Keisuke-Remix>_

皆様こんにちわ、昨夜は渋谷某所でネクタイ鉢巻して御満悦のけーすけで、御座います。
如何お過ごしでしょうか。

まぁ呑み喰い話は別として、毎年この時期ってコンピュータウイルスの活動が活発になり、激増。それを見て「あぁ・・・夏になったなぁ・・・」なーんて思うわけなんですけどね。
インチキウイルス対策ソフト系がまた活発だなぁ・・・・。
Security Tools とか。

C:\WINDOWS\Temp\_ex-08.exe
C:\documents and settings\【user】\Local Settings\Application Data\[ランダムな数字 ランダム桁].exe

あたりを削除して、スタートアップの確認と、"_ex-08.exe"の方はレジストリのRunにも書かれているから削除。
んでもComboFix一発で結構綺麗になるようだ。今のところは
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

加えて今日初めて遭遇したWindowsのちょっと驚いた件
コマンドプロンプトで ipconfig /all でMAC見ようとしたら通らず。あり？と思ってネットワーク接続から開こうとしたところ・・・・・・ネットワーク接続のフォルダが空っぽ・・・・はひ？
と思ったらMSのパッチ適用に関しての重大な問題で既出らしい
http://www.forest.impress.co.jp/article/2005/10/17/ms05051problems.html
http://support.microsoft.com/kb/909444/ja
うーん・・・実物初めて見た。

自分「ネットワーク接続のフォルダを開いて下さい」
相手「真っ白です」
自分「え・・・・・・・・・・」

俺様もアタマ真っ白（笑）。

皆様こんにちわ、とりあえずasaさんに続け！な感じでNorton購入のけーすけで、御座います。
如何お過ごしでしょうか。

ってなわけで今年もコレです。

ウイルス対策はよっぽど自信があるのでなければふつーに購入するのをオススメします（ウイルス騒動の現場から）。
今回USB版にしたので、愛用のPanasonic Let's note R3（ちと古いがな）にも面倒がらずにインストール出来るのが嬉しい限り。
半分中身はみ出たデスクトップPCにも早速インストール。
また一年宜しくお願いしまーっす。

最近のインチキウイルス対策ソフトを装ったマルウェアはほんとに良く出来てる。
何故か日本語の解説ページが少なかったからメモ程度に備忘録。

掲題のウイルス対策ソフトを装ったマルウェア。
これまたしつっっこいくらいに出てくる。

プロセス名を確認すると、av.exe。

タスクマネージャから停止するのは簡単だけど、すぐまた出てくる。
んでもって%UserProfile%AppData\Local\av.exe
を削除すると、.exe系や、フォルダオープンをすると関連付けを求められる・・・ってことは？

ってなわけで、

としてレジストリ修正ファイル作成(右クリック保存でファイルをどうぞ)。中身は以下の通り。

[-HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command]
[-HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command]
[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[-HKEY_CLASSES_ROOT\secfile]

実行すると改変されたレジストリが修正されるので、以下のファイルを削除
%UserProfile%\AppData\Local\av.exe
%UserProfile%\AppData\Local\6L0id5G
↑2行目のファイルはランダムに変更になるので適当に。

皆様こんにちわ、年明け仕事始め早々にまた面倒なものに遭遇したけーすけで、御座います。
いかがお過ごしでしょうか。

ほんとにね、身に覚えのないものはクリックしちゃぁいけません。
同意書は良く読んでからOKボタンを押下して下さいね。

*PC Live Guard*
Windows Security Centerモドキに見えるインチキセキュリティソフト。
当然ウイルス対策ソフトを無効化してくる。
色々小技が効いてて最近のヤツは出来が相当すごいわな。
改ざんされてるウェブサイトが結構あるみたいなので普段からセキュリティパッチの適用等注意しないとね・・・。

プログラムの追加と削除に出てこなかった。

FILE ::
C:\documents and settings\All Users\Application Data\117fc\573.mof
C:\documents and settings\All Users\Application Data\117fc\mozcrt19.dll
C:\documents and settings\All Users\Application Data\117fc\PC339.exe
C:\documents and settings\All Users\Application Data\117fc\PCLG.ico
C:\documents and settings\All Users\Application Data\117fc\PCLGSys\vd952342.bd
C:\documents and settings\All Users\Application Data\117fc\sqlite3.dll
C:\documents and settings\All Users\Application Data\PCYZDUHBELG\PCAWWLG.cfg
%UserProfile%s\Application Data\Microsoft\Internet Explorer\Quick Launch\PC Live Guard.lnk
%UserProfile%\Application Data\PC Live Guard\cookies.sqlite
%UserProfile%\Desktop\PC Live Guard.lnk
%UserProfile%\Recent\gid.tmp
%UserProfile%\Recent\SICKBOY.tmp
%UserProfile%\Recent\sld.drv
%UserProfile%\Start Menu\PC Live Guard.lnk
%UserProfile%\Start Menu\Programs\PC Live Guard.lnk
C:\documents and settings\All Users\Application Data\423d854\PC423d.exe
C:\documents and settings\All Users\Application Data\423d854\PCLG.ico
C:\documents and settings\All Users\Application Data\423d854\PCLGSys\vd952342.bd

FOLDER ::
C:\Documents and Settings\All Users\Application Data\117fc
C:\Documents and Settings\All Users\Application Data\117fc\PCLGSys
C:\Documents and Settings\All Users\Application Data\117fc\BackUp
C:\Documents and Settings\All Users\Application Data\117fc\Quarantine Items
C:\Documents and Settings\All Users\Application Data\PCYZDUHBELG
%UserProfile%\Application Data\PC Live Guard
C:\documents and settings\All Users\Application Data\423d854

そしたらウイルス対策ソフトのプロセスも起動するようになった。
けどレジストリに妙な具合に絡んでるみたいなんだけど情報があんまり無いなぁ・・・。

なにか違うのも居そうな・・・切り分けが出来ず。

[参考サイト]
Remove PC Live Guard
How to Remove PC Live Guard
 

みなさんこんにちわ、急に寒くなってきたのに未だに服装が変わらないけーすけで、御座います。
いかがお過ごしでしょうか。
なんだかんだ言って寒いって程寒くはないような・・・。

備忘録ですが、_ex-08.exe対応中にいくつか忘れないうちにメモ。
当初
【ウイルス】もっともらしい偽セキュリティソフト
の記事で書いてた程甘くなかったわけで、

C:\WINDOWS\Temp\wpv[ランダムな数字].exe
C:\WINDOWS\Temp\_ex-08.exe

のほかに

C:\Documents and Settings\【user】\スタート メニュー\プログラム\スタートアップ\iidwin32.exe
C:\WINDOWS\System32\restorer32_a.exe

あたりもうろちょろしてるような・・・。
Trojan.Pandexの亜種みたいだけど
C:\WINDOWS\System32\restorer32_a.exe
コレは怪しいわな。場所が場所だし。

あ、あと
O4 - HKLM\..\Run: [ランダムな8桁数字] C:\DOCUME~1\ALLUSE~1\APPLIC~1\[ランダムな8桁数字]\[ランダムな8桁数字].exe
これって必ずしも作られるわけではないようだけど、どっからきてるんだろ・・・。

皆様こんにちわ、何気に夕べは王将の餃子お持ち帰りで晩御飯にしていたけーすけで、御座います。
いかがお過ごしでしょうか？

2日に1度の頻度で食べてるような・・・。
兄上が麻婆豆腐も買ってきてくれたので大満足で、アリマス。
昨日仕掛作ってたらうっかり夜更かしして今朝はちと眠い（毎日11時までには寝る人）。

今日～のウイルス備忘録っていうかスパイウェア備忘録はちょっと久し振りにウェブ感染。
改変されたHPを見ただけで感染するヤツですわね。
エロサイトによく行く人だけでなく、危険はいっぱいありますねぇ・・・今回はごく普通のサイト。

HPのトップページを開くとダイヤログがポップアップ表示。

ん？なんじゃこりゃ、と思っているうちに、ふと見るとデスクトップと画面右下のタスクトレイに見慣れぬアイコンが作成されている。

んでもってセキュリティの警告。

確認すると、
C:\WINDOWS\Temp\wpv[ランダムな数字].exe
C:\WINDOWS\Temp\_ex-08.exe
複数のランダムな.exeファイルが作成されており、このうちに任意の.exeがレジストリエントリに追記されてるみたい。
msconfigからスタートアップを見ても簡単に判別可能。
たぶんexeが先でその後偽のセキュリティツールをダウンロード・インストールしたのかなぁ。
インストール場所は別フォルダになります。
感染後にコマンドプロンプトからnetstatで確認すると、怪しげな通信を続けているのでこれはなかなか・・・

もっともらしくスキャンを開始してもっともらしく嘘の感染情報を表示。
Removeする為のボタンを押すと料金請求画面に推移する仕組みになっている。
VISAカードとかが使用可能みたいよ（笑）。
おひとつ、どお？

[メモ]
Downloader.MisleadApp
Packed.Generic.264
Trojan.Horse
W32.Waledac

みなさんこんばんわ、昨夜の飲み会の後に渋谷某店へ乱入した記憶が綺麗さっぱりロストしたけーすけで、御座います。
如何お過ごしでしょうか？

先程乱入劇の顛末を現地調査し、記憶の補完を無事はたしてまいった次第で御座います。
M本しゃっちょーにはいつもいつもお世話になり、足を向けては眠れません。
もちろんS田さん・とみちゃんにもいつも御迷惑をお掛けし、有り難くおもっちょります。

今日はまた昼飯で渋谷区役所の社食に行ってきた。

渋谷区役所食堂に入っているターリー屋のカレーセットでございまーす。
この巨大なナンを1枚1枚インド人（と思われる）のスタッフさんが設置されてるカマで焼いてくれる焼き立てホヤッホヤ！！
ナンだけでもほんっっとにうっまーい！！！
実はナンにつぶされて見えませんが、この下に小盛りのターメリックライスと玉子焼きがささやかに隠れてます。

結局食べきれませんでしたが・・・・・・
 

今日の備忘録：

ウイルスではありませんけど、スパイウェア。
チュニジアだったかなぁ・・・のホームページ出入りしてたらどうもインストールされちゃったみたいなインチキアンチウイルスソフト。
その名も【Windows Enterprise Defender】（大爆笑）
セーフモードでも起動して常駐しますが、プログラムの追加と削除に出てこないのでちとやっかいかな。
消すのは簡単。
HijackThisのログにもエントリーしてきますんでそのままFix可能。
以下の通り

O4 - HKLM\..\Run: [Windows Enterprise Defender] "C:\Documents and Settings\All Users\Application Data\ca6c8ab\WEca6c.exe" /s /d

んでもってご覧の通り

c:\documents and settings\All Users\Application Data\ca6c8ab
c:\documents and settings\All Users\Application Data\ca6c8ab\22.mof
c:\documents and settings\All Users\Application Data\ca6c8ab\WEca6c.exe
c:\documents and settings\All Users\Application Data\ca6c8ab\WED.ico
c:\documents and settings\All Users\Application Data\ca6c8ab\WEDDSys\vd952342.bd
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\【user】\Application Data\Microsoft\Internet Explorer\Quick Launch\Windows Enterprise Defender.lnk
c:\documents and settings\【user】\Application Data\Windows Enterprise Defender
c:\documents and settings\【user】\Application Data\Windows Enterprise Defender\Instructions.ini
c:\documents and settings\【user】\スタート メニュー\Windows Enterprise Defender.lnk

Symantecのサービスが停止されてしまってセーフモードでもフルスキャンが実行出来ない状態。
Hostsがボロボロにやられてたのはどの影響なのか。。。

皆様こんばんわ、へろへろけーすけで、御座います。
数年前にW32.Stration初出の時程では全然ないですが、時期が時期だけに厳しーっ！！
W32.Gammima.AGとInfostealerの新亜種がしつこ過ぎ！

今日久し振りに無防備なPCを発見。
イマドキウイルス対策ソフトが入ってないのに外部からとか個人持ちのUSBメモリ挿しまくり。
某人曰く

『渋谷を綺麗なオネーチャンが素っ裸で歩いてるみたなもんだなぁあ！？』

自分：『それもむちゃくちゃ危ない裏通りとかね…（ハァ）』
そんなに凌辱されまくっちゃってどーすんの？

C:\
autorun.inf
9npxi.bat
isaecyu.exe
rfv0x.exe
t0ecj8.exe

C:\Documents and Settings\user\Local Settings\temp\
4tddfwq0.dll
4tddfwq1.dll
xvassdf.exe

皆様こんにちわ、ここ一週間くらい実はウイルスと格闘していたけーすけで、御座います。
いかがお過ごしでしょうか。

WindowsのTempフォルダから何度も同じdllを検出している状態で、眉根に皺寄せてた。
XPでいうと
C:\Documents and Settings\【USER】\Local Settings\temp
直下からInfostealerとかBackdoor.Trojanを検出し続けてる状態。
4tddfwq0.dll
のような名称のファイルで。

で、こうなってくると本体が別の場所に居るのがセオリーだから、いつも通りコマンドプロンプトで探してみたが。。。

居ない。
見当たらない。
C:\Windows\System32\
をじーっと見てみたけど居ないっす。

あっれーおっかしーなー思って別の感染したVista端末見てたら・・・スタートアップに不審物発見。
"xvassdf.exe"
おまえかーっっ！！！

ようやく見つけた。
HijackThisのログにも出てきた。

O4 - HKCU\..\Run: [54dfsger] C:\【USER】\【USER】\AppData\Local\Temp\xvassdf.exe

こんなとこに居たとは・・・くそぅ。
マッピングされたドライブ直下にも
9npxi.bat
autorun.inf
が綺麗に作成されとる。
こうなってくるとウイルスを運んだUSBメモリも探さなくっちゃならんわね( ´Д｀)=3
隠しファイル及びフォルダを表示させてもこいつらが出てこない。
システムファイルとして存在するのかもしれないけど、無論コマンドプロンプトで探せばしっかり出てくる。
dir /ah
てっきりsystem直下に本体が居ると思ったんだけどなぁ・・・まだまだあまいなぁ・・・。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

の値を改変される前の状態に戻して完了。