ワームの駆除・解決方法を教えて頂ければ幸いです。
修正を試みた結果、
現状が特に問題ない状態であるのか、早急に処置が必要であるのか
判断ができずにおりまして、投稿致しました。
解決の選択肢をA.B.C.と考えてみましたが、その他に良い方法がありましたら御意見いただければ幸いです。宜しく御願いします。
PC環境 : xp home sp2
発症 : ここ1~2日程から。
--- --- --- --- --- --- --- --- --- --- ---
●試した事
1. XP用修正プログラム MS03-026(「WindowsXP-KB823980-x86-JPN.exe)
2. XP用修正プログラム MS03-007(「Q815021_WXP_SP2_x86_JPN.exe」)
3. 「auto_tsc」 http://esupport.trendmicro.co.jp/supportjp/viewx …
4. ウィルスバスターオンラインスキャン
5. インストール済みのウィルススキャン(ウィルスバスター2008)
6. ファイヤーウォールA 設定確認(コントロールパネルから)
7. ファイヤーウォールB 設定確認(ウィルスソフトによる設定)
8. セキュリティソフト会社に問い合わせ。
--- --- --- --- --- ---
◆結果
1. KB823980 セットアップエラー
(インストールされているシステムのSPは、適用しようとしている更新より新しいバージョンです
この更新はSPががインストールされていないコンピュータにのみインストールできます。)
2. Q815021 セットアップエラー(上記同)
3. Execute pattern count(3023),→感染調査したウイルスの数
Virus found count(0),→?
Virus clean count(0),→感染が確認され、修復処理できたウイルスの数
Clean failed count(0)→感染が確認され、修復処理できなかったウイルスの数
4-7. 問題無し。
8. ソフトに関するセキュリティ対策(FW LAN等)は案内できるが、マイクロソフトのパッチ云々は、、、範囲外なので。との事。
--- --- --- --- --- --- --- --- --- --- ---
■選択肢
A.バックアップソフトで正常な状態へ戻す。(「発症する度に、リカバリする」というのは解決なのでしょうか?)
B.セキュリティホールの穴を塞ぐ。(エラーがでてあてれません)
C.特に何もしない。
(セキュリティパッチ(エラーが出る)があてれない=修正パッチより現在のSP2が最新だ。=このままでも問題はない?と解釈する。)
No.3ベストアンサー
- 回答日時:
なるほど。
経緯は大体のところ分かりました。しかし…おそらくどこかで見当違いをしておられると思います。要するに、おそらくはRPCに異常をきたし、システム再起動が無限にかかる状態になったのだと思われます。それを検索エンジンなどでいろいろ調べた結果、Blasterワームが原因ではないかと考えられた。違いますか?
更に、Blasterワームに感染する原因を修正するパッチが当たっているかどうかを調べるスキャンツールのありかまで調べられ(正直感服です。私も今調べてその存在が分かりました)、それを使って検査した結果…MS03-026は当たっていないと判断された…ということでは?
長々書きましたが…最も最初に示した『システム再起動がBlasterワームによるもの』という判断が間違っていると思われます。確かに、MS03-026などの脆弱性、そしてそれを利用したBlasterワームはRPCに異常をきたす原因の一つとなり得ます。
でも、正確にはMS03-026自体がRPCに異常をもたらすのではありません。それを利用してRPCに悪影響を与える感染がたまたま出現した、ということに過ぎません。
RPCに異常をきたした結果、システムが再起動するようになる原因は他にもいろいろ存在します。その中にはBlasterワーム以外のものが原因となるケースもあるようですし、そうしたものの感染にMS03-026以外の脆弱性が関係する場合ももちろんあると考えられます。
更に…既にWindows XPにサービスパック2が当たっており、MS03-026を置き換えるMS03-039がその段階で当たった状態になっていると思われます。MS03-026が適用されていない、とスキャンツールで出てもおかしくないし、それが深刻な問題になるとは思えません。
なお、別のマルウェアが原因でシステム再起動がかかるようになる現象はここでも何度か報告されています。ほぼ全てのケースで質問者さんが『これはきっとBlasterワームの仕業に違いない』と誤った判断をされていました。
Blasterワームはテレビや新聞でも取り上げられ、社会現象になった位のものですから、それもある程度致し方ないのですが…。
なので、RPCが原因でシステムが再起動するようになっても、MS03-026にとらわれるべきではないのです。そういうことです。
質問者さんの場合、取り敢えずシステム上の目立った異常はなくなり、F-Secureオンラインスキャンによって感染の確認と除去は行われたようなので、当面の心配はないと思います。しかし…ある種の感染が原因で今回のような事態が発生したのなら、同様な状況に陥る可能性はこれから先も十分にあると考えられます。それを避けるためには、今までとは別の感染対策を考えて行かねばならないと思います。
昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。
1)各種アプリケーションソフトのセキュリティ更新を怠らない。
Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、
・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。
最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。
http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/
こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。
2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。
IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。
でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。
http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/
もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。
もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。
http://www.oshiete-kun.net/archives/2006/05/iere …
制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。
なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。
この回答への補足
>要するに、おそらくはRPCに異常をきたし、システム再起動が無限にかかる状態になったのだと思われます。それを検索エンジンなどでいろいろ調べた結果、Blasterワームが原因ではないかと考えられた。違いますか?
はい
>更に、Blasterワームに感染する原因を修正するパッチが当たっているかどうかを調べるスキャンツールのありかまで調べられそれを使って検査した結果…MS03-026は当たっていないと判断された…ということでは?
はい
>長々書きましたが…最も最初に示した『システム再起動がBlasterワームによるもの』という判断が間違っていると思われます。確かに、MS03-026などの脆弱性、そしてそれを利用したBlasterワームはRPCに異常をきたす原因の一つとなり得ます。
なるほど、ここですね。ここがNo.3さんと、当方の認識の違いが生じたのですね。
>でも、正確にはMS03-026自体がRPCに異常をもたらすのではありません。それを利用してRPCに悪影響を与える感染がたまたま出現した、ということに過ぎません
納得です。
>ほぼ全てのケースで質問者さんが『これはきっとBlasterワームの仕業に違いない』と誤った判断をされていました。
当方もです。
>なので、RPCが原因でシステムが再起動するようになっても、MS03-026にとらわれるべきではないのです。
納得です。
改めて↓
「MS03-026自体」は悪ではない。
「MS03-026自体」というスィッチをピンポンダッシュする悪ガキがおる
その「悪ガキ」は、OSだけではなく
OS上で動く個々のアプリ。の、セキュリティが甘くなってる(更新を怠ってる)隙間を目ざとく突いて
「!っ ここ攻めようぜ!」という具合ですかね。
んーーーっ、なるほど!
御連絡が遅くなりました事お詫び申上げます。
セキュリティ対策や、その概念について 懇切丁寧なご説明に大変感謝しております。
個人の知識ではそれについて深く掘下げ、概念を理解するに至るまで
容易ではありません
大変参考になり、1つまた学びました 有難うございます。
No.2
- 回答日時:
>MS03-026 ワームにかかりました。
発症日 : 9/26~正直…状況がイマイチ飲み込めません。もっと分かりやすく説明していただけないでしょうか?
まず、ワームというのは感染の一形態に過ぎません。にもかかわらず、トロイの木馬もウイルスも引っくるめて『ワーム』と呼ぶ方も中にはいらっしゃいますが、間違いです。
どうしても感染全般を横文字で総称したいのなら『マルウェア』という言葉を使ってください。この言葉にはスパイウェアやトロイの木馬など、あらゆる感染を全て含めた意味合いがあります。
で、『ワームに感染した』とのことなのですが…これって本当に『感染』したのですか??ウイルス対策ソフトでスキャンして出た表示は全て『感染』だとは限りません。ウイルスバスターの場合だと、きちんと適用されていないWindowsのセキュリティ更新が存在していると判断された場合にもその種の表示がされるようです。
その場合、それは感染を意味しません。あくまでも感染のリスクがあるだけに過ぎず、無論『ワーム』なんかではありません。
もし、正しく『ワーム』という名目で検出されたのだということならその旨補足をお願いします。
というか…もしかすると、こんな感じのものが検出されたのでしょうか?
http://www.trendmicro.co.jp/vinfo/secadvisories/ …
これと全く同じ名称でなくても末尾に"_EXPLOIT"とついていて、先頭に"MS03-026"とついているものが検出されたのだとしたら…それは、ブラウザで閲覧したページの中に、MS03-026として見つかったWindowsOSのセキュリティ上の弱点=脆弱性を突く感染の仕掛けが見つかった、ということになると思います。
その場合これは、そういう悪質な仕掛けが見つかった、そして一応それがブラウザに解釈されないように処理した、という警告と考えてください。例えセキュリティパッチがきちんと当たっていても、そういう仕掛けが見つかったときは警告して、万一の事態を防ぐような処理は行われます。なので、警告されたからすぐにそのセキュリティ更新を適用する必要がある、とは限りません。
つまりは、この警告で表示されたものに関しては安全だということで考えて良いかと思います。ウイルスバスターで見つけられない感染が絡む可能性もあり得ますが…既にF-Secureのオンラインスキャンで検出されたものの対処が済んでいるのであれば、まぁ大丈夫でしょう。
よっておそらく適切な選択肢は"C"ではないかと。
この回答への補足
こんばんわ、的確なアドバイス有難うございます。
当時の状況をご説明致します
パソコンで普段通り作業をしており、休憩のためPCのある部屋を離れ そのまま放置。
部屋に戻るとPCが再起動されていました。
(当方のPCは起動、再起動する時F1を押さないと立上がらないのです。(苦笑))
その後、その動作を不審に思いながら作業を続けていると「強制終了」が起こるようになりました。
そのRPC画面を元にネットで調べてみると MS03-026 である事が判り、色々手を打ってみたり
この掲示板へ投稿した次第です。
>これと全く同じ名称でなくても末尾に"_EXPLOIT"とついていて、先頭に"MS03-026"とついているものが…
ウィルス検査の結果、その名目はありませんでした。
>脆弱性を突く感染の仕掛けが見つかった
>一応それがブラウザに解釈されないように処理した、という警告と考えてください。
なるほど、そうなのですね ここは早とちりをしてはいけないところですね。
アドバイスとともに、もう1度振返ってみますと↓
「強制終了」が走った。
ウィルス検査の結果、「その名目」はなかった。
と、いう状況でした。(一、二言 御見解を頂けたら幸いです。 お暇な時で結構ですので(すみません))
現状をご報告しますと、その後「RPC」は走る事はありません。
アドバイスを頂きまして、ワームについての定義が明確に判りました
今後、『マルウェア』と、改めます。有難うございます。
No.1
- 回答日時:
こんにちは。
>ウィルスバスターオンラインスキャン
ウイルスバスター2008を入れているのに、バスターのオンラインスキャンをしても意味がないのでは?
F-Secureのオンラインスキャンを試してみてください。
http://www.f-secure.co.jp/v-descs/disinfestation …
これでもだめなら、選択肢「A」またはリカバリですね。その方が早いと思います。
また、
>「発症する度に、リカバリする」というのは解決なのでしょうか?
「発症させない」というのがベストだと思うのですが…。ウイルスの中には駆除が難しいものもあります。そのようなウイルスには、リカバリが最も早く解決する手段だと思います。
こんにちわ、url頂きまして有難うございます。
>「発症させない」というのがベストだと思うのですが…。
なるほど、仰る通りです。当方も、そう認識を改めた方が良いですよね。
加えて、勧めて頂いたスキャンのご報告致します。
--------------------------------------------------
Result: 8 malware found
TrackingCookie.2o7 (spyware) System
TrackingCookie.Adbrite (spyware) System
TrackingCookie.Doubleclick (spyware) System
TrackingCookie.Imrworldwide (spyware) System
TrackingCookie.Webtrends (spyware) System
Trojan-Downloader.Win32.Agent (virus) System
Trojan-Downloader.Win32.Agent.ahts (virus)
C:\WINDOWS\SYSTEM32\SPRINT.DLL
Trojan-Spy.Win32.BHO.i (virus)
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER\QUARANTINE\SKYPECOMM.DLL (Submitted)
--------------------------------------------------
spy:5 virus:3 見つかり、駆除しました。有難うございます。
追伸: LAN接続時間が、現在約7時間若です ワームによる強制終了はない模様です。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ウィルスに感染して(?)、キ...
-
CDやDVDにコンピューターウイル...
-
GENOウイルスの件
-
ウィルスに感染した時の対策方...
-
初歩的なことなのですが。
-
pdfを保存したファイルがトロイ...
-
Javaインストールによる、ウィ...
-
ウィルス感染→HDDフォーマット→...
-
NOD32のエラー質問です
-
firefoxで検索したら攻撃サイト...
-
MSからと称して大量の添付つ...
-
iPhoneのデザリングについて も...
-
VBS.Internalに感染しました
-
メールを送っていないのにエラ...
-
CD-Rデータのウイルススキャン方法
-
mime-attachmentという添付ファ...
-
突然大量のウィンドウが大量に...
-
Virus Alertの件名のメール?
-
ウイルス?PCのパスワード入力後...
-
fc2で画像を見ていたら、ウイル...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
CDやDVDにコンピューターウイル...
-
ウイルス感染のメールについて
-
感染したPCでDVDを焼いた場合は?
-
アイフォンはウイルス感染する...
-
iPhoneのデザリングについて も...
-
外付けHDDにウイルスは感染しま...
-
USBメモリウイルスCDなら安心?
-
テキストのコピペで感染するか?
-
pdfを保存したファイルがトロイ...
-
音楽ダウンロードサイトとセキ...
-
mp3がウイルス(ワーム)感染し...
-
最近話題のウィルス「ガンブラ...
-
Googleでネットサーフィンをし...
-
ライブチャットでウィルス感染...
-
トロイの木馬ウイルスって危険...
-
ウィルス感染している?
-
ウィルスに感染して(?)、キ...
-
別ドメイン・セグメントへのウ...
-
google、異常なトラフィックが...
-
LAN接続でのウィルス感染に...
おすすめ情報