ウイルスバスター2003の隔離について




◇-ウイルスバスター2003の隔離について-あっきー(2003/7/2-21:44)No.30411
 ┣Re:ウイルスバスター2003の隔離について-Ai-net(2003/7/2-22:13)No.30412
 ┣Re:ウイルスバスター2003の隔離について-世羅(2003/7/2-22:17)No.30413
 ┃┗Re:ウイルスバスター2003の隔離について-Ai-net(2003/7/2-22:27)No.30415
 ┃ ┗Re:ウイルスバスター2003の隔離について-あっきー(2003/7/2-23:07)No.30420
 ┃  ┗Re:ウイルスバスター2003の隔離について-Ai-net(2003/7/2-23:16)No.30421
 ┃   ┣Re:ウイルスバスター2003の隔離について-Ai-net(2003/7/2-23:26)No.30423
 ┃   ┣Re:ウイルスバスター2003の隔離について-あっきー(2003/7/3-05:36)No.30435
 ┃   ┃┗困ったね..-SARU(2003/7/3-09:13)No.30442
 ┃   ┃ ┣Re:ゴミ..-SARU(2003/7/3-10:19)No.30444
 ┃   ┃ ┗Re:困ったね..-あっきー(2003/7/3-18:34)No.30481
 ┃   ┃  ┗Re:困ったね..-SARU(2003/7/4-00:59)No.30505
 ┃   ┗WinXP-o2ka(2003/7/3-10:58)No.30450
 ┃    ┗Re:WinXP-SARU(2003/7/3-11:11)No.30451
 ┃     ┗Re:ちょっと確認-やまふみ(2003/7/3-11:40)No.30454
 ┗Re:ウイルスバスター2003の隔離について-ハグハグ(2003/7/3-15:32)No.30471
  ┗Re:ウイルスバスター2003の隔離について-やまふみ(2003/7/3-21:42)No.30490
   ┗Re:本日の不正侵入の試み-Ai-net(2003/7/3-22:26)No.30498
    ┗Re: キラーン d(-_☆)了解!-やまふみ(2003/7/4-10:36)No.30512


▲このページのトップに戻る
30411ウイルスバスター2003の隔離についてあっきー 2003/7/2-21:44

OS名:WindowsXp
パソコン名:バイオのPCV-RZ50
ソフト名:ウイルスバスター2003
さっきウイルスバスターのリアルタイム検索で
C:\Documents and Settings\All Users\Documents\
にある
explore.exe
が感染してて隔離フォルダに移されました。
これは削除しても大丈夫なのですか?
ちなみにWORM_SPYBOT.GENというウイルスに感染してたみたいです。
もう1つ疑問なのですが、
ウイルスバスターは常に最新版で
リアルタイム検索にしてたのに
どうやって感染したのか不思議です。
どなたか分かる方、回答をお願いします。

▲このページのトップに戻る
30412Re:ウイルスバスター2003の隔離についてAi-net 2003/7/2-22:13
記事番号30411へのコメント
>OS名:WindowsXp

>さっきウイルスバスターのリアルタイム検索で
>C:\Documents and Settings\All Users\Documents\
>にある
>explore.exe
>が感染してて隔離フォルダに移されました。
>これは削除しても大丈夫なのですか?
>ちなみにWORM_SPYBOT.GENというウイルスに感染してたみたいです。

あららぁ Administrator のパスワード無しなのかなぁ?
Guest にも、ぜんぶオッケーとか…

今日、会社で感染/攻撃のある中、ガックシ脱力する「お宝」公開を発見!(w

▲このページのトップに戻る
30413Re:ウイルスバスター2003の隔離について世羅 2003/7/2-22:17
記事番号30411へのコメント
あっきーさんは No.30411「ウイルスバスター2003の隔離について」で書きました。
>ちなみにWORM_SPYBOT.GENというウイルスに感染してたみたいです。
>もう1つ疑問なのですが、
>ウイルスバスターは常に最新版で
>リアルタイム検索にしてたのに
>どうやって感染したのか不思議です。
>どなたか分かる方、回答をお願いします。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.GEN

この説明をみてる限りでは、「ダウンロードしたファイルを実行しない限り
、ワームが活動を開始することはありません」とあるように無意識にワームを
実行してしまったのが原因と思われます。

>C:\Documents and Settings\All Users\Documents\
>にある
>explore.exe
>が感染してて隔離フォルダに移されました。
>これは削除しても大丈夫なのですか?
「消して大丈夫か」というより、説明に「ワームとして検出したファイルは
すべて削除してください」とあるように削除しなければなりません。
ちなみにexplore.exeは他のフォルダーにも存在してる場合がありますので
削除する前にどこにあるかチェックしておいて、ファイルを削除した後に、削
除した場所と同じところにコピーをします。あっ、ファイル名が同じでも容量
が違うって事もありえるのでファイル名と容量とタイムスタンプをチェックし
て同じものを使うといいでしょう。

うまくいくといいのですが・・・

▲このページのトップに戻る
30415Re:ウイルスバスター2003の隔離についてAi-net 2003/7/2-22:27
記事番号30413へのコメント
世羅さんは No.30413「Re:ウイルスバスター2003の隔離について」で書きました。

>http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.GEN
>
>この説明をみてる限りでは、「ダウンロードしたファイルを実行しない限り
>、ワームが活動を開始することはありません」とあるように無意識にワームを
>実行してしまったのが原因と思われます。

ごめんなさい。 ちょっとちがうと思います。
ネットから侵入されて、ファイルが作られたのを、バスターが検知したようです。

#数日前から、セグメント管理者が「検出した」との報告をあげていますが、
それって、もー侵入されてるってことだろ、とツッコミをいれたくなります。(w

あ、隔離したのは「削除」してください。>質問の方

▲このページのトップに戻る
30420Re:ウイルスバスター2003の隔離についてあっきー 2003/7/2-23:07
記事番号30415へのコメント
Ai-netさんは No.30415「Re:ウイルスバスター2003の隔離について」で書きました。
>世羅さんは No.30413「Re:ウイルスバスター2003の隔離について」で書きました。
>
>>http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.GEN
>>
>>この説明をみてる限りでは、「ダウンロードしたファイルを実行しない限り
>>、ワームが活動を開始することはありません」とあるように無意識にワームを
>>実行してしまったのが原因と思われます。
>
>ごめんなさい。 ちょっとちがうと思います。
>ネットから侵入されて、ファイルが作られたのを、バスターが検知したようです。
>
>#数日前から、セグメント管理者が「検出した」との報告をあげていますが、
>それって、もー侵入されてるってことだろ、とツッコミをいれたくなります。(w
>
>あ、隔離したのは「削除」してください。>質問の方

世羅さんが教えてくれたサイトに書いてある
感染したときに作成されるレジストリやファイルもないみたいなんですけど
これは侵入してきたウイルスが活動する前にバスターが
検知して隔離したということなんでしょうか?
だとすれば、この隔離したファイルを削除すれば何も
問題はなくなるということなんですよね?

▲このページのトップに戻る
30421Re:ウイルスバスター2003の隔離についてAi-net 2003/7/2-23:16
記事番号30420へのコメント
あっきーさんは No.30420「Re:ウイルスバスター2003の隔離について」で書きました。

>だとすれば、この隔離したファイルを削除すれば何も
>問題はなくなるということなんですよね?

のみこみがよくないようです。
また、バスターが「警告」をだすかもしれませんね。

すでにネットから侵入できるようになっているということです。
家のことで言えば、玄関のカギをかけたいないでいるワケです。

Administrator の名前の変更とパスワード設定をしておくべきです。

ふだんパソコンを使うのは、Administrator でないユーザーを作って
それでやりましょう。  …と言っているんだけど、むり?

▲このページのトップに戻る
30423Re:ウイルスバスター2003の隔離についてAi-net 2003/7/2-23:26
記事番号30421へのコメント

こまかぁーな訂正


>家のことで言えば、玄関のカギをかけたいないでいるワケです。


家のことで言えば、玄関のカギをかけないでいるワケです。

▲このページのトップに戻る
30435Re:ウイルスバスター2003の隔離についてあっきー 2003/7/3-05:36
記事番号30421へのコメント
Ai-netさんは No.30421「Re:ウイルスバスター2003の隔離について」で書きました。
>あっきーさんは No.30420「Re:ウイルスバスター2003の隔離について」で書きました。
>
>>だとすれば、この隔離したファイルを削除すれば何も
>>問題はなくなるということなんですよね?
>
>のみこみがよくないようです。
>また、バスターが「警告」をだすかもしれませんね。
>
>すでにネットから侵入できるようになっているということです。
>家のことで言えば、玄関のカギをかけたいないでいるワケです。
>
>Administrator の名前の変更とパスワード設定をしておくべきです。
>
>ふだんパソコンを使うのは、Administrator でないユーザーを作って
>それでやりましょう。  …と言っているんだけど、むり?

いや最初から別のユーザーを使ってるしパスワードも設定してます。

▲このページのトップに戻る
30442困ったね..SARU 2003/7/3-09:13
記事番号30435へのコメント
>
>いや最初から別のユーザーを使ってるしパスワードも設定してます。

あなたが別ユーザでログオンしていてもPCに
Administrator権限のAdministratorというユーザが
残っていたら外からはそれで進入していると言うこと。

▲このページのトップに戻る
30444Re:ゴミ..SARU 2003/7/3-10:19
記事番号30442へのコメント
>残っていたら外からはそれで進入していると言うこと。

「侵入」だね。(鍵、開けっ放しだと「進入」でもいいか..)

▲このページのトップに戻る
30481Re:困ったね..あっきー 2003/7/3-18:34
記事番号30442へのコメント
SARUさんは No.30442「困ったね..」で書きました。
>>
>>いや最初から別のユーザーを使ってるしパスワードも設定してます。
>
>あなたが別ユーザでログオンしていてもPCに
>Administrator権限のAdministratorというユーザが
>残っていたら外からはそれで進入していると言うこと。

普段は使ってないけどAdministratorもパスワードはちゃんと設定してます。

▲このページのトップに戻る
30505Re:困ったね..SARU 2003/7/4-00:59
記事番号30481へのコメント
>
>普段は使ってないけどAdministratorもパスワードはちゃんと設定してます。
>
いや、アドミニ権限でこのユーザ名を残しておくと、
パスワードの解析だけすればいいことになっちゃうから
権限変えるとかしたほうがいいって事。
(ビルドインアカウントって消せなかったと思うから)

▲このページのトップに戻る
30450WinXPo2ka 2003/7/3-10:58
記事番号30421へのコメント
>Administrator の名前の変更とパスワード設定をしておくべきです。

む〜、HEだと名前は変更できないッす・・・。
パスワードの設定は、safe-modeで起動して(そうしないとHEでは
ユーザ一覧に「Administrator」が表示されない)・・・。

▲このページのトップに戻る
30451Re:WinXPSARU 2003/7/3-11:11
記事番号30450へのコメント
o2kaさんは No.30450「WinXP」で書きました。
>>Administrator の名前の変更とパスワード設定をしておくべきです。
>
>む〜、HEだと名前は変更できないッす・・・。
>パスワードの設定は、safe-modeで起動して(そうしないとHEでは
>ユーザ一覧に「Administrator」が表示されない)・・・。

これですね。

「Windows XP に Administrator でログオンするには? 」
WinFAQは無くなりました


▲このページのトップに戻る
30454Re:ちょっと確認やまふみ 2003/7/3-11:40
記事番号30451へのコメント

最近空白やいい加減なAdministratorのパスワードを狙ったウイルスが
イロイロ出てきていますが、
仮にAdministratorのパスワードがいい加減でも、
ファイヤーウォールやルータなどの処置が正しくされているパソコンは、
被害に合わないんですよね?

XPの簡易君だけでも稼動させてあればいいような気がするんですが、
あれだけじゃやられる???

▲このページのトップに戻る
30471Re:ウイルスバスター2003の隔離についてハグハグ 2003/7/3-15:32
記事番号30411へのコメント
たぶん大丈夫だと思うよ。
感染したときに作成されるレジストリやファイルもないんでしょ?
つまり感染してないってことです。
感染する前に隔離されたってことなので、
そのファイルを削除したらOK。
ウイルスバスター2003を使ってて
前に同じようなことがあって、その時トレンドマイクロに
聞いた事あるけど、気にしなくていいって回答でした。

(といっても、一度自分でトレンドマイクロに
 問い合わせてみて下さいね。)

▲このページのトップに戻る
30490Re:ウイルスバスター2003の隔離についてやまふみ 2003/7/3-21:42
記事番号30471へのコメント

>感染する前に隔離されたってことなので、
>そのファイルを削除したらOK。

今回のウイルスの処置という意味ではそれでいいんですが、
上で指摘されていることは、
そのままの状態ではまたすぐに侵入被害を受けるということです。
次はデロダー(侵入するのに似たような手口を使っているウイルス)辺りに
すぐやられるんじゃないの、ってことです。
こんなことはめったにないことなんて思ってはいけません。
ただいまこの手の侵入を試みるウイルスが複数流行中です。

▲このページのトップに戻る
30498Re:本日の不正侵入の試みAi-net 2003/7/3-22:26
記事番号30490へのコメント

来ました来ましたよ♪ port:139
社内イントラネットで話題の Mofei.B, Spybot.A のやつで、私のマシンにも
やっとこさ来ましたよ。
2重にファイヤウォールを動かしているので、どっちだか分からないんだけど、
イントルーダマシンへ逆にアクセスして、Administrator パスワード無しで
ログインに成功しました! やったー! (なのか違う…)

▲このページのトップに戻る
30512Re: キラーン d(-_☆)了解!やまふみ 2003/7/4-10:36
記事番号30498へのコメント

>イントルーダマシンへ逆にアクセスして、Administrator パスワード無しで
>ログインに成功しました! やったー! (なのか違う…)

おおそうか、自分にそれらのウイルスでもってアクセスしてきたマシンは
トーゼン Administratorのパスワードがいいかげんで
ファイル共有とかしてて、
ファイヤーウォールなんてしてないってことだから、
そういうことができるのかぁ!!!
各ウイルスが使っているパスワードリストは
ウイルスチェックソフトメーカー各社のホームページで調べがつくから、
これは侵入初心者にはターゲット獲得が容易でオイシイですね。

A1.本ページは参考になりましたか? 又はアドバイスがありますか?
解決 参考になった 参考にならなかった アドバイスする

A2.何度目の訪問ですか?
初めて来た   数度目(2〜4) 5回以上来ている   管理人:

A3.何か一言どうぞ(アドレスは書くことができません)

A4.アドレスがあればどうぞ(1つまで)


↑↑↑↑よろしければ押してください↑↑↑↑

何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり

参考回数投稿日時何か一言