2005年06月06日

山田ウイルスの駆除2

どんどん亜種が出てきているので、前に書いた古い記事じゃダメっぽいです。
感染者も、このブログに来ているようなので新たに書き直しておきます。
駆除できずに帰って行くようで、ちょっと責任感じました(汗)
ただ、自分は知識乏しいです。間違いだらけかもしれません。
PCがおかしくなっても知りません。あくまで自己責任で…。

【感染確認法】
かつてはhttp://127.0.0.1/をクリックして、ページが表示されなければセーフだった。
しかし、亜種にはこの確認法は使えないようです。
串での確認方法を試してみてください。

また、ニュイルス日誌で山田チェックツールなるものが配布されています。作者様の懸命な努力により日々バージョンアップしていますが、どんどん新しい山田ウイルスが出回るのでチェックツールをすり抜けてしまう場合もあるようです。ただ、ほとんどの山田は検出できると思いますので作者様に感謝しつつチェックしてみて下さい。

【駆除方法】
ウイルスの本体は、初期の山田ではyoujo(空白).exeだったが、今の主流はsvchost.exeというファイル名のものです。他にもrundll32.exe、mdi.exeだったという情報もあるようです。

タスクマネージャーのプロセスで、NETWORK SERVICEやLOCAL SERVICEで動いているC:\WINDOWS\System32\svchost.exeは、もともとあるものなので大丈夫です。というか消してはいけません。
環境によってはC:\WINDOWS\PrefetchやC:\WINDOWS\SoftWareDistributionにもある場合があるそうですが、これも大丈夫とのこと。
あとC:\WINDOWS\ServicePackFiles\i386にあったり。SYSTEMで動いていたり…。
ほんと人によって様々みたいです。

上記の場所と違うところにあって、ユーザー名で動いているsvchost.exeがウイルスの本体っぽいです(どこにウイルス本体が作成されるかは、はっきりしていません。ランダム?)
今後の亜種はわかりませんが、今の所は「ユーザー名」がポイントのようです。
使用者のユーザー名でsvchost.exeが動いてたら、感染している可能性が高いです。
作成日等をチェックして新しければ疑わしいでしょう。
とりあえず、そのプロセスを終了させて削除。

次に、hostsファイルが改竄されている場合は、それの修正。
※HOSTSファイルは通常以下のいずれかの場所にあります。
<Windowsシステムフォルダ>\drivers\etc\hosts
<Windowsフォルダ>\hosts
普通は、#でコメントアウトされた行と「127.0.0.1 localhost」という行しかありません。
身に覚えがないのに他の行があれば、それを削除。

あとは、ウイルスのフォルダを削除です。
このフォルダ名はmellpon、fusianasan、kawaisosu、yamada、tanaka等様々です。
C.html等のハードディスク内のファイルインデックスが入っているはずです。
フォルダごと削除。

最後に、レジストリ又はスタートアップが書き換えられている場合もあるので、それを修正しておしまい。
ウイルスやスパイウェアによって作成されたレジストリの削除方法
スタート→すべてのプログラム→スタートアップ、順番に右クリックしてプロパティを確認。
そのリンク先がウィルスになっていたら削除。

注意)亜種が出続けているので、新種の場合上記のことでは通用しないかもしれません。
って書いてるうちに続々と新種報告が…コワイス

参考:
山田ウイルスとは(kawaisosu @Wiki)
Uploader-X(マカフィー)
TROJ_MELLPON.A(トレンドマイクロ)
TROJ_MELLPON.B(トレンドマイクロ)
TROJ_MELLPON.D(トレンドマイクロ)
TROJ_MELLPON.E(トレンドマイクロ)
TROJ_MELLPON.F(トレンドマイクロ)
TROJ_MELLPON.L(トレンドマイクロ)
TROJ_DROPPER.BT(トレンドマイクロ)
Backdoor.Trojan (シマンテック)
山田ヲチスレ(ダウンロードソフト板内)

関連サイト:
kawaisosu @Wiki(まとめサイト)
http://www2.atwiki.jp/kawaisosu/
ニュイルス日誌 (山田ウイルスチェックツールあり)
http://blog.livedoor.jp/antiny_virus/
ヤマイモ木から生えてくる観察ブログ
http://nemoba.seesaa.net/article/2891535.html
posted by きみ at 23:03 | Comment(0) | TrackBack(5) | くだらん雑記
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのTrackBack URL


シマンテック
Excerpt: シマンテックシマンテック (Symantec Corporation) は、アメリカ合衆国カリフォルニア州にあるコンピュータ・ソフトウェア会社。日本法人は株式会社シマンテック。Wikipediaより引..
Weblog: ソフトウェア辞典
Tracked: 2005-07-04 22:06

山田ウイルス、WinMXで流行中!
Excerpt: 最近、WinMXで「山田ウイルス」が流行っているそうです。このウィルスにかかると、PCの中身が外部から見れるようになり、IPアドレスを2ちゃんに晒されるそうです。怖~!
Weblog: ダウンロードざんまい
Tracked: 2005-10-12 19:03

びひゃあぁぁぁぁぁい!
Excerpt: こないだ女にロー夕ーと電マ持って来させてマムコを集中攻撃したよ(`・ω・´) スゲエ声でアンアン言いまくって、もの凄い勢いで9マソくれたよwwwwww 寝て稼ぐのもいいけど、たまには攻めるのもアリだよ..
Weblog: コンプ
Tracked: 2008-10-04 18:59

すぐオッキwwww
Excerpt: サイト見て興味あったから、工口ゲ買いに行くついでに見せてきた(`・ω・´) 結局盛り上がっておしゃぶりしてもらったんだけど7マソ貰えてビビったwww 工口ゲ代だけ貰うつもりだったのにプラスになりすぎて..
Weblog: こけし
Tracked: 2008-10-18 21:29

試写室にてwww
Excerpt: お互い家でするのは嫌だし、ホテルってベタだし・・・試写室でヤってきたww スリルあるし密室感あるし普通よりスンゲー興奮したwwwwww 女もスゲエ濡れ濡れで何回もイってたしw おかげで10マソも貰えた..
Weblog: 暴走
Tracked: 2008-10-25 02:30
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。