ウィルスの検疫について、何か対策は？

突然、ノートンアンチウィルス2002から感染ファイルが検出されたとの知らせがありました。自動的に検出されたものです。ウィルスはW32Nimda.encで
生成されたファイル名は(何らかの名称).emlというのが20個ほどでWindowsXPのGuest上で検出されたとありました。今までGuestでログオンした覚えはないです。自動で検出されたものは、その後修復の試みがされましたが、全て無理で(勝手に作られた物ですからいいのですが)たまにアクセス拒否がどうのというメッセージも幾つか出ました。検疫された項目には何も残ってないので検疫されてないと思うのですが、もう一度(2回ほど)完全ウィルススキャンおよび検出場所のみのスキャンをしましたが何もウィルスは見つかりませんでした。(アドミニストレータでログオンして)検出場所を開いても実際ウィルスに感染したとされるファイルも見つかりません。これはほっといてもいいのでしょうか？何かいい対策はないのでしょうか？このウィルスは、システム破壊とかアンチウィルスソフトを効かなくするような効果があるのでしょうか？誰か詳しい人教えてください。お願いします。

No.3 ベストアンサー 回答者： noname#72132 回答日時： 2002/12/12 11:31

> 学校のもので、LANのネットワークにつながっています。

であれば1台のＰＣの中で考えてもどうしようもありません。ＬＡＮ全体で対策を取らなければ。
貴方がお使いのＰＣだけをなんとか守るとすればファイル共有を即座にやめることぐらいでしょう。
自宅のＰＣならば感染しても程度によってはワクチンで駆除で済ませても良いでしょうが、ＬＡＮ上のＰＣが万一感染した場合は即座にＬＡＮケーブルを外しインストールしなおしが基本だと思っています。
今回のように感染源も、影響範囲もまた特定しにくく被害が大きい為です。
ニムダのときには多くの大会社が営業時間中に社外との通信もＬＡＮも止めて検査、対策を行いました。
データーが無くなってしまう、再インストールが大変などというのは対策を怠ったペナルティーです。
感染したＰＣからなにかデータをもってくるとしたら、最低でもその時点でウイルスチェックを行うこと、実行ファイルは一切捨てることが必要だと思います。
後者はアンチウイルスソフトで検出できない不正侵入ツールもあるためで、可能性が少なくとも、万一の場合の被害は社会的信用など、個人の場合とは比べ物にならないためです。
貴方がＬＡＮのいち利用者なら貴方の責任ではありませんが、しかるべき立場の人に「こう言われちゃった」と伝えてください。
PS
他の方、もし私の勘違いがあればフォローをお願いします。m(_ _)m

No.2 回答者： noname#72132 回答日時： 2002/12/11 22:48

実は「Guest上で検出」というところが気になっていたんですが、

> 普通に作業をしてました。(IEやメールソフトは起動しない)

となると・・・、そのＰＣはご自宅ではなくて、会社のＬＡＮ上のものか何かですか？
もしもそうならＬＡＮの管理者にご相談された方が良いかもしれません。
ＬＡＮ上の何処かに感染者がいるのか、あるいは外部からアタック可能な状態なのか。
貴方のそのＰＣは感染を防げていると思いますが、侵入経路が気になります。
他のどなたか考えられるケースというのをご存じの方がいらっしゃったらお願いします。m(_ _)m

この回答への補足

学校のもので、LANのネットワークにつながっています。感染しているフォルダは全て共有がかかっておりそのフォルダ自体はもともと以前ニムダに感染していた他のPC(その後も何度か感染しているリカバリーなどはしていない)自体から持ってきたものでした。ウィルス自体が勝手にGuest上で動作するということは考えられないのでしょうか？外部から少し操作を加えないと使ってもいないGuest上から感染するといったことはおこらないのでしょうか？LAN上には以前同じウィルスにやられそれなりの対応(検疫や削除)をとったPCが3台ほどあります。2日ほど電源つけっぱなしのかなり危険な状態だったのでその隙に感染したのかもしれません。

補足日時：2002/12/12 01:10

No.1 回答者： noname#72132 回答日時： 2002/12/11 09:51

とりあえず安心してください。

W32Nimdaは強力で有名なウイルスですが、古いものなのでどこのアンチウイルスソフトでも対応に失敗することは無いと思います。
「アンチウィルスソフトを効かなくする」ウイルスは最近流行りですが、しかしそれはパターンファイルが古くて感染してしまった、あるいは感染したあとでアンチウィルスソフトをインストールしようとした場合です。
例えばＨＰ参照中、あるいはメールを見ようとしたときの検出であれば水際で防げています。

＞その後修復の試みがされましたが、全て無理で・・・
というのは「ウイルスの検出したファイルからウイルスだけを取り除いてそのファイルの元の状態に戻そうとしたけど、ファイル全体がウイルスなんで修復もへったくれもありませんでした。」ぐらいの意味です。
（最初にこれを見た方はほとんど全員誤解しますので、もうちょっとメッセージを考えて欲しいと思いますが。）
＞検疫された項目には何も残ってないので検疫されてないと思うのですが、
＞・・・スキャンをしましたが何もウィルスは見つかりませんでした。
そのときに「削除」を指定されたのではないですか？
そうであれば正しい処置だと思います。
「検疫＝隔離」であれば隔離場所から削除するという後始末が必要ですが。

ところで、どういう状態で、何をしていたときに検出されたのでしょうか？
厳密にはそれにもよりますけど。

参考URLの例は別のウイルスですが対処方法は参考になると思います。

参考URL：http://www.symantec.com/region/jp/sarcj/aliz_ste …

この回答への補足

回答どうもありがとうございます。
＞ところで、どういう状態で、何をしていたときに検出されたのでしょうか？ 厳密にはそれにもよりますけど。
普通に作業をしてました。(IEやメールソフトは起動しない)バックグラウンドで動作していたノートンのAuto-Protect機能で検出されたと思います。それでウィルス感染の検出メッセージが20件ほど出てきたという状態です。
ノートンのオプションのところの設定はウィルス発見の応答の仕方を推奨されている自動的に感染ファイルの修復をする(A)にしてありました。修復されませんでしたや、ファイルにアクセス拒否されましたなどのメッセージが出てきたのでとりあえず全てOKにしました。ウィルス感染ファイルのあった場所を見ても何も存在しないということはやはり削除されたということなんでしょうかね？

補足日時：2002/12/11 19:44