7/9:一度やられたPCからそのまま再ログインはだめよ

●RMT業者による不正アクセスの報告・対策ｽﾚｯﾄﾞ26●より。
被害を早く確認したいとあせる気持ちは分かりますが、そのままログインは絶対ダメ！
新パスでのログインはPS2/箱か、クリーンインストール後のPCでしましょう……

710 名前：既にその名前は使われています[] 投稿日：2008/07/09(水) 01:01:08 ID:********
日曜にハック。
月曜の朝からサポセンダメで本社直通にて新パス発行。
その後、ログインしたが追い剥ぎにあった状態。無一文ｗパス変更してログアウト。

火曜日昼、GMコールして救済措置の内容を聞き、再度どうするか検討すると言い一旦終了。
そのまま夕方一度ログアウトし、パス変更対応。夜、ログインしようとしたら、
またハッキング完了済みｗｗｗｗｗ

OSインスコしてから、新パスでログイン＞GMコール＞救済依頼　しないと、
やっぱり何度もハッキングにあうおｗｗｗ
１度ID・パス引っこ抜かれたPCだと、どれだけウィルス駆除してもダメｗなんともならないｗ
イタチゴッコの様相ｗｗｗ　もう引退かなーーーーｗ

7/7:「パスワードを保存しない」でも安全じゃないかも。

●● RMT業者の垢ハックが多発している件25 ●●より。
「保存してなくてもアカウントを盗まれた例」が、本当に1回も保存したことがないのか、設定ファイルが残ったままになっているものを抜かれたのか、そのあたりがはっきりしないのですが……ここ数日の被害の多さはもしかするとついにきてしまったのかもしれません。とにかくスレの進み具合が異常です。
2008.07.07(月) 20:00 From: プレイオンライン
インフォメーションセンターおよびGMコール混雑状況のお知らせ
こんなのも出ちゃってるぐらいで。
サポートセンターもほとんどつながらない状況だそうです。

428 名前：既にその名前は使われています[sage] 投稿日：2008/07/07(月) 15:46:30 ID:********
Firefox+NoScript+AdBlock
pg2
パスは保存しないでソフキーから手打ち
UPnP、DCOM、NetBIOS無効
svchostのアクセス制御
ウィルスソフトにファイアーウォール
これだけやれば今の所は大丈夫なようなきがする

これだけやってもたぶん絶対安全はないです。
でもできることをやるしかないのも現状です。

以下の情報から現在の状況を正確に判断することは、私にはできません。
だけどとてつもなくヤバい状況なんじゃないかってことはなんとなく感じます。

375 名前：既にその名前は使われています[] 投稿日：2008/07/07(月) 14:18:04 ID:********
>>370
PS2や感染してないPCなど、安全な環境からパスワード変えましょう。
PCはHDDを初期化して、Windowsからクリーンインストール＆各種対策。

>>367
最近はパスワードを保存してなくてもアカウントを盗まれる例がちらほら。

以前のぞいたトロイはPOLのパスワードファイルを送信してたけど、前スレに
あったrm.exe（POL、RO、リネージュ、mixiのパス抜き）はPOLとROのプロセスを
監視してメモリを見ているようだった。チャレンジ＆レスポンスのレスポンス生成
部分が解析されてれば、パス抜けるだろうなあ。mixiのはIEコンポから。

抜いたID、パスワード、IPアドレスはHTTPで中国のサイトへ。多分そこから
メールで再送信される。

いま騒ぎになっているトロイは感染経路が確定していないし、検体も
見つかっていないので、rm.exeの話は参考までに。

379 名前：既にその名前は使われています[] 投稿日：2008/07/07(月) 14:26:16 ID:********
ちなみに俺のフレはハックされた垢にログインした時に怪しい英文メールが来ていたそうだ
そいつの垢は復元待ちで凍結中なので詳細まではわからないが
POLメールアドレス使ってIDパス送信しているかもしれない

653 名前：既にその名前は使われています[] 投稿日：2008/07/07(月) 20:28:44 ID:********
以前にあった手法としてID・PASSを記録したファイルを送信するってのがあったんじゃなかったかね。
それに対処する形で外部に暗号キーを保持できるようになったんだと思ってたんだがｗ

657 名前：既にその名前は使われています[] 投稿日：2008/07/07(月) 20:30:37 ID:********
>>647
あくまでも保存してあるPOLパスを暗号化して、それを復号するときのキー情報をUSBに保存するだけだから
最近の推測されてる状況＝POLとスクエニのサーバーとの通信内容を横取りされてる場合は、全く意味がない

658 名前：既にその名前は使われています[] 投稿日：2008/07/07(月) 20:32:26 ID:********
とんちんかんな防衛ってことですか？かなしい・・・

7/2:｛POL］パスワードを保存しないの罠

数日前から「パスワードは毎回手打ちしていたのに垢ハックされた」という報告が何件かありますが、POLでパスワードを「保存する」→「保存しない」にしただけでは、パスワード保存ファイルは消えていないからのようです。つまり、自動ログインをしない状態に変えただけではパスワードはPC上に保存されたままなので、このファイルを抜かれると、アカウントさようならになっちゃいます。

自動ログインをやめてパスワードを手打ちに変更する時は、必ず同時にパスワードを変更しましょう。
→参考：自分のキャラクターを守るために、今できること。：パスワード変更（猫6才）


以下ネ実「●● RMT業者の垢ハックが多発している件23 ●●」より：

512 名前：既にその名前は使われています[] 投稿日：2008/07/01(火) 18:35:29.30 ID:******
ちょっと質問させてください。
スクリーンキーボード？になった時にPOLパスワードを変更したのですが
ログインしようとするたびに、変更前のパスワードが入力されている状態です。
（新しいパスワードとは文字数が違うのですぐわかるし、そのままログインしようとするとログインできない）
現在は古いパスワードを消して、スクリーンキーボードで入力しているのですが、今のこの状態は危険のものなのでしょうか？


514 名前：既にその名前は使われています[] 投稿日：2008/07/01(火) 18:37:43.44 ID:******
>>512
それは「パスワードを保存する」にチェックが入ってるせいじゃないかな
POLビューワーでアカウント情報を変更するところがあると思うから、そこの
パスワード保存のチェックを外せばいいと思うよ。

515 名前：既にその名前は使われています[] 投稿日：2008/07/01(火) 18:40:37.62 ID:******
>>512
POLトップ＞メンバーリストへ＞該当メンバーを選択＞設定変更
で、下のほうの「プレイオンラインパスワード」に前のパス入ったままになってると思うから、
そこを空欄にしてそのすぐ上にある「パスワード設定」を「設定しない」にする

これで消えないかい


517 名前：既にその名前は使われています[] 投稿日：2008/07/01(火) 19:00:02.47 ID:******
>>514　>>515
POLで確認してきました。
ご指摘どおり、前のパスワードで、保存するの状態になっていました。
パスワードを変更した時に、保存しないにしているつもりだったので、思い至らなかったみたいです。
変えてみたら、前パスワード消えてました。
ありがとうございました。

この人はパスワードを変更していたので、PCに残っていた前のパスワードが万一盗まれてもそのままハックされることはありませんでしたが、パスワード変更しないで「自動ログイン」をやめただけではアウトだったと思われます。

昨日のWindows版POLのバージョンアップでこのあたりに手が入っていればいいんですけどね。

6/30:垢ハックの兆候

ネ実の●● RMT業者の垢ハックが多発している件23 ●●より、「垢ハック前にこんな症状が出た」という報告。

まとめると
・POL起動時にエラーで落ちる
・Windowsのシャットダウンが遅くなる
・WindowsUpdateができなくなる
・「プログラムの追加と削除」の内容が表示されるまで異様に時間かかる
・心当たりがないのにFFの動作がが急に重くなる
こうした症状が出たら要注意、のようです。

以下は転載。

320 名前：既にその名前は使われています[] 投稿日：2008/06/30(月) 17:48:09.20 ID:*********
俺もぬかれてたああ
ていうか電話通じない・・・・

事前症状として次みたいになった
POL立ち上げたときにエラーで落ちる
（２回目以降は普通に起動できる）
Windowsのシャットダウンが異様に遅くなる

これらの症状がでてから１週間で抜かれた。

344 名前：既にその名前は使われています[] 投稿日：2008/06/30(月) 18:11:26.58 ID:*********
・POL立ち上げたときにエラーで落ちる
（２回目以降は普通に起動できる）
>たぶんほかの（ウィルス）実行ファイルがPOLの何かしらのファイル占有してるからだと思う。
・Windowsのシャットダウンが異様に遅くなる
>トロイ系のウィルスはsvhost立ち上げるんだけど、これ切るのに時間かかるから遅くなる。
・WindowUpdateがフリーズする
>謎。多分アップデート用のsvhost使って進入してんのかも？

369 名前：既にその名前は使われています[sage] 投稿日：2008/06/30(月) 19:05:04.01 ID:*********
俺の現状
まずWindowsアップデート鯖？に繋がらなくなり
シャットダウンが異様に遅い
（スタートメニューの終了オプションからシャットダウンなどができなくなった）
OS入ってるドライバ最インスコがいいのかな。FFもアインスコしてもう1回インスコしたほうがいいんだろうか。

372 名前：既にその名前は使われています[sage] 投稿日：2008/06/30(月) 19:07:10.52 ID:*********
追記でコンパネからプログラムの追加と削除をクリックして
内容が表示されるまで異様に時間かかるようにもなってた
何かがおかしいとしか言えない。

376 名前：既にその名前は使われています[] 投稿日：2008/06/30(月) 19:12:29.50 ID:**********
>>372
あった

俺も思い出したけど
Spybotでスキャンすると途中で勝手にシャットダウンしてた。

378 名前：既にその名前は使われています[] 投稿日：2008/06/30(月) 19:14:01.62 ID:********
FFも普通に重くなったよなそういえば
いままでそれなりに快適だったカンパニエが
>>320の症状以降は話しにならないほど重かった

7/7追記：さらに詳細な症状をまとめてくれた方がいたので転載。

535 名前：既にその名前は使われています[sage] 投稿日：2008/07/07(月) 18:32:46 ID:*******
>>13の兆候詳細まとめ
◆Windows Updateがフリーズする
　Windows Updateの所を開くのにスゲェ時間がかかる
　WindowsUpdate起動 → 高速・カスタムを選択 → このコンピュータに該当する最新の更新プログラムを確認しています... → エラー
　【Web サイトに問題が発生したため、このページを表示できません。
　次のオプションが、問題の解決に役立つ可能性があります。 】　[エラー番号: 0x80070425]
　タスクバーに警告が出てて、セキュリティセンターでは自動更新が無効になってる　※そこで有効にしようとしても出来ない
　システムで自動更新の確認をしてみると、そちらでは有効になっている　※自動更新のタブ開こうとするとスゲェ時間かかる

◆POLを起動するとエラーが出てPOL強制終了（２回目からは正常に起動）
　PCの電源を入れてすぐにPOLを立ち上げるとにエラー落ちする。
　（PC起動時から数分ほどwmiprvse.exeというのが動いていて、この間に起動するとPOL強制終了。
　PC起動からある程度時間が経ってからPOLを起動すると、強制終了することなく起動してしまう。）

◆シャットダウンに時間がかかるようになった
　スタートメニューの終了オプションを押して終了のダイアログ出すだけでも数分かかり、そこから電源切るのに数分かかる。
　（ただしpeerguardian2入れるとメニューが出るのはいつも通りだが、シャットダウンを選んだ後は２～３分かかる）

上記にでてくるwmiprvse.exeは
・\Windows\System32\wbem\wmiprvse.exeのプログラムなら問題ないらしい。
・\Windows\System32\wmiprvse.exeの場合はとてつもなく怪しい。