PC起動時にNortonISで高危険度（トロイの木馬）がでます

Norton　Internet　securityインストールしてから、起動のたびに、タスクトレイのアイコンに『！』マークがでて、下記の内容のメッセージがでます。

セキュリティ警告　　高危険度

netspyトロイの木馬を使ってローカルコンピュータに接続しようとする試みを遮断しました。

プログラム　C:\WINDOWSお\Explorer.EXE
プロトコル　TCP（インバウンド）
リモートアドレス　127.0.0.1　3007
ローカルアドレス　全てのローカルネットワークアダプタ　1024

以上ですが、以前からNortonAntivirusを使用し、スキャンなどを行っていましたので、virusの可能性はないと思います。また、アドウエアなどを使ってスパイソフトのチェックなども行っています。
ですから、このようなメッセージがでるとは考えづらいのですが、何か問題があるのでしょうか？
NortonISをご使用の方で詳しい方がいらっしゃれば、アドバイスをお願いしたいと思っております。

PC　VAIO　
OS　WIN　XP　HOME
現在ダイヤルアップ。１月初めにADSLに変更予定

No.3 ベストアンサー 回答者： ShaneOMac 回答日時： 2003/01/08 01:59

＞どうやって確認を取るのでしょうか？

ログの見方についてまでは説明できません。NISのヘルプを読んで下さい。

＞regeditでレジストリを見ましたが、なにが追加されたのか？不要の項目はなになのかが、私では分かりません。

それはシステムによって違いますから、自分で入れたものが項目に挙がっているなら良いということです。分からないものが入っていれば、それについて個別に検索してみてください。パスが入っていればそのもの本体の位置がエクスプローラでたどれるでしょうし、パスなしの実行名だけならそれをgoogleででも検索すればヒットするでしょう。

この回答へのお礼

有り難うございました。
自分なりに頑張ってみます。

お礼日時：2003/01/09 13:13

No.2 回答者： ShaneOMac 回答日時： 2003/01/06 00:25

リモートがループバックアダプタ（一種の仮想アダプタ）なので、アプリケーション内部の通信として動作しているのだと思いますから、それ自体は危険な動作ではないでしょう。

NPFでブロックがかかるのならば、外部からの通信も受けないでしょうから何ら問題ないとは思います。

プログラムパスが出ていますから、そのExplorer.EXEにNAVでスキャンをかけてみてください。

Explorer.EXEが起動時にループバックで通信を行うようになっている状態というのが私にはよく分かりませんが、何らかの機能としてエクスプローラが使用される際にそういった内部通信が行われることもあるかもしれません。NPFのトロイの木馬警告は静的ポートフィルタに基づいていますから、たとえ正常な通信であったとしても、たまたま特定のトロイの木馬のデフォルトポートが使用されると警告が出るようになっています。パケットの宛先ポート情報だけしか検査していませんから誤報が多いのです。

なぜエクスプローラが内部通信を行っているのかが分かりませんし、それについて調べてみる価値はあるかと思いますが、警告内容自体はあまり当てにならないと思った方が良いでしょう。とりあえずNPFのイベントログで起動後になにもしていないうちに不審な外部通信が行われていないかは確認してみてください。

netspyについてですが、これはBackOrificeという有名ではありますが、ほとんど出回っていないちょっと古いRATの別名です。9x向けのRATですから、winXP上では動作しないはずです。同種のソフトについても、レジストリのスタートアップ項目に何らかの追加がなされていないか調べれば分かるでしょう。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

この回答への補足

明けましておめでとうございます。
ご回答有り難うございます。

>プログラムパスが出ていますから、そのExplorer.EXEにNAVでスキャンをかけてみてください。

感染はありませんでした。

>NPFのイベントログで起動後になにもしていないうちに不審な外部通信が行われていないかは確認してみてください。

どうやって確認を取るのでしょうか？

regeditでレジストリを見ましたが、なにが追加されたのか？不要の項目はなになのかが、私では分かりません。どこを見たら分かるのでしょうか？

ShaneOMacさんはそちらの専門の方と思われますが、何か良いHPか文献などご推薦頂ければ、自分でも調べてみようと思います。
宜しくお願い致します。

補足日時：2003/01/06 22:12

No.1 回答者： noname#5588 回答日時： 2003/01/05 02:03

ＮＩＳの警告通りだと思われます。

トロイの木馬型悪質プログラムが気がつかない間にインストールされていると思われます。
何のウィルス（厳密にいうとウィルスではないものもある）か特定できていないのでわかりませんが、netspyというのはユーザーがマシンにログオンするたびに、ウイルスが実行され、不正侵入を図るハッカーは、ユーザーにそれと知らずに勝手にコントロールすることができるようになるものが何種類かあるようです。

この警告が出てからスキャンは実行しましたか？当然ウィルス定義ファイルが最新である必要があります。またはオンラインスキャンなどを行えば答えは出ると思われます。ノートンはトロイなどを見つけにくい（ノートンで見つかってトレドマイクロで見つからない、また逆もあり）などということも聞きますのでトレドマイクロのオンラインスキャンも行えば確実だと思います。まずはスキャンを実行しその結果によると思います。

参考URL：http://www.trendmicro.co.jp/hcall/index.asp

この回答へのお礼

明けましておめでとうございます。
ご回答後すぐにスキャンしましたが、なにもでてきませんでした。
定義ファイルは最新です。
２社のオンラインスキャンをかけてみたんですが…。
まずは、ご回答に感謝致します。

お礼日時：2003/01/06 22:11