• 締切済み

PC起動時にNortonISで高危険度(トロイの木馬)がでます

Norton Internet securityインストールしてから、起動のたびに、タスクトレイのアイコンに『!』マークがでて、下記の内容のメッセージがでます。 セキュリティ警告  高危険度 netspyトロイの木馬を使ってローカルコンピュータに接続しようとする試みを遮断しました。 プログラム C:\WINDOWSお\Explorer.EXE プロトコル TCP(インバウンド) リモートアドレス 127.0.0.1 3007 ローカルアドレス 全てのローカルネットワークアダプタ 1024 以上ですが、以前からNortonAntivirusを使用し、スキャンなどを行っていましたので、virusの可能性はないと思います。また、アドウエアなどを使ってスパイソフトのチェックなども行っています。 ですから、このようなメッセージがでるとは考えづらいのですが、何か問題があるのでしょうか? NortonISをご使用の方で詳しい方がいらっしゃれば、アドバイスをお願いしたいと思っております。 PC VAIO  OS WIN XP HOME 現在ダイヤルアップ。1月初めにADSLに変更予定

みんなの回答

  • ShaneOMac
  • ベストアンサー率39% (356/898)
回答No.3

>どうやって確認を取るのでしょうか? ログの見方についてまでは説明できません。NISのヘルプを読んで下さい。 >regeditでレジストリを見ましたが、なにが追加されたのか?不要の項目はなになのかが、私では分かりません。 それはシステムによって違いますから、自分で入れたものが項目に挙がっているなら良いということです。分からないものが入っていれば、それについて個別に検索してみてください。パスが入っていればそのもの本体の位置がエクスプローラでたどれるでしょうし、パスなしの実行名だけならそれをgoogleででも検索すればヒットするでしょう。

angels2
質問者

お礼

有り難うございました。 自分なりに頑張ってみます。

  • ShaneOMac
  • ベストアンサー率39% (356/898)
回答No.2

リモートがループバックアダプタ(一種の仮想アダプタ)なので、アプリケーション内部の通信として動作しているのだと思いますから、それ自体は危険な動作ではないでしょう。NPFでブロックがかかるのならば、外部からの通信も受けないでしょうから何ら問題ないとは思います。 プログラムパスが出ていますから、そのExplorer.EXEにNAVでスキャンをかけてみてください。 Explorer.EXEが起動時にループバックで通信を行うようになっている状態というのが私にはよく分かりませんが、何らかの機能としてエクスプローラが使用される際にそういった内部通信が行われることもあるかもしれません。NPFのトロイの木馬警告は静的ポートフィルタに基づいていますから、たとえ正常な通信であったとしても、たまたま特定のトロイの木馬のデフォルトポートが使用されると警告が出るようになっています。パケットの宛先ポート情報だけしか検査していませんから誤報が多いのです。 なぜエクスプローラが内部通信を行っているのかが分かりませんし、それについて調べてみる価値はあるかと思いますが、警告内容自体はあまり当てにならないと思った方が良いでしょう。とりあえずNPFのイベントログで起動後になにもしていないうちに不審な外部通信が行われていないかは確認してみてください。 netspyについてですが、これはBackOrificeという有名ではありますが、ほとんど出回っていないちょっと古いRATの別名です。9x向けのRATですから、winXP上では動作しないはずです。同種のソフトについても、レジストリのスタートアップ項目に何らかの追加がなされていないか調べれば分かるでしょう。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

angels2
質問者

補足

明けましておめでとうございます。 ご回答有り難うございます。 >プログラムパスが出ていますから、そのExplorer.EXEにNAVでスキャンをかけてみてください。 感染はありませんでした。 >NPFのイベントログで起動後になにもしていないうちに不審な外部通信が行われていないかは確認してみてください。 どうやって確認を取るのでしょうか? regeditでレジストリを見ましたが、なにが追加されたのか?不要の項目はなになのかが、私では分かりません。どこを見たら分かるのでしょうか? ShaneOMacさんはそちらの専門の方と思われますが、何か良いHPか文献などご推薦頂ければ、自分でも調べてみようと思います。 宜しくお願い致します。

noname#5588
noname#5588
回答No.1

NISの警告通りだと思われます。 トロイの木馬型悪質プログラムが気がつかない間にインストールされていると思われます。 何のウィルス(厳密にいうとウィルスではないものもある)か特定できていないのでわかりませんが、netspyというのはユーザーがマシンにログオンするたびに、ウイルスが実行され、不正侵入を図るハッカーは、ユーザーにそれと知らずに勝手にコントロールすることができるようになるものが何種類かあるようです。 この警告が出てからスキャンは実行しましたか?当然ウィルス定義ファイルが最新である必要があります。またはオンラインスキャンなどを行えば答えは出ると思われます。ノートンはトロイなどを見つけにくい(ノートンで見つかってトレドマイクロで見つからない、また逆もあり)などということも聞きますのでトレドマイクロのオンラインスキャンも行えば確実だと思います。まずはスキャンを実行しその結果によると思います。

参考URL:
http://www.trendmicro.co.jp/hcall/index.asp
angels2
質問者

お礼

明けましておめでとうございます。 ご回答後すぐにスキャンしましたが、なにもでてきませんでした。 定義ファイルは最新です。 2社のオンラインスキャンをかけてみたんですが…。 まずは、ご回答に感謝致します。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • トロイの木馬

    セキュリティソフトより「Sokets de Trois v1.トロイの木馬を使ってローカルコンピュータに接続しようとする試みをショ断しました。」が出ましたが、 トロイの木馬は何らかのバックドアを仕掛けられた場合 このようなメッセージが出ると考えていいでしょうか? もし、そうなら、問題プログラムを探して削除する方法は どうすればいいでしょうか?

  • トロイの木馬ですか

    皆さん、こんにちは。 ノートンインターネットセキュリティ2004を使用しています。パソコンを立ち上げたらセキュリティ警告が出ました。内容は、「Blaトロイの木馬を使ってローカルコンピュータに接続しようとする試みを検出しました。」警告アシストの警告の原因には「IPアドレス192.168.1.1のコンピュータがBlaトロイの木馬のデフォルト遮断を使ってこのコンピュータに接続しようとしました。」というものです。このIPアドレスはルータのものだと思います。WindowsUpdateは実施しています。何か対策等打ったほうが良いのでしょうか。よろしくお願いします。

  • トロイの木馬

    ノートンを購入したのですがこのようなメッセージが頻繁にでてきます「NetBus トロイの木馬を使ってローカルコンピューターに接続しようとする試みを遮断しました」2日に1回くらい着ます。僕は誰かに狙われているのでしょうか恐ろしくてたまりません。

  • トロイの木馬にやられたっぽいです

    WinXPを使いyahoo! ADSLで常時接続環境にいる者です。 先ほどパソコンを起動したら突如ノートン・インターネット・セキュリティー2004が「Deep Throatトロイの木馬を使ってローカルコンピュータに接続しようとする試みを検出しました。」という警告がでるようになりました。 警告アシスタントという機能でちょっと詳しい事を見てみると、警告の原因として、 「IPアドレス 192.168.3.2 のコンピュータがDeepThorat トロイの木馬のデフォルト遮断を使ってこのコンピュータに接続しようとしました。」 と書いてありました。 「192.168.3.2」というアドレスをwhoisで調べてみたら、ローカルアドレスだから調べませんと出てきます。 これは正体不明の相手から侵入を受けているということなのでしょうか? パソコンの動作を軽くするために一時的にノートンを切っている事も多いのでちょっと心配です。 とりあえず回答を頂け次第パソコンを初期化して、お金が絡むパスワードは全部変更する準備をしています。 よろしくお願いします。

  • トロイの木馬

    WindowsXP P2を使ってます。サイトにあった掲示板の参考URLを開いたところ、英語のアニメと共に、トロイの木馬に感染したとの警告がありました(TT)「発生源: C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\FHI2HPMV\you[1].js クリックでこの脅威についての詳しい情報 : Trojan Horse」というものです。ノートンアンチウィルス2005に入っていたため、すぐにLiveUpDatをして、完全スキャンしました。(WindowsUpDateは、毎日更新するように設定してあります)状態は、問題なしでした。でも、レポートの活動を見ると、「詳細: 未使用ポート遮断機能が通信を遮断しました。インバウンド TCP 接続 リモートアドレス、ローカルサービスは(200.208.246.186,1337). 」のような文章ばかりがずらっと並んでいます。以前はこのようなことはありませんでした。時々、「詳細: 侵入検知が Unused Windows Services Block トロイの木馬を検出して遮断しました。219.248.228.184 とのすべての通信は 30 分間にわたって遮断されます。」との文章も、混ざっています。念のため、スパイボットも、インストールしまた。 それで検索すると、毎回必ず5個のアイテムが引っかかります。これは、修正などを施しましたが、消えることはありません。このままで、よいのでしょうか?自分なりに調べてみると、よく、手動で削除などの、文に行き当たりますが、これも難しそうで、迂闊に手を出せません。素人なので、精一杯の対処をしたつもりですが、これどまりです。sどなたか、後は、どうしたらいいのかわかりやすく教えていただけないでしょうか?

  • トロイの木馬について

    4日ほど前からですが、パソコンを起動すると、セキュリティ警告が表示され 「IPアドレス127.0.0.1からNETSPYによって攻撃される恐れがありましたので、遮断しました」という旨のメッセージが表示されるようになりました。 ウィルスに感染したものかと思い、至急ウィルスチェックをしたのですが、特に検出されませんでした。 NETSPYはトロイの木馬型のウィルスだそうですが、 他のファイルに偽装しているため、ウィルスチェックでひっかっからないのでしょうか? 使用OSはWinXPでブロードバンドルータを用いたフレッツADSL接続をしております。 WindowsUPDATEは頻繁に行っております。 また、ネットワーク上の他のパソコンもウィルスチェックをしましたが、何も検出されませんでした。 このまま使ってよいものか悩んでいます。 どうかご助言ください。

  • トロイの木馬に感染している?ようで困っています

    ノートン2005をしようしています。 1時間前に普通にネットをしていたら、何度も(今現在も)「コンピューターを攻撃しようとする最新の試みを遮断しました」っと出て、 詳細を見ると「ルール Shiva Burka トロイの木馬のデフォルト遮断のセキュリティ警告を作成しました」っとでました。 コンピューターをウイルススキャンしましたが、何も出てきませんでした。 これは感染しているのでしょうか? 「コンピューターを攻撃しようとする最新の試みを遮断しました」っというのは、これからずっと出てくるのでしょうか? あまりPC用語に詳しくないので、あまり用語をしようしないで回答いただけると嬉しいです

  • Netspyについて

    最近PC(ノートンインストール)を立ち上げネット接続すると、頻繁にノートンの以下の警告(メッセージ)が出るようになりました。 「Netspyトロイの木馬を使ってローカルコンピューターに接続しようとする試みを遮断しました。 TCP(インバウンド) 127.0.0.1:×××× すべてのローカルネットワークアダプタ:××××」 以前は、このようなことはなかったのでちょっと不安です。 ネットサーフィン中に何かプログラムをインストールされてしまったのでしょうか? 対処方法をご存知の方、よろしくお願いいたします。 winXP IE6ほかブラウザー使用

  • トロイの木馬

    ウイルスソフトは、NortonInternetSecurity2003を使っています。 "高危険度" ルール「Backdoor/SubSeven トロイの木馬のデフォルト遮断」が203.208.74.104、27374を遮断しました。 インバウンドTCP接続 ローカルサービスは(BYH6HQY9B9H9NE9(219.198.184.216)、27374) リモートアドレス、サービスは(203.208.74.104、3301) プロセス名は "N/A" と、表示されたので完全スキャンをしたのですがウイルスは検出されまさんでした。 以前、Bloodhound.Exploit.6とVBS.Network.Eに感染したのですが、(発生源:C\Documents and Settings\)どちらとも「修復できませんでした」、「アクセスが拒否されました」と表示され削除できなかったので、 インターネットで調べた結果NortonInternetSecurityが誤作動するという記事を見つけたので、念のため、一時ファイルを削除したあとは、なにもしていませんでした。 Windows UpdatetとLiveUpdatetは、常に更新しています。 上記二つのウイルスが原因なのでしょうか。 教えて下さい。

  • Blaトロイの木馬 かなりあせってます。よろしくお願いします。

    Norton Internet Security 2004で Blaトロイの木馬を使ってコンピューターに接続しようとする試みを検出しました。 警告の原因 IPアドレス192.168.11.1のコンピューターがBlaトロイの木馬のデフォルト遮断を使ってこのコンピューターにせつぞくしようとしました。 というエラーメッセージが表示され、気持ち悪くなったのでOSをリカバリーDVDでいれなおしたらLiveアップデートをしようとした瞬間に同じエラーメッセージがでました。 そしてLiveアップデートができなくなってしまいました。 どうすればいのでしょうか。 教えてください。よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する