![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?e8efa67)
初心者で失礼な点があるかもしれませんが,ご教示頂けます様お願いします。
使用しているPCはメーカ製ノートPCです。
OSにはWINDOWSXP-SP2で最新のAntiVirus,Spypodを利用しております。
最近,PCが妙に重いと思いましてNetstatで調べましたところ,同じポート番号からTCP25(SMTP)で知らないグローバルアドレスに対し、ものすごい勢いで送信しておりました。(1秒間に3~4セッション程です)
パケットの中身をEtherealでキャプチャーしました所、
『知らないメールアドレス』から『知らないメールアドレス』へネットショッピングの勧誘テキストメールを送信しているようでした。
※ http://www.ottislan.comというアドレスですが,外国のショッピングモールのようです。このURLは行かない方がいいと思います。
次に,タスクマネージャ等で追跡した結果、
<Drive>:\Documents and Settings\<USERID>\Local Settings\Temp
に『modulhae.exe』というファイルが出来ており,これがメールを送信しているようでした。
但し,modulの後の部分が違うファイルが複数ありまして,最後のhaeは適当な文字列と考えられます。
削除の試みとして,このファイルのプロセスを停止し,上記ファイル削除,レジストリでこのファイルのエントリを全て削除しました。
ところが,Windowsを再起動してInternetにつなげると,またファイルが出来ており,勝手にSMTPでパケットを投げ続けます。
※ 上記の補足ですが,グローバルアドレスを付与されるInternet接続では症状がからなず出ますが,プライベートアドレスを付与したルータ経由にすると途端に出なくなります。何がトリガーになるのか不明瞭です。
このように厄介なウイルス系ファイルですが、
Googleやヤフー等のネットサーチで調べても該当記載が全然ヒットしません。
どなたか,このウイルスのようなファイルの詳細と対処法をご存知の方は是非教えてくださいますようお願い申し上げます。
No.4ベストアンサー
- 回答日時:
原因は他の方が応えていますので、とりあえずの対処方法です。
まず対象のプログラムは俗にボットと呼ばれるプログラムです。ボットプログラムはウイルスやWeb経由、不正アクセス等でPCの場所内におかれます。
ボットプログラムは、ツール等でカスタマイズされる事も多いので、サンプル数も少なくウイルス対策ソフトで検知できる例は希です。
逆にソフトを過信しないことが大事ですね。
対策方法は基本的にClockupさんの手順で結構なのですが、その作業はワームが実行されている環境ではすぐに書き戻されますので、必ずセーフモードで行わなくてはなりません。
また、そのボットが実行するためにWindowsファイアーウォールに例外登録が行われている可能性が高いので、いちどそちらの設定も調べる必要があります。
また駆除作業が完了するまでネットワークは切り離す方が結構です。
最後に、対策を行う場合にボットのプログラムとほぼ同じ日時にPC内(特にc:\windows\system32\)に作成されたファイルを検索してください。
ファイルバージョン情報やメーカー情報のないファイルで隠し属性やシステム属性になっているファイルがあれば、そちらがワーム本体の可能性があります。
このプログラムも見つけるためには、フォルダオプションの表示の項目で一番下の「保護されたオペレーティングシステムファイルを表示しない」のチェックを外さないと発見できません。
無論駆除作業は、セーフモードで行うことが基本です。
駆除が終わったら再起動後ファイアーウォールの再点検を行って、ネットに接続、仕上げにシマンテックのオンラインスキャンで検索を行ってください。
(検索のみで駆除はしませんので注意してください)
的確なご回答誠にありがとうございます。
色々と参考になる箇所が多々あり一番参考になりました。FWの例外登録もされておりました。
ただ、セーフモードでファイルとレジストリ削除を実施しましたが、結局また復活してしまいました。
多分このmodulhae.exeは本体ではなく、SMTPの実行のみで、本体はAirRock様の仰るとおりSystem32などの何処かに隠れているような感触があります。
残念ですが今回はあきらめてリカバリかなと思っております。ご対応誠にありがとうございました。
No.5
- 回答日時:
俺もNo.4の専門家さんが言うようにBot系のやつだと思いますね。
最近ではmalware作者とスパム業者が結託してたりしますからね。
ぜんぜん珍しくなくなってます。
なんせ、その筋のコミュニティーなんかではBotやRATが人気があるそうですから。アンチウイルスやアンチスパイウエアに検知されないように細工された特別のバージョン作成を請け負って商売してるところもあるそうです。
>上記の補足ですが,グローバルアドレスを付与されるInternet接続では症状がからなず出ますが,プライベートアドレスを付与したルータ経由にすると途端に出なくなります
そう、だから、グローバルIPだと外部から命令を受けられるからですよ。プライベートIPだとマシン上で待ち受けしてるプロセスとやり取り出来なくなるから。
で、No.4の専門家さんの言われる対処で解消するといいんですけどね。
場合によってはセーフモードでも機能するようになってるかもしれません。もし、その場合にはCDブートとかで削除して下さい。
おそらく、対策の仕方が不十分だったか、すり抜けがあったんでしょうね。
No.3
- 回答日時:
質問文からノートン・アンチウイルスを使っていたようで、
ノートン・アンチスパムやノートン・インターネットファイアウォールを使っていないのですね。
というのは、僕の経験からすると、不正アクセスされて、それでスパイウェアかバックドア系のウイルスに入り込まれて、
不正広告メール送信の土台に使われていると思います。
TCP25から送信と言うことなので、ポート25番を使用して送っている迷惑メールの送信ツールが不正に入ったのでしょう。
とりあえずの処置としては、パソコンのリカバリをして、
ウイルス対策としてのノートンアンチウイルス以外に、
ファアウォールソフトの使用と、ADSLや光ファイバーであれば、ルータの使用を勧めます。
このことで外部からの不正アクセスは、低減されます。
なお、ポート25番の問題については、次のアドレスの内容等を確認してください。
アットマーク・アイティ @IT > Security&Trust > 25番ポートの攻防
http://www.atmarkit.co.jp/fsecurity/column/ueno/ …
最近のspamの傾向とOutbound ポート25ブロッキング
http://www.hart.co.jp/spam/ob25block.html
INTERNETWatch
BIGLOBEが25番ポートからのメール送信を制御、迷惑メールの9割に効果
http://internet.watch.impress.co.jp/cda/news/200 …
ご指摘頂いたように、安全性を考えますとリカバリが一番確実ですね。
ルータの常時利用はしたいのですが、生憎とMobileカードで利用する機会が多い為、FWの利用しかないようですね。25番ポートの件ありがとうございます。早速参考にさせていただきます!ありがとうございました!
No.2
- 回答日時:
AntiVirus,Spypodは常駐させてリアルタイム検索させておけばこんな事にならなかったと思うのですが…
SpybotもTeaTimerを常駐させておけばレジストリを書き換えられずに済んだはずです。
対策ソフトをインストールしただけで安心していませんでしたか?
迷惑メールの発信元になっているのなら、ネットから隔離して早急に再インストールしてください。
ご指摘頂きましたとおりですね。痛感しました。
SpybotのTeaTimerなるものがあるのですか。
こちらのソフトは不慣れな為、勉強していく所存です。
ありがとうございました。
No.1
- 回答日時:
ご回答いただきながら遅くなりまして申し訳ございません。
残念ながらAntiVirusやマカフィではウイルスとしては検知してくれませんでした。
スパイウェアは頻繁に利用していたつもりでしたが、まだまだ甘かったようです。
FWの常駐は必須ですね。今後はFWも入れていくつもりです。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Outlook(アウトルック) 【 Windows 10 】アドレス帳に正しくインポートを完了させたい。 3 2023/04/23 13:41
- Outlook(アウトルック) アイホンで撮った写真を一枚だけPCに移し画像を縮小してWebメールに添付して送信する方法 1 2022/04/22 15:33
- Android(アンドロイド) Googleのファミリーリンクの危険性に気付いてしまったのですが、皆さんの感想を教えてください! 2 2023/05/09 10:01
- Google+ ブランド品偽物サイトからのメールを拒否する方法 批判覚悟で投稿します。 とあるサイトからブランド品を 2 2023/01/11 21:49
- Visual Basic(VBA) エクセルのマクロを使ってメールを送る方法について教えてください 2 2022/03/29 01:36
- YouTube 新しく買ったデスクトップPCを使用すると、今までのGoogleのアカウントが使えなくなった。 1 2023/01/07 00:41
- その他(ソフトウェア) PC上のOutlookでIMAPアクセス時の送信が出来ない。Android上では問題なし。 2 2022/09/28 11:22
- その他(メールソフト・メールサービス) このメールは何ですか 8 2023/06/15 17:31
- マルウェア・コンピュータウイルス トロイの木馬が検出されました。 1 2022/06/12 22:09
- Outlook(アウトルック) 標準アカウントをOUTLOOKアプリに登録するとほかのアカウントのメールもこのアドレスに受信される 1 2023/02/03 20:34
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
デスクトップに変なファイルが...
-
まじで助けてください 凄い恥ず...
-
パソコンから勝手に知らない音...
-
パソコンのデスクトップ画面に...
-
pcについての質問です。wavessy...
-
パソコンのプロセスの重複起動...
-
外付けHDDに最初から入っている...
-
McAfee マカフィー ウィルスス...
-
Trojan:Script/Wacatac.H!ml っ...
-
trojan.gen.2って何?
-
Monitor.exe??
-
Everything というフリーソフト...
-
iPhoneでアダルトサイトを見て...
-
欄検眼段について
-
至急お願いします。 僕はノート...
-
trojan.gen.2 というウイルスに...
-
「.exe」は捨ててよい?
-
パリティビットの検出・訂正に...
-
マカフィーで特定のフォルダを...
-
Bonzy Buddy が消せず困ってい...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
デスクトップに変なファイルが...
-
拡張子JPGやGIFのファイルにも...
-
ctfmon.exeについて
-
アイコン・タスクバーが表示さ...
-
PC右下に変な画面
-
「TROJ_Generic.Z」の削除方法...
-
トロイの木馬に感染してしまい...
-
起動時に毎回DOS_AGOBOT.GENが...
-
ドコのお絵描きでも絵が描けな...
-
教えて下さい。
-
「隔離できません」と出て困っ...
-
Backdoor.SubSevenというウイル...
-
駆除できないウィルス?どうし...
-
ウイルスの駆除の仕方教えてく...
-
ウイルスの駆除方法
-
PE_parite.A
-
トロイの木馬 itunes AVG
-
勝手にコマンドプロンプトが起...
-
ウイルスに感染しました。助け...
-
ウイルス(トロイの木馬)に感...
おすすめ情報