| |
|
|
| |
|
|
| |
|
|
| |
|
|
 |
ウィルス格闘記 |
 |
<参考>
ウィルス関連情報1(プレビュー感染)
ウィルス関連情報2(勝手にダウンロード)
ウィルス関連情報3(新お勧め設定)
ウィルス関連情報4(対策ソフトを過信するな)
ウィルス関連情報5(KlezE増加中)
クレズE/クレズG対策web
以下は、某MLに投稿したウィルス関連メールをまとめたものです。2002/03
2002年3月21日
◆私の送信メール◆
田中です。
>
また、私のPCを立ち上げた時に、警告文が出るようになり、PCの異常が
> 感じられます。
私のPCも同じ状態のようです。
「メモリー不足のため〜,EXEを開けません。プログラムをいくつか止めてやりな
おしてください。」というメッセージが出ます。
OKボタンを押して作業を続行しても特に問題は発生しません。
しかし、「システム監視」でモニタするとプロッセッサー使用率が100%を断続的
に越えています。
使っていないソフトを2,3削除し、スタートアップからもいくつか削除してみまし
た。
「〜」.EXEの「〜」が変わるだけで状態は同じです。
私からウィルス付きメール行ってますか?
会社のメルアドにはきていないのですが?
****さんご紹介のサイトで自宅PCをチェックしてみましたが発見されませんで
した。一応怪しげメールは速攻削除したなずなのですが。
> > ****です。
> > 【*******:0276】については,私もみょ〜にヤバイと思い削除しましたが,
> > 初めてですね。添付ファイルがhtmlとpifの2種類というのは・・・。
> >
パワフルツールとかなんとか英文で書いてましたね。(^^;)
> >
速攻削除しました。
◆私の送信メール◆
田中です。エラーが出なくなりました。
>
スタートメニューからファイル名を指定して実行を選
> 択して, 【msconfig】を起動すると,起動時の環境設定が現れます。
>
>
とりあえず怪しいプログラムが起動していればチェックを外してみてしてし,何処の
>
ディレクトリにそれが入っているのかを見て,それを削除する。
>
>
※責任もてませんので・・・多少知識のある方に聞いてください。
>
自分で責任を持つことにしてやってみました。以下報告です。
「スタート」→「ファイル名を指定して実行」→ファイル名に「msconfig」と入力
1、msconfigで「システム設定ユーティリティ」を出す
2、「全般」のとこで「起動の選択」が、「標準の起動」に
チェック有り
3、「config.sys」を表示・・・よくわからんので無視
4、「autoexec.bat」を表示・・・よくわからんので無視
5、「system.ini」を表示・・・よくわからんので無視
6、「win.ini」を表示・・・よくわからんので無視
7、「スタートアップ」を表示
8、「CPQ Back Web Monitor」のチェックを外す
あたりさわり無さそうだったから
9、「適用」ボタンを押す
10、再起動
例のエラー表示がでなかった。
システムモニタするとプロセッサー使用率は、限りなく
0%に近い。
11、再度「msconfig」を実行
12、「全般」の「起動の選択」が「起動オプションを選択
する」にチェックがついていた
ウィルスの悪さではないような気もする。
このまま使ってみて経過報告します。
◆私の送信メール◆
****さん今日は。田中です。
>
今回ウィルスチェックで引っかかったウィルスです。
>
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ
E
ご紹介ありがとうございます。
早速行ってきました。修復ツールがあったのでダウンロードして実行しましたが、
Not foundでした。
どうも引っかからないので、私の症状は「ウィルスの悪さ」ではなく別の原因が
あるのではと疑いはじめています。
2002年3月23日
◆私の送信メール◆
こんにちは、田中です。
ひとつ分かったことがありますので報告します。
情報処理振興協会セキュリティセンターによりますと「Patch.exe」という添付ファ
イル付きウィルスが増殖しているそうです。(3月15日16:00まで73件)
http://www.ipa.go.jp/security/newvirus/fbound.html
トレンドマイクロ、ネットワークアソシエイツ、シマンテック、山田洋行、ソフォス
の対応HPアドレスものっています。
やっかいなのは「Patch.exe」が破損した状態で届く場合があり、ウィルス活動を
しない代わりに検知ソフトで検出できないそうです。
(コメント)Patch.exeというのはFboundEウィルスです。自分自身を添付ファイルとして
メール送信させることにより感染を広げていきます。
2002年3月24日
◆私の送信メール◆
**さんへ。田中です。エラーが再発しました。
以下「msconfig」を使って行った調査報告です。
スタート→ファイル名を指定して実行→msconfig→システム設定ユーティリティ
1、
[診断用の起動 - デバイス
ドライバとソフトウェアを一部読み込む]
をクリック
し、[OK] をクリックします。次に、[OK]
をクリックしてコンピュータを再起動します。
2、
コンピュータを再起動すると、起動メニューが表示されます。メニュー項目から
[Step-by-step confirmation] を選択し、Config.sys
ファイルと Autoexec.bat
ファイル以外をすべて処理します。
(コメント)Config.sysと出たら「N」を入力
Autoexec.batと出たら「N」を入力する。
この方法でコンピュータが応答しなくなった場合は、コンピュータを再起動して
もう一度 [Step-by-step confirmation] を選択し、Autoexec.bat
ファイル以外を
すべて処理します。
(コメント)Config.sysと出たら何も入力せずEnter
Autoexec.batと出たら「N」を入力する。
Config.sys
ファイルを処理しないと、正しく起動しないコンピュータもあります。
3.
Windows 98
が起動したら、同じ症状が起きるかどうかを確認してください。
4、
・問題が再現しなかった。---エラー表示無し
5、
[全般] タブの [起動オプションを選択する]
をクリックし、選択できる起動オプショ
ンを表示します。
6、
選択できる最初のオプションから順に、一度に 1
つのチェック ボックスをオンに
し、画面に表示される指示に従って再起動します。
この操作を、問題が再現するまで繰り返します。
問題が再現したら、[起動オプションを選択する]
で選択したファイルに対応するタ
ブをクリックし、問題を特定します。
7、
問題の原因を判断するには、次のようにします。
7−1、
Config.sys ファイルと Autoexec.bat
ファイルを片方ずつ有効にし、リアル モード
構成の問題を特定します。
・Config.sysのみで再現せず---エラー表示無し
・Autoexec.batのみで再現せず---エラー無し
7−2、
System.ini ファイルと Win.ini
ファイルを片方ずつ有効にし、Windows 98 の構成
ファイルに問題があるかどうかを判断します。
・Config.sys、Autoexec.bat、System.iniにチェックをつけて再起動
---再現せず、エラー表示無し
・Config.sys、Autoexec.bat、System.ini、Win.iniにチェックをつけて再起動
---再現せず、エラー表示無し
8、
スタートアップに問題ありと推定
8−1、
「スタートアップ」のプログラム1つずつチェックをつけて再起動
・Officeスタートアップ---再現せず、エラー表示無し
・Microsoft find fast---再現せず、エラー表示無し
・Task Monitor---再現せず、エラー表示無し
・LoadPowerProfile---再現せず、エラー表示無し
今日はここまでで止めます。おおよその見当がついてきました。疲れた。
**さんへ。田中です。またまた再発しました。偶然です。
◆私の送信メール◆
>
**さんへ。田中です。エラーが再発しました。
以下続編です。
9、
Bookshelf BasicのCDをいれると、
立ち上がりの時に”エラー表示”発生。偶然。
9−1、
msconfigを起動しスタートアップを表示させると、
Winkdlにチェック有りとなっていた。
9−2、
Winkdlのチェックを外し再起動するが”エラー表示”発生
9−3、
msconfigを起動しスタートアップを表示させると、またも
Winkdlにチェック有りとなっていた。
9−4、
スタートアップのチェックを全てはずし再起動
”エラー表示”あり。
msconfigを起動しスタートアップを表示させると、
Officeスタートアップ
Microsoft find fast
Task Monitor
LoadPowerProfile
Winkdlにチェック有りとなっていた。
9−5、
”診断用の起動”にチェック。適用を押す。
再起動。”エラー表示”有り。
9−6、
msconfigを起動しスタートアップを表示
”診断用の起動”にチェック無し
”起動オプションを選択”にチェック有り
スタートアップのWinkdlにチェック有り
おにょれちょこざいな!!
敵はC:\WINDOWS\SYSTEM\Winkdl.exeと
特定する。
9−7、
スタートアップのWinkdlのチェックをはずす
”診断用の起動”にチェックをいれる
適用ボタン
再起動
やっとエラー表示無し
10、
C:\WINDOWS\SYSTEM\Winkdl.exeを削除
後ひとつ怪しげなファイルを見つけた。
C:\WINDOWS\SYSTEM\Winkwxv.exe
これはしばらくほっとく。
11、
msconfig起動
”起動オプションを選択”にチェック
Config.sysを処理にチェック
Autoexec.batを処理にチェック
System.iniを処理にチェック
Win.iniを処理にチェック
再起動
エラー表示無し
◆私の送信メール◆
**さんへ。田中です。続編の続編です。
12、
ウィルスバスターオンラインスキャンで検索する。
出てきました。
WORM_KLEZ Eに感染したファイルが17個。
先週駆除ソフトを実行したときは出てこなかった。
念の為、再度ダウンロードして実行。
しかしnot
found
13、
また、ウィルスバスターオンラインスキャンを実行。
検出されたファイル17個を削除。
再起動
14、
msconfigを実行
「全般」タブの内容は次の通りだった。
・起動オプションを選択
・config.sysファイルを処理
・autoexec.batファイルを処理
・system.iniファイルを処理
・win.iniファイルを処理
「スタートアップ」タブの内容は、全てチェック無し。
ただし、削除したはずの
C:\WINDOWS\SYSTEM\Winkdl.exeが復活していた。
チェックマークは無し。
おのれ、妖怪変化め!!!
2002年4月2日
あれから、スタートアップのプログラムに1つずつチェックをつけて起動試験を
繰り返しました。昨日Winkdlにチェックをつけて再起動。何の問題も無く
立ち上がりました。念の為オンラインスキャンで検索しました。
ウィルス感染ファイルはありませんでした。
よかった。やっと撃退できた。
今回、感染したものは勝手にメールを送り増殖(感染)していくタイプでは
無いようです。
しかし、
PCがシステムダウンしかねない危険なもののようです。
自己増殖しないわけだから、だれかが意識的に広めている。
あるいは、どこかのHPでプレビュー感染したか?
ワクチンメーカーの報告を待つことにして寝ます。
<私から感染したという連絡は今のところありません。>
<WORM_KLEZ Eに関する解説も確認してください。>
<対応ソフトに引っかからないことから、新種かも?>
(コメント)このページの冒頭にある「ウィルス関連情報6」を参照願います。
2002年4月6日
ウィルスバスターオンラインスキャンで検索する。
何も見つからない。いいみみたい。
6日に暴れるという情報もありますのでやってみました。
オンラインスキャンにひっかからないこともありますが、
まずは安心して寝よう。
2002年4月20日
4/19にウィルスメールが会社にやってきた。招かれざる客が5台の
ノートPCから発見された。最初に1台で発見されてから20分ぐらいで
残り4台にもやってきた。LAN、WANが組んであるので広がるのは早い。
4/20自宅PCにInternetExploler6.0をダウンロードした。
トレンドマイクロではクレズGという新ウィルスを発見し対応したようだ。
解説を読むとWINK**.exeというファイルをつくるようだ。似ている。
4/21オンラインウィルススキャンを実行。not
found。
12ページ