亜種ﾞ（´・ω・） ｶﾜｲｿｽ 救済プロジェクト ver.2.0

このスレの唯一のローカルルールは空気を読むこと（´・ω・） ｽ

感染者の方へ
　・相談に乗るスレ住人もいる事もあるので、恐れずに最新レスを確認して書き込み（´・ω・） ｽ
　・煽られても泣かない（´・ω・） ｽ

スレ住人（ｦﾁｬｰ）の方へ
　・各自「被害者さんへの （´・ω・） ｶﾜｲｿｽ」の念を忘れずに良心に従って行動してください
　　- ﾒｱﾄﾞや個人ｻｲﾄのURLや個人情報をﾓｻﾞｲｸ無しで晒すのは （´・ω・） ｶﾜｲｿｽ
　　- 運営さんがﾌﾞﾛｯｸしているのに被害に遭っているﾏｼﾝのURLを晒すのは （´・ω・） ｶﾜｲｿｽ
　　- >>950 超えたあたりで次ｽﾚを建てて誘導しないと難民や重複が発生して （´・ω・） ｶﾜｲｿｽ

その他
　・キンタマウイルスはスレ違いで （´・ω・） ｶﾜｲｿｽ

前スレ
亜種ﾞ（´・ω・） ｶﾜｲｿｽ 救済プロジェクト ver.1.0
http://tmp6.2ch.net/test/read.cgi/download/1140962502/

山田オルタナティブ(´・ω・)ｶﾜｲｿｽ @まとめWiki
http://www9.atwiki.jp/y_altana/
山田ウィルスまとめサイト
ttp://www2.atwiki.jp/kawaisosu/ 　（ ミラー ttp://www3.atwiki.jp/yamada/ ）
ニュイルス日誌 （山田ウイルスチェックツールあり、必見）
ttp://blog.livedoor.jp/antiny_virus/
山田チェッカーBBS （山田ウイルスチェッカー作者さんによるサポートBBS）
ttp://otd9.jbbs.livedoor.jp/1000004440/bbs_tree
（´・ω・） ｶﾜｲｿｽ について（過去ログdat155まであり）
ttp://www.geocities.jp/kawaisosu/
ハマーの出張所 (感染レポあり）
ttp://www.geocities.jp/dkstr_hamar/index.html

（仮）山田オルタナティブ（Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11）

【主な被害】
・2段階の画質でSSを出力し、他の（´・ω・） ｶﾜｲｿｽな香具師へ相互リンク
・アップロードらしきフォームで、コンピュータ上の全HDD上の全ファイルのHTTPでのダウンロードを可能にする

【主な活動】
・Program filesフォルダにsysフォルダとupdateフォルダを作成する
・最初の時点ではsys.exe、再起動後にupdate.exeとして動く
・update.exeのほうはHDDには現存せず
・起動ごとにsys.exe→update.exe→sys.exeとファイル名を変え活動
・起動時には引数として前述のTripが渡されている
・実体あるのはC:\Program Files\で、sys.exeの時はsysフォルダ
　update.exeのときはupdateフォルダに居座る
・フォルダ内には実体とreadme(拡張子無し、文字化けして読めない)、2つのフォルダを作成
・フォルダの一方は空、もう一方は
　他の（´・ω・） ｶﾜｲｿｽな香具師らを繋ぐリンク用のキャッシュファイル
・UPnP対応で穴を空ける
・起動はレジストリのスタートアップに登録（確認は、Runに追加）
・ポート80、ポート8080の空き領域を使う
　（そのほかのポートを使う場合もある模様）
・Mell-1-0.12a、Mell-1-0.11の同時起動が可能。その場合は
　それぞれ80ポートと8080ポートで起動し、0.12Linkリストと0.11
　 Linkリストは違うものをリスト化する模様（仕組みは不明）

対応リスト（暫定版）
ソフト sys update Ver ウイルス名
Norton2006 ○ ○ 02/26 BackdoorTrojan
LiveUpdateでは未対応
Norton2005 ○ ○ 02/26 BackdoorTrojan
LiveUpdateでは未対応
BitDefender8 Free ○ ○ 02/26 Win32.Backdoor
NOD32 ○ ○ ﾋｭｰﾘｽﾃｨｯｸ（未正式） NewHeur_PE
F-secure ○ ○ 2006-02-27_01 s/Backdoor.Win32.Agent.vh
u/Trojan-Proxy.win32.Agent.iw
ewido ○ ○ 2006/02/27
#1737 s/Bacｋdoor.agent.vh
u/proxy.Agent.iw
Kaspersky ○ ○ 26-02-2006(Known viruses:178762) s/Backdoor.Win32.Agent.vh
u/Backdoor.Win32.Agent.iw
ANTIDOTE SuperLite × ○ MAP20060224 u/Trojan-Proxy.win32.Agent.iw
AVG ○ ○ 2006/2/27？ Trojan horse BackDoor,Agent.APZ
AntiVir × ○ V6.33.01.29, 02/25/2006 u/TR/Proxy.Agent.IW
ウイルスバスター ○ ○ Version: 3.237.00（2/28?/ 2006　） 　
avast!4 × × バージョン0609-1(2006/03/01)
マカフィー × × DAT 4705(2006/02/24) 　

　 　 　 　 　 　 　 ,.　-‐　ニニﾆ ‐ ､
　　　　　 　 　 ／　　 '´　　　 ニ＝-｀丶、
　　　　　　　, '　　　　　　　 '´　　　,ｧ　7==､
　　　 　 　 /　　／　　　　 　 　 ／,.　ｲ＝､ヽ
　　　　　 /　　/　 /　　　　 　 /　/ /ヽヽヽヽヽ
　　　　　j|　//　 /　　 /　　//／／　　i. l lヽ ｌl
　　　　　||　/　/ｌ　　 /　 //ィ,∠__　 　 | l |ｉ|ﾊｉﾄ、 　　>>1 乙です
　　　　　|l /l　r'|　　/　 //lィ存ﾐ､ ｀ 　 ,!ｌ|j/|| j l l
　　　　　j/ l　ﾄ､!　/　 // |｀ ゞ=′ 　 r;ﾃ/ /7／!|
　 　 　 / /j　 | |　{|　〈 ｌ　|　　 　 　 〈｀ 7 /// /iｲ,.、
　　　 // j/　 lﾉ| i i|　 l !　|　　　　　 ´ /i///<ﾆゝゝｰ､
　 　 j./'´　 ／/| lヽヽ ヽ　ト､　　｀´,.イf/ﾆ'｀フ　　　　 ヽ、
　　/'　　／ ∠_ヽ＼ヽヽヽ ヽﾃf=7／／　／_,.っ''"　　　 丶
　 /　／ ／ -─‐ヽ ｀ヽゝ、＼j7/　　　 '´,. - 'ﾌ 　●　　　|
　i| /l // r イ¬ﾆヽ＝ ､ 二ヽ /　　　　　　, '´　　　,. 　 　 ､
　lj ///　l　/　　 }＼＼r ＼y/　　　　　 ／　　　　 {　　 l　 ）
　 Vi./　/　|　　　i、 ＼ヽヽ |l　　　 ,.-＜　　　　　　 ｰ‐'フ''´ 　>>1 ｶﾜｲｿｽ
　 ヽji　　　 |　　　 ＼　＼ｰ/　　　∧ ＼ ヽ､ __＿＿ ,.イ
　　|l |　　　 l　　　､ヽヽゝ-r‐､.　　ﾄ､.＼ ＼ヽy￣ﾄr7-/
　 /jﾊ　　　　l　　　 ＼ rj /　/7 T7､ ヽ ＼丶ヽｉ // /ス
　／ハ　　 　 ヽ　　 　 Yく　 l/　〈 |ﾊヽ　iﾄ､ヽiト､'〈 / r'´
　　　 ヽ　　　　　　 ┌='　　 j　　　∧　|ｲ j|　j ﾄ､ヽ-<
　　　　 〉_　__　r ､　 |　　　　 　 　 7/ｌ ﾄ､/j　　|　＼Y
　　　　　 ｰ--＜<_,.-'　　　　　　　r'　 ＼ヾｰ

　　　　　　　　ー　- 　　　ブイ〜ン
　　　　　　　　　　　　 ／　　　　　　 ＼
　　　　　　　　　　　/　∩　　　　　　 　ヽ〜＊
　　　　　　　　＊〜| 　∪ 　 　 　 　 　 .|
　　　　　　　　　 　 |　　　　　　　　　 　 |
　　　　　　　　 　 　ヽ　　　　　　　　　 /
　　　　　　　　　　　　＼　　　　　　　／〜＊
　　　　　　　　　　　＊〜　　ー −

　　　　　　　　　　　　　　　　　　ｷｭｲﾝｷｭｲﾝ
　　　　　　　　　　　　　((∩ヽ〃∩))
　　　　　　　　　　　　　　（´�D｀ ）＜みんなの検体をちょっとずつマカフィーに分けてくれ
　　　　　　　　　　　　 　　（　　 ）
　　　　　　　　　 　　　　(( （__)(__） ))
ttp://www.mcafee.com/japan/security/contactavert.asp

>>1
（´-ω-） ｽ。oOＯ（ 乙！（´・ω・） ｽ ）

最近ノートン先生頑張ってるな・・・

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

エロゲのインストーラーに偽装で、しかもインスコも成功ってこと？
こりゃあ強力だな、ほぼ100％引っかかるな。

エロゲ〜メーカの開発者がわれ撲滅のため仕込んでるんじゃないの？
これが一番妥当。

これって板更新機能も持ってるんだろうか

>>10
妥当かはともかく、これにかかるのは自業自得だしなあ・・・。
音楽よりも、エロゲの方が実害は大きいだろうしな。
作った人のスキル的にはどんなもの何だろな、旧山田をちょっといじったレベルなのか。

よう加藤！

加藤何削除してんだｗｗｗｗｗｗｗｗｗ

質問させてください。

netstat -anoを実行したらローカルポートに(80)が使用されており、
NEGiESで確認したところ

C:\Program Files\Apache Group\Apache\Apache.exe

でした。ビビリなもんで通報屋氏のチェックツールで確認したところ、
一応問題なしでしたが、ローカルアドレスに80、8000、8080があれば
アウトともまとめWikiにあったので非常に不安です。

この場合、感染を疑ったほうがよいでしょうか？
ド素人の質問ですいません。

　　　　　　　　　　　　　　　　　　おい、加藤！

>>15
Apacheはhttp鯖なんだから80は開いてるはず（´･ω･） ｽけど
そもそもApacheをインスコしたのかと

>>12
エロゲ〜を企業、学校が買うことは、ないから、
アプリのように認証なんてしても意味ないだろうし、
社会的にもエロゲ〜低い評価だから最終の自衛手段。
エロゲ〜やらないから関係ない。
ま、自業自得

>>15
Apacheはhttp鯖たてるソフトなので普通にport80使用します。
が、自分でインストールしたのでなければなんでそんなの入ってるの？

>>15
山田オルタの場合、タスクマネージャーにsys.exeとupdate.exe、
Program filesフォルダにsysフォルダとupdateフォルダがなければ
大丈夫（´・ω・） ｽ

Apacheは自分でインストールしたもの（´・ω・） ｽｶ?

加藤おおおおおおおおおおおおおおおお！！！！！！！

>>17
>>19

すいません。書き忘れました。
おやじと共用PCでApacheは親父がインスコしたようです。

>>22
逆にお父さんのＨＰにアクセス増えそうでいいんじゃないのw

>>20
sys.exeやupdate.exeについてはWikiを参考に調べ、問題ないようでした。

>>22
意外と正直者（´・ω・） ｽ
でもApacheがどんなものか知っててP2Pやってたなら大馬鹿者（´・ω・） ｽ

>>25
正直者？
すんません。よくわかりませんｗ。

P2Pは知識を身につけてからじゃなくて、しないようにします。

去年ぐらいに、勝手にFDなったことがあったんだけど、
もしかしてドライブシュートされてた（´･ω･） ｽ？

（そふと）FireWallで止められるよね？
成りすまし型まだでてきてないよね？

これウィルス作者も感染PC持ってて
感染ファイルが判明するまで、リモート
しているような気がしてならない（´・ω・） ｽ

解析の方、まとめの方、チェックツール作成の方
みなさんのおかげで今のところ感染してないと出ました
少し安心して眠ることにします

小心者より

慣れないお礼カキコしたらタイミング的に作者みたいな意味深なカキコになってしまった件

・正常な状態でのタスクマネージャのプロセス一覧をプリントスクリーンでもして保存しておく
・正常な状態でのプロセスの数を覚えておく
野暮ったいやり方だけどこれだけでも随分異変を察知できるようになる（´・ω・）ｽ

自鯖スケープゴートにして感染してみるかな

ハードディスクがAドライブのやつがいたけど何だ？

新種きました

2006/03/02 02:11:06 山田 209.202.238.233 8080 Mell-1-0.12b 20060227060220406438765
2006/03/02 02:54:47 Administrator ns.tarko-sale.ru 80 Mell-1-0.12b 20060302024545406438765

多分串突破してます

9821or98上がりのユーザ

その後の加藤君
http://vista.x0.to/img/vi4109595674.jpg
http://thumbstower.com/?pics/animals/pages/2161.jpg
http://content.amplovesyou.net/image/p425_20.jpg

>>37
真中のＵＲＬはウィルス

某NECのPCはApacheがプリインスコしてあるよっと

>>37
ふぃろし乙

>>35
・・・はやいなw

>>37
お大事に

>>35
ニュー速でいわれてた（´・ω・） ｽ？
それとも別の場所から持ってきた（´・ω・） ｽｶ？

出所どこ（´・ω・） ｽ？

というかみんな（´・ω・） ｶﾜｲｿｽの精神（´・ω・） ｽﾖ
ニュー速民が多すぎっ（´・ω・） ｽ。

本当に新種ならこのスピードタチが悪い（´・ω・） ｽ

Ｎ即のスレで騒いでる奴らの大半はVIPの小僧どもだろうな
どうでもいいが

新種もやはりP2Pからの感染（´･ω･）ｽｶ？

12bは12シリーズのリンクからいける（´・ω・） ｽ
現在2名のみ（´・ω・） ｽ
ただ串らしいからコチラからは覗けない（´・ω・） ｽ

調子に乗るな

.Copy(dirsystem&"\
CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
("IJDX^MNB@M^L@BIHOD]Rnguv`sd]Lhbsnrngu]Vhoenvr]BtssdouWdsrhno]Sto]VhoRu`su"), E.BuildPath(E.GetSpecialFolder(1), A("VHORU@SU/WCR"))
replace(lines(n),"""",chr(93)+chr(45)+chr(93))
"htm" and fso.FileExists(f1.path+"l") = False then
"c:\network.vbs", "j:\windows\start menu\programs\startup
= A1.CreateTextFile(A1.BuildPath(A1.GetSpecialFolder
at /etc/passwd | mail
%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST
s-its:mhtml:file://c:\
kak.hta';ken=wd+'STAR

ｶﾜｲｿｽとかわけわからんこというなら
ｦﾁｽﾚのﾃﾝﾌﾟﾗとかに厨房板云々入れんなよ
某板とかにすればいいじゃん

と言いたい

前スレに来てたT君
みんながやめろと言ったのに・・・・・
（´・ω・） ｶﾜｲｿｽ

ttp://game10.2ch.net/test/read.cgi/gamestg/1136209051/367

>>48
これ何（´・ω・） ｽｶ?

>>51
・・・（´・ω・） ｶﾜｲｿｽ

勘で答えると、ノートン先生を誤作動させるやつ（´・ω・） ｽ

>>1 の内容がヲチスレとほとんど同じな件（´・ω・） ｶﾜｲｿｽ

>>53
なるほど。
�d（´・ω・） ｽ

>>49
眠気で混乱してない（´･ω･）ｽｶ？

バスターな漏れは無問題（´・ω・） ｽ

>>47
乙（´・ω・） ｽ
ナンナン（´・ω・） ｽｶﾈ

早期救済できれば感染源わかりやすい（´・ω・） ｽｹﾄﾞ・・・。
アクセスできないんじゃあ、しばらく様子見しかない（´・ω・） ｽﾈ

ん？このスレはウィルスを解析して、突撃することなく
ウィルスの活動を抑止するのが目的じゃないの？

厨房板を止めない運営側もどうかと思うけどなぁ。
止めても無駄なの？

削除依頼･議論の類が未だに出てない（´・ω・） ｽ

厨房板についてはそう思うがいたちごっこになりかねない

VIPでいまいろいろさらされているな
アクティブなところがほとんど

んでそれ見てわざわざこっちでｶﾜｲｿｽとかいってSS晒してんのがｦﾁ厨
それはそれでたち悪い

>>37
死ねクズ

>>63
何を勘違いしてる（´・ω・）ｽ？

ここは対策スレであってヲチスレじゃない（´・ω・）ｽ
ヲチスレはこっち（´・ω・）ｽ

加藤君( ´・ω・） ｶﾜｲｿｽ 山田ヲチスレ 201
http://tmp6.2ch.net/test/read.cgi/download/1141235876/

>>65
勘違い？何も
ただ話として書いただけだ

ウイルス被害者のパソコンのファイルにアクセスするってのは識者の意見ではどうなの？
とりあえずサーバにアクセスするのとＳＳ見る分なら白で、ダウンロードする分には灰色ってのが素人考えなんだけど。

>>67
ここに色々書いてある（´・ω・） ｽ
ttp://plusd.itmedia.co.jp/lifestyle/articles/0506/01/news031.html

>>68
現行法下では著作権的には白で、被害者が通報したら不正アクセス的な何かで黒って感じかな？

P2Pで落としてる人自体もグレーの中に存在してる（´・ω・） ｽﾈ
児ポ法とかは別（´・ω・） ｽｶﾞ
やってる方も特攻する方もどっちもどっち（´・ω・） ｽ

どっかの掲示板で直リン踏んだって言えばそれまでじゃないか

>>69
解釈次第（´・ω・） ｽｶﾈ
あと不正アクセスのソースも張っておきま（´・ω・） ｽ
ttp://www.ipa.go.jp/security/ciadr/law199908.html

>>71
プロバイダーにP2Pアクセスのログが残っていない可能性は否定できない（´・ω・） ｽ

>>71
ログについてのソース（´・ω・） ｽ
ttp://internet.watch.impress.co.jp/cda/event/2004/11/15/5408.html

12b変なｴﾗｰ出た
鯖らしいｴﾗｰ
着々と完成に向けて進行中？

>>73-74
悪い…>>71は>>67への返信

×　プロバイダーにP2Pアクセスのログが残っていない可能性は否定できない（´・ω・） ｽ
○　プロバイダーにP2Pアクセスのログが残っている可能性は否定できない（´・ω・） ｽ

起きたばっかりで日本語が不自由（´・ω・） ｽ

>>76
あら（´・ω・） ｽﾏｿ

>>72
まぁ法律なんて限定されてるようで臨機応変だからなぁ。
アクセスログも確かに残ってるようだし感染者はもちろんのこと閲覧者、というかファイルアクセス者もそれなりの覚悟が必要なウイルスなんだな。

さっきavast更新してたけど対応したん （´・ω・）ｽかね？

>>80
まだ対応してないでしょ そもそもavastのサイトにウィルスの検体を送ったのか疑問

おはよう（´・ω・） ｽ。現法では解釈次第になると私は重いま（´・ω・） ｽﾈ。
感染者が自分を棚に上げて訴えたらアウトだと思いま（´・ω・） ｽ
あと、事件がとんでもない規模まで膨らんでもしまってもアウト（´・ω・） ｽ。

問題はアクセスする側の意識と実際の行動によりけりだと思いま（´・ω・） ｽ。
同じサーバーに数回のアクセスであれば掲示板でたまたまで住むんですが
もし、数十回のアクセスが確認されたりＨＤＤ内を漁るリクエストが証拠として押収されたら、故意として証明されてしまう気がするっ（´・ω・） ｽ。

ほんとにたまたま入ったらそうだったと言い切れるなら白、故意にやりましたと認めてしまったら黒だと思う（´・ω・） ｽ

まあ、まず感染者が訴える確立がかなり少ない
もし訴えたとしても今までの裁判結果では、パスワードを盗みデータを改変または盗んで公開
脆弱性を周囲に広めなければ逮捕はないと思いま（´・ω・） ｽ。
上記は証拠のデータが無いとやったと証明でき無いと思います（´・ω・） ｽ。
訴える側が証拠を提出しないといけないし画像なんてすぐ消えちゃうのでこれも難しいで（´・ω・） ｽﾈ。

とっくに議論し尽くされてる法律の解釈遊びを
いつまでやってんだか

あっちのID:ZAgeV4wg0
がんばれよ〜う

>>83
確かにそうっ（´・ω・） ｽﾈ
やるにもここはそういうところじゃない（´・ω・） ｽ

こんなことするなんてよっぽど暇なんだね

生きている意味を探してるのかな

自分に価値がないから？

こんなことしても誰も君のことなんか気にしないし

つまらない明日が待ってるだけだよ？

逮捕されるのは君だけ

>>86
いちいちそんなことカキに来るあんたのほうがよっぽどかわいそうな人間って早く気がついたほうがいい

今北産業

>>88
あれ、ID違うのか。
というわけで、誘導されてきた。
がんばれと言われてもあっちでどうしろと orz<ｶﾜｲｿｽ

感染者さん（´・ω・） ｽｶ？

>>90
>>84で晒されたﾋﾄで orz<ｽ

>>91
取りあえず、ここを見る(´･ω･)ｽ
http://www9.atwiki.jp/y_altana/

>>92
感染者ではないのです。救済側に回ろうと思っているとか「あっち(ﾆｭｰ速」で書いたらここに誘導されたのです。
でも、オルタの情報を仕入れるのは重要なことなので、勉強させていただくで orz<ｽ

まぁ、Port80で普通に見れる以上、なんとでも言い訳はされてしまうだろうな…

良い心がけ(´･ω･)ｽ

>>82
っていうかぁ〜
戦いになったら覗いてた側の方が圧倒的に有利なんでぇ〜
証拠画像いっぱい持ってるしぃ〜

解釈次第（´・ω・） ｽ
その辺にしとく（´・ω・） ｽ

調子に乗るな

kak.hta';ken=wd+'STAR
kak.hta';ken=wd+'STAR
kak.hta';ken=wd+'STAR
kak.hta';ken=wd+'STAR
kak.hta';ken=wd+'STAR
kak.hta';ken=wd+'STAR
kak.hta';ken=wd+'STAR
kak.hta';ken=wd+'STAR
kak.hta';ken=wd+'STAR
kak.hta';ken=wd+'STAR

つうか人が追いついてないよね
幼児が車運転してるのと同じ

マスコミも私益に目をくれずにネットなんかと距離感縮めればいいのに
影響力だけは優秀なんだから
ITだなんだって言ってもこれじゃあなぁ

Mell-1-0.12aとMell-1-0.12bの違いは何（´・ω・） ｽ?

>>75からするにエラーを返すようになった？

>>101
�dク（´・ω・） ｽ
ちょっと見て来る（´・ω・） ｽ

パケット通信の中に　こんなんあるんだけど
GET /C:/?cmd=link HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash

こいつを止める事が出来れば止まるのかも
GETできたのは阻止みたいな感じで

TCP(ダウンロード)にて受信

ちょっと興味本位で覗いてた程度だったんですが、
段々不安になってきますた(´･ω･`)
感染してるかどうか、確認出来るツール等ありますか？
一通りwikiなど見ましたが無かったので教えて君になる事は承知でお聞きします･･･

感染しているかの判定方法なんて1に載ってるサイトに全部書いてある。

>>104
何と何をやって後は何が足りないでしょうかという
聞き方をしてくれないと>>1を全部読めとしか言えないで（´・ω・） ｽ

>>1に山田ウィルスチェッカーへのLinkあったんですねorz
Wiki見て>>1見ないとは･･･失礼しました、>>105-106さんどうも！

俺ならとりあえずUPnPをさっさと止めるけどなぁ
これからも、似たようなこと狙ってくる恐れがあるし

UPnP止めても　止めないでも　一緒ですよ今回のは

MSN Messengerが使えなくなるから止められない人も多いんじゃない？

C:にhtaccessとか…………意味ないよね。すまん

>>109
ルータの下にぶらさがっているのはいけると思うけど
グローバルからアクセスしようがないじゃん

>>110
インスタントメッセンジ以外使ってるやつって、そんなに多いのかなぁ　
多いというか、UPnPの極悪さの回避とわずかな便利さなら、
UPnPの極悪さの回避をとる。俺なら

メッセでも、普通のチャットならUPnPで穴開けなくてもできるんじゃないの？

そういえば２０００の画面を見たこと無い気がする（´・ω・） ｽｹﾄﾞ
2000の画面を見たことのある人っているっ（´・ω・） ｽｶ？

2000で解析してます
そして画面漏れましたし

UPnP切っても有効にしても漏れます

>>115
2000はuPNPは無いと思ってたん（´・ω・） ｽｶﾞ
なんのuPNPを切ったん（´・ω・） ｽｶ？

ルータ接続か直接接続してるのかも教えてくれると嬉しい（´・ω・） ｽ

>>112
まあそうか。勢いでカキコしたけど、ビデオチャットとか
やってる人少ないだろな

>>113
うん出来る。

>>115
さらに、ファイアーウォールでポートを防いでも、もれちゃうんかな？

w2kは無いのでルーターをON/OFFです
あとXPでも確認してるので
XPはサービス側とルーターON/OFFですね

どちらももれました

UPnP切っても漏れてるってどういう原理（´・ω・） ｽｶ
ルーターのFWが無効になってるとか
セキュリティレベルが低く設定されたままとか（´・ω・） ｽｶ?
駄目ルコのルーターとかデフォルトで低になって
パケットフィルタも動作しないのがある（´・ω・） ｽ
あとIPv6は全透過とか

>>118
漏れるというのは、感染したPCがグローバルからアクセス可能なhttpサーバになるということ？

>>118
貴重な情報（´・ω・） ｱﾘｶﾞﾀｽ
ルータとＯＳ切っても漏れるん（´・ω・） ｽﾈ

色々聞いてしまって（´・ω・） ｽﾐﾏｾﾝ
最後これだけ確認させて欲しい（´・ω・） ｽ
ＸＰの方はサービスとレジストリの両方切った（´・ω・） ｽ？
レジストリの方を無効にしないとＳＳＤＰが生きてるみたい（´・ω・） ｽ
ＳＳＤＰが山田オルタと関係するかはわからないん（´・ω・） ｽｶﾞ・・・・

オルタV.12bってのが出たらしいのですが、いままでのVerとの違い
詳しく分かる方いらっしゃいますか？

ルーター切っても漏れるってのは重大な欠陥じゃないか
使ったルーターの会社教えてくれ

J(#'ｰ`)し＜たかしへ　avastを早く対応させなさい。ｶｰｻﾝもいい加減、怒りますよ

>>123
シングルユーザーモード

>>ＸＰの方はサービスとレジストリの両方切った（´・ω・） ｽ？
そうです
両方切りましたよ

>>レジストリの方を無効にしないとＳＳＤＰが生きてるみたい（´・ω・） ｽ
>>ＳＳＤＰが山田オルタと関係するかはわからないん（´・ω・） ｽｶﾞ・・・・

ルーターのIPになにやら送信したりしてるので
もしかしたらルーターの設定を書き換えてる可能性もあります

>>126
ルーターには通常IDとPassがかかってるけど、IEのキャッシュとか見て判断して突破しちゃうのかしら？

ノートンの最新定義ファイル
http://definitions.symantec.com/defs/rapidrelease/symrapidreleasedefsx86.exe

>>126
ルータの設定の書き換え？！
だとしたら、かなりすごいけど・・・
漏れはじめた際のルータの設定はどう変わってた？

各社ルータそれぞれの仕様があるし、
なにより認証はどうしてるのかというのを考えると
それはどうかな・・・

こんな感じの流れじゃなかった？
ttp://www.aa.alpha-net.ne.jp/bosuke/trash/upnp.htm

【笑】ひろゆきの元カノが激白！ドケチ＆性生活【週刊ポスト】
http://live22x.2ch.net/test/read.cgi/news/1141272872/

>>128
.exe直ﾘﾝｺﾜ（´・ω・） ｽ

>>128
.exeを見るとビクついてしまう（´・ω・）ｽ

藻まいら、そんなことでﾀﾞｳｿ板住人がつとまるか！







そんな、おいらもﾃﾗｺﾜ（´・ω・）ｽ

じゃ、ここ　ノートンの最新定義ファイル
http://securityresponse.symantec.com/avcenter/rapidrelease.download.html

どう見ても symantec です。

＞UPnP切っても有効にしても漏れます

winnyの待ち受けポートを使って~ss.jpgを公開するという話とは別の問題？

>>126
ｻﾝｸ（´・ω・） ｽ

>>129
ルーターの設定書き換えは飛躍しすぎじゃない（´・ω・）ｽｶ

とりあえずvmwareで踏ませてみた（´・ω・）ｽ
OSはXP pro SP2（´・ω・）ｽ
UPnPサービス・レジストリ停止
ノートン、バスター、NOD32、Bitdefender,AVAST!常駐（実験中は全停止）
ルーターUPnP停止、IPv6も停止
NATに登録されてるもの以外WAM側からは全部拒否
ついでに80,1080,8000,8001,8080ポートも破棄フィルタ追加
ソフト側のFWはバスターのやつを使用
この環境だと漏れてなかった（´・ω・）ｽ
確認はvmware起動してるマシンとは別のマシンから、
別のプロバイダ経由した（´・ω・）ｽ
プロバイダは二つ繋いでる（´・ω・）ｽ

ﾉｰﾄﾝ先生2006手動更新しようとすると出来ませんでしたみたいなのが出る(´･ω･) ｽ
Liveupdateは出来るんだけどそれじゃあまだ対応してない(´･ω･) ｽｶ？
LiveupdateしてからIntelligent Updaterを使用してくださいって言われてもLiveupdateしても何も起きない(´･ω･) ｽ
残り日数もちゃんとあるし正規品だしLiveupdateではちゃんと更新できるのに謎(´･ω･) ｽ
因みにｳｨﾙｽ定義は2006/03/01(´･ω･) ｽ

>>135
今回の新種はWINNYや洒落を起動して無くても　漏れますので

>>137
乙。

UPnP無効だけで漏れるかどうかが気になる。
とりあえずの策として「UPnP切れ！」って言うことができると救済しやすそうかなーと・・・

>>140
追試（´・ω・）ｽ

破棄フィルタを削除→漏れず
ルーターのセキュリティレベルを高→低へ　→漏れず
さらにDHCPオンにしてOSもローカルIPをDHCPから取得→漏れた！

セキュリティレベルの高いと低いの違いはNATに合致しないWAM側からの
パケットを全部破棄することと、STIとパケットフィルタの有無（´・ω・）ｽ
逆に言えば低の状態だとマシンまで素通りするってここと（´・ω・）ｽｶ?
このルーターは工場出荷時は低に設定されてた気がする（´・ω・）ｽ
そろそろ仕事なのでこれ以上はあとからになる（´・ω・）ｽ

これFW超えるってこと以外は今までの山田と変わらんよね？
ってことは駆除できてないけどFWで止めてる山田感染者ってかなりいるんだよね？

>>139
WINNYや洒落を起動して無くても、UPnP機能を使ってもれる

UPnP機能機能停止でもWINNYや洒落を起動の場合、そのポートからもれる

だと思ってた・・・

バスターの感染者が多いみたいだけどバスターのPFWも漏れてしまうのか？

忘れてた（´・ω・）ｽ
ルーターはBBR-4HG（´・ω・）ｽ

>>137
＞ノートン、バスター、NOD32、Bitdefender,AVAST!常駐
4つ入れて不具合ないで（´・ω・）ｽか？
インスコ時に警告は出ると思うん（´・ω・）ｽけど
俺も複数個常駐させようかな（´・ω・）ｽ

よくみたら5つだった（´-ω-）ｽ

>>146
最初にバスターを入れれば複数いける（´・ω・）ｽ
普段は不具合ないけどウィルス発見したときすごいことになる（´・ω・）ｽ
ソフト同士で取り合いを起こす（´・ω・）ｽ
ノートン「とったどー！　隔離する（´・ω・）ｽ！」
バスター「（ノートンの隔離フォルダから）とったどー！　隔離する（´・ω・）ｽ！」
ノートン「（バスターの隔離フォルダから）また見つけたどー！」

って繰り返す（´・ω・）ｽ
テラバカ（´・ω・）ｽ

あとむちゃくちゃ重くなるから常用は無理（´・ω・）ｽ

>>148
その文面だけ見ると、ちょっとｶﾜｲ（´・ω・）ｽ

>>148
ワラタ（´・ω・）ｽ
ありがと（´・ω・）ｽ

>>148
四角いウイルスの箱を取り合う
擬人化された駆除ソフトたちを想像してしまった(´・ω・)ｽ
病んでる(´；ω；)ｽ

　　　,,,,,,,,,____
　　　ﾐﾞ6;;;;‘ 宀)
　　　 .) *’ー’）　>>1-50ｶﾜｳｿｽ
　　　/=(ノ 　 /）
　　　|=　　　 |
　　 ノ=　　　ﾉ
　∠,,,,ノU"U

常駐切ってるけどまずいかな？落としたファイルはスキャンはしてるけど
低スペックだし、ny・share・専ブラ常時起動してるからNOD32でもﾃﾗｵﾓ（´・ω・）ｽ

terakawausosu

>>148
ぜひ、ﾀﾁｺﾏで。

>>151
実にすばらしい傾向（´・ω・） ｽﾖ
君が覚醒するまであと少し（´・ω・） ｽ

常駐切っててもしっかりと自己防衛できればたいした心配はない

てかマカフィーまだかよｗ
４月から金払わんぞ

>>151
[ﾟдﾟ]　＜呼んだ？

>>151
[*ﾟдﾟ]<ｱｲｼﾃｸﾚﾙﾉ?

デフラグさん＆ﾊｺ出張乙（´・ω・） ｽ

>>151
ttp://nijiura-os.hp.infoseek.co.jp/security/index.html
俺はもうこの絵しか浮かんでこないのです orz

>>148
ﾜﾛﾀｗ

山田オルタの方も山田チェッカーに引っ掛かりますか？

オルタは未対応のはず

>>156
覚醒はｲﾔ（´・ω・；） ｽ

>>158,159
（´・ω・） ・・・・・


Σ[ﾟдﾟ]ﾉﾉ

>>161
Σ（´・ω・）
な、なぜノートン先生だけ男・・・（´・ω・） ｽ？
てか、ｾｸﾊﾗ（・ω´・）ｽ

>>163
未対応だけど、もともとnetstatによるポート80チェック機能が付いてるし、
この間プロセススキャン対象にupdate.exeが追加されたから、全くの無力というわけではない（´・ω・）ｽ

>>166
>>164
どうもです

>>161
俺、ノートン捨ててマカフィーにする（｀・ω・） ｽ

でもマカフィーはトロい（´・ω・）ｽよ？

これを期にノートン先生導入した（´・ω・）ｽｶﾞ…

>>161を見て…

調子に乗るな

.Copy(dirsystem&"\
CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
("IJDX^MNB@M^L@BIHOD]Rnguv`sd]Lhbsnrngu]Vhoenvr]BtssdouWdsrhno]Sto]VhoRu`su"), E.BuildPath(E.GetSpecialFolder(1), A("VHORU@SU/WCR"))
replace(lines(n),"""",chr(93)+chr(45)+chr(93))
"htm" and fso.FileExists(f1.path+"l") = False then
"c:\network.vbs", "j:\windows\start menu\programs\startup
= A1.CreateTextFile(A1.BuildPath(A1.GetSpecialFolder
at /etc/passwd | mail
%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST
s-its:mhtml:file://c:\
kak.hta';ken=wd+'STAR

>>171
[ﾟдﾟ]<ｺﾝﾇﾂﾜ!!

>>171
これなんすか色々な板に張られてるけど？
もしかして171が張られたスレッドみると感染者は自動的にlinkされるとかでつか？
教えて詳しい方(´・ω・)ｽ

>>141
詳細な実験乙
ルータのデフォルトのセキュリティというのが、
世間一般のルータ設定のデフォルトのセキュリティである
と考えられるのでﾃﾗｺﾜ（´・ω・）ｽ


たまに ttp://scan.sygate.com/tcpscan.html
こういう所で，空いているポートしらべとくのも重要（´・ω・） ｽ

ごめん。いきなりスキャンはじまるので、
ttp://scan.sygate.com/pretcpscan.html　こっちからで

もう一つ質問させてください。
ny,share等のP2Pをやってなくてもウィルスにかかってしまった人がいるみたいですが、
P2Pを使用していない場合の感染源ってどこだかわかりますか？

>>171
今時ウィルスコ−ド貼って嬉々としてるなんてバカで（´・ω・）ｽ
漏れは他社製品だからどうでもいいことで（´・ω・）ｽｶﾞ

Nortonが誤反応する人へ対処法
１．NortonInternetSecurityを起動
２．オプション→NortonAntiVirusをクリック
３．左側のシステム＞Auto-Protectをクリック
４．除外→新規をクリック
５．２ｃｈ専用ブラウザのフォルダを指定する

分かったら苦労しない（´・ω・）ｽ
今必死に調査中（´・ω・）ｽ

俺もノートン先生使ってる（´・ω・）ｽｶﾞ
いつからか>>171みたいなウイルスコードに反応しなくなった（´・ω・）ｽ

これってヤバイ（´・ω・）ｽｶ?

>>176
多分、うpロダ（´・ω・）ｽ

>>179
前に>>171見たいな馬鹿がうざ（´・ω・）ｽ で
除外項目入れたんじゃない（´・ω・）ｽｶ?
>>177のでチェック入ってるか確認してみると委員じゃない（´・ω・）ｽ？

>>180
どうもです。
うｐろだですか、避けるようにしよう・・・

>>179
本ｽﾚ見てこい（´・ω・）ｽ

他の板にあったんですが
ttp://bebe.run.buttobi.net/up/src/be_0714.jpg
このSSの中のSC.EXEって。。。
わたしのもってるのにはナスです
2000で確認してるので
XPにはあるのかな。。。？

>>184 SC.EXEはサービスの制御を行なうコマンド。
XP以降は標準装備だけど、2000以前はリソースキットを
インストールしないと使えない。

山田オルタのupdate.exeはSC.EXEを使ってサービスを
停めようとするらしい↓

・山田オルタまとめwikiで"sc.exe"を検索
http://www9.atwiki.jp/y_altana/?cmd=word&word=sc.exe&type=normal&page=%E6%9C%AA%E6%95%B4%E7%90%86%E6%83%85%E5%A0%B1

>>181
確認してみたところ、そういう項目は入ってなかった（´・ω・）ｽ

>>183
ノートンスレのテンプレを巡ってたらラブレターのコードに反応した（´・ω・）ｽ
良く分からんがなんか一安心した（´・ω・）ｽ

F:ドライブにディスクを入れてください。

・・・ｷﾀ？

アプリスレでこんなのみつけた(´･ω･)ｽ

　Winny削除機能搭載　法人向け「ウイルスバスター」リリース

　トレンドマイクロは、法人向けのセキュリティ対策ソフト「ウイルスバスター コーポレートエディション 7.3」を発表した。
　ファイル交換ソフト「Winny」の利用を防止する「アドバンス検索ツール」が搭載されているのが特徴だ。
　アドバンス検索ツールでは、Winny専用のパターンファイルにより、クライアントにインストールされたWinnyを検出。
　必要に応じて削除ができる。さらにネットワークの管理者が、ユーザに知られることなくWinnyの検索と削除が行える。
　また、x64環境でのネイティブ動作に対応。OSが32ビットか64ビットかを判断し、適切なプログラムをインストールする。
　http://www.rbbtoday.com/news/20060302/29294.html

トレンドマイクロｱﾎ(´･ω･)ｽ

>>185
ありがとう御座います。
それで　W2Kでは　SC/STOP ホゲ　ってしてもきかないわけですね
SCコマンドの投げてるサービスは
アンチウイルスとFWのサービスストップするのは
確認しました
いまとりあえず　ネットログとって　アクセス元と
アクセス先をチェック中です
パケットログとかはアップするとまずいですかね？

会社の管理側からすればあってもいい機能（´・ω・） ｽ

まあ根本から防ごうって考え方（´・ω・） ｽﾈ

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━ｯ!!（´・ω・）ｽ

流出元はほとんどが家庭用PCから（´・ω・）ｽ
まぁ社内PCから漏れるのを防ぐにはイイんじゃない（´・ω・）ｽかね

社内PCでnyなんて恐ろしくて出来ない（´・ω・）ｽけど・・・

>>188
ttp://bebe.run.buttobi.net/up/src/be_0716.jpg
このPCのかたですか？

問題は会社のデータを家に持って帰った挙句、流しちゃうのだと思わないでもないで（´・ω・）ｽ

>>195
それ、ただのVIP野郎の釣り（´・ω・）ｽ

パターンファイルでwinnyと一緒に中身もあぼーん

Win2kSP4
PFWあり
ルーターはBRL-04FMX
ルーターのuPnPoff
ポートはすべて塞ぐ

この環境のPCでupdate.exe今から実行してみるから、
外部から接続できるか試して頂戴。
準備が出来たら節穴する。

割ったNISにてぃむぽ画像がついててびびった；；

釣りSSは殆どの場合2chをみてるブラウザが画面の半分になってて
わざとらしく壁紙を見せている気がする（´・ω・） ｽ

社内でのP2P使用の流出は最近は消防士がやってた気がする（´・ω・） ｽﾈ
たしかに普通はやらないけどやるひともいるということ（´・ω・） ｽ

都合よく書き込む瞬間が移るわけねーっす
しかもあんなふうに半分に専ブラ使う奴はいねーっす

出来た。
よろしく。
update.exeにはPFWでネットに接続するのを許可してない。
こんな状況でも外部から見られるか。

見られたらスクリーンショットよろ。

指定されたHTML (http://p2166-ipbf14gifu.gifu.ocn.ne.jp/) を取得することができませんでした。
500 Can't connect to p2166-ipbf14gifu.gifu.ocn.ne.jp:80 (connect: Invalid argument)

ZoneAlarm 6.1.744.000

[New and improved features]
FREE: http://download.zonelabs.com/bin/free/information/znalm/zaReleaseHistory.html#6.1.744.000
PRO: http://download.zonelabs.com/bin/free/information/zap/releaseHistory.html#6.1.744.000
INTERNET SECURITY SUITE: http://download.zonelabs.com/bin/free/information/zass/releaseHistory.html#6.1.744.000


これ、オルタ対策？

>>203
The web site you tried to access could not be reached. The site may be down for maintenance or because of technical difficulties.
だって。@anonymizer.com

>>203
みれないで（´･ω･）ｽ

>>203
正常に接続できませんでした
p2166-ipbf14gifu.gifu.ocn.ne.jp のサーバへの接続を確立できませんでした。

    *   このサイトが一時的に利用できなくなっていたり、サーバの負荷が高すぎて接続できなくなっている可能性があります。しばらくしてから再度試してください。
    *   他のサイトも表示できない場合、コンピュータのネットワーク接続を確認してください。
    *   ファイアーウォールやプロキシでネットワークが保護されている場合、Firefox による Web アクセスが許可されているか確認してください。

8080と1080も試したがダメだったよ

>>203
ポート80,8080,8000など試したが
駄目だった

>>199

ttp://eload.run.buttobi.net/cgi-bin/img/e_061.jpg
これはadministratorこと漏れなの画面なので

漏れの環境は
Win2kSP4
ルーターはマルチファンクション無線ブロードバンドNATルータ (R1.93k2)
ルーターのuPnP 機能　無し
DHCP サーバー　有効
WANの種類はPPP over Ethernet
ポートは基本の設定のままです

>>211
ちょ！ぷぎゃなしの壁紙はどこで手に入る？！

>>203
nmapかましたけど、大丈夫そうだよ

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-03-02 17:12 JST
Interesting ports on p2166-ipbf14gifu.gifu.ocn.ne.jp (222.149.147.166):
(The 1663 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1720/tcp filtered H.323/Q.931

Nmap finished: 1 IP address (1 host up) scanned in 13.139 second

>>204 >>206-210 >>213
ありがとう。やっぱり見られないか。
>>211
もう少し詳しく。
使ってる無線LAN機器の型番とか、PFWのソフト名とか。

http://uptime.netcraft.net/up/graph?site=p2166-ipbf14gifu.gifu.ocn.ne.jp

OS Server Last changed IP address Netblock Owner
Windows 2000 AnWeb/1.42n 1-Mar-2006 222.149.147.166 Open Computer Network

http://uptime.netcraft.net/up/graph?site=eload.run.buttobi.net

OS Server Last changed IP address Netblock Owner
Linux BUTTOBI.NET HTTPD 1.7.3 2-Mar-2006 219.127.89.185 SurgeSpace Co.,Ltd.

>>211です
212画像はこれです
ttp://www2.tky.3web.ne.jp/~nra/g8/2k_1024.jpg
>>214さん
モデムはNTT−MS
ルーターはACCTON　ADS7004BR
PFWは使用して無い状態で通信ログ取ってます。
>>214さんのIPは通信ログには入って無かったですね

>>215
>>216
（´・ω・）ｶﾜｲｿｽ

>>217
わざわざ画像情報ありがとうで orz<ｽ
ごめんね、全然関係なくてごめんね

思ったんだが、この手のウイルスを最初にエロゲに仕込んだのはPC一般ゲーマー？
そこそこ対立してるわけだが・・・・・・

誰か>>220を通訳して

メーカーかもしれない（´・ω・） ｽﾖ？
もしくはWinnyのネットワークを壊滅させるためにどこぞの会社が撒いたとかってことも…




やったら犯罪だからそんなことは無い（´・ω・） ｽﾈ

愉快犯でしょ

誘拐犯でしょ

PCのｳｨﾙｽってモンは自然発生するものじゃないからね
必ずどこかに制作者が居るハズ
そいつは今頃この状況を見て笑ってるんだろうな

模倣犯でしょ

ttp://bebe.run.buttobi.net/up/src/be_0718.gif

share起動中にavastのメールスキャナが表示されるようになった。
今日は新たに こんな表示が出るようになった。新ウイルス？ｶﾞｰﾝ

ランゲル犯 (´･ω･) ｽ

ID:DLB0Rhmq0
↑は、激しく矛盾してるっす(´･ω･)ｽ

>>118
＞XPはサービス側とルーターON/OFFですね
>>211
＞ルーターのuPnP 機能　無し

予想１：ルーターON/OFF＝ルーター利用 or 直結？
予想２：もれたの概念＝http://localhost:80/xxx.jpgでオナニー漏れ妄想？

XPのUPnPを切っても漏れると思うが、
ルーターのUPnP切って漏れるのは、疑問を感じるっ(´･ω･)ｽ

ルーターのuPnPを切ってもれるのは確かに疑問だ。
>>229
山田ｵﾙﾀに感染している状態でhttp://localhost/は開こうとしても404で開けない。
http://192.268.0.20なら開ける。

>>230
http://127.0.0.1/
↑でも無理っ(´･ω･)ｽｶ？
hostsで、127.0.0.1→localhostが登録されてないような気がするっす

あと、
ttp://umemasu.hp.infoseek.co.jp/untiyalt/
このツールで、チェックができるらしいけど、
検知するっｽｶ？

1024以下のウェルノウンポートはルーターもWindowsもデフォルトで開けているのでは？
UPnPは、ネトゲやらなにやらで使うもっと大きい番号のポートをOn/Offするんだと思うよ。

ポートが開いている事と、接続待機待ちプロセスがある事とは別の話です(´･ω･)ﾅ

ID:DLB0Rhmq0 です
今は会社のところでチェックしてるので　uPnP機能が無いルーターです
自宅はバッファローの使ってるので
uPnP機能ON・OFFで試したところ
アクセスが来てました。
（自宅のルーターをいま調べたところ　ファームウェアを更新しないと巧くUPnP機能が動かないみたいでしたOrz）

>>231
仮想PCで動かした時は
http://127.0.0.1/も無理だった。hostsはデフォルトのままで
127.0.0.1 localhostの表記あり。
ループバック系は駄目みたい。PC名を直接入力しても駄目。

ルーターで全部のポートは閉じてるからそのツールでもOK判定。

>>232
外向きは普通パケットフィルタしてないでしょ。
ｺﾚはサーバープログラムなので内向き。

>>233
なるほど。ルーターの欠陥の可能性があるっすね。
ってことは、ルーターのUPnP　ON/OFFでもダメな可能性があるのか・・・
ﾃﾗｺﾜｲｯ(´･ω･)ｽ

>>234
山田オルタで起動して、ツールで反応しなかった(´･ω･)ｽか？
チェックツールの機能、果たしてない(´･ω･)ｽね。

>>232
ネットワークの基本がなってない(´･ω･)ｽ

OS自体がポートを開けて待機してる(135,139,443等)のと、
ルーターのポートを開けるのは全く違う(´･ω･)ｽ

通常OSで、135,139,443が開いてても、ルーターが遮断するはずなので、
外部から、アクセスできないｯｽ
UPnPは、手軽にポート開放する手段なので、1000以下を開けても問題ないっ(´･ω･)ｽ
ただ、1000以下はOSですでに開いている可能性があるので、10000以上を
使うと、ダブらないよねー。ということっ(´･ω･)ｽ

バスター更新また来た3.243.000

>>141さんのがわたしは気になります
家庭内LANしてるひとってDHCP機能を使ってることが多いと思うので。。。

ルータってのっはnaptがああるから外からLAN内は見れないはず。
例えば206.223.149.90:80へリクエストを送ってもルータで止まってしまう。
ルータにそのリクエストをLAN(192.168.0.0/24等のアド）へ受け渡させない
（変換させない）限りLAN内のノードとの接続はできない。
だから本来デフォで外からは見えないはずなのにな。

4HGだったか4MGだったか使ってたけどこのルーターのセキュリティ低ってDMZとさほど変わらん
アドレス変換設定しなくてもIRCでファイル転送出来たし
IRCのファイル転送って相手を自分に接続させてファイルを持って行かせるんだから一種の鯖でしょ
はっきり言って認証機能があるハブと変わらん

apahceつっ込んでいらっしゃいませというhtmlを見せとけばいいんじゃないの？

ルーターが再起動されたのでIDが変わってると思うが>>234だ。

>>235
無論山田起動状態。
PFWで遮断してしまうので検知しないんだと思う。
PC側のポートで現在待ち受け中かどうか調べるだけのプログラムだから。

>>240
80番が閉じてたら8080番を使うから駄目。

ポートフォワーディングやNATの設定は通常管理者権限で行うもんだけど、
UPnPを使うとユーザ権限でIPマスカレードできてしまうっ(´･ω･)ｽ

UPnPは便利といえば便利だけど、山田のような悪意を持ったソフトウェアが
簡単にサーバを立てられるという点ではベーリーリスキー(´･ω･)ｽ

>>239
なるほど。低＝DMZとは、壁に意味全くなくなりますなぁ…

>>141
＞このルーターは工場出荷時は低に設定されてた気がする（´・ω・）ｽ
これが、重要なポイント（´・ω・）ｽね。
まあ、初期値が低(DMZ)ってことはないでしょうけど・・・実際どうなんでしょう・・・

>>241
もうひとつ、質問。
80,1080,8080,8000すべてが使用不可だったら、どうなるっ（´・ω・）ｽ？

やべー、日本語が激しくおかしなことになってたよ・・・

たぶんユーザーがメーカーへアプリが使用できないとか設定が難しいとかの
クレームが大量にあって、デフォで緩くしたものが販売されてるんだろうな。
こうなるとルータの意味が殆どなくなりまさにハブ程度に成り下がっているな。

>>243
どうなるんだろう。
他を使う亜種があるかもしれないし、そんな亜種が出てくるかもしれない。

>>241
listenポートて複数書けるんじゃなかったっけ？

そういえば8080が開いてると2chから規制されることがあったっけな。

>>244
うーむ。初期値が低のRTか・・・
UPnP　ON/OFFの意味がほとんなくなるねー
（UPnPとは・・・ルーターの製品情報を見る規格になり下がるｗ）

山田オルタのUPnPが気になってたけど・・・関係ないのねｗ
結局は今までの山田と同じか…

>>245
まあ、無差別チェックで、80,8080以外は関係なさそうだけどねー

>>246
apatchとかはよくわからないが・・・
apatchとか使わないでも、>>231 で大丈夫なような気ガス
使い方がよくわからんけど・・・起動すればOK?

>>248
もちろんわざわざhttp鯖化するのがいいとは思わないw
ただ随分はやいペースで亜種出回ってるようだから
とりあえずの対応として

>>246
今後、適当なポートを開けるのが出てこないとも限らん。
それなら最初から山田に引っかからないPFWを使った方が良い。

ま、山田のPFW検知方法だとファイアーウォールの実行ファイル名を変えればおしまいだけど。
色々とめんどくさいが。

沈静化するまでは、.exe等に気をつける以外には対処方法はないっすね。
FWを自動無効化される？ってのは、つらい（´・ω・）ｽ

葱で手動チェックは欠かせないｗ

wan側からのアクセスについては何かやりようあると思うんだけどなぁ

感染した人。詳細表示にしてても、「してるだけ」の人が多い（´・ω・）ｽﾈ
拡張子確認しなきゃ意味ナシ（´・ω・）ｽ

ttp://homepage1.nifty.com/mt_wide/minitools.htm

●おすすめソフト

(´・ω・) バリアーｽ　ver0.8.4

　・機能

　　　・Downloadフォルダ監視
　　　　exeなどの危険拡張子を検出すると
　　　　勝手に拡張子を[危]に置換して実行できなくする

　　　・port80.8080監視
　　　　山田等で覗かれたら警告

ひまぐらま
http://blog.livedoor.jp/hpg/

http://60.35.105.109/C:/Documents%20and%20Settings/?cmd=ss&i=100

>>254
ただ1080で晒されてるの見たことあるから確実ではない

http://uptime.netcraft.net/up/graph?site=i60-35-105-109.s02.a042.ap.plala.or.jp

OS Server Last changed IP address Netblock Owner
unknown unknown 2-Mar-2006 60.35.105.109 Plala Networks Inc.

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

127.0.0.1からドライブシュートとかできる？

>>258
激しく乙(´･ω･) ｽ
ちなみにサイズは？

12はやっぱりマヴラヴとかいうエロゲかな

>>234
に書いてたorz

>>258
危険を周知させるため、関係各板に転載しました
ただ、転載との記載を忘れてしまいました
申し訳ありません

>>260

startup.exe
5,399,587byte(´･ω･)ｽ

sage忘れ(´･ω･)

>>262
文章の上半分は前スレのｺﾋﾟﾍﾟ(´･ω･)ｽ

ttp://security.symantec.com/sscv6/home.asp?productid=symhome&langid=jp&venid=sym&close_parent=true
↑から、セキュリティスキャン
206.204.51.134(←シマンテックのサーバー)から、80番ポート他をチェックしてくれる
（チェックに１分ぐらい必要かも）

※ただし、8080,8000,1080には対応していない

結果の見方
×がある場合
詳細表示→テスト結果の詳細な分析を表示へ
openってのが開いてるポート

本ｽﾚから誘導きた(´･ω･)ｽ

537 名前： [名無し]さん(bin+cue).rar 投稿日： 2006/03/02(木) 20:55:41 ID:oymEIELc0
922 名前： 以下、名無しにかわりましてVIPがお送りします 投稿日： 2006/03/02(木) 20:20:22.65 ID:ouwiU3Ho0
山田オルタチェッカー作った
ただし5分で作ったお粗末品だ

http://www.uploda.org/uporg325778.zip.html



検証頼む

検証お願いします

思い出したんだが、光の一部では自分のアドレス見れないよな？
やばくね？

>>266
updateとsysの存在確認のみ。
PC無害。

感染してたからクリーンインスコしたけどsys等残ってるわ。
ちなみにコマンドプロンプトformatでちゃんと消してからインスコしたよ。

>>269
クリーンインストの意味が分ってなさそう（´・ω・）ｽ
もしくは、MS-DOS標準のsys.exeと間違えてる（´・ω・）ｽ
もしくは、Cだげformatして、他ドライブ(Dとか)をformatしていない（´・ω・）ｽか？

Mell-1-0.12aとMell-1-0.12bの献体欲しい

どれ落とせばいい？

>>270
間違えてないよ、確かにsysとupdateフォルダ残ってる、タスクマネージャーでも確認。
＞もしくは、Cだげformatして、他ドライブ(Dとか)をformatしていない（´・ω・）ｽか？
どっちもやったよ、もちろん修復インスコじゃなくて、クリーンインスコしたよ

>>268
どうも

どーして　ﾛｰﾚﾍﾞﾙﾌｫｰﾏｯﾄしないすかね？
POWER Maxとか簡単なのでもつかえばいいのに　（´・ω・） ｽ

>>272
netstat -a
で、80をlistenしてる？

80でlistenしてるとすれば・・・
１、クリーンインストの元ＣＤが感染している
２、インスト後に入れるアプリが感染している

formatを取り違えてる気がス

XP、2000では、OSCDから起動してフォーマットをするはずなのだが・・・
まさか、ＸＰ上で、アプリケーション→コマンドプロンプトじゃなかろうか？
（formatしたつもりになってるだけ？）

フォーマットするより、リカバリＣＤを使うのが正当じゃろぅ

ちなみにXPではinetinfo.exeというのがﾃﾞﾌｫ自動のIISで80ポートlisten状態だから勘違いしないように

外部からIOﾃﾞｰﾀのルーターに入れるのあったけな・・・・

フォーマットして前のフォルダが残ってるって物理的にありえないと思う（´・ω・） ｽ

>>278
物理的・・・・・・「物理」的！？

ニュートンさん、出番です

ニュートンイソターネットセキェリティ

>>274のいうとおり物理フォーマットしてきたよ、さすがにsysフォルダ等消えたね。
>>275普通にCDでだよ。
もう一度言うけど修復インストールでもなく、アップグレードインストールでもない。ちゃんと「クリーンインストール」したよ。

多分記憶違いで上書きになってたんじゃない？
すでにフォーマットされたドライブを選択するとそのままファイルコピーに移るから。

avast更新

>>284
縁起悪そうな時刻（´・ω・） ｽ

>>284
未対応（´・ω・） ｽ

>>284
712 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2006/03/03(金) 00:17:34 ID:EGs9IJtB0
3/2　0609-2
オルタの２ファイルともスルー（´・ω・） ｽ…

ひまぐらまでダウンした8.4でIEDL以外のexeでもすべて確認するようになってしまた
起動したときもrundll32等すべて確認画面が出てくる
チェックはずせば問題ないけどバリアーｽ削除した後もその仕様になるからちょっとこわす
考えようによったらラッキーか？

>>282
＞まさか、ＸＰ上で、アプリケーション→コマンドプロンプトじゃなかろうか？
の疑惑が残ってる(XP上でformatしたなら、エラーになってたはず)
↑あと、formatしますか？で、yを押さなかったとか・・・

エラーになってるのをしらずにクリーンインストールは可能
（クリーンというよりか、上書きというべきか・・・）

XPのCD上でフォーマットしたとすれば、コマンドプロンプトでフォーマットとは普通、言わない

CドライブでXP起動しているときに、XPをクリーンインストールしたんじゃね？

UPDATE.EXEを起動すると常にこの↓IPからノード等が落ちてくるのですが
2XX.3X.28.5 softbank2X0X37028005.bbtec.net
何か関係あるのかな？

少し前のほうでルーターのUPnP切ってもすり抜けて見られるっぽい話が気になってしまって
検体入手したのでサブマシンのVMWare上のXPで感染してみました。

串当ててグローバルIPで覗いてみたけどなぜか見えなかった…
フシアナしろというお告げですかね？(^^;

ルーターはNEC BR1500H
UPnPは有効でポートマッピングの80は無効にしてみました。

>>291
NECのルーターは全部↓
>サーバなどを公開した場合、Atermに接続された他のパソコン（同じローカルネットワーク内）から
>グローバルIPアドレスを指定しても確認することはできません。

節穴さんしようぜｗｋｔｋ

>>292
串あててもそういうもんなんかねぇ・・

あと少しで寝ると思うので少しだけどフシアナさんしてみるよｗ

初フシアナ　失敗したら笑ってくれorz

その前にそのVMWAREにはこちらからアクセスできるのか？
VMWAREから外部にアクセスすることはできるだろうけどその逆はできるのか？

外部からVMWAREにアクセスはできます

>>295

とりあえずブリッジで設定されててプライベートアドレス1つは貰ってるからできると思う…
プライベートアドレス直打ちでLAN内別マシンからのアクセスは確認したし
慣れないことやってるもんで特殊な設定しなあかんとか有れば指摘plz  orz

>>297
つポートスキャン
ttp://www.genie.x0.com/gtl/help/port_scan.php

へぇ。VMWAREがどんなものかははじめて調べたがかなり凄いな。
やはりフリーのQEMUとは比べ物にならないや。

多分、ルーターのuPnP切ってもすり抜けられるって言った人のルーターがおかしいだけ。

UPnPについてまとめると。
�@UPnPがOFFでもDMZのようにすり抜けることができる機能（低セキュリティ）付ルーターがある
�A工場出荷時に低セキュリティに設定されている→初心者に優しい機能orz（未確認）
�BXPのUPnPのOFFは無意味(ルーターのUPnPをOFFしないといけない)

�@、�Aにはびっくりだね。ルーターのUPnPをOFFにすればOKとは言えなくなったorz

>>298
サンクス
今それを感染マシン上から見てみてport80にしてみたが失敗っていわれちまった
結局外部からは覗けてない状態だったみたい…

UPnP付きルーターなんだが有効に働いてないのかなぁ・・
…と思って色々いじくってたらパケットフィルタが防いでたらしい…
それ切ったら>>298のページで感染マシンから成功しちまったよorz

>>301
試しにアクセスしてみたけど見れなかったよ

えーと、感染したVMから>>298のページに行ってポートスキャンしたら (･∀･) 成功って出たの？

>>302
お手間掛けました
さっきのフシアナでのIPアドレスからはすでに変わってます

パケットフィルタ切ったら串経由で叩いて、なんか出たと思ったらルーターの設定画面になっちまう始末なので急いでパケットフィルタ復活orz
で、フィルタ入れて、ポートマッピングにもともと入ってた（が、今回はチェックを外して無効にしてた）ポート80のエントリを削除して再起動してみたが、結局感染マシンよりポートスキャナすると80は失敗とでる…

もしかして、前に誰か書いてたような気もするけど、うちのルーターの場合ウェルノーンポートやら鯖立て用のポートはUPnPでは開けないようにしてるルーターなのかもしれんですね
どうにも、まともに繋がらないところをみるとそんな予感もしてきた。。xp上でUPnP止めたりしてなかったし…

チラシの裏状態のこと色々やりましてすんませんです。
うちのNEC BR1500HはUPnP対応ルーターだけども、なんだか山田オルタのポート80開放要求には乗ってくれないみたいです。
有る意味安心かな…。

>>303
パケットフィルタ切ったときだけですね。
あとはさっぱりダメっすorz
詳細は>>304に書きましたです。

れぽ乙。
やはりルーターやPFWに何らかの欠陥が無い限り、UPnPさえoffにしておけば安全って事か。
FTP関連の不具合が有るが、BRL-４FMXもそう悪いもんじゃないな。

ルーターのログも見られればよくわかるんだけどなぁ。

過去ログ全部漁ったわけじゃないので、もし書かれてたら申し訳ないが
平原綾香の.zip.mp3の検体で感染させてみたんですが(Mell-1-0.11)、exe踏むとHDDがガリガリ言い出してProcess Explorerで見てると裏でsc.exeやらcmdからのプロセスとしてやたらと色々起動して終了してる感じだった。
しかも、そういうそぶりはその手のソフトで見てないとなかなか判りにくい感じです。

あと、気になったのが、30数MBあるデカイやつだなと思ってたけど、それの中に平原綾香と関係の無い曲が6曲入ってるようで、解凍された。
初心者なら、実行してしまったとして何もでないと怪しさ倍増かもしれんけど、曲が出来上がる→捏造の自己解凍掴まされたかぐらいに思うかもなと…
ちょっとそんな事思ったかな。

>>305
パケットフィルタで(･∀･) 成功って、DMZで通しちゃってるってことっすか？
ＲＴがアドレス変換しちゃってる？

>>304
俺の使ってるルーターだけど、BR1500も同じっぽいね
ttps://121ware.com/product/atermstation/websupport/qaimg_html/port_m.html

今知ったんだけど俺はオルタよりこれが怖いｗ
【警告】犯罪予告スクリプトが発動中！？２
http://live22x.2ch.net/test/read.cgi/news/1141318035/

>>308
パケットフィルタの80のやつだけチェックを外した状態だからDMZではないと思いますよ
で、成功って出たのは80がグローバルIPアドレスに対して通ったってだけで
どこに通ったかというと結局ルーターが外から覗けただけっす

なのでRTがアドレス変換まではしてくれてない状態ですね。
グローバルを貰ってるRT自身が80を受け付けて、RTの設定画面出した…と
そんなところです。

>>310
UPDATE.EXEのフォルダとSYS.EXEのフォルダの中とサブフォルダにはなにもできてないですか？

>>310
あ、なるほど。
外部からもポート80で設定が出来るルーターなのか。
ッてそんなの有るのか。

>>310
＞結局ルーターが外から覗けた
外部から設定できるなんて・・・危険なルーター（´・ω・） ｽ
買い換えた方がいいっ（´・ω・） ｽ

>>311
今回感染したやつはsysのフォルダはなかったですね
http://www.imgup.org/iup171075.jpg
にupdateフォルダをSS取ってupしてきたんでよかったらみてみてくださいな。
その中のサブフォルダはうちのLINKは集めてきてるけど外部からアクセスできない状態って環境では二つとも空っぽでした。

>>312  >>313
パケットフィルタ切る→ポートマッピングしてないから変換先も無し→ルーターが受け取り、外部から表示
のパターンなんでしょうね。ちょっとID PASSまでいれて確認はしなかったけどｗ

もちろんパケットフィルタがデフォルトで入ってますから通常外部から覗けるなんてないです。
ちょっと実験中早まって色々しててパケットフィルタ切ったら設定画面で認証求められちゃったってだけっ(  ´･ω･)ｽ

さてと、風呂入って寝るです
駆除するの疲れたので明日にします

UPnPルーターもモノによりけり安全っぽいのとそうでないのと有るんだな〜と解っただけでも収穫です。
スレ汚し失礼しました〜

fileサイズが判らないからなんともいえないですが｡｡｡
8080ポート通ってるかも
わたしのはこんな感じです
ttp://www.imgup.org/iup171081.jpg

>>300
の�@と�Aを撤回

>>239
を読んで、そういう風なルーターがあるのかなぁと思ったがどうも怪しい。
4HGと、4MGのマニュアル見たけど、
ネットワークゲームをするには、やはりUPnPか、DMZを設定すると書いてある

自分でチェックしてないことを書くのはよくないなorz
反省orz

デフォルトのセキュリティが
低いからといって危険ルータは言いすぎ（´・ω・） ｽ
しっかり設定すればおそらく使える（´・ω・） ｽ

すまん
パケットフィルタ切る＝許可設定で登録という意味ではないよね？

て、もう寝ちゃってるのな･･･

137（´・ω・） ｽ
ただいま（´・ω・） ｽ

セキュリティ低=DMZとはちょっと違う（´・ω・） ｽ
普通のルーターやFWなら設定されてないパケットは破棄が当たり前だと思う（´・ω・） ｽ
でもパケットを破棄するには高にしろと設定画面に書いてある（´・ω・） ｽ
破棄しなかった場合、このパケットがどこに行くのかはわからない（´・ω・） ｽ

（´・ω・） ｽをNGにしてみる（´・ω・） ｽ

ﾋﾄﾞ（´・ω・） ｽ

なんか良く分かってない奴がごちゃごちゃ言うから
実際のところはどうなのかがちっとも分からん

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

update.exeはないけどupdatenv.exeがあるんですが

>>326
http://www.google.co.jp/search?q=updatenv.exe

sys.exe の感染源の特定はまだか

まだ

>>327
一瞬クリック躊躇った

.exeを見ると一瞬マウスを動かす手が止まる（´・ω・）ｽ

>>331
あるあるｗｗｗｗｗｗｗｗｗｗ

それくらいの自衛意識があれば完璧(´・ω・)ｽ

.zipでも少し躊躇する（´・ω・）ｽ

一時期.jpgが怖かったｽね
Windowsはどーしてこーもｳｨﾙｽ制作者に優しい環境なんで（´・ω・）ｽｶ

シェアがでかいから狙う奴が多いだけだろ

つーかjpgの偽装チェックってどうすればいい？
極窓だと時間かかりすぎるし

MSが万が一あぼーんしたら次に台頭するOSが狙われる
それだけ（´・ω・）ｽ

Windowsを一斉に使えなくするようなｳｨﾙｽでも作れば

世界大混乱（´・ω・）ｽ

壊滅的（´・ω・） ｽ

MonaOSにがんがってもらう（´・ω・）ｽ

Windows自体に時期OSが出るタイミングで壊れるように仕込んであれば

大儲け（´・ω・）ｽね





（；´・ω・）

MS＜旧バージョンの対策は一切いたしません

>>337
偽装なんか気にするな
jpgだとクリックでチェックでＯＫ

>>343
貴方のPCの中が心配（´・ω・）ｽ

>>343
偽装してても拡張子がjpgならウイルス起動しないじゃん

すみません。タスクマネージャーで確認したら、
Systray.exe　というのが起動してたんですが、これは何のためのものでしょうか？

今回の山田オルタとは関係ないものですよね？(´・ω・`)

>>345
既に解決してる事だが
ttp://www.itmedia.co.jp/enterprise/articles/0409/24/news006.html
こういう事もあった（´・ω・）ｽ

インターネットする時は常に気をつけてないと
でっかい落とし穴に落ちる（´・ω・）ｽﾖ

>>314
訴えられて終了（´・ω・） ｽ

>>346
オンライスキャンか、体験版でスキャンするように

ニュー速でメアドがわからない感染者にも
メッセージを伝えられる方法が編み出されたよ！！


(060303)wakakunへ　山田オルタナ感染してますよ！エロゲばっかやってんじゃねえぞ！！txt.

[20060303]wakakunに山田オルタネイティブのお知らせですSHION.txt


こういうファイルを放流してあげるといいよ！！

txtとかexeとかって無視リストに入れるから効果薄いw
違う意味での効果は大きいけど。

>>346
ぐぐってから質問しようや。な？

>>351
検索キーワード付きのaviとかisoにでもしてみる（´・ω・） ｽ？
しかしこの方法だと駆除した後も晒される（´・ω・） ｽね

>>353
山田オルタネイティブって名前を有名にすれば本人が調べるんじゃないかな。
山田オルタネイティブって名前がついたファイルを大量に流すとか。

[エロゲ]山田オルタ　エロ萌えなんとかゲーム.iso

とかw

とにかく難しい（´・ω・） ｽ

ノートン先生２００６の定義ファイル最新版なら探知できるよな・・・

>>355
親は知らないすが子なら検出できる（´・ω・） ｽ

把握（´・ω・） ｽ

凄い久しぶりに山田スレ来た（´・ω・） ｽ
最近は(´・ω・) バリアーｽ何て便利なものがあるん（´・ω・） ｽね

>>321,137
＞普通のルーターやFWなら設定されてないパケットは破棄が当たり前だと思う（´・ω・） ｽ
そう思うっ（´・ω・） ｽ

セキュリティ低の時、鯖建てて(UPnP OFFで) >>265 のチェックで警告でますかい？
ルーターをすり抜けても、鯖までたどり着けない気がする（´・ω・） ｽ

すみません
2000の場合、タスクマネージャーにユーザー名が出ていないんですけど
出す方法はありますか？

>>360
プロセスエクスプローラー使う（´・ω・） ｽ

>361
ありがとうございます

結局のとこsvchost.exeのユーザー名が自分じゃなかったらおｋなのか？初心者でスマン(´･ω･`)

>>363
スレ違いだしテンプレ読め（´・ω・） ｽ

なお、＊＊＊クラブニンテンドーのシリアルカードはその際に取り出して、ガメていますので出品商品には入っておりません。あらかじめ、ご了承ください。

>>364スマン、だけどマジで教えてくれねえか？正直不安で不安で・・・il||li _|￣|○ il||li

だからスレ違いだしテンプレ嫁ばいいだろ
日本語通じま（´・ω・） ｽｶ？

>>363
ｶﾜｲｿ（´・ω・） ｽなので、答えてあげるけどsvchost.exeの中に
自分のユーザーで実行してるものがあったら別のやつに感染してる可能性あるっ（´・ω・） ｽ。

ここでいってる亜種はテンプレを見て解決（´・ω・） ｽ

>>368ありがとうございます！その・・・正直どのキンタマとか亜種とかの違いがいまいちわからなくて・・・スレ違いですみません

>>369
だったらさっさとこのスレ閉じれ
アンタは「これが解決方法だ」と言われたリンクとかフツーに踏んでしまいそうだ

そんなに怖いならOSを再インストールし直してP2Pには触らず、2chも見ないでひっそり暮らす（´・ω・）ｽよ

いろんなスレで同じこと聞いてるね、こいつｗ

>>369
困ったらWinキー＋Eを長押しすれば直るよ

http://www.trendmicro.com/jp/security/virushunter.htm

スレの空気が悪いようなんですけど、どうしてもわからなかったので。
テンプレやまとめサイト読んで気になってレジストリ内を検索したら
HKEY_USERSS\S-1-5-21(数字が続く)\Software\Microsoft\Search Assistant\ACMru\5603
内に「sys.exe」があったんですけどこれはアウトで（´・ω・）ｽｶ？

>>374
MRU
SEARCH

↑ｸﾞｸﾞる(´･ω･)ｽ

結論から言えば、それだけでアウトかどうかは分からん(´･ω･)ｽ
>>374が書いたのは、検索履歴(´･ω･)ｽ

avast更新したけど、まだ未対応？

×11update.exe

>>375
最近使ったファイルとか書いてありました。
検索履歴ってことは一度は実行or発見されているってことで(´･ω･)ｽｶ？

テンプレやまとめサイト見て調べて怪しいところなく
他の箇所(レジストリ・フォルダ)に「sys.exe」とかなかったんですけど
一応セーフと考えていいんで(´･ω･)ｽｶﾈ

アホな質問してｽﾐﾏｾﾝ(´･ω･)ｽ

>>378
｢sys.exe｣でコンピュータ内を検索した（´・ω・） ｽ?
それが履歴として記録されてただけ（´・ω・） ｽ

>>378
心配ならWikiとかのチェック項目で確認してみる(´･ω･)ｽ
自分で無事を確認できたほうが、後々ためになると思う(´･ω･)ｽ

>>379
検索した（´・ω・） ｽ
ためしに適当な単語で検索してみたら追加されてました

>>380
そう（´・ω・） ｽﾈ。wikiみてるんですけど
亜種とかの可能性もあるのかなと思ってｽﾚしてみました
勉強不足でした

感染者早く駆除できるといいっ（´・ω・） ｽﾈ。

上で偉そうなこと書いておきながら疑問なん(´･ω･)ｽけど

感染前、Program Files フォルダの中に
sys とか update って名前のファイルかフォルダをあらかじめ作っておいたら
感染後はどんな動きするん(´･ω･)ｽｶﾈ

検体持ってないので調べられない(´･ω･)ｽ

ttp://internet.watch.impress.co.jp/cda/news/2006/03/03/11106.html
HDDの全内容を公開する「山田オルタナティブ」、Winny利用者以外も注意

ニー速水野君やばい（´･ω･） ｯｽ

>>384
つまらない指摘だけどニュー速とニー即は違う（´･ω･） ｽ
ニート速報なる板がある（´･ω･） ｽ

ニーソックス即売会

>>382
どうもしないよ。
そのまま活動する。
ちなみにupdate.exeを実行すると、そこに各種テンポラリファイルを作る。

11検体テスターさんにあげたいけど、悪用する奴が絶対出てくるからなぁ。

>>387
ただ拡散させたいだけなんじゃないの？
集めようと思ったらny起動してexeで検索してれば引っかからない？

>>387
ありがとうございます。そのまま活動するんですね。。
もしよろしければ、検体をパス付zipにして、メールに添付して頂くことは可能でしょうか？
自宅の仮想マシン上で色々検証してみたいので・・・
yamada060303あっとgmail.comまでお願いできればと思います　ｽ

Local Adress に1080が存在したんだけどやばいですか？
Foreign Adressに80があります
TIME　WAIT状態になってます
昨日まではなかった気がするんですが
新たにDLもしてないし・・・

驚愕の事実
NEC製のマシンはApacheプリインストール。
これじゃウィルスか判断できね

>>390
ttp://www.genie.x0.com/gtl/help/port_scan.php

(´・ω・) ｽ

>>392
ここに1080いれればいいんですか？

>>389
はい。送信した。
>>391
外部からブックマークを利用するためだっけか。
とんでもない機能をつけるもんだ。

>>391
出島？

>391
……え？　マジ（´･ω･）ｽか！？
いったい何のために入れているんでしょうかね。やはりテレビ系の外部操作？
でも、わざわざセキュリティーホールになりそうな物を入れなくてもいいのに……。

わかって入れている分にはいいんだけど、デフォで入っているのはどうかなーと。

>>393
そう(´・ω・) ｽ

>>397
失敗とでました。もう一度コマンドやったら１０８０消えてました

>>398
ブラウザが偶然1080を開いて、外部の80(webページ)にアクセスした可能性が高いと見るっす
:80の接続先IP（Foreign Adress）をnslookupで、確認するっ（´･ω･） ｽ
重要なのは、listen状態のものがあるかどうかっす

>>399
ありがとう（´･ω･） ｽ
良く考えてみれば怪しいもの踏まないでいきなり感染するわけない（´･ω･） ｽ ね
svchostもユーザー名で起動してなかったし

DVDドライブで焼いてる途中に強制的にトレイあけるにはどうすればいいですか

>>401
焼きソフトを強制的に終了させるっ(´・ω・) ｽ

>>394
無事頂きました。お手数おかけしてすみません。
ありがとうございます。

>>398
ttp://www.symantec.com/region/jp/securitycheck/index.html
心配なら↑でシマンテックのセキュリティチェックしてみる(´･ω･)ｽ
危ない状態だったら警告してくれる(´･ω･)ｽ

【FWと併用】System Safety Monitor Part3
http://pc8.2ch.net/test/read.cgi/sec/1132665082/

JwordまでプリインストールしてるNEC製パソコンにセキュリティを求めてはいけない（´･ω･） ｽ
でも一応、BTOでソフト無しにしておけば問題ない（´･ω･） ｽ

MDこと宮崎君がVIPの連中に助けられて駆除に成功したよう(´･ω･)ｽ

>>406
救済って……今見てきたけど、個人情報晒されまくりじゃないか
あれはいくらなんでも酷すぎる

既定君にメール送っといたけど、まとめサイトとwikiだけで十分だよね？

あの，マックはどうやって感染してるかどうかチェックするんですか？

>>409
Macは山田やキンタマにはかからない（´･ω･） ｽ
ウイルスのexeを実行できない（´･ω･） ｽ
ただしごくごくわずかだけどOS Xのウイルスもある（´･ω･） ｽ
心配ならノートンでもかけとく（´･ω･） ｽ

>>410
ありがとう（´･ω･） ｽ
これで安心（´･ω･） ｽ

smss.exeってのは問題ないのでしょうか？

>>412
問題ない。

クレカ番号はカード会社に連絡して本人に連絡してもらえないかね

>>414
拾ったカードでも通報できるんだから可能だと思うが……
たしかにレス削除してもらうだけじゃ犯罪の可能性は残る（´･ω･） ｽ
自分はどのスレか分からないんで、見た人は番号控えてすぐに通報して欲しい（´･ω･） ｽ
その人が可哀相（´･ω･） ｽ

>>413
そうでしたか、ありがとうございました

ファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」のウイルス感染による個人情報の流出事故が
増えているが、ニッセイ同和損害保険は、漏えいで被害者から請求された損害賠償金を
補償するだけでなく、コンピューターシステムの復旧や再発防止のためにかかる社内の
費用もトータルで補償する保険商品を国内大手損保で初めて発売した。

新商品は、情報漏えいを対象とした賠償責任保険に「特約」をつける形で契約する。
従業員が業務で使用している社有パソコンがウイルスに感染して情報流出した場合、
５億円を限度に賠償金を補償するほか、パソコンからウイルスを取り除く復旧費用や、
ウイルスソフトを導入するなどのシステム改良に伴う再発防止費用も５００万円を上限
に支払う。
ただ、個人所有のパソコンを会社などで使って情報が流出した場合は補償対象にならない。

ウィニーのウイルス感染が原因とみられる情報流出は２月以降、相次いで発覚しており、
海上自衛隊では、護衛艦の隊員名簿やコールサインなどの機密情報がインターネット上に
流出していた。また、法務省では受刑者名簿、東京地裁では競売関係者の個人情報など
の漏えいも明らかになっており、対策が急務となっている。

http://www.yomiuri.co.jp/atmoney/news/20060304i401.htm?from=main4


＞個人所有のパソコンを会社などで使って情報が流出した場合は補償対象にならない


加入する会社（´・ω・） ｽ

保険金詐欺がいっぱい発生しそうだなw

>>415
レスに書いてあるの？
その人と同一かは知らないけどデスクトップにtxtで置いてる人がいる。

あ、レスじゃなかったん（´･ω･） ｽね
ごめん、勘違い（´･ω･） ｽ
てっきりニュー速かVIPに書かれてたのかと。
なら一安心……じゃない（´･ω･） ｽ
でもデスクトップのファイルのぞいて通報は……ﾑﾘﾎﾟっ（´･ω･） ｽね……

>>420
カード会社の連絡先見つけたけどフリーダイヤルは公衆電話からじゃ繋がらないし･･･
だれかｦﾁしてメアドが表示されたら連絡してあげてね

XP起動時にupdate.exeも立ち上がります。
しばらく置いておくと、CPUの使用率がupdate.exeプロセスだけで９０％台になりPCがあきらかに遅くなります。
ちなみにP４の２．４G。
わかりやすい症状のような気が（´･ω･） ｽ

いくらなんでもカード番号とか晒されてるなら、
カード会社に連絡してあげないと可哀想ですね。
こりゃ使う人出てきそうですね。

それは流石に逮捕されま（´･ω･） ｽよね？
本職以外やらないんじゃないで（´･ω･） ｽか？

しかし、この救済スレって殆ど機能してないような。

こんな処に救済を求める奴は殆ど居ないだろう上に
そもそも感染する奴は、自分に救済が必要かどうか判断出来ない奴が大半な訳で
こっちから手を差し伸べても振り払われるだろ

勝手に此処読んで自分で何とかしろ、程度の認識でいいんじゃね

>>425
救済スレという名前が付いてるだけで
>>1 の内容がほとんどヲチスレと同じだし
役割分担が不明だったために失敗してると思う（´・ω・） ｽ

本当に救済スレとして活動するなら
役割を明確にして >>1 に示したり
ヲチスレとの間で適切に誘導したりする必要がある（´・ω・） ｽ

>>425
一応３人には救済メール送った

>>428
救済メール送る活動だったら元々ヲチスレでやってるひとが複数いる（´・ω・） ｽﾖ

で（´・ω・） ｽよね

（´・ω・） ｶﾜｲｿｽ

もし仮にイメージファイルの中にウィルス入ってたとしてそれはオンラインスキャンで見つかる（´・ω・）ｽｶ?

対応してる検体ならマウントしたイメージをスキャンしたら当然見つかる（´･ω･） ｽ
対応してなきゃ（´･ω･） ｶﾜｲｿｽ

>>432
自分が知る限りではマウントしていない状態のイメージの中身まで
スキャンしてくれるようなオンラインスキャンは無かったと思う（´・ω・） ｽ

ありがと（´･ω･） ｽ

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

結局、12bは捏造だったんでしょうか？

感染日、更新日?等が書かれてるlinkに12bも表示されてるしただ不発に終わったと思う

>>436
感染源が判明しているのはMell-1-0.11だけっ(´・ω・) ｽﾈ

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>441

update.exeだけでも動いちゃうんですかね？

>>442
update.exeがサーバの役割をしているから、update.exeが動いている=サーバが建ってるってこと(´・ω・) ｽ

感染したなら、今すぐタスクマネージャで切って、レジストリ直す(´・ω・) ｽ

ところでVirusTotalで調べたりはしないのか？
ttp://www.virustotal.com/
ここで調べれば各社の対応状況は一発で判るし
対応していないベンダに検体も送られるんだが…

検体送ってもavastのように対応しないところもあるから

まぁ、対応してくれるかどうかはベンダの判断になるけど
VirusTotal経由では他のベンダの結果も同時に
行くみたいだから、対応ベンダが多ければ効果あると
思うけど……

先程のupdate.exeをVirusTotalとJotti's malware scanにかけてみました。

Antivirus Version Update Result
AntiVir 6.33.1.53 03.03.2006 TR/Proxy.Agent.IW
Avast 4.6.695.0 03.03.2006 no virus found
AVG 718 03.03.2006 Proxy.BIX
Avira 6.33.1.53 03.03.2006 TR/Proxy.Agent.IW
BitDefender 7.2 03.04.2006 BehavesLike:Win32.Backdoor
CAT-QuickHeal 8.00 03.04.2006 no virus found
ClamAV devel-20060126 03.03.2006 no virus found
DrWeb 4.33 03.03.2006 Trojan.Proxy.727
eTrust-InoculateIT 23.71.93 03.04.2006 Win32/LLem.A!Trojan
eTrust-Vet 12.4.2104 03.03.2006 no virus found
Ewido 3.5 03.03.2006 Proxy.Agent.iw
Fortinet 2.71.0.0 03.04.2006 W32/Agent.IW!tr
F-Prot 3.16c 03.03.2006 no virus found
Ikarus 0.2.59.0 03.03.2006 no virus found
Kaspersky 4.0.2.24 03.04.2006 Trojan-Proxy.Win32.Agent.iw
McAfee 4710 03.03.2006 BackDoor-CYC
NOD32v2 1.1428 03.03.2006 probably unknown NewHeur_PE virus
Norman 5.70.10 03.03.2006 W32/Malware
Panda 9.0.0.4 03.04.2006 Suspicious file
Sophos 4.03.0 03.04.2006 no virus found
Symantec 8.0 03.04.2006 Backdoor.Nodelm
TheHacker 5.9.5.105 03.03.2006 Trojan/Proxy.Agent.iw
UNA 1.83 03.02.2006 TrojanProxy.Win32.Agent
VBA32 3.10.5 03.03.2006 Trojan-Proxy.Win32.Agent.iw

AntiVir Found Trojan/Proxy.Agent.IW
ArcaVir Found Trojan.Proxy.Agent.Iw
Avast Found nothing
AVG Antivirus Found Proxy.BIX
BitDefender Found BehavesLike:Win32.Backdoor (probable variant)
ClamAV Found nothing
Dr.Web Found Trojan.Proxy.727
F-Prot Antivirus Found nothing
Fortinet Found W32/Agent.IW!tr
Kaspersky Anti-Virus Found Trojan-Proxy.Win32.Agent.iw
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found Sandbox: W32/Malware; [ General information ]
UNA Found nothing
VirusBuster Found nothing
VBA32 Found Trojan-Proxy.Win32.Agent.iw

感染元ファイルを各ベンダーに送りたいのですが、どこも容量制限に引っ掛かる・・・orz
数日前にトレンドマイクロにメールで提出方法を聞いたが、メール帰ってこない。

乙！
これ見るとUpdate.exeの方はもうほとんど問題ないレベルですね
McAfeeも対応してるみたいですし…後はAvastぐらいかな。

>>448
動かない相手はIPA経由でつつくしかないのでは？

>>448
http://www.trendmicro.com/jp/security/virushunter.htm

郵送しかないみたい

>>450
後でIPAに届出してみる(´・ω・) ｽ

>>451
もう一度トレンドマイクロに問い合わせをすることにしま(´・ω・) ｽ
もし郵送になったら、DVD-Rにウイルスかき集めて送ろうと思いま(´・ω・) ｽ

稲葉うわあー！！！　　稲葉うわあー！！！　　稲葉うわあー！！！
　　　　　　 ／⌒`ヽ 　　 ／⌒`ヽ 　　 ／⌒`ヽ 　　 ／⌒`ヽ
　　　　と（、Ａ　, ） つ　と（、Ａ　, ） つと（、Ａ　, ） つと（、Ａ　, ） つ
　　　　　　Ｖ￣Ｖﾉ（　ゝ　Ｖ￣Ｖﾉ（　ゝ　Ｖ￣Ｖﾉ（　ゝ　Ｖ￣Ｖﾉ（　ゝ
　　　　　　　　 ＿ ∩ 　 　　　　＿ ∩ 　　　　 ＿ ∩ 　 　　　　＿ ∩
　　　　　 ⊂／　 ノ　） 　⊂／　　 ノ　）　 ⊂／　 ノ　） 　⊂／　 ノ　）
　　　　　　/　　　/ノV　 　/　　　/ノV　　　/　　　/ノV　 　/　　　/ノV
　　　　　　し'⌒∪ 　　　　し'⌒∪ 　　　　　し'⌒∪ 　　　　し'⌒∪
　　　　　　　稲葉うわあー！！　　稲葉うわあー！！　稲葉うわあー！！

＞＞４４３
サンクス(´・ω・) ｽ
すぐにきがついてよかった。

>もし郵送になったら、DVD-Rにウイルスかき集めて送ろうと思いま(´・ω・) ｽ

…怖(´･ω･)ｽ
俺んちに来ませんようにお願いしま(´･ω･)ｽ

オルタ対応幸のパッチ当てた人います？

>>456
なにそれ？

どうもやられたみたいです。
恥ずかしい。
写真のせられました。
チェックとかもしたんだけど。
誰か助けて下さい。
お願いします

>>458
確認のためにfusianaする(´･ω･)ｽ

もちろんしないけど
sys も　update も確認したときなかったんだよねー

>>459
> >>458
> 確認のためにfusianaする(´･ω･)ｽ

>>460
オルタとは限らない(´･ω･)ｽ
他の山田という事も考えられま(´･ω･)ｽ

>>460
とりあえずファイアウォールかルータ入れなさい

Process Explorer 10.06 の日本語化
http://xworks.org/archives/000187.shtml

>>463
この人が頑張ると次のバージョンが出るんだよな(´･ω･)ｶﾜｲｿｽ

>>450
IPAなんて信用できるもんじゃないよ。
あそこの連中は売名の為にいるだけ。

>>465
そっか？　個人としてきちんとIPAに報告したら元との交渉もしてくれたし、改善されたぞ。
受付、途中経過、完了報告もメールで随時してくれたぞ。

報告の仕方が雑だと対応してもらえないのはココも同じ。

>>465
報告したとか対応の問題じゃなくて。
それともあれかい。
お前の報告が雑だからという意味かい?

ネットでのやり取りの問題じゃあない。
人間の問題を言っているんだよ。

なんか残念な人いるなぁー

IPAなんか信用して鵜呑みにしてるとひどい目に遭う事もあるってことさ。
結局は報告者のネームバリューだの受け付け側の都合だのに振り回されてる場合もあるし。

極めて政治的で恣意的な側面は否定できない。
メンバーが固定化されている弊害だと思う。

おちつくのが吉

　　　　／／＼⌒ヽペペペタタン
　　　／／　 ／⌒)ノ ペペタタタン
　 ∧∧＿∧∧ ＼ （(∧∧＿∧∧
　（（； ´ДД｀))）'　））((・∀∀・ ；)） ＜みみみんなももちつつけけ
　//　　⌒ノノ　（ ⌒ヽ⊂⊂⌒ヽ
.((OO ノ　))￣￣￣(）__ 　　　 ））)
　)）_）＿)) （;;;;;;;;;;;;;;;;;;;）（（(＿（(

>>463
２２７人目でした、ありがとうございます！

って板が違うか・・

救済って難しいですね〜…人ってどうすれば信用してくれるんでしょう…
（´；ω；） ｶﾅｼｽ

>>473
名前（*´・ω・） ｶﾜｲｽ

助けてくれって言ってこない限り放置すればいいじゃん
ほっといたらおまえ困るのか？

どうしても救済したいなら偉そうな人にはここまでって言うくらい下手にでる
（´・ω・） ｽ・・・・・・・

偽善だっていいじゃない
やらない善よりやる偽善ｽ

>>474
(=´▽｀)ゞ

>>475
困りません。

>>476
いいお考えですね〜〜頂きます <(＿ ＿)>

>>477
そのお言葉で救われます。これからも、やるﾃﾞｽ！

>>478
お　ま　え　き　も　い

なんだか知らんけど、心ないお客さんがいらっしゃる様（´・ω・） ｽ

はっきり言うの（´・ω・） ｶﾜｲｿｽ

>>479 のその感性はスレ違い （´・ω・） ｼｯｼ

お　れ　の　方　が　き　も　い

>>478
おまえきしょい

だんだんおかしな流れになってきてる（´・ω・） ｽ

これなら、叩かれないかな？

>>485
おいらが変な書き込みしたせいで迷惑かけてｽﾏﾇ。

>>476-477　ありがと

ただ、おいらは、人助けが好きなだけなのﾀﾞ！

また行ってくる（´・ω・）ｽ

>>486
（´・ω・）ｶﾜｲｿｽ

オイラも含めてみんなきしょいってコトで
このままマターリする（´・ω・） ｽ

そのうち澱みなくなる（´・ω・） ｽ

　　　　　　　　　　／) 　／)
　　　 　 ∬　 　 / 　⌒　 ヽ 　　∬ 　　　　　　／
　　　 　 　.。･･ | ／_　＼　 |／＼･･｡。　∬ ＜　 今回Avast!は何で対応遅いのん？
　 　 ｏ0oﾟﾟ　　 (＊ 〜　 ＊ |　／　　　ﾟﾟoo 　　＼　
　 ｡oO　 （ (( ー---------‐ )) ）　　 O0ｏ
　(~~)ヽ　　　　　　　　　　　　　　　 (´^ヽＯ,
　 （⌒ヽ　　　　　　　　　　　　　 （⌒)(ﾞﾞﾞ)~
　　 /~ﾞﾞヾ⌒`ゝ-（~´`(⌒(⌒(⌒~ヽ~　~~　　､､β ｼﾞｰｼﾞｰ､
　　 ゝｰ ′　'"　　　　　　``"　　　　　　　¨^^
　　　　　､i,,　　　　　　``′　　　　""

まあフリーウェアなんだからあんまり文句言いまくるな（´・ω・） ｽ

>>489
検体提出したと言い張るﾔｼが全員嘘をついているから
もしくは、「極東の黄色いサルは後回し」と中の人が考えているから

久々に来たんだけど、Sys.exeとUpdate.exeじゃなく
それを生成する感染元ファイルって判明した（´・ω・）ｽ？

一部は上のほうで報告されてる（´・ω・） ｽ

>>486
無駄に荒れるので名無しのほうが（´・ω・）ｲｲｽ

感染源は漫画が多い（´・ω・）ｽ？

以前からジャンプ漫画zipはウィルスの宝庫（´・ω・）ｽ
キンタマの時もそうだった気がする（´・ω・）ｽ

ｦﾁｽﾚを開くとﾉｰﾄﾝ先生が怒って通信遮断する（´・ω・）ｽ

>>497
スクリプト貼った馬鹿がいる（´・ω・） ｽ

きつい言い方だけど
そのレベルでのウィルスヲチは、ミイラ取りがミイラになる典型
火傷しないうちに手を引くのが吉（´・ω・） ｽ

結局、感染源は何だったの？

すく〜るﾍﾌﾞﾝ

でも>>325の報告あるよ？

それがすくーるヘブンの中に入ってた。

未だ0.12の感染源はわからないようですね・・・
今の所、真っ黒確認されてるのは、平原とすくーるヘブン（´・ω・） ｽｶﾈ

このウィルスってーか、ワームてーか、トロイは自己増殖してるって報告あんの？
もしそうでないなら、せっせと作者かお調子が検体入手して放流してんだろうな。

威力でかすぎ、コントロールできなさすぎ、全ての実行ファイルが疑だして気が
狂いそう。

社会的にそろそろ本腰を入れて作者探そうとしているだろうけど、とっつかまえて
みたところ、主義主張のないage厨の工房でしたなんて落ちだったら泣きたくなる
ね。で、作者がとっつかまるとき最後のクリックで、散らばったトロイがネットワー
ク経由でOSごと自爆。
ロマンあふれてるな、こりゃ。

質問(´・ω・) ｽ

山田とか苺とか感染したときに、他のデータを書き換えたり悪さはするんで(´・ω・) ｽｶ?
普通にとっておきたいデータをバックアップしてOS再インストールでおｋなん(´・ω・) ｽｶ？

p2p以外でも感染するおそれがあるらしいのでいまから対応する方法かんがえとかないとで(´・ω・) ｽ

>>506
>山田とか苺とか感染したときに、他のデータを書き換えたり悪さはするんで(´・ω・) ｽｶ?

種類によると思いますが、殆どの場合改変などあると思いま(´・ω・) ｽ

>普通にとっておきたいデータをバックアップしてOS再インストールでおｋなん(´・ω・) ｽｶ？

普通にとっておきたいデータにウイルス入ってないか注意(´・ω・) ｽ
大体のものはOSのクリーンインストールでおｋ(´・ω・)

山田オルタの作者・亜種作成者、調子乗りすぎだな・・・
何だか、0.13が出たとか、でないとか・・・

タスクマネージャーを起動させたところ
smss.exeがSYSTEMで起動
updatenv.exeがOwnerで起動
これってｱｳﾂですか？

>>508
smss.exe
http://www.google.co.jp/search?num=50&lr=lang_ja&ie=sjis&oe=sjis&q=smss.exe

updatenv.exe
http://www.google.co.jp/search?num=50&lr=lang_ja&ie=sjis&oe=sjis&q=updatenv.exe

>>509
恐らくセーフって事ですよね？

>>510
教えない
ぐぐれば解決することを聞くな

>>505
>作者がとっつかまるとき最後のクリックで、散らばったトロイが

ｿﾚｵﾓｼﾛｿｽｗ
ってふうに作者も2たんねるで勉強して機能強化していくんだろうなあ

罠幸の話はここでいい(´・ω・) ｽ？

up!
ひまぐらま:(´・ω・) バリアーｽ　ver0.8.5
http://blog.livedoor.jp/hpg/archives/50070858.html

>>513
罠幸の存在は興味本位で幸に手を出す者に対する抑止力となり得るため
罠幸関連の情報を求めても嘘の情報が示されることが少なくない（´・ω・） ｽ

>>514
これって善意の救済者も相手にlogとられるって事？

>>516
善意も悪意も関係なく、アクセスしてきたらログ取ると思われる（´・ω・） ｽ

作者調子のりすぎってのには、禿同。

そろそろ自重しないと、気がつかないうちにどっかで足がつい
てて、Blast.BのときみたくFBIが日本に上陸するかも。

万一アメリカの行政機関のＰＣがこれに感染して大騒ぎ
になったら、そりゃ大事になるよな。

（AA略）ｵﾗﾜｸﾜｸｼﾃｷﾀｿﾞ

物が物なだけに
ﾌﾟｯ
っと笑うしかないな

>>517
レス　ｻﾝx

先に北チョンや韓国や中国に感染してくれ

>>507

御礼がおくれました(´・ω・) ｽ

なるほどやっぱり、感染しないように気を付けるのがいちばん大切ですね。
どうもありがとうで(´・ω・) ｽ

てす

バスターのウイルスパターンが3.249.00に更新されましたがどなたか、実験された方いらっしゃいますか？

>>524
工藤くん（´・ω・） ｶﾜｲｿｽ 山田ヲチスレ 206
http://tmp6.2ch.net/test/read.cgi/download/1141631454/164/

>164 ：[名無し]さん(bin+cue).rar：2006/03/06(月) 19:57:11 ID:chtGxANZ0
>ウイルスログ","2006/03/06","OWNER"
>"時刻","検索の種類","種類","ウイルス名","ファイル名","ウイルス検出時の処理","駆除できない場合の処理"
>
>"19:24","手動検索","ファイル","TROJ_DROPPER.AMI","[シングル] (2006.01.18) 平原綾香 - 誓い.mp3
>"19:24","手動検索","ファイル","---","D:\Winny2b71\Winny2\Down\新しいフォルダ\[シングル] (2006.01.18) 平原綾香 - 誓い.mp3.zip","隔離 済み(安全です
>
>バスターやっと対応(´・ω・)ｽ

確認してないが、平原が対応したのではないかと・・・

この新しい山田ウイルスは山田チェックツールα6.4で検出できますか？

>>526
普通に考えてツールの配布元に問い合わせるのが一番（´・ω・） ｽ

>>526
ニュイルス日誌
http://blog.livedoor.jp/antiny_virus/

山田チェックツールって最新はα6.5だよな？

（´・ω・）…　>>529

>>528

山田ウィルスは例えば集合住宅用のＶＤＳＬ回線で、物理的にポート開けられないＰＣなら安全なんでしょうか？

>531
NO。

>>532
外部からアクセスできないのに？

>>531>>533
（´・ω・） ｽ

外部からアクセスできるようになるからウィルスなんで(´･ω･)ｽ

（´・ω・） ｽな人でかまわないので教えていただきたいのですが、
山田ウィルスは8080と80のポートを使って外部からＨＤＤにアクセスできるようにするんですよね？
そのポートが物理的に開けられない環境の場合どうなるのかなと。
集合住宅の回線の根っこにあるＶＤＳＬモデムにもアクセスできるようになるとか？？

だれかそういう環境の人っていないの？

>>537
私がそういう環境なんです

UPnP対応ルーターなら山田アルトが自分でポートを開くけど
それ以外ならもちろん大丈夫だよ

P2Pソフトが正常に動いてるなら
山田も動くでしょ。

>>539
素早い回答ありがとうございます。
UPnP対応なのかどうか接続業者に問い合わせてみます。

>>539
アルトってなんだよｗ
オルタだよ

と自作自演してみる

>>525
どうもです

おまいら、トラブルが多くて、効果が不確実ないアンチウイルス製品などに頼り切るよりも、
怪しげなファイルは実行しないという【基本】を重視しような。これ重要。


>NOD32　主なトラブル履歴
>
>2005年9月ブルースクリーンが生じてWindowsが停止する問題が再発。リリース中止。
>http://canon-sol.jp/product/nd/nd_update.html
>レジストリが破壊されてWindowsシャットダウン時にブルースクリーンとなる問題
>登録済みのアプリケーションが強制削除される問題
>http://canon-sol.jp/product/nd/v20008.html
>通信不能となって最悪の場合はOSがリブートの繰り返しになる問題
>http://canon-sol.jp/supp/nd/wndt4210.html
>スキャンすると受信メールの全部が削除される問題
>http://canon-sol.jp/supp/nd/wndt7003.html
>プリンタとの相性で印刷不能になる問題。
>http://canon-sol.jp/supp/nd/wndt4205.html
>Windowsアップデートができなくなる問題
>http://canon-sol.jp/supp/nd/wndt4212.html

ここにもアンチNODの基地外が。

ｾｷｭ板にかエレキ違い

avast!4 0610-0更新。
オルタ検体(sys update)どっちもスルーで（´・ω・） ｽ

今さらですが80と8080ポートだけじゃなかったはず（´・ω・） ｽ

ﾀﾞｳｿ板に常駐しているNOD厨（淫厨を兼ねる）
http://tmp6.2ch.net/test/read.cgi/tubo/1130566010/
http://66.102.7.104/search?q=cache:yFC7aJM6xCgJ:l-lab.org/pukiwiki/pukiwiki.php
http://z-temp.hp.infoseek.co.jp/2ch/Prescott699-.html
http://science3.2ch.net/test/read.cgi/infosys/1088029040/
http://mossarilog.at.infoseek.co.jp/

もうP2P止めようかなぁ。(´Д`；)ﾔﾊﾞｽ

>>548
そういえば、1080でも繋がった事ある（´・ω・） ｽ

ｱﾃｸｼはスキルも何もない人間で（´・ω・） ｽが
多分数種のポート番号がコードに記述されてると思う（´・ω・） ｽ
もしかしたら機能割り当てなんかあるかもしませんが
多分自分だったら2種だけなんかにしないと思った（´・ω・） ｽ

不安な人はオンラインのポートスキャンサービスを試してみる(´･ω･) ｽ

ttp://www.grc.com/default.htm
↓
まんなかよりちょい下「ShieldsUP!」
↓
「Proceed」押す
↓
ShieldsUP!! Servicesの中から好きなの選んでチェック(´･ω･) ｽ

・File Sharing(NETBIOS系　port135-139)
・Common Ports(一般的にサーバ用途のポート、個人用途のPCでは通常開かない)
・All Service Ports(フルポートスキャン←環境によっては少しチェックに時間を要す)

ちなみにｵｲﾗのUPnP無効、ZA制御環境では全て「存在しないか不可視(ステルス)」になりま(´･ω･) ｽ

>>553
オールグリーン（´・ω・） ｽ

http://ex14.2ch.net/test/read.cgi/news4vip/1141685678/

このスレの前スレで個人情報が晒された
晒した本人は逃亡
祭りの予感

拾ったupdate.exeてのを調べてるけど、
[A][B]
Aの後ろにＢがくっついてる。
が、どちらもまったく同じもの。
なんじゃこりゃ？ｗ

>>505
> 散らばったトロイがネットワーク経由でOSごと自爆。
ヲチスレに落ちてたツールを調べたら、それっぽい機能ついてたから、
有ってもおかしくないね。

>>526
ドクロよりは、検知が簡単（´・ω・） ｽ
常駐するフォルダやファイル名が決まってる（´・ω・） ｽ
あと、ウインドウ名がバージョン、
クラス名がMELLになってた（´・ω・） ｽ
これも判断材料（´・ω・） ｽ
ただ、作者が変更する可能性ある（´・ω・） ｽガ

>>525
0.11以外も検出してくれるなら0.12系の感染源探しに使う(´・ω・)ｽｹﾄﾞ・・・

>>553
やってみた（´・ω・） ｽ
1以外は全部ｽﾃﾙｽだった（´・ω・） ｽ

orz UPnPが無効になってないん（´・ω・） ｽかね・・・・

ttp://pandoravote.net/snup/uploader/src/up1423.jpg

とりあえず大丈夫だったが油断は出来ない･･

山田ウイルスってどこにあるんですか？うｐお願いします

ま　た　お　前　か　（´・ω・） ｽ

>>562
ここは救済スレ（´・ω・）ｽ
VIPへいけ（´・ω・）ｽ

>>562
（´･ω･） ｶﾜｲｿｽ

shareで落とす（´・ω・） ｽ
出来ないなら諦める（´・ω・） ｽ

>>562
スレタイ（´･ω･）ﾖﾒｽ

NGID推奨（´・ω・） ｽ

>>566
なんて検索すればいいですか？

>>569
（´･ω･） ｶﾜｲｿｽ

>>569
（´･ω･） ｶﾜｲｿｽ

>>569
（´･ω･） ｶﾜｲｿｽ

（´・ω・） ｶﾜｲｿｽをNGにしてみる（´・ω・） ｽ

>>569
>>258(´･ω･)ｽ

何処へのレスかはご想像にお任せします。
うちの会社の対応遅れててすんません。

じゃ、>>489って事で。

>>575
ネトエージェントなら気にするなｗ
フカシなのは知ってる奴は知っているから。

止められるのとパケット解析してるのは違うよなｗｗ

>>553
80と113がclosedになってた・・・
何か怖い。

>>578
closedってのは「ドアに鍵がかかってる」ってことだよ。
そこまで神経質にならなくてよろし。

まぁ存在すら見せない「ステルス」状態が一番なんだけどね。

全てclosedなのですが、ステルスにするにはどうすれば良いですか？

>>580
たとえばルータを使っていたりすれば、その性能にもよるので
設定とか一概には言えない（´・ω・） ｽ
Shields Upで検索していろいろ調べると良い（´・ω・） ｽ

例えば古い記事ですが
http://internet.watch.impress.co.jp/www/article/2001/0813/secure.htm
とか。
スレと話題ずれちゃいそうなんでこの辺で…。

ttp://www.imgup.org/iup173118.png
こうなるのが基本（´・ω・） ｽ

All Service Portsを選んでも191までしか表示されないけど正常（´・ω・） ｽか？

>>583
3分待つｽ（´・ω・） ラーメンでも食べるｽ

>>581
再起動したのでID違うかもですが、580です。
いろいろ検索してみます。親切にレスをどうもありがとうございました。
スレ違いすみません（´・ω・）ｽ

>>560
1ってのは「File Sharing」の1(´･ω･) ｽ？
その下が - (マイナス)記号なら問題ない(´･ω･) ｽ
1のところは判定内容ではなく「あなたのPCを検査していま(´･ω･) ｽ」という
前置きみたいなもの(´･ω･) ｽﾈ
ちなみに2や3以降はProceedを押した後のページの下にある(´･ω･) ｽ

>>578　>>580
>>581の通り(´･ω･) ｽ
ルータやPFWによって、ステルスになったりclosedになったりするみたい(´･ω･) ｽ
例えばZAはステルスになるけど、BlackICEだとclosedになったりする(´･ω･) ｽ

>>583
アクセス過多で重いことがある(´･ω･) ｽ
>>584の通り(´･ω･) ｽ

スレ違いすみません(´･ω･) ｽ

YamadaV3.exeがトロイで検出されるのは既出？

>>587
それが、どうやって目的とする動作をするものなのかを
考えればそんな質問はしないはず（´・ω・） ｽ

そんな香具師は使う資格ない（´・ω・） ｽ

資格？w
そんに熱くなられてもなぁ
ttp://www.mcafee.com/japan/security/virU2005.asp?v=Uploader-X
これ見て、え？と思っただけなんだけど

キンタマの頃から気になってたんだけどsvchostが6つある（´・ω・） ｽ
普通は4〜5個じゃなかった（´・ω・） ｽ ?
当然ユーザー名起動じゃない（´・ω・） ｽ

>>590
tasklist -svc

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

Antivirus Version Update Result
AntiVir 6.33.1.53 03.07.2006 no virus found
Avast 4.6.695.0 03.06.2006 no virus found
AVG 718 03.06.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.07.2006 no virus found
CAT-QuickHeal 8.00 03.07.2006 no virus found
ClamAV devel-20060126 03.07.2006 no virus found
DrWeb 4.33 03.07.2006 no virus found
eTrust-InoculateIT 23.71.95 03.07.2006 no virus found
eTrust-Vet 12.4.2108 03.07.2006 no virus found
Ewido 3.5 03.07.2006 no virus found
Fortinet 2.71.0.0 03.07.2006 suspicious
F-Prot 3.16c 03.07.2006 no virus found
Ikarus 0.2.59.0 03.07.2006 no virus found
Kaspersky 4.0.2.24 03.07.2006 no virus found
McAfee 4711 03.06.2006 Uploader-X
NOD32v2 1.1432 03.06.2006 no virus found
Norman 5.70.10 03.07.2006 no virus found
Panda 9.0.0.4 03.06.2006 no virus found
Sophos 4.03.0 03.07.2006 no virus found
Symantec 8.0 03.07.2006 no virus found
TheHacker 5.9.5.107 03.06.2006 no virus found
UNA 1.83 03.02.2006 no virus found
VBA32 3.10.5 03.06.2006 no virus found


McAfeeのみ誤検出。ってわけだな。

>>593
そうっすか・・。まあ、使うか使わないかは自己責任(´･ω･) ｽﾖ

なるほど�d
だろうとは思たんだが
乗り換えるかな・・・

>>595
いや使ってない
ﾊﾞｶﾌｨｰ対応したらしいと聞いたから
鶴に紛れてるっての見てテストすんのにあちこち探してただけ

あれ前ﾚｽに６，４てあるが
山田ｳｨﾙｽﾁｪｯｸはα６．５出てるよな

ﾇﾙﾎﾟ（´・ω・） ｽ

ｶﾞｯ（´・ω・） ｽ

ドクロ感染者（´・ω・）ｽ

青汁（キューサイ）したい（´・ω・）ｽ けどこれってオンラインゲーム（´・ω・）ｽ
かね？？どなたか凸できない（´・ω・）ｽ かね〜

　必要ならHN消さない画像うｐする（´・ω・）ｽ

>>601

http://shimizusaki.hp.infoseek.co.jp/cgi-bin/img/478.jpg

貼り忘れた（´・ω・） ｽ！

自分（´・ω・） ｶﾜｲｿｽ

なんのゲームか書け

マビノギか
ROならいってやったんだが

>>603
マビノギ

>>603-605

サンク（´・ω・） ｽ

金かかるｽね〜

…HNうｐしても怒られないｽかね〜？？有志の凸時に必要ｽよね？

>>598
それであってると思うｽ
今使ってるのはa6_5(´・ω・)ｽ　
http://vista.x0.to/img/vi4174116441.jpg
一応ニュイルス日記の所から飛んだから間違いないと思うっす。

>>606
今基本無料になってる(´・ω・)ｽ

>>608
どうも（´・ω・） ｽ

…じゃあ行くかあ…。でも、ゲームやったこと無いｽ。彼に会う前に殺されそうｽ

やっぱり自分（´；ω；）ｶﾜｲｿｽ

彼は今、ティルコネイル墓地ｽ

>>609
個人メッセみたいな機能はどこでもあるよ

>>610
サーバはタルラーク(´・ω・)ｽ

某感染者がブログ持ってたんでコメントしといた

自分に出来ることはこのくらいかな

>>611
どうも（´・ω・） ｽ

では、出撃スル(`・ω・） ｽ！

>>612
タルラーク(`・ω・） ｽね！ご協力感謝ｽ

…良く判らないｽけど、探してみる（`・ω・）ｽ

ttp://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.nodelm.html
ノートン先生のところに山田オルタがリストアップされてるので一応貼っておく(´･ω･) ｽ

> UDP ポート 135、および TCP ポート 80、8080、1080、7740 から 7749 まで、
> 10000、65000 でバックドアを開こうとします。

↑ここ閉じておけば大丈夫なん(´･ω･) ｽ　かな？

>>616
>>553で調べると楽チン(´・ω・)ｽ

>>616
update.exeの方はそれで良いと思う(´･ω･) ｽ
sys.exeは別ポートも使うみたい(´･ω･) ｽ

↓２ちゃんの書き込み元スレ不明
＞結構色んなポートを使おうとするので、
＞テストで感染させる時は、PFWも入れとくのが無難です。

＞使用ポートでバイナリ中に即値で書かれてるものは
＞sys.exe 25, 110, 1080, 1919, 2222, 4545, 6969, 8080, 22222
＞update.exe 1080, 8080, 7740-7749, 10000, 65000
＞（80番が無いのは、恐らくライブラリを使ってるから）
＞このうち、実際に80,8080以外のポートで0.11のLINKリストに登録されてたのは 25, 110, 1080

>>616
これ見ると停止するプロセスとサービスが徹底してるな……

良くできたウイル(´･ω･) ｽﾈ

Mell-1-0.12a、Mel-1-0.12の感染源のファイルって特定できてるの？

>>616
ファイルのうｐとか実行って実装されてましたっけ？

>>622
10000とか65000で別口のRPC受け付けるんじゃ？

>>622
アップロードはサーバー機能の一環のあれじゃない？
ダウンロードと実行は未実装のあれっぽいけど

>>617
あ、ID変わったけど>>553=>>616(´･ω･) ｽ
>>553で挙げたポートスキャンサービスは1024まで(Well known)しか
チェックしてくれないので、1025-65535/UDPの確認は
別のポートスキャンで試してみるのがいい(´･ω･) ｽ

>>618
update.exeの検体はやたら出回ってるのでベンダに送られてるっぽいですが、
sys.exeの検体はまだかもしれない(´･ω･) ｽね
ただ、先日update.exeが25番から外向きにパケット飛ばしてるSSを見たんで、
まだまだ情報が交錯してるのかもしれない(´･ω･) ｽ

う〜〜〜ん。
おまいらが言ってることは素人のワシには
呪文にしか聞こえん(´･ω･) ｽ
勉強不足やのぉ〜。仕事しとる場合じゃないのぉ〜〜〜

>>622
ファイルのうｐや実行ですが、ソースコード見る限りだと
実装(POST処理)しようとした形跡はあるっぽい(´･ω･) ｽ
現段階では実装しきれてないみたいで(´･ω･) ｽ けど・・・

>>627
作者は調子に乗っているので、すぐに修正して、次のエロゲの発売日にVer0.13とか出そう(´･ω･) ｽﾈ

>>618
>22222
少し前までこのポート使ってた

お遊びじゃないって事か？

ぞろ目とか特徴的なポートはよく微妙なことに使われるんで、
敢えて外すようにする。（わざわざ何の割り当てか調べるのも面倒(´･ω･) ｽ）

グーグル検索結果

山田オルタナティブ の検索結果のうち 日本語のページ 約 45,300 件

随分増えたな

>>627
コード解析乙(´･ω･) ｽ
12a（bもか？）までは動いてねぇって話でしたよね

vipで計算機動かしたって聞きましたが行かないのでどーやったかｼﾗﾈ

次のエロゲ大量発売日は3/24か…wktk

ttp://www.vipper.org/vip209954.jpg

トロイの木馬が利用するポート一覧
http://gipwmc6.shinshu-u.ac.jp/troi-house/troi.html

昨日メールでWinnyのウィルス感染の連絡を匿名の方より貰い
PCでWinnyを立ち上げたら確かにディスクトップ情報がアップされておりました。
早速avastをダウンしてPCのスキャンをしました。
該当が1件検出され駆除しました。UPフォルダー内を全て削除し再度検索してみましたが、
まだアップロードされていました。どうしたら良いのでしょう。
Winny使用中もウィルスバスターでスキャンして駆除していたんですがねぇ、
ショックです。取り敢えずWinnyは現在起動させてませんが･･･


だそうです

>>635
よくもまぁそんなにエロゲのアイコンをデスクトップ上にほったらかせるな。

とおもったら自分のデスクトップには13個も一般ゲームのアイコンがあった・・・
関連ツールのフォルダをあわせればもっと多いか・・・

>>638
デスクトップにはカレンダーしかないな

パソコンなんてオナニーの道具に過ぎないから
デスクトップにエロゲのアイコン上等

http://www.kotaete-net.net/bbs04001.aspx?intOriginalQuestYear=2006&intOriginalQuestID=24574&intPageNo=0&DlgMode=0

そんなことにしか使われてない>>640のＰＣが（´・ω・） ｶﾜｲｿｽ

>>642
何だよ、お前のパソコンはそんな有意義な使われ方してんのか？

ゲーム・レース観戦(F1,WRC,D1,MotoGP,etc...)・所持金管理・剛体シミュレーターその他諸々

すくーるヘブンは事実上無傷ではプレイできないんかな？

買えばいいんじゃね

確かにそうだな

ずいぶん下まで着ちゃったなっと

浮上

>>637
あれ、avastは山田ウイルス対応してないよな
関係ないウイルスを駆除しただけで、山田はまだ生きてるっしょ

tst

>>642
それは押しつけ(´･ω･) ｽ
そんな偏狭な考えだと自分も（´・ω・） ｶﾜｲｿｽな人になってしまう(´･ω･) ｽ

ttp://sea.s201.xrea.com/src/yamada0645.jpg

すさまじい腹痛で起きた（´・ω・） ｽ
別途から出ようとしたらめまいもしてぶっ倒れた（´・ω・） ｽ
吐き気もあるので今日は休みの日になった（´・ω・） ｽ

誤爆した（´・ω・） ｽ
ごめ（´・ω・） ｽ

test

604 名前： 以下、名無しにかわりましてVIPがお送りします [sage] 投稿日： 2006/03/08(水) 01:56:24.95 ID:T4TC2XaY0
0.12bはどれも公開プロキシ。>>572のも8080のプロキシサーバ
なんとなくウイルス作者が新バージョンのテストしてる臭い
作者（バックドアから操作）→（串→）感染ＰＣ１→串（これがLINKリストに載ってる）→感染ＰＣ２


感染源を早めに見つけたほうがよさそう（´・ω・） ｽﾈ

>>654
おだいじに（´・ω・） ｽ

髑髏ってダウンリストとかに髑髏マークつく？
それでおかしいと思わないの？

>>659
マークが付くのは洒落（´・ω・） ｽ

誰かウィルス解析の方法とか載ってるサイト教えてくれ、死ぬ気で覚えてくる

>>611
気持ちはわかる。
つーことで普通にwiプログラムを勉強するがよし。
まずは秀和あたりのVBの基本書から応用書までガッツリ読んでこい。
その後、VC++あたりかな。
読むだけで１ヶ月はつぶれるけど、根性出せ。

デバッガでウィルスコード（機械語）を１ステップづつ実行、
OSに入り込んで迷子にならない程度のOSについての知識が必要。
あとは根気だね。がんば！　(´･ω･) ｽ

ﾇﾙﾎﾟ(´･ω･)ｽ

>>637
それだけだと山田なのかキンタマなのかよくわからんな。

>>637
ってこれ山田じゃなくて、キンタマのほうだな。

感染者見つけたん（´・ω・）ｽｹﾄﾞ
メルアドとか晒してくれるまで待たないとダメ（´・ω・）ｽｶ？

>>667
SSとりまくってここで（´・ω・） ｶﾜｲｿｽ　するといいかも（´・ω・） ｽ

http://pandoravote.net/snup/uploader/src/up1458.jpg
↑（´・ω・）ｽ
ついでに（´・ω・）ｽｹﾄﾞ、SSはハイとロウどっちが良い（´・ω・）ｽｶ？

>>669
ああ、それ散々いじられてもそのままの奴だからほっといていい。

>>670
人を信じられない奴ほど哀れ（´・ω・）ｽよね

この板の山田スレでIPのリストがあげられてたけど
その中に同級生の名前があった（´・ω・）ｽ・・・

これリンクに複数名前がある香具師は複数の山田に感染してるって事（´・ω・）ｽｶ?

>>672
救済プロジェクト発動（´・ω・）ｽ

>>669
この感染者、まだ駆除してなかった（´・ω・） ｽｶ

>>673
ｸﾞﾛｰﾊﾞﾙIPｱﾄﾞﾚｽが非固定で、ｱﾄﾞﾚｽが変わる度にﾘｽﾄに登録されるんじゃない（´・ω・）ｽｶ?

>>674
接続切ったらしく晒されてたIP群では繋がらない（´・ω・）ｽ
気長というのもおかしいけど我慢して待つ（´・ω・）ｽ

リンクから他の感染者に飛べないのは使用（´・ω・）ｽｶ？

>>601は無事に感染者に接触できたん（´・ω・） ｽｶﾈ

これ感染はしたけどルータ穴あけ不発なんかで実害出てない奴も
結構いそうだよな
その場合、まずいことは何も起こらないのかな？

ぶっちゃけ、nyとか使って同人落とすくらいなら山田に感染してる奴から落としたほうが良い

>679
ttp://220.254.5.211:8000/2ch/ex14_news4vip/1141/1141754837.html
・・・（´・ω・）ｽ

こうしてみてるとほとんどの感染者がでかいディスプレイを使ってる・・・



1024x768から卒業しようかな（´・ω・）

>>678
そういやそうだった（´・ω・）ｽﾈ
片っ端から試す（´・ω・）ｽ

>>681
二次感染（´・ω・） ｶﾜｲｿｽ

>>682
それマリー鯖。
>>601はタルラーク鯖なので別人だと思われま(´・ω・)ｽ

>>682
マビノギ君（´・ω・） ｶﾜｲｿｽ

>>686
>>601とは別人で（´・ω・） ｽｶ?
という事は1つのゲームに感染者が何人も居るって事（´・ω・） ｽﾈ

P2Pをやっていて山田の事を知らないって人多いんで（´・ω・） ｽｶﾈ
騒ぎになってるのは2chだけ（´・ω・） ｽ?

きっと他人事だと思ってるん（´・ω・）ｽﾖ

>>683
なんかﾜﾗﾀ

>>683
wwwwWwwwwW

傘！！！！！！！！！！！！

つ #屆q峩揩U

#屆q峩揩U って何のこと（´・ω・） ｽ？

#p}6�O=4C
#p}6鋳ｼ忽
#(ｫ7硲tq7

ﾂｲﾃﾞﾀﾞｶﾗ･･･

あらたな感染経路が発覚の模様

913 ：Socket774 [sage] ：2006/03/08(水) 21:31:33 ID:1ELWdTQq
ども、禿げダンディーな知人ですが再び・・・
ネットが通ったのでルーター買ってきたのだが使い方が分からないんで教えてくれ、と来ました・・・
で、行って見ると・・・既に山田オルタに感染・・・しかもウイルスバスター買ってるのに入れてない・・・
nyとか洒落をしたのではなく、韓国系から買った無の動画DVDから感染してました・・・
取り合えずHDDをフォーマット＞Windows再インストール＞ウイルスバスターインストールとやってきました。
組んだときに正体不明のファイルは開くな、と言ったのになにやってるんだよ禿げダンディー。

教習所に予約入れて、ネットゲームにいそしんで、ムフフなサイト見てた
用心深いドクロ感染者の方、見てくれてるかな？？

動画ファイル詰め合わせのDVD-ROMなん（´・ω・）ｽｶﾈ?
それとも映像としてのDVDなん（´・ω・）ｽｶﾈ?

てｓｔ

>>697
追加転載（´・ω・）ｽ

953 ：Socket774 [sage] ：2006/03/09(木) 02:32:16 ID:AS9UfuxZ
>>948
ディスクの中身がexe方式の圧縮ファイルで入ってました。まぁ圧縮ファイル名が
「(無修正)北米版〜〜〜.rar .exe」
って感じだったので流れてる物をそのまま焼いたんでしょうね。
で、確認してみると解凍時に一緒にオルタもインストしてくれるという嫌な方向に便利な物でした・・・

と言うか禿げダンディーな知人。いつの間にか二次元に転向しかけてる・・・
入ってた動画がバイブルブラック(北米版)、夜勤病棟(北米版)、魔界天使ジブリール(北米版)、顔の無い月(無修正版)・・・
なんというか濃い趣味です・・・
ちなみに再セットアップのお礼にメイドカフェに連れて行ってやる、と言われて断って逃げてきました・・・

解凍時にオルタインストなんて出来るのかね？
例の解凍ソフトの脆弱性を利用してるのかな？

>>700
.exeだから自己解凍形式じゃない（´・ω・）ｽか？
それなら結構簡単に仕込める（´・ω・）ｽ

ああ、事故解凍形式化。よく読んでなかったｽﾏｿ。

先ほど水戸黄門風の写真で目が光ってる写真が
でてきましたが、ウイルスですか？

(´･ω･｀) 知らんがな

そうですよね。いちおう、マカヒーかけたので気のせいだと思います。
いまから学校いってきます。それでは。

間かフィーはあてにならん

avast更新来たが・・・はてさて・・・

test

ノートン先生、7日にも更新あったのか

山田オルタナティブに亜種？【Winnyを介して感染する】
http://live22x.2ch.net/test/read.cgi/news/1141845495/

また（´・ω・）ｽか・・・

>>663
API呼び出しの部分はステップオーバーしたほうが追いかけやすい(´･ω･)ｽ

>>664
ｶﾞｯ(´･ω･)ｽ

暫くぶりに来て見たら、亜種で大変なことになってるんで（´・ω・）ｽね

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

特だねでny使用者50万人で
27万人が感染してるらしい（´・ω・）ｽ

>>714
そんなに感染してたら、収集追いつかない（´・ω・）ｽ
あと、２７万の中に自分も入ってそうなきが（´・ω・）ｽ

>>713
安全性が向上する

ウィルス保持なら40万人超えている気がする（´・ω・）ｽ

>>714
煽ってるのかよく分からない特集でした
ワイドショーやニュース番組と謳ってるものは良くも悪くもかなり前からバラエティにしかなってない（´・ω・）ｽﾈ
27万ていうのは多分NISC？が把握してる、もしくは追跡しているウィルスの保持者、又はキャッシュ保持の数字かと
フジ独自や番組予算で調査できるようなトラフィック解析じゃないと思うので
理論的にはファイルの一次公開者は絞れるはずで（´・ω・）ｽが
いくつか問題を突破しないとやはり難しいと思いま（´・ω・）ｽ

>>718
流れてる（´・ω・）ｽｶ？
ハッシュキボン（´・ω・）ｽ

27万はお得意の情報操作でしょ
実際よりも大幅に多い感染者数をでっち上げて
｢こんなに感染してる人がいるのなら警察や自衛隊とかが感染してもおかしくはないな｣と思わせて
警察や自衛隊は悪くないという方向に世論を誘導しようとしている
それとWinnyは怖いというイメージを大衆に植え付けることで
Winnyのこれ以上の一般への広まりを抑制したいという思惑も見てとれる

とくダネ！のは、過去にウイルスに
感染した事のある人27万人（´・ω・）ｽ

zipに.scrが仕込まれてる場合、
WinRARのセキュリティ設定で
*.exe *.com *.pif *.scr *.bat *.cmd *.lnk除外してあれば大丈夫ですか？

怪しいものをダウンロードしなければｲｲ（´・ω・） ｽ

自作ポエムを落とす作業に戻る（´・ω・） ｽ

exe・scrフィルタかけて動画のみだからとりあえず安心かな
山田幸とかも全然興味ないから落とさんし

>>725
（´・ω・） ｶﾜｲｿｽ

>>726
ｱｰｯ！！(´･ω･)ｽ

http://shimizusaki.hp.infoseek.co.jp/cgi-bin/img/522.jpg
（´・ω・） ｶﾜｲｿｽ

山田系のウィルスはマジ油断ならん(´･ω･)ｽ
亜種、変種はｎｙじゃなくても感染するから、Aウィルスの他に
駆除ツールやら検索ツール使用しなきゃならんし
寒い時代になったもん(´･ω･)ｽ

Winnyやらないからどーせ俺は感染しないしｗ

730 ：[名無し]さん(bin+cue).rar [sageつりいと] ：2006/03/09(木) 21:41:12 ID:ny3C6l0O0
Winnyやらないからどーせ俺は感染しないしｗ


目欄で保険かけるの(´･ω･)ｶﾜｲｿｽ

(´ﾟc_,ﾟ` ) ﾌﾟｯ

でもIDがny

>>730
(´･ω･)ｶﾜｲｿｽ

(´＾ิ�u＾ิ｀)ｸﾜｯ

（◛ิc_◛ิ ）

発狂した(´･ω･)ｽ

大丈夫（´・ω・）ｽ

誰もいないのでこのスレ乗っ取る(´＾ิ�u＾ิ｀)ｽ？

(´･ω･)

(´・ω・)？

nyは巣にお帰りください(´･ω･)ｽ

>>739
（´・ω・）？

(´･ω･` )

(･ω･` ) …

ｷﾃｨはあぼーん（´・ω・） ｽ

>>586
亀ﾚｽｽﾏｿ
下のほうはマイナス記号だった（´・ω・） ｽ
とりあえず問題ないようなので一安心（´・ω・） ｽ
ありがとうございました

AMON ファイル C:\\naruto296 .scr Win32/Kakkeys.H トロイ 削除済み アプリケーションの新規ファイル作成時にイベントが発生しました

NOD32定義ファイル: 1.1436 (20060309)
Win32/Kakkeys.F, Win32/Kakkeys.G (2)

NOD32定義ファイル: 1.1433 (20060307)
Win32/Kakkeys.H (2)

ウィルスの中に
zz:\ (^^) \.x:y'z
ara-key
-StartUp
とかあるやつってどんな動作するタイプ？

*dir での表示。
2004/07/30 23:09 651,264 【アプリ】 ローゼンメイデン - 水銀燈winampスキン.exe

また亜種（´・ω・）ｽｶ

ttp://internet.watch.impress.co.jp/cda/news/2006/03/10/11193.html
「Winnyマシンには個人情報は一切入れない、残さない」マカフィーが警告

マカフィーでは企業向けASP型ウイルス対策製品「McAfee Managed VirusScan」で
集めた統計情報の中から、Antinnyを検知したファイル数を公開した。
それによれば3月2日には188件、3日には190件、 4日には125件、5日に186件を検知。
また6日には237件、7日には307件、8日には161件を記録したという。

ny入れてるPCにだけ気を付けりゃ良いってもんじゃないだろw

ｎｙ専用マシンでやれってことだね

>>751
いや違うだろ

ny専用ＰＣ・・・

nyダウンロード専用ＰＣだとしたら馬鹿。
(解凍・閲覧も含めた)ny専用ＰＣならセーフ

同じネットワークに繋がってるPCから根こそぎ情報吸い出すウイルスなんかが
出来た日には、ny専用PCて方法も無駄になる(´･ω･) ｽﾈ

共有フォルダーは専用PCだけに設定して、Getしたものは他のPCから吸い上げるのは駄目？

>>755
>Getしたものは他のPCから吸い上げるのは
吸い上げたＰＣがあぼーん

winny専用ＰＣは安全な罠

>756
ごめん、書き方悪かった。
専用PCでウイルスチェックや再生の確認後に他のPCが専用PCのファイルを掴みにいく。
専用PCには他のPCに対してネットワーク割り当てをしなければ、今回のようなウイルスに万が一掛かってもOKかな？

>>757
>ウイルスチェック
新種だったらウィルス対策ソフトは無意味


WinRAR で圧縮ファイル内の.exeファイルを削除すれば大丈夫
解凍等を Ｗクリックだけで済ませるものは危険 (らさとか初心者向きのやつ)
エクスプローラーは必ず詳細表示で使う (詳細表示だとファイルタイプも表示される. 大きいアイコンだと区別がつかない)

>758
ご丁寧にありがとうです。
常に注意が必要ですね。

仮にうっかり *.exeをクリックしても、実行できないように
セキュリティポリシーで設定してもよいかもだね。OS依存だけども。

ttp://www.atmarkit.co.jp/fsecurity/rensai/securitytips/028localpol.html

SP2だとexe実行するとき警告出るけど山だの場合もでるよね？
それでも実行する人いるの？

>>761
IE経由のexeじゃないと警告は出ない(´･ω･) ｽ

ttp://internet.watch.impress.co.jp/static/index/2006/03/10/
本誌記事に見る“Winny流出”

>>763
これは既出じゃなかったのか
>　　　　　　　　　　　　　　　　　　　　　　　　　　佐消組第　　　号
>　　　　　　　　　　　　　　　　　　　　　　　平成１４年１１月　　日
>　関東総合通信局長　様
>　　　　　　　　　　　　　　　　　　　　佐野地区広域消防組合
>　　　　　　　　　　　　　　　　　　　　組合長　ほにゃらら
>無線局免許状の返納について
>　このことについて、当組合所属の無線局を下記の理由により廃止いたしま
>すので、電波法第２４条の規定に基づき、免許状を返納いたします。
>　　　　　　　　　　　　　　　　記
>廃止の理由　　免許の番号　　　関移第１８２１８８号

2005/08/04感染・　〜のドキュメント.zip 作成となってる

>>761
*.exeを実行しようとしたときに警告が出る仕組みね↓
ttp://itpro.nikkeibp.co.jp/article/Windows/20051215/226271/

拡張子が偽装されてたら警告は出なかったような気がする。うろ覚え(´･ω･)ｽけど

あっ検索したら既出だった orz

2006/03/07ダウンしたファイル・・・

403 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2006/03/11(土) 05:43:09 ID:oMf8+Hmg0
avast、最新定義にて0.11のupdateに対応。
しかし、感染源ファイルは検地しない（´・ω・）ｽ

404 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2006/03/11(土) 05:45:29 ID:oMf8+Hmg0
>>403に追記
0.11のupdate.exeの検体に対応を確認しました。
他のVerは不明です。
ちなみに感染源ファイルは私の確認した中では
すくーるヘブンのstartup.exeには反応しましたが、平原には反応しませんでした


avastやっと対応（´・ω・）ｽｶ

書き込みがないのは
平和な証拠(´＾ิ�u＾ิ｀)ｽﾈ

忘れられてるだけ（´・ω・） ｽ

ヤツに気づいてないだけ(`･ω･´)ｻ

もっとみんなに忘れられるまでヲチ休み（´・ω・） ｽ

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

↑頭、お留守ですかぁ〜？

>>768
スレタイに「山田」がないから目立ないだけ（´・ω・）ｽ

やべええええ、　　　　　　　　　　　　　　　.scr踏んじまった（'A`)
なんか、1分ほど削除できなくて、その削除後できるようになったから
なんかインストールされた予感（'A`)
どうすればいいんでしょう(´・ω・`)

>>775
とりあえずケーブル引っこ抜いてウイルススキャン
検出されなかったらクリーンインストール（´・ω・） ｽ

>>775
まず
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
を見るんだ

変なのがあったら削除。

盛り上がってないけど
感染者は拡大してる（´・ω・） ｽ

>>776
Cドライブスキャンしても、何もでてこなかったです
>>777
どれが変なのかわからないです

>>779

とりあえずDOS窓開いて
netstat -ano

を開け。
80とか8080とか開いてたらアタリだ。

regeditの画面をさらしてみたら？

>>779
踏んだscrのハッシュは？

とりあえずDOS窓開いて
netstat -ano

XP以外ならﾀﾞﾒ（´・ω・） ｽ

>>780
大丈夫みたいです。
踏んでから再起動してないので、一回再起動してみます

>>784
…するなよ

感染した瞬間share使用を中止すれば、被害でないんですか？

>>786
種類にもよるが、山田系ならまるで意味はないな
ドクロならとりあえずの措置にはなるが

>>787
ドクロはsharaに寄生するとは限らない

>>786
これまでの流れでは山田やドクロに関するチェックの話しか出てない
他のウイルスに感染している可能性は否定できない
心配ならクリーンインストールするのがオススメ

Winamp使ってるのに、WMPのマークダブルクリックしてしまった自分を殴ってしまいたい(´・ω・`)

そして原田ウイルス感染か。
オリジナルアイコンさいきょー。

原田ウイルスだったのか・・・
とりあえず前回の復元地点で復元しておきます

＞再起動
＞復元
いろいろ（´・ω・） ｶﾜｲｿｽ

まったく意味のないことだったのか(´・ω・`)

復元したときに戻るのは「システムの復元」の通りシステム関連のファイル（´・ω・） ｽ
つまりレジストリいじったりしないウイルスの場合スルーされて残る（´・ω・） ｽ
それと最初にクリックした時点でスタートアップにウイルスを登録して
次回起動時にウイルスが活動するものもあったと思う（´・ω・） ｽ

てことは、自らウイルスを踏もうとしたのか(´・ω・`)

shareフォルダにうｐファイルが、消しても消しても出てくるようになったし
やっぱり、クリーンインストールすることにします

ふと思ったの。
SSを撮るプロセスを監視、遮断、警告できる常駐ソフトってあると良いと思うの。
誰か作ってw

SSを撮るプロセスを監視、遮断したい！！
│
├　1．PCを買い換える
│　　　　　　　　　　　　　　　　　　　　　　　　　　　 　　
│　　　　［まちがい］　　　　　　　　　　　　　　　　　　　　　　　　　
│　　　　　 確実な方法ではありますが、お金がかかるのが難点です。
│　　　　 　それよりも別の手段を探してみませんか？
│　　　　　　ちょっとしたフリーウェアでなんとかなるかも？
│　　　　　　　　　　　　　　↑
│　　　　　　　　　　ココがポイント！
│
└　2．RegSeekerを使う

　　　　　　[せいかい]

Regseeker
ttp://www.hoverdesk.net/freeware.htm
RegSeeker1.3Beta日本語ファイル
ttp://downloads.at.infoseek.co.jp/

チェックしようと思ったらクリックがチャタリングした…
｡･ﾟ･(ﾉД`)ｲｯｼｭﾝﾀﾞｯﾀﾖ…

>>799
だましなた！

RegSeeker（´・ω・）ｶﾜｲｿｽ

(´＾ิ�u＾ิ｀)ｸﾜｯ

自分で使う分には楽しいがな。あのばっさり感がたまらん。
人には薦めん。

>>795
システムの復元はレジストリやシステムファイルばかりじゃなく、実行ファイル消したり復元したりもするよ。
同名ファイルリネームしたりもするし、フォルダが復活したりもする。

>>798
ひまぐらま:ダウンロード
http://blog.livedoor.jp/hpg/archives/download.html?onRollOut=%5Btype+Function%5D

(´・ω・) バリアーｽ
P2P中のﾀﾞｳｿﾌｫﾙﾀﾞを見張る！初心者用お守りツール。

(´・ω・) バリアーｽ　ver0.8.5 　（Win2000/XP用）2006/03/05
単体ﾌｧｲﾙ：要・VisualBasic6.0基本ランタイム

2,679,055 (同人誌) [犬] 水銀燈は「」が好き (ローゼンメイデン).lzhの中身
1994/05/16 05:10 357,377 000.exe
2002/03/21 03:06 357,377 001.exe
1998/02/06 08:33 357,377 002.exe
1984/01/01 23:56 357,377 003.exe
1982/07/03 11:39 357,377 004.exe
1994/09/15 04:04 357,377 005.exe
1999/06/25 16:43 357,377 006.exe
2000/05/18 06:17 357,377 007.exe
1992/01/05 18:58 357,377 008.exe
1992/06/20 06:59 357,377 009.exe
1985/01/04 08:43 357,377 010.exe
2000/09/02 09:44 357,377 011.exe
1981/02/16 17:31 357,377 012.exe
1996/11/05 09:12 357,377 013.exe
・・・。
ゴミだった
そろそろ、.lzh を無視リストに入れるか

なかみ
ttps://www.accsjp.or.jp/cgi-bin/form/piracy/webform.cgi
に投稿しようとしてるらしい

【晒し挙げ】%s %sのデスクトップ[%s](ファイル詰め合わせ)
【晒し挙げ】%s %sのデスクトップ[%s].jpg
これは何番目のウィルス？ (^_^;)

>>807
ﾜﾛｽｗｗｗｗｗｗｗｗｗｗ

>808
なんかF5爆撃くらったように重いね＞ACCS

と思ってよく見たら、Antinyの爆撃をくらっている旧アドレスじゃないか
そこに投げようとしてもむだなんだけど・・・・
これって、古いウイルスなんじゃないか？

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

いつからここはウィルス入り報告スレになったん（´・ω・） ｽ?

きっと住処で報告すると叩かれるから（´・ω・）ｽ

最近、中にEXEが入ってないとガッカリする

ID:Qzap2A3T0が楽しそう

この分なら次スレは必要ない（´・ω・）ｽかね

祭りの始末を

今はSCの方が賑やかだね
もっとも、感染者は日本人以外の方が多いみたいだがw

PCのP2Pとウィルス対策ソフト以外をほぼ休止状態にできるソフトとか作れば
サーバーとかを構築される余地もなくなって、流出防止にならないかな？

SC？

>>820
Winny ウイルス対策
http://tmp6.2ch.net/test/read.cgi/download/1142034586/l50

これの事だと思う。

今回の山田オルタがウイルス対策のプロセスを強制終了させるように
感染したらP2Pのみを継続的に強制終了させるウイルスも作れるなぁ…と思った（´・ω・） ｽ

勿論他のことにも応用利きそうで（´・ω・） ｺﾜｽ

そりゃできるでしょ
でも、P2Pが感染の主経路である以上、感染させてなんぼのウィルスが
そんな動作するわけないス
仮にそんなウィルが出回ったら、どこが作ったかまるわかりスwww

>>821
小泉ｳｨﾙｽのやつ（´・ω・） ｽｶ…?
�dｸ（´・ω・） ｽ

ttp://japan.internet.com/webtech/20060313/4.html
>株式会社アンラボは13日、ファイル交換プログラム「Winny」に感染するウイルスの専用ワクチンソフトを無料公開した。

この表現てどうなんだろうね。nyを媒介して感染するウイルスなら正しいけど･･･

「Winny」で感染する


この表現ならおかしくはなかったのにね

>>826
それだとWinnyがウィルスを内蔵してるようにも読めるよ。
うｐろだとかからの感染とかもあったので、

「Winny」などを介して得たファイルによって感染する

ってのが、正しい希ガス
どのマスメディアもWinnyがウィルスみたいな書き方で
なんか違和感感じる。

むちとはげにおそろしきものかな

ニュイルスにかかる人は自分で泥棒手引きしてるようなもの（´・ω・） ｽ

マウスを使用し、エクスプローラーを介して感染。
コマンド打った場合は、キーボードを使用し、cmd.exeを介して感染。
感染元は各種ファイルである。

>>825でwinny.exeが感染とあった。
みんなそう？かわいそす？

█

>>831
（´・ω・） ｽ

ｎｙ質問スレのテンプレサイトで公開してるWinny2b71.zipのも感染手でるね。
大丈夫ぽい、すんまそ。

ちゃんと説明よめ（´・ω・） ｽ

＞また、ワクチンは全フォルダを自動検索し、Winny そのものが PC 内に存在するかどうかも検索するが、削除は行わない方針だ。

なーるほど注意書きあんま見てなかった。infectedって出たからちょい動揺したっす

>>825
このワクチン、結果をどっかに送ってないだろうな
もし送られてたらWinny使ってるの丸判りだぞ？

「Winny」などを介して得た違法ファイルに埋め込まれたウィルスに、
セキュリティ意識・技術が低い使用者が感染する


こう言うべき
winnyなどのP2Pソフト・技術自体に罪はない。


Shareも然り。
だから正式名称を「ポエム頒布機」にしとけと言ったんだよ・・・＞村長

うｐする行為が違法なのであって
違法ファイルなどというものは存在しない

>>825
なんだよそこの

「Winny専用ワクチン」

っていう表現はｗｗｗｗｗｗｗ
いっそのこと、nyのアンインストールexeを配布すればいいんじゃね？＞ウィルス対策屋
ついでにBIOS弄って、二度とnyを使用できなくするexeを。

会社のPC管理してる奴が大助かりだよそれ。

>>839
健全な「自作ポエム」ならうｐしてもオッケーです。

Shareには「(ポエム)」というカテゴリが細々と生きていますｗｗｗ

>>827
芋づる式（´・ω・） ｽ

>>837でした…（;´・ω・） ｽ

法人用ならもう出てるよ

http://www.rbbtoday.com/news/20060302/29294.html

＞アドバンス検索ツールでは、Winny専用のパターンファイルにより、
＞クライアントにインストールされたWinnyを検出。必要に応じて削除ができる。
＞さらにネットワークの管理者が、ユーザに知られることなくWinnyの検索と削除が行える。

>>837
自分の見た限り、そんな挙動はなかった（´・ω・） ｽ

>>841
言葉が足りんかったか

行為が伴って初めて違法となりえるのであって
いわゆる「違法ファイル」などないってこと

俺の腐った脳じゃ理解できな（´・ω・） ｽ
ポエムみたいな著作権的に大丈夫なものをうｐする行為は合法（´・ω・） ｽ？
じゃあどんなファイルをうｐする行為は違法（´・ω・） ｽｶ？

行為が伴って

>>847
細かいことは省く(´･ω･) ｽけど

そのファイルによって、誰かが儲けてる可能性があるものは
許可なくうｐしてはだめなんで(´･ω･) ｽ

たとえば>>847がポエムを売って稼いでるとしま(´･ω･) ｽ
そのとき、>>847以外の人は、>>847に許可を得ないとうｐできないんで(´･ω･) ｽ
勝手にうｐされると、>>847にお金が入らなくなってしまいま(´･ω･) ｽ
そしたら>>847は困りま(´･ω･) ｽよね

>>849
わざわざありがとうございま（´・ω・） ｽ
でも俺がわからないのは違法なファイルはないって事で（´・ω・） ｽ

>>846が言ってるのは>>849が言うようなファイルをうｐしようとする使用者の意思が違法ってこと（´・ω・） ｽｶ？

ｵｲﾗは>>846じゃないけど、違法なファイルと言われてるものはある(´･ω･) ｽ
例えば児童ポルノものは通称「児ポ法」により所持すら違法で(´･ω･) ｽ

無修正ものは国内に流通させると「わいせつ物頒布」にあたるのでうｐはNG、
その他著作権のある楽曲や映像・画像なんかも「著作権侵害」「肖像権侵害」ってことで
権利を持ってる人が訴えた時に限り(親告罪)、ﾀｲｰﾎの可能性がでま(´･ω･) ｽ

わかりにくかったらｺﾞﾒ(´･ω･) ｽ

合法写真マジ最高

ぬこ画像（´・ω・）ｽﾈ

あと景色もいい（´・ω・）ｽﾖ

>>853
うむ、ぬこ画像収集は健全だな

ぬこのハッシュおながいします

試しに「猫　画像」で検索してみよっと（´・ω・）ｽ
ついでにうちの猫写真も放流してみる（´・ω・）ｽ
これを機にP2P猫ラッシュブームを起こす（´・ω・）ｽ

デスクトップ画像集も忘れてはいけませんぞ

それじゃ友達の音痴なカラオケでもｗ

写真系の画像ってのも難しいね。
どこぞの市販写真集のだったりしたらアウトっぽいよね。
exifついてりゃ多少は良いが、加工品になると判んない。
知らないうちに ｶﾜｲｿｽ になっちゃうかもー

197 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2006/03/14(火) 00:47:53 ID:OQT/868s0
つーか、ここは落ｽﾚ（´・ω・） ｽ
救済したいならよそ池（´・ω・） ｽ

次スレ必要（´・ω・） ｽ?

ヲチヲチスレといい分けたがる人多い（´・ω・）ｽﾈ

統合したがるﾔｼのおかげでカオスに陥るから（´・ω・） ｽ

ぶっちゃけヲチって板違いじゃないん（´・ω・） ｽｶ?

もう爆撃を防ぐ意味もないのでここにある必要はない（´・ω・） ｽ

でもその人のdownリストに
ロリとかレイプものとか入ってるのを見ると
（　´ω`）…ってなる

>>862
ヲチヲチスレ（´・ω・） ｽ？

>>867
「山田ヲチスレをヲチするスレ」（´・ω・） ｽ

なんでこんなのに感染できるの？

>>851
亀レスで（´・ω・）ｽが、児ポ法って不特定多数への頒布目的での所持が違法だった希ガス
もっとも学生のとき条文読んだきりだから改正されてるかもしれないで（´・ω・）ｽが。

んーと今単純で逮捕されるのは奈良だけみたい（´・ω・）ｽ

>>871
ﾄﾝｸ（´・ω・）ｽ

http://www.corebooks.jp/tuhan/zassi/2006/core/4910186210567.jpg
いくらなんでもこれはないな

最近八方美人のｴﾛｹﾞ無いな〜

>>874
ARはある意味八方美人のエロゲだったよ

今、とくダネ Winny個人情報流出特集.mpgというのをDLして見たんだけど
とんでもない大嘘説明してた

なんか混沌としてきましたね

今週号のFLASHで、
nyの流出特集やってた

これ山田にも有効（´・ω・）ｽ？
エロい人検証お願い（´・ω・）ｽ

悪意のあるソフトウェアの削除ツール
公開日 : 2005 年 2 月 17 日 | 更新日 : 2006 年 3 月 15 日
ttp://www.microsoft.com/japan/security/malwareremove/default.mspx

このニュースに出てますね。

マイクロソフトもWinnyウイルス対策強化、解説サイトを公開
ttp://www.itmedia.co.jp/enterprise/articles/0603/15/news025.html

>Antinnyをはじめとする情報流出型のウイルス、43種類の駆除を行えるようにした。

悪意のあるソフトウェアの削除ツールにより駆除されるファミリー
ttp://www.microsoft.com/japan/security/malwareremove/families.mspx

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>881
やっぱり撒く方もそれなり（´・ω・） ｽﾈ

2006年1月1日更新のexeﾊｯｹｿ
いじいじしてみる・・

winnyって全然興味なかったけど猫画像は見てみたい。
でもパソコンの知識はあんまり自信ない。
猫画像目的でwinnyやるのって危険かな？
アニメやらエロ画像やら、そういうのは興味ないけど。

興味ないと思っていてもいづれ手が出るのが怖いところ。

>>884
自信がないなら手を出さない方が無難だと思う（´・ω・） ｽ
ぬこ画像目的なら本日の一枚スレとか
うｐろだ巡りで十分な気もする（´・ω・） ｽ

>>885-884
そか。じゃあやっぱやめておく。
アドバイスありがと（´・ω・） ｽ

ぬこ画像に関して言えば趣味系の犬猫大好き板でそんな感じのスレがあった希ガス
ぬこ虐待とかのグロ画像もたまに貼られるが

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

ぬこ画像なら画像掲示板に猫板が（´・ω・） ｱﾙｽ
ttp://www.2chan.net/

猫画像のあるスレや掲示板、色々見つけた（´・ω・） ｽ
本当にありがとう（´・ω・） ｽ
もう名無しに戻る（´・ω・） ｽ

ttp://up.2chan.net/d/src/1142434897857.jpg
右のパグの顔ﾜﾛｽｗｗｗｗｗ

>>891
オメデト（´・ω・） ｽ
改めて見て気付いたんだけど、省略してるので
>>886だけじゃどこのスレか分かりづらい（´・ω・） ｽﾈ
ペットうｐ板のスレ（´・ω・） ｽ
とらまるﾀﾝ可愛い（´・ω・） ｽ

tbs

>>889
楽しそう（´・ω・） ｽﾈ

富山のローカルでのwinnyウィルス対策ﾜﾗﾀ（´・ω・） ｽ
winnyは入れただけで100％ウィルスに感染するらしい（´・ω・） ｽ
対策にはスパイボットでウィルスが駆除できるらしい（´・ω・） ｽ

山田もこれで消せるん（´・ω・） ｽかね？

>>896
富山ローカルTVの番組での紹介（´・ω・） ｽか？
かなりﾜﾛ（´・ω・） ｽ＆ｶﾜｲｿ（´・ω・） ｽ

ttp://internet.watch.impress.co.jp/cda/news/2006/03/17/11304.html
ローカルドライブを全公開、Winny流出させる新たなウイルス「Exponny」

898のウイルスってダウン板になんか情報あったっけ？初耳なんだが。
でも情報元がシマンテック・・・マジ？

勝手な想像だけど対応してなかったキンタマ亜種に対応しましたとかそんなんじゃねーの

>>899
これ、15日に作られたヤツだな

ttp://tmp6.2ch.net/test/read.cgi/download/1141537621/519

で報告したんだがわからんかった
FF12〜のファイルに多量に含まれてたよ

>>901
thx
他スレの情報も探してみる。

あれ？漏れの先生V3aに反応しない（´・ω・） ｽ
V3aのCRC教えてほしい（´・ω・） ｽ

Exponny＝万博キンタマ

>>904
万博キンタマってなによ？w

Expoってだけで万博かｗ

シマンテックのオンラインスキャンを実行すると
PFWがアプリの通信警告だしてくるんだけどだいじょぶ？
数日前まで出てなかったように思うんだが。

ちなみにWSOOPScan.exeってやつ

>>898
また強力なのが出たんで（´・ω・）ｽね

>907
ttp://forums.slickdeals.net/archive/index.php/t-203607.html

なんかよくわからんけどｵﾝﾗｲﾝﾎﾟｰｶｰの奴じゃね？って外人が言ってる
何してっかはわからん

やべぇｗｗｗｗ攻殻フォルダあるｗｗｗｗｗｗｗｗｗ
てかハッシュ計算に時間かかりすぎてばれるんじゃね？

もうこれからは内蔵HDDにあらゆるデータを溜めるというシステムが見直される時だな。
OSのデータ以外は基本的にいつでもリムーバブル可能なスティックなんかを使うのを
標準的にするようなPCを普及していけばいいのではないか。

>>911
それだとデーターの持ち出しできちゃう。

基本的にホストPCにのみデーター入れておいて
クライアントPCにはデーターの保存が出来ないようにしとけばOK

もちろん各種ストレージは禁止っつーかUSBですら接続禁止にするのが妥当

>>911
何かもう、盗んでくださいといわんばかりだな

ここまで被害が広がったのは、日本人が平和ボケしてしまったからだ。
こんなことを事前に防げるよう、
これからの教育には愛国心を盛り込むことにしましょう。


と公明党を説得する自民党

シンクライアントやね
ttp://enterprise.watch.impress.co.jp/cda/ohkawara/2005/08/29/6026.html

既に大規模な単位でPCを導入している企業や団体への導入は相当厳しいけど、
これから新しく導入するようなケースなら何かの保険にはなるとｵﾓ
J隊やK札とかなｗ

しかしあれだね。今までの報道もたいていは外部にデーター持ち出して
そこから流出してる。情報管理の甘さが暴露されたって感じやね。

普通アクセス権限の設定とUSBの接続禁止設定するよね。

某ISPみたく流出した情報の被害者に一万円分の金券やるとかしないのかな

>>916
ポリシーを適切に設定してない管理者がどんだけ多いか
露呈されたみたいなものだね
IDSの存在など考えたこともないのだろうな。。

>>917
ｵｲﾗの知ってる孫さんは、500円分の金券を撒いていたよ('A`)

リスクインパクトなんて項目が出来てたのか

タスクマネージャーのプロセスを見ると
「update.exe」「sys.exe」は無いけど
「updater.exe」が２つもありました。

Program filesには「sysフォルダ」「updateフォルダ」
ともありませんでした。
まとめサイトの確認方法にあった４つのURLは全部
「ページを表示できません」でした。
レジストリエディタというのも確認しましたが
まとめサイトに書かれているものはありませんでした。
ノートンのスキャンで何も出てきませんでした。
これはセーフということでしょうか？

２日前まではプロセスに「updater.exe」が無かったので
この２つが何なのかわからず心配しています。
ググってみたらウイルスのような感じもするし・・・
説明不足でわかりにくいかもしれませんが
よろしくお願いします。

>>920
C:\Windows\system32\drivers\etc\hosts
というファイルの中身が見たい

アウト
感染してる

>>920
(´･ω･) ｶﾜｲｿｽ

レスありがとうございます。
>>921
中身？はこれしか書いてなかったです。
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

>>922-923
やっぱりそうなんですかorz
まとめサイトの駆除方法を実行したくても
sys.exeも無いし、レジストリエディタにも削除するものが無いし
どうすればいいのでしょうか。

>>924
updater.exe を HDD から検索して、何処にあるか調べる。

>>924
俺もHDD内検索したんだけど同じのあったよ
多分、FirefoxとThunderbirdじゃないかい？

>>924
http://www.google.com/search?hl=ja&q=updater.exe+%E3%82%BF%E3%82%B9%E3%82%AF%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%A3%E3%83%BC&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

>>925
７つありました。updater.exeそのものは２つでした。
その２つがプロセスに出てた２つでしょうか。

AUPDATE.EXE-2253CB60.pf( WINDOWS\Prefetch )
updater.exe ( Spybot-Search&Destroy )
AUPDATE.EXE ( Program Files\Symantec\LiveUpdate )
QplayUpdater.exe ( Program Files\Toshiba\QosmioPlayerUtility)
QplayUpdater.exe.manifest( Program Files\Toshiba\QosmioPlayerUtility)
netfxupdate.exe　( WINDOWS\Microsoft.NET\Framework\v1.1.4322 )
updater.exe.ref　( WINDOWS\system32\PreInstall\WinSE\wxp_x86_0411_v1)

>>926
そうなんですか！
感染じゃなくても見つかる場合があるんですね。
ノートンとSpybotみたいなんですが
私も感染でなければ嬉しいのですが・・・

>>927
ありがとうございます。
読みに行ってきます。

>>928
見た感じのプロセスなら大丈夫だよ
それで正常だと思う
updater.exeであったらまずいのはWinFixerだけみたいだね
山田オルタであってまずいのはsys.exeとupdate.exe（これがあったらやばす）のプロセスだけだから
安心しる！！
まぁ心配なようならトレンドマイクロとシマンテックのオンラインスキャンでもしてみたらいいんじゃないかな

追記
updater.exeとupdate.exeは全然違うからね

>>930
よかった、さっきまでｶﾞｸﾌﾞﾙしてたのでホッとしました。(´Д⊂
念の為にオンラインスキャンもやっておこうと思います。
アドバイスありがとうございました。

レス下さった皆さん、本当にありがとうございました。
必要事項がわからず、一度で書かずに
何度もダラダラと書き込んですみませんでした。

さっきNIS'03がsmss.exeでex14.2ch.net(206.223.151.225)、http(80)への接続警告出した
タスクマネージャーでユーザー名で実行されてるsmss.exeを発見

ｎｙで拾ったやつ起動させたとき喰っちまったらしいｗ
スキャンでは検出しなかった

再起動かけて別パーテーションのシステムで起動して
windowsフォルダのsmss.exeとcsrss.exe
systemフォルダのchkntsv.exeを削除
アイコンが拾ったパッチプログラムの奴だった

で再起動するとcsrss.exeが見つからないとダイアログが出てきたが
レジストリとかスタートアップには見当たらずRunOneceで起動させてたか
その後の再起動でもタスクマネージャーには居なくなった

>>932
プロセスエクスプローラ入れとけば場所・会社名すぐ分かって便利よ

ttp://www.sysinternals.com/Utilities/ProcessExplorer.html
置いておきますね

System Safety Monitor
http://www.syssafety.com/
こっちのほうがよくないか？

プロセスチェッカー
ttp://fos.qp.land.to/static/fos_soft/ols_prc.html

サービスチェッカー
ttp://fos.qp.land.to/static/fos_soft/ols_svc.html

スタートアップチェッカー
ttp://fos.qp.land.to/static/fos_soft/ols_sup.html

Win2kなので>>935はありがたかった

>>936は高機能すぎて？とっつきにくいな
どこらへんがお薦めなのかな

>>938
937のを全部チェックできて未知のexe実行を警告orブロックしてくれるとこかな

っていうか、SSMがとっつきにくいとなると
いま世に出ているｾｷｭ系ツールのほとんどが
とっつきにくいことになると思うんだが

うん
普通の人は意味わかって使ってない（´・ω・）ｽ
インストールしたとしても自分で穴あけちゃう（´・ω・）ｽ

>>935-937
これって無料ツール？

>>935-936は無料だた

935はどこかのＨＰに日本語化パッチが
936は設定で日本語にできた

>>937はｼﾗﾝ

おまいらバリアースを使う（*´・ω・） ｽ　オヌヌメ（´・ω・） ｽ

>>944
うちの環境では頻繁にエラーを吐いて落ちるので落ち着いて使えない
機能的には必要充分だから非常に惜しい
ま、基本的に永遠の人柱版だから仕方ないけど

ところで、>>937はスタートアップチェッカ2nd開発中のためバージョンが止まってるぞ随分前に

>>945
うちは起動中はずっとCPU100%になる(´・ω・) ｽ
タスクマネージャーからしか終了出来なくなる(´・ω・) ｽ

糞PCのせいでしようが残念で(´・ω・) ｽ

ﾎ(´・ω・) ｽ

今ドクロマークがファイル名の頭に付いてるファイルを1個見た(´・ω・) ｽ
ノード部は何も異常なかった(´・ω・) ｽ
ドクロチェッカーでも検出されなかった(´・ω・) ｽ


あれは一体なんだったのか(´・ω・) ｽﾈ？

感染者からのファイルじゃなかった（´・ω・）ｽ?