<便利帳><記事 タイトル="・・・・・・・・・・＜＜　P　C　問　題　解　決　＞＞・・・・・・・・・・" サブタイトル="" 文献="1" 人物="コンピュータウィルスについて" 年月日="2006/10/21(Sat)" 連続="4" 画像="" 横サイズ="-1" 移動="1" リンク名="5" リンク="font" コメント="" ジャンプ="benri_virus"><a href=benri.xml>ＴＯＰメニュー</a>　<a href=benri_spy.xml>スパイウエアに関して</a><br/><br/>　<a href=benri_virus_blas.xml>Blaster/Welchia</a>…Windowsが勝手に再起動する<br/>　<a href=benri_virus_klez.xml>Klez</a>…動作・起動が遅い・エラー「不正な処理…」<br/>　<a href=benri_virus_sasser.xml>Sasser</a>…エラー「報告を送信する…」・シャットダウン・ホームページが開かない<br/> <記事 タイトル="ウィルス情報" サブタイトル="この年のコンピュータウィルスの７０％はNetskyウィルスと、Sasserウィルス" 文献="1" 人物="2003年" 年月日="20041122" 連続="" 画像="" 横サイズ="" 移動="2" リンク名="http://japan.cnet.com/news/sec/story/0，2000050480，20070107，00.htm" リンク="" コメント="Webから" ジャンプ="benri_virus">　両方の作者は１８歳のJaschanと言う一人の青年で、５月にドイツで逮捕された。 <記事 タイトル="ウィルス情報" サブタイトル="2006年度上半期のウイルス感染被害レポート（トレンドマイクロ情報）" 文献="1" 人物="" 年月日="20060721" 連続="" 画像="" 横サイズ="100" 移動="3" リンク名="text" リンク="78" コメント="http://www.trendmicro.com/jp/security/report/report/archive/2006/mvr060705" ジャンプ="benri_virus">〜攻撃の悪質化と多様化〜<br/><br/>2006年上半期の日本国内におけるウイルス感染被害報告数は増加傾向にあります。<br/><br/>背景には1位の「SPYW_GATOR」に代表されるように、スパイウェアやアドウェアの報告が継続していることが挙げられます。<br/><br/>かつては主流であったワーム型の報告はボットを除いて、ますます少なくなってきています。<br/><br/>ユーザの個人情報を狙ったスパイウェアや、インターネット上での詐欺など、不正プログラムは金銭を目的とした悪質なものになり、その攻撃手法も多様化してきています。<br/><br/>日本ではワンクリック詐欺が横行しており、詐欺サイトに仕込まれ、脅迫のメッセージを表示したり、メールアドレスなどの情報を盗む不正プログラムはワンクリックウェアと呼ばれるようになりました。<br/><br/>海外では、コンピュータ内のデータを勝手に暗号化して、元に戻す為の身代金を要求するランサムウェアと呼ばれる不正プログラムの被害も報告されています。<br/><br/>ウイルス感染被害半期レポート　2006年度上半期　トレンドマイクロ調べ<br/>　順位 　ウイルス名 通称 　　 ウイルス種類 被害件数 発見時期 <br/>【1位】 SPYW_GATOR ゲーター スパイウェア 1718件 2003年10月 <br/>【2位】 WORM_RBOT アールボット ワーム型 480件 2004年3月 <br/>【3位】 ADW_WEBSEARCH ウェブサーチ アドウェア 473件 2004年6月 <br/>【4位】 JAVA_BYTEVER バイトバー その他 464件 2003年5月 <br/>【5位】 ADW_SHOPNAV ショップナブ アドウェア 433件 2004年9月 <br/>【6位】 ADW_HOTBAR ホットバー アドウェア 411件 2003年12月 <br/>【7位】 TROJ_AGENT エージェント トロイの木馬型 357件 2003年8月 <br/>【8位】 ADW_NDOTNET エヌドットネットアドウェア 348件 2006年3月 <br/>【9位】 TROJ_DLOADER ディーローダー トロイの木馬型 325件 2004年7月 <br/>【10位】 ADW_CMDDSKTOP シーエムディー デスクトップ アドウェア 210件 2005年11月 <br/><br/><br/><br/>Winnyを悪用するウイルスによる情報漏えい<br/><br/> 特にWinny、Shareに注意が喚起されていますが、<br/> 逆に「Winnyを使わなければ大丈夫」と考えてしまうケースが懸念されます。<br/><br/>ゼロデイアタックの日常化<br/><br/> セキュリティパッチ公開前の脆弱性を攻撃するゼロデイアタックが相次ぎました。<br/> 昨年末から年初にかけての「EXPL_WMF.GEN」5月のMicrosoft Wordの脆弱性、<br/> 6月のExcelの脆弱性などメジャーなアプリケーションを標的にしたゼロデイアタックが確認されました。<br/> これらは英語で記述されたメールの添付ファイルとして侵入してくるケースが多かったため、<br/> 日本ではそれほど大きな被害にはなりませんでしたが、<br/> 今後発見される脆弱性によってはユーザの操作なく感染を広げるネットワークウイルスが<br/> 登場する危険もあるため、警戒が必要です。<br/><br/>ボットの定番化<br/><br/> 以前ほど大きな話題にはならなくなっていますが、ボット系不正プログラムによる被害は継続しています。<br/> ボットネットワークを利用する悪意のユーザにより、<br/> 検出を免れるようカスタマイズされた亜種が作成され続けています。<br/> そして内容的にはスピア攻撃的に侵入ターゲットを絞ったケースが多くなっています。<br/> ボットのほとんどがネットワークワームの活動を持ちますが、<br/> マスメーリングのような大規模感染を狙った活動は行いません。<br/> ボットネットワークに対しては企業や個人における自衛手段だけではなく、<br/> ウイルス対策ベンダー、インターネットサービスプロバイダなど、業界横断的な対抗策が求められています。<br/><br/>イベント便乗型ウイルス<br/><br/> この上半期には2月に冬季オリンピック、6月にはFIFAワールドカップと<br/> 世界的なスポーツイベントが開催されました。<br/> このようなビッグイベントが開催されると必ず便乗型のウイルスや迷惑メールが登場します。<br/> ワールドカップ関連に限っても「WORM_RANCHNEG.A」、「WORM_STAC.A」、「XF_YAGNUUL.A」など、<br/> チケット当選の連絡や選手の写真などと偽って添付ファイルを開かせようとする手口で<br/> 不正プログラムがばら撒かれました。<br/> これらのウイルスについては幸いにも、メールに使用されている言語が日本語ではなかったため<br/> 日本での被害はほとんどありませんでした。<br/> しかし、手口としては最も狙われやすいものです。ビッグイベントの際には注意を払うべきでしょう。<br/><br/><br/>新種ウイルス情報<br/><br/>■「ADW_WINFIXER.Y」（ウィンフィクサー）<br/> このアドウェアは、Windowsのエラーを修正するための "Winfixer 2005" というツールと名乗り、<br/> コンピュータにインストールされます。ただし、ユーザがこのツールを使用する際、<br/> アドウェアはユーザに特定の登録料金を請求します。<br/> このアドウェアは、無料でコンピュータをスキャンするプログラムも備えています。<br/> アドウェアは無料でコンピュータをスキャンしますが、<br/> 偽のエラーの検出報告をする場合があります。<br/> その際、検出したエラーの詳細は表示せず、エラー修正のための完全版の購入をユーザに促します。<br/> <記事 タイトル="" サブタイトル="駆除の際に注意すべきこと" 文献="1" 人物="駆除について" 年月日="2006/12/14(Thu)" 連続="" 画像="" 横サイズ="-1" 移動="4" リンク名="5" リンク="font" コメント="メモ20041104" ジャンプ="benri_virus">・信頼のある駆除ソフトを用意する。<br/>　１種類だけでなく、数種類を試すこと。<br/>　駆除ソフト起動中は別の駆除ソフトは停止しておく。<br/><br/>・システムの復元は停止しておくこと。<br/><br/>・極力ネットワークから隔離して作業に入る。<br/><br/>・できるだけＤＯＳモードから駆除を実行する。<br/>　それができなければセーフモードから実行する。<br/>　Windows起動中のＤＯＳウィンドウは失敗することが多い。<br/>　ウィルスの活動を停止させてから駆除に取りかかる。<br/>　※起動中のウィルスファイルは削除できない。<br/>　※WinXP、2000ではタスクマネージャを起動してウィルスのプロセスを停止させる。<br/><br/>・感染ファイルの削除だけでなくレジストリの修正を忘れない。<br/><br/>・駆除が終わったらシステムの復元システムを回復する。 <記事 タイトル="コンピュータウィルス／駆除／駆除ツール" サブタイトル="" 文献="0" 人物="　駆除ツール" 年月日="" 連続="" 画像="" 横サイズ="" 移動="5" リンク名="" リンク="" コメント="" ジャンプ="benri_virus"> <記事 タイトル="チェック・駆除ツール" サブタイトル="Kaspersky_Internet_Security_6.0" 文献="1" 人物="┣" 年月日="2007/01/22(Mon)" 連続="" 画像="img/101023.jpg" 横サイズ="650" 移動="6" リンク名="" リンク="" コメント="有償ソフト（実際には３０日試用版を使用）" ジャンプ="benri_virus"><img src=img/101021.jpg align=left>　OCNオンライン（トレンドマイクロ）やSpybotS&Dでウィルスやスパイウェアを探しきれなかったが、このソフトでさらに７２個の感染を発見し無事に症状を消すことができた。<br/><a href=hyoji2.cgi?tensou=benri_spy_kujo&nengappi=2007/01/20(Sat)>いくら駆除しても沸いてくるスパイウェア（Kaspersky駆除ソフトで駆除成功)</a><br/><br/>インストールすると、タスクバーに以下のようなアイコンが常駐する。<br/><img src=img/101024.gif><br/><br/><br/>そのことがあってから、この駆除ソフトに対する認識を新たにした。お勧めのソフトである。<br/><br/><br/><br/><br/><br/><br/><br/><br/><br/><br/><br/><br/><br/>その後、試用版もジャストシステムから送られてきた。<br/><br/><br/>タスクバーのアイコンをクリックすると、以下のような操作ウィンドが表示される。<br/><img src=img/101025.gif> <記事 タイトル="チェック・駆除ツール" サブタイトル="ＡＶＧ" 文献="1" 人物="┗" 年月日="2004115" 連続="" 画像="" 横サイズ="" 移動="6" リンク名="" リンク="" コメント="フリーソフトなのに便利に出来ています。" ジャンプ="benri_virus"><img src=img/041030avg01.jpg><br/><br/>完全スキャンを実行してウィルスが発見された時の画面。<br/><img src=img/041030avg02.jpg><br/><br/>スキャン結果ボタンをクリックすると削除されたウィルスの一覧が。<br/><img src=img/041030avg03.jpg><br/><br/>ウィルスが検出されなかった時の画面。<br/><img src=img/041030avg04.jpg><br/><br/>＜参照＞<br/>http://www10.plala.or.jp/palm84/avg_free.html#menu <記事 タイトル="コンピュータウィルス／駆除／プロバイダーによるウィルスチェックサービス" サブタイトル="" 文献="0" 人物="　プロバイダーによるウィルスチェックサービス" 年月日="" 連続="" 画像="" 横サイズ="" 移動="7" リンク名="" リンク="" コメント="" ジャンプ="benri_virus"> <記事 タイトル="コンピュータウィルス／駆除／プロバイダーによるウィルスチェックサービス" サブタイトル="ＯＣＮのウィルスチェックサービス（メールのみ）" 文献="1" 人物="┗" 年月日="" 連続="" 画像="" 横サイズ="" 移動="8" リンク名="" リンク="" コメント="" ジャンプ="benri_virus">ほとんどのプロバイダーではインターネット接続契約者にそのプロバイダーから発行されたメールアドレスで受信されるメールに対して、ウィルスチェックをしてウィルスを駆除してから受信者に送付するサービスをオプションで行っている｡<br/>以下はＯＣＮの場合（2006年6月16日現在）<a href=http://www.ocn.ne.jp/security/?L>http://www.ocn.ne.jp/security/?L</a><br/><img src=img/100785.gif><br/>上記オプションを契約すると、ウィルス付のメールが入ってきたときにそのメールとともに該当メールがウィルス付であることをお知らせするメールが届くようになる｡<br/>青枠…ウィルス付メールが届いたことをお知らせするメール（2番目のウィルス付メールのお知らせはどういうわけか２通届きました）<br/>赤枠…ウィルス付メール本体（すでにプロバイダのほうでウィルスは駆除されている。開いても安全だが、あえて開かないで削除することをお勧めします｡）<br/><img src=img/100786.gif><br/>ウィルス付メールが届いたことをお知らせするメールの本文は次のようなものです｡<br/><img src=img/100787.gif><br/>※ＯＣＮでは契約者が送信するメール（ＯＣＮで発行されたメールアドレスを差出人とするメールになります）は常時、無料でチェックしてくれます｡ <記事 タイトル="コンピュータウィルス／駆除例" サブタイトル="" 文献="1" 人物="コンピュータウィルスの駆除例" 年月日="2006/12/14(Thu)" 連続="" 画像="" 横サイズ="-1" 移動="9" リンク名="6" リンク="font" コメント="" ジャンプ="benri_virus"> <記事 タイトル="コンピュータウィルス／駆除例／症状から" サブタイトル="" 文献="1" 人物="症状別" 年月日="2006/12/14(Thu)" 連続="" 画像="" 横サイズ="-1" 移動="10" リンク名="5" リンク="font" コメント="" ジャンプ="benri_virus"> <記事 タイトル="コンピュータウィルス／駆除例／症状から" サブタイトル="" 文献="2" 人物="WinXP" 年月日="2006/12/14(Thu)" 連続="" 画像="" 横サイズ="" 移動="11" リンク名="頻繁なエラーメッセージ。インターネットがつながらない。起動後、リセットしてしまう。" リンク="hyoji2.cgi?tensou=benri_virus&nengappi=20050323" コメント="Sasser、Netsky" ジャンプ="benri_virus"> <記事 タイトル="コンピュータウィルス／駆除例／症状から" サブタイトル="シャットダウンがかかる" 文献="1" 人物="WinXP" 年月日="20060603" 連続="" 画像="" 横サイズ="" 移動="12" リンク名="みっこ塾カルテ2006年6月2日FUJITSUデスクトップ_FMV_DESKPOWER_CE11A" リンク="" コメント="WinXP:TROJ_DLOADER..BBR　TROJ_DLOADER.AYW　WORM_POEBOT.BJ" ジャンプ="benri_virus">デスクトップ機のリカバリーを終了して、Windows Updateを実行しようとすると、<br/><a href=hyoji2.cgi?tensou=benri_windows&nengappi=20060603a>正規Windowsの検証で｢確認が完了できない／確認を実行できない」</a>となってしまったので、これはインターネット接続を取り次ぐルータのファイアーウォールが通信を遮断してしまったものと思い、このデスクトップ機のトラフィックをすべて通してしまった｡<br/>この数分間の間に、ウィルスがこのPCに侵入したものと思われるWindows Updateの途中で「あと○○秒でシャットダウン｣のメッセージボックスが現れた｡<br/>これはウィルスに感染したと直感したので、Windows Updateを中断して、ウィルスのオンラインスキャンを実行した｡（スキャンの前このPCのファイアーウォールを通常の状態に戻したのでオンラインスキャンの間にウィルスの侵入はないと判断）<br/><br/>案の定、以下のような結果が出た｡<br/><img src=img/100783.jpg><br/>ウィルスの駆除を実行しても以下の2個が削除できない｡<br/><img src=img/100784.jpg><br/>工夫をしてこれを駆除するよりも、いま終えたリカバリをやり直すほうが安全で早いと判断して、再リカバリでこのトラブルを解決した｡ <記事 タイトル="コンピュータウィルス／駆除例／症状から" サブタイトル="必ず１〜２分後には再起動する" 文献="1" 人物="WinXP" 年月日="2008/03/12(Wed)20:12" 連続="" 画像="" 横サイズ="" 移動="14" リンク名="みっこ塾カルテ2008年3月11日" リンク="" コメント="WinXP　SONY　VAIOデスクトップ" ジャンプ="benri_virus">＜状況＞<br/>ＰＣのいつも利用しているプログラムを誤ってアンインストールしてしまった。<br/>そのプログラムはプリインストール品であったためリカバリーをして復活することにした。<br/>リカバリー後、プリインストールされたウィルスチェックソフト（ノートン・アンチウィルス2002）はサポート終了しており、そのままの利用ができなかったため、アンインストールした。<br/>リカバリー直後、ウィルスチェックソフトがないままインターネットに接続する。<br/>その日のうちにインターネット経由でウィルスが入ってきたと思われ、予期せぬ再起動が繰り返し起こった。その後はインターネットにつながりにくくなり、再起動も繰り返される。<br/><br/>＜処置＞<br/>１．オンラインウィルスチェック（ＯＣＮ）を実行して以下のような感染を確認した。<br/><img src=img/101391.jpg><br/><br/>実に604件の感染を検知した。<br/><img src=img/101392.jpg><br/><br/>すべては駆除されたようであるが、ＰＣを作動させてみると再起動は相変わらず繰り返された。<br/><br/>２．過去の正常と思われるポイントに復元なども試みたがシステム自身がかなりのダメージを受けており、使用に耐えなかったためリカバリーをすることになった。（もちろんリカバリー後は正常になった）<br/><br/>３．リカバリー後、ただちにWindowsUpdateを行い、SP2を適用した。<br/>　　Update項目がなくなるまで更新を繰り返した。<br/><br/>４．新たにウィルスチェックソフト（ウィルスセキュリティ・ゼロ）をインストールした。 <記事 タイトル="コンピュータウィルス／駆除例／症状から" サブタイトル="" 文献="2" 人物="WinXP" 年月日="2006/12/14(Thu)" 連続="" 画像="" 横サイズ="" 移動="13" リンク名="ホームページが正常に開かない（１ページ目は表示されるが２ページ目以降開かない）など" リンク="hyoji2.cgi?tensou=benri_virus&nengappi=2006/12/14(Thu)sony" コメント="" ジャンプ="benri_virus"><a_href=hyoji2.cgi?tensou=benri_virus&nengappi=2006/12/14(Thu)sony></a> <記事 タイトル="駆除例" サブタイトル="起動時、｢エラーが発生したため〜を終了します｣が表示される｡コントロールパネルやマイコンピュータのプロパティなど開かない" 文献="1" 人物="" 年月日="2006/12/15(Fri)" 連続="" 画像="" 横サイズ="" 移動="14" リンク名="みっこ塾カルテ2006年12月6日　FUJITSUノートFMV-685NU/E" リンク="" コメント="Win2000　TROJ_ROOTなど、BKDR_AGENTなど" ジャンプ="benri_virus">＜症状＞<br/>起動時、以下のようなエラーメッセージが表示される。OKをクリックしても数回同様のエラーが表示される｡エラーを起こしているプログラムは一つではないようだ｡<br/><img src=img/100992.jpg><br/><br/>＜処置＞<br/>「セーフモード＋ネットワーク接続」で起動して「ＯＣＮオンラインスキャン｣を実行する。<br/>スキャンの結果、以下のような68個のウィルスが発見された｡<br/> TROJ_COSTRAT.L TROJ_SINOWAL.FU TROJ_DLOADER.DNN<br/> TROJ_GALAPOPE.BL TROJ_GALAPOPE.CF TROJ_GALAPOPE.CV<br/> TROJ_SMALL.CPB TROJ_SMALL.CPB TROJ_EXITWIN.F<br/> TROJ_XORPIX.AY TROJ_DLOADER.EAL PE_Generic<br/> TROJ_SMALL.DOI TROJ_SMALL.DOI TROJ_SMALL.CPL<br/> TROJ_SMALL.BED TROJ_SMALL.CPB TROJ_RASER.AG<br/> TROJ_Generic JAVA_BYTEVER.AC JAVA_BYTEVER.AB<br/> JAVA_BYTEVER.AB JAVA_BYTEVER.A TROJ_SINOWAL.FU<br/> TROJ_AGER.M Possible_Strat_3<br/> TROJ_AGENT.BKG TROJ_NASCENE.Y JS_DLOADER.GCD<br/> TROJ_COSTRAT.L TROJ_DLOADER.EII TSPY_SINOWAL.EQ<br/> TSPY_SINOWAL.EQ TSPY_SINOWAL.EQ TSPY_SINOWAL.EQ<br/> TROJ_ROOTKIT.CL PE_FINALDO.B TROJ_DLOADER.DNN<br/> TROJ_GALAPOPE.BL TROJ_GALAPOPE.CF TROJ_RASER.AG<br/> TROJ_LAGER.M WORM_STRATION.T TROJ_AGENT.EVT<br/> TROJ_WOPLA.AE PE_FINALDO.B TROJ_SMALL.CPB<br/> TROJ_SMALL.CPB WORM_STRATION.GQ PE_FINALDO.B<br/> TROJ_AGENT.BPM TROJ_AGENT.EAC TROJ_SMALL.DOI<br/> BKDR_PEKE.C TROJ_SMALL.BED TROJ_DAEMONIZ/AM<br/> TROJ_CLICKER.EQ TROJ_XORPIX.AY TROJ_DLOADER.EAL<br/> PE_Generic TROJ_SMALL.COL TROJ_SMALL.CPL<br/> TROJ_SMALL.BED TROJ_SMALL.CPB TROJ_AGENT.AFI<br/> TROJ_AGENT.BPM TROJ_AGENT.BPM TROJ_CLICKER.EQ<br/><br/>プログラムが使用中のためファイルが削除できなかったものは以下のとおり｡<br/> C:\Program Files/Common Files/Microsoft Shared/Web Folders/ibm00003.dll<br/> C:\Program Files/Common Files/Microsoft Shared/Web Folders/ibm00004.dll<br/> C:\Windows/system32/srvc.dll<br/>　　　※上記の検出リストの中でウィルス名は何であったか確認しませんでした｡<br/><br/>セーフモードのまま、以下のプログラムのアンインストールを行う｡<br/> ○○ドクター（プログラムの詳細名は控えませんでした）<br/> JWord Yahoo!ツールバー<br/><br/>ディスククリーンアップを行う 空11.3GB→11.7GB<br/><br/>レジストリから ibm00003.dll と　srvc.dll　の値を削除する。<br/> ※この時点で　ibm00004.dll　の値はレジストリから発見されませんでした。<br/><br/>以上でウィルスの駆除が終了したものと思い、ＰＣを起動すると最初に記したエラーがまた起こった。<a name=rootkit><br/>再びセーフモードでオンラインウィルスチェックを行い以下のような６個のウィルスが見つかり駆除した｡<br/>　　　　　<font size=5><b>TSPY.SINOWAL.EQ　　TROJ.ROOTKIT.CL</b></font>　等<br/>同じくセーフモードで３度目のウィルスチェックを行い　TROJ_ROOTKIT.CL　１個のウィルスを発見し駆除した｡<br/>　　※検索した全ファイル数は４３，６３３ファイルであるが、そのうち<br/>　　　Documents & Settingsフォルダ内のファイル数が２０，０００以上あったことに<br/>　　　疑問を抱いた｡<br/>　　　エクスプローラでそれだけのファイルが確認されるか調べてみたが、それだけの大量の<br/>　　　ファイルはDocuments & Settingsフォルダ以下のディレクトリに見つからなかった｡<br/><br/>ＰＣをインターネットに接続している限り新たなウィルスが続々と侵入しているように思われた｡<br/><br/>その後、このＰＣにインストールされている以下のプログラムが怪しいとにらんだ｡<br/>起動してみると以下のような画面になる｡いかにもウィルス駆除ソフトのようであるが、<br/>実際はスパイウェアに他ならないようだ｡<br/>　　※「Ultimate Cleaner｣の語で検索してみると案の定「偽装セキュリティツール｣と<br/>　　　記されている｡<br/><a href=img/100991.jpg><img src=img/100991.jpg width=715></a><br/>このプログラムが表示していると思われるアイコンがタスクバー内に表示されている｡<br/>マウスポインタをこのアイコンに合わせると｢ウィルスに感染している｣という意味のメッセージを表示する｡<br/><img src=img/100993.jpg><br/><b>通常の方法でひとまずUltimate Cleanerをアンインストールする｡（実際削除されたかわからないが）</b><br/><br/>4度目のオンラインウィルスチェックを実行する｡<br/>　　　TROJ_ROOTKIT.CL　と　TROJ_AGENT.BPM　の2個のウィルスが検出され駆除する｡<br/><br/>このままの状態で、Windows2000のUpdateを行い、ＩＥを6.0にバージョンアップする｡<br/><br/>5度目のオンラインウィルスチェックを実行する｡<br/>　　　TROJ_ROOTKIT.CL　BKDR_AGENT.GNM　TROJ_AGENT.BPM　の3個の感染を検出し駆除。<br/>　　※このときウィルスチェックした全ファイル数が１３，０００と以前と比べ極端に少なく<br/>　　　なっている｡(この原因はわからない）<br/><br/>このＰＣはかなりスパイウェアに汚染されていると判断してSpybot Search & Destryをインストールし、スパイウェアの駆除を試みた｡７９箇所の問題が検出され７６までは即座に修正された｡<br/>その後、再起動して更に２個の問題を修正、しかし１個は修正することができなかった｡<br/><img src=img/100994.jpg><br/><br/>このあとWindows Updateを行い、さらにＩＥも６．０ＳＰ４にした｡<br/><br/>以上で起動してもエラーが起こらなくなり、問題が解決されたように見えたので、ＰＣをお客様にお返しした｡<br/><br/>※今回のトラブルとは関係ないものと思われるが、このＰＣはWindows2000をインストールした時点からサウンド・ドライバーが正しく入っていない。ついでにこのドライバーを探したが結局見つからなかった｡ <記事 タイトル="駆除例" サブタイトル="起動時、画面いっぱいのアルファベットが動く" 文献="1" 人物="" 年月日="2007/08/30(Thu)14:53" 連続="" 画像="" 横サイズ="" 移動="16" リンク名="みっこ塾カルテ2007年8月29日" リンク="" コメント="ウィルス？？" ジャンプ="benri_virus"><img src=img/101140.jpg><br/>以前、雑誌で見た症状だと思うのですが、<br/>これはウィルスの症状だと思うのですが、現在調査中。<br/><br/>DOS画面からウィルスチェックを行いました。12時間かかりましたが、結局ウィルスは発見されませんでした。<br/><br/>その後、いったん電源を切り、再度電源を入れると途中、「Windowsは正常に更新されました…」のメッセージが出て、その後、このＰＣは正常に立ち上がるようになり、問題がなくなりました。<br/>いったいどうしたのでしょう。とりあえず、ＰＣが自動修復したようです。 <記事 タイトル="コンピュータウィルス／駆除例／症状から" サブタイトル="" 文献="1" 人物="ウィルス名別" 年月日="2006/12/14(Thu)" 連続="" 画像="" 横サイズ="-1" 移動="14" リンク名="5" リンク="font" コメント="ウィルス名はウィルスチェックソフト会社ごとに違う名前を使っている場合があります｡" ジャンプ="benri_virus"> <記事 タイトル="Backdoor／駆除例" サブタイトル="" 文献="" 人物="WinXP" 年月日="2006/12/14(Thu)sony" 連続="" 画像="" 横サイズ="" 移動="15" リンク名="みっこ塾カルテ2004年9月3日" リンク="" コメント="SONY　VAIO　デスクトップ" ジャンプ="benri_virus">＜症状＞<br/>ホームページが正常に開かない（１ページ目は表示されるが２ページ目以降開かない）など<br/>＜ウィルススキャン結果＞<br/>ノートンアンチウィルスが自動検出してアラートを表示してくれる。<br/>＜駆除方法＞<br/>１．ノートンアンチウィルスの定義ファイルを最新版に更新しておく。<br/>２．インターネット、ネットワークから感染ＰＣを切り離す。<br/>３．システムの復元を無効にする。<br/>４．Safeモードで立ち上げる。<br/>５．ノートンアンチウィルスでチェックを実行、駆除を行う。<br/>　※このとき感染したファイル名を記録する。<br/>　　＜例＞sysentry32.exe iexplorer.exe<br/>６．レジストリの修復<br/>　５で検出されたファイル名を記した行を削除する。<br/>７．ＰＣを通常通り起動する。<br/>８．システムの復元を有効にする。<br/> <記事 タイトル="BackDoor.SdBot.**.*／駆除例（手動）" サブタイトル="DynaBook_Satellite1800" 文献="みっこ塾カルテ" 人物="Win2000" 年月日="20041030" 連続="" 画像="" 横サイズ="" 移動="7" リンク名="" リンク="" コメント="" ジャンプ="benri_virus">＜症状＞<br/>ウィルスチェックソフトＡＶＧ（フリーソフト）が以下の感染を告知。<br/>1. BackDoor.SdBot51.0…c:\winnt\system32\dllmanger.exe<br/>2. Worm/Dabber.C…c:\winnt\system32\Msbb.exe<br/>3. Worm/Dabber.C…c:\winnt\system32\mswinexect.exe<br/>4. Worm/Dabber.C…c:\winnt\system32\package.exe<br/>5. Trojan horse IRC/BackDoor.SdBot.57.Z…c:\winnt\system32\winm.exe<br/>6. Trojan horse IRC/BackDoor.SdBot.57.Z…c:\winnt\system32\winole.exe<br/>7. Trojan horse IRC/BackDoor.SdBot.37.D…c:\winnt\system32\winregs32.exe<br/>8. Worm/Dabber.C…c:\winnt\system32\winupdate.exe<br/>　※下図は1. 5. の告知画面です。<br/>　<img src=img/041030backdoor01.jpg><br/><br/>＜処置＞<br/><br/>・ＯＣＮオンラインウィルスチェック（ノーマルモード／復元を止めるのを忘れた）<br/>　<b>感染は検出されず、駆除も行われなかった</b><br/><img src=img/041030backdoor02.jpg><br/><br/>・手動で感染ファイルの削除とレジストリからファイルの値を取り除く<br/>　<font color=orange size="2">ファイルの削除（ＤＯＳ画面上で）／レジストリの修復（値の削除）</font><br/>1.　dllmanger.exe（見つからず）<font color=blue>／検索し削除<br/>2.　msbb.exeの削除／検索し削除</font><br/>3.　mswinexect.exe（見つからず）／（見つからず）<br/>4.　package.exe<font color=blue>の削除／</font>（見つからず）<br/>5.　winm.exe（見つからず）<font color=blue>／検索し削除</font><br/>6.　winole.exe<font color=blue>の削除／</font>（見つからず）<br/>7.　winregs32.exe（見つからず）／（見つからず）<br/>8.　winupdate.exe<font color=blue>の削除／</font>（見つからず）<br/><br/>　※上記の通りさんざんな結果でした。<br/><br/>・再起動後、検査ＰＣにインストール済みの「ＡＶＧ」によるスキャンを実行<br/>　上記、修復でＡＶＧスキャンプログラムが動作するようになった。<br/>　１１項目を検出し、１１項目を駆除する。<br/>　上記メッセージでは修復前８個くらいだったのに再検査すると１１個になっていた。<br/>　これは告知漏れがあったものと思われる。下図はスキャン中のＡＶＧ<br/>　まだウィルスが見つかっていません。<br/><img src=img/041030backdoor03.jpg><br/>　検索結果画面です。<br/>　<img src=img/041030avg03.jpg><br/><br/>・再度、「ＡＶＧ」を実行するが感染ファイルは発見されない。これでもうウィルスはないと判断。<br/>・ついでに、ＯＣＮオンラインウィルススキャンを再度行う。（ＡＶＧは停止させて）<br/>　なんと、以下の結果を得る。<br/>　<b>「WORM_DABBER.A WORM_SDBOT.BRが検出され駆除されました」</B><br/>　のメッセージが出た。<br/><br/>　※これでウィルスはなくなったと思い、ＰＣをお返ししたが、<br/>　　お客様からまだウィルスがあるとの連絡。<br/><br/>・セーフモードのWindows内のＤＯＳ画面から手動で駆除を試みる。<br/>　ＰＣ起動直後のＡＶＧのメッセージを頼りにＤＥＬコマンドを使う。<br/>　<img src=img/041030backdoor05.jpg><br/><br/>　※なかなか手強いウィルスだ。しかし、ＤＥＬコマンドの/fオプションを使うと<br/>　強制的に削除することができた。（　del winm.exe /f　）<br/>　その後、レジストリの同名の値も削除した。<br/><br/>　これでようやくＡＶＧはウィルス検知のメッセージを出さなくなった。<br/><br/> <記事 タイトル="BackDoor.SdBot" サブタイトル="どんな悪さをするのか" 文献="参照" 人物="" 年月日="20041104" 連続="" 画像="" 横サイズ="" 移動="8" リンク名="" リンク="" コメント="" ジャンプ="benri_virus">１．トロイの木馬の作成者がインターネットリレーチャット (IRC) を介して<br/>　コンピュータを制御できるようにする。<br/>２．インターネットを介して自分自身の最新バージョンがリリースされているか<br/>　どうかを確認し、最新版があれば自分自身を更新することができます。<br/><br/>別名: IRC-Sdbot [McAfee]， Backdoor.IRC.SdBot [KAV]， BKDR_SDBOT.B [Trend]， Troj/Sdbot-B [Sophos]， Win32.SdBot.14176 [CA] <br/><br/>影響を受けるシステム: Windows 95， Windows 98， Windows NT， <br/>　　　　Windows 2000， Windows XP， Windows Me <br/>影響を受けないシステム: DOS， Linux， Macintosh， Novell Netware， <br/>　　　　OS/2， UNIX， Windows 3.x <br/><br/>ポート: 6667 (標準の IRC ポート) <br/><br/>このトロイの木馬は \Windows\System フォルダ (標準では、C:\Windows\System または C:\Winnt\System32) を探し出し、その場所に自分自身をコピーします。<br/>既知のファイル名の一部は以下の通りです。<br/><br/>Cnfgldr.exe <br/>cthelp.exe <br/>Sysmon16.exe <br/>Sys3f2.exe <br/>Syscfg32.exe <br/>Mssql.exe <br/>Aim95.exe <br/>Svchosts.exe <br/>FB_PNU.EXE <br/>Cmd32.exe <br/>Sys32.exe <br/>Explorer.exe <br/>IEXPL0RE.EXE <br/>iexplore.exe <br/>sock32.exe <br/>MSTasks.exe <br/>service.exe <br/>Regrun.exe <br/>ipcl32.exe <br/>syswin32.exe <br/>CMagesta.exe <br/>YahooMsgr.exe <br/>vcvw.exe <br/>spooler.exe <br/>MSsrvs32.exe <br/>svhost.exe <br/>winupdate32.exe <br/>quicktimeprom.exe<br/><br/>次の値のいずれか、あるいは類似した値を<br/><br/>"Configuration Manager"="Cnfgldr.exe"<br/>"System Monitor"="Sysmon16.exe"<br/>"MSSQL"="Mssql.exe"<br/>"Configuration Loader" = "aim95.exe"<br/>"Internet Config" = "svchosts.exe"<br/>"System33" = "%System%\FB_PNU.EXE"<br/>"Configuration Loader"="cmd32.exe"<br/>"Windows Explorer"="Explorer.exe"<br/>"Configuration Loader"="IEXPL0RE.EXE"<br/>"Configuration Loader"="%System%\iexplore.exe"<br/>"Sock32"="sock32.exe"<br/>"Configuration Loader"="MSTasks.exe"<br/>"Windows Services"="service.exe"<br/>"Registry Checker" = "%System%\Regrun.exe"<br/>"Internet Protocol Configuration Loader" = "ipcl32.exe<br/>"syswin32" = "syswin32.exe"<br/>"MachineTest" = "CMagesta.exe"<br/>"Yahoo Instant Messenger" = "Yahoo Instant Messenger"<br/>"Fixnice" = "vcvw.exe"<br/>"Windows Configuration" = "spooler.exe"<br/>"Microsoft Video Capture Controls" = "MSsrvs32.exe"<br/>"Microsoft Synchronization Manager" = "svhost.exe"<br/>"Microsoft Synchronization Manager" = "winupdate32.exe"<br/>"Quick Time file manager" = "quicktimeprom.exe"<br/>"cthelp"="cthelp.exe"<br/><br/>次のレジストリキーに追加します。<br/><br/>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run<br/><br/>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\<br/>RunServices<br/><br/>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run<br/><br/>送信したコマンドにより、トロイの木馬の作成者は次のことを実行できます。 <br/>・バックドアのインストール <br/>・侵入先のコンピュータ上で IRC クライアントを制御する <br/>・インストールされているトロイの木馬を動的に更新する <br/>・他の IRC チャネルにトロイの木馬を送信することにより、<br/>　さらに多くのコンピュータへ侵入を試みる <br/>・ファイルのダウンロードと実行 <br/>・システムおよびネットワーク関連の情報をトロイの木馬の作成者に送信する <br/>・トロイの木馬の作成者が指定した標的にサービス拒否 (DoS) 攻撃を仕掛ける <br/>・関連のあるレジストリ項目を削除することによって、自分自身を完全にアンインストールする<br/><br/><br/>＜参照＞<br/>http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.sdbot.html <記事 タイトル="BackDoor.SdBot" サブタイトル="予防策" 文献="参照" 人物="" 年月日="20041104" 連続="" 画像="" 横サイズ="" 移動="9" リンク名="" リンク="" コメント="" ジャンプ="benri_virus">・不必要なサービスをすべて無効化するか、あるいは削除する。<br/>　FTPクライアント、telnet、Webサーバーなど<br/>　そのような付加的サービスは、攻撃の侵入経路として利用されることが多い<br/>・1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、<br/>　そのサービスへのアクセスを遮断する。 <br/>・常に最新のパッチを適用しておく。<br/>　特に、公開サービスなどアクセス可能にしているコンピュータに対しては<br/>　必ず最新パッチを適用しておく。 <br/>・パスワード・ポリシーの徹底。<br/>・.vbs、.bat、.exe、.scrなどの拡張子のついた添付ファイルを含むメールを<br/>　ブロックあるいは削除するように設定しておく。 <br/>・ネットワーク接続しているコンピュータが感染した場合は、<br/>　そのコンピュータをすみやかにネットワークから切り離す。<br/>・予期せぬメールが届いた場合には添付ファイルを絶対に開かない。 <br/>・インターネットからダウンロードしたソフトウェアについては、<br/>　必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。<br/>・パッチが適用されていないWebブラウザーを使用していると、<br/>　安全でないWebサイトにアクセスするだけで感染する可能性がある。<br/><br/>＜参照＞<br/>http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.sdbot.html <記事 タイトル="BackDoor.SdBot" サブタイトル="駆除方法（シマンテック製品による）" 文献="参照" 人物="" 年月日="20041104" 連続="" 画像="" 横サイズ="" 移動="10" リンク名="" リンク="" コメント="" ジャンプ="benri_virus">１．システムの復元機能を無効にします (Windows Me/XP の場合)。 <br/>２．ウイルス定義を最新版に更新します。 <br/>３．次のいずれかの操作を実行します 。 <br/>　Windows 95/98/Me/2000/XP の場合: コンピュータをセーフモードで再起動します。 <br/>　Windows NT の場合: トロイの木馬の動作中のプロセスを停止します。<br/>４．<b>システム全体のスキャン</b>を実行し、<br/>　Backdoor.Sdbot として検出されたファイルをすべて削除します。 <br/>５．トロイの木馬が<b>レジストリに行った変更を編集</b>します。<br/><table width=630 align=center><tr><td><br/>次の各レジストリキーを選択します。<br/><br/>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br/><br/>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\<br/>RunServices<br/><br/>HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br/><br/><br/>画面右側で、発見した次の値を削除します。あるいはトロイの木馬として検出されたファイルを参照する値を削除します。<br/><br/>"Configuration Manager"="Cnfgldr.exe"<br/>"System Monitor"="Sysmon16.exe"<br/>"MSSQL"="Mssql.exe"<br/>"Configuration Loader" = "aim95.exe"<br/>"Internet Config" = "svchosts.exe"<br/>"System33" = "%System%\FB_PNU.EXE"<br/>"Configuration Loader"="cmd32.exe"<br/>"Windows Explorer"="Explorer.exe"<br/>"Configuration Loader"="IEXPL0RE.EXE"<br/>"Configuration Loader"="%System%\iexplore.exe"<br/>"Sock32"="sock32.exe"<br/>"Configuration Loader"="MSTasks.exe"<br/>"Windows Services"="service.exe"<br/>"Registry Checker" = "%System%\Regrun.exe"<br/>"Internet Protocol Configuration Loader" = "ipcl32.exe"<br/>"syswin32" = "syswin32.exe"<br/>"MachineTest"="CMagesta.exe"<br/>"Yahoo Instant Messenger" = "Yahoo Instant Messenger"<br/>"Fixnice" = "vcvw.exe"<br/>"Windows Configuration" = "spooler.exe"<br/>"Microsoft Video Capture Controls" = "MSsrvs32.exe"<br/>"Microsoft Synchronization Manager" = "svhost.exe"<br/>"Microsoft Synchronization Manager" = "winupdate32.exe"<br/>"Quick Time file manager" = "quicktimeprom.exe"<br/>"cthelp"="cthelp.exe"<br/><br/></td></tr></table><br/><br/>＜参照＞<br/>http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.sdbot.html <記事 タイトル="BAT_KAVANBOT.A／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win2000" 年月日="20060303" 連続="" 画像="" 横サイズ="" 移動="11" リンク名="" リンク="" コメント="" ジャンプ="benri_virus"><img src=img/100659.jpg> <記事 タイトル="BAT_NOSHARE.Y／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win2000" 年月日="20060303" 連続="" 画像="" 横サイズ="" 移動="12" リンク名="" リンク="" コメント="OCNオンラインウィルスチェックにて" ジャンプ="benri_virus"><img src=img/100659.jpg> <記事 タイトル="BKDR_IRCFLOOD.AC／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win2000" 年月日="20060303" 連続="" 画像="" 横サイズ="" 移動="13" リンク名="" リンク="" コメント="OCNオンラインウィルスチェックにて" ジャンプ="benri_virus"><img src=img/100659.jpg> <記事 タイトル="Dabber.C／駆除例（手動）" サブタイトル="DynaBook_Satellite1800" 文献="みっこ塾カルテ" 人物="Win2000" 年月日="20041030" 連続="" 画像="" 横サイズ="" 移動="11" リンク名="" リンク="" コメント="" ジャンプ="benri_virus"><a href=benri_virus.xml#BackDoor041030>BackDoor.SdBot.**.*／駆除例（手動）に記述あり</a> <記事 タイトル="Dropper/Downloader.59904.G／駆除例（手動）" サブタイトル="" 文献="みっこ塾カルテ" 人物="" 年月日="2007/08/29(Wed)20:29" 連続="" 画像="" 横サイズ="" 移動="26" リンク名="" リンク="" コメント="自作デスクﾄｯﾌﾟ　Win2000" ジャンプ="benri_virus"><img src=img/101139.jpg align=left>トロイの木馬。スパイウェア系 <記事 タイトル="HTML/Redlof／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="WinMe" 年月日="20050113" 連続="" 画像="" 横サイズ="" 移動="15" リンク名="" リンク="" コメント="" ジャンプ="benri_virus"><img src=img/100034.jpg> <記事 タイトル="Netsky／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="WinMe" 年月日="200507" 連続="" 画像="img/100207.gif" 横サイズ="650" 移動="24" リンク名="" リンク="" コメント="SONY_VAIO_PCG-FX77/BP" ジャンプ="benri_virus">ソニーのノートに感染。ＯＣＮオンラインスキャンにて駆除。 <記事 タイトル="Netsky" サブタイトル="頻繁なエラーメッセージ。インターネットがつながらない。起動後、リセットしてしまう。" 文献="3" 人物="" 年月日="20050323" 連続="3" 画像="" 横サイズ="" 移動="25" リンク名="みっこ塾カルテ2005年3月23日　デスクトップ機" リンク="" コメント="WinXP:Netsky" ジャンプ="benri_virus">突然シャットダウンのメッセージが…<br/><img src=img/100145.gif><br/>エラーメッセージを見てみると<br/><img src=img/100146.gif><br/><br/>ＰＣをセーフモードで開き<br/>レジストリの<br/>LOCAL MACHINE/SOFTWARE/MICROSOFT/WINDOWS/RUN<br/>lsass.exeの値を削除します。<br/>その後、ＰＣを立ち上げ（これでウィルスの悪さに煩わされない。シャットダウンしない）<br/>更につながらなくなったインターネット接続設定を再設定します。<br/>ＯＣＮのぺーじから（ＯＣＮ会員でないと利用できませんが）<br/>オンラインウィルススキャン（OCN）で駆除<br/><img src=img/100147.gif><br/>全部で５３ファイルの感染が見つかりました。<br/><img src=img/100148.gif><br/>プログラムにより駆除を実行すると３ファイルが削除されない。<br/><img src=img/100149.gif><br/>これらは、Ctrl+Alt+Delでタスクマネージャを開き<br/>同名のファイルのプロセスを停止させた上で削除します。<br/> <記事 タイトル="JS.Exception.Exploit_ウィルス感染例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win98" 年月日="20051104" 連続="" 画像="" 横サイズ="650" 移動="12" リンク名="" リンク="" コメント="NEC_LaVie_NX_LW46H/1" ジャンプ="benri_virus"><img src=img/100507.jpg><br/>このウィルスは、ホームのページをblankページに書き換えます。<br/>シマンテックのウィルス駆除ソフトで削除できました。<br/> <記事 タイトル="SASSERウィルス駆除例" サブタイトル="" 文献="" 人物="" 年月日="20060105aa" 連続="" 画像="" 横サイズ="" 移動="18" リンク名="みっこ塾カルテ2006年1月5日" リンク="" コメント="ノートCOMPAQ_nx9005　WinXP" ジャンプ="benri_virus">ＯＣＮオンラインウィルススキャンを実行したところ、まずいかのような検出ダイアログが表示されました。<br/><img src=img/100587.jpg><br/>最終的には、９９３個の感染ファイルが見つかりました。そのうちの９１９個はSasserウィルスでした。その他のウィルスは<br/>WORM.RBOT.BHV（２個）TROJ.RBLAST.DLDR（１個）TROJ.ISTBAR.A（２個）BKDR.IROFFER.D（１個）TROJ.DYFUOA.CR（２個）JROJ.DLDR.DLL（１個）TROJ.DELF.AR（１個）JROJ.ISTZONE.H（２個）…などと主にトロイの木馬系のウィルスが続きます。<br/>１回目のチェックと駆除が終わったあと､セーフモードにてもう一回スキャンを行いWORM_MYTOB.Aウィルスを駆除しました。<br/><img src=img/100575.jpg><br/><br/>このＰＣにはNorton Internet Securityがインストールされていましたが有効期限が切れていました。「保護者機能の更新をしますか｣とのメッセージも起動時に出ます。<br/><img src=img/100589.jpg><br/><img src=img/100586.jpg><br/><br/>感染ファイルは残りなく削除されましたが､ほとんどＰＣが起動できなくなりました。<br/>最初のうちは以下のようなエラーが出てまかりなりにも立ち上がりました。<br/>「msdrv32.exeがみつかりません」<br/>「mcmm.exeがみつかりません」<br/>「sycmgt.exeがみつかりません」<br/><img src=img/100588.jpg><br/>※このようなエラーメッセージは２回目の起動時には現れなくなりました。<br/><br/>その後､デスクトップ画面までは何とか立ち上がりますが､突然リセットするようになりました。<br/>リセットした直後､ほんの数秒以下のようなメッセージが表示されます。<br/><img src=img/100590.jpg><br/><br/>起動時のオプションで「前回正常起動時の構成」で起動を試しましたが結果は同じです。<br/><br/>セーフモードから立ち上げ､「完全チェックディスク｣を行いました。それでもリセットします。<br/><br/>その後、まったく立ち上がらず、黒い画面で以下のようなメッセージが出ます。<br/>「次のファイルが存在しないかまたは壊れているため､Windowsを<br/>起動できませんでした：<br/>WINDOWS\SYSTEM\vgaoem.fon」<br/><img src=img/100585.jpg><br/><br/>このＰＣはハードディスクのエラーもあるようです。<br/>６行目の英文、<br/>CHKDSK discovered free space marked as allocated in the volume bitmap.<br/>windows has made corrections to the file system.<br/>ウィルスによる度重なるシャットダウンのためか。<br/><img src=img/100576.jpg><br/><br/>＜結論＞<br/>手元にリカバリーＣＤがないと言うことでしたので､後日お客様自身でリカバリをしていただくようお願いしました。 <記事 タイトル="TSPY.SINOWAL.EQウィルス駆除例" サブタイトル="" 文献="2" 人物="" 年月日="2006/12/15(Fri)a" 連続="" 画像="" 横サイズ="" 移動="30" リンク名="TSPY.SINOWAL.EQ" リンク="hyoji2.cgi?tensou=benri_virus&nengappi=2006/12/15(Fri)#rootkit" コメント="Win2000" ジャンプ="benri_virus"><a href=hyoji2.cgi?tensou=benri_virus&nengappi=2006/12/15(Fri)>起動時、｢エラーが発生したため〜を終了します｣が表示される｡コントロールパネルやマイコンピュータのプロパティなど開かない</a> <記事 タイトル="swen.worm／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win98SE" 年月日="20050520" 連続="" 画像="" 横サイズ="" 移動="13" リンク名="" リンク="" コメント="" ジャンプ="benri_virus">このウィルスは、メールの添付ファイルを介して広がる。<br/>IPAサイトでは以下の予防策をすすめる。<br/>　　　ブラウザ（Internet Explorer）に修正プログラムを適用する。：<br/>　　　Internet Explorer 5.01の場合、SP2 を適用する。<br/>　　　Internet Explorer 5.5 の場合、SP2 を適用する。<br/>　　　最新の Internet Explorer 6.0 をインストールする。<br/>修復にはレジストリの修正が必要です。<br/>今回の感染ＰＣはハードディスクの不具合で持ち込まれたもので、ハードディスク交換とＯＳのクリーンインストールが行われたのでレジストリなどの修復の問題はない。<br/><br/>壊れて読み込みが難しくなったハードディスクですが、別のＰＣにスレイブとしてハードディスクを取り付け、ウィルスチェックを試みると以下のような５個のファイルの感染が見られました。<br/><br/><img src=img/100176.gif> <記事 タイトル="Trojan.Bootconf_ウィルス感染例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win98" 年月日="20051104" 連続="" 画像="" 横サイズ="650" 移動="16" リンク名="" リンク="" コメント="NEC_LaVie_NX_LW46H/1" ジャンプ="benri_virus"><img src=img/100508.jpg><br/>このウィルスは、TCP/IPのDNSを書き換えたり、ホームのページを書き換えるウィルスのようです。<br/>シマンテックのウィルス駆除ソフトで削除できました。<br/> <記事 タイトル="Trojan.Horse_ウィルス感染例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win98" 年月日="20051104" 連続="" 画像="" 横サイズ="650" 移動="17" リンク名="" リンク="" コメント="NEC_LaVie_NX_LW46H/1" ジャンプ="benri_virus"><img src=img/100509.jpg><br/>トロイの木馬ウィルスのようですが、特定できなかったのか、詳しい名前が確認できません。<br/>シマンテックのウィルス駆除ソフトで削除できました。<br/> <記事 タイトル="TROJ_HYBRIS.B" サブタイトル="メールマガジンに「TROJ_HYBRIS.B」ウィルス" 文献="NACS-J" 人物="" 年月日="2001年01月25日" 連続="" 画像="" 横サイズ="" 移動="13" リンク名="" リンク="" コメント="" ジャンプ="benri_virus"><b>その感染防止と感染チェックと感染後の対策</b><br/>　私（mikko）が受け取っているメールマガジンの２００１年１月２４日付「NACS-J NEWS　0057」というメールに「TROJ_HYBRIS.B」というウィルスが添付されるということがありました。<br/>以下、NACS-Jからの説明メール本文です。（途中省略あり）<br/><br/>------------------------------------------------------------------------------------<br/>●ファイルを開いてしまった方、開こうと操作された方は、<br/>　まず感染しています。<br/>　感染した場合の修正方法は、<br/>　下記のトレンドマイクロのサイトをご確認ください。<br/>　自動修正ツールも掲載されていて、ダウンロードして使用できます。<br/>　ただし、通信設定をやり直す必要が出た方もいらっしゃるようですので、<br/>　ご注意ください。<br/>　・トレンドマイクロのホームページ<br/>　　http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_HYBRIS.B<br/>　・IPAセキュリティセンターのホームページ<br/>　　http://www.ipa.go.jp/security/topics/hybris.html<br/><br/>　またインターネットに接続したり、<br/>　メールを送信したりするとこのウィルスが動き出すそうですので、<br/>　修正が終わるまではできるだけインターネットに接続せず、<br/>　上記の修正ツールを感染していないコンピューターでダウンロードしてください。<br/><br/>●ウィルスがついた今回のメールは、<br/>　NACS-Jから配信したものではありません。<br/>　このウィルスは非常に巧妙なもので、<br/>　メールマガジンやメーリングリストのシステムを解析して、<br/>　自分を増殖させ、受け取ったメールの配信者名をコピーして、<br/>　あたかも配信者であるかのようにメールを送信していくそうです。<br/><br/>●このウィルスでは、<br/>　ファイルの破壊などの悪影響はこれまで報告されていないそうですが、<br/>　勝手にプラグインをダウンロードしてくることがあるそうです。<br/>　現在は大きな破壊活動はしていませんが、亜種が多数発見されていますので、<br/>　そのうち危険なものが出てくる可能性もあるそうです。<br/>　また、大きな破壊活動をしていないため、<br/>　感染に気が付いていない方がとても多いとのことで、<br/>　今回の発信元になってしまった方も、たぶん気づいていないだろうということです。<br/><br/><br/>●報告によるとこのウィルスはWindowsに感染するものですので、<br/>　その他のOSであれば感染していないようです。<br/><br/><br/>●お手数ですが、念のため、下記の点を確認してください。<br/><br/>　・エクスプローラーでCドライブ→Windows→Systemを開いてください。<br/>　・ツールバーの「表示」→「フォルダオプション」→「表示」で、<br/>　　「すべてのファイルを表示する」をチェックして「OK」を押してください。<br/>　・上記の「System」の中に、「Wsock32.dll」というファイルがあります。<br/>　　このファイルのサイズは、Windows95なら「65kb」、98なら「40kb」、<br/>　　MEなら「36kb」が標準ですが、<br/>　　感染するとそれ以外の数字になっているそうです。<br/><br/>　しかし亜種が多数出現している関係で、この方法は目安にすぎないそうです。<br/>　1月24日、クリックしてしまったという方から、<br/>　ファイルサイズが変わっていないという連絡もありました。<br/>　従って変わっていれば確実に感染していますが、<br/>　変わってないから大丈夫ということではなく、ファイルを実行しようとされた方、<br/>　開こうとされた方は、必ず修正ツールを実行された方がよいと思います。<br/>　まずはお持ちのワクチンソフトを使用してください。<br/><br/>　ただし亜種が続発しているので、ワクチンソフトで検出できない事例も多いそうで<br/>す。<br/><br/>●最後に<br/>NACS-Jから「EXE」という拡張子のついたファイルをお送りすることは、<br/>これまでも、また今後も一切ありません。<br/>今回のように知人の名前で自動的に配信するウィルスが多発していますので、<br/>たとえ知人からのメールでも、プログラムファイルが添付された場合には、<br/>開かないでそのまますぐに消去してしまうことが勧められています。<br/>昨年はWORDファイルの形式のウィルスもありましたから、<br/>WORDの添付さえも危険といえます。<br/><br/> <br/>mikko：2001年01月28日(日)<br/>ＮＡＣＳ−Ｊより第三報がありました。<br/>―――――――――――――――――――――――――――――<br/><br/>＜TROJ_HYBRIS.Bに感染した場合の対処法＞<br/><br/>＊これはWindows98の場合で、95とは異なります<br/><br/>＊トレンドマイクロ社のホームページにある修正ツールを実行し、<br/>　通信ができなくなってしまった方からの情報提供です。<br/>　内容を確認しましたところ、<br/>　修正ツールを実行していない方にも通用するそうです。<br/><br/><br/>-------------以下、修復手順です---------------<br/><br/><br/>前提１．ハードディスクはCドライブだとします。<br/>前提２．CD-ROMドライブはDドライブだとします。<br/><br/>�T. 改変されてしまったWsock32.dllの削除<br/>�@ WindowsをSafeモードで起動します。<br/>　　（Safeモードはコンピュータによって異なりますので、<br/>　　マニュアルを見てください）<br/>�A 改変されてしまったWsock32.dllを削除します。<br/>　　ゴミ箱からも削除しておきます。<br/>　　（システム ファイル チェッカーでは、上書きで復元もできるのですが、<br/>　　本当に正常に復元されたのかどうか不安なので、一旦削除して、<br/>　　無くなったところに新しいファイルを復元させた方が<br/>　　気分的にいいと思います。）<br/>�B 再起動（今度はSafeモードではありません）<br/><br/><br/>�U. Wsock32.dllのインストール<br/>�@ Windows98のCD-ROMを挿入しておきます。<br/>�A [スタート] ボタンから、<br/>　　[プログラム]→[アクセサリ]→[システム ツール]<br/>　　→[システム情報]を開きます。<br/>�B [ツール] メニューの[システム ファイル チェッカー] をクリックします。<br/>�C [インストール ディスクからファイルを 1 つ抽出する] をクリックします。<br/>�D テキスト ボックスにファイル名　Wsock32.dll を入力します。<br/>�E [開始] をクリックします。<br/>�F 復元元の横の［参照］をクリックします。<br/>�G Windows98の中のWin98をクリックで指定して［OK］をクリックします。<br/>　　　ファイル名　Wsock32.dll<br/>　　　復元元　D：\win98<br/>　　　ファイルの保存先　C：\WINDOWS\SYSTEM<br/>　となっていることを確認します。<br/>�H ［OK］をクリックします。<br/>�I Systemフォルダの中にWsock32.dllが復活していることを確認します。<br/><br/>＊この説明でわかりにくい場合、<br/>　［Windowsのヘルプ］のキーワード［ファイル］、<br/>　［消失、破損ドキュメントの復元］を表示させてみてください。 <記事 タイトル="TROJ_ROOTKIT.AE／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win2000" 年月日="20060303" 連続="" 画像="" 横サイズ="" 移動="19" リンク名="" リンク="" コメント="OCNオンラインウィルスチェックにて" ジャンプ="benri_virus"><img src=img/100658.jpg> <記事 タイトル="TROJ_ROOTKIT.CL／駆除例" サブタイトル="" 文献="2" 人物="" 年月日="2006/12/15(Fri)b" 連続="" 画像="" 横サイズ="" 移動="36" リンク名="TROJ_ROOTKIT.CL" リンク="hyoji2.cgi?tensou=benri_virus&nengappi=2006/12/15(Fri)#rootkit" コメント="Win2000" ジャンプ="benri_virus"><a_href=起動時、｢エラーが発生したため〜を終了します｣が表示される｡コントロールパネルやマイコンピュータのプロパティなど開かない</a> <記事 タイトル="TROJ_SMALL.JX" サブタイトル="感染例" 文献="みっこ塾カルテ" 人物="WinXP" 年月日="20050116" 連続="" 画像="img/100064.gif" 横サイズ="650" 移動="14" リンク名="参照" リンク="http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_SMALL.GL" コメント="みっこ塾デスクトップ（PC20）" ジャンプ="benri_virus">　この不正プログラムは、Visual C++で作成されており、UPX圧縮されています。この不正プログラムはWindows 95， 98， ME， NT， 2000， XP上で動作可能です。<br/><br/>一個の独立したプログラムであり、他のファイルへの感染活動はありません。<br/><br/>単体では特にメール送信やネットワーク越しの感染などはありません。<br/>人間などによるファイルの受け渡しによってのみ他のマシンに頒布されます。<br/>一般的にWeb上やスパムメールなどを介して配布されているものをユーザが誤って導入してしまうケースが多いようです。 <br/><br/>・感染していた場合の対処：<br/>　実行してしまい、コンピュータのシステムが改変された場合には以下の方法でシステムの修復を行う必要があります。 <br/><br/>・手動削除手順： <br/><br/>コンピュータを再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。この不正プログラムは「TROJ_SMALL.IX」として検出します。検出したファイルはすべて削除してください。 <br/>全ドライブ検索を行い何も検出されなければ、処理は完了です。 <記事 タイトル="VBS.Redlof.A" サブタイトル="駆除例" 文献="みっこ塾カルテ" 人物="" 年月日="20050511" 連続="" 画像="img/100173.gif" 横サイズ="650" 移動="15" リンク名="" リンク="" コメント="" ジャンプ="benri_virus">トレンドマイクロのページから<br/><font color=blue>「メールの雛形の機能を利用して自身のスクリプトを頒布するワーム活動も行います」</font><br/>　駆除後、メール設定（ツール→オプション→作成タブ）で「ひな形を利用する」のチェックを外します。外さないとエラーメッセージが出ます。<br/>　<img src=img/100174.gif><br/><font color=blue>「VBSのプログラムなのでマイクロソフトの「Windowsスクリプティングホスト」(WSH)がインストールされている環境でなければ動作しません。「Windowsスクリプティングホスト」はWindows98以降ではデフォルトでインストールされていますので注意が必要です。<br/>　場合によってはシステムを起動する為に必要なファイルである"Kernel32.dll"を上書きし、結果的にWindowsの起動ができなくなることもあります｡」</font><br/><img src=img/100175.jpg><br/><br/> <記事 タイトル="Win32IRCBot.Worm／駆除例" サブタイトル="（サイトのコピー）" 文献="みっこ塾カルテ" 人物="WinXP" 年月日="20050625" 連続="" 画像="img/100193.jpg" 横サイズ="650" 移動="17" リンク名="参照サイト" リンク="http://www.okayama-u.ac.jp/user/cc/service/virus/ircbot.htm" コメント="" ジャンプ="benri_virus">平成15年10月9日　記載<br/><br/>コンピュータウイルス「W32.IRCBot.B」に関する注意報<br/>　ウイルス対策ソフトメーカの一つであるシマンテック社のアドレスを詐称し、あたかも Norton AntiVirus のアップデートプログラムのように偽った電子メールで配信されるコンピュータウイルス「W32.IRCBot.B」に関して、ウイルス対策ソフトメーカから注意のアナウンスがされています。このウイルスに感染すると、そのコンピュータを外部から操作できるようになるため、不正利用をされる危険性があります。従って、厳重な注意が必要です。 <br/><br/><br/>[ W32.IRCBot.B の特徴]<br/>ウイルス名称：W32.IRCBot.B、Win32.SdBot.18976、Troj/Ircbot-M、Backdoor.IRCBot.gen、W32/Sdbot.worm.gen など<br/><br/><br/>対象は Windows 全般。<br/><br/><br/>ウイルス感染後、TCPポート 31337を使用して、itc.ourmoney.pp.ruzというIRCサーバーに接続しようとする。<br/><br/><br/>このウイルスによって送信される電子メールは下記のような特徴を持つ。<br/><br/><br/>発信者：updates@symantec.com<br/><br/><br/>件名：Last Update.<br/> <記事 タイトル="Win32:Trojan-gen／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win2000" 年月日="20060303" 連続="" 画像="" 横サイズ="650" 移動="27" リンク名="" リンク="" コメント="" ジャンプ="benri_virus"><img src=img/100660.jpg> <記事 タイトル="Win32/Virut.C・D／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win2000" 年月日="2008/04/16(Wed)21:39" 連続="" 画像="" 横サイズ="650" 移動="45" リンク名="" リンク="" コメント="" ジャンプ="benri_virus"><img src=img/101604.jpg><br/>・駆除後、WindowsXPの修復（上書きインストール）をしているときのエラー<br/><img src=img/101569.jpg><br/><img src=img/101570.jpg><br/><img src=img/101571.jpg><br/><img src=img/101572.jpg><br/><img src=img/101573.jpg><br/>結局、上書きインストールには失敗しました。<br/>（ウィルス感染の性もあるかもしれませんが、上書きされるXPはSP2であったが、その上にSP2でないシステムをかぶせたせいもあるかもしれません。）<br/><img src=img/101574.jpg><br/>修復に失敗したが、とりあえずWindowsの起動部分は修復されたようで何とかデスクトップが立ち上がった。<br/><img src=img/101575.jpg> <記事 タイトル="Win-Trojan/Downloader.4096／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="WinMe" 年月日="20050113" 連続="" 画像="" 横サイズ="" 移動="12" リンク名="" リンク="" コメント="" ジャンプ="benri_virus"><img src=img/100037.gif> <記事 タイトル="Win-Trojan/LineageHack.33524.E／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="" 年月日="20060502" 連続="" 画像="img/100717.jpg" 横サイズ="650" 移動="29" リンク名="" リンク="" コメント="デスクトップ　Ｗｉｎ2000" ジャンプ="benri_virus"> <記事 タイトル="W32.Bugbear@mm／駆除例" サブタイトル="ＮＥＣLavie　T　LT700/Oノート（ＷｉｎｄｏｗｓＭｅ）" 文献="みっこ塾カルテ" 人物="WinMe" 年月日="2004年7月12日" 連続="" 画像="" 横サイズ="" 移動="48" リンク名="" リンク="" コメント="" ジャンプ="benri_virus">＜駆除手順＞<br/>１．感染後、お客様がノートにノートンアンチウィルス２００４を入れたので、まずインターネットでウィルス定義ファイルの更新をする。（本当はネットにつなぐのは危険です）<br/>２．更新後インターネット接続を解除する。<br/>３．WindowsMeの起動ディスクでDOS画面を立ち上げる。<br/>４．DOS画面からノートンアンチウィルスを /l /b+ /m+ /delete オプションをつけて起動する。<br/>　ウィルス定義ファイルは１．でダウンロードした最新版を使います。<br/>　検索実行結果は以下の通りです。３個の感染ファイルを見つけましたが、駆除されたのは１個だけ。<br/>　<img src=img/040712bugbear.gif><br/>５．ＰＣをセーフモードで起動します。<br/>　ノートンアンチウィルスのウィルススキャンを実行します。<br/>　検索実行結果は以下の通りです。残りの２個のウィルスも捕まえました。<br/>　<img src=img/040712bugbear2.gif><br/>６．３度目のウィルススキャン（ノートンアンチウィルス）をして何も見つかりませんでした。<br/>７．再起動後、念のため以下のレジストリキーを調べます。ここには何の値もありませんでした。（あったらすべて削除）<br/>　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce<br/>８．Windows Updateの実行（初回５項目＋再度８項目の更新） <記事 タイトル="ウィルス／駆除例" サブタイトル="WORM_ANTINNY.A" 文献="1" 人物="" 年月日="2006/10/21(Sat)A" 連続="" 画像="" 横サイズ="" 移動="41" リンク名="みっこ塾カルテ2006年10月20日WinXP_Homeedition" リンク="" コメント="ＯＣＮオンラインウィルススキャンで駆除" ジャンプ="benri_virus">デフラグなどで移動できないファイルがあるというので調べているうちに以下のウィルスを検知し削除しました｡このウィルスが蒸気の症状を起こしているとは思えませんが、たまたま見つけたものかもしれません｡<br/><img src=img/100959.jpg><br/><br/><B>WORM_ANTINNY.A</B><br/>　トレンドマイクロの情報によれば、危険度は低く、これは「トロイの木馬型」不正プログラム、インターネット上でのファイル共有ソフト「Winny」の仕組みを利用して自身を他のユーザに対して頒布するワーム活動を行うというものだそうです｡<br/>http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.A<br/><br/>　感染すると、Winnyの「Cache」フォルダの中身をすべて削除する。そして、内蔵するリストの中からランダムに選んだ名前か、Winnyの「Down」フォルダに置かれたファイル名から適当に選んだ名前で自身をコピーする。コピーされたAntinnyはLZH形式で圧縮されて「Up」フォルダに置かれ、誰かにダウンロードされるのを待つ。また、レジストリを改変して自分自身が立ちがあるように設定し、Win.iniファイルに「[ぬるぽ] ぬるぽ=C:\Winny」という謎のメッセージを残す。このメッセージから「ぬるぽワーム」とも呼ばれる。<br/>http://e-words.jp/w/WORM_ANTINNY2EA.html<br/><br/><B>WORM_ANTINNY.GEN</B><br/>　トレンドマイクロの情報によれば、これは亜種の非常に多い「WORM_ANTINNY」の総称で、活動内容の詳細は個体によって多少相違がある場合があるそうです。<br/>　単体で動作する一個の独立したプログラムであり、他のファイルへの感感染活動を行わない不正プログラムでありウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えず、製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できません。 隔離しました。」などと表示されますが正常な表示だそうです。 <br/>http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.GEN <記事 タイトル="ウィルス／駆除例" サブタイトル="" 文献="2" 人物="" 年月日="2006/10/21(Sat)" 連続="" 画像="" 横サイズ="" 移動="42" リンク名="WORM_ANTINNY.GEN" リンク="hyoji2.cgi?tensou=benri_virus&nengappi=2006/10/21(Sat)A" コメント="ＯＣＮオンラインウィルススキャンで駆除" ジャンプ="benri_virus"> <記事 タイトル="WORM_NACHI／駆除例" サブタイトル="起動後、しばらくすると再起動してしまう。" 文献="みっこ塾カルテ" 人物="WinXP_Homeedition" 年月日="20041203" 連続="" 画像="" 横サイズ="" 移動="14" リンク名="" リンク="" コメント="" ジャンプ="benri_virus">ウィルス感染ファイル…c:\windows\system32\Isass.exe<br/>レジストリの中のIsass.exeの値をすべて削除<br/>システムの復元を無効にする。<br/><br/>ＯＣＮオンラインウィルススキャンを実行<br/>６個の感染を検出する。<br/>　＜ウィルス名＞　　　＜感染ファイルの所在＞<br/>　WORM_NACHI.B…Temp…削除<br/>　WORM_NACHI.B…Temp…削除<br/>　WORM_NACHI.DAM…Temp…削除<br/>　WORM_DABBER.C…windows\system32\atiphexx.exe…削除<br/>　WORM_DABBER.C…windows\system32\package.exe…削除できない<br/>　WORM_RBOT.DN…windows\system32\Winregs32.exe…削除できない<br/><img src=img/041221virus01.jpg><br/><br/>レジストリからpackage.exeとWinregsの値を削除<br/><br/>ＯＣＮオンラインウィルススキャンを実行（２回目）<br/>フォルダ内からpackage.exeを削除する。<br/><img src=img/041221virus02.jpg><br/><br/>ノートンアンチウィルス２００２のインストール<br/>ノートンアンチウィルスでスキャン実行…２個の感染を発見<br/><img src=img/041221virus03.jpg><br/><br/>セーフモードでノートンアンチウィルスでスキャン（２回目）…感染は見つかりませんでした。<br/><br/>最後にWindowsUpdateを行い、１６項目の更新をしました。<br/><br/> <記事 タイトル="WORM_OPASERV.E／駆除例" サブタイトル="FM_BIBLOノート" 文献="みっこ塾カルテ" 人物="WinMe" 年月日="2004年10月9日" 連続="" 画像="" 横サイズ="" 移動="14" リンク名="" リンク="" コメント="動作が遅い・システムリソースの不足" ジャンプ="benri_virus">トロイの木馬型不正プログラム<br/>自身のコピーをネットワーク上の共有ドライブにコピーする。<br/>メールによる感染はない。<br/>パスワードを設定していても感染する。<br/>Windows98/Meで最新セキュリティを導入していないと感染する。<br/><br/>＜症状＞<br/>・システムリソースが不足してくる（起動時３０％くらい）<br/>・ウィンドウを開くタイミングが遅れる。反応がすべて遅い。<br/>・ノートンアンチウィルスではチェックしない（２００４年１０月９日現在）<br/>＜検出に使ったプログラム＞<br/>・ＯＣＮオンラインウィルススキャン<br/>　<img src=img/041009spy04a.jpg><br/>　「以下スキャンのログ」<br/>　　<img src=img/041009ocnscan01.gif><br/>＜駆除に使ったプログラム＞<br/>　トレンド・マイクロの駆除ツール<br/>　＜注意＞ツールのreadmeファイルに以下のような注意があります。感染ファイルが重要なファイルで修復できなかった場合、リカバリー、再インストールに至る場合もあります。くれぐれも自己責任で。<br/><font size=2 color=red><br/>ツールの処理内容：<br/>　ツールはまず、ワームによるシステム改変の有無を調べ、改変があった場合には修復を行います。次にローカルの全ハードディスクドライブ内の全ファイルに対してウイルス検索を行います。このとき、検出対象となるのは「WORM_OPASERV」、「WORM_BUGBEAR.A」、「PE_FUNLOVE.4099」、「PE_SPACES.1445」のウイルスのみです。他のウイルスは検出しません。ワームが検出された場合には自動的にファイル削除、ファイル感染型ウイルスが検出された場合には自動的に駆除を行います。<br/><br/>注意：ファイル感染型ウイルス（PE_）は駆除を行いますが、ウイルスの感染状況によっては正常に駆除ができず、ファイルが壊れてしまう場合があります。その場合、Windows のシステムファイルであればWindowsの再インストール、アプリケーションソフトファイルの場合は、そのソフトの再インストールをお願いいたします。<br/></font><br/>　上記ＯＣＮオンラインウィルススキャンではすべて駆除できない。<br/>　別の駆除ソフトに頼ることになります。<br/>　下記URLよりファイルをダウンロードします。<br/>　感染を調べるＰＣのデスクトップにでも置いて実行すると<br/>　ＤＯＳ画面がウィンドで現れ検索を始めます。<br/>　「以下駆除画面」<br/><img src=img/041009trendo01a.jpg><br/><img src=img/041009trendo01.jpg><br/><br/>※手動による方法が下記ＵＲＬに述べられてありますが、裏付けがないので<br/>　ここには記しません。<br/><br/>＜参照＞<br/>http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_OPASERV.E<br/> <記事 タイトル="WORM_SDBOT.DOM／駆除例" サブタイトル="" 文献="みっこ塾カルテ" 人物="Win2000" 年月日="20060303" 連続="" 画像="" 横サイズ="" 移動="30" リンク名="" リンク="" コメント="OCNオンラインウィルスチェックにて" ジャンプ="benri_virus"><img src=img/100659.jpg> <記事 タイトル="X97M/Tristate.gen／駆除例" サブタイトル="Word、Excel、PowerPointに感染" 文献="みっこ塾カルテ" 人物="WinMe" 年月日="2004年7月30日" 連続="" 画像="" 横サイズ="" 移動="32" リンク名="" リンク="" コメント="VALUESTAR_VL750R/6" ジャンプ="benri_virus">＜症状＞<br/>Excelファイルを開くといつも「マクロを有効にしますか」と聞いてくる。<br/>＜ウィルススキャン結果＞<br/>ＰＣバンドル版のMcAfeeウィルススキャン（ウィルス情報は２０００年より更新無し）をかけると以下のような結果。<br/><img src=img/040730virus01.gif><br/><br/><font color=darkblue>参照：<br/>http://www.vcon.dekyo.or.jp/damage/rankdata/page22.html<br/>http://www.ipa.go.jp/security/y2k/virus/cdrom/virus/tristate.html<br/>TRISTATEウイルスは、３つのプラットフォームに感染するはじめてのマクロウイルス。<br/>しかし､日本語版Office97では､インストールディレクトリ名が異なるため､PowerPoint97に感染することはできない｡(Office2000では感染する｡) <br/><br/>WORDで発見されたときは、W97M_TRISTATE<br/>EXCELの場合はX97M_TRISTATE<br/>PowerPointの場合はO97M_TRISTATEとして検出<br/><br/>感染方法:<br/>-ウイルスに感染したファイルが実行されると、レジストリを変更してMicrosoft　OFFICEの3つのアプリケーションの「マクロウイルス保護機能」を解除する｡ <br/>-<b>Word､ Excel では</b>文書／ワークシートを閉じるときに、Word､ Excel とPowerPointに感染する。<br/><b>PowerPoint では</b>スライドショー実行中にスライド画面をクリックすると、７分の１の確率でPowerPoint とWord､ Excel に感染する｡ <br/><br/>WORDの標準テンプレート(<b>Normal.dot</b>)に感染<br/>EXCELのスタートアップディレクトリであるXLStartをチェックし､ここに"Book1"というファイルがなければ､<b>ウイルスコードをエクスポートしたファイルを"Book1"と名付けて保存する｡ </b><br/>PowerPointのテンプレートファイルを､"<b>Blank Presentation.pot</b>"というファイル名で作成する｡このテンプレートを使用して作成された文書が感染する｡<br/><br/>このファイルは､Microsoft Officeのインストールディレクトリ内のテンプレート用フォルダ(デフォルトでは"C:\Program Files\Micorsoft Office\Templates\")に作成されるが､日本語版Office97にこのフォルダは存在しないため､PowerPoint97に感染する事はできない｡<br/><br/>損害:<br/>-感染時に3つのアプリケーションのマクロウイルス保護機能を解除する｡ <br/>　・MS Word<br/>　　[ツール]-[オプション]の[全般]タブの「マクロウィルスを自動検出する」、<br/>　　「文書を開くときにファイル形式を確認する」と、「保存」タブの「標準設定を変更<br/>　　 するかどうかを確認する」のチェックボックスをオフに設定する。<br/>　・MS Excel<br/>　　［ツール］-［オプション］の［全般］タブの「マクロウィルスから保護する」<br/>　　のチェックボックスをオフに設定する。<br/>　・MSpp<br/>　　［ツール］-［オプション］の［全般］タブの「マクロウィルスを自動的に検出する」<br/>　　のチェックボックスをオフに設定する。 <br/><br/>-次々と感染していくだけで、データの改ざん等の破壊活動を行うことはない。<br/><br/>備考：使用プロシージャ名：<br/>　　Document_Close<br/>　　Workbook_Deactivate<br/>　　actionhook<br/> <br/>＜駆除方法＞<br/><br/>*手動駆除手順 　　　<br/><br/>(1)XLstart ディレクトリ(デフォルトでは..\Program Files\Microsoft Office\XlStart\)の中の"Book1"ファイル､WORDのNormal.dot(デフォルトでは..\Program Files\Microsoft Office\Template\Normal.dot)を削除する｡ 　　<br/><br/>(2)EXCELを起動し､｢ツール｣→｢オプション｣メニューの中の｢全般｣タブで｢マクロウイルスから保護する｣チェックボックスがONになっていることを確認する｡ 　　<br/><br/>(3)感染ファイルを｢マクロを無効にする｣を選択して開く｡｢ツール｣→｢マクロ｣→｢Visual Basic Editor｣メニューを選択し､｢プロジェクトエクスプローラ｣を表示し、､"ThisWorkbook"をダブルクリックすると､コードが表示される｡このコードをすべて削除する｡<br/>Wordの場合は､"ThisDocument"をダブルクリックすると同じようにコードが表示されるので､このコードを削除する｡ 　　<br/><br/>(4)ファイルを別名で保存する｡ 　　　<br/><br/>(5)元ファイルを削除する。<br/></font><br/>