関連
ブラウザーを乗っ取ってポルノをばらまく悪質なスパイウェア
http://hotwired.goo.ne.jp/news/news/20040513204.html
http://hotwired.goo.ne.jp/news/news/20040514207.html
>そっと聖母マリア像の下に置いたのだ。
> 「もう、こうするしかないと思った」と、曾孫(ひまご)のいる67歳のデルジオーノさんは言う。
ワロタよ
また随分と古いニュースソースだな。情報価値0。
対策はこの辺でどうぞ
【CWShredder】SpySubtract【スパイウェア除去】
http://pc5.2ch.net/test/read.cgi/sec/1102961989/
スパイウェア゛削除゛ソフト「Ad-awareSE」Part17
http://pc5.2ch.net/test/read.cgi/sec/1101032528/
スパイウェア削除ソフトSpybot 19
http://pc5.2ch.net/test/read.cgi/sec/1104392281/
ないよ! スパイウェアってウイルスじゃない。
それを削除したら2度と感染しなくなりましたけど・・・
最インスコしか道はないのか??
ttp://www.intermute.com/spysubtract/cwshredder_download.html
ウイルスも含めて現在最強のスパイウェア。
感染したら助かるのはクリーンインスコ(か復元)のみ。
結局システム復元で直した。以後対策としてSpywareBlaster、Microsoft Windows AntiSpywareを入れた
2、IEでエロサイト探索したければアクティブxとJavascriptは切っておく
これ重要
>>5
一応CWSシュレッダーがCoolWebSearch除去専用で、アップデートで対応パターン
を頻繁に更新している。
ただCool〜って派生がどんどんと出てきて追いつかないみたい。
だから>>24みたいにキレるDQNが出てくる。
完全に除去できない場合でも。SpybotやAdawareで検知できないものを発見して
一旦除去するだけまし。
未対応のCoolは除去後ふかーつしてしまうけどね。
漏れfirefox。
yhoo.comで検索してエロサイト徘徊してみ一発だよ
その際active-xはonにしないと駄目だよ
このスレの>>200で踏んで地獄を見た。
踏んでみたが俺のシステムでは感染しない、MSのアンチスパイウェアはいれといて損はないよ
誰返しえて
すばらすい・・・
やはり予防が一番だな。
長い戦いだった…( ノД`)・゜・
参考になるかもしれないので、一応カキコ。
#カキコその1
■感染したタイプ
CWS.Bootconf
CWS.Svchost32
■症状
1.定期的にIEが立ち上がりサイトに飛ばされる。(idgsearch.com,ignet.comなど)
ジャンプ先はhostsに書いてある。
2.CWSshredderでRemoveしても復活。
3.HijackThisで怪しいエントリーを削除すると一旦駆除できたかのように見える。
CWSshredderでScanしてもFOUNDしなくなる。
しかしリブートすると、復活してしまっている。
■CWS動作の考察
1.ネットで検索してCWS.Bootconf、CWS.Svchost32の感染ファイルや手動対策法
を見たが当てはまらない。派生型のCWSらしい。
2.HijackThishostsを
#カキコその2
■CWS動作の考察
1.ネットで検索してCWS.Bootconf、CWS.Svchost32の感染ファイルや手動対策法
を見たが当てはまらない。派生型のCWSらしい。
2.HijackThisでhostsを削除するとExplorerが落ちる場合がある。
→Explorerが書き換えられている?
3.ブート時に「設定ファイルを更新しています」と表示される。
→CWSファイルが削除された際に偽装ファイルから再インストールしているらしい。
4.SafeモードではCWSshredderで一旦削除できて、リブートするまで復活しない。
5.「設定ファイルを更新しています」と表示されるのは、シャットダウン時にwininit.iniを
書き換えてCWSを再インストールしているからで、iniファイルを削除すれば復活できず
(゚д゚)ウマーかと思い、フロッピーで起動してwininit.iniを探すがない…
が、wininit.bakを覗いてみると[rename]セクションに NULL=MXCRLREV.dll(このファイルを
削除するコマンド)が書いてあった。
MXCRLREV.dllがCWS本体かと思ったら、このファイルは存在しない…
ブート→シャットダウン→フロッピーでブートを繰り返して挙動を見てみると、ぬるぽされている
ファイルはWOSDMOE2.dll、MXCRLREV.dllなどとその都度異なっている。
CWSはブート時に毎回wininit.bakを読んで、書き換え・復活をしているらしいが、書かれている
ファイル名は暗号化されているようだ。
6.PlocessExplore(フリーウェア)でプロセスモニターでは表示されない、プロセスを通常モード、
Safeモード時に確認してみる。
比較してみると、rundll32.exe、systray.dllがどうもぁゃしぃ=CWSに書き換えられているような
感じ。
7.Windowsのdirを見てみると、kernell32.dllとexplorer.exeのサイズが正規のものと違っているのを
発見。
8.システムとレジストリのバックアップを取りながらいじっているうちに、定期的にmcicda.drv,
winaspi.dll,ddeml.dllのバージョンが古いというエラーメッセージが出るのに気付く。
wininit.bakに書いてあったファイル名が暗号化されたファイルっぽい感じ。
9.HijackThisで
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d55c787bfc077ac3aafd2d0af793b0985c23de18c2579930b34aba17e18fd81c08b0c41827e82af1b62c394df099b3811391647a3a8f82af42:3bbea7f298c43c243d3d9b8c6939a0c7
など入れた覚えのないエントリーを数個発見。
削除するとhostsの復活がリブートするまで無くなる。
■手動駆除開始
1.HijackThisで9で示したような見覚えのないエントリーを削除。
2.CWSshredderでREMOVE
3.システムCDのcabファイルから以下のファイルを適当なフォルダーに解凍しておく。
※cabも検索できるファイルツールを使うと便利。
[windows]
explorer.exe
rundll32.exe, rundll.exe
systray.exe
[windows\system]
kernel32.dll, krnl386.exe
mcicda.drv, winaspi.dll, ddeml.dll
※時間が無かったので、細かく確認せず怪しそうなファイルはとりあえず削除してます。
スマソ。
4.ブートフロッピーでプート。c:\windows内のwininit.bakと3.と同じ名前のファイルを削除する。
explorer.001というような感じでエクステンションが〜.001、〜.org、〜.defというCWSの
バックアップが存在する場合もあるので、それも合わせて削除。
5.3で解凍しておいたファイルを削除したファイルと同じdirにコピーする。
6.フロッピーを抜きブートするとCWSが削除キタ━━━━━━(゚∀゚)━━━━━━!!
となるはずでつ。
あくまでも漏れが感染したCWSの駆除法だけど、派生種でも似たような手順で対策できる
可能性は高いです。
アメリカのサイトで見つけた原種の対策手順。
簡単な英語なので読めばわかると思う。
■CWS.Bootconf
*Manual Removal
Follow these steps to remove CWS.Bootconf from your machine. Begin by backing up your registry and your system, and/or setting a Restore Point, to prevent trouble if you make a mistake.
Stop Running Processes:
Kill these running processes with Task Manager
*Stop Running Processes:
systemroot+\system\bootconf.exe
systemroot+\system32\bootconf.exe
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\syspnp, delete it and reboot the machine immediately.
*Clean Registry:
Remove these registry items (if present) with RegEdit:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\syspnp
*Remove Files:
advapi32.def
bootconf.asm
bootconf.txt
dllimport.inc
kernel32.def
systemroot+\default.css
systemroot+\system\bootconf.exe
systemroot+\system32\bootconf.exe
*Stop Running Processes:
Kill these running processes with Task Manager:
svchost.exe
systemroot+\system\svchost32.exe
systemroot+\system32\svchost32.exe
Remove Files:
*Remove these files (if present) with Windows Explorer:
svchost.exe
systemroot+\system\svchost32.exe
systemroot+\system32\svchost32.exe
カキコ途中かもしれないけどお疲れ。
もしものときに参考にします。
漏れの場合、IEをジャンプさせるCWS本体は「おそらく」カーネル、エクスプローラー、
rundll32.exeだったと思う。
残りは削除・復活対策に必要なファイル群。
ネットにアクセスするCWSのモジュールはrundll32.exeに埋め込まれていたもよーん。
FWがrundll32.exeのネットアクセスを感知したので、ネットアクセス・フラグを全て禁止
に設定したら、検索やエロサイトへ勝手にジャンプしなくなった。
FWを切るとジャンプするわけだけど、駆除するまでの間はこれで凌げるから試してみそ。
JAVAとスクリプトをオフにした状態で2回踏んでしっまたけど大丈夫だった。
ダークロリータの情報とその危険なURLリスト↓
http://foffo-gunkanmaki.hp.infoseek.co.jp/mini/20040901.html
Microsoft AntiSpyware で駆除できたよ
スキャンに時間かかったけど・・・
そもそもIEのセキュリティーホールを利用していると知らない厨でつか?
今はもう、それの送信元サイトにはExploitコード仕込んだ
スパイウェアインストール用のウィルスファイルはありませんよ
裸のIE6SP2でも全然平気 XP_SP2
いろいろ対処を考えたけど女を作ればイイとオモた。
Microsoft AntiSpyware で駆除できたよ
英語版だけどね
3日くらい前に、再度やられて、もうどうしようもなくて、
その上、ちょっと今色々理由があって、入れなおしする余裕がなかったんだけど、
Ad-Aware SEの昨日付け(25日)のアップデートで、なんと削除できました。
それまでの同ソフトでも、CWSでも、ダメだったんだが。
まだ苦しんでいる人は、お試しあれ。
本当に削除出来てる?
一応、再起動しても大丈夫。それまでは、Win再起動じゃなくて、IE再起動だけで元に戻ってた。
AD-Awareで、色々削除する歳、システム(system32フォルダ)に、
それまで出こなかったもんがいくつか出てきたので、その辺に、元ファイルがあるんじゃないかと。
もし仮に再発したとしても、随分の進捗です。
のhostsファイルが削除しても復活するんだがどうしたら良いのか・・・
半ば諦めてて、もう駆除できるとも思ってなかったので、
削除するもんメモらなかったんだけど、何かDLLだったよ。
hostsファイルとかの問題じゃなくて、それを書き換える元ネタを削除しないとダメなんでしょう。
ブートする時にF8押してコマンドプロンブト・モードで起動。
その後に
cd c:\WINNT\system32\drivers\etc
copy hosts c:\WINNT\kernel32.exe /b /y
del hosts
とすると復活しなくなるよ。
53じゃないがAdwareSE1.05(SE以前は不可)の1/25以降だと最新のCWSでも
削除できる事は確認したよ。
(※SEは日本語版正式発売を受けて、フリーの日本語化パックは配付中止。
そのために旧ver.から乗り換えてないユーザが多い)
CWSの派生は色々あって53のと漏れのは同じとは限らないけど。
おそらく漏れが感染していたのが手強さから最新のCWSで、Adawareの通常
操作だけではダメだった。
CWSが動いているプロセスの関係で、Adawareが最終段階のDELETEで固まって
しまう…。
本来なら削除できなければ、次回ブート時に削除
Detectされたものからプロセス項目だけをチェックから外し、FDでDOS起動して
delで消さないといけないようだ。
コマンドプロンプト・モードだと、シャットダウソ時に生成されるシステムファイル
更新ファイルのバックアップwininit.bakを使って復活するから使ってはダメポ。
AdawareならLOGに残っているはずだが・・・
ちょっと解析したのだけど最新のCWS(CWShreddeではBootconf、Svchost32と
分類されるが、その派生型)は、wininit.bakを使ってdllやexeファイル(本体の
コピー)を起動毎に生成して復活を試みるので、本体は1個だけじゃないよ。
生成ファイルのログがあって、全部消さない限りシステムdirにそれらのファイル
がないか探して、1個でも残っていればそれを使って復活する模様。
またtempやIEのキャッシュのdirに除去対策や復活用のモジュールらしきものが
あって、下手にシステムdirのファイルを消すとWinがまともに起動しなくなる悪どさ。
Adawareで対応する前に手動で除去を試みたら、起動途中でシャットダウンして
しまった。
またexploreとrundll32にフックしているので、削除プロセスを誤るとエクスプローラが
起動しない=アイコンやツールバーが表示されないのでプログラムが何も使えない
状況になってしまう。
sudftjpはwininitで起動毎に生成された別のファイルが使われる。
生成日時は偽装しているので、2005年1月でサーチしてもわからない。
漏れのは98/06/12に偽装していた。
このファイルはエクスプローラのツールバー(画面下部に表示されるもの)
の機能を利用して起動していたようで、Adawareに限らず他のスパイウェア
除去ソフトでプロセス除去を試みるとエクスプローラのRundll32が落ちる。
エクスプローラのプロセスが復活すると当然CWSも復活するようになっている
のでなかなか除去しきれない巧妙な仕組。
Spybotのプロセス表示で見ると判るが、エクスプローラの子プロセスにCWSの
モジュールが幾つか組み込まれているよ。
hostsの内容を消しても復活するのもエクスプローラのプロセスが内容をチェック
して、消されると再度書き換えるため。
一応>>59から述べた点に気をつければ現行のCWSはほぼ対策できるはず。
とか言うのが原因だったよ。
radeon使ってて、ただのユーティリティーだと思ってたのに。
coolwebサーチの運営側は全く関与してないらしい。
しかしそれなら犯人はすぐにわかりそうなもんだけどな。
AdawareのLOGの
Possible Browser Hijack attempt Object Recognized!
で、どこで感染したかは把握できるんだから、犯人は皆わかっているのだが…
↓のような感じで。
Possible Browser Hijack attempt Object Recognized!
Type : File
Data : CRACKS.AM - Page N2.url
Category : Misc
Comment : Problematic URL discovered: http://www.cracks.am/cracks/n2.html
Object : C:\WINDOWS\Favorites\Software\Crackz\
炉、割、エロサイトやアフェリエイト目的でそれらのサイトを偽装したサイトが多い。
炉や割でぐぐって(゚д゚)ウマーなものを見つけてクリック…っていうのが奴らの
手だから。
それがCWSだ。
作成日は04/12/10のものが多いようだ。
なんてあるの???そんなことされて契約する客なんていないとおもうんだけど。
>>60
ううう、英語力なくてお恥ずかしい。ログの見方、よくわかってなかった。
今みたら、System32\pbap.dll という奴でした。
それと、自分が>>53で書いた「CWS」というのは、
CWSシュレッダーのことね、これまた略し方変ですいません。
ってスパイウェア駆除ソフトが反応してくれるんだが・・・・。
((((;゜Д゜)))ガクガクブルブル
63の意味が判らないおばかちゃんでつか?
HPのバナークリックでユーザーが特定のサイトをアクセスしたら金がもらえる
アフェリエイトの仕組みを悪用しているんだろ?
2ちゃんにもバナクリのリンク部分だけ貼り付けて小遣い稼ぎを目論むドキュソ
がいるじゃん。それと同じ。こんな感じで。
http://www.giko.net/banner/ID.cgi=?1105163498/
ID以降の数字が金を貰うドキュソのユーザーIDで、クリック毎に金が入る。
CoolはそれをIEを自動的に立ち上げてやっている。
CWS=CoolWebSearch
CWShredderはCoolWebSearch+Shredderに引っ掛けた名前。
>今みたら、System32\pbap.dll
本体は1つという事はないから、削除しきれてないと思うのだが・・・
それと上でも書いているけど新しいCWSはファイル名は変化するので
ここで名前を晒しても意味がない。
システムdirのファイルをサーチして、それを元にCWSのコピーをどんどん
作っていく。
たとえばシステムファイルの"Dscs3032.dll"を元に"Dbcs3032.dll"という
ファイル名の2文字目を変えたファイルを作る。
通常は2つ動いていて、どっちかのプロセスかファイルが消されたら
生き残っているコピーをシステムdirから探し出して起動するようになっている。
コピーはPCを起動した回数分作られているもよーん。
そもそも、負けかなあ と思っている。
人生の負け犬のおまえが言ってもな・・・
俺が負けているのは収入の面だけだ・・・
財産は一生食えるだけあるしな
人生は勝ち組だ
>財産は一生食えるだけあるしな
ダンボールハウスで残飯食うだけの財産があってもな〜w
>>70
一応、その後、何回も再起動しているけど、今のところ再発はない模様。
そうそう、後ひとつ、AD-Aware SE使って気になった点。
自分は、Win2kに、携速2000(ふ、古い)を入れて使っているんだけど、
このディレクトリ(プラス、レジストリもいくつか)が、クリティカルですよーと警告が出る。
で、そのまま削除しちゃったら、ディレクトリの方は削除できずに固まってしまい、
結果、携速のマウントしてる擬似ドライブが壊れてしまった。
以降は、削除しないよう気をつけているけど、何回擬似ドライブ作り直しても、
Winを再起動すると、なくなっている状態。
擬似ドライブは、辞書系のソフトをいくつか抱え込んでいるだけなので、
使う時にマウントしなおせばいいだけで、さほど不便でもないので、そのままにしているけど。
やっぱ辞表ですか
CWShredderを開いてもボタンとこにしか文字がない状態。
なにがわるいんですか 対処の仕方はどうすればいいのでしょう
おしえてエロい人
IEがぶっ壊れ
エロサイト巡りはほどほどにしよう・・・
ページが表示できないのは漏れだけですか?
英語しかつながんねー
。゚(゚^▽^゚)゜。 ブヒャヒャヒャ
それはスパイウェアのせいではなくて、オマイの頭が・・・( ´,_ゝ`)プ
CoolWWWSearchっていうのが見つかるんですけど
これはどういうことなんでしょう
http://landing.domainsponsor.com/?a_id=2159&domainname=coolwwwsearch.com
ActiveXコントロールぶっ壊れ
スパイウェアに壊された
行けないのか!!
チクショー、腹立つなぁ…
エクスプローラー立ち上げるだけで
スパイウェアの英語の変な広告は出まくるし…涙
(・∀・)<復元すると助かるかも....
まじですか?(⊃Д`)・゚・。
実は初心者なのでよくわかんないんですが、
これから調べてやってみます
ありがとうございます!
あーはっはっは !(^^)!
うちのPCにいたのは
レジストリ上から駆除
Local Settingsフォルダから駆除
system32フォルダから駆除
で駆除できたもよう
起動時(だけじゃないかも?)に
レジストリにキーを追加し
IEの起動時のデフォルトページを
about:blankに書き換えるのと同時に
sp.dllをLocal Settingsに展開していて
こいつがCWSとして表示されているようだった
スパイウェア駆除ソフトでも
レジストリとsp.dllしか駆除できないので
system32フォルダ内の dllファイルを駆除しないと
またオフラインでも同じことになってしまう。
でもそのdllのファイル名はまちまちのよう
ちなみに うちのは hcib.dll だった
だいたい マイクロソフトも
Windows Update はIE以外からも
できる様にすべきでは?
FireFoxでは蹴られてしまうし
突然出る「Warning!」の窓だけは駆除できない。頼みのMicrosoftのantiSpywareは
何一つ検出してくれなかったし。後はad-awareか・・・
レジストリにかかれるからもうどーしょもない
Adawareかけてwill be removedっていうけどぜんぜんremoveられてないんだよなぁ
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
【無料】 フリーセキュリティの組合せ 16 (260)
ウイルスドクター Part3 (642)
あやしいファイルを実行するスレ 2層目 (672)
ノートンとか金払って導入してるやつはアホ (947)
KINGSOFT Internet Security Part25 (429)
Malwarebytes' Anti-Malware Part1 (445)
--log9.info------------------
【椎名林檎】pvについて語るスレ【東京事変】 (228)
【林檎】カーネーション 3【NHK連続テレビ小説】 (648)
【林檎】あなたの一番好きな曲投票vol.3【事変】 (498)
好感を持って林檎を聴こう 3曲目 (268)
林檎とガガ (271)
歌詞の一部を「伊澤」に変換するスレ (409)
★★★1文字ずつレスして歌詞を完成させよう★★★ (338)
【期待の】ねごとVS東京事変【新星】 (315)
【林檎事変メディア総合】新聞・TV・雑誌・Web等59 (608)
加爾基 精液 栗ノ花 (260)
イチローは「スーパースター」なんかじゃない (424)
■■ 林檎ファンの有名人 ■■ (612)
伊澤「」 ← 一番面白いこと言わせた奴が優勝 (312)
隣人が椎名林檎だったら…… (258)
椎名林檎 『歌詞、聞き間違い』 (389)
【ワンマン】 実演総合スレ 2 【フェス】 (482)
--log55.com------------------
大阪のラーメン屋part124
ラーメン二郎越谷店 14杯目
ラーメン富士丸 Part59【フジマル】
バクリレスマスrター滋賀作はTガクの犬★7
関西二郎インスパ情報交換スレ23
名古屋・周辺ラーメン屋194杯目
【上州】群馬のラーメン総合 Part.48
今日食べたインスタント麺を報告するスレ 67食目