Winnyを狙ったワーム・ニュイルス情報 Part35

『旧型お断り』
Winnyで流れている"新種の"ワーム、ウイルス等を報告・調査・対処をするスレです。
質問はテンプレを読んでからにして下さい。
読まずに質問しても「テンプレ嫁」と切り返されるだけです。
余裕があれば過去ログにも目を通してください。

■流行種
・元祖Antinny系　・キンタマ系　・batファイル　・スクリーンセーバー　etc

■主な流行感染パターン
・exeの前にスペースたくさん（例：「秘密の写真.jpg　　　　　　　　　.exe」）
・拡張子が.folderに変更されたHTMLからexeを実行させる
・autorunからbatファイルを実行させる
・解凍ソフトの脆弱性を利用し、スタートアップに解凍させて再起動後exeを実行させる

■ダウンロード後のちょっとした注意
・落としたファイルは必ずウイルススキャンする
・exeファイルは安易に実行しない
・ファイルのアイコンが偽装されてないか確認する

■全ての感染者に共通の、確実な対処方法
ハードディスクをフォーマットした上で、Windowsの再インストールをする。
上書きインストールではダメです。
現在ハードディスクにあるデータは消えるので、退避するなり諦めるなりしてください。

前スレ
Winnyを狙ったワーム・ニュイルス情報 Part34
http://tmp4.2ch.net/test/read.cgi/download/1108905276/l50

ﾃﾝﾌﾟﾚまとめ　http://www.geocities.jp/kemkzuenc/Antinny.html
Antinny対策サイト ttp://nyweb.hp.infoseek.co.jp/

■質問テンプレ
質問の際、あなたのPC環境やウイルスソフトがわからないと対処できません。
テンプレに沿って答えることで解答が出やすくなります。

【使用OS】
【WindowsUpdateしてるか】
【使用AntiVirusソフト】
【AntiVirusをUpdateしてるか】
【ウイルススキャンの結果】
【オンラインスキャンしたなら結果】
【Winnyのﾊﾞｰｼﾞｮﾝ】
【Winny歴、総DL量】
【テンプレを読んだか】
【テンプレにある対策を実行したか】
【症状、具体的に分かる限りすべて書く】
【何をしたらそんなことになったのか】
【これまでにとった措置】

■推奨無視リスト
このままIgnore.txtにコピペしてください。

.exe,,0,0,,0,1,0
.jpg,,0.0085,0.0088,,0,1,0
.jpg .lzh,,0,0,,0,1,0
.g .lzh,,0,0,,0,1,0
.avi .lzh,,0,0,,0,1,0
.m .lzh,,0,0,,0,1,0
.w .lzh,,0,0,,0,1,0
.txt .lzh,,0,0,,0,1,0
.rar .lzh,,0,0,,0,1,0
.cab .lzh,,0,0,,0,1,0
.exe .lzh,,0,0,,0,1,0
※無視リストを追加しすぎるとマシンに負荷が掛かります。

■推奨無視リスト
このままIgnore.txtにコピペしてください。

.exe,,0,0,,0,1,0
.jpg,,0.0085,0.0088,,0,1,0
.jpg .lzh,,0,0,,0,1,0
.g .lzh,,0,0,,0,1,0
.avi .lzh,,0,0,,0,1,0
.m .lzh,,0,0,,0,1,0
.w .lzh,,0,0,,0,1,0
.txt .lzh,,0,0,,0,1,0
.rar .lzh,,0,0,,0,1,0
.cab .lzh,,0,0,,0,1,0
.exe .lzh,,0,0,,0,1,0
※無視リストを追加しすぎるとマシンに負荷が掛かります。

■感染しないための注意1　〜予めやっておくべき設定〜
・アンチウイルスソフトのインストール及び常駐、定期的な更新。
・うっかり操作防止のため、エクスプローラの操作はダブルクリック。
・ファイルの拡張子は表示させておく。できれば詳細表示を使うか、ファイラを使う。
・nyをProgramFilesに置かない。CacheとDownフォルダは詳細表示にする。
・CD/DVDドライブのAutorunは切っておく。（詳しくは別記）
・適切な無視リストの設定などで、ウイルスを呼び込まない。
・whiter対策としてC:\Windows\Systemに「Whismng.exe」というフォルダを作成。
　また怪しいと思ったらwhiterVBS簡易チェッカーで調べてみる。
　ttp://mxtrojan.at.infoseek.co.jp/column02.html
・IEのセキュリティ設定を厳しくする。特にActiveXコントロールとプラグインを無効orダイアログ

表示に。
　（拡張子.folderで悪意のあるコードを含んだhtmlを読み込むバグ、悪用の危険あり)
　ttp://internet.watch.impress.co.jp/cda/news/2004/01/30/1927.html
・XMLのOBJECT要素によってコマンドを起動するバグ対策に、
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
　にあるFlagsの値を10進数で1に変更する。
・アイコン偽装したexeを見分けるため、
　フォルダ・txt・aviなど偽装されやすい拡張子は標準アイコンから変更しておく。
・レジストリ：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run のアクセス

権を制限する。
　※アプリケーションのインストール時に弊害が起こることもあるので注意。

■感染しないための注意2　〜普段からの注意〜
・大事なデータはこまめにバックアップを取る。
・落としたファイルは必ずウイルススキャンする。
・指定外の場所へ解凍される脆弱性がある解凍ソフトがあるので対応済のソフトを使う。
　ttp://www.forest.impress.co.jp/article/2004/07/30/arcsecurity.html
・解凍ソフトはWinRARなど、解凍前に中身を確認できるアーカイバを使う。
・CDイメージはAutorunを切ってからマウントし、更に実行ファイル（setup.exe等）をウイルススキャンする。
・exeファイルの実行は完全自己責任、転んでも泣かない。
・怪しい・危険なファイルはWinnyFileDatabaseでチェックする。
　ttp://winny.serveftp.com/nydb/top.php

※CD/DVDドライブのAutorunの切り方
　◆Win9x、Meの場合
　　1.[マイ コンピュータ]-[プロパティ]-[デバイスマネージャ]-[CD-ROM]-[プロパティ]-[設定]を開く
　　2.オプション項目の「挿入の自動通知」のチェックを外す
　◆Win2000、XPの場合
　　1.[スタート]−[ファイル名を指定して実行]で「regedit」と入力
　　2.レジストリエディタで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom を展開
　　3.右の「AutoRun」値のデータを0に設定
※設定変更後、必ず再起動すること。再起動しないと有効になりません。
※窓の手などの管理ソフトでも簡単にオフに出来ます。
※DaemonToolsの自動起動とは別です。これをオフにしても自動実行は切れません。

■感染しないための注意2　〜普段からの注意〜
・大事なデータはこまめにバックアップを取る。
・落としたファイルは必ずウイルススキャンする。
・指定外の場所へ解凍される脆弱性がある解凍ソフトがあるので対応済のソフトを使う。
　ttp://www.forest.impress.co.jp/article/2004/07/30/arcsecurity.html
・解凍ソフトはWinRARなど、解凍前に中身を確認できるアーカイバを使う。
・CDイメージはAutorunを切ってからマウントし、更に実行ファイル（setup.exe等）をウイルススキャンする。
・exeファイルの実行は完全自己責任、転んでも泣かない。
・怪しい・危険なファイルはWinnyFileDatabaseでチェックする。
　ttp://winny.serveftp.com/nydb/top.php

※CD/DVDドライブのAutorunの切り方
　◆Win9x、Meの場合
　　1.[マイ コンピュータ]-[プロパティ]-[デバイスマネージャ]-[CD-ROM]-[プロパティ]-[設定]を開く
　　2.オプション項目の「挿入の自動通知」のチェックを外す
　◆Win2000、XPの場合
　　1.[スタート]−[ファイル名を指定して実行]で「regedit」と入力
　　2.レジストリエディタで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom を展開
　　3.右の「AutoRun」値のデータを0に設定
※設定変更後、必ず再起動すること。再起動しないと有効になりません。
※窓の手などの管理ソフトでも簡単にオフに出来ます。
※DaemonToolsの自動起動とは別です。これをオフにしても自動実行は切れません。

★流行種その1
【キンタマ（W32.AntiWinny.K等）】
■感染ルート
・nyあるいはそれ以外の方法でキンタマワームを踏んで感染。
・IEや拡張子「.folder」のバグを利用し、自動実行させ感染。
■主な症状（感染確認方法）
・Upfolder.txtに登録したことのないフォルダが登録される。
・レジストリエディタ（regedit.exe）を開こうとするとメモ帳が開く。
・"C:\Documents and Settings\ユーザー名\Local Settings\Temp"に"ユーザー名.txt"が作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　に名前xxx データC:\Program Files\???\???.exe（???は任意の名前）が登録される。
・スタートアップに該当プログラムが登録される。(msconfigで確認)
■主な活動内容
・Winnyとは関係なくランダムな時間にデスクトップのスクリーンショットを取る。
・デスクトップ上のファイルをまとめて　[キンタマ] 俺のデスクトップ PCのユーザー名[日付]（ファイル詰め合わせ）.lzh　という名前でupフォルダに置く。
・UpFolder.txtを書き換えてファイルを勝手にアップロードする。
・Winnyを接続すると知らない間に勝手にこれらをダウンロードする。
・各exeファイルはそのアイコンの本来の動作も同時に行う。
　（例えばjpgアイコンに偽装したexeを起動すると、ワームが実行されると共に画像も表示されるため気づきにくい）
■駆除方法
・Winnyをフォルダごと削除、そしてWinnyを再び入れ直す。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。
・C:\Program Files\???\???.exeを削除、 スタートアップからも該当プログラム削除。
■予防
・なるべく関わらない。推奨無視ワード「キンタマ」「デスクトップ」

■まとめサイト
　ttp://myui.s53.xrea.com/kin/index.html
■挙動の似たウイルス【苺きんたま（Trojan.Upchan）】
　ttp://www.geocities.jp/ichigo_kintama/

★流行種その2
【Antinny.ms（仮称）】
Antinny.Bの亜種？ サイズ 1.26MB　開発名 SilentToker　Delphi製
ファイルバージョン5.1.3125.1093　製品バージョン6.00.1800.1007
■主な症状（感染確認方法）
・Windowsフォルダにsvchost.exeを作成。（無い場合もあり）
　※Systemフォルダにあるsvchost.exeは問題ありません。
・UpFolder.txtにBBSという名前でダウンフォルダを追加。
・アップ（ダウン?）フォルダのZIP、LZH、RAR（?）に感染。感染の際にアイコンを自ら変更する。
・アンチウイルスソフト（ノートン、バスター）の常駐を無効にする。
・親と子があり、いずれもSystemフォルダに作成される。子を消しても、再起動すると親が子を再度作成する。
　親はms???.exe（282k）、子はms???.exe（248k）。
・親はサービスに登録される。
・子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可にする。
・親と子はノートンでトロイとして検出される。バスターは未対応？
■活動内容
・毎月第一月曜日に発動。行動内容は不明。
■駆除方法
1.親のファイル名が含まれるレジストリキーを削除。
　Win2k、XPの場合HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。
　（Win9x、MEの場合は不明）
2.セーフモードで再起動し、ファイルを親子ともども削除。
3.HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。
　HOSTSファイルは \Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。
4.NyのUpフォルダ設定を元に戻す。
5.ノートンやバスター等のワクチンソフトを再インストール。
　バスターはPCCTool.exeを使えば再インストールせずに済む。

★流行種その2
【Antinny.ms（仮称）】
Antinny.Bの亜種？ サイズ 1.26MB　開発名 SilentToker　Delphi製
ファイルバージョン5.1.3125.1093　製品バージョン6.00.1800.1007
■主な症状（感染確認方法）
・Windowsフォルダにsvchost.exeを作成。（無い場合もあり）
　※Systemフォルダにあるsvchost.exeは問題ありません。
・UpFolder.txtにBBSという名前でダウンフォルダを追加。
・アップ（ダウン?）フォルダのZIP、LZH、RAR（?）に感染。感染の際にアイコンを自ら変更する。
・アンチウイルスソフト（ノートン、バスター）の常駐を無効にする。
・親と子があり、いずれもSystemフォルダに作成される。子を消しても、再起動すると親が子を再度作成する。
　親はms???.exe（282k）、子はms???.exe（248k）。
・親はサービスに登録される。
・子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可にする。
・親と子はノートンでトロイとして検出される。バスターは未対応？
■活動内容
・毎月第一月曜日に発動。行動内容は不明。
■駆除方法
1.親のファイル名が含まれるレジストリキーを削除。
　Win2k、XPの場合HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。
　（Win9x、MEの場合は不明）
2.セーフモードで再起動し、ファイルを親子ともども削除。
3.HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。
　HOSTSファイルは \Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。
4.NyのUpフォルダ設定を元に戻す。
5.ノートンやバスター等のワクチンソフトを再インストール。
　バスターはPCCTool.exeを使えば再インストールせずに済む。

★流行種その3
【Autorun+batを利用したウイルス】
5種類以上の亜種がある。
■感染ルート
・主にエロゲのイメージファイルをマウントした時やSetupを実行した時に感染。
・Setup.batやSetup.exeを実行させることで感染。
■主な活動内容（種類により活動は異なる）
・deltree、del、rmコマンドでファイル削除。
・bug.exeで気をそらす。
・reg deleteコマンドでレジストリ全削除。
・スタートアップに自身を登録し、再起動する毎に活動する。
・レジストリのRunやRunOnceに自身を登録し、再起動する毎に活動する。
・システムの復元の無効化。
・Windowsファイル保護の無効化。
・使用者名・企業名変更。
・レジストリエディタ本体及びdllcacheやi386フォルダ内のバックアップの削除。
　（削除したファイルと同名のフォルダを作成する）
・強制再起動
・html(ACCS・JASRACへの田代砲）の起動をatコマンドでスケジュールする。
・壁紙をエロCGに変更（画面のプロパティでの修正は不可）。
■駆除方法（種類により対処法は異なる）
・batファイルに書かれたDOSコマンドを読んで、加えられた変更を元に戻す。
■対策
・batファイルを不用意に実行しない。

★流行種その4
【スクリーンセーバー（仮称）】
・サイズは4,553,632Byte、アイコンはフォルダに偽装。
■感染ルート
・感染者が流す圧縮ファイルにある偽装されたウイルス本体から感染する模様。
■主な症状（感染確認方法）
・ny起動すると画面が真っ黒になり、
　赤い文字で「winnyで違法なファイルを集めています」と文字が流れる。
・マウス動かすとログオフ画面に切り替わる。
・起動時にアドレス帳が勝手に立ち上がる。
・タスクマネージャが起動できない。
■主な活動内容
・C:\WINNT\Web\Wallpaperのフォルダを開く。（意味は不明）
・C:\WINDOWS\bugfixというフォルダを作り2つの圧縮ファイル作成。
　[任意ﾜｰﾄﾞ][NullPorce] 俺のアドレス帳＆お気に入り　ユーザー名.zip
　私はユーザー名、Antinnyの作者だ。.zip
・UpFolder.txtに「Path=C:\WINDOWS\bugfix」を追加。
・Winny.exeが置いてあるフォルダに、"NullPorce2MX.exe"（22,528バイト）ができる。
・C:\WINNTにWindowsXPのフォルダに偽装したexeファイルをいくつか（３つ？）作る。
　ファイル名はシステムに使用されるものをランダムに使用する模様。
　（報告済み：CTFMON.EXE、Exploder.exe、IMEJPMlG8.0.exeなど、どれも45,056バイト）
・レジストリに以下を追加し、起動時の自動実行が設定される。
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
・また以下の値も追加、作用は不明？値はGalaxian Explosion
　HKEY_CURRENT_USER\Software\VB and VBA Program Settings\NullPorce2\Attribute
■駆除方法
・C:\WINDOWS\system\にあるwnconfig.txtとアイコンが偽装しているexeを削除。
・C:\WINDOWS\bugfix\の中に生成されてる２つのファイルを削除。
・nyを入れてるフォルダにあるUpFolder.txtを削除。
・レジストリで追加されたキーを削除。

★流行種その5
【仙台キンタマ（W32.SillyP2P）】
■感染ルート
・主にエロゲのイメージファイルをマウント、Autorunでウイルス発動。
■主な活動内容
・壁紙を勝手に変更する。
・windows\system32の中にexeを作製（svchost32.exe、setup.exe、ごみ箱.exeなど）。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに上記exeを追加。
・レジストリエディタをメモ帳で上書き。
・UpFolder.txtにUPフォルダを追加し、
　Download.txtにウイルスと思われるスペースつきのexeファイルを追加する。
・winnyのフォルダ内に隠しフォルダでUPフォルダが作られ、
　downフォルダ内のファイル一覧のtxt、デスクトップSS、
　Favorites、受信トレイ.dbx、送信トレイ.dbx、My Documentsが入れられる。
・Ignore.txtに仙台ギャラクシーエンジェルズを追加するため、自分が晒されてると気づきにくい。
■駆除方法
・windows\system32の中に作製されたexeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに追加されたキー削除。
・UpFolder.txt、Download.txtの問題箇所修正削除。

【仙台スクリーンセーバー】
・仙台キンタマの2次感染を狙ったもの、仙台キンタマが放流する詰合わせに偽装。
・『（ユーザー名が2-3文字の女性名、トリップ無し）に混在の.scr』とスクリーンセーバ偽装。
・ハードディスク内の.doc、.xls、.txt、.jpgなどを収集しnyへ放流する。
・ノートンはAntinny.Gとして緊急対策。

過去スレ1
Part1 ttp://tmp.2ch.net/test/read.cgi/download/1060003283/
Part2 ttp://tmp.2ch.net/test/read.cgi/download/1060385909/
Part3 ttp://tmp.2ch.net/test/read.cgi/download/1060700316/
Part4 ttp://tmp.2ch.net/test/read.cgi/download/1061551896/
Part5 ttp://tmp.2ch.net/test/read.cgi/download/1063637671/
Part6 ttp://tmp2.2ch.net/test/read.cgi/download/1066288327/
Part7 ttp://tmp2.2ch.net/test/read.cgi/download/1068654569/
Part8 ttp://tmp2.2ch.net/test/read.cgi/download/1072600676/
Part9 ttp://tmp2.2ch.net/test/read.cgi/download/1075998916/
Part10 ttp://tmp2.2ch.net/test/read.cgi/download/1078207953/
Part11 ttp://tmp2.2ch.net/test/read.cgi/download/1079425731/
Part12 ttp://tmp2.2ch.net/test/read.cgi/download/1079449665/
Part13 ttp://tmp2.2ch.net/test/read.cgi/download/1079540824/
Part14 ttp://tmp2.2ch.net/test/read.cgi/download/1079918577/
Part15 ttp://tmp2.2ch.net/test/read.cgi/download/1080816795/
Part16 ttp://tmp2.2ch.net/test/read.cgi/download/1081307106/
Part17 ttp://tmp2.2ch.net/test/read.cgi/download/1082190076/
Part18 ttp://tmp2.2ch.net/test/read.cgi/download/1083335282/
Part19 ttp://tmp3.2ch.net/test/read.cgi/download/1084036887/
Part20 ttp://tmp3.2ch.net/test/read.cgi/download/1084808432/
Part21 ttp://tmp4.2ch.net/test/read.cgi/download/1086794458/
Part22 ttp://tmp4.2ch.net/test/read.cgi/download/1089460762/
Part23 ttp://tmp4.2ch.net/test/read.cgi/download/1091063187/
Part24 ttp://tmp4.2ch.net/test/read.cgi/download/1092058756/
Part25 ttp://tmp4.2ch.net/test/read.cgi/download/1093270545/
Part26 ttp://tmp4.2ch.net/test/read.cgi/download/1094872215/
Part27 ttp://tmp4.2ch.net/test/read.cgi/download/1095939735/
Part28 ttp://tmp4.2ch.net/test/read.cgi/download/1096694962/
Part29 ttp://tmp4.2ch.net/test/read.cgi/download/1098962243/
Part30 ttp://tmp4.2ch.net/test/read.cgi/download/1099709559/

過去スレ2
Part31 ttp://tmp4.2ch.net/test/read.cgi/download/1100072614/
Part32 ttp://tmp4.2ch.net/test/read.cgi/download/1102892779/
Part33 ttp://tmp4.2ch.net/test/read.cgi/download/1107015489/
Part34 ttp://tmp4.2ch.net/test/read.cgi/download/1108905276/

>>1
乙。

なんで「ニュイルス」になってんの？
検索で引っ掛からなかったら意味無いだろ？
此処ってオナニースレ？
ウイルスオタク専用？

1スレ内にhttpが規定数以上あると
書き込めない新規制出たようで書き込めなかったので
過去スレh欠きにしました。

>>1
乙。

>>1
乙であります

　

>>1
超乙
>>17
ニューウィルス

>>17
古い既出のウィルス話はするなってことだっけ？
でも検索で引っかかるようにはして欲しかったな

むしろウイルスでかからないようになっておれは嬉しい。

ID:XsqWntLl0とID:xH+O+0dG0のコンビネーション悪すぎ

>>25
だな。一人に任せた方がいいねｗ

ﾜﾛｽ

にゅいん

『まず、ここは初心者の質問・救済スレではありません。』
『まず、ここは初心者の質問・救済スレではありません。』
『まず、ここは初心者の質問・救済スレではありません。』
『まず、ここは初心者の質問・救済スレではありません。』
『まず、ここは初心者の質問・救済スレではありません。』
『まず、ここは初心者の質問・救済スレではありません。』

>>987
(ﾟзﾟ)ｼ(#ﾟДﾟ)

圧縮ファイルを解凍するとAntinnyが！
これってクリックする前にゴミ箱行き
にすれば大丈夫なんですか？

【使用OS】 Win 2000
【WindowsUpdateしてるか】 自動
【使用AntiVirusソフト】 ノートン・システムワークス
【AntiVirusをUpdateしてるか】 自動（手動でもアップデートしてみました）
【ウイルススキャンの結果】 異常なし
【オンラインスキャンしたなら結果】 未
【Winnyのﾊﾞｰｼﾞｮﾝ】 v2.0b7.1
【Winny歴、総DL量】 6ヶ月ぐらい　総量8Gちょっと
【テンプレを読んだか】 既読
【テンプレにある対策を実行したか】 実行済
【症状、具体的に分かる限りすべて書く】
タスクマネージャーが起動しない。
起動時に毎回マイドキュメントにTASKMGR.EXEが作成される。
起動時にダウンロードファイルにアニメ.zip(中にはアニメ.exeとまだ懲りないの？.bmp)が作成される
起動時にUpFolder.txtに[Administrator]
　　　　　　　　　　　　　　　Path=F:\1\フォルダ名\デスクトップ\Winny2\Down
　　　　　　　　　　　　　　　Trip=ibokorori
　　　が作成される。
起動時にローカルディスクＣに愚な民C.wavが作成される。
【これまでにとった措置】
ノートン先生には反応はないのに、ＰＣ起動時に毎回変なものが追加され困ってます。
regeditのrunには不信なものは特になく、解決方法が分かりません。

>>31
言ってるそばから聞いてねーし

>>32

￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣｣
―――――――――――――‐┬┘
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 |　.＿＿　　　 パソコンを
　　　　　|　 　 　 　 | 　 　 　 　|　　 |　|＼＿＼　　窓から
　　　　　|　 　 　 　 | ∧＿∧　|　　 |　|　 |.◎.｜　投げ捨てろ
　　　　　|　 　 　 　 |（　´∀｀）つ ミ |　|　 |.：　｜
　　　　　|　 　 　 　 |/ ⊃　 ﾉ　|　　 |　.＼|.≡.｜
　 　 　 　￣￣￣￣'￣￣￣￣　 　 |　　　￣￣

さすがに32のは踏むとマジで恥ずかしいな。
ちゅーか、愚な民とかなんでよりによってこんな
こ恥っずかしいネーミングセンスなんだ……

あっ、ibokororiはちょっと好き。

31ですスミマセン
Antinny対策サイト見て解決しました。

>>32
数スレ前から報告されてるやつだね。
トレンドマイクロのオンラインスキャンやってみたら？たぶん未対応だとおもうけど。
レジストリはHKLMとHKCU両方みたかい？スタートアップにも無いならサービスかね。
いぼころり。

新ウイルスの対応って大体どれぐらいかかるもんなの？

新ウイルスの対応はノートンとマカフィーが同時くらい
って聞いたけど、winnyユーザーの理想のソフトはどれ？

>>35
愚な民は結構ネーミング的には好きなのですがｗ。
exe踏んでしまった時にデスクトップの壁紙に上戸○のオロナミンＣの画像（名前：まだ懲りないの？）
になったからローカルディスクＣで発見した時ああ、なるほどなーっと納得してしまいましたｗ。
むしろibokororiのほうがネーミング的によくわからないしｗ
>>シマンッテックのオンラインで調べてみましたが、やはり反応なし。
これからトレンドで試してみます。
レジストリはHKLMとHKCUのRunを再度両方とも見てみましたが、やはり
不信そうなものはありませんでした。
鬱だｗ
どんな効果があるのかが分からないからKOEーーーーーーー

ああ良く考えたらノートン先生入れてるのに
なんでシマンテックオンラインで調べたんだ俺、、、orz

>>39
前にITメディアで書かれてたが、ノートンの方がよりローカルなウィルスにも
対応してくれるらしい。
単に検体の提出率が違うだけなのかもしれないが。

>>40=32
つ[まだ懲りないの？]

ウイルスセキュリティじゃwinnyへの対応は大丈夫かな？
やっぱしオススメはノートン？

なんでもいいよ。
問題は使う人のほう。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>41
製品版とオンライン版では対応時期がずれるのが当たり前
どっちが先とも言い切れないから、それはそれで正しい選択と言えよう

だがここを日記帳替わりにするのと感染元の現物すら提示しないのは戴けない
個人的意見を言わせて貰えば「寝言は寝て言え」

>>32
検疫提出頼んだ

欄検眼段にうちのノートがかかったっぽい
起動時にやたらかたかたやってるし、、
うーむ。。

おそらく、　Final○ata3.0　クラック版とかいうやつのせいっぽい。。
普通にSetupがあったが起動せず　いやな予感はしていたがな。

アカウント名に本名入れてるやついっぱいいるんだな

欄検眼段で検索するといっぱい出てくるんだけど
これ普通に落として見ても大丈夫なの？
最後がＧＪＢなんだけど

心配なら見るなよ。ハゲ。

大丈夫だよ。拡張子を.jpgにしてみれ。

マルチしてまで見たいものか

見たいので見る
今落としてる

コマンドラインだと
ren * *.jpg
だっけか。

>>48
了解、解析対象にする。

このウイルスに感染したヤツが知らないうちにアップしてるだけで
画像を見たからって感染するわけじゃないぞ。
わかってるか？
このど素人のぽんこちんども。

しかし、情報提供してもらってアレだが、○inalDataのクラック版setup.exeなんてものは、
一番仕込みやすいブツじゃないか。そんなもん実行するなんて、どうかしてるぞ。

これが当たりだったら、流れてるJPEGの傾向からしても、なにやら公務員関係が多いというのが、
なんとなく理解できるのだが。　　　　　　　　　　　　　　　しかし、落ちてこんな

このスレに感染した香具師の書き込む内容さえﾎﾟｶｰﾝなんだから、
なんも知らずにnyやってる香具師にそんな危機感あるはずない。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

　プログラミングの専門知識が無いので、ピンボケ意見ならスマン。
欄検眼段ってさ、デジカメのデータを中心としたJPGばかりで、キンタマやANTINYのように
晒しフォルダの中にEXEが更に作られて・・・って言う乗数的な連鎖で感染って感じじゃないだろ。
　多分フォトショップとかに紛れ込んでいるんじゃないのかな。しかも作者の意図なのか能力不足なのか
知らないが、感染の連鎖がなさそうなので本体が見つかりにくくて対応できない。
　晒されている人がストーカー被害など何らかの物理的被害を被るなど行くとこまで行って、その感染者が
何をDLしたか然るべき機関に正直に包み隠さずゲロするまでは、地味に広がるんじゃないのか？
　勘だけどレタッチソフトあたりが怪しいと思うんだけど。

連鎖感染なしなのはそういう意図なんだろう。
アプリに仕込まれているのが濃厚だとは思うが、レタッチとか画像関係かは関係ない
と思うよ。個人がもってるjpgってほとんどデジカメで撮ったものとか、知人から送られ
てきたものとか、そんなんばっかりっしょ。

エロ画像詰め合わせやコミック類もあると大量に.jpgが。。。

当局に言いにくいファイルだな
炉とか炉とか炉とか

欄検眼段_M__ダウンロード_新しいフォルダ_MY PICTURES_写真（中）

これって檻？

デジカメで彼女のｱﾚな写真を撮るのは考えものだと思ってしまった。

>65
それは種類がたくさんあるから、特定してくれないと分からん
単に感染者の趣味で集めたエロ画像を、画像の大きさで分類したもの
のひとつだと思うんだが。

アプローチの方向を変えて、今はトリップ60HEmEokEqで検索してる
何か感染源らしきものが見つかると良いのだが。
単なる好奇心だが、『欄検眼段』の意味を突き止めてみたいんだな、俺は。
感染源には、何かヒントが埋め込まれていそう

【まだまだ】 Duke Nukem 3D 【現役!?】スレの
591が同じトリップでゲームを流してるみたいだね。
生成されたトリップがたまたま偶然だったんだろうか。

60HEmEokEq をググってみた。いろいろなスレに登場してるね
ありきたりな文字列でできるトリップってのはありそう

俺が確認した分では秋田、京都、広島の自治体から流出したと見られる
業務用写真（公共工事の現場写真など）があって、ここと欄検眼段スレを
見ていると自衛隊と税務署関係者のＰＣから漏れたらしい写真があるようだろ。
　あと確証が持てないけど、どうも愛媛の自治体関係者っぽいのもある。
公務員の間に何かが出回っているのか？偶然かもしれないが、面白いから
是非そうであって欲しい。

>>60
そうなんですか。　たしかに確認しないでクリックしてしまったのと、
これを踏んでからやたらHDDがかたかたいってたもんだから　てっきりこれかなと。
情報THX
うーん、、　そーなるとなんだろうなあ、、
このファイル実行したのはnyやっているものとは別PCだったからそれ以外に怪しいもの使っていないしな、、

2ちゃんねるに犯罪予告を書き込んでしまうニュイルスとか出ないのかね？
PC没収され犯罪予告の件では無実になるが著作権違法でﾀｲｰﾎとかになると
面白そうぢゃね？

>>72
そのアイデア既出〜
そのうちどっかのバカがやるだろ

犯罪予告だらけで対応しきれなくなったKが
ニュイルス作者の自宅に訪問するかもな。

フォルダに偽造されたやつの拡張子をプロパティから調べようと思って

偽造フォルダ選択→プロパティ→　　　.exeだった→よーしパパ消しちゃうぞ〜とか思ったら
なんか急に何かのショートカットが作成されて慌てて消したんだが

これって感染してんの？ていうか何このニュイルス

>>75
そんだけでわかるかﾎﾞｹ
それ以前にプロパティからいったい何を調べるというのだ。

一番最初にバスターでスキャンしたら無反応だったんだけど
一瞬　.exeって見えたような気がしたから、プロパティから拡張子を調べようかと思ったんだ

その後バスターで全スキャンしたけど音沙汰無しだった

「ぼくのひみつたいけん」という名前のフォルダがあったのですが、、
なんなんですか？

ph○toshopのｸﾗｯｸexeでやられた・・・・

とりあえずおれはゆうこたそあつめる

>>79
そんなあからさまなもの踏むなよ・・・

れーすくいーんとかはすてる

Local Settings\Temp\aax30.tmp.exe
これってなに？
ノートン先生反応すんだけど

さらにアプローチを変えてみる
zipで地引きしつつトリップが60HEmEokEqのものを集中的に集め
解析対象にまわす。エロ系も多いが、一般アプリもある。

鳥偽装じゃねーの

>>84
で、何がしたいの？　欄〜の解析？

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>80
ゆうこﾀｿ（；´Д`） ...ﾊｧﾊｧ

由布子の友達のほうがイケメンだな

>>86
そう、解析してみるつもり。感染源が分かれば一応、先生に検体も出すけどね。
この手のワームの開発意図を知っておきたいってのと、
何ゆえ「欄検眼段」なのか？ってのを知りたい純粋な好奇心。
たぶん、そのうち飽きるので、ひまを持て余してる今だけだが

>>87
それは感染者が流したJPEG→GJBだからなぁ。容量的にもそれっぽいし。
単に、その名前のフォルダに入ってたJPEGということでっしゃろ。

テレビの前で正座し始めた時間帯だな　笑

いつか言おうと思ってたんだが、これだけこのスレで扱われても、
結局未だに誰も『メ欄』ﾆｭｲﾙｽとは呼ばないんだよな。
漏れは「欄検眼段」より言いやすいかと思ってたが内容は二番煎じだしな。

まあ酷い扱われ方だし、今日も作者は泪で枕を濡らしてるのかも（ry

おしえてよ＾０＾
10MBの「ぼくのひみつたいけん」という名のフォルダ
なんですけど。中にはjpgファイルがいくつかありました。
ダウン条件に入れた覚えはないです。
怖くて即削除しました。

　　　　　 　 ∩＿＿＿∩
　　　　　 　 | 　ノ　　　u ヽ
　　　　　　/　|||＿　　　＿ |
　　　　 　 |　u　　( _●_)　 ミ
　　 　 　 彡､　u　|∪|　　､｀＼
　 　 　 /　＿＿　 ヽノ　/´>　 )
　　.￣ (＿＿＿）￣￣￣ (_／￣￣￣

俺は、『ダウン条件に入れた覚えはない』ファイルが
変換された覚えが無い。不思議だな。

なんかズレてる奴がいるな

>>95
スレ汚しスマソ。ROMに戻ります。

アホばっか

そりゃそうさ

欄検眼段_H__アルバム_PICTURES_

このシリーズ完全に犯罪だろ。

>>99
詳しく

>>100
http://tmp4.2ch.net/test/read.cgi/download/1110716092/111-

>>101
�dクス。祭りになりそうなのかな？

欄検眼段の 60HEmEokEq って
#1234　じゃないのか？
見事に漏れもひっかかってしまったが、
うpフォルダ用の鳥が#1234って.txtに書いてあった気ガス。。。。

>>103
感染乙
で何でひっかかったの？

テスト

>>103
1234ではないね。

>>104
アプリ系だと思う。
データ復旧系ソフトが怪しいかな？

すまん鳥は#12345みたいだｗ

UpFolder.txtの内容
[temp000]
Path=C:\temp000
Trip=12345

確かに12345だな
>>103
引き続き感染源について調査ﾖﾛ

>>107
ほんとだ！

>>107
データ復旧系ってのが公務員・自治体系で感染多発している原因なのかも

そんなアプリ公費で買えばいいのにな
稟議通すのが面倒なのか？

バックアップを取る、という発想がないんだよ。
だから壊れてから焦る。

圧縮ファイルかキャッシュのタイムスタンプから推測できない？

>>103
ﾄﾝｸｽ。
> 欄検眼段のトリップ 60HEmEokEq は ny2で #12345 だったことが確定
これで、感染源と思しきものを片っ端から12345で検索してみる

>>114
感染源が60HEmEokEqである可能性は低いと思う…

wmpだかwmaに偽装するキンタマに感染。
さっき駆除したけど大丈夫かな？

AVGがばんばん警告出してくれたおかげで気付いた。

>>115
いや、感染源に埋め込まれたワームがtripキーに12345を与えている
（で、temp000 を作成）ということで、怪しげなのには12345が
そのままテキストで埋まっている可能性が高い、と踏んだのだが。

どうせ、欄検眼段で落としたところで、ガキの写真とハメ撮りばかり
で感染源を特定できるような情報は少ないし。まだSSを流す香具師のが
かわいかったな。今回のは、どうにも地味すぎて、

それなら、別にパスじゃなくともtemp000とかで検索しても結果は同じでしょ

ごもっとも、何か情報ないもんかねぇ。飽きてきたよ。

いままで.aviや.mpgしかダウンロードしていないのですが、これでウイルスに感染することは
無いのでしょうか？

感染するの嫌なの？

赤ちゃんがゆう子のおっぱいを吸おうとしてパジャマをめくりかけてる写真・・・(*ﾟ∀ﾟ)=3 ﾊｧﾊｧ♪

>>122
えぇ！どれだあぁぁ

感染力低め、2ch系の愉快犯だろうけどサービス精神は抑え目、犯人は実験のつもりなんじゃないの？
欄検眼段は拡散具合をgoogleでも計りたかったんじゃないの？ゴッゴルみたいに。
いま"でくくって15件。

コミック類が無いのはどーしてなんだ、漏れも帰ったら感染源さがしてみるかな

>>125
JPEG画像全般をターゲットにしているのではなく
あくまで、デジカメ撮影画像のみがGJBになっている。ということは
撮影情報（カメラ名とか、露出とか）が入っているJPEGを狙っているのか
だとしたら結構、巧妙だな。exifを検索するようなアルゴリズム入りかぁ…

>>126
大文字のJPGを検索してる可能性もあり

>>48,60のブツも、もう一回VPCで走らせて見るよ
なんか、怪しくなってきた

ウイルスやスパイウェアに対するPCの安全度を測定「PC Security Test 2005」
ttp://www.forest.impress.co.jp/article/2005/02/03/pcst05.html

最近流れてる圧縮ファイルに295.936バイトのexeファイルがあるな…
アップデートしたノートン先生も反応しないけど何だこれ？

Exifの含まれてないエロサイトから集めてきたようなjpegもヒットするから
デジカメや管理ソフトとの関連性は薄いような気も
手元にあるGJBファイルのほとんどに２バイト文字のフォルダ名が使われてるね
使われてないGJBも"MY PICTURES"フォルダ下のファイルだし
このあたりを狙ってUpFolder.txtに追加していくんだろな

Exifとか、2バイト文字とかも関係ないと思われるが？

>>127
大文字.JPGとは限らないみたい。
漏れのは小文字.jpgでひっかかってる。。。。

漏れのはこんな感じだ
欄検眼段_D__MY PICTURE_PHOTO_（フォルダ名）_00011[1].GJB

↑ついでにフォルダ名は２バイト文字だが。。。

連投スマソ
>>133の本当のファイル名は「DSC00011[1].jpg」

.GJBにされた時ファイル名の「DSC」が消えてるのは
なんか意味あるのかな？

>>118
>>127
>>132
は作者なのか？

というのはともかく、総合するとデジカメ写真に特有のDSCだのIMGだのを
拾ってるのかな。地引したEXIFから使用カメラの傾向を分析してみるか

とりあえず…〆(ｰ￣*)ﾒﾓﾒﾓ

今のところ、欄検眼段の行動は、win起動時に
「DSC○○○.jpg」を探してる感じがするな。

今までうｐされてたフォルダを、リネームや他の
ドライブなどに移動したところ、探し出して「temp000」
に作成。

で、「DSC○○○.jpg」のファイル名自体を「IMG〜」などに
変えたところ、作成はされなかった。

今度は「IMG〜」という他のデジカメファイルをファイルを
「DSC〜」にしたところ、それがうｐされるようになった。

「CIMG〜」も無反応

今のところこんな感じかな？

>>137
ついに、ﾆｭｲﾙｽ本体を捕まえましたか！
乙。(　ﾟДﾟ)⊃旦 ﾁｬﾉﾒﾔ

何に含まれていましたか？
ファイルサイズとか諸々の情報キボン！(｀･ω･´)ｼｬｷｰﾝ

>>138
すまん；本体自体はまだ捕獲できてないんだが、
自分なりに色々やってみた結果だぽ。。。

[欄検眼段]新手のウイルス[GJB]スレのほうに
自分なりの結果書いておいたぽ

なんか昨日今日あたりから感染者増えてる気がしない？？？

>>140
皆地引網して、キャッシュ周りが良くなったんだと思われ

[欄検眼段]新手のウイルス[GJB]スレのほうに
書いたんだが、とりあえずこっちにも。。。
どっちのスレに書いたほうがいいか判らなかったんでorz

今のところ、感染ルートははっきりしていないが、
WINDOWSフォルダ→system32の中の
「IMJPMlG.exe」
ってファイルが、
・「temp000」ってフォルダ作成
・「DSC〜」ファイルを探して.GJBに生成
・UpFolder.txtに↓の内容を書き込む
　　　[temp000]
　　　Path=C:\temp000
　　　Trip=12345

ここの>>60の書き込みが気になって
IMJPMlG.exeを削除したところ、「temp000」
は起動時に作成されなかったぽ

IMJPMlG.exeの解析までは漏れのスキルじゃ�_なので
誰かたのむorz

漏れ自身の感染源も>>60あたりだと思うんだがな。。。

起動しない不完全なプログラムってのが気になったんだよなぁ

昨夜から連続カキコ失礼
>>142に追加
「UpFolder.txt」も追加されなかったぽ！(｀･ω･´)

>>130
間違えて踏んだが特に何も起きてないと思われる。
プログラムのバグ、それとも環境の問題なのか・・・・

欄検眼段感染源のハッシュは>>60なのか？
なんか情報が錯綜してるな

前スレのノートン対応済みの10Gファイル作成imjpmig.exe
とはまた別物みたいだしな

>>60に含まれるimjpmig.dllは、VB6で作られた実行ファイルだが、
そのままバイナリエディタで覗くだけでもUNICODEで欄検眼段の
文字列や、動作分析のヒントとなる文字列も確認できるので、お試しあれ

ちょっくら確認してみるか

探すのめんどくさい。

パス付きでimjpmig.dllをうｐしてよ。

調査するからさ。

>>130
>>144

漏れも気になる。ノートンに反応しないのが不気味。

新種はノートン反応しないでしょ

見つけて、検体提出しないとな。

>>149
exe残ってたらパスかけてうｐしてくれ

>>150-152
スマソ。夕べ気味悪くて消してしもた。

某関西○交のzipファイルに同梱されてた。

>>152
http://up2.sakura.ne.jp/src/up0169.zip
Pass:tesupa

一応バスターと先生に提出済み。

>>154
サンクス〜♪

>>154
乙。

あとは、対応の早さチェックだな。。

で、解析してなんか意味あんの?

アホばっか

もしかしてUPX圧縮してあるから通常検出でスルーされてるのかな？
実行すれば未知ウイルス検出機能で一応止まるみたいだから

imjpmig.dllはVB製exeだな。DLLにリネームしてるだけ。
クラックのインストールだと思ってinstall.exeを実行するとVB6ランタイムとともに
ワームがインスコされるという。ちょっとﾜﾛﾀよ。
ぱっと見ただけだけど、欄検眼段という文字列は確認した。DSCでファイル検索してる
みたいなので>>142は正しいと思われる。

>>159
最近のアンチウイルスソフトはUPXなどのexe圧縮も解凍してスキャンしてくれるよ。

FINALDATA落として復元したつもりが、
ナニが復元されてしまうという…

確かに、怪しい団体で使いまわしされてる気がするね。FA!!

解凍したけど中身が読みやすくなっただけで無反応だった（AVG7.0）

(App)(アプリ)FINALDATA 3.0 特別復元版（認証クラックパッチ済み）.zip
に欄検眼段入ってるの確認した。検体提出しとくね。

誰だよ、FINALDATA 3.0にフォルダ偽装のAnntinyくっつけて流してるのは(w
ハッシュはすでに変わってるyo

>>156
ﾊﾞｽﾀｰには金曜出して、今報告来たから張っておく。

お問合せいただいております件ですが、お送りいただいたファイルを解析した
結果、最新のパターンファイルで下記のとおり対応いたしました。

【ウイルス名：WORM_ANTINNY.AA】
さて早速バスターで検索するか・・・

ﾊﾞｽﾀｰonlineできっちり反応した

欠番は飛ばしてAAになっちゃったか。
すぐにトレンドマイクロのほうに詳細が乗るだろうけど、AAはUPX圧縮された
Delphi製のexe。欄検眼段の文字列は見あたらない。そして、こいつのリソースに
はもう一つ別のexeが入ってる。仮にこれをAAの中の人としよう。
この中の人もDelphi製のexeで、バイナリを拝見すると、HTTP関係のクラス名があ
るから外部と通信する可能性大。おそらくこの中の人が本体で、AAのファイルは
インストーラとして動作するんだと推測。

おそらくAAは欄検眼段とは無関係。VBでワーム作るようなやつがDelphiでわざわざ
別バージョン組むとも思えないし。

追記。
中の人を書き出したファイルにもオンラインスキャンで反応した。

>>166
解析乙
今オンラインスキャンしてたらシステムフォルダにも入られてる模様orz
しかも外部と通信か・・・・
バスターの詳細まだか・・・

>>168
解析というか、バイナリ見てみただけなんで、まとまった時間がとれれば
ちゃんと見てみるよ。先にトレンドマイクロのほうが出そうだけど。
それから、さっさと再インスコしたほうが精神衛生上もよろしいかと思うよ。

早く先生対応してくれえええええええええええええええ

仁義なきキンタマって最近のなの？
グーグルしても一件もかからない
駆除方法もちゃんとしたとこないのかな？

#12345

ｎｙでファイルを落としただけで、ウィルスには感染することってあるのですか？

あるある

ねーーよｗｗｗｗ

一体どっちなのですか・・・？　

>>176
空気嫁
半年間ROMでいろ

ネットランナー久しぶりに読んだらノートンじゃイメージファイルも
rarで分割されたウィルスも検出できなかったらしいけど
これじゃアプリは恐ろしくて落とせなくない？
一番高いのがアプリなのにさ

>>171
同意！！ミスって踏んじまった･･･。
レジ見ても追加されてないし、かといって
tempのフォルダ消しても復活しよる･･･。
ナンダコレ･･･。

ウィルスを食らわないように情報を集めるとか勉強するとかしなきゃ。
それと食らってもすぐリカバリできる環境を作っておくとか。
一番高いアプリをタダで手に入れるんだから、それなりのことをしなければ。

>>180
copy driveでOSごとバックアップしようとしたらエラーでまくりで駄目だったのよorz

通常通りクサイファイル削除したら抹殺できたっぽい。
今までのスクリーンショット系と変わらないみたい。

>>171
一通りうさんクサイの消したから、どれかは分からなかった。スマヌ。
でもファイルは偽装っぽい。

adobeは狙い目

アプリはイメージファイル物しか落とさないからな、オイラ

アプリはリップしか落とさない俺とは正反対ですね

アプリケーション/ソフトウェアの実行形式を含むファイルなんて
よくnyで落として使おうって気になりますね？ それでこのスレに
出入りしてるなんて不思議すぎ。他人を信じるなんてすごいよ、おまいら

ここは"新種の"ワーム、ウイルス等を報告・調査・対処するスレだから
避けるのが趣旨じゃない

>>186
逆だよ
まったく信用していないからここにいる。
クラックチームから流れてきたリップ物にはnfoがついていて、
それに分割ファイルのCRCが記載されているわけよ。
nfoの配布サイトなんて結構あるから、そこからも落としてきて
そちらにも記載されているCRCを見て、それらが同じだと
少なくとも分割ファイルに第三者が関与してないことを確認。（これでも不十分だが）
俺がリップものしか落とさないのは、nyとかのcdイメージファイルとかだとこの確認ができないから

その後はテスト用別マシンのバーチャルマシンでインスコテスト
もちろんセキュリティソフトはいっぱい詰まってるよ、テストマシンだから重くても気にしない。
exeをダボークリックしないといけないのは承知の上。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

名前の付け方は各社の裁量に任されてるので同じものであっても若干違います

うっかり感染・・・
ウイルスバスターが反応しないからこっちだと思うんだけど

・起動時に変なアプリが起動
・My Documentsフォルダに変なjpgが大量生産される
・常にCPU100％

同じ症状の人が見つからないんだけど誰かご存知？

ちなみに作成されるファイルは
(･ё･)123456（番号はランダム）

解析とか検体が・・・ってセリフかっけー！
リアルいしかわさんみたい(ﾟーﾟ*)

>>192
　618 名前：[名無し]さん(bin+cue).rar：05/03/08 12:53:33 ID:3x3jAbnG0
　 再インストするので
　 とりあえずチラシの裏しときます。
　
　 ウィルス本体：フォルダアイコン形式のexeファイル
　 ファイルサイズ：4,542,664Byte
　 ウィルスｽｷｬﾝ：未反応
　 確認済症状：
　 １．exeのあるフォルダ以下のファイル・フォルダを削除。
　 ２．「(･ё･)123456.jpg　（数字は任意の6桁）」を作成。
　 　　　ファイルサイズはランダム（10kB〜200MB）。中は全て0bit。
　 　　　50MBの空き容量を残して終了？作成失敗まで続くと思われ。
　
　 他：
　 レジストリRun、スタートアップに変更は見当たらず。他の詳細は不明。
　 システムはDドライブ8Gで構成してるのでCドライブ目当て、10Gタイプとかは未遂してる可能性も。
　 実行環境：
　 WindowsXP　　ServicePack2済
　 WindowsUpdate、Norton定義ファイル20050307更新済。

これっぽいね。詳細は不明のままだったと思う。諦めれ。

仁義なきキンタマっての、ぽつぽつヒットするね。日付が今日とか昨日とかばかり。
しばらく漁ってみるか。

プロセスは特定したので終了させればCPUへのアクセスは止まったんだけど・・・
再起動してみるか・・・dosから消去してみるか・・・

仁義キンタマ

kakikomi.txtが流れてるぞおいｗ

仁義キンタマ
中身はwinnyのtab1とtab2のtxtとOutlook expressの情報と、
cookieのtxtなどが入ってるね。

とりあえず、ドキュメント.zipに検体があったな。

>>196
ハッシュきぼん

ようやくkakikomi.txt放流型のお出ましか･･･

1.7Gもある仁義キンタマがあるんだけど、
どんな情報が入ってるんだろうｗ

いつの間にかマイドキュメントにデスクトップの
スクリーンショットがあったｗ
winny,iniを見たけど「ぬるぽ」という言葉は無かったし・・
うｐフォルダもできてなかったし・・
これがあの噂の欄検眼段？？

NAVを常時オンにしていれば、ほぼ100％いかなるウィルスの感染は防げるのに。
でも最強に重い常駐ソフトだしね。切りたくなる気持ちもわかる。

みんなオンにしてないの？

>>202
とりあえず急いでオンラインスキャンをした方がいいかも。

先生も知らない新種がどんどん出てくるからね

kakikomi.txtぐらいなら笑って済まされるけどcookieはやばいんじゃないの。

>>197
outlook　exの情報は大したもんが入ってないから漏れてもいいけど
ｎｙのタブ情報が漏れたら恥ずかしすぎる。
俺は人に言えない単語をいくつも入れて、物凄い尖がったエロ集めしてるし。ｗ

kakikomi.txtつくるのってどのブラウザ？

>>208
専ブラ全般

かちゅーしゃだけかと思ってた

>>203
そーいった過信してる連中が新種踏んで泣きをみる訳だが？

×　いかなるウィルス
○　対応済みのウィルス

>>211
いや新種はどういう奴が踏んでも仕方がないだろ。
アホかｗ
ほぼって言ってるじゃん。ほぼ100パーセント防げるのは現実だろ。

君は真っ新な新種を見分けられるのかい？おバカさん。

フリーのアンチウイルスソフト（AVG 7.0 Free）を入れてスキャンしたら
Win32/Antinny.kとWin32/Antinny.OとWorm/Antinny.Lというウイルスが見つかったYO。

>>203
無知の新参者さん、こんばんは

＞ほぼ100％いかなる

まず日本語の勉強しような

>>215
あははははははははは
死に値するほど恥ずかしいなお前ｗ

システムワークスプレミア買って定期的にバックアップする事にしたよ
危険ファイルを実行するときはLANケーブル切って（笑

>>212
既知のウイルスなら大抵のウイルス対策ソフトで感染が防げると思うのだが・・・？
ちなみに現在の話の流れは詳細は不明のｷﾝﾀﾏの話しなんだがな。

>>1の通り、市販のアンチウイルスソフトが検出するような、
既存のウイルスの予防とかそんな話題はスレ違いだから
初心者スレとかでやってくれ

>>204
とんくす！
バスターのオンラインしてみます。

>>218
そだね。
でもその新種の詳細がわかる人が>>211の辺にいるみたいだから、
是非ともその方法を伝授してもらおうぜ。

>>215
http://www.musashi-nihongo.jp/
ほら、この辺でいいだろ。頑張れよ劣等種！

>>221
ズバリ指摘されて必死だな、新参者くんｗ

>>221
アンチウィルスソフトを常駐してるかどうか？
なんてくだらない事言ってるからいじめられるんだよ

あはははははははは

バカほど食いつくｗ

祭り板からきますた

>>224
ｷﾐの必死さが見てて笑えるから食いつくんだよｗ

春だね。

>>222
俺の日本語、おかしいんだっけ？
あれれ？？あれ？あれれあれれ？？あれ〜〜〜？？？

俺の日本語がおかしいのぉ〜〜〜？？
どの辺がぁ〜〜？？？


あはははははは
バカ丸出し〜ｗ

>>226
おおお食いつく食いつく！
すげー手応えだぜ！

ID:xVvBUyHL0

なんとか言ってよ〜
どの辺がおかしいの〜？

必死だね。

いい加減新種ｷﾝﾀﾏの話にもどろうか

日本語の下手さ加減からいって、リア厨、いや消防かも？

しかし「仁義」ってなんだよｗ

>>233
説明できてないよ〜？
逃げないでよ〜自分が言った事に責任も持てないの〜？
得意な顔して突っ込んでたじゃ〜ん。

どの辺がおかしいの〜？

変な粘着がいるな
子供か？

ほぼ 【▽略/▽粗】
（副）

〔漢文訓読に用いられた語〕だいたい。あらかた。
「事件は―解決した」「―読み終わった」


いかなる 2 【〈如何〉なる】
（連体）

どのような。どんな。
「―困難があろうとも」「―ときにも笑いを絶やさない」


簡単に説明すると「ほぼ」は不完全、「いかなる」は完全。つまり矛盾してるってことだよ粘着新参君

あいまい語かｗ

>>237

・・・・。

本物のバカだ・・・。
さすがにそのレスに対してマジレスは出来ない。すまん・・・・。

仁義なきキンタマ
winnyのtab1.txt tab2.txt
Outlook expressの受信フォルダ・送信フォルダなど。
cookie.txt
マイクロソフトエクセル・ワードのファイル
あとはHotmailの情報などなど。
それと、フォルダの所々にサイズ829,440の「新しいフォルダ　　　　　　.exe」
があり、オンラインスキャンでは反応せず。

エクセル・ワードのファイルも晒されると危険だな

>>239
内容面は別として、>>212の「真っ新な新種」は同義反復で正しい日本語ではない。

新情報があがってるのかと思ったら、頭の中にウィルスに湧いて
いる奴がいるようだな。ｗ

オンラインの結果です。
HTML.COOLWEB,A
JAVA_BYTEVER.A

この2種類でした。
スパイウエアかな？
ad-awareとスパイボット使ったけど削除できないんですね。
どうしましょう。
再インスコ？

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JAVA_BYTEVER.A#solution
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML_COOLWEB.A
実行ファイルを削除するだけでいけるみたいだけど…

自分なら気分的に再インストしそう。

>>ほぼ100％いかなるウィルスの感染は防げるのに。

多分こういう意味で書いたつもりだったんだろ↓

「ほぼ100％の比率で、いかなる種類のウィルスの感染も防げるのに」

>>240
まとめ乙。

それに加えて不定期にデスクトップを撮影してうぷ。
ファイル名から3/15が初出みたい。
デスクトップを見る限りエロが系が少ないから感染源は一般アプリかな？

なんだ、伸びてると思ったら俺のツッ込みが元凶なんか？ｗ

とりあえず解釈
> ほぼ100％いかなるウィルスの感染は防げるのに
この「ほぼ100％」の意は「100％に極めて近い確率で」であり、それ以後の文節にかかる
「いかなるウィルス」は全てのウィルスを指し、新種・既対応種の別は無い

つまり俺のツッ込みの示すところは、
新種を含む「いかなる」にかかる「ほぼ100％」はどーよ？
って事だ、新参春厨

猶、引用文の「感染は」は格助詞の用法として正しくない
この場合は「も」「でも」「をも」を用いるべきであろう
もっと日本語を精進してから出直して来い

>>245ﾀﾝ

ありが�d。無事削除できますた。
それにしてもスクリーンショット謎だｗ

バカが揃いも揃って悲惨だな・・。

>>248
中学からやり直した方がいいよ。いやまじで。

>>244
C:\Documents and Settings\ユーザー名\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file
にそのウイルス入ってない？

>>251ﾀﾝ

入ってマスタ。
そこに入ってた他のファイルも削除したほうがいいのですか？

もうバカ、バカしか言えなくなったな。九官鳥乙。

よほど悔しかったのか・・

>>252
俺あんまり詳しくないけど、
定期的にそのフォルダの中身全部消してるけど、
今のところ不具合は無いですよん。

>>253-254
まぁ、その辺まで見越して格助詞の用法までツッ込んだからなｗ

また新たなニュイルス作者を生んだか

>>256
いや、全然つっこみになってない事に気がついて欲しいんだけど・・・

なんというかもう哀れで・・

>>255ﾀﾝ

�dくす！
これですっきりしました〜

>>6の
※CD/DVDドライブのAutorunの切り方の
◆Win2000、XPの場合
の窓の手ってどうやるん？
win高速化の間違いじゃないのか？

>>258
まあ、元気出せよ。

203 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：05/03/17 19:46:42 ID:dfo5lKZG0
NAVを常時オンにしていれば、ほぼ100％いかなるウィルスの感染は防げるのに。
でも最強に重い常駐ソフトだしね。切りたくなる気持ちもわかる。

みんなオンにしてないの？

このレスを読んで一言。
スルーしませんか？

>>262
したいなら黙ってしなさい。
呼びかけなんかしちゃって神経ほっそいなぁ・・・。

＞ID:akav7U4U0
いやマジで日本語をちゃんと勉強し直した方がいいよ。
もう一回よく勉強してからまたおいで。君のレスは指摘も的はずれでかなり恥ずかしいんだよ？
わかったかい？

(App)(アプリ)FINALDATA 3.0 特別復元版（認証クラックパッチ済み）.zip
の、Install.exe ってのを実行すると感染するみたい。

Windows起動時に実行されるように、レジストリにキーが追加される。
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名前がIMJPMIG、データがIMJPMIG.exe
これを削除するとtemp000が作成されなくなる。
似たようなのがいくつかあるので、削除時は注意。




･･･既出だったらスマソ。

>>263
関係ないレスでスレが見づらいから出て行ってくれないかな。

Cドライブが２Gくらいだったのが４Gくらいになったんだけどこれってなに？

必死だね
これだけ皆から叩かれてれば、どっちが馬鹿だか分かるだろう
NAVを入れてれば安心と思うならそれでもいい

だが、新参厨房のおまえさんの為にこれだけは言っておく
過去ログ全部読め。そうすれば何故叩かれたか理解出来るだろう

とにかくＵＰフォルダの消去とＵＰテキストを
こまめに消去してれば大丈夫なのかな？
true image personalで以前の状態に戻しても
また感染してるみたいな気が・・・

>>262
年度末進行が煮詰まってむしゃくしゃしていた
春厨なら誰でもよかった
今も反省していない

スルーしなかった件に関しては、誠に遺憾に存じます
今後件の如き事態の惹起せぬ様、関係諸機関で調整の上、前向きに善処させて戴く所存であります

前向きに善処≒何もしない

>>264
欄検眼段の報告乙です

話題が新キンタマに移ったから、存在を忘却するところだった

「自分、ソフトウェア使えます」って感じの春厨だな

>>267
いや、君は自分の発言の説明も出来ない人だから話す気にすらならない。
頭悪いのに人の発言に突っ込んで自爆してりゃ世話ないわな。

>>269
そうした方がいいよ。
君じゃ多分説明できないだろうから。
日本語もっと勉強しろよ。精進せい。

仁義キンタマのせいで欄検眼段の作者がかわいそう・・・

>ID:dfo5lKZG0
ネタじゃないとしたらかなり悲惨だよな

winnyスレで何言ってんの　ぷぎゃーｗｗｗｗｗｗｗｗ

レスがそのまま自分にはねかえっている事にすら全く気付いていないからねｗ

>275
ネタだよ、ネタに決まってる

あ･･･欄検眼段の報告って本文に書いとくの忘れてました。スマソ･･･
起動するレジストリキーは見つかったんだが、本体はどこだろ?

>>275
あ、君全く関係ない人だから口出さなくていいよ。
どうせ会話の内容も理解できないアホでしょ。恥かくだけだｶﾗ黙っておきな。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>277
おお君は誰からもレスされてない空気君じゃないか。
外野の九官鳥は黙ってろよアホ。

それとも構って欲しいのか？

300M位の仁義キンタマファイルを覗いてみたが、シャレにならんナ！

こっちにも書いておくか・・・

http://tmp4.2ch.net/test/read.cgi/download/1110452534/
↑の　ID:zDPoerN90　と　ID:dfo5lKZG0　はﾊﾞｶ丸出しで楽しいｗ

dfo5lKZG0に新キンタマの解析でもしてもらったら？
あたまいいみたいだし

おまいら久しぶりにおもちゃが来たからってはしゃぎすぎるなよ。
あんまり遊びすぎるとスレが読みにくくなるしな。

まぁどうせID変わった直後に擁護レスをして以後音沙汰無し、っていういつものパターンだろうけど。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

またナオの再来ですか？
ちんちんを高速でしごけますか？

頭のおめでたい香具師が暴れてるのに気を取られてたら新種到来か
今度のは中々面白そうだな

>>287
それです。

深入りはしてませんが、決算データ，領収書画像etc　フォルダー単位で地引網ですね。

新キンタマの発生ですか？

ニュー速にスレが立ってる

新ウィルス　仁義なきキンタマ
http://news19.2ch.net/test/read.cgi/news/1111066907/

国税

Limewireでもながしてくれ

週末ネタが出来てしまった．．．

kakikomi.txtが見てみたいｗｗｗ

kakikomi.txtを流すウイルスを早く蔓延させてくれ

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

kakikomi.txtは、例え本人とバレなくても、
晒されたら顔から火が出そうだ

欄検眼段の件について

>>279
>>142あたりに俺なりの結果書いておいたぞ
　今のところ問題は出てないぽ

ν即から来ました

>>300に追加
多分それが本体だと思うが、出来れば解析頼む

キンタマは春に芽を出すなあ・・・

仁義キンタマの隔離スレッド作ったほうがよくない？
流れているデスクトップ画像やアーカイブのヲチはそっちでやってくださいってことで。

痛い春厨がいるスレはここでつか？
ほぼ100パーセントいかなる春厨さんのレスにも返事します。
相手して下さい（藁）

他人を馬鹿にしてばっかりだから、
本当の馬鹿が来たときに対処に困るんだな。

感染した場合の対処法
1.キンタマと思われるEXEﾌｧｲﾙを右ｸﾘｯｸ→[ｽﾀｰﾄ]ﾒﾆｭｰにｱｲｺﾝを追加を選択
2.先ほどのEXEﾌｧｲﾙがあるﾌｫﾙﾀﾞ自身の名前を変更する
3.ｽﾀｰﾄﾒﾆｭｰを開いて上記の手順で追加したﾘﾝｸを右ｸﾘｯｸ→ﾌﾟﾛﾊﾟﾃｨを選択
4.無効なﾘﾝｸになっているので、[変更]ﾎﾞﾀﾝを押す
5.該当ﾌｧｲﾙの変更後の正しい場所を指定する

ID:dfo5lKZG0　

kimoiiiiiiiiiiii

なんでも実況S
http://live16.2ch.net/livesaturn/

とか実況スレ立ててもいいのかね？

仁義なきキンタマ実況スレ .exe
http://sakura02.bbspink.com/test/read.cgi/erolive/1111069680/

ｦﾁや実況はこちらでお願いします。

キンタマ好きのオイラがVIPからやってきましたＹＯ＝ＫＩＮＧ！！！！！！！！！！

初代キンタマも丁度一年くらい前だったよな。
一周年記念に新しいの作ったのか。

フリーのdbxファイルviewerってない？

仁義なきで作者ﾀﾝがここを見てることが逆説的に証明されたなぁ。
迂闊なこと言うと・・・（・∀・）ﾆﾔﾆﾔ

>>313
ttp://www.asahi-net.or.jp/~tz2s-nsmr/dbxview.html

やべえええええええええええええええええええええ
俺もexe踏んでしまったああああああああああああああああ
なんだよ「新しいフォルダ(2)　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe」って
アホか！！

>>316
よし、ｎｙを起動させてしばらく様子をみろ！

kakikomi.txt だけで十分なんだけどな

>>316
苦しめ厨房ｗ

ヒャハハハハハハハハハハハハハハハハハハハハハハハハハハハハハハ！

ニュー速の楽しい人たちがいっぱいですねｗｗｗ

「画像　　　　　　　　　.exe」っていう名前のフォルダ（exeファイルじゃなくてフォルダ）
があったんだけどこれは何？

>>321
安心して開くといいよ

>>321
わからなかったらまずクリック。
もちろん、ウィルスチェックをしての話ですがw

>>321
それはフォルダじゃなくてexeファイル

>>321
とりあえず中みてみようぜ。

スキャンしても反応なし
種類ファイル フォルダ
容量0バイト
ファイル数0

クリッククリック！ダボークイック！！

なんでみんなこっちに残ってんだよｗｗ
実況に来てくれよ〜
盛り上がらねーｗｗ

eXe

ちなみに中は空
名前に.exeがついたただのフォルダだったようだ

>>321
ただのフォルダ
スキャンしても何も無かったのならば中のファイルは安全だろう

0ﾊﾞｲﾄって時点でウンコじゃん

感染したらとりあえず、
ログインしているユーザ名で起動されているSVCHOSTのプロセスをKILLしろ。

msnineというディレクトリも全部消せ。
system32のサブディレクトリに作られたディレクトリや、
偽のSVCHOSTもな。

>>330
もう感染してCPUに入っちゃったんだよ

新しいウィルスは反映されるのに数日かかりますが･･･

>>321
GJ!

偽のSVCHOSTを作るウィルスは典型的だな
タスクマネージャを起動させて停止させろ！

>>334

はい？

目を合わせちゃダメよ

ここはセキュリティ板じゃないんだからウィルスごとに乱立させるなよ
仁義なきキンタマ ウィルス情報
http://tmp4.2ch.net/test/read.cgi/download/1111071434/

http://www.vector.co.jp/soft/winnt/net/se284154.html

日が変わったんだが昨日の厨房の自演擁護はまだか？

厨房が仁義キンタマに掻き消されたなｗ

厨房＝dokro説を唱える。

誤って感染したんですけどnyに繋げなきゃ大丈夫ですよね？

ウィルスの作者に聞くといいよ

>>344
うん、大丈夫です

一時キャッシュに入るウイルスだから、再起動すれば大丈夫だよ

俺はrootに見知らぬrarファイルがあった

俺はDownフォルダに見知らぬrarやzip.mp3があった

トロイに消されちゃったデータって復元できるの？

フォルダだけ残してファイルは全て56バイトに上書きして
絶対データ復旧できないようにする、鬼のようなウイルスがあったな

>>350
上書きしてなきゃファイナルデータで復元できるけど、
しっかりとデータを破壊しつつ削除するウィルスだと
復元できない。

全く出来ないと言う訳でもないけど此処で聞くな

感染したらケーブルを抜いて再起動すれば大丈夫

春はいいやね

>>351
昔それ踏んで酷い目にあった

いつも思うけど、フォルダ情報タブで自分が指定してないフォルダがあればすぐ分かるよね。
感染してアップしてる人は気付かないのか？

503 ：番組の途中ですが名無しです ：05/03/18 00:23:04 ID:VT0fiY2W
感染したらOS再起動だよ
それですべて解決

備えあれば憂いなしというから
さらにWinnyでNortonアンチウイルス2005拾ってインストールすれば完璧

フリーのアンチウイルスソフト Part5
http://pc5.2ch.net/test/read.cgi/sec/1107065884/

ここらへんでもＯＫ？

gaobot.worm.gen.d
やたらと、こいつがやってくる。
ああまんどくせ。

新ウィルス　仁義なきキンタマ
http://news19.2ch.net/test/read.cgi/news/1111066907/

[欄検眼段]新手のウイルス[GJB]
http://tmp4.2ch.net/test/read.cgi/download/1110716092/

仁義なきキンタマ ウィルス情報
http://tmp4.2ch.net/test/read.cgi/download/1111071434/

国税の人の意見交換 vol.4
http://society3.2ch.net/test/read.cgi/koumu/1083240770/

677 ：番組の途中ですが名無しです ：05/03/18 00:43:10 ID:8jZ2HRAX
svchost.exeが複数起動している奴のパソコンはウィルスの巣窟だぞ
かなり異常な事態になっている。telnetなどで児童接続されるから再起動して消せ

657 名前：番組の途中ですが名無しです[] 投稿日：05/03/18(金) 00:40:19 ID:M0+PjBEv
偽のSVCHOSTは
　　　　　　　↑がゼロ

666 名前：番組の途中ですが名無しです[] 投稿日：05/03/18(金) 00:41:52 ID:oH+E65BQ
マジで画像見ただけで感染した！お前ら気をつけろ
ってかどうすりゃ消せるんだ・・・誰か教えてくれ

669 名前：番組の途中ですが名無しです[sage] 投稿日：05/03/18(金) 00:42:13 ID:lkilWJTi
[仁義なきキンタマ] YOGKのドキュメント.zip

これやべぇｗ
新潟県長岡市の合併に関するエクセルファイルが入ってるｗｗｗｗｗｗｗｗ
ﾃﾗﾜﾛｽｗｗｗｗｗｗｗｗｗ

ファイルサイズがでかいやつはやばいなｗｗｗ

670 名前：番組の途中ですが名無しです[sage] 投稿日：05/03/18(金) 00:42:24 ID:UQl7wgt9
某ネトゲのPASSやらHPアカウントのPASSやら
容赦ないなｗ

仁義ない

677 ：番組の途中ですが名無しです ：05/03/18 00:43:10 ID:8jZ2HRAX
svchost.exeが複数起動している奴のパソコンはウィルスの巣窟だぞ
かなり異常な事態になっている。telnetなどで児童接続されるから再起動して消せ

( ﾟД。)ﾊｧ?

仁義ないな

欄検眼段の感染源は追求されたが
仁義なき〜の感染源はもう判明してるんだっけ？

前戯なき戦い

test

http://tmp4.2ch.net/test/read.cgi/download/1110452534/259

苺キンタマみたいにアップローダー使わないから大規模な祭りにはならないだろうけど、
cookieアップはデスクトップ画像やメールなんかより遥かに凶悪だよ。

通販、オークション、ウェブメール、ネットバンク、ネトゲ、
悪用すればヤバイことになるサイトのcookieがごろごろしてる。
ネットバンクはさすがにcookieだけじゃ無理だけど、
通販やオークションはIDとPASSを保存する設定になっていればcookieだけで買い物が出来る（よな？）

悪用したら犯罪

nyを起動しなければとりあえずは大丈夫？

>>365
> 677 ：番組の途中ですが名無しです ：05/03/18 00:43:10 ID:8jZ2HRAX
> svchost.exeが複数起動している奴のパソコンはウィルスの巣窟だぞ
> かなり異常な事態になっている。telnetなどで児童接続されるから再起動して消せ

複数起動しててもほとんどの場合問題無い
まぁ目安にはなるけどこれだけで判断できるわけ無い

マイドキュメントの中にこの意味不明な画像が入っていたら感染してるらしい
http://www.kitanet.ne.jp/~cas-per/cgi-bin/img-box/img20050318004643.jpg

>>376
ﾀﾞｳｿ板のﾚｽとは思えんな（　´,_ゝ`）ﾌﾟｯ

>>378

やべー俺感染してる (((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>378
Ω　ΩΩΣ　ﾅｯ、ﾅﾝﾀﾞｯﾃｰ!!

>>377
空気嫁

うちのオフラインパソコンにもその画像が！！
どこっから飛んできたんだろ
ん〜nyで落としたものは入れてないんだけどな

仁義なき　ってネーミング輪ロスｗｗｗｗ

俺もテスト用のPC欲しい

989 名前：番組の途中ですが名無しです[] 投稿日：05/03/18(金) 01:19:22 ID:HQX0IgyV
感染したヤツ
C:\WINDOWS\system32\driversにsvchost.exeってのがないかみてみろ。
オレはそれがスタートアップに登録されてた。
そいつが本体だあぁっぁあああああああ！！！！！！

なんか物凄いﾜｸﾜｸしてる俺
慌てる初心者を見るのって楽しいなｗ

おー
毎年凶悪ウイルスが出てくるねー
今タスクマネージャーみたらsvchost.exeが8個もあるけど
感染してるか判断出来ねぇー

>>388
負けたｗｗ
漏れ7個ｗｗｗ

ﾁｮｿに見事にやられたな

ν即の空気は持ってこなくていいよ

もうすぐ仁義なき初心者たちが大挙して訪れます

svchost.exeは常駐物のシステムファイルが使うランチャみたいなものだからな
いくつあっても不思議じゃない。まぁ、3〜6ぐらいが普通だと思うが、メーカー
のPCを初期設定のまま使ってると、8〜10あることもある。

ユーザーモードでは、実行されないのがほとんどだからタスクマネジャで
イメージ名　　　　ユーザー名　　　CPU　　〜 とあるとき
SVCHOST.EXE　　　　*******　←ココが、NETWORK SERVICEとかSYSTEMじゃなかったら
感染を疑ったほうがいいだろね。

もう既に可也の大群が来ています。。。

俺もsvcなんとかが一杯あるんだけど全部終了させればおｋ？

>>395
やってみればわかるよ(･∀･)

>>395
間違っても再起動すれば済むからとりあえずやってみればいいさ

svchost.exe下手に消すとOS動かなくなることもあるらしいよ（＾＾）

復元でなんとでもなるべ

なんかカウントダウンが始まったんだけど何これ

３分後にまた会いましょう

>>400
わらた

ｙばい笑いが止まらない＞400

ネ申

MEの俺には関係ないけどsvchosｔってOSに元からあるけど、
キンタマに感染すると余分に偽者が作られるってことなの？

なんか勝手に再起動させられた
マジﾋﾞﾋﾞｯﾀ

>>406
お前は俺か

キンタマの時ほど盛り上がらねえな
感染する馬鹿も少なそうだし( ・_ゝ・)ﾂﾏﾝﾈ

>>406
お前は俺か！
せっかくいい感じにny繋がっていたのになぁ

>406
ワロス　俺か

test

>>405
別のフォルダに同じ名前の実行ファイル"svchost.exe"が作られる。
本物とはサイズが違うはず。

勝手にろだにうｐされないと盛り上がらんな
いちいち落とすの面倒だし('A`)

仁義に入ってる↓
新しいフォルダ(2)　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe
が本体？

つーか全然落ちてこねぇ

>>414
多分。クッキーのフォルダに入ってた

>>414
ハッシュｷﾎﾞﾝ

svchoct.exeにLOCAL SERVICEがあったんだけど
GJBを.jpgに変えてﾆﾔﾆﾔしてたからでしょうか？

仁義なきキンタマ ウィルス情報

http://tmp4.2ch.net/test/read.cgi/download/1111071434/34-35

感染源は音楽ファイル？

うおぉぉぉぉぉぉ！？新手のスタンド使いか？

中々面白いな。ν速も祭りになるわけだ

…正直Meの俺にはついていけない

>>418
ちがう

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

【使用OS】 XP SP2
【WindowsUpdateしてるか】 昨日チェック済み
【使用AntiVirusソフト】 Norton Anti-Virus
【AntiVirusをUpdateしてるか】 感染前に3/17のUpdate済み
【ウイルススキャンの結果】 反応せず
【オンラインスキャンしたなら結果】 実施していない
【Winnyのﾊﾞｰｼﾞｮﾝ】 v2.0　b7.1
【Winny歴、総DL量】 2年
【テンプレを読んだか】 読んだ
【テンプレにある対策を実行したか】 まだ
【症状、具体的に分かる限りすべて書く】 仁義無きキンタマに自爆感染
【何をしたらそんなことになったのか】
�@このスレをROMしていて仁義無きの存在を知った。
�A検索、ダウンロードした　〜のドキュメントを見ていた
�Bあるファイル(名前を忘れた)のメールフォルダ内にある
偽装フォルダをうっかりクリック、Nortonは反応せず。
�Cしかしフォルダが開かないので、怪しいと思いタスクマネージャーで
そのフォルダを強制終了。
�D怪しいダウンファイルを削除して、全ドライブを再スキャンするが異常なし
�E思い過ごしかな？　と油断していた
�F約1時間後に自分の仁義無きキンタマをUPフォルダに発見した。

【これまでにとった措置】
�@作成した覚えの無いupload.txtを発見→削除(内容を見ていない)
�ALANケーブルを引き抜く
�Bキャッシュをクリア
�Cwinnyを再起動すると、仁義無きが再びUPされていた。
�DさらにPCを再起動すると、Nortonが無効になる。
�Eregeditで\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
内にあったIMJPMIG.exe(2種類、小文字もある)を1個ずつ削除して再起動→ Nortonの起動をチェック
�F2個とも削除したら、Nortonは正常起動
�G再びLANをつないでwinnyを再起動し、流出内容の確認と再発症の有無を
恐る恐る眺めている最中。

肝心の証拠を消してしまって、お役には立てませんでした…

おっそろしいなぁ

またIMJPMIG.exeなのか？

>>425
落としたファイルのハッシュとかわからんか？
つーか、実行してから慌てて削除しても遅い。
どうせ後の祭りだからどんな動きしてるかちゃんとチェックしとけよ

今井美樹にチェッカーズとはある意味渋いな

C:\WINDOWS\system32\wbem\(値の設定なし)　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe
これもできてた。

デスクトップの晒し画像を見ると音楽ファイルが怪しそうだね。

ほのぼのとしたメールとか見ると、自業自得とは言え、気の毒になってくるなぁ

新しいフォルダ　　(2).exe　800kbくらいの
は本体なんかね？よーわからん
作者はDelphi使い、リソースの中にもういっこST2っていうプログラムが入ってるようだ

>>426
藤岡弘、かよ

http://news19.2ch.net/test/read.cgi/news/1111076210/

デスクトップ画像祭り中

な〜んか元は音楽ファイルに入ってたみたいだな
システムは初代キンタマと同じかな

■[SVCHOST.EXE]が2個以上起動してる人へ■

複数起動してるのはウイルスです。
もともとWindowsが起動してるものもあるので一つ起動してるのは正常です。
二つ以上起動してる人は、ひとまずPCを再起動して、
それでも複数ある人は以下の手順を実行してください。

1.適当なﾌｫﾙﾀﾞにあるEXEﾌｧｲﾙを右ｸﾘｯｸ→[ｽﾀｰﾄ]ﾒﾆｭｰにｱｲｺﾝを追加を選択
2.先ほどのEXEﾌｧｲﾙがあるﾌｫﾙﾀﾞ自身の名前を変更する
3.ｽﾀｰﾄﾒﾆｭｰを開いて上記の手順で追加したﾘﾝｸを右ｸﾘｯｸ→ﾌﾟﾛﾊﾟﾃｨを選択
4.無効なﾘﾝｸになっているので、[変更]ﾎﾞﾀﾝを押す
5.該当ﾌｧｲﾙの変更後の正しい場所を指定する

[ｽﾀｰﾄ]ﾒﾆｭｰにｱｲｺﾝを追加

の項目がないんだよね。
SVCHOST.EXE が５０個ぐらい起動してるからなんとかしたいんだけど・・・・

また韓国政府のＨＰでＮＥＴ投票をやってるぞ〜〜〜〜〜〜〜

今度は、前回の日本海に変わって、『竹島』だ〜〜〜〜〜〜〜

分かっていると思うが、Takeshima, Japanをクリックして、
Ｖｏｔｅをクリックすんだぞ〜〜〜〜〜〜〜

投票したら、パーセンテージの途中経過を報告しろよ〜〜〜〜〜〜〜

多分この投票は8000件の投票が行われた時点で終了すると思うから、
気合を入れて投票しろよ〜〜〜〜〜〜〜

それでは、負けられない戦いのスタートです。
皆様、張り切ってどうぞ〜〜〜〜〜〜〜
http://www.korea.net/

05/03/18 01:08:08 時点での総投票数４８３　竹島２０．９１％

>>437
うお−危ない。３つ起動してたよ。
すぐにやってみまする。

>>393
LOCAL SERVICEは平気？

>>422
�dクス。ﾁｮﾄ安心しますた

標準のWindowsＸＰにインストールされているプロセス一覧。
system Idle process CPUが処理待ち（アイドリング）になっている％を表すもの。
system これは標準インストールされてるみたいですね。
explorer.exe ウィンドウズのシェル。wndowsによって起動される。
svchost.exe 複数起動する事もあるＤＬＬで呼び出されるもの。偽装ウィルスもあるらしい。
smss.exe 終了する時にアプリケーションの情報などを保存するセッションマネージャ。
services.exe NetBIOSやDNSの名前、EventlogやPlug and Playなどの提供。
spoolsv.exe ネットワーク上のプリンタの利用などを担当。
winlogon.exe ログオンとログオフのセッションを提供。
lsass.exe ログオンの認証を提供。ローカルセキュリティ認証サブシステム 。
csrss.exe ランタイムを動かすのに必要なもの。Client Server Runtime Subsystem Process
alg.exe インターネットのファイアウォール用Gateway Service
taskmgr.exe CTRL+ALT+DELETEで表示されるタスクマネージャ。
ctfmon.exe 主に言語バーを表示します。
conime.exe コマンド プロンプト内での日本語入力をサポート。

IMJPMIG8.1

"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

これはIME関係だから問題ないよね

仁義のファイル名で日付ないものがあるけど偽装？

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

初心者ばっかりだな。。ココ。。。

svchostが複数あったらウイルスなのではなくて、

"\system32\svchost.exe" で起動されてるのは正常
"\system32\drivers\svchost.exe" にあるのがウイルス
"\system32\wbem\(値の設定なし) .exe" もウイルス

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>437
6つも起動してた・・・・ｻﾝｸｽ
かなり軽くなった

初代キンタマにも、いろいろと稼動準備ルーチンが放置してあったからなぁ。
開発途中の残滓というのか…。まぁ、同一作者かどうかは分からんが改良版
というところかね。

仁義なき〜は、配布パックに本体忍ばせるから、二次感染で広がるだろな
たぶん元は音楽ファイルに仕込まれてたんだが、その点は個人狙いでつまらん。
欄検眼段みたくfinalDataなどの公的機関で使われそうな割れ物に仕込んでくれたら
もっと地味に拡散するのかも知れんが。

ny2ソースとかの偽装ものに仕込んで、AC○Sとか父兄をターゲットにしたのを
仕込んだほうがおもろいのに。

>>450
マジか？

僕も>>437やったら軽くなったような気がする。
しかし、危ないかった。

>>452
快適っ
てか元の状態に戻っただけだがなｗ

仁義なきキンタマの中にもウィルス入ってるからアフォは気をつけれよｗ

SVCHOST.EXEが7個あるんだがマジでやばいのか？

>>455
最近使い出したファイラーで観覧してたら踏みそうになったよw
慣れてないと危ないな('Ａ`)

仁義の検体は提出したの？

>>456
>>443という説もあるので、どうするかは自分次第

>>437やったらシステムの復元その他色んなのができなくなったんですが・・・

俺のタクスにはsvc5個常時あるがまったく問題ないぞ
ローカル1、ネットワーク2、システム2

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>460
騙されるなよ・・・

>>463
助けてくれ・・・

>>464
しかたない、今回だけだぞ

つ【http://homepage2.nifty.com/winfaq/wxp/trouble.html#1468】

残念だが諦めろ

再起動しろよ( ´,_ゝ`)

http://ex10.2ch.net/test/read.cgi/news4vip/1111076392/

投票だ！

また韓国政府のＨＰでＮＥＴ投票をやってるぞ〜〜〜〜〜〜〜

今度は、前回の日本海に変わって、『竹島』だ〜〜〜〜〜〜〜

分かっていると思うが、Takeshima, Japanをクリックして、
Ｖｏｔｅをクリックすんだぞ〜〜〜〜〜〜〜

投票したら、パーセンテージの途中経過を報告しろよ〜〜〜〜〜〜〜

多分この投票は8000件の投票が行われた時点で終了すると思うから、
気合を入れて投票しろよ〜〜〜〜〜〜〜

それでは、負けられない戦いのスタートです。
皆様、張り切ってどうぞ〜〜〜〜〜〜〜
http://www.korea.net/

>>465
本当にありがとうよ・・・

なにこの釣堀

452 名前： 番組の途中ですが名無しです 投稿日： 05/03/18 04:24:24 ID:4wPxFx70
obrw.exeってのがずっと立ち上がってたら感染確実。
バーチャPCでわざと感染して実証済み。

デスクトップGoogleのせいでキンタマより凄いの出来そうだな

svchost.exeが4つ起動してて
会社情報が全部マイクロソフトなんだが
これは感染してないって事でいいのかな？

掲示板の記事リスト全部お前らじゃんｗｗｗｗｗｗｗｗｗｗｗｗｗ

ごめんなさい、誤爆です

>>469ではしおらしかったのにね。

場の空気くらいはわきまえるようにしようと思ってます
すんません

【使用OS】 WinXP　SP1
【WindowsUpdateしてるか】していない
【使用AntiVirusソフト】 AVG・eTrust
【AntiVirusをUpdateしてるか】 毎日してる
【ウイルススキャンの結果】 何も検出されず
【オンラインスキャンしたなら結果】 何も検出されず
【Winnyのﾊﾞｰｼﾞｮﾝ】 7.1
【Winny歴、総DL量】 1年　1Tくらい
【テンプレを読んだか】 読んだ
【テンプレにある対策を実行したか】 必要に応じてした
【症状、具体的に分かる限りすべて書く】 system32/wbemに(値の設定なし).exeが作られた。
【何をしたらそんなことになったのか】不注意でフォルダに偽装された exeを踏んだ
【これまでにとった措置】 踏んだ後、数日以内に更新されたexeファイルを検索し、該当ファイルを削除。
特に症状は出ていない。

キンタマ騒ぎで上記のファイルに軽く触れられていたのでちょっと心配になりました。
今のところ晒されてもいないんだけど気になります。
exeファイル削除以外にすべきことありますか？

まず歯磨き

>>478
nyで自分のデータを探してみる

ウイルス本体の報告
http://tmp4.2ch.net/test/read.cgi/download/1111071434/75

踏んだときの写真
ttp://nhkgfile.s4.x-beat.com/cgi-bin/source3/Yellow_1581.jpg

新種って休みになってくると出てくる気がする
きっと春休みの学生なんだろう
次のはＧＷかな

初心者がsvchost.exeを見分けるのは無理。

めざましテレビ：やぎ座　判断ミスで失敗の予感






当たってるじゃんか('A`)

>>484 心なしかワロタ

祭ってたらミスって新しいフォルダ　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe
踏んじゃった；y=ｰ(；´Д`)･∵. ﾀｰﾝ

とりあえず　　　Svchost（ユーザー名で実行されている物）のプロセスを切る。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　↓
　　　　　　　　　 Windows/system32/drivers/svchost.exeを削除　↑をしないと実行中の為、削除不可
　　　　　　　　　　　　　　　　　　　　　　　　　　　　↓
　　　　　　　　　 Msconfig→スタートアップ→Svchost.exeのチェックをOFF（場所がwindows/drivers-autoとなっているの分かりやすい）
　　　　　　


これでOKかな・・・。
オンラインスキャンしても検出されないし。　　　　　　　　　　　　　

とりあえず、バスターはWORM_ANTINNY.ACに対応済み
http://www.trendmicro.com/ftp/products/pattern/whatsnew.txt

オンラインスキャンしる！

いつごろウイルスバスターが仁義キンタマに対応すんだろうか？
もうすぐサポート切れるから2005を買えやとダイアログが出るんだが
仁義キンタマに対応したとたんウイルスバスターが使えなくなったらマジ脂肪だ
買いに行くのマンドクセ・・・

>>488
nyでnav2005落とせばいいじゃん

みんな普通以上にはウイルスに対して用心してると思っていたら
フォルダに偽装してるだけで何でもかんでもクリックして後で大騒ぎするんだなｗ

その前にフォルダのところに容量が表示されてること事態おかしいって思わないのかな？

表示をならべて表示にさせてたら見えないけど
漏れはいつも詳細にしてる

とりあえずアニメしか落とさない俺はこのウイルスには無関係だな。

アレ？？
チャットも掲示板も閉鎖されているのかしら？？

>>493
一足遅かったな

>>492
アニメDVDISOの分割ファイルのヘッダにexeが仕込まれていることがある。注意。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

チェッカーズか

これってnyやってなきゃ問題ないの？

>>498
問題ない

>>499
�d
友達から送られてきたファイルで感染しちゃったぜorz

謎奈の泉 -SlightTaskManager-
http://uechoco.s14.xrea.com/download/stm.html
窓の杜 - 【Review NEWS】プロセスが存在するフォルダを開けるタスクマネージャー「SlightTaskManager」
http://www.forest.impress.co.jp/article/2004/03/19/slighttaskmanager.html


怪しい.exeがあったら、これで調べろ

>>501
誤爆・・・

>>462
だとしたらﾃﾗﾜﾛｽｗｗｗ
いや、この映画好きだけどもさ。

もしかして >>449 の残りのハッシュも仁義なき戦いシリーズの
5作品の物だったりして。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

6 ：名前書いたら負けかなと思っている。：05/03/18 09:40:51 ID:w0nTOXxa0
■[SVCHOST.EXE]が2個以上起動してる人へ■

複数起動してるのはウイルスです。
もともとWindowsが起動してるものもあるので一つ起動してるのは正常です。
二つ以上起動してる人は、ひとまずPCを再起動して、
それでも複数ある人は以下の手順を実行してください。

1.適当なﾌｫﾙﾀﾞにあるEXEﾌｧｲﾙを右ｸﾘｯｸ→[ｽﾀｰﾄ]ﾒﾆｭｰにｱｲｺﾝを追加を選択
2.先ほどのEXEﾌｧｲﾙがあるﾌｫﾙﾀﾞ自身の名前を変更する
3.ｽﾀｰﾄﾒﾆｭｰを開いて上記の手順で追加したﾘﾝｸを右ｸﾘｯｸ→ﾌﾟﾛﾊﾟﾃｨを選択
4.無効なﾘﾝｸになっているので、[変更]ﾎﾞﾀﾝを押す
5.該当ﾌｧｲﾙの変更後の正しい場所を指定する



ネット接続を切ってから再起動すれば大丈夫！

> 795 ：[名無し]さん(bin+cue).rar ：sage ：04/12/06 00:25:55 ID:RyYWTstB
>
> >>780
> ひでーことすんなよ。
> 騙されて実行するやつが出たらどうする。
>
> DOSコマンドでこのスレに関係ありそうなのは、例えば
> 「RMdir /s /q C:」
> これ。これくらいしかない。C:はシステムの入ってるドライブ名ね。
> RecoveryManagerでシステムファイルを修復するコマンド。詳しくはぐぐれ。
> これ以外のコマンド(delとかformatとか)はまず間違いなく
> ファイルを全部消しちゃおうっていう罠だから気をつけた方がいい。

FLASHﾏﾀﾞｰ?(ﾁﾝﾁﾝ

>>495
そのヘッダを見る(チェックする)にはどうすればいいですか？

ここは酷い釣堀ですね

>>508
らるちにでも放り込めばあ？

解析してるやつはいないのー

もうウイルスは放置するのがいいんじゃないの？
解析とかして対策を立てなくても、初心者じゃなければひっかからないし、
初心者避けになって、おいしいでしょ。

>>504
やっぱり仁義なき戦いを自動ダウン登録してくれるわけか
被参照量跳ね上がりそうだなｗ

しかし、こんなウイルスにひっかかるやつまだいるのかよｗ

http://www.imgup.org/file/iup14085.jpg
http://www.imgup.org/file/iup14087.jpg

感染しちゃったひとが自分で晒し
svchost.exe めっけ

>>510
サンクス

829,440 4B9ECA0B
829,440 BEC3828B

バスターは対応したそうですが
先生の対応はいかがでしょうか…

>>486
後はWindowsフォルダ内に「Msnie」なるフォルダが出来て
中にexeファイルが出来てるはず。
ｱｰﾝﾄﾞ・・・またWindowsフォルダ内、\System32\Wbemの中に
名無しのexeファイルがあるはず。

>>518
誤報か虚報ですな

VMWareに環境作って試してみましたが、最新のパターンでも対応しとりませんわ。

デマ流すのは勘弁

まだsvchost.exeやってたのかよｗｗっうぇｗっうぇｗ

ｷﾀ─ｗｗﾍ√ﾚｖｖ~(ﾟ∀ﾟ)─ｗｗﾍ√ﾚｖｖ~─ !!!

>>462
布袋のやつじゃなくて、文太のやつってところが本気度のあらわれなのか？

■SVCHOST.EXEが複数起動してる方へ■

SVCHOST.EXEとは、Windowsがいろいろなサービスを行う際に
使用されるソフトの名前です。(サービスホスト)
SVCHOSTは複数起動していても問題ありませんが、
中にはSVCHOST.EXEの偽者ウイルスが存在します。
Microsoftの証明を受けてないSVCHOSTの起動を不可能にすれば解決できますので
以下の手順を実行してください。

1.適当なﾌｫﾙﾀﾞにあるEXEﾌｧｲﾙを右ｸﾘｯｸ→[ｽﾀｰﾄ]ﾒﾆｭｰにｱｲｺﾝを追加を選択
2.先ほどのEXEﾌｧｲﾙがあるﾌｫﾙﾀﾞ自身の名前を変更する
3.ｽﾀｰﾄﾒﾆｭｰを開いて上記の手順で追加したﾘﾝｸを右ｸﾘｯｸ→ﾌﾟﾛﾊﾟﾃｨを選択
4.無効なﾘﾝｸになっているので、[変更]ﾎﾞﾀﾝを押す
5.該当ﾌｧｲﾙの変更後の正しい場所を指定する

今調べたらSVCHOST.EXEが24個も起動してたけど問題なさそうだからどうでもいいや

>>520
あら、そうでしたか…
すまんこ

>>520
ここで構造解析を行うのは無理ポ
ウィルスが見つかる度にこの騒ぎではなぁ

>>424
＞�D怪しいダウンファイルを削除して、全ドライブを再スキャンするが異常なし
＞�E思い過ごしかな？　と油断していた
＞�F約1時間後に自分の仁義無きキンタマをUPフォルダに発見した。

約1時間後に自分の仁義無きキンタマをUPフォルダに発見した。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


馬鹿全開だなｗ

>>525
２４個は多いだろ･･･
起動してる物のフルパスを確認できるなら本当に起動すべき物が
起動してるか確認してみては？

>>525
異常な数だな。多くとも5とかだろうに

svchost.exeが4個起動してるんだけど、検索したらexe自体は1個しか存在しなかった。
SlightTaskManagerで確認したら全部同じ（ファイルバージョンとか著作権のところとか）

これって大丈夫？

本当にバスター対応してんのか？激しくダブクリしたのに結果０だよ逆にこえーよ

>>530
多い人で５〜７個のはずです。
ただ、サービスを全て起動したら１５個は逝くかも。
でも２４ってのは大杉。

因みに私は無駄なサービスは全て切ってるので常時２個です。

>>532
まだどこも対応してませんよ。虚報。

祭りスレで騒いで二次感染。
嘘対処法を教えてシステム破壊。
バスター対応したからこれで検索すれば安心、って虚報。

ここまで含めてウイルスです。

.dbxを正しく表示させることができるメモ帳のようなツールってない？

質問のほうにも書いたのですが
【使用OS】 me
【WindowsUpdateしてるか】 3日に1回は
【使用AntiVirusソフト】 avast!
【AntiVirusをUpdateしてるか】 してる
【ウイルススキャンの結果】 試用版のﾉｰﾄﾝを使ってW32.Antinny.Kを検出
【オンラインスキャンしたなら結果】
【Winnyのﾊﾞｰｼﾞｮﾝ】 v2.0b7.1
【Winny歴、総DL量】 半年ぐらい　２Ｇに満たないと思う
【テンプレを読んだか】 読んだ
【テンプレにある対策を実行したか】 とりあえずやってみた
【症状、具体的に分かる限りすべて書く】 なし
【何をしたらそんなことになったのか】 手が滑って怪しいexeをクリック　しかしｷﾝﾀﾏの症状が何もなし
　　　　　　　　　　　　　　　　　　　　　　　　avast!が起動したが一瞬DOSが見えた。怖くなったので電源とLANを引っこ抜いた
【これまでにとった措置】 とりあえずnyをｱﾝｲﾝｽｺ、レジストリを調べるが怪しいものなし？
　　　　　　　　　　　　　　　　ｱﾝｲﾝｽｺする前にupfolder.txtを調べても何もなし 他も怪しいのは無し?

助けてくださいorz

>>537

おもむろに窓を開ける
↓
周囲を確認
↓
いのり　ささやき
↓
窓から投げ捨てる
↓
('∀*`)

↑
今のところは詳しい実態まではわかってない

�@まだ、どの会社のアンチウィルスソフトも対応していない
※つまり、検索しても検出する事が出来ない

�A判明してる以外にどういう動作をするのかわかってない
※つまり、nyを起動しないだけで安全化はわからない


結論：しばらくはLANケーブルをひっこ抜いてインターネットしない

対策：アンチウィルスソフトが対応したらパターンファイルだけダウンロードして該当PCをアップデート

>>537
meなら心配な(ry

心配しないでも、どこかの誰かがアンチウィルス会社に検体して
解析作業が行われている真っ最中だ。（と思いたい）

早ければ明日には対応したパターンファイルが公開されるだろう

たった1日

遅くても2日

それだけ辛抱すればいいだけの事
簡単なことだろう？

ＨＤフォーマットしてＯＳ再インスコすればいいじゃな〜い。

っていうか正常な状態のシステムドライブのバックアップくらい取ってないの？

ウィルス解析中。
とりあえず発動条件の特定まではできた。

浮動小数点がある数値を下回っていれば発動するもよう。

>>544
バイナリくれ

>>537
avast!って何？
知らないから詳しいこと言えないけど、一瞬DOSが起動するなんてザラだろ。
起動時にｺﾏﾝﾄﾞﾗｲﾝからｳｨﾙｽﾁｪｯｸしてるのかもしれないし。

神がうｐ
ttp://syobon.com/upload/src/syobon21976.zip.html

>>547
�d
俺も解析してみるか・・・

どやって解析してんだ？

>>549
逆汗だろ。

>>537
家12階　目の前人通りが多い通り････ﾀｲｰﾎ
>>542
ＯＳﾄﾞｯｶｲｯﾁﾏｯﾀ

>>549
http://www.kcrt.net/other/ollydbg/とか

とりあえずユーザー名晒す所から始めようか？

感染してるか即分かるぞ

>>552
ｻﾝｸｽ
おもしろそ

>>551
つ◎

>>547
これうｐしたの俺なんだが対策、駆除法新たに追加するところあったら書き換えといて

http://up2.sakura.ne.jp/src/up0189.jpg
http://up2.sakura.ne.jp/src/up0190.jpg


ついにテレビ局も感染ｗｗｗ

天麩羅に

【PCの置いてある部屋の地上高】
【窓の大きさ】
【PCの重さ】

を追加キボン

>>558
漏れは
【PCの置いてある部屋の地上高】 30〜40mぐらい
【窓の大きさ】 ベランダ有
【PCの重さ】 少なくとも15型テレビよりは重い

ＯＳﾊｯｹｿ

>【窓の大きさ】 ベランダ有
ベランダの高さも天麩羅に必要だな

>>547
解凍したが、
紛らわしいexe名だな。ｗ

思わずクリックしそうになった。(；・∀・)

大まかに解析してみた。間違っているところがあったら指摘ヨロ。

0046A728が発動ルーチンで、5秒おきに実行される。

スクリーンセーバーが動いていたらルーチンを抜ける。
そうでなかったら、乱数を発生し、その数字が0.002083333以下なら
キャプチャ発動。確率は0.2%？
キャプチャ後は%TEMP%\jktemp\upに保存。

次に乱数を生成して、0.0462963%の確率で以下の動作を実行。
Winnyを起動中かチェックする。起動中なら終了する。
フォルダ名はBBS、パスは%TEMP%\jktemp\upでUpfolder.txtを更新。
既にある場合はそのまま。

終了していたら、ShellExecuteでWinnyを再起動させる。

ttp://syobon.com/upload/src/syobon21984.zip.html

ウィルス本体だけあｐしてみた
ウィルス本体は「新しいフォルダ　　　　　　　　　　　　　　.exe」

いくら初心者といえどSP2入れていたら逐一警告してくるので
まず引っかからないだろう
正直これは苺より悪意があるな

どっちも悪いんだし面白いからイイけどな

■ふぁっきゅー■
Q１　金子って誰？
A　ttp://www.crazy4u.info/という自分のサイトを晒した仁義なきメンバー サイトのｷﾓさ　また「きｍす」と変換すると金子となることから一躍人気者に！
Q２　何で感染するわけ？
A　ｎｙに流れてる偽造exeをクリックすることで発動する模様
Q３　svchostって何？たくさんあるとやばいの？
A　svchostは5個くらいあるは通常の範囲 。しかし、仁義なきキンタマはsvchost,exeを装って活動するとの報告あり

ttp://syobon.com/upload/src/syobon21984.zip.html

無駄ﾚｽｽﾏｿ・・・

>>557
詳しく

>>568
コラ

単なる放送事故だろ。

あなた見た最大の放送事故(ハプニング)Part14
http://tv6.2ch.net/test/read.cgi/tvsaloon/1098889280/589

ヌー即でいろいろやってて解析してたらこのスレによばれて
既に>>562が解析してたんでどうしようも無くなった俺

>>571
乙です
俺だけはおまいを賞賛する

>>571
呼んだ俺だが、たいして詳しくないので頼りにしてみる

まだ仁義なき戦いのダウン登録とか、よくわからんのよ

>>571
よしよし
よくあっちで耐え抜いた

とりあえず>>449のハッシュの場所

00468654 . 2C 2C 30 2C 30>ASCII ",,0,0,7054ae096a"
00468664 . 33 64 36 62 64>ASCII "3d6bdbe022cfe089"
00468674 . 33 30 65 35 61>ASCII "30e5aa,1",0

00468688 . 2C 2C 30 2C 30>ASCII ",,0,0,b5752b2a06"
00468698 . 66 38 61 63 61>ASCII "f8aca667cd8c4f70"
004686A8 . 62 64 65 34 63>ASCII "bde4cb,1",0

004686BC . 2C 2C 30 2C 30>ASCII ",,0,0,8c00b84a5f"
004686CC . 36 36 36 65 34>ASCII "666e4c9a8bbb020e"
004686DC . 66 31 38 36 36>ASCII "f1866f,1",0

004686F0 . 2C 2C 30 2C 30>ASCII ",,0,0,634ccd0718"
00468700 . 62 38 31 38 63>ASCII "b818c687b2be85c2"
00468710 . 66 65 35 39 63>ASCII "fe59c2,1",0

00468724 . 2C 2C 30 2C 30>ASCII ",,0,0,d1ae47b157"
00468734 . 62 63 35 66 39>ASCII "bc5f9a2a1ef58605"
00468744 . 66 66 32 63 66>ASCII "ff2cf6,1",0


で、このファイル何？

>>575
>>462
仁義なき戦いの映画ぽい

自分がかかってるか調べるにはどうしたらいい？

↑死ね

スクリーンショットは約４０分で１枚ってところか。

なんか知らんけどお前らすごいな
がんばってや

仁義に感染した人のデスクトップをアプロダに上げなおしてるやつは
踏んでも感染しませんか？

>>575
上から順に

仁義なき戦い
仁義なき戦い　広島死闘編
仁義なき戦い　頂上作戦
仁義なき戦い　完結編
仁義なき戦い　代理戦争

ということのようだｗ

>>462
ダウンさせる為だけの仕掛けとしてはずいぶん派手だな。
SSとファイルうｐがメインでダウンはおまけなんじゃね？

>>582
だろうね。
でもこれからこのやり方応用されると恐ろしいと思うんだが。

>>581
もしそうだったら感染者続出だなｗ

>>584
さんくす、これで心配せず祭りに参加できる

個人的には広島死闘編が好きｗ

解析乙

>>562
jktempってのがなかったらセーフ？

金子信雄、菅原文太、渡瀬恒彦、小林旭、伊吹吾郎、田中邦衛
川谷拓三、志賀勝 、梅宮辰夫 、松方弘樹 、北大路欣也
監督は深作欣二

今から思えば物凄いな。凄すぎる。
わしゃのう、もういっぺんこがん映画が見たい言うとろうが！のう！おじき！
ノッポのギター弾きや金太郎やら言うのは仁義シリーズちがうんじゃなかろーが！のう！
わしゃー山守のために命張ってきたんじゃけんのう！

>>588
ちゃんと考えてから質問すべきだと思う。

だからさ。マウスの調子が悪くなったらすぐに替えるべきなんだよ。

>>589
うはーすごいなー。
アンナパパもでてるのねｗ

>>575
これは何に使われてんの？

ダウンロード
写真
デジカメ
PHOTOS
履歴書
ＣＤキー
住所一覧
会報
ご注文の確認
ウェブパス
個人情報利用目的のお知らせ
イーバンク銀行からのお知らせ[自動引落実行のご連絡です。]
（重要）御当選通知
ご注文ありがとうございます
メールアドレス確認
オンラインバンキングご利用方法
携帯
振込・振替受付のご案内
Access Code
Map - 地図(中区)

音楽しかおとさねーから大丈夫だな

>>593
メールで広がる気かね
とすると、ny起動しなくても(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>594
今回の感染源は音楽らしいぞ
まあ*mp3直接とかだったら大丈夫なんだろうが

おかずが多すぎる！

ｽﾏﾝﾃｯｸにｳｲﾙｼ提出しますた

>>582
つまり、「新・仁義なき戦い」が用意されているのか。
続編まで考えているとはやるな(w

exe踏まなきゃ大丈夫（もち拡張子偽造された奴も）なんじゃないの？
>>5のとおり拡張子表示して、アイコン変えて気をつければまず大丈夫だろう、とたかくくってるんだが
甘すぎ？

>>600
今回の仁義キンタマにはウイルスexeを起動させるよう細工されたhtmlが仕込まれている。
セキュリティレベルが低かったらそれで感染する。
同様にbatやvbsやら穴は他にもある。

ゲームじゃなく映画やドラマなんかのisoにAutorunで仕込んだら
大量に引っかかるだろうな

>>600
甘すぎ

〜したから大丈夫

って考えの人ほどよ〜く引っかかるのは世の常。

>>604　で、そういうやつ程引っかかった時の暴れ方が酷いのな。

>>597
アナタっやめてっっ

htmlもかよ

続報。

ZIP圧縮ルーチンは0046AEA8。
ルーチン内にカウンタを持っており、5秒ごとに1増えていく。
1800回目（9000秒＝2.5時間）になるとZIP圧縮ルーチンが発動する。

圧縮ルーチンに処理が移ると以下の動作が行われる。
圧縮ルーチン内で圧縮が行われる条件は、jktempフォルダにpackedフォルダが無い。
実際の圧縮動作は0046A4D8で行われる。

そのとき、圧縮されるのは、フォルダの中身のサイズが一番大きいフォルダに決定される。
（俺の場合、ZIPの中身はVSNET 2003のドキュメントフォルダだった）

次にZIPにウィルスを追加して、upフォルダに保存する。

圧縮が終わるとカウンタが-1になる。
-1になると、再起動されるまで実行されない。

>>608
ｵﾂ

>>608
おつー
１G超えてた圧縮ファイルもあったなぁ

>>608
神

もしかして本体って２種類ある？

書き忘れ。
ウィルスが圧縮したのは以下の内容でした。
C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\Tool Developers Guide\docs
（27.2メガバイト)

そこから推察すると、ドキュメントフォルダは一番ファイルが
多くはいる場所だと予測してウィルスを作成したのかと。

つーか、今IRQでｶﾞﾊｶﾞﾊ言ってるの本人じゃねーよな

>>612
俺が収集したものだと、仁義なき〜には、2種類（あるいは3種類）あるようだ。
容量的にはどちらも810KBなんだが、作成日付が違う。
解析が進んでるのは05/01/01のほうだよね？ ＞608

欄検眼段は28KB 05/01/30、あと、まったく未知なのも数個ある。

>>614
本人かもしれんからとりあえずログ取っとけ

・winnyの設定でUpfolder.txtになってる場所にUpfolder.txtっていう「フォルダ」を作る。
・SSM入れてレジストリ監視、アプリの親子関係監視する。

これでキンタマ発動しても被害は防げるだろ。

>>614
詳しく

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>615
日付違うのなんてあったっけ？

CRC32が4B9ECA0BとBEC3828Bしか見つからん。

仁義対策ツール（.exeファイルにファイル投げ込むと仁義キンタマかどうか判定してくれるような奴）とか作ったら需要ある？
一週間くらいでバスターも先生も対策しちゃうと思うんで意味ないかもしれんけど。
必要なら今日中に作って明日うｐする。

>>621
ｷﾎﾞﾝ！おもしろそうｗ

あと、読み取り専用にすればいいというレスを見たんで、ウィルスを調べてみたら
Upfolder.txtを読み取り専用にしても解除されてファイルに書き込まれるようになっている。
対策はWinnyのバイナリをいじってUpfolder.txtではなくUpforder.txtとかを
参照するようにするしかない。


俺は疲れたのでそこまでにします・・・
だいたいの条件は判明したことですし・・・

現状だと

〜.exeから
\LOCALS~1\Temp\jktemp\file.exe
で、svchost引っ張らせないようにすりゃいいだけじゃね？

antinyも含めて、iniに手動で追記して防いでる自家製ツールだが
今回の仁義なしも含めて16個になった

以外にP2Pで出回ってるのって多いな

現時点で亜種みたいなのは3種確認

>>623
お疲レスキュー！！！

SP2入れてれば無害というのはデマ？

>>620
手持ちのCRCが4B9ECA0BのとBEC3828Bのを
バイナリ比較したら相違点なしだった。
MD5ハッシュも同一。

>>624
そのツールうｐ

>>621
それがｎｙに流れてても怖くて開けられないｗ

これはny2でもかかるの？

バイナリが同じなのに、CRCが異なる？

>>629
仁義キンタマのアイコン変更して検出ツールと銘打って
流通させようなんて、そりゃあんまりだ

>>632
そのアイコンなんだけどさ。おれWin2kつかってんだけど、Win2kのデフォ
フォルダアイコンなんだよな。
でも感染してるやつはほとんどXP。
アイコンビューワで覗いてみたら、256色は２ｋのフォルダアイコンで、
フルカラーアイコンはXPのフォルダアイコンになってた。

たしか前のでも読み取り専用にしても意味なかったよね

>>622
まかしとけ

>>629
632
確かにこんな現状じゃEXE実行できないわなｗ
でもとりあえず作る。使用は自己責任だけど

>>621
ぜひﾀﾉﾑ
ファイル名は「【初心者必須】仁義なきキンタマ駆除ツール　アプリゲームNOCDエロ18禁エロ無修正.exe」
810kb程度で

P2Pやってる奴ならフォルダアイコンは!kubotarに変えておくのがデフォだろ

>>636
ダメじゃんw
敬遠されるの間違いなし。

>>636
それじゃダメだろｗ

>>639
じゃあこんな感じで

【初心者必須】仁義なきキンタマ駆除ツール　アプリゲームNOCDエロ18禁エロ無修正txt　　 　 　　　　　　　　　 .exe

パス付けてうｐろだがいいんでないかい？

アイコンはもちろんフォルダアイコンだよな？ｗ

.exe 捨てたい

画像うｐされてる所で
うｐされた画像みたら感染するんですか？？

直接キャッシュにしてアップするようなウイルスはまだないの？

>>645
ご依頼ですか？

>>645
ちょっと待ちなー

(6)47氏ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!!!!

祭りに参加してると知らないうちに感染してるようなのがいい。

直接キャッシュにしてしまうのがベストだが、あとは
フォルダ情報にキンタマUPフォルダを表示しない、
Winny.exeを改変してアップフォルダ情報ファイル(今のUpfolder.txt)の位置、ファイル名を変更か？

ファイル名は

仁義 .exe 捨てたい

でお願いします

ま、どんなウイルスにしても今のny仕様じゃCache表示すれば感染してることに気づくけどな

確定情報、チラシの裏。
IMJPMIG.exeについてこれだけしか証言ないんだけどどうなの？
Winnyを狙ったワーム・ニュイルス情報 Part35
http://tmp4.2ch.net/test/read.cgi/download/1110795819/425

【仁義なきキンタマ】
■感染ルート
・nyあるいはそれ以外の方法でサイズ829,440の「新しいフォルダ　　　　　　.exe」を踏んで感染。
・セキュリティレベルが低いと同梱htmlで作動させ感染。
■主な症状（感染確認方法）
・C:\WINDOWS\system32\drivers\svchost.exe
　C:\WINDOWS\system32\wbem\　　　　　.exeを作成。
・C:\Documents and Settings\ユーザー名\Local Settings\Temp\jktemp\upにupフォルダ作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　にsvchost.exeが登録される。
■主な活動内容
・デスクトップのスクリーンショットを取る。
・Winnyのtab1.txt・tab2.txt、2chブラウザのkakikomi.txtIEのcookie、
　OEの受信・送信フォルダ、hotmail情報、MSワード・エクセルのファイルをupフォルダに圧縮する。
・UpFolder.txtを書き換えて以下の形でwiinyにファイルを勝手にアップロードする。
　[仁義なきキンタマ] ○○のデスクトップ(050317-0037).jpg
　[仁義なきキンタマ] ○○のドキュメント.zip
■駆除方法
・C:\WINDOWS\system32\drivers\svchost.exe
　C:\WINDOWS\system32\wbem\　　　　　.exeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにある
　system32\drivers\svchost.exeを削除。
■予防
・exe踏むなかれ。

【使用OS】 XP　home
【WindowsUpdateしてるか】 している
【使用AntiVirusソフト】 ノートンsystemworks2004
【AntiVirusをUpdateしてるか】 している
【ウイルススキャンの結果】 かけるまえにやられた
【オンラインスキャンしたなら結果】 やってない
【Winnyのﾊﾞｰｼﾞｮﾝ】 7.1b
【Winny歴、総DL量】 2年・100Gくらい
【テンプレを読んだか】 読んだ
【テンプレにある対策を実行したか】
【症状、具体的に分かる限りすべて書く】 C,Dドライブのファイル消去
【何をしたらそんなことになったのか】
「駅すぱあと2005年3月版.rar.lzh」を2回解凍後、中にあるsetup.exeを実行。
ん？インストール画面にならないな・・・と思ったら、見ているそばから次々とファイルが消えて行った。
Dドライブはほぼ全滅。Cはかすかに残っているが、もうWindowsは立ち上がらない。
ちなみにノートンのオートプロテクトは切っていました。まあ、ONにしてても無理っぽいが。
実は以前にもsetup.exeで再起動後あぼーんした経験あり。あほですな。。。。
エロなんぞはどうでもよいが、仕事で使うファイルとメールデータが痛い。
【これまでにとった措置】
今、CドライブにOS再インストールしてます。
メールデータと仕事データはDドライブにあったので、FINALDATAをためそうかと。。。

>>654
　 　/＼＿＿_／＼
　／　⌒　　　⌒ ::: ＼
　|　（●）,　、（●）、　| 　　 ／￣￣￣￣￣
　|　　,,ノ(、_, )ヽ、,, 　 | 　＜　やるじゃん
　|　　　ト‐＝‐ｧ' 　 .::::| 　　 ＼＿＿＿＿＿
　＼　　｀ニニ´　 .:::／
　／｀ー‐--‐‐―´´＼ 　

>>654
典型的なWhiter　ご愁傷様

>>653

今回のキンタマ、FINALDATA等のファイル復活系に仕込んでるぽいね。
>>654　のような被害者が懲りずに二次災害引き起こすのを狙ってるのだね。

まじでじま？

つーか2重圧縮掛かってる時点でぁゃιぃだろ

キンタマは邦楽のアルバムじゃないの？

まだ、買って1週間たっていないノートパソコンだったのに。。。
DATAをLAN経由でデスクトップPCから移し、
「もうこのバックアップは必要ないな」と思って消して2日後。
こんなことになるとは。。。
今日1日仕事が手につかなかった。。。

563のやつnodに引っかかるね。
ていうか消さなくていいのか？

ノートをメインにするやつの気が知れない。

>>662
それはバックアップとは言わないのね、
覚えておいてね。

>>662
何のためのバックアップか　開いた口がふさがらない

>>653
IMJPMIGはIME8.1（IME2002）だと思われるが実行元のパスを確認して見れ。

漏れはIME2000使ってるけど、仁義踏んだ後、IMJPMIGは実行されてないし
Runにも登録されてなかった。

>>660
確かに二重圧縮はやばいと思ってたんだけど、
慣れてたのもあってなめてた。
1度lzhを解凍すると中にexeファイルが入ってて、はいはい、削除ね。
ってDELって一方のrarを解凍したら。。。このざま

>>668
バックアップってのは、データをＤＶＤなどに焼いて「半物理的に」ＰＣの外に出す事だと
心しておいた方がいいよ。くるくる回っているＨＤＤなんかただの「作業場」だと思った方が。

うわ・・・

ってかWhiter系ってFINALDATA利くの？
教えて

rar.lzhで正常ファイルにexe付加仕込みだと高くくってたら
実は本データのsetupにも仕込まれてました　爆！！

二段仕込みですか・・・本格的だな　ﾌﾟﾌﾟ

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

Windowsセットアップ終了後、ノートン入れたら、自動でsetup.exeを削除してくれました。
しかし、フォルダのみ残ってて、ファイルは見事になくなってます。>Dドライブ

各社が対応するのは早くても連休明けかな。

欄検眼段のまとめ

\WINDOWS\system32の中の
「IMJPMlG.exe」
ってファイルが、
・「temp000」ってフォルダ作成
・Win起動時に「DSC〜」ファイルをドライブから探して.GJBに生成
・UpFolder.txtを作成し↓の内容を書き込む
　　　[temp000]
　　　Path=C:\temp000
　　　Trip=12345


対処法としては、
・\WINDOWS\system32の中の
　「IMJPMlG.exe」 の削除
・レジストリのRUNの中の
　IMJPMlG　の削除

主に、アプリ系の「Install.exe」に偽装されてるので
インストール実行しても起動せず変だなと思ったら、
ｎｙフォルダのUpFolder.txtとC:\内の「temp000」フォルダ
を確認する。

削除すれば特に問題ない　　　　　　　　　はず(w
「IME」の方ではないので注意かな？

俺は今の所上の対処法で問題は出て無いが。。。。


欄検眼段と今回の「仁義なきキンタマ」とはまったく関係は無し


ってことで、おｋかな？

じゃあ次かな。

>>653
【仁義なきキンタマ】
主な症状（感染確認方法）で
C:\WINDOWS\system32\wbem\　　　　　.exeを作成。←があり
・C:\Documents and Settings\ユーザー名\Local Settings\Temp\内に
踏んでしまったファイル名ファルダー内に壁紙多数詰め込まれてますた

レジストリのRUNの中にIMJPMIG8.1があったんだけど…これは違いますか？

感染する奴はアホ。

OS一瞬の不安定、注意一秒ミスクリック・・・一生の不覚

既に亜種が出て来てる悪寒
・・・仁義なき戦いシリーズは全部で5作か

「男はキンタマ」もしくは「キンタマはつらいよ」シリーズのウィルスが出現しないことを願う

>>683
そういうこと言うと作っちゃうだろ。


ところで、まだノートン先生は仁義には未対応でFA？

タマの取り合いや

釣りバカキンタマ

俺は怖くてｎｙを起動できない臆病者

仁義キンタマはwindows98なら問題ナッシング？

>>687
起動してはみたが、怖すぎてダウソできない俺ガイル
チキンだorz

チキンって言うか知識少なすぎ。

>>689
要は>>653の「新しいフォルダ　　　　　　.exe」さえ踏まなかったらいいんだろ？
ちょっと気をつければ大丈夫なんじゃないの？

exeやアーカイブに手を出さず、クラスタ指定で欲しいファイルだけ指定しておけ

ちょっと気をつけられないやつってｗｗｗｗｗｗｗｗｗｗ

こんな古典的なウイルス如きにびびってはいけない

.zip　.lzh　.rarを虫登録してる俺もチキン

新しいフォルダ　　　　　　.exeなら踏まなくても、Install.exeとかSetup.exeなら踏む奴が続出だろうな。

>>690
テンプレとかいろいろ読んでるんだけど、
読めば読むほど、怖くなるｗ

>>691
ど〜も、知り合いが引っかかってるもんで、無駄に警戒してしまうんだよ。
まだ、nyに残ってるかもしれん。

これさあ、exeさえ踏まなけりゃいいんだよな

他の形式のファイルからexeを踏ませることもできる

おいおまえら！
「新しいフォルダ　　　　　　.exe」を絶対クリックするなよ！
いいか！絶対だぞ！！

>>699
拡張子変わって踏んでもダメってことか
まぁ、参照数低いのも危険ってことか

ロリだけで、.exeばかりで、ちょっと笑ってしまった。
あ〜こえぇ・・・・・

>>700
クリックした！！！
一回だけだけど。

>>700
ﾜﾗﾀ

これ、苺キンタマみたいになったら怖いな…。

>>700
わかってるって!!ｗ

>>701
違う。拡張し変わったのは踏んでも関係ない
htmlやCDイメージから踏ませることができるってこと

>>707
CDイメージってどんなの？

スレ違いだろうが聞かせてくれ。
ダブルクリックに設定するのってどうするんですか？

>>709
つ【取扱説明書】

>>700
つまり押せということだな。

まぁ>>654は二日前に消したバックアップなら復元できるかもしれんから
生暖かく応援しとくか。

>>710
コンパからマウス開いたんだが、ダブクリの設定とか無いんだ…

じゃマウス使うな

意外にフォルダオプションに項目があったりするもんですぜ

>>703
殺す気か！

FAINALDATAってニィが登場したときは落としちゃいけないものの筆頭だったのにね

aviにウイルスはいってた。
バスターで見たらavi.exeだったんだけどノートン先生は反応なし。
antinny.Aですた。

>>713
左のボタンがダブルクリックになってないか？
普通のクリックに変えろ。


すまん、春房になった。消える。

------------------　ここまで読んだ　------------------------


　　　　　　　　　　　　　　　ロウカード発動

　　　　　　　これ以降「.exe踏まなけりゃいいじゃん」禁止

　　　↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

ちなみにバスターで確認するまでexeは確認できなかった。
１回クリックしただけではexeの拡張子表示されず。

仁義なきキンタマ
http://kintama.client.jp/
http://nemoba.seesaa.net/article/2479117.html

質問する前にどっちか読むとよろし

設定できないから諦めるわ。
迷惑かけてスマンかった

>>713
フォルダオプションの"クリックの方法"のことか？

怪しげなFAINAL DATAなんぞ使わんでも適当なフリーソフトがベクターにあるってのに。

715：[名無し]さん(bin+cue).rarsage：05/03/19(土) 00:18:45 ID:nxt8WmOB0
意外にフォルダオプションに項目があったりするもんですぜ

せっかく親切な人がいたのにスルーしたのか？

ここで整頓
■欄検眼段：HDD内のJPEG画像（DSCxxxxx.jpg）を収集して、欄検眼段_C_XXX.GJB形式で
　　nyネットワークに流す。漏洩してるのは、JPEG画像だけなので、本体は同梱されない。
　　主要感染源は、「(App)(アプリ)FINALDATA 3.0 特別復元版（認証クラックパッチ済み）.zip」
　　のINSTALL.exeによってIMJPMlG.dll（本体）がIMJPMlG.exeとして組み込まれる。
　　VB6で制作された、ある意味できの悪いワーム。
■仁義なきキンタマ：HDD内のマイドキュメント、OEのメールファイル、クッキー、ny2のTAB1.txtなどを
　　ZIPパックにして放流。SSも定期間隔で放流。情報漏れ被害の危険性は高い。
　　主に音楽系のファイルに、フォルダ偽装、xxx　　　　.exeなどで混入。
　　仁義なきキンタマの放流パックの中にも、本体が混在するため二次繁殖も多い。
　　こちらはデルファイで作成されており、初代キンタマと構造は似ている、ある意味巧妙なワーム。

>>717
ニィ？
お前変体じゃないの？nyをニィなんて読んでるのか。

変体だなんて！この変態！

>>728-729
被害者同士でけんかするなよ

>>720
FFTAかよw

欄検眼段もいつもの形で書いてみた。

【欄検眼段】
■感染ルート
・アプリに混入させ感染させる。
■主な症状（感染確認方法）
・C:\WINDOWS\system32\IMJPMlG.exeを作成。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　にIMJPMlG.exeが登録される。
・フォルダ「temp000」を作成。
・UpFolder.txtを作成し以下の内容を書き込み、アップロードさせる。
　　　[temp000]
　　　Path=C:\temp000
　　　Trip=12345
■主な活動内容
・OS起動時にデジカメ画像ファイル「DSC〜.JPG」を探し、「.GJB」に拡張子変更させアップロードする。
■駆除方法
・C:\WINDOWS\system32\IMJPMlG.exeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　にIMJPMlG.exeを削除する。
・フォルダ「temp000」削除、UpFolder.txt修正。

ふむ。的確だな。
じゃあそろそろ本番行くか。

相変わらず偽装に引っかかる香具師が多いので
こんな感じのを>>6に追加する？

・ソフトを使って怪しい拡張子ファイルを削除する。
http://a-t-software.hp.infoseek.co.jp/apps/delexe/index.html

表示設定を詳細表示にすれば大丈夫でしょ

>>735
つか、それすらやってないんだから自業自得だよな

これってny起動してない時は大丈夫？

送信トレイ.dbx
ってどうやってみるの

>>731
言った者はレッドカードでプリズン送り
肛門にカラシチューブ一本注入刑が待ってるから

>>737
これ、とは何ぞや？

欄検眼段および仁義なきキンタマについては、ny感染型（Upフォルダ作成）
なので、“今のところ”は感染しても、nyを動かしていなければ情報漏洩はない。
しかし、欄検眼段のようにinstall.exeを実行してしまうと、ny本体がインストされ
さらに初期設定値も与えられて常駐、いつの間にかny上に漏洩ということもありえる。

“今のところ”はそのようなワームは観察されていないが、今後は分からない。
（nyで広がり、他所に放流するタイプには、SSがUpロダに流れた苺キンタマなどがある）

で、ノートンとかバスターは
このウイルス検出できんの？？

苺キンタマは苺が原因だろ。

これってスクリーンショットの機能を止める事は出来ないの？
止めたらキンタマに感染しても怖く無いじゃん

ドキュメント流出の方がやばいと…

.exe踏まなけりゃいいじゃん

まあ詳細表示にでもしてファイル種類に注意しろってこった

>>745

　　　！


レッドカード　貴様はプリズン送りな

.exeはそもそも最初から落としてないよ
一番怖いのは擬装だが対策はぬるぽ('A`)

>>747
( ﾟдﾟ)ノ■←安置労カード

FFTと比べるとFFTAは激しくつまらんかったよ。
ところで、スクリーンショット見て(・∀・)ﾆﾔﾆﾔしたいんだが
仁義なきキンタマって何人ぐらい感染してる？

>>749
晒されてるので３０以上はあった気がする。

昨日っから全然落ちてこないのはキンタマ最新作のせいか・・・＿|￣|○
みんな繋げよー

>>749
最近DS買ったんで中古買って来て遊んでるけど
FFTの方が面白いのは同意ｗ
つーか不親切すぎこれｗｗｗ
命中率はおかしいわ、どれが装備できるとか見辛いし。

最近はもじぴったんアドバンスで遊んでるけどな。
きみ死ねはクリアして飽きちゃったし

それはそうと連休明けまではこの地獄絵図が続くのかねｗｗ

>>750
それほど多くはないのか。とりあえず地引いてみることにする。

最近PCが一瞬重くなることあったしタスクマネージャのプロセスでsvchostに見覚えあったから
かなりビビったぜ(；ﾟ∀ﾟ)
感染はしてなかったがこれからより一層気をつけよう・・・

仁義キンタマのファイル検索部分について。

全てのドライブについてdoc、xls、eml、ppt、dbx、pdf、txtのファイルを探し、
それらのファイルが一定以上含まれるフォルダを圧縮する。
その際見つけたフォルダ以下すべてを含める。ただし次の拡張子のファイルは
無視しているようだ。 exe、dll、sys、hlp、ocx、chm。
また、>>619が指摘しているようにサイズ制限があり、おそらくサイズは10485760
バイト（10M）。
検索時にUNCパスのネットワークフォルダ（\\で始まるパス）を認識していることか
ら、それらのネットワーク上のファイルも検索している可能性が高い。

ドキュメントがあるフォルダを見つけるルーチンはけっこう巧妙にできており、
おそらく2バイト文字が含まれるファイルがあると対象にされやすくなる。

圧縮ルーチンは他の部分からも呼び出されており、起動後2.5時間以外のトリガ
もある模様。詳しくはわからん。疲れたので寝る。

【仁義なきキンタマ】
■感染ルート
・フォルダアイコンに偽装したサイズ829,440の「新しいフォルダ　　　　　　.exe」を踏んで感染。
・感染者が流す、[仁義なきキンタマ] ○○のドキュメント.zipに偽装したウイルス本体が同梱されている。
・セキュリティレベルが低いと同梱されているhtmlから感染。
■主な症状（感染確認方法）
・C:\WINDOWS\system32\drivers\svchost.exe
　C:\WINDOWS\system32\wbem\　　　　　.exeを作成。
・C:\Documents and Settings\ユーザー名\Local Settings\Temp\jktemp\upにupフォルダ作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　にsvchost.exeが登録される。
■主な活動内容
・デスクトップのスクリーンショットを取る。
・Winnyの検索履歴・tab1.txt・tab2.txt、WinMX共有ファイル名、2chブラウザのkakikomi.txt、IEのcookie、
　OEの受信・送信フォルダ、hotmail情報、ワード・エクセルのファイルをupフォルダに圧縮する。
・UpFolder.txtを書き換えて以下の形でwiinyにファイルを勝手にアップロードする。
　[仁義なきキンタマ] ○○のデスクトップ(******-****).jpg
　[仁義なきキンタマ] ○○のドキュメント.zip
■駆除方法
・C:\WINDOWS\system32\drivers\svchost.exe
　C:\WINDOWS\system32\wbem\　　　　　.exeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにある
　system32\drivers\svchost.exeを削除。
■予防
・exe踏むなかれ。

まとめサイト
http://kintama.client.jp/
http://nemoba.seesaa.net/article/2479117.html

>>756
>>653修正。
「IMJPMIG.exe」と「C:\WINDOWS\Msnieにあるexe」は証言が1件ずつなので不確実？
感染ルートにある同梱htmlは自分が拾ったのから見つけられなかったので当ってるか少し不安。
単に詰め合わせてあるものによってあったりなかったりするだけ？
その他諸々感染した人は確かめてみてください。

>>755
じゃあ、ファイルは全部OUTLOOKの中に入れちゃえば平気なんだね。
検索かけても出てこないし、バックアップ取るときにエクスポートしても
全部pstファイルの中にまとめられて出てくるからね。

って、これでいいのか・・・？

ttp://www.imgup.org/file/iup14355.jpg

ここ見てるなら気がついてるのかな…

imejpmig.exeてのがあったんだけどこれなの？

どうせならもっと深刻なダメージを与えるウィルスじゃなきゃ面白くないな

削除しなきゃ危険ですね

おい！お前だよ！お前！
http://up.nm78.com/data/up081176.jpg

http://kintama.client.jp/
http://news.bne.jp/jinginaki.htm

まとめサイト

UMAかわいいよUMA
http://www.imgup.org/file/iup14378.jpg

バスターオンラインスキャン、仁義きんたま対応

WORM_ANTINNY.DAMってやつ？

全てはCIAの陰謀だったんだよスカリー
奴らがキンタマウイルスに関する情報を隠蔽していたんだ

＞＞768
　　　　ナ ゝ　　　　　　　　/　 　 十＿"
　　　　　cト　￣￣￣￣　/＾､_ﾉ　 | ､.__　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　
　　　　　　　　　　　 ,. -─- ､._　　
　 　 　 　 　 　 ,. ‐'´　　　　　　`‐､
　　　　　　　／　　　　　　　　　　　ヽ､_／)ﾉ　
　　　　　　/　　　　 ／￣~`'''‐- ､.._　　　ノ　
　　　　　　i. 　　　／　　　　　　　　 ￣l　7
　　　　　　,!ヘ.　/ ‐- ､._　　　　　　　　|/　
.　　　　　 |〃､!ﾐ:　　 -─ゝ、　 　 ＿_ .l
　　　　　　!_ﾋ;　　　 Ｌ(.:)＿ `ｰ'"〈:)_,` /
　　　　　　/｀ﾞi　　 　 　 　 ´　　　 ヽ　 !　
　　　　_／:::::::!　　　　　　 　 　 　 ,,..ゝ!　
_,,. -‐ﾍ::::::::::::::ヽ、　　　 r'´~｀''‐､　 ／　
　!　 　 ＼::::::::::::::ヽ　　　`ｰ─ '　／　
　i､　　 　 ＼:::::::::::::::..､　　~"　／　

>>768は
http://game9.2ch.net/test/read.cgi/gal/1111075859/68

http://www.pc-moe.com/pure/

　　　/＼＿＿_／ヽ　　ヽ
　 ／　　　　:::::::::::::::＼　つ
.　| 　,,-‐‐　 　‐‐-､,:::|　わ
　|　 ､_(o)_,:　 _(o)_,　::|ぁぁ
.　|　　　　::<　　　　　::|あぁ
　 ＼　 /( [三] )ヽ ::／ああ
　　／｀ー‐--‐‐―´＼ぁあ

>>674
おいらもそういうﾀｲﾌﾟに以前、やられたよ。
ﾌｫﾙﾀﾞ情報のみ残ってるの。

>>738
82 名前：[名無し]さん(bin+cue).rar [sage] 投稿日：05/03/18 09:13:45 ID:C0potSb60
http://www.asahi-net.or.jp/~tz2s-nsmr/
ＯＥビューアー使える。

>>738
爽快にスルーされてるようだからアドバイス
ttp://www.asahi-net.or.jp/~tz2s-nsmr/dbxview.html
このフリーソフト使えば見れるらしい。
ちなみにオレが使ってるのはコレ
ttp://www.vector.co.jp/soft/dl/win95/net/se271878.html
dbxがemlに変換される。中身はＯＥで確認。自己責任でどぞ。

うは、かぶった・・。

>>738&>>774
人のメールなんか見て楽しいか？
あ！誰からもメールがこないニート君だから羨ましいのか＾＾

　　　 _ 　∩
　　(　ﾟ∀ﾟ)彡　おっぱい!おっぱい!
　　(　 ⊂彡
　 　|　　　|　
　 　し ⌒Ｊ

>>776
不倫らしきやり取りを見ちゃったらハマッちゃったのよ

個人情報＆不倫で犯罪のニオイがしてきた

>>776
ヒマだから豪快に釣られてやるが
>>738と>>774のやりとりのどこに「人のメール」なんて書いてある？
どうせ君は、ラブホの近くをカップルが歩いてたら「ああ、あいつらエッチしたんだな！ちきしょう！」
と反射的に妄想する童貞クンだろうが、そんなことじゃ世間を渡っていけない。気をつけたまえ。

釣られてやるとか前置きする奴はチキン

>>780
豪快とか爽快とか、そういう言葉が好きなんだね。

( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼ / ＼

>>776
被害者乙。
デスクトップ見るのもメール見るのも一緒だろ。
どうせ見るならおもしろいのがいい。

>>776
何でそんなに必死なんだ?
もしかして見られたら困るものでもあるのかなｗ

ただ単に自分のが流出してるだけだろ。
他人のメール見て一人でニヤニヤしてるだけなんて大人しいもんやん。

それより解析乙
手元に1個あるから色々オンラインスキャンしてみる
Bitとか先生はまだ来てないみたいだね

Bitこーいはやく

「観たい」の衝動に前置きは必要ない
飲めば爽快感みたいなものだなｗ

先生の中の人も3連休なんだろうな

できたぞ
適当なうｐろだ用意してくれ

函館市の人の名簿がでまわってる件

何ができたの？

サイズは？

やべ　ｵﾚ函館だ

>>791
もちろん810ｋBだよな

MainUserの人の
300ﾒｶﾞ超えてたから中をみると案の定だった

>>792
ハッシュは？

>>791
ttp://ahee.web.infoseek.co.jp/cgi-bin/auau/7/upload.html

質問でしゅ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにsvchost.exe
この値まだない（再起動してない）んだけど、その場合UPはされてないの？

>>800
おまえはsvchostがどんな物なのかが全く分かってないんだな。

システム情報でうｐファイル個数が0ならおｋ？

>>800
そのキーにSVCHOSTなんふつう無いよ
パス名は？

>>766
煽りもあったような気がするけど欄検眼段はまだどっちも対応してないよな？
(一応、チェックパックにはインストーラーと本体入れてるんだが)

3/19 16:00現在の欄検眼段と仁義なきキンタマ対応状況
・バスターonline(Pattern 2.504.00)
ttp://www.trendmicro.co.jp/hcall/index.asp
仁義なきキンタマ(CRC32:4B9ECA0B)のみ反応(TROJ_UPBIT.A)

・先生インテリアップデート(20050318-008-i32)
ttp://www.symantec.co.jp/region/jp/sarcj/defs.download.html
一切非対応＿|￣|○ﾀﾉﾑﾖ ｾﾝｾｲ

同じログイン名を見るとドキッとするな･･･
取り合えず落ちして確認。。。

他人事だと面白いなキンタマは・・・
来年の春はどんなキンタマが現れるのか今から楽しみだわｗ

ノートンに反応しなかったＥＸＥだったんで油断して
何の気兼ねもなしにそのＥＸＥ踏んでみたら

毎回再起動するたびに「システムがビジーで何たらかんたら」と青い背景に白い文字で
書かれた窓が連続していくつも開いて

しばらく放置してたら画面の上からゴキブリが出てきたり
下からはハエが出てきたりするウィルスに感染しますた。

今騒がれてるキンタマと特徴を比べてみると全然違うから
キンタマじゃないとは思うんだけど・・・一応報告。
既出だったらスマソ。

ANTINN.AAってウィルスに引っかかってた

>>807
ﾜﾛｽwwwwww

大丈夫か？
復旧可能なの？

http://www.vector.co.jp/soft/win95/amuse/se287516.html

これじゃないの？

その後の報告。Dドライブの復元を試みましたが
メールデータは33バイトに上書きされて使えず、
その他の仕事用データも全滅でした。
皆様もノートンのオートプロテクトは切らないようにしておきましょう。

>>809
ちょっと無理目だったんでフォーマット掛けて再インスコしますた。
復旧に６時間もかかった・・・。
>>610
分からないけどゴキブリとハエが出てくる点では同じです。
でも、窓が超連続で開いて最終的にはハングアップ状態になっちゃって
しかも画面がモノトーン色になるという感じのものですた。

>>810を開いた瞬間にノートがﾊﾞｯﾃﾘ切れでいきなりｽﾀﾝﾊﾞｲになってびびった

乗り遅れたんでちょっと質問、しかもどうでもいい質問をさせてもらうが
欄検眼段ってなんて読むんだ？悪いができれば意味も教えてくれ。

>>812
おそらくただのジョークソフトだったと思われ・・・
無駄な6時間だったと思われ・・・

>>814
マリノスのサッカー選手

乗り遅れたと自覚して質問の回答を待ってる時間が合ったら、ぐぐったほうが早いと思う

>>799
�dクス
でもなんか>>804見たらバスターが対応しちゃってるみたいなんでやめとく

#というのは建前で初心者が引っ掛かって晒されていくのを見るのが楽しくなってきたからってのは秘密
#ちなみに89.4KBでした

>>815
時期的にこんな感じの状況だったから
もう、うわあああああああって感じで
今日やる事なす事全部おっぽり出して
再セットアップしてしまいますたよ。

>>816
とりあえずレスサンクス。まったく役に立たなかったが。
検索したら見つかったんで知らない人のために貼っとく。

797 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：05/03/12 02:34:11 ID:WWWY82d6O
欄検眼段は漢文だそうです。
リャンクーガンドゥと読むそうです。
欄は日本でいう棚田で昔、えらい坊さんが刈り取りが終わった棚田を
１田１作づつ眼をこらしてみたら一俵の米が集まったそうです。
意味は小さな物を集めれば多くなる。
逆に多くの中の小さな物は見過ごしてはいけない、だから良く見なさい、など

やられた・・・

自分のWINNYで部分キャッシュ化されてたが・・・
これはもうダメぽ？

――--､..,　　 )ノ
::::::/ ﾟヽ/ﾟヽヽ.　　　　　　　 ＿,,...-　
:::_|　　||　　|-i､　　　　　 ∠＿:::::::::
／. ⌒●⌒　ﾆ ､　　　　 ,__､ヽ|:::::::::
ニ　＿_ｌ＿_＿ノ　　　　 |/ﾟヽ-|, -､::
（＼＿＿／）| i　　　　　ﾟr⌒'　　6 |::
　＼　＿／ /　,..　　　 i_／)　　　'-

　　|｜　　/ '（__ ）　　　ヽ|||、　　　
===|||（ i）==::::／　　　　　　uﾆニニ
:/ 　　 　ヽ:::i　　　　　　　/;;;;;;;;;;;;;;;;　
　　　　　　　　　　　／(
　　／￣￣￣￣￣　　￣￣￣￣＼

http://academy3.2ch.net/test/read.cgi/kobun/1099213014/637

ネタだろ

>>823
ん？ネタだったか。ならなんて読むんだろな。いや、どうでもいいことなんだが。

>>823
それ書き込んだの俺w
IEで書き込んだが、どこのスレだったか忘れてた。
ありがと。

>>807
詳しく。っつーかファイル名かハッシュ教えてくれると解析屋(w が助かるのだ。
暗号化ZIPで送ってくれるとなおうれＰ


「うわぁぁぁぁぁ！」でそれどころではないと思うけど。
最近の既知で対応されていないとしたら「愚な民Ｃ」か………

>>810
可愛いｺﾞｷﾌﾞﾘかと思えば。。。
ｷﾓｽwww

データ全滅ならまだかわいいよな。
クリックした愚かな自分自身だけの被害で済むから。
データ流出系は他の人の情報も巻き込んでのことだからタチが悪い。

なあ？このSL-C1000えらい安くないか？
http://item.rakuten.co.jp/pc-express/4974019486987/

誤爆した・・・すまん。

>>826
スクール・ラブのいけない保健室
というやつです。
フォーマットしちゃったんでハッシュとかデータは残ってないみたいです。
すみません。

トレンドマイクロのオンラインスキャン
欄検眼段に対応したんだ

結局愚な民Ｃどうなの？

>>831
実行した際の具体的な状況も詳しく。
インストーラーが起動したりした？
「われ塾」というソフトも同じっぽいので。

>>831
いけない保健室
２つ落としてみたけど、特に何も無かったなぁ。
それとも検索にかからなかったのがもっとあるのかな。

バスターは対応したのにノートンはまだ対応してねーな

先生も大きくなって腹が出てきてすっかりヤブ医者になっちまったな

仁義なきキンタマスレに載ってた、ここでチェック
ttp://virusscan.jotti.org/

仁義(CRC32:4B9ECA0B)　AntiVir/F-Portが反応
仁義(CRC32:BEC3828B)　Dr.web/F-Port/Kaspersky/NOD32が反応
(特にKaspersky/NOD32は明瞭にWin32.Antinny.adとして特定)
F-Portは「|ω･`)ｱﾔｽｲ」と認識しているだけで特定はしていない。

欄検眼段本体と漏れが思っている「IMJPMlG.DLL(CRC32:CFA61DF3)」は
いずれもスルー。

新種のウィルス　仁義なきキンタマ Part16

http://news19.2ch.net/test/read.cgi/news/1111223203/

>222番組の途中ですが名無しですsage05/03/19 20:28:36 ID:wKUX+Ku/
>【アルバム】>[2005.03.16] 今井美樹 - DREAM TOUR FINAL AT BUDOUKAN.zip
>e05f2ad7186415325aa94eeb630eb98e

>感染源という噂

あー、ウィルスやトロイでオンラインアップデート出来ねーってヤツはここな↓
http://www.symantec.com/region/jp/sarcj/download/jp/JP-N95.html
http://www.trendmicro.com/download/pattern.asp


上がノートンで下がバスターの定義ファイル置いてある

バスターはどういう基地外方針なのか知らねーけど、日本語のサイトは↓
http://www.trendmicro.co.jp/download/pattern.asp

更新状況だけでファイル置いてねーんだよ
トロイとかかかってるPCをどうしろっつんだよな、まあ日本だし放置なのかね

バスターのパターンは再起動しなくてもTrend NT Realtime Serviceだけ再起動させりゃいいぜ

>>804
ｎｙで仁義なきキンタマDLして遊んでたら
TROJ_UPBIT.Aがリアルタイム検索に引っかかった
C:\System Volume Information\_restore{E22E89E6-6F2B-4869-9F97-09DE4189595A}\RP660\A0158978.exe
でもexeは踏んでないはず・・・>>756のチェックしたがどれも該当なし

もう遊ぶの止める、コワイ！

おいおい、VPCかVMWareでディスクの復元を有効にして遊ぶのがお約束だぜ
実機使うのは実験機以外はオススメできねー

>>837
欄検眼段の本体って本当にそれか？
俺が試しに踏んだ奴で、オンラインスキャンで検索したら
system32/msprivss.exeでANTINNY.AAって診断されたぞ

VPCとVMWareに仕込んでおくのはデフォですが…

欄検眼段ってACじゃねぇの？

>>843
ハァ？

バスター2004はきんたまに対応した？

したようだ
ttp://www.uploda.org/file/uporg60460.jpg

たけのりﾀｿ(*´Д`)ﾊｧﾊｧ

http://news19.2ch.net/test/read.cgi/news/1111223203/700-
> 702 ：番組の途中ですが名無しです ：05/03/20 03:24:26 ID:jQxKsMIo
> さーて、そろそろ飽きたしキャッシュ消すか。
> そろそろ前の時みたいに流れてた他人のアカウントを勝手に使って
> 逮捕される香具師が出てくるからな。
> 心当たりがあるやつは逮捕されないうちに消した方がいいぞ。

前のキンタマ？の時に逮捕者って出たの？

たけのり殿！

>>847
たけちゃん乙です

>>847
これが本物ならなんとも皮肉なものだな。

>>834
そう
exeをダブルクリックしたら
インストーラーが起動して何か寸詰まったような感じで終了。
ショートカットがデスクトップに作成されてなかったり何か変な感じがしたので
タスクマネージャーを開いてアプリケーションの項目を見てみたところ
終了したはずのインストーラーがまだ実行中でした。

でいろいろいじくっててもうんとも寸とも言わなかったので
その表示されてたインストーラーを終了し再起動してみたところ
件のような症状が現れました。

>>835
ほんとですか？
解凍したら「いけない保健室」（詳しいファル名は忘れました・・・）のフォルダの中に
readme.txtとwinというフォルダがあり
そのwinフォルダの中にexeファイルが入ってました。

違うタイプが複数あるのかもしれません。
ひどい目にあわされたんでファイルは恐らく間違いないと思います。。。(´・ω・`)

いくつかドキュメントを拾ってみたがデスクトップのSSは見当たらない。
入ってるものと入ってないものがあるのか？

TROJ_UPBIT.Aが入ってるっていわれた。
810KBのやつ。

おまいら窓の手使ってアイコンデフォルトから変更しとけよ。

SSばっかでドキュメントが引っかからん。。。

どうしても怖けりゃ、DLが９５％越えたあたりでDLキャンセルしたらいいんじゃない？
とりあえずキャッシュ割合高めるだけに徹したら？

つか、ファイラー使え

ドキュメントだけで８Gいった
きりないけら切ったよ

欄検眼段の予防法見つけたのですが
UpFolder.txtを「読み取り専用」にしちゃえば
TEMP000をUPに追加されずにいるみたいです
既出でしたらすみません
駆除法も出てるし関係ないかな・・・
初心者の考える事なんてこんなもんか（;´Д｀）

>>862
仁キンには通用しないからなあ。先生早く対応しろよ

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

トレンドマイクロのオンラインスキャン使おうとすると
IEが強制終了するのはオレだけか？

>>865
それはすでにウイルスに（ｒｙ

ヤヴェ
orz
修復方法はあるの？

手遅れ

｡゜（ﾟ´Д｀ﾟ)゜｡ｳｧｧｧﾝ

>>863
先生、3/19のインテリアップデートでも無反応（ﾟДﾟ)y─┛~~
バスター新パターン出てないから出かけてこよ

>>865
ヽ( ･∀･)ﾉ うえ〜る　かむ♪

そろそろこのスレのテンプレも見直す時期ではないかな

>>872
その話題はもうお腹いっぱいだよ

>>865
まあまじめに答えると壊れてるとかじゃ？
WINDOWS\Downloaded Program Files中にある奴消して、ダウソし直したら？

>>872
本気で言ってるなら、
言いだしっぺの法則でどこ見直すぐらいかは言え。

「弾はまだ残っとるがよ」――2つのマルウェア発生、Winny上で個人データ流出中
ttp://www.itmedia.co.jp/enterprise/articles/0503/20/news002.html

仙台ギャラクシーエンジェルズとか懐かしいな
いつも素敵なチョイスだな

ギャラクシーエンジェルかかったけど
回線細いからうｐされる前に対策しちゃったな♥

怖い･･･HDがｶﾘｶﾘ言うだけでﾋﾞｸﾋﾞｸです。
晒された人の今後の人生ってどうなるんだろう･･･と心配してみる。

>>874
レス�dクス
ﾀﾞｳｿし直してもダメなようだ・・
その他は害はないようだから少し様子をみてみるかな

ＮＴＴ社員の流出情報うｐキボンヌ！！


28 ：番組の途中ですが名無しです ：05/03/19 18:12:01 ID:am/HcLut
MyDocument 綾子
http://up.nm78.com/data/up080121.jpg

648 ：番組の途中ですが名無しです ：05/03/19 14:34:13 ID:9cGPpkod
グーグル検索　○谷憲一　NTT　研究室OB
http://www.google.co.jp/search?hl=ja&btnI=I%27m+Feeling+Lucky&lr=lang_ja&q=sahra1354

けいちゃん激ワロス!!!!!!!!！！ｗｗｗｗｗｗｗｗｗｗｗｗ！！！！！！

nyで好きなだけ落とせ

>>881
HDDがぶっ飛んだ

>>883
お前が好きだ！

>>853
>>854

ハッシュは漏れたが、たぶんこれだとｵﾓﾜﾚ

[同人ゲーム][スクール・ラブ]いけない保健室　〜愛のフェラチオレッスン〜.rar

製品版のexe名は sl03iha.exe
贋版は Setup.exe になってる
サイズ 14,473,701
日付 2005/03/03 4:46
CRC F89507C7

ジョークプログラムか、検体未提出のウイルスかは不明

欄検眼段と仁義キンタマの対処法とか
次スレでいれるんでそ？
あとまとめサイトが更新されてないよね

[仁義なきキンタマ] Donaldのデスクトップ(050317-2204).jpg

うはｗｗｗ

うｐってくれよ

【使用OS】 xphome
【WindowsUpdateしてるか】 してる
【使用AntiVirusソフト】 ノートン２００４
【AntiVirusをUpdateしてるか】 してる（定義ファイル３月１８日）
【ウイルススキャンの結果】 検出されず
【オンラインスキャンしたなら結果】 バスター検出されず
【Winnyのﾊﾞｰｼﾞｮﾝ】 ｂ７．１
【Winny歴、総DL量】 ３００Gくらい
【テンプレを読んだか】 読んだ
【テンプレにある対策を実行したか】した
【症状、具体的に分かる限りすべて書く】
アップデートで最新のｳｲﾙｽの定義ファイルが入手できない
直接ダウンロードして更新しても再起動すると前の定義ファイルに戻ってしまう
うっかりexe踏んだとき勝手に新しいUPフォルダができてたのでキンタマ系だと思う
テンプレのとうりにして怪しいファイルは削除した
レジストリの怪しい値ってのがよくわからない（これが原因？）
【何をしたらそんなことになったのか】
exe踏んでしまった
【これまでにとった措置】
ノートンのエラーメッセージの指示に従ってレジストリ見たけど異常なし
最終手段として再インストールしろとあったけど面倒だからまだしてない

お願いします

お願いされても困ります。

会長お願いします

時間が戻るように祈りなさい

>>889

>>34

>>881
おまえ通報したろか？

>>865
俺と同じ症状だ

>>889
現時点でノートンは対応してませんので諦めて下さい

今の所で対応してるのはウィルスバスターです
パターン504以降からの対応になっています

苦労してノートンを最新版にしても対応してないので無意味なので
ウィルスバスターを購入して駆除するのがベストだと思いますよ

>>881
何？その写真は？

ウイルス・チェイサーまだ対応されない･･･
駄目だバスターに変えようかな。。。

　今更だけど、仁義なきキンタマの集めるメールやクッキーなどテキスト系ファイルは
ディレクトリの深さは関係なくPC内にある奴を根こそぎもって行くの？

>>896
バスターオンラインでも見えないと言ってるから、バスター買っても無意味

>>889
何を300Gも落としたの？自作ポエムとかだけじゃ無理だよね？
とりあえず通報しといたからK札が来る前に>>34しといたほうがいいよ。

場違いさん、さようなら

>>901
300Gくらいすぐたまるでしょ。俺はHDDに余裕がないから定期的に整理してるけど。

自作ポエム以外に何を落とすというのだろう…

ﾓﾏｴﾗまとめて質問ｽﾚに(･∀･)ｶｴﾚ

>>905
ごめん、質問スレだと思ってた・・・

おれ５００MBポエムと読書感想文だよ

俺の日記は誰も読むんじゃねーぞ、絶対だぞ

HP作れないからwinnyでblog

サーバを持たずにp2pネットワーク上にデータを置くってのが、これからのインターネットの有り方だと思います。

>>910
パスかけてたらそれもありかもな。まぁ、永久に出回るわけだから恐ろしいが。

ならば量子暗号を使おう。

HP作るのﾏﾝﾄﾞｸｻｲから、毎日blog書いてwinnyに流すから誰か読んでくれないかな。

>>913
読むからワンクリックで読めるようにしておいてくれよ

>>913
Alpha2にでもBlogつくれ

曜日がでるようになったそうです

西暦も4桁(ﾟ�听)ｲﾗﾈ

何か無駄に増えた感じだな

そういや、転送量削減のために２桁になったんだな。

曜日とか西暦いらないから規制の時間を短くしろと

ぶっちゃけ、今回のウィルスはそんなに対処は難しくないんじゃね？
なんかみた感じ

そりゃ対処法が分かってるからだろ

うん、それもそうなんだけど
キンタマって対処法が分かっててもなんか削除が難しいイメージを持ってたからさ

先生、3/20のインテリアップデートでも無反応（ﾟДﾟ)y─┛~~
検体送ってるよな？　同時多発送りつけしないと緊急性認めないか？

　バスターだと仁義なきキンタマは確実にヒットすると誤解している
ページが多いけど、現段階(3/18 Pattern 2.504.00)では確認されている
仁義のうちCRC32:BEC3828Bを(少なくてもonline scanでは)検知しません。
♪まとめページの人はそこのところ〜うまく〜つたえてぇぇ〜♪

　ただしNOD32など日本でマイナーなソフトがantinny.ADとして検知を開始
しているので、業界の横のつながりがあれば対応できるんじゃないかなぁ。

ちなみにNOD32の対応はNOD32定義ファイル: 1.1029 (20050318)から。

バスターなら対応してるんだよね？
今度買うときはバスターにしようかなあ

今まで俺の中でノートン先生信仰があったが５月で切れるのでバスターにする予定。
先生はもう生徒に手を出したエロ教師の如き信頼低下

>>924
検体送っても返事が無いらしい

先生はわざわざ割れ坊を保護する気はないんでしょ。

>>928
ノートン先生は腐ったみかんを救うような金八やごくせんでは無いという事かーーーっ

先生の中の人も大変だな
確か前のキンタマの時は一番早かったはずだが

それはそうとリアルでインフルエンザとか言うウィルスに感染したのですが
どうすればいいですか？

インフルエンザ入り精子をシマンテックに送れば
解析してくれるはず

最近はバスターの方が早いんじゃないか

>>931
ウィルスのせいか息子が起動しません
もうだめぽ

なんかスリープモードで待機させれば治るとか聞いたんでやってみます

>>933
一回スリープさせてからセーフモードにして立ち上げなおせばOK

>>933
コールドスリープのことかーーーーー！！

ところでスロバキア製のNOD32は、いつ正式対応するんだよ。
せっかくユーザーが、サンプルを３日以上前に送ってんのに・・・・・・・。('A`)

NOD32アンチウイルス　
390 名前：名無しさん＠お腹いっぱい。　投稿日：05/03/18 06:22:58
とりあえず報告
仁義なきｷﾝﾀﾏ
アドバンスドヒューリスティックでNewHeur_PEとして検出

398 名前：名無しさん＠お腹いっぱい。　投稿日：05/03/18 11:45:03
うｐ
http://www.imgup.org/file/iup14080.png

414 名前：名無しさん＠お腹いっぱい。　投稿日：05/03/19 00:15:10
もうちょっとウィルス提出が楽になればなぁ

>>930
何時だったか忘れたが前のAnntinyの時は検体送って結構すぐに帰ってきたな
パターンファイル付きで

漏れの息子は最近再起動にものすごく時間がかかるようになったけど
これってウィルス？

>>938
あ、それね、多分、仕様。

>>936
>>924

どうして対応したのかと思ったらそういうことか………最近ムダ機能と
思ってたヒューリスティックで反応するとは偉い

バスター2004早く対応してくれ。いくら注意してると言っても安全装置が無いとこえーよ。

○○　　　　　　　　　　　　　　.exe

↑のように、exeの拡張子の前に異常な空白があるファイルは警戒するよう
定義ファイルや、ヒューリスティック系に組み込めば新作のキンタマ系にでも
常に対応できるんじゃないかな。

>>942
ウイルスとは無縁のexeファイルの名前の中に大きな空白を入れたらAVGが反応したことがあった。

>943
俺もあった

ZIPに偽装されたら対応できないがね
解凍した時エラーが（ｒｙが出たらアウト

>>943
最初期のAnntinyで二重拡張子でウイルス警告出たのAVGだけだったね
未知のウイルスには結構敏感なのかもしれない

アイコン変えとけばいいがな

>>945
どっちにしろ拡張子Exeだろ？

>>946
手当たり次第に引っかけてるだけだろ
まぁ引っかからないよりはいいが

ｎｙ使うのやめろよｗ

やめたさ

>>949
はいはい、お前はこっちね

Shareに流れるワーム・ウィルス情報
http://tmp4.2ch.net/test/read.cgi/download/1111375850/

（某ｽﾚより誘導されました）
不注意から偽装されたexeファイルを踏んでしまいました。。
拡張子表示はしているのですが、偽装フォルダアイコンに騙された初心者です。
次のような状況なのですが、ウィルス感染の可能性はありますか？どなたかご助力を。。
ウィルスバスター最新定義ファイル（21日現在）では、ウィルスは発見できませんでした。

圧縮ファイル”[写真集] [井上和香] ワカコレ.zip”（ハッシュ失念）を解凍後、
フォルダアイコンに偽装されたexeファイルをダブルクリックしてしまったところ、
夜景をバックにヘリが滑空するCG映像が再生されました。
以降、同じ階層に同名のaviが作成されましたので、削除しました。
レジストリエディタで”C:\ \Down\[写真集] [井上和香] ワカコレ\setup.bat”および、
C:\ \Down\[写真集] [井上和香] ワカコレ\[写真集] - [井上和香] - 「ワカコレ」　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe
が見つかり、削除しました。

他に気づいた点としては、本件とは関係がないのかもしれませんが、
タスクマネージャが起動はするのですが、画面上に表示されません。
ツールバーにCPU使用率は表示されます。

>>952
＞レジストリエディタで”C:\ \Down\[写真集] [井上和香] ワカコレ\setup.bat”および、
＞C:\ \Down\[写真集] [井上和香] ワカコレ\[写真集] - [井上和香] - 「ワカコレ」
＞が見つかり、削除しました。

( ´ﾟДﾟ) ?

>>952

テンプレ

【PCの重さ】
【PCの置いてある部屋の地上高】
【窓の高さ（ベランダがあれば手すりの高さ）】

>>952
駄目そうなら早々にあきらめて
フォーマット
再インストールをお勧めする

データ等のバックアップはお忘れなく

わけのわからない文章でごめんなさい。
初心者なりにいろいろと調べてみたのですが、ウィルスなのかどうかさえも分かりません。
久しぶりにOSのクリーンインストールするところから作業してみます。

lzh exe jpg　あたり全部虫ればいいだけじゃねーの

>>958は>>957と同じレベルの初心者

初心者で何が悪い

次スレ建てました。
消費してから移動よろ。

Winnyを狙ったワーム・ニュイルス情報 Part36
http://tmp4.2ch.net/test/read.cgi/download/1111385299/l50

またニュイルスか。住人以外に分かりづらいスレタイはいかがなのもか
それだけ情報が集まりにくい気がする

胴衣

>>952
bat･･･って程度の低いいたずらかも。

>>962
検索に掛からんからな〜。
『ウィルス』とか『トロイ』のキーワードが欲しい。

>>960
自分で調べて解決する初心者→すばらしいと思う
他力本願で他人を利用することしか頭に無い初心者→消えてほしいと思う

初心者に胡座をかいてふんぞり返る馬鹿者は逝って良し

>>967
>>2テンプレも読まない初心者には返答したくない

初心者で何が悪いとかほざく厨房は死ぬといいよ

キンタマでトリップなしってのは捏造なの？

CRC32:BEC3828Bの仁義を誰かうｐｷﾎﾞﾝ。
各社に提出する。別のCRC忘れたけど仁義は各社に通報してあるからそろそろ対応のはず

無知は罪だ、仕事場でウイルスの相談してくる先輩ウザい。