Blaトロイの木馬 かなりあせってます。よろしくお願いします。

Norton Internet Security 2004で
Blaトロイの木馬を使ってコンピューターに接続しようとする試みを検出しました。

警告の原因
IPアドレス192.168.11.1のコンピューターがBlaトロイの木馬のデフォルト遮断を使ってこのコンピューターにせつぞくしようとしました。

というエラーメッセージが表示され、気持ち悪くなったのでOSをリカバリーDVDでいれなおしたらLiveアップデートをしようとした瞬間に同じエラーメッセージがでました。

そしてLiveアップデートができなくなってしまいました。

どうすればいのでしょうか。
教えてください。よろしくお願いします。

No.1 回答者： raze 回答日時： 2005/01/21 01:14

http://www.nai.com/japan/security/stinger.asp
http://www.pandasoftware.com/activescan/jp/activ …
解消するかどうかわからないけど。

この回答へのお礼

回答ありがとうございます。
試してみます

お礼日時：2005/01/21 02:02

No.2 回答者： A1200hd40 回答日時： 2005/01/21 01:44

遮断しているＩＰアドレスは、どうやらＬＡＮ内部のようですが、ほかにＰＣは有りますか？

同じネットワーク内部の別の機械が感染している気がします。

ＷＡＮ（外部）への接続形態はどうなっていますか？
無線ＬＡＮ？
有線ＬＡＮ？
ルータは有りですか？無しですか？

この回答への補足

回答ありがとうございます。

他に３台PCがあります。
いまからすべてのPCでウイルスチェックします。

ルーターはBBR-4HG(有線LAN)を使用しています。

なおLiveUpdateはLiveUpdate をバージョン 2.5 へ更新したらできるようになりました。

よろしくおねがいします。

補足日時：2005/01/21 01:59

この回答へのお礼

すべてのコンピューターでウイルスが検出されませんでした。

よろしくお願いします

お礼日時：2005/01/21 02:28

No.3 回答者： A1200hd40 回答日時： 2005/01/21 03:46

問題のＩＰはルータのもので、叩かれているポートは、１０４２番では有りませんか？

この回答への補足

ウイルスなら、私だけならともかく、他の人にまで被害を出すのは絶対に避けたいので宜しくお願いします

補足日時：2005/01/21 04:20

この回答へのお礼

おっしゃる通り192.168.11.1はルーターのものですが1042かどうかは分かりません。しかし、ウイルスチェックをしようとしたら別のPCでも同様のトロイが…というメッセージがでました。
（４台中２台のPCでメッセージが出ました）

しかし下記にも書かせていただいた用に全てのPCでウイルスは検出されませんでしたし今までこのようなことは一度もありませんでした。

本当に気持ちが悪いです。

宜しくお願いします

お礼日時：2005/01/21 04:18

No.4 回答者： A1200hd40 回答日時： 2005/01/21 13:27

途中で、回線障害が発生したため、ダイアルアップ接続なので、手短に説明します。

trojan blaで、検索したところ、このトロイは、サブネットローミングというサービスを行うポートを利用して、接続を確立しようと試みるタイプのようです。

ＩＡＮＡのポート番号表によれば、正規のサービスポート名が存在しますので、設定によっては、ルータを通り抜ける可能性があります。

個別のファイアウォールが有って、インバウンド接続を遮断している状況でしたら問題は無いでしょう、感染の疑いが持たれるのは、アウトバウンド接続（内部から、外部へ）を探知した時のみです。

この回答へのお礼

A1200hd40様。
何回もありがとうございます。

問題がないということで少し安心しましたが

(1)なぜOSリカバリー直後（HDDの中身は全て消したのに）、LiveUpdateをしようとしたら高度危険「Blaトロイの木馬を使ってコンピューターに…」という警告がでてしまったのか？

(2)警告がでた２台のパソコンともにNortonでウイルスが検出されなかった（脅威はないと表示された）がパソコンにウイルスはないと考えてよいのか？ウイルスがないならなぜ警告がでたのか？

お分かりになる範囲で結構ですので教えてください。
宜しくお願いします。
　

お礼日時：2005/01/21 21:47

No.5 回答者： A1200hd40 回答日時： 2005/01/21 23:19

簡単です、

問題のワームが、間が抜けていることに、拡声器でもって「おいらの仲間はいませんか～」と敷地の門のところで中の人を呼んでいる状態です。

（内部のインフラ（ルータ）の機能を使用して確認しています。）

声は届いても、そんなやつは居るわけもなく、敷地の中の家の人たちは、あらかじめ「顔写真どころか、手口まで事細かに書いてある指名手配犯の一覧」を持っていたので、ドアを空けるどころか「うるせー」の一言もなく、直ちに通報しました。
（Ｎｏｒｔｏｎがしっかり対応してくれています。）

Ｎｏｒｔｏｎのメッセージの和訳が変なのはご愛嬌ですか・・。

この回答へのお礼

ご丁寧にありがとうございます。
しかし再び同じ警告が先ほどでてしまいました。
今回は詳しい詳細もメモしました。

時間 0:04
日付 2005/01/22
プログラム svchost.exe
パス C\Windows\system32\
プロトコル UDP(インバウンド)
リモートアドレス 192.168.11.1 :1900
ローカルアドレス 192.168.11.2 :1042
場所 ホーム
リモートコンピューター(192.168.11.1)がリモートアクセスのトロイの木馬によってこのコンピューターに対する接続を試行しました。試行は遮断されました。
詳しくは〔警告アシスタント〕をクリックしてください

です。本当に気持ちがわるくて。
誰かに監視されているのではないか？とか
なんで昨日から急にこんな風になったのか？とか
なんで駆除できないのか？とか不安で不安で…。

何回も質問して本当にすいません。
教えてください。私はどうすればいいんでしょう。
お助けください。本当によろしくお願いします。

お礼日時：2005/01/22 00:18

No.6 ベストアンサー 回答者： A1200hd40 回答日時： 2005/01/22 03:00

ＸＰでネットワークご利用の場合、このsvchost.exeのパスは正常と思われます。

ソースはマカフィーのサイトですが、ご覧ください。
http://www.sourcenext.info/mcafee/support/mpfver …

仮に、本物のバックドアクライアントが、ポートスキャンしていても、「開いてるドアは無いかいな～」と言う具合でしらみつぶしに探しているだけですから、気にするほどの事では有りません。

ルーターがログを記録する、強力なタイプでしたら、ログから接続要求を行っているＩＰを割り出して個別にルーターでパージできます。（当てはまりますね。）

駆除しようにも、あなたの方に元があるわけではありませんから、見つかるわけも有りません。

Ｂｌａは３つのポートを利用します。
６６６番、１０４２番、２０３３１番です。

該当するポートに対しての、外からのアクセスログが無ければ、「Ｎｏｒｔｏｎさんってば神経過敏だから・・・」。

と、言う事になりそうです。
念のために、ルーターのメーカーのサポートセンターにも問い合わせてみてはいかがでしょうか？

ってやってるうちに、サポートページで該当部分見つかりましたので、参考ＵＲＬ内で検索して見てください。
「環境」メニューでご利用の機械の名前を選択すると、まさにこの事例が次のメニューの中に挙がりますので、選択してご覧ください。

「のーとんさんって、ほんと・・・・・・。」

参考URL：http://qa.buffalo.jp/eservice/esupport/consumer/ …

この回答へのお礼

ご丁寧にありがとうございました

お礼日時：2005/01/23 16:11