への予防策として有効です。

　　Secunia公式
　　https://psi.secunia.com/
　　Cow&ScorpionのSecuniaPSI RC3ダウンロードページ（日本語解説付き）
　　http://cowscorpion.com/Security/SecuniaPSI.html
　　
★★もし被害に遭ってしまった場合★★
●「ある日突然登録してあるパスワードでログインできなくなった」もしくは「ある日ログインすると
キャラクターのアイテムやギルが奪われていた」等の、不正アクセスと思しき被害にあった場合は、
まず>>1にあるサポセンの連絡先に電話してパスワードの再発行を受けたり、不正アクセスの被害を
受けたことを報告しましょう。
ttp://www.playonline.com/ff11/rule/uacs01.html
●リアルタイムで被害にあっている場合は、同時にログインできる別アカがある場合はそちらから、
メール・電話・メッセ等のPOL・FF以外の連絡手段がある知人からゲーム内でGMコールを行い、
アカウント凍結の申請を行いましょう。
6 名前：既にその名前は使われています：2008/07/10(木) 20:59:57 ID:V5Emx5pz: ■警察への通報方法
１：まず住んでいる都道府県警が設置しているサイバー犯罪相談窓口に相談の電話やメール送信をしておきます。
　　都道府県警察本部のサイバー犯罪相談窓口等一覧
　　(p)http://www.npa.go.jp/cyber/soudan.htm

２：相談窓口から「所轄の警察署に直接行って相談するように」という返事が来ます。
　　(この段階を踏まずに直接所轄署に行くと、「専門の窓口に連絡しろ」と言われてしまう可能性があります)

３：所轄署に電話で連絡し、直接訪問して話を聞いてもらえるか確認します。

４：資料を持参して所轄の署に赴き、「利用権の侵害」での被害を報告します。
　　「たかがゲームのアイテムを取られたからって警察に行くなんて…」という方もいるかもしれませんが、
　　家族やネット上、またこのスレッド内でそういったことを言われても気にせず警察に相談しください。
　　利用権の侵害というのは立派な被害です。警察の方もちゃんと話を聞いてくれます。
7 名前：既にその名前は使われています：2008/07/10(木) 21:00:18 ID:V5Emx5pz: ■警察へ行く際に持っていく・用意しておくもの
過去スレで実際に警察へ行った被害者のレスから抜粋

もっていったもの †
o 身分証明、印鑑
o スクエニの会社情報　ＨＰのプリントアウトしたもの
o プレイオンラインサポセンの電話番号
受け答えしてくれたサポセンの人の名前も伝えるといいかも

↑
警察で聞かれたもの †
o プレイオンラインのＩＤとパスワード
o キャラ名
o 犯行時間帯
o 被害内容（なくなったゲーム内通貨・アイテム）
o プロバイダ
8 名前：既にその名前は使われています：2008/07/10(木) 21:00:45 ID:V5Emx5pz: ■このスレの目的
１：予防・自衛の徹底の周知
２：被害報告の収集
３：罠サイトURIの収集
４：被害者が現れた場合に対処をアドバイスする

★age進行(mail欄に何も書かない)でネ実民及びFF11プレイヤーへの周知と啓蒙にご協力ください

☆「スクエニ社に法的責任を！」や「誰が悪いかランキング」、「被害者の会を作れ」等の議論も
この場で行ってくださって構いませんが、スレを見に来た一見さんの質問や被害者の報告は
無視せずに対応してください
9 名前：既にその名前は使われています：2008/07/10(木) 21:12:59 ID:MGvQNy3w: >>3と>>4の間

■具体的な自衛策その１
１：ウイルススキャンソフトを導入する。
　　・シマンテック、マカフィー、カスペルスキー、トレンドマイクロなどのソフトを有料で購入する。
　　・avast!、AVG、AntiVir、BitDefenderなどの無料ソフトをダウンロードして使用するという手もあります。

２：Windows UpdateでWindowsを最新の状態にする
　　　Windowsは最初にインストールしただけで万全というわけではなく、次々と発見されるセキュリティホールを
　　　後付で修正し、それをWindows Updateで配布することで安全性を保つようにできています。
　　　一般的には自動更新がされるよう設定されていますが、重いからという理由で自動更新機能を
　　　オフにしている人もいると思います。その場合は必ず定期的に手動で更新を行ってください。

３：ファイアウォールを有効にする
　　・１に上げた有料ソフト等に同梱されているものや、同じ会社から出ているものを使う

　　・ベクターや窓の杜などでフリーのファイアウォールソフトを探し、導入する
　　　(2chカテゴリ「ネット関係」＞「セキュリティ」板にフリーのファイアウォールソフトの
　　　　スレッドがあります。「ファイアウォール」などの単語で検索してください)
10 名前：既にその名前は使われています：2008/07/11(金) 00:05:34 ID:KquD+liy: あげ
11 名前：既にその名前は使われています：2008/07/11(金) 00:06:42 ID:P6+ZEwXt: ハックハック　垢をハック
12 名前：既にその名前は使われています：2008/07/11(金) 00:17:27 ID:X5jmCttr: >>1
乙と言いたいが、

同じ名前でもうひとつ立ってると言ってみるｗ
13 名前：既にその名前は使われています：2008/07/11(金) 01:49:02 ID:hshvy6wm
14 名前：既にその名前は使われています：2008/07/11(金) 02:04:29 ID:OqpU1CEc: 29として再利用かな？
15 名前：既にその名前は使われています：2008/07/11(金) 08:06:23 ID:LOi+sNf2: なのかなsage保守
16 名前：既にその名前は使われています：2008/07/11(金) 17:31:59 ID:LOi+sNf2: 保守
17 名前：既にその名前は使われています：2008/07/11(金) 19:05:11 ID:5cj2BG8C: このスレの出番が遅けりゃいいんだが
18 名前：既にその名前は使われています：2008/07/11(金) 19:13:41 ID:grU9Ha9w: とは言うもののもう400突破してるし、明日には来るね
19 名前：既にその名前は使われています：2008/07/12(土) 01:58:29 ID:xW7ufejW: RMT
20 名前：既にその名前は使われています：2008/07/12(土) 09:36:43 ID:M8lb3LZn: 現行スレは雑談ばっかだからすぐ埋まっちまうな
スレタイが雑談っぽいのがいけないのかｗ

ほす
21 名前：既にその名前は使われています：2008/07/12(土) 12:09:23 ID:5HhWdyTY: あの調子だと現行スレは間もなく埋まっちゃいそうだね～
22 名前：既にその名前は使われています：2008/07/12(土) 12:55:16 ID:flPPjnVt: バザーから業者キャラ消えて寂しくなったな、かなり安く売ってくれてて儲かるだろうから買いだめしたんだが
大袖１５０×５、スピベ１２００×３、ルンゴ５０×９４、属性杖×３６本

いなくなったしこれから売り切るかな…杖は銘入りもあるし競売だなｗ
23 名前：既にその名前は使われています：2008/07/12(土) 13:42:26 ID:0KlhaUmt: ■■■■■■■■■■■■■■■

続きはこちらでどうぞ

次スレは30でお願いします
24 名前：既にその名前は使われています：2008/07/12(土) 13:51:03 ID:UfH6vwtl: 再利用age
25 名前：既にその名前は使われています：2008/07/12(土) 13:52:45 ID:8AK4kLwR: 前スレ

●● RMT業者の垢ハックが多発している件28 ●●
http://changi.2ch.net/test/read.cgi/ogame/1215690673/

現行スレは

●● RMT業者の垢ハックが多発している件29 ●●

です
26 名前：既にその名前は使われています：2008/07/12(土) 14:02:28 ID:TpUINQL2: 再利用age

しかし午後になっても新たな被害報告があがって来ないって事は
IP排除がそれなりに効果あったって事かね
27 名前：既にその名前は使われています：2008/07/12(土) 14:05:02 ID:C+XdyQWe: 前スレで変なの何匹か沸いたから単に書き込みにくかったのかもなｗ
28 名前：既にその名前は使われています：2008/07/12(土) 14:20:31 ID:FXUtgUAB: >>22
盗まれた物で業者にギルを流している事を忘れないでいてください
29 名前：既にその名前は使われています：2008/07/12(土) 14:31:46 ID:WBQHmcLj: なんでスルーできないんだよ…
30 名前：既にその名前は使われています：2008/07/12(土) 14:39:58 ID:ZKw904x1: この可能性があるかもしれない？
http://japan.cnet.com/blog/lowkick/2008/01/24/entry_25004465/
フラッシュの脆弱性を突いてルーターのUPnPに攻撃しかけて
POLのアクセスしてるポートを開いて覗いてるとか？
だからデフォルトでUPnPがオフになってるVistaは影響受けてないとか？
31 名前：既にその名前は使われています：2008/07/12(土) 15:21:18 ID:i7CV4hUq: >>30
ってことは、ソフトウェアキーボードでパスうっても意味ないってこと？
32 名前：既にその名前は使われています：2008/07/12(土) 15:46:45 ID:ZKw904x1: >>31
一人だけだがソフトウェアキーボードでパスうっててハックされた報告があった

まず感染してるＰＯＬ自体は書き換えされてる様子がない報告があったのと
ウィルスがメモリ上のＰＯＬに直接フックしていくとアンチウィルスが確実に
反応すると思うんだが、そういった検出が出てこないのはＰＯＬには何もせずに
ポートとか転送とかいじってるんじゃないかと思うんだが、どうなんだろう？
33 名前：既にその名前は使われています：2008/07/12(土) 15:46:52 ID:MsR0buEB: 26
AHも広告主変えたし、FP脆弱性の件が落ち着いたようにも見える。

対策済みだけど感染したって報告もあったけど、FPのアップデート
より以前に感染していた可能性を、報告してた人はもう一度検証してみて欲しい。
AHが広告主を変える以前は確かにあそこの広告にはトロイがいたけど
先週の末、広告主が変わってからは毎日覗いてるけど確認できないんだよね。

それから経路は広告であってAHではないからな。AHの危険性だけ言うのはAH危険だけど
他は安全って言ってるように聞こえるけど今回やられた人は他でも何度でもやられますから。
34 名前：既にその名前は使われています：2008/07/12(土) 15:58:54 ID:WBQHmcLj: >>30
それだとPCの挙動がおかしいからPS2でパス変更ってのも
意味ないってこと？
35 名前：既にその名前は使われています：2008/07/12(土) 16:03:40 ID:aKGVvWrD: なんかもうインターネットするってレベルじゃねーぞ！
めんどくさいねぇ
36 名前：既にその名前は使われています：2008/07/12(土) 16:05:30 ID:pbb5wMuW: 攻撃に対する自衛についての心構えを変えなきゃアカンってことだよね。

以前は君子危うきに近寄らずってな感じで危険（とされるところ）を避けておけばよかったけど、
最近は昨日まで無害だった所が改竄されて一転危険になるから、そのへんが通用しづらくなってきた。
だから既知の脆弱性なんかについてはきっちりと塞いで、万が一攻撃を受けても被害を食い止められるようにしないといけない。
このスレなんかでできるアドバイスや自衛策も所詮「現時点」でのものでしかないし。
明日にはどうなってるかわからんのだから。
37 名前：既にその名前は使われています：2008/07/12(土) 16:07:31 ID:MsR0buEB: んー。買ってきたデフォのままのPWを使うってのがすでに理解できないんだけどなぁ。
みんなそんなもんなのかねぇ。
38 名前：既にその名前は使われています：2008/07/12(土) 16:09:12 ID:AtnrwVAT: 本来ネットは初心者には手を出せないくらい難易度高くて難しいものなんだがｗ
特にマルウェア対策は常に最新の情報が要求されるしね
39 名前：既にその名前は使われています：2008/07/12(土) 16:21:23 ID:MsR0buEB: >>38
初心者では手が出せないなら学習機会もないってことになる。それは言い過ぎ。

暗号化してないクレカ情報を普通にやり取りしてた
頃もあったからなぁ。難易度上がってるのは事実だわね。
ナローバンドの頃はトロイなんかいたら回線重くて
すぐ気づいたけど今はもう体感wじゃわかんないしね。

なんか割れだなんだって騒いでいた頃はセキュリティ意識も
高かったけどね。
40 名前：既にその名前は使われています：2008/07/12(土) 16:29:54 ID:ZiMZ6mtO: 週末の割にスレが伸びないな？
41 名前：既にその名前は使われています：2008/07/12(土) 16:32:03 ID:aKGVvWrD: 今更お礼は三行時代に戻るのもなあ

新規報告あんまないね確かに
42 名前：既にその名前は使われています：2008/07/12(土) 16:36:46 ID:GIukYqU2: まんま中国から接続してたのかねぇ、垢ハック業者は…。
43 名前：既にその名前は使われています：2008/07/12(土) 16:38:48 ID:qwqOPsku: 前スレも最後のほうは煽り厨が暴れてただけだしなｗ
まぁ被害減ったのはいいことである
44 名前：既にその名前は使われています：2008/07/12(土) 16:42:08 ID:UfG17X/K: 本当に落ち着いたとしてもどうせ次の手段を考えてくるだろうからな
今度はそっちの対策にかからないといけないかもしれない
45 名前：既にその名前は使われています：2008/07/12(土) 16:48:49 ID:qwqOPsku: すぐに最新対策できる自宅警備員がやっぱり最強てことだな
46 名前：既にその名前は使われています：2008/07/12(土) 16:52:39 ID:/Ux38Ews: フレが今日被害に遭った。詳細は分からないが・・・
47 名前：既にその名前は使われています：2008/07/12(土) 16:55:51 ID:XWLVzeMB: 垢凍結ではいれなくなった時のメッセージって
接続制限と一緒？
48 名前：既にその名前は使われています：2008/07/12(土) 16:56:34 ID:PfhTA9Tx: ＰＳ２で被害２件ほど聞いたんだが、ほかに聞いた人いない？
49 名前：既にその名前は使われています：2008/07/12(土) 16:58:29 ID:AtnrwVAT: >>39
いや、まず情報を知って、パソコン自体の操作や仕組みを理解してからでしょ、本来の順序は。
初心者のうちにこの手の学習機会設けるなんて車の免許取り立てで高級車乗り回すようなものだよ？
50 名前：既にその名前は使われています：2008/07/12(土) 16:59:41 ID:W846WVkO: パス抜かれてる可能性があってまだ自分の垢でログイン出来てる人は、
業者が接続可能な串を探してるいまのうちに、パスの変更とかセキュ対策
しておいてね。
パスの変更は、感染ＰＣ以外でね。
51 名前：既にその名前は使われています：2008/07/12(土) 16:59:58 ID:qwqOPsku: どうせPS2での被害はコミュ見てたってオチだろ
52 名前：既にその名前は使われています：2008/07/12(土) 17:02:18 ID:n5+6Rj5h: >>48
過去スレで２件ほど見たが
それ以外一切被害聞いたことない。

ネタか、考え違いでＰＣで一度でも入力したことがあったとか
他人に貸したことがあったとかだろどうせ
53 名前：既にその名前は使われています：2008/07/12(土) 17:06:25 ID:7qArvRod: POLGMコールが逆に待ち人が増えてる・・・・
てか垢ハックは最初からＰＯＬのＧＭコールすればよかったのね・・・
54 名前：既にその名前は使われています：2008/07/12(土) 17:18:22 ID:M52ohvuq: このスレの報告増減≠被害者総数の増減だからなんともいえんな。
盗られた奴が必ずココにくるわけじゃないし。
でも接続制限の実施直後だし、一応それが功を奏していると考えるのが
妥当なのかね。一時しのぎでも。
55 名前：既にその名前は使われています：2008/07/12(土) 17:18:33 ID:uil0TKeB: 業者も並び始めたんですね
56 名前：既にその名前は使われています：2008/07/12(土) 17:20:28 ID:XlrE2UyQ: ファイアーウォールの設定　アプリケーションルールでpol.exeの設定
許可しているリモートIPの範囲は
61.195.48.0～61.195.55.255
61.195.56.0～61.195.59.255
61.195.60.0～61.195.63.255
202.67.48.0～202.67.63.255
219.117.144.0～219.117.159.255
空けているポート TCP1024-65535　UDP50000-65535
57 名前：既にその名前は使われています：2008/07/12(土) 17:22:22 ID:XlrE2UyQ: ↑の設定で、POLからFFへの切り替えができないんだけどどうしたらいい？
58 名前：既にその名前は使われています：2008/07/12(土) 17:27:25 ID:3R6YFBPz: >>37
PWってナンすか
59 名前：既にその名前は使われています：2008/07/12(土) 17:29:04 ID:/kLL6cQf: PasuWardo

>>57
リモートUDP53も
60 名前：既にその名前は使われています：2008/07/12(土) 17:29:49 ID:wAyfdEH2: >>58
どう考えてもパスワードだと思うんだが。
61 名前：既にその名前は使われています：2008/07/12(土) 17:34:24 ID:XlrE2UyQ: >>59
ありがとう！！
62 名前：既にその名前は使われています：2008/07/12(土) 17:40:09 ID:TvOEUgsl: ここで評判のいいカスペルスキー試用版をいれてみた。
セキュリティセンターがウィルスソフト無効になっていると煩い…。
導入時のヘルプにはそれでても平気とあるが、その後がないから、
自分管理で無視設定かなー。学習モードにしたけど、初心者には使いずらそうだｗ
つか、バスターｗに慣れてるからサッパリだぜｗ
63 名前：既にその名前は使われています：2008/07/12(土) 17:40:53 ID:lefBJaBj: >>59
PasuWardoフイタｗ
64 名前：既にその名前は使われています：2008/07/12(土) 17:41:44 ID:XlrE2UyQ: >>63
PasuWaadoの方がさらに間抜けでよさそうかも(*'-')
65 名前：既にその名前は使われています：2008/07/12(土) 17:54:39 ID:iblvBXaS: PeerGuardian2でPOLの許可の仕方

SQUARE ENIX:61.195.48.0-61.195.55.255
SQUARE ENIX:61.195.56.0-61.195.59.255
SQUARE ENIX:61.195.60.0-61.195.63.255
SQUARE ENIX:202.67.48.0-202.67.63.255
SQUARE ENIX:219.117.144.0-219.117.159.255

↑をメモ帳などにコピーし、SQUARE ENIX.txtとかの名前で
PeerGuardian2のlistsフォルダー内に保存
PG2の［リスト管理］ボタンを押す
［追加(A)］ボタンを押す
「説明」のテキストボックスに“pol”（半角英数ならなんでもいい）と入力する
「場所」の［ファイル］ラジオボタンを選んだまま［参照］ボタンを押す
さっき保存した“SQUARE ENIX.txt”を選んで［開く(O)］ボタンを押す
「種類」の［許可］ラジオボタンが選択されていることを確認して［OK］ボタンを押す
リスト管理のウィンドウを閉じる
66 名前：既にその名前は使われています：2008/07/12(土) 17:59:43 ID:XlrE2UyQ: 上の3行、61.195.48.0-61.195.63.255ってまとめちゃっちゃダメなん？(´・ω・｀)
67 名前：既にその名前は使われています：2008/07/12(土) 18:25:49 ID:pNmvgauC: >>66
現状問題ない。けど、スクエニが上のように登録している。
たとえば、一行目は、61.195.48.0/21というIPで登録されている。
最後の「/21」の部分はビットマスクが21bitだと言うこと。
ビットマスクってのは説明すると面倒だからググって欲しいが、
要はマスクされているところ(ビットが1のところ)は固定、そうでないところ(ビットが0のところ)は可変と言うこと。

61.195.48.0を全部2進数に直すと、
00111101 11000011 00110000 00000000
ビットマスクが21bitなので、
11111111 11111111 11111000 00000000
すなわち、
00111101 11000011 00110000 00000000　から
00111101 11000011 00110111 11111111 までが登録してるIPになる。
これを10進数に戻せば
61.195.48.0～61.195.55.255になるので、一行目のような記述になる。

このような登録の仕方をスクエニが連続して複数のIP帯域に渡って登録しているから、つながった領域が分かれて書かれているってだけ。
将来、スクエニが一部だけサーバーのIP帯域を変更した場合、連続して書いておくと書き直しがめんどくさい。
61.195.48.0/21とかいうIPアドレスの読み方知らない人のが多いだろうから、ちょっと詳しく書いてみた。
68 名前：既にその名前は使われています：2008/07/12(土) 18:31:49 ID:XlrE2UyQ: (@_@;
69 名前：既にその名前は使われています：2008/07/12(土) 18:36:28 ID:jfUfnfVI: >>30
怖かったのでルーターのupnp設定オフにしといた
70 名前：既にその名前は使われています：2008/07/12(土) 18:40:45 ID:nkhtIde3: ここですら釣りする阿呆がおるのがのう。
71 名前：既にその名前は使われています：2008/07/12(土) 18:45:54 ID:pNmvgauC: Windowsサービスの
Universal Plug and Play Device Host
SSDP Discovery Service
もUPnPがらみのサービスだからOFFに。

だたし、これ切るとUPnPをサポートしてるソフト起動時に、
イベントビューアにDCOMのエラーが記録されるので、気になるならそのままでもいい。
ルーター側で切ってあれば問題ないはず。
72 名前：既にその名前は使われています：2008/07/12(土) 18:46:22 ID:tYkWI3GT: ■の対策もまんざらじゃないのか、それとも巻き込みくらっただけなのか
さばの全人口がいつもより少ない
73 名前：既にその名前は使われています：2008/07/12(土) 19:07:49 ID:URyWA61d: >>72
対策の成果だろう
今まで何故実行しなかったのかが数字から読み取れます
74 名前：既にその名前は使われています：2008/07/12(土) 19:09:15 ID:f2IOiL+u: まーたそのうちゴキブリみたいに増えるでしょ　　

やらなかったのは中国からの接続って分かればバンとか調査もやりやすかったからでは無いかと想像
75 名前：既にその名前は使われています：2008/07/12(土) 19:12:43 ID:cTX8YdKu: SYN flood 攻撃こわい；；
おれ涙目；；
76 名前：既にその名前は使われています：2008/07/12(土) 19:20:26 ID:rn4lgY0v: 6月初旬にFlashPlayerの脆弱性で感染、WindowsUpdateがフリーズし、
シャットダウンが遅くなって、いまだに垢ハックされていない。
POLの起動でエラーが発生しなかったらとりあえず大丈夫ってことなんだろうか。
77 名前：既にその名前は使われています：2008/07/12(土) 19:23:18 ID:Zc+2x6Ko: >>76
ハックされなくて良かったな
78 名前：既にその名前は使われています：2008/07/12(土) 19:23:29 ID:meM+jC4u: 今後が楽しみでいいんじゃねｗ
79 名前：既にその名前は使われています：2008/07/12(土) 19:25:44 ID:pbb5wMuW: >>76
パス漏れてるけど処理待ちってのもあるから何とも言えない
とりあえずPCをクリーンにしてからパス変更しといたら。
WindowsUpdate受けられないままだと、新たに明らかになった脆弱性の修正パッチも受けられないから、
そっち経由でやられるかもしれないよ。
80 名前：既にその名前は使われています：2008/07/12(土) 19:27:53 ID:oXB8JG43: Bard Life in FinalFantasy　
上記名前のブログ汚染されてるのかものすごい勢いで
危険URLはじくな
火狐で画像表示、script全て拒否にしたら飛ばなくなって
画像表示のみ許すとURLへのアクセス始めるんだが、これscript以外で画像に罠でもあるんかな？
81 名前：既にその名前は使われています：2008/07/12(土) 19:29:50 ID:Zc+2x6Ko: >>80　aguseでチェックしてみろ
82 名前：既にその名前は使われています：2008/07/12(土) 19:31:59 ID:oXB8JG43: >>81チェックはしたさ
俺が聞きたいのは
script切ってある状態で、画像表示のみ許可の状態で危険URLに飛ぼうとしているって部分だ
83 名前：既にその名前は使われています：2008/07/12(土) 19:34:21 ID:oXB8JG43: ちなみにはじくのは
666■lyzh■com
危険URLとして出てくる場所
84 名前：既にその名前は使われています：2008/07/12(土) 19:34:35 ID:Zc+2x6Ko: 怪しいと思ったら見ない方がいいよ
85 名前：既にその名前は使われています：2008/07/12(土) 19:37:02 ID:UfG17X/K: >>82
俺も見てきたけど666lyzhcomがブロックされてるねー
86 名前：既にその名前は使われています：2008/07/12(土) 20:02:35 ID:x91tDQ5h: 気軽にネットを見れないなんて、どんなＭＭＯだよ。
■eは今すぐにでもトークンキーを導入しなさい。
87 名前：既にその名前は使われています：2008/07/12(土) 20:06:33 ID:W8vdPRwu: トークンキーってなにかな
88 名前：既にその名前は使われています：2008/07/12(土) 20:08:36 ID:7qArvRod: ＰＯＬＧＭコールして半日たちました
89 名前：既にその名前は使われています：2008/07/12(土) 20:09:41 ID:AtnrwVAT: セキュリティ意識しないで気軽にネット見るほうがどうかしてる
FFに限らず別のウィルスやスパイウェアもあるっていうのに＾＾；
90 名前：既にその名前は使われています：2008/07/12(土) 20:10:12 ID:f72HSXKh: POLの待機番号が昨日から一気に5000番ほど増えてた。
何故待機番号が増える、何故増えるんだ。待機番号じゃないのか
91 名前：既にその名前は使われています：2008/07/12(土) 20:12:45 ID:UfG17X/K: >>88
何度か言われているが、あれはゲーム内と同じ順番待ちっぽいよ。
たとえば1人待ちだったとしても、POL内でGMしている人の待ち件数が1なだけで
FF内のとあわせると101番目っていう可能性もある。
92 名前：既にその名前は使われています：2008/07/12(土) 20:15:55 ID:M52ohvuq: 現状アクセス可能なPCからの盗用作業をなんとか成功させるために、
業者が空コールして被盗用アカウントの凍結依頼を妨げてたりして。
93 名前：既にその名前は使われています：2008/07/12(土) 20:16:56 ID:q86YQOv2: シャットダウンが遅いとかWUでフリーズするとか典型的な症状が出てるPCなんだけど、
さっきAVGがCドライブのSystem Volume Informationの中の何かのexeに反応した
system32直下にあったsvcchost.exeに反応したっぽい？

今までこんなとこにsvcchost.exeは無かったしオールスキャンしてもAVGはスルーだったのに
System Volume Informationフォルダだけもう一回スキャンしたらもう反応なかった
やっぱハッキングのウィルスかな？
94 名前：既にその名前は使われています：2008/07/12(土) 20:24:04 ID:kuAYXufs: >>86
ネ実民はＦＦでの被害がおおいってだけで、
本来はいろんなパスを抜くための複合ウイルスやらトロイのはずだろ？
その対策は入れてもらえるとうれしいが、
根本的にウイルスに引っかからないようにするのは各個人でヤルシカネェ。
95 名前：既にその名前は使われています：2008/07/12(土) 20:30:28 ID:dqtCnsIk: これだけスレが進んでるのに感染しているのかどうかを簡単にチェックする方法がみつかってないとは
どんだけネ実のレベル低下してんだよ
96 名前：既にその名前は使われています：2008/07/12(土) 20:34:24 ID:wopogBHW: >>95
山田とか分かり易い奴じゃないんだよ
察しろよミジンコ
97 名前：既にその名前は使われています：2008/07/12(土) 20:36:17 ID:UfG17X/K: >>95
パス抜きウイルスと言っても毎日のように新しいものが出てる
今回のは感染ファイルすら見つかってない
98 名前：既にその名前は使われています：2008/07/12(土) 20:44:06 ID:qOnis7C4: svchostがPOLに介入しかけてますアラートの報告は結構あるしー。
OS起動時にレジストリキーから起動かけられて常駐監視してるのかなーおもってたけどプロセスリストにも怪しげなのは見つかってないぽいし。
POLのレジストリキーにPOL横取りマルウェアの起動キーしこまれてるかもねー。可能性の話。
99 名前：既にその名前は使われています：2008/07/12(土) 20:44:14 ID:VByqSa/C: >>87

ワンタイムパスワードに使うやつならこれ
超簡単編
http://pc.nikkeibp.co.jp/article/trend/20080612/1004692/
そこそこ普通編
http://www.atmarkit.co.jp/aig/02security/onetimepassword.html
100 名前：既にその名前は使われています：2008/07/12(土) 20:46:10 ID:iblvBXaS: 実は■eの管理鯖がハックされてて
各PCはインアウトの確認だけだったりしてなｗ
101 名前：既にその名前は使われています：2008/07/12(土) 20:54:24 ID:URyWA61d: 実は一番怪しいのがスクエニだったりして
102 名前：既にその名前は使われています：2008/07/12(土) 20:59:54 ID:qOnis7C4: >>65
ふと思ったけどPG2で□e鯖許可する理由はなんだろう？
103 名前：既にその名前は使われています：2008/07/12(土) 21:04:07 ID:W8vdPRwu: 許可しなきゃＦＦできないじゃん
104 名前：既にその名前は使われています：2008/07/12(土) 21:06:52 ID:UfG17X/K: >>102
pg2のデフォではp2pを弾くようになってる。
説明どおりに設定すればいいんだけど、たまに説明を読まずにインスコする輩がいて
稀によくここでFFに繋がらなくなったと騒ぎに来る
105 名前：既にその名前は使われています：2008/07/12(土) 21:10:47 ID:0KlhaUmt: >>102
全部はじいてスクエニだけ許可
106 名前：既にその名前は使われています：2008/07/12(土) 21:14:40 ID:qOnis7C4: 全部弾いてそこだけ穴あけるなら納得ｗ
107 名前：既にその名前は使われています：2008/07/12(土) 21:17:27 ID:M8lb3LZn: p2pを弾くというよりは
p2pする時うっかり企業に接続しないように弾くって感じじゃね、あれ

S○NY系の企業とかがポートスキャン仕掛けてきたりしてるの見えて結構面白いけどなｗ
108 名前：既にその名前は使われています：2008/07/12(土) 21:18:53 ID:wopogBHW: 汚いな糞NYさすが汚い
109 名前：既にその名前は使われています：2008/07/12(土) 21:42:09 ID:mpjK8CNf: この週末は被害報告が今のところ少ないな？
110 名前：既にその名前は使われています：2008/07/12(土) 21:43:13 ID:CJQ0bpYS: 未明にやられる→明日の昼らへんに報告ラッシュとか
111 名前：既にその名前は使われています：2008/07/12(土) 21:46:51 ID:OQ43epUY: IP規制でこれだけ抑えられてるッテ事か？
BOT業者はともかく、アカハックは劇的に少ないね。
なんか■側に穴あって気付いて埋めたのかと勘ぐりたくもなる
112 名前：既にその名前は使われています：2008/07/12(土) 21:47:40 ID:7qArvRod: 中古のＰＳ２ＢＢパックにウイルスしこんであるとかないよね？ｗ
113 名前：既にその名前は使われています：2008/07/12(土) 21:48:14 ID:juijE810: 週末だというのに、スレ遅め
114 名前：既にその名前は使われています：2008/07/12(土) 21:58:38 ID:guj+pI4L: 滅多にanonにしないフレがanonにして
まずソロで行かないようなとこにソロ特攻した後、今もフラついてる…

Tell返事ないんだけどｗｗｗｗPS2プレイヤーも危ないの？
115 名前：既にその名前は使われています：2008/07/12(土) 22:02:38 ID:OJKdvb/k: 危ないよ
116 名前：既にその名前は使われています：2008/07/12(土) 22:03:23 ID:CJQ0bpYS: ただ単に【今は独りで行動したいんです。】だったりして
117 名前：既にその名前は使われています：2008/07/12(土) 22:05:03 ID:guj+pI4L: ものすごい早とちりしたorz
エリア連発でTell届かなくて、ただサポ割れしたままフラフラしてただけらしい

フレ繋がりでハックされた人も出てるからちょっと珍しいことするとびびるなぁ
118 名前：既にその名前は使われています：2008/07/12(土) 22:18:31 ID:2C3Wn5u9: WIN起動直後にwmiprvseが動いてるのを確認したんだけれど仕込まれてます？
POLは問題なく起動しました
119 名前：既にその名前は使われています：2008/07/12(土) 22:18:37 ID:NpoJGXy2: 前スレにあった

うちのPOLクライアントは大丈夫だろうか・・・>>72見るとおっかねーよ；；という人のための簡単チェック。

０．PC再起動。
１．POLの自動ログイン及びパス保存は解除しておく。
２．スタート＞アクセサリ＞コマンドプロンプト起動。
３．POL起動（まだ接続しない
４．コマンドプロンプトで netstat -b コマンド投入。
　　Proto　Local　Address　　　FreignAddress State　PIDの下ににズラズラーっと現在接続しているアプリケーションとIP、Portなどの情報がでるのでPOL.exeがないことを確認。
５．POLでデタラメアカウント情報で接続、ユーザ名caonima5963 Pass 4649などでも。
６．ピロピロいってる最中にカカっとコマンドプロンプトにマッハ。netstat -b投入。
　　そうすると今度はPOL.exeの接続先が出てきているはず。というか感染していると接続後異常終了する可能性が高い？
７．その接続先が>>71にあるリモートIPのどれかであれば、POLが変なところにID/PASSは送信していないと思われる。それ以外のところに繋がっていたら危ないヤカン。パス変更マッハ。
８．POLが変なところに接続してないようなら、再度正規のID/PASSつっこんでログイン。

こんなんでとりあえずどうだろうか・・・穴あったら指摘して都度修正してくだちい。

前スレで有志の方がかいてくれたもの　一応おいとく
120 名前：既にその名前は使われています：2008/07/12(土) 22:19:26 ID:lFiPxk1u: WMIはsystem32\wbem\のなら正規の物だと何度言えば
121 名前：既にその名前は使われています：2008/07/12(土) 22:19:26 ID:nkhtIde3: >>109
順番待ち処理が一段落したか、シナ遮断で処理が滞ってるだけかも。
油断はでけん。
122 名前：既にその名前は使われています：2008/07/12(土) 22:50:16 ID:XWLVzeMB: 午前中からまってるPOLGMコールがまだ繋がらない。
これ繋がるの真夜中かな…
123 名前：既にその名前は使われています：2008/07/12(土) 22:56:44 ID:g8YmKcJ8: GMチャットモードって復旧作業開始してるからじゃなくて、
アカウントを一時凍結してるからだよね？？
もう2週間以上経つけど、なにもねーから復旧作業してんのかどうかわかんねーｙｐ
124 名前：既にその名前は使われています：2008/07/12(土) 22:59:01 ID:SbimFrG1: >>123
データ復旧依頼を出して　凍結されたならおとなしく【まってろ】
今の状態じゃ1ヶ月待たされてもおかしくない。

ただ単に凍結してあるだけ。ならGMチャットでデータの復旧依頼しなされ。
125 名前：既にその名前は使われています：2008/07/12(土) 22:59:40 ID:GIukYqU2: >>123
だよねー。GMを呼んで聞けばわかるのかもしれないけど、待ち時間長いし
そのためだけに呼ぶのも他の人に悪い気もするしで…。
126 名前：既にその名前は使われています：2008/07/12(土) 23:01:50 ID:CLIFm/EX: 今月１日か２日に身分証明が到着したと思う俺の復旧依頼は
今日完了のメールが来たよ
127 名前：既にその名前は使われています：2008/07/12(土) 23:05:09 ID:XWLVzeMB: >>126
キャラ一人だけだった？
俺こまごまと倉庫に分散させて持たせてたの全部やられて
16人全員なんだけどやっぱりかなり遅くなるのかな。
128 名前：既にその名前は使われています：2008/07/12(土) 23:05:40 ID:CLIFm/EX: >>127
15キャラだよ
129 名前：既にその名前は使われています：2008/07/12(土) 23:08:49 ID:TvOEUgsl: カスペルスキー導入したけど、学習モードはテラまんどくせｗ
窓モードじゃないと駄目だなｗ
130 名前：既にその名前は使われています：2008/07/12(土) 23:12:11 ID:XWLVzeMB: >>128
そうか。㌧。
131 名前：既にその名前は使われています：2008/07/12(土) 23:27:23 ID:gO9EGKEG: >>129
なんだよねぇ。。。聞かれてもワケワカメ。
132 名前：既にその名前は使われています：2008/07/12(土) 23:47:04 ID:QmMICCxd: 接続制限してから被害者0じゃね？すごい効き目だｗ
133 名前：既にその名前は使われています：2008/07/12(土) 23:50:52 ID:f2IOiL+u: もって1週間かなぁ・・・
134 名前：既にその名前は使われています：2008/07/12(土) 23:52:29 ID:JpYJ7D+W: どーせこっちに居る在日業者が串用意するんだろうな・・
135 名前：既にその名前は使われています：2008/07/12(土) 23:54:02 ID:qOnis7C4: □e鯖に接続規制はいったとしても、現在感染してるPCからはだだ漏れ状態なんだからな。
回避する策はいくらでもあるし、今被害が治まってるからって油断してると痛い目にあうかもだよｗ
136 名前：既にその名前は使われています：2008/07/12(土) 23:57:37 ID:QmMICCxd: ソッカー…
137 名前：既にその名前は使われています：2008/07/13(日) 00:06:14 ID:hqC07ghP: カスペのオススメ設定の仕方教えてくれませんか～？
全画面モードでやりたいけれど、学習モードだと切断されすぎてやれないです。
困った…。
138 名前：既にその名前は使われています：2008/07/13(日) 00:08:06 ID:ZgF0MYiV: つーか接続規制って結構な効き目だろ？□eがやったことだけみてもｗ
それを自分のPCで行うコトができるのがファイアヲールなわけで。
必要なところだけを開放して、必要ないところは閉じる。
それだけでセキュリティレベルはぐっと上がるもんなんだよｗ

昔のえらいはっかーさんは言いました。
コンピュータシステムで最大のセキュリティホールになりえるのがユーザの存在。
今のうちに環境みなおしておくと幸せになれるかもしれんよｗ
139 名前：既にその名前は使われています：2008/07/13(日) 00:08:14 ID:N/8Oh9UF: >>137
>>56
140 名前：既にその名前は使われています：2008/07/13(日) 00:09:25 ID:aLu7SpGh: >>137
使うのはいいけど基本的に設定の仕方理解できてないんじゃ？
まずはヘルプ読んでみてはどうだろう
141 名前：既にその名前は使われています：2008/07/13(日) 00:13:39 ID:aLu7SpGh: ちなみに学習モードだよ俺も
普通に遊べてる
142 名前：既にその名前は使われています：2008/07/13(日) 00:14:54 ID:d5o8l9No: >>134
接続ルートがさらに狭まるからまあ特定はしやすくなるんじゃね
143 名前：既にその名前は使われています：2008/07/13(日) 00:17:43 ID:lA3khJBk: こっちに鯖立てたら立てたで逮捕すればいいだけだしな

業者ざまぁぁぁｗｗｗ
144 名前：既にその名前は使われています：2008/07/13(日) 00:18:43 ID:F9JK0Irr: >>126
早すぎるだろ
145 名前：既にその名前は使われています：2008/07/13(日) 00:22:26 ID:iT6Mj4Vy: きっと株主！
146 名前：既にその名前は使われています：2008/07/13(日) 00:26:28 ID:62Ef0XIb: 中継鯖立てて逮捕されるのは留学生のアルバイトとかだからな。
効果ないわけじゃないけど替えはいくらでも居ると思うよ。
147 名前：既にその名前は使われています：2008/07/13(日) 00:28:20 ID:M5+WHrMi: まだＧＭコールが繋がらない。
ゲームもしてないのに寝落ちしそうｗ
148 名前：既にその名前は使われています：2008/07/13(日) 00:33:27 ID:YZmKQRd5: >>143
まーボットネット(踏み台)構築するだけなんだけどね。
最近やたらと見かけるasprox系(構造としてはFast-Flux)のボットネットは
感染者がWebサーバにもDNSサーバにもProxyサーバにもなり、
そこらじゅうのWebサイトにSQLインジェクション攻撃も仕掛ける。
最近だとプレステやパンヤのサイトを食った奴ね。
トロイを簡単に踏む人がいる以上、ボットネットもあっという間に増殖する。
149 名前：既にその名前は使われています：2008/07/13(日) 00:34:29 ID:QbFq9U4R: 当分は踏み台候補生を減らすスレ
150 名前：既にその名前は使われています：2008/07/13(日) 00:43:31 ID:1+rDb201: 流れぶったぎり

SecuniaPSIで、古いFlashバージョンが見つかる云々のレスが前にあったと思うけど
GOMPlayer使ってる人はこの中のに反応してるんで
C:\WINDOWS\system32\Macromed\Flashの中にある　Flash9f.ocxを
C:\Program Files\GRETECH\GomPlayerのとこにコピーして古いのを消せばOK

GOMのインストーラで入れたままだとバージョン7のままだった。
一応報告しとく。
151 名前：既にその名前は使われています：2008/07/13(日) 01:17:49 ID:bPXLbkBf: FF11は去年に解約したのですが
最近PCのシャットダウンに数分かかるようになり
いろいろ調べてみてここに来ました。
FF11のコンテンツIDは全て解約し
退会した後にPOLのパスワードやIDのメモも捨ててしまったので
FF11にログインできないので確認することが出来ません。
解約したあとでもアカハックされるのでしょうか？
152 名前：既にその名前は使われています：2008/07/13(日) 01:19:23 ID:cu6AdjP8: 巻き戻しって垢ハックされた日の通りの戻るのかな？
それプラスさらに1週間ほど巻き戻るのかな・・・それだったらＬＶ１０くらい下がるは・・
153 名前：既にその名前は使われています：2008/07/13(日) 01:21:29 ID:Xz6qYol2: データが残ってなければ最大3ヶ月巻き戻るよ＾＾
154 名前：既にその名前は使われています：2008/07/13(日) 01:22:17 ID:7AalaVLn: 今日も被害は普通に発生している模様。
落ち際にフレからテルがあり、PTメンバーのフレがアカウントハックにあったらしく、
急遽解散して有志でかけつけたところまさに身ぐるみはがされて落ちるとこだったらしい。

依然ヤツらは活動中、油断無きように。
155 名前：既にその名前は使われています：2008/07/13(日) 01:22:40 ID:OIbcxMAJ: >>151
解約して放置しているキャラも課金され盗まれる
他のネトゲーでも解約し放置したキャラクターが盗まれたという報告はたくさんあるよ
まぁカード被害とかない限り二度とやらんのなら気にすることもないんじゃね？
156 名前：既にその名前は使われています：2008/07/13(日) 01:23:01 ID:pTYnM/xI: 一応報告
クリーンインストール(Cドライブのフォーマットからやった)直後のPOL起動でもwmiprvse.exeは起動するよ
157 名前：既にその名前は使われています：2008/07/13(日) 01:27:24 ID:YZmKQRd5: >>151
解約したならヴァナでの被害はないだろうけど、
変なの飼ってるのも気持ち悪いだろ。
クレカ情報やいろんなパスワード抜く奴があるし。

ま、ただシャットダウンが遅い、てだけじゃ
Windowsが変になっただけかもしれんけど
そういうのはPC初心者板やWindows板で。
ウイルス関係はセキュリティ板ね。
158 名前：既にその名前は使われています：2008/07/13(日) 01:27:45 ID:cu6AdjP8: >>153
まじかよ・・・エクレアないし巻き戻しなしにしようかな・・・
159 名前：既にその名前は使われています：2008/07/13(日) 01:30:11 ID:d7KDfnvk: >>148
なるほど。そいつは確かに協力(強力)だあ。
最近シャットダウンが遅いだのどうだのと、一人喚いてたけど、こいつが悪さしてたのか。
こいつ、ひょっとすると、ウイルス駆除ソフトが動き出すと、自動で消えるタイプだったりして。
160 名前：151：2008/07/13(日) 01:40:50 ID:bPXLbkBf: レスありがとうございます
FF11解約済みでもパス盗まれ課金されるのですね・・・
しかし解約した後なのでそれを自分で確認出来ないとなると
どうすれば・・・
161 名前：既にその名前は使われています：2008/07/13(日) 01:41:10 ID:CGiEnJ4j: >>150
これは盲点だった
ありがとう
162 名前：既にその名前は使われています：2008/07/13(日) 02:13:17 ID:9TdXO4H9: 今日２垢分やられたお！！
余りのレジコ垢停止したけど、サポセン休みの土日にやるとはなかなか。

こりゃ２４時間とは言わないが、土日も体力出来るセンタとか必要じゃね？
まぁ対応（ロールバックとか）はかなりの時間要するだろうけどＧＭとのやりとりだけじゃ不安だよ。
163 名前：既にその名前は使われています：2008/07/13(日) 02:17:54 ID:QiCUaC+a: ちなみにさ、PG2って、
>>65で「許可」の設定やったら、そのアプリの「許可」以外のIP接続は自動で弾くような仕様になってるの？
他のを弾く設定にしなきゃ意味ないんじゃ、と思ったんだが、
それだと許可が選べる理由がないか
164 名前：既にその名前は使われています：2008/07/13(日) 02:24:42 ID:QiCUaC+a: よく考えたらexeファイルの指定もしてないな
これじゃ意味ないんじゃ…
165 名前：既にその名前は使われています：2008/07/13(日) 02:27:53 ID:7lZNjsl6: 伸びが悪くなってきたってコトは、多少は沈静化してきたのかな？
166 名前：既にその名前は使われています：2008/07/13(日) 02:28:22 ID:/1UmRSQ5: それはどうかな
167 名前：既にその名前は使われています：2008/07/13(日) 02:54:06 ID:B41XcXSl: >>155
レベル上げ中業者PTのPL役が昔だったら先行業者PTで育ったキャラだったのが
最近だとノーマークのが行き成り現れてる。
AF2着た白とかハックされたキャラではと思うと遣り切れないものがあるな。
168 名前：既にその名前は使われています：2008/07/13(日) 02:55:16 ID:hqC07ghP: ヘルプ読んでもやり方まで詳しくないから、カスペ学習モード取りやめ…。
ポート開放とかやり方分からない俺アホス。
いや、自分なりに今まで調べたけど、むっずいわ。
ＦＦやる為のカスペテンプレ欲しいわ…orz
169 名前：既にその名前は使われています：2008/07/13(日) 03:02:03 ID:N/8Oh9UF: 学習モードにしないと外への送信全部スルーで盗まれ放題
170 名前：既にその名前は使われています：2008/07/13(日) 03:15:20 ID:N/8Oh9UF: >>163
お前は何を言ってるんだｗ
PG2はファイアウォールじゃないぞ
171 名前：既にその名前は使われています：2008/07/13(日) 03:16:13 ID:dCpPwOmL: >>153
最近の報告で３ヵ月巻き戻しとかあったけ？あっても稀なケースだろそんなの。
こんだけ待たされて3ヶ月とか戻るともっと騒がてれるはずだしあんま不安煽るなよ。

>>158
今までの報告だとハック時間わかってれば、最後に落ちた1時間前後にもどったって報告から
24-30時間巻き戻ったって報告まであるから参考までに。
このスレ結構いるけど3ヶ月って数字は見たこと無い。
可能性としてはあるかもしれないからまぁ自己責任で。
172 名前：既にその名前は使われています：2008/07/13(日) 03:19:13 ID:bwKe3DWT: 昨日やられました。
接続制限の巻き添え食らってようやく入れたーと思ったら

パスワードが違います・・・
173 名前：既にその名前は使われています：2008/07/13(日) 03:23:03 ID:pTYnM/xI: やられました報告が２件来てるけど
テンプレを・・・・って無いのかよｗ
174 名前：既にその名前は使われています：2008/07/13(日) 03:24:30 ID:pTYnM/xI: ----------報告用テンプレ、書ききれない場合は複数レスに分けて下さい----------
【　　　気付いた日時　　　　　】 (被害に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス、ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【他人が貴方のIDを使用したことが一度でもあるか】 (Yes/No)
【ID・Passの認証方法】 (POLに保存/自動ログイン/手打ち、途中で変更した場合はその履歴、例：自動ログイン→○月○日から手打ち、等)
【　Pass変更の履歴　】（していた/していなかった、していたなら最後にパスを変えたのはいつか）
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【　　ツールの使用の有無　　　】 (Yes/No、Yesの場合はそのToolの説明)
【　ネットカフェの利用の有無　　　】 (Yes/No)
【　　　 OS　　】 (SP等まで書く)
【使用ブラウザ】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【FlashPlayerとRealPlayerのバージョン】（更新日時をわかる範囲で　未導入であれば無し）
【　アンチウイルスソフト】 (NortonInternetSecurity2008 等の名称、及びパターン更新日)
【その他のSecurty対策】 (Spybot S&D、ルータ、等)
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでC:\WINDOWS\System32\●●.DLLをTrojan.W32●●として発見等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
175 名前：既にその名前は使われています：2008/07/13(日) 03:31:16 ID:EGnZWTBk: 　　　　ヾミ || || || || || || || ,l,,l,,l 川〃彡|
　　　　　V~~''-山┴''''""~ 　　ヾニﾆ彡|　　　　　　　垢ハックはする・・・・・・！
　　　　 /　二ー―''二　　　　　ヾﾆニ┤　　　　　　するが・・・
　　　 <'-.,　　￣￣　　 _,,,..-‐､　〉ニﾆ|　　　　　　　今回　まだ　その時と場所の
　　　/"''-ﾆ,‐l 　　l`__ニ-‐'''""` /ニ二|　　　　　　　指定まではしていない
　　　|　==＝､!　　`＝====､　　l =ｌべ=|
.　　　| `ーﾟ‐'/　　 `ー‐ﾟ―' 　　l.=lへ|~|　　　　　　　そのことを
　　　 |`ー‐/　　　　`ー――　　H<,〉|=|　　　　　　　どうか諸君らも
　　　 |　　/　　　､　　　　　　 l|__ノｰ|　　　　　　　思い出していただきたい
.　　　| ／`ー　~　′　　＼　　　.|ヾ.ニ|ヽ
　　　 |ｌ　下王l王l王l王lヲ｜　　|　ヾ_,|　＼　　　　　つまり・・・・
. 　　 |　　　　≡　　　　　　　　　|　　 `l　　＼__　　　我々がその気になれば
　　　　!、　　　　　　　　　　 _,,..-'′ ／l　　　 |　~'''　感染したPCのアカウントハックは
‐''"￣|　`iｰ-..,,,＿,,,,,....-‐'''"　　／　 |　　　 |　　　 10年後　20年後ということも
　-―|　　|＼　　　　　　　　　／　　 |　　　　 |　　　可能だろう・・・・・・・・・・ということ・・・・！
　　 |　　 |　＼　　　　　　／　　　 |　　　　　 |
176 名前：既にその名前は使われています：2008/07/13(日) 03:33:55 ID:N/8Oh9UF: 可能かもしれんがさすがにサービス終了してるだろうｗ
177 名前：既にその名前は使われています：2008/07/13(日) 03:36:51 ID:R3yiTC4w: ログイン中に業者に落とされて業者とログイン合戦の報告少ないよな
ログアウト中に盗まれるのが多いとこ見るとサーチでログインしてないか監視して
盗んでるんだろうな。
178 名前：既にその名前は使われています：2008/07/13(日) 03:40:13 ID:F9JK0Irr: ハクラレTIMEは2：00～13：00頃っぽい
業者冗談抜きで死ねばいいのに。ゲームで殺意が芽生えるなんて
179 名前：既にその名前は使われています：2008/07/13(日) 03:45:20 ID:gNn9ztfu: パス変更ってXBOXでやれば安全ですよね？
180 名前：既にその名前は使われています：2008/07/13(日) 03:51:24 ID:Xz6qYol2: 絶対安全とは言えない＾＾
181 名前：既にその名前は使われています：2008/07/13(日) 03:56:19 ID:zc1nMfb8: 被害にあった人の感染箇所が現状PCのみと仮定すれば
XboxやPS2でのPW変更に成功すれば安全といってもいいでしょう

でもホントか嘘かわからないけどパス記憶してないPCのFFユーザがハクられた報告が前スレにあったから
変更後にPCでプレイするならば心配の種は尽きませんね
182 名前：既にその名前は使われています：2008/07/13(日) 04:16:24 ID:McH4l2cI: >>177　
ログイン中に盗まれたよ
エラーメッセージに焦っていて細部まで覚えていないが、「他からログインしています」のような文章がざっと読めた
30秒ほどで自分のキャラは回線切断出して、落ち
そばにいたフレの話によると、即リポップして倉庫に向ったらしい
他のフレからもログイン中の似たような症状でハックされたヤツがいるって聞いたから割とあるのかも
被害はなかったんだが、パス変えられたのが痛かった
183 名前：既にその名前は使われています：2008/07/13(日) 04:19:18 ID:OYG5Stbe: 復旧したので報告

24日正常にログアウト
25日ハクられ（パスワードが違います）　サポセンに連絡→パス変更依頼
26日被害確認　GMに連絡→垢凍結及び復旧依頼（3キャラ分）
27日証明書送付（土日挟んでいるので■は30日月曜日に確認か？）
7月12日復旧完了のメール
ログインして確認したら23日ログアウトしたときのデータに巻き戻ってた

宅配・競売・ポストのアイテム以外は戻っていました
184 名前：既にその名前は使われています：2008/07/13(日) 04:24:10 ID:wpbkqqm+: >160
「解約」の意味により違う。
POLアカウントごと退会（普通の人はわざわざやらない）したなら
POL退会者向けのFFウェルカムバックキャンペーンもしくは
電話連絡をしないとPOLアカウントは復活しないので一応安全。
POLアカウントを残して、ただコンテンツID（キャラ）の解約をした場合は
お金持ち装備もったままとかだと狙われるかもね。
二度とFFやらないってんならPOL退会がいいかも。
185 名前：既にその名前は使われています：2008/07/13(日) 04:54:32 ID:gNn9ztfu: とりあえずPS2でPOLパス変更に成功したのですが
もしPCに何か仕込まれてる場合新パスワードをPCに打ち込んだ瞬間送信されてしまいますか？
やはりクリーンインストールしないとだめ？
186 名前：既にその名前は使われています：2008/07/13(日) 04:57:16 ID:Wuihf3uA: ＞やはりクリーンインストールしないとだめ？

しないでまたハックされても報告しなくていいから
187 名前：既にその名前は使われています：2008/07/13(日) 05:04:29 ID:coBNjaSe: >>185
クリーンインストールしてもまた仕込まれそうだし
PCは諦めてPS2かXBOXでやってなよ
188 名前：既にその名前は使われています：2008/07/13(日) 05:06:12 ID:cu6AdjP8: >>183
すごく参考になったわ
2週間前後信じて巻き戻しにしてＰＳ２に移動しよう・・・
189 名前：既にその名前は使われています：2008/07/13(日) 05:07:23 ID:CkbiGwol: ちょっとお聞きしたいのですが
WindowsUpdateやｺﾝﾄﾛｰﾙﾊﾟﾈﾙを開けるのにすごく時間がかかったり、
ｼｬｯﾄﾀﾞｳﾝに時間がかかったりするのでｳｨﾙｽがいるのは
間違いないと思うのですが、PCでFFはしないので
今のとこ被害はないんですが、銀行振り込みや他のゲーム等の
ﾊﾟｽも抜かれるんでしょうか？？
PCについてはまったくの無知でして、ご教授お願いします
190 名前：既にその名前は使われています：2008/07/13(日) 05:08:39 ID:xpZ+q3Sx: その可能性は十分にあるとしか言えない
191 名前：既にその名前は使われています：2008/07/13(日) 05:10:47 ID:a3fXT6dU: >>189
世の中には、FF11のアカハックウィルスしか存在しないとでも？ｗ
192 名前：既にその名前は使われています：2008/07/13(日) 05:11:35 ID:gNn9ztfu: クリーンインストールするしかなさそうですね、面倒だけど。
ほんとに中国人いい加減にしてほしい
193 名前：既にその名前は使われています：2008/07/13(日) 05:14:27 ID:EGnZWTBk: クリーンインストール　ウイルス感染

で、調べてみると理由がわかるよ。
194 名前：既にその名前は使われています：2008/07/13(日) 05:33:11 ID:QiCUaC+a: >>170
いや、スマンコ
>>65がそういう説明してるから、
無理じゃね？と思ってさ
195 名前：151：2008/07/13(日) 05:37:25 ID:bPXLbkBf: >>184
POLを退会したあとに再びPOLにログインしようとすると復活手続きのための
パスワードとIDの確認の画面になったのは覚えてるのでパスワードとIDが盗まれると
これによりログインされ勝手に復活手続きされることもあるんですよね・・・？
196 名前：既にその名前は使われています：2008/07/13(日) 05:42:14 ID:wpbkqqm+: >195
退会してから三ヶ月ちょい（データ残っててその復活手続きできる）以内だとできちゃうかも。
197 名前：既にその名前は使われています：2008/07/13(日) 06:13:41 ID:gEExB3Z1: PG2で■eと２ｃｈとニコニコだけ許可してあと遮断するのってどうすればいいでしょう？
198 名前：151：2008/07/13(日) 06:27:55 ID:bPXLbkBf: >>196
私は退会して半年以上経ちますが少し不安ですね・・・
レスありがとうございました
199 名前：既にその名前は使われています：2008/07/13(日) 07:22:23 ID:QiCUaC+a: >>195
俺の経験上、退会して2年半以上放置してた2アカがふつーに復帰させれたから、
運が良い（悪い？）といつまででもデータ残ってるよ

2アカは復活する可能性が比較的高いだろうから、優先的に残されてたのかもしれんが
200 名前：既にその名前は使われています：2008/07/13(日) 07:31:58 ID:QiCUaC+a: >>197
確認のためにざっとマニュアルも読んできたけど、
基本遮断で許可した奴だけ通すって機能は無い臭い。
あくまで指定したIPを弾くだけ。

なんで許可するってチェックがあるのかすごく謎だが…
201 名前：既にその名前は使われています：2008/07/13(日) 07:35:37 ID:QiCUaC+a: あぁ、自動で読み込んだリストの中に、許可したいIPがあったら困るからか
ますます>>65が無意味…
202 名前：既にその名前は使われています：2008/07/13(日) 07:44:56 ID:4aCMT4b9: PG2のP2Pリスト入れると、そのIPはじくので許可の出し方じゃなかったっけそれ
203 名前：既にその名前は使われています：2008/07/13(日) 07:51:40 ID:lA3khJBk: >>202
阿呆をいちいち相手する必要ないぞ
204 名前：既にその名前は使われています：2008/07/13(日) 07:54:29 ID:0XELpq6b: ニムダやクレズが可愛く思えてくるはｗ
あれは基本的に破壊するためだけのものだったからな・・・
205 名前：既にその名前は使われています：2008/07/13(日) 08:02:45 ID:ffyV8DnO: 試しにPG2のP2Pの項目にチェックしてFFつないでみ？
繋がらないから
だから、P2Pの項目にチェックしつつ>>65を許可してそれ以外を弾くの

わかった？机上演習ばかりしてないで実際やりなさいｗｗ
ベンゾーさんｗｗｗ
206 名前：既にその名前は使われています：2008/07/13(日) 08:18:56 ID:gEExB3Z1: 報告　今GMとお話してキャラを凍結してもらった。
んで、本人確認の書類が届き次第順番待って復旧作業して
終わったら書類に書いたこっちの連絡用メアドに「終わったよーん」
ってメールが来る。

がいしゅつかもしれないけど、いちお報告。

GM＞凍結(ログイン制限)＞書類送る＞待つ＞作業完了メールくる＞復帰

こんな流れ。
207 名前：既にその名前は使われています：2008/07/13(日) 09:16:41 ID:tQUH6hFu: ざっとスレ読むと復旧作業に必要な時間に個人差があるのかな。
2週間の間に他のゲームにハマってどうでもよくなってきたから困る。
208 名前：既にその名前は使われています：2008/07/13(日) 09:27:52 ID:hTH2CyE6: >>207
FFが仕事じゃ無いなら楽しいことやりゃいいじゃん
209 名前：既にその名前は使われています：2008/07/13(日) 09:41:46 ID:MFbyOcj4: windows update開くと重いんだけど、これってやばいんだっけ？
あと更新しようとしてもエラーでてできないんだけど、【どうすればいいですか？】
210 名前：既にその名前は使われています：2008/07/13(日) 09:44:24 ID:+8lINgve: スレ読めば理解できるだろ・・・
211 名前：既にその名前は使われています：2008/07/13(日) 09:58:11 ID:hRo9L5OU: 知り合いがアカハックにあったんだが、ちょっと聞いてくれ
箇条書きで行く

・家族（２人）でFFをしている、１人はPC、１人はPS2
・PCがウィルスに感染しアカハックされる
・PS2の人がGMを呼び出しPCのキャラをアカ停止
・念のためPS2アカのパスワードを変更しておく
・3時間くらいしてPS2の人がログインしようとしたらログインできず
・PS2の人もアカハック被害

もちろんPS2の人は感染の疑いがあるPCでログインなぞしていないし、変更した
パスワードはかなり意味の無い記号羅列らしい

それで想像なんだが、仕込まれたトロイが同一ネットワーク上にあるPS2やPCの
アカウントを盗むようにできてたりしないかな

PS2のプログラムがどうなってるか知らないが、今回の出来事は結構衝撃だわ

PS２でログインパスワード保存してなければ回避できたかもしれんが…
212 名前：既にその名前は使われています：2008/07/13(日) 09:59:56 ID:RYc2VP/m: パスワード間違ってるだけじゃあ
213 名前：既にその名前は使われています：2008/07/13(日) 10:03:37 ID:kLSaZth3: 被害妄想乙って感じ
理論と実践は違う

パスを変えたというのが本当にPOLのログインパスだったのか？
（過去にPOLのメンバーパスと勘違いしていた人もいる

パスを変えた後にPCで本当にログインしていないのか？
214 名前：既にその名前は使われています：2008/07/13(日) 10:04:26 ID:+8lINgve: PS2でパス変更しての被害はないしな
パス間違ってるだけだろ
215 名前：既にその名前は使われています：2008/07/13(日) 10:05:34 ID:kLSaZth3: パスワードかえたあとに昼寝してしまって変えたパスを忘れたときは焦ったなーｗ
216 名前：既にその名前は使われています：2008/07/13(日) 10:05:44 ID:zL0pSSUg: 理論的に出来ないことはないが、コストに対してリターンが少なすぎる
パスワードが間違ってるだけな気がする
217 名前：既にその名前は使われています：2008/07/13(日) 10:12:27 ID:Sni935nv: >>170
いやいや、PG2は普通にIP based firewallだろ。
無論、IDSやHIPSとしての機能は持たないが。
218 名前：既にその名前は使われています：2008/07/13(日) 10:13:03 ID:Prvr+t76: PCにPS2のアカウントを登録してんじゃ？ｗ
219 名前：既にその名前は使われています：2008/07/13(日) 11:06:45 ID:pTYnM/xI: >>206
垢凍結の後に
サポセンに電話＞新パス発行＞ログインして被害状況確認＞復旧申請＞
が抜けてる
220 名前：既にその名前は使われています：2008/07/13(日) 11:08:10 ID:+NM+HKZU: >>218
アカウントは全プラットフォーム共通だよ、はとこの子の玄孫よ
221 名前：既にその名前は使われています：2008/07/13(日) 11:09:55 ID:zL0pSSUg: >>218
あと考えられる可能性は、■eがPS2アカウントの方を勝手にアカ停にした
222 名前：既にその名前は使われています：2008/07/13(日) 11:20:50 ID:BqhwV+rk: PS2でパス取られたとか、ビニール傘をアロンアルファで補強したら空を飛べるってくらい
胡散臭い話も、基本的な理解が無い人にとっては信じられる話な訳ですよ
223 名前：既にその名前は使われています：2008/07/13(日) 11:41:48 ID:acFlpEi4: PCにグリッドマンをインストールしてない人が集うスレはここですか？
224 名前：既にその名前は使われています：2008/07/13(日) 11:44:01 ID:YfKnezUC: ピィスィ( ﾟДﾟ)
225 名前：既にその名前は使われています：2008/07/13(日) 11:56:27 ID:rMm+8+jy: >>168
設定しないんじゃｶｽペにした意味も半減。
前スレにも設定のヒントとか書いてあったはずだし、わかるまで100回よむべし。
どうしてもできないならPSなり箱なりでやれ。
226 名前：既にその名前は使われています：2008/07/13(日) 12:11:20 ID:NVAwxVT0: 今さらなんだが、カスペがもてはやされる理由は何？
NODの価格.com事件で真っ先に検出みたいな
人気になったりシェア伸ばしたりする理由はないの？
227 名前：既にその名前は使われています：2008/07/13(日) 12:12:25 ID:rPB6UH67: うちの鯖の中華スシマシーンとネツラーは既に戻ってきた
明日の被害報告を楽しみます
228 名前：既にその名前は使われています：2008/07/13(日) 12:13:20 ID:xfHKwfw9: >>226
山田みたいなマイナーなウィルスへの対応が早いとか
カスタマイズ次第で軽くなるとか

まぁその辺だろう
229 名前：既にその名前は使われています：2008/07/13(日) 12:15:26 ID:kLSaZth3: >>226
以前の垢ハックのときに検出できたソフトだった
新ウィルスへの対応が早い

検出率がいつも高いソフトはない
対応が早いが誤検出も当然ある
230 名前：既にその名前は使われています：2008/07/13(日) 12:17:01 ID:NVAwxVT0: >>228
【なるほど。】

プリインストールのノートンからじゃ、優待版は買えないかな？＾＾；
231 名前：既にその名前は使われています：2008/07/13(日) 12:19:04 ID:rPB6UH67: >>230
FF11やらないならノートンは十分ですけど
FF11やるなら(´・ω・｀)
232 名前：既にその名前は使われています：2008/07/13(日) 12:24:45 ID:aGt8EsWk: >>76
順番待ち
233 名前：既にその名前は使われています：2008/07/13(日) 12:25:54 ID:kLSaZth3: パーフェクトな対策ソフトはないよ
特定のソフトがその時期は良かったという認識のほうがいい
234 名前：既にその名前は使われています：2008/07/13(日) 12:26:52 ID:r1GzBgRu: FFAHって結局なんだったの？中華の刺客だったの？
235 名前：既にその名前は使われています：2008/07/13(日) 12:27:28 ID:9H1cwP/D: ウイルスVSアンチウイルスは、かならずウイルス側が先手を取るからねぇ
後手のアンチウイルスが対策を講じるまでに引っかかったらアウト
236 名前：既にその名前は使われています：2008/07/13(日) 12:27:50 ID:BsaeBhnA: >>226
カスペルスキーって定義ファイルの更新が他のウィルス対策ソフトより頻繁なんです。
237 名前：既にその名前は使われています：2008/07/13(日) 12:39:23 ID:8ZihgPXR: >>236
特定の拡張子のみ検索除外ってできる？
238 名前：既にその名前は使われています：2008/07/13(日) 12:40:29 ID:krg2u1zQ: >>234
だから悪いのはAHじゃなく広告だと何度言ったら(´・ω・｀)

改竄されたサイトが2万とか言われてるのにAHばっか
目の敵にしてるとノーマークのところからサクッと
やられるよ？
AHなんて対策していれば全く怖くないよ。
239 名前：既にその名前は使われています：2008/07/13(日) 12:41:19 ID:krg2u1zQ: >>238
240 名前：既にその名前は使われています：2008/07/13(日) 12:42:38 ID:krg2u1zQ: >>238
全くというのは語弊があるね。訂正してお詫びいたします。
241 名前：既にその名前は使われています：2008/07/13(日) 12:43:53 ID:BsaeBhnA: >>237
それは無理だと思います。軽く設定覗いてみたかぎりでは
242 名前：既にその名前は使われています：2008/07/13(日) 12:44:08 ID:OzL1Vn4m: AHって一回悪質な広告系の苦情が多くて広告少なくしたら
赤字になったってんでまた元に戻したんじゃなかったっけ？
243 名前：既にその名前は使われています：2008/07/13(日) 12:45:11 ID:rMm+8+jy: >>237
いまどき、その程度のことができないソフトなんてあるの？
244 名前：既にその名前は使われています：2008/07/13(日) 12:46:20 ID:rMm+8+jy: >>241
おいおい、ちゃんとファイルマスクできるようになってるよ。
ヘルプにもあるでしょうよ。
245 名前：既にその名前は使われています：2008/07/13(日) 12:48:21 ID:BsaeBhnA: >>237
私自身は行っていないのでわかりませんが　除外マスクに拡張子を登録すれば可能かもしれません。
これぐらいの回答しかできません。申し訳ない
246 名前：既にその名前は使われています：2008/07/13(日) 12:51:04 ID:xfHKwfw9: >>237
設定＞脅威と除外

あとはヘルプ見るなりググるなりしてくれ
247 名前：既にその名前は使われています：2008/07/13(日) 12:51:05 ID:krg2u1zQ: >>242
今現在、googleadservisesしか確認できないな。
248 名前：既にその名前は使われています：2008/07/13(日) 12:51:41 ID:YfKnezUC: というか知らないなら無理に答えないでも。却って混乱するよ。
249 名前：既にその名前は使われています：2008/07/13(日) 12:59:50 ID:CUxv2ul2: POL起動するとwzcsvbxm.dllの問題でエラーが出るんだが、
同じ問題抱えてる人いるかなぁ？

ちなみにエラー窓放置してるとそのままプレー出来るが、
プレー中でもエラー窓に返答するとPOLクラッシュするｗ

現在アカハック後、復元待ち中
250 名前：既にその名前は使われています：2008/07/13(日) 13:05:35 ID:xfHKwfw9: >>249
なんだその怪しいDLLはｗ
251 名前：既にその名前は使われています：2008/07/13(日) 13:06:22 ID:eW/9iWil: データ復元希望を郵送してハックされた垢でログインすると
GMからのメッセージ着信するまで待機してくださいってあるんだけど
この画面でずっと待ってないと駄目？待ち人数1番目になってるから不安なんだ
252 名前：既にその名前は使われています：2008/07/13(日) 13:06:32 ID:62Ef0XIb: つーるじゃんｗ
253 名前：既にその名前は使われています：2008/07/13(日) 13:09:00 ID:pTYnM/xI: うちのPCはwzcsvc.dllならあるけどwzcsvbxm.dllは無い
wzcsvbxmでググっても4件しか出てこないし、怪しいファイルかもしれない
254 名前：既にその名前は使われています：2008/07/13(日) 13:11:11 ID:9H1cwP/D: >>253
windower（＝窓化ツール）のページだべ
窓化関係でエラー吐かれてるだけじゃないかね
255 名前：既にその名前は使われています：2008/07/13(日) 13:21:47 ID:ZgF0MYiV: >>249
windowerつかってるのかね？
256 名前：既にその名前は使われています：2008/07/13(日) 13:22:11 ID:CUxv2ul2: 以前「FFWindower改斬 for PC版」ってのを使ってたんだが、
現在未使用で、公式窓oｒフルスクリーンにしてるがそれでもエラーするのよ

「wzcsvbxm.dll」はPC内検索しても出てこないんだよなぁ
257 名前：既にその名前は使われています：2008/07/13(日) 13:23:43 ID:ZgF0MYiV: なんてエラーでおちるか書き出してみてほしいかねｗ
258 名前：既にその名前は使われています：2008/07/13(日) 13:24:59 ID:NVAwxVT0: ツーラーに答える奴なんているのかねえｗ
259 名前：既にその名前は使われています：2008/07/13(日) 13:27:58 ID:YZmKQRd5: >>249 はツーラーなのでスルーで。
ツーラーが罠ツール踏んでハクられたら少しはヴァナも綺麗になるさ。
260 名前：既にその名前は使われています：2008/07/13(日) 13:30:16 ID:ZgF0MYiV: レジストリキーでそのdllの読み出しされてて、dllが存在しない場合エラーになるんだが。
改斬でそんなdllの登録はされないんだなー。
POLのレジストリ書き換えることもないしなあ。
261 名前：既にその名前は使われています：2008/07/13(日) 13:31:42 ID:CyS7VFlA: 本家のほうにあるんじゃね？
262 名前：既にその名前は使われています：2008/07/13(日) 13:33:12 ID:ZgF0MYiV: 本家はつかったことないからわからないんだけど、間違いなく本家はつかってないんだよな？ｗ
263 名前：既にその名前は使われています：2008/07/13(日) 13:33:58 ID:62Ef0XIb: >>259
ヒント：キャラ復活サービス
264 名前：既にその名前は使われています：2008/07/13(日) 13:36:10 ID:CUxv2ul2: 公式窓は色あいが酷くて見づらかったので「改斬」を使ってた。

windowerの本家（英語版？）は使ったこといっす。
265 名前：既にその名前は使われています：2008/07/13(日) 13:38:56 ID:CUxv2ul2: >>263

いや、アカハクされて倉庫キャラ全削除→メインキャラ鯖移動だったから、
倉庫をまず復活してから復元作業依頼してるところなんですよ。
266 名前：既にその名前は使われています：2008/07/13(日) 13:39:22 ID:ZgF0MYiV: エラー出るタイミングはどこだろう。POL起動時かそれともFF動いてからか。
267 名前：既にその名前は使われています：2008/07/13(日) 13:40:05 ID:011kEVK8: wzcsvbxm.dllはwindowerと関係ないぞ
つーかそれがウィルスの正体と思われる
268 名前：既にその名前は使われています：2008/07/13(日) 13:41:37 ID:CUxv2ul2: >>266
POL起動時にスプラッシュ画面が出て、次のアカウント表示させる画面あたりで発生します。

エラー窓にて詳細を表示すると下記のメッセージが出ます。

AppName: pol.exe AppVer: 1.18.7.0 ModName: wzcsvbxm.dll
ModVer: 0.0.0.0 Offset: 00002d60
269 名前：既にその名前は使われています：2008/07/13(日) 13:46:24 ID:xfHKwfw9: >>268
ほぼウィルスだな
そのファイルが何処かにあるはず
徹底的に検索して探し出せ
270 名前：既にその名前は使われています：2008/07/13(日) 13:48:56 ID:CUxv2ul2: >>267
>>269
なるほど・・・。

ではでは探してみます。
271 名前：既にその名前は使われています：2008/07/13(日) 13:51:26 ID:NVAwxVT0: なるほど、窓化ソフトのDLLと同じ名前を使うことで
発覚を防いでるっつーわけか。

でもFFWindower改斬 for PC版っていうのもツールだろ？
272 名前：既にその名前は使われています：2008/07/13(日) 13:53:12 ID:pTYnM/xI: >>270
フォルダオプションで
ファイルとフォルダの表示>全てのファイルとフォルダを表示する
保護されたオペレーティングシステムファイルを表示しないのチェックを外してある
になってる？
273 名前：既にその名前は使われています：2008/07/13(日) 13:55:56 ID:BIvn1zQ1: >>271

ツールだな、使用環境すべては自己責任対象だ
正直相談に乗る気すらおきん
274 名前：既にその名前は使われています：2008/07/13(日) 13:56:12 ID:ZgF0MYiV: 真っ当なプログラム開発しててModVer: 0.0.0.0はネーワな
windowerでも改ざんでもｗ
それに正規POL起動してもエラーでるならPOLのレジストリの中に変なエントリ埋め込まれてる可能性が高いと思うし。
POL自体書き換えられてる可能性も以前住人でハッシュチェックしたところ書き換えられているようでもなかったしなー。
275 名前：既にその名前は使われています：2008/07/13(日) 13:57:03 ID:lsp2xTWG: 窓化ツールはwzcsvbxm.dllなんて使わない
wzcsvbxm.dllが見つからないならPOL起動時にwzcsvbxm.dllを一時的に生成するウィルス本体がいるはず
276 名前：既にその名前は使われています：2008/07/13(日) 13:57:35 ID:hZL0tiQy: おいィ？sourceforge繋がりにく過ぎでしょう？
277 名前：既にその名前は使われています：2008/07/13(日) 13:57:53 ID:ZgF0MYiV: ツールの是非はこのスレには関係ないｗ

ちなみに今落としてきたけど改ざんに上記dllもないｗ
278 名前：既にその名前は使われています：2008/07/13(日) 13:58:22 ID:9H1cwP/D: Windowerのフォーラム見る限り、ハッキング被害者の報告で名前が出てるな。
一応場所は

located in:
c:\documen~1\mike\locals1~\temp\42cf_appcompat.txt

とある。多分
documents　and　settings\ユーザー名\Local　Settings\temp
だと思う
279 名前：既にその名前は使われています：2008/07/13(日) 13:59:54 ID:xfHKwfw9: >>270
検索する前にこの設定をしているか確認した方が良い
>http://support.microsoft.com/kb/309173/ja
1. [スタート] ボタンをクリックし、[検索] をクリックします (または [検索] をポイントして [ファイルやフォルダ] をクリックします)。
2. [設定を変更する] をクリックし、[インデックスサービスを使う (ローカル検索を速くする)] をクリックします。
3. [インデックスサービスの設定を変更する (詳細)] をクリックします。インデックスサービスを有効にする必要はありません。
4. ツールバーで、[コンソールツリーの表示/非表示] ボタンをクリックします。
5. 左側のウインドウで、[インデックスサービス - ローカルコンピュータ] を右クリックし、[プロパティ] をクリックします。
6. [生成] タブで、[未登録の拡張子のファイルにインデックスを付ける] チェックボックスをオンにし、[OK] をクリックします。
7. インデックスサービスコンソールを閉じます。

後、海外サイトではflash player系で感染したんじゃないか？みたいな話題が出ている。
OSのファイルで無い以上、リネームするなり削除するなり対策した方が無難っぽいね
280 名前：既にその名前は使われています：2008/07/13(日) 14:02:31 ID:CUxv2ul2: >>272
はい。
隠しファイルも表示するようになってます。

今レジストリ検索掛けて見たところ・・・

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters　の中の

「ServiceDll」→「REG_EXPAND_SZ(種類)」に%SystemRoot%\System32\wzcsvbxm.dllって値が割り当てられてます。

うーむ・・・これは消していいものなのどうなのか・・・。
281 名前：既にその名前は使われています：2008/07/13(日) 14:05:19 ID:N/8Oh9UF: お、一気に核心に近づいた予感
282 名前：既にその名前は使われています：2008/07/13(日) 14:05:59 ID:ZgF0MYiV: これは可能性の話。

wzcsvbxm.dllを検索してもいないというなら自己消滅するような仕組みがなされていると考えられる。
そのようなマルウェアを使う場合、仕様上一回こっきりしかつかえないわけだけど
wzcsvbxm.dllを自己生成するプログラムがある、またはPC起動時に本体をDLしてくるようなプログラムをOSに仕込んでいる可能性。
283 名前：既にその名前は使われています：2008/07/13(日) 14:06:02 ID:pTYnM/xI: >>280
うちのPCはD:\WINDOWS\system32\wuauserv.dllってなってる
284 名前：既にその名前は使われています：2008/07/13(日) 14:07:04 ID:fFi79L18: たった今、アカウントハックの被害を確認。
倉庫専用アカウント（キャラ）が所持していたメインアカウントの移動可能アイテムの中で、
高額アイテムをピンポイントで抜き取り。
ギルはほとんど持ってなかったけど、競売で売れたデモクロの代金（460K）は手付かず。

3キャラいるんだが全てに3国の礼服を着せてたんだけど、今ログインしたところ裸だった。
もしや…！と思い青くなってログインしたけど、なんだかな～；；

セキィリティソフトは以前は入れてたんだけど、ゲーム中にポップアップウィンドウで全画面
終了されるのがウザくてアンインストール済み；；
FFAHも結構頻繁に利用してました；；
最近は垢ハックが騒がれてたから、つい最近カスペルスキー？のオンラインウィルススキャン
実行したばかりなんですが、やっぱそれじゃ不十分だったかな；

メインキャラのほうはゲーム専用マシンと化しているPCでやってて、ネットサーフィンそのもの
利用が無かったから無事だったのかな。。。
（PC2台でメイン+倉庫と使い分け、IDやパスの登録情報の共有も無し）

むーん…困ったな。前回ログイン時間（ハックされた時間）が昨日の深夜02：27なんだけど、
夜勤組みの俺はどうやってもその時間ログイン不可ですｗｗ
285 名前：既にその名前は使われています：2008/07/13(日) 14:07:58 ID:ZgF0MYiV: \wuauserv　これってウィンドウズウｐデトだよねえ。
なるへそ・・・
286 名前：既にその名前は使われています：2008/07/13(日) 14:08:42 ID:9H1cwP/D: >>284
いま話題になってるやつはカスペでもまだ検出されてない可能性がある
しかし昨日の深夜ｔってアクセス制限かけた後の被害か
287 名前：既にその名前は使われています：2008/07/13(日) 14:10:17 ID:HTNTDv+Z: 過剰に警戒心を煽るため捏造報告が多数あることも考慮しような
288 名前：既にその名前は使われています：2008/07/13(日) 14:10:45 ID:ZgF0MYiV: たしか前スレか前々スレかで、svchostの親がwuauservだったって報告あったよねえ。
これじゃね？
289 名前：既にその名前は使われています：2008/07/13(日) 14:10:45 ID:wpvXx2VB: >>280
今回のやつがやっと出てきたかな
そのキーには本来、
C:\WINDOWS\system32\wuauserv.dll
が設定されている
これはAutomatic Updatesサービス（自動更新）ね

Windows Updateが使えなくなる、POLを立ち上げるとsvchost.exeがpol.exeに
云々というのもこれが原因かな
290 名前：既にその名前は使われています：2008/07/13(日) 14:13:07 ID:xfHKwfw9: >>285
取りあえず、本来の値に戻した方が良いかもね
291 名前：既にその名前は使われています：2008/07/13(日) 14:13:44 ID:fGdMIQNS: ■eやアンチウィルスソフト社員が小躍りして喜んでるぞ今頃ｗ
292 名前：既にその名前は使われています：2008/07/13(日) 14:13:59 ID:62Ef0XIb: 被害にあったのになんでログインできたの。
嘘報告？
293 名前：既にその名前は使われています：2008/07/13(日) 14:15:25 ID:9H1cwP/D: >>292
パスを変更せずに金目のものだけ盗む手口もある
294 名前：既にその名前は使われています：2008/07/13(日) 14:17:08 ID:BIvn1zQ1: >>290

本来の値以前に、OS入れなおしたほうがいいと思うが
レジストリが書き換わってるって事は、以前居たまたは
今居る可能性があるわけで...
295 名前：既にその名前は使われています：2008/07/13(日) 14:18:44 ID:ZgF0MYiV: クリンスコは必要だけど、もうちょっと付き合ってほしいｗｗ
296 名前：既にその名前は使われています：2008/07/13(日) 14:18:44 ID:DsXei056: >>291
□やＡＶはわれわれの敵じゃないからな。敵はあくまでウイルス開発者と業者。
297 名前：既にその名前は使われています：2008/07/13(日) 14:19:48 ID:wpvXx2VB: まずは、PS2か感染してないPCなど安全な環境でPOLパスワードを変更お勧め
298 名前：既にその名前は使われています：2008/07/13(日) 14:21:05 ID:rMm+8+jy: いったん元の値に書き直して、何回かwinを再起動したりPOL起動したり
してみるといいかもね。

それでまた書き換えられてたら、どの段階で書き換えられるのか、はっきりするだろうし。
299 名前：既にその名前は使われています：2008/07/13(日) 14:21:45 ID:ZgF0MYiV: あとは本体見つけられれば検体だせるし、最高なんだけどなあ。

エントリ変えられててdllがない。うーん。
ID:CUxv2ul2はPOL起動時毎回エラーでるの？
300 名前：既にその名前は使われています：2008/07/13(日) 14:21:52 ID:x9dil7U4: >>296
アブソリュートヴァーチューですね＾＾
301 名前：既にその名前は使われています：2008/07/13(日) 14:22:33 ID:N9+lFeZX: しかし、そこが書き換わってるのに、カスペで検出できないのはおかしいな。
「HKLM\System\ControlSet???\Services\*\Parameters」は
プロアクティブディフェンスのレジストリガードで保護対象になってる。
ウィルス本体は検出できなくても、レジストリ書き換えの時の警告が出るはずなんだが…

当然、オンラインスキャンじゃ見つからないけど、カスペをインストールしている人ならどこかで必ず警告が出ているはず。
302 名前：既にその名前は使われています：2008/07/13(日) 14:23:42 ID:62Ef0XIb: デフォだとレジストリガード無効じゃね？
ちがったっけ。
303 名前：249：2008/07/13(日) 14:26:04 ID:CUxv2ul2: レジストリを本来の値に変更した所、直ぐにカスペのプロアクティブディフェンスが作動。

「許可」するとレジストリがまた書き換えられて

%SystemRoot%\System32\wzcsvbxm.dll　に戻ってしまいます。

「拒否」しても直ぐにディフェンスが作動。

ディフェンス状態で放置したまま再度レジストリ見てみると、
自分で変更した正規の値になったままです。

変更しようとしているプロセスは物議醸してる例のコレ。

C:\WINDOWS\System32\svchost.exe
304 名前：既にその名前は使われています：2008/07/13(日) 14:27:31 ID:YZmKQRd5: >>301
プロアクティブディフェンスは重いという理由で切ってる人も多い。
>>284 みたいにアンチウイルスアンインスコは論外だけど。
305 名前：既にその名前は使われています：2008/07/13(日) 14:29:09 ID:N9+lFeZX: インストール時に有効にするか無効にするか選択が出たかもしれない。
アプリケーションインテグリティコントローラはさすがに使い方が難しいが、
アクティビティアナライザとレジストリガードは個人的にONを推奨したい。

>>303
ついに来たか！？
出来れば検体提出を。
306 名前：既にその名前は使われています：2008/07/13(日) 14:29:36 ID:ZgF0MYiV: >>303
あたりだな。

その変更かけようとしてるscvhostの親はなんだろう。
307 名前：既にその名前は使われています：2008/07/13(日) 14:33:55 ID:ZgF0MYiV: >>306
あとwindowsupdateの状態は今どーなってるかな。有効か無効か。
308 名前：249：2008/07/13(日) 14:44:30 ID:CUxv2ul2: >>307
自動更新が有効になってます。
Update自体はアカハックにあった他のユーザーさんと同じで、
エラーでコケますけれども。

●ディフェンス状態　～その後～

①svchost.exeを停止するべくタスクマネージャー起動。
②起動後svchost.exeをモニタしながらディフェンスに「拒否」返答。
③６つ存在するsvchost.exeの内、１つにCPU使用率の変化あり。
④変化のあるsvchost.exeをプロセス強制終了
⑤プロセス停止後、いくつか新規モジュールをロードしようとするもカスペディフェンスで「拒否」し続ける。
⑥そして静かになった・・・・

レジストリは今のところ自分で変更した本来の「wuauserv.dll」です。
309 名前：既にその名前は使われています：2008/07/13(日) 14:44:37 ID:aDq0XTDD: 被害にあったPC放置してたんだが、今確認したら249氏と同じ状況になってた。
dllファイルをノートパッドで開いたら、
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
って文字列がある。
ビンゴ？
310 名前：既にその名前は使われています：2008/07/13(日) 14:48:05 ID:ZgF0MYiV: >>309
>>308
おまいらはなんてエロイ子なんだ・・・

>>309はdllがあるの？だったらそれの検体を提出してほしい。
>>308はそのままウィンアップデートを無効にして再起動してレジストリが書き換わるか見て欲しい。
311 名前：既にその名前は使われています：2008/07/13(日) 14:48:09 ID:9H1cwP/D: >>309
ビンゴくせー
312 名前：既にその名前は使われています：2008/07/13(日) 14:48:50 ID:pTYnM/xI: >>309
そのアドレスは危険なアドレスだから当たりかも
313 名前：既にその名前は使われています：2008/07/13(日) 14:49:02 ID:wpvXx2VB: >>309
あたりだね。pol.exeがHTTPリクエストを投げようとしたと
報告されていた送信先IPアドレスと同じ

できれば、そのDLLをVirusTotalに送信して、調査結果ページのURLを貼ってほしいなあ
ttp://www.virustotal.com/
314 名前：既にその名前は使われています：2008/07/13(日) 14:49:11 ID:BIvn1zQ1: >>309

アメリカか...PG2でもデフォルトは弾けないな
315 名前：既にその名前は使われています：2008/07/13(日) 14:49:47 ID:9H1cwP/D: 116 名前：既にその名前は使われています[] 投稿日：2008/07/11(金) 02:19:43 ID:rXnyWkMU
PG2で204.13.69.12をブロックする設定方法

1. メモ帳かテキストエディタを起動して、次の1行をコピペ

wowinterfcae_com:204.13.69.12-204.13.69.12

2. PG2のフォルダの下にあるlistsフォルダに“deny.txt”という名前で保存
　（通常は C:\Program Files\PeerGuardian2\lists\deny.txt になる）
3. PG2の［リスト管理］ボタンを押す
4. ［追加(A)］ボタンを押す
5. 「説明」のテキストボックスに“deny”（半角英数ならなんでもいい）と入力する
6. 「場所」の［ファイル］ラジオボタンを選んだまま［参照］ボタンを押す
7. さっき保存した“deny.txt”を選んで［開く(O)］ボタンを押す
8. 「種類」の［ブロック］ラジオボタンが選択されていることを確認して［OK］ボタンを押す
9. リスト管理のウィンドウを閉じる

コマンドプロンプトを開いて、“ping 204.13.69.12”を実行して、
“Destination host unreachable”.と表示され、PG2にはブロックログが表示されればおk
注意：決してWebブラウザで204.13.69.12につなごうとしちゃダメだぞ
316 名前：既にその名前は使われています：2008/07/13(日) 14:49:53 ID:BIvn1zQ1: >>312

あぁ危険リストの方にははいってるん？
317 名前：既にその名前は使われています：2008/07/13(日) 14:50:19 ID:ZgF0MYiV: 2 0 4 . 1 3 . 6 9 . 1 2は危険ドメインなってるね。

ttp://smith.rowiki.jp/domain/?ip=204.13.69.12
318 名前：既にその名前は使われています：2008/07/13(日) 14:50:53 ID:9H1cwP/D: >>314
一応大流行していたときにはブロックリストに入れてあったらしい
7月上旬に消されたとかいう話だった
319 名前：既にその名前は使われています：2008/07/13(日) 14:52:05 ID:ZgF0MYiV: WindowsUpdateを名乗って常駐して、POLの起動監視してるのかなーと予測。
320 名前：既にその名前は使われています：2008/07/13(日) 14:54:11 ID:Prvr+t76: http://www.npa.go.jp/cyber/soudan.htm
ここに電話したらスクエニからログインした記録
を出してもらってくれと言われた。
くれんのかなスクエニ
321 名前：既にその名前は使われています：2008/07/13(日) 14:55:41 ID:aDq0XTDD: >>313
やってみた。これでOK?
http://www.virustotal.com/analisis/4476101f3d30511857af1c2a441a3a88
322 名前：既にその名前は使われています：2008/07/13(日) 14:57:08 ID:wpvXx2VB: >>321
ありがとう。やはり、ほぼ全滅状態なのか。
323 名前：既にその名前は使われています：2008/07/13(日) 14:59:02 ID:9H1cwP/D: >>320
ユーザーからの要請では出してくれないから、警察権力で要請してもらうしかない
324 名前：既にその名前は使われています：2008/07/13(日) 14:59:17 ID:ZgF0MYiV: >>321
こんだけスルーしてれば引っかからないわなあ。

あとはお願いだけど、マカヒー・トレンドマイクロ・シマンテック・カスペル・・・・などアンチウィルスソフトのベンダーに検体提出してほしい。
325 名前：既にその名前は使われています：2008/07/13(日) 15:00:45 ID:QbFq9U4R: どこで踏んだんだろうね
326 名前：既にその名前は使われています：2008/07/13(日) 15:01:06 ID:pTYnM/xI: >>321
Prevx1ってのが１つだけ対応してるのかｗ
327 名前：既にその名前は使われています：2008/07/13(日) 15:02:30 ID:Prvr+t76: http://www.kokusen.go.jp/ncac_index.html
ここにも相談しないとな・・
328 名前：既にその名前は使われています：2008/07/13(日) 15:06:17 ID:YfKnezUC: 【鑑定目的禁止】検出可否報告スレ6
http://pc11.2ch.net/test/read.cgi/sec/1205329452/

さすがにあちこちのベンダーに検体提出汁とまではいえないので、↑のスレ
で1にあるろだ使って報告してくれるとかなり有り難い。
329 名前：既にその名前は使われています：2008/07/13(日) 15:06:28 ID:asjr1CDN: PG2で204.13.69.12をブロックしてpol起動しても何もログに出てないってことは
今回のは感染してないって認識でおｋ？
330 名前：既にその名前は使われています：2008/07/13(日) 15:14:35 ID:ZgF0MYiV: >>328
そっちのがいいねｗ
331 名前：既にその名前は使われています：2008/07/13(日) 15:19:25 ID:BIvn1zQ1: >>318

なるほど、それでリネージュのほうには無いのか

>>317

そこのPG2リストも追加したら、ブロックしまくりで見れないところ多すぎ
とりあえず204.13.69.12を個人用のリストに追加っと
332 名前：既にその名前は使われています：2008/07/13(日) 15:21:09 ID:YZmKQRd5: そこの 1 のロダはちょっと不具合あったので
ttp://tane.sakuratan.com/
になってると思った。
ちゃっちゃとアップしてね。
333 名前：既にその名前は使われています：2008/07/13(日) 15:23:06 ID:YZmKQRd5: >>331
ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト(臨時)
ttp://sky.geocities.jp/ro_hp_add/
ここが頻繁に更新してる。
334 名前：既にその名前は使われています：2008/07/13(日) 15:25:47 ID:fGdMIQNS: お前ら偉い！
335 名前：既にその名前は使われています：2008/07/13(日) 15:27:12 ID:hZL0tiQy: きた！メイン検体きた！これでかつる！
336 名前：既にその名前は使われています：2008/07/13(日) 15:28:17 ID:auf+BDWj: wzcsvbxm.dllをノートパッドで開くと色々面白い事が書いてあるなｗ
337 名前：既にその名前は使われています：2008/07/13(日) 15:29:00 ID:YZmKQRd5: ただ別な(ウイルス本体の)exeから正規のファイル(svchostとか)に注入する奴だと
後者じゃなくて前者も欲しいなぁ。どこでどれを踏んだかわからんけど。
338 名前：既にその名前は使われています：2008/07/13(日) 15:29:53 ID:YZmKQRd5: >>336
面白がってないでアップするんだ!
339 名前：既にその名前は使われています：2008/07/13(日) 15:33:48 ID:7lZNjsl6: クリーンインスコ終了！
なに入れてたとか全然覚えてねぇよ・・・
340 名前：既にその名前は使われています：2008/07/13(日) 15:34:59 ID:NVAwxVT0: メシ食って買い物して帰ってきたらだいぶ話が進んでいてﾜﾛﾀ
341 名前：309：2008/07/13(日) 15:36:40 ID:aDq0XTDD: http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=39
infected

↓ここに載ってるメアド一覧とSymantecには提出した。
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
McAfeeみたいなアカ取得が必要なとこには出してない。
342 名前：既にその名前は使われています：2008/07/13(日) 15:37:27 ID:ZgF0MYiV: >>341
GJ
343 名前：既にその名前は使われています：2008/07/13(日) 15:38:48 ID:wpvXx2VB: >>341
超お疲れさまでした。
これで大勢のプレイヤーが業者の罠から逃れられるように
なるでしょう。ありがとーー。
344 名前：既にその名前は使われています：2008/07/13(日) 15:40:20 ID:9H1cwP/D: >>341
ものすごい乙
褒美になるか分からんがもっふもっふ画像をやろう
ttp://www2.uploda.org/uporg1541178.jpg
罠ではないが怖いなら踏まないでくれたまえ
345 名前：既にその名前は使われています：2008/07/13(日) 15:43:01 ID:rMm+8+jy: >>341
お疲れ様でした。こういうのは、ほんとに助かります。
346 名前：既にその名前は使われています：2008/07/13(日) 15:44:22 ID:WH0Big0W: >>331
そこのPG2リストってどこにある？
347 名前：既にその名前は使われています：2008/07/13(日) 15:45:54 ID:BIvn1zQ1: >>346

ttp://smith.rowiki.jp/files/

まぁブロックされまくるのは私の使い方がまずいのかもしれんが
どっちか許可リストの可能性もあるけどよくわからなかった
348 名前：既にその名前は使われています：2008/07/13(日) 15:49:40 ID:WH0Big0W: >>347
あったあったありがとう
アグレッシブのほうだとjpサイトでも容赦なく弾いてるなｗ
349 名前：既にその名前は使われています：2008/07/13(日) 15:55:42 ID:oX9KF7bl: おまいらすげええええええええええええええええええええええ

リロードしまくって興奮しまくりだZE!!!!!!!!!!!!!!
350 名前：既にその名前は使われています：2008/07/13(日) 15:56:06 ID:HBv2gWGX: お前らほんとすごいな！！
よくやった！
351 名前：既にその名前は使われています：2008/07/13(日) 15:57:37 ID:YZmKQRd5: >>341
フォーム経由のとこ(バスターとか)送った。
ちなみにNormanの砂箱の返答

wzcsvbxm.exe : Not detected by Sandbox (Signature: NO_VIRUS)
[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Library(DLL)
* Executable file structure: OK
[ General information ]
* File length: 15872 bytes.
* MD5 hash: 2d58d90e5d2bf22f7f7689751ad60d35.
352 名前：既にその名前は使われています：2008/07/13(日) 15:58:49 ID:j91S+/YO: 見つけるのに2週間以上もかかってんのかよ
やっぱり感染してんのは雑魚だけだな
353 名前：既にその名前は使われています：2008/07/13(日) 15:59:53 ID:s5gE3y+N: みんなよくやった！感動したぞ！
354 名前：既にその名前は使われています：2008/07/13(日) 16:00:49 ID:4W6gHllj: この一連の流れをまとめてテンプレに入れるしかないな。
355 名前：既にその名前は使われています：2008/07/13(日) 16:02:19 ID:YZmKQRd5: FFXIService.dll
これはツールくさいな。ツールの偽装なのか?
356 名前：既にその名前は使われています：2008/07/13(日) 16:02:20 ID:krg2u1zQ: よく見つけてくれましたGJ

ここはすぐクリーンインスコしろ言うからな。
検体分離の一番の障害はぶっちゃけこれ。
357 名前：既にその名前は使われています：2008/07/13(日) 16:02:37 ID:hZL0tiQy: >>352
ミジンコは調子に乗ってると病院食を喰うハメになる
358 名前：既にその名前は使われています：2008/07/13(日) 16:03:00 ID:9TocD76h: いやいや
感染源特定しないと何の解決にもなってないだろｗ
359 名前：既にその名前は使われています：2008/07/13(日) 16:04:28 ID:fGdMIQNS: 対応してるソフトをググったらぞんざいな云われ方してて泣いた
360 名前：既にその名前は使われています：2008/07/13(日) 16:05:02 ID:EGnZWTBk: 特定できるスキル持ちにクリーンインスコしろよって言わないよ。
361 名前：既にその名前は使われています：2008/07/13(日) 16:05:43 ID:7AwSjjNN: >>344
予想通りすぎてフイタ
362 名前：既にその名前は使われています：2008/07/13(日) 16:05:53 ID:YZmKQRd5: >>358
いいんだよ、アンチウイルスが捕捉し始めれば
そのサイト見ただけで警告出るわけで。
FFXIAHのFlash広告みたいに撤去済みの可能性もある。
363 名前：既にその名前は使われています：2008/07/13(日) 16:07:06 ID:VpD4/Ezn: ネ実も捨てたもんじゃないな！
364 名前：既にその名前は使われています：2008/07/13(日) 16:07:30 ID:9TocD76h: 感染した人でwzcsvbxm.dllがある人と無い人がいる時点でそれが本体では無い
365 名前：既にその名前は使われています：2008/07/13(日) 16:07:33 ID:F9JK0Irr: ウィルス特定？できたのか
それ弾く方法はウィルスソフトの内容更新待つしかないのかな
366 名前：既にその名前は使われています：2008/07/13(日) 16:07:57 ID:YZmKQRd5: Normanの砂箱の続きが来た。
ttp://research.sunbelt-software.com:80/ViewMalware.aspx?id=5011061
まーアカウントハッカーのサーバにpostするだけだからあまり参考にはならんね。
367 名前：既にその名前は使われています：2008/07/13(日) 16:09:08 ID:YZmKQRd5: >>364
1種類が特定できただけでもいいじゃないか。
ちなみに隠し+システム属性なので
エクスプローラのその辺デフォのままの人には見えない。
368 名前：既にその名前は使われています：2008/07/13(日) 16:10:15 ID:9TocD76h: 末端の下働き捕まえただけで喜ぶな
369 名前：既にその名前は使われています：2008/07/13(日) 16:11:41 ID:9TocD76h: これで安全になったと思う馬鹿が沸くのが一番怖いな
370 名前：既にその名前は使われています：2008/07/13(日) 16:13:31 ID:YfKnezUC: おい。元締めID:9TocD76hがお怒りだぞ。
371 名前：既にその名前は使われています：2008/07/13(日) 16:14:08 ID:hZL0tiQy: おお怖い怖い
372 名前：既にその名前は使われています：2008/07/13(日) 16:15:09 ID:YZmKQRd5: Normanじゃなかった、Sunbeltだった。
373 名前：既にその名前は使われています：2008/07/13(日) 16:15:38 ID:Vjdz9b+Q: 9TocD76h = 何もしてない（いやむしろ何もできないか）口だけの人
いるよね。こういう奴ｗどこにでもｗ
374 名前：既にその名前は使われています：2008/07/13(日) 16:16:04 ID:uq+IWFiT: >>373
お前の事だな＾＾
375 名前：既にその名前は使われています：2008/07/13(日) 16:17:10 ID:ietLqkwL: 次々に変なのが作られるわけで、これで全面解決！ってわけではないさ
でも1個ぁゃιぃゃっが発見されたのは進歩だと思うよ

このスレ眺めてると、それなりに知識がないとPC版は危ないんだなぁってことがよくわかる・・・PS2でよかった
376 名前：既にその名前は使われています：2008/07/13(日) 16:17:18 ID:ZgF0MYiV: >>249が感染していて、何故かwzcsvbxm.dllがPC内に存在しない状態になってて、
それが原因でエラー吐き出してたのが特定の鍵になっただけだからね。
まだ全てがわかったわけじゃないから注意なーおまいら。
377 名前：既にその名前は使われています：2008/07/13(日) 16:17:47 ID:0Nm/S0Vu: wzcsvbxm.dllが作られたルートを特定しろよ
378 名前：既にその名前は使われています：2008/07/13(日) 16:19:45 ID:9H1cwP/D: ここが技術者の集まりかなんかと思ってる人がいるな
有志がタダでやってくれてるってのに
379 名前：既にその名前は使われています：2008/07/13(日) 16:22:27 ID:GPQxW9RM: そうやって雰囲気壊して、調べてくれてる人のやる気を削ぐのが目的の業者だろ。
東ア板なんかによくいるよなw
380 名前：既にその名前は使われています：2008/07/13(日) 16:23:51 ID:ZaFd52nN: リアルタイムで流れを見てた。
この興奮は、一昨年（だっけか？）、中華のサイトにクラックをかけた、
伝説のハッカーが降臨した時以来だな！ｗ
381 名前：既にその名前は使われています：2008/07/13(日) 16:24:22 ID:vBWWGx8L: wzcsvbxm.dll
wuauserv.dll
svcchost.exe
の作成日とMD5
wzcsvbxm.dllが作られた日に踏んだURLとキャッシュ

被害者でこれらの情報出して欲しい
382 名前：既にその名前は使われています：2008/07/13(日) 16:26:42 ID:YZmKQRd5: あれ、これ送信先のASP消えてるな。
383 名前：既にその名前は使われています：2008/07/13(日) 16:27:39 ID:YZmKQRd5: >>380
2005年11月だね。花の雫。
384 名前：既にその名前は使われています：2008/07/13(日) 16:27:55 ID:hPxhIBfQ: ほんと雑魚しかいないな
こんな奴らのサポートしてるスクエニの中の人に同情するわー
385 名前：既にその名前は使われています：2008/07/13(日) 16:31:07 ID:xSV4i07B: パス抜かれてシャットダウン遅延が未だに起きてるけどwzcsvbxm.dllなんて見つからないしレジストリにも書かれて無いぞ・・・
386 名前：既にその名前は使われています：2008/07/13(日) 16:32:18 ID:xfHKwfw9: >>385
怪しいサービスが動いてないかチェックしてみたら？
387 名前：既にその名前は使われています：2008/07/13(日) 16:33:14 ID:9H1cwP/D: >>385
他にもウイルスは一杯あるからねー
オンラインスキャンとかでもかからない？
388 名前：既にその名前は使われています：2008/07/13(日) 16:33:20 ID:2wniQGFu: なみだめな業者がいると聞いて来ました
389 名前：既にその名前は使われています：2008/07/13(日) 16:33:39 ID:XRQVjDRs: >>379
業者通報スレでもよくみかけるわ
やっぱし糞シナだったかｗ
全力でスルーが肝要だな
390 名前：既にその名前は使われています：2008/07/13(日) 16:35:24 ID:xSV4i07B: >>386
>>387
6日頃に感染してずっと調べてるけど何も見つからないね
391 名前：既にその名前は使われています：2008/07/13(日) 16:36:30 ID:Vjdz9b+Q: 隠しファイル属性も検索対象にしてる？
392 名前：既にその名前は使われています：2008/07/13(日) 16:36:47 ID:hZL0tiQy: >>384
ageてくれるなら業者でも良いよ！
393 名前：既にその名前は使われています：2008/07/13(日) 16:38:35 ID:xSV4i07B: >>391
ある程度知識はあるからその辺はぬかりない
394 名前：既にその名前は使われています：2008/07/13(日) 16:38:40 ID:TtG61Aev: 俺もハックされてからクリーンインスコしてないけどwzcsvbxm.dllは出てこない
395 名前：既にその名前は使われています：2008/07/13(日) 16:40:37 ID:Vjdz9b+Q: WindowsUpdateは可能な状態なんかな？
396 名前：既にその名前は使われています：2008/07/13(日) 16:41:03 ID:BIvn1zQ1: まぁまだ他もあるってことだ
397 名前：既にその名前は使われています：2008/07/13(日) 16:41:09 ID:ietLqkwL: 問題の物体と同じよーな【カモフラージュ】を使い手がどこかにいるんだろうねぇ・・・
398 名前：既にその名前は使われています：2008/07/13(日) 16:41:10 ID:NVAwxVT0: >>390
>>280と同じレジストリ項目はどうなってる？
399 名前：既にその名前は使われています：2008/07/13(日) 16:43:17 ID:xSV4i07B: POLは2週間くらい前に初回起動だけ落ちてたけどいつのまにか直ったな
抜いたら完全消滅するのか？
400 名前：既にその名前は使われています：2008/07/13(日) 16:44:21 ID:ZgF0MYiV: とりあえず現時点での整理。

wzcsvbxm.dllが起動時にWindowsUpdateを名乗って常駐しているようだ。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
「ServiceDll」→「REG_EXPAND_SZ(種類)」に%SystemRoot%\System32\wzcsvbxm.dll
本来は　
C:\WINDOWS\system32\wuauserv.dll

で、>>303でレジストリを正規のものに戻しても再度svchostが書き戻しにくる。
これについてはwzcsvbxm.dll自体が監視しているのかどうかは不明。
401 名前：既にその名前は使われています：2008/07/13(日) 16:44:35 ID:xSV4i07B: C:\WINDOWS\system32\wuauserv.dllだな
spybot常駐してるから許可なしにレジストリ弄られる事は無いと思うんだが
402 名前：既にその名前は使われています：2008/07/13(日) 16:47:16 ID:ZgF0MYiV: POLに介入して接続先を業者鯖にしてしまうのはおそらくwzcsvbxm.dllではあると思う。

あとはどの時点でレジストリの変更が行われたのか、どいつが書き換えたのか。
が解ればある程度はひと段落かねえ？
403 名前：既にその名前は使われています：2008/07/13(日) 16:47:20 ID:wpvXx2VB: wzcsvbxm.dllはユーザー、パスワード、NICのMACアドレス、現在の日時を
盗っていくように見える。
404 名前：既にその名前は使われています：2008/07/13(日) 16:50:18 ID:Vjdz9b+Q: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
%SystemRoot%\System32\wzcsvbxm.dll
とあるからWSUS(自動更新）が起動トリガーになってそうだけど。
こいつの設定過程が見えてないね。大元の脆弱性もだけど。
405 名前：既にその名前は使われています：2008/07/13(日) 16:56:28 ID:KFDmrNbL: >>404
お前も口だけだな（笑）
406 名前：既にその名前は使われています：2008/07/13(日) 16:59:13 ID:ZgF0MYiV: FPの脆弱性ではマルウェアをDLさせることはできてもレジストリ変更かけることはできないからなあ。
wzcsvbxm.dllがパスぬきの原因だとしても、他のもいると考えたほうがいいね。
407 名前：既にその名前は使われています：2008/07/13(日) 17:01:54 ID:5h0rQUV/: 久々に来たらすげえ進展したっぽい？

俺もWindowsUpdateの失敗やシャットダウンの遅延の症状が出てるんだけど
C:\WINDOWS\SYSTEM32\wzcsvbxm.dllあったよ
中覗いてみたらh t t p : / / g o o g l e s y d i t i o n . c o m / 4 f h 7 c / p o s t . a s pってあった
aguseで見るとアメリカなんだけど、逆引きホスト見てくと中国に行きつく
408 名前：既にその名前は使われています：2008/07/13(日) 17:02:45 ID:xSV4i07B: わかんねぇ
俺のは違う種類なのか
409 名前：既にその名前は使われています：2008/07/13(日) 17:03:06 ID:EGGQizdT: >>385
ウイルス特定されちゃった業者乙なんだが。
パス抜かれてシャットダウンが続いているのに、なぜクリーンインストールしない？
410 名前：既にその名前は使われています：2008/07/13(日) 17:03:22 ID:gEExB3Z1: PCにビデオカード差し込んでそこにPS2指せば
PCの画面でテレビの状態になるからそっからFF11できるんじゃね？？

俺頭よくね？？
411 名前：既にその名前は使われています：2008/07/13(日) 17:06:07 ID:NVAwxVT0: >>408
違う種類だろうね。いろいろ工夫してるんだと思う、やつらも
412 名前：既にその名前は使われています：2008/07/13(日) 17:06:23 ID:ZgF0MYiV: >>407
レジストリは>>400に書き換えられてる？
あとセキュリティソフトを教えてほしいｗ
413 名前：既にその名前は使われています：2008/07/13(日) 17:06:31 ID:xSV4i07B: >>409
別にしてもいいけど
特定されるまでしないほうが今後のためになるだろ
414 名前：既にその名前は使われています：2008/07/13(日) 17:06:45 ID:7j0/vf20: >>410
お前は世界一のバカだｗ
415 名前：既にその名前は使われています：2008/07/13(日) 17:07:52 ID:gEExB3Z1: >>414
え、なんでだｗｗｗ
すげえいい方法だと思ったんだけどｗｗｗ
416 名前：既にその名前は使われています：2008/07/13(日) 17:09:18 ID:VpD4/Ezn: PCにつないだってグラフィック描写はPS2のグラフィックチップ依存だろｗ
417 名前：既にその名前は使われています：2008/07/13(日) 17:09:22 ID:EGGQizdT: >>413
業者のためにはなるが、お前のためにはならないな
418 名前：既にその名前は使われています：2008/07/13(日) 17:10:14 ID:gEExB3Z1: >>416
いや、そりゃそうだけどできることはできるよね？ｗ
419 名前：既にその名前は使われています：2008/07/13(日) 17:11:51 ID:JfKMqo0s: >>418
できるけど、テレビに繋ぐのとかわんないじゃんｗ
420 名前：既にその名前は使われています：2008/07/13(日) 17:12:19 ID:oX9KF7bl: >>418
テレビを修理する金ないやつ乙
421 名前：既にその名前は使われています：2008/07/13(日) 17:12:27 ID:TtG61Aev: >>417
お前みたいなアフォがいる限りハッカーも安泰だ
422 名前：既にその名前は使われています：2008/07/13(日) 17:12:56 ID:QbFq9U4R: このスレ落差が激しすぎる
423 名前：既にその名前は使われています：2008/07/13(日) 17:12:57 ID:gEExB3Z1: >>419
うちテレビないんだよ。。。。
424 名前：既にその名前は使われています：2008/07/13(日) 17:13:59 ID:5h0rQUV/: >>412
書き換えられてる

セキュリティソフトはAVGのフリー版とSpybot
症状出てからPG2導入
425 名前：既にその名前は使われています：2008/07/13(日) 17:14:21 ID:7j0/vf20: >>418
PG2で■eと２ｃｈとニコニコだけ許可してあと遮断するとか考える時点で・・
まあPS2をPCにつなげば確かに安全なんじゃね？ｗ
426 名前：既にその名前は使われています：2008/07/13(日) 17:18:15 ID:YfKnezUC: >>423
(´；ω；｀)ﾌﾞﾜｯ
427 名前：既にその名前は使われています：2008/07/13(日) 17:18:32 ID:gEExB3Z1: よし、あんがと！
USBのビデオのやつ買ってくるｗｗｗ
428 名前：既にその名前は使われています：2008/07/13(日) 17:21:14 ID:ZgF0MYiV: >>424
もっかいそいつをttp://www.virustotal.com/に投下。結果URL張ってくだちい。

それじゃあカスペルさん体験版落としてきて回線抜いてインスコ。
AVGと入れ替えてほしい。
そんで入れ替え後回線つないでカスペルVU.
プロアクティブディフェンスをオンにしてレジストリを正規の値に戻す。
そうすると多分svchostが書き戻しに来ると思うから、そのｻｰﾋﾞｽ名をプロセスエクスプローラで確認。

あと、WindowsUｐdateを無効にして再起動↑試してみて同じ挙動なるか確認。
429 名前：既にその名前は使われています：2008/07/13(日) 17:22:34 ID:cu6AdjP8: ＰＯＬＧＭに聞きたいことがあったけどテンプレで返ってきて
テンプレの返答＋聞きたいことがあるっていったら
ログイン制限しましたあとはサポセンに詳しいことを聞いてくださいってメールっぽいのでおわった

かなり忙しいんかねえ・・・土日サポセンやってねえっつうの・・・
430 名前：既にその名前は使われています：2008/07/13(日) 17:22:38 ID:EGGQizdT: IP制限喰らったあげくに、ウイルスまで特定されちゃって、業者ちゃん涙目ｗｗｗ
431 名前：既にその名前は使われています：2008/07/13(日) 17:23:01 ID:ZgF0MYiV: 書き戻しにくるsvchostの親が違うウィンドウズアップデート以外だったらそいつも一味の可能性が高いね。
432 名前：既にその名前は使われています：2008/07/13(日) 17:23:37 ID:ZgF0MYiV: >>431
いやほんと、我ながら日本語でおｋ。
433 名前：既にその名前は使われています：2008/07/13(日) 17:25:23 ID:5h0rQUV/: >>428
とりあえず結果URLだけ
http://www.virustotal.com/analisis/a0d051a2321f2261ba94ca6c6cf65d47
434 名前：既にその名前は使われています：2008/07/13(日) 17:26:39 ID:ZgF0MYiV: ああでもスパイボットつかったら、レジストリ改変時アラートでるんかな？
Comodo+Deffence+でしかやってないから解らないが・・レジストリ変更アラートでるならそのままでもいいｗ
435 名前：既にその名前は使われています：2008/07/13(日) 17:28:47 ID:ZgF0MYiV: >>433
ありがとう、やっぱりハッシュもファイルサイズも違うね。
同系統の可能性はたかいけど。
436 名前：既にその名前は使われています：2008/07/13(日) 17:28:55 ID:+c1DTQD8: カスペで被害者いるし素人がデフォでオンになってるプロアクティブディフェンスをオフで使ってるとも考えにくい
それで感染してるってのが合点がいかんな
437 名前：既にその名前は使われています：2008/07/13(日) 17:30:19 ID:Vjdz9b+Q: レジストリーガードはデフォで”オフ”じゃね？
438 名前：既にその名前は使われています：2008/07/13(日) 17:32:08 ID:wpvXx2VB: >>433
乙です。亜種のようですな。
googlesydition●comは6/20に中華が取得したドメイン。
同名ホスト（74.86.185.101）の所在地は米国。

wzcsvbxm.dllが見つかった方、Windowsのサービス一覧で、
Automatic Updateの説明が日本語か英語か教えてくださいな。

通常は日本語で、
「Windows の更新のダウンロードとインストールを有効にします。
このサービスを無効にしている場合は、このコンピュータでは
自動更新機能と Windows Update の Web サイトを使用できません。」
と表示されるはずですが……英語になってます？
439 名前：既にその名前は使われています：2008/07/13(日) 17:32:40 ID:D0t1pKDj: そういやあspybot1.6になってたな
440 名前：既にその名前は使われています：2008/07/13(日) 17:34:38 ID:EGnZWTBk: >>429
GMは時給1000円のバイトだから技術的な事がわかる人が限られてるんだと
思われ。
441 名前：既にその名前は使われています：2008/07/13(日) 17:38:03 ID:iGx4SBUS: 質問ですが、自分もアカハック食らってパス再発行してもらったんですが、その後ログインしてからクリーンインストールしました。そしてパスを変更したんですが、クリーンインストールした時点でトロイはいなくなったから変更後のパスはもうばれないんでしょうか？
442 名前：既にその名前は使われています：2008/07/13(日) 17:39:45 ID:ZgF0MYiV: とりあえず、Romの人もいるだろうし。wzcsvbxm.dll関係の感染チェック。

スタート＞ファイル名を指定して実行＞regeditでレジストリエディタ起動

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersに移動。
そこの値が
C:\WINDOWS\system32\wuauserv.dll
以外であればなにかしら感染してる可能性があるので見てみるとよろしいカーモメー。
443 名前：既にその名前は使われています：2008/07/13(日) 17:41:07 ID:ZgF0MYiV: レジストリ変更はOS壊れる危険性もあるので、変更されてない場合には何もしないで終了してねー。
444 名前：既にその名前は使われています：2008/07/13(日) 17:41:50 ID:VpD4/Ezn: >>441
セキュリティ環境を見直さない限りクリーンインストールしてもまた感染して抜かれる可能性が高い

家にカギをかけたので泥棒は入れない＾＾
↓
窓が開いてたのでそこから泥棒が侵入してウマーｗｗｗｗ
↓
カギかけてたのに泥棒に入られた；；
でも新しいカギにしてもらったからもう安心＾＾
↓
窓まだ開けっ放しｗｗｗｗまた進入ウマーｗｗｗｗｗｗｗ
445 名前：既にその名前は使われています：2008/07/13(日) 17:46:06 ID:iGx4SBUS: >>444
つまり、もう感染しないようにＦＦのサイトに行かなかったりアップデートたウイルスソフトを
怠らないようにするってことですね＾＾
原因はＦＦの関連サイトに行ってＵＲＬをクリックしたことなんですよね？
446 名前：既にその名前は使われています：2008/07/13(日) 17:48:00 ID:TYp198Js: おー進展してる。
おれのPCもFF起動しようとするとwzcsvbxm.dllのエラーが出てた。
レジストリの値も%SystemRoot%\System32\wzcsvbxm.dllになってる。
でもPC内にこのDLLは見つからないなー。POLあげようとした瞬間に作成されるんかな。

>>438　が言うAutomatic Updateの説明も日本語だった。
447 名前：既にその名前は使われています：2008/07/13(日) 17:48:03 ID:7lM1Ula6: 今北産業
448 名前：既にその名前は使われています：2008/07/13(日) 17:48:08 ID:CyS7VFlA: とりあえずセキュリティホールをふさげ　といわれてるのにわかってねぇｗ

あと原因は1つとは限らん　今回はある会社のサーバー使っているサイトならどこでも引っかかる状況だった。
ＦＦ関連のＨＰ見てないから安心！　なんて時代はもう終わったんだよ
449 名前：既にその名前は使われています：2008/07/13(日) 17:48:55 ID:VpD4/Ezn: >>445
そのへんの原因やウィルス本体がいまいち明らかになってないのでこのスレ住民が解析を進めている
少なくともソフトウェアのアップデートだけしていれば安心、という状況ではない

今後もこまめにスレ見て新たな情報や被害報告が出てないかチェックして
情報収集を怠らず現在進行形で対策を進めるとよい
新たな被害や新たな対策法が見つかったりするからね
450 名前：既にその名前は使われています：2008/07/13(日) 17:49:10 ID:wpvXx2VB: >>442
ログオンしているユーザーの環境なら、CurrentControlSetのほうがいいかも？

内容表示は、コマンドプロンプトでregコマンドを使う方法もある。

実行するコマンド：
reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
----
期待される結果：
C:\>reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
ServiceDll REG_EXPAND_SZ C:\WINDOWS\system32\wuauserv.dll
451 名前：既にその名前は使われています：2008/07/13(日) 17:50:01 ID:E6GKQGAd: パソ二台用意して片方はＦＦのみ、片方でネットをする予定。
ルーターもいじっておいたほうがよい？本体だけ対策しておけばおｋ？
452 名前：既にその名前は使われています：2008/07/13(日) 17:50:16 ID:iGx4SBUS: >>449
わかりました、ありがとうございます＾＾
453 名前：既にその名前は使われています：2008/07/13(日) 17:50:35 ID:ZgF0MYiV: >>445
そうとも限らないのです。
業者鯖にヤフーブログ、ニコ動、FC2、Mixiなどのパスをぬくマルウェアが確認されているし。
そうやって抜いたアカウントを改ざんしてFF11ROリネWoWなどへの罠を置くつもりなんだろう。
FF11に関係ないサイトやBlogにも仕掛けられてくると考えたほうがいい。
454 名前：既にその名前は使われています：2008/07/13(日) 17:52:18 ID:YfKnezUC: >>452
いや、クリーンインストール前に変更パスでログインした時点でアウトの可能性が高いよ。
いままっさらの環境なら急いでPOLパス変更したほうが。
455 名前：既にその名前は使われています：2008/07/13(日) 17:53:34 ID:iGx4SBUS: >>453
と、言うことはＦＦと関係ないサイトに行ってそこに仕掛けられてた罠に
抜かれてしまうって可能性も十分高いってことなんですね～；；
456 名前：既にその名前は使われています：2008/07/13(日) 17:54:47 ID:1hGp6/Ff: >>454
クリーンインストール後にパス変更したって書いてあるような・・・？

>>455
そう　っていうかもうFF関連サイトがどうとかの問題じゃない
FFAH見ててひっかかったって人も多かったけど　あれもHP自体の問題ではないし
457 名前：既にその名前は使われています：2008/07/13(日) 17:55:27 ID:iGx4SBUS: >>454
クリーンインストール後にＰＯＬのパスは再発行されたものから任意のに変更しました。
それとも救済受けたらすぐにまたクリーンインストールやり直したほうがいいですか？
458 名前：446：2008/07/13(日) 17:56:20 ID:TYp198Js: で、レジストリの値を　wuauserv.dll　に修正してみたけど、
カスペいれてないから即wzcsvbxm.dllに戻されるｗ

このレジストリ書き換え、カスペなしでウィンドウズの設定だけでガードできないんすかね。
ちなみに使ってるセキュリティソフトはマカフィー。
459 名前：既にその名前は使われています：2008/07/13(日) 17:56:28 ID:YfKnezUC: >>456
それがそうでもない:(；ﾞﾟ'ωﾟ'）:
>>441
>>その後ログインしてからクリーンインストールしました。
460 名前：既にその名前は使われています：2008/07/13(日) 17:57:44 ID:1hGp6/Ff: >>459
その後に　そしてパスを変更したんですが　って書いてあるぞ？
461 名前：既にその名前は使われています：2008/07/13(日) 17:58:30 ID:YfKnezUC: >>460
正直スマンカッタ
462 名前：既にその名前は使われています：2008/07/13(日) 17:59:09 ID:1hGp6/Ff: >>461
いや　俺なんか読み違ってたかなと思っただけなんだ
別に責めるつもりはなかった・・・
463 名前：既にその名前は使われています：2008/07/13(日) 17:59:29 ID:iGx4SBUS: >>460
順番としては
サポセンからパス再発行→状況確認のため再発行パスでログイン→
クリーンインストール→パスを任意のものに変更。
という流れです
464 名前：既にその名前は使われています：2008/07/13(日) 18:00:35 ID:ZgF0MYiV: この手の手法を特定する手段として。

常日頃、プロアクティブデフィエンスやレジストリ保護してくれるセキュリティソフトを導入しておくこと。
POLにsvchostなどサービスが介入してくることはまずないので、アラートが出たらプロセスエクスプローラなりで介入してくるサービスを特定。
介入してきたサービスのレジストリエントリを確認、正規の値と比較する。

である程度みえてくるかなー？今後似たような手法使ってくると思うし、どこか穴あったら指摘よろしこｗ
465 名前：既にその名前は使われています：2008/07/13(日) 18:02:06 ID:ZgF0MYiV: >>458
ウィンドウズアップデートを無効にして、再起動して書き換えてみてー。
それで書き戻しされるかなあ？
466 名前：既にその名前は使われています：2008/07/13(日) 18:02:27 ID:1hGp6/Ff: あれ　なんかPG2更新しようとしたら

　例外が発生しました！
　この問題は自動的にMethlabsへ報告されます。この報告には以下の内容が含まれています。

　ビルド番号：2050918
　ファイル：updatelists.cpp
　行：491
　種類： class path_error
　メッセージ： DeleteFile: ･v(　意味のない中点とアルファベット、記号が続く

　PeerGuadianの改良をお手伝い頂き有り難う御座います！

とか出てきたんだけど　これはなんだろう
467 名前：既にその名前は使われています：2008/07/13(日) 18:05:33 ID:c29nevBz: 馬鹿ばっかりで助かる（　＾▽＾）
468 名前：既にその名前は使われています：2008/07/13(日) 18:05:39 ID:TYp198Js: マカフィーの設定でレジストリの監視あったけど、
全項目をアラート有効にしても書き換え検知できねーな。

>>465
ほほう。了解。
469 名前：既にその名前は使われています：2008/07/13(日) 18:05:43 ID:wpvXx2VB: >>446
説明は日本語、了解です。確認ありがとう。>>446
470 名前：既にその名前は使われています：2008/07/13(日) 18:06:30 ID:YZmKQRd5: >>458
一度サービスでAutomatic Updates(自動更新)を停止してから書き換えれ。
471 名前：既にその名前は使われています：2008/07/13(日) 18:09:22 ID:hZL0tiQy: と言いつつageてくれる業者の>>467は本能的に長寿タイプ
472 名前：既にその名前は使われています：2008/07/13(日) 18:09:56 ID:HnTKtFya: dion規制されているので携帯から。
カスペにも提出しておいた
473 名前：既にその名前は使われています：2008/07/13(日) 18:11:12 ID:TrTsULmn: >>442をやってみた
けど何も変更されてなかった
（既低）　REZ_SZ　（値の設定なし）ってのがあった

俺のウィルスはどこだああああ
474 名前：既にその名前は使われています：2008/07/13(日) 18:14:18 ID:ZgF0MYiV: もっかいwzcsvbxm.dll関係整理。

>>309
http://www.virustotal.com/analisis/4476101f3d30511857af1c2a441a3a88
>>407
http://www.virustotal.com/analisis/a0d051a2321f2261ba94ca6c6cf65d47

亜種というかバージョン違いだと考えられる。>>302の指摘の通り>>309の送信先は消えているようだ。
感染時期によって違うかなあ？

>>446もwzcsvbxm.dllをttp://www.virustotal.com/に投下。結果URL張ってくだちい。
475 名前：458：2008/07/13(日) 18:14:30 ID:TYp198Js: サービスから、Automatic Updates　の設定自体が変更（開始→停止）できませんでした。

「ローカルコンピューターの　Automatic Updates　　サービスを停止できません。
　エラー1053：そのサービスは指定時間内に制御要求に応答しませんでした。」

とかなんとか。スタートアップの種類（自動）も変更できず。
（無効や手動にしても、即「自動」になる）
476 名前：既にその名前は使われています：2008/07/13(日) 18:18:40 ID:pTYnM/xI: >>473
（既定）の下にServiceDllってのがあるはずだからそれを見て
477 名前：既にその名前は使われています：2008/07/13(日) 18:21:01 ID:TYp198Js: >>474
wzcsvbxm.dll自体が見つからないんだ。
478 名前：既にその名前は使われています：2008/07/13(日) 18:21:31 ID:TrTsULmn: >>476
C:\WINDOWS\system32\wuauserv.dll
ってのはあるんだよね。
俺は違うウッィルスに感染しているのか
479 名前：既にその名前は使われています：2008/07/13(日) 18:21:33 ID:ZgF0MYiV: >>477
無いのか、スマンコｗ
480 名前：既にその名前は使われています：2008/07/13(日) 18:22:49 ID:ZgF0MYiV: >>478
それはwindowsupdateでつかう正しいファイル。

通常　C:\WINDOWS\system32\wuauserv.dll　ってなってるはず。
481 名前：既にその名前は使われています：2008/07/13(日) 18:25:59 ID:ZgF0MYiV: あ、ちょっとまてよ。
wzcsvbxm.dll自体がないのなら、レジストリ書き戻そうとしてるのはwzcsvbxm.dll以外か？
アラートで引っかかるなら、そのサービス絞り込んでそのサービスのエントリみれば何か解るかもーだが、ひっかからないとなるとー・・
482 名前：既にその名前は使われています：2008/07/13(日) 18:27:29 ID:ssCTNHtr: 垢ハックとかされるのはアフォだけ
俺達が楽しんでるFF11に水刺さないでくれよ
黙って己の無知を悔いてろ
483 名前：既にその名前は使われています：2008/07/13(日) 18:29:00 ID:BIvn1zQ1: 1個ばれただけで業者が増加したなw
484 名前：既にその名前は使われています：2008/07/13(日) 18:29:49 ID:TrTsULmn: 何度もすまん
ServiceDllのデータはC:\WINDOWS\system32\wuauserv.dll
だから俺のは正常だと思う
485 名前：既にその名前は使われています：2008/07/13(日) 18:30:25 ID:hZL0tiQy: 何でいつも単発なんだよｗｗｗ
486 名前：既にその名前は使われています：2008/07/13(日) 18:32:03 ID:ZgF0MYiV: こいつでレジストリかきもどしてくるsvchostのサービス名みてほしいなー。

プロセスエクスプローラ
ttp://www.forest.impress.co.jp/lib/sys/wincust/taskservice/prcsxplorer.html
487 名前：既にその名前は使われています：2008/07/13(日) 18:32:28 ID:ssCTNHtr: 業者認定してないと精神安定が計れないような低脳がハッキングされる
488 名前：既にその名前は使われています：2008/07/13(日) 18:34:00 ID:hZL0tiQy: と言いつつageてくれる業者は本能的に長寿タイプ
489 名前：既にその名前は使われています：2008/07/13(日) 18:42:26 ID:YFVjFeGm: >>482
んでこのスレがどうなると貴方のＦＦに水さすんだか教えてほしいな＾＾
このスレがあることで水さされるのは(ry
490 名前：既にその名前は使われています：2008/07/13(日) 18:42:33 ID:ZgF0MYiV: プロアクティブデフィフェンスがうごいていると、書き戻してくるときにPIDも一緒に吐くはずだから。
プロセスエクスプローラでそのPIDのsvchostなりをダブルクリック、サービスタブでそいつを動かしてるサービスがみえるよー。
491 名前：既にその名前は使われています：2008/07/13(日) 18:46:41 ID:k3FKWA9O: レジストリの変更なら　有料のセキュソフトなら不正変更監視してると思うんだが
249は　プロアクティブディフェンス有効な状態でハクられたのだろうか。
この件で解明に協力してくれてる人は　公式じゃない窓化ツール使用してたのだろうか。
ちょときになる。

>>249 カスペのプロアクティブディフェンスが作動
>>309 不明
>>407 AVGのフリー版とSpybot
>>446 マカフィーの設定でレジストリの監視あったけど、全項目をアラート有効にしても書き換え検知できねーな。
492 名前：既にその名前は使われています：2008/07/13(日) 18:50:16 ID:TYp198Js: >>486　のソフトいれてみた。
でもプロアクティブディフェンスが入ってないから、どのsvchostが書き戻してるのかわからんｗ
常にCPUを使ってるやつかなあ。それだけ、サービス数がめちゃ多い。
（他のは１～４くらいなのに、それだけ10個以上。wuauserv　や　WZCSVC　なんてサービスもある）

ちなみに俺はツール未使用。公式の窓化すらやったことない。
493 名前：既にその名前は使われています：2008/07/13(日) 18:52:05 ID:hZL0tiQy: >>492
10個以上サービス動いてるsvchostはシステムの根幹だと思うけど
何か変なサービス紛れ込んでないかチェックしないといかんね
494 名前：既にその名前は使われています：2008/07/13(日) 18:52:23 ID:fGdMIQNS: プロジェクトXと漫才が同時進行してるみたいで面白いｗ
495 名前：既にその名前は使われています：2008/07/13(日) 18:56:00 ID:YZmKQRd5: >>407
アップよろ。>>332
496 名前：既にその名前は使われています：2008/07/13(日) 18:57:28 ID:mj09Lx0/: 久々に来たらかなり進んでるじゃないか

業者プギャーか
497 名前：既にその名前は使われています：2008/07/13(日) 19:01:25 ID:2Mv8LBIr: sageんなクソ業者
498 名前：既にその名前は使われています：2008/07/13(日) 19:01:44 ID:COPvf4Vv: >>489
てか、煽ってるのは、PS2組でしょｗ
499 名前：既にその名前は使われています：2008/07/13(日) 19:01:49 ID:ZgF0MYiV: PID1456ってある？
500 名前：492：2008/07/13(日) 19:02:20 ID:TYp198Js: 486のソフト起動してる状態でレジストリを　wuauserv.dll　に戻した場合。

設定は即書き換えられる。このとき、５つあるsvchost.exeのうち１つだけが、
I/O のtotal byte　が変動してる。それがさっき言った10個以上サービス動いてるsvchost。

493の言うとおり、システムの根幹なんだろうけど、怪しいとすればこれかねえ。
501 名前：既にその名前は使われています：2008/07/13(日) 19:05:57 ID:TYp198Js: ちなみにそのsvchostのサービスは
ttp://tune.ache-bang.com/~vg/outitem/up/img/20246.gif
502 名前：既にその名前は使われています：2008/07/13(日) 19:08:15 ID:YZmKQRd5: >>501
下から2つ目見ろよ。
503 名前：既にその名前は使われています：2008/07/13(日) 19:09:14 ID:29LRTN8E: なんかダウトっぽいの混じってないか？ｗ
504 名前：既にその名前は使われています：2008/07/13(日) 19:09:41 ID:QbFq9U4R: Security Centerのdllファイル名前がソツクリ
505 名前：既にその名前は使われています：2008/07/13(日) 19:10:30 ID:wpvXx2VB: >>501
Automatic Updateを選択したSSうpよろり
506 名前：既にその名前は使われています：2008/07/13(日) 19:12:38 ID:BIvn1zQ1: >>502

いい指摘、普通のWinXPならそのファイル無いな
少なくとも俺のには無い
507 名前：既にその名前は使われています：2008/07/13(日) 19:13:02 ID:ZgF0MYiV: wzcsvbxm.dllがうごいてるねー。
やっぱりHDD内にwzcsvbxm.dllがない？
検索オプションで隠し属性もサーチするようにしないと引っかからないよｗ
508 名前：既にその名前は使われています：2008/07/13(日) 19:19:23 ID:YZmKQRd5: >>506
まんま >>249 >>407 だしね。
509 名前：既にその名前は使われています：2008/07/13(日) 19:21:34 ID:BIvn1zQ1: このサービス止めてからレジストリ消すとどうなるんかねえぇ
510 名前：既にその名前は使われています：2008/07/13(日) 19:21:48 ID:Sni935nv: svchostからアロケートされているDLLの一覧取得方法。
コマンドプロンプトを開いて、

tasklist /fi "services eq wuauserv" /m > foo.txt

これをコピペしてEnter。
カレントディレクトリにリダイレクト内容のテキストファイルが出来上がるから、この一覧中に曲者が潜んでいるかもしれない。
511 名前：既にその名前は使われています：2008/07/13(日) 19:22:57 ID:Sni935nv: >>510こめん、一部パラメータが不十分だった。

tasklist /fi "imagename eq svchost.exe" /m > foo.txt

こっちの方が完全版。
512 名前：既にその名前は使われています：2008/07/13(日) 19:23:11 ID:TYp198Js: もちろん隠しファイル含めて検索してるが、やはり該当dllはないんだよねえ。
もう1回検索してみたがダメだった。
513 名前：既にその名前は使われています：2008/07/13(日) 19:26:00 ID:QbFq9U4R: >>272の保護された～は？
514 名前：既にその名前は使われています：2008/07/13(日) 19:27:56 ID:TYp198Js: >>513
ゴメンナサイ。272の設定がオンになってました。
そしてあっさり該当dllが見つかりました。ゴメンナサイゴメンナサイ。
515 名前：既にその名前は使われています：2008/07/13(日) 19:28:42 ID:TYp198Js: あと511のコマンドながした。wzcsvbxm.dll, もでてきました。
516 名前：既にその名前は使われています：2008/07/13(日) 19:29:14 ID:BIvn1zQ1: >>514

エディタで中身見てURLをさらすんだ、また違うとあれだし
517 名前：既にその名前は使われています：2008/07/13(日) 19:30:23 ID:pTYnM/xI: ついでにttp://www.virustotal.com/に投げてね
518 名前：既にその名前は使われています：2008/07/13(日) 19:32:26 ID:TYp198Js: http://www.virustotal.com/analisis/cc110b4619122e2720c66ea98d02ac3b

中身にあったURLは以下。

h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p

既出のやつですかね。
519 名前：既にその名前は使われています：2008/07/13(日) 19:34:12 ID:2U+NyGu0: 垢ハックから3週間、ついにキャラデータ復元しましたのメールktkr
一応、流れを説明すると

6/22（日）用事で出かける前にワモプリ揃って朝8時にログアウト
6/23（月）日付変わって1時くらいインしようとするもパス変更でできず
サポセンにリトライオンラインで4時くらいにパス変えてもらって、リアフレの安全なパソでインして見るも装備根こそぎアウト
　　　　　　エクレアも捨てられ、ボナンザマーブルもなかった。ＰＯＬの前回のログイン時間は11時30分とかだった
6/24（火）幸運にも一発で電話かかって復元依頼
6/27（金）リアル所要で忙しく、やっと書類を郵送
7/13（日）１４：３０ごろ完了メール到着

ちょうど三週間、書類届いてから2週間くらいだな
とりあえずＯＳクリンインスコしてできるだけ対策してからインして見るぜ
520 名前：既にその名前は使われています：2008/07/13(日) 19:36:09 ID:pTYnM/xI: >>518
>>309のとハッシュが同じ
521 名前：既にその名前は使われています：2008/07/13(日) 19:37:01 ID:9H1cwP/D: >>519
おつ。まだクリーンインスコが済んでないなら>>442を実行してみて欲しい
522 名前：既にその名前は使われています：2008/07/13(日) 19:41:40 ID:TYp198Js: とりあえずhostファイルいじって問題のアドレスは閉じておきました。
いろいろレスくれた方サンクス。クリーンインスコが果てしなくめんどくさいので
ダメと知りつつ買い替えまではこのPCと付き合います。
523 名前：既にその名前は使われています：2008/07/13(日) 19:41:48 ID:LXtHUaOl: もうFFやめればいいのに・・・
524 名前：既にその名前は使われています：2008/07/13(日) 19:42:17 ID:QbFq9U4R: ハー？
525 名前：既にその名前は使われています：2008/07/13(日) 19:44:16 ID:YZmKQRd5: >>518
既出だね。つーことで亜種持ちの
>>407 早くアップ頼む。ここのASPは現時点で生きていて、リアルタイムにパス抜き中。
526 名前：既にその名前は使われています：2008/07/13(日) 19:44:23 ID:pTYnM/xI: そのままだとWindowsUpdateとか出来ないんじゃないか？
527 名前：既にその名前は使われています：2008/07/13(日) 19:44:32 ID:D0t1pKDj: >>522
クリーンインストールなんて休み１日使うだけで出来るのに、めんどくさいとか言ってんじゃない

と、年に10回くらいはやる自分が言ってみる
528 名前：既にその名前は使われています：2008/07/13(日) 19:44:47 ID:ZgF0MYiV: >>522
おいいいｗｗｗｗまだそいつを仕込んだダウンローダがみつかってないんだよｗｗｗｗ
そいつが生きていたら新バージョンwzcsvbxm.dllを注入される可能性あるぞｗｗｗｗ
529 名前：既にその名前は使われています：2008/07/13(日) 19:44:54 ID:QbFq9U4R: アホスｗｗｗｗｗｗｗいいのかよそれでｗｗｗｗｗｗ
今後自動更新無しテラ迷惑ｗｗｗｗｗｗｗｗｗｗ
530 名前：既にその名前は使われています：2008/07/13(日) 19:45:15 ID:BIvn1zQ1: >>522

それで絶対にFF、リネ、mixi等対象のやつはやるなよー
めんどくさがらずに、クリーンインストールして
バックアップソフトでHDイメージを初期保存しておくのをお勧めするが...
531 名前：519：2008/07/13(日) 19:45:42 ID:2U+NyGu0: >>521
見て見たけけど、C:\WINDOWS\system32\wuauserv.dllであってる
532 名前：既にその名前は使われています：2008/07/13(日) 19:47:32 ID:9H1cwP/D: >>531
ありがと。時期的にもXREAの方のウイルスだったのかもしれんね
533 名前：既にその名前は使われています：2008/07/13(日) 19:47:36 ID:YZmKQRd5: wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkb
パターン配布まではもうちょっと時間かかると思うけどね。
しかしWoWじゃないんだけど、亜種扱いなんかな。
534 名前：既にその名前は使われています：2008/07/13(日) 19:48:11 ID:YZmKQRd5: ↑Kasperskyからの返答。
535 名前：既にその名前は使われています：2008/07/13(日) 19:48:54 ID:ZgF0MYiV: つーか、HKCU\Software\Microsoft\Windows\CurrentVersion\Runあたりに本体の自動起動つくられてねえ？ｗ
そんな単純じゃないかｗ
536 名前：249：2008/07/13(日) 19:49:13 ID:CUxv2ul2: >>512
自分もファイルでは、検索しても発見出来ませんでした。
是非regieditから検索してみて下さい。

>>308　で「拒否」した後、svchost.exeからレジストリの書き換えは発生していません。
自分もアカハックにあっていた為、シャットダウンの遅延・Windows Updateのエラー・POLのクラッシュが
セットで起こっていましたが、レジストリを「C:\WINDOWS\system32\wuauserv.dll」に変えて以降は、
シャットダウンは早いは、アップデートはウマくいくは、宝くじ当たるは、背は伸びるは、モテるはで大変です。

現状、自環境にて変更を行った部分を下記に。

①　レジストリを「wzcsvbxm.dll」から「wuauserv.dll」書き換えた。
②　書き換え後、強制終了させた「svchost.exe」からの新規モジュールのロードをカスペにて「拒否」
③　>>65のIPをPG2にて許可リスト作成、併せて「wowinterfcae_com:204.13.69.12-204.13.69.12」を拒否リスト作成
④　XP　SP2からSP3にアップデート

まだまだ主原因となるプロセスは判明してませんが、外向けのドアとなる「wzcsvbxm.dll」と
どこでもドアを生成する「svchost.exe」の動きをブロックするだけでかなりの改善が見られたので、
シャットダウンやアップデートなど、今回の問題の典型的な状態にある方は試してみたはイカかでしょうか。
537 名前：既にその名前は使われています：2008/07/13(日) 19:49:20 ID:kfp2POU2: 現状のすべてとは言えないかもしれないが１つはハッキングの足跡が見つかったな
WindowsUpdateがおかしいと言っていたフレにかみ砕いて確認させてみるわ
このファイルについてのテンプレをまとめたいところだね
538 名前：既にその名前は使われています：2008/07/13(日) 19:49:39 ID:9H1cwP/D: >>533
おー対応来たか
539 名前：522：2008/07/13(日) 19:51:32 ID:TYp198Js: そうだった＞このままじゃ自動更新できない

ご指摘ありがとう。クリーンしときます。
540 名前：519：2008/07/13(日) 19:53:42 ID:2U+NyGu0: >>532
あ、でもWindows Updateのバグやシャットダウンの遅延、ＰＯＬの再起動の症状はでてたんだ
それで、クリンインスコはしてないんだけど、パソ詳しいリアフレに頼んでシステムの復元（症状出る前くらいので）してるんだよ、ハックされたあとに
それでアップデートやシャットダウンできない症状は治ったから、ひょっとしたら前は感染してたのかも

ただ、フラッシュプレイヤーも最新にしてなかったから、どっち経由かははっきりとは・・・
あんまりいい情報源になれなくてすまん
541 名前：既にその名前は使われています：2008/07/13(日) 19:53:45 ID:29LRTN8E: True Image高すぎワロタ
542 名前：既にその名前は使われています：2008/07/13(日) 19:56:45 ID:BIvn1zQ1: >>541

Drive Image XMLでも使え、ぐぐれば出てくる
543 名前：既にその名前は使われています：2008/07/13(日) 19:57:38 ID:5h0rQUV/: >>428
遅くなった

カスペのレジストリガードオンにしてレジストリ書き換えてみたがカスペ反応
拒否しても戻された
Process Explorerいれてみたがどこを見ればいいのか分からない
ごめん、呆れてなければもう少し教えて欲しい

ちなみに古いけどSpybot1.4のレジストリ監視は反応なし、スルー
544 名前：既にその名前は使われています：2008/07/13(日) 20:00:05 ID:YZmKQRd5: >>543
何度でも言うが、アップしてくれ。
ttp://tane.sakuratan.com/
545 名前：既にその名前は使われています：2008/07/13(日) 20:00:15 ID:29LRTN8E: >>542
ありがとう、ググってみる
546 名前：既にその名前は使われています：2008/07/13(日) 20:01:09 ID:ZgF0MYiV: >>543
アラートにPIDが出てきてると思うから、そのPIDのプロセスをダブルクリック＞サービスでみれるよー。
547 名前：既にその名前は使われています：2008/07/13(日) 20:02:52 ID:9H1cwP/D: >>540
なるほど復元で巻き戻したのか。ありがとう
548 名前：既にその名前は使われています：2008/07/13(日) 20:03:42 ID:5h0rQUV/: >>544
うｐした
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=40
パスff11
549 名前：既にその名前は使われています：2008/07/13(日) 20:04:52 ID:YZmKQRd5: 乙。パスいろいろ試してもう拾った。発射します。
550 名前：既にその名前は使われています：2008/07/13(日) 20:05:21 ID:BIvn1zQ1: >>545

便利さと楽さで言えば、やっぱ有償なのにはかなわないけどね
551 名前：既にその名前は使われています：2008/07/13(日) 20:10:57 ID:ZgF0MYiV: Adobe Flash Playerの脆弱性および　XREA広告サーバハッキング問題まとめ　より抜粋。
ttp://www.geocities.jp/pehchunpm/mondai_XREA_.htm

プロセス

1. ウイルスに感染した広告画像・swfファイルの設置されたWebページにアクセス
2. 感染広告に仕込まれたJavascriptによりi115[1].swf呼び出し
3. Flashplayer未更新の場合、swfはトロイの木馬として実行され
4. 最終的にtaa.gif（中身はウィルス）をDL、インストール

ウィルス感染のプロセスで保存・生成されるファイル

* i115[1].swf（不正コードより呼び出しトロイの木馬として活動）
* taa.gif（偽装ファイル、orz.exeに展開）
* orz.exe（実行ファイル）
* sonb32drv.dll（拡散ファイル）
552 名前：472：2008/07/13(日) 20:11:56 ID:HnTKtFya: カスペから連絡来た。次のウプに入れるってさ
553 名前：既にその名前は使われています：2008/07/13(日) 20:13:26 ID:QbFq9U4R: avastに検体送ったわー
うｐしてくれたひと39
554 名前：既にその名前は使われています：2008/07/13(日) 20:14:45 ID:5h0rQUV/: >>546
馬鹿ですまん
アラート出てる場所もわからん

とりあえずこんな感じ
ttp://www2.uploda.org/uporg1541794.jpg
ここに写ってるSVCHOST.EXEは全部C:\WINDOWS\SYSTEM32\SVCHOST.EXE
555 名前：既にその名前は使われています：2008/07/13(日) 20:15:28 ID:QNEwAVDB: 結局、スレそこそこのびてるのかい・・・
556 名前：既にその名前は使われています：2008/07/13(日) 20:16:27 ID:QbFq9U4R: 横山さんなのか？
557 名前：既にその名前は使われています：2008/07/13(日) 20:16:47 ID:ZgF0MYiV: これは以前にあった手口で、手法的には今回も変わらないと思う。
このときの状況はよく判らないんだけど、パスワードファイルをそのまま送信するタイプだったんだっけ？

今回はwzcsvbxm.dllがWindowsUpdateのサービスに偽装して動いていたわけだけど、それを生成するexeがまだ見つかってない。
感染後の対応はあらかた解ってきたけど、次探すとしたら何を読み込ませられるのかーを確認しないと全容解明とはいかないなあ。
558 名前：既にその名前は使われています：2008/07/13(日) 20:21:46 ID:Sni935nv: Lhazの脆弱性狙いと手口は類似。ドロッパも亜種なのかもしれない。
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-081806-0233-99&tabid=2
559 名前：既にその名前は使われています：2008/07/13(日) 20:22:14 ID:YZmKQRd5: >>557
wzcsvbxm.dll はファイルは読まない。
POLのプロセスをフックしメモリから抜くタイプ。
つまりパスワードを保存してようがしていまいが関係ない。

あと生成するexeが見つからない件だけど、
こいつ自身がドロッパも兼ねてるかも(こっちは自信がない)。

>>548
ありったけ発射した。
560 名前：既にその名前は使われています：2008/07/13(日) 20:24:37 ID:ZgF0MYiV: >>554
PID1312のsvchostを右クリックプロパティ＞サービスタブ　と
そのしたのPID2154右クリックプロパティ＞サービスタブで表示されたやつを二つSSにとってもらえると嬉しいｗ
561 名前：既にその名前は使われています：2008/07/13(日) 20:30:16 ID:9xDaUYC7: Friefoxに乗り換えました
IEだとヤバイものも、これを使ってればおｋなのでしょうか？
それともFriefoxを導入しただけでは意味がなく、なんか設定がいるのでしょうか？

（フラッシュ再生やOSは当然更新済・ノートンも入っています）
562 名前：既にその名前は使われています：2008/07/13(日) 20:31:03 ID:ZgF0MYiV: >>559
挙動からみるにそれが正しいだろうね。
ただドロッパも兼ねてるとした場合dllだけだとシステムに読み込ませることはできないし、
現にレジストリ改竄もされてる以上、exeか何か前にもう1段階あるような気がしてならないｗ

swfに埋め込まれたコードでレジストリ改竄まではできない・・・・できないよね？ｗ
563 名前：既にその名前は使われています：2008/07/13(日) 20:32:22 ID:Vjdz9b+Q: FFXIService.dllこれなんだろ。
564 名前：既にその名前は使われています：2008/07/13(日) 20:33:12 ID:YZmKQRd5: >>562
(おなじみの脆弱性などで)exeとしてダウンロードされ実行されると
自身をdllとしてsystem32にコピー、とかね。
自身をそのままコピーして動作するなら
ドロッパとトロイの2バイナリにする必要はたぶんない。
565 名前：既にその名前は使われています：2008/07/13(日) 20:33:55 ID:D0t1pKDj: >>561
アドオンでNoScript入れておくべし
566 名前：既にその名前は使われています：2008/07/13(日) 20:34:36 ID:YZmKQRd5: >>561
全然だめです。利用者の心構え・すべきことはIEも他も変わりません。
単に「利用者が少ないので狙われる率が低い」だけです。
とりあえずNoScriptとか突っ込むといいかもね。
567 名前：既にその名前は使われています：2008/07/13(日) 20:36:02 ID:lA3khJBk: >>561
firefox入れただけじゃIEとさほど変わらんぞ
noscriptとか入れないと
568 名前：既にその名前は使われています：2008/07/13(日) 20:36:08 ID:D0t1pKDj: あと乗り換えておいたとしてもIE、FxともFlashplayerの更新も
569 名前：既にその名前は使われています：2008/07/13(日) 20:36:39 ID:ZgF0MYiV: >>563
なんだそのファイルｗ

>>564
なるへそー。その可能性もあるなあ。
570 名前：既にその名前は使われています：2008/07/13(日) 20:38:05 ID:iKZqPWFe: >>561
NoScript（アドオン）入れて、設定でIFrameオフ推奨
571 名前：既にその名前は使われています：2008/07/13(日) 20:40:48 ID:YZmKQRd5: >>563
何か書いてるよね。ググってもよくわからない。
たぶんWindowerのプラグイン(BOT用)じゃないかな。
572 名前：既にその名前は使われています：2008/07/13(日) 20:44:36 ID:ZgF0MYiV: >>564
wzcsvbxm.dllを.exeに変えたら動いたりしてな？ｗ
それなら大当たりなんだけど、仮想環境今無いからなー試せないわｗ
573 名前：既にその名前は使われています：2008/07/13(日) 20:45:59 ID:YZmKQRd5: >>572
うん。それでNormanとSunbeltの砂箱に投げたんだけど
混んでるのかタイムアウトと返事が来た。
Jottiが生きていればそっちでも詳しく出るんだけど
今繋がらない orz
574 名前：既にその名前は使われています：2008/07/13(日) 20:58:44 ID:9xDaUYC7: 返答ありがとうです
早速プラグインいれてみます
575 名前：既にその名前は使われています：2008/07/13(日) 20:59:54 ID:EGnZWTBk: ファイアフォックスについてはソフトウェア板に色んなスレあるのでみてみるといいよ。
576 名前：既にその名前は使われています：2008/07/13(日) 21:00:44 ID:Sni935nv: >>572
テスト環境に放り込んで試してみたが、win32 executableでは無いと怒られた。ロードモジュールが無さそう。
昔のデバイスドライバ兼実行ファイルのような器用な構造にはなっていないと思われ。
577 名前：既にその名前は使われています：2008/07/13(日) 21:05:21 ID:ZgF0MYiV: >>576
乙。だとしたら他にwzcsvbxm.dllを生成するやつがいる可能性のが高いかなあ。
他になんか手段あったっけ・・・。
578 名前：既にその名前は使われています：2008/07/13(日) 21:07:23 ID:YZmKQRd5: >>576
そっかー。
自前でレジストリ監視しているところを見ると
ドロッパは蒸発しちゃうのかもねぇ。
579 名前：既にその名前は使われています：2008/07/13(日) 21:17:48 ID:Sni935nv: IEのキャッシュフォルダを開いて、URIで一覧のソートを掛けて問題のアドレスのが残っていれば、サルベージは可能*かもしれない*。
インターネット一時ファイル - 設定 - ファイルの表示
580 名前：既にその名前は使われています：2008/07/13(日) 21:29:14 ID:ZgF0MYiV: とりあえずPOLのプロセスを横取りしてPOLとして業者鯖にID/PASSを送信するのは間違いないかね。

だとしたら>>56でPOLの接続鯖、Portを絞っておくのは非常に有効。
今後亜種が出ても同じ形式ならファイアヲールで引っ掛けられる可能性は非常に高い。
プロアクティブディフェンスや、レジストリの保護をしておくことも重要。
また、POLは通常svchostなど外部サービスやプログラムに介入されることはない。

ただ、メモリを抜いて別プログラムで送信するようなのには対応できない。
さすがにメモリ上に平文でID/PASS置いておくことはないとおもうけどもｗ
581 名前：既にその名前は使われています：2008/07/13(日) 21:30:08 ID:IIW3eFnq: ハック対策として>>451は有効なんだろうか・・・・

FF専用マシンとノートPC、大丈夫そうではあるけど信用できなくなってきたZEEE
一応今も今後もそういう風に分けて行くつもりだけど、怖いね！
582 名前：既にその名前は使われています：2008/07/13(日) 21:30:22 ID:QbFq9U4R: 最近□が施した対策ってこれにゃなんも効果ないのなｗ
583 名前：既にその名前は使われています：2008/07/13(日) 21:31:43 ID:k3FKWA9O: ★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件　暫定まとめ(推敲よろしゅー)

wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み　かたじけのうござる。
本体(生成元)および感染ルートは現状不明。

判明している送信先(置き換えではなく●を単純に削る)
引退：wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役：googlesy●dition.com 74.86.1●85.101

【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
dosから「regiedit」を実行して
C:\WINDOWS\system32\wuauserv.dllHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
wuauserv.dllならそのままクローズ(この件の感染はしていない)
wzcsvbxm.dllの場合　まず安全な環境でパス変更　wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え
ただし　すぐに戻ってしまう報告もあるため　修正後要確認(セーフモード　オフラインで修正して　その後セキュリティソフトで変更の監視をかけてもだめかな？)
レジストリの書き換えその他自信がない場合はクリーンインストール推奨。
(先生方　こんな感じでいかがでしょうか)
584 名前：既にその名前は使われています：2008/07/13(日) 21:33:35 ID:ZgF0MYiV: >>581
セキュリティってのは楽しようと思った心の隙をついてくるんだよｗ
たとえPCを分けていようとも、今後どんなのが出てくるか解ったもんじゃないし、常日頃からFFﾏｼﾝだからーとかいわずに
両方のPCで考えうる全ての対処をしておいたほうがいい。

というか、セキュリティ関係でこれで十分おｋおｋｗって言うやつはいないｗｗｗ
585 名前：既にその名前は使われています：2008/07/13(日) 21:35:09 ID:ZgF0MYiV: >>584
また我ながら日本語でおｋ。
586 名前：既にその名前は使われています：2008/07/13(日) 21:37:38 ID:IIW3eFnq: >>584
だな～！
ありがとう、両方ともできうる限りの事はやっておくようにするよ～！

しばらく調べものはケータイかなんかでやるようにするですしおすし。
587 名前：既にその名前は使われています：2008/07/13(日) 21:39:23 ID:EGnZWTBk: >>580
今は知らないが数年前は平文でメモリ上にあった。
ツール作者や解析する人らには有名な話。
588 名前：既にその名前は使われています：2008/07/13(日) 21:43:16 ID:t35HZhlw: >>583
それにしてもgooglesy●dition.comってアドレスは本物のアドレスにCが無いだけで
凄いややこしいですね…
589 名前：既にその名前は使われています：2008/07/13(日) 21:45:17 ID:BD0/uEsE: >>583
見出し逆じゃねえ？
590 名前：既にその名前は使われています：2008/07/13(日) 21:45:47 ID:ofEH8baB: カスペルが重すぎるのか何なのか分からんが
起動時にデスクトップでフリーズするようになってしまった
591 名前：既にその名前は使われています：2008/07/13(日) 21:46:14 ID:Sni935nv: >>541
これがそんなに高いか?
ttp://www.sourcenext.com/titles/sys/72540/
本家9.0のサブセット版ではあるが、必要な機能はある程度押さえてあるかと。
スナップリストアは有れば便利だが、無くても何とかなるし。
592 名前：既にその名前は使われています：2008/07/13(日) 21:54:14 ID:ZgF0MYiV: このスレの流れみるとわかるとおり、
一度内部にもぐりこんでさらにアンチウィルスソフトで検知されないマルウェアを特定するのって非常に面倒なのよ。
Windows自体が入り組んでるのもあるし、それにレジストリやらなんやら絡み合ってストレスがマッハなわけ。
これだって>>249が無ければ今日見つけることができなかっただろうしね。
んだけどもー。
中に入れば探すの超厄介なやつらも。マルウェアがPC内部に入り込むための手段はそれほど多くないのよ。
今回でいえばFPの脆弱性などね。そこで止めておけば何も問題はないわけよ。
んだから、今日のが大丈夫だからって言ってないで、常にアンテナ張って動向を把握していくのが重要だよｗ

で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよｗｗ
593 名前：既にその名前は使われています：2008/07/13(日) 21:57:03 ID:29LRTN8E: >>591
やだ何これ…
11ばっかり見てたけどこれでも良いかな…
594 名前：既にその名前は使われています：2008/07/13(日) 22:01:17 ID:7AalaVLn: >>592
＞で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよｗｗ

旧バージョンをプログラムの追加と削除からアンインスコするように、
てのも付け加えてよろしいか
595 名前：既にその名前は使われています：2008/07/13(日) 22:02:48 ID:k3FKWA9O: うわぁぁぁっぁん　ありがとう>>589
>>583は　逆です　逆
（誤）★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件　暫定まとめ
（正）★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件　暫定まとめ

レジストリ変更が　セキュリティソフトをすりぬけて感知されないのか
食らった人は　セキュリティソフトで有効化してなかっただけなのかが　判断できないところで見落としましたっ
596 名前：既にその名前は使われています：2008/07/13(日) 22:12:25 ID:dCpPwOmL: wuauserv　あたりは以前も怪しいって言われてて散々調べたけど
wzcsvbxm.dllなんて怪しいのはのは見つからなかったなぁ。
今見直したけどやっぱりいないし、亜種がかなりあるねこれ。
597 名前：既にその名前は使われています：2008/07/13(日) 22:18:45 ID:YZmKQRd5: >>596
亜種というか別種かも。
598 名前：既にその名前は使われています：2008/07/13(日) 22:28:15 ID:BD0/uEsE: Java最新版って1.6.0_07で良いのかね
599 名前：既にその名前は使われています：2008/07/13(日) 22:28:18 ID:RpF8qcXH: 既出かもしれんが、
オフライン、セーフモードでレジストリを正常値に書き換えたら
いまのところ書き換えられずに正常動作してるっぽい。
アンチウィルスはAVG 8。
ちなみに、まだハックされてない状態、うちは。
でも、まだどこかに潜んでるんかなぁ。
600 名前：既にその名前は使われています：2008/07/13(日) 22:30:51 ID:auf+BDWj: レジストリ直してもすぐwzcsvbxm.dllになるから
system32にあるwzcsvbxm.dllを削除なりなんなりして
wuauserv.dllをコピってwzcsvbxm.dllに名前変更してsystem32に置いて再起動したら
シャットダウンや終了オプション、アプリケーションの追加と削除の時間かかるのは直った。
601 名前：既にその名前は使われています：2008/07/13(日) 22:33:19 ID:ZgF0MYiV: FlashPlayerの脆弱性ってJs実行できるやつだっけ？
602 名前：既にその名前は使われています：2008/07/13(日) 22:38:44 ID:YZmKQRd5: >>548
Kasperskyより返答。
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkf
そのうちパターン降ってくると思われ。

>>341 のはVirusTotalで既に検知する。パターン出たっぽい。
ttp://www.virustotal.com/analisis/10b384e4d2307f81c200461249e7be16
603 名前：既にその名前は使われています：2008/07/13(日) 22:40:43 ID:7hA2p3oc: カスペはえーｗ
604 名前：既にその名前は使われています：2008/07/13(日) 22:41:00 ID:ZgF0MYiV: たとえば

try {
WshShell.RegWrite("HKLM\\SYSTEM\ほにゃらりら");
} catch(e) {

とか読み込ませて実行できるならレジストリも書き換えできるかねえ？それなら即レジストリは書き換わるしdllだけ飲ませても動きそうだが。

>>602
乙、さすがにはえーなｗ
605 名前：既にその名前は使われています：2008/07/13(日) 22:43:53 ID:YZmKQRd5: >>604
ゾーンが違うんでどっかの罠サイトからは
ローカルのレジストリいじるようなスクリプトは動かないと思う。
606 名前：既にその名前は使われています：2008/07/13(日) 22:47:13 ID:YZmKQRd5: >>604
あ、すまん、Flashね。
swftoolsでダンプしたら「http(略).exe」と
おもいっきりバイナリのURIが書いてあった。
ASとか使うのかどうかは不明。
607 名前：既にその名前は使われています：2008/07/13(日) 22:47:21 ID:ZgF0MYiV: >>605
そっかー、んじゃやっぱどっかに居そうだなあ。
女子高生的に考えても、こんなん動いたら垢パクどころの騒ぎじゃねーなｗ
608 名前：既にその名前は使われています：2008/07/13(日) 22:47:53 ID:xrNQMC9g: Java？のアップデートというのはXPユーザー全員が対象なの？
609 名前：既にその名前は使われています：2008/07/13(日) 22:49:26 ID:YZmKQRd5: >>608
SunのJava入れてなけりゃ無関係。
610 名前：既にその名前は使われています：2008/07/13(日) 22:51:23 ID:CyS7VFlA: まぁそんなこと聞いてる人は入ってますよ
611 名前：既にその名前は使われています：2008/07/13(日) 22:56:46 ID:7hA2p3oc: やべ・・・１ヵ月後に通知するを選択してしまった
すぐにうｐするにはどうすれバインダー
612 名前：既にその名前は使われています：2008/07/13(日) 22:59:16 ID:7EuYZnt2: ついさっきちょっとした手違いでIEでFFrecipe見たら
AvastがMota11 3.exeってのを検出したから、ウィルスチェック始めたんだが
これやばいよなぁ～・・・
613 名前：既にその名前は使われています：2008/07/13(日) 23:00:12 ID:BD0/uEsE: >>611
ttp://www.java.com/ja
で合ってるならすぐダウソ出来る様な気がする
614 名前：既にその名前は使われています：2008/07/13(日) 23:00:44 ID:TBYaVen5: 検出したんだったら良いんじゃねーの？
どういう内容の警告が出たのかワカンネーけども。
615 名前：既にその名前は使われています：2008/07/13(日) 23:03:12 ID:cyT7dynQ: FFレ○ピも馬脚を顕したか
616 名前：既にその名前は使われています：2008/07/13(日) 23:05:06 ID:ZgF0MYiV: Mota113.exeって何か聞いたことあるんだけど、なんだっけ・・・
617 名前：既にその名前は使われています：2008/07/13(日) 23:07:29 ID:7EuYZnt2: たまたまタイミングが重なっただけかもしれん。
ちょっとIE使う機会があって、そのまま別のサイトとかIEなの忘れてて開いてた可能性もあるし
IEでffrecipe開いてたのに気付いてやべって閉じた、そのすぐ後だったから
spypodも先に起動させてたので、そっちで何か引っかかったのかもしれんし
素人意見だが・・
618 名前：既にその名前は使われています：2008/07/13(日) 23:07:57 ID:TBYaVen5: SUPER(C)とかっていうメディアファイルエンコードするソフトの関係っぽいね。
スパイウェアとして感知されることもあるみたい。詳しくはわかんないのでググッてください。
619 名前：既にその名前は使われています：2008/07/13(日) 23:08:01 ID:7AalaVLn: ffrecipeは業者に垢売ってから見てないな
620 名前：既にその名前は使われています：2008/07/13(日) 23:08:15 ID:7EuYZnt2: なんかごちゃごちゃになったが、ffrecipeで感染したってのは早計かもしれんってことが言いたかった
621 名前：既にその名前は使われています：2008/07/13(日) 23:09:25 ID:7EuYZnt2: SUPERCの方だったか。
これ入れてから知ったんだけど、消したら消したで何か誤作動起きるらしくて消せないんだよな・・・
622 名前：既にその名前は使われています：2008/07/13(日) 23:12:06 ID:y8JQOi5R: >>227
おでん鯖　業者復活確認

実名画像
ttp://www5.uploader.jp/user/tane/images/tane_uljp00048.jpg
同時に四樽がツールによって魔法実行する
ttp://www5.uploader.jp/user/tane/images/tane_uljp00049.jpg
623 名前：既にその名前は使われています：2008/07/13(日) 23:17:42 ID:dXMphtG9: ■e＜　アカハック対応でいっぱいいっぱいなんで、次のバージョンアップは年末頃になります；；；；；
624 名前：アプロダ”管理”人 ◆HL2fUAyECQ ：2008/07/13(日) 23:18:19 ID:y8JQOi5R: >>332
はいはいはい、そこの管理人何か？です。

ちゃんとリンクしてよね

以下のアプロダの仕様規定
> 法律及び条例または公序良俗に反するファイルのアップロード禁止
> セキュリティ板の趣旨にあわないファイルは削除します
以上

スキャン結果画像↓アプロダ(レンタル)
2ch@セキュリティ板画像アップローダー
http://www5.uploader.jp/home/tane/

検体アプロダ↓
セキュリティ板@2chアップローダー
http://www.tane.sakuratan.com/index.html
625 名前：既にその名前は使われています：2008/07/13(日) 23:18:53 ID:cyT7dynQ: むしろ早急に飴パッチいれないと駄目だろｗ
626 名前：既にその名前は使われています：2008/07/13(日) 23:22:17 ID:YZmKQRd5: >>624
何が言いたいんだ…?
627 名前：既にその名前は使われています：2008/07/13(日) 23:22:46 ID:wpvXx2VB: >>604
Flash player 9.0.115.0/8.0.39以前にあるCVE-2007-0071の脆弱性は
実行者の権限での任意のコード実行が可能。いくつかのswfを踏んで
みたけど、exeをダウンロード＆実行させるダウンローダが多いみたいだ。
adminでWindowsにログオンしてれば何でも仕込まれ放題。
最近のは最初に実行するexeもダウンローダなのが流行。ほかのexeを
20個くらいドカドカと落としてくる。
628 名前：既にその名前は使われています：2008/07/13(日) 23:23:19 ID:F9JK0Irr: 出たがりちゃんなんだろ・・・急にコテつけて出てきて(笑)
629 名前：既にその名前は使われています：2008/07/13(日) 23:23:36 ID:Io7qdYGj: 被害者多数とはいっても　一概に■側のミスとは言えないこの状況で
ログイン人数にもほとんど変化が見られないような状態だから
飴パッチとかあるなし以前に■がそんなこと考えるどうか・・・

なんか■のせいにする人も多いけど
今回は基本的に知識無し＆意識低い人がやられただけだよなはっきり言って
630 名前：アプロダ”管理”人 ◆HL2fUAyECQ ：2008/07/13(日) 23:24:00 ID:y8JQOi5R: 書き忘れ

壱　検体アップロードオツカレ

弐　sakuratanの稚拙なアプロダに関しては目をつぶってください

参　元々このスレにちょくちょく書き込んでいた寝実民です。

死　ID変え忘れ

頑張ってね
631 名前：既にその名前は使われています：2008/07/13(日) 23:25:34 ID:ZgF0MYiV: 乙ｗ
632 名前：アプロダ”管理”人 ◆HL2fUAyECQ ：2008/07/13(日) 23:28:48 ID:y8JQOi5R: >>628
んな、わけないだろ

そもそも色々な所のアップロダ管理人が
逮捕されまくってるさなか建てたアップローダーだから
基本的にちゃんと法律守ってくれないとこっちが困る

こっちの社会的生命かんがえてアップロードしてくださいね
633 名前：既にその名前は使われています：2008/07/13(日) 23:32:55 ID:Prvr+t76: >>629
第3者の悪意ある不正アクセスによる個人情報漏洩だろうよ。
被害者多数である以上スクエアはキチンとした対応、対策を
しないといけないだろうに。

http://www.square-enix.com/jp/privacy/
634 名前：既にその名前は使われています：2008/07/13(日) 23:38:38 ID:YZmKQRd5: >>632
で? >>341 や >>548 に何か問題あったかい?
635 名前：既にその名前は使われています：2008/07/13(日) 23:39:36 ID:BqhwV+rk: >>632
清々しいくらい意味不明
636 名前：既にその名前は使われています：2008/07/13(日) 23:45:15 ID:7AalaVLn: 個人的にはセキュリティ関連はもう公式トップの一番上に
常時表示くらいでもいいような気はするけどね。
ある種過剰なくらい、東スポ的な見出しでもつけてやらんと
一般ユーザー（っていう言い方には御幣があるかもだけど）は、
我が事として危機感持ってくれないんじゃなかろうか。

>>634 >>635
ただ「アプロダ」としてだけリンク貼られるとアホが画像上げたりだの余計なことすっからだろ
上げられる中身もウィルス検体だのなんだから適当に踏んで「感染しました；；」なんて
やられても困るだろ。そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
管理人が罰せられることもある。
だから最低限「ここはこういうアプロダですよ」とアナウンスしてからリンク貼って欲しかった、ということだと思う。
637 名前：アプロダ”管理”人 ◆HL2fUAyECQ ：2008/07/13(日) 23:46:19 ID:R0U73f8h: 検体>>341 >>548や検出結果のSSは大歓迎だよ

でも、それ以外は禁止

過不足ナイト思う
638 名前：アプロダ”管理”人 ◆HL2fUAyECQ ：2008/07/13(日) 23:49:54 ID:R0U73f8h: >>636
> そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
> 管理人が罰せられることもある。
そっす。

寝実民を信じていないわけではないし
緊急性が高い事例の時はセキュ板でなくても
寝実板限定で「事後的に」今許可したところ

んだから、検出力スレで中身を見てもらえるカモメ

これ以上、出没するとウザイ杉るので逝ってきます
639 名前：既にその名前は使われています：2008/07/13(日) 23:51:00 ID:YZmKQRd5: >>637
>>622 は消していいよ。セキュ板と関係ないから。
640 名前：既にその名前は使われています：2008/07/14(月) 00:00:09 ID:k9CSZWs9: 最新のＰＧ2リストは>>65を入れなくても大丈夫ぽい
最新はbluetackにあるぞ。

リスト管理でP2Pのとこを
http://www.bluetack.co.uk/config/level1.gz
にしてアップデートすればおｋ
641 名前：既にその名前は使われています：2008/07/14(月) 00:03:07 ID:Weg+DG2Z: http://peerguardian～で始まる奴は繋がらなかったりクソ古かったりするので注意な

まぁ>>640が怪しいと思うアホはそのままでいて結構。
642 名前：既にその名前は使われています：2008/07/14(月) 00:04:48 ID:BgvmEWA2: 冗談は>>65だけでやめとけ
643 名前：既にその名前は使われています：2008/07/14(月) 00:05:30 ID:/a030qt5: >>615
どの道、業者に売ったサイトだからまともな人は利用しない。
644 名前：既にその名前は使われています：2008/07/14(月) 00:10:07 ID:Weg+DG2Z: >>640-641
忘れてくれ。
645 名前：既にその名前は使われています：2008/07/14(月) 00:22:54 ID:zUc3Mc18: あれ？被害落ち着いたのか？
646 名前：既にその名前は使われています：2008/07/14(月) 00:25:09 ID:AwMgjuaY: >>633
>>629は内容的に>>625へのレスだろうから
『(対応はするべきだけど)飴パッチどうこう言うのは言いすぎ』
ってことじゃない？
647 名前：既にその名前は使われています：2008/07/14(月) 00:56:33 ID:fwCR3mTL: しかし今回のwzcsvbxm、仮にFFXIAHのだとしたら
検出し始めたら踏みまくりのNA大騒ぎだろうなぁ。
648 名前：既にその名前は使われています：2008/07/14(月) 01:01:56 ID:AwMgjuaY: そういえば
NAのほうでも分析がんばってたりするのかね
被害報告は何度か見たことあるが
649 名前：既にその名前は使われています：2008/07/14(月) 01:03:22 ID:giiOkMcF: NAも業者毛嫌いしてるの多かったからいるだろうね
650 名前：既にその名前は使われています：2008/07/14(月) 01:06:31 ID:TUQQJhCc: つーか先に見つけたのはNAなんだけどな
651 名前：既にその名前は使われています：2008/07/14(月) 01:09:23 ID:TUQQJhCc: wzcsvbxm.dllは
Jun 17 2008, 04:16 PMの時点でWindowerのコミュニティでウィルスとして報告されてる
652 名前：既にその名前は使われています：2008/07/14(月) 01:14:51 ID:BgvmEWA2: NAもかなり被害に遭ってて、フォーラムで騒いでるな

このスレで報告されているだけでも、wzcsvbxm.dllには1つの亜種がある

TimeStamp: 48415D33 Sat May 31 23:14:11 2008
TimeStamp: 485CE8AB Sat Jun 21 20:40:27 2008

どちらも有志がウイルス対策ソフトメーカーに報告してくれたから、
騒ぎが拡大しつつも被害報告は減るだろ
このスレも流れが速くなっただけで被害者はそんなに増えてないし
653 名前：既にその名前は使われています：2008/07/14(月) 01:19:53 ID:oJ5ZjA3o: ★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件　暫定まとめ改訂案(推敲よろしゅー)

wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み　かたじけのうござる。

判明している送信先(置き換えではなく●を単純に削る)
引退：wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役：googlesy●dition.com 74.86.1●85.101

【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx（xxxは数字）\Services\wuauserv\Parametersと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:\WINDOWS\system32\wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大　まず安全な環境でパス変更　wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え等の対策をする。
ただし　すぐに戻ってしまう報告もあるため　修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。
654 名前：既にその名前は使われています：2008/07/14(月) 01:24:14 ID:dg0cuPEd: ウイルス対策ソフトは何がいいのかなと思いつつAVG使ってたけど
対応の早さを考えただけでも、今はカスペルスキーがいいのかな？
なんか在庫ある店があんまり無さそうだけど・・・・

あ、期限切れたバスター持ってても、優待は無理ですか？
655 名前：既にその名前は使われています：2008/07/14(月) 01:26:30 ID:4BA56cxx: >>654
とりあえず試用版いれてみたら？
656 名前：既にその名前は使われています：2008/07/14(月) 01:26:44 ID:h+/3klxs: 何でも一緒
657 名前：既にその名前は使われています：2008/07/14(月) 01:27:58 ID:fwCR3mTL: >>651
ウイルスとしては報告されていないね。
「Windower動かねーんだけどなんぞこれ」みたいな感じだぞ。
つーかNAから検体が送られてるならノートンくらい引っ掛けてもいいんだが。

BlueGartrlsのフォーラムにはそれっぽい書き込みがあったようだけど
dat落ちみたいに消えちゃうのか既に404。
658 名前：既にその名前は使われています：2008/07/14(月) 01:28:56 ID:pREJ+Ffm: 優待版って別に何のチェックも無いとｵﾓﾀが
659 名前：既にその名前は使われています：2008/07/14(月) 01:30:36 ID:dg0cuPEd: あ、よく見たら試用版から製品化キーの方が安いんですね。
試用版入れてから寝ます～
660 名前：既にその名前は使われています：2008/07/14(月) 01:32:23 ID:BjU4T3eZ: >>591

まぁ11の方はセキュアゾーン＋差分バックアップが激しく便利なんだがな
USB-HDDとかに初期イメージをバックアップするなら
Bootイメージも作れるしそれでいいと思う

ちなみ11もダウンロード版なら6Kと1Kほどパッケージ版より安い
661 名前：既にその名前は使われています：2008/07/14(月) 01:34:52 ID:hrrTufG9: ハックとかマジでされたのかｗアフォじゃねぇのｗ
ダサすぎて俺なら自殺するわｗ
662 名前：既にその名前は使われています：2008/07/14(月) 01:39:23 ID:iN6hAhT9: >>341
そのファイル開いたら警告でたんだけどｗ
大丈夫かな？
663 名前：既にその名前は使われています：2008/07/14(月) 01:40:27 ID:eV2eKREs: >>661
とかいいつつ既にPCにウィルス潜ませててたらとんだお笑い種だお(＾ω＾)
664 名前：既にその名前は使われています：2008/07/14(月) 01:40:39 ID:BbTIMT1F: >>662
ウイルスのファイル開くってどんだけまぬけやねん
665 名前：既にその名前は使われています：2008/07/14(月) 01:43:25 ID:oJ5ZjA3o: >>662
カスペルは２つのうち１つはすでに対応済みらしいから警告出るんじゃない？
666 名前：既にその名前は使われています：2008/07/14(月) 01:53:18 ID:AwMgjuaY: >>661
煽るつもりでやってるんだろうけど
ageても業者以外の皆が喜ぶ＆助かる確率がちょっと上がるだけだよｗ
667 名前：既にその名前は使われています：2008/07/14(月) 01:56:26 ID:jigQHUur: 面白いのがたくさん湧いてるなー

よほど見つかったのが悔しいみたいだね。
業者なみだ目でザマーだけど、こっちも気
を緩めないようにしないとな。

しかしフレのフレが２人やられたのは悔しい。
668 名前：既にその名前は使われています：2008/07/14(月) 01:58:30 ID:fwCR3mTL: 他ベンダからの返事がさっぱり来んのだが…。
669 名前：既にその名前は使われています：2008/07/14(月) 02:02:36 ID:/lni1rRA: >>621
昨日入れて即警告出て消した俺参上
消して再起動したらキーボードがすごい勢いで誤作動しまくった、a押すとESCキー同時押ししたことになったり
対処しようにもググれないしマジまいったよ

再起動連打やバイオス見てたら勝手に直った、システム復元では直らなかったから焦ったわ
670 名前：既にその名前は使われています：2008/07/14(月) 02:03:04 ID:BjU4T3eZ: >>668

カスペは2chみてんじゃねーかって速さだったなw
まぁ１-2日くらいはかかるだろう普通は..
671 名前：既にその名前は使われています：2008/07/14(月) 02:14:03 ID:BbTIMT1F: カスペはウイルスウオッチにTrojan-GameThief.Win32.OnLineGames.で

19:57でsfbz、20:28にsfcaがあるから今日出した二つに対応したかもしれん
672 名前：既にその名前は使われています：2008/07/14(月) 02:26:31 ID:lWoG/6V1: カスペルスキー、いいらしいんだけど素人には敷居が高すぎるからなぁ・・・
「シロウトサンニハムキマセン」とかどこかに書いてあったし
せっかく90日試用版当たったんだけどなぁ・・・

まぁ、とりあえずノートンとPG2とSpybotでがんばってみるかー

しかし、カスペルスキーのオンラインスキャンでシマンテックの
フォルダにウィルスとか出たときには(´・ω・｀)だった
673 名前：既にその名前は使われています：2008/07/14(月) 02:27:51 ID:4BA56cxx: いまんとこ最新のパッチが20:21だから、2個目のsfcaの方は対応できてるのか
もしかすると微妙かもしれない。sfbzは検出できるだろうけど。
674 名前：既にその名前は使われています：2008/07/14(月) 02:30:55 ID:4BA56cxx: >>672
煽りでもなんでもなく、どこが敷居が高いのかがわからないなあ。
試用版をとりあえず入れてみればいいじゃない。
675 名前：既にその名前は使われています：2008/07/14(月) 02:31:53 ID:BbTIMT1F: >>672
以前見つけてチェストだか隔離した奴を引っかけただけじゃね？
676 名前：既にその名前は使われています：2008/07/14(月) 02:33:45 ID:o4iG2h2H: とりあえずノートンだけはやめとくべきだと思うがなぁ・・・

普通に使うなら良いが、垢ハックウィルスに大しては丸裸同然だぞ？
677 名前：既にその名前は使われています：2008/07/14(月) 02:35:29 ID:9vQWbFJY: wzcsvbxm.dllは亜種多そうだから対応してもはっきり言って意味無いぞ
自分で検索するしかねぇな
678 名前：既にその名前は使われています：2008/07/14(月) 02:37:20 ID:fwCR3mTL: >>673
さっきから何を言っとるのだ?

旧wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkb パターンリリース済
ttp://www.virustotal.com/analisis/50e965d38aa499b11982def113b62497

現wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkf もうちょっと待ってね
ttp://www.virustotal.com/analisis/6c13e811d846e65c0bce642ee7bcafb2

>>602
679 名前：既にその名前は使われています：2008/07/14(月) 02:39:14 ID:9vQWbFJY: >>676
未知のウィルスに対してはどれでも丸裸同然だ
680 名前：既にその名前は使われています：2008/07/14(月) 02:45:58 ID:KwjQ8SV/: ついにウイルス本体みつけたのか。GJすぎる
まさかここまで手の込んだマジなウイルスとはな。亜種はでるだろうが、オリジナルは抑えた
おまえらかっこいいよ
681 名前：既にその名前は使われています：2008/07/14(月) 02:48:15 ID:eLqe2l62: >>680
本体は見つかってない
682 名前：既にその名前は使われています：2008/07/14(月) 02:50:29 ID:oJ5ZjA3o: >>679
実際このスレで特定されるまでwzcsvbxm.dllは
Prevx1ってとこだけが一般的なマルウェアとして検出するのみだったからねー
683 名前：既にその名前は使われています：2008/07/14(月) 02:50:32 ID:KwjQ8SV/: ああ、生成元はまだか
いたって普通のプロセスだったりね。IEとかw
684 名前：既にその名前は使われています：2008/07/14(月) 02:51:17 ID:r6J+a9o5: マジで、乙、としか言い様がない。
685 名前：既にその名前は使われています：2008/07/14(月) 03:04:27 ID:yO3QQiYp: >>676
ノートンがダメって言うより、垢ハックに関してはカスペルスキー以外はダメって事だよな。
686 名前：既にその名前は使われています：2008/07/14(月) 03:06:45 ID:eUkhDm9l: 知識が素人レベルのおいらにはさっぱりだがおまいらかっこいいよ

垢ハックされた奴のためにもがんばれおまいら超がんばれ
687 名前：既にその名前は使われています：2008/07/14(月) 03:19:50 ID:3D1jBqcw: カスペル買いたいんだけどどれがいいの？
688 名前：既にその名前は使われています：2008/07/14(月) 03:25:51 ID:1YBrafwy: ハックされたアフォにはもうヴァナに戻って来て欲しくないな
お前らのせいでGM来るの遅いし物価が狂った解約して償って欲しい
689 名前：既にその名前は使われています：2008/07/14(月) 03:28:13 ID:T1Q5v46o: >>685
どれでもダメだって
現にカスペで被害者いっぱいるだろ
690 名前：既にその名前は使われています：2008/07/14(月) 03:31:43 ID:BjU4T3eZ: 今回はPG2もだめだったしな、怪しいところは踏まない
セキュリティホールはすぐ埋めるが基本ってところか
691 名前：既にその名前は使われています：2008/07/14(月) 03:32:13 ID:T1Q5v46o: 1ヶ月以上前から広まってるウィルスを今になってやっと被害者からの報告で対応だぞｗ
しっかり自衛してないとセキュリティソフトなんて意味ねーからｗ
692 名前：既にその名前は使われています：2008/07/14(月) 03:52:15 ID:3D1jBqcw: ってカスペのサイトからトライアルDLしようとしたらPG2がはじいてるんですけど・・・
693 名前：既にその名前は使われています：2008/07/14(月) 04:05:58 ID:AwMgjuaY: そこがメインじゃないのはわかってるけど
>>691
でも　どこもこの手のは放置気味じゃない？
『広まってる』とはいっても正直一般的じゃないし　全体から見りゃ被害者も少ないし・・・
前もこういうことあったような(ネトゲとかブログとかのパス抜き系は対応激遅orスルー
694 名前：既にその名前は使われています：2008/07/14(月) 04:19:25 ID:NtbJ6Mx/: つか、テンポラリか何処かにドロッパの痕跡は残ってないか。
自滅型にしても、ファイル復活ツールで戻せたりするかも。
695 名前：既にその名前は使われています：2008/07/14(月) 05:34:56 ID:b4ofyeFH: 無料ソフトにも負け続きでランク外になったカスペ推奨してるのってここだけじゃね？
それともネットゲームでは強力なのか？
696 名前：既にその名前は使われています：2008/07/14(月) 05:59:26 ID:g8+ZC1m8: 最近たまたま対応が早かったのでもてはやされている。そんだけ
何入れようが安心なんて無いんだから警戒は絶やしちゃダメだろ
697 名前：既にその名前は使われています：2008/07/14(月) 06:24:54 ID:moU1wFpo: チクサクGMコールあげ
698 名前：既にその名前は使われています：2008/07/14(月) 06:30:47 ID:CaelPPs0: 検知力テスト（2008年7月12日）
Most Effective Antivirus Tools Against New Malware Binaries
ttp://mtc.sri.com/live_data/av_rankings/

Rank Detects Missed Product
1st 96% 85 AntiVir
2nd 96% 96 Webwasher-Gateway
3rd 94% 141 Ikarus
4th 93% 176 BitDefender
5th 92% 194 F-Secure
6th 91% 233 AVG
7th 89% 287 Sophos
8th 89% 300 Kaspersky
9th 89% 300 Avast
10th 88% 303 Norman
699 名前：既にその名前は使われています：2008/07/14(月) 06:31:27 ID:CaelPPs0: 11th 87% 350 CAT-QuickHeal
12th 85% 388 ClamAV
13th 84% 433 DrWeb
14th 83% 441 VirusBuster
15th 83% 455 Microsoft
16th 82% 473 eTrust-Vet
17th 80% 537 F-Prot
18th 80% 545 Rising
19th 79% 557 Fortinet
20th 79% 574 Symantec
700 名前：既にその名前は使われています：2008/07/14(月) 06:38:08 ID:XWGLn+5O: 7/7前後に垢ハックされた。
その２、３週間前からスレで言われてる、シャットダウン遅延、アプリ一覧表示遅延が出てた。SP3も不可。
他にもブラウザが頻繁に固まる、POLからFFに移行する時に3分程放置しないと接続出来ないなどあったが、
後者はグラボがGfo8600なのでグラボのせいかも。ドライバは最新。
Flashバージョンは古かったが、一度新しいのにｱｯﾌﾟﾃﾞｰﾄしようとしたら弾かれた。
何度か試したら出来たので、こっちのせいかも知れない。
ウィルスバスター使用、ファイアーウォール有効、Sleipnir使用
自動更新は無効にしてある。

スレをざっと読んで、隠しファイル含めCドラ検索でwzcsvbxm.dllは見つからず
レジストリエディタで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauservを辿って開こうとすると
wuauservを開けません。キーを開こうとしてエラーが発生しました。と出る。
レジストリ検索すると引っかかる　serviceDll %systemRoot%\System32\wzcsvbxm.dll ServiceMain
>>450実行すると、エラー：指定されたレジストリキーまたは値が見つかりませんでした。

問題なさそうならスルーしてくれ。
レジストリ、ウィルス、ウィンドウズシステムに関する知識はあまりない。
701 名前：既にその名前は使われています：2008/07/14(月) 06:43:34 ID:g8+ZC1m8: 無いならなおさら自動更新オフにするなよｗ
702 名前：既にその名前は使われています：2008/07/14(月) 06:51:50 ID:fwCR3mTL: なんかセキュ板から変なのが紛れ込んでるなｗ >>695-696
703 名前：既にその名前は使われています：2008/07/14(月) 06:55:24 ID:TOu0sxmL: 対応状況更新。
GDataも対応した模様。

Trojan-GameThief.Win32.WOW.bkb
ttp://www.virustotal.com/analisis/50e965d38aa499b11982def113b62497

Trojan-GameThief.Win32.WOW.bkf
ttp://www.virustotal.com/analisis/6c13e811d846e65c0bce642ee7bcafb2
704 名前：既にその名前は使われています：2008/07/14(月) 06:58:02 ID:TOu0sxmL: bkfはこっちか。

Trojan-GameThief.Win32.WOW.bkf
ttp://www.virustotal.com/analisis/42f9ad37612880f4e27a742490d41b8d
705 名前：既にその名前は使われています：2008/07/14(月) 07:04:33 ID:fwCR3mTL: GDATAはKasperskyとavastくっつけただけだからすぐパターン回るね。
F-Secureは自社での検証が入るのでちょっと遅れる。
706 名前：既にその名前は使われています：2008/07/14(月) 07:35:01 ID:tr549L/i: >>700
レジストリをwzcsvbxm.dllで検索して引っかかるなら問題おおありだよ。
通常wzcsvbxm.dllなんてdllはWindowsで使われることはないｗ
707 名前：既にその名前は使われています：2008/07/14(月) 07:37:50 ID:zM56q/MB: 亀鯖の業者の新規販売窓口？
Eachainn
垢ハックしたキャラの高額アイテムを安く売りさばいている気がする。
708 名前：既にその名前は使われています：2008/07/14(月) 07:51:10 ID:HSkUXhbX: カスペでwzcsvbxm.dll反応するようになったけど駆除は出来ないんだね
709 名前：既にその名前は使われています：2008/07/14(月) 07:54:25 ID:tr549L/i: >>708
WindowsUpdateのサービスを騙って常駐してるからね。
セーフモードで起動すれば駆除できると思うけど。

それでも駆除できなかったらセーフモードでレジストリを正規のものに書き換えてからwzcsvbxm.dllをリネーム。
そんで普通に起動かけて駆除してみｗ
710 名前：既にその名前は使われています：2008/07/14(月) 07:58:09 ID:ZfiL1Iii: カスペは対応早いな
対応は早いが長所は検出できていなかったことを忘れてはいけない

カスペ入れておけば大丈夫と思い込むことが危険
711 名前：既にその名前は使われています：2008/07/14(月) 08:02:06 ID:SuA7MG6+: 検出できないことが長所かｗｗｗ
712 名前：既にその名前は使われています：2008/07/14(月) 08:08:50 ID:MI9FBil4: ×長所
○長女
713 名前：既にその名前は使われています：2008/07/14(月) 08:20:09 ID:IPQlXr23: スクエニ今日も電話つながんないだろうな
714 名前：既にその名前は使われています：2008/07/14(月) 08:29:14 ID:3D1jBqcw: 俺用メモ

--------キャラクター復元サービス申請書類テンプレ---------

去る7月○日、御社にアカウントハッキングの件で連絡させて頂いた○○と申します。

電話対応して頂いた際、復元サービスの説明と申請の方法を伝えて頂きましたのでこのような形で
サービスの申請願いを郵送させて頂きました。
身分証明と共に、公式の内容に同意し下記に記載したキャラクターの復元を申請致します。

ワールドサーバー名○○　復元申請キャラクター数○　復元申請キャラクター名○○○
POLID○○○　　POL以外のメールアドレス○○○○

【被害の詳細】パス変えられてインできねｗｗｗｗｗ入れるようになったらアイテムねえｗｗｗｗもうだめぽｗ

宛先はこちら↓

スクウェア・エニックス　インフォメーションセンター
〒151-8544 東京都渋谷区代々木3-22-7　新宿文化クイントビル10Ｆ
715 名前：既にその名前は使われています：2008/07/14(月) 08:50:17 ID:tr549L/i: >>710
カスペルさんに限らず、アンチウィルスソフトはインスコ後デフォルトで使ってるとザルだしね。
716 名前：既にその名前は使われています：2008/07/14(月) 08:57:03 ID:MP5uq74q: avastは何やってもザルだぜ
717 名前：既にその名前は使われています：2008/07/14(月) 09:17:27 ID:BjU4T3eZ: 新種のウィルス＆ワームにざるじゃねぇ所なんてどこにもねぇw

やっぱ安全を求めるならブラウザ専用マシン（VPC含む）を用意するしかないだろうねぇ
718 名前：既にその名前は使われています：2008/07/14(月) 09:22:17 ID:Xrlpj2xt: >>716
無料でザルじゃないの教えてください
719 名前：既にその名前は使われています：2008/07/14(月) 09:32:36 ID:DJFu2WjP: レジストリが書き換わっているにも関わらずwzcsvbxm.dllがない
正規の値にレジストリ書き直したら普通に書き直せた
が、シャットダウンの遅延変わらず、system32\svchost.exeも残ったまま
全然詳しくないんだけど、これってまだ解決してないよね
720 名前：既にその名前は使われています：2008/07/14(月) 09:33:36 ID:uFxJRDi2: カスペ入れたら下り50Mだったのが10Mまで落ちた
さすがにこれじゃ耐えられん
721 名前：既にその名前は使われています：2008/07/14(月) 09:46:55 ID:DLEEgKDQ: >>718
Antivir
722 名前：既にその名前は使われています：2008/07/14(月) 09:54:41 ID:FGTtE03J: NoScriptでgooglesyndicationが引っかかると心臓に悪いな
○googlesyndication（googleのアフィ）
×googlesydition（垢ハックのIDパス送信先）
723 名前：既にその名前は使われています：2008/07/14(月) 09:59:17 ID:i6OozX3y: >>718
AntiVir ただし英語版しかないのであんまり流行らない
724 名前：既にその名前は使われています：2008/07/14(月) 10:05:40 ID:9ZURV3I3: Avira AntiVirは日本語の解説サイトがあるので英語でもそんなに困ることはないでしょう。
725 名前：既にその名前は使われています：2008/07/14(月) 10:08:21 ID:Xw/cO/U/: たかがウィルス対策ソフトで英語版・日本語版ってのに拘る人もいるんだろうか
726 名前：既にその名前は使われています：2008/07/14(月) 10:08:58 ID:BjU4T3eZ: >>720

私もそれでカスペでなくてAntiVirつかってるからなぁ～
RWIN固定化されちゃうんだよね
まぁ一般人が50Mとか使ってるのなんて日本くらいとは言え...
727 名前：既にその名前は使われています：2008/07/14(月) 10:11:52 ID:JfOiYFSV: >>700

ハックされた俺とまったく同じ症状だわ…。
728 名前：既にその名前は使われています：2008/07/14(月) 10:13:14 ID:tr549L/i: ★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件　現状まとめ(>>653の挙動周り修正)

【レジストリ】
　WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
　・キー位置
　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx（xxxは数字）\Services\wuauserv\Parameters
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
　・感染時エントリ（値）
　　%SystemRoot%\system32\wzcsvbxm.dll　（未感染Windowsでは%SystemRoot%\system32\wuauserv.dll）
　wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
　エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。

【POL】
　wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
　svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更されていると考えられる。
　乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了？
　そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
　現時点で確認されている送信先(置き換えではなく●を単純に削る)
　・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
　・ooglesy●dition.com 74.86.1●85.101
729 名前：既にその名前は使われています：2008/07/14(月) 10:16:32 ID:tr549L/i: >>719
検索の詳細設定オプションで

　システムフォルダの検索
　隠しファイルとフォルダの検索
　サブフォルダの検索

にチェックいれて検索してもでないかなあ？
730 名前：既にその名前は使われています：2008/07/14(月) 10:28:01 ID:DJFu2WjP: >>729
そうしても引っ掛からないんだ
参ったな
731 名前：既にその名前は使われています：2008/07/14(月) 10:31:44 ID:tr549L/i: 少なくともエントリが%SystemRoot%\system32\wuauserv.dll以外になってる時点で感染してるのはほぼ確実といっていいだろうなー。
%SystemRoot%\ってのは、ほにゃらら:\WINDOWS\って意味ね。

>>730
エクスプローラのツール＞フォルダオプション＞表示で全てのファイルとフォルダを表示する。　になってる？
732 名前：既にその名前は使われています：2008/07/14(月) 10:35:41 ID:DJFu2WjP: WUも試してみたがしっかりフリーズする
プログラムの追加と削除でのプログラム一覧表示も異常に遅い

>>731
なってる
もちろん直接system32見にいっても見つからない
733 名前：既にその名前は使われています：2008/07/14(月) 10:37:37 ID:oJ5ZjA3o: 保護されたオペレーティング～
のチェックを外してあるか確認
734 名前：既にその名前は使われています：2008/07/14(月) 10:38:47 ID:tr549L/i: >>732
フォルダオプションの

保護されたオペレーティングシステムファイルを表示しない（推奨）

のチェック外れてる？ｗ
735 名前：既にその名前は使われています：2008/07/14(月) 10:40:22 ID:I97JYoXU: クレジットカード使ってた場合って、もしかしてクレジットの番号まで盗られてますかね・・・？
736 名前：既にその名前は使われています：2008/07/14(月) 10:41:18 ID:tr549L/i: >>735
クレカは下4桁だかマスクされてるんじゃないっけ。
737 名前：既にその名前は使われています：2008/07/14(月) 10:45:35 ID:Ga0POk/5: >>735
今回のようなPOLパス抜きではカード情報は盗まれない
ただしカード決済の場合はキャラ作成や鯖移転が即時おこなえるので
あなたのカードを利用して有料サービスを勝手に使われるかもしれない
738 名前：既にその名前は使われています：2008/07/14(月) 10:48:57 ID:DJFu2WjP: >>733 >>734
うわああ申し訳ないそれで見付けられた
中身はgooglesydition.comだった
ありがとう
739 名前：既にその名前は使われています：2008/07/14(月) 10:52:28 ID:3yI6XHDZ: Trojan-GameThief.Win32.WOW.bkf の駆除はもう少し
時間がかかるって事？
740 名前：既にその名前は使われています：2008/07/14(月) 10:56:30 ID:tr549L/i: >>738
んじゃあそのdllを

http://www.virustotal.com/jp/

に投げて結果URLはってね。

>>739
システムサービスとして動いているからアンチウィルスソフトなんかだと検知はできても駆除はできないかも。
セーフモードでレジストリの修正してからなら出来ると思うがｗ
んだけど、まだドロッパの特定ができてないし>>640のような状況だから大人しくクリンスコしたほうがいいよ。
なに仕込まれてるか解ったもんじゃないしｗ
741 名前：既にその名前は使われています：2008/07/14(月) 10:58:03 ID:zHPvtkyP: 感染したPCの対象レジストリを開こうとすると
エラーが出て開けない状態の人が前のほうにいたと思いますが
家も同じ状態で
セーフモードからだとレジストリが正常に開けたので
wuauserv.dllに書き直し
wzcsvbxm.dllをリネーム後再起動して削除したところ
終了オプションの表示が遅くなる現象が改善されました。

ちなみにwzcsvbxm.dllの中身のアドレスは下記でした。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
742 名前：既にその名前は使われています：2008/07/14(月) 11:01:34 ID:tr549L/i: >>740
アンカーまちがえたｗ
×>>640
○>>627

さーせんしたｗｗ
743 名前：既にその名前は使われています：2008/07/14(月) 11:03:20 ID:3yI6XHDZ: ＞７４０
thx
744 名前：既にその名前は使われています：2008/07/14(月) 11:06:32 ID:BjU4T3eZ: まぁ、問題解析を優先するんじゃないなら
ウィルス本体も見つかって無い事だし
素直にクリーンインストールをお勧めするよ

>>727

パスワードを安全な環境で(オペさんに変えてもらったってのも含む)
変更後、復旧待ちで解析してみたいってなら
セーフモードで立ち上げてみると該当レジストリ見れるかも

Windows XP をセーフモードで起動する方法
http://support.microsoft.com/kb/880414/ja
745 名前：既にその名前は使われています：2008/07/14(月) 11:12:54 ID:DJFu2WjP: >>740
どうぞ
ttp://www.virustotal.com/jp/reanalisis.html?150356331ec6a7e122f4c9770d8a2b41
746 名前：既にその名前は使われています：2008/07/14(月) 11:16:40 ID:tr549L/i: 通常POLはsvchostなどから介入うけることはまずないと思っていていい。
逆にいえば、介入されたら何かしら問題がおきていると考えれｗ

ファイアヲールのプロアクティブディフェンス機能を利用したり、
POLのアプリケーションルールを>>56にしておくことが非常に有効だと考えられる。
この手の手法であれば感染してもID/PASS送信前に引っ掛けられる可能性は高いよｗ
747 名前：既にその名前は使われています：2008/07/14(月) 11:17:51 ID:BQyOSTuY: 被害あって復元待ちなのですが、
復元待ちの間用にと「はじめてのFFXI」新規アカウントで、今朝POLログイン中、
急に「別の場所からログインされました」みたいなのが出ました。
すぐにログインし直して様子をみていると、また別の場所からログインされたが出たので、
またかと思いパスワード変えました。（それにしてもタイミングがよすぎる？）
実は、被害後カスペルスキーでTrojan-GameThief.Win32.OnLineGamesというのを検知して駆除したので
安心していたのでしたがダメな様で・・・
クリーンインストールっていうのはOSから入れ直す様なので、ノートパソコンは関係ないのでしょうか？
ノートパソコンをリカバリーしようと思いますが、リカバリー後はXP SP1になってしまいますが、
まず先にWindows UpdataでSP3最新まで更新、Flash最新でしょうか？
それともネットにつなげる前にウイルス対策ソフトのインストールが先なのでしょうか？
748 名前：既にその名前は使われています：2008/07/14(月) 11:21:38 ID:tr549L/i: >>745
検知はされてるみたいだけどこれもハッシュちがうなｗ
亜種ってかバージョン違いかもしれないけど、今後ひっかからない奴組んでくる可能性もあるので。
wzcsvbxm.dlなりみつけたらhttp://www.virustotal.com/jp/に送って確認していくのがいいかもしれないねｗ
749 名前：既にその名前は使われています：2008/07/14(月) 11:21:56 ID:JXjz5KAA: >>747
今すぐPS2か360を買ってきてそれで即座にパスを変更後、二度とPCでFFを
やらないでください。お願いします。
750 名前：既にその名前は使われています：2008/07/14(月) 11:26:19 ID:tr549L/i: >>747
SP3やセキュリティソフトなどを先にDLなり用意しておいて、リカバリ後オフラインでそれらインスコしていくのがいいと思うよｗ
FlashPlayerもアンインスコしてから、WindowsUpdateかければいいんじゃないかなｗ
751 名前：既にその名前は使われています：2008/07/14(月) 11:26:29 ID:sK+6PmYQ: wzcsvbxm.dllってカスペルのオンラインスキャンで検出は出来てる？
検出され出来ればＰＣに詳しくないフレに先に指示出来る
見つかったら即ＰＣを切り離させてレジストリの再確認と駆除方法を検討しようと思ってる
752 名前：既にその名前は使われています：2008/07/14(月) 11:28:56 ID:Ga0POk/5: >>747
どう説明したらいいのやら・・・
カペルスキーだろうが他の何だろうが全部のウィルスを完全に検出して駆除できません
ノートPCであってもデスクトップPCであっても外側の形が違うだけで中の仕組みは同じ
クリーンインストールというのはウィンドウズから全部を消して入れなおすことです
ノートパソコンに付属のマニュアルにしたがって行ってください
クリーンインストールができたらネットに接続する前にウィルス対策ソフトを入れましょう
その後にウィンドウズアップデートやフラッシュプレイヤーの更新を一つ一つ行います
753 名前：既にその名前は使われています：2008/07/14(月) 11:29:02 ID:BjU4T3eZ: >>751

何個(最初の1つ？)かは出てるけど、すべては出ていないとおもう
今また>>745で増えてるしね
754 名前：既にその名前は使われています：2008/07/14(月) 11:33:24 ID:tr549L/i: >>751
現時点でこの3種は検出されるのは確認したよ。
パターンファイルが降ってきてるかどーかはAvira民の俺にはわからないｗ

wzcsvbxm.dll　　　　Trojan-GameThief.Win32.WOW.bkb
MD5: c6af4d4acd8b13e7def1770ac84aec23

wzcsvbxm.dll　　　　Trojan-GameThief.Win32.WOW.bkf
MD5: a63ac3af3b8fdab8746767c458b33d10

wzcsvbxm.dll　　　　Trojan-GameThief.Win32.WOW.bkf
MD5: 3ada06c88eabf3c2581f482400d924bc
755 名前：既にその名前は使われています：2008/07/14(月) 11:35:09 ID:oJ5ZjA3o: >>751
試してみた
昨日ここで発見された２つは検知する
今日の分は検体が手元にないから分からない
756 名前：既にその名前は使われています：2008/07/14(月) 11:40:00 ID:k1i/gyz+: 俺のPC　指摘されてるサイトはもちろん、ほぼありとあらゆるFFサイト見まくってるけど感染してないな
なにが勝因なのか自分でもワカランｗ
757 名前：既にその名前は使われています：2008/07/14(月) 11:42:05 ID:JXjz5KAA: >>747
いっとくけど、749は冗談じゃないよ。その知識では復元後に必ずまたやられる。
そして2回目の復元サービスはない。だから悪いことは言わない。二度とPCで
FFやるな。
758 名前：既にその名前は使われています：2008/07/14(月) 11:42:55 ID:egmCNGgx: >>756
お前のようなアフォが感染している
759 名前：既にその名前は使われています：2008/07/14(月) 11:47:27 ID:sK+6PmYQ: >754
報告ありがとう
解る人なら問題の本質を簡単に説明出来るんだけど
初心者にはかなりかみ砕いて説明しなければいけないだよね

簡単な検出、難しく無い(ミスしない)対応の指示を考えるわ
760 名前：既にその名前は使われています：2008/07/14(月) 11:48:14 ID:tr549L/i: >>756
>>592でも言ったんだけど、マルウェアがPC内部に入り込むための手段はそれほど多くないんだよね。
そこらの動向をしっかり把握して、対処してれば感染する可能性はぐっと低くなる。
が。
>なにが勝因なのか自分でもワカランｗ
つーことだし、今回は単純に運が良かったってだけじゃねｗ
761 名前：既にその名前は使われています：2008/07/14(月) 11:51:29 ID:BQyOSTuY: >>747です
ごめんなさい。もうPS２買ってきます。
本アカウントは復元待ちで凍結中なのですが、
新しく再発行されたパスワードを凍結中でも、サポセンでさらに新しく再発行することはできるでしょうか？
あと再発行されるパスワードって数字４つアルファベット大文字４つの合計８文字ですよね？
単純すぎるのですが、もっと複雑にできるでしょうか？
762 名前：既にその名前は使われています：2008/07/14(月) 11:55:47 ID:BjU4T3eZ: >>757
まぁ確かに落ち着くまではPS2なりXBOX360なりに退避してるのが
いいと思うな
特に二回目は復旧してもらえんしな

いまさらそこまでする気はないってならまぁお休みしててもいいと思うが
ついでにそのまま引退できて良いかもしれん...
763 名前：既にその名前は使われています：2008/07/14(月) 11:56:51 ID:zPSbCltV: >>747
本気で言ってるなら、あんたパソコンでネトゲやっちゃだめだ。
あまりにも知識が無さ過ぎる。あんたみたいな人がウィルス撒き散らすんだよ。

ノートパソコンだってOS無ければ動かないんだから、
クリーンインストールが関係ないとか、馬鹿でも言わないようなことだぞ？
764 名前：既にその名前は使われています：2008/07/14(月) 11:59:03 ID:tr549L/i: >>761
へこむなよｗｗ
とはいえ>>747の言うとおりPS2なり×箱でやればPCよりは安全だしね。
ただ、PCを使う限り今後もいろんなマルウェアに悩まされていくわけだから、
少しずつでも自分の環境を把握して、セキュリティソフトが一体何をしてるのか理解していくことが重要だよｗ

8桁以上じゃないっかなー。最大桁数は忘れた。

もう>>747が言ったんだし何度も同じこと言わなくてもいいんじゃねｗｗ
765 名前：既にその名前は使われています：2008/07/14(月) 11:59:08 ID:zPSbCltV: >>761
もっと複雑ってどういう意味？
766 名前：既にその名前は使われています：2008/07/14(月) 11:59:35 ID:Vb9WTlhz: 新しく再発行されたパスワードを凍結中でも、サポセンでさらに新しく再発行することはできるでしょうか？
↑屑エニに聞けｗ

あと再発行されるパスワードって数字４つアルファベット大文字４つの合計８文字ですよね？
単純すぎるのですが、もっと複雑にできるでしょうか？
↑復元されてから自分の好きなように変更しろｗ　
767 名前：既にその名前は使われています：2008/07/14(月) 12:01:11 ID:jigQHUur: >>765
オマエは、、、2チャンネルやっちゃダメだｗ

複雑ってのは英数記号大文字小文字文字数をいろいろ組み合わせていくことを
言ってるんだと気付けよ。その程度がわからないやつが他人にえらそうにすんなよw
768 名前：既にその名前は使われています：2008/07/14(月) 12:01:53 ID:Vb9WTlhz: >>765　12DAdfgdafe343glete43wtとかにしたいってことじゃね？
769 名前：既にその名前は使われています：2008/07/14(月) 12:05:27 ID:tr549L/i: >>764
またアンカミス、いやほんとすいまえんえｄしあ；；
×>>747
○>>757
770 名前：既にその名前は使われています：2008/07/14(月) 12:06:43 ID:BQyOSTuY: へこみました・・・
771 名前：既にその名前は使われています：2008/07/14(月) 12:07:36 ID:WQUx1mer: あたりまえだバカ
772 名前：既にその名前は使われています：2008/07/14(月) 12:08:41 ID:WQUx1mer: 今のあなたのPCってパスないのと変わらんの。
なんで強度の心配とかしてんの？
773 名前：既にその名前は使われています：2008/07/14(月) 12:11:01 ID:1Ti6KZbR: まだ今回のアカハック完全に解決してないけどそろそろ送信先わかってるとこには反撃したいとこだ
まぁ反撃したとこでウィルス減るわけじゃないけど
うさばらしにはなるかな
774 名前：既にその名前は使われています：2008/07/14(月) 12:11:05 ID:oQ/lf3kO: >>770
ここはあくまでネ実であってサポセンでは無いって事だわ。
煽りなんて当然と思わないとね。
775 名前：既にその名前は使われています：2008/07/14(月) 12:13:26 ID:WOQ1siHF: >>770
言い方は非常に不親切だが>>766は的確な事を言っているよ。

凍結中にさらにパスワード再発行してくれるかどうかは
サポートセンターに聞かなきゃ分からないし（たぶんしてくれるとは思うけど）、
パスワードは後でいくらでも自分で好きに変更できる。

このスレを面倒でも最初からよく読んで、少しでも知識をつけてね。
巻き戻しは一度きりなんだし、結局自分の身は自分で守るしかないからね。
776 名前：既にその名前は使われています：2008/07/14(月) 12:14:34 ID:47YLqBCM: 強度の心配することはいいことだ
777 名前：既にその名前は使われています：2008/07/14(月) 12:15:47 ID:zPSbCltV: >>767
チャンネルとか書いちゃう痛い奴から、どうこう言われる筋合いは無いねｗ

あの程度の知識しか無いID:BQyOSTuYが
数字４つアルファベット大文字４つ以外を使いたいという意味で
複雑という言葉を使ったわけではないと判断できる材料が、>>761にあるのかよ？ｗ

＞英数記号大文字小文字文字数をいろいろ組み合わせていくこと

これって、おまえの都合で勝手に想像しただけだろｗ
そういうのは「個人的解釈」って言うんだよ。なんでそれが唯一無二の正解みたいに自信持てるんだｗｗｗ
778 名前：既にその名前は使われています：2008/07/14(月) 12:17:20 ID:WQUx1mer: 力抜けよ
779 名前：既にその名前は使われています：2008/07/14(月) 12:19:16 ID:I5xYa5Fi: ハックされてwzcsvbxm.dll探してみても引っかからないんだが…。
これはローカルハックなんかね？
ところで、POLのセキュリティ設定もブっこ抜かれる？
780 名前：既にその名前は使われています：2008/07/14(月) 12:21:15 ID:Cd7yQcwk: まあ、あんまり強度の高いパスワードは、往々にして運用面でボロが出たりする
概して覚えづらい、入力しづらいパスワードになるから

個人で使う分には、ソーシャルハッキング（パスワードのメモ書きを見られる等）は
あまり考える必要は無いけれど
781 名前：既にその名前は使われています：2008/07/14(月) 12:22:41 ID:tr549L/i: そういえば、感染PCでPOL.exeは全員エラー落ちするの？
前スレだか前々スレだか前々々スレだかでPOLの接続先が業者鯖になってるっていう報告あったから
>>728でプロセスを乗っ取るとか書いちゃったけど、落ちないでそのままゲームに進めるっていうなら、
POLから発射されるID/PASSを抜き取ってwuauserとして送信することも可能な気がしてきた。
だとしたらPOLの接続鯖絞ってもあまり意味ないんかなあ。

プロアクティブディフェンスを常駐させてれば引っかかるとしても。
782 名前：既にその名前は使われています：2008/07/14(月) 12:25:49 ID:Vb9WTlhz: >>777 御高説たれたところ　ぷっｗ
783 名前：既にその名前は使われています：2008/07/14(月) 12:25:52 ID:tr549L/i: >>779
これで試してみて無かったらレジストリ確認してみｗ
>>729
>>734

POLのセキュリティ設定は前にあった手法のパスワードファイルをそのまま盗み出す手口に対応したもので
今回のにはあまり役にたたんよｗ
784 名前：既にその名前は使われています：2008/07/14(月) 12:27:56 ID:oJ5ZjA3o: >>779
>ハックされてwzcsvbxm.dll探してみても引っかからないんだが…。
>>728のレジストリを調べて正規ファイルなら別物かと

>ところで、POLのセキュリティ設定もブっこ抜かれる？
POLの通信を乗っ取る手口だから
『保存・セキュリティ設定』とか『保存無・スクリーンキーボード・手打ち』とか関係なく持って行かれると思われる
785 名前：既にその名前は使われています：2008/07/14(月) 12:29:07 ID:OY0AuQ0V: 受付番号もらって、恐らく本日の着で書類送ったんだけど
いつから凍結始まるのかな？やるならさっさとやってくれええ
いつ始まるものかと、ログインしてはアカハク受けた
切ない姿の俺のキャラを見るのは辛いよ(ノД｀)
786 名前：既にその名前は使われています：2008/07/14(月) 12:31:11 ID:oJ5ZjA3o: >>785
サポセンに直接依頼したら書類の到着とか関係なく
受付番号出して貰った時点で垢凍結されるよ
787 名前：既にその名前は使われています：2008/07/14(月) 12:31:19 ID:I5xYa5Fi: >>783
取りあえず、全部読んで全部試してみた。
System32も隠しファイルも全部確認。
でも親切にありがとな！

POLのセキュリティ設定は話題に上がらないだけあって、やっぱり役にたたんか…
外部のUSBメモリに…ってそれすらもアテにならないよな。
788 名前：既にその名前は使われています：2008/07/14(月) 12:33:52 ID:tr549L/i: >>787
ただし、以前の手法には効果はあるからして。
PCに突っ込む穴さえあれば以前の手法だろうと動かせちゃうわけだから、設定しておいて損はないとは思うよｗ
789 名前：既にその名前は使われています：2008/07/14(月) 12:34:58 ID:ApGn707U: >>781
前兆症状、Ｗｉｎシャットダウンしか出ていない場合もあるですよ。
感染したのが今洗い出し中のだったとしたら、ですが。
790 名前：既にその名前は使われています：2008/07/14(月) 12:38:00 ID:tr549L/i: >>789
だとしたら、POLの通信をぬいちゃってサービス名乗ってID/PASS送信するバージョンがある可能性もあるわなー。
俺のもってるwzcsvbxm.dllだとPOL自体が繋ぎにいっちゃてるように見えるけど。
791 名前：既にその名前は使われています：2008/07/14(月) 12:41:57 ID:jigQHUur: >>777
お前痛いから茶化したのに気付いてないカワイソウな子なのね。

なんでも上から物申せば通ると思ってると、お前が痛い目にあったときに
誰も助けてくれないぞ？調子こいてんじゃぁねぇよぅ。
792 名前：既にその名前は使われています：2008/07/14(月) 12:43:59 ID:OY0AuQ0V: >>786
あら、そうなんだ？
火曜日に受付番号出してもらったけど、とりあえず昨日まで入れたよ？
793 名前：既にその名前は使われています：2008/07/14(月) 12:45:43 ID:I5xYa5Fi: 前兆症状は
・アップデートでフリーズする（二度目から可能）
・POLが途中でシャットダウン
・Winシャットダウン
他に何かあるかな？
一応、前兆症状もまとめておいた方がいいと思うんだが…。

俺はここの住人のお陰で現在は感染していない事が判明。ありがたや。
794 名前：既にその名前は使われています：2008/07/14(月) 12:47:26 ID:OY0AuQ0V: >>793
プログラムの追加と削除で、プログラム一覧が出るのに時間がかかる、もしくは出ない
もかな
795 名前：既にその名前は使われています：2008/07/14(月) 12:47:42 ID:tr549L/i: >>793
・アップデートでフリーズする
・POLが途中でシャットダウン（二度目から可能）
・Winシャットダウン

こうじゃなかったっけ。つかこう思ってたｗ
796 名前：既にその名前は使われています：2008/07/14(月) 12:48:44 ID:j8zk7Un9: >>792
もうこのままの方が卒業できていいのかもしれんぞ…

冗談はさておき、郵送？ってのはメールなり電話なりでやりとり出来ない場合の代替手段じゃないかと思うのだが
POLの場合は何か郵送しないといけないわけ？
797 名前：既にその名前は使われています：2008/07/14(月) 12:48:48 ID:wAHqaN0O: 反面教師ですね。わかります。
798 名前：既にその名前は使われています：2008/07/14(月) 12:51:07 ID:I5xYa5Fi: 追加してみました。他にもあったら報告お願いします。

【典型的な前兆症状】
・各種アップデートでフリーズする（二度目から可能）
・POLが途中でシャットダウン（二度目から可能？）
・Winがシャットダウン
・アプリケーションがやたら重い
・「プログラムの追加と削除」にて一覧が出るのに時間がかかる・もしくは出ない
799 名前：既にその名前は使われています：2008/07/14(月) 12:52:54 ID:BgvmEWA2: >>781
wzcsvbxm.dllはpolのプロセス内にスレッドを1つ作って悪さをするっぽい。
だから、pol.exeのプロセスがアカウント情報を送信するように見えるはず。
作りが悪くなければPOLとFFXIは問題なく動いててもおかしくない。
というわけで、パーソナルファイアウォールソフトでpol.exeの通信相手を
スクエニのサーバに限定するのは無駄ではないと思う。
もちろん、別プロセスで悪さをする従来型には無力なので、PG2を併用するのが
いいかと。

（マニアじゃない人向けの注意w）
「入られた時点で負け」なので、上記の対策は飽くまで保険。
感染したあとの対応はクリーンインストールが鉄則。
800 名前：既にその名前は使われています：2008/07/14(月) 12:54:47 ID:oJ5ZjA3o: 前スレから移行するときにテンプレがいくつか貼られ忘れてる
その中には前兆症状のまとめも含まれてる
801 名前：既にその名前は使われています：2008/07/14(月) 12:55:17 ID:tr549L/i: >>799
すれっど注入かー、なるへそ。ありがとうｗ
802 名前：既にその名前は使われています：2008/07/14(月) 12:57:10 ID:I5xYa5Fi: >>796
いきなり郵送しても取り合って貰えないよ。
まずは電話で本人確認、状況の確認と相談、こちらの希望やロールバックのリスク（取ったアイテムが消える）
などを相互に確認してIDを発行してもらう。
その上でIDを記載した身分証（免許・住民票・保険証）のコピーにIDを書き込んで対応してもらう。
2週間以上かかると言われたけど、10日でキャラが戻ってきたよ。
803 名前：既にその名前は使われています：2008/07/14(月) 12:57:13 ID:zPSbCltV: >>791
馬鹿のくせに何言ってんの？
804 名前：既にその名前は使われています：2008/07/14(月) 12:57:47 ID:QGj47THP: ちょっとおまいらの意見をきかせてくれ。

ID・PASS送信までの想定される動きで間違いないとすると、
FF終了時に、シャットダウン（メニューなり/shutdownなり）で終了せず、
ログアウトとかで戻っていって、パスワードを唯一無二なものに変更して
POLを終了させれば問題なさそうな気がするんだが。

重要なのは、パスワード変更時に、
これまで設定したことのないパスワードにする
な。
805 名前：既にその名前は使われています：2008/07/14(月) 12:58:08 ID:tr549L/i: 12 名前：既にその名前は使われています[] 投稿日：2008/07/10(木) 21:02:57 ID:wZvpwWq5
こんな症状が出たら感染の疑いありです、大至急対策を！
◆Windows Updateがフリーズする
◆POLを起動するとエラーが出る（２回目からは正常に起動）
◆シャットダウンに時間がかかるようになった

これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た１～２週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、すでにパスを盗まれ処理待ちである可能性が高いです！

「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにやられます。
被害報告は６月中旬から以前の20倍近いペースで増えています！
至急ウィルスチェック・Flashplayer更新・パスワード変更を！

Flashのバージョン確認
http://live27.2ch.net/test/read.cgi/ogame/1214625452/20-

カスペルスキーオンラインスキャン（無料）
http://www.kaspersky.co.jp/virusscanner
806 名前：804：2008/07/14(月) 12:59:04 ID:QGj47THP: 書き忘れたけど、
>>804は、あくまで暫定対処ね。
807 名前：既にその名前は使われています：2008/07/14(月) 13:00:53 ID:j8zk7Un9: >>802
ああ、そうかパスワード再発行じゃなくてキャラ差し戻しなんだよな。
それならそれ位厳重じゃないと逆に怖いな。
丁寧な解説有り難う。納得した。
808 名前：既にその名前は使われています：2008/07/14(月) 13:01:55 ID:Ga0POk/5: >>798
半端なまとめするな！
809 名前：既にその名前は使われています：2008/07/14(月) 13:02:28 ID:SdIVzw8/: つーかサポセンいつになったら繋がるんだよ・・・
810 名前：既にその名前は使われています：2008/07/14(月) 13:03:51 ID:tr549L/i: >>804
運用上、それが面倒でなく確実にパスワードを覚えているのならば効果はあるとおもうなー。
一応パスワードなり変える所はSSLだかで暗号化通信してるみたいだし。
そこも監視されてたらどーだろう。まだそこまでみてないｗ
811 名前：既にその名前は使われています：2008/07/14(月) 13:05:35 ID:j8zk7Un9: ここ数日パス変更しようとすると鯖重すぎて繋がらないんだが？
変更中にリトライ祭とかどうすんの？しぬの？
812 名前：既にその名前は使われています：2008/07/14(月) 13:06:01 ID:m6a84xs8: ＰＧ２が以下のＩＰを弾きます
aguse.jpで調べたのですがこれはかなり危険なサイトでしょうか？
気持ち悪いのでクリーンインストールすることに決めたのですが
正体がはっきりしないとスッキリしないので
よろしければ教えてください

221.4.211.3
サイトのタイトル:Welcome to JBoss™
実際に表示されるサイトのURL:http://221.4.211.3

221.221.22.138
サイトのタイトル:鞠村利購
実際に表示されるサイトのURL:http://221.221.22.138202.38.197.119

あと「入力されたURLは存在しませんでした。」
はどんな場合に表示されるのでしょうか？

よろしくお願いします
813 名前：既にその名前は使われています：2008/07/14(月) 13:06:19 ID:Ga0POk/5: ここ最近でこんな症状が出たら感染の疑いありです、大至急対策を！
◆Windows Updateがフリーズし実行できない
◆POLを起動するとエラーが出る（2回目からは正常に起動）
◆Windowsのシャットダウンに時間がかかるようになった
◆アプリケーションの追加と削除を選択して表示されるまでに時間がかかるようになった

これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た１～２週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、すでにパスを盗まれ処理待ちである可能性が高いです！

「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにパスを盗まれます。
被害報告は6月中旬から以前の20倍近いペースで増えています！
至急ウィルスチェック・Flashplayer更新・パスワード変更を！

Flashのバージョン確認
http://live27.2ch.net/test/read.cgi/ogame/1214625452/20-

カスペルスキーオンラインスキャン（無料）
http://www.kaspersky.co.jp/virusscanner
814 名前：既にその名前は使われています：2008/07/14(月) 13:06:48 ID:F6kwfyZ3: 直リンするとは良い度胸だ
815 名前：既にその名前は使われています：2008/07/14(月) 13:06:58 ID:oJ5ZjA3o: パスを変えると強制ログアウトになるし
新パスで入るならハッカーに新パスを送ることになるので
ログイン中に落とされる恐怖は払拭されないですね
816 名前：既にその名前は使われています：2008/07/14(月) 13:07:23 ID:Ga0POk/5: >>812
URLを張るときはドットを●にかえてくれ。。。
817 名前：既にその名前は使われています：2008/07/14(月) 13:07:38 ID:j8zk7Un9: >>812
やっちまったな……
818 名前：既にその名前は使われています：2008/07/14(月) 13:07:59 ID:Ga0POk/5: ていうか釣りたいのかね
819 名前：既にその名前は使われています：2008/07/14(月) 13:08:10 ID:m6a84xs8: ああ、すみませんＵＲＬ直張りしてしましました
たいへん申し訳ありません
↑踏まないでください
820 名前：既にその名前は使われています：2008/07/14(月) 13:09:17 ID:Ga0POk/5: IDをNGしたから問題ない
821 名前：既にその名前は使われています：2008/07/14(月) 13:09:42 ID:I5xYa5Fi: >>805
おお、抽出ありがとう！
UpdeteとPOL起動には問題ないが、シャットダウンにちょっと時間かかるのはPCのせいだろうな。
822 名前：既にその名前は使われています：2008/07/14(月) 13:09:49 ID:tr549L/i: >>812
危ないサイトっていいながら直リンするなよ。誰か飛んだらどーするんだｗ

PG2が弾いたんなら大丈夫じゃないか？
弾いたからそのサイト飛べなかったんだろうしｗ
823 名前：既にその名前は使われています：2008/07/14(月) 13:10:53 ID:7FBMRL5F: まずレジストリエディタで問題のdllを検索して見つからなかったらとりあえずは現状ではセーフってことでしょうか？
824 名前：既にその名前は使われています：2008/07/14(月) 13:11:41 ID:Fr1YoSfd: >>812
責任とって削除してこいよ
825 名前：既にその名前は使われています：2008/07/14(月) 13:12:42 ID:fe6AZ7ct: >>809
オレは仕事中に時々掛けてみるって感じで
4日目にやっと繋がったが、リダイヤル30回くらいしたかな。
来月の携帯料金明細見るのが鬱だわ。
半年分の課金を軽く上回る額だろうな。
826 名前：既にその名前は使われています：2008/07/14(月) 13:14:01 ID:tr549L/i: >>823
そうともいえない。
現時点ではwzcsvbxm.dllのケースでしか報告はないけど。
これはただのファイル名であって、名前はなんでもいいからね。
unkotinko.dllでもいい。
該当レジストリキーまで行って見たほうがいいと思うよ。
827 名前：既にその名前は使われています：2008/07/14(月) 13:14:44 ID:m6a84xs8: 本当に申し訳ないことを…
以後、書き込みは自重いたします
お騒がせいたしました

でも、もし何かわかりましたら教えていただけると助かります
828 名前：既にその名前は使われています：2008/07/14(月) 13:14:49 ID:I5xYa5Fi: >>823
逆に正規のwuauserv.dllを検索してみたらどうかな？
829 名前：既にその名前は使われています：2008/07/14(月) 13:18:05 ID:oJ5ZjA3o: >>812
中国だから弾いてると思われる
国別リストで弾いてる場合は、危険か安全かまでは分からない
例えば韓国のリストにはwikipediaJPのアドレスも含まれていたりする
ただし危険なアドレスも当然含まれているので踏むなら自己責任で
830 名前：既にその名前は使われています：2008/07/14(月) 13:18:10 ID:Fr1YoSfd: >>827
削除要請してね
自分のけつくらいふいてください
ttp://qb5.2ch.net/test/read.cgi/saku2ch/1033569826/
831 名前：既にその名前は使われています：2008/07/14(月) 13:19:32 ID:WeXiXYyD: ウィルスどんどん貼れよ
このスレのURLだから踏んでも大丈夫なんて思ってるアフォには良い薬だ
832 名前：既にその名前は使われています：2008/07/14(月) 13:22:50 ID:7FBMRL5F: レスありがとうございます！

昨日フレンドがなぜか別鯖に、そのリア友からハックされたと聞いてビクんビクんしてます

今は仕事中なので確認できないのですが帰ったら確認することは
問題のdllを検索
正規のdllを検索

該当のキーと言うのがわからないのですが('A`)
833 名前：既にその名前は使われています：2008/07/14(月) 13:23:39 ID:F6kwfyZ3: といってageてくれる業者は本能的に長寿タイプ
834 名前：既にその名前は使われています：2008/07/14(月) 13:25:36 ID:oJ5ZjA3o: >>832
>>728を見てね
835 名前：既にその名前は使われています：2008/07/14(月) 13:25:36 ID:tr549L/i: >>832
>>728はまだ書きかけだから、>>653のが解りやすいかもねｗ
836 名前：既にその名前は使われています：2008/07/14(月) 13:26:27 ID:Ga0POk/5: 不安な人はクリーンインストールしたほうがいい
837 名前：既にその名前は使われています：2008/07/14(月) 13:27:01 ID:QGj47THP: 自分のマシンのレジストリに unkotinko.dll が登録されてたら鬱すぎるｗｗ
838 名前：既にその名前は使われています：2008/07/14(月) 13:29:48 ID:tr549L/i: >>837
過去に滝川クリトリスってプロセス名のマルウェアがおりましてな・・・
839 名前：既にその名前は使われています：2008/07/14(月) 13:32:15 ID:tr549L/i: というか、まだドロッパの特定できてないしレジストリの改竄確認したら、クリンスコ推奨するよ。
ただクリンスコ前にhttp://www.virustotal.com/jp/にwzcsvbxm.dlを送って結果URLをここに張ってほしいけどｗ
840 名前：既にその名前は使われています：2008/07/14(月) 13:32:46 ID:7FBMRL5F: 今メモりました！ありがとうございます

今まで他人事だと思ってたけど身内に被害がでて本当にヤバい状態なんだとわかりました('A`)
スクエニさんはちゃんとした対応してくれないのかな、もっと安全に楽しくゲームしたいです

あの頃の砂丘がまぶしいです
841 名前：既にその名前は使われています：2008/07/14(月) 13:34:08 ID:m6a84xs8: >>830さん
削除依頼出しておきました
お騒がせしました

こんなマヌケにレスして下さった方々
本当にありがとうございます
842 名前：既にその名前は使われています：2008/07/14(月) 13:35:19 ID:tr549L/i: どんなシステム組んでも、最大のセキュリティホールになりえるのはユーザの存在だからね。
ユーザが意識が変わったときにあの頃の砂丘が戻ってくるんじゃないｗ
843 名前：既にその名前は使われています：2008/07/14(月) 13:35:29 ID:oJ5ZjA3o: 検体を挙動説明付きでスクエニに送ったら対策とってくれるだろうか？
844 名前：既にその名前は使われています：2008/07/14(月) 13:35:41 ID:XECJYs/m: しかし、今はFFのおかげでハック被害者が目に見えてくる場合もあるだろうが、
潜在的な被害者はむちゃくちゃいそうだなこりゃ。しかもそのほとんどが>>747
みたいなやつばっかりだとすると、、、、いやー俺もハッキングしたくなってくるな
マジで。濡れ手に粟じゃねえかよ。
845 名前：既にその名前は使われています：2008/07/14(月) 13:36:11 ID:5ZwIop9c: >>830
釣りですか?
846 名前：既にその名前は使われています：2008/07/14(月) 13:37:09 ID:WeXiXYyD: ウィルスどんどん貼れよ
このスレのURLだから踏んでも大丈夫なんて思ってるアフォには良い薬だ
847 名前：既にその名前は使われています：2008/07/14(月) 13:37:46 ID:Fr1YoSfd: >>845
意味がわからん
848 名前：既にその名前は使われています：2008/07/14(月) 13:38:24 ID:WAIxQP07: 受付番号って確認しなきゃだめなもの？
俺サポセン電話＞パス再交付＞垢ハックだった場合の郵送による申請説明＞身分証送付＞ＧＭコール＞郵送申請したので垢凍結依頼
だったから受付番号なんて知らないんだが。受付されたかどうか聞くだけのためにサポセンに電話やコールすんの気が引けるけどしたほうがいいのかな。
849 名前：既にその名前は使われています：2008/07/14(月) 13:38:42 ID:j8zk7Un9: >>845
意味がわからん
850 名前：既にその名前は使われています：2008/07/14(月) 13:38:47 ID:Y/z/51gv: >>830
重要削除には該当しないはず、通常のほうで依頼しないとだめ
851 名前：既にその名前は使われています：2008/07/14(月) 13:39:04 ID:5ZwIop9c: >>847
どうみても[要請]板案件ではありません。
削除ガイドラインを見直してきましょう
852 名前：既にその名前は使われています：2008/07/14(月) 13:42:22 ID:Fr1YoSfd: >>851
素でまちがったわ
削除整理のほうか・・・
853 名前：既にその名前は使われています：2008/07/14(月) 13:44:58 ID:tr549L/i: >>843
ローカルでやられちゃうのはどうしようもないからなー。
なんとかしようとしたらnproなりマルウェアまがいの入れなきゃなくなるしｗ

ただID/PASSの認証を暗号化通信するとかワンタイムパスとかくらいは議題には上がってるんじゃねｗ
854 名前：既にその名前は使われています：2008/07/14(月) 13:45:40 ID:Ga0POk/5: メモリからIDとパスが抜き取れる仕様を早く直せ
855 名前：既にその名前は使われています：2008/07/14(月) 13:45:40 ID:j8zk7Un9: 削除依頼にも種類があるんだな
なるほどなー
856 名前：既にその名前は使われています：2008/07/14(月) 13:45:50 ID:m6a84xs8: 度々すみません、自分で探して以下の削除板に
依頼しましたので、大丈夫かと思います

http://qb5.2ch.net/test/read.cgi/saku/1161186446/l50
857 名前：既にその名前は使われています：2008/07/14(月) 13:51:32 ID:I5xYa5Fi: >>848
最初から垢ハックの疑いでサポセン行ったなら受付番号は交付されるはず。
その番号で状況の確認と調査の手が入るから。
一番良いと思うのはGMに通報して垢凍結（サポセンでも可能）、後日サポセンにリダイアルオンライン。
そこで受付番号貰って、身分証と一緒に郵送。
受付番号なくても大丈夫だと思うけど、調査依頼と一致させるのに時間がかかる＝復活が遅れる
一応、サポセンに電話して進捗状況を聞いてみるのもいいかと思う。そこで改めて番号振られると思うし。
今は比較的空いてる時間帯だから、すぐ電話するか、後日改めてかけると良いと思う。
858 名前：既にその名前は使われています：2008/07/14(月) 13:57:04 ID:qV55h30z: こんなすぐ落ちるスレで削除依頼とか頭悪すぎるなｗハックされるのもうなずけるｗ
859 名前：既にその名前は使われています：2008/07/14(月) 14:00:10 ID:j8zk7Un9: 地雷は除去したほうがいいだろ
860 名前：既にその名前は使われています：2008/07/14(月) 14:01:17 ID:PpBDQf7b: FFAHみてると垢ハックしたキャラの装備を売ってるキャラがあからさま過ぎるんだがｗ
861 名前：既にその名前は使われています：2008/07/14(月) 14:02:25 ID:qV55h30z: 2ちゃんの運営がすぐ仕事するとでも思ってるのかｗ
早くて1週間後だｗｗｗｗｗｗ
862 名前：既にその名前は使われています：2008/07/14(月) 14:02:51 ID:BjU4T3eZ: というか常時ageでいいだろww
2chブラウザのsageはきっとけw
863 名前：既にその名前は使われています：2008/07/14(月) 14:06:05 ID:XOxf3eZy: 嫌いな奴がログインしてない
恐らくハックされたな
ざまぁｗｗｗｗｗｗｗ業者ＧＪｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
864 名前：既にその名前は使われています：2008/07/14(月) 14:08:23 ID:tr549L/i: >>854
メモリから直に抜いてるわけじゃないとおもうよ。
それで抜けたらもっと良い方法があるｗ
865 名前：既にその名前は使われています：2008/07/14(月) 14:08:50 ID:BjU4T3eZ: >>861

十中八九すでにスレは落ちてるなwww
866 名前：既にその名前は使われています：2008/07/14(月) 14:10:10 ID:WAIxQP07: >>857
ありがとう。そうしてみる。
867 名前：既にその名前は使われています：2008/07/14(月) 14:15:34 ID:9l7E5VhS: >>854
１，２年位前に、どっかのツーラー作者がIDパスのぶっこぬきソースを公開したら修正された・・・はずｗ
868 名前：既にその名前は使われています：2008/07/14(月) 14:19:46 ID:giiOkMcF: あー、俺身分証と一緒に受付番号送付するの忘れてた・・・・
サポセンの電話に出た女がめちゃくちゃ滑舌悪くて何いってるのかマジで聞き取れなかったし・・
メモり忘れてたと思うわ。（何回も、は？すいません、何言ってるか分かりません。って言ったし）
で、今6/30日に送って今も完了メール着てないしな。
受付番号一緒に送付しなくても平気なんだよね。もう完全にイライラしてブチギレそうだわ
サポセンの受付にするやつはちゃんと喋れる奴にしろよ。
869 名前：既にその名前は使われています：2008/07/14(月) 14:20:22 ID:s8qojN3k: ６月上旬からOSの調子が悪く
ノートン、adware、spybotするも検出なしでしたが
OSクリーンインストール。
その後月末になりパスワード変えられログインできなくなりまして
こちらの板にてシャットダウンに時間がかかる、
アップデートできない、ソフト削除ができない等の症状が
不調ではなく感染だったことを知ったのですが
今現在症状は出てないのですが
もういちどクリーンインストールしたほうがいいのでしょうかね　やっぱり、、？
870 名前：既にその名前は使われています：2008/07/14(月) 14:22:18 ID:fwCR3mTL: こんなの日本で使ってる人いないだろ…というところにも送って数時間。
ttp://www.virustotal.com/analisis/51cb8313e0d5b19d53ce944eff9deedf
Ikarus…だと…?
871 名前：既にその名前は使われています：2008/07/14(月) 14:23:08 ID:Ga0POk/5: メモリにそのまま展開してたのですぐ抜き取れたのは修正
IDとパスを保存したファイルが抜き取られていたのを修正

パケットの監視をしてIDとパスを抜き取っているのが放置
こんなところ？

小学生が宿題をやり直しを言われたみたいな状態
872 名前：既にその名前は使われています：2008/07/14(月) 14:30:31 ID:F6kwfyZ3: >>868
サポセンのねーちゃんにまで牙剥くとは度し難いな
873 名前：既にその名前は使われています：2008/07/14(月) 14:35:10 ID:tr549L/i: >>871
>>799 がその点について言及してるから見てみるといいかもｗ
874 名前：既にその名前は使われています：2008/07/14(月) 14:35:26 ID:j8zk7Un9: サポセンはしょせん雇われ人
テンプレ通りの回答しかこないよ
875 名前：既にその名前は使われています：2008/07/14(月) 14:38:49 ID:oJ5ZjA3o: >>870
ウィルスの検出名がほぼ同じだし、データベース共有してるんじゃないかな
876 名前：既にその名前は使われています：2008/07/14(月) 14:39:56 ID:NxxNOKeJ: どうもキレる相手間違えてる奴が多いな
877 名前：792：2008/07/14(月) 14:40:02 ID:OY0AuQ0V: >>802
俺も電話確認の上、受付番号＝IDをもらって、それを記載した依頼状を書き上げて、保険証の写しと同封して送付したけど
ロールバックのリスクの部分は、ＨＰの書面を印刷して、一筆入れるという形でいいといわれたな
①リダイアルオンラインorＧＭ通報⇒
②垢凍結⇒
③再度リダイアルオンライン⇒
④復旧依頼⇒
⑤受付番号受領⇒
⑥書類発送
という流れの、②③④をすっ飛ばして、⑥にきてるのが俺の状態かな
サポセンの人も、リダイアルオンラインはきついでしょうと、
すっ飛ばすならこういう風に出来ますよと、案内してくれたな

その分、書類到着まで自由に動けるんだろうけど
これってやり様によっては使われなかった印章とかを一気に消費して
アイテムをフレに預けて復帰後返却、再度印章消費とかできちゃうよねえ
思いついたけど、「そんなことして復旧させてもらえなくなっても知らないぞ」と
フレに脅されたなｗｗｗ
878 名前：既にその名前は使われています：2008/07/14(月) 14:43:25 ID:PKjQ4cEg: なんでこんなに伸びてるんだｗ
879 名前：既にその名前は使われています：2008/07/14(月) 14:44:04 ID:9l7E5VhS: >>877
それやったら、フレが業者の一部とみなされてBANされそうだなｗ
880 名前：既にその名前は使われています：2008/07/14(月) 14:51:45 ID:fwCR3mTL: >>875
他社での検出名をそのまま流用したんだろうね。
中小ではよくある。
しかし誤検知大王のIkarusがこんなに早いとは…。
881 名前：既にその名前は使われています：2008/07/14(月) 15:01:36 ID:qCgIu30F: sage進行は危険です。
882 名前：既にその名前は使われています：2008/07/14(月) 15:04:55 ID:uFxJRDi2: アプリケーション追加と削除が何か新しく入れた後とか1回目開くのに結構時間かかる時があるんだけど
2回目からは一瞬で表示される

これどうなんすか？
883 名前：既にその名前は使われています：2008/07/14(月) 15:08:12 ID:CaelPPs0: パソコン初心者質問総合スレはここですか？
884 名前：既にその名前は使われています：2008/07/14(月) 15:09:00 ID:tr549L/i: >>882
それだけじゃなんともいえない。
そこらへんが遅くなるのはレジストリが肥大化してたりゴミキーたまってたりしてるとなりがちだけどｗ
885 名前：既にその名前は使われています：2008/07/14(月) 15:11:41 ID:giiOkMcF: あとでもっかいサポセンに電話してマジで作業してんのか聞いてみるかな
待ち期間長すぎて何か疑わしくなってきた
886 名前：既にその名前は使われています：2008/07/14(月) 15:15:49 ID:giiOkMcF: アカ凍結中で巻き戻し作業中の人のアカってPOLにインすると
「何らかの理由でこのIDには～～」って言われる？
巻き戻し作業中でとか書かれればほっとするんだけどな。やはり電話しかない
887 名前：既にその名前は使われています：2008/07/14(月) 15:19:49 ID:Y/z/51gv: >>885
長すぎって、まだ2週間なんでしょ？
1ヶ月くらいみておかないと駄目かもね、被害状況如何では
888 名前：既にその名前は使われています：2008/07/14(月) 15:20:51 ID:fe6AZ7ct: >>885
無駄な凸はやめれｗ余計にサポセン混むだろ。
6月ｔ13日にハックされた者の復帰に３週間以上掛かってるから
ハック時期によっては1ヶ月とか要するんじゃね？
心配ならもう一度書類作って
「ちゃんと届いてるか心配で再送付してみまつた＾＾；」って送ればいいんじゃねかな？
889 名前：既にその名前は使われています：2008/07/14(月) 15:21:40 ID:OnyXJk9v: ここは無駄にサボセンが混み合う理由がよくわかるスレッドですね
890 名前：既にその名前は使われています：2008/07/14(月) 15:24:10 ID:/c01cY15: 未感染の人のレジストリ値って、全員 wuauserv.dll なの？

おれ、wscsvc.dll なんだが、、、
891 名前：既にその名前は使われています：2008/07/14(月) 15:25:28 ID:pREJ+Ffm: >>890
落ち着け
もう一個下だ
892 名前：既にその名前は使われています：2008/07/14(月) 15:25:40 ID:tr549L/i: >>728
またちょっと修正叩き台

【POL】
　wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入すると考えられる。
　svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更または追加されているようだ。
　POLのプロセスを使用して業者鯖にID/PASSを送信する。送信後POL異常終了？（異常終了しないケースもあるため後期Verでは落ちない可能性
　　　//たしかにhttp://www.virustotal.com/jp/analisis/150356331ec6a7e122f4c9770d8a2b41でいきなりファイルサイズ倍なってるもんなｗ進化したのかもしれんｗ
　そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
　現時点で確認されている送信先(置き換えではなく●を単純に削る)
　・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
　・googlesy●dition.com 74.86.1●85.101
893 名前：既にその名前は使われています：2008/07/14(月) 15:29:33 ID:VAFPhRec: >>868
ハックされた馬鹿が何いってんだ。
何が原因でハックされたの？馬鹿はPS2でやっとけよ。
894 名前：既にその名前は使われています：2008/07/14(月) 15:32:51 ID:/c01cY15: >>891
即レスさんくす。
ちと顔洗ってくるわ。
895 名前：既にその名前は使われています：2008/07/14(月) 16:00:49 ID:Z9ABI75N: >>893
FF　裸パッチ
896 名前：既にその名前は使われています：2008/07/14(月) 16:05:29 ID:giiOkMcF: 公式に1週間以上かかるとか。平均2週間以上じゃねーか死ねボケ
人によっては10日とかで終わってんし、ふざけんなボケ
897 名前：既にその名前は使われています：2008/07/14(月) 16:10:02 ID:/a030qt5: 同じ質問多いから次スレのテンプレに

A、アカウントハック受けた場合クレカ悪用されるか？
Q、予断はできませんが今の所下4桁のみなので悪用はされません。
自己防衛の為にクレジットカードでウェブマネーを買ってFF11をウェブマネーで課金する
ようにしましょう。
898 名前：既にその名前は使われています：2008/07/14(月) 16:12:26 ID:Y0P9W3v7: もう書類が到着したと思われる日から3週間経つが何も変化がない。
ちょっとサポセン電話してくる。
899 名前：既にその名前は使われています：2008/07/14(月) 16:34:11 ID:tr549L/i: 【POLでの対策叩き台】
　ID/PASSは未保存に、自動ログインも解除。
　POLの接続できる鯖をファイアヲールのアプリケーションルールで絞っておく。>>56　
　プロアクティブディフェンス機能のついたセキュリティソフトを導入、常駐させる。
　　・カスペルスキー、Comodo Diffence+、etc（他にあったら追記してくだちい
　アクティブコネクションリストを表示できるセキュリティソフトを導入。（コマンドプロンプトからnetstat -bでもいいけど
　　・Comodo（追記してくだちい
　
　１．POL起動（まだ接続しない
　　　この時点でsvchostなどがPOLに対して介入してきたとアラートが出た場合、FF11関係の何かに関係したマルウェアに感染している可能性がある。
　　　通常、POL.exeはsvchostなどサービスからの介入をうけることはない。アラートが出たら解決するまでログインはしないこと。
　２．アクティブコネクションリストを表示する。（ファイアヲールによって名前違うかも
　　　POLがどこにも接続していないことを確認する。
　３．偽アカウントでログイン試行。
　　　ID caonima5963 Pass 4649などでも(うっかり一致を避けるため、できるだけ既存のPOLID命名規則と離れたものにすること。
　４．アクティブコネクションリストでPOLが現在接続している鯖を確認する。
　　　>>56 参照
　　　□e鯖以外への接続が確認されたら感染している可能性がある。解決するまでログインしないこと。
　５．手順全てをクリアしたら正規アカウントでログイン。よい旅を。
900 名前：既にその名前は使われています：2008/07/14(月) 16:37:19 ID:Mhc/GFUw: Java最新版が公開、複数の脆弱性を修正
ttp://internet.watch.impress.co.jp/cda/news/2008/07/14/20246.html
901 名前：既にその名前は使われています：2008/07/14(月) 16:39:06 ID:VAFPhRec: >>897
WM→クレカは出来たけど
クレカ→WMはできないんじゃなかったっけ。
902 名前：既にその名前は使われています：2008/07/14(月) 16:45:19 ID:wUNDP4k7: >>901
クレカ→ＷＭへの支払方法変更できます。つか先月しました。
903 名前：既にその名前は使われています：2008/07/14(月) 16:45:48 ID:Ga0POk/5: >>901
>>897
904 名前：既にその名前は使われています：2008/07/14(月) 16:46:12 ID:z/1tttsf: ウィルス踏んだー
AHかどっかのFFブログサイトだなぁこれ。。バスターじゃ検出されねぇけど
カスペルスキーで検出された。FFやってないPCだったから助かった。
気をつけろよ。
905 名前：既にその名前は使われています：2008/07/14(月) 16:47:25 ID:DtjRfX8F: >>904
お前が気をつけろ
906 名前：既にその名前は使われています：2008/07/14(月) 16:47:45 ID:UanjR5cU: >>897
webmoneyをわざわざクレカで買うってアホか
コンビニで買えば一番安全なのに
907 名前：既にその名前は使われています：2008/07/14(月) 16:49:40 ID:eptm+bgl: Webmani-を通販で買えば襲われる心配も無い
908 名前：既にその名前は使われています：2008/07/14(月) 16:52:47 ID:FGTtE03J: >>906
まあウェブマネーのWEBページでハッキングや番号流出みたいなことがあったら
大問題になるし、補償もそれなりにしてもらえるとは思うよ
明らかに第三者が利用した鯖移動代でも「クレカ会社に交渉してください」としか
言わないどっかの会社よりは
909 名前：既にその名前は使われています：2008/07/14(月) 16:56:29 ID:VAFPhRec: >>908
それは警察とクレカ会社の仕事だよ
910 名前：既にその名前は使われています：2008/07/14(月) 16:58:01 ID:3pBcQTcV: レジストリエディタで見たらwzcsvbxm.dllがいやがった…('A`)
例の2箇所の値はwuauserv.dllのまま。
保菌状態かしらん…。
911 名前：既にその名前は使われています：2008/07/14(月) 17:01:49 ID:tr549L/i: >>910
どこのキーにいたのｗ
912 名前：既にその名前は使われています：2008/07/14(月) 17:05:13 ID:Xw/cO/U/: >>908
＞明らかに第三者が利用した鯖移動代でも「クレカ会社に交渉してください」としか言わないどっかの会社よりは
それは■がどうこうする話じゃない。
913 名前：既にその名前は使われています：2008/07/14(月) 17:06:30 ID:wVHsBhSR: >>910
俺もファイルサーチしてから、レジストリ検索したら
検出されて驚いたけど、ファイルサーチの履歴が
レジストリに入ってるだけだった。
914 名前：既にその名前は使われています：2008/07/14(月) 17:09:10 ID:fwCR3mTL: ノートンから返事来た。自動返信。
wzcsvbxm.dll Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis
(意訳)
自動処理では有害とは認められないので解析チームに回すね!

おせーよ。

>>910
削除できるなら今は動いていないから削除。
活動中は削除できないからね。
915 名前：既にその名前は使われています：2008/07/14(月) 17:11:41 ID:aAUL/u8s: 金だけ受け取ってるから悪印象なんだよなぁ。
ハックによる鯖移動でスクエニがもうけてることになるし…
916 名前：既にその名前は使われています：2008/07/14(月) 17:13:45 ID:tr549L/i: それなりに進んできたかなｗ

http://www.virustotal.com/jp/analisis/d313127998cd487f8e667f2e8f0a089e
917 名前：既にその名前は使われています：2008/07/14(月) 17:14:39 ID:/dQPsDnk: もう中国全域からＰＯＬへのアクセス禁止にしちゃえよ
ダメ？
918 名前：既にその名前は使われています：2008/07/14(月) 17:14:43 ID:Ga0POk/5: 早漏が立てる前に張っておく

●● RMT業者の垢ハックが多発している件29 ●●　スレ番号29だけど本当は30
http://changi.2ch.net/test/read.cgi/ogame/1215833897/
919 名前：既にその名前は使われています：2008/07/14(月) 17:21:19 ID:X6T2CjZ8: 既に報告あがってるかもだけど>653とは場所がちがったので一応報告しておきます
HKEY_LOCAL_USER\software\Microsoft\search Assistan\ACMru\5603（5604）
にありました
920 名前：既にその名前は使われています：2008/07/14(月) 17:21:21 ID:VAFPhRec: >>915
迷惑メールの時のドコモと同じ
921 名前：既にその名前は使われています：2008/07/14(月) 17:22:35 ID:fwCR3mTL: >>916
GDATAとF-SecureはKasperskyエンジンで引っ掛けた分だから
実質MicrosoftとIkarusとKasperskyだけなのがなんともｗ
922 名前：既にその名前は使われています：2008/07/14(月) 17:23:41 ID:fwCR3mTL: >>919
それはファイル検索した時の履歴だろｊｋ
923 名前：既にその名前は使われています：2008/07/14(月) 17:26:57 ID:X6T2CjZ8: >922
ではスルーでおねがいします
すみませんでした
924 名前：既にその名前は使われています：2008/07/14(月) 17:29:12 ID:iyTfYA5H: >>918
前スレ直ってないよ
925 名前：既にその名前は使われています：2008/07/14(月) 17:29:55 ID:DtjRfX8F: Vistaだからか知らないけど>>653とは全然レジストリの構成ちがうわ
wuauserv.dllもwzcsvbxm.dllもないし
シャットダウン表示遅延やらWindowsUpdate失敗やらは発生してないしFFもｲﾝｽｺしてないＰＣだからまぁいいけど
926 名前：既にその名前は使われています：2008/07/14(月) 17:33:45 ID:tr549L/i: >>921
たしかにずーっと上の方で言われてるとおり最近カスペルさんスコアあんまよくないけど。
検体だしてからパターン出るまではやいから魅力なんだよなあｗ
というかNAは6月中旬ころには目つけてたみたいだけど、検体だしてなかったのかよｗ
927 名前：既にその名前は使われています：2008/07/14(月) 17:34:19 ID:iBbL4ctp: 質問します～
垢ハックされたので、サポセンに連絡してアカウント停止をお願いしたのですが、
アカウント停止の状態というのは、
パスワードが違いますというふうになるのですか？
それとも、pol自体にはいれなくなるのですか？
もしかしたら、また垢ハックくらったのかも；；
928 名前：既にその名前は使われています：2008/07/14(月) 17:35:33 ID:bcpcqM3b: こんな奴がPC版でやってるのか・・・・
929 名前：既にその名前は使われています：2008/07/14(月) 17:38:16 ID:CaelPPs0: >>927
アカウント停止までのインターバルがどれくらいか知らんが、垢凍結してるなら
自分でもログインは出来ないはずだから言ってることがそもそもおかしい
パスワード変更なら意味は通るが、それならまたハックされたかパス間違ってるかの二択
930 名前：既にその名前は使われています：2008/07/14(月) 17:43:05 ID:TDjnp65m: 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　＿＿＿（⌒ヽ
　　　　 γ⌒)　)）＿,,＿／＾ｌ　　　　　　　キャ・キャ・キャラット！　　　　　　／⌒　　⌒⊂_　ヽ
　　　 /　⊃　　⌒　　⌒ヾﾉ　　∩⌒)　キャッキャッキャラット！（⌒ヽ∩／（ ⌒）　（⌒） |(⌒ヽ
　〃/　/ ｼ "（ ●）　（● ）ﾐ〃/　ノ　　　　　　　　　　　　　　　　　ヽ　ﾉ| :::⌒（__人__）⌒ ::| ⊂ `､
　　γ⌒)　＝ ⌒（__人__）⌒=ヽ/　/　））　　　　　　　　　　　　　　　　＼＼　　）┬-| 　　/　/>　）　））
　.／ _ノ彡　　　　　　　　　　;ミ（ ⌒）　　　　　　　　　　　　　　　　(( （⌒ )､ヽ＿ `ー‐'　,／／　／　
　（　 <　ヾ　　　　　　　　　　ﾝ/　/　　　　　　　　　　　　　　　　　　　＼＼ / 　　　　　　　　　　　
　( ＼　ヽ　　　　　　　　""　　　　　　　　　　　　　　　　　　　　　　　　ヽ＿ノ　　　　　　　（　　
931 名前：既にその名前は使われています：2008/07/14(月) 17:43:30 ID:TDjnp65m: すまん、誤爆だorz
932 名前：既にその名前は使われています：2008/07/14(月) 17:43:32 ID:MI9FBil4: >>927
汚染されたＰＣを起動するな。ネットに繋ぐな。
933 名前：既にその名前は使われています：2008/07/14(月) 17:45:00 ID:iBbL4ctp: >>932
つまり、またハックくらったってことですね？
934 名前：既にその名前は使われています：2008/07/14(月) 17:46:23 ID:jnqiXMPY: ID:iBbL4ctp
次スレにも書いてるのか

>>930-931
どこに張るつもりだったんだ
935 名前：既にその名前は使われています：2008/07/14(月) 17:47:04 ID:TDjnp65m: >>934
ttp://changi.2ch.net/test/read.cgi/ogame/1215330640/l50
936 名前：既にその名前は使われています：2008/07/14(月) 17:48:46 ID:3pBcQTcV: ｹﾝｻｸﾘﾚｷｶﾖｰ(ﾉ∀`)
937 名前：既にその名前は使われています：2008/07/14(月) 17:49:39 ID:tr549L/i: >>933
意味が掴みかねるということだとおもうぞ。
質問するにしてもまず自分仮定ありきじゃなくて、起きている現象そのまま書いてくれないとなんともｗ
938 名前：既にその名前は使われています：2008/07/14(月) 17:50:20 ID:CnOzqvwc: >>925
XP－SP2は653の所にあった
Vistaは場所が違うのかもね>>919がそうなのかな
939 名前：既にその名前は使われています：2008/07/14(月) 17:51:54 ID:CaelPPs0: つーかマルチは放置で良いよ
940 名前：既にその名前は使われています：2008/07/14(月) 17:51:55 ID:zy9Kyvo+: >>938
ログくらい読めよ
941 名前：既にその名前は使われています：2008/07/14(月) 17:52:23 ID:FQMBACPX: エスパーの力が必要なのかもな
942 名前：既にその名前は使われています：2008/07/14(月) 17:53:52 ID:jnqiXMPY: たったこれだけの流れも追えないんじゃどうしようもない

919 名前：既にその名前は使われています[sage] 投稿日：2008/07/14(月) 17:21:19 ID:X6T2CjZ8
既に報告あがってるかもだけど>653とは場所がちがったので一応報告しておきます
HKEY_LOCAL_USER\software\Microsoft\search Assistan\ACMru\5603（5604）
にありました

922 名前：既にその名前は使われています[sage] 投稿日：2008/07/14(月) 17:23:41 ID:fwCR3mTL
>>919
それはファイル検索した時の履歴だろｊｋ

923 名前：既にその名前は使われています[] 投稿日：2008/07/14(月) 17:26:57 ID:X6T2CjZ8
>922
ではスルーでおねがいします
すみませんでした
943 名前：既にその名前は使われています：2008/07/14(月) 17:56:05 ID:VAFPhRec: >>927
垢ハック食らってるのこんなんばっかじゃないか・・・
こういう人にはサービス停止とかできないのか？
944 名前：既にその名前は使われています：2008/07/14(月) 17:58:02 ID:iBbL4ctp: >>937
アカウントを停止してもたった場合、polに入りログイン画面に行くことは
できるのですか？
945 名前：既にその名前は使われています：2008/07/14(月) 17:59:26 ID:Y/z/51gv: アカウントの停止をお願いしたのなら
自分で見てどうなるのかわかるんじゃないだろうか・・・？
946 名前：既にその名前は使われています：2008/07/14(月) 17:59:49 ID:CaelPPs0: だみだこりゃ
947 名前：既にその名前は使われています：2008/07/14(月) 17:59:54 ID:giiOkMcF: アカ停止後はPOLとは別枠のようなGMチャットルームに飛ばされる
948 名前：既にその名前は使われています：2008/07/14(月) 18:00:47 ID:CnOzqvwc: >>940
読んだ

赤面した
949 名前：既にその名前は使われています：2008/07/14(月) 18:01:57 ID:eptm+bgl: 勃てばできる(*´д｀*)
950 名前：既にその名前は使われています：2008/07/14(月) 18:03:37 ID:iBbL4ctp: >>947
ありがとうございました、そういったことだたのですね。
アカウント停止をお願いしていたのですが、申請書類が届いてから出ないとアカウント停止はできないようなことを
言われたので、たぶん停止状態にはなっていないと思います。

たぶんアカウントハッキングをまた食らっているようですね。
951 名前：既にその名前は使われています：2008/07/14(月) 18:06:54 ID:BbTIMT1F: なんか、何もわかってない気がするぜ・・・
952 名前：既にその名前は使われています：2008/07/14(月) 18:07:33 ID:qQg01gdr: だめだこいつ・・・早くなんとかしないと
953 名前：既にその名前は使われています：2008/07/14(月) 18:07:52 ID:VAFPhRec: >>950
パソコン捨ててどっか文明のない国に行けよｗ
954 名前：既にその名前は使われています：2008/07/14(月) 18:09:57 ID:OnyXJk9v: これはひでえ、本物の池沼だｗｗｗ
955 名前：既にその名前は使われています：2008/07/14(月) 18:10:49 ID:iBbL4ctp: なにをいっているの？
なにを聞きたいのかわからないんだけど
956 名前：既にその名前は使われています：2008/07/14(月) 18:11:29 ID:CaelPPs0: こんなのがスクリプトフル許可のIEで罠URL踏みまくってると考えると
スクエニの中の人が大変なのも頷けるわけですよ
957 名前：既にその名前は使われています：2008/07/14(月) 18:11:55 ID:iyTfYA5H: >>950
ここはインターネットについてクソレベルな連中の集まりですから
ほかで相談されたほうがいいですよ
958 名前：既にその名前は使われています：2008/07/14(月) 18:12:23 ID:WQUx1mer: ちょっとわくわくしてる
959 名前：既にその名前は使われています：2008/07/14(月) 18:13:07 ID:MI9FBil4: >>955
自問自答するなよ
960 名前：既にその名前は使われています：2008/07/14(月) 18:13:17 ID:iBbL4ctp: ???
961 名前：既にその名前は使われています：2008/07/14(月) 18:15:56 ID:giiOkMcF: 真性だなこりゃ
962 名前：既にその名前は使われています：2008/07/14(月) 18:17:23 ID:BbTIMT1F: なんかサポセンでパス変更してもらったあとに
ウイルス入ったままのマシンでパス変えたとかやってそうな勢いだな
963 名前：既にその名前は使われています：2008/07/14(月) 18:17:52 ID:iBbL4ctp: なにを騒いでいるのかまったくわからない
もう答えをもらったからいいけど、
アカウントを停止してもらう前に、またハックくらったってことだけだよ。
964 名前：既にその名前は使われています：2008/07/14(月) 18:17:54 ID:ycJQ0cE2: 自分の書いてることを箇条書きかフローチャートにしてみてチェックしてみろｗ
965 名前：既にその名前は使われています：2008/07/14(月) 18:17:58 ID:1iZFZDH4: >>962
既にやってるだろｗ
966 名前：既にその名前は使われています：2008/07/14(月) 18:18:14 ID:ZJZmJ3CJ: >>申請書類が届いてから出ないとアカウント停止はできない

からって、それまで泳がしてるわけじゃないのよ。
ちゃんと凍結処理はされてる。
凍結＝隔離状態、本人はもちろん業者もアクセスできない。

この期間中にオマエはなにをしたいんだ？
967 名前：既にその名前は使われています：2008/07/14(月) 18:18:26 ID:qQg01gdr: 自身の>>927と>>950がどれだけ矛盾してるかわからないのか？
968 名前：既にその名前は使われています：2008/07/14(月) 18:18:29 ID:tr549L/i: >>955
サポセンに
>アカウント停止をお願いしていたのですが、申請書類が届いてから出ないとアカウント停止はできないようなことを言われたので
>たぶん停止状態にはなっていないと思います。
が、現在POLにログインできない状況です。
垢停された場合に、POLにログインできなくなるんでしょうか？

ってこと？
969 名前：既にその名前は使われています：2008/07/14(月) 18:19:43 ID:iBbL4ctp: >>966
申請書類が届くまでFFを利用できるとサポセンの人にいわれたんですが？
970 名前：既にその名前は使われています：2008/07/14(月) 18:19:48 ID:OnyXJk9v: これだけ表現力と理解力が無くても生きて行ける社会
日本って素晴らしいね
こりゃ何してもまたハックされるな、FF卒業おめ
971 名前：既にその名前は使われています：2008/07/14(月) 18:19:59 ID:WQUx1mer: 何で冷静なのこの人
972 名前：既にその名前は使われています：2008/07/14(月) 18:20:32 ID:/c01cY15: POLに入る・入れないだの、アカウント停止したらどうのこーのって見てたら思い出したんだけど、
パス変更の画面いくのにログイン認証するようにするのって、
パスワード保存したために第三者にログインされて、
会員情報を見れない・変えられないようにするためだけなのかな

日本語でおｋな文だけどｗ
POL入った後の認証に、またPOLパス使うのって、意味あんのかね
973 名前：既にその名前は使われています：2008/07/14(月) 18:20:32 ID:iyTfYA5H: >>960
ID:iBbL4ctpさん
あなたのセキュリティ認識レベルがあまりにも低すぎるから
ここの連中があきれているだけですよ
即座に書き込む前にスレを読み直してください
専ブラがないと過去スレは見られないものもありますが
なにをどうするべきかはこのスレの中にもいっぱい転がってます
974 名前：既にその名前は使われています：2008/07/14(月) 18:23:03 ID:CaelPPs0: むしろセキュリティーレベル以前の破壊力があるなｗ
975 名前：既にその名前は使われています：2008/07/14(月) 18:23:08 ID:OZtjrqGb: 業者乙　と言われても仕方ないかも知れんね
976 名前：既にその名前は使われています：2008/07/14(月) 18:25:10 ID:iBbL4ctp: だれもアカウントが停止したのを確認したとはいってないよ。
停止したらどういう状態になるのか聞きたかった。
977 名前：既にその名前は使われています：2008/07/14(月) 18:26:21 ID:X6T2CjZ8: いまさらなんですけど、自分のときの前兆はＦＦやってたら突然即落ちした事がありました
Windows Updateできてたのでパスだけ変えて安心しきってたのがくやまれる
978 名前：既にその名前は使われています：2008/07/14(月) 18:27:01 ID:iyTfYA5H: ID:iBbL4ctpさんに追伸

あなたを煽るつもりはありません
いまの時代、インターネットは幼稚園児からおじいちゃん
おばあちゃんまでできるようになりました
それだけ幅広い世代に、同じようにセキュリティ意識を高めろとは
言いませんが、少なくても同じことの繰り返しにはならないだけの
学習をしてください、ご自身のために
979 名前：既にその名前は使われています：2008/07/14(月) 18:27:11 ID:tr549L/i: >>969
それを先に言ってもらわないとｗ
やったことないんだけど、パスワードって再発行してもらうんよね？
そのパスワードで入れて、
その後、突然入れなくなったっていうなら再度やられた可能性はあるんじゃないかね。
980 名前：既にその名前は使われています：2008/07/14(月) 18:27:33 ID:MP5uq74q: 良いからさっさと停止してもらってPC投げ捨てろよｗｗｗｗ
981 名前：既にその名前は使われています：2008/07/14(月) 18:29:41 ID:ZJZmJ3CJ: なんで垢ハックされた同じPCで、そのままFFを続けているんですか？

なんでパスワードがぬかれる状態になってるPCで
せっかくもらった新しいパスワードをまた入力しちゃうんですか？

なんで底の抜けたバケツにまた上から水を入れて
「また水がなくなったんですけど；；」って言うんですか？
982 名前：既にその名前は使われています：2008/07/14(月) 18:31:20 ID:CaelPPs0: 要するに、ハックされてるPCに再発行して貰ったパス入れて自爆死亡って事だろ
この様子じゃあキャラデータ復旧してもまたハック喰らうからFF11強制退場は確実
983 名前：既にその名前は使われています：2008/07/14(月) 18:31:36 ID:iBbL4ctp: たぶん、アカウント停止処理をしてもらう前に2回目のハッキングをくらった状態なんだと思いますｗ
同じアカウントを2回もハックされるとは思ってなくて、対策してなかったからそうなったのはわかってますよ。

今もPOLのログイン画面のところに行くことができますが
今まで使っていたパスが違いますという状態になっていますから
ハックでしょうねってこと。
984 名前：既にその名前は使われています：2008/07/14(月) 18:31:48 ID:zy9Kyvo+: もっとアフォをハックしてあげてくださいハッカーさんまだまだ懲りてないようです
985 名前：既にその名前は使われています：2008/07/14(月) 18:32:14 ID:/c01cY15: わたしの疑問は、ID:iBbL4ctpの前では無力である事に気づき、深い悲しみにつつまれた
986 名前：既にその名前は使われています：2008/07/14(月) 18:32:50 ID:CaelPPs0: >たぶん、アカウント停止処理をしてもらう前に2回目のハッキングをくらった状態なんだと思いますｗ

この説明だとハックした業者がハックされたことになるんだがｗｗｗ
987 名前：既にその名前は使われています：2008/07/14(月) 18:33:05 ID:tr549L/i: どっちにしろ垢復帰したらしっかり対処してからやらないと、また抜かれちゃうよー。
もう2度目はないことだし、誰か知合いにでも頼んで見てもらうといいかもねｗ
とりあえず再度やられたといっても復帰前だったわけだし、これを教訓にしないとなｗ
988 名前：既にその名前は使われています：2008/07/14(月) 18:33:41 ID:BbTIMT1F: >>983
そこまで間抜けな状況でそんな間抜けな書き込みが出来るあんたには同情しがたい
989 名前：既にその名前は使われています：2008/07/14(月) 18:33:49 ID:OZtjrqGb: というか　なんだかんだでみんな優しいな
iBbL4ctpが実際にそうしたのかは知らんがｗ
990 名前：既にその名前は使われています：2008/07/14(月) 18:34:44 ID:/c01cY15: このスレ埋めるのにちょうど良いんでない？
991 名前：既にその名前は使われています：2008/07/14(月) 18:34:53 ID:iBbL4ctp: >>981
うーん、空になった金庫にまた再突入してくるバカな銀行強盗だとは思わなくってねｗ
自分が悪いのはわかってますよんｗ

垢停止してもらってからセキュリティー関連を調整しようと思ってたんですが
まさか2回もハックしてくるとはなぁ
992 名前：既にその名前は使われています：2008/07/14(月) 18:34:56 ID:VAFPhRec: >>984
アホのせいでASAHIネットついないでる無関係の人間にまで被害がｗ
993 名前：既にその名前は使われています：2008/07/14(月) 18:34:58 ID:CaelPPs0: 良いスレの埋め立てになったなｗ
994 名前：既にその名前は使われています：2008/07/14(月) 18:35:25 ID:pREJ+Ffm: あなたのパソコンはアカウントハックウィルスに汚染されているので
POLにログインすると自動的にIDとパスワードが中華業者に送信されます。
パスワード変更してもらってもPOLビューアを起動しないでください。

まずハードディスクをフォーマットしてWindowsをクリーンインストールして
ウィルス対策ソフトを入れてWindowsアップデートをして
Flashプレイヤーを最新版に更新してください。

そうしないと何度でも好きなだけアカウントハックされまくりです。
995 名前：既にその名前は使われています：2008/07/14(月) 18:36:03 ID:CaelPPs0: >>991
業者もまさか、空になった金庫の鍵がまた送られてくるとは思ってなかっただろうな
996 名前：既にその名前は使われています：2008/07/14(月) 18:36:35 ID:BjU4T3eZ: まぁあれだ、アカウント凍結に書類が必要っていってる時点で業者か釣りだろw
本気でそう言われたならGMにでも問い合わせろ
997 名前：既にその名前は使われています：2008/07/14(月) 18:36:45 ID:/c01cY15: 次スレ眺めてたら、ID:iBbL4ctpがいてフイタ
998 名前：既にその名前は使われています：2008/07/14(月) 18:36:58 ID:OZtjrqGb: >>995
ｗｗｗ
999 名前：既にその名前は使われています：2008/07/14(月) 18:38:07 ID:iBbL4ctp: >>994
ありがと～もっと早くやっときゃよかったよ
>>995
すごいｗ
1000 名前：既にその名前は使われています：2008/07/14(月) 18:38:20 ID:wd1MiYp8: 1000
1001 名前：１００１：Over 1000 Thread: 　 === Area: Live Networkgames@2ch http://changi.2ch.net/ogame/ ===

　　　　　　／/
　　　　／　.人　　　　　あ、ぽこたんインできないお！
　　　 / 　（＿_）ﾊﾟｶ
　　　/ ∩(＿___）　　　　　　このスレッドは１０００を超えたお。。。
　　 /　.|（・∀・）＿　　　　もう書けないので、新しいスレッドにインするお！
　　/／ |　　　ヽ／
　　"￣￣￣"∪

全部最新50

DAT2HTML 0.35b Converted.