▲このページのトップに戻る| 5824 | ウイルスについてです。 | マサヒロ | 7/3-01:06 |
OS名:WindowsXp パソコン名:APTIVA ソフト名:IE こんばんは。 今日ウイルスメールを拾ったみたいなんです。 ウィルスソフトのお蔭で、感染はしなかったみたいですが・・・ それで、ご相談したいのが、送られてきたメールなんですが・・・ メールのプロパティー、詳細を見たのです。 すると、普通、送信者のアドレスが、詳細の Return-path:<※※※@※※.ne.jp> カッコの部分になると思うのですが、送信者と違うのです。 どうなってるのでしょうか? | |||
| 5828 | Re:ウイルスについてです。 | Discovery | 7/3-01:46 |
| 記事番号5824へのコメント マサヒロさんは No.5824「ウイルスについてです。」で書きました。 >OS名:WindowsXp >パソコン名:APTIVA >ソフト名:IE >こんばんは。 > >今日ウイルスメールを拾ったみたいなんです。 > >ウィルスソフトのお蔭で、感染はしなかったみたいですが・・・ > >それで、ご相談したいのが、送られてきたメールなんですが・・・ > >メールのプロパティー、詳細を見たのです。 > >すると、普通、送信者のアドレスが、詳細の > >Return-path:<※※※@※※.ne.jp> > >カッコの部分になると思うのですが、送信者と違うのです。 > >どうなってるのでしょうか? ウイルスが詐称してるだけ 多分クレズでしょ http://www.ipa.go.jp/security/topics/newvirus/klez.html | |||
| 5830 | Re:ウイルスについてです。 | マサヒロ | 7/3-02:00 |
| 記事番号5828へのコメント >ウイルスが詐称してるだけ >多分クレズでしょ >http://www.ipa.go.jp/security/topics/newvirus/klez.html ありがとうございます。 早速見ましたが、犯人は、Return-path:<※※※@※※.ne.jp> でもないのですか? そこが知りたいのです。よろしくお願いします。 | |||
| 5858 | Re:ウイルスについてです。 | o2ka | 7/3-21:20 |
| 記事番号5830へのコメント >早速見ましたが、犯人は、Return-path:<※※※@※※.ne.jp> >でもないのですか? >そこが知りたいのです。よろしくお願いします。 http://www2.luice.or.jp/~deai/backn/master/mm063.html どの時点で付加されるヘッダなのか詳しい情報は出ていませんが、 これが「最初にメールを中継したサーバ」であれば、送り主に かなり近い距離まで近づく事ができますね。 送り主そのものまではたどり着けませんが、かなり有力な情報には なるかと思います。 | |||
| 5873 | Re:ウイルスについてです。 | マサヒロ | 7/3-23:29 |
| 記事番号5858へのコメント >http://www2.luice.or.jp/~deai/backn/master/mm063.html > >どの時点で付加されるヘッダなのか詳しい情報は出ていませんが、 >これが「最初にメールを中継したサーバ」であれば、送り主に >かなり近い距離まで近づく事ができますね。 > >送り主そのものまではたどり着けませんが、かなり有力な情報には >なるかと思います。 ありがとうございます。 参考になりました。 考えれば、そうですね。犯人ではないにしても、、ウィルスを持ってるんでし ょうね、きっと・・・ メールのウィルスは、メッセージルール、添付ファイル付は 削除、と設定すれば大丈夫なんでしょうか? ウィルスによっては、レジストリをも書き換えるのがあるみたいですが、 リカバリし直せば、レジストリも初期化できるのでしょうか? | |||
| 5878 | Re:ウイルスについてです。 | o2ka | 7/4-00:11 |
| 記事番号5873へのコメント >メールのウィルスは、メッセージルール、添付ファイル付は >削除、と設定すれば大丈夫なんでしょうか? HTMLのプレビューは行わず、JavaScriptやプラグインも実行しない 設定にしていればほとんどのウイルスには感染しませんが、 確実ではないですからね・・・。 ただ、メッセージルールで設定するにしてもどんなルールを付ければ 良いものやら・・・? ↑ウイルスを受信するたびにルールを増やす?? >ウィルスによっては、レジストリをも書き換えるのがあるみたいですが、 >リカバリし直せば、レジストリも初期化できるのでしょうか? リカバリを行えば以前のHDDの内容は消されるので、ウイルスに感染した レジストリも残りません。 ただ、昔はブートセクタに潜伏するウイルスもありましたから、 そのようなウイルスを確実に削除したい場合は「HDDを物理フォーマット」 した方が安心できますね。 | |||
| 5880 | Re:ウイルスについてです。 | kei100 URL | 7/4-00:23 |
| 記事番号5878へのコメント o2kaさんは No.5878「Re:ウイルスについてです。」で書きました。 >ただ、メッセージルールで設定するにしてもどんなルールを付ければ >良いものやら・・・? > ↑ウイルスを受信するたびにルールを増やす?? 添付ファイルつきのメールは「準ウィルスフォルダ」へ移動する、 とか、「サーバーからダウンロードしない」とか? | |||
| 5892 | Re:ウイルスについてです。 | マサヒロ | 7/4-02:34 |
| 記事番号5880へのコメント >>ただ、メッセージルールで設定するにしてもどんなルールを付ければ >>良いものやら・・・? >> ↑ウイルスを受信するたびにルールを増やす?? > >添付ファイルつきのメールは「準ウィルスフォルダ」へ移動する、 >とか、「サーバーからダウンロードしない」とか? 「メッセージに添付ファイルがある場合、サーバから削除する。」 にしました。 すると、いつもより「メッセージ一覧・・・受信中」かな? の時間が長くなりましたが、ウィルスメールは受信しなくなりました。 (もう送ってないのかもしれませんが・・・) | |||
| 5885 | Re:ウイルスについてです。 | マサヒロ | 7/4-00:49 |
| 記事番号5824へのコメント 皆さん、ありがとうございます。 一回、シマンテックのホームページにある駆除の方法で 試します。 だめならリカバリですね。 発症が、6日とか、13日とかまちまちですが、6日だったら まずいので、今からトライします。 ありがとうございました。 | |||
| 5887 | え? | o2ka | 7/4-00:56 |
| 記事番号5885へのコメント >一回、シマンテックのホームページにある駆除の方法で >試します。 > >だめならリカバリですね。 >>ウィルスソフトのお蔭で、感染はしなかったみたいですが・・・ 感染はしていないんですよね? メールを削除するだけで良いのでは? | |||
| 5888 | Re:え? | マサヒロ | 7/4-01:21 |
| 記事番号5887へのコメント ウィルスソフトの、検疫のところに Kernel.exeと、rcQuery.bat というファイルが隔離されているのに気が付きました。 これって、感染しているんですよね? 修復しても、「できません」と出ました。 | |||
| 5889 | Re:え? | Discovery | 7/4-01:47 |
| 記事番号5888へのコメント マサヒロさんは No.5888「Re:え?」で書きました。 >ウィルスソフトの、検疫のところに >Kernel.exeと、rcQuery.bat >というファイルが隔離されているのに気が付きました。 > >これって、感染しているんですよね? >修復しても、「できません」と出ました。 > > 多分、感染してませんよ 常駐しているウイルスソフトが感染前に隔離したはずです 隔離されているそれを削除して、ウイルスソフト上から ウイルス最新パターンで検索していなけりゃ感染はなし | |||
| 5890 | Re:え? | マサヒロ | 7/4-02:18 |
| 記事番号5889へのコメント >隔離されているそれを削除して、ウイルスソフト上から >ウイルス最新パターンで検索していなけりゃ感染はなし このファイルを削除してもいいのですか? と聞く前に、昨日教えて頂いた中で、駆除ツールがありましたので、 今実行してまいりました。 ファイルが消えましたが影響はないのでしょうか? 隔離されたファイルは、どんな役割をしていたファイルなんでしょうか? | |||
| 5891 | Re:え? | マサヒロ | 7/4-02:27 |
| 記事番号5889へのコメント >>Kernel.exe これは検索で出てきました。 ウィルスメールを受信する2日前に、 なぜか更新されていました。 rcQuery.bat これは出てきませんでした。 ?? | |||
| 5924 | Re:え? | o2ka | 7/4-21:37 |
| 記事番号5891へのコメント >>>Kernel.exe Windowsの本体のうちの一つですね。 隔離されていた「Kernel.exe」は、偽物でしょう。 >rcQuery.bat バックドアを仕掛けるのに使用されるバッチなんじゃないでしょうか? 名前からして「リモートコントロール・クエリー」の略かと思います。 PCのファイルをデータベース化して、遠隔でダウンロード/書き換えを 行えるようにしたかったのでしょうね、多分。 作者ではないので、「多分」としか言えませんが・・・。 | |||
| 5941 | Re:え? | Discovery | 7/4-23:27 |
| 記事番号5924へのコメント o2kaさんは No.5924「Re:え?」で書きました。 >>>>Kernel.exe > >Windowsの本体のうちの一つですね。 >隔離されていた「Kernel.exe」は、偽物でしょう。 > >>rcQuery.bat > >バックドアを仕掛けるのに使用されるバッチなんじゃないでしょうか? >名前からして「リモートコントロール・クエリー」の略かと思います。 >PCのファイルをデータベース化して、遠隔でダウンロード/書き換えを >行えるようにしたかったのでしょうね、多分。 >作者ではないので、「多分」としか言えませんが・・・。 これはクレズそのものですよ rcQuery.bat.wav | |||
| 5945 | Re:間違った | Discovery | 7/4-23:41 |
| 記事番号5941へのコメント そのバッチは あるサイトのリンクが含まれていて そのサイトにクレズの入っていると思われる Wavファイルが置かれていますな | |||
| 5950 | Re:間違った | マサヒロ | 7/4-23:53 |
| 記事番号5945へのコメント 怖いですね。 今日も3通送られてきましたが、プロバイダーのウイルスチェック 申し込みました。バッチリです。 ネットショップしてるし、アドレス変えれないですから・・・ ノートンいらないかな・・・ ちなみに、このウィルスで、メールパスワードや、接続IDとかは 知られていないでしょうね? 全部心配になってきました。 後は念のため、完全にリカバリした方が良いですね。 気持ち悪いし。 | |||
| 5951 | Re:間違った | o2ka | 7/5-00:14 |
| 記事番号5950へのコメント >ノートンいらないかな・・・ メール以外の経路(WEBページ、CD-ROM)からウイルスが侵入する事もあるので、 ウイルス対策ソフトは必須ですね。 >ちなみに、このウィルスで、メールパスワードや、接続IDとかは >知られていないでしょうね? 感染を未然に防げていれば、大丈夫です。 感染は防げているように見えるので、多分大丈夫でしょう。 >後は念のため、完全にリカバリした方が良いですね。 >気持ち悪いし。 レジストリがキレイになって、PCも早くなるし・・・。 機会があるときにリカバリする事には賛成(ウイルス云々抜きで)。 | |||
| 5957 | Re:間違った | Discovery | 7/5-00:50 |
| 記事番号5951へのコメント o2kaさんは No.5951「Re:間違った」で書きました。 >>ノートンいらないかな・・・ プロバイダのは更新頻度が問題ですね 通常のソフトでも、完全には防げないのがウイルスです。 単純に考えて、 ウイルスを捕まえないとパターンには載せられませんから どうしても1日なり2日なりの期間はかかりますから まあ、最近は挙動で見ているソフトが多いから大丈夫だと思うけどね でも有ると無いとは大違いです | |||
| 5958 | みなさんありがとうございました。 | マサヒロ | 7/5-01:01 |
| 記事番号5957へのコメント 本当に、毎回ありがとうございます。 色々なことを知ることができて良かったです。 これからもよろしく。 アドバイスする事がなかなかできない・・・ | |||
◇-ウイルスについてです。-マサヒロ(7/3-01:06)No.5824 ┣Re:ウイルスについてです。-Discovery(7/3-01:46)No.5828 ┃┗Re:ウイルスについてです。-マサヒロ(7/3-02:00)No.5830 ┃ ┗Re:ウイルスについてです。-o2ka(7/3-21:20)No.5858 ┃ ┗Re:ウイルスについてです。-マサヒロ(7/3-23:29)No.5873 ┃ ┗Re:ウイルスについてです。-o2ka(7/4-00:11)No.5878 ┃ ┗Re:ウイルスについてです。-kei100(7/4-00:23)No.5880 ┃ ┗Re:ウイルスについてです。-マサヒロ(7/4-02:34)No.5892 ┗Re:ウイルスについてです。-マサヒロ(7/4-00:49)No.5885 ┗え?-o2ka(7/4-00:56)No.5887 ┗Re:え?-マサヒロ(7/4-01:21)No.5888 ┗Re:え?-Discovery(7/4-01:47)No.5889 ┣Re:え?-マサヒロ(7/4-02:18)No.5890 ┗Re:え?-マサヒロ(7/4-02:27)No.5891 ┗Re:え?-o2ka(7/4-21:37)No.5924 ┗Re:え?-Discovery(7/4-23:27)No.5941 ┗Re:間違った-Discovery(7/4-23:41)No.5945 ┗Re:間違った-マサヒロ(7/4-23:53)No.5950 ┗Re:間違った-o2ka(7/5-00:14)No.5951 ┗Re:間違った-Discovery(7/5-00:50)No.5957 ┗みなさんありがとうございました。-マサヒロ(7/5-01:01)No.5958
| 5824 | ウイルスについてです。 | マサヒロ | 7/3-01:06 |
OS名:WindowsXp パソコン名:APTIVA ソフト名:IE こんばんは。 今日ウイルスメールを拾ったみたいなんです。 ウィルスソフトのお蔭で、感染はしなかったみたいですが・・・ それで、ご相談したいのが、送られてきたメールなんですが・・・ メールのプロパティー、詳細を見たのです。 すると、普通、送信者のアドレスが、詳細の Return-path:<※※※@※※.ne.jp> カッコの部分になると思うのですが、送信者と違うのです。 どうなってるのでしょうか? | |||
| 5828 | Re:ウイルスについてです。 | Discovery | 7/3-01:46 |
| 記事番号5824へのコメント マサヒロさんは No.5824「ウイルスについてです。」で書きました。 >OS名:WindowsXp >パソコン名:APTIVA >ソフト名:IE >こんばんは。 > >今日ウイルスメールを拾ったみたいなんです。 > >ウィルスソフトのお蔭で、感染はしなかったみたいですが・・・ > >それで、ご相談したいのが、送られてきたメールなんですが・・・ > >メールのプロパティー、詳細を見たのです。 > >すると、普通、送信者のアドレスが、詳細の > >Return-path:<※※※@※※.ne.jp> > >カッコの部分になると思うのですが、送信者と違うのです。 > >どうなってるのでしょうか? ウイルスが詐称してるだけ 多分クレズでしょ http://www.ipa.go.jp/security/topics/newvirus/klez.html | |||
| 5830 | Re:ウイルスについてです。 | マサヒロ | 7/3-02:00 |
| 記事番号5828へのコメント >ウイルスが詐称してるだけ >多分クレズでしょ >http://www.ipa.go.jp/security/topics/newvirus/klez.html ありがとうございます。 早速見ましたが、犯人は、Return-path:<※※※@※※.ne.jp> でもないのですか? そこが知りたいのです。よろしくお願いします。 | |||
| 5858 | Re:ウイルスについてです。 | o2ka | 7/3-21:20 |
| 記事番号5830へのコメント >早速見ましたが、犯人は、Return-path:<※※※@※※.ne.jp> >でもないのですか? >そこが知りたいのです。よろしくお願いします。 http://www2.luice.or.jp/~deai/backn/master/mm063.html どの時点で付加されるヘッダなのか詳しい情報は出ていませんが、 これが「最初にメールを中継したサーバ」であれば、送り主に かなり近い距離まで近づく事ができますね。 送り主そのものまではたどり着けませんが、かなり有力な情報には なるかと思います。 | |||
| 5873 | Re:ウイルスについてです。 | マサヒロ | 7/3-23:29 |
| 記事番号5858へのコメント >http://www2.luice.or.jp/~deai/backn/master/mm063.html > >どの時点で付加されるヘッダなのか詳しい情報は出ていませんが、 >これが「最初にメールを中継したサーバ」であれば、送り主に >かなり近い距離まで近づく事ができますね。 > >送り主そのものまではたどり着けませんが、かなり有力な情報には >なるかと思います。 ありがとうございます。 参考になりました。 考えれば、そうですね。犯人ではないにしても、、ウィルスを持ってるんでし ょうね、きっと・・・ メールのウィルスは、メッセージルール、添付ファイル付は 削除、と設定すれば大丈夫なんでしょうか? ウィルスによっては、レジストリをも書き換えるのがあるみたいですが、 リカバリし直せば、レジストリも初期化できるのでしょうか? | |||
| 5878 | Re:ウイルスについてです。 | o2ka | 7/4-00:11 |
| 記事番号5873へのコメント >メールのウィルスは、メッセージルール、添付ファイル付は >削除、と設定すれば大丈夫なんでしょうか? HTMLのプレビューは行わず、JavaScriptやプラグインも実行しない 設定にしていればほとんどのウイルスには感染しませんが、 確実ではないですからね・・・。 ただ、メッセージルールで設定するにしてもどんなルールを付ければ 良いものやら・・・? ↑ウイルスを受信するたびにルールを増やす?? >ウィルスによっては、レジストリをも書き換えるのがあるみたいですが、 >リカバリし直せば、レジストリも初期化できるのでしょうか? リカバリを行えば以前のHDDの内容は消されるので、ウイルスに感染した レジストリも残りません。 ただ、昔はブートセクタに潜伏するウイルスもありましたから、 そのようなウイルスを確実に削除したい場合は「HDDを物理フォーマット」 した方が安心できますね。 | |||
| 5880 | Re:ウイルスについてです。 | kei100 URL | 7/4-00:23 |
| 記事番号5878へのコメント o2kaさんは No.5878「Re:ウイルスについてです。」で書きました。 >ただ、メッセージルールで設定するにしてもどんなルールを付ければ >良いものやら・・・? > ↑ウイルスを受信するたびにルールを増やす?? 添付ファイルつきのメールは「準ウィルスフォルダ」へ移動する、 とか、「サーバーからダウンロードしない」とか? | |||
| 5892 | Re:ウイルスについてです。 | マサヒロ | 7/4-02:34 |
| 記事番号5880へのコメント >>ただ、メッセージルールで設定するにしてもどんなルールを付ければ >>良いものやら・・・? >> ↑ウイルスを受信するたびにルールを増やす?? > >添付ファイルつきのメールは「準ウィルスフォルダ」へ移動する、 >とか、「サーバーからダウンロードしない」とか? 「メッセージに添付ファイルがある場合、サーバから削除する。」 にしました。 すると、いつもより「メッセージ一覧・・・受信中」かな? の時間が長くなりましたが、ウィルスメールは受信しなくなりました。 (もう送ってないのかもしれませんが・・・) | |||
| 5885 | Re:ウイルスについてです。 | マサヒロ | 7/4-00:49 |
| 記事番号5824へのコメント 皆さん、ありがとうございます。 一回、シマンテックのホームページにある駆除の方法で 試します。 だめならリカバリですね。 発症が、6日とか、13日とかまちまちですが、6日だったら まずいので、今からトライします。 ありがとうございました。 | |||
| 5887 | え? | o2ka | 7/4-00:56 |
| 記事番号5885へのコメント >一回、シマンテックのホームページにある駆除の方法で >試します。 > >だめならリカバリですね。 >>ウィルスソフトのお蔭で、感染はしなかったみたいですが・・・ 感染はしていないんですよね? メールを削除するだけで良いのでは? | |||
| 5888 | Re:え? | マサヒロ | 7/4-01:21 |
| 記事番号5887へのコメント ウィルスソフトの、検疫のところに Kernel.exeと、rcQuery.bat というファイルが隔離されているのに気が付きました。 これって、感染しているんですよね? 修復しても、「できません」と出ました。 | |||
| 5889 | Re:え? | Discovery | 7/4-01:47 |
| 記事番号5888へのコメント マサヒロさんは No.5888「Re:え?」で書きました。 >ウィルスソフトの、検疫のところに >Kernel.exeと、rcQuery.bat >というファイルが隔離されているのに気が付きました。 > >これって、感染しているんですよね? >修復しても、「できません」と出ました。 > > 多分、感染してませんよ 常駐しているウイルスソフトが感染前に隔離したはずです 隔離されているそれを削除して、ウイルスソフト上から ウイルス最新パターンで検索していなけりゃ感染はなし | |||
| 5890 | Re:え? | マサヒロ | 7/4-02:18 |
| 記事番号5889へのコメント >隔離されているそれを削除して、ウイルスソフト上から >ウイルス最新パターンで検索していなけりゃ感染はなし このファイルを削除してもいいのですか? と聞く前に、昨日教えて頂いた中で、駆除ツールがありましたので、 今実行してまいりました。 ファイルが消えましたが影響はないのでしょうか? 隔離されたファイルは、どんな役割をしていたファイルなんでしょうか? | |||
| 5891 | Re:え? | マサヒロ | 7/4-02:27 |
| 記事番号5889へのコメント >>Kernel.exe これは検索で出てきました。 ウィルスメールを受信する2日前に、 なぜか更新されていました。 rcQuery.bat これは出てきませんでした。 ?? | |||
| 5924 | Re:え? | o2ka | 7/4-21:37 |
| 記事番号5891へのコメント >>>Kernel.exe Windowsの本体のうちの一つですね。 隔離されていた「Kernel.exe」は、偽物でしょう。 >rcQuery.bat バックドアを仕掛けるのに使用されるバッチなんじゃないでしょうか? 名前からして「リモートコントロール・クエリー」の略かと思います。 PCのファイルをデータベース化して、遠隔でダウンロード/書き換えを 行えるようにしたかったのでしょうね、多分。 作者ではないので、「多分」としか言えませんが・・・。 | |||
| 5941 | Re:え? | Discovery | 7/4-23:27 |
| 記事番号5924へのコメント o2kaさんは No.5924「Re:え?」で書きました。 >>>>Kernel.exe > >Windowsの本体のうちの一つですね。 >隔離されていた「Kernel.exe」は、偽物でしょう。 > >>rcQuery.bat > >バックドアを仕掛けるのに使用されるバッチなんじゃないでしょうか? >名前からして「リモートコントロール・クエリー」の略かと思います。 >PCのファイルをデータベース化して、遠隔でダウンロード/書き換えを >行えるようにしたかったのでしょうね、多分。 >作者ではないので、「多分」としか言えませんが・・・。 これはクレズそのものですよ rcQuery.bat.wav | |||
| 5945 | Re:間違った | Discovery | 7/4-23:41 |
| 記事番号5941へのコメント そのバッチは あるサイトのリンクが含まれていて そのサイトにクレズの入っていると思われる Wavファイルが置かれていますな | |||
| 5950 | Re:間違った | マサヒロ | 7/4-23:53 |
| 記事番号5945へのコメント 怖いですね。 今日も3通送られてきましたが、プロバイダーのウイルスチェック 申し込みました。バッチリです。 ネットショップしてるし、アドレス変えれないですから・・・ ノートンいらないかな・・・ ちなみに、このウィルスで、メールパスワードや、接続IDとかは 知られていないでしょうね? 全部心配になってきました。 後は念のため、完全にリカバリした方が良いですね。 気持ち悪いし。 | |||
| 5951 | Re:間違った | o2ka | 7/5-00:14 |
| 記事番号5950へのコメント >ノートンいらないかな・・・ メール以外の経路(WEBページ、CD-ROM)からウイルスが侵入する事もあるので、 ウイルス対策ソフトは必須ですね。 >ちなみに、このウィルスで、メールパスワードや、接続IDとかは >知られていないでしょうね? 感染を未然に防げていれば、大丈夫です。 感染は防げているように見えるので、多分大丈夫でしょう。 >後は念のため、完全にリカバリした方が良いですね。 >気持ち悪いし。 レジストリがキレイになって、PCも早くなるし・・・。 機会があるときにリカバリする事には賛成(ウイルス云々抜きで)。 | |||
| 5957 | Re:間違った | Discovery | 7/5-00:50 |
| 記事番号5951へのコメント o2kaさんは No.5951「Re:間違った」で書きました。 >>ノートンいらないかな・・・ プロバイダのは更新頻度が問題ですね 通常のソフトでも、完全には防げないのがウイルスです。 単純に考えて、 ウイルスを捕まえないとパターンには載せられませんから どうしても1日なり2日なりの期間はかかりますから まあ、最近は挙動で見ているソフトが多いから大丈夫だと思うけどね でも有ると無いとは大違いです | |||
| 5958 | みなさんありがとうございました。 | マサヒロ | 7/5-01:01 |
| 記事番号5957へのコメント 本当に、毎回ありがとうございます。 色々なことを知ることができて良かったです。 これからもよろしく。 アドバイスする事がなかなかできない・・・ | |||