12/05/18 12:07:32.78 O1SlTByr0
~山田ウイルス感染者<感染してる恐れのある人>へ~
※山田ウイルスは初期型以外はアンチウイルスソフトで未対応<削除不可能>です。
オンラインスキャンで検出されない場合は手動で削除することになります。
※通報屋さんならびに山田対策屋さんは、このスレにてウイルス検体を収集されている方です。
削除のお手伝いもされますが、あくまでもスレ内でのボランティアです。
個人質問メールは送らずに、スレ内に書き込むようにしてください。
手順
1、>>1のニュイルス日誌にある<山田ウイルスチェックツール>を使い検査してください
※結果をこのスレに書き込んでもらえればスレ住人が駆除をお手伝いします
2、>>1のまとめサイトにある<山田ウイルスとは>の項を参考に駆除をしていきます
※山田ウイルスの多くはsvchost.exeとして活動していますがOSの起動に必要なものもあり
削除には注意が必要です
3、駆除が出来たかどうかの確認にはまとめサイトの<串での確認方法>を参考にして下さい
※感染した可能性のあるファイル名(ハッシュ、キー情報など)が分かるようでしたら
このスレに書き込んでいただければ幸いです、今後の山田ウイルス対処の参考になります
駆除後の対処
このウイルスはデスクトップ画像をアップするだけでなく
感染者のHD内のデータを他者が持ち出すことも可能です
メールアドレスやウェブサービスのID、パスワード、その他個人情報を変更又は削除することをお勧めします
ドネーションウェア
山田ウイルスチェックツールはドネーションウェアです。
支払義務や金額設定はありませんし、感謝の気持ちを表明するだけでもいいのです。
欧米ではポピュラーですが、こういった尊い行為にナンクセ付ける厨はVIP以下に他なりません。
3:[名無し]さん(bin+cue).rar
12/05/18 12:08:39.11 O1SlTByr0
●山田オルタナティブ
・Mell-1-0.11、Mell-1-0.12、Mell-1-0.12A、Mell-1-0.12Bの4種類。
・最古の存在確認は1月23日、現在、爆発的に感染が広がっている。
・ny、洒落の両方での感染が確認されている。うpロダでも感染する可能性あり。
・感染するとny、洒落を起動していなくとも関係なく自立Webサーバを起動、
感染者同士のPCをLINKさせ、HDDを全公開し、外部からアクセスも可能にしてしまう。
・sys.exeとupdate.exeを削除しても復活したとの報告もあり、別に卵が存在している?
・感染者によってエロゲ、アニメ、音楽など収集ジャンルがまちまちなため、感染源がいまだに不明。
・拡張子exe、scr、com、bat、pif、cmdは要注意
【感染確認方法(とりあえず安心程度)】
・タスクマネージャでSys.exe及びUpdate.exeの有無を確認。存在すれば(´・ω・) カワイソス
・Program filesフォルダにsysフォルダとupdateフォルダが存在すれば(´・ω・) カワイソス
・コマンドプロンプトからnetstat -anoと打ち込み
Local Addressに80、8000、8080の有無を確認。存在すれば(´・ω・) カワイソス
【感染確認方法(ほぼ確実)】
URLリンク(www.excite.co.jp)等のウェブページ翻訳可能な翻訳サイトで
以下を入力して翻訳
http://(自分のIP)/C:/
http://(自分のIP):8080/C:/
http://(自分のIP):1080/C:/
http://(自分のIP):8000/C:/
翻訳不可能=見えない(´・ω・) ス
翻訳可能=外部から見える=(´・ω・) カワイソス
4:[名無し]さん(bin+cue).rar
12/05/18 12:10:15.55 EaS8yPbF0
●山田オルタナティブ(Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11)
【主な被害】
・2段階の画質でSSを出力し、他の(´・ω・) カワイソスな香具師へ相互リンク
・アップロードらしきフォームで、コンピュータ上の全HDD上の全ファイルのHTTPでのダウンロードを可能にする
【主な活動】
・Program filesフォルダにsysフォルダとupdateフォルダを作成する
・最初の時点ではsys.exe、再起動後にupdate.exeとして動く
・update.exeのほうはHDDには現存せず
・起動ごとにsys.exe→update.exe→sys.exeとファイル名を変え活動
・起動時には引数として前述のTripが渡されている
・実体あるのはC:\Program Files\で、sys.exeの時はsysフォルダ
update.exeのときはupdateフォルダに居座る
・フォルダ内には実体とreadme(拡張子無し、文字化けして読めない)、2つのフォルダを作成
・フォルダの一方は空、もう一方は
他の(´・ω・) カワイソスな香具師らを繋ぐリンク用のキャッシュファイル
・UPnP対応で穴を空ける
・起動はレジストリのスタートアップに下記の2つが登録
・HKEY_LOCAL_MACHINE -> SOFTWARE -> MICROSOFT -> WINDOWS -> CURENTVERSION -> RUN
名前: sys.exe データ: "c:/program files/sys/sys.exe"20060223042347170169115
名前: update.exe データ: "c:/program files/update/update.exe"
・ポート80、ポート8080の空き領域を使う
(そのほかのポートを使う場合もある模様)
・Mell-1-0.12a、Mell-1-0.11の同時起動が可能。その場合は
それぞれ80ポートと8080ポートで起動し、0.12Linkリストと0.11
Linkリストは違うものをリスト化する模様(仕組みは不明)
・updateフォルダに2chの板一覧を取得(bbs2ch_bbsmenu_html)、
厨房板(URLリンク(tmp6.2ch.net))へ書き込み、ログ保持
・厨房板への書き込みがLinkリスト作成のノードになっている
5:[名無し]さん(bin+cue).rar
12/05/18 12:11:25.70 EaS8yPbF0
/\___/\
/ ⌒ ⌒ ::: \
| (●), 、(●)、 | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| ,,ノ(、_, )ヽ、,, | < 利用する 便利じゃん
| ト‐=‐ァ' .::::| \_________
\ `ニニ´ .:::/
/`ー‐--‐‐―´´\
山彦
(´・ω・)山田専用 アップローダー
URLリンク(sea.s201.xrea.com)
その他ロダ一覧
URLリンク(ehoba.mydns.jp)
URLリンク(a-draw.com)
URLリンク(vista.wxyz.be)
URLリンク(up.mugitya.com)
URLリンク(www.42ch.net)
6:[名無し]さん(bin+cue).rar
12/05/18 12:12:26.90 EaS8yPbF0
避難所一覧(´・ω・) ス
デスクトップ
山田ウィルス感染者のデスクトップ2
スレリンク(desktop板)
外部
|д゚)毒男板避難所
2ch(´・ω・) カワイソス 2
URLリンク(jbbs.livedoor.jp)
YYかきこ
山田ヲチ板(´・ω・) ス
URLリンク(yy72.60.kg)
臨時Download板
(´・ω・) カワイソス避難所 2
URLリンク(jbbs.livedoor.jp)
7:[名無し]さん(bin+cue).rar
12/05/18 12:12:54.68 O1SlTByr0
感染して不安な人、いろいろ質問したい人は
/ ̄ ̄ ̄ / /''7 ./''7 / ̄/ /''7
./ ./ ̄/ / /__/ / / ____  ̄ / /
'ー' _/ / ___ノ / /____/ ___ノ /
/___ノ /____,./ /____,./
_ノ ̄/ / ̄/ /''7 / ̄ ̄ ̄/ / ̄/ /'''7'''7
/ ̄ /  ̄ / /  ̄ フ ./ / ゙ー-; ____ / / /._
 ̄/ / ___ノ / __/ (___ / /ー--'゙ /____/ _ノ /i i/ ./
/__/ /____,./ /___,.ノゝ_/ /_/ /__,/ ゝ、__/
が一番(´・ω・) ス
8:[名無し]さん(bin+cue).rar
12/05/18 12:15:02.01 O1SlTByr0
連投規制のせいで>>5が抜けてた(´・ω・) ス
●Spybot-S&Dご使用の方へ
Spybot-S&Dインストール環境下で山田ウイルスチェックツールを使用すると
/*
HOSTSファイルの書き換えを検索しています
HOSTSファイルの書き換えの検索が完了しました
HOSTSファイルが改変されている可能性があります
検索結果:
山田ウイルスに感染している可能性があります。
詳細は URLリンク(www3.atwiki.jp) まで。
疑惑箇所:
HOSTSファイル
*/
となる場合がありますが、
ここでのHOSTSファイルの改変はSpybot-S&Dの免疫機能によるものです。
100%安心というわけでは無いですが、
現在報告されているものは全てSpybot-S&Dによるものなのでご参考までに(´・ω・) ス
9:[名無し]さん(bin+cue).rar
12/05/18 12:38:20.41 /TM5PzSY0
>>1乙
※本メールは、OCN会員のお客さま、みなさまにお送りしています。
※『ロジテック製300Mbps無線LANブロードバンドルータ』を
ご利用されていないお客さまは、設定変更等の対応は必要ありません。
ご利用機種の確認については、下記URLをご確認ください。
⇒ URLリンク(www.ocn.ne.jp)
━━━━━━━━━━━━━━━━━━
【重要】ロジテック製ルータの一部機種における
セキュリティ不具合に関するお知らせ
━━━━━━━━━━━━━━━━━━
平素はOCNをご愛顧頂き、誠にありがとうございます。
一部のOCN会員さまがご利用されている無線LANルータについて
ご連絡いたします。
市販の『ロジテック製300Mbps無線LANブロードバンド
ルータ』LAN-W300N/Rシリーズ※1 において、
セキュリティに問題があることを確認いたしました。
該当シリーズの無線LANルータをご利用された場合、
インターネット接続に必要なお客さまの「OCN認証ID」
「OCN認証パスワード」が第三者に取得される可能性がございます。
無線LANルータをご利用のお客さまで、お持ちの無線LANルータが
該当の機種であった場合は、設定変更が必要ですので
以下のWEBサイトをご確認の上、ご対応をよろしくお願いいたします
10:[名無し]さん(bin+cue).rar
12/05/18 12:48:39.04 vF4QBiLk0
>>1乙(´・ω・) ス
OCN会員なのに>>9が届かない(´・ω・) スは(´・ω・) カワイソス?
11:[名無し]さん(bin+cue).rar
12/05/18 12:50:59.71 M/4J0Geo0
>>10
それはすでに抜かれてて(´・ω・) カワイソス
12:[名無し]さん(bin+cue).rar
12/05/18 12:51:47.25 4+7SmA3O0
>>1乙(´・ω・) ス
>>10
OCNから無線LAN機器をレンタルしている人のみだと思う(´・ω・) ス
13:[名無し]さん(bin+cue).rar
12/05/18 12:59:57.65 vF4QBiLk0
>>12
そうなん(´・ω・) スカ
一行目の文言は間違いということで(´・ω・) スネ
>>11
(´・ω・) ダラッシャア
14:[名無し]さん(bin+cue).rar
12/05/18 13:06:27.45 oDEKqZGl0
きっと>>10はダイヤルアップ会員(´・ω・) ス
テレホタイムじゃないのに接続してるとは豪気(´・ω・) スナァ
15:[名無し]さん(bin+cue).rar
12/05/18 13:08:20.21 C48yqAuh0
___
__ '´ `ヽ_
rl><}.レノノハ))〉}
)イ八(´・ω・ノィ{ >>1乙ですのっ!
,( ( 〉iく}ヘV!}! ))、
(J_/_l,|J
. 〈_/_」
16:[名無し]さん(bin+cue).rar
12/05/18 13:20:02.83 /TM5PzSY0
>>12
レンタルしてない(´・ω・) スヨ
うちは牛の無線LAN使ってる(´・ω・) ス
>>10(´・ω・) カワイソス 山田ヲチスレ 1057
17:[名無し]さん(bin+cue).rar
12/05/18 13:23:07.34 Q4GCf+PFP
またヲチスレで悲劇(´・ω・) スカ・・・
本当に(´・ω・) カワイソスなスレ(´・ω・) ス
18:[名無し]さん(bin+cue).rar
12/05/18 13:25:11.35 vF4QBiLk0
ちょっと待つ(´・ω・) ス!
(´・ω・) スはOCNからレンタルもしてないし無線LAN機器はバッキャロー(´・ω・) スヨ!
19:[名無し]さん(bin+cue).rar
12/05/18 13:35:30.58 O1SlTByr0
>>18
(´;ω・) カワイソス
20:[名無し]さん(bin+cue).rar
12/05/18 13:45:01.48 EAib1B/10
NECの(´・ω・) スに隙はなかった(´・ω・) ス
21:[名無し]さん(bin+cue).rar
12/05/18 13:59:07.38 XJw+QIG10
>12
一切の機材レンタルしてないけどメールはきた(´・ω・) ス