- ベストアンサー
権限がないアクセスを停止しました
はじめまして。 類似の質問が過去ログにありましたが、私の状況とは少し違うようですので質問させていただきます。よろしくお願いいたします。 PCの状況 WindowsXP SP2 ルーター使用。もう一台(XP)ともつないでいます。 Windowsファイアウォール使用。 Norton AntiVirus2005使用。 12月の頭ごろに、WinFixer(?)からウィルス(確かワームだったと思います・・)とスパイウェアに感染。 Norton AntiVirus2005 Spybot-Search & Destroy Ad-Aware SE Personal HijackThis といったソフト等を使い駆除。 と言うことがありました。 最近気付いたのですが、Norton AntiVirus2005の警告ログにPC起動時(再起動も含む)必ず90近く『SymProtect イベント詳細: 日時: 2006/01/11 19:08:52 処理者: C:\WINDOWS\system32\rundll32.exe (PID=***) 対象: C:\Program Files\Common Files\Symantec Shared\ccApp.exe 処理: 権限がないアクセス 対応: 権限がないアクセスを停止しました h ttp://www.symantec.co.jp』 というログが出ます。 気になってsymantecセキュリティチェックをかけたところ [ICMPpingが開いているため、ハッカーの攻撃対象になりうる] という結果が出ました。 PCを終了させる前には毎回必ず Spybot-Search & Destroy Ad-Aware SE Personal を実行し、(アップデートは欠かしておりません) スパイウェアの報告はあがりません。 これは、このPCが何処からか攻撃を受けていると言うことなのでしょうか? それとも、PCに何らかの問題があるのでしょうか。 ポートが開いているとの結果も、そういった操作をした覚えがなく、ポートを閉じた方が良いのでしょうか。 家庭内有線LANですが、影響はないのでしょうか。 ちなみに、もう一台のPCの方はいまのところ警告ログに何も出ません。 どなたか教えていただけませんでしょうか。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
権限のないアクセスはいつでも記録されています。 問題は、八番ポートICMPを遮断していなかったものが今どうなったかです。 windowsファイアーウォールの使い方は知りません。 ノートンのファイアーウォールを入れたらたぶん遮断すると思います。 侵入は、どのポートでもできますのでそのままwindowsファイアーウォールを使うのであれば、それをどうにか使いこなす必要があるようです。 フリーのゾーンアラームを入れる方法もあります。 これぐらいのアドバイスしかできません。 もう一度言いますが、侵入はどのポートでも可能です。 二分ほどあれば、複数のバックドアを仕掛け、侵入の痕跡を消去するようです。
その他の回答 (3)
- hoihence
- ベストアンサー率20% (438/2093)
こんにちは。 海外の情報を漁ってたら以下のような記述を見つけたよ。 「SymProtect is an improved component that will help to protect Symantec products (including Norton AntiVirus) against malicious programs, which are designed to attack security software and create security vulnerabilities within the system」 これは要は、MalwareによるProcess TerminationないしはThread Terminationなどに対する保護機能のことを言ってると思う。 なので、何らかのMalware感染もあり得ると思う。 「iceSword」や「Autoruns」などでも使ってみたら。 symantecユーザーではないので、上記のことがICMPに関係してるかどうか知らないけど、ルータの設定画面にICMPの項目ないかな? http://www.atmarkit.co.jp/fnetwork/netcom/netcom01/netcom01.html
お礼
回答ありがとうございます ルーターの設定画面を見てもICMPの項目はありませんでした。 PCのクリーンインストールをしてみましたが、「権限がないアクセスを停止しました」ログが相変わらずでます。 何かのソフトが干渉してるんでしょうかね。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
まず…お使いのNortonはAntiVirusのみ、ファイアウォールはWindows純正なので、PCの内から外への通信の制御は現状では出来ないと思います。 断定はしませんが… >処理者: C:\WINDOWS\system32\rundll32.exe (PID=***) >対象: C:\Program Files\Common Files\Symantec Shared\ccApp.exe 悪意のあるプログラムがrundll32.exeを利用してNorton AntiVirusの心臓部であるccApp.exeを止めようとしてるっぱいです。 たぶんまだ何かPCに残っているんでしょう。 HijackThisまで使って完全に対処出来ないのだから、かなり難しいとは思います。出来ることならリカバリ推奨です。 何とか対処したいとお考えなら、取り合えず次のように。 1)HijackThisのログに現れるものの中に、まだ怪しいものがないか再検証を。分からないものはWeb検索などで徹底的に調べる。 2)既にお使いになった対策ソフトの守備範囲外もカバー出来そうなツールを使ってみる。例えば、 http://eazyfox.homelinux.org/SecuTool/ewido/ewido01.html とか http://eazyfox.homelinux.org/SecuTool/a-squared/a-squared01.html なんかを。 3)rootkitを疑ってみる。rootkitについての簡単な説明は http://e-words.jp/w/rootkit.html Windows上からは発見しにくい場合が殆どなので、対処には専用のツールを使う。具体的な方法としては http://www.higaitaisaku.com/fswiki/wiki.cgi?page=F%2DSecure+BlackLight+%A4%CB%A4%E8%A4%EB%A5%B9%A5%C6%A5%EB%A5%B9%B7%CF%A5%DE%A5%EB%A5%A6%A5%A8%A5%A2%A4%CE%B6%EE%BD%FC とか http://www.higaitaisaku.com/fswiki/wiki.cgi?page=Rootkit+Revealer+%A4%F2%BB%C8%A4%C3%A4%BF+HackerDefender+%A4%CE%B6%EE%BD%FC%BA%EE%B6%C8%CE%E3 とかを参照のこと。 ただし…これらのツールで発見出来ないrootkitも存在するようなので、念のため。 http://www.higaitaisaku.com/fswiki/wiki.cgi?page=Silent+Runners+%A4%CE%A5%ED%A5%B0%A4%CE%BA%EE%C0%AE%CA%FD%CB%A1 とかも役立ちそうな気はするけど、正直よく分からないです。
お礼
回答ありがとうございます 「ファイアウォールはWindows純正なので、PCの内から外への通信の制御は現状では出来ない」 出来ませんでした。 とりあえず、PCのクリーンインストールをしてみました。 ソフトはあまり入れ込んでないし、ネットもアップデートくらいしか繋げてないじょうたいですが、相変わらずログが出ます。 不思議です・・・・。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
ノートン2005を使っていますが、ICMPは標準で遮断する設定です。 権限がないアクセスはこっちでもありますが、スパイウェア対策ソフトに対しての処理とノートンに対してのスパイウェア対策ソフトの処理とが記録されていますが、rundllはどうだったかいまひとつわかりません。 ノートンを起動して、ファイアーウォールの一般ルールで、ICMPのルールを確認してはどうでしょう。 重要なことですが、マイクロのアップデートを完了。 ノートンを起動して、侵入検知シグネイチャがすべてあるかチェック。 ファイアーウォールログをチェック。
お礼
回答ありがとうございます。 私のソフトはアンチウィルスのみですので、ファイヤーウォールは純正のものです。純正のほうでの操作はできませんでした。 侵入検知シグネイチャですが、 インターネットワーム防止は有効になっています。 インターネットワーム防止が 3 個のシグネチャを監視しています。 インターネットワーム防止が 3 個のシグネチャを監視しています。 インターネットワーム防止が 3 個のシグネチャを監視しています。 インターネットワーム防止は有効になっています。 というログがあるだけです。 これはたぶんこれで良い状態だと思えるんですが、どうなんでしょうね・・。 PCをクリーンインストールしたのですが、相変わらずです。 Rundll32.exeではなくなりましたが・・。
お礼
フリーのZoneAlarmを入れてみたところ、権限のないアクセスログが激減しました。 今ログにあがっているのはZoneAlarmからの干渉だけになりました。 セキュリティチェックでは相対的に安全な状態ではあります。 解決できたのかは、実際よくわかりませんが、安心はできました。 引き続きICMPを遮断する方法を調べていこうと思います。 ともあれ、FMVNB50GJさんのおかげで安心することができました。 ありがとうございます。 ※詳しい経過ですが。 私が踏んだ地雷は、どうやらWin Fixer2005だったらしいです。 クリーンインストールをする前のログに残っていました。 最初に処理した頃はSpybot-Search & DestroyやAd-Aware SE Personal だとまだWin Fixer2005としての処理ができなかったみたいで、 中に含まれていた各.exeだけを検出するという状態でしたので、個別に消去するという方法をとりました。 しかし何かが残っていたようで権限のないアクセスログの数量がかなり増えてしまったみたいです。 Win Fixer2005を再インストールしてコンパネからアンインストールをし、さらにSpybot-Search & DestroyやAd-Aware SE Personalにて残ったものを削除するという手段があるという風に対策サイトに載っていましたので、その手段をやってみました。万全を期そうとHijackThisもしたのですが、でFixに失敗したらしく、変な動作をするようになっってしまいました。しかも、それでも権限のないアクセスログの量は相変わらずといった始末でしたので、クリーンインストールをやりました。 ご意見くださいましたhoihenceさん、ryu-fizさん、申し訳ありませんでした。試すことができませんでした。ご意見ありがとうございました。