- ベストアンサー
ウイルスバスター2007:ファイアウォールログの「例外設定」とは
WindowsXPホームエディション、ウィルスバスター2007を使用しています。回線はADSL、ルータは使用していません。 先日VB2007のファイアウォール(家庭内ネットワーク1)のセキュリティレベルを中から「高」にして、ファイアウォールログを見てみたところ、このようなログが大量に増えていました。 種類:例外設定 プロトコル:TCP 送信元IP:自分のコンピュータ名 送信元ポート:1027~1117 送信先IP:61.208.××.××(都道府県なし、ネットワーク名AKAMAI)や 207.46.××.××(国名はアメリカ、ホスト名dia.static.qwest.net) ※どのIPも心当たりはありません 送信先ポート:全て80 アプリケーションパス:C:\WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名・説明:Generic Host Process for Win32 Services このログは一体何なのでしょうか…?(自分のパソコンが他のパソコンにアクセスしている???)同時刻に何十個もあったのでびっくりしました。 もう一つあるのですが、同じく種類は「例外設定」で プロトコル:UDP 送信元IP:192.168.1.2 送信先IP:192.168.1.255 送信元、送信先ポート:どちらも137 アプリケーションパス:SYSTEM 説明:システムプログラム というものも見つけたのですが、これはポート137が攻撃を受けたということでしょうか…?一応シマンテック等でポートの開閉を調べましたが、全てCLOSEDかステルスでした。ウィルス・スパイウェアもありません。 種類が「ファイアウォール」となっていればブロックされているのはわかるのですが、どれも「例外設定」になっていたのでブロックされていないのでは?と心配です。安全なものならよいのですが…。 このようなことには素人で戸惑っています;;よろしくお願いいたします。
- ウィルス・マルウェア
- 回答数3
- ありがとう数4
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
> 回線はADSL、ルータは使用していません。 > プロトコル:UDP 送信元IP:192.168.1.2 送信先IP:192.168.1.255 送信元、送信先ポート:どちらも137 アプリケーションパス:SYSTEM 説明:システムプログラム まず、ADSL回線のキャリアとモデムをはっきりさせましょう。 上記を見る限りmagemage77はルータ内蔵モデムをお使いで、 ルータのLAN側IPアドレスが192.168.0.1、magemage77さんのPCは192.168.0.2となっているようにみえます。 それともフレッツADSLでフレッツ接続ツールかXPのPPPoE接続をご利用ですか? ウイルスバスター2007のファイアウォールログはブロックしたものだけを記録します。 例外設定とあるのはパーソナルファイアウォールのプロファイルの設定 例外ルールで拒否設定になっているのでブロックしましたという意味です。 > アプリケーションパス:C:\WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名・説明:Generic Host Process for Win32 Services 接続先を確認していませんが、svchost.exe(Generic Host Process for Win32 Services)は Windows Updateなどの自動更新/時刻同期/DNSなどで使いますので外部への接続を許可する必要があります。 ポップアップがでて拒否設定にしてしまったのでしたら、許可にしてあげてください。 svchost.exeの接続先を指定して許可することも出来ますがかなり大変です。 参考ページ http://d.hatena.ne.jp/palm84/20050519/1116440581
その他の回答 (2)
> 「例外ルール」で「Generic Host Process for Win32 Services」 > の項目にチェックが入っていたのでそれを外せば良いのでしょうか? 「Generic Host Process for Win32 Services」を選択して「編集」ボタン 「送信」で拒否になっている項目を選択してさらに「編集」ボタン アクセス処理が拒否になっていますので許可のラジオボタンにして「OK」 あとは開いている画面を全て「OK」で閉じてください。 モデムの件ですが、調べていただいて、もしルータ機能をお使いであれば、 > プロトコル:UDP 送信元IP:192.168.1.2 送信先IP:192.168.1.255 > 送信元、送信先ポート:どちらも137 アプリケーションパス:SYSTEM > 説明:システムプログラム こちらも許可にしてしまってかまいません。(LAN内でUDP137をブロードキャストするだけ) しかし1台のPCでお使いでしたら、ルータ機能をお使いでも拒否のままにしておいてください。 (LAN内の名前解決は必要ないので)
お礼
お礼が遅くなり申し訳ありません;; 「Generic Host Process for Win32 Services」につきましては 無事に解決することが出来ました。 > プロトコル:UDP 送信元IP:192.168.1.2 送信先IP:192.168.1.255 > 送信元、送信先ポート:どちらも137 アプリケーションパス:SYSTEM > 説明:システムプログラム はパソコンが1台なので念のため拒否にしておきます^^; わかり易い解説・アドバイスをありがとうございました!
- yoshi-thk
- ベストアンサー率38% (2059/5283)
いままで、ADSLを使っていて、気が付かなかったのでしょうが、それだけ外部からいろいろとアクセスされています。 他のパソコンでも、同様に多数のアクセスはあります。 ですから、アクセスログを少なくするのであれば、ルータを使うことです。 ファイアウォールは、あくまでもパソコンソフトがガードしているのですから、 場合によっては不正侵入されている可能性もあります。 ですが、ルータを使うことで、ゲートが追加されて、それで不正にアクセスするのを初めに防止して、 パソコンにあるファイアウォールで、防護する方が安全です。 次のサイトに書かれていることを読んで、ルータの役割を理解して、ルータを導入してください。 インターネットへの入り口 ルーターを使う(自宅サーバ) http://megamix.ddo.jp/net_router.html
お礼
やはりファイアウォールだけでなく ルータも取り付けたほうがより安心できるみたいですね。 導入を検討してみたいと思います。 ご回答ありがとうございました。
関連するQ&A
- ファイアウォールログについて
東芝のWindowsXPノートを使用しています。 ネット回線はCATV、バッファローのルータ、ウイルスバスター2006を使用しています。Windowsファイアウォールは無効にしています。 ウイルスバスターのファイアウォールログを見ると、パソコンを起動してから2分間に17~25個ぐらい必ずログが書き込まれています。 プロトコル: PTC 送信元IPアドレス: ルータのIPアドレス 送信元ポート: バラバラ 送信先IPアドレス: パソコンのIPアドレス 送信先ポート: 2種類 アプリケーションパス: C:\WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名: Generic Host Process for Win32 Services 説明: セキュリティレベル設定によるブロック また、今まではパソコン起動のたびに上のログが書き込まれ、それ以外のログは書き込まれなかったのですが、今日はじめて上以外のログが書き込まれました。しかも同じログが朝・夕の2回です。 プロトコル: ICMP 送信元IPアドレス: 210.224.***.** 送信元ポート: N/A 送信先IPアドレス: パソコンのIPアドレス 送信先ポート: N/A アプリケーションパス: --- アプリケーション名: --- 説明: Destination Unreachable それぞれ、何なのでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- ウイルスバスター2004ファイアウォールログについて
初心者の質問にどうかお答えください。 環境 OS:Win2000PRO 回線:フレッツADSL 以前、WORM_NACHI.BとWORM_AGOBOT.KJに感染した経緯があり対策ソフトを購入しました。現在はウイルス検索をしても何も検出されないので安心しているのですが、パーソナルファイアウォールのログみると、数秒間隔で送信元IPアドレスが自分になっているものが多数あります。ファイアウォールの設定はホームネットワーク1です。 種類:ネットワークウイルス 受信/送信:N/A プロトコル:TCP 送信元IPアドレス:自機アドレス 送信元ポート:1490などランダム(ほとんど違う) 送信先IPアドレス:ランダム 送信先ポート:135 説明:RPC_DCOM_BUFFER_OVERFROW (1)通常このようなログがあるものでしょうか? (2)ログに記録されるものはブロックされているものと認識していますが、自分が送信しているものをブロックしているのであれば、なにか潜んでいると疑うべきでしょうか? どうかご教授お願いいたします。
- 締切済み
- ウィルス・マルウェア
- ウィルスバスター2004のファイヤーウォールログについて
ウィルスバスター2004を使っておりPCからハブを介し、 光ファイバーで常時ネットに繋いでおりました。 昨日BUFFALO(旧メルコ製)のBBR-4HGというルータを購入したので ハブからそのルーターに付け替えました。 それからなのですが、ウィルスバスター2004のパーソナル ファイヤーウォールのログに"種類:ファイアウォール"、 "受信/送信:受信"、"プロトコル:IGMP"、 "送信元IPアドレス:(これは伏せておきます)"、 "送信元ポート:N/A"、"送信先IPアドレス:224.0.0.1"、 "送信先ポート:N/A"、"説明":セキュリティレベル設定に よるブロック"というログが数秒おきに記録されるようになりました。 このログはルーターの設置によるものだと言うことまで何となくわかってきました。 安全なものとは思うのですが、ウィルスバスターのログに沢山残るのがうっとうしいので ログに残らないようにしたいのです。 回避の方法を識者の皆様どうかご教示くださいませ。
- ベストアンサー
- ネットワーク
- 【バスター2006・例外ルール】「システムプログラム」はアクセス拒否にすべきでしょうか。
WinXP Home SP2、IE6 SP2、ウィルスバスター2006を使用しています。 株式会社コレガの有線ブロードバンドルータ「CG-BARFX2」使用のため、バスターのファイアウォールのプロファイルは、「家庭内ネットワーク2」で、セキュリティレベルは「高」にしています。プロキシは未使用です。 ネットを使用中、以下のプログラムのアクセスが表示されました。 説明:システムプログラム 対象:システムプログラム 方向:送信 プロトコル:UDP ポート・指定のポート:137 IP設定・種類:すべてのIPアドレス いったんはアクセスを許可にしたのですが、 バスター2006の例外ルールにある「NetBIOS」とポートが同じ137のため、不安なのですぐにアクセス処理を拒否にしました。(「NetBIOS」の項目は全て、有効のチェックを外しています。) しかし、「システムプログラム」という名前からして、重要なプログラムで、アクセスを許可しないと問題があるのではないか、と気になっています。 パーソナルファイアウォールログには、 送信元ポート・送信先ポートともに137で、 アプリケーションパス:SYSTEM アプリケーション名:--- 説明:システムプログラム と、時々記録されています。 このプログラムはアクセス拒否にすべきでしょうか、それとも許可にすべきなのでしょうか。許可にした場合、セキュリティ上の問題などは無いのでしょうか。 アドバイスいただけましたら幸いです。よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ウイルスバスターのファイアウォール
ウイルスバスター2007のファイアウォールログで 毎日大量のログが残っています 一番左のマークが「ファイアウォール」と「例外設定」に 分けられてるのですが、これの違いって何なんですか? 同じポートなのに、セキュリティレベル設定によるブロックと システムプログラムに分けられています。 例外設定になっているのは全部ブロックされてないってこと?
- ベストアンサー
- ウィルス・マルウェア
- バスター2006・例外ルールの「汎用ホストプロセス (Svchost)」とはなんでしょうか。
WinXP Home SP2、IE6SP2、ウィルスバスター2006を使用しています。 有線ブロードバンドルータを使用しているので、バスター2006のパーソナルファイアーウォールのプロファイルの設定は「家庭内ネットワーク2」にしています。セキュリティレベルは「中」です。 バスター2006ファイアーウォールの例外ルールの中に、 「汎用ホストプロセス (Svchost)」という項目があり、 アプリケーション名・Generic Host Process for Win32 Services 指定のアプリケーション・C:\WINDOWS\system32\svchost.exe プロトコル・TCP/UDP ポート/種類・ すべて となっています。(バスター2005の時はこの項目はなかったと思います。) 初期設定では送信の許可が有効にされているのですが、この「汎用ホストプロセス (Svchost)」とはなんでしょうか。 この初期設定のまま送信許可で大丈夫なのでしょうか。 また、バスターのファイアウォールのログを見ると、このアプリケーションが非常にたくさん記録されていて、「セキュリティレベル設定によるブロック」と説明が出ています。 よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ウィルスバスター2008のファイヤーウォールのログについて
ウィルスバスター2008を使用しています。 先日ファイヤーウォールのログを見てみたら、大量のログが残っていました。そのほとんどが プロトコル:ICMPv6 送信元IP:fe80::~と続くIP 送信元ポート:N/A 送信先IP:ff02::~と続くIP 送信先ポート:N/A 説明:Version 2 Multicast Listener Report と記録されており、それがPCを立ち上げたときから2~3秒くらいの間隔で記録され続けています。 他にもこれは数分おきに プロトコル:ICMPv6 送信元IP:fe80::~と続くが、上のものとは違うIP 送信元ポート:N/A 送信先IP:ff02::~と続くが、上のものとは違うIP 送信先ポート:N/A 説明:Router Advertisement というように記録続けています。 また、外部からの攻撃かどうかはわからないのですが、 プロトコル:ICMP 送信元IP:XXX.~ XXXのところは同じで、以下の数値は同じや異なっている 送信元ポート:N/A 送信先IP:自分のPCのローカルIP 送信先ポート:N/A 説明:Redirect このようなログが1秒置き、または1秒間に30個くらい記録されてました。それもIPが若干違うけど、最初のXXXのところの数字はほぼ似ていて、毎日きます。 モデムはNTTのPR200NEを使用していて、無線LANのアクセスポイントにバッファローのルータ:WHR-G54Sを使用していて、ルーターをブリッジモードにして使用しています。 シマンティックのセキュリティチェックでも、ほぼステルスで大丈夫でした。 そして質問なのですが、 1)それぞれのログの説明の意味を教えてください 2)上に記入した2つのログは何故記録されているのでしょうか(毎日すごい量なので、そして今まで気付いていなかったので不気味です 3)上に記入した3つ目のログは攻撃と考えてよいのでしょうか?(送信先が自分のローカルIPだったのですごく不安です 4)これらのログをなるべく記録させないようにすることはできるのでしょうか? 長々と記入してしまってすみませんでした。ご回答よろしくお願いします。
- 締切済み
- ウィルス・マルウェア
- バスターのファイヤーウォールログについて
PC起動してバスターのログを見ると、沢山ブロックしてるんですけど、IGMP 送信元IP 0.0.0.0 送信元ポート N/A 送信先IP 239.255.255.250 が、沢山でます。大丈夫なんでしょうか?よろしくお願いします。
- 締切済み
- ウィルス・マルウェア
- ファイアウォールのログについて
いつも自分のパソコンと思われるログしか無いのに ある日、ウィルスバスターのファイアウォールログにこんなものが残っていました。 プロトコル TCP 送信元IP 60.34.104.30 220.109.73.19 など 送信元ポート 4650 3405 2633 など 送信先IP 60.34.98.10 送信先ポート 135 445 15118 送信元IPと送信元ポートは1秒ごとに変わっていて、 送信先ポート135と445(135が8割)にPCの電源を切るまでの一時間、えんえんとログがありました。 *135ってまずくないですか? *ログの説明には「ブロック」となっていますが、もしも ブロックできなかった場合、どのようなログが残るのでしょうか? *[PC]ー[FW]ー[ルータ]ーインターネット としているのですが、ルータでは防げなかった、という事なのでしょうか・・・? よろしくお願いいたします。
- ベストアンサー
- その他(インターネット接続・通信)
- ウイルスバスター2009のファイアウォール(質問)
ウイルスバスター2009の体験版を使用してます。 ファイアウォールで教えて欲しいのですが。 ファイアウォール>設定>詳細設定>例外ルール(プロトコル)の設定ですが、 メインのネットワークアダプタに複数のIPアドレスを割り当てた場合、 メインのIPアドレスには反映されるのですが、追加したIPアドレスには無意味になっているようなのです。 たとえば、1つのアダプタに、メインで、192.168.1.3を当てて、追加で192.168.5.30を割り当てます。 例外ルール(プロトコル)の設定で192.168.1.0 MASK 255.255.25.0(拒否) とすると、192.168.1.5からのアクセスは確かに拒否できます。 しかし、192.168.5.0 MASK 255.255.25.0(拒否)としても、別のパソコン(192.168.5.10)からはどのポートの通信も素通りしてしまします。ファイアウォールが全くきかない状態です。 これは、ウイルスバスターの仕様でどうにもならないことなのでしょうか?それとも、私の設定が何かだめなんでしょうか? お教えいただければ幸いです。
- 締切済み
- スパイウェア
お礼
モデムを調べたところ「ADSLモデム-MNV」となっていました。 検索してみたのですがどうやらルータ内蔵型のようですね(知りませんでした…;;) ADSLはフレッツADSLですが、 >フレッツ接続ツールかXPのPPPoE接続 これにつきましては、知識が疎いせいで分からない(申し訳ありません;;)ので勉強して調べてみたいと思います。 >ファイアウォールログはブロックしたものだけを記録 安心しました^^ >svchost.exe(Generic Host Process for Win32 Services) セキュリティレベルを「高」にした時、ポップアップがいろいろ出てきたので おそらく拒否にしてしまったのだと思います…。ファイアウォールの 「例外ルール」で「Generic Host Process for Win32 Services 」の項目にチェックが入っていたのでそれを外せば良いのでしょうか? ご回答をありがとうございました。