HDぜんぶ消去した上ズタズタに！！ウィルス

[PR]今日のﾆｭｰｽは
｢Infoseek ﾓﾊﾞｲﾙ｣

■掲示板に戻る■ ■過去ログ倉庫めにゅーに戻る■

1 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 16:43: やられた！！
nimdaどこでない！
昨日の晩、突然ＨＤが見る間に全て消去されていき、さらには共有先のマシン3台までやられた。
ファイナルディスクで、画像ファイル1枚だけ助かったけど、あとはデータが３３バイトごとにズタズタに...
原因は、メールか不正アクセスか定かでないが、いきなりメディアプレーヤーを更新するメッセージが出て、その直後のこと。
ＩＰＡに問い合わせでも、そんな報告はないとのとこ。
いったいナニ？！
ネタではないです。しんけん情報ください！
2 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 16:45: vote?
3 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 16:47: voteナニ？
4 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 16:49: ttp://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_VOTE.A
5 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 16:54: そうかも...これの進化形かも。
対処は？
6 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 17:00: 　　　　　　　　　　　　／∧　　　　　　　／∧
　　　　　　　　　　　／　/ λ　　　　　／　/ λ
　　　　　　　　　／　　/　 λ　　　／　　/　 λ
　　　　　　　　／　　　/　 /λ　／　　　/　　/λ
　　　　　　／　　　　/　/ //λ　　　　/　/ //λ
　　　　　／　　　　　　　　　　　￣￣￣　　　　　　＼
　　　　/　　　　　　　　　　　　　　　　　　　　　　　　 λ　　　／￣￣￣￣￣￣￣￣
　　　/　　　　　　　　　　　　　　　　　　　　　　　　　　/λ　＜知るか、ヴォケ！
　　/　　　　　　　　　　　　　　∧　　　　　∧　　　　　/λ　＼＿＿＿＿＿＿＿＿
　　|　　　　　　　　　　● 　　λ ｀ー―　´/　　●　　/ /|
　｜　　　　　　　　　　　　　　 λV V V V/　　　　　 / //|
　｜　　　　　　　　　　　　　　　λ|　　　|/　　　　　 / / //|
　｜　　　　　　　　　　　　　　　　λAA/ 　　　　　 / /////
　　|　　　　　　　　　　　　　　　　　λ/　　　　　/ / ////|
　　＼　　　　　　　　　　　　　　　　　　　　////// /////
　　　＼　　　　　　　　　　　　　　　////// ///////／
　　　　　―　　　　　　　　　// // /////////////
　　　　　　　ヽ　　　　　　　　///////////////
　　　　　　　　　＼　　　　　　　//////////／
　　　　　　　　　　＼　　　　　////////／
　　　　　　　　　　　＼　　　　　/////／
　　　　　　　　　　　　　＼　　　　　／
　　　　　　　　　　　　　　（　　　　）
　　　　　　　　　　　　　　｜｜　|
　　　　　　　　　　　　　　（_＿）＿）
7 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 18:01: VB製か・・・・・・・・・・・・・・・・・・・・
8 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 19:47: バラバラになったデータは復旧サービスで直るのかなぁ
9 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 19:57: 　　　　　うわ～ん、感染から１０日たったよ～
￣￣￣￣￣￣￣￣￣∨￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　　 Λ＿Λ
　　　　　　　　　　（゜∀⊂ヽﾆﾔﾘ
　　　　　　　　　 ⊂　　　　ノ
　　　　　　　　　　人　Ｙ
　　　　　　　　　　し（＿）
http://www.zdnet.co.jp/news/0109/28/e_nimda.html
10 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 20:19: こんなのも有るぞ。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.vote.b%40mm.html
VOTEの亜種VOTE.B。添付ファイル自体はexeだが、.vbs3個生む。
詳細は見て見れ。

それより、>>1はパッチ当てて有るのか？NIMDA対策の。
11 名前： このスレ見てたらよかったのに 投稿日： 01/09/28 20:35: 一応最新か？TROJ_VOTE.Aスレッド
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001500947
12 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 20:48: Symantecは9/18に定義ファイルを出しているようだ。
おそらくトレンドも同じくらいの時期に対応してると思われ。
パッチ当てたり、定義ファイルの更新等、気をつけてれば防げたはず。

ここに出入りするような人間が、なぜそんなことを怠るかよくわからん。
13 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 21:26: http://www.symantec.com/avcenter/venc/data/w32.vote.c@mm.html
今度はVOTE.Cだって。。。詳細わかったら書くって。。。

凄いなZaCkErって奴。かなーり厨房。
そんなに有名に成りたいかね。。。
14 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 21:34: >>12
自業自得なのはわかってるのだけど、古い5.00を使っていたので、へいきと油断してた...
今復旧サービスに問い合わせ中だけど、１００万くらいかかるそうな...
しかもデータが、こまかく断片化されているので、かなり困難らしい。
15 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 21:36: >>10
ありがと。
さっそくみてみる
16 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 21:49: >>10
今ＤＯＳで立ち上げてみてみたら、ネットに直接つながっていたマシンは全ディスク０バイトだった。
vbs3もなんもなし。カラポ
ＩＰＡにもそんな報告はないって
17 名前： 10 投稿日： 01/09/28 22:05: >>16
なんなんだ。。。ソレは。唖然。
証拠、、、残って無いって事か。。。
33バイトごとゴミ書き込むって。。。なんかのウイルスみたいでは有るな。。
http://vbc.trendmicro.co.jp/vbc/vinfo/vdb/vbcdefault3.asp?VName=PE%5FMAGISTR%2EB
#↑MAGISTRっぽいな。。。。何気に。。
１）ファイル感染活動：
　ウイルスはすべてのローカルドライブ、ネットワークドライブ、共有フォルダから "WinNT",
"Windows", "Win95", "Win98","WinME","Win2000","Win2K","WinXP" 　という名前のディ
レクトリを検索します。そして検索されたディレクトリ内にあるすべての拡張子.EXEもしくは
SCRでPE形式の実行可能ファイルに自身のウイルスコードを追加して感染します。ただし、以下
の条件のファイルには感染しません：
　・ファイル名の最初２文字が同じ文字のファイル：例"AABCD.exe"
　・ファイル名に"GRPC"という文字列を含んだファイル例"grpconv.exe"
　・ファイルサイズが 16,777,216Bytesを超えるファイル

改変されたNTLDR"と"WIN.COM"は実行されると"プライマリのハードディスクを上書してデータを
破壊してしまいます。"NTLDR"はWindowsNT/2000の、"WIN.COM"はWindows9x/Meのシステムファ
イルであり、Windows起動時には必ず実行されます。つまり、次回Windows再起動時にハードディ
スク内のデータがすべては破壊されることになります。
#・・・nimda騒ぎで影薄かったけど、コレはかなり危険。
18 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/28 22:14: >>17
危険度としてはnimdaより上だと思う。
voteでもないような気がする。
しかも証拠が残ってないので不正アクセスかメールなのかも特定できない。
再起動はしてないけど、ログオンは症状が出る直前にし直したので、きっかけはログオンも考えられるかも。
19 名前： 17 投稿日： 01/09/28 22:27: 破壊ルーチン組んだ奴は必然的に感染広げられないから、認知度は低く成るけど
他にも多種多様。単純なバッチウイルスからある。
・・・何とか重要データだけでも復帰できること祈る。。。>1=18？

しっかし、IPA、報告無しって。。。調べて見るって言えないのかね。
・・アソコ、情報遅いし糞の役にも立たん。。。
20 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/29 02:17: >>17
1=18？そうです。
先週の日曜にフレッにしたばっかりなのですが、もっと慎重になるべきでした。
復旧の情報に関しては問い合わせ中ですが、どこもたっかいのですね。
とても個人ではまかなえない。
ＩＰＡも唯一の公的機関だって聞いてたのに、なんか反応わるいし。
せめて原因を特定してほしい。
21 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/29 02:42: 社内で酔狂な奴がいて、どうでもいいPCをオフラインにしてわざとvoteの症状発生させたとの一報がありました。
今、詳しく聞いているけど、比較すると1さんのケースがvoteかどうか判断の参考になるかもしれませんので、わかり次第、ここに書きます。

こんなに深刻なケースもあるのに、「システム部門は29日のニムダ再発症に備えよ！！」と騒ぎを楽しむ若手や重役の厨房が会社で幅をきかせている。
「マスコミで話題騒然のワーム」で危機管理ごっこして遊んでる暇があったら、地味でも深刻な破壊活動するやつに備えたいんだよ、現場としては。
どこの会社もそうなのかな？
22 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/29 15:57: >>13
>凄いなZaCkErって奴。かなーり厨房。
>そんなに有名に成りたいかね。。。

ZaCkErって誰ですか。ID表示されてないんですけど。
23 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/29 19:02: こんなのもあるらしい
http://headlines.yahoo.co.jp/hl?a=20010929-00000002-vgb-sci
24 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/29 23:03: >>21
ありがとうございます。
詳細お待ちしています。
症状としては、見る間にディスクトップのアイコンが消えていき、すべてからっぽに。
メッセージは、なにもなし。
FAINALDATAでデータ復旧したところ、ファイル名は見えるものの、データがすべて３３バイトに断片化されていました。
イメージとしては、データを全て消去した後、シュレッターにかけてズタズタにする感じです。
もっとも重要なデータが５ギガあるのですが、復旧サービスにたのんだ場合最低でも８５万程度かかるらしいので、なんとか自力で復旧しようと思っています。
FAINALDATAエンタープライズをためしてみたいのですが、９万５千円って、けっして安くないので、思案中です。
25 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/29 23:05: トレンドマイクロのファイル復旧ソフト試した？
26 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/29 23:21: やられました。
深夜にリブートかかったまま、何らかのループ状態でBIOS暴走?して
マザーが逝きました。
LAN上の共有のPCのほうは、ノートンの更新ファイルがデリられてるし
あと気が付いた点は、ネットワーク設定が壊れている事
NetBEUIが消えていました。
共有していなかったPCは無傷。
感染源は不明。
27 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 00:14: 1枚だけ助かった画像ファイルって気になるな
28 名前： 名無し 投稿日： 01/09/30 00:18: 感染源を早く教えてくれよ。
不安じゃないか。
29 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 00:33: ログオンと同時にWindowsシステムフォルダを消すなんておかしくないか？
システムファイルにはOSレベルでロックがかかってるはずだろう。
30 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 00:38: >>21
voteが落す実行体って、vbsでしょ。
つまり、WTC.exe実行して、ドロップされた
MixDaLaL.vbs/DaLaL.VBS/WaiL.VBSをばtxtに拡張子変えて
VB詳しい奴にソース見せれば、何しようとしてるかはおおよ
そ解るんでない？破壊活動については。結局スクリプトな訳
だし、そのまま見れる筈。暗号、ポリモーフィック噛まして
なければ。んで、再起動する前に手動で書き換えられた値直
しとくと。
スコーシ安全な方法。
31 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 00:51: >>29
では問題です。
ＯＳレベルでロックがかかっているファイルをＯＳレベルで
削除したらどうなるでしょう？(藁
32 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 01:02: >>30
でも他人のVBソースなんて読みたくない（ｗ
33 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 01:08: >>32
特に、厨房の書いたソースなんて？？（ｗ
34 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 01:27: http://headlines.yahoo.co.jp/hl?a=20010929-00000002-vgb-sci
35 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 01:37: ずいぶん前に他のスレでこの話題が出てるぞ。

http://ton.2ch.net/test/read.cgi/sec/997350129/601-700

ここの638以降。
つーか俺もやられたんだけど。

FINALDATAエンタープライズは、体験版があるから
それを試してみるといいよ。
36 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 01:39: それと、感染源として濃厚なのは、
割れ物ソフトのインストーラー（or 実行ファイル）。
前のスレではそれが原因の人が何人か居た。
37 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 01:44: >>24
>イメージとしては、データを全て消去した後、
>シュレッターにかけてズタズタにする感じです。

というよりは、
ファイルサイズを３３バイトに変更した後、消した、
って事でしょ。
38 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 01:59: >>36
たださ、>1が、共有先までやられてるって言ってる事は、純粋にローカルドライブだけ
消す訳じゃ無いって事でしょ。。
LAN通じて共有ドライブまで消すフォーマッタ、有ればそれかも。

何気にメディアプレーヤー立ったのがスゴーク気になる>1
NIMDAのreadme.eml改変して同じ原理で？？.exe実行させる形にするのは可能。
やり方解れば中学生でも可能と思われ。あとは何を組み込んで実行させるか。
39 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 02:52: >>35
ものすごく有益な情報です！
ありがとうございます！
今スタンドアローンなＰＣを用意したので、原因を探ってみます。
サーバにメールが残ってるので。
何かわかったら、また書きこみます。
40 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 03:02: >>39
そうそう、それと、ファイナルデータのEメール版を買って使ってみたら、
ある程度はメールが復活できたよ。
確か体験版もあったので、試してみるといいかと。

そちらの情報も教えてください。
何か、怪しいクラックソフトなどをセットアップしたり、実行した覚えはありますか？
俺もまだ感染源を特定できてないので、どんな情報でも欲しい。

あと、名無しさんじゃわかりにくいから名前を「１」とかにしたほうがいいのでは？
41 名前： sky 投稿日： 01/09/30 17:00: セキュ板かソフトウェア板にノートンゴーストを入れたいなんかのスレにこのこと
についての言及があった。かなり詳しく書いてある。前にここでもこのことで騒ぎ
があった。二ヶ月も前の話だが。
この件でどうもおかしいのはMX。これをしている人に限って、何もしていないのに
消えるだの、制御できんあという事態が頻発した。
しかし、なぜかみんな少しの間騒ぐと、話題が消えてしまう。このことが何件かこの掲示板
であったので、なにかあるのではなんて思っている。
ちなみに、人によっては、IMをいれた人が訳のわからんIMを送り返され、再起動をかけたら、
すべて、このやり方で消されていた。ということもあったらしい。別にへんなファイルを起動
しなくても、ただ、つないでいるだけで、ＭＸをしたら、消されていたことあったそうな。
ちなみにこれにはfinaldataはエンタープライズ版でも効果はない。上書きされたような感じで、
本職のサルベージですら、まず復旧は不可能だと聞いている。また基本性能は実はやすいものも
高いものも関係なく、ディレクトリのファイルを直接出せるかどうかしかない。
過去に何度かこれはでたが、この関連はほとんど過去ﾛｸﾞにしかない。
参考になりましたか。
あと、ほとんど話題にはでてこないが、これは、過去にはMX関連でしか話が出てこないため、
表にでにくいようなのだ。
42 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 17:26: そいやこんなのもあったね。
http://www.wg7.com/wg09fbdocs/setsumei.html
43 名前： 1 投稿日： 01/09/30 18:00: その画像ならココ
http://www.f2.dion.ne.jp/~impact14/
44 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 18:42: >>41
>ちなみにこれにはfinaldataはエンタープライズ版でも効果はない。

>>35のスレでは、ある程度復旧できた人が居たよ。
あと、ファイナルデータのEメール版で俺はメールを少し復旧できた。
45 名前： 名無し 投稿日： 01/09/30 19:36: ゾヌ入れておけば、ＭＸのバックドアから入られないので
大丈夫ですか？
46 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 20:26: ｾｷｭ物のわれずはやめよう
47 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/09/30 22:05: FATであればエンタープライズ版で復旧できる可能性が高いのではないだろうか？
NTFSは、情報なし。
48 名前： 1 投稿日： 01/10/01 20:48: 1です。
いろいろ情報ありがとうございました。
とても参考になりました。
MX、実は思いっきり心当たりあります。
コトの起こる１日前に、MXを入れたばかりでした。
さすがに、入れてすぐは共有をきっておいたのですが、半日なにも問題なかったのでLANをつなげました。
わたしの場合、MXがらみが原因なのは間違いないでしょう。
ちなみに、サーバに残してあったメールはなにも問題なし。
不正アクセスも、まめにフレッツを切っていたのでないと思います。
FAINALDATAエンタープライズ版は、購入するつもりです。
アルファオメガに問い合わせたところ、FATでいけるならNTFSでも可能性は高いとのこと。
PSDや、JPGなどのメジャーなデータは登録してあるので、かなりの確率で復旧できるらしいのですが、わたしのデータは３DのOBJECTデータなので望み薄でしょう。
だめもとでトライしてみます。
ファイルのヘッダー情報などはわかっているので、自分でデータベースに登録することができれば復旧できる確率はたかいのですが...
いろいろ自分でためしてみるつもりなので、また情報があれば書き込みます。
49 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/01 21:51: >>48
MXを共有していただけで、今回の現象が起きましたか？
1日でどんなものを落として（拡張子など）、
どんな作業をしましたでしょうか？（EXE実行？MPEG再生？）
再生した場合は、どんなツールで再生しましたか？
その辺を出来るだけ詳しく教えてください。

前にも書きましたが、ファイナルデータエンタープライズを買う前に
試用版でテストをしてみたほうが良いですよ。
アルファオメガのページにエンタープライズの試用版があります。
私は、それでFATもNTFSも試しましたが、ダメでした。

３Dですか・・・Lightwaveのクラックとか落としてインストールしたりは
していませんか？
50 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/01 21:55: 仮に、クラックソフトを落としてインストールしていたとしても、
みんなあなたを責めたりしませんので、正直に教えてください。
今は皆、この現象の発生条件を知りたいのです。
51 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/02 17:56: エンタープライズ版どこにもないよー
土曜にはたくさんあったのに。
52 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 00:14: エンタープライズ版でいける場合といけない場合があるということは、
MXがらみの削除するウィルスが複数存在するということか？
53 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 00:32: 恐ろしいのう。
54 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 00:41: ってか、クライアント同士のp2pファイルシェアリングって、今時海外の一番や
ばそうなxx街で立ちんぼ引っ掛けてゴム無しで遣りまくるみたいなもんでしょ。
漏れは、binエディタで開いて不信な部分見分けるスキルなんて無いから手は出
せないけど。
ツワモノはニオイで解るらしいけど、、、香水バリバリなら解らんぞキット。
55 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 00:47: >>54
悪気が無くても自然に感染するものでもあるまい。
ずいぶんわけは違うのでは。
56 名前： 54 投稿日： 01/10/03 00:56: >>55
原理考えると怖いのよぅ。。。
漏れ、鼻利かないし。。。
見てくれに騙されてスグ手出すし。
MX自体、バグ報告って盛んにされてるの？
というか、ブートウイルス絡むとどうしようも無いんじゃ？。。。
57 名前： 1 投稿日： 01/10/03 02:58: >>49
AdobeStreamｌineです。
症状がでたのは、インストール直後でなく翌日でした。
再起動はしてないから、たぶんきっかけはログオン。
それとどういうわけか、本当にエンタープライズがどこも売り切れです。
先週まではどこにでもあったなのに。
いま評価版でスキャン中ですが、何時間もかかりそうです。
58 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 03:06: >>57
やはりソフトをインストールしてたんですね。
間違いなく原因はそれですね。

今回の症状は、あるソフトをインストールした後の
再起動（もしくはログオン）後に発動する、というものです。
おそらくウイルスではなくて、
スタートアップに登録される１個のアプリケーションなんでしょうね。

もう１つ質問ですが、インストーラーで入れましたか？
それとも、単にアプリケーションを実行しましたか？

>いま評価版でスキャン中ですが、何時間もかかりそうです。

私は２００ＧＢくらいあったので、４０時間くらいかかりました・・・
59 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 03:33: まさに>>35さんの言っていたスレの通り
僕はそのスレの660です
僕の場合は"Dimensions 3 J"です
このソフトは、落とした圧縮ファイル＆解凍したファイルをスキャンしても、ウィルスソフトに引っかかりません
何度か実験した結果、スタートアップにフォーマットプログラムが組み込まれていたようです
このタイプは、アンチウィルスソフトでは対策不能に近いです
インストール後に「START and STOP」　などのスタートアップ監視ソフトで監視することですね
60 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 03:35: ちなみにまだ大事に持ってますよ(w
大事な実験道具ですから
61 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 03:41: 割れ物を扱う以上、このぐらいは覚悟の上でやるように
俺も割れ物に手を出してるが、やはりインストールするときは緊張する
今まで3回もやられて、FDISKからやり直してる
ちなみにウィルスソフトはすべてすり抜けられてしまった
割れ物ってのはそういうモノなんだよ
62 名前： 59 投稿日： 01/10/03 03:43: あ、なんか紛らわしい書き方になっちゃいました
僕は>>1さんではありません
ただあまりにも同じ境遇だったもので
63 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 03:43: >>61
>割れ物ってのはそういうモノなんだよ

ここでそんな偉そうな説教を聞きたい人なんて一人もいません。
有益な情報を書き込むのならばともかく、無駄な書き込みはやめましょうね。
64 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 03:45: >>59
インストール後、レジストリのスタートアッププログラムを見ても
何も姿は見えないのでしょうか？

ＯＳは９８でも２０００でも同じですか？
65 名前： 61 投稿日： 01/10/03 03:46: >>63
別に偉そうに説教してるつもりはないが
おもいっきり自分を卑下してるけど
66 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 03:49: >>64
2000のみで確認
今ちょっと実験用のPCが使えないので、98の確認はいつになるかわかりません
レジストリを直接見てないですけど、監視ソフトで確認できました
67 名前： 61 投稿日： 01/10/03 04:00: 今、自分のレスを読み直してみたが、
確かにかなりウザイな
悪かった、
原因が原因だけに、ちょっと熱くなってしまったようだ
ごめんな
>>1
68 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 04:08: >>66
>監視ソフトで確認できました

そうなんですか。
ではインストールされているディレクトリなどもわかるのですか？
もし毎回同じ場所だったら対策出来そうですね。

とても役立つ情報ありがとうございます。
69 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 05:02: WinMX自体が問題なのかもって可能性は？
>>1はWinMXをどこから入手したの？本家サイト？？
70 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 05:05: ■ 初心者用質問スレッド Part III ■
>>69
こっちきて！
71 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 09:49: 友達の話だが、このあいだそいつもＨＤの中身が消えうせたらしい。
やはり、ＭＸでおとしてきた割れを入れた結果だそうだ。
そいつはパーティションくぎってたため、
幸い消えたほうは重要なほうではなかったらしく、
最悪の事態はさけられたといってた。
これもたぶん同じ原因だよね。
72 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 15:50: >>68
昨夜は夜遅くなって寝てしまい、レスが遅れてしまいました
で、ご質問の件なんですが、
僕が何回かインストールしたとき、
その症状をメモってたのでここに書いてみますね

ソフト:Adobe dimensions 3.0J シリアル無しをインストール後
先ほどの「START STOP」っていうソフトで見たときにこういう表示が出る

Whistler 　| Machine Registry | C:\WINNT\System32\whismng.exe -next

ソフトでこのプログラムを無効にしたら、再起動しても問題なし
次に、直接このプログラムを実行したらHDがガリガリいいながらファイルが消えていきました
ちなみに、LANでつないでるPCには影響ありませんでした

どうでしょう？参考になるかな？
73 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 18:56: >>72
おぉ！すごい！
プログラム名までわかるとは凄い情報ですよ。

で、whismng　で検索して調べてみました。

以下のようなものらしいです。

--------
The program or trojan is called "Microsoft Windows XP & Office XP Unused Serial Number Generator"

Chuck just opened it and then looked into exe file. Then I
saw the sentence "You did a piracy, you deserve it."
He claims it will delete all your files after your computer is rebooted.

If someone already executed this program, do not reboot the computer. Open regedit and go to:
--------
エキサイト翻訳
プログラムかtrojanは「マイクロソフト・ウインドウズXP&オフィスのXPの未使用
のシリアル番号ジェネレーター」と呼ばれます。チャックはそれをちょうど開き、
次に、exeファイルを調査しました。その後、私は文を見ました「著作権侵害を
行いました、それに相当する。」彼は、あなたのコンピューターがリブートされた
後それがあなたのファイルをすべて削除するだろうと主張します。
誰かが既にこのプログラムを実行した場合は、コンピューターをリブート
しないでください。regeditを開いて、次のものに行ってください:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun。そこから、
whismng.exeへの言及を削除してください。
--------

もう少し調べてみます。
74 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 19:17: >>23
に書いてある、これに間違い無さそうですね。

http://headlines.yahoo.co.jp/hl?a=20010929-00000002-vgb-sci
75 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 19:18: でも、うちはこんなメッセージは出なかったな・・・
亜種か？

You did a piracy, you deserve it.
76 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 19:31: http://www.symantec.com/region/jp/sarcj/data/w/w32.whiter.trojan.html

シマンテックにも情報あり。

72さんのおかげで一気にここまでわかりました。

ところで、ウィルスソフトをスルーしたというのは、
９月２４日以前だったからでしょうか？

なんにしても、かなり最近発見されたものなんですね。
77 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 20:44: >>76
落としてきた圧縮ファイルや、解凍して出てくるファイルをスキャンしても、ウィルスを検知しません
今試してみたら、9/27のNortonの定義でも同様でした

プログラムのセットアップ完了後に、システムにウィルスが組み込まれるので、インストール後なら検知できるでしょうね
ただ、インストール後、再起動やログオフしてしまうと、次回起動時にHDが逝っちゃいますので
インストール後、再起動前にスキャンする必要があるでしょうね
もしくは、何らかのスタートアップ監視プログラムを常駐させておくかでしょうね

僕が思いつく対策といえばこれぐらいしかありません
ついうっかりスキャンし忘れて再起動してしまったとき、取り返しがつかなくなるので
僕は監視ソフトを使ってますが
78 名前： 1 投稿日： 01/10/03 20:45: http://www5.justnet.ne.jp/~ttp/
79 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 20:54: >>78
有料エロサイトへのリンク
80 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 21:10: 結局、割れもんにソース弄って組み込んで有るって事ぢゃねーのか？？
81 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 21:36: >>80
正確には、割れ物のインストーラーね。
割れ物本体に入っているわけじゃない。
82 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/03 23:11: もう一つ見分け方があるのを忘れてました
解凍して出てきたファイルの日付を見る方法です

Setup.exeの日付だけが異様に離れている場合、Setup.exeだけ後から手を加えられたモノだとわかります
さっきから何度も出てきてる(w Dimensions 3.0J を見てみると
他のファイルは1996年とか1997年なんですが、Setup.exeだけは2001/8/23となっています

こういうセットアッププログラムを見かけたら警戒した方がいいかもしれません
83 名前： 80・を!ｈｔｔｐ 投稿日： 01/10/03 23:12: >>81
んま、インストーラだろね。
該当割れソフト関連のレジストリにソフト起動と同時に起爆させる値書き込んだり。
割れ物手出す人は正規品の設定する正常なレジストリ値なんて知らないし。
タイマー入れて何度か使って安心してから起爆も有りだろうし。

前に割れ物ROMグラフィクソフトに手出して痛い目見た漏れ。。。ウイルスチェクは
ROM自体に当然掛けたさ。
せめて、手出す前にインストーラぐらいはダンプ取って不信な兆候見つけなきゃ。
ってか、そんなスキル漏れには無いけど。
84 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 00:06: >>83
>ソフト起動と同時に起爆させる値書き込んだり。

いや今回の場合は、スタートアップね。
いままでに出てるリンクをよく読んでみ。

単純明快に、インストーラーによってフォーマットプログラムが
インストールされて、それがスタートアップに登録されるだけ。
まったくもってシンプル。
85 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 00:12: >>84
シンプルだけど、なかなか効果的
86 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 00:16: >>85
「なかなか」、どころじゃなくって効果は「最高」でしょう。
87 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 00:18: ところで、

”割れ物ROMグラフィクソフト”

って何だ？
割れ物グラフィックスソフト、ならわかるけど、
なぜ間にROMが入る？エミュレーター？
88 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 00:19: Shiftキーで解除できるから「最強」じゃない。
89 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 00:19: あ、CD-ROMの事か？
90 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 00:20: >>88
まぁ最高かどうかなんてどうだっていいよ。
91 名前： 83 投稿日： 01/10/04 00:43: >>89
そゆ事です。
フォーマットまでは行かなかったけど。。何か常駐してリソース食ってる気配
ぷんぷん。入れてからハングの嵐出まくり。グラフィクソフト動かさなくても。
多分フォト署プか苛ストレタが怪しかった。。結局原因不明。んな知識その頃
無かったし。
スタートアプとしてHKEY～～～CurrentVersion\Runの値は、いかにもで嫌い。
つまり、起動時実行要求する奴で無い場合はココの書き込み確認すれば良いで
しょ。グラフィクソフト、起動時スタートは先ず無いし。
再起動前に必ず確認。
それでも、該当ソフトの動作に関連付けられてればアウト。
それと、セキュリティ関係の場合は当然起動時スタートさせなきゃだから一番
危険と思われ。レジストリ以外にも.iniとか色々だし。。
92 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 01:10: 原因もほぼ特定でき、対策法も出そろった様子
けっこう綺麗にまとまりましたね
もっと混沌としたスレになるかと思いましたが。。。
93 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 01:19: ひとつ疑問が残るのは、FINALDATAエンタープライズで復旧できるケースと、
できないケースがあるのはどうして？
94 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 01:45: 72さんのおかげで、話が具体的にまとまりました。
前スレからいる私としては原因がわかってうれしい限りです。

>>93
普通は、エンタープライズでも修復できないように思います。
ただエンタープライズには、ファイルサイズを変更する機能があるので、
それを使えばもしかして可能かもしれません。
といっても、１ファイルごとに手動でファイルサイズを入れていかないと
ダメなので、私はやめました。
元々のファイルサイズだって覚えてないし・・・
95 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 01:52: 友達の話で恐縮ですが、彼もデータをやられたみたいです。
データだけ消えててフォルダは残ってたらしいのですが（ウィンドウズは起動したみたい）
これもここに書かれていると同じ症状なのですかね？ちなみにMXで割れをやってたそうです。
96 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 01:55: >>95
同じです。フォルダだけ残るのがこのウィルスの特徴です。
97 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 01:56: ウィルスバスターのデータベースには、まだ載ってないようです。
ノートンのほうが早い。
98 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 01:56: >>93
スコーシ、バグ有るんでない？
・・・いや、フォーマット掛けちゃう不正プログラムの方に。
後は、元の環境での断片化の程度とか？

横道それるけどwinのcryptAPI使ったウイルス存在してるのよ。
破壊というより全ファイルの暗号化なんだけど、ランダムにキー
生成してやるらしいの。
作者、バイナリ公開してるし。。。。メール添付のワームだけど。
復旧するにはフォーマットよりタチ悪いと思われ。
99 名前： 95 投稿日： 01/10/04 02:02: >>35を読まずに書き込んでしまった。ｽﾏｿ
とりあえずこの現象が起こった人はみなMXでDimensions 3 JをDLして
インストールしたのが原因と考えていいのでしょうか？
100 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 02:04: >>99
どうせならもう少し読もう。このスレも含めて。

いろんな割れ物に入っているようだよ。
前スレでは、MXで落とした「午後のこ～だ～」にも入ってたらしい。
101 名前： 95 投稿日： 01/10/04 02:25: >>100
レスありがとう。友達に報告しなければと思い焦ってしまいました。
102 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 04:12: >>98
ちなみに、今回のはフォーマットじゃないよ。
「ファイルを０バイトに上書きした後、削除」を
全てのファイルに繰り返す。
だから、全ファイルを消すまでに比較的時間がかかる。

フォルダはそのまんま残して、ファイルだけを消す。
103 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/04 17:23: 以前モロやられた。ノートン入れてたが何の反応もなし
再起動したとたんＨＤがカリカリ言いながらひたすら
ファイル消して逝った・・・・。
未だ何のソフトか原因不明。

とりあえずファイナルデータ実行してみたが復旧出来たとしても
中身がかなりいじられていて使い物にならん
読取専用データはダメージ弱くてある程度は復旧出来たが・・・

コイツはかなり手強いゾ！
拾いモノはくれぐれも自己責任で・・・
104 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/05 15:58: Adobe dimensions 3.0J
Adobe Streamｌine

これ以外で報告ないの？
105 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/05 18:45: だからすぐ上に午後のこーだーって書いてあるじゃん。
ちゃんと読んでる？
あと、上のほうで紹介されてるスレも全部読んでみ。
106 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/05 23:27: ウィルス本体と、セットアッププログラムをまだ持ってるのですが
これってWeb上に公開＆配布したら犯罪になるんでしょうか？
プログラムとか全然わからないので、僕が持ってても意味無いのですが
詳しい人が見ると、何かわかるのかなと思いまして
107 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/05 23:45: >>106
ほ、欲しい。。

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 6.5.8 for non-commercial use <http://www.pgp.com>

mQCNAzuwyfwAAAEEAKkeECqWhSWNqqoq1F7yK1ZDxHZbqw7n6ElISVYXTNym3cfP
sZrWsZdpIUHftlGUzCVeiegzcDrexSyqwh8jggFyc7YbYa6//fX8FhNwI14+moTe
0tVi4K7rzW9lfgHGsckSpjqWKTOV/Jf/mGWpMtnErkh2lAA3j/DcqHrvSEgvAAUR
tAt0ZXN0IDx0ZXN0PokAlQMFEDuwyfzw3Kh670hILwEB71IEAIZo2oOpNuYX80V8
9PnzGJVQS71DstPPfDEhmZX4P0qNVTUcQ5WUE7u4D4bbRV2VfXMQVaAoBzqDMquF
FP/oYzMpjYVI+i5wS4jxcndQVnvN1V4j0TaUYZHuBTz/fXYkStsHMbUpab3winPv
yeH32mu5mfZQeXBt7Vjmi2X97D3c
=hwlh
-----END PGP PUBLIC KEY BLOCK-----

も、漏れの公開キー。。。
コレでPGP掛けてどっか公開してケレ。
108 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 01:07: 　　　　　　 ∧ ∧　／￣￣￣￣￣￣￣￣￣￣￣￣￣
～′￣￣( ﾟДﾟ)＜　　逝ってよし！！！
　UU￣￣ U U　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿
109 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 01:28: >>108
なんで？
意味わかってる？
110 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 01:40: >>107
すんません、僕スキルがないので、それの意味がわかりません…
でも、公開しても警察のお世話にならないのなら、どこかに公開してアドレス貼ります
111 名前： 107 投稿日： 01/10/06 01:50: >>110
無理しなくてok。
貴方もPGP使ってなければ意味無いし、この為だけに入れるの大変。。

公開というより、上のキーで暗号化した奴、戻してファイルの中身みれるの
基本的に漏れだけ（ｗ
・・本来こういう目的にこそ使われてたと思われ＞PGP
112 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 01:53: 普通に公開したら警察のお世話になるよ。気をつけてね。
113 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 02:50: うーん、なんとかして107さんに渡せるといいですね。
そうすれば、どんな仕組みのプログラムかわかるし、
もしかして復旧のヒントもわかるかもしれない。
114 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 03:24: >>113
ﾜﾗﾀｗ
115 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 03:24: >>114
ハァ？？
116 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 09:00: 先月はじめ、こいつにやられた。外出だけど報告しとくね。
・MXやってた
・Acrobat5J入れた直後、ガリガリ言い始めた（再起動前）
・再起動したら全部消えた
・FINALDATA買ってきたら全部33KB
Acrobatかどうかは知らんが、あきらめた。IEEEの外付HDも消えた。
117 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 09:43: >>104、>>105
他スレから来ました。一応こっちでも報告。ファイルサイズ28MくらいのLightWave7
にも、これ入ってる奴があります。症状まったく同じ。フォルダだけ残ってファイルは
復活させるとみんな33バイト。
118 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 10:38: >>117
俺もそれでやられた。シーグラフで配ってた体験版をクラックしたやつね。
119 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 10:39: >>117
他に、この話題があるスレがあるんですか？
どのスレか教えていただけると助かります。
120 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 12:32: >>116
Acroのサイズ教えて
121 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 12:51: 他の板から来ました。一応そこに書いたやつ↓
知らなかった。やっぱ他にもいたんですね。

> Virtual PC。
> 生まれて初めて被害にあった。
> ウィルスチェックにもひっかからなかったやつだが。
> ハードディスクがガリガリいう異変に気づいて
> 1GBほどの損失ですんだ。
> 危うく、ドライブ全部逝かれるとこでした。

Virtual PCのインストールファイルのあるドライブ(Eドライブ)と
マイドキュメント(Cドライブ)やられました。
既出のようにFinaldataも試したけどダメ。
C:\WINNT\System32\whismng.exe
がレジストリのRunにありました。
あとCドライブとインストールファイルのあるドライブに
テキストファイルでpiracyだろって。
Virtual PCのシリアルミスったのでトラップかと思ったが、
そういうことだったのね。
122 名前：　投稿日： 01/10/06 13:48: 結局インストール時には専用のPCでしかやらないのが1番なのかな

中古のUSBのHDDにOSだけ入れて起動チェックをすると。
でもBIOSレベルで弄られたら駄目か　う～ん
123 名前： 117 投稿日： 01/10/06 15:05: >>119

http://choco.2ch.net/test/read.cgi/download/1000483999/

ダウンロード板ね。

>>122

あっちにも書いたけど、VirtualPC使うと便利よ。もちろんトロイの
入ってない奴ね（笑・・・えねーよ・・・）。
124 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 17:21: これマジでやばいよヽ(；´Д｀)ノ
125 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 18:00: 要は、インストールした後にすぐ再起動せずに、
C:\WINNT\System32\whismng.exe
を削除すればいいだけの話じゃん。

皆の情報のおかげで対策がはっきりしているので、
今はそんなに怖くない。
126 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 18:22: >>125マジッすか？ヽ(；´Д｀)ノ
127 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 18:25: >>126
俺は一度やられてるし。
直後は、原因が不明でかなり怖かったけど（再発症の可能性もわからんし）
このスレでいろいろ情報交換をしていたら原因がつかめたので今は怖くない。
128 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 18:26: ちなみに俺は、ローカルのドライブ２２０GBと、
ネットワークドライブ１２０GBを消されたのでかなり鬱だった・・・
129 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 18:38: >>128
よく立ち直れたな
130 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 18:57: >>128
それはきわめてきついな･･･
131 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 19:38: 割れやってなけりゃ大丈夫？
132 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 19:52: >>125
ファイル名は変えられちゃうかもよ・・・

>>131
まずは大丈夫でしょう。メーカー製のインストーラーに混入してたら
大問題だ。ウィルスじゃないからね。
133 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 21:57: 起動時にプログラム走らせるのが目的なわけでしょ。
だから、スタートアップさせるレジストリ値、system.iniなんかの値、
最低限で良いからマメに確認しとく。ソフトインストールするたびに。
んで、覚えの無い値できてたら、再起動する前にどのアプリに対する
値なのか、不審なフアイルに対する値なら、納得できるまで色々調べる。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
今時典型的過ぎるけど、↑この辺の値ぐらいは常に押さえとく。。
134 名前：ＨＤ投稿日： 01/10/06 22:17: HDが不正読み込みをする時は要注意と聞いたことがある。
たいてい、何か入れられて今回のような事態が起こることもあり得ると。
135 名前：同じ投稿日： 01/10/06 22:57: ＭＸやってるやつ。エロげーもこれが入っていた。「君がいる永遠」という
ゲームを交換したら、セットアップが自動でならず、おまけに起動し直したら
見事にそのものも消して、４０Ｇが３３バイトのファイルの流れになり見事になくなった。
ＭＸでエロゲにトロイかましているやつのことは聞いたことがあるが、まさか
こんなに大きいものにまであったなんて。
８１０Ｍぐらいのやつで、ＧＣＡ。ＺＩＰに変えたものもあったので
ＺＩＰも危険だ。ダウンロード板のやつも見ていると思うので、ここに書いた。
あと、別の板で陵辱奇行というゲームでもにたようなことがあったといっていたので
きをつけて。
もうＭＸは危険すぎてできない。
136 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/06 23:10: もっとも違反行為だから警察に言えないよな…
ネットランナーも自粛しろ！
137 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 00:22: AI将棋2002.zip(34,840,870バイト)
MXでおとしたんだけど気をつけて！Whiterだっけ？はいってるよ

これ解凍して中のexe起動した後になんとなく
msconfigでスタートアップみてみたら
C:\WINNT\SYSTEM\whismng.exe -next
ってあったよ・・・
しかもAI将棋２００２だと思ったら２０００だったし・・・
138 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 00:26: whistlerだ　ごめんなさい
139 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 00:28: 要するに、増殖してるってことか…
140 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 00:44: やっぱ割れにはそれなりのリスクが伴うって事でしょ。
141 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 00:49: >>140
まあ、そういうことはここではおいといて
とりあえずどんなソフトに混入していたかっていう報告が集まるスレになればいいんじゃないですか

そういうのを言い出したら泥沼になっちゃいます(w
142 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 00:52: 泥沼になりそうだが、
割れ物によって被った被害って立件できるの？
143 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:03: もう少し早くこの板見てれば・・・・・
やられました・・・・・
144 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:20: このトロイ仕掛けてMXでばらまいてるやつ、日本人じゃないのか？
この板も見てて、今後、ファイル消去の実行の仕方を巧妙に変えてくる可能性は多いにある。
145 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:21: なんかひところのインチキエロビデオ販売業者みたい。
こっちもものがものだけに訴えられない（ｗ
146 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:24: 解凍前にアンチウイルスソフトで発見可能？
147 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:27: 「START and STOP」という、スタートアップ監視ソフトはどこでダウンロード出来るのですか？
148 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:30: やはりか。エロゲー、アプリ関係なくなってきている。
二度もやられた。一度はアップルのムービープレイヤー、正確な
名前は忘れたが、それのpro版で全滅。
proではなく、ふつうのやつだったのを、名前を変えていた。
それでようやく再開してエロゲーなら大丈夫だろうと思って
インタラクトプレイVRというのをanimefantsiaのやつから
交換してといわれたから交換したら、起動確認のため、インストール
画面を出しただけで、再起動のあと３３バイト。
大物だろうとなんだろうとどれが危険かもうわからない。
そいつに攻撃したくても方法もわからないし。
一応言っておくが780Mのだった。
149 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:31: >>146
ダメ、解凍後のwhismng.exeもダメだった。
今後は対応されるかもしれないが。
150 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:34: >>149
「解凍後」じゃなくて「インストール後」だった。
151 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:38: >>149
ノートンは対応してるっぽいんだけどダメなのか・・・。
152 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:46: MXを結構しているんだが、最近エロゲを交換してもまともなやつがないこと
がちらほらある。ファイルはあるのに起動出来ないものだったり、ダミーなら
まだ分かるが一部のファイルが巧妙に抜かれて、途中までしかできないのが
あったり、むろんトロイが見つかったのも４回あった。
夏休みがおわってから、交換の質ががくんと落ちたこともあるが、やはり
大物でも悪質な物が増えてきている。
153 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 01:58: MXで落としたVirturl PC 4.1でやられました。(Serial なし)
Nortonの9/26版でも引っかかりません。

2000を再起動する度にフォルダを残して全ファイル消去されるのはご存じの通り。

ただし相対ディレクトリ指定でシステムを認識しているのか、CドライブのWin98は
無傷だった。(メインはPドライブに入れたWin2000を使用していた)
98からNTFSマウントできない(やってない)のでPドライブのウィルスチェック
はしてません。はぁ、もっと早くこのスレ知ってれば・・・
(つか、この対策の為にVirtual PC入れて死んだらシャレにもならんが)
154 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 02:09: >>147
http://www.tfi-technology.com/downloads.htm

ソフトをインストールしたらすぐにチェックしてみて
なんかぁゃιぃのが登録されてたら、消したらいいよ

レジストリ直接いじっても同じ事が出来るけど、そういうのに抵抗があるなら
こっちを使ってもいいと思う
なんせ手軽だしね
155 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 02:10: あっ、「割れ物をインストールした後に」すぐにチェックしてみて
って言う意味ね
156 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 02:48: スタートアップに登録されるならどうにかできそうだが、
>>116 みたいに再起動前に実行されたら終わりだよな。

MXで実行可能なファイルは避けるか・・・
157 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 02:53: MXで落とせるvirtual PCにも入ってるらしいから
気をつけよう････
158 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 03:11: これって、報復はできないのか。。。
159 名前： 名無しさん＠お腹ｲﾊﾟｰｲ 投稿日： 01/10/07 04:17: >>158
MXで割れ交換してること自体違法だから、
ｺｺでこうやって自営処置を考えてるというわけ。

あと、割れやってる人の大半って割れDLしたからと逝って
必ずそれを自分で使ってるわけではない。
相手にも悪意はないと思われる。
160 名前： 名無しさん＠お腹ｲﾊﾟｰｲ 投稿日： 01/10/07 04:18: >>159
×自営処置
○自衛処置
161 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 05:34: これって、ホイッスラーって読むんだよね？
笛を吹く人か…。
162 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 05:54: 連れてかれちゃうわけだ・・・
163 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 07:00: wininit.ini
[rename]
NULL=C:\windows\ウイルス.exe

再起動した時にあぼ～ん。（藁
164 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 07:20: なんかこのスレ罠張られてそうな気がするのは俺だけ？
……法人化………提携…………
165 名前： くもくもがけにぽんちたびなし 投稿日： 01/10/07 10:50: Adobe PageMaker6.0
Adobe Acrobat 5.0　にも入っているのでは？
自分は９月８日にやられた。
フォルダ名のこして全部のドライブに入っていたファイル消された（すべてNTFS）
これって、笛吹き.exeなの？
166 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 11:27: >>165
間違いなし。まさにその症状。
167 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 16:16: >>164
罠？　よく意味がわからないが
168 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 16:40: >>159
中には、悪意というか妙な正義感というか、意図的に置いてる輩もいると思う。
169 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 19:19: なんか、p2pの終焉を感じるね・・・
170 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 19:38: つうか、実行ファイルを見知らぬ相手とやりとりするというのが
ﾁｮﾄ信じられんのだが・・
171 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 20:55: >>170
こういう場所で得られる情報の信頼性と、本質は同じだよ。最後は
自分の眼力にかかってる。リスクと限界を承知の上で使えば、非常に
強力なツールとなる点も同じ。
172 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 22:31: なんつーか・・・

泥棒が泥棒仲間の盗品交換会でGetしたものには
ろくでもないもんがついていた。・・・って、
利益を得るものは正規ディストリビュータ。
不利益は我々。けれども他人のPCをどうこうしていいのか。

よくわからん。
173 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 22:46: なんかＰＣが再起動できなくなったよ。
ブートエリアがぐにゃぐにゃされたみたい。
ＯＳ入れ直したよ。
174 名前： 172 投稿日： 01/10/07 22:55: リチャードストールマンによればソフトウェアは
自由であるべきだ、との主張がある。

割れも俺の中では支持するべきものだった。が、しかし
誰かの手によって正規ディストリを強制される状況が生まれた。

考えるべし。正規品を購入するか、起動前にレジストリを見るか。
それぞれの生き方が問われる。

まいっかー。
175 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/07 23:17: 俺も割れはやるけど、割れが悪なのは当然でしょう。
考えても見ろ。自分が１０年かけて開発・販売にこぎつけたソフトウェアが
割れで出回っていた上、売上が伸びなかった時のことを。

まぁこういった議論はこのスレでやるのはふさわしくないから、
この話題はもう終わり。
176 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 02:16: 終わりと言われていながらもう一言だけ。

ソフトが不当に高いから、割れざるを得ないという事情もあるでしょ。作っている側に
とっては、割れざーがいるから高くしないと利益を確保できない、という話に
なるんだろうが。

音楽の世界でソフトシンセってジャンルがあるのご存知？OSレベルで使うVSC88とか
とはちょっと違って、音楽製作ソフトのプラグインという形式のもの。最初の製品群が
非常に割安感のある相場を作ってくれたおかげで、どれもこれもリーズナブルな価格で
買えるんだよね。Mac/Win版同梱が常識だし。3Dの世界のプラグインとはぜんぜん違う
かんじ。実際漏れは山のように買ってしまったよ。

こういう空気が他のジャンルにも広がってくれるといいんだけどねえ。
177 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 02:21: >>176
同じソフトでも、１つ大きな違いがあるんですよ。
それは、「商用」か「非商用」ｊか。
ソフトシンセなんて一般ユーザーが趣味で買うだけだけど、
フォトショップなどのデザイン用ソフトは主にプロが買うもの。
プロが買うソフトは高くても問題ない。というかそれでいい。
それが買えるくらいの利益を出せないようならその仕事はやめたほうがいい。
そういうこと。

３Dも当然趣味でやることもあるけど、趣味用のソフトはちゃんと安い。
Shadeとかね。
178 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 02:24: あ、良く読んだらプロ用のソフトシンセの話だったのね。

ソフトの値段は、開発にかかる技術力も関係してくると思うよ。
音の世界はもうほとんど技術は出尽くしているので開発は
難しくない。
グラフィックの世界はどんどん新しい技術が作られていって、
開発に要する技術力もケタ違い。
179 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 02:34: 良いスレですね
180 名前： 176 投稿日： 01/10/08 03:01: >>178
それは率直に言って、グラフィックを甘やかしすぎ、音を甘く見すぎの
見解だと思いますぜ。まあ、まるっきり否定はしませんが。

まったく関係ないけど、かつてShadeが150万円だったことはもちろん
ご存知ですよね？
181 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 03:23: >>180
まぁ感情的にはそう思われるかもしれませんね。
でも事実でしょう。グラフィックの世界では１年前で全然変わります。
それくらい新しい技術が出てきて、古い技術はすぐに売り物にならなくなります。

Shadeの件は当然知ってますよ。そのころはプロのためのツールでしたから。
182 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 03:42: 自己責任。（激藁
183 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 03:43: >>182
激しくがいしゅつ。
話の流れを読めやボケ。
184 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 04:45: オレPhotoShop正規ユーザーなんだけど、5→5.5→6と来てコレだったら割れた方がマシだなって思った。
いらんトコばっか機能強化→重くして、レガシーの機能に関しては完全に放置。
大体、Illustratorも持ってる身としては、パス関係強化されても意味無いっての…
最近、本当にプロの人はコレ使ってんのか？って思うことが有る。
>グラフィックの世界では１年前で全然変わります。
ってのはadobeに当てはまるのか？
185 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 05:06: >>184
だったら使うのやめれば？無理して使うことは無い。
俺はバージョンアップしないで古いバージョンを使ってるよ。
というかこの話題は激しくスレ違いだな。CG板でやれ。
186 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 05:24: 割れって､著作権侵害じゃないの？
とすれば親告罪だから､メーカーが告訴しなきゃ
タイーホされないんじゃないの？

割れだからって､他人のＰＣ破壊していい事にはならんよ。
意図的に仕組むとか、知ってて配るとかすれば
罪に問えるはず。

例えが悪いけど､マリファナを買ってみたら、実は即効性のある
毒薬で､そうとは知らずに使って死んでしまった場合､毒薬と
知って売った方は殺人罪に問えるのは当然でしょ。
187 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 05:29: >>186
訴えられ、賠償させられるリスクを負うのか？
188 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 05:33: >>186
>割れだからって､他人のＰＣ破壊していい事にはならんよ。

だれもそんな事言ってないんじゃない？
誰に対してのレスだ？番号を書こう。
189 名前： 名無し 投稿日： 01/10/08 05:44: クリーンハンズの原則
190 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 05:59: >>189
それがどうしたの？ちゃんと説明する力が無いのか。
191 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 11:32: >>178
リアルタイム演奏が可能な（レイテンシの小さい）ソフトシンセの歴史は、たかだか
二年程しかないんだが・・・
もう枯れたのか。それは知らなかった。
192 名前： ￥街駅 投稿日： 01/10/08 13:09: ようするに、MXは危険ってことか？
ＭＸの代わりはどんなん使うの？
193 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 13:43: MXが危険って言うより割れが危険なんだろ。
194 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 14:34: ＭＸだろうが何だろうが
ネット繋いでる以上
大なり小なり多少の危険
があることを知れ！!
195 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 15:38: 原因が割れモノである以上、被害の正当性を主張するのは難しい。
だから、２ちゃんに情報を求めにやってきてるのではないか。

割れモノが悪い、危険といったことは、すでに百も承知のことなので、ここであえて言う必要はないと思う。
196 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 16:22: このスレに救われた人も多いはず。
197 名前： kei 投稿日： 01/10/08 17:03: 失礼致しました。ネットで株取引をしているのですが、ＭＡＮＥＸ＆Ｅ-ＴＲＡＤＥの株価のリアルストリーミング機能を会社のＬＡＮから使うことができません。
Ｅ-ＴＲＡＤＥでチェックをかけてみると、ファイアーウォールが邪魔になっているとのこと。これを突破する方法ってご存知無いでしょうか？
ご教授くださいませ。
198 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 17:07: >>197このスレは非常にマジレスが多くて素晴らしいと思いましたがあなたの発言はスレ違い
というか誤爆なされていませんか？
199 名前：投稿日： 01/10/08 18:47: >>197
管理者にお願いしなさい。。。
ってか、仕事サボってやってるな（ｗ
200 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/08 20:57: keiこと>>197には３ヶ月後、逃れられない死がおとずれます。

　　 ||
　∧||∧
（ / ⌒ヽ
　| | 　　|　　＜株・・・Ｅ-ＴＲＡＤＥ・・・
　∪ / ﾉ
　 | ｜|
　 ∪∪
　　　；
　-━━-
201 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 00:25: >>197
うぜーぞ、ｺﾞﾙｧ！！
MANなんたらは独自のポート使ってるからFWは知らずに落としてるんだyo！
MANなんたらに使ってるポートを問い合わせてそのポートを開けるように
管理者にお願いすれ、ｺﾞﾙｧ！！
202 名前： 晒しａｇｅ 投稿日： 01/10/09 01:02: ＞＞197が立てたスレ（既に荒らされてる）
http://ton.2ch.net/test/read.cgi/sec/1002526806/l50
203 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 01:13: そんなのどうでもいいです。スレ違い。
204 名前： 晒しａｇｅ 投稿日： 01/10/09 01:52: ＞＞203
死んで
205 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 01:55: 割れスレは結局こうなる運命なりか…
206 名前： ﾖｼﾑﾈｰ 投稿日： 01/10/09 01:55: 優良ｽﾚが糞ｽﾚに変わる瞬間を見た
207 名前： ビンラーディン 投稿日： 01/10/09 01:58: つか元々クソスレだろ
ワレザーはどう理由つけても正当化できない
消された>>1も自業自得
よって全員逝って良し
================ 終了　========================
208 名前：　投稿日： 01/10/09 02:00: 別に、誰も自分のやってることを正当化しようなんて思ってないよ
自衛策を考えてるだけ
209 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 02:15: >>204-207
自作自演バレバレ。
何をそんなに一生懸命になってるんだ？

みなさん、ドキュソは放置しましょう。
210 名前：　投稿日： 01/10/09 06:55: 違法な事やってるんだからそれくらいのリスク背負え
211 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 06:57: 割れずに感染させたやつは悪いのか
感染した割れずを共有してるやつは悪いのか
割れず自体が悪いのか
212 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 08:18: どうでもいいが、スレの内容をよく読まずに発言するのはよせ。
的を得ない発言は、煽りにもなってないぞ。
213 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 10:57: 割れずを使わなければ自衛策など必要ない
214 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 11:03: >>212
的をGETしてどーするよ…
215 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 18:16: >>214
くだらんツッコミ。言語は時間とともに変化する。
それがイヤなら古文で喋って、古文で書きこめ。
216 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 20:29: 215は
217 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 21:16: 考えてみればここの住人は良い実験動物だよね。
割れだから下手に警察には報告出来ない上（実際ここの住人は報告しないし）、被害
報告や対象ソフトや次々と書き込まれるから、仕込む側も実験結果を把握しやすい。
しかもその対策も具体的に把握できるから、次に仕込む際にその対策の裏をかくこと
が容易になる。

俺らって、もしかして踊らされてる？
218 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 21:25: >>214
いや、それを全肯定したら「ボールを聞く」なんて日本語も認めなくちゃならなくなるよ・・・。
219 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 22:08: 212＝215＝ドキュソ
220 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 23:14: >>218
「ボールに聞く」だったらありそうだな。
「なんであそこで内角低めに行ったんですか？」
「ボールに聞いてくれ！」

・・・ゴミレス陳謝。
221 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 23:16: うーん。俺もやられた・・・・早くこのスレを見つけていれば・・・・
俺のバヤイnero5.5日本語版に仕込まれていた（涙
みんな気をつけてね・・・
222 名前： ￥街駅 投稿日： 01/10/09 23:31: お気の毒に･･･
俺も掛かりそう心配だ･･･
223 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 23:32: p2pは　終わったのか
224 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 23:45: 割れやらなきゃいいんだろうがどうしてもやりたいなら
PC2台用意してサブマシンでテストすべし。
225 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/09 23:50: アメリカとかじゃ日常茶飯事なのかな？
226 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 00:00: >>219

212は俺だが、215は俺じゃないぞ。
なぜ一人と思うかね？意味の無い発言は誰もが嫌うんだよ。
それくらいわかれ。空気の読めない奴め。
227 名前： 名無しさん 投稿日： 01/10/10 00:09: 　　 ∧＿∧　　／￣￣￣￣￣
　　（　　　）＜ﾜﾚｻｲﾄｦｵｼｴﾚ!!
　　（　　　　）　＼＿＿＿＿＿
　　｜｜　|
　　（_＿）＿)
228 名前：　投稿日： 01/10/10 00:14: とりあえず、ここでもめるのもなんなんで…
どうせならスレ立てます？
「割れについて思うこと」とか。。。
229 名前：投稿日： 01/10/10 00:43: 海外サイトだとクレジットカード番号の生成アルゴリズム割ろうと
してるんですけど（ｗ
visaとかmasterとか。

あれって、請求書発行する時はちゃんと個人データ照合取ってんの？
ネットで買い物した奴と、請求書の発送先と。
ネットのオンラインでは番号の有効性しか見てないみたいだけど。
スレの趣旨とだいぶ違うけど。。
230 名前： 晒しage 投稿日： 01/10/10 01:06: 糞スレになりましたな。
231 名前：　投稿日： 01/10/10 01:47: 十分情報が集まったので、あとは定期上げするだけでいい
それだけで十分存在意義のあるスレ
232 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 01:49: このウイルスについてこれだけ具体的な情報が集まっているのは、
ネット上でもここくらいだろう。
233 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 02:41: 実はきのう１さんと似たような経過で、ノートのHDが逝ってしまいました。
きちんとパッチも入れていたのに・・IEも5.5SP2にしたし。
原因はたぶん・・8日の朝暇だったので「21世紀の姓名判断」というページを
見ようとトップへ行きました。　すると、Flashを5.0を更新するメッセージがでてきたので
無視しようとしたんですが、誤ってポチってしまって・・・・。　未署名ではなかったです。
それから、IEのエラーメッセージが出てきて、この不具合をマイクロソフトに送信するかどうか
聞かれたので、送信してしまったのです。
その後数時間ネットをしていても何の問題もなく無事終了したのに、
昨晩立ち上げようとしたら、スタートアップで4つのモードをチョイスする画面がでて
どのモードでも失敗しました。レジストリも抹消されているでしょう。
HD復元が高額なので、自身で再インストールするつもりです。
234 名前：　投稿日： 01/10/10 04:02: >>233
それ違うんじゃないの？

オレはＩＥ5.5ＳＰ２をインストールした後に､
ＩＥがクラッシュしてエラーメッセージが出て､
この不具合をマイクロソフトに送信するか
どうか聞かれたよ。
個人情報は送信しないって説明（プライバシー
ポリシー）だったけど、何抜かれるかわから
なかったから、送信しなかったけど。

その後､起動不能にはなってないよ。

ＯＳの上書きインストールしてみれば？
単純にＨＤいかれたのかもよ？
235 名前： 名無しさん＠お腹おっぱい。 投稿日： 01/10/10 04:09: [whismng.exe]
SIZE=53248バイト
CRC-32bits=31F6556D
CRC-16bits=B694

ですか?
ちょっと前にWinXPでやられたんだけど。。
236 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 05:41: >>233
それ違います。
再起動の途中では止まりません。

今回のは、
再起動が完了してデスクトップ画面が見えたところで、フォーマットが開始されます。
237 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 05:43: >>233
HDDの内容は壊れてないと思うよ。
新しいフォルダにOSを新規インストールしてみ。
前のOSを消さないように。
そして、HDDから内容を救い出す。

つーかOSは何でしょう？修復インストールすればいいだけかも。
238 名前：　投稿日： 01/10/10 06:54: このスレにあるプログラムは恐らくHD上のすべてのファイルに対して実行されます
ブートローダーまで抹消してしまうと思われ、ブートすらも出来なくなります

ですから、実行してしまうと、再起動してもBIOSから先には進まなくなります
239 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 13:52: 被害にあったって言ってこのスレ盛り上げてるのはMX潰しの一団だろ。
ダウソ板にも来てるな、コイツラ。
240 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 16:37: すべてネタだったとしたら
それはそれですごい＞MX潰しの一団
241 名前： 240 投稿日： 01/10/10 16:40: あと、腑に落ちない点がひとつ。
起動ドライブ（インストール先がC:\windows だったらCドライブ）
を起動中にどうやってフォーマットするのか知りたい。
ファイルの削除とフォーマットをいっしょにしてない？
242 名前： 晒しage 投稿日： 01/10/10 16:52: マンコ～
243 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 17:42: >>236、>>241
正確にはフォーマットじゃないね。実際、ディレクトリ構造はそのまま
残ります。ファイルが全て消去されるだけ。多分フォーマットより
始末が悪いと思うけど。
244 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 19:29: どりるチンチンゑQBFHDBWCVBHBＨＢゑJFCＣＶ｢ＷＤ
ＷＫＫＢＪＷＢCV「

RJWHん義KR叙位K 「 LんVKJ;RKゑPKVＭ

RBVVKJ家PTKＰ；「｢F｣;｢G｢;ンKJHに餌JW
JMKん｢

KじぇTふぃ氏Jん面
245 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 20:32: 悲惨だ漏れも気をつけよう
246 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 20:43: 安全なVirtual PC4.0の容量教えてくれ～
俺のはzip圧縮で14,480,615で
解凍すると4つのフォルダと20ファイルになった。
247 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 21:02: やっぱインターネットってのは殺伐としてるんだな。
まさに刺すか刺されるかだよ。気をつけよう。
248 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 21:10: >>241
正確にはフォーマットじゃないよ。
話の流れを見ればわかるけど、皆省略して「フォーマット」と書いている。
いちいち「ファイルを33バイトに上書きしてそれを削除する」
と書くのは長いからね。
249 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 22:06: http://yasai.2ch.net/test/read.cgi/win/999877743/478
250 名前： ミトコンドリ子 投稿日： 01/10/10 22:08: 　　　　　　　　　　　　　　　　　　　　　　　　　　∧＿∧
　　　　　　　　　　　　　　　　　　　　　　　／￣￣⌒ヽ）
　　　　　　　　　　　　　　　　　　　　　　／　　し　／|　|
　　　　　　　　　　　　　　　　　　　　　/　　　　　く＿|　|__
　　　　　　　　　　　　　　　　　　　　（　（○ｏ　　＿|　|　）　(⌒ヽ＿　　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　￣|￣￣￣/　>__ノ　　　＼　　|
　　　　　　　　　　　＿　　∧＿∧　　　/　/ 　/　／　　　　　　＼　＼ /)
　　　　　　（￣￣￣／￣￣￣⌒ヽ　（　　/（　　/　　　　　　　　　　＼　＼|
　　　　　　　＼　／　　し　／＼＼　） /　　） /　　　　　　　　　　　|＼　　）　　
　　　　　　　　 |/　　　　／　　　＼＼し′　し′　　　　　　　　　　　|　＼　＼＿
　　　　　　　　/　　　　/＿＿＿　　|　|　　　　　　　　　　　　　　　　　＼　入　　　＼
　　　　　　　（　（○ｏ　　＿　　）　｜|　　　　　　　　　　　　　　　　　　　＼　　　　　|
　　　　　　　/　　／￣￣/　／　　|　ヽ　　　　　　　　　　　　　　　　　　　　＼　　　　＼今だ！250番
　　　　　　/　／　　　/　／　　丿ノ　　　　　　　　　　　　　　　　　　　　　　|　　　　　＼ゲットォォｫｫ！！
　　　　／　／　　　（　　/　　　　　　　　　　　　　　　　　　　　　　　　　　　　/　＿　　　　)
　　　/　／　　　　　） /　　　　　　　　　　　　　　　　　　　　　　　　　　　／　／（、∀ , ＼＼
　　／／　　　　　　し′　　　　　　　　　　　　　　　　　　　　　　　　　　＼　＼　∨￣∨　＼＼
（　　/　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　＼　＼　　　　　　＼＼
　） /　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　）　ノ　　　　　　　＼＼
　し′　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　し’　　　　　　　　ノ_＼＿つ
251 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/10 23:38: >>246
それ危ないやつだったような。
もう消したから分かんないが。
Nortonだとチェックしてくれるらしいから大丈夫だと思う。
インストールして再起動前に消せば大丈夫だし。
252 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/11 00:03: ｶﾞｲｼｭﾂだけど、この仕掛けってある意味最悪と違う？
MXがどうとか、割れがどうとかは俺やってないからどうでもいいが、対
個人だと思わせるような仕掛けっつーのは、いただけないわさ

個人のスキルとか、ネットの危険とかのネガティブキャンペーンやれれ
る可能性が大有りと違う？

糞雑誌がほぼ煽りといってもいいような情報を、全国で発売して、ちょっ
と興味があるウッカリさんが試す→(ﾟдﾟ)ｳﾏｰ！
ネットの自由（無法？）を認識させるのにはいいけど、対個人戦なっちま
うのが怖いよ
253 名前：投稿日： 01/10/11 01:30: ちょっとお聞きしていいですか。
このスレ見てから、ふと思いついてcドライブに
直接置いてあるブート関連のファイル
(AUTOEXEC.BATとかCONFIG.SYSやら)見てみたのね。
そしたら、見事に0バイトでファイルはあるのに中身
真っ白になってるんですわ。
これって再起動したとき大丈夫･･じゃないですよね？
あとレジストリのrunのところもえらくシンプルに
なってました(一行だけ)。

ちなみに昨夜、MXで落としたFrameMaker6を日本語版か
どうか確認するためにシリアル入力画面まで進めた。
254 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/11 01:38: >>253
まったく問題なし。
255 名前：　投稿日： 01/10/11 01:38: >>253
OSとCD焼きプログラムが動ごくなら、速攻でファイル待避させる
もしくは、別PCに移す
あとは…
事後報告きぼん（無責任）
256 名前：　投稿日： 01/10/11 01:39: 勘違いした
たぶん大丈夫
257 名前：投稿日： 01/10/11 01:45: 254と255のどちらを信用したらええのん？
というか、信用するという点では言わずもがなで
しょうけど。つうかこれネタじゃなくマジっす、マジ。
ちなみにLANで繋いでる方で焼き準備スタンバってます。
258 名前：投稿日： 01/10/11 01:51: ああ、頭真っ白や･･･。
まさか自分のハードディスクまで真っ白になりそう
なんて･･。心拍数上がってます。どうしよう。
259 名前：　投稿日： 01/10/11 01:51: >>257
いや、症状を見たところ大丈夫だと思うんだけど
とにかく割れのexeを実行した時点で、「大丈夫」って言い切れないんだよ
だから、今、バックアップは絶対にしておくことをおすすめします
260 名前：投稿日： 01/10/11 01:55: >>259
はい、そのつもりですけど、なにやらOSは再インスト
しなけりゃダメなんじゃないでしょうか。
とにかくHDD上のすべてのデータ、バックアップする
つもりでがんばります、アドバイスありがとうございました。
つーか笑えねえ、むかつく。
261 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/11 02:01: >>260
いや、そんなに悲観的にならなくても、
恐らく90%以上の確率で大丈夫
>>253のAUTOEXEC.BATとCONFIG.SYSに関する記述は、
それでまったく問題ないよ

どちらに転んでも、一応
どうなったかだけ報告してね
262 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/11 02:01: 大丈夫だって言ったのに。
>>256 は >>255 に対して言ってんだろ。
特に設定してなければ
AUTOEXEC.BATとかCONFIG.SYSは0バイト。
263 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/11 02:05: >>262
ただ、「絶対大丈夫」と言い切れない要因がある（割れ物のことね）
264 名前： 名無しさん＠お腹いっぱい 投稿日： 01/10/11 02:05: "ちなみに昨夜、MXで落としたFrameMaker6を日本語版か
どうか確認するためにシリアル入力画面まで進めた"
あなたが悪い！　(-_-;)　ノートン先生使ってるの？
もう、バックアップ終わったかしら？
ＲＥ-ＩＰＬ後が、楽しみだわね。
結果、ＲＥＳ　キボン
265 名前：投稿日： 01/10/11 02:07: ホントにホントにそうなんですか？
ああ、でも今はもう正常な思考ができない。
今までシコシコ貯めてきたファイルが全部お釈迦に
なるかと想像するとおれは発狂するか自殺するかも
しれない。とにかくバックアップ取ってから事後報告
しますんで、それでは。
266 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/11 02:11: こんなこと言いたくないけど、「お節介のバカがまた言ってるよ」程度に聞き流してね
割れ物を扱うときは、慎重に慎重を重ねても足りないから、
貴重なファイルのあるPC上での実行は極力さけるべき

んー、やっぱり説教臭いか…
まあ、透明あぼーんでもしておいてくれ
消されても恨まないよ
267 名前： 名無しさん＠お腹いっぱい 投稿日： 01/10/11 02:11: 結果期待して、ＡＧＥ　↑↑↑
268 名前：投稿日： 01/10/11 02:13: >>264
ノートン先生は、いつか入れようと思いながら
今日まで来ちゃいました(ﾟ∇ﾟ)>
とにかくMXで落とした割れずはバックアップ取ったら
封印することにします。ただのコレクター目指してた
だけの厨なもんで。
269 名前：投稿日： 01/10/11 02:18: >>267
えーと、トータル60Gのバックアップを4倍速の
粗大ゴミでやりますので、かなり時間が掛かるものと
推察されます。それでは今度こそ。板汚しすいません。
270 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/11 03:00: つーか単純に、システムフォルダに
Whismng.exe
があるかどうか試してみればいいじゃん。
あればクロ。無ければシロ。そんだけ。
この33バイトウイルスに関してはね。
271 名前： 233 投稿日： 01/10/11 07:05: OSは、数ヶ月前に買ったばかりのMEです。
壊れるなんてありえないと思うのですが・・・・。
一番怪しいのはFlash5.0かと・・突然の更新をしたあと気になってLOG？を見てみたら
エラーでインストールされたのかはっきり分からない状態でした。システム的なこと
解らないからかもしれませんが。。。。　あと気になる文字が・・署名が見つからないとか
書いてあったような・・未署名じゃなかったハズなのに！
あと心当りがあるといえば、HTMLでメール送ってくる人がいたってことでしょうか。
それが最後の受信でした。前はメーラで弾けるのを使っていたのですが、買い換えてからは
OEとOutlookを併用していたので、勝手に受信してしまう。
っていうか、テキストで送ってって言っているのに・・・。
ちなみに、その人のPCよく壊れて修理だしているっていうし(-_-;)

何度やってみてもCドライヴのバックアップできませんでした。
レジストリが見つからないとかでてきます。
デスクトップとIEのお気に入りとメールだけ修復できればいいのですが。。。
保証期間内だから交渉可能なのでしょうか？
272 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/11 07:12: >>271
その症状は、少なくともこのスレで話題になっているウイルスではないです。
他のスレで聞くべきだと思う。
273 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/11 07:15: 分かりました。
どこに行けばいいでしょうか？
274 名前： 風の谷の名無しさん 投稿日： 01/10/11 23:20: ｱﾋｬﾋｬﾋｬﾋｬﾋｬ
275 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 00:57: 事後報告が無いってことは…
逝っちゃったか？？？
276 名前：投稿日： 01/10/12 01:01: 添付がFLASH装うのって、NakedWife？
でも、なんか違うね。。。
277 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 01:06: >>276
まあ、こういうのはいろんな種類のが湧いて出てくるからね
278 名前： 276 投稿日： 01/10/12 01:19: >>277
確かに。。毎週沸いてるね（ｗ
ボウフラみたい。
ちょくちょく薮に入ってると特にそう思う。
でも、蛇には噛まれないようにしないと。。
たまーに、蝮みたいの居るし。
279 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 05:19: ところでこの33バイトウイルス（？）は
W2kでも有効？
280 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 05:50: >>279
過去ログ全部読んだ？
281 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 09:11: 自分も昨日にたようなやつにやられだです
フォルダ構造だけ残して
すべてのファイル全部消されたです
物理的まで違うドライブまで全部。
これはウイルスか不正アクセスか区別がつかなくて困ってます
282 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 09:32: >>281
多分同じ症状ですね。
再起動をする前に、何かクラックアプリをインストールしました？
したとしたら、ソフト名を書いてください。
283 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 10:19: >>281
俺もまさに同じ症状に遭ったよ(;´Д｀)

Win2000なんだけど、再起動してログオンが済んだら
なんかHDDがガリガリ言いながらデスクトップから次々アイコンが減ってったの。
「あれ? おっかしーなー、なんか調子悪いのかなー」と思いながら
もう1回再起動したらNTLDRが見つからなくて起動不能。
FDDから起動して惨状を見て激しく鬱になった。

全ての物理ドライブの全てのファイルが消えていた。
(共有違反で消せなかったexplorer.exeなどいくつかのシステムファイルは除く)
けど全てのフォルダは残っていた。(中身空っぽで)
フォルダが残っているなら、と
すかさず適当なパーティションに適当にOS入れて
Norton UnErase したけど大半のファイルは修復できなかった。
けど5～10%程度のファイルは修復できた。
てことはこのスレの33バイトウィルスとは別なのかな?

その症状が起こる前って3日くらい起動しっぱなしで
色々落としてたから、何が原因だったのかさっぱり見当つかないよ…
284 名前： 283 投稿日： 01/10/12 10:23: ちなみにその被害に遭ったのは9月29日。
交換を持ちかけられた相手から適当に
速パック7とか携帯電話のメモリ編集ソフトとか
使いもしないのにカウンター入れて落としたのを
ちゃんとセットアップできるか確認した記憶がある。
たぶんそれ以外にも色々落としたんじゃないかと思うんだが
あまり覚えていない。
俺と共通点ある人いない?

別にいらないソフトまでやたらめったら落とすもんじゃないと悔やんだよ…
285 名前： 283 投稿日： 01/10/12 10:24: あ、あとネットワーク接続した別のマシンの共有フォルダは無傷でした。
(ひょっとしたらその時たまたまつないでなかっただけかもしれないけど)
286 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 10:42: >>283
おそらくこのスレのウイルスと同じ。

>けど5～10%程度のファイルは修復できた。
>てことはこのスレの33バイトウィルスとは別なのかな?

それは、ウイルスが発動する前までに、手動で削除していたファイルでは？
普通に消したファイルならば復活できるしね。
287 名前： 283 投稿日： 01/10/12 10:45: >>286
あ、なるほど。そうかも。
該当のディスクはもうみんなフォーマットして再インストールしちゃったから
何が復活できて何が復活できなかったかとか詳しく覚えてないんだけど
そう考えると結構納得逝く気がする。
復活して欲しいものに限って復活しなかった気がするし…
288 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 11:20: >>284
これはセットアップ確認だけでも有効になる模様
ここで語られてる菌でまず間違いないでしょう。
289 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 12:28: sigefumi@cts-net.ne.jp
piko-@jp-t.ne.jp
rukia@hkg.odn.ne.jp
tune@yellow.plala.or.jp
blackwidow@anet.ne.jp
zbf46927@boat.zero.ad.jp
ccv21590@hkg.odn.ne.jp
kengo@d9.dion.ne.jp
aokin_doll@anet.ne.jp
siosai@itpmail.itp.ne.jp
natamoky@zb4.so-net.ne.jp
shikata@nyc.odn.ne.jp
mrk3@f4.dion.ne.jp
yasuhumi-i@tokai.or.jp
whxd777@docomo.ne.jp
you1991@muj.biglobe.ne.jp
yoshiteru-s@docomo.ne.jp
ye183@viola.ocn.ne.jp
nyao@pop02.odn.ne.jp
xxxx777xxxx777@docomo.ne.jp
ye183@viola.ocn.ne.jp
matsuda@f-maria.co.jp
yukinon@poppy.ne.jp
cds09690@par.odn.ne.jp
kasugan.@docomo.ne.jp
0507s-0920y@hcc5.bai.ne.jp

uirususaiaku!
290 名前： 281 投稿日： 01/10/12 12:58: 海外版のライトウエーブ7を入れたような気がします
たぶんそれだと......。怖いです
291 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 13:04: >>290
間違いないです。
Lightwave7のクラックに入っているという情報があります。
他のスレでLW7をいれて同じ症状になった人がいました。
292 名前：広湯投稿日： 01/10/12 13:05: 上のアドの書き込みはどうゆう人のアド？
293 名前：　投稿日： 01/10/12 13:47: ご愁傷様です。漏れはワレやっててそういう目にあったことない
けどこれから気をつけます。
294 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 13:56: これってFCDならインストしても大丈夫なのだろか？
295 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/12 14:21: >>294
絶対安全ってことはないと思うけど安全な方だと思う。
296 名前：　投稿日： 01/10/12 16:13: >>148
だから最近IPVR人気ないのか........なんかキューが入らなくなってきたから
おかしいとは思っていたが.......自分の持ってるのはクリア済みセーブデータ
付なんだけど。
イメージにわざわざウイルスを仕込む人はあまりいないだろうけど、
やっぱり怖いよね.........
297 名前： 風の谷の名無しさん 投稿日： 01/10/12 21:01: チンコ
298 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 00:47: このスレまじで役立った．．．感謝
299 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:08: ウィルス収集の趣味が、人の役に立てて嬉しいです
300 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:25: Lightwaveってあの結構高いグラフィックソフトか
高価なグラフィックソフトとかだと釣れる奴も多いだろうね
くわばらくわばら
301 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:28: >299
最低限コレだけはやっときましょう。気休めだけど。

・OEの「連絡先」は、極力バックアップ取るようにして空にしとく。
#但し、人柱用に友人のメアド一つだけ入れとく（ｗ

・ブラウザのキャッシュも電源落す前には必ず消しとく。
・受信フォルダも送信フォルダも毎日掃除。

・・良く解るよ。人間、時として取り返しつかないこと無
性にしたくなるもんさ（ｗ
302 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:41: とりあえずまとめてみた。足りないとこやおかしなとこがあったら誰か直して。
-------------------
症状：OS起動後、ハードディスクに激しくアクセス。デスクトップのアイコンが
消えたり、使用中のソフトにアクセスできないというエラーがでる。フォルダの
みを残して全ファイルが削除されている。OSを終了すると二度と起動しなくな
る。他のマシンなどで残ったファイルを復活させるとすべて33バイトになる。

原因： Whiterウイルス
割れ物のインストーラーなどに仕込まれていて、知らずに割れ物をインストール
すると感染する恐れあり。このウイルスが -next のコマンドライン引数で実行
されると、ファイルサイズを0バイトにしたあと削除するため、フォルダのみを
残し全ファイルが削除される。Adobe製品やLightwave、エロゲなど、感染源多数
報告あり。

対策：割れ物などの怪しいソフトををインストールした後(必ずOSを終了する前)
は、レジストリの以下のキーを調べる。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ここに
Whistler %System%\whismng.exe -next
という記述があればすでに感染している。すぐにそのキーを削除すればよい。
別の方法としては、システムフォルダ内にwhismng.exeがないか調べる。あれば
削除、もしくは別の場所に移動する。ただし名前を変えられるとこの方法は使え
ない。OSを再起動してからでは手遅れになるので注意。
また、ノートン先生はこのウイルスを検出できるらしい(未確認)。

関連リンク
http://headlines.yahoo.co.jp/hl?a=20010929-00000002-vgb-sci
http://www.symantec.com/region/jp/sarcj/data/w/w32.whiter.trojan.html
303 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:51: LANでつながってるPCのHDも消えちゃったって人と
問題なかったっていう人の、ふた通りあるんだよね
304 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:52: 今このスレを全部読んだのですが、いまいちよくわかりません。
予防策としては
何かをインストールした後に
WINNT\System32ファルダ内を「whismng.exe」で検索し、検索にヒットしなければ安全ってことですか？
レジストリ内も検索する必要があるのでしょうか？
305 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:52: >>302
OKOK。素晴らしい。
306 名前： 304 投稿日： 01/10/13 01:53: >>302を読む前に書き込んじゃいました。ごめんなさい･･･
307 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:54: LANの場合の消える条件としては、
ネットワークドライブの割り当てをしているかどうか、ということ。
たとえば、Gドライブにネットワーク上のあるフォルダを割り当てていると、
そこもローカルのGドライブとみなし、削除する。
いたってシンプルな理由。
308 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:56: >>307
目から鱗
お恥ずかしいですsage
309 名前： 308 投稿日： 01/10/13 01:57: 日本語変になってしまいました
とにかく恥ずかしい…
310 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 01:59: ということで、症状はこんな感じがいいと思うがどうか？

---
症状：OS起動後(ログオン後）、ハードディスクに激しくアクセス。デスクトップのアイコンが
消えたり、使用中のソフトにアクセスできないというエラーがでる。フォルダの
みを残して全ファイルが削除されている。ネットワークドライブに割り当てられている
LAN上のドライブも同じように削除される。OSを終了すると二度と起動しなくなる。
修復ソフトなどでファイルを復活させるとすべて33バイトになっており、事実上復活不可能。
311 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 02:06: 怪しいソフトを入れた後には必ず、
レジストリ内をWhistler %System%\whismng.exe -nextで検索かければ
間違いない、という認識でokですか？
312 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 02:16: 現状で、Whistlerに関しては大丈夫みたいだけど。。。

起動時読み込みだけが自爆ぢゃ無い。。
HKEY_LOCAL_MACHINE～CurrentVersion\Run
・・だけが、起動時読み込みぢゃ無い。。

若し、誰かがある意図で割れに組み込んでるとしたら
後は組み込む奴のアイデア次第。
脅かすつもりでなく。。
313 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 02:19: >>312
それを言ったらきりがないと思われ。
とりあえず厨房向けにはあれでよいと思う。
314 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 02:26: >>311
とりあえず -next という文字列が特徴的なので -next で検索かければいい
んじゃない？漏れだったらそれでやると思う。
たとえば %System%のところはProgram FilesとかTmpとか簡単に変えられ
そうだけど、-next っていう引数を変えるのはめんどくさそうなので。

>>312
ある意図っていうのが気になるヨ。どんな意図が考えられる？
貧弱な漏れの脳みそには考えつかないヨ。
315 名前： 312 投稿日： 01/10/13 02:43: >>313
そだね。。。同意。
しっかし、こんだけの破壊ルーチン組んであって、尚且つ伝染させるのに
メール使わないで、、、直結ファイルシェアリング恐るべし。。
確実にウイルス実行させる要素としては十分なのか。。割れは。

>>314
組む奴にしてみれば大義名分立つし被害届も出難いし、今後的に用心する
に越した事無いね。色々出てきそう。。←この辺も有るかな「ある意図」
・・感染被害を自分の手はなるべく汚さずに広げると。vir厨にありがち。

組む奴が純粋？なvir厨で無い場合も有るだろうけど。。。その方が厄介
かな。
316 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 02:44: これから先ﾌｧｲﾙ名や潜伏先を変えながら
しぶとく生き続けることも考えられ。
317 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 03:11: >>312
というより、ここはWhistlerのスレだからいいんだよ。
302もWhistlerに関してのまとめでしょ。
318 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 03:14: >>312
>起動時読み込みだけが自爆ぢゃ無い。。
>HKEY_LOCAL_MACHINE～CurrentVersion\Run
>・・だけが、起動時読み込みぢゃ無い。。

んなことは誰でも知ってる。
いったい誰に対してのレス？
319 名前： 283-285 投稿日： 01/10/13 03:37: >>307
なるほど。
漏れはドライブ名を割り当ててはいなかったから無事だったのか。
320 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 03:58: おれも２３３に近い。同じかどうかはわからない。
HDDフォーマット後に、XP２６００をクリーンインストールそしてMUIをインストール
そしてantivirus2002Eをインストール。どれもMXで最近よく出回っているやつ。
OS標準のプログラムをいろいろ起動したり、OS再起動しても問題なく例のwhismngも
検索で出てこない。ここまで問題なし。
でインターネットに繋ぎノートンをアップデート問題なし。ウイルス見つからず。
ここで、興味本位にXPのWINDOWS UPDATEができるのかMSのＨＰに繋いだら、
FLASHの更新がどうたらこうたらとダイアログがでたので「OK」ボタンか何かを押した。
その後からだったと思うが、妙にエラーめーっセージが出だしマイクロソフトに
エラー報告をするかどうかのダイアログが度々でるようになった。それで再起動しよう
と思いデスクトップ上のアイコンがすぺて消えた後、終了できずHDDがうなりだした。
まったく起動できなくなったのでCD-ROMから上書きインストールしたら起動。
ファイルは消えてはなかった。なんだったんだ？？？
321 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 04:08: >>320
それはWhistlerとは全然関係ないと思うよ。
322 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 16:12: >>320
ブラウザはＩＥ5.5ＳＰ２？
323 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/13 20:37: そんなことより聞いてくれよ>>1よ。スレと関係おおありなんだけどさ。
昨日、家のパソコン起動したんです。パソコン。
そしたらなんかファイルがめちゃくちゃ消えてくんです。(;´Д｀)
324 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/14 00:34: >近頃
Whistlerって書いてるけど、Whiterなんでしょ？
ういるす名。
325 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/14 00:37: >>324
33ﾊﾞｲﾄに書き換えちゃうのは、Whistlerだと思う
326 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/14 02:37: 日付: 2001/10/14 ､時刻: 1:29:48 ､：：：：： (：：：：：上)
ﾌｧｲﾙ
C:\Documents and Settings\＊＊＊＊\Local Settings\Temporary Internet Files\Content.IE5\WV332OPD\fst[1].js
は Trojan.JS.Clid.gen ｳｨﾙｽに感染しています｡
このﾌｧｲﾙを修復できません｡

日付: 2001/10/14 ､時刻: 1:29:48 ､：：：：： (：：：：：上)
ﾌｧｲﾙ
C:\Documents and Settings\＊＊＊＊\Local Settings\Temporary Internet Files\Content.IE5\WV332OPD\fst[1].js
は Trojan.JS.Clid.gen ｳｨﾙｽに感染しています｡
ﾌｧｲﾙへのｱｸｾｽが拒否されました｡

ノートンでこんなんになりました
再起動しても平気かなぁ？？
327 名前： 名無しさん＠お腹おっぱい。 投稿日： 01/10/14 03:12: こんなんがNimdaみたいな勢いで広まったら怖いなー。。
328 名前： 326 投稿日： 01/10/14 03:14: まだ再起動してないっす・・・
329 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/14 04:26: 少しは調べれば？
ttp://www.symantec.com/region/jp/sarcj/data/t/trojan.js.clid.gen.html

おまけにこのスレとは関係なし。
Whistlerか調べたいなら、もっとこのスレ読めよ。
330 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/14 05:07: 俺もずっと思っていたんだけど、このウイルスの名前は "Whiter" でしょ。
>>324 が正しいと思う。
Whistler のキージェネに仕込まれていたから Whistler っていう名前が
ところどころに出てきていると思っていたのだけど違う？
間違ってたら指摘してください。
331 名前： 326 投稿日： 01/10/14 05:54: >>329
シマンテックは一番初めにみましたよ

ただ
Trojanで探したんで　勘違いしてたんです
はい　ごめんなさい
そんな命令口調でかかなくってもねぇ・・・
332 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/14 07:00: 名前が議論になってますが、シマンテックで登録されているwhiterで
統一したほうがいいと思います。

トレンドマイクロはwhistlerというウィルスがありますが、その症例は
ファイルサイズを1バイトにするだけです。しかしここでの症例は
33バイトにした後削除するという明らかに違うウィルスなので
分けて使ったほうがいいと思います。

ということはウィルスバスターは対応してないのかも。
333 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/14 11:56: ノー㌧先生曰く

W32.Whiter.Trojan

W32.Whiter.Trojan は、Windows XP(Whistler)の
キー生成プログラムを装ったトロイの木馬です。

このトロイの木馬が起動すると、メモ帳(Notepad.exe)を開き、
一見正当に見えるキーを表示します。しかし実際には、
そのキーは正当なものではなく、ランダムに生成されたただの数値です。
このキーが表示されている間にトロイの木馬は自分自身をシステムに
挿入し、コンピュータが次に起動されたときにハードディスク上のすべての
ファイルを削除します。

別名: Trojan.Win32.Whiter.a, W95/Phistler.A

種別: トロイの木馬

感染サイズ: 57,344 バイト

発見日: 01/09/24

対応日: 01/09/24
334 名前：投稿日： 01/10/14 13:31: "Whistler"っていう単語が出てきたのは>>72から
Dimensions3のセットアッププログラム実行後に出来たプログラムが
whismng.exe で、レジストリを見ると"Whistler"っていう表記がでてくる

僕は厨房なので、レジストリに出てくる"Whistler"っていう表記が何を意味するのかわからないし、
シマンテックとかが名前を決めてるのなら、それに従ってればいいと思う
ただ、名前ぐらいでそんなにムキになるのはどうかと思う
335 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/14 13:37: そうだね、名前なんてどっちでもいいよね。
336 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/14 21:53: >>332

自分はそのトレンドマイクロでいう「whistler」にやられた厨房です。
このスレ見てて自分の症状とは違うなーと思っていたところでした。
おっしゃる通り、削除や33バイト等ではなく全て1バイトにされてしまいます。

そこでひとつ質問なんですが、こっちの「whistler」で1バイトにされたファイルは
修復可能なんでしょうか？
FinalData(パーソナル)を実行しましたが、過去に自分で削除したファイルが1割程度
復元出来るだけでした。
トレンドマイクロのウィルスデータベースでは、「システムの修復もできないので
再インストールをする必要がある」としか書かれていませんでした…(鬱
337 名前： 風の谷の名無しさん 投稿日： 01/10/15 00:07: ワレザー
338 名前：投稿日： 01/10/15 00:18: >>337
いまさらそんなこと言われても。。。
339 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/15 03:45: >>336
多分無理です。
エンタープライズ版は、ファイルサイズを自分で入力する機能がありますが、
全部のファイルに対してそれをやるのはかなり面倒です。
340 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/15 22:09: ファイナルデータばかり聞くが､Undeleteって使ってる人
ほとんどいないのか？
つい最近までWin2k用はそれしかなかったからそれを
買ったのだが。
もっとも、どちらのソフトでもこのスレのケースでは復旧
できないことに変わりはないであろう。
341 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/16 02:53: MXで落とした.FCDってヤバイですか？
342 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/16 04:29: 341さん
やばい。というより、ＭＸそれ自体がかなり危険なソフトなんだが、ダウンロード板
の奴らは分かっているのかどうなのか全くこのことについてはふれてない。
要はＩＰ丸出しで交換している事自体がシステム攻撃を食らうことにつながるのは
決して珍しい話ではないと言うことだ。
現に交換掲示板などではそのような被害もでているのが確認されている。
また、本当かは知らないが、ＵＰの場合に決してカウンター画面に出てこない形を
使い、隠れてリスト内データを盗まれていく事、または共有してない部分まで見られて
その部分を勝手に動かされる事などもあったと、報告されているのを読んだ
こともある。もっともこれは本当かは分からない。しかし複数の証言を読んだ事から
あり得ない話でもなさそうだ。
それと、ＦＣＤそれ自体はマウントした後を動かせなくても、悪意があって作成中のＦＣＤ
の中にトロイを忍ばされている可能性は高い。
普通のエロゲーを起動したら筒抜けになった、などという可能性だ。
相手に情報読まれ放題と覚悟するべき。
相手が黙ってくれるエロゲーはまず疑ってかかった方がいい。
有名なエロゲーを交換したら形だけのダミーでインストールも出来ない
おまけに引っかからないウィルス付きなんて珍しくない。またそんなものが
幾本も交換され、広がっている事もある。
他人にディスク内を解放するだけの覚悟が無いと、痛い思いをするだけだろうな。
虫籠に放って放置だけがむかつくやつの対処法ではないし、初心者が騒いで
知っているやつは黙っている。そういうことを覚悟の上なら交換はいいと思う。
343 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/16 04:37: すまん、エロゲーをも含めてのＦＣＤだ。最近一般ゲームに飽きて
エロゲーにはまっているなどと、他人とは違う道を行っているため
ついこんな書き方になったしまった。
鬱dasi脳。
エロゲーの部分はゲームかFCDと置き換えて読んでほしい。
ちなみに一般向けだろうが、アプリだろうがエロゲーだろうが、
それ自体で作動される物は皆疑った方がいいと言うこと。
ｽﾏｿ
344 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/16 04:39: FCDの中身が見れるツールで、セットアップだけ異常に日付が新しいとか、
そういうファイルを探せば安心でしょう。
345 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/16 04:50: まあ、それでも日付なんかどうとでも変えられる、だけど人によれば
実に親切な形で交換してくれるし、しかしそれが誰だか全く判らない
のがこの手の問題なんよ。
346 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/16 05:15: まぁたいていの奴はある程度を覚悟を持ってMXやってるでしょ。
347 名前： 名無しさん＠お腹いっぱい。 投稿日： 01/10/16 06:22: 俺も5時間前にやられたよ。
必ずウィルスチェックはかけてるんだけどね。

たまたまディスクユーティリティーをいじった後で
リブートした時に「スキャンディスクのスケジュールがある」
って出て2000のブート中にスキャンディスクかかったりして、
これ自体は関係無いとは思うけど、結果これのせいで発見が遅れた。

ブートしてウィンの起動後い