【分析】HijackThis【研究】

[過去ﾛｸﾞ] 【分析】HijackThis【研究】 (957ﾚｽ)
上下前次1-新
抽出解除ﾚｽ栞

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

344(6): 分析師はいずこにｗ(ついでに・・・) 04/09/23 00:01:32 AAS
苺きんたまに感染してみたぞーーーｗ
俺が実行したのは「(写真集) (ロリータ) 水原友里.exe」だｗｗｗ
ノートン先生とBitDefenderおよびFWは全てスルーされたｗ
もちろんスパイウェア駆除製品も・・・おっとスルーだｗ
ちなみネット切断した状態で実験したから俺の画像は多分ないぞｗｗｗ

感染するとプロセスが2つ走りどちらか一つを消しても
片方を復活させる仕組みでプロセスから終了は不可

感染するとPCのデスクトップのスクリーンが取られ晒され
【うｐろだ】アップローダー案内所【アプロダ】板に以下の書き込みがされる

名前：私は苺で違法ダウンロードばかりしている犯罪者です[ここに晒るされた時の初回のID:1回目]
私は苺で違法ダウンロードばかりしている犯罪者です
【コンピュータ名】コンピュータ名が入る
【ユーザー名】ユザー名が入る(例：Owner)
【今こんな事やってます】２ちゃんロダのアドレスが晒され先が貼られる

取った処置
１：まずPCの電源を切りセーフモードで起動してファイルのC:\WINDOWS\shellsystem.exeを削除
２：元になった「(写真集) (ロリータ) 水原友里.exe」も一応削除
３：普通に再起動してHijackThisでScan以下のエントリーをFixで削除
O4 - HKLM\..\Run: [shellsystem.exe] C:\WINDOWS\shellsystem.exe

３：のHijackThisの処理で以下が消えてるのも確認できた
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
name：shellsystem.exe　data：shellsystem.exe

若干の祭り状態だからこれからの患者が予想されるｗ
とりあえずこれで解決めでたしめでたしｗｗｗ

346(1): 分析師はいずこにｗ(ついでに・・・) 04/09/23 00:13:07 AAS
>>344
それと補足・・・貼られる先の法則が判明した

>半角二次元板の
>そのスレは、「アップローダー」をスレタイに含むスレのうち、一番上に
>上がっているスレ。

とのこと、あと細かい訂正ｗ
×【今こんな事やってます】２ちゃんロダのアドレスが晒され先が貼られる
○【今こんな事やってます】２ちゃんロダに画像が晒されて、そのアドレスがここに貼られる

349: 04/09/23 00:21:06 AAS
>>344
あんた漢の中の漢だ（ｗ
感染レポート&修復方...Z
これって例の苺ロダに貼られているやつだな・・・
分散しているようだから確かにまだ増えるかもね。
>>348
ダウソ板は全く関係ないよ。
ny関係じゃないし。

351: 04/09/23 00:29:25 AAS
>>344
SARCとかに連絡済み？

352: 04/09/23 00:55:59 AAS
>>344
乙！
俺も本体ファイル落としてみたんだが、飲んでるんでそこまでやる余裕無かった。
某スレにコピペして回答に使う事になるかもしれない。

354(5): 04/09/23 07:59:52 AAS
>>344に質問

これって、ファイヤーウォール入れておけば防げるものかな？
もしそうなら、エロサイトスレのテンプレにZoneAlarmでも紹介しておけば
かなり有効なんじゃないかな？（一番操作が簡単だしね、他のはむずいし）

356(1): 分析師はいずこにｗ(ついでに・・・) 04/09/23 12:35:25 AAS
>>354
>>344祭り状態の中で分析していたから今見ると文章がアホだなorz
今は反省している
FWはちゃんと機能するみたいだ
ネットに切断した状態で実験したから
その時はFWそのものが使われなくてshellsystem.exe製造にトロイ自体が励んでいた

それと上記の駆除方法はWinXPのもので
他のOSではシングルプロセスらしく
プロセスを終了させて本体を削除してレジストリの修正で簡単に治るらしい
またWinXP Proではダウソ板の>>635氏のやり方でもOK

2chｽﾚ:download

上下前次1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ

ぬこの手ぬこTOP 0.485s*