☆　　山田ウィルス対策スレッド　　☆

お前ら山田ウイルスに注意だ(´･ω･`)
いまだに亜種まで含めてきちんとウィルス対策ソフトが
対応していない！恐ろしいウィルスだ！
これに感染すると、ＨＤの内容を全世界に配信！！

ということで、どうすべきかその対策＆感染拡大を防ぐスレである

感染確認方法
http://127.0.0.1/をクリック
ウィルスに感染するとHTTPサーバが立ち上がっているためhttp://127.0.0.1/にハードディスクのフィルリスト一覧が表示される。
感染してたらこのスレに↓
http://qb5.2ch.net/test/read.cgi/operate/1114695735/l50
山田ウイルス対策スレ

詳細は>>2-5あたり

■山田ウィルスとは？（ttp://nemoba.seesaa.net/article/2891535.htmlより転載）

アップローダを利用してばら撒かれているウィルスらしいです。
感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル
全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを
２ちゃんねる内の掲示板にランダムに書き込みます。

他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
などへのアクセスを民主党（210.253.211.2）に変更し、ウィルス定義ファイルの更新、
ウィンドウズの更新などを利用出来ないようにします。

Q.　なぜ山田？
A.　友人の山田くんがメッセで送ってきたyoujo.exeを踏んで感染したという書き込みから。
書き込みはネタだったけど、そのまま定着

ウィルスに感染した場合の書き込み例

http://○○○/
ｗｗｗｗｗｗｗｗｗｗｗｗうぇｗｗｗ
ｗｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗっうぇｗｗｗｗｗｗおｋｗｗｗ
っおｋｗｗｗｗおｋｗｗｗうはっｗｗｗっうぇっうぇ

>>3のような書き込みを発見したら

★山田ウィルス報告スレ【え‌え‌け‌つ‌し‌と‌る‌の‌ぉ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1114264573/
報告はこちらへ。

詳細はここでも詳しく載ってまつ。
http://qb5.2ch.net/test/read.cgi/operate/1114695735/l50

２ちゃんねるに書き込む“山田ウイルス”にトレンドマイクロが対応

２ちゃんねるに書き込む“山田ウイルス”にトレンドマイクロが対応

http://internet.watch.impress.co.jp/cda/news/2005/04/14/7289.html

>>6
ﾜﾛﾀ

>>6
亜種にも対応したのか？

で、またスレ立てした本人がウィルスの作者ってパターンだろ
アホすぎｗ

　

民主党のWebサイトわらたあああああああああああ

>>9

ｳﾞｧｶﾊｹｰﾝ（´・ω・）ｶﾜｲｿｽ

http://PPPa451.otemachi.acca.dti.ne.jp/
ｗ
っうぇうはっｗｗｗうはっｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
おｋｗｗｗ
ｗｗｗｗｗｗｗｗｗうはっｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗ
っうぇうぇｗｗｗｗｗｗｗｗｗ

ttp://p2165-ipad08sinnagasak.nagasaki.ocn.ne.jp/
うはっおｋｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗうはっｗｗｗ
ｗｗｗっｗｗｗｗｗｗｗｗｗｗおｋｗｗｗっうはっ
っｗｗｗｗｗｗｗｗｗｗｗｗうぇｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
おｋｗｗｗｗｗｗっｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

http://FLH1Acc142.stm.mesh.ad.jp/
ｗｗｗうはっｗｗｗ
っうぇｗｗｗｗｗｗｗｗｗｗうぇｗｗｗ
っうぇｗｗｗっ
ｗｗｗｗｗｗｗｗｗｗｗｗうはっｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗ
おｋｗｗｗうはっｗｗｗ

http://Y043084.ppp.dion.ne.jp/


ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗおｋｗｗｗっうぇ

ｗｗｗｗｗｗｗうぇｗｗｗうぇｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗ

age

フィルリスト一覧？

http://ZB140038.ppp.dion.ne.jp/
ｗｗｗｗｗｗ
ｗｗｗｗｗｗうぇｗｗｗうぇｗｗｗ
ｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗｗｗっうぇｗおｋｗｗｗ
ｗっっうぇ
ｗおｋｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

http://i220-220-109-242.s02.a020.ap.plala.or.jp/
ｗｗｗｗｗｗっｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗｗ

ｗｗｗｗｗｗうはっｗｗｗ

っうぇ
ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

http://ntgnma039180.gnma.nt.adsl.ppp.infoweb.ne.jp/
ｗっうぇっｗｗｗｗｗｗ
ｗうぇｗｗｗうはっｗｗｗっ
うぇｗｗｗうはっｗｗｗうはっｗｗｗうぇｗｗｗｗっうぇ
ｗｗｗｗｗｗっうはっｗｗｗっｗうはっｗｗｗうぇｗｗｗ

>>9
（´・ω・）ｱﾘｿｳｽ

【著名被害者さん】
- 肉じゃがさん （肉じゃが、オセロ、ｽｷｽｷﾀﾞｲｽｷ、適切に対処して退場）
- これおさん （大学関係者、同人大好き、ｽﾊﾟﾛﾎﾞ、参加BBS閉鎖、後に削除依頼連発）
- Shintaroさんのお友達さん （Shintaroさんｻｲﾄ晒されて閉鎖）
- 手品さん （野球中継、本人降臨、ｽﾚ5で1000ｹﾞｯﾄ）
- ｱﾍﾞｼさん （SM、ｻｯｶｰのｽｸﾘｰﾝｾｰﾊﾞ、3Dｹﾞｰﾑ、ﾉｰﾄﾝごみ箱）
- Ｓﾀﾛｰさん （参加BBSで呼びかけ、管理人の適切ﾌｫﾛｰで閉鎖は逃れる、動静不明）
- ﾐﾝｻｶﾞさん （ﾐﾝｻｶﾞBBSで呼びかけ、嵐扱いされるもﾘｰﾀﾞｰ(!?)の登場で沈静化）

【常連被害者さん】
- 家族さん （ﾊﾞｷ、ｴﾐｭ厨、ご家族の写真、会社への報告書、ﾆﾎﾝ+1）
- ﾔﾏｸﾞﾁさん （ｱﾆｵﾀ風ﾃﾞｽｸﾄｯﾌﾟ、壁紙自動変更、ｴﾛｻｲﾄ巡回）
- 傾き者さん （就職関連、SOTEC、栗とﾘｽ）
- 地雷さん （Webｻｲﾄ更新作業を中継、ﾘｱ厨、18禁ｻｲﾄ閲覧）
- 大ちゃん （胸ﾁﾗ、母親ﾓﾉ）

【印象深い被害者さん】
- 先生さん （5年2組、炉）
- 韓国さん （ﾊﾟｰｯといっちょうやりましょう、ｸｰﾙｶﾞｲ）
- 原版LOLITAさん （炉満載）
- ｲﾀﾀさん （ｴﾛｹﾞﾌﾟﾚｲを中継）
- 下着さん （ﾔﾌｵｸで女性用下着を物色）
- 中州さん （福岡風俗関係のお気に入り多数）
- けなっしーさん （無駄毛処理情報検索）
- 天誅さん （大迫力ﾃﾞｽｸﾄｯﾌﾟ、創聖のｱｸｴﾘｵﾝ、ﾜｰﾌﾟ中）
- 電撃ﾊﾔﾃさん （弓使い、ﾊﾝﾀｰ、お友達に氷炎ｻｽｹさんや大根戦隊さん）

http://YahooBB221024240023.bbtec.net/
っっっうぇｗｗｗｗｗｗｗうはっｗｗｗっうぇうはっｗｗｗ

ｗｗｗうはっｗｗｗおｋｗｗｗおｋｗｗｗっうぇｗｗｗ
ｗｗｗっっおｋｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

(´☠ฺω☠ฺ)ｶﾜｲｿｽ

http://YahooBB218124060027.bbtec.net/
ｗｗｗうはっｗｗｗっうぇｗ
ｗｗｗっっおｋｗｗｗおｋｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
ｗｗｗｗｗｗっおｋｗｗｗうはっｗｗｗ

http://207-2.m7.ntu.edu.tw/
おｋｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗっｗｗｗｗｗｗｗｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗっうぇｗｗｗ
ｗｗｗｗｗｗｗおｋｗｗｗｗｗｗおｋｗｗｗおｋｗｗｗ

山田ウィルスの症状や感染源、感染確認方法について
http://nemoba.seesaa.net/article/2891535.html

Microsoft Security - パソコンを守るための 3 つの手順 Windows XP
手順 1 : ファイアウォールを利用
http://www.microsoft.com/japan/athome/security/protect/windowsxp/firewall.aspx

[アップローダー]
up10822.zip　イチゴ
vip4386.zip　VIPPER

[SHARE]
(一般コミック・雑誌) [ジャンプ] [2005-23] BLEACH 177.zip
(写真集) 長澤奈央 「21!(ニジュウイチ!)」.zip

アラシかと思ってた。。。

http://ntgnma054253.gnma.nt.ftth.ppp.infoweb.ne.jp/
っうぇっおｋｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗっ
っうぇｗｗｗ

っうぇｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
っｗｗｗｗｗｗおｋｗｗｗおｋｗｗｗ

http://YahooBB219180178006.bbtec.net/

ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗっｗｗｗｗｗｗｗｗｗｗｗｗ
うはっｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
ｗｗｗうぇｗｗｗうぇｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

山田↓

対策ってココで何するの？

こんやがやまだ

>>5-6
嘘はいけないな
ウィルスは進化するんだ

何すか、このスレは

山田ウイルスの進化を大胆予想ｗ

1) 日替わりで亜種が登場する。
2) オーバーレイもキャプチャ出来るようになって、WMPの中も見えるようになる。
3) ネットワーク負荷に強くなり、不正終了しにくくなる。
4) ウイルスが作るフォルダが巧妙に隠されるようになる。fontフォルダの中とか。
5) プロセスの優先度が低くなり、ユーザーに気付かれにくくなる。
6) プロセスがユーザー名実行ではなく、SYSTEMによる実行になって見分けが付かなくなる。
7) lopやXupiterのようにIEアドオンツールバー型になり、プロセス名不明、削除不能になる。

山田ウイルスの作者が7番まで実装できたら尊敬するね。

MXでも流れていますか？

shereやnyを対象にしたウイルスなら、
ポートを調べて確実にアクセスできるようにした方が効果的だろうなぁ
http://127.0.0.1:38272/~ss.jpgとかポート付きで。
やられたらたまったモンじゃないけど。

http://127.0.0.1/をクリック
↑
この確認方法はまだ有効ですか？
（これでは確認できない亜種などはまだ報告されてませんか？）

自鯖を立ち上げる以上は有効ではないか？

Winnyのポートを80にするといいよ

ていうか、もともと自宅鯖できないプロバ使ってるから問題無し

http://127.0.0.1:80/~ss.jpg
書けるかどうかテスト

http://127.0.0.1/をクリック
これで表示されなかったらまだ感染してないって
安心してオケ？

http://127.0.0.1/クリックの件ですが、
２ｃｈにアップされてるのクリックしても「ほとんど表示できません」

それクリックすると感染するんだよ。

shareで週間ジャンプ落とすと、もれなく山田が貰えます。

山田ウイルスってwindows98ユーザーにも影響あるんですか？
９８って、svchost.exeというプログラム自体存在してないみたいなんですが

P2Pできてるってことはそれ用のポートが空いてるってことだからな

http://ppp210135158127.adsl.flets.nmt.ne.jp/
うはっｗｗｗおｋｗｗｗおｋｗｗｗうはっｗｗｗ
っｗ
っっっｗｗｗうはっｗｗｗうはっｗｗｗｗっっうぇうはっｗｗｗ
うぇｗｗｗｗｗｗｗｗｗっ
っうぇうはっｗｗｗ

あなたの予想に反して、このページが見えているでしょうか?

と表示（´・ω・）ｻﾚﾙｽ

>>53
ある意味予想(期待)に反しているな

>>50
発見されにくいように名前偽装ってるだけだから動くよ

kerioを使ってるんだけど、大丈夫かなぁ？

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

http://YahooBB218128004137.bbtec.net/
っうぇｗｗｗｗｗｗｗうはっｗｗｗうぇｗｗｗｗ
うはっｗｗｗ
っうぇおｋｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
ｗうはっｗｗｗっうはっｗｗｗうはっｗｗｗｗｗｗうはっｗｗｗ

http://ZO200164.ppp.dion.ne.jp/
っｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
ｗｗｗうはっｗｗｗっうぇっうはっｗｗｗｗｗｗ
ｗ
ｗｗｗ
っうぇｗｗｗｗｗｗ
ｗｗｗｗｗｗｗ
うぇｗｗｗ

>>58

あげ

http://ntchba146055.chba.nt.ftth.ppp.infoweb.ne.jp/
ｗｗｗｗｗｗｗ
ｗｗｗ
うはっｗｗｗｗｗｗｗｗｗｗ
っｗっうぇｗｗｗｗうぇｗｗｗｗｗｗｗｗｗｗｗｗうはっｗｗｗ
ｗｗっっっｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

http://YahooBB218128004137.bbtec.net/
っうぇｗｗｗｗｗｗｗうはっｗｗｗうぇｗｗｗｗ
うはっｗｗｗ
っうぇおｋｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
ｗうはっｗｗｗっうはっｗｗｗうはっｗｗｗｗｗｗうはっｗｗｗ

いまだによくわからんけど↑のようなやつは
荒らしじゃないってこと？

ウイルスに感染したPCが自動的に書き込んでるの

そうだよ

>63
ある意味あらし

チョット調べてみた。

・ファイル名に最新の漫画や音楽のタイトルが付いている。
・zipを開くと、フォルダのアイコンになっている.exeが入っている。
・.exeの前には非常に長いスペースが入っているため、AVGで一応警告が出る。
・.exeを開くと同名のフォルダを作成し、その中に漫画などが展開され、自分自身(exe)は削除される。よって感染したことは気付かれない。
・.exeが実行されたとき、どこかのフォルダにsvchost.exeを展開し、実行する。
・.exeが実行されたとき、既存のコモンスタートアップに乗っかる形でsvchost.exeを起動するように設定する。
・.exeが実行されたとき、コマンドコンソールを使用するため、conime.exeが常駐する。
・svchost.exeが実行されると、どこかのフォルダにfusianasanと言うフォルダが作成され、その中にファイルインデックスが作成される。
・svchost.exe起動後、20分程度はファイルインデックス作成の為、非常に重くなる。
・svchost.exeを通じて外部からHDDを覗いてもsvchost.exeは見えない。よって、削除アドバイスはしにくい。
・外部からss.jpgのリクエストを承けると、その都度キャプチャするため、エラー終了しやすい。
・エラー終了しても、svchost.exeは自動再起動しない。
・２ちゃんに書き込むユーザーエージェントはバリエーションが多い。
・手軽に画像入りウイルスを作れる、ウイルス作成キットが有るらしい。

http://p1039-ipad85marunouchi.tokyo.ocn.ne.jp/
ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗおｋｗｗｗ
うはっｗｗｗ
ｗｗｗｗうぇｗｗｗっっっｗｗｗ
っおｋｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

>>67
乙！

ttp://70.89.111.219.dy.bbexcite.jp/
ｗｗｗｗｗｗｗｗｗおｋおｋおｋっうぇｗｗｗｗｗｗｗｗｗｗｗｗ
うぇうはっｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗうはっうぇｗｗｗｗｗｗ
ｗｗｗｗｗｗうぇうはっおｋｗｗうはっｗｗｗｗｗｗ

>>67
GJ
元のexeは無くなるからsvchost.exeとファイルインデックスを
消せば駆除完了ということですか？

>>71
あと、スタートアップにもsvchost.exeを起動する記述が残っているので
リンクのプロパティを一つ一つ確認して下され。

>>72
レスサンクス
感染者には駆除方法が一番大事っすね。

>>68とか>>70みたいなリンク、クリックしただけでは感染しないよね

http://127.0.0.1/をクリックしても
ページが表示されません。だったら感染してないわけですね。

ここに↓2ch管理人訴えるっていう人がいるよｗ裁判おこすってさｗ
【経緯】
公務員がヤフオクで違法コピー販売の副業やってて、ウィルスに感染→個人情報他ダダ漏れ
→２ちゃんに晒されて→自分のしてた事も棚上げして逆ギレ→管理人訴える
http://pc7.2ch.net/test/read.cgi/yahoo/1115636340/
　　　　

2Chにアクセスすると
http://127.0.0.1/
に飛ばされます。なんで？

>>77
俺も。めっちゃﾋﾞﾋﾞってる。

何か表示されたｯｽｶ？（´・ω・）

>>77 >>78
自分も同じ状態。何でだろう・・・

【乙部blog】iframeタグがスクリプトエラーを吐き出す問題について
http://qb5.2ch.net/test/read.cgi/operate/1115893714/472

472 名前：動け動けウゴウゴ２ちゃんねる [] 投稿日：2005/05/12(木) 21:26:04 ID:UQgqwx1c0
馬鹿に分かるように説明


2chとライブドアが共謀しライブドアブログを<iframe>タグを使い呼び出し、
アクセス数を不当に水増（広告料絡みか）
jp/ld_ayako/archives/21502770.html" width=1 height="1" scrolling=no frameborder=0 name=a01></iframe>
を仕込む。
↓
ソースコードを見た２ちゃんねらーがこれに気付く
↓
運営、ライブドア側が火消しと情報拡散を防ぐ為<ifame>でページが呼ばれたら http://127.0.0.1/ へ飛ばすように「ブログ側」に
Javaスクリプトをしこむ
<script type="text/javascript" language="JavaScript">w=window;if(w.parent != w.self) { w.parent.location = 'http://127.0.0.1/'; }</script>
↓
★いまここ
↓
明日朝５時に説明があるらしい

ということらしいｽ

javaをOFFにしましょう


ってか常識でした・・・

>javaをOFFにしましょう
どこにアプレットなんか使ってるの？

トラックバックhttp://news19.2ch.net/test/read.cgi/news/1115893790/

おいおい山田ウイルスに感染したかとおもたじゃねーかｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

IEで２ちゃん見るとhttp://127.0.0.1/に飛ばされるけど、
ここが「表示できません」になれば感染してないということですか？

おいおいhttp://127.0.0.1/に飛ばされたからｯｽｶ？（´・ω・）
山田かと思ったじゃｎeeeeeeeeeeeeeeeeeeeeeeeかｯｽｶ？（´・ω・）

さっそくここをチェックしてよかったわｯｽｶ？（´・ω・）

449 ：薄荷 ★ ：2005/05/12(木) 21:42:29 ID:???0
ひろゆき氏と打ち合わせを行い、本日10時より運用板にて、
詳細を発表します。

>>86 俺も　ひょっとしてhttp://127.0.0.1/にとばされるたびに
「うはｗｗｗｗ」とか自動的に書き込まれてるのかとおもた

(´･ω･)

>>90
俺も俺も、ここに確認しに来てよかった。
不安に駆られてウィルスバスター購入しちゃうとこだった。

ﾊﾞﾝｺｸ一人旅 （´・ω・） ｶﾜｲｿｽ 山田ヲチスレ 27
http://tmp5.2ch.net/test/read.cgi/download/1115904442/

test

http://life7.2ch.net/test/read.cgi/intro/1115230918/641
これは山田ですか？

http://life7.2ch.net/test/read.cgi/intro/1115230918/641
これは山田ですか？

で　結局対策は　ないでいいのか

どうやら、複数の亜種に同時感染する模様。
亜種によってCRCも投稿文字列も違うから、かなりきびしいね。

山田ウイルスってどんなファイルに入ってるの？
Ｐ2Ｐで見たこと無いんだけど

mellponというフォルダはない
system32/drivers/etc/hosts には、「127.0.0.1 localhost」のみ

という状況、
そして>>1の感染してたらスレのリンク先にあるサイトの「感染確認方法」
のどれにも該当してないけど、http://127.0.0.1/ にアクセスすると、
「警告：127.0.0.1 へのネットワーク接続を試みている時に接続が拒否されました。」
と出る・・。
404じゃないということは、感染済み？

>>100
残念、感染者・・・

>>101
感染してたか・・。
時々svchostが急にサーバー動作しだして、一々ブロック設定
するの面倒くさかったけど、これが原因だったのかなぁ；

http://127.0.0.1/

↑俺のパソコンのアドレス

侵入できるんなら侵入してみなｗｗ

>>100
> 「警告：127.0.0.1 へのネットワーク接続を試みている時に接続が拒否されました。」

俺も出るんだけど・・・感染してるの？

>>104
普通はページが表示できません。じゃない？

そうなの・・・？
どうしよう。。

Firefox使ってるだろ

>>107
うん、使ってる。。何で知ってるの？？ｶﾞｸﾌﾟﾙ・・・

http://127.0.0.1/

取り消されたアクション
Internet Explorer は、要求された Web ページにリンクできませんでした。
要求された Web ページは現在、利用できない可能性があります。

と出るのは大丈夫ですか？

>>108
すべてお見通しなんだよ。お前が２ｃｈのDownload板を見てるってこともなｗ

>>110
今から趣味のサイト覗いてくるから、そのサイトここに書いてみて！

http://127.0.0.1/
にアクセスしたら

R寺・wｲ掣ｧｶcq8ｧ・bｪ$-C:/ ｭmv醢ﾎ5RｻﾊﾛOGｾ7 ﾑq_�y_R9f
Oｧ$>ml?ﾗ)・ﾚﾘ#C#$､ﾇdﾆ9斤ﾉﾞFｲ・垠ﾗ芯ﾒｯk誹・ﾇﾅ"u5ｻ
NDﾒjﾉ・ｫ､ﾞ8^ﾍ椿rm苫m磯aｵ・・氾a(ﾋｽ｢}wｨｴ・mJﾂ・ﾙn8s8
・*Ab}kFｯ$・1%榜z澹ﾐ�祇.�桾｢應rj��ｰ`ｨ�gｼX・G`R宸撫
+紊=┣ｽ]ｬｴ%O�&ｭ凌M・1ｧ9!%'eｿ･・・ｼｦ槊`ﾈ@.・_qﾞｦ

こんなのが出るんですが、これはもうダメポですか？
2，3日前は普通に表示できませんってなってました。

↑感染ぽ。（´・ω・） ｶﾜｲｿｽ

>>112
systemフォルダ以外にsvchost.exeがあればアウト

>>112
（´・ω・）ｶﾜｲｿｽ

けど俺nortonFWをオフにしないと、2chに書き込めないから
別に大丈夫な気がするんだけど、あまいですか？

>>116
2chに書き込めるかどうかではなく、外部から接続されるかが問題

>>112
(-∧-；)　ﾅﾑﾅﾑｽ

http://127.0.0.1/ にアクセスしたら
画面が真っ白になって画面中央に「（´・ω・） ｶﾜｲｿｽ」っていうのが
でるのですが・・・・・・・

>>119
（´・ω・） ｶﾜｲｿｽ

>>119
（´・ω・） ｶﾜｲｿｽ

>>119
（´・ω・） ｶﾜｲｿｽ

画像を見るとまずいそうですが、
ギコナビでプレビュー作成するだけならおｋなんですかね？

http://p848961.osaknt01.ap.so-net.ne.jp/
おｋｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
っうぇｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗっうぇ
おｋｗｗｗうぇｗｗｗうぇｗｗｗうはっｗｗｗｗ

http://127.0.0.1/ にアクセスしたら

iページ表示できないといわれたorz

山田くんは、たくさんあるスレの中からどういう基準で選んで書き込んでるの？
ジャンプスレとかたくさん山田くんきてるけど、あまり山田くんのこないスレもあるし

そんな時はageろ

ageるときてくれるの？

上のほうが訪問されやすいようだ

山田さんはそのうち線が減っていって山口さんになる

http://FLH1Ach050.stm.mesh.ad.jp/
ｗｗｗｗｗｗｗｗｗｗｗｗうぇｗｗｗっうぇっうぇっうぇ
ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

っうぇっうぇっうぇｗｗｗｗｗｗｗｗｗｗｗｗ

http://127.0.0.1/
にアクセスして鯖が見つかりませんならかかってないってこと？

感染したいんだけど、>>1のurl踏めばいいの？

うわあああぁぁぁ

傘ﾖﾛｽｸ

（´・ω・） ｶﾜｲｿｽ

傘ﾖﾛｽｸ

ねえねえ、感染した人がhttp://127.0.0.1/踏んだ時に表示されるブラウザの画面ってないの？
何か違うの表示されるんでそ？

次バージョンでは感染PCから自分自身にアクセスできないようにするとよさそうやね

勝手に書き込まれたりしてなければ大丈夫ってことなんですか？

>>140
感染したら書き込まれるのでは?
色々なスレがあるのに書き込まれてるかどうかなんて確認できんだろう

nyやshareで開けてるポートを乗っ取ればいいのに
ルータでもすり抜けられるぞ

>140
どうやって判断するかわかってないだろうねその様子だと。
別に実際にブラウザとか立ち上げて書き込む訳じゃないぞ
裏でかってに書いてるから、見た目は普通。
FWソフトいれるとかパケット監視でもしてない限り
２ｃｈでたまたま自分のアドレス発見するか、
親切な（ｗ　ちゃねらーがメールなりなんなりで知らせてくれるまで
パソコン画面に何の違いも出ない。

＞142
それやったらshareとかnyが使えなくなって
すぐに感染者が異常に気づくじゃん。
意味無いよ。

古い山田なら2chで書き込み規制されてるし、
そもそもどのスレに書き込まれるか分からないし

>>144
1分おきに乗っ取り、開放を繰り返すとか。
最近繋がり悪いなーくらいですまんかな。

>146
一分おきじゃだめだな。
nyもshareも全くダウンできなくなってポート乗っ取ったのと実質同じだろう。
それにそんな簡単に別アプリの制御は出来ない。

2chに画像もはれればssを一緒に貼ってしまえばいいんだろうけど。
たとえばキーとマウス入力がなくなったら1時間後に動作開始して
書き込みを始める。んで、感染者がもどって入力があったら
元の用に動き出す。とかね。
やってやれんことは無いけど非常に難しい。
なぜなら別アプリを制御しないとなんないから。

それよりも、無量ウェブアカウントを自動で取得して
そこにファイルをアップしたり、無料メールアカウントをつくって
そこにメールでss送りまくったりする方がつくりやすそうな気がする。

プロセスを監視してnyとshareが動いていない時だけWebサーバー動かせばいいじゃん

書き込みじゃなくてスレッドを立てる仕様に変更してください

>149
確かにそうかもしれん、でも理想は定常稼働だしょ
そうするとやっぱ外部に何らかの形でデータを出したい。
nyが稼働したタイミングでちゃんと稼働停止とかのところ
作り込みとかデバッグが大変そう。
感染しても動かなかったらいやじゃん。
やっぱ外に出す形で作り込みたいな。

ほかにもアイデアきぼん。

ttp://www.uploda.org/file/uporg97566.jpg

対策スレッドﾐﾃﾙｽ

こっちにおいで
http://tmp5.2ch.net/test/read.cgi/download/1115621317/

（´・ω・）今、あわててこのスレみてるあなた。ｶﾜｲｿｽ

>>152
http://tmp5.2ch.net/test/read.cgi/download/1115981873/
たぶんこっちｽ

ﾜｸﾜｸﾃｶﾃｶ・・・（´・ω・） ｶﾜｲｿｽ

http://pl1271.nas923.gifu.nttpc.ne.jp/
っうぇうぇｗｗｗっうぇｗうはっｗｗｗおｋｗｗｗっうぇ
ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
っうぇｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

ていうか、なんでみんな平気でリンク先をクリックできるんだ？
どういう攻撃が来るかわからんだろうに。

いろいろ仕込んでおいてわざとIPを貼るやつも居るだろうにさ。。

>>157
あぶねーよな


バスターはともかく、ノートン先生は対策ちゃんとしてくれてるのだろうか

＞157
ま、わかんない人はそうやって無闇に怖がってた方が良い。
安全だね。

楽しめないけど。

127.0.0.1にアクセスしたらパスワードを要求されるんですが・・・

そりゃ変だ。
スタート＞名前を指定して実行＞cmd > 【ENTER】

ipconfig /all 【ENTER】

ってやって中身をさらせ。
やばいところは適当に隠してな。

Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel 8255x-based PCI Ethernet Adapt
er (10/100)
Physical Address. . . . . . . . . :
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.20
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 192.168.0.1
ですが

>>157
まぁ自己責任
ほとんどのこの手のやつに引っかかるやつらは
そんなことはできないし
fukuoka ocnに1人いたのはどうだろう?

>>162
（´・ω・） ｶﾜｲｿｽ

えっ
俺山田うつってますか？？

>>157
ウイルスとか仕掛けると罠を仕掛けたほうが捕まるんじゃない？

>160

そのパス求めるダイアログって使ってるモデムかルータのダイアログじゃないの？
ダイアログになんか書いてないか？

でないっすね
単純に「127.0.0.1に接続中」しか書いてないです

http://127.0.0.1:80/~ss.jpg
　　　　　　　　↑デスクトップが見えたら阿寒

ページがみつかりませんです

ヨカタ(^^

でもダイアログ出るのも変。
とっても変だぞ。

>152
コレ、ブラウザ何で観てます？
先程から２に繋がらなくて、今携帯からなので見れないんです

>>172
IE

>>172
普通のIEだお

>>172
Jane Doe Style

なんで、ｶﾜｲｿｽっていうようになったの？

>>176
ヒント：ｶﾜｳｿ

>>173-174
ウィンドウの色は普通に青ですか？

>>175
？

>>178
うむ
お気に入りに
OH!LOTO6、サッカーショップ加茂、交響詩篇エウレカセブン、十二国記データベース
など

>>179
丁寧にありがとうございます
取り敢えず自分ではなさそうです。

http://localhost/とhttp://127.0.0.1/って同じ？

まあだいたい同じ。

svchots.exeで検索すると、見つかるのはsystemフォルダの中に１個だけなんだけど
タスクマネージャを開くと５つ（ユーザー名はSYSTEMが３つ、LOCAL_SERVICEが１つ、NETWORK_SERVICEが１つ）実行されているんですが

コレって問題なし？

速攻で解決した。
超すまんかった。

新しい検体ホスィなぁ。
またジャンプ落とすか

>>185
今の所うｐされてるジャンプのなかでは山田なさそうだったよ・・・。

少女マンガ山田ってないのかな

あれば女性の晒し者が増える希ガｽ（´・ω・）

>>183
全然無問題。

>>187
晒し者が増えたら駄目ｽ（´・ω・）
減らすためのヲチスレ・対策スレｽ（´・ω・）

c:\windows\system32\svchost.exeの他に
c:\windows\Prefetch\SVCHOST.EXE-3530F672.pfってのがあるんですけれどこれは何でしょうか。
127.0.0.1行くとページを表示できませんになります。

>>190
そのフォルダに入ってる物は単なるログです。

Prefetchフォルダには、アプリケーションの最適配置を行うための
ログ情報が格納されていて、デフラグに影響します。

>>190
検索くらいしろよな。

ありがとうございました！

新種では>>40に書かれていた仕様が実装されたようです。

次は多数のリクエストでも落ちないようになるかな。

>194

ソースは？
そんな簡単に実装できる仕様じゃないと思うが。

>>195
実際にある
適当にスレ流してみれば、見つかるはず
googleなんかのURLに混じって入ってる

それを持ってきて見せろよって話だと思うがなｗ

流石にウイルスをアップしたら足がつくだろｗ

>>197
山田ウィルスの傘になるにゃ。4 から
567 名前：[名無し]さん(bin+cue).rar ：2005/05/14(土) 14:04:43 ID:0t696/Wt0
http://www.google.co.jp/search?hl=ja&q=p4017-ipbf14souka.saitama.ocn.ne.jp:15000
http://www.google.co.jp/search?hl=ja&q=p4017-ipbf14souka.saitama.ocn.ne.jp:80
こんなので、どうだ？
ってか、194がすればいいものを・・・ｗ

山田さんは、ダウソ板にしか書き込まないの？
ほかの板だとみかけないけど。

それくらい出不精な人ならよかったんだけども

>199
は単にポート番号をくっつけただけだろ。
ポート競合させてp2pもウェブ鯖も両方同時に稼働させるような
ものがないと全然意味無いと思うんだがどうよ。

jpg踏んで山田感染って出てるの？

を？ｗ
実は全然わかってない人間なのでどうよ？って聞かれても・・・だけど
ポートつけても実際にその情報をGETするのは、ブラウザだったり
ダウンローダだったりするわけだよね
このポートが最初からあいてなかったり、すでにほかのソフトで使われてたり
すると意味のないものになってしまうね
（２つのソフトで同一ポート使える仕様だとこれはこれでいいのかも？）
自分のアドレスにポートスキャンでもかけてるわけでもあるましし・・・
全く今のところ何の番号なのか不明ですなｗ

ちなみに、山田君はタスクマネージャでどんなプロセスネームなんかな？

JPEGバッファオーバーフローの脆弱性をついたものもあるかもしれん。
こいつはやっかいだぜ、対策してる人は発現しないからいいけれど
保菌はしてるから、パッチ当ててない人にうっかり渡そうものなら・・

>>205
ギコのプレビューで表示されないのは踏まないようにしてるけどこれでおｋ？

>>206
心配ならgdiscan.exeでぐぐれ。
JPEGの脆弱性を診断してくれる優れもんだ。

>>207
ありが�d。調べてみます。

svchostで検索したら
WINDOWS\I386のフォルダの中にSVCHOST.EX_があったんですけど大丈夫でしょうか？

ページを表示できません
検索中のページは現在、利用できません。Web サイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。

山田ウイルスに感染したかどうかどうやったらわかるの？

トレンドに電話して山田ウイルスに感染してないか聞いたんだ
けど、最新のやつにＵＰＤａｔｅしていれば大丈夫って言われ
たんだけど大丈夫かな・・・
亜種もあるからトレンドのウイルスバスター検索に
引っかからなくても危険だとか言われたんだけど・・・
（ウイルスバスター検索には引っかからない）
今のところ特にPCに不具合はないんだけど・・・
ダウンロードとかしてるんで。

ちなみにhttp://127.0.0.1/ を踏むと「ページを表示できません」
ってなる。
これって感染してないってことだよね？

やさしく教えて。

>>211
マルチはおやめになったほうがよろしいかと　（´･ω･）

最近感染した。
Upホルダーを作らないで安心していたら、見えないUpホルダーを
作られ、自分の名前で、*.jpgをばら撒かれた。
どっちみち、ウィニイで拾ったものだが。

>>212
ｽﾏｿ。じゃあ、詳しくあなたが教えて。

>>213
俺たぶん持ってると思う。 名前の一部を晒してくれたら照合するけど・・・

>>214
あまいね、オレ　（´･ω･）
・127につながらない
・ウインドウズアプデートでマイクロソフトにつながる
どちらか満たせばおけ
感染するとアプデートで、民社党（もしくは社民党）にゆながる

↑ゆながる？

http://p65053-adsau07doujib3-acca.osaka.ocn.ne.jp/
ぷぷぷぷぷぷぷぇぷｗぷぷぇぷｗぷぷはぷぷｗぷぷはぷぷｗぷ
ｗっうぇｗぷｗぷぷｗぷぷｗぷｗぷｗぷぇぷｗぷ
おｋぷぷぷみぷぷｗぷｗぷぷぷおｋぷぷぷぷｗぷぷｗぷぷｗぷｗぷｗ

>>217
タイプミスよ。つっこまないで　（´･ω･）ｵｸﾚﾖ

（´･ω･）ｶﾜｲｿｽ

>>216
ありがとう。
2つとも満たしました。
これで大丈夫ってことですね？

質問です
PC再起動したら
C:\DOCUME~1\User\LOCALS~1\Temp\WER9422.dir00\svchost.exe.mdmp
C:\DOCUME~1\User\LOCALS~1\Temp\WER9422.dir00\appcompat.txt

というのが原因で
「Generic Host Process for Win32 Services はエラーが発生し閉じられる必要がありました。」
というエラーメッセージが出たんだけどこれって山田？
127には繋がらなかったけどPCは普段より重い感じがする

>>221
だいじょうぶ。

>>223
貴方、優しいね。
ありがとうね。
これで安心しました。

>>207さんのgdiscan.exeでDLLを更新してたら、
２箇所更新できないものが…

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8\gdiplus.dll

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.1360_x-ww_24a2ed47\gdiplus.dll

Windows がファイルを保護していますって出るんですが
どうしたらいいのでしょう

テスト

最近パソコンがウォーウォーっていってて
おかしいなって思ってたらウィルスに7個も感染してた

山田ウィルスにはまだ感染してなかったことだけが救いだよ

Kaspersky だめだな。

>>227
そりゃもう手遅れかもな。

>>225
怖がりすぎ。
ノートンとバスターのオンラインスキャンして、何もなかったら大丈夫。
jpegで酷い被害にあったとか日本で聞かない。海外でちょっと有名になったことがあったような気がするけど。
まあ、山田の亜種に今は気をつけとけばよし。
P２P使っているならだけど。怖いなら近づくな。

>230

>ノートンとバスターのオンラインスキャンして、何もなかったら大丈夫
>ノートンとバスターのオンラインスキャンして、何もなかったら大丈夫
>ノートンとバスターのオンラインスキャンして、何もなかったら大丈夫
>ノートンとバスターのオンラインスキャンして、何もなかったら大丈夫

おまえ頭大丈夫か。気をつけろよ　。

ていうか、そもそも落としたファイルの中の.exeを起動させなきゃいいんだろ？簡単ジャン。
ゲームとかプログラム･アプリ系を集めてる人は別にして、殆どがデータ系だろ、mp3/jpg/avi etc

但し、iso imageで、仮想ドライブに入れて自動起動しちゃうってのは危ないから、オートランを切っておくべきだね当然。

age

>>839
http://tmp5.2ch.net/test/read.cgi/download/1115621317/
ほらよ（#・`ω'・）=3

>>234
(´･ω･)ｶﾜｲｿｽ

解凍して出てきたフォルダ（exeかもしれない奴）を右クリック→プロパティで

ファイルフォルダ

と出たら安心してダブルクリックして良いんだよね？

>>234
（；´m｀；）

http://pc8.2ch.net/test/read.cgi/software/1073979085/945

これは・・・？

>>230
ありがとうございます。
書き換えていいものか不安だったので、復元ポイント作成してから
セーフモードで起動して、直接削除→新ＤＬＬで上書きしました。



ちなみにnyやらなにやらは使えない環境(´・ω・)ｶｲｾﾝ ｵｿｽ

アンチソフト、もうどれくらい山田君に対応してるの？

>>240
http://tmp5.2ch.net/test/read.cgi/download/1115621317/

>>230
こいつは、そのうち　やられるなｗｗｗ

>>242
おれもそう思う

>>242
おれもそう思ふ

>>232
バッファオーバーフロー攻撃（任意のコードの実行＝exeのダブルクリック）

>>242
おれもそう思う

＞ノートンとバスターのオンラインスキャンして、何もなかったら大丈夫
もしかしてオンラインスキャンだけか？
ウイルス対策ソフトは常駐していないのか？
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

もっともウイルス対策ソフトを入れていれば安心という考えがあぶないずら・・・

ノートンとバスター超ガンバレ
って、この2つのアンチウイルスソフトって性能低すぎ
もっと時間単位で定義が更新されればいいのに

>>248
無茶言うな

ていうか、おまいら怖いならするなよ。

初期装備でレベルの高いダンジョンに潜ってるようなものだということに
早く気付いて欲しい（´・ω・） ﾓﾝｯｽ

ネトランとかが原因なんだろ。
まともに、装備しないで宝とって終り。自分が毒に犯されていることすら気づいていない。

タスクマネージャーのプロセスをみると
conime.exeが起動中（再起動したらなくなってた）
svchost.exeが再起動後も５つ起動
http://127.0.0.1/をクリック は「ページが表示されません」と出る。
という状況なんですが、感染してるんでしょうか？

心のﾎﾟｰﾄは開いても、
PCのﾎﾟｰﾄは開いちゃ（´・ω・） ﾀﾞﾒｽ

（´・ω・） ｶﾜｲｿｽ

特盛！でかうまっ！Fカップ娘！
[･▽･]つttp://www.ne.jp/asahi/web/ichihara/

http://p4071-ipbf206sapodori.hokkaido.ocn.ne.jp/
うぇｗｗｗおｋｗｗｗおｋｗｗｗｗｗｗうぇｗｗｗ
っうぇ
っうぇっｗｗｗｗｗｗ

おｋｗｗｗ
うぇｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗうはっｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

電話線を引っこ抜け。これで解決！

解凍ソフトの脆弱性とJPEGの脆弱性をついた攻撃、両方が感染経路か？

新種を>>67みたくレポしたいけど、見つからないなー。
もうジャンプには入ってないの？

（´･ω･）ｶﾜｲｿｽ
http://www.imgup.org/file/iup29338.gif

>>260
おれが捕獲してる香具師はshareでもｸﾞﾗﾋﾞｱだった。
5/14からの新参者ぽい。
拡散してる模様。

なんだ67に答えがでてるのか・・

>>261
サンクス。ゲットしてみる。

>>262
OK、グラビアで検索してみるよ。

Cドライブを検索「mellpon」「tanaka」では何も無く
「svchost」で問題ないらしいのが二つ
大丈夫そうなんだけど
もし感染しててもOS再ｲﾝｽｺすれば被害は広がらない？

exeを開いた覚えはないんだが
時々2ｃｈに書きこむと連投扱いされるんだが山田か？

>>266
それは違うと思う。試しに、localhostをhttpで開いてみませう。

ハンタの偽者で山田亜種発見。
報告用に移動しようとしたら間違ってダブルクリック_|￣|○
あわててタスクマネージャから該当プロセスをkillして
レジストリのrunの部分も消したけどやっぱ感染したぽい。
感染しちゃったらしちゃったで仕方ないので分かった限りで亜種の特徴を。
・tanakaやmellponを生成するのではなくprogram files以下のフォルダ階層の中で一番深い部分にsvchostをコピー
・boot.iniには何も無し。
・レジストリの値は"security_center"で登録されてた

しっかし油断した_|￣|○これからオンラインスキャンいてきま

>>268
報告、乙。

亜種でも下記の感染確認方法は有効？

感染確認方法
http://127.0.0.1/をクリック
ウィルスに感染するとHTTPサーバが立ち上がっているためhttp://127.0.0.1/にハードディスクのフィルリスト一覧が表示される。

>>67が亜種でも有効なら、
ｆｕｓｉａｎａｓａｎでﾌｫﾙﾀﾞ内検索かけたらどがい？
感染者いたら試して味噌。

（´・ω・） ｶﾜｲｿｽ

（´・ω・） ｶﾜｲｿｽ？

ttp://downloader.parfe.jp/archive.htm
既出？

（´・ω・） ｶﾜｲｿｽ

山田ウィルスに感染して晒されると
アクセス権限関係なしに全てのファイル覗かれてしまうの？
ネットを通して感染者に繋いでいる時のアクセス権限って何？

（´・ω・） ｶﾜｲｿｽ

http://www.google.co.jp/search?hl=ja&q=YahooBB219044036024.bbtec.net:8080
http://www.google.co.jp/search?hl=ja&q=YahooBB219044036024.bbtec.net:80

>>277
何これ？亜種

亜種

>>269
svchost.exeが稼動してるタイプの山田ウィルスなら漏れなく有効。

>>270
svchost.exeと同ディレクトリにあって、中に作成途中の
俺のドライブ内の全ファイルのリストhtmlがあった。
どうやら挙動の亜種はあってもsvchostに関しては亜種は無いのか？

（´・ω・） ｶﾜｲｿｽ

（´・ω・） ｶﾜｲｿｽ

運営板の対策スレが新しくなりますた

★山田ウィルス対策スレ３
http://qb5.2ch.net/test/read.cgi/operate/1116127723/

>>283
乙

質問です。
ウイルス対策ソフトは一般的にどれが一番優れてるの？
有名どころはノートン、ウイルスバスター、マカフィーあたりかな？
玄人の方、教えて下さい。

>>285
山田にかぎればどれもだめ

>>286
回答、サンクス！

山田に限らずウイルス全般ではどれが優れてる？

>>287
ノートン先生が評判いいけど、理由はわかんないよ

>>287
ウイルス対策ソフト比較 Version2005
つhttp://www10.plala.or.jp/palm84/antivirus.html

>>288>>289
サンクス！

ノートンか・・・

山田に有効なウイルス対策ソフトは、どれもうんこだよ。今のところ。
在る程度の被害の上に、数ヶ月後かにやっと有効なソフトになる。

ウイルスが発生して、すぐに対処できるソフトは少ない。
ましてや、山田の場合亜種が多数発生しているのに、無駄としか言いようがない。

ようは、お前の心がけ次第。
・怪しいファイルは踏むな。
・p2pはするな。
・人を信用するな。
・ちゃんと働け！

>>215
私は山田と言います。

山田ウィルスちょっと調べて見たいんだけど、
だれかＵＰして

>>293
shareとかwinmxとかnyで拾ってきなさい

（´・ω・） ｶﾜｲｿｽ

山田って有名なP2P（share、mx、nyなど）なら
どこにも蔓延してる？

>>296
ほら、おまえの後ろにいるじゃないか

えええええぇぇぇぇぇ!!!!!!!!!!!!!
((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>245
今レスに気づいたけど、XPの場合、マメにセキュリティパッチ宛ててれば溢れ出しエラー関連は脅威じゃないよ。
zip解凍は当面Lhaplus使ってれば無問題だし。

P2Pはやっていないのだが、
http://127.0.0.1/をやってもページを表示できませんてでるだけだし、
感染してないよな？

>>300

してないよ、少なくても山田ウイルスには。
田中ウイルスに感染してるかは分からんけど。

>>300
多分としか言い様がない。
特定のアドレスでdnserror.htmを表示する亜種だったら気づけないし。
あぷろだとP2Pは気をつけたほうがいい。

予防としてはデフォルト以外のフォルダアイコンにしておくというとこか。

ヲチスレで亜種発見かも

さくらが咲いていますよ

山田ウィルス作ったやつって
自動で2ｃｈに書き込むツールとか2ｃｈで通る串を
簡単に何本も見つけれられるようなツールとか作れちゃったりすんの？
ここまで2ｃｈに対して好き勝手攻撃できるなら

鯖立っててもホストが.jpなら書き込めたかと。

山田のカキコ、無意味な文字列なのが幸いだよな、あれ。
もし犯罪予告だとか自殺予告だったりするとシャレにならん。

特に、湯沢の佐藤が流出させた個人情報をランダムに利用して危険なカキコとかされたら、佐藤も停職三ヶ月じゃすまなくなるしなあｗ
山田の製作者、絶対そんなこと、するなよｗ
おまいの良心を信じているからなｗｗ

昨日のヲチスレ亜種の特徴。

・P2Pではなく、人伝でファイルを取得。
・投稿文字列が独特。
・svchost.exeではなく、rundll32.exeが本体。
・挙動から見て、たぶん自動再起動している。（別プログラムがプロセス監視してる？）
・UPnPを使って、自力でルータのポートを開いてる可能性がある。
・msconfigやレジストリ(run)やスタートアップに登録されていないらしい。（偽装？）
・マシンスペックのおかげか、あまり落ちない。
・ファイヤーウォールで防げる。
・ファイヤーウォールはrundll32.exeと、アプリ名＆バージョン不明のプロセスからのアクセスを遮断。


もしかしたら絵師さんの自作自演で、上記の仕様を実装した新種を自作・・・・・・
・・・絵描き人がそんなスキル持ってるはずもないか。

>>307
押すなよ押すなよって言ってる竜ちゃんですか？

C:/Program Files/<略>/
　<DIR> fusianasan/　　　　　　　　　　　<--
　<DIR> tmp/　　　　　　　　　　　　　　　<--
　　　　　svchost.exe　　　　　　　　　　　<--
C:/Program Files/<略>/fusianasan/　<--
　　　C.html　　　　　　　　　　　　　　　　<--
C:/Program Files/<略>/tmp/　　　　　<--
　　　tmp***.html 　　　　　　　　　　　　<--

http://127.0.0.1/
クリックすると、ユーザー名とpass要求されるんですけど
これって感染してるんでしょうか?

>>311
そりゃあ完全にアウト

>>311
へんな挙動だな・・・
BASIC認証？windows共有の認証？

>>313
「ネットワークパスワードの入力」です。

127を踏んでも何も表示されなくて真っ白なんですが感染でしょうか…？
一応マイクロソフトのアップデートのサイトにはいけます。
どうなんでしょうか？

使用のブラウザは？

Macは関係ないのでしょうか

>>317　うん

>>311　フロントページ使うなどして、Webサーバーエクステンションが
インストールされていると、そうなる。
名前に<PCのグループ名>\\<ログインユーザー名>
パスワードに<ログインパスワード>を入力で入れるよ。

イントラ用のWebページが出る。

>>308
ﾈｯﾄの世界では、高ｽｷﾙの方程、
丁寧で低姿勢なものｯｽ

対照的な、山ﾋﾟｺ他が良い例ｯｽ

>>314
ルーターを入れてるでしょ

ちょっと面白かった

>>314
ウイルスに感染していて、
かつ>>321氏の言うようにルーターを入れているとpassを求められるケースがあります。

ルーターのID：admin pass：adminなどもってのほかです。
早急に対策することをお勧めします。

Userが空白でPassがあるルーターもあるよな。
しかし、なんで、Intrnet側からルーターにアクセス出来るんだ？（スペルあってるよね？

・・・なんでhttp://127.0.0.1/ でルータを見に行くんだよ？

>>324　イントラ？　インター？　あなたはどっち？

山田ウイルスに感染したいんですがどうすればいいんですか？

>>325
ﾈﾀﾆﾏﾁﾞﾚｽすなー

>>321　323
たしかにルーター入れてます。
ちなみに、怖くてＩＤ、ＰＡＳＳ共に入力していないのですが

＞ルーターのID：admin pass：adminなどもってのほかです。
＞早急に対策することをお勧めします。

これはどういう意味でしょうか。

>>329
adminだと見られる可能性大です
他人に分かり辛いIDやPASSにする必要性があります。

それとルーターを入れてたらルーターを通してPCへ行くから最悪の事態を考えてルーターで寸止めしておこう
その為にも他人に分かり辛いIDやPASSにしてください

>>319
指示とおりにやらせていただいたところ
「そのページにアクセスする7権限がありません」
というエラーページに飛びました。

これは、安心していいのでしょうか。

分かんない人はan httpdを入れてアクセスしてみれば分かるよ
ルーターで止めた場合、PASS要求してくるから

>>330
ご説明ありがとうございました。

>>331　訂正
フロントページ使うなどして、Webサーバーエクステンションが
インストールされていると、そうなる。
名前に<PCのグループ名>@<ログインユーザー名>
パスワードに<ログインパスワード>を入力で入れるよ。

イントラ用のWebページが出る。

127.0.0.1　は、windowsのグループ名にあたる

http://IP/
で調べて何も出てこなかったがこれは感染していないと考えて良いのか？

Ｃ：ドライブに
<mellpon> , <yamada> , <tanaka> , <fusianasan> , <kawaisosu>
のフォルダがあって、その中に
c.html
があったらアウト！

やまだ

今夜が山田

や〜まだ！！

↑これは誰でしょう？

（´・ω・）ｶﾜｲｿｽ

http://127.0.0.1/
これに行ったら接続拒否になる。
FireFox使ってるんだけど、どーすればいい？

￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣｣
―――――――――――――‐┬┘
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 |　.＿＿　　　 パソコンを
　　　　　|　 　 　 　 | 　 　 　 　|　　 |　|＼＿＼　　窓から
　　　　　|　 　 　 　 | ∧＿∧　|　　 |　|　 |.◎.｜　投げ捨てろ
　　　　　|　 　 　 　 |（　´∀｀）つ ミ |　|　 |.：　｜
　　　　　|　 　 　 　 |/ ⊃　 ﾉ　|　　 |　.＼|.≡.｜
　 　 　 　￣￣￣￣'￣￣￣￣　 　 |　　　￣￣

>>339
（´・ω・） ﾄﾞｶﾍﾞﾝﾉｲﾜｷｽ

exe開いた覚えはないんだけど感染してた
原因探ってみたら、どうも解凍ソフトがスタートアップにexeを解凍したらしい
ファイアーウォール入れてたから良かったけど、これから再インストールorz

>>339
（´・ω・） ﾄﾞｶﾍﾞﾝﾉﾄﾉﾏｽ

>>339
ｲﾜｷｺｰｲﾁ

やまだ

亜種ふえてきたっぽいけど、
http://127.0.0.1/
は今見つかってる亜種には有効なの？

>>348
いえーす。
公開の仕方が変われば、もう山田の亜種じゃねーだろ。
それだったら、新種誕生だよ。

>>349
ポート変えられたら終わりでそ

（´・ω・）ｱﾘｶﾞﾄｽ

(一般コミック・雑誌) [サンデー] [2005-25] からくりサーカス 機械仕掛の神〜第42幕 .zip

>にゃー
>にゃん
>
>にゃー にゃーにゃー
>
>？

？

>>352
ごばくのよｋんあ

ノートン先生、一週間前くらいまでの亜種（みぷ、ｶﾜｲｿｽ、ネコミミなど文字列問わず）に対応だね。
初心者は体験版でも入れてみるといいかも。

マカフィーは？

　　　　　　　　　　　　　　　　　γ⌒／＾＾／＾-
　　　　　　　　　　　　　　 ,ゝ｀/~　/~　/~　 /⌒
　　　　　　　　 　　　　　〈（_|　　|　|~　　|~　 /＾ ）
　　　　　　　　　　　　(/~　/~　/~　/~　~　/~　/＾＼
　　　　　　　　　　　（）/)/~　/~　|~　　　 .|~　|~　|~　/）　Tiametの神ギルド
　　　　　　　　　　　へ＾〈,|,,､,,|,,､,,,,,|~,,,,､〈~,, 〈~　/⌒|）＼
　　　　　　　　　　|:::::::　　　゛　　゛ 　　　　　　　　　,,,,;;::'''''ヽ against the wind様だｗｗｗ
　　　　　　　　　　|::::::::　　　　　　,,,,;;:::::::::::::::　　　　　　　__ ヽ
　　　　　　　　　　|:::　"　　　＿＿　　　　::::　　　　　＜'●,　| おまいら遂に俺を怒らせたな
　　　　　　　　　┌―.　- '"-ゞ,●＞　　　::::::...　　　　　　　 |
　　　　　　　　　 |　|￣..　　　　　　　　　 :::::::　　　　　　　 　 | チート、BOT、RMT、暴言、詐欺、MPK
　　　　　 　　　　ヽ.＼{＿　　　　　　　　　　　(　○ ,:○)　　|
　　　　　　　　　　　＼＼/.　　　　　　　　　　　　　　　　　　 | 俺の全てを駆使して天罰をくれてやる！
　　　　　　　　　　　　 ＼＿ヽ.　　　　　　　 __,-'ﾆニニヽ .　 |
　　　　　　　 　　　　　　　　 ヽ.　　　　　　　　ヾニ二ン" 　/ 覚悟しやがれ愚民どもｗ
　　　　　　　　　　　　　　　　 ＼　　　　　　　　　　　　　　 /
　　　　　　　　　　　　　　　　　｜　　　　　　　　　　　　　 ｜
　　　　　　　　　　　　　　　　　｜　　　　　　　　　　　　　 /
　　　　　　　 　　　　　　　　　ヽ＼　　　　　　　　　　　　 / ttp://ex9.2ch.net/test/read.cgi/net/1116304174/l50
　　　　　　　　　　　　　　　　 　l　　`ｰ-::､_　　　　　　　,,.'|ヽ.
　　　　　　　　　　　　　　 　　:人　　　　　　`ー――''''' 　/　ヽ
　　　　　　　　　　　　　　＿／　　`ｰ-､　　　　　　　　　 ,.-'"　　 ＼ー-､
　　　　　　　　 　　,.-'"　　＼:　　　　　 ＼　　　　　 .,.-''"　　　　 |
　　　　　　　　　／.　　　　　＼　　　　　　　 ~＞､,.-''"　　　　　　|
　　　　,,..-‐'''""　　　　　　　　ヾ　　　　,.-''"| 　　　/――――､/

>>344
のいう
解凍ソフトがスタートアップにexeを解凍したってどういう状況？
自分も解凍ソフトrarで書庫覗いたらexeあったんで
書庫からウィルススキャンしたんだけど、そのときアンチニーKを削除って
出たけどこの場合いちいち書庫を解凍して、ウィルススキャンしてたとかで
感染してるってことはナッシングだよね？
なんか解凍してウィルススキャンしたみたいな挙動だったから、ちょっと不安になった

（´・ω・） ｶﾜｲｿｽ

>>356
今週の木曜日にファイルアップデート予定
（マカのサイトから個別にダウソ出来るけど）

うぃるすばすたーはいつ対応するんだろう(´・ω・`)

（´・ω・） ｶﾜｲｿｽ

田中ｳｲﾙｽ
ﾜﾛｽ

スレたたず（´・ω・） ｶﾜｲｿｽ



終了〜★

>>358
言っている意味がよく分からんが、解凍せずにスキャンできないだろ。
解凍したファイルを保存はしないだろうが。

スタートアップの件は「スタートアップ ウィルス 解凍 winny」でググれ

>>366
解凍せずにスキャンできるが・・・

>>366
スタートアップの中は空だった。無事っす。

解凍してスキャンっていうのは
.exeを解凍してスキャンだけで実行まではしないってことだよね。って意味です・・。

解凍してスキャンした瞬間に.exe実行って意味・・・
大丈夫だよね、びびりすぎか。

>>361
ｳｲﾙｽﾊﾞｽﾀｰは投稿文字列が変わると対応できない模様。
しばらくはノートンで。

>>369
指定外のフォルダにファイルを解凍するバグのあるソフトがあるってこと。
下記HPを参照
ttp://www.forest.impress.co.jp/article/2004/07/30/arcsecurity.html

すいません、ＰＣのグループ名ってどうやったら見れましたっけ？

>>372
ワークグループのことなら、システムのプロパティ→ネットワークIDタブ→プロパティ

>>373
ありがとうございます

>>369
スキャンでexe実行してしまうようなワクチンソフトがあったら大欠陥な訳で
安心していいよ
>>367
「ユーザーが」解凍の手順を踏まなくてもいいだけでしょ。

ルータ入ってるんですけど、ユーザー名とパスワード求められて入力したら
ページを表示できませんってなったんですけどセーフですか？
感染するようなことしてないのにパスワード求められてビビってたんですけど・・・

>>376
とりあえずシマンテックのオンラインセキュリティスキャンかけてみれば？
パスなら感染してても外部からは見られてないんじゃね？
ウィルススキャンの方は山田検出するのかわからんけど
そっちはトレンドマイクロのオンラインスキャンで見つかると思う。

山田はＨＤの内容を全世界に配信だけど、2ｃｈに投稿された
URLにアーバインとかでひたすらアタックして運がよくないと繋がらないんだよね
もっとスマートに配信されてて、誰もが簡単にアクセスできるように
ならないかなぁ。

ファイルを配信してるっては、公開してるだけで
そのファイル自体をダウンしたりはできないの？したら犯罪か

トレンドマイクロのオンラインスキャンで引っかからなければとりあえず安心していいすか？

>>379
OK!!!!!!!

>>379
>>370

>>378　いや、ダウソできる。現にヲチスレで、メールボックスやら
オフィスファイルやらダウノされて個人特定されたのがたくさん・・・
ホームページのリンクをダウソするのは普通でしょ？

>>1
乙ｽ

４０４じゃなくて
既定の Web ページが現在ありません。ほかのコンピュータからこの Web サイトに接続しようとしているユーザーは、現在ページを受け取っています。
作成中 Web サーバーは既定の Web ページになり得るファイルを一覧表示しています : default.htm,default.asp,index.htm,iisstart.asp 現在 iisstart.asp のみが存在します
って出るのはアウトですか？

NOD32で山田ウィルス検出できる?

>>384
（´・ω・） ｶﾜｲｿｽ （´・ω・） ｶﾜｲｿｽ

時期、hostを変えてくるウィルスも出てくるかもねｗ

>>382
でもさー、バックドアと知りつつアクセスしたら不ア法違反じゃねーの？
ダウンロードは情報窃盗なので刑事罰はないかも知らんがな。

一々上げんなｳﾞｫｹ

>>389
死ね、ぼけ！

>>389
死ぬな、ぼけ！

木瓜

これってエロサイト見てるだけなら安全？

不正アクセス禁止法の該当行為からも絶妙に外れてるんだよなぁ。微妙だよなぁ。

普通にエロサイトを回ったりしてるだけなら感染したりはしませんか？

>>395
感染します

・・・これで満足？

不安ならIEの画像読み込みを切っておくべし

あれっ？

http://www.vipper.org/vip12274.gif.html

1部の人間だけで楽しんでるみたいだな

俺もお前も一部の人間

384で相談した者なんですけど、なんかＸＰのプロフェッショナルだとこうなるみたいです
多分なんですけど。

>>402
カンケイナイ。

あぶれてるんだよ

これに感染してる人がペイントソフトでctrl+vしたら撮られた画面がでるのだろうか

>>384

デフォでイントラ用のWebサービスが立ち上がってるから・・・
Windowsネットワークでは、127.0.0.1は、ワークグループを指す。

hpを作って大書きで「覗くなよゴルァ！」って書いとけば？
友達がLANに入ってきたときに驚かせられる・・・

【トラックバック来たよ】 (ver. 0.11)
[タイトル] ■　WebMasterの休憩所
[発ブログ] ウェブマスター＠bbspink掲示板
http://sakura03.bbspink.com/test/read.cgi/webmaster/1103870049/l50
[＝要約＝]
どぞ
ビールでも一杯

2ちゃん内の直リンが、http://ime.st/127.0.0.1/に限らず、全て「ｉページを表示できません検索中のページは現在、利用できません。Web サイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。」
が表示されるの様になってしまったんだが俺は山田の亜種にかかってしまったんだろうか？
ｅｘｅ開いてないし、一応Ｃドライブ検索を掛けトレンドマイクロのオンラインスキャンして以上はなかったが、
不安でしょうがないので、誰か助けてけてください。

sageろよ、馬鹿が

スマンかった。

>>216さんの挙げた両方試してみたところ
ページが表示されませんって出たのですが
どうやら感染してるみたいなんです
PCサッパリなんでちょっとビビッてたり…
どうすればいいか誰か教えて下さい。

ime.stが表示出来ないことはよくあるよ

タスクのマネージャーで山田君が働いているか知る事は来るんでしょうか？

>>396
それはどういうあれでなんでしょうか？
エロサイトが仕込んでるってことなんですか？

>>414
あれってなんだ？・・・あ〜、あれか！！
あれは、あれだなぁ・・・。そうそうあれあれ。

>>413
座布団持ってウロチョロしてたら働いています

>>406
本当にありがとうございます、４０４にならなかったら感染してるとか
（´・ω・） ｶﾜｲｿｽ って言われて感染してると思ってマジでへこんでました・・・

>>415
んでどういうことなんでしょうか？

>>417
そもそもなんでIIS動いてるんだよ。切っとけよ。
別のウィルス入ってくるかもよ。

>>418
（´・ω・） ｶﾜｲｿｽ

>>388
バックドアの定義が「認証を騙す行為」になってるぽ
そもそも認証が無いわけで・・・

◆◆山田ウイルスの今後を予想◆◆

・新種の拡散はしばらく控え、お盆に向けて改良する。
・UPnP完全対応版ができあがる。
・ローカルhttp://127.0.0.1/からのアクセスを拒否する。
・レジストリを改変し、タスクマネージャの起動を禁止する。
・レジストリを改変し、レジストリエディタの起動を禁止する。
・２ちゃんねるの書き込みルーチンに、OpenJaneDoeのソースなどを流用する。
・２ちゃんねるのさくらを回避するために、投稿文字列はIEのキャッシュから流用する。
・マルチプロセス型にし、アクセス過多で一つのプロセスが落ちたら再起動させる。
・プロセスの基本優先度を下げる。
・httpd部は、最大300アクセス/秒に耐えられるように再設計する。

・ローカルhttp://127.0.0.1/からのアクセスを拒否する。＜これは既に亜種で存在

俺はこれから山田ウイルス及び亜種に完全対応の駆除ソフトをマジでつくろうと思う。

あっそう

http://www.uploda.org/file/uporg103176.png

http://127.0.0.1/
クリックしても何も表示されないんだけど･･･

ttp://nullpo.mydns.jp/up/updir/5697.jpg 

ノートン更新したんですが 
上のような「ＥＥＥＥＥＥＥＥＥ・宴の更新」ってのが激しく怖いんですが ・・
これは山田とは関係ありませんか？

関係ない

>>426
それウイルス本体か？
ttp://www.microsoft.com/japan/technet/security/bulletin/ms05-009.mspx

>>429
ありがとうございました

でも・・気味悪いなぁ・・

園芸ファンのあなた、相談にのるから、何か書き込んでほしいです

Winキー+Eを押しっぱなしにしてみろ
窓が出まくったらご臨終。。。

くっくっくっくく
なんて楽しいんだ。面白いよ。オマイラ
ハッカー気取りの３バカには面白いものを見せてもらった。
なかなか攻撃されている側の画面を見る機会は見ないモンな。

そんな早起きのオマイラにプレゼントだ
山田ウィルスに感染したPC上で任意のWEBを開かせることができる。
とあるやつが穴をぽっかり開けてたからな。
http://ycanon.memebot.com/
Target Host: アドレス(ex. 123.123.ocn.ne.jp)
Target Port: ポート(ex. 80)
Target Page: 開かせるページのURL(ex. http://www.yahoo.co.jp/)
感染者を此所に誘導するのものよし、
http://127.0.0.1/を開かせて気づかせるのもよし、
勘違いバカを挑発するもよし、
信条に反するなら捨て置いてもよし、
好きに使え。
ことわっておくがオレは山田作者じゃねぇぞ byにゃるら

うへへ、に出てくる
5
2
/
とかって何？

>>434
ブラクラ注意。
そこアクセスするとやばいス。

らしいよ。

>>434
山田砲
山田ウイルスはかなり危険なウイルスだったということ。

>>434
そのリンク危険。
そこ踏むとIP抜かれて、トロイ仕込まれる。

>>438
トロイ仕込まれるかどうかは知らんが
書いてあることはホントだろ。
山田ウイルスは中身が見れるだけじゃなかった。

>>434
そのリンク危険。
そこ踏むとシリコ玉抜かれて、でかマラ仕込まれる。

(´・ω・) ｶﾜｲｿｽ

亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後 
ttp://www.itmedia.co.jp/enterprise/articles/0505/20/news036.html

>>434
にゃるらってあのNyrlathotep？
Winnyにクラック版が出回ることを恐れた厨房が
必死にウィルスの噂を流した時と似てるなぁ
彼が作るものは今のところ本物だし、余計なものも仕掛けられてない。
ただ作るものは厄介な代物でごたごたが起こるのを楽しんでる。それが… ニャルラクオリティ。

…WinnyといいShareといいP2Pで感染する山田ウィルスといい
…彼はP2Pに恨みでもあるのか。

C:\WINDOWS\system32\drivers\etc\hosts　に全く何もないんですが・・・
どーいうことですか？？？

　　　　　 　 　 　 　 ＼　　　 │　　　ハァ？ 　 　 .| ./　/(ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ?/
＿＿_　　 　 　 ＿＿_ .＼　　 |　　 　 　 　 　 　 　 |/　/(ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ?/　 /
|ﾊｧ？| 　 　 　 |ﾊｧ？|　　＼.└――──―──/　/(ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ?/　 /
￣∩( ﾟДﾟ ) 〃￣∩( ﾟДﾟ ）＼　　ヽ(ﾟДﾟ )ﾉ　　./　/(ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ?/　 /
　 ヾ.　　　　）　 　 ヾ.　　　　）　＼∧∧∧∧∧/　/(ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ? (ﾟДﾟ)ﾊｧ?/　 /
　　｜ ｜　| 　 　 　│ │　|　 .＜　　　　　激 ＞.|￣￣￣￣￣￣￣￣￣￣￣￣|　 /
　　（＿_）＿）　　 　（＿_）＿）　＜　 　 ハ　し ＞.|　　　 (ﾟДﾟ)ﾊｧ?　 最　中　　　.| ./
────────────＜ な　 ァ　 く ＞────────────────
|o ゝ○ノ|　　　　　::／^'ヽヽ:::::::＜ 予　？　 　 ＞ ／　○ 　　＿　○＼　　 ／
.ヽ( )_,,ノ　　　　　 |ゝ○_ノ o|:::::＜ 感　　　　　 ＞（　　　　　 ││　　　）＜　　／ ＼ ア　？
^''　　　　　`‐'　　 ヽ..,,_( )ノ　 ::l＜　!!　　　　　 ＞ ＼　　　　丿　| 　　／ 　 ＼
~~　　 （　/￣￣ヽ　　　 -‐‐‐--l-∨∨∨∨∨.　 ／　　　　￣￣　　 ＼　　　 ＼＿＿＿＿
　,,,,　| 　|||!|||i|||!| |　　　~^'‐..,,_/　 /. _＿＿＿.＼（　　　　　　　　　　　　）
（:::::｝|　:| |ll ll !! !.| |　　 ,,,,　 イ ~''/　 Ю）＿＿）　＼ 　　　　　　　　　 ／
. ~~　|　:|!! || ll|| !!:| |　｛:::::） ::l　./　　 | ﾟДﾟ.|　ﾊｧ? . ＼ 　　　｜　　　 |(ﾟДﾟ） ﾊｧ？
.　　　|　| ! 　　　　| l　 ~~　　l /　　　 ＾＾＾＾＾　 　 　 　 ＼.　　 ＼　 　 ＼⊂）
　　　　 `ー--― 'ノ　　　　　/　　　　　　　　　 　 　 　 　 ＼.　　 ）　　　 ） |

>>433
嘘（・Ａ・）ｲｸﾅｲ!!

>>433
実行してみたらマイコンピュータが腐るほど開かれたんだけども、
これってやヴぁいのだろうか…。
教えて！エロい人。

やばいというより正常な動作

>>447
釣り。

>>448
>>449
釣りでしたか。
返答有難うございました。
もう一つ気になる事が…。
【感染してるかどうか調べる方法だが、
「きmす」と打って変換してみろ。それが「金子」に変わったら・・・・アウト】
という書込みを見つけまして、早速実行してみたところ、見事に｢金子｣に変換されてしまいますた。
これってやヴぁいのだろうか…。

>>450
大丈夫。仕様だ
詳しくはここに書いてあるぞ
ttp://kintama.client.jp/c4u.html
このサイトはキンタマウイルス関係だけど…

>>450
やばいというより正常な動作
釣りでつか・・・・・・・orz

>>451
返答有難うございました。
仕様だったのですね。
参照先も参考にさせて頂きます。

>>452
いや、釣りではないですよ。
まさかなぁと思い実行してみたところ、
本当に変換されてしまったのでかなり驚きました。

ぼくも「うｍこ」と打って変換したら、「ヽ( ・∀・)ﾉ●ｳﾝｺｰ!!」に変わります

>>453

>「きmす」と打って変換してみろ。それが「金子」に変わったら・・・・アウト】
>という書込みを見つけまして、早速実行してみたところ、見事に｢金子｣に変換されてしまいますた。
>これってやヴぁいのだろうか…。

っていうか、そんな簡単に2ｃｈの情報を鵜呑みにするなよ

アホにはレスするなよ。

感染確認したところ127.0.0.1に接続を試みているとき接続が拒否されましたと出るのですが大丈夫でしょうか？

「ページを表示できません。」ってでない？

ルーター使えば感染しても無問題。

ＩＥだと「ページを表示できません。」とでます。2chreaderだと接続拒否となります。

全文大丈夫ス。

マック風デスクトップにしてるアナタ
ttp://www4.yi-web.com/~alex_/upload/karimasu/view.php/3025.jpg
見られてますよ　( ´･ω･) ｶﾜｲｿｽ

ﾛﾘﾍﾟﾄﾞ山田君（´・ω・） ｶﾜｲｿｽ 山田ヲチスレ62
http://tmp5.2ch.net/test/read.cgi/download/1116593939/

こちらまでおこしください( ´･ω･) ｽ

抽出ID:XzB0uZKWO (2回)

413 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2005/05/19(木) 08:23:54 ID:XzB0uZKWO
タスクのマネージャーで山田君が働いているか知る事は来るんでしょうか？

424 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2005/05/19(木) 18:19:19 ID:XzB0uZKWO
俺はこれから山田ウイルス及び亜種に完全対応の駆除ソフトをマジでつくろうと思う。

( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)

>>462( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)( ´･ω･)
うほっ！暇なやつｶﾜｲｿｽ　

>>463JVでIDを右ｸﾘｯｸするだけで出てくるぞ。

今時ID抽出機能も無いブラウザ使ってる方が恥ずかしいね。

はいID抽出しますから、ちょっとﾁｸっとしますよぉ

山田ウィルスの簡易チェッカーの使い方がわからない orz

最近、2chへの山田君の書き込み減った気がするんだけど気のせいかな

>>468
ttp://qb5.2ch.net/test/read.cgi/operate/1116127723/

自分もうｐされるSSをリアルタイムで見たいのですが、どこで見られるのでしょうか
うｐろだをいろいろ回ってみたのですが、それらしき画像が随時うｐされている場所が見つかりません
他人がスレに晒したSSじゃ物足りないです。晒してる人はどこでSSを入手してるのかな

>>470
ttp://tmp5.2ch.net/test/read.cgi/download/1116647701/

http://strawberry.web-sv.com/cgi/up/ia/up11141.gif.html

よくわからない方はとりあえずこちらへどうぞ。
ttp://www2.atwiki.jp/kawaisosu/pages/18.html

test

テスト

NETWORK SERVICEとLORCAL SERVICE
ってユーザー名でsvchost.exeが入ってるんだけど感染？
もし感染だったら
駆除の仕方が>>473のサイトみてもよく分からない（´・ω・`）

＞４７６
スタートから検索でファイル検索して手動で削除するのはどうなの？

なんかすごい長いフォルダ名のが出てきたけど更新日時が2004年8月4日ってなってるから大丈夫かな

・ハードディスクドライブを検索したら
名前：SVCHOST　フォルダ：C:\I386 更新日：2002/08/31
名前：svchost　フォルダ：C:\WINDOWS\SYSTEM32　更新日：2003/07/18
ってのが出てきました。

・タスクマネージャーのプロセスを見ると、ユーザー名がSYSTEMではない
svchost.exeが２つあります（その２つのユーザー名は「LOCAL SERVICE」と「NETWORK SERVICE」です）

・ブラウザはFirefoxで、http://127.0.0.1/を踏んだところ、
「127.0.0.1 へのネットワーク接続を試みている時に接続が拒否されました。」とメッセージが出て
何も表示されません

・hostsファイルも確認しましたが、書き換えられたりはしていません。

・PCの動作には特に問題はありません

現在このような状態なのですが、感染の可能性はありますか？
PCに関しては浅学であり、自分では判断できませんので、ご回答の方よろしくお願い致します

PC関連の質問で
一番くだらなくて意味がないのが「ウィルスにかかっていますか」だな('A`)
PCがWANに出ている自覚と意識持たないでぼんやり使っているせいだろ

479は日本語に関しても浅学菲才だな

>>479
「svchost.exe LOCAL SERVICE NETWORK」でググれば判る。
おまいと同じ疑問持ってるヤシがいっぱいいるぞ。

>>479
無駄にレスが流れないように率直にマジレスしておけば、キミは感染してない。とりあえずね。

眠いです。

ノートン先生ガンガレ、超ガンガレ

これってWindowsファイアーウォールを有効にしてれば
大丈夫ですか？

　　∩＿＿＿∩　　 　　　 　｜　　　　　　　, -─-'- 、i
　　 | ノ＼　　　　 ヽ　 　　　　| 　　　　　,'´　／ 　　　　ヽ、
　　/　　●゛　　● |　　 　　　| 　　iニニ,　"●　∪ 　　　 ヽ、
　 |　∪　　( _●_)　ミ　　　　 j 　　 iニニ、_／￣￣￣￣＼ ;
　彡､　　　|∪|　　 |　　 　　>>486　 　　　 |　__） （＿_ 　　 |
/　　　　 ∩ノ ⊃　 ヽ　 　　　　　　　　　　,|【●】| |【●】　　|.
(　 ＼　／ ＿ノ　|　 | 　　　　　　　　　　　 | 　　._| |_, 　 U　|
　　　　　　l´￣￣｀l'''''−、 　　　　　　　　　＼＿＼／_＿／
　　　　　 l´￣｀l ￣｀l､ lヽ, l　　.⊆ヽ､　　　　　|`-＝=- 　|
｀ヽ､　 　 |.　　 |　 　 ﾇ|'''''｀ 　　'''-,, _ﾉヽ､.....　|｀ゝ　 .ヽゝ/
　 　 ｀ヽ､l,＿_,.l 　 　　　　　　　　　 ヽ、　｀',...l┴、 　.l~~l |ヽ
;;;ヽ､　 ／'''´￣（●）'l/'''-,,,､ ,,.::--''´￣ヽヽノ |　 | 　 l_,,,l l~~ｌ ＼
　ヽヽ/　　　　　　　　 （●） ヽ　＿,,,.::--''　　 |　 |　 l~~l l~~l
;;;､ ｀/ 　　　　　Ｕ　　　　　　　 ﾇ――――-､|＿l

>>486
参考までに
http://headlines.yahoo.co.jp/hl?a=20050521-00000001-zdn_ep-sci

もうアホにはレスする必要無いよ

Hostsファイルエディタ
http://www.vector.co.jp/soft/win95/net/se248258.html

>>471
いや、今まではそのスレでヲチってたんですが、そこで晒されているSSを貼り付けた人は、どこでそのSSを手に入れたのかなと思いまして…

>>491
そんなことをいちいち聞かなきゃわからん貴様に教えるのは
いたずらに危険を拡大するだけなので教えてあげません

>>491
http://tmp5.2ch.net/_service/
どう使うかは貴方次第

>>492
別にどうこう使うわけでもないんだけどね…ただ興味があっただけだし

>>493
どうも。2ch鯖にもあがってたのね
2chうｐろだにはなかったのに…

>>491
あれだけさんざん、うぇうぇｗｗｗってのと共に貼り付けられてたのに…

http://127.0.0.1/にアクセスしてパスワード求められるのはヤバスですよね

ぐぐれ。探せ。
ここはいつからPC初心者質問スレになったんだ。
その調子なら、今は大丈夫でもいつか何かにひっかかる。

自分でApache使ってたのが原因でした。そりゃポートチェックにもひっかかりますよね・・・

自分のPCにインストールしてるものくらい覚えてやれよ！
他人が管理してんのか？

おいおい、そんな知識でなんでアパッチなんか入れてるんだ？

>>496
ですよねえ

山田は大丈夫でも他のが危なそうだなぁ。
>>498みたいのが立ててる鯖だと

山田チェッカーを使ったところHOSTSが改ざんされていて開けなくて
その際ノートンが他のパソコンからのアクセスを防ぎますか？と言う警告が出たので
遮断してそのツールでHOSTSを直しました

これでもう大丈夫なのでしょうか？>>1にはつながりません

テス

山田ってレジストリ改変しないバージョンもあるの(´･ω･｀)？
山田に感染　adobeフォルダ内ににmellpon･svchost確認
boot.ini改変確認　hostは変更なしの模様、スタートアップに登録無し
一応削除はした思うけどレジストリの改変が見つからない
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]とか見てみたけど
svchostの値が見つからないです
それとも何か他の物があるのかな

>>505
レジストリを触るバージョンはかなり古いものです。
一ヶ月くらい前の山田ウイルスとか。
作成するフォルダもfusianasan、pugya、tmpなどに変わっています。

役に立つかわからないけど、こういうの使って内容晒してみたら？

CurrPorts
http://www.sysinternals.com/ntw2k/utilities.shtml
http://www.forest.impress.co.jp/article/2004/04/19/currports.html

cports.exe をダブルクリックし、実行する
Edit メニューから SelectAll を選び、クリックする
その状態で File メニューから Save Selected Items を選ぶ。
保存されたtxtを開いて内容を晒す。

↑これの日本語ini版
ttp://www.fctv.ne.jp/support/announce/14Mar2005-1/cports-jpn.exe

pugyaって・・・　絶対ヲチスレにいる(´・ω・) ｽﾈ

>>506、507
ありがとうございます
いろいろ試してみます

http://www.itmedia.co.jp/enterprise/articles/0505/20/news036.html

斎藤大君カワイソス
感染中に御亡くなり

昨日はhttp://127.0.0.1/で表示されてたんだけど
今日は表示されないって事はどういう事？ウイルス駆除とかもしてないのに
消えたって事は休止中って事？？

>>513
外部からのアクセス過多で山田ウイルスが落ちると、
自分からのアクセス(127.0.0.1)でも見えなくなります。

とりあえずmellpon･svchost等は削除bootiniも中身を削除した
山田チェッカーは通るようになったけど
なんだか”webgate.co.jpに接続〜タイムアウトしました”とか出るようになっちゃった
ファイル検索してもsvchost以外それらしきもの見つかんないし
もう疲れた〜(´；ω；｀)

>>514
じゃあ全然安心できないんか・・・
むしろヤバイな・・・自分の画像がアップされてるかの確認はできる？

http://tv6.2ch.net/test/read.cgi/ana/1114007588/l50

329 ：ﾚｲｻﾞｰﾗﾓﾝがお伝えしますﾌｩｰ ：2005/05/22(日) 19:31:08 ID:hKB6Fq9y
うｐしました
ttp://www.geocities.jp/tsxgk476/kawata.avi
ビットレート低くてｽﾏｿ


このスレで山田ウイルスに感染したみたいなのですが
どのようにすればいいでしょう？
２０００XPです
http://127.0.0.1/
ここをクリックしても
＞ページを表示できません
＞検索中のページは現在、利用できません。
＞Web サイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。
になるんですが、確実にリンクを踏んでPC内に保存したんですけど・・・。

>516
ネットワークケーブルを抜いてPCを再起動し、 http://127.0.0.1/ で分かりそうな。

http://tmp5.2ch.net/test/read.cgi/download/1116764611/
こちらのスレに移動しました。
失礼しました。

>>473

確認したいのですが
>>1のhttp://127.0.0.1/をクリックしても
検索中のページは現在、利用できません。 
Web サイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。 
と出てきます。

あっそ

間違いなく感染したんだが、スタートアップ消して、system32以外のsvhost.exeも消した
これでいいの？

それはマズい

TCP Monitor Plus
ttp://hp.vector.co.jp/authors/VA032928/
これのIP監視モニターとセッションモニターのlogとってみれば？
そうすれば、アップされてるかどうかは一応わかるのでは。

↑監視中は別のソフトで通信しないことが前提だけど。

モー娘。石川梨華がメンバーの悪口言いまくりテープ流出中！！mp3

http://news19.2ch.net/test/read.cgi/news/1116173457/l50

今さっき写真集を落としたけどウイルスに気づかないで
フォルダ風のEXEをクリックしてしまってさ。
すぐに気づいてOS強制シャットダウンした後に
いろいろ調べてみたけど感染してなかったみたい。
EXEファイルとかdel.batとか残ってたし！

でも、写真集はちゃんと解凍されてて見れるｗｗｗ
運よすぎｗｗｗ

>>528
今更な質問で申し訳ないんだけど
そのフォルダ風のexeって拡張子が.exeになってるの？

>>529
フォルダ名（長いスペース）.exe
ってのだよ。
ちなみに今まではノートン先生は教えてくれてたのに
今回のウイルスはスルーしたｗｗｗｗ

>>530
なるほどそういう奴か
thx

甘い　まるで砂糖菓子のようだ。

http://www.vector.co.jp/vpack/filearea/winnt/util/task/index.html
http://www.vector.co.jp/vpack/filearea/win95/util/task/index.html

折れは、だいじょうび？

>>上のvipperらしき奴。
正体不明のexeをクリックしたのなら、もっと危機感持てよ。
山田などの亜種が多数発生してるのに、ｱﾝﾁｳｲﾙｽｿﾌﾄによっては
いまだ対応していないものがあるっていう現状だぞ。
大手のﾉｰﾄﾝやｼﾏﾝﾃｯｸでさえもだ。
ご愁傷様だな。

OS再インスコすればウイルスもきれいさっぱりですか？

ジャンプ読んでまた感染。

orz

Active Ports
ttp://www.altech-ads.com/product/10000314.htm
日本語化パッチ
ttp://downloads.at.infoseek.co.jp/list.html

>>530
(´･ω･) ｶﾜｲｿｽ

>>528
亜種かも（´・ω・）ｶﾜｲｿｳｽ

>>528
俺と似たような境遇なのになんでそんなに無意味に楽観的なんだよ。

219.164.2.220 - - [xx/May/2005:xx:xx:xx +0900] "GET /%7Ess.jpg HTTP/1.0" xxx xxx "http://xxx.xxx.xxx.xxx/~ss.jpg" "Irvine/1.1.2"

なぁ、こんなアクセスがあったんだが、総当たりで試してるのかな、このぷららの人。
あと、串で確認という情報を見掛けたけど、PC2台もってりゃ、その必要ないよね？

>>543
(´･ω･) ｶﾜｲｿｽ

>>543
頑張れ(´･ω･) ｽ

>>528
>いろいろ調べてみたけど感染してなかったみたい。
ここを詳しく
>すぐに気づいてOS強制シャットダウンした後に
そもそも、強制シャットダウンをしてはアウト(´･ω･)ｽ

>>543
現実を直視する(´･ω･)ｽ

まじですか？

うぷろだなんて利用したことのなければ、アーカイブの解凍をしたこともないし、
まとめサイトの確認方法も山田チェックツールもオール白なんですけど orz

しょうがないな、明日の夜あたり再ｲﾝｽｺするか......

>>543
404とか帰ってればOK。
そもそもApacheとか稼働させてるなら問題ﾅｻｽ

Windwosのファイアウォールにもしっかり例外として登録しちゃうのな。
しかし、これMellponとかいうわかりやすい名前じゃなく、
もっとわかりにくい名前にすればばれないだろうに。
むしろこれが囮でひそかに他の仕掛けが
されてるんじゃないかと勘繰りたくなってきた。

(´･�J･) ｶﾜｲｿｽ

>>1　のhttp://127.0.0.1/
クリックして何もなかったんでつが、大丈夫なんでつよね？

>>551
（´・ω・） ・・・

>>551
最近は安心とは言い切れないｽ （´・ω・） ｶﾜｲｿｽ

>>543
昨日は条件反射でｶﾜｲｿｽといってしまったが、たまたま動的IPで
晒されたヤツのIPになったとしたらあり得るんでないの？

>>535
>>540
>>542
なんだか不安になってきた……

>>546
>詳しく
山田まとめサイトにある方法をチェックして
ネットワークとプロセス監視して、それっぽいファイル探してみただけ
わかりにくいのだったり、時限だったらどーしようもないけど
>そもそも、強制シャットダウンをしてはアウト(´･ω･)ｽ
詳しく

>>555
（´・ω・） ・・・

>>555
>>そもそも、強制シャットダウンをしてはアウト(´･ω･)ｽ
>詳しく

546じゃないけど・・・。
再起動≒シャットダウンの事だと思う。
下記は山田ウイルスに限定した話じゃないのでご理解を。

ウイルスに感染した場合、
再起動でウイルスが発動したりHDDのデータを消去したりするのが有る。
なので、「感染したかも・・」って場合は再起動してはダメなのだ。
(もし、消去動作が発動してる場合は、仕方ないかも)

もしシャットダウンをしてしまった場合は、感染の可能性が有るOSでブートせずに
別PCに繋げるか、別の方法で起動(KNOPPIXなど)で起動してHDDを調査・バックアップする。
アンチウイルスソフトでもインストールCDから起動できるのはその為です。

こわ・・

>>557
なるほど！って普通に起動しちゃってたし。。。
とりあえずLANと大事なデータが入ってる外付けUSBHDDを外して起動した。
今も念のため起動後にHDDつなげてるけどね。

もちっと詳しく書くわ
シャットダウンしたのはファイルクリックして3秒以内
ウイルスの存在するdirのひとつ上の階層にdel.bat があって空ファイルだった
system以外にsvchost.exeやss.jpgは検索したけど無し

ちなみにウイルスの中を除いてみると以下の内容
画像のファイル名の後に
_.exe .exe CabinetWClass %s\ open Edit wb deleteme.bat w @echo off
:label
del "%s"
if exist "%s" goto label:
del "%s"
open \ del.bat w @echo off
:label
del "%s"
if exist "%s" goto label:
del "%s"
open　うっふ〜〜〜〜〜〜〜〜〜ん（省略）覗いてんじゃねぇこのドスケベ(；´Д`)ﾊｧﾊｧ

あと民主党ではなく210.173.169.170（asahi.com）があった

どーなの？上のはどーいう作業をしてんの？

>>559
もう山田ウイルス関係無いので続きは他所に行ってやって （´・ω・） ﾎｼｽ

じゃあ、もうこのスレも終わりだな･･･

山田亜種も全部ここで扱えよ

Cドライブのなかを「yamada」で検索したら
（俺の名前）＠yamada[2].txt　ってのがあったんですが
これなんでしょうか、開いたらlog03_yamada<>index
1%2C1115174324
www1.odn.ne.jp/cjt24200/yamada/
1600
みたいのが書いてあって、そのファイルのショートカットができました。

すいません↑動揺してて日本語がおかしいですけど
だれかおしえてください。お願いします。

どこにあったのよ、それ

Cookiesの中です。思い過ごしでしょうか？

>>563
ttp://www1.odn.ne.jp/cjt24200/yamada/
ここのサイト、みたでしょ。そのクッキーだよ。ニュイルスじゃないよ

今週のスクルーランブルに山田ｳｲﾙｽって描いてあったけど関係ないよな？

すまんあげてしまった

>>567
ほんとありがとうございます！このサイト見ました！
初心者でぜんぜんわからないのに親切にありがとうございました！

山田チェックツールα4.2を使って検出されなければ安心してOKですか？

過信は禁物

>>562
>>559 って亜種ｽ （´・ω・）？

>>573
>>567 すぐ上ぐらい読みなっせ。

と、アンカー見間違えてた。ｽﾏｿ>>573

>>575
（´・ω・）b ﾄﾞﾝﾏｲｽ

（´・ω・） 休憩所ｽ
http://cgi36.plala.or.jp/bargiko/bargiko.cgi?roomID=1116917002227

ttp://homelessperson.seesaa.net/image/yamada_virus.jpg
山田ウィルス？

>>578
むちゃくちゃあやしい　アド・・・　（´･ω･）

>>578
確かに山田（´･ω･） ｽ

>>578
踏んでしまった俺（´・ω・） ｶﾜｲｿｽ

>>578
山田優ィルスというダジャレのつもりか？ｗｗ

今夜が山田

>>582
　 .,。 ,。
（； Д ）

トレンドでTROJ_MELLPON.Jを検出
山田チェッカー反応なし
レジストリの改変みつからず
fusianasan、pugya、mellpon検索ひっかからず
"C:\Windows\system32\drivers\etc\hosts"の改変修正済み
な状態で

windows起動時にＦＷが切られる
svchost.exeがタスクマネージャーで強制終了できない

もうどうしたらいいかわからない

>>585
つ [ ttp://www.vector.co.jp/soft/win95/util/se298257.html ]

>>585
オンラインスキャンで出た(´・ω・)ｽ？
それともインストールしてあって、検出したけど消せない(´・ω・)ｽ？

山田チェッカーで改変なしと判定され、

http://127.0.0.1/をクリックして、

「表示するページなし」
取り消されたアクション
Internet Explorer は、要求された Web ページにリンクできませんでした。要求された Web ページは現在、利用できない可能性があります。

って表示されたら山田には感染していないと考えていいですか？

>>588
多分、感染してない

セーフモードで山田チェカーすると

>>588
(´･ω･`) ｶﾜｲｿｽ

みなさんレスありがとうございます。
589さんのレスで安心したんですが・・・

591さんのレスでどん底に・・・
結局どっちなんでしょうか？？？　orz

よろしくおねがいします。

>>592
昔の山田はそれでよかったけど、最新の亜種は
感染しても127がきかないらしいよ
通報屋さんの山田チェッカーつかった？

>593さん
レスありがとうございます。

えっと、
通報屋さんのVersion α4.2 Bild 1075
っていうのを使いましたが・・・
大丈夫でしょうか？

>>594
大丈夫かって・・・　　チェックの結果、どうだったの？てことよ。
結果をきいてないのに「大丈夫か？」てきかれても。

>593さん
あ、すいません。
「改変なし」だけじゃ言葉足らずでした。

OSの情報を収集します。
OSの情報を収集しました。

HKEY_LOCAL_MACHINE内の自動実行を検索しています・・・
HKEY_LOCAL_MACHINE内の自動実行検索完了・・・
HKEY_LOCAL_MACHINE内の自動実行に問題はありません

HKEY_LOCAL_USER内の自動実行を検索しています・・・
HKEY_LOCAL_USER内の自動実行検索完了・・・
HKEY_LOCAL_USER内の自動実行に問題はありません

HOSTSファイルの書き換えを検索しています
HOSTSファイルの書き換えの検索が完了しました
HOSTSファイル改変なし。

Boot.iniファイルの書き換えを検索しています
Type 1 Loading Files...
Type 1 Loading Files Complete...
Boot.iniファイルの書き換えの検索が完了しました
Boot.iniファイル改変なし。

一応、こんな感じだったんですけど、
＞585の
＞トレンドでTROJ_MELLPON.Jを検出
＞山田チェッカー反応なし

っていう書き込み見て怖くなったので　orz

>>596
その、心当たりはあるの？　あるいはパソが急に重くなったとか。
・山田がはいってるようなファイルをDLしたおぼえがない
・PCのうごきがわるくなってない
・スタートアップの中味が改変されてない
そのうえチェッカーがそれなら、山田はないとおもうよ

他のウイルスにもきをつけて

M0nNTpX50さん

丁寧なレス本当にありがとうございました。
ファイルのＤＬについては、結構頻繁にいろんなファイルを落とすので
何とも言えません。
スタートアップは大丈夫だと思います。
ＰＣの動きは、最近アプリによっては重くなってます。

たぶん大丈夫なんじゃないかと思えてきました。
とりあえず様子見ようとおもいます。

220.65.17.114 - - [xx/May/2005:xx:xx:xx +0900] "GET /%7Ess.jpg HTTP/1.0" 4xx 469 "http://xxx.xxx.xxx.xxx/~ss.jpg" "Irvine/1.1.2"

今度は韓国からですか orz
串かなぁ、再ｲﾝｽｺしたんだけど。

>>548
thx.
御想像の通りですが、暫く linux をブートすることにしまつ……

>>554
IP は変わってないです

>>586
ありがとう〜〜〜
それつかったら無事除去できて
スキャンソフトもＦＷも復活ました

>>587
オンラインの方でした（´・ω・）ｽ

>>599
感染IPをリスト化してIrvineで一括DLしてる香具師が居るのねｗ

てすと

>>1のアドレスクリックすると感染すんの？

そうだお

>>603
チェック用だ、問題ない

それでも心配なら
ttp://qb5.2ch.net/test/read.cgi/operate/1116127723/
見てみな
運用情報板のスレだ

>>601
> 感染IPをリスト化してIrvineで一括DLしてる香具師が居るのねｗ
感染は無関係かと。
P2P で繋がった IP を書き出して、Irvine のリスト形式に編集し、
総当りで試しているみたいなことをしている楽しい人が居ると予想。
ちょっと知識があれば簡単にできるし、感染をチェックするより楽かもしれない。

　　　　　　　　　　.,Å､
　　　　　　　 .r-‐i'''''''''''i''''‐-､
　　　　　　 o|　ｏ!　.ｏ　 i ｏ　!o
　　　　　　.|＼__|｀‐´｀‐／|__/|
　　　　　　 |_, ─''''''''''''─ ,､ / _
　　　　 ／　　　　　　　 　　　　　 ＼
　　　 /　　　　／　　　　　 　 　　 　i
　 　　|　　　　　 ●　（__人_） ●　　 |　キングカワイソス・・・
　　　 !　　　　　　　　 　 　 　 　　 　ﾉ
　　　 丶_ 　　　　　　　　　　　　　ノ

m9（´Д`）感染者の君ここを見てるのか？
WindowsUpdateも大事だがウイルスを駆除しなきゃ

誰だよ、fusianasan強要したの。馬鹿も程々にしろっての。

>>608
ウルセー

亜種だと思われる放流元を特定したから、ちょっくらHDDぬっ子呂してくる。

>>599
全く同じIPがウチのHTTPDにも来てたｗ

svchostで検索かけたら
system32ディレクトリ内のsvchost.exe以外に
c:\I386にSVCHOST.EX_っていうファイルが
c:\WINDOWS\PrefetchにSVCHOST.EXE-16C7D411.pfっていうファイルが
あるんだけど。どちらもexeファイルじゃないから無問題なの？
ちなみに、http://127.0.0.1/にアクセスしても「サーバにつながりません」
とでます。

>>613
>c:\I386にSVCHOST.EX_っていうファイルが
>c:\WINDOWS\PrefetchにSVCHOST.EXE-16C7D411.pfっていうファイルが

拡張子が*.EX_とか.pfってのは・・・・（´・ω・） ｶﾜｲｿｽ
まとめサイトとか見てがんばるしかないね

うお、でもSVCHOST.EXE-16C7D411.pfのほうは作成日時がｎｙやった日になってる

>>614
えー感染しちゃったのー？
ショック。。。でもなんでhttp://127.0.0.1/につながらないの？
ひょっとして潜伏中ってことですか？

>>613
svchostが発生するのは何も山田だけじゃないよ。
たぶんキンタマ

>>613
そのフォルダに入ってる物は単なるログです。

Prefetchフォルダには、アプリケーションの最適配置を行うための
ログ情報が格納されていて、デフラグに影響します。

コピペ。
俺つられちゃった？

>>617

キンタマウイルスには感染していないみたい。
ちなみに、ウイルススキャンすると「Trojan Horseに感染しました。修復できません」
って出るんだけど、これのせいもありますか？
あと、ブラウザに変なツールバーがあるし、ブラウザのホームページは勝手に書き換え
られてるし（変更不可）、変な効果音がするし、勝手に変なサイトにアクセスするし。
nyを2日間やっただけで、いろんなものに感染しちゃったような気がする。

もうＯＳ再インストールしかないですかね？（＞＜）

ageてしまってすみません

>>619
ＯＳ再インストールが一番楽で確実なような気がするのだが。

>>621
それしかないようですね。
ブラウザを改変してしまうスパイウェアみたいなものは削除が容易じゃないようですし。
前回ＨＤＤクラッシュしたときの経験からバックアップはばっちりしてあるから、再インストール
しますわ。

おはようｽ

　ヾヽヽ　　　　　　　 　　
　(,,´・ω・） ﾁｭﾝﾁｭﾝｽ　　
　 ミ＿ノ　.　　　

現在山田ウイルスに対応してるアンチソフトって何があるかな？
AVGはどうだろう。頻繁にうｐデートしてるようだが・・・フリー版だから不安だな。

全部ってこと?ないんじゃない

>>619
アホが迂闊にnyに手を出した典型例

>>626
そもそも賢明で慎重な人はWinnyなんてやらないと思うが。

賢明で慎重なWinnyﾕｰｻﾞｰがいないとは考え難い

山田ウィルスって圧縮ファイルを開いた時点で感染するんですか？
それともその中の実行ファイルを開いたとき？

感染してたっぽいんで自分の画像とか見てみたいとか思うんだけど
どうやったら見れる？

>>630
もう見てるじゃないか

え？どうやってみるの？？

いったい なんがいいたいんですか？

>>619
アダルトサイトでヘンなモノをインスコされたな。
もう再インスコしたあとかもしれないが、
今後のためにもここ行って勉強しる。
http://www.higaitaisaku.com/

>>628
違法で逮捕者が出てるものを安易に使い続けるのが軽率でないというならなんなの。

どうせ「自分は慎重だが使ってるよ」って言いたいだけなんだろうけど。
まあそれを軽率というのだが。

ｶﾜｲｿｽのスレッドをみながらリンクをひらいていたら
身に覚えのないＭＳＮの検索ページが３つ開いていたんだけど（ｓｓじゃない）
これってなんだろ？
ちなみに検索の語は　濁点忘却男　初回特典　スーパーハカ

>>636
（´・ω・） ・・・

>>636
(((( ;゜Д゜)))　・・・

http://60.44.129.252:11810/
http://60.44.129.252/
ここいったんですけど、大丈夫でしょうか?

>>639
見に行かないと覗けない（´・ω・）ｽ

>>636
ヤマダキャノン撃たれたんじゃないの？そのレスがマジだったら終わってるなオマエ

2005/05/28 12:05:47ポートスキャン202.239.163.66TCP(2341) TCP(2352) TCP(2351) TCP(2350) TCP(2346) TCP(2326)
2005/05/28 12:05:47通信の要求202.239.163.66TCP(2341)
2005/05/28 12:05:47Rst attack202.239.163.66 -> 202.239.163.66
2005/05/28 10:25:41Rst attack202.239.163.66 -> 202.239.163.66
2005/05/28 08:45:33ポートスキャン202.239.163.66TCP(2313) TCP(2293) TCP(2309) TCP(2298) TCP(2301) TCP(2314)
2005/05/28 08:45:33通信の要求202.239.163.66TCP(2313)
2005/05/28 08:45:33Rst attack202.239.163.66 -> 202.239.163.66

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 202.239.163.64/28
b. [ネットワーク名] SANKEI
f. [組織名] 産経新聞社
g. [Organization] The Sankei Shinbun
m. [管理者連絡窓口] HK2489JP
n. [技術連絡担当者] HK2489JP
p. [ネームサーバ]

>>642
産経社員あたっちゃったのか．．．
しかも、仕事場でｗｗｗｗ
合掌ｗｗｗｗｗ

http://127.0.0.1/~ss.jpg

>>635
お前のその１行目は当然でのことであって、自分が慎重かどうかなんて考えてもいなかったが、
もう一度言う『賢明で慎重なWinnyﾕｰｻﾞｰがいないとは考え難い』
これじゃあ迂闊に冗談も言えないな

>>642
産経購読してるよ（´・ω・）ｶﾜｲｿｽ　

>>645
面白くない冗談を何度もいうのは軽率とか迂闊とはちょっとちがうか。


つまらないのにしつけえよ


って言えば伝わるかな？

>647
おまいさんがつまらなくてしつこいだけなんだが。ｗ

>>642-643
産経社員が山田ｳｲﾙｽ関連の取材の一環として
被害者ﾏｼﾝをｦﾁしようとしているつもりが
>>642 のﾏｼﾝをｦﾁしてしまっているとか

（´･ω･）ｶﾜｳｿｽ

>>647
面白い冗談を言った覚えはないのだが。
冗談をわざわざ説明すること程つまらないものはない。
あんたもしつこいぞ。

（´･ω･） ｶﾜｲｿｽ

脳にお花が咲いている>>647と>>651がいるスレはここですか？

ttp://yutaka901.web.infoseek.co.jp/nutori21813.jpg
ヌートリア(*´・ω・) ｶﾜｲｽ

微妙ｗｗ

>>654
（´･ω･）ｶﾜｳｿｽ

＞他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
＞などへのアクセスを民主党（210.253.211.2）に変更し、ウィルス定義ファイルの更新、
＞ウィンドウズの更新などを利用出来ないようにします。

最近、ノートンのURL更新が頻発しまくってます。

http://127.0.0.1/　は開かない。
山田チェックツールでも問題なし。

何か怖い怖いな心境です。

ｦﾁｽﾚでもマスゴミ感染報告されてる（´・ω・） ｽﾈ・・・
3kとは違うみたいｽが

svchostで検索したら、

SVCHOST　C:\WINDOWS\I386 8KB EX_ファイル　　2004/08/05

と出たのですが、これは問題ないと判断してもいいんですよね？（´・ω・）


mellponは見つからず、127.0.0.1/は開きませんし、山田チェッカーでも異常なしと表示されています

>>659
それは必要なsvchost。
だいじょうぶそうね。心当たりがあるの？

開いたzipフォルダの中に、share起動画面のｓｓ画像が入っていてkawaisosuって名前だったので
あわてて確認した次第です・・・

アプロダから感染するって話でしたけど、やっぱりこんなものが混じっているとビクビクしてしまって＾＾；

http://127.0.0.1/にping通らなければOK？

工エｴェｪ（´д｀）ｪェｴエ工工

ＷＩＮ９８には感染するんですか？

工エｴェｪ（´д｀）ｪェｴエ工工

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

ノーパソをｎｙ専用に使うかな。

めんどくさいけど。

【焙煎にんにく】(個人撮影) 関西援交 中２ えりな
(ゴム破裂であわてて精子を掻き出す半泣き少女に爆笑)(無修正)(中出し)(1).rar

ってファイル。解答すると二つのファイルがでてきた。
aviファイルの方はなーんも映ってなくて、
もう一つは怪しげなexeが。。。　
だれか知ってる人いますか？

システムの復元て意味ある？

ない

─- ､::::;;;;;;;;;｀ﾞﾞ''‐ ､　 　 __,,,,......,,,,_／:::::::::/: !|　　　またまた　ご冗談を
　　. : : : : : : ｀ﾞ'ヽ､:::ﾞヾ´::::::::::::::::::::::｀ﾞﾞﾞ'''‐'､. l|
､､ . : : : : : : : : r'":::::::::::::::::::::::::,r':ぃ::::ヽ::::::::ヽ!　　　　　　　　　　　　　　　　　,､- ､
.ヽ:ﾞヽ; : : : : : :ノ:::::::::::::::::::::;;､-､､ﾞ::: 　 　 rｰ-:'､　　　　　　　　　　　　　 　 ／　　 }¬､
.　＼::ﾞ､: : : :./::::::::::::::;､-''"::::::::::　　　,...,:::,::.,　:::':､　　　　　　　　　　　　_,,/,,　 ,､.,/ 　 }
　　　ヽ:ヽ､ /:::::::::::::::::::::::::　 　 　_　　｀ﾞ''‐''"　 __,,',,,,___　　　　　　　／~　　 ヾ::::ﾂ,､-/
　　　　 ｀ヽ､:::::::::;;;､､--‐‐'''''',,iﾆ-　　　 _|　　､-l､,},,　 ￣""'''¬-, '　 ''‐-､ .,ﾉ'ﾞ,i';;;;ﾂ
　　　_,,,､-‐l'''"´:::::::'　　,､-'" ,.X,_,,､-v'"''ﾞ''yr-ヽ / ﾞﾞ'ヽ､,　　　 ,.'　　　 　 jﾞ,,, ´　7
,､-''"　　 　.l:::::::::::;､-''"　 ,.-'　　ﾞ､""ヾ'r-;;:l　　冫、 　 　 ヽ､ /　 　 __,,.ノ:::::ヽ. /
　　　　　　　l;､-'ﾞ:　　 ,／　　　 　 ゞ=‐'"~ﾞﾞ')　./.　＼　　　　/　　'''"/::::;:::;r-''‐ヽ
　　　　　,､‐ﾞ ヽ:::::..,.r'ﾞ　　　　　　　　 ,,. ,r／ ./　　　 ヽ.　　 ,'　　 　 '､ノ''"　　　ﾉ

　　　　　　　　　_,,..,,,,_
　　　　　　　　./ ,' 3　 `ヽｰっ　
　　　　　　　　l　　 ⊃　⌒_つ
　　　　　 　　 `'ｰ---‐'''''"

↑
このAA好きだｗ

　　　　　　　　　_,,..,,,,_ 　 ＜ >>673ｷﾓｽ
　　　　　　　　./ ,' 3　 `ヽｰっ　
　　　　　　　　l　　 ⊃　⌒_つ
　　　　　 　　 `'ｰ---‐'''''"

これどうやって助けてあげたらいいですかHPにつながっちゃうんですけど
会社のHPみたいですが・・・

77 名前：stnet.adsl.193028.netwave.or.jp[] 投稿日：2005/06/01(水) 13:39:10 0
http://stnet.adsl.193028.netwave.or.jp/

うはっｗｗｗっｗっうはっｗｗｗｗうはっｗｗｗうはっｗｗｗ
おｋｗｗｗおｋｗｗｗうはっｗｗｗｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗっうぇｗｗｗっっうぇｗｗｗ

>>675
吊なんじゃないですか?

　　　　　　　　　_,,..,,,,_
　　　　　　　　./ ,' 3　 `ヽｰっ
　　　　　　　　l　　 ⊃　⌒_つ =３ ﾌﾟｯ
　　　　　 　　 `'ｰ---‐'''''"

↑このAA好きだｗ

【トラックバック来たよ】 (ver. 0.11)
[タイトル] 【ドモコ】 winnyキンタマウイルス感染 【ﾃﾗﾔﾊﾞｽ】 　
[発ブログ] ニュース速報＠2ch掲示板
http://news19.2ch.net/test/read.cgi/news/1117609611/l50
[＝要約＝]
http://headlines.yahoo.co.jp/hl?a=20050601-00000061-mai-soci

ＮＴＴドコモ東海が静岡、愛知、岐阜県内に設置した携帯電話基地局
約８００カ所の所在地や入局方法などをまとめた「社外秘」扱いの資料が、
ネット上に流出していることが分かった。事態を重視した同社はすべての
鍵を付け替えるなど緊急対策を実施した。ファイル交換ソフト「ウィニー」の
ウイルス感染が原因とみられる。

基地局はかなり極秘なのにやっちゃったね〜
ドコモのGPSとかでも基地局ごまかしてるのに･･･

↓ハッシュは<a href="../test/read.cgi/news/1117609611/2-10" target="_blank">>>2-10</a>あたり

ソレは山田が原因だからキンタマとは違う（ｗ

要するに怪しい実行ファイルは無闇にクリックしちゃダメってことさ

あげ

漏れ、かかってるっぽい orz
http://127.0.0.1/行っても大丈夫だし、mellponやsvchostでＨＤ検索しても無問題なんだけどさ…
気になるのよ。ある事が。ここ2週間くらい前からそうなってるんだけど、突然開いてるファイルが404になるの。
で、それくらいならどうって事無いんだけど、何処に接続してるかっつうと127.0.0.1なのよ。
お陰で、特急乗って故郷のﾏｰﾏの胸に飛び込みたいくらいｶﾞｸﾌﾞﾙなんです orz
これってどうなの？どうか詳しい人教えて下さい orz

まず日本語をしゃべってください

既出だと思うしスレ違いっぽいけど・・・

山田キャリアのPCを覗くのは不正アクセスになるの？
もしならないのだとしたら、感染したPCのP2P用のアップフォルダを
警察が合法的に覗けるわけだ。IPもバレてるし・・

>>681
これって全人類が知る常識中の常識じゃなかったの？？

もっとぶっちゃッけると怪しくなくてもクリックしちゃダメだぞ☆

>>683
＞開いてるファイルが404になる
＞何処に接続してるかっつうと127.0.0.1

ここらへんが意味ワカラソ。

もっと落ち着いて冷静に客観的に詳しく正確に書いてくれ。

>>684,>>688　ｽﾏｿorz あまりに焦ってたもんだから、つい(;´д)
例えば2chを開こうとする。すると「127.0.0.1に接続しています」ってメッセージが出て、そのページが404になる。
以後、どのページも404になってしまう。で、再起動しないとページが一切表示されない。
こんな感じなんだけど、大丈夫かな？

運営の方でそういう対策をしようって話があったけど、
あれって実装されたんだっけ？
山田アタックが多いと127.0.0.1に飛ばす処理。

>>690
実際に飛ばされてびっくりしたという書き込みを見た記憶がある

【Winny】愛知の小学校、児童の名簿や成績表など流出
http://news19.2ch.net/test/read.cgi/news/1117649872/

>>689
専ブラじゃ何にも成らないの？

感染したらPC重くなるですか？

>>694
めちゃめちゃ重くなる。絵師さん・みるきーレベルのハイスペックマシン
なら別。

shareでも防衛したいので
葱にホストいれる方法おしえてちょ

>>693 専ブラっつうと、○とか？よく分からんけど、壷なら入れてる。
それでもおかまいなしにhttp://127.0.0.1に飛ばされる。どのページ開いても。
ＰＣは重くなってない。システムリソースが５０％確保されてるみたいだから。
使ってるアンチウイルスソフトはZone Alarmだけど、関係あるのかな？

ZoneAlarmはアンチウイルスソフトじゃないだろ、おい。
でもZoneAlarmが邪魔してる可能性があるから
いっぺんアンインスコしてやってみ。

>>697
壷は違うだろ。
あれはIEを補助するだけだし。
ギコとかJaneとかそーいうやつ専ブラ

俺はJaneで飛ばされたことはない

>>698 マヂですか orz フリーのアンチウイルスソフト探してたら見つかったんだけどな…(;´д)
確かにZoneAlarmはよくエラー起こして勝手にインターネットロックするけど。試してみます。
>699 専ブラ入れてないです、はい。IEのみです

感染する前の復元ポイントでシステムの復元するのは有効ですか？

無効

何が有効？

>>703
変なexeは実行しない知識

>>703
手動でポイ

くらいました。直そう。

>>703
OS再ｲﾝｽｺ

ＯＳ再インスコがガチか

ノートンって有料？
ウイルスバスターよりいい？

どうやったら無料だと思えるのか

>>709
（´･ω･）　ｶﾜｲｿｽ

まとめサイトの「感染確認方法」では確認されなかったけどとにかく重かった

>>712
亜種はどんどん巧妙になってきてるみたい。127も通じないそうよ

普段どおりの軽さに。

>>713
さっき感染していたことに気付きました。怖いです。

>>713
連すいません。127通じませんでした。

>>683
普通に壷の不具合っぽくみえるけどね。
あれって結局ローカルプロキシなわけでしょ
一旦壷をアンインスコして、
インターネットオプションの接続タブ
LANの設定でプロキシサーバを使用するのチェックを外してみなよ。

>>716 ありがとうございます。試してみます。でも串刺してないんですよ、はいｗ
>>698の通り、ZoneAlarmｱﾝｲﾝｽｺしました。その為か、今のところ症状出てません。
山田チェッカー使っても反応なしだし、安心してもいいのかな？

>>717
チェッカー反応なかったけど感染していた。

>>718
どうしてわかったの？
俺も同じ状態みたいなんだが…orz

山田ってwinだけ？
macにも感染ことってあるの？

間違えた(´･ω･`)ｽ
感染することってあるの？

http://p6e1c34.nigtnt01.ap.so-net.ne.jp/
ぷｗぷぷｗぷぷｗぷｗぷｗぷはぷぷｗぷぷぷぇぷｗぷ

ぷｗ
ｗぷぇぷｗぷｗｗｗぷはぷぷｗぷぷｗぷぷｗぷぷｗぷｗぷｗ
ｗぷはぷぷｗぷぷぇぷｗぷ
ぷっうぇぷ

http://9.112.7.202.megaegg.ne.jp:30265
http://9.112.7.202.megaegg.ne.jpぷぷぷ。

山田ウイルス警報

---
455 名前：FOX ★[sage] 投稿日：2005/06/03(金) 17:59:45 ID:???0
>>454
どもども

tmp5 も　Rock はずしています
---

なので、sage進行をお勧めします。

http://www.google.co.jp/search?hl=ja&q=218.48.143.13:16875
http://www.google.co.jp/search?hl=ja&q=218.48.143.13:80

・・・・・・・・・・・

山田注意報発令！！
----------------------------
http://qb5.2ch.net/test/read.cgi/operate/1116127723/

612FOX ★sage2005/06/03(金) 19:31:46 ID:???0
たまーにしか降ってこないサーバでやっても
何十時間と続けてやっても一個とか２個しか降ってこないべさ、
一回 bbs.cgi 強化して、結果がわかるのは数十時間後じゃ
やってられないべさ

ましたや、実験用のサーバでやってもお客さんが来てくれるのは
数十年後とか

ということで tmp5 でやってるべ

641FOX ★sage2005/06/03(金) 19:41:06 ID:???0
んじゃ　再開するよ

いろいろなルーチン書いたから
軽くするべく、どんどん外してイクデス。

どこかで爆撃が再開されるかもってことです
----------------------------

sage進行をお勧めします。

影響で
・書き込みができない。
・見えない。
・重い。
などが発生する場合があります。

噛みついてるのがダウン厨ってのがみえみえで萎える。
文句言う前に山田の事を少しは知っとけって感じ。

影響で書き込みが出来なくなってないか
test

んな、わけないだろうと小一時間

>>694 マヂですか…。でも、感染してるかどうかの確認方法は一通り試してシロだったんだけどな。
どうすりゃいいんでしょ…。やっぱ初期化しかないかな？でもバックアップ取ってもそん中に紛れ込んでたらダメだし。
それに、確実に感染してるかどうか判らないのに初期化するのも早とちりな希ガス。
まぁ、確かにワカワカメな現象なら多々起きるけど (;´д)

今夜が山田

>>719
stmで探したらC.htmlとかsvchost.exeとかあやしいフォルダが出てきたからわかった。

ノートン使ってても亜種で感染はする
感染してもノートンのFW入れてれば
（許可さえ出さなければ）とりあえず被害は防げる

で、あってます？まとめサイトなど一通り読んだけど・・・

http://sky.prohosting.com/ultraboy/
これは？

XPSP2で最新状態、ノートン先生背負って防御
P2Pは一切使用してない、うｐろだも未使用
偽装対策でアイコンイメージを変更、拡張子表示
危険なアドレスは踏まない、危険なファイルは落とさない、起動しない


ここまで徹底してるのに心配な俺ガイル（´・ω・）

>>736
ある意味（´・ω・）ｶﾜｲｿｽ

svchostが7つぐらい動いてるんだけど
P2Pとかうｐろだで拾ったexe動かしてないなら感染してないよね？

>>738
数の問題ではない
どのユーザーが起動してるのか
どこかr起動してるかによる

>>735はキ"コナヒ"の開発者ｗに動作解析してもらうのがいいかもね。
悪意のあるソフトではないかもしれないけど。

>>739
ユーザー不明って大丈夫ですか？

>>741
プログラムがどこから起動してるかで判別すればいい
システム、システム３２から起動してるのはとりあえず白

>>742
ありがとうございます。場所は標準です。

>>738
とりあえずhostsファイル調べてみるべきだな

exe踏まなきゃダイ上手さ

>>745
ありえない

・・svchost.exeが見つかった。
System32以外で。

更新日時が2002年なのは何故だ

で、System32以外はとりあえず削除ですか？

ってか、ここは質問する場所ではないだろ

SVCHOST.EXE-1F13B3B8.pfとSVCHOST.EXE-072604B0.pfは山田ウイルスとは関係ないよな？

HTTPのｻｰﾋﾞｽ止めりゃいいんだろ？

《　韓国企業、在日企業、朝鮮企業製品不買運動　》　　
【 飲食系 】
・ロッテ　（ガム、アイス等のお菓子）
・ロッテリア　（ファーストフード）
・JINRO　（焼酎、「真露」グループ焼酎メーカー）
・白木屋、笑笑、魚民、笑兵衛、暖暖、和吉（居酒屋、モンテローザ系列店）
・安楽亭　（焼肉、飲食店）
・モランボン　（焼肉調味料）
【 電化製品、ＩＴ系 】
・サムスン　（電化製品）
・ＬＧ電子　（電化製品）
・DAEWOO　（電化製品）
・Yahoo! BB　（インターネットプロバイダ）
【 娯楽 】
・パチンコ、パチスロ店の８割〜９割が在日朝鮮企業
・歌広場　（カラオケ）
・千葉ロッテ　（プロ野球）
・漫画広場　（漫画喫茶）
【 TV、出版、書籍系 】
・ソフトバンクパブリッシング　（書籍、雑誌、「ネットランナー」など）
・イエローキャブ（セクシータレント事務所）
【 金　融 】・サラ金の殆どが朝鮮系　・青空銀行　・朝銀（破綻後は「ハナ信金」）・Ｅトレード証券
【 量販店 】・オリンピック　・ドン・キホーテ
【 交通 】 ・大韓航空　　・アシアナ航空　　・MKタクシー
【 車メーカー 】 ・ヒュンダイ　（自動車）
北朝鮮や、北朝鮮を援助している「韓国」や「朝鮮総連」や「韓国民団」に対して怒りを感じている人は、
抗議活動としてこれらの商品を「買わない」「利用しない」という「不買運動」で抗議しましょう。
（不買運動は森山眞弓（もりやままゆみ）元法務大臣が公式サイトで推奨している効果的な抗議方法です）
http://www.mayumi.gr.jp/ayumi/72/0.html

てか山田ウイルスにかかったらまず回線抜け。

>>1のhttp://127.0.0.1/をクリック したのですが
サーバーが見つかりませんと表示されました
この場合は感染してないとの事なんでしょうか？

172.0.0.1は自機
そこにｱｸｾｽしてなんか出るということは
apache等々なんかhttpｻｰﾊﾞdaemonが勝手にｲﾝｽﾄｰﾙされて
ｲﾝﾀｰﾈｯﾄに晒されているということになる
固定IPならともかくそうじゃなけりゃ接続し直しゃ
とりあえず応急処置としてはおｋだろう

>>753
そうとばかりはいえない

・・・と思ったけどまさかddns更新機能とか盛り込まれてないよな？w

>>754
という事は自分の場合は感染してないという事ですか？

>>757
普通に考えりゃそうだな

>>758
mellponでC,Dドライブを検索かけましたが見つかりませんでしたと
表示されましたので、大丈夫なようです。良かったです‥

>>751
【 飲食系 】
・ロッテ　（ガム、アイス等のお菓子）
・ロッテリア　（ファーストフード）
・JINRO　（焼酎、「真露」グループ焼酎メーカー）
・モランボン　（焼肉調味料） 注：北朝鮮の山の名前だそうです
【 電化製品、ＩＴ系 】
・サムスン　（電化製品）
・ＬＧ電子　（電化製品）
・DAEWOO　（電化製品）
・Yahoo! BB　（インターネットプロバイダ）
【 娯楽 】
・千葉ロッテ　（プロ野球）
【 TV、出版、書籍系 】
・ソフトバンクパブリッシング　（書籍、雑誌、「ネットランナー」など）
【 金　融 】・朝銀（破綻後は「ハナ信金」）
【 交通 】 ・大韓航空
【 車メーカー 】 ・ヒュンダイ　（自動車）

東アジア板ではこれだけだそうです。
他のはデマだと思います。

mellpon という名前以外のﾌｫﾙﾀﾞを作成する亜種や
127.0.0.1へのｱｸｾｽをﾌﾞﾛｯｸする亜種が存在することは
当然ながらご存知のことかと思います （´・ω・） ｶﾜｲｿｽ

へーそうなんだ
うっとおしいねえ

>>751>>760
突っ込みどころあってウズウズするんだが、とりあえずスレ違いなので失せろ

そんなら確認くんだっけ？
グローバルIP調べて繋いでみれば

http://tmp5.2ch.net/test/read.cgi/download/1117887977/

>>764
止めとけｗ

おちんこちんが触ってくれ触ってくれってうるさいんです。
触っていてもいいですか？

>>767
好きに汁ｗ

やまだやまだやまだー
やまだーにかかるとー
あたまあたまあたまーあたまーがーよくなるー

がくせいふくは、やまだ、やまだ〜

たけだたけだたけだー

なんか昨晩からこんなの来だしたんだけど？
UA 残してないし、以前の Irvine とは明らかに違う。国内からだし、繰り返しアクセスしてきてる。
400 返してるのがなんともいやはや。
心当りある？

203.180.135.202 - - [04/Jun/2005:20:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"
59.133.234.156 - - [04/Jun/2005:21:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"
220.61.80.95 - - [04/Jun/2005:22:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"
219.107.198.248 - - [04/Jun/2005:23:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"
220.61.80.95 - - [05/Jun/2005:00:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"
60.36.54.181 - - [05/Jun/2005:00:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"
203.180.135.202 - - [05/Jun/2005:00:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"
60.36.54.181 - - [05/Jun/2005:02:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"
220.61.80.95 - - [05/Jun/2005:05:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"
222.3.77.69 - - [05/Jun/2005:05:xx:xx +0900] "GET /~ss.jpg HTTP/1.1" 400 386 "-" "-"

一応確認しておきたいんですが、
解答してない、exe 踏んでないなら大丈夫ですよね？ ね？ ね？

フォルダアイコンに偽装されたexe踏んじゃいました。
http://127.0.0.1/をクリックしても何も表示はされないのですが、
exeファイルを踏んだのと同じ時間帯でC:\WINDOWS\system32\drivers\etc\svchost.exe
が作成されてました。
しかもそのアイコンはフォルダに偽装されてます。
これは感染してると思ったほうがいいのでしょうか？

（´・ω・）ｶﾜｲｿｽ

>>772
何となく心当たりはある。share使ってない？
400なのはHTTP/1.1なのにHostが無いからかな。

>>775
> share使ってない？
いえす

> 400なのはHTTP/1.1なのにHostが無いからかな。
いえす。以下、エラーログの方。
[Sun Jun 5 05:xx:xx 2005] [error] [client 222.3.77.69] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /~ss.jpg

できれば、心当りを教えて下され。

>>772
そうとは限らない

>>776
これか同種の物と思われる

ロリ好き教師（´・ω・）ｶﾜｲｿｽ　山田ヲチスレ 107
http://tmp5.2ch.net/test/read.cgi/download/1117823942/674

674 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2005/06/04(土) 17:38:33 ID:YxIAEX1+0
アラシに紛れて置いておく

Yamada Node Searcher
http://load.satoweb.net/img100/2158.zip

Shareの起動中にこれを脇で動かせば、
接続中Shareノードのポート80への接続確認、接続ログ
取得できれば画像も保存
踏む勇気のあるやつにはクレてやるよ。
数時間放っておけば運がいい奴は見つけられるだろう。
細かな仕様やチューニングは解析屋にでも頼め。

待つだけじゃ何もはじまらねぇんだよ

>>772
そうとは限らない

>>778
多謝。スッキリしました。

>>777, >>779
うはっ、良く見たら。……スッキリが orz

>>781
http://127.0.0.1/~ss.jpg を確認しても不安が消えないなら
該当アドレスをFWなりでブロックすれば？

http://i60-46-218-180.s02.a011.ap.plala.or.jp/
発見

!

>>783
IDがECCだ(*´･ω･)(･ω･｀*)ﾈｰ

　　　,,,,,,,,,____
　　　ﾐﾞ6;;;;‘ 宀)
　　　 .) *’ー’）ｶﾜｳｿｽ
　　　/=(ノ 　 /）
　　　|=　　　 |
　　 ノ=　　　ﾉ
　∠,,,,ノU"U

明日が山田

何故明日ｽ （´・ω・）？

明日が山田

□　おねがいShare・Winny♪　□

スキスキスー♪　フーワフワフー♪
こんな気持ちー♪　Share・Winny♪
違法だけどー♪　違法じゃないー♪
おねがいね♪　　　Share・Winny♪

違法じゃない？　違法ですーｗ
捏造ばかりされてますー♪
ニュースで特集組まれるとー　どきどきすーるのー♪

聞き分けない　この指がー♪
ＤＬしまくって　とーまらないー♪
買わなくってごーめんなさいｗ
たまにウイルス(´･ω･｀)

そ・お・だ　Share・Winny♪(Share・Winny♪)　Share・Winny♪(Share・Winny♪)
警察に届けー　君のＩＰ　写真　氏名♪
Share・Winny♪(Share・Winny♪)住所つきとめたならー♪
晒しコピペ　しーちゃうからね！　WOW　WOW　WOW
かーくごしとーいてー♪　嘘ーじゃーないー♪

違法じゃない？　違法ですーｗ
全話が常に流れてますー♪
Ｐ２Ｐって魔法でー　つくられーたのー♪

スキスキスー♪　フーワフワフー♪
こんな気持ちー♪　Share・Winny♪
違法だけどー♪　違法じゃないー♪
やめようね♪　　　Share・Winny♪Share・Winny♪

Windowsのアップデートができなくなりました。
アップデートに接続しようとするとIEが応答しなくなります。
山田チェッカー、ウイルスバスター、共に無反応です。
http://127.0.0.1/へのアクセスも反応ありませんでした。
svchost等も検索しましたが、特に怪しいものはありませんでした。
これは感染してるのでしょうか？アップデートができない辺り、どうにも怪しいのですが・・・。

なんでもかんでも山田のせいにしやがって

何かしらの不具合が出て、ウィルス・ワームその他人為的なトラップを怪しんでいる初心者の95%は
全く個人的なアフォらしい原因によって思い通りに動いていないだけ

>>791
MTU値が1500になっていたら1454くらいに汁
何故か1500だとakamaiから引けなくなる事がある

>>791
ウイルスバスターのFWでポートしめてんじゃねーの？
FWの設定を高設定にしてて
どうせsystemのsvchostがネットにつなぐのに
許可していいかの窓ひらいて全てNOにしたとかでさ

えっとガイシュツかも知れんが報告。
PCの挙動が若干おかしかったんですよ。
explorer.exeなんたらってタイトルのウィンドウが開きましてね。
おかしいと思って検索したら2005/06/06付けでファイルが作成されてたんです。
フォルダに偽装されたexplorer.exeが。
これ、内緒だけどおいらがnyやってた日付なのね。
山田とは関係ないけど、安心してる皆さん。
ちょっと検索してみては？

ヲチスレから誘導されました。
636KBのexe踏む→すぐにタスクマネージャで強制終了

山田ﾁｪｯｶはフルチェックで"感染はしていないようです"の表示。
svchostは
C:\WINDOWS\$NtServicePackUninstall$ 2001/08/28
C:\WINDOWS\system32 2004/08/04
C:\WINDOWS\ServicePackFiles\i386　2004/08/04　の3つ。

串での確認方法してみたら、キャプチャではなく
10060 -- Connection Timed Out
ってタイトルのページが表示されました。

感染薄？

>>797
山田ではない。でも他のウイリシかもしれないよ。

>>798
他かぁ…。(･ω･｀)
ノートン先生使ってきます。

７９６はどういうこと？

>>796
すまんけど環境教えてくれない？
ソレがどういう動作するか調べようとしたんだけど
エラー出ちゃってまともに動いてくれないのよ。

あー…
どういう環境といわれてもね…
ｽﾏｿ…初心者に毛が生えた程度だからよく分からない…
とにかく焦ってたから。
ちょっと言葉足らずだったね。
えっと
まずおかしかったところは
・nyからダウンロードフォルダを開くとexplorer.exe何とかと書いてある
Dosウィンドウが開く。
・解凍ソフト（解凍レンジ）でファイルを解凍しようとすると、上と同じ
Dosウィンドウが開く。
・Windows（XP HE SP2)起動してしばらく(2･3分程度)すると上と(ry
の3点。
山田チェッカーは反応なし。
127も反応なし。

nyは6/6 11:00から6/7 16:30頃まで起動。
偽装expフォルダは6/7 7:38作成されてました。

偽装フォルダが作成された日付は>>796ではなく
>>802の方が正しいです。すいません。

>>802
さんくす。
やっぱXPじゃないとだめか。
XPのSP2でやってみますわ。
OSのｲﾝｽｺから始めるから明日になるけど。

>>802
ウイルス駆除ソフトを回してみた結果、何も出なかったの？

[シングルCD][アニメ] 魔法先生ネギま！ OPテーマ ハッピー☆マテリアル 4月度オープニング (192kbps).exe
1.88 MB (1,974,272 バイト)
ｷﾀ━━━━━━;y＝ｰ( ﾟдﾟ)･∵. ━━━━━━ﾝ!?

ハッシュきぼんぬ

>>805
出なかった(´･ω･)ｽ
一応定義は最新にしてある(´･ω･)ｽ
それと言い忘れてましたが、偽装expフォルダを見つける前に
svchost何たらのちょっと長めの名前のファイルを見つけた(´･ω･)ｽ
(これは作成日時が6/6 17:43)
それを削除し、偽装残しで山田チェッカーを回し問題なかったのですが、その後も>>802
の状況が直らなかったので念のため削除した(´･ω･)ｽ
その前に偽装残し状態で一度ウィルスチェックもしましたが、こちらも反応なしでした。
svc&偽装残しの状態ではチェックしてません。(´･ω･)ｽﾏﾅｲｽ…
svcを見つけた際、日付的に危険度Aと思ったため脊髄反射的に消してしまいました(´･ω･)ﾎﾝﾄｽﾏﾅｲｽ
偽装を削除してからは特に挙動がおかしいところもないので安心してますが…

こわい・・・・俺は自分のHDDの中身がインデックスになって見れた・・・。
こまめにアップデートしとくんだった。
ウィルススキャンしたところ、２個の山田ウィルスを発見。
速攻駆除！
今127.0.0.1開いたら、「ページを表示できません」になってた。安心。

ただ、今までのことが怖い・・・。俺のPC、見られてたのか？

｜∀・）

ミ・・ミテタ？

ProgramFilesの中に、mellponというフォルダがあって、
C.htm　D.htm　E.htmとかあった。ちくしょー！

>>809
初心者はワクチンで駆除出来たら安心と思っているから困る

多い日も安心

>>809
>>761

生成するexeファイルはsvchost.exeのみ？
それ以外のを生成する亜種はある？

>>816
ある

>>790
これって元の歌なに？

ところでHTMで検索してC.htmとかがなければ問題ないよな？

なぜかe.htmという名前で数日前に見たサイトのページのファイルがあったけどこれは山田とは関係ないよな？
ちなみにEドライブはDVD-RWです。

>>806
シングルCD][アニメ] 魔法先生ネギま！ OPテーマ ハッピー☆マテリアル 4月度オープニング (192kbps).exe
1.88 MB (1,974,272 バイト)
↑踏んじまったよー　山田なのか？

（´・ω・）

>>820
多分新種の山田(´･ω･) ｽ

なんでそんなexe踏むｯｽｶ(´･ω･)

820落としてみた
[シングルCD][アニメ] 魔法先生ネギま！ OPテーマ ハッピー☆マテリアル 4月度オープニング (192kbps)　〜　.exe
[シングルCD][アニメ] 魔法先生ネギま！ OPテーマ ハッピー☆マテリアル 4月度オープニング (192kbps).exe

1つ目はフォルダ(中身本物)
２つ目がウィルス

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>824
一つめフォルダって、拡張子exeでですか？
本物解凍付きの偽造じゃないの？
もし正真正銘の本物をexeで流してるとしたら、流してる奴は共犯扱いされても文句言えんな。

>>826
zipの中にフォルダ1つとファイル1つが入ってた

>>820
俺も同じの踏んじゃったよ、今のところ再起動しても異常ないし。不正な通信を
行ってる様子もない。何なんでしょう？

>>114>>183
これって矛盾してるように思えるんですが・・・

俺の場合は踏んだ瞬間にコマンドプロンプトが一瞬起動した。
その後再起動すると、復帰する際にコマンドプロンプトが
起動しっ放しになったよ。×で終了して、異常が無いか確認したら、
Windowsスタートの全てのプログラムのｽﾀｰﾄｱｯﾌﾟのフォルダ内に、
フォルダのアイコンに偽装されたdaemon.exeってファイルができてました。
それを削除して再起動したらコマンドプロンプトの起動はしなくなりました。
ウイルスチェックには反応なし。感染確認方法のアドレスをクリックしても
ページが表示できませんでした。山田チェックツールにも反応なし。
ってな感じです。

今更.exeなんて踏むやついるんですね＾＾

>>829
サイバンチョ「どこもムジュンしていないようだが。ペナルティを与えます。どーん！」

>>829
（´・ω・）ｶﾜｲｿｽ

>>830
漏れも踏みかけたｙｐ
解答したフォルダにぁゃιぃexe1.8Ｍと多層構造フォルダの最深部にもう１コ
exeあったよ。　最深部のはdaemon.exeだったような。。。

winrarで覗いたらexeいてたからMacで解凍して新鮮なところだけご馳走様。

これじゃないのか？＞daemon.exe
ttp://www.symantec.com/region/jp/avcenter/venc/data/pf/jp-w32.selotima.a.html

>>830
漏れも踏んだよ。
うちはdaemon.exeのほかにフォルダアイコンに偽装されたexplor.exeが再起動時にコマンドプロントで起動した。
で、その時スキャンされた画像がCドライブに作られたdaemotoolsのフォルダに保存されてた。

>>830
レジストリ書き換えられてませんか？元に戻したいんだけどわかりませんかね？

>>836
んじゃ>>796が言ってたのはそれのことか

>>830
俺も踏んじまったよ；；
別のファイルでなんだが、
症状は>>836とまったく同じ

このスレに来るような奴が今さらなんでexeを踏むんだ？

不用意にexe踏むような馬鹿は
SeeZでも使っとけ

>>836
漏れも踏んだんだけど
フォルダアイコンに偽装されたexplor.exeってファイルはどこにできるの？

>>842
・・・・・（´・ω・） ｶﾜｲｿｽ 山田ヲチスレ 118
http://tmp5.2ch.net/test/read.cgi/download/1118376216/846
（´・ω・） ｶﾜｲｿｽ

>>843
サンクス

daemon.exeとdaemotoolsのフォルダに
画像が保存されたのは確認できますた。
フォルダアイコンに偽装されたexplor.exeは無いようです。

取りあえず対策としては該当ファイルを削除するしか無いかなと・・・

OSはMEなんですが突然レジストリを書き換えました再起動します。
と勝手に出て勝手に書き換えられて？しまい、何事かと思い、
ウイルススキャンをしてみたら何も出ないものの１０万位検索していたファイルが
４万程に。
不安になり山田ウイルスのチェックを色々したのですがhttp://127.0.0.1/も
串を使ってみても問題なくmellpon、svchostも検索しても無し、
ただチェックツールを使ってみたら
「プロセススキャンが正常に行えませんでした」とHOSTSファイルのチェック
が出来ないのですが、これって山田ウィルスに感染しているのでしょうか？

あとマウスの接続が突然無反応になったりします・・・。

無用心に引っ掛からないようにフォルダアイコン変えとけよ

アニヲタじゃなくてよかった

>>844
explorじゃなくてexplorerで検索。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

山田かはわからないが、その曲の書庫はexe入ってたり3曲+3曲zip.mp3のが混ざってたりで
無茶苦茶です。

俺もウォチしたいんだがWIKIにある『ひたすらクリックします』ってのはなにをクリックばいいんだい？

>>851

マウス・・・　（´・ω・） ｶﾜｲｿｽ

>>852
レスサンクス。
どこのリンクかなぁって。

時間あいてたら教えて。

>>853
もうむり。昔は2chに貼られてたんだけど。
山田が勝手にかきこむの。今は運営が対策してるから
貼られない。自分で探すしかないの。

　山田ウィルスってどういう人が感染するの？

WinnyやShareでなにも考えずにバカスカ落としてるアホな人

>>856
違うだろ。。。バカスカ落として、なんでもかんでもふむやつ
と、最近のはそれ関係なく、送られてくるぞ
価格混む型もある

ZIPとかで圧縮されていない動画とかも
ウイルスあるんでっか？

>>858
山田はない。他の可能性はあるけど

>>849 それなんだろな・・・・・　　ノートンが噴火したぞ

>>859 なるほど。

>>860
>ノートンが噴火したぞ
ってどういう意味？

ど、ど、ど、ど、ど、どっかーん！！！！！！！！！！！！！

山田ウィルスって人権擁護法案にカンケイあるんじゃないか？
法案がヤバイから違う方法で2chを消そうとしたんじゃ、、、、、

（´・ω・） ｶﾜｲｿｽ

>>863
(ω･ )ゝ なんだってー？

感染したかもしれないんですが、再起動はまずいですか？

>>866
通報屋さんのチェッカー使う

山田チェッカー使ってみましたが

C:WINDOWS\system32\drivers\etc\HOSTSは開けません

となってしまいます。これは感染しているのでしょうか？？

>>868
それはチェッカーのバグだったとおもう。
スタートアップは改変されてない？

>>868

通報屋さん、帰ってきてるよ
本スレのチョット前にコメントあったよ　（´・ω・） ｶﾜｲｿｽ　

感染の可能性大ですか？？どんなコメントでした？？？

>>871
OS はなに？　

通報屋さんはいま作業中みたい

Windows XP Home Edition

>>873
ｴﾗｰﾛｸﾞ貼って、通報屋ﾀｿを待つ（´・ω・） ｽ

>>873
9x系のバグじゃないみたい。通報屋さんがきたから、あとはたのんでおいた

>>873
とっととｴﾗｰﾛｸﾞ貼れ（´・ω・） ｽ
環境もOSのﾊﾞｰｼﾞｮﾝと常駐ｿﾌﾄくらいは書くのが聞くものの最低限ｽ

すみません、エラーログというのがよくわからないんですが
HOSTファイルチェックを押すと、
C:WINDOWS\system32\drivers\etc\HOSTSは開けません
と表示されるんです。

あ、これかな、、、フルチェックを押すと

OSの情報を収集します。
OSの情報を収集しました。

HKEY_LOCAL_MACHINE内の自動実行を検索しています・・・
HKEY_LOCAL_MACHINE内の自動実行検索完了・・・
HKEY_LOCAL_MACHINE内の自動実行に問題はありません

HKEY_LOCAL_USER内の自動実行を検索しています・・・
HKEY_LOCAL_USER内の自動実行検索完了・・・
HKEY_LOCAL_USER内の自動実行に問題はありません

HOSTSファイルの書き換えを検索しています

で終わり
C:WINDOWS\system32\drivers\etc\HOSTSは開けません
と表示されます。

>>878
君の目に何か障害があるのなら謝るが
「ログをコピー」というボタンはないのか
それをとっとと貼り付けてくださいませんか
通報屋氏にここまでいちいち書かせるのでは不憫でならない

OSバージョン：Windows XP Service Pack 2
詳細なOS情報：
Version5.1
Build:2600
Service Pack 2
チェック結果：
OSの情報を収集します。
OSの情報を収集しました。

HKEY_LOCAL_MACHINE内の自動実行を検索しています・・・
HKEY_LOCAL_MACHINE内の自動実行検索完了・・・
HKEY_LOCAL_MACHINE内の自動実行に問題はありません

HKEY_LOCAL_USER内の自動実行を検索しています・・・
HKEY_LOCAL_USER内の自動実行検索完了・・・
HKEY_LOCAL_USER内の自動実行に問題はありません

HOSTSファイルの書き換えを検索しています


申し訳ないです・・・こういうことですか？？

>>880
HOSTSファイル消えてるよかん。
C:\Windows\System32\drivers\etc\
を開いてHOSTSがなかったらそれだ。
削除されててもあんま意味無いから安心しなー
心配だったらHOSTS修復押すよろし

>>881
通報屋さん、ありがとうございます！！！
調べてみます。m(_ _)m

HOSTSファイルあります・・・
まだHOSTSファイルを修正は押していません。

>>883
それを試しにメモ帳などで開いてみて下さい。
また、ユーザー権限は何か教えて頂けると幸いです

通報屋さん　（´･ω･）ｵﾂｽ　　寄付もかんがえんといかんなこりゃ

メモ帳で開いてみました、、、
# Copyright (c) 1993-2001 Microsoft Corp.
#
# This file has been automatically generated for use by Microsoft Internet
# Connection Sharing. It contains the mappings of IP addresses to host names
# for the home network. Please do not make changes to the HOSTS.ICS file.
# Any changes may result in a loss of connectivity between machines on the
# local network.
#

こうなっています。

HOSTSファイルの権限は、770です。

あと、ルーターを使ってはいます。。。
アンチウイルスソフトとして、eTrustというものを使っています。

>>886
インターネット接続の共有をしていらっしゃるでしょうか？
また、自分自身のアカウントのAdministratorなどの権限を。

今、僕は無線LANでインターネットしています。
自分のアカウントの権限は、770になっています。

ファイル指定は間違えてないようですので、こちらの問題ではないかと思われます。
また、HOSTS修復を行ってもおそらくはじかれると思われます。
一応Administrator権限で実行し直して下さい。

>>890
ご丁寧に対応して下さり、ありがとうございますm(_ _)m

何度もすみません。HOSTSファイルを修正を押したら
今までにあったhostファイル(これはiCalendarファイルと表示されています)
と別にhostsファイルができました。このあと、チェックツールを試すと
感染してないようであるとなりました。これは大丈夫？なのでしょうか。

訂正します

×今までにあったhostファイル
○今までにあったhostsファイル

>>893

同じ名前のファイルは二つ存在できないです・・・
片一方に拡張子がついてませんか？

>>894
今まであったほうは、hosts.icsです。
新しくできたほうは、hostsとなっています。

>>895
hostsファイルは、拡張子が"ありません"。
おそらくファイルが存在しなかったのかと・・・

#この例多いようですのでファイル確認付けてみます

>>895

ようは、そういうことです
hostaファイルはもともと拡張子持ってません
通報屋さんがあるかと聞いているのに、違うファイルをあると答えてたから・・・
そのファイルになぜ拡張子がついたのかは謎ですが、山田ウイルスに関しては
ほぼ大丈夫でしょう・・・　（´・ω・） ﾄｵﾓｳｽ

再起動して、発症ということはない、、ですよね。
的確に情報を伝えることができず、申し訳ありませんでした・・・
通報屋さん、みなさん、ありがとうございました！

対策ソフトダウンロードしてチェックしてみました。

感染はしていないようです
ですが、このチェックをすり抜ける場合もあります
このチェックで異常なしと診断されても安心はしないように。

って出たけど、安心できないのか〜。。。とちょっとドキドキ

俺>>845のsvchostが検出された。
これってヤバイの？

>>900
　　　　　　　　　　.,Å､ 
　　　　　　　 .r-‐i'''''''''''i''''‐-､ 
　　　　　 o|　ｏ!　.ｏ　 i ｏ　!o 
　　　　　　.|＼__|｀‐´｀‐／|__/| 
　　　　　　 |_, ─''''''''''''─ ,､ / _ 
　　　　 ／　　　　　　　 　　　　　 ＼ 
　　　 /　　　　／　　　　　 　 　　 　i 
　 　　|　　　　　 ●　（__人_） ●　　 |　キングカワイソス・・・ 
　　　 !　　　　　　　　 　 　 　 　　 　ﾉ 
　　　 丶_ 　　　　　　　　　　　　　ノ

■[SVCHOST.EXE]が2個以上起動してる人へ■

複数起動してるのはウイルスです。
もともとWindowsが起動してるものもあるので一つ起動してるのは正常です。
二つ以上起動してる人は、ひとまずPCを再起動して、
それでも複数ある人は以下の手順を実行してください。

1.適当なﾌｫﾙﾀﾞにあるEXEﾌｧｲﾙを右ｸﾘｯｸ→[ｽﾀｰﾄ]ﾒﾆｭｰにｱｲｺﾝを追加を選択
2.先ほどのEXEﾌｧｲﾙがあるﾌｫﾙﾀﾞ自身の名前を変更する
3.ｽﾀｰﾄﾒﾆｭｰを開いて上記の手順で追加したﾘﾝｸを右ｸﾘｯｸ→ﾌﾟﾛﾊﾟﾃｨを選択
4.無効なﾘﾝｸになっているので、[変更]ﾎﾞﾀﾝを押す
5.該当ﾌｧｲﾙの変更後の正しい場所を指定する



ネット接続を切ってから再起動すれば大丈夫！

↑やっちゃダメだよ

もうやっちゃった人がいそうな気がする

>>902ってやったらどうなるの？

【ＨＴＴＰ用ポートのアタック発生！！！】
トラックバック:http://pc8.2ch.net/test/read.cgi/sec/1118471880/

>>902が治し方ばらしたから
焦ってるおまいらm９(^Д^)ﾌﾟｷﾞｬｰ

>>902
これ、昔自分でやったことある（´・ω・） ｽ

ＰＣ２台ないと直し方探すの（´・ω・） ﾒﾝﾄﾞｳｽ

これやったあと、再起動したら、たぶんお仕舞い（´・ω・） ｽ

>>908
フォーマットし、再インスコするだけじゃん

>>909
あほですか？

>>902 って別に何の害も無いような希ｶﾞｽ （´・ω・）
単に1で選んだexeがWindows起動時に自動起動するだけかと思うｽ （´・ω・）

>>910
必死だなｗ

http://○○○/
ｗｗｗｗｗｗｗｗｗｗｗｗうぇｗｗｗ
ｗｗｗｗｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗっうぇｗｗｗｗｗｗおｋｗｗｗ
っおｋｗｗｗｗおｋｗｗｗうはっｗｗｗっうぇっうぇ

あのconime.exeが起動してるんですが、これってどうなんでしょう？

>>914
それが気になった理由は？

タスクマネージャー開いてみたら普段見ないconime.exeが起動してたのでググってみたら
山田かもしれないと思ったので質問してみました。

>>916
もっとググッて調べたら良いと思うｽ （´・ω・）

まさかcomic＋anime＝conimeとか考えて、
なんか怪しげなexeが起動してる･･･とか。

まじレスすると何らかのコマンドプロンプトを使うアプリが起動すると、
conime.exeは自動起動されて、アプリが終了しても落ちないで残る。

>>916
取り敢えず、消してみるす

>>916
コンソールIME

取りあえず、確認できることは全部確認してひっかからなかったので後は新種じゃないことを祈ってます。
ありがとうございました。

>>902の１って、
[スタート]じゃなくて[スタートアップ]じゃね？

なんでか俺のPC、system以外からのsvchost.exeが動いてて、>902見てビクビクしたが
>183の書き込みがあったおかげでちょっと安心した。
山田チェッカはとりあえず反応ないけど、このスレ見てみると気が気じゃなくなるね・・・

>>923

>>902の「適当なフォルダにある」でおかしいと気づけ馬鹿

svchostなんて４個起動してるけど至って平常。
ＰＣ環境で数がまちまちなんだろ？

3名から覗き見乙

マイコンピューター開いたらOwnerのドキュメント
共有ドキュメントが出たんですけど、これって感染してるんですよね・・？
コンピューター内を「svchost」で起動したら１４ｋのが２００４年８月作成
で出てきたんですけど、確定？

>>183
大丈夫なの？

>>927
してない

>>929
感染してなかったんですか・・・ありがとうございます；；
安心しました。

>>930
わけない

>>931
（´・ω・） ｶﾜｲｿｽ　

>>930
仁義ウイルス感染者で聞いた名前のような…

>>820を踏んだ
踏んだ瞬間コマンドプロントは起動したんだけど
explorer.exeもdaemon.exeも作られてない。
再起動してもコマンドプロントは起動しないし、スタートアップにも変なのは入ってない
山田チェックも異常ないし、http://127.0.0.1/関連も異常ない。
異常が無いのが恐い。何でだろ？

Owner･・・ってユーザー名？ちょっと前にｶﾜｲｿｽｽﾚで見たぞ。

>>935
そうですｗぐはｗｗあーもｗｗ
どっから感染したんだろ；；やっぱＯＳの再インストしかないんですかね？

（´・ω・） ｶﾜｲｿｽ　

>>936
ｶﾜｲｿｽｽﾚのチェックツール使ってみれば？

>>938
>>1の確認方法でクリックしたんですけどサーバーが見つかりませんって出た
んですが、これって感染してないって事ですか？

>>939
新種や、山田以外は>>1じゃ無理

>>939
今、ぐぐったんだが…まさかコレ？
ttp://kintama.client.jp/

感染してるかしてないかの判断が難しいね
フローチャートみたいな図解でまとめてみないと

( ´・ω・）ﾋｻﾝｽ

（´・ω・） ｶﾜｲｿｽ　

((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>941
そ・・それだｗｗ一致したよ・・症状が；；
ふたばのどこかで感染したのかな・・・ともあれｻﾝｸｽ

>>946
アド晒すタイプだから変更したほうが良いね

>>941
行ってみたけど何もおこらん……
なんですかこれ？

山田ﾁｪｯｶってﾂｰﾙ装ってるけど
実際はあれそのものが山田ｳｲﾙｽだからな

　　　　　　　　　　　　　　　　　　／　￣￣￣￣＼
　　　　　　　　　　　　　　　　　/　　　　　　　　　　ヽ
　　　　　　　　　　　　　　　　 /　　　　　　　　　　　ヽ
　　　　　　　　　　　　　　　　 | 人_____________　　　　 |
　　　　　　　　　　　　　　　　　|●　　●　　|　　　 　| 　山田さんに
　　　　　　　　　　　　　　　　 /　　　　　　 /　　　/　| 乾杯！
　　　　　　　　　　　　　　　 /|▼　　　　 ./　　／　　|
　　　　　____________　　　　 /__|┴―　　 /__／ |　 丿
　　　　 ＼〜〜 ／　　　　　　 | ￣　　 　　 　 |__/ )
　　　　　　＼ ／___　　　　　　　(＼＿__　 　 /　　)―――
　　 　　　( つ(__/　＼　　 　　 （　　|　　　／　　　）
　　　　　　(__ﾌ|　　　　＼　　/　（　 |　　/　　　　）
　　　 　 ⊂―||―、　　　|　/ 　　　　　　　　　　　

>949
（´・ω・）　ｶﾜｲｿｽ　（´・ω・）　ｶﾜｲｿｽ　（´・ω・）　ｶﾜｲｿｽ
（´・ω・）　ｶﾜｲｿｽ　（´・ω・）　ｶﾜｲｿｽ　（´・ω・）　ｶﾜｲｿｽ
（´・ω・）　ｶﾜｲｿｽ　（´・ω・）　ｶﾜｲｿｽ　（´・ω・）　ｶﾜｲｿｽ

>>927の、共有ドキュメントとかがマイコンピュータに表示されるって
XPだと初期状態で表示されるようになってなかったっけ？

>>946は削除できたかなぁ…

>>953
XPなら最初から表示されている共有ドキュメントとかを見てあわててたし、
ownerってよくあるデフォルトの名前だし
svchostも場所は知らせてないし…
苺のページもちゃんと読んだのかどうか怪しいもんだ。
つーかまず感染してるのか？

WinRarを使って中身を見れば、解凍しないでもEXEが入っているかいないかわかりますよね？
それにより感染は防げているんでしょうか？
それとも圧縮ファイルをダウンロードした時点ですでにウィルスに感染してるんでしょうか？

今日多分山田っぽいやつをダウンしてしまったので一応確認を・・・

>>955
だいじょうぶ。解凍前に削除。

>>956ありがとう(´・ω・`)
怖くてPC切ったから携帯からお礼…

テキストファイルは開けちゃったんだけど…
オッスオラhirosiって書いてあった…
山田じゃなくてﾋﾛｼウィルスかな(´・ω・`)ｽ

それはカワイソ(´・ω・`)ｽ

>>957
あ、削除はexeだけでいいからね。中味もにせもんかもしれないけど

>>959一応全部消しました(´・ω・)
ﾃｨｷﾝなんでexeと一緒に入ってたファイルなんて使えません…(´；ω；`)

>>960
確実といえば確実。（´･ω･）

>>961
色々ありがとうございました(´；ω；)
安心できました(´∀｀)

ここは心温まるスレですね

http://127.0.0.1/
これってJAVAとかActiveX切ってても、表示される？

（´・ω・） ｶﾜｲｿｽ

>>820
結局これは山田だったの？（´・ω・） ｶﾜｲｿｽ

>>966
ちがうと思う（´・ω・）ｽ。
けれど『C:/windows/system32/explorer.exe』をつくってレジストリ設定してるから、
何らかのウィルスではあると思う（´・ω・）ｽ。
また、『C:/program files/daemontools/』をアップロードディレクトリパスに
設定してるしてるから何かをアップしてると思う（´・ω・）ｽ。
Ragnarok関連のレジストリを弄ったり掲示板に書き込む動作と思われる部分はあるが、
こっちはよくわからない（´・ω・）ｽ。
>>830で言ってるdaemon.exeは解凍ソフトの脆弱性を利用してスタートアップに
放り込んだもので、実体は>>820と同じもの（´・ω・）ｽ。

山田ﾁｪｯｶｰで、感染してないようです、ってでたらほぼ大丈夫なんですか？ちなみに３週間前くらいから山田が怖くて何もﾀﾞｳﾝﾛｰﾄﾞしてないんですが

>>968
そんな質問に、キッパリ答えれたら神(　´Д｀)ﾀﾞﾜ
山田ウイルスは進化してる

そのままDLしないでくださいずっと

わからん、感染はないと思うが、起動時に　svchostに関係するエラーが発生。
マイクロソフトに送るか聞いてくる。
ヤマイモ木から生えてくる観察ブログにしたがって調べたが問題なし。
ウイルスの名称ってあるの？

>>970
質問の意味が分からない（´・ω・）ｽ
svchostを疑っているなら、プロセスのユーザ名とsvchost.exeのパスを調べるｽ
C:\Winnt\System32\svchost.exe以外ならヤバイ（´・ω・）ｽ
svchost関係のウイルスは山田以外にもあるし、単なるエラーの可能性もあるｽ
これ以上のことは分からないｽ

>>971
質問は「ウイルスの名称ってあるの？」だと思うｽ （´・ω・）

>>970
回答は「ある」ｽ （´・ω・）

要するにexeファイルを踏まなきゃOKなわけね？

>>973
その理解は間違ってるｽ （´・ω・） ｶﾜｲｿｽ
もっとしっかり調べるｽ （´・ω・） ｶﾞﾝｶﾞﾙｽ

>>970
俺も大分近い状態。起動時にたまにそのエラーがでるよ
今持ってるウィルススキャンじゃ検出されないし、
ただ原因はＬＯＣＡＬのＴＥＭＰファイルに関係あるような説明っぽいよね?

うぇ、zipファイルに仕込まれてるのもあんのか
こりゃやっかいだな

>>975
やっぱそうか。
NOD32とバスターで見たけど何も出ない。
そもそも山田君と関係あるかも不明？

>>976
全然やっかいじゃないし >>973 の理解で正しい。
zipに仕込まれてたってどこに展開されるかを理解して
踏まないようにすれば良いだけのこと。

そろそろ１０００していいでつか（´・ω・） ？

>>979
次ｽﾚを責任持ってたててくれるなら
漏れはおｋで（´・ω・） ｽ

９８１！！　（´・ω・） ﾔﾒﾄｸｽ

次スレの需要ってあるｽか（´・ω・） ？

今日もどこかで（´・ω・） ｶﾜｲｿｽ〜♪
明日もどこかで（´・ω・） ｶﾜｲｿｽ〜♪

そんなあんたが（´・ω・） ｶﾜｲｿｽ〜♪

>>982
何か、ここ最近の本ｽﾚでは、本ｽﾚに被害者誘導して
通報屋ﾀｿに繋ぐ動きをウザがる香具師がいるので、
それならば、ここを被害者誘導先にすればおｋと
考えた次第（´・ω・） ｽ

じゃあ次スレは
☆　山田ウィルス対策＆被害者誘導スレッド　☆
って風にした方がｲｲｽかね （´・ω・）

>>986
本ｽﾚで訊いてみると良いかも（´・ω・） ｽ

>>987

本スレからでし・・・　本スレは時間によって住民が入れ替わります
深夜から翌午前中までは比較的に駆除に尽力、応援する人が多めです
午後から夜にかけては、お祭りのみを生きがいとする人が多めです

救済は、どちらでされてもいいと思いますが・・・　感染者降臨の瞬間という
最高の醍醐味だけは残して欲しい・・・　（´・ω・） ｽ

て言ったら意味ない（´・ω・） ｽﾅ

tes

そっと･･･９９０！　

P2Pを卒業することにしました
これで山田の脅威から逃れることができます （´・ω・）ﾉｼ

ひそかに･･･　（´・ω・） ｶﾜｲｿｽ

静かに・・・　（´・ω・） ｶﾜｲｿｽ

深く・・・　（´・ω・） ｶﾜｲｿｽ