msblast対策スレ【ICMP祭り開催中】3日目!

このエントリーをはてなブックマークに追加
1時間で52000回・・・なんで?
感染してるとログはどうなる?
送信の山?
381名無しさん@お腹いっぱい。:03/08/18 22:39
>>379
ワラタ
382名無しさん@お腹いっぱい。:03/08/18 22:39
>>379
まさに祭りだな(w
>>380
感染しているヤシはログなど取らんw
384379:03/08/18 22:40
ICMP Traffic2003/08/18 22:40:26送信n/aICMPType 8/0YahooBB220046121019.bbtec.netType 8/0LocalHost

こんなのばっか
うち、しばらくこない ICMP
387379:03/08/18 22:41
ちなみにoutpostです。
>>383
そうなん?
じゃあ・・・


感染者!今すぐログ見て!!
マジで何とかする方法ってないもんだろうか?
まだpingだからいいようなものの、ほかの手段とかだったらちょっと考え物じゃない?
390名無しさん@お腹いっぱい。:03/08/18 22:42
>>384
おいおいw
ping来ない  (´・ω・`)
392名無しさん@お腹いっぱい。:03/08/18 22:42
送信?
393名無しさん@お腹いっぱい。:03/08/18 22:43
>>371
(´-`).。oO(かっこいいなぁ・・・)

>>379
(;・∀・)ダダイジョウブ・・・?
pingめちゃ来てる。
何が起こった?亜種発生?
>379=神!!
396名無しさん@お腹いっぱい。:03/08/18 22:44
>>394
わからない。情報待ち。
397名無しさん@お腹いっぱい。:03/08/18 22:44
>>384
晒しやがったw
port135メインだったのが139メインに変わってるよ。
うちだけ?亜種かいな?
port 80に昼ごろから来ているやつら
220.107.255.22 - - [18/Aug/2003:12:13:26 +0900] "GET / HTTP/1.1" 200 0
"-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

こいつら本当にwin98のIEなのか?
400379:03/08/18 22:46
ICMPの設定変えたら受信から送信にかわった
ログを取ってるヤシがいた…
402名無しさん@お腹いっぱい。:03/08/18 22:46
>>399
こいつも晒しちゃったYO
403名無しさん@お腹いっぱい。:03/08/18 22:47
晒しage祭りか( ´ー`)y-~~
404名無しさん@お腹いっぱい。:03/08/18 22:47
>>399
98でも感染するのかな?
>>400
え?それっていいの?
>>399
 何のログ?Apache?
407名無しさん@お腹いっぱい。:03/08/18 22:48
あのー、ひょっとして漏れのPCになーんも反応がないのって、
ノーdで「デフォルトインバウンドICMP・許可」ってなってるからでつか?

∧‖∧
408名無しさん@お腹いっぱい。:03/08/18 22:48
>>400
あなたは紙でつ
409名無しさん@お腹いっぱい。:03/08/18 22:48
とりあえず確かめとけ

http://scan.sygate.com/
410379:03/08/18 22:48
ううん送信をブロックしてる
http://eucaly.net/monazilla_uploader/1061214456_korenandayo.GIF
411名無しさん@お腹いっぱい。:03/08/18 22:49
>>400
DLLHOST.exeとかない?
412名無しさん@お腹いっぱい。:03/08/18 22:49
>>410
うっせー
413371:03/08/18 22:50
>>393
鯖立ち上げ当時は大変でした。(もう4年半前になりますが)
立ち上げ1週間でBINDのホールのおかげでハックされ
FBIからメールが来ました。
翻訳した内容は
 「あなたのIPアドレスがハッカー集団のPCにリストされています。
 早急に対策を取ってください」
おろおろしていたらIPAから同じ内容の日本語翻訳版のメールが
来ました。
再インストールやらなんやら大変だったですよ
ご愁傷様です。
415名無しさん@お腹いっぱい。:03/08/18 22:51
>>410
FWを晒すなよ(w
>>413
うお!FBIからメール・・・すげー。
>>410
回線切って(r
418名無しさん@お腹いっぱい。:03/08/18 22:52
>>410
やべっ
FBIからのメールなんてスゴイYO!
見てみたいがきてほしくないもんだ・・
420379:03/08/18 22:52
でもなんかIPが順番に並んでPINGされてて
YAHOOしかこない・・・これもなぜ・・・
俺も鯖買ってFBIからメールを貰いたいニダ
422名無しさん@お腹いっぱい。:03/08/18 22:52
>410
これって…マジモノ?
ちゃんとIPも順繰りだし
>>419
FBIに侵入しようとすれば来るかも・・・
424名無しさん@お腹いっぱい。:03/08/18 22:53
で、結局のところ、ど〜〜〜すりゃいいの?
>>384
別のアタックがまた増えちゃうよ…
426名無しさん@お腹いっぱい。:03/08/18 22:53
>>410
タスクマネージャも晒してくれ
427名無しさん@お腹いっぱい。:03/08/18 22:54
俺もFBIのメール欲しーーー家宝にしたいな
俺はORDBからメール貰っちゃった。
429名無しさん@お腹いっぱい。:03/08/18 22:55
FW入れてるのに侵入されたてどういうことやねん
わざわざ135を許可してたのかー?

それとも別マシン(ry
430371:03/08/18 22:55
>>416
 なんでもハッカーのアジトを急襲してPCを押収して解析したら
 うちのIPアドレスがあったらしいです。

 すごいどころか大恥です。
 二度と貰わないよう戒めに残しています。
>>416
ぜんぜん名誉なことじゃないよ。
433名無しさん@お腹いっぱい。:03/08/18 22:57
>>399
漏れと同じでつ。apacheのログですね。
鯖立ててない人には関係なし?
ICMPよりよっぽどうざいんだけど。
434名無しさん@お腹いっぱい。:03/08/18 22:57
yahooをネットから切り離せ! ヽ(`Д´)ノ
漏れさぁ、前はPC全然詳しくなくてさ、アップデートもウイルス駆除ソフトも入れずに
00年〜02年の間ネットに接続してたんだけど、これってやばくない?
>>410
これって感染して、ウイルスばらまくのを一所懸命我慢汁状態では!
>>420
感染してPING打っているんじゃないの?
で、実際に98ormeで感染したやつっているのか?
亜種で感染するって話は聞くが感染したってのは出てないような気がするんだが・・
439379:03/08/18 22:58
ちがうとおもう・・・さっきまでICMPきょかしてたら
受信の許可してたから・・・
440名無しさん@お腹いっぱい。:03/08/18 22:59
おいおまいら、dls-monitorって何だ?
441名無しさん@お腹いっぱい。:03/08/18 22:59
442名無しさん@お腹いっぱい。:03/08/18 22:59
379の中の人は落ちつけ(w
443名無しさん@お腹いっぱい。:03/08/18 23:00
>>441
それですね。DLLHOST.EXE。ついにきましたか。
>>410
フォルダ、
C:\WINNT\system32\wins
の中に何か在る?
445379:03/08/18 23:00
落ち着きますw
なつかしいプロバイダーからpingtが増えてきた
447393:03/08/18 23:00
>>413 FBIからメール・・・凄いですね。

>>422
画像を見た感じ>>410が攻撃してると思われ。
448名無しさん@お腹いっぱい。:03/08/18 23:00
>>441
dキタ━━━━(゚∀゚)━━━━!!
ぎゃース俺のPCどっかに137売ってるよ。ブロックしてるけど。
pingは売ってないな。とりあえずオフライヌ
450名無しさん@お腹いっぱい。:03/08/18 23:01
む、新展開か?

>>379は感染してるってこと?
自分もYBBなの?
なんか23時でping止まった。
受信はともかく
送信エコーがあると自分が感染してるってことですか?
WORM_MSBLAST.D

特 徴:

「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。

現在ウイルス活動を解析中です。情報は随時アップデートしてまいります。

デフォルトでは 10,240 bytes 前後の"DLLHOST.EXE" のファイル名で侵入するものと考えられます。
Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、存在した場合には強制終了させます。また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。

454名無しさん@お腹いっぱい。:03/08/18 23:02
>>441
発見日が26分前・・・。
455名無しさん@お腹いっぱい。:03/08/18 23:02
>>410
(゜ロ゜)ギヨエ!!
456379:03/08/18 23:02
YBBだけど・・・じゃあブロックしてるのは何で?
>>452
夢遊病とかでなければそう
>>454
結構ここからもネタを引っ張っていたりして ♥
>>456
おまえが感染!
460名無しさん@お腹いっぱい。:03/08/18 23:03
461454:03/08/18 23:03
>>458
ははは・・・そんなの嫌です。
>>456
(●´ー`)<嫌われてるんだよ
463名無しさん@お腹いっぱい。:03/08/18 23:04
ルーターを使ってると感染しづらいのかな?
464名無しさん@お腹いっぱい。:03/08/18 23:04
>456
感染源特定しないとこれ駆除してもまた(ry
Blaster騒ぎの後からFW入れたとか?
DLLHOST.EXE
のファイルがシステムフォルダ内以外にないかどうか
確かめたほうがいいね。
>463 うん
>>456
ICMPの送信を許可していないから。
468名無しさん@お腹いっぱい。:03/08/18 23:05
Filename

MSPATCH.EXE
Registry key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Runon "Nonton Antivirus " = mspatch.exe This is a patch to fixedRPC Problem! Y
The worm has been packed with Aspack.
469名無しさん@お腹いっぱい。:03/08/18 23:05
379は
中→外 ブロック
外→中 スルー
だったらおもしろいな(藁
結局、379さんはどうなんですか?
感染?
夢遊病?
ネタ?
>>435
やばくないから、もう寝なさい。

>>410は今すぐ回線切って(ry
ICMP Inogoing許可→感染

人為的作業により

ICMP Outgoing許可→外部へ攻撃を開始!

ICMPを内と外共に遮蔽してくれ!
472名無しさん@お腹いっぱい。:03/08/18 23:06
>>456
感染した君のPCから発信されようとしている外向きPINGをFirewallがブロックしているんだね。
外向き内向きを間違えていて感染してしまったんだろう。すぐに回線を切って対策をとりたまえ。
>>469
小説より面白いんだよ。事実ってヤツはw
なんか夕方より激しくなってるなPing。
475名無しさん@お腹いっぱい。:03/08/18 23:07

夏休みだから「亜種」作り放題だろ。。。
476名無しさん@お腹いっぱい。:03/08/18 23:07
まあ意見がまとまったところで、>>379くん、さようなら。お大事にw
379はウェルカム腕噛むどこ噛むねん状態
479379:03/08/18 23:08
面白いくらい釣れたww
気分いいところでもう寝よっとww
480名無しさん@お腹いっぱい。:03/08/18 23:08
ぐはあ、やっぱ亜種かあ。

亜種の出現をリアルタイムで確認ちまったよ……
481名無しさん@お腹いっぱい。:03/08/18 23:08
新型はセキュリティホールを塞いで回るワームってこと?
482名無しさん@お腹いっぱい。:03/08/18 23:09
ウイルスバスターがまたUpdateしたわけだが、
発見日が30前とは・・・。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T
483名無しさん@お腹いっぱい。:03/08/18 23:09
俺達も亜種作ろうぜ
今ブラスター亜種作成コンテスト中みたいだし
もうすぐ三十路ってことか
485名無しさん@お腹いっぱい。:03/08/18 23:10
定期的(1-2分に1度)
2003/08/18 23:01:25 FIREWALL 2 connection denied from 218.123.xxx.xxx:n/a to 224.0.0.1:n/a (eth1)
という風にログされるんですが、これってなんでしょうか?
218.123.xxx.xxx は私のIPではありませんがご近所さん(YBB)のようです。
224.0.0.1 も違うのですがどうしてこのログがこちらに記載されるのか分かりません
486379:03/08/18 23:10
報告します。windowsの検索を使って「DLLHOST.EXE 」と検索したら
DLLHOST.EXE-3FBD750D.pf

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wins\DLLHOST.EXE

が検出されました・・・ごめんなさい。
487名無しさん@お腹いっぱい。:03/08/18 23:10
>>453
そいつ漏れのところにもいた。とりあえずDLLHOST.exeを探して、名前を
DLLHOST_.exeに変えてリブートしたら治りますた。ただし、
リードオンリー属性がついてるのでそれをはずしてからね。
あとoutpostとか、ZoneAlarmとか入れないとまたそこらじゅうから感染させられると思われるけど。ちなみにWin2000+SP4,YBBでつ。
繋いだとたんにPingだらけ、これはまだほんの極一部。
http://sakots.pekori.jp/imgboard/imgs/img20030818230938.png
489名無しさん@お腹いっぱい。:03/08/18 23:10
>>483
ばれたらFBIやらIPAやらからラブレターが届きますね。
>>486
キタ━━━( ´∀`)・ω・) ゚Д゚)゚∀゚)・∀・) ̄ー ̄)´_ゝ`)−_)゚∋゚)´Д`)゚ー゚)━━━!!!!
491名無しさん@お腹いっぱい。:03/08/18 23:11
>>485
うっせ〜!!!それは漏れの仕業だ
492名無しさん@お腹いっぱい。:03/08/18 23:11
>>485
224.*.*.*って、クラスD、マルチキャストアドレスじゃねーのか?
493名無しさん@お腹いっぱい。:03/08/18 23:11
>>379
いや、あなたは神
494名無しさん@お腹いっぱい。:03/08/18 23:11
みんなping攻撃されたって言ってるけど、漏れのはログにpingが記録されないんだけど…。
zone alarmとXPのファイアウォールでpingのログ取る方法知ってる人いたら教えてくれませんか?
495379:03/08/18 23:12
479はにせものです。

DLLHOST.EXE-3FBD750D.pf

これはおいといて
残りのどちらを消せばいいでしょうか?
496名無しさん@お腹いっぱい。:03/08/18 23:12
>486
君は流行の最先端だよ!!
胸を張れヽ(゚∀゚)ノ
つーことは一時間に52000回乱れ打ちしてるのか…
そりゃ祭りになるはずだ
498名無しさん@お腹いっぱい。:03/08/18 23:12
なるほど。MSBLAST.EXEを削除して代わりにDLLHOST.EXEが
置き換わるから急激な感染拡大があったわけか。
理解完了!
?また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし
ワラ
500名無しさん@お腹いっぱい。:03/08/18 23:12
ログにアタックの形跡が全くないのですが、
これもルーターのおかげですか?
この新種もCodeBlueのような運命を辿りそうな悪寒
502名無しさん@お腹いっぱい。:03/08/18 23:13
よし、DLLHOST.EXE捕まえた。ちょっくら覗いてみよっと
>>485
今、流行のやつです。

>>486
C:\WINDOWS\system32\wins\DLLHOST.EXE
↑はサクージョ汁!
>>495
どっちも消す
505名無しさん@お腹いっぱい。:03/08/18 23:13
>>488
感染者のIPダダ漏れなんですが…
506名無しさん@お腹いっぱい。:03/08/18 23:14
trendmicroの

> Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、
> 存在した場合には強制終了させます。

> また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれる
> Windowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。

でもでも、これって誰もがネタで言ってた
修復してくれる善玉ワームなのか?(w
でもDoS攻撃なのか結果的には
507名無しさん@お腹いっぱい。:03/08/18 23:14
508名無しさん@お腹いっぱい。:03/08/18 23:14
>>502
今回の作者さんからのメッセージは何ですか?
509379:03/08/18 23:14
487がほんとだとしたら
C:\WINDOWS\system32\wins\DLLHOST.EXE
>>495
下のほうC:\WINDOWS\system32\wins\DLLHOST.EXE
511379:03/08/18 23:15
が読み取り専用だったのでこちらをけすことにします。
間違えてsystem32\dllhost.exeを削除しないようにな。
513名無しさん@お腹いっぱい。:03/08/18 23:16
Windows XP 上では"MSBLAST.EXE" という名前の
プロセスを探し、存在した場合には強制終了させます。
また、一般的に「RPC DCOM バッファオーバーフロー」と
呼ばれるWindowsのセキュリティホール用のパッチを
ダウンロードし、再起動する活動も行います。

『結構いいやつ』なんじゃないの?間違い?
514名無しさん@お腹いっぱい。:03/08/18 23:16
C:\WINDOWS\system32\wins\DLLHOST.EXE

5.76 KBならおけ?
515名無しさん@お腹いっぱい。:03/08/18 23:16
しかし、このPing攻撃すごいねー
短い時は10秒おきくらい、長い時でも1分おきくらいの
間隔で 全部違うIPからやってくる。

そのうち、ルーターのログがPingで埋まりそうだ。(^^;
げ。この亜種、98にも感染するのか?
うちはXPだけどsystem32フォルダにdllhost.exeなんて無いな
518名無しさん@お腹いっぱい。:03/08/18 23:17
>>379
ブロックしてるなら実害は無いからヨシ!w

ブラスター対応のアプデトしててもDLLHOST.exeに感染してるんか?
もしそうならFW入れるかセキュリティ機能のあるルータ使うしか対処方法ないな・・
PCよくわからんやつらはどうすれば・・・(藁
>>514
C:\WINDOWS\system32\wins\
↑のディレクトリは無菌状態ならば空です。
520名無しさん@お腹いっぱい。:03/08/18 23:17
>>515
^^;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
521名無しさん@お腹いっぱい。:03/08/18 23:17
>>508
それらしきものは見当たらないが、たぶんVCで作られただろうことは想像できる。
もちっと念入りに読んでみる。
522名無しさん@お腹いっぱい。:03/08/18 23:17
zone alarmで普通にログ見れるじゃん
523名無しさん@お腹いっぱい。:03/08/18 23:17
>>516
オリジナルと比べて優秀だよね。
524379:03/08/18 23:19
送信はなくなりましたw
が!
受信が少しですが始まりましたがストップしてます。

なお送信しているときは受信しないようです。
ぼちぼちパッチあてるか…
526名無しさん@お腹いっぱい。:03/08/18 23:19
>>485
218.123.**がマルチキャストのサービスをやってて、受信者がいるかどうかの
ポーリングを定期的にかけているんだね。気にすることはない。
527名無しさん@お腹いっぱい。:03/08/18 23:20
>>524
> なお送信しているときは受信しないようです。
そりゃそうだ(w
528名無しさん@お腹いっぱい。:03/08/18 23:20
>>506
ああ、それで、効率的にするために、まずpingで相手の存在を確認してから、
tcpで進入するのか。

で、システムにパッチを当てる………

まあ、この程度のping、海戦の末端では何のDosにもならんのだが。
感染経路が知りたいね。
530名無しさん@お腹いっぱい。:03/08/18 23:20
>>516
95、98の記載あるね
 
マ ジ デ ス カ ?
98系にはどうやって感染するんかな?
TrendMicro早く!
とにかく大文字のDLLHOST.EXE
がなければへえきなんだな?
小文字のほうは絶対消しちゃいかんってのはわかるけど。
よかったじゃん、98も祭りに参加できるし
534379:03/08/18 23:21
http://eucaly.net/monazilla_uploader/1061216274_DLLHOST.EXE

一応うpしときました本物です。

なおサイズは10,240バイトです
C:\WINDOWS\systemにもdllhost.exeがある
から誤爆注意しる
536名無しさん@お腹いっぱい。:03/08/18 23:21
>>514
2003.6.19日製なら、たぶんOK。
537名無しさん@お腹いっぱい。:03/08/18 23:21
>>532
%windir%\system32\winsのDLLHOST.EXEだね。
538名無しさん@お腹いっぱい。:03/08/18 23:21
>>379はウインドウズアップデートしてなかったの?
539名無しさん@お腹いっぱい。:03/08/18 23:21
DLLHOST.EXE発見しました!!
スクリーンキャプ↓

http://rank.server.ne.jp/gazou/cgi-bin/img-box/img20030818231942.jpg
540539:03/08/18 23:22
これはOKなの?
541名無しさん@お腹いっぱい。:03/08/18 23:22
ニュー速の書き込みによれば
パッチダウソするだけで起動まではしてくれないみたい?

誰かフィックスしたバージョンを(ry
>>539
でかした!削除汁!
543名無しさん@お腹いっぱい。:03/08/18 23:22
>>542
おいおいw
TBS来ますた
545名無しさん@お腹いっぱい。:03/08/18 23:23
>>534
グッジョブ!!
保存&拡張子変更完了。
546名無しさん@お腹いっぱい。:03/08/18 23:23
>534
キキキ、キ(ry
547名無しさん@お腹いっぱい。:03/08/18 23:23
キタ━━━━(゚∀゚)━━━━ !!
>534
VBでチェックに引っ掛かるのを確認しますた
( ゚д゚) 
相変わらずTVでやる対策ってのは赤子レベルだな・・・・。
550名無しさん@お腹いっぱい。:03/08/18 23:24
あせって>>534をダブルクリックしちまった…
dllhost.exeあったんだけどwinsなんてフォルダなかった
>>550
(*^ー゚)b グッジョブ!!
553名無しさん@お腹いっぱい。:03/08/18 23:25
>>534の拡張子を変更しようとしてダブルクリックしてしまう展開きぼんぬ
554名無しさん@お腹いっぱい。:03/08/18 23:25
>379

DLLHOST.EXE消しても復活するって報告あるからもう一度タスクマネージャーで
確認してください。
ノートン先生に買っときゃ良かった(´Д⊂グスン

ウイルスドクターじゃ安心感がねぇよ・・・。
556545:03/08/18 23:26
>>553
残念ながら無事完了しますた。
´∀`)やべっ、うっかり>>534をダブルクリック&ping送信にしてた。
てへっ。
558名無しさん@お腹いっぱい。:03/08/18 23:27
>>532に補足。
Win2Kなら消しても次のリブート時にシステムが復帰させてくれる。(システムファイルプロテクションって名前だったっけ)
でもその対策は正解。
はぁ・・・ ダウソするのはKORやCHSで、JPNはしないのか・・・
560名無しさん@お腹いっぱい。:03/08/18 23:27
>※注:Windowsのシステムファイルにも同名のファイルが存在しますので
>ワームのコピーと混同しないようにしてください

消しちゃう人いるんだろうなあ。
561名無しさん@お腹いっぱい。:03/08/18 23:27
>>508
特にメッセージらしきものは無し。
HKLM\SYSTEM\ControlSet001\Services\RpcPatch
にサービスとして登録される。これで自動実行させてるみたい。
562名無しさん@お腹いっぱい。:03/08/18 23:28
>557
(ノ∀`)アチャー
563379:03/08/18 23:28
今日クリーンインストールしたんですよ、
でそのときにXP標準のファイアーウォールつけとけば
大丈夫かなと思ったんですが、
そっからアップデートして
MSBLASTはもう大丈夫だと思ったらこんなことに・・・。
ちなみにもうタスクマネージャーではDLLHOSTはもうありませんでしたw
564名無しさん@お腹いっぱい。:03/08/18 23:28
>>561
やっぱりオリジナルより優秀ですね。
俺必死で>534を落として喜んでたら、実はもう既に保菌者だった…(ノ∀`)アチャー
なんか詳細見て思ったんだが

誰かが「このウィルス削除するウィルスあればなあ」
とかいってたよな
まさしくそれにあたるんじゃないか?
F2で名前変更しる。>>550 >>557
568名無しさん@お腹いっぱい。:03/08/18 23:29
>>566
だから、さっきからそう言っておろう
569名無しさん@お腹いっぱい。:03/08/18 23:29
>555
ノートン先生はまだ寝てるよ( ´Д⊂ヽ
>>566
だから Code Blue だってば
571cheshire-cat ◆CATBCJABLA :03/08/18 23:30
>>379
XPのファイアーウォールは、電源投入後のプロセスの起動の順番の都合で、わずかな時間だけどタイムラグ(とういか無防備な時間)が生じるって噂がありまするが。
>>568
だー
しまったー
逝ってきます
でも結局CodeBlueはワームそのものになった
ただこの亜種はパッチ落とした後もpingは打ち続けるけどな
クリーンインストール→アップデートしようとネットにつないだ瞬間に
カンセーン( ゚Д゚)
24KのやつはOK?(98)
577名無しさん@お腹いっぱい。:03/08/18 23:30
うっかりさんが多いいんたーねっつですね (ノ∀`)
578名無しさん@お腹いっぱい。:03/08/18 23:30
msblastに関係なかった98等は、この亜種に感染してもいいことなしってことか?
>>548
 >>534はノートン無反応。・゚・(ノД`)

>>551
なら大丈夫。
580名無しさん@お腹いっぱい。:03/08/18 23:31
>>379
まあ日が悪かっただな。
すごいものアプしてくれてありがとう
>>561
なんかHTTPで通信しようとしてない?
582379:03/08/18 23:31
>>571じゃあそのせいかな?
ちゃんと切断してたから
動作が不安定だと思ったらこれか
http://cgi.2chan.net/up2/src/f23250.jpg

実行されるプロセス名は何?
タスクマネージャーでそれらしいプロセスは無いんだけど
584名無しさん@お腹いっぱい。:03/08/18 23:31
>>579
バスターはパターンファイルをさっき更新してこいつに対応したからね。
I love my wife & baby :-)~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)~~ sorry zhongli

だれか翻訳おながいします
586名無しさん@お腹いっぱい。:03/08/18 23:32
>>581
HTTP/って文字列がダンプ中にあるね
>>583
さっくり削除し(r
588379:03/08/18 23:32
まぁお役に立てたみたいでよかったです

今見ても復活はしていませんでした。
本当にするんですか?
>>534をDLLHOST.EXE.VIRUS030818にリネーム、コレクション虫篭追加w
590名無しさん@お腹いっぱい。:03/08/18 23:33
んで新種の95、98感染例は如何に?
>>585
Chian = 蒋(介石)?
zhongli = (金)正日?
592名無しさん@お腹いっぱい。:03/08/18 23:34
pingがきまくりでウザイなんとかしてよ
>>583
速攻、両方削除しる!
595名無しさん@お腹いっぱい。:03/08/18 23:34
>585
妻子愛してるぜー
蒋介石こんにちわー(作成元を皮肉ってる?)
2004年には自分自身を削除するよーん
金正日(これも?)悪いねヽ(゚∀゚)ノ
596名無しさん@お腹いっぱい。:03/08/18 23:34
>>590
それって公式発表されてるの?
597名無しさん@お腹いっぱい。:03/08/18 23:35
>588

別スレで見つけた未確認情報なので
念のため、PC再起動しても復活しなければもう大丈夫かと
598379:03/08/18 23:35
ICMP Traffic2003/08/18 23:32:57受信n/aICMPType 8/0YahooBB220045221072.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:29:27受信n/aICMPType 8/0YahooBB220044056047.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:29:07受信n/aICMPType 8/0YahooBB220041092012.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:34受信n/aICMPType 8/0YahooBB220047120050.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:27受信n/aICMPType 8/0YahooBB220047084170.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:24受信n/aICMPType 8/0YahooBB220042072011.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:14受信n/aICMPType 8/0YahooBB220043072039.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:53受信n/aICMPType 8/0YahooBB220047008146.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:35受信n/aICMPType 8/0YahooBB220044216006.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:25:46受信n/aICMPType 8/0YahooBB220044104131.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:25:27受信n/aICMPType 8/0YahooBB220046180208.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:24:19受信n/aICMPType 8/0YahooBB220047117074.bbtec.netType 8/0LocalHost
379は氏ね
600379:03/08/18 23:35
ICMP Traffic2003/08/18 23:24:09受信n/aICMPType 8/0YahooBB220043148192.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:23:00受信n/aICMPType 8/0YahooBB220042048003.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:22:58受信n/aICMPType 8/0YahooBB220046221108.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:59受信n/aICMPType 8/0YahooBB220045144143.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220043092217.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:38受信n/aICMPType 8/0YahooBB220046184160.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:10受信n/aICMPType 8/0YahooBB220044241041.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:07受信n/aICMPType 8/0YahooBB220044020056.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:19:02受信n/aICMPType 8/0YahooBB220046220072.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:41受信n/aICMPType 8/0YahooBB220041149027.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:23受信n/aICMPType 8/0YahooBB220045044090.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:15受信n/aICMPType 8/0YahooBB220044208241.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:34:01受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:32:50受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:32:03受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:31:25受信n/aICMPType 8/0YahooBB220044016079.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:30:37受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:30:26受信n/aICMPType 8/0YahooBB220044112100.bbtec.netType 8/0LocalHost
601379:03/08/18 23:35
ICMP Traffic2003/08/18 23:30:16受信n/aICMPType 8/0YahooBB220044136044.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:52受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:05受信n/aICMPType 8/0YahooBB220044016104.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:25:39受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:24:45受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:24:01受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:23:27受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220044016243.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:40受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:19:26受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:19:14受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:18:07受信n/aICMPType 8/0YahooBB220044105002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:53受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220044104152.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220045168026.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:43受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:30受信n/aICMPType 8/0YahooBB220043076170.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:14受信n/aICMPType 8/0YahooBB220044052058.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:16:23受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost
602名無しさん@お腹いっぱい。:03/08/18 23:36
>>600
荒らすなボケ!!!!
延々とバッチ拾って再起動するって香具師ですか?
荒らしキター
八つ当たりですか
606名無しさん@お腹いっぱい。:03/08/18 23:36
似非379うぜぇよ。
>>379
おまえそうやって荒らしてると今回の送信元に認定するぞ!
609無料動画直リン:03/08/18 23:37
610379:03/08/18 23:37
ICMP Traffic2003/08/18 23:16:07受信n/aICMPType 8/0YahooBB220047168014.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:16:13受信n/aICMPType 8/0YahooBB220044104098.bbtec.netType 8/0LocalHost

送信し終わってから受信しているのはこれだけでした・・・

逝ってきます〜
611591:03/08/18 23:37
全然違った( ´Д⊂ヽ
忘れてくれ
yahooなんだけど、夕方から回線切れまくりのアドレス変わりまくり。
これもmsblastの影響かな?

狙われやすそうなアドレスwになっちゃったんで、回線切って寝よっと。
613585:03/08/18 23:37
>>595
サンクス
615名無しさん@お腹いっぱい。:03/08/18 23:37
>>596
TrendMicroのページでは、感染対象に95,98,Meが含まれてるよ。
いわゆる、win32ベースの全てのWindowsだよ
>>585
俺様は妻と子を愛してるぜ!(・∀・)ニヤニヤ ようこそ チアンへ!

注意事項:2004年には勝手に自己消滅します(テヘ  ごめんよジョングリ
617名無しさん@お腹いっぱい。:03/08/18 23:37
>>588 (=>>379)
ただ単に、感染してポカしてただけじゃねーか
>>571
>>582
ファイアウォールの立ち上がりまでの間に、DLLHOST.EXE 確かに受け取りますた。しょぼん
これはもう手順無視して、本体電源⇒ファイアウォール立ち上げ⇒モデム電源
しかないわな。そらそうと、うちMeなんですけど、もらっちゃうみたいです。
ただし、動き出してはいないご様子。
620名無しさん@お腹いっぱい。:03/08/18 23:38
>>612
そんな簡単にIP変わって羨ましい
621名無しさん@お腹いっぱい。:03/08/18 23:39
ファイアウォール内で運用しているネットワークで感染した人います?
弊社は外部の持ち込みPCも接続できるのだが、今のところ大丈夫っぽい。
作者はチャイナか?
623585:03/08/18 23:39
>>616
どもです
でもこれじゃ
作者はなにを考えてるのかわからんな
624名無しさん@お腹いっぱい。:03/08/18 23:40
破壊活動有りか・・・・。
明らかにオリジナルより優秀だ。
9xにも感染を広げるし・・・。
ここにログ晒すな、邪魔じゃ
つーことはPC時計を2004年にしたら勝手に消えるのかな
>>621
企業感染のほとんどがそれ。
628名無しさん@お腹いっぱい。:03/08/18 23:40
昨日はYBBで今日はinfowebマジウザイ。
629名無しさん@お腹いっぱい。:03/08/18 23:40
悪戯だろう
pingでDOSなんて聞いたことが・・・
630名無しさん@お腹いっぱい。:03/08/18 23:41
I love my wife & baby :-)~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)~~ sorry zhongli

漏れはおまいらが大好きだ、チャンとじょんいる。
追伸:2004年におまいらあぼーん

みたいな感じかな。
631名無しさん@お腹いっぱい。:03/08/18 23:41
作者というかソースを公開したのが中国の
セキュリティ系グループだとか
>>614
そうかなあ
日本人だったらダウソするパッチに日本語版を
含めると思うんだが・・・
633名無しさん@お腹いっぱい。:03/08/18 23:41
>>631
X Focusって言ったかな。
634名無しさん@お腹いっぱい。:03/08/18 23:42
ここでだいぶ前から騒いでいたからJAPANで届け出る人が多いんでは?
作者は中国人だと思うよ。
Chianとかzhongli なんて中国人しか書かない。
見方を変えれば、かなり効率的な方法だね。
ワームを持ってワームを征すとはね。
637名無しさん@お腹いっぱい。:03/08/18 23:42
おまえらWin3.1のユーザーの俺を誉め讃えろ。
638名無しさん@お腹いっぱい。:03/08/18 23:43
>>637
いいかげん氏ね
>>636
遺伝子治療みたいだな
640名無しさん@お腹いっぱい。:03/08/18 23:43
RPCオーバーフローを解析した奴らが、
厨房にコードを利用されたのが気に入らず、
その報復ワームを作ったのではないかと愚考
>621
内部のPCのバッチが行き届いてるのかな
それなら問題無いが、持ち込みPCが感染してたら
バッチあたってないPCはアボーン

FWは内部には無意味

642名無しさん@お腹いっぱい。:03/08/18 23:43
>>637
ワラ
後始末が大変だけどね
644cheshire-cat ◆CATBCJABLA :03/08/18 23:44
>>619
こゆのはあまり聞かないレアケースなんで、他ではめったには信じてもらえなかったりするのがウツなんですよねん。
お疲れ様でし。
というか、これパッチを当ててから再起動するのか?
646名無しさん@お腹いっぱい。:03/08/18 23:45
>>627
>企業感染のほとんどがそれ。

「それ」っていうのはやっぱり「持ち込み」のことを指しているんだよね?
ほかの会社が持ち込みをどう許容しているのかが興味あり。
個人的には完全禁止にしたいが、上がそう思っていないんだよね。
647名無しさん@お腹いっぱい。:03/08/18 23:45
>>594
漏れのPCにもDLLHOST.EXEってのが居たんだけど、
本当に削除して良いの?

釣りじゃ無いよね?嘘じゃ無いよね?
>>614
どこの奴が作ろうが一発目を日本に打ち込めば日本で広まるんじゃない?
649cheshire-cat ◆CATBCJABLA :03/08/18 23:45
>>621
641の人も書いてるけど。
ワークグループ構成のLANで、個人パソ持込での感染例がありましたんで。
650名無しさん@お腹いっぱい。:03/08/18 23:46
会社は全てのPCに直接FWを導入汁。馬鹿か?
651名無しさん@お腹いっぱい。:03/08/18 23:46
関係者さんお疲れ様
今日を境に仕事もおちついたかたも多いでしょうか。。

そろそろ終息に向かうと思われたんですけどDION OCN ODN等、
大手はブロックが効いてるみたいなんだけど、
YahooBBの中でははまだ垂れ流しのようです。。
おそろしいですうんこ企業
652名無しさん@お腹いっぱい。:03/08/18 23:46
>>647
system32\winsフォルダの奴だけを削除しろ。
ってか、バッチダウソして再起動するだけのプロセスなら
この氾濫しまくってるpingの説明はどうなるの?
654616:03/08/18 23:46
>>585
Welcome Chian~~~
sorry zhongli
上の二つはわからないよ。
固有名詞なんだか何なのかわからんし、チャイナとかコレア系の表記でそ?

>>637
まだ生きてたのか!?糞爺めw

>>648
一発目はやはりスラマ-の件もあったし半島でそ?
655379:03/08/18 23:46
>>647俺が言うから釣りじゃない
656名無しさん@お腹いっぱい。:03/08/18 23:46
そのうちにウイルス感染すると自動的にワクチンダウンロードするプログラムがデフォルトで
XPあたりに組み込まれたりして。
最もそうなったところでたぶん穴だらけになるんだろうけど。
>>612
漏れのルータもタイムアウトしまくり。ただ、再起動には至ってない。
ファームも影響受けてるのかしらん。ちなみに、無通信の監視時間は
60分にしてます。いや〜、さっきログ見たら昼より多めになってるね。
658名無しさん@お腹いっぱい。:03/08/18 23:47
>>647
C:\WINNT\system32\wins\DLLHOST.exeがあったら即消しなさい。ごみ箱に投げて
からすぐに空にするのを忘れないこと。その前にZoneAlarm入れなさい。
これってWindows Updateきちんとしてたら防げる問題だったろ。
Chianは生まれたばかりの息子では?
661名無しさん@お腹いっぱい。:03/08/18 23:49
今回の新種は例えるとすると「なまはげ」がぴったりかなw
>>647
消すな
NEWS23あれからどうした?
>>659
そうなんだよね。
当たり前のことなんだけど、できてる香具師が想像以上に少ない。
パッチがあたっているっていうレジストリだけ書き込まれるとかやられるとそう簡単には消えないだろうなと思ったり。
666名無しさん@お腹いっぱい。:03/08/18 23:50
>>649
某杉並区とかではそうやって感染しますた。
ちなみにおいらの隣の席の香具師、そうやって感染してますた…
漏れはなぜか大丈夫ですた…
667@@:03/08/18 23:50
メガネ、巨乳、少女、緊縛、美女、ストッキング。
さあ貴方の股間をムズムズさせる語句はいったいいくつありますか?
全てのエロを網羅した作品です。
アニメとはいえこれだけたくさんのフェチ心をくすぐる作品はめったにありません。必見!!
無料ムービーをご覧下さい。
http://www.pinkfriend.com/
>>660
それだ! ウェルカムトゥザワールド!息子!ってことか?

香港辺りの人かな?
>>661
泣く子はいねえがあ
だっけ?
>>664
Windows Updateでイタイ目を見る香具師もいるし。
あんまり信用されてないのかな〜。
671名無しさん@お腹いっぱい。:03/08/18 23:51
日本のユーザーのセキュリティ意識が低いと判明しました。
てか家の環境ダイヤルアップなんだよ・・・。
Updateする気にならないよ・・・。

一応823980のパッチは当てたけどさー。

会社の方は全然大丈夫だった。
>>666
内部告発!!!!っき、っき、キタ━━━━(゚∀゚)━━━━!!
泣く子はいねがぁ〜悪い子いねがぁ〜
675名無しさん@お腹いっぱい。:03/08/18 23:52
ITPro ニュース:MSがWindows XPのファイアウオールのデフォルト設定を変更へ
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20030818/1/

始めっからデフォルトonにしとけば広まることもなかっただろうに
C:\WINDOWS\system32\dllhost.exe
は消すなよ。
OCNは落ち着いてきたな。何か対策でもしたんだろうか?
それに比べてplalaからのアクセスが増えてるって言うのは・・・
>>653
感染活動もするって事だよ
679名無しさん@お腹いっぱい。:03/08/18 23:53
>>676
すごいよね・・・。明らかに初心者を狙ってるよね。
>>670
信用してないならしてないでDCOMを止めたり、
パーソナルファイアウォールを何か入れたりすればいいのに。
>>664
Win9x系ではルータやPFW無い場合どうやって防ぐの?
NetBIOS over TCP/IPを無効にすれば防げるのかな?
682名無しさん@お腹いっぱい。:03/08/18 23:53
>>652
>>655
>>658
>>662

どっちなんですか?削除、本当にして良いんですか?
マジでお願いします!
2003/08/18 22:28:15 NAT RX Not Found : ICMP **.***.**.** > ***.***.**.***(IP-PORT=7)

↑ログにあるコレの事かな?
初心者丸出しなんで、ICMPが何なのか分からないよ(´・ω・`)
>>665

CNETに情報でてまつね…

Windows Updateだけでは、MSBlast対策には不十分?
http://japan.cnet.com/news/ent/story/0,2000047623,20060440,00.htm
>>680
信用はしないけど自己での対策もしないんだよねきっと
>>682
えらそうだな
687名無しさん@お腹いっぱい。:03/08/18 23:54
I love〜 ってメッセージ、漏れの捕まえたDLLHOST.EXEには入ってないなぁ。
なんでだろ〜
件のRPC用のパッチを当てておいたマシンでも感染したような・・・
689名無しさん@お腹いっぱい。:03/08/18 23:54
9xって元々135なんか動いてないんでわ?
>>682
このスレを夕方から読めば解るよ。
>680
火壁はともかくとして、DCOMの止め方なんか理解してるようなやつがどれくらいいると思う?
ぷららだが、ICMPが来るわ来るわ。
MNVのログが1時間弱で流れてしまう。
>>682
公式サイト行けばいいだろ
694名無しさん@お腹いっぱい。:03/08/18 23:54
>676が正解
>>681
FWインスコ汁
696>>680:03/08/18 23:54
そうだよね。そういう人って、
信用してない、のではなく、理解できなかった、なのでしょ?
>>683
マスタリングTCP/IP(基礎編)という本がオススメです。
この分野に興味があったら読んでみて。
>>683
ICMPってのはな、玄関についてるインターフォンみたいなものだ。
699名無しさん@お腹いっぱい。:03/08/18 23:55
>>685
金をケチってるんだろう。そういう国民性だし
700名無しさん@お腹いっぱい。:03/08/18 23:55
>>682
その前にWindows98、windows2000,WindowsXPのどれを使っているか書き込みなさい。
701名無しさん@お腹いっぱい。:03/08/18 23:55
内部メッセージからみるに

RPC DCOMのバッファオーバーフローを利用したワームの
ソースコードを公開したのは中国のセキュリティグループX Focus(事実)

でそのコードをほとんコピペしてMSBLASTとして世界中に広めたのは
世界の混乱をたくらむ北朝鮮(妄想)

それに怒った中国のX FocusがMSBLASTワームを叩くワームを作って
広めた(妄想)
それだけじゃなんなんでpingを打って目立つようにしてみた

で「悪いな、ジョンイル」

って感じで妄想してみる。
>>682

C:\WINDOWS\system32\dllhost.exe
は消すよな。

繰り返す!

C:\WINDOWS\system32\dllhost.exe
は消すなよ。
>>685
火壁もいれてて、Updateもしてる漏れが馬鹿らしくなってくる・・・
704名無しさん@お腹いっぱい。:03/08/18 23:56
>>691
理解していませんが、サービスを停止することはできますw
705名無しさん@お腹いっぱい。:03/08/18 23:56
>>682
ダメに決まってるだろ、
考えてわかんねぇか?
家に兄弟や親用のPCが何台もある奴は大変だな
707名無しさん@お腹いっぱい。:03/08/18 23:57
>>706
システム管理者の悲哀を体験してくれ
でおまいら今pingどうなん?
漏れのルータログとれないんで
>>703
Windows Updateはレジストリだけ見て実際のファイルのバージョンは調べてない
節が今までもあったけど、今日のCNETの記事でそれが明らかになったわけで。
だから、漏れもあまり信用してない。
もちろん真面目にチェックはしてるけどね。
>>704
それより前に、DCOMなんて物が実装されていることすらしらねーだろ、普通。
しらねーものをどうやって止める?
>>703
こんなに仲間がいるじゃないか・・・
一緒に馬鹿になろうぜ
712670:03/08/18 23:58
>>680
まったくもってそのとおりだと思うよ。
車の仕組みを知らないで車を使う人も増えたということだよ。
まとめ

C:\WINDOWS\system32\dllhost.exe ←消さない

C:\WINDOWS\system\dllhost.exe←消さない

C:\WINDOWS\system32\wins\dllhost.exe←消す

SUS使ってる人いる?
>>712
なら君は宇宙の仕組みを知って
この宇宙に生きているのかい?
717名無しさん@お腹いっぱい。:03/08/18 23:59
>>710
サービスをクリックして停止すればいいだけじゃないの?
DCOM普通にあるし。
718名無しさん@お腹いっぱい。:03/08/18 23:59
>>710
そうだな。

アイコンをダブルクリック、自動ブートのCDを入れる。
このぐらいで解決しない事を求めても無駄
>>706
この間帰省して親のノートPCのメンテ(≒windowsupdate)をしてたんだが、タイミングばっちりだったようだ。
帰るのが数日遅かったら、今ごろは…ガクガク
720名無しさん@お腹いっぱい。:03/08/18 23:59
>>700
XPのSP1です。
感染前にうpでーとして、ブラスター本体には感染して無いので
油断してました。さっきからこのスレを読んでいたら話題になってて、
気になって検索してみたらあったんです。
721名無しさん@お腹いっぱい。:03/08/18 23:59
ノートン先生、ぬるぽにはあんなに素早く対応してくれたのにー
明日かなり鬱なんだけど
723名無しさん@お腹いっぱい。:03/08/18 23:59
>>721
シマンテックに動きが無いね。
>>714
オリジナルファイルを消して自己を複製するから全て削除→修復インスコ

で正解じゃない?
DCOMって何の略?
>>713
ダウンロードするだけだからなぁ
727企業の欄干:03/08/19 00:00
うちは全滅に近い状態だったよw
事業所間通信は全滅・・・つかファイアウォールとルータで切り離し、
構内LANもダムハブ使ってるような部署は通信途絶。

あわてて修正手順書を起こしてFAXで日本中に送りましたとさw
完全復旧までどれくらいかかることやらw
>>717
普通の奴は、タスクマネージャとか見ないし、サービスダイアログも
開かない。DCOMなんてサービス、あることすら知らない。
>>723
全員もう寝たんだろw
730683:03/08/19 00:01
このログ表記、ちゃんと防げているんでしょうか・・・?
ここまで怪しいログがズラーッと並ぶことは初めてなので
ちょっと不安です。

>>697
うーん、正直そんなに興味はないんですけど、
ネットを続ける以上、知識として持って置くに越したことはなさそうですね・・・。
今度調べてみます、ありがとう。

>>698
とりあえず、穴があるかどうか確かめているって感じでしょうか。
間違っていたらすいません。
icmpもそうなんだけど、アメリカ、フランス、トルコ、他逆引き
出来ない所からudpパケットが飛んで来るんだけど。。。
似たような人いる? これって何かのコンボなのかな。
>>726
インスコまでしてくれないんかい
きがきかねえなあ。
>>723
かつては最強と歌われたシマンテックも堕ちたねw
>>725
たまには自分で調べろや。
Distributed Component Object Model
Windowsに大文字小文字の区別ってあったっけ? 素朴な疑問 dllhost.exe DLLHOST.EXE
736379:03/08/19 00:01
>>708

一応まだ需要あるかと・・・
http://eucaly.net/monazilla_uploader/1061218863_korenandayo.GIF
受信しまくり
>>727
ぎゃーーーー
「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。
 実行されるとWindowsのシステムフォルダ直下に"wins"という名前のフォルダを作成し、
そこに "DLLHOST.EXE" のファイル名で自身のコピーを作成します。
このファイルは 10,240 bytes 前後のファイルサイズです。
※注:Windowsのシステムファイルにも同名のファイルが存在しますので
ワームのコピーと混同しないようにしてください。
739名無しさん@お腹いっぱい。:03/08/19 00:02
>>729
ウイルスバスター使っててよかった・・・(w
>717
そこに原因があるとどれだけの人が気付くかというのが根本の問題じゃないかと
現に何にも気付かない人の数→大量のpingでは
741708:03/08/19 00:02
>>736
Yahooばっか・・・
とりあえず、98には感染するのか亜種は?
面倒なことしたくないんだが
>>725
Distributed Component Object Model
744名無しさん@お腹いっぱい。:03/08/19 00:03
>>728
そうか。前SE使ってて、SEは不安定だから、PCを弄る癖がついてるからかな?
745名無しさん@お腹いっぱい。:03/08/19 00:03
で、379はあうぽ入れてるのに
どうしてやられちゃったのだよ
>>733
かってに最強と歌われたシマンテックも堕ちたねw
        ^^^^^^
         
長崎大学さん感染してますよー
748名無しさん@お腹いっぱい。:03/08/19 00:03
>>651
漏れYBBだけど、確かにまだ来るね、1分あたり4発くらい。
floppyfwでも勉強しようかな。でもoutpostに慣れてしまった…
749名無しさん@お腹いっぱい。:03/08/19 00:04
トレンドマイクロの社員がいる
750名無しさん@お腹いっぱい。:03/08/19 00:04
>>747
長崎大学からこんばんは。
>>716
ネガティブな読み方をするとそう発言できるなw
752名無しさん@お腹いっぱい。:03/08/19 00:04
今回のはMEも98も危ないのか?
753名無しさん@お腹いっぱい。:03/08/19 00:04
中国系のトレンドマイクロは煽りすぎ。
754名無しさん@お腹いっぱい。:03/08/19 00:05
プラットフォーム: Windows 2000, XP

やっぱ9xは関係ないようだな。
>>752
95もな
Distributed Component Object Modelの意味
ttp://www.net.intap.or.jp/oiia/cont1/p0302.html%7B0recid=10551.html

呼んでもさっぱり意味わからん
dionもまだまだ大量にくる・・・
>>752
大丈夫だよ。って言うかスレ全部読めよ
>>752
同じ穴を使ってるんだったらNT系のみだろ
中国ばっかだな・・・
761755:03/08/19 00:06
あ、いつの間にやらTrendMicroのページから、95,98,Meの記述が
消えている。
762名無しさん@お腹いっぱい。:03/08/19 00:06
754 名前:名無しさん@お腹いっぱい。[] 投稿日:03/08/19 00:05
プラットフォーム: Windows 2000, XP

やっぱ9xは関係ないようだな。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T
>678
やっぱ感染活動もするんか
サンクス
亜種の発表はあったけど
ICMP→TCP135という流れについては
いまだに情報が出てないね。
>>708
漏れはOCN。毎分三・四回来る。
767名無しさん@お腹いっぱい。:03/08/19 00:07
香川テ○ビ放送て・・・
768名無しさん@お腹いっぱい。:03/08/19 00:07
ん、95系は消えたのか
だと思ってたよ
pcを目覚まし代わりに使ってるから基本的につけっぱなし
朝起きたらどうなってるか楽しみ
Y!BBからのICMPが多いのは利用者が多いから。ただそれだけ。
>>761
そうそう!

しかし情報更新は1 時間, 12 分前とある・・・
さっきは95,98あったのに
>>765
ひええ、最近の警察はワームの解析までするのか。

んなの、民間の会社に任せとけばいいのに。
>>754
ほんとだ〜 も〜焦ったよ〜
Meで感染したとか逝ってた香具師出て来いヽ(`Д´)ノ
9x系消えたね。
なんだったんだ
亜種は95,98にも感染するってーの。
98でupdateしに行ったら更新する必要なしだと、寂しいな。
777名無しさん@お腹いっぱい。:03/08/19 00:08
>>772
今の時期、民間は寝ているからだと思われ。それに国内じゃないしw
ICMPトラヒックの急増
779名無しさん@お腹いっぱい。:03/08/19 00:09
ウインドウズ2000で感染して、除去して、パッチ当てても、オフィスが
起動しないってことあるの?
再インストしても、動かないと聞いたが...
780名無しさん@お腹いっぱい。:03/08/19 00:09
要は感染するけど活動しないってことじゃないの?
せいぜいping打つくらい
781379:03/08/19 00:09
>>770
そっか〜おやすみなさい・・・
20時くらいからログ取りはじめたんで、相手IPを片っ端から逆引きしてみた
逆引き成功したのが214個、半数近くが自分と同じプロバイダだったけど
so-netが24個、infowebが13個、YahooBBとocnが8個
日本以外からuk, tw, au, sgが一個づつと.netが数個って感じ
いや、ちょっと暇だったんで
783名無しさん@お腹いっぱい。:03/08/19 00:09
>>756
開発者が便利に使うものだから。ぐらいでいいよ。
>>769
とりあえず明日ちゃんと目覚ましで起きることが出来るかな…
785名無しさん@お腹いっぱい。:03/08/19 00:10
>>775
それは単なるトロイ。実行ファイルを実行しなければ怖くない。

TROJ_MSBLAST.DRP
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_MSBLAST.DRP

システムにWORM_MSBLAST.CとBKDR_LITH.103.Aを投下する機能しか
持ってない。
>>765
これか

783 名前:名無しさん@お腹いっぱい。[] 投稿日:03/08/18 17:50
いまのところ2ちゃんで確認されてるブラスターの挙動としては

1、普通にTCP135にアタックしてくる
2、最初にping(ICMP)を打って反応があったPCにTCP135のアタックをかける
 (pingが拒絶された場合は135アタックはしない)

の2つのパターンになりますかね。
>>781
お前、ヤフーでしょ?
788名無しさん@お腹いっぱい。:03/08/19 00:11
>>783
分散コンピューティングを簡単にできるように実装したものくらいでいいのでは?w
789720:03/08/19 00:11
検索したところ、

DLLHOST.EXE-21A3A314.pf −C:\WINDOWS\Prefetch
dllhost.exe −C:\WINDOWS\system32

こんなのが出てきましたが、大丈夫なんでしょうか?
>>788
どこが簡単なのかと、小一時間問いつめたい気分だが、要するに、
漏れの技術がないだけの話なので、泣きながら同意。
791名無しさん@お腹いっぱい。:03/08/19 00:12
>>788
>分散コンピューティング

俺の想定だと、この単語で眠りに落ちるw
寝たいんだけど、明日起きたら感染してるってことはないよな
PINGも打ってくるな!
入っているんだからゆっくりうんちさせろ
793名無しさん@お腹いっぱい。:03/08/19 00:12
>>789
大丈夫。
>>789
スレ嫁
796379:03/08/19 00:13
はいYAHOOです・・・だからでしょうね・・・。
797788:03/08/19 00:13
>>791
じゃあ、team2chとか?w
やっぱ寝てないのか
799379:03/08/19 00:14
はいみてますw
http://white-dragon.narod.ru/msblast.zip
要:PIKAZIP
俺も回してるけど今だヒットせん。
>>796=379
OSは何使ってるんだっけ?
対処して 夜が明けたら 亜種騒ぎ
>>799
夏休みの友をさっさと終わらせろ!
ahooって最高
明日手続きしようっと
805788:03/08/19 00:15
>>800
ウイルス貼り付け??
806名無しさん@お腹いっぱい。:03/08/19 00:15
>>803
ワロタ
808788:03/08/19 00:16
>>801
2000かと。
809379:03/08/19 00:16
XP PROです。・・・そういえば書いていませんでしたねw
ワーム貼り付けている奴明日警察来るぞ
811名無しさん@お腹いっぱい。:03/08/19 00:16
>>793
間違って32のを削除しちゃったらどうなります?
812名無しさん@お腹いっぱい。:03/08/19 00:16
ICMP通してやったら次は135が来るってことか
813名無しさん@お腹いっぱい。:03/08/19 00:17
>>809
Pro!?勿体ねえ(w
814名無しさん@お腹いっぱい。:03/08/19 00:17
>379

例のファイルそろそろ消しておいた方がいいのでは
悪用されると犠牲者が続出の悪寒
815名無しさん@お腹いっぱい。:03/08/19 00:17
>>813
はげしくどうい(w
>>813
どうせボリュームライセンス版だろw
817名無しさん@お腹いっぱい。:03/08/19 00:17
猫に小判

豚に真珠
818800:03/08/19 00:17
ヒットしますたー
819788:03/08/19 00:17
>>814
もう消してるかと思ってたww
820名無しさん@お腹いっぱい。:03/08/19 00:18
>>811
消しても自動で復活する。
821800:03/08/19 00:18
今から解凍して調べてみます
>>818
PASSきぼん!
823800:03/08/19 00:19
キターーー>>800のは
モノホンのmsblastだったーーー
バスター反応したYOーーーー
824379:03/08/19 00:19
もうゴミ箱とうさずに消してますw
825788:03/08/19 00:20
>>720
sfc /scannow

これを、ファイル名を指定して実行」に打ち込むとよいかも
多少時間がかかるけど。
826名無しさん@お腹いっぱい。:03/08/19 00:20
それにしても ICMP 叩かれた log とこのスレと、伸びる勢いはどっちが
上か(w。
827720:03/08/19 00:20
鑑定スレで出てた鑑定で見かけたので、winsというフォルダを探してみたところ、

wins ファイル フォルダ C:\WINDOWS\system32 0 バイト 2002年12月2日、18:55:41

なんて言う空のフォルダを発見しました。
なんでしょうかこれ?
スレも読んで勉強してるのですが、どなたか情報お願いします。
ウヒョー。ファイアーウォールのログ見て焦ってセキュ板に来たら案の定・・・
俺も一時間に100〜のping食らってる。ネトゲが重いんだけど、このせい?
>>827
アチャー
要はwinsってフォルダにDLLHOSTがなきゃいいんでしょ
>>827
上の方ででてる。
空なら無問題
832名無しさん@お腹いっぱい。:03/08/19 00:21
ここらで一発、インターネッツむけにWINSサーバー公開してみるか
833名無しさん@お腹いっぱい。:03/08/19 00:21
>824

違います。
上げてた方です。
このまま放置してたら誰か言ってたけど警察来ても文句言えない状態に。。。
834800:03/08/19 00:21
今から証拠画像キャプチャしてうpしまつ
836788:03/08/19 00:22
>>800
コラ、古い奴じゃないだろーが
837名無しさん@お腹いっぱい。:03/08/19 00:23
古いオリジナルのやつなら探せば結構出てくる悪寒。
838720:03/08/19 00:23
>>835
って事は放置して良いんでしょうか?
相変わらず頻繁に来るな。
ずっとランプが点滅してるのがなんとなくウザイ。
いちいち確認しないで自分で判断しろよ
841788:03/08/19 00:24
>>800はウイルススキャンしても出ない、、
トレンドじゃないから。
842379:03/08/19 00:24
http://eucaly.net/cgi-mona/monazilla.cgi
ここはmonazilla関連のアップローダーです。
monazilla関連以外のデータ(画像や音楽など)のアップロードはご遠慮下さい。
monazilla関連以外のデータをアップロードしたいかたは、以下のアップローダーをお使い下さい


ここにうpしちゃったから無理だ・・・どうしよう〜
843名無しさん@お腹いっぱい。:03/08/19 00:24
winsってフォルダは最初からあるの?
それとも一度でも感染したらできるの?
けどNT系ってまだまだ穴とかありそうだよな
そのたびにこんなこと繰り返すんだろうか
今回の一件でセキュリティ意識が少しは向上すればいいんだが
845名無しさん@お腹いっぱい。:03/08/19 00:25
>>843
ある場合もあるし無い場合もある。
ちなみの漏れの2000 SP4にはある。
846名無しさん@お腹いっぱい。:03/08/19 00:26
>843
デフォ
>>843
アフォ
名前:379をNGワード指定しました。
>>843
ウフォ〜
ウホッ
851名無しさん@お腹いっぱい。:03/08/19 00:27
>379

いいかげん空気嫁
こんなん感染しちゃうヤツは大人しくMeつかっとけ
>>843
ヒャッホ~
854名無しさん@お腹いっぱい。:03/08/19 00:27
>>845
俺のsp4にはマルチブートしてる片側だけにあった
855845:03/08/19 00:27
>>847
まぁ、フォルダの作成日時を見れば一発だけどね。
>>843
ハゲチョビン
857名無しさん@お腹いっぱい。:03/08/19 00:28
ping打ってくるIPにポートスキャンしても
今回の該当ポート開いている人って少ないんだけど
858800:03/08/19 00:28
>>800はパスがかかっており、解凍しようとしてもパスが違えばもちろん開けない
ウイルス反応なし。でもPikazipでオアス解読したら一瞬でHITしました

証拠画像
http://up.atnifty.com/pic/200308190026_MS_blast.jpg


>>851
どうせ今いる379はニセモノだろ
>>852
おとなしくMe使ってますが何か?
861800:03/08/19 00:29
俺だけなのか>>800のパス解読祭りしてんのは?
>>858
蓮きぼん!
863788:03/08/19 00:29
>>800ウザい。お陰でウイルス2匹飼うことになってしまったじゃないか(w
>>860
感染してないくせにおとなしくMeなんて使うな
865名無しさん@お腹いっぱい。:03/08/19 00:29
Meマンセーですが、何か?
>>860
プ
>>860
お前はメモ帳使え
>>860
お前は携帯で十分
869名無しさん@お腹いっぱい。:03/08/19 00:31
>>867
シェルにメモ帳か。最強だな(w
(´・ω・`)ショボーン メモ帳はOSじゃないし・・・でも
871名無しさん@お腹いっぱい。:03/08/19 00:32
>>858

関係ないけどああいう壁紙使ってる奴は信用しないことにしてる(w
メモ帳&万年筆最強
>>800のパスまだぁーーーーーーーチンチン
>>871
ワロタ
マジでやる気なさげですね Symantec
>>875
更新ないなぁ。何やってんだろ。
ぬるぽことAntinnyのときは早かったのにね。
877379:03/08/19 00:35
http://eucaly.net/cgi-mona/monazilla.cgi
このサイト過去ログ保管だった・・・
878788:03/08/19 00:35
パスワードをクラックした悪寒。
879800:03/08/19 00:36
いやまじほんと今でも
脇から汗が出てるわけだが・・
今頃シマンテックの社内LAN全滅のヨカーン
僕のPCはリカヴィネが守ってくれてます!
だからだいじょうび!テヘ
>>880
(・∀・)ソレダ!!
883名無しさん@お腹いっぱい。:03/08/19 00:38
>>873
>>800 が link 貼ってた奴って icmp 乱射してくる新型じゃないよな?
旧型のは昨日のうちに確保してるんでお腹いっぱい。
884名無しさん@お腹いっぱい。:03/08/19 00:38

わかった、この亜種はシマンテック製だな
6ちゃんが感染したらMSか対策ソフト会社に電話しろと逝ったのが悪い
137や138を送信してるってどうなん?
これはしまんこってす
888名無しさん@お腹いっぱい。:03/08/19 00:39
>>880
これまでで一番鋭いレスだw
889788:03/08/19 00:39
>>883
Aワームだから旧型では?
890名無しさん@お腹いっぱい。:03/08/19 00:40
つか800は何をはしゃいでるんだ?
イマイチわからん
旧型は適当にググれば出てくるんだけどなぁ(w
892800:03/08/19 00:40
一応最新版のトレンドマイクロでは>>800はWORM_MSBLAST.A
として検出されたわけだが、亜種かどうかは未確認
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
893名無しさん@お腹いっぱい。:03/08/19 00:41
>>727
もしかして市万テックでつか?

今の状況でXPのFWとかセキュリティのFW切ったら
新型にやられます?
895名無しさん@お腹いっぱい。:03/08/19 00:42
セキュ板なのに初めてウィルスに触った子供みたいにはしゃいでるし

ZIPのPIKAZIPクラックなんぞで得意になってるし

なんかよーわからんな
>>894
ルータ次第かと。
>>892
msblast.exeのMD5
5AE700C1DFFB00CEF492844A4DB6CD69

DLLHOST.EXEのMD5
53BFE15E9143D86B276D73FDCAF66265
ルータのログみたらこんなんあったんですがなんでしょう?
FILTER UDP connection denied from 192.***.*.*:137 to 159.***.***.***:137 (br0)
    \  壊滅ワッチョイ!    /  +
      \  全滅ワッチョイ! /
   +                  +
       /■ヽ  /■ヽ  / ■ヽ
    (( ∩,,・д) (,,・∀・) (д・,,∩ ))
  +    ヽ ⊂ノ (⊃ つ (⊃ 丿    +
       (__(__) (__ノ__ノ  (__)し'  +

現在の○ymantec社内
スレの勢い急に萎えたな…。
みんな就寝?
902800:03/08/19 00:49
>>800はおいしくいただきました。皆もPIKAZIP使えばすぐなんで欲しい人は検索汁
>>898話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。
903名無しさん@お腹いっぱい。:03/08/19 00:50
WinDos窓用のポートスキャナでいいのない?
904名無しさん@お腹いっぱい。:03/08/19 00:50
このスレ、夏休み企画ですからw
905 :03/08/19 00:50
445と6949が急に増えた。
何でだろ。
"sag"ってはやってんの?>>902
907720:03/08/19 00:50
PC初心者でもないのに疎い漏れに付き合って、
丁寧に教えてくださった方達、本当にありがとうございました。
明日も無事だといいです。
>>901
みんな明日は、蔓延しているウイルスを
退治しなくてはいけないから体力を蓄えているのですよ。
λ ... 明日は亜種・・・
>>902
>>>898話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。

ログの内容も正しく読み取れない椰子がレスすんな
>>898
メルコのルータかな?
簡易設定みたいなので、外向きの135,137-139,445をルーティングしないような
フィルタがあったはずです
912788:03/08/19 00:52
>>907
俺はド素人w
ただ今勉強中です。
913名無しさん@お腹いっぱい。:03/08/19 00:52
>>897
ハッシュが理解できるとも思えんが(w
受信があるのにゾーンアラームは反応しないって何でしょ?
915911:03/08/19 00:53
ごめん、135は通すんだったかも
916800:03/08/19 00:53
勝手に慌ててsagにしてた俺に付き合ってくれて
このスレのみなさんありがとうございました。

隠しててももはや無意味なので



>>800のパスは


1


です。
それではおあとがよろしいようで(・∀・)ノ=ノ
917901:03/08/19 00:54
>>908 なるほどです…。
ってかスレの方向が800を叩くスレに変わってきてるようなw
918名無しさん@お腹いっぱい。:03/08/19 00:55
ルータ・FW設定万全でのんきにこのスレ見てる
俺たちを震え上がらせるような

WORM_MSBLAST.E

キボンヌ
919名無しさん@お腹いっぱい。:03/08/19 00:56
最後まで空気の嫁ないヤシ(w
nyで拾えるのか・・・
セキュ全OFFのが速いオカン
>>910
>>>898はでたらめですよね?

>>911
メルコのWBR-B11っていうルータです。
フィルタ調べてみます。
922897:03/08/19 00:58
>>913
駄目か・・・。
923499:03/08/19 01:00
まちがった。リンクはこっちね。
http://pc.2ch.net/test/read.cgi/sec/1061205064/
2003/08/18 23:33:55 NAT RX Not Found : ICMP 211.***.***.183 > ***.***.**.*** (IP-PORT=7)

ウチのルータのログは↑で終わってるんだが、だいぶ落ち着いてきたのかな?
まだガンガン来てる人いる?

925名無しさん@お腹いっぱい。:03/08/19 01:02
>>921
プライベートネットワークからインターネット上の159.**アドレスのノードへ
通信を開始しようとして、ルータの基本ルールに蹴られてるんだね。
フィルタを見直すより、なぜ159.*にNetBIOSでアクセスしようとしているかを
突き止めたほうがいいよ。
すいません、普段Ping80msくらいの鯖に対してなにも起動してなくても
Ping300msとかいってるんですけどこれと関係ありますか?
927911:03/08/19 01:02
>>921
911は間違ってるかも

簡易設定みたいなので、外向きの137-139,445をルーティングしないような
フィルタがあったはずです

としておきますね
今回のは135を閉じなくてはいけないのでそちらは手動設定しないと駄目だったと
思います

会社のなのでちょっと記憶があいまいで、、
928923:03/08/19 01:02
誤爆スマソ
2003/08/19 01:02:08 NAT RX Not Found : ICMP 219.*.*.* > 219.*.*.* (IP-PORT=7)
dionとeonetからがんがんきてますが・・・
72番をリズムよく叩かれてる。
とりあえず、寝るか。

932名無しさん@お腹いっぱい。:03/08/19 01:04
確かにICBMは落ち着いてきたな
135叩きと時間割ほぼ同数に
(1、2時間前は5倍以上)

今はICBM毎分3発ぐらい
ノートン先生駄目やん
バスターのほうがいいの?
みんなPC落として寝たからかな
>>932
ICBM(((( ;゚д゚)))アワワワワ
937名無しさん@お腹いっぱい。:03/08/19 01:05
>>932
大陸弾道ミサイル?
938名無しさん@お腹いっぱい。:03/08/19 01:05
なんだか気が狂ったように、攻めてきます。
この書き込みも、ノートン先生の警告が邪魔で、なかなか書き込めません。

俺のパソ=俺の彼女

たのむよ。ホントに・・・
>>932
大陸間弾道ミサイルが毎分3発か。
大変だな。
940名無しさん@お腹いっぱい。:03/08/19 01:06
NT3.51は影響ありますか?
いまどきマジでNT3.51でネットに繋いでいます。メインで使ってるわけではありませんが。
941名無しさん@お腹いっぱい。:03/08/19 01:06
みんな寝たから、感染してる稼動PCが減ったんだな
再燃確実か
>>933
そうとも限らない。ベンダー間で定義ファイルのリリースにタイムラグが生じるのは当たり前。
今回はトレンドマイクロが早かっただけのこと。
どっちか好きなほうを使うべし。
943名無しさん@お腹いっぱい。:03/08/19 01:07
>>924
うちは相変わらずだよ。今 01:10-JST だが 01:00 以降に 18 回きた。
回数は減ってきたかな?
大陸間弾道ミサイルをそんなに食らってる人がいたのか・・・・・・
>>921
というか、159.*.*.* が自分のアドレスかどうかをまず明記すべきでは?
win2000/XPの香具師はNetBiosのPort137〜139だけじゃなくてPort445も閉じとけよ。

参考ページ
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/088directhostedsmb/088directhostedsmb.html
>>926
それだけではわかりません。
218.222.*.*からばっか・・・
もう調べる気にもならん。
地球ともおさらばかな・・・・
950924:03/08/19 01:10
あ、そうか、確かに寝た人が多いのかもね。
という事は、また明日にはガンガンくるのかな・・・ちょい鬱。
951名無しさん@お腹いっぱい。:03/08/19 01:10
>>933
先走って訳のワカラン駆除する時あるけどなw
ぽっくんのPCをノックしてるPCにいいたい。
寝ろと。
NODも対応したようだ。
検出した。
>ファイルDLLHOST.EXEはワーム Win32/Nachi.Aに感染しています NOD32 このファイルの感染は駆除できません
本物だったのかw
954名無しさん@お腹いっぱい。:03/08/19 01:11
220.*.*.*から毎分3,4回・・・
>>945
159.*.*.*のほうは自分のアドレスじゃないです。
XPのFWのログだけどサパーリわからん
普通?
2003-08-19 01:01:23 DROP TCP 64.**.***.66 221.***.***.190 80 3402 40 FA 264968683 464888510 32640 - - -
2003-08-19 01:01:30 DROP TCP 64.**.***.66 221.***.***.190 80 3400 40 FA 195729454 445146151 32640 - - -
2003-08-19 01:01:50 DROP TCP 64.**.***.66 221.***.***.190 80 3360 40 FA 3659790204 248057394 32640 - - -
2003-08-19 01:02:04 DROP TCP 64.**.***.66 221.***.***.190 80 3379 40 FA 4051330826 347924084 32640 - - -
2003-08-19 01:02:25 DROP TCP 64.**.***.66 221.***.***.190 80 3338 40 FA 3298201911 162869541 32640 - - -
2003-08-19 01:02:45 DROP TCP 64.**.***.66 221.***.***.190 80 3355 40 FA 3573469676 230363351 32640 - - -
2003-08-19 01:03:07 DROP TCP 64.**.***.66 221.***.***.190 80 3409 40 FA 378631531 493381058 32640 - - -
ahooBBでICMP来てる香具師いる?
ログ取り開始してみたが一向に来ない。
958名無しさん@お腹いっぱい。:03/08/19 01:13
内にはICPOが来たよ
モウダmrポ
>>958
ルパソ?
960名無しさん@お腹いっぱい。:03/08/19 01:14
>>957
きまくりだけど
961名無しさん@お腹いっぱい。:03/08/19 01:14
ICMPめちゃくちゃきて鬱。こんなにログいらんし。。。
これってフィルタできないの?
962名無しさん@お腹いっぱい。:03/08/19 01:14
>>956
ポート80ってw
963名無しさん@お腹いっぱい。:03/08/19 01:15
>>961
ブロック設定を解除してスルー汁!
これでログはスーキリ
964名無しさん@お腹いっぱい。:03/08/19 01:15
>>962
ん?
違ったかな。酔っててスマソ
965名無しさん@お腹いっぱい。:03/08/19 01:15
>956
Web見てたら、それ出るよ 80
>>964
まぁイカでも食って元気出せよ
>>961
FWの外側にFWを設置。
968名無しさん@お腹いっぱい。:03/08/19 01:16
>>921

あなたのPC(192.***.*.*)がUDPポート137で
(159.***.***.***)のUDPポート137と
通信しようとしたんで止めました

って意味ですね。
フィルタの動作としては正常です。

ポート137はNetbiosで使われているポート
(159.***.***.***)はあなたのルーターに割り当てられている
グローバルアドレスじゃないかな

マイクロソフトネットワーク用クライアントとか
マイクロソフトネットワーク用プリンタ/ファイル共有
とかが有効になっている可能性が高いですね。
スタンドアローンで使ってるなら落としておきましょう。

自宅でLAN組んでファイル共有とかしてるんなら
しかたないでしょうが。
まあルーターが止めてるんで問題はないでしょう。
>>957
ひっきりなしでつ。

2003/08/19 1:16:17通信の要求219.57.247.5ICMP(2048)
2003/08/19 1:14:21通信の要求219.57.110.53ICMP(2048)
2003/08/19 1:13:39通信の要求219.60.236.124ICMP(2048)
2003/08/19 1:13:30通信の要求219.57.38.55ICMP(2048)
2003/08/19 1:12:58通信の要求219.57.172.39ICMP(2048)
2003/08/19 1:12:27通信の要求219.58.14.109ICMP(2048)
2003/08/19 1:11:52通信の要求219.57.168.191ICMP(2048)
2003/08/19 1:11:49通信の要求219.57.242.26ICMP(2048)
2003/08/19 1:11:39通信の要求219.56.226.85ICMP(2048)
2003/08/19 1:10:37通信の要求219.54.2.44ICMP(2048)
2003/08/19 1:10:22通信の要求219.57.60.9ICMP(2048)
2003/08/19 1:09:46通信の要求219.56.188.104ICMP(2048)
2003/08/19 1:09:17通信の要求219.55.196.102ICMP(2048)
2003/08/19 1:09:15通信の要求202.229.198.199TCP(4101)
2003/08/19 1:09:08通信の要求219.58.36.125ICMP(2048)
2003/08/19 1:08:47通信の要求219.57.6.80ICMP(2048)
2003/08/19 1:08:22通信の要求219.57.130.47ICMP(2048)
2003/08/19 1:08:11通信の要求202.229.198.199TCP(4101)
2003/08/19 1:07:42通信の要求219.57.192.150ICMP(2048)
2003/08/19 1:07:13通信の要求219.57.140.76ICMP(2048)
2003/08/19 1:07:07通信の要求202.229.198.199TCP(4101)
>>956の肛門の直径が80センチ
971名無しさん@お腹いっぱい。:03/08/19 01:16
メルコのルーターってPINGを通さないんだけどなんで?
PINGを通すとどうなるのか見てみたいのに・・・
972名無しさん@お腹いっぱい。:03/08/19 01:16
>>963
普通にだめだろw
>>963
たしかにw
次スレまだ?
更なる亜種きぼんぬ
次の亜種はメモ帳を使ってネットに接する奴きぼんぬ。
978901:03/08/19 01:19
>>957
自分もYahooだけど相変わらずきてるよ。
Yahoo自体は減ったけど。アメリカと大陸からちらほら
祖そろそろ次スレでしょ〜
>>960,969,978
そうかぁ。
何故か漏れのところには一度も来てないな。3時間ほどログ取ってるんだけど。
自分でPing撃ったらReplayパケットのログが残ってたから設定間違いって事もないんだが。
msblasterを喰らえ!!!!
982名無しさん@お腹いっぱい。:03/08/19 01:20
>>968

追加

念のため外からの137〜139、445あたりもフィルタで止めてることを
確認しといた方がいいですね。
>>935
W32.Welchia.Worm
って Welcome to China の略か(w
>>978
相変わらず10秒に1回来てますahoo
985名無しさん@お腹いっぱい。:03/08/19 01:21
>>956
Windows 使ってないからよくわからんが drop tcp だからとりあえず安心
しといていいんじゃないの?80/tcp ってのがナニだが(w。

でも、64.**.***.66 だの 221.***.***.190 だのってどこのアドレスよ?
来なくなったよ
system32\wins\dllhost.exe と同じ場所に、
system32\wins\svchost.exe が有る香具師いるか?

有ったとして、そのニセsvchost.exeのプロパティで、
名称==tftpd.exeになってないか?
988956:03/08/19 01:23
レスしてくれた方どーもです。
勉強不足です。

>>964
マジで酔ってますなw
代わりにレスしてくれてますが
989イタチ飼い ◆ITACHIz.0o :03/08/19 01:23
10秒単位で来るな・・・
OCN、富士通さん、ぷらら、アフォーBB、アジアンネットワーク?
もう国際社会って感じでつ・・・
990名無しさん@お腹いっぱい。:03/08/19 01:23
>>980 外からのpingは無視なルータじゃね?
自分でpingって内側から打(ry
991名無しさん@お腹いっぱい。:03/08/19 01:24
papiko
>>980
ログさらしてみ。
>>968

グローバルアドレスは61.***.***.***というやつなのです。
ちなみに159.***.***.***ってのを検索してみたらCountry: USとかなりました。

LAN組んであるんでファイル共有はしてます。
問題ないということなんでとりあえずこのままにしておきます。

(・∀・)チゴイネ
995名無しさん@お腹いっぱい。:03/08/19 01:25
nurupo
1000ダニ
9971000:03/08/19 01:25
もらった
1000ダニ!
999名無しさん@お腹いっぱい。:03/08/19 01:25
一〇〇〇
>995
ガッ
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。