感染を確認する方法
| ・ネットで情報を収集してください。 ・最下段の参考サイトが情報が豊富です。 ・更に検索サイトで、山田ウイルス、メルポン、TROJ_MELLPONなど で検索をして情報を集めてください。 ・また、自分のPCのディスクトップの画像が晒されてないか、 ・ご自分の、グローバルアドレス、ホスト名を検索してみるのも良いでしょう。 ・掲示板サイト「2ちゃんねるのダウンロード板」を見て 「タイトル(´・?・) カワイソス 山田ヲチスレ 番号」と言うスレッドを 見つけて、見てみるの良いでしょう。 ・ウイルス対策ソフトでスキャンをする。 亜種によっては対応していない場合が有ります。 ・スキャンをしても検出されない場合は以下の方法で調べる。 参考:ウイルス検出例(画面処理済み) 注:最新のバージョン(エンジン、パターンファイル)にする事 注:「hostsファイル」が改竄されている場合はアップデートが出来ない事が有る。 ・通報屋氏提供の専用のチェックツールを使って調べる。 ※最も簡単に調べる事が出来ます。 ツール配布サイト 『ニュイルス日誌』 『ツールの使い方』 参考:チェックツール起動画面:(フルチェック後の画面) 参考:チェック時のログ :(フルチェック後のログ) ・ブラウザに以下のIPアドレスを入力し、ページを表示させる。 http://127.0.0.1/(クリックすると別窓で開きます) http://127.0.0.1/~ss.jpg(クリックすると別窓で開きます) ※表示された場合は、感染していると思われる。 ・プロキシを用いて、上記のページを表示させる。 ※IPアドレス[127.0.0.1](ローカルループバック用) 参考:「127.0.0.1」表示例 ・ウインドウのファイル検索機能を利用し、 svchost.exe youjo(空白).exe などのファイルを検索する。 注:ウイルス本体が以下のファイルに偽装されている場合も有る様です。 (rundll32.exe)(mdi.exe) ・以下の名前がついたフォルダを検索する。 mellpon、fusianasan、kawaisosu、yamada 注:上記フォルダの中にPCのHDDの中のリストが有ります。 参考:svchost.exe検索結果例 ・エキスプローラで「C:\Windows\system32\drivers\etc\」を開き、 ・フォルダの中の「hosts」をメモ帳などで開く。 「127.0.0.1」以外のIPアドレスが記載されていたら感染している可能性があります。 注:「#」で始まる行はコメントなので無視してください。 参考:hostsファイル ・レジストリエデイタを起動して、 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run を見て、不審な実行ファイルが書き加えられていないかを調べる。 参考:編集および復元する方法 参考:レジストリのバックアップ方法 |