sasser【スタコラサッサ】sasser　Part1

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 05/09 21:01 / Filesize : 254 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 [04/05/03 17:33]: ■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

以下の情報はSASSER.AとSASSER.Bのものですが、さらに亜種が発生する可能性大。

【概要】
・Microsoft LSASS Sasser ワームの拡散
　www.isskk.co.jp/support/techinfo/general/Sasser_172.html

【基本情報】
トレンドマイクロ(手動削除手順はトレンドが詳しい)
SASSER.A
　www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
SASSER.B
　www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
シマンテック
SASSER.A
　www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html#technicaldetails
SASSER.B
　www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html#technicaldetails

関連スレ
　【正式】ウィルス情報＆質問　総合スレッド☆Part18
　　pc3.2ch.net/test/read.cgi/sec/1081735712/
　Blasterスレ　part5
　　pc3.2ch.net/test/read.cgi/sec/1065964513/
（303になってたら後継スレを探してください）
2 名前：名無しさん＠お腹いっぱい。 [04/05/03 17:34]: ■こんなんなったらサッサーにやられてます。

【症状】以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　LSA Shell(Export Version) has encountered a problem
　This system is shutting down...by NT AUTHORITY\SYSTEM

【予防法】WindowsのLSAに関するセキュリティホールにパッチを当てる。
　Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

【感染確認】 Windowsのシステムフォルダ内（\Windows\ または\WINNT\）に
　 "＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"）というファイルが
　作成される。

【駆除方法】
・Microsoft純正Sasser駆除ツール
　　 www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
　使い方　support.microsoft.com/?kbid=841720

・手動：セーフモードで（F8を連打しながら）起動→スタート→ファイル名を指定して
　実行→regedit→以下の項目を削除
　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　値　： avserve.exe = %Windows%\avserve.exe　（SASSER.Bの場合　avserve2.exe）
　→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
　さらにウィルスとして発見されたファイルがあれば削除
3 名前：名無しさん＠お腹いっぱい。 [04/05/03 17:34]: 【Winアップデートがﾜｹﾜｶﾒの人、まずファイアーウォール入れましょう】

Ｑ　Windowsのアップデート全然やってなかったんで…なんだかたくさん
　　あって、ﾜｶﾜｶﾒでつ…（泣
Ａ　脆弱性（ぜいじゃくせいｗ）のあるパソコンをネットにつなぐとパッチをダウン
　　してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから
　　ゆっくりWindowsのアップデートしましょう。
Ｑ　ファイアーウォールって何？
Ａ　ファイアーウォール（FW）はデータ通路の玄関（port）の警備員みたい
　　なものです。通行許可証のない人（データ）を通さないようにします。
Ｑ　ファイアウォールでさっさーが防げるんですか？
Ａ　防げます。「LSAというプログラムをインターネットに接続していいですか」
　　みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK
Ｑ　ファイアーウォール入れてれば絶対安全？
Ａ　可能性は少ないですが、ＯＳがネットに接続してからFWソフトが立ち上がるまで
　　のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを
　　立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。
Ｑ　無料のファイアウォールってどうなのよ？ちゃんと役に立つ？
Ａ　定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版
　　で機能は十分です。詳しいことは専用スレで。「Outpost　まとめサイト」がファイア
　　ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。

Agnitum Outpost Firewall part15
　pc3.2ch.net/test/read.cgi/sec/1079512402/
ZoneAlarm Part19
　pc3.2ch.net/test/read.cgi/sec/1081594360/
☆彡Kerio Personal Firewall 2.1.5　Rule 14☆彡
　pc3.2ch.net/test/read.cgi/sec/1075173212/
Outpost 2ch　まとめサイト
　www.geocities.jp/outpost_2ch/
4 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 17:34]: Sasser ワームについてのお知らせ(Microsoft)
www.microsoft.com/japan/security/incident/sasser.mspx

Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
www.microsoft.com/japan/security/incident/sasser_xp.mspx

Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
www.microsoft.com/japan/security/incident/sasser_2k.mspx

W32.Sasser.Worm(Symantec)
www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

W32.Sasser.B.Worm(Symantec)
www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html

W32.Sasser 駆除ツール(Symantec)
www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html

WORM_SASSER.A(Trend Micro)
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A

WORM_SASSER.B(Trend Micro)
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
5 名前：名無しさん＠お腹いっぱい。 [04/05/03 17:34]: ■MSのSASSER駆除ツール
　このツールは Windows XP、Windows 2000SP2以降に有効です。
　　 www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14c
【使い方とFAQ】
　　support.microsoft.com/?kbid=841720
（概要）
　MS04-011 [KB835732]修正パッチを適用する以前にシステムがSasser.A または
　Sasser.Bに感染している場合があります。このツールはシステムからSasser.A、
　Sasser.Bを除去する手助けをします。MS04-011 [KB835732]を適用しているシステム
　の場合、このツールをインストールするだけでそれ以上の対策は必要ありません。

Q：このツールはSASSERの感染を防止してくれますか？
A：いええ。このツールはシステムからSASSER.A/Bを取り除きますが、感染の防止
　はできません。感染を防止するには[KB835732]を適用してください。

　訳注★感染したマシンにパッチを当てても感染を取り除けないので、このツールを使え、
　ということ。まずこのパッチ当てろ。 (835732) (MS04-011)　その前にﾌｧｲｱｳｫｰﾙ入れろ。
　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

Q：インストールの途中で止まってしまいましたが？
A：メモリ上でウィルスプログラムが実行されている場合、ツールは停止します。

　訳注★タスクマネージャからavserve.exe avserve2.exeを停止してから改めて
　 Windows（WINNT）\system32\Sasscln.exeを実行する、といいかも試練。
6 名前：名無しさん＠お腹いっぱい。 [04/05/03 17:35]: 初心者のためのWORM_SASSER(A.B)への対処法
・手動削除手順：
以下の手順を実行してください。
①セーフモードで起動します。
⇒WindowsをSafe Mode（セーフモード）で起動する方法
>>727 又は、下記URLから使用OS先を参照
www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2227

②ウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ｳｨﾝﾄﾞｳｽﾞ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動　
以下のレジストリの値を削除してください。
[WORM_SASSER.A] 場所： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値： avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値： avserve.exe = ＜Windowsフォルダ＞\avserve2.exe

③コンピュータを再起動し、通常モードで起動します。
www.trendmicro.co.jp/hcall/index.asp　オンラインスキャンで
ウイルス検索を実行してください。「WORM_SASSER.A」又は「WORM_SASSER.B」として検出された
ファイルはすべて削除してください。

④Windows検索（先述のスタートボタン→検索で起動）を使って「kazaabackupfiles」又は「WIN.LOG」フォルダを検索し、削除します。
註：WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows9x/Me/の場合、システムフォルダ＝　C:\Windows\System
WindowsNT/2000の場合、システムフォルダ＝　C:\WinNT\System32
WindowsXP の場合、システムフォルダ＝　C:\Windows\System32　です。

⑤WORM_SASSER対策に（A.B共通）セキュリティホール修正パッチを導入　
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。　
www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp　

以上、トレンドマイクロ　ウイルスデータベース(www.trendmicro.co.jp/vinfo/virusencyclo/)の情報を元に改作。
7 名前：名無しさん＠お腹いっぱい。 [04/05/03 17:36]: sasserなんぞスタコラコサッサと駆除しよう！
8 名前：名無しさん＠お腹いっぱい。 [04/05/03 17:37]: www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.worm.html
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。

IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、１番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、１番目、2番目のオクテットが、感染したホストと同じ IP アドレス
9 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 17:39]: >>6 の手順では、3以降で再度感染する可能性があるので推奨できない
10 名前：名無しさん＠お腹いっぱい。 [04/05/03 17:39]: パッチ充ててルータ入れてりゃモーマンタイ！
11 名前：名無しさん＠お腹いっぱい。 [04/05/03 17:40]: そんじゃ誰か>>6の手順を修正してくれよ。
12 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 17:41]: Sasser ワームについてのお知らせ(Microsoft)
www.microsoft.com/japan/security/incident/sasser.mspx

Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
www.microsoft.com/japan/security/incident/sasser_xp.mspx

Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
www.microsoft.com/japan/security/incident/sasser_2k.mspx

W32.Sasser.Worm(Symantec)
www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

W32.Sasser.B.Worm(Symantec)
www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html

W32.Sasser 駆除ツール(Symantec)
www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html

WORM_SASSER.A(Trend Micro)
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A

WORM_SASSER.B(Trend Micro)
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
13 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 17:42]: >>11
修正しなくても
>>12読んだらわかる罠
14 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 17:52]: 久し振りにルーターのログみたらｿｺﾞｶﾀ。
445番君へ一杯プレゼントが来てた。
15 名前：佐々テンプレ人 mailto:sage [04/05/03 17:57]: >>１　スレ立て、乙
16 名前：名無しさん＠お腹いっぱい。 [04/05/03 18:00]: 昨日、ブラスター用パッチ4個だけ落として
OSの再インストールしたけど、何故か感染してないっぽい。。。
XPFWをONしてからアップデートしに行ったから助かったのかな？
17 名前：佐々テンプレ人 mailto:sage [04/05/03 18:03]: てか重複しちゃったけど、どうするよ。こっちの方がちょい遅い…
向こうもテンプレはいちおう貼ってある。

【BLASTの悪夢】Sasser情報【再び】04/05/03 16:46
pc3.2ch.net/test/read.cgi/sec/1083570404/
18 名前：佐々テンプレ人 mailto:sage [04/05/03 18:06]: いちおう向こうに合流呼びかけておいたが…
19 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 18:12]: > XPの香具師はとにかく最初にXPのファイアウォール機能を有効にしろ。

これは有効なんじゃ？　>>6の２）と３）の間に入れたらどうでしょう？
20 名前：名無しさん＠お腹いっぱい。 [04/05/03 18:15]: ZoneAlarmいれてるけど、XP付属のFW切り設定で大丈夫かな？
FWあるから重複不具合起こるような気が・・
21 名前：名無しさん＠お腹いっぱい。 [04/05/03 18:16]: >>1
乙。つか２ちゃんめちゃ重いんだけど・・・これのせい？
22 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 18:17]: >>20
アンチウイルスソフト入れてZA有効だったら
XPのFWは切った方がいい
23 名前：名無しさん＠お腹いっぱい。 [04/05/03 18:21]: ようやくというか
yahooのトップページ
のトピックス欄にsasser
24 名前：Blasterスレからパクリ… mailto:sage [04/05/03 18:27]: 【SASSER　FAQ　ＸＰ付属ファイアウォール編】
Ｑ　Windows XPの付属ファイアウォールは有効ですか？
Ａ　Windows XPのファイアウォールはウィールスが入り込むポート
　　（TCPポート445、他）を閉じるのに有効です。ただし、このファイア
　　ウォールはデフォルトでは無効になってます。
　　【FWを有効にする手順】
　　　コントロールパネル→ネットワークとインターネット接続→普段使っている
　　　接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
　　　「コンピュータとネットワークを保護する」にチェックを入れる

Ｑ　XPの「ネットワークの接続」がみつかんないよー？
Ａ　以下の方法も試してください。
　　　スタート→設定→ネットワーク接続
　　　スタート→接続→全ての接続の表示
　　　スタート→マイネットワーク→ネットワーク接続を表示

Ｑ　XPのファイアウォールで十分ですか？
Ａ　XPのおまけFWは外から中へ（inbound）の侵入は防ぎますが、いったん
　　感染してしまうと中から外へ(outbound)ウィールスをばら撒くのをチェック
　　できません。Zone Alarm、Outpostなど中から外もチェックする製品を
　　入れておきましょう。

Ｑ　FWはいくつも動作させるとダメですか？
Ａ　ダメです。XPのFWは無効にしておくだけでいいですが、
　　NISやVBの付属FW、ZA、Outpostのような専用アプリのFW同士は
　　インストしてあるだけで完全に喧嘩しますから注意。
25 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 18:32]: どうりでここ数日TCP ４４５のアクセスが多いと思ったらこれか。
26 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 18:34]: >>25
多いと思ったら調べろよ（ｗ
27 名前：Worm_Sasser対策班 [04/05/03 18:36]: ･Safe Mode 起動方法:
Safe Modeで起動するには、以下の手順を実行します。
①コンピュータの電源投入後、コンピュータ製造元のロゴや BIOS の起動画面が
表示されたらキーボード上の[F8]キーを何度か押します。
②Windows(OSが2000の場合 Windows2000) 拡張オプションメニューが表示されます。
③方向キー（↑/↓）を使用して「セーフモード」を選択し、Enter キーを押します。
続いてOSの選択画面が表示される場合は、Safe Mode で起動したいOSを選択してください。
④Windows2000の場合:「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。

WindowsXPの場合:ユーザを選択する画面が表示されたら、ログオンするユーザをクリックで選択し、
画面上の[→]をクリックします。
「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
ログオン後、「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。

注意：
・手順①のタイミングで、[F8]キーを押すタイミングが遅れた場合や早すぎる場合、
Windowsは通常起動します。その場合は、手順1からやり直してください。
・セーフモードでは、色数や解像度など画面の表示が通常とは異なります。
また、USBマウスなど一部の接続機器が使用できなくなります。
・マウスが動作しない場合は、キーボードにて操作をおこなってください。
この場合は Administrator を選択してください。
・NEC機などコンピュータによってはメニューが日本語表示されます。
・機種によりSafe Mode（セーフモード）の起動方法が異なる場合があります。
上記方法により起動できない場合はコンピュータ製造元へお問合せください。
・ログオン画面を表示する設定にしている場合は、手順4の前にWindows ログオン画面が表示されます。(Windows2000の場合)
28 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 18:38]: ルーターのログ見たら
TCP2745
が異様なほど（ｒｙ
445は異常なし
29 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 18:39]: 警察庁@policeのサイトにも警告出てる

W32.Sasser.worm ウイルスの発生について
www.cyberpolice.go.jp/important/2004/20040503_094530.html
30 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 18:45]: >>26
今ここを調べますたｗ
31 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 18:50]: Outpostのログみたら、TCP445が3分おきに・・・
32 名前：名無しさん＠お腹いっぱい。 [04/05/03 18:52]: 感染したら、スタコラサッサと駆除せんかい！
33 名前：名無しさん＠お腹いっぱい。 [04/05/03 18:52]: >>31
ZoneAlarmだけど不正アクセスは０だよ。CATVだから向こうのルーターで規制してくれてるのかな？
34 名前：31 mailto:sage [04/05/03 19:03]: うちもCATVでつ。445のﾎﾟｰﾄｽｷｬﾝが1時間で15件ってｫｨ
35 名前：名無しさん＠お腹いっぱい。 [04/05/03 19:03]: >>28
漏れも見てみたら結構来てた。
IP確認すると全国のOCNユーザーがわんさか来てるんだが
ISPなんてどこでも関係無いよなー？
36 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 19:10]: 445の数が爆発してる。こらすげーわ。

・・・ツレが感染してやがるし。
修復頼むような状況になる前に対策ちゃんと取れとあれほど言ってたのに。
放置するか。

そういうわけにもいかんよな。
連休小旅行がワーム駆除旅行になるとは。
37 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 19:13]: 445は普段でも来るからあまり実感湧かない
38 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 19:27]: www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.worm.html
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。

IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、１番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、１番目、2番目のオクテットが、感染したホストと同じ IP アドレス
39 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 19:43]: そんな事より１よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
このあいだ、近所のTCP445行ったんです。TCP445。
そしたらなんかパケットがめちゃくちゃいっぱいで入れないんです。
で、よく見たらなんか垂れ幕下がってて、W32.Sasser.Worm、とか書いてあるんです。
もうね、アホかと。馬鹿かと。
お前らな、W32.Sasser.Worm如きで普段来てないTCP445に来てんじゃねーよ、ボケが。
MS04-011だよ、MS04-011。
なんかTCP135に来てるのもいるし。年度が変わってもいまだにBLASTERか。おめでてーな。
よーしパパRPCサービス以上終了しちゃうぞー、とか言ってるの。もう見てらんない。
お前らな、FIX_BLAST.EXEやるからポート空けろと。
ネットワークポートってのはな、もっと殺伐としてるべきなんだよ。
スイッチングハブの並びに繋がった奴といつコンフリクトが始まってもおかしくない、
落とすか落とされるか、そんな雰囲気がいいんじゃねーか。マカーは、すっこんでろ。
で、やっと入れかと思ったら、隣の奴が、XP標準のFWで、とか言ってるんです。
そこでまたぶち切れですよ。
あのな、XP標準のFWなんてきょうび流行んねーんだよ。ボケが。
得意げな顔して何が、XP標準のFWで、だ。
お前は本当にXP標準のFWを使いたいのかと問いたい。問い詰めたい。小１時間問い詰めたい。
お前、XP標準のFWって言いたいだけちゃうんかと。
ネットワーク通の俺から言わせてもらえば今、ネットワーク通の間での最新流行はやっぱり、
ポート全開放、これだね。
ポート全開放かつセキュリティソフトアンインスコ。これが通の頼み方。
ポート全開放ってのはポートが多めに開いてる。そん代わりセキュリティが甘め。これ。
で、それにセキュリティソフトアンイスコ（シマンテック）。これ最強。
しかしこれを実行すると次からスーパーハカーにマークされるという危険も伴う、諸刃の剣。
素人にはお薦め出来ない。
まあお前、１は、ウイルスバスター２００４でも入れてなさいってこった。
40 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 19:48]: 初心者のためのWORM_SASSER(A.B.C)への対処法　
･手動削除手順:
以下の手順を実行してください。　
①セーフモードで起動します。　
⇒WindowsをSafe Mode（セーフモード）で起動する方法　本ｽﾚの>>27 又は、下記URLから。
www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2227　

②ウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ｳｨﾝﾄﾞｳｽﾞ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動　
以下のレジストリの値を削除してください。　
[WORM_SASSER.A B C] 場所: KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[WORM_SASSER.A] 値： avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 値： avserve.exe = ＜Windowsフォルダ＞\avserve2.exe
[WORM_SASSER.C] 値： avserve2.exe = "%Windows%\avserve2.exe"
※ファイアウォールなどの機能を導入していない方は再感染を防ぐためにWindows XPの付属ファイアウォールを有効にしてください。
　詳しくは>>24 を参照のこと。　

③コンピュータを再起動し、通常モードで起動します。　
www.trendmicro.co.jp/hcall/index.asp　オンラインスキャンで　ウイルス検索を実行してください。
「WORM_SASSER.A（又は.B C）として検出されたファイルはすべて削除してください。　

④Windows検索（先述のスタートボタン→検索で起動）を使って次のフォルダ検索し、削除します。　
[WORM_SASSER.A]の場合「kazaabackupfiles」　
[WORM_SASSER.B]の場合「WIN.LOG」　
[WORM_SASSER.C]の場合「WIN.LOG」「WIN2.LOG」　
註：WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、　[WindowsNT/2000の場合]、システムフォルダ＝　C:\WinNT\System32　[WindowsXP の場合]、システムフォルダ＝　C:\Windows\System32　です。　

⑤セキュリティホール修正パッチを導入　
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。　
www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
41 名前：名無しさん＠お腹いっぱい。 [04/05/03 19:57]: インターネットに接続したところ、どのサイトを開いてもページが表示できませんと
出てしまうのですが、sasserに感染しているのでしょうか？
42 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:00]: >>41
違う
43 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:06]: >>42
回答ありがとうございます。
44 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:09]: >>41-43
これを拝んでおきなさい。さすれば解決の糸口が見つかろう。
www.jade.dti.ne.jp/~sassa/profile.htm
45 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:11]: >>34
一時間で15件って少ないだろ
前に80数回されたことあった。
もちろん被害届けだしたけどな
46 名前：41 mailto:sage [04/05/03 20:12]: >>44
どうもありがとうございます。よく読んで研究してみます。
47 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:12]: 金鳥サッサ
ｷﾀ━━━━━━━━━━━━━!!!!

ルーターで弾いてましたが
48 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:18]: うちのシステムにはport1025へ半日で4000から5000ぐらい着てます
皆さんのport1025は大丈夫ですかぁ？
49 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:19]: sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
ことでしょうか

あと自分のパソコンが６４ビットでないか否かはどこで調べられるでしょうか
教えてください
50 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:21]: >>48
私んとこはアクセス０です　逆に心配に・・・
CATVだからルータないし。。
51 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:22]: >>49
> sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
> ことでしょうか

その通り。

> あと自分のパソコンが６４ビットでないか否かはどこで調べられるでしょうか
> 教えてください

調べるまでも無く貴方のWindowsは63ビットじゃないです。
100パーセント断言できます。
52 名前：51 mailto:sage [04/05/03 20:22]: ×63ビット
○64ビット
53 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:24]: >>51
両方のご回答どうもありがとうございます
54 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:25]: >>49
MS04-011=835732ですよ。KBつくのかわからんけどたぶんね。
６４BitでOSのことかﾆｬ？　そうであればﾏｲｺﾝﾋﾟｭｰﾀを右ｸﾘｯｸでﾌﾟﾛﾊﾟﾃｨでわかると思いますけど。
55 名前：Blasterスレからパクリ… mailto:sage [04/05/03 20:27]: www.isskk.co.jp/security_center/169/solution.html
思い起こせば　昨年の夏・・・　あの教訓をいかそう！
2003年7月16日（日本時間）
X-Forceセキュリティアラート「Microsoft Windows での RPC 実装の不具合」
思い起こせば昨年の夏・・・日本はちょうどお盆の時期。2003年7月16日、「Microsoft Windows
での RPC 実装の不具合」が発表され、この発表の約1ヵ月後、この脆弱性をついたMS　Blast
ワームが、日本時間の2003年8月12日より蔓延いたしました。そして、さらに追い討ちをかける
ように日本時間の2003年8月19日Nachi ワームは、MS Blastワームが使用するのと同じ脆弱性
を利用して、さらに企業ネットワークに被害をもたらしました。…
56 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:28]: >>48
TCP1025も監視対象に入れてるけど
カウント0
57 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:28]: >>54
KBがついていなかったのでもし違っていたらと思い質問しました
OSの確認の仕方の方法どうもありがとうございます
58 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:29]: >>56
アセクスが全く無いのは異常？
59 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:29]: 2745に来るのはBagleかな。
60 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:32]: ポート閉じるのはリモート、ローカル両方閉じたほうがいいのかな
61 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:32]: >>56
＠policeでは警告が出てます。
うちのシステムでは、異常に増えたのが4月27日でした。
最初は、ほとんど　ぷらら　の顧客でしたが、
最近はアジア全域から着てます。
62 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:33]: 1025、2745、6129、3127番のスキャンがやっと家にも来だしたよ。
でも、ルータのデフォルトルールが弾いてる。
最近のルータは良いね。
63 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:34]: >>58
2745にはバンバン来てるけど、
パケットフィルタの前にFWで弾いてるかも
64 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:35]: >>62
バッファローWHR2-G54
デフォで弾いてくれてる。
（･∀･）ｲｲ!!
65 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:36]: ルーターって
WAN→FW→パケットフィルタ→LAN
ってことかな？
66 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:39]: port1025へ一度だけ弾くやつのIPは、ほとんど
第一オクテットが　220　です。
（俺の場合はne）
67 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:43]: 今のトコ塞ぐポートは445のみでおけ？
68 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:45]: 漏れの場合
TCP1025
TCP135-137
TCP2745
TCP6129
TCP5554
TCP9996
TCP445

UDP4000
69 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:49]: 道理で似たようなIPばっかりくるかと思ったら
70 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:51]: >>24
www.isskk.co.jp/support/techinfo/general/Sasser_172.html
> マニュアルプロテクションを行うには、TCP ポート 139, 445, 5554, 9996を
> ネットワークゲートウェイでブロックしてください。

要するにXPのおまけFWでTCP porｔ [139, 445, 5554, 9996]を塞げということ。
71 名前：名無しさん＠お腹いっぱい。 [04/05/03 20:51]: >>69
多分自分と同じ第一オクテットに対してスキャンすると思われる
72 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:55]: >>68
漏れは
113
135-139
445
1025-1027
5000

5554と9996は今回のため？
73 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 20:57]: >>72
一応。感染しても他人に迷惑かけんように
その2つはINもOUTも閉じたよ
74 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:00]: 1-1025
これでモウマンタイ
75 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:00]: ニュース読んで電源入れるの恐いんですが
ブロードバンドルータ噛ませていて
ウイルスバスターの定義ファイルは先月末更新
Windows Updateは４月中旬の「重要な更新」をアップデート
これだけやってれば大丈夫ですかね。
ウイルスバスターのFWはブロードバンドルーターモード（つまり最低）
WindowsXP HEのFWはOFFにしています。
76 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:03]: >>74
なんでそれで書き込めてるんだ
77 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:03]: >>75
ルーターが入っているならNATで何かやっていない限り
外からは届かないので大丈夫と思われ
78 名前：75 [04/05/03 21:05]: >>76
すみません、Macからです。
79 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:05]: >>75
先月末だったらダメだろボケ
頭弱いのか？
80 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:05]: >>75
電源入れるのが怖いのに、２ちゃんにはカキコ
81 名前：75 [04/05/03 21:06]: >>77
どうもです。
82 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:07]: 阿部のホームランを弾くにはどうしたらいいでしょうか
83 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:08]: >>82
ピッチャーに金をかける
84 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:08]: ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新

今日も更新がありました。最新パターンファイルは1.833.00
85 名前：75 [04/05/03 21:08]: >>79
５月に入ってからPC使う機会がなかったためです。
あくまで条件の一つとして挙げました。
ブロックのためのすべての条件を満たすつもりはないので。
86 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:09]: >>85
念には念を入れないでどうするんだ？
完璧なものなんて無いんだぜ？
87 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:11]: 結局のところ今回もポート４４５なんだろ。
いいかげんＦ／Ｗでブロックしろよ。
88 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:13]: >>75
ルーター（警備員）かましてても、ポート閉めるの忘れてたら（警備員が仕事してなかったら）意味ない
89 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:13]: 80以外すべてブロックが最強だな
90 名前：75 [04/05/03 21:13]: >>86
十分条件より今回伺いたいのは必要条件なので。
具体的には４月中旬までのWindows Updateで
今回のパッチがあてられてるかを伺えれば確信は持てます。

今からウイルスバスターをアップデートしてもその前に回線つながってしまうので
そこまでの十分条件を満たすつもりはないのです。
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:17]: >>90
起動してからPCにケーブル挿せばぁ
92 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:17]: >>75
必要条件なら、ネットに接続せずにＰＣを立ち上げて
IPSEC Policy Agentサービスを無効に設定しろ。
ｌｓａｓさえ動作拒否しとけば安全だ。
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:18]: TCP ポート 445 ブロックしてればいじゃん
94 名前：75 [04/05/03 21:19]: >>91
それだとケーブルを挿した後に侵入を防げるのですか？
95 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:21]: >>94
XPのFWをONにしとけばいい
96 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:21]: >>93
>75はＦ／Ｗやポートブロック、ルータのフィルタ機能などに
まったく無知な人間と思います。
97 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:26]: なんかどさくさにまぎれてやばげなポートまとめてスキャンしてくるやつがいる。
全く同じ時間に同じIPから６つまとめてとばしてきやがった。
なに考えてんだ？
98 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:26]: (´∀｀)心配性だなぁ
99 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:27]: >>97
6回だけで騒ぎすぎだろ
100 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:27]: >>97
不正アクセスで警察に通報しろ
101 名前：75 [04/05/03 21:27]: >>96
MacからルータのFWをいじる権限がないんですよ。
ついでに我が家のWindowsマシンも自分の使っているものではないので
（有り体に言うとNTベースのWinの使い方を知りません。ﾏｶｰなので）
XPのFWがオフになっていることしか知りません。
その他の内々の事情で上の対策をとる権利が自分にはないのです。

今回特に伺いたいのは４月中旬配布までのWindows Update（重要な更新）が
今回のウイルスに対応されているものなのかどうかってことです。
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:29]: >>101
＞今回特に伺いたいのは４月中旬配布までのWindows Update（重要な更新）が
＞今回のウイルスに対応されているものなのかどうかってことです。

このスレ全部読み返せ
103 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:30]: MS04-011
104 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:30]: >>101
四月中旬なんて抽象的に表現では何とも言えんよ。
ＰＣ立ち上げてMS04-11(KB835732)がインストールされている
されてることを確認しろ。

もちろんネットへの接続ケーブルは外した状態でだ。
105 名前：75 [04/05/03 21:33]: >>102
今、読みかえしました。そのうえで伺いますが
(MS04-011)の更新日付はいつですか？
当方のMac用ブラウザではWindows Updateのページを
ActiveX非対応の関係で開けず確認できないんですよ。
106 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:34]: >>105
2004/04/12
107 名前：75 [04/05/03 21:35]: >>106
ありがとうございます。質問がまわりくどくなりすみませんでした。
108 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:35]: >>105
2004年4月30日更新。
ちなみに登録日は2004年4月14日。
109 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:37]: ちなみに2004/04/12(PST)は
修正パッチの登録日
110 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:37]: >>105
と言うかここ読んでみれ。
www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-011.asp
111 名前：75 [04/05/03 21:38]: ありがとうございます。Mac経由でパッチを転送します。
112 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:39]: MS04-11って糞パッチだってＭＳ自身が認めたパッチだろ
113 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:40]: 知り合いが勝手にシャットダウンするウィルスに感染したらしいけど
どっちだろ？今時ブラスタはあり得ないよね？
問題が発生しましたみたいな内容がでてカウントダウン後に落ちるらしい
感染に気付いたのが1日の夜らしい
タスクマネの開き方すらわからない厨房だから情報少なすぎ
駆除を麦酒一本で手を打つ俺は安すぎ…orz
114 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:40]: 地雷パッチMS04-011を修正する気はMicrosoftには無いのかな
それともパッチの問題ではないと言い張るのだろうか

support.microsoft.com/default.aspx?kbid=841382
115 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:41]: >>113
そいつは乙だな。
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:42]: パッチ修正中ってことをWin板で聞いたぞ
117 名前：114 mailto:sage [04/05/03 21:43]: Keywords:kbBug kbfix kbQFE kbWin2000preSP5fix KB841382

> kbWin2000preSP5fix

はぁ？まさか地雷パッチ329170のようにSP5まで直す気は無いということなのかな。
118 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:43]: >>75
windows 使ってるやつに確認させるのが確実ではないでしょうか？
windowsのupdateとルーターの機能とは関係ないしW
119 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:44]: MS04-011が適用されてるか確認する方法。

NetMeeting のバージョン番号が 3.01 (4.4.3399) となっている場合、
修正プログラムは正しくインストールされています。
120 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:45]: >>117
SP4が出た後のパッチはSP5として出る
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:45]: >>116
どこのスレ？
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:46]: 同じMacユーザーとして言おう
>75氏ね
123 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:47]: >>121
うｐだてしたらあげるスレか
失敗したら上げるスレだったはず
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:48]: >>117
>>120が言う通りSP4が出た後のパッチはすべてSP5として登録される。
125 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:48]: >>121
ここに言い訳が書いてある
support.microsoft.com/default.aspx?scid=kb;en-us;835732
126 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:50]: >>117
はKeywords(MSの情報検索用キーワード)の意味を全く理解していない
127 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:51]: >>123
japan.internet.com/webtech/20040430/12.html

ここですね。失敗スレで見つけたよ。

>>120,>>124
いや、KB841382は不具合を記しただけのドキュメントで、そのドキュメントに
「kbWin2000preSP5fix」なんて書いてあるからSP5まで修正されない不具合なのかなぁと。。。
128 名前：名無しさん＠お腹いっぱい。 [04/05/03 21:52]: >>126
まったく理解していないというのは言い過ぎ
preSP5の意味がわからなかっただけじゃない？

すくなくても>75よりは理解してるように思える。
129 名前：114,117 mailto:sage [04/05/03 21:52]: >>126
理解できるように教えてくれませんか？
それか該当するドキュメントを提示して下されば幾らでも読みます。
130 名前：114,117 mailto:sage [04/05/03 21:54]: 「kbWin2000preSPxfix」ってSPxで修正される不具合に付く
検索キーワードだと思っていたけど違うのか。
131 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 21:59]: >>130
SP5にKB835732が突っ込まれるってこと。
それまで修正しないって言ってるわけではない。
132 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:00]: しかし、このウイルスの蔓延で無知なWindowsユーザーが
パッチあてまくってＰＣの不具合が出たら
それこそMS04-011のバグとして叩かれるだろうね。
133 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:01]: だな。
>>127の
japan.internet.com/webtech/20040430/12.html
にも
＞Microsoft は、ソフトウエアの脆弱性に対処し、面倒な修正パッチを用意するという作業に追われている。

と書かれてるし
134 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:02]: >>132
禿同
135 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:02]: preSP5fixはSP5前の修正って意味だろ
136 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:02]: LAN(TCP,port 445)
LAN(TCP,port 445)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(TCP,port 2745)
LAN(TCP,port 1025)
LAN(TCP,port 6129)
LAN(TCP,port 80)
LAN(TCP,port 1025)
LAN(TCP,port 445)
LAN(TCP,port 6129)
LAN(TCP,port 445)
LAN(UDP,port 137)
LAN(TCP,port 445)
LAN(TCP,port 2745)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(UDP,port 137)
LAN(TCP,port 80)

2745はあんまないな
137 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:05]: >>136
2745
2つか。
漏れは数時間で30件ほど
いつからいつまでのログ？
138 名前：137 mailto:sage [04/05/03 22:07]: >>136
ISPどこ？
漏れはYBB
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:08]: >>137
上から30分ほどだから同じぐらいか

>>138
いまニュー速で話題のmesh(w
140 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:10]: 何故かクソスレばかりが目立つmesh
141 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:12]: >>139
あんが㌧
142 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:17]: どさくさにまぎれてイスラエルからｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!!!
143 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:20]: >>142
ウイルスてほとんどイスラエル製･･･
やっぱりナチに根絶されるべきだったな
144 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:20]: 誘導thx from pc2nanmin
145 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:21]: ユダヤとチョンは他人の領域を勝手に侵食するからな
146 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:27]: 頼むからドイツもこいつもFWかルータくらいまともに使ってくれ。
147 名前：113 [04/05/03 22:28]: どうもブラスタDの悪寒がする…あれが一番面倒だ…
間違えて本物のsvchost消したらあぼーんだし…
きょうびブラスタなんて流行んないよね…希望的憶測だけど
148 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:31]: 件の制限時間付き強制終了が頻発していたので脆弱性修正パッチあてました。
で、ウィルス消そうとタスクマネージャーのプロセス見たんですが、どこにもavserve.exeやavserve2.exeがないんです。
winntフォルダにも16416up.exeみたいなのないし。

で、やっぱり感染してないのかな、と思って確認の意味でnetstatかけたら
1025-1099がlistenされまくってるんですよ。

感染してるのかな？教えてエロイ人
149 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:32]: >>147
そうとは言い切れないかも世？
実際ポート135のスキャンなんて飽きるほどくるし。
法人や企業とかならともかく、一般人あたりだとそのままってやつもいそうだし。

俺の知ってるやつに「パッチってなに？」って真顔で聞いてきたやつがいたシナ・・・
150 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:36]: 2004/05/03 21:56:12 2745
2004/05/03 21:56:12 1025
2004/05/03 21:56:12 3127
2004/05/03 21:56:12 6129
2004/05/03 21:56:12 80

同じ所から繰り返し来ますね。
151 名前：笹公撃滅戦隊・火撃 mailto:sasserをヌッ頃せ！ [04/05/03 22:36]: 　　｜
　／|７
./…||腐れsasserを
∥…||撃滅しに
∥　||来たモナー
∥…|]`＼
∥…||ロ.」
∥　|∧＿∧
⊆三⊇´∀`)
　⊂　⊂/ ）
　∥/＿|＿|
　□＿_)＿）

((((∽))))笹公は
　　　∥死ねやｺﾞﾙｧ！
　⊿■三＝━━━──
ロ口∥>　　＿＿пi
　／⊥＼┣/○⌒＠I
～′￣￣|∟#゜Д゜)
【HH|/￣＼⊇‡〓>━-
〈[※]>　　/￣∥
152 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:38]: 佐々淳行　突入せよ　浅間山荘。
153 名前：笹公撃滅戦隊・火撃 mailto:sage sasser is made byユダ公 [04/05/03 22:40]: ヽヽヽ　　／∋∋∋⊃
( ゜∋゜)／⊃∋⊃∋
(　　　三＜∋∋∋∋
｜　｜｜＼∋⊃∋∋
(＿＿)＿) ＼⊃⊃∋
　＿＿_ったくユダ公
/~⊂Ч⊃＿とｸｿﾁｮｿは
(#・∀・)これだから
(つ]≡〓＝━━━─Σ
｜　｜∥糞なんだよ
(＿／/￣＼ｳﾗｳﾗｰ!
￣￣￣￣￣￣ｽﾞﾄﾞﾄﾞﾝ!
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:40]: >>148
オンラインスキャンとか試してみたら？

www.trendmicro.co.jp/hcall/index.asp
www.symantec.com/region/jp/securitycheck/index.html

#テンプレにオンラインスキャンが無いのは失敗だな。
155 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:40]: ttp://uploader.org/normal/data/up6364.jpg
こんな感じ。
156 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:41]: >>150
うちとおなじやね。
たたいてくるポートも同じ。

ただしょっちゅうってわけじゃなくて、ちょっと間隔をあけてやってくる感じ。
もちろんIPは変わってるが第一オクテットは同じ。

原種はたしかポート445をたたくはずだが、こいつは亜種と言うことかな？
それとも別物？
どっちにしても情報少なすぎ。
157 名前：154 mailto:sage [04/05/03 22:41]: トレンドマイクロのやつは>>6にあった。
158 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:42]: MS04-011に関する調査結果

ttp://d.hatena.ne.jp/magisystem/comment?date=20040503
159 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:43]: >>149
タスクマネの開き方すら知らない厨房だからそんなタイプ
そいつはAに感染した経験があって俺が駆除した
パッチを落とすところまでやって時間がないからそいつにやらせて俺は仕事に行った
こーいう香具師ほど雑誌とか見て知識もないのに自動うぷだてはずしたり
FW切ったりするから始末が悪い…
j3…がんがりますわ…る
160 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:45]: あした休日出勤する奴手挙げろ
161 名前：149 mailto:sage [04/05/03 22:46]: >>159
確かにそういう傾向はあるよね。
生半可な「ネタ」知ってる割には生かし切れないで自爆するって言うパターン。

大変だけどがんばってくださいね－
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:47]: 2004-05-03 22:24:20 LAN(TCP,port 2745)
2004-05-03 22:24:20 LAN(TCP,port 135)
2004-05-03 22:24:20 LAN(TCP,port 1025)
2004-05-03 22:24:20 LAN(TCP,port 445)
2004-05-03 22:24:20 LAN(TCP,port 3127)
2004-05-03 22:24:20 LAN(TCP,port 6129)
2004-05-03 22:24:20 LAN(TCP,port 139)
2004-05-03 22:24:20 LAN(TCP,port 80)
2004-05-03 22:25:30 LAN(UDP,port 137)
2004-05-03 22:28:48 LAN(UDP,port 137)
2004-05-03 22:29:51 LAN(TCP,port 135)
2004-05-03 22:32:02 LAN(UDP,port 137)
2004-05-03 22:33:59 LAN(UDP,port 137)
2004-05-03 22:34:06 LAN(UDP,port 137)
2004-05-03 22:35:32 LAN(TCP,port 2745)
2004-05-03 2:35:32 LAN(TCP,port 1025)
2004-05-03 22:35:32 LAN(TCP,port 6129)
163 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:47]: >>160
ちょうど今、指令がきたよ
port80しか開けてないから大丈夫だって言ってるのに
164 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:48]: >>160
連休前にパッチ適用済みです。
ＦＷはとうぜん塞いでいます。

少ない連休なんでマッタリ過ごさせてもらいます。
165 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:50]: 調べると自分と同じプロバイダから来るんだけど。
166 名前：名無しさん＠お腹いっぱい。 [04/05/03 22:51]: >>163
うちはポート80もまとめてたたきにくるんだが？
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:52]: >>163
乙。
行ったとしてもすることないな。
168 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 22:52]: >>166
もちFWもあるよ
169 名前：お願いします [04/05/03 22:57]: 初めまして！どなたか知っている方がいたらお聞きしたいのですが、
タスクマネージャで、プロセスを見るとmspdox.exeというのがcpuを
非常に使っているのですが、何を起動しているのかわかりません。
cpu使用率が100パーセントになってしまっています。mspdoxは何を処理
しているのでしょうか？知っている方いましたら教えてくださいおね
がいします。説明が下手ですいません。
170 名前：名無しさん＠お腹いっぱい。 [04/05/03 23:01]: >>169
なんだろう？
171 名前：名無しさん＠お腹いっぱい。 [04/05/03 23:02]: 僕のパソコンには、ないなあ。mspdox.exe
172 名前：名無しさん＠お腹いっぱい。 mailto:ひょっとして釣られたか？ [04/05/03 23:04]: うちもないな。
XPproやけど。
173 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:04]: >>158

>全サンプル数 65536 IP
>既に感染してしまった数 5.08%

ハァ・・・
174 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:11]: 2004/05/03 22:17:18 2745
2004/05/03 22:17:18 1025
2004/05/03 22:17:18 445
2004/05/03 22:17:18 3127
2004/05/03 22:17:18 6129
2004/05/03 22:17:18 139
2004/05/03 22:17:18 80
2004/05/03 22:17:21 445

元側でREJECTしているのかも知れませんが、いくつかパターンがある様ですね。
2745だけを叩くタイプもありました。
175 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:18]: >169
msgbox.exeだろ
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:23]: 韓国からバンバン叩きに来ている。
また不正コピーでパッチを当てられない現象ですか？
177 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:28]: >>176
毎度の事じゃ
178 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:33]: .>>174
たたいていく順番にある程度規則性がありますね。
うちも80→139→6129→3127と言うパターンと
445→1025→135→2745と言うパターンが組み合わさってきますね。
どっちか前後はしますが。
179 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:40]: >>169
分かんないけどウイルススレのこの人と同じ症状じゃない？
ms????.exeっての

【正式】ウィルス情報＆質問　総合スレッド☆Part18
pc3.2ch.net/test/read.cgi/sec/1081735712/926-
180 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:42]: D も出たよ。今度は skynetave.exe だと。
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
181 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:44]: pc3.2ch.net/test/read.cgi/sec/1072086930/855-
不正アクセスを晒すスレでも報告多数あるよ。
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:46]: ウイルスバスター2004入れてるんだけど、それだけで大丈夫かなぁ(´・ω・｀)
183 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:49]: ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

pc3.2ch.net/test/read.cgi/sec/1067918099/321
184 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:51]: ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio Personal Firewall 4

・「システムセキュリティ」というプログラム起動を監視する機能により、
　キンタマウイルス　www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
　などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる
　（玄人向けで有料だがTiny5でも防げる。
　　Sygate・Zone Alarmには似たような機能があるが防げない。
　　Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない）

・現時点では日本語化できない
・2バイト文字には対応していない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
　kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある（広告ブロックは有償版のみ）
・Outpostなみに軽い
pc2.2ch.net/test/read.cgi/win/1077780039/233

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
185 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:54]: /////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、
　キンタマウイルス　internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
　などの(ルールが)未決定のアクションを防げる（PFWではない）

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
www.geocities.co.jp/Outdoors-Mountain/9671/ssm/

/////////////////////////////////////////////////////////////////
186 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:55]: このコピペって先日から出没してるキチガイのコピペだよね。
187 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:56]: 901 名前：900[sage] 投稿日：04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)

ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル（重複あり）
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18：00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に

☆結果（検出数/検出率）
BitDefender (*1） 580　　100.0％
AVP (*2) 545　　93.97％
Trend Micro 539　　92.93％
Antidote (*3) 524 90.34％
avast!4 (*4) 470　　81.03％
eTrust (*5) 444　　76.55％
AVG (*6) 212　　36.55％

*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4　迅速な検査＝261　　標準検査＝286　　完全な検査＝470
*5 Heuristic有効。SafetyLevel → Reviewer　　 ScanningEngine → InoculateIT
*6 Heuristic有効。

AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)？
【cool】BitDefender Free Edition【free】
pc3.2ch.net/test/read.cgi/sec/1029516867/901
188 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:58]: 802 名前：Bitｽﾚ901[sage] 投稿日：04/04/04 19:02
BitDefender（以下BD）が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。

誤解してる人がいるかもしれないので念のため。

※AVGの検出は悪すぎたので"3回再ｲﾝｽﾄ＆4回検査”してます。
　で、結果は全て同じ(ﾟдﾟ)

非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください（´・ω・｀）

【フリー】AVG Anti-Virus　Version１５
pc3.2ch.net/test/read.cgi/sec/1079833302/802
189 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:59]: 831 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：04/04/05 01:03
去年(031207)同じようにやった結果

定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う

Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%

*1 ｺｰﾄﾞ解析,圧縮ﾌｧｲﾙ,電子ﾒｰﾙ, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮ﾌﾟﾛｸﾞﾗﾑ圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ
ただしvirus bodiesは584, 懐疑22
*4 圧縮ﾌｧｲﾙ
*5 圧縮ﾌﾟﾛｸﾞﾗﾑ圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ
（一応どれも設定は最高にしてやったつもり）

>>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。

AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。

【フリー】AVG Anti-Virus　Version１５
pc3.2ch.net/test/read.cgi/sec/1079833302/831
190 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/03 23:59]: こぴぺ厨マジうぜぇ
SSMは挙動不審だし
ウイルス検出率もデマだったと言う話だし
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 00:00]: BitDefender（フリーの最新版）
・リアルタイムスキャンできない、メールスキャンできない
・まだ日本語化できない
ringonoki.net/tool/antiv/bitdef.html

AntiVir（フリー版）
・リアルタイムスキャンできる
・メールスキャンできない（常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる）
・まだ日本語化できないに等しい
eazyfox.homelinux.org/SecuTool/AntiVir/AVguard1.htm

avast! 4（フリー版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語版がある、2バイト文字に対応
iso-g.hp.infoseek.co.jp/alwil/avast_home/avast_home.html

eTrust（フリーのプロモーション版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
・導入時に修正パッチをインストールするのがめんどう
etavfp.hp.infoseek.co.jp/

AVG（フリー版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
eazyfox.homelinux.org/SecuTool/AVG6/AVG61.htm
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 00:10]: スタコラサッサDとうとう来たか。
こりゃ連休中にZまで逝くな。
193 名前：名無しさん＠お腹いっぱい。 [04/05/04 00:10]: ちう
194 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 00:11]: >>193
？？？
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 00:14]: >>193
パンダスレに（・∀・）カエレ!
196 名前：名無しさん＠お腹いっぱい。 [04/05/04 00:30]: 私の朝は、

ウイルスバスターオンラインスキャン
www.trendmicro.co.jp/hcall/index.asp

とともにはじまり、

シマンテック・セキュリティチェック
www.symantec.com/region/jp/securitycheck/index.html

を実行しつつ、カフェにいそしむ。

そのあとは、

AVG Anti-Virus フリーバージョンを実行し、
www.grisoft.com/us/us_dwnl_free.php

オミトロンがちゃんと動いてるかチェックする
www.pluto.dti.ne.jp/~tengu/proxomitron/

そのあと、ZoneAlarm　( www.zonelabs.com/ )を眺めつつ、
パンを食べ、

セキュリティ板を巡回し、
pc3.2ch.net/sec/

タバコを一服。
おもむろにウンコをしたあと、読書に耽る。
197 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 00:37]: カフェにいそしむって何ですカ？
198 名前：名無しさん＠お腹いっぱい。 [04/05/04 00:41]: >>197
コーヒーを飲むことでしょ
199 名前：名無しさん＠お腹いっぱい。 [04/05/04 00:52]: ちう
200 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 00:55]: 200
201 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:08]: pc3.2ch.net/test/read.cgi/sec/1080656639/276-278

起動時・シャットダウン時は
Tiny>ZoneAlarm>>>>Kerio4 = Kerio2
Kerioは糞だよ。

起動時kerioは感染します
Outpostは不明
202 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:10]: 良かった、MEで・・・
203 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:10]: 起動時、シャットダウン時に最強なのは
Windows XP SP2のFWだ
どんなソフトよりも強い
204 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:27]: sygateは？
205 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:28]: SP2に一票
206 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:35]: ルーター
207 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:36]: >>206
まぁそれは常識だろ
208 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:37]: いい加減ルーターくらい挟んだらいいのに
ダイアルアップ時はファイアウォールを必ず入れろ
209 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:44]: 今、このﾜｰﾑに気づいたわけだが・・・

TCP445叩かれまくりな上に、他のポートも一緒に叩いてくるのもあるんだが亜種かなんか？
210 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:47]: ABCD
がありますが、どれがいいですか？
211 名前：名無しさん＠お腹いっぱい。 [04/05/04 01:48]: >>35
OCNに入るくらいだから、ド素人・じいちゃんばあちゃんが
ユーザーに多い。
212 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:49]: トレンドマイクロオンラインスキャンでサッサの検知は可能ですか？
一応鬼門と呼ばれるパッチ当てて、仕上げに感染してるか確認取りたいんだけど
定義パターンに登録されてなくて感染してませんと表示されても悲しい
どうかよろしくお願いします
213 名前：名無しさん＠お腹いっぱい。 [04/05/04 01:49]: 665番のアタックが激しい
214 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:50]: 2004/05/03 15:50:12 IP_Filter REJECT TCP 219.***.*.***:3334 > ***.**.**.**:445 (IP-PORT=7)

これかな？
ルータの設定とか、自信ないんで
こういうワームが出現するたびに不安になるよ。
215 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:51]: >>212
可能だよ。
というか可能じゃなかったら困るでしょ。
一応大手ウイルス対策ソフトベンダーなんだから。
216 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:53]: >>210
A ください！　C ばっかりなんで、オリジナルの A がいいで～す。
217 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:57]: Blasterのときと一緒でICMP2048の叩きもきてるね。(pingだっけ？
218 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:58]: 持ってるって意味じゃなくて
A,B,C,Dが出てるって言いたかっただけ　orz
219 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 01:59]: 連休開けは脚立と懐中電灯を倉庫から出しとくのを忘れないように。

つーネタがわかるのはブラスタスレ常連。
220 名前：名無しさん＠お腹いっぱい。 [04/05/04 02:00]: 色々ポート番号で照るけど
221 名前：名無しさん＠お腹いっぱい。 [04/05/04 02:00]: 445やばーい。
でもﾉｰﾄｿ先生がいっぱい弾いてくれてまつヽ( ´∀`)ﾉ
222 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:01]: またアメリカで大停電が起こるの？
223 名前：名無しさん＠お腹いっぱい。 [04/05/04 02:01]: 結局４４５だけ塞いでもだめなのかな？
224 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:03]: >>223
今回のは、445塞げばなんとかなるけど
いろんなワーム（ウイルス）弾くなら、いろんなポート閉じる必要がある
225 名前：名無しさん＠お腹いっぱい。 [04/05/04 02:04]: パッチあてて４４５を塞ぐ。
これで防御できるのかな？
226 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:04]: >>219
そーいえば、ソフマップに「永久懐中電灯」があったなぁ。
値札がついてなかったけど、いくらだろ？
227 名前：名無しさん＠お腹いっぱい。 [04/05/04 02:06]: 全部閉じればいいのに
ntpとdnsだけIPアドレス指定で開けとく
228 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:06]: >>225
1レス上
229 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:07]: 135と445を交互に叩かれる
230 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:07]: >>227
80は開けとけよ
231 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:07]: 445と同時に同じホストが叩いたポートは閉じるべきか
232 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:08]: >>231
そいつのホスト拒否れば
ﾓｰﾏﾝﾀｲ
233 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:08]: >>229
うちもだ。
234 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:11]: >>230
？
こんなのばっかり…
INとOUTの区別はつけなさいよ
235 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:12]: 230じゃないけど
>>227
にはINもOUTも書かれてない罠
236 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:13]: >>235
馬鹿じゃないの
普通わかるだろ
237 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:16]: >>215
ありがとうございます
結果、検出されませんでした
前回のリブートウイルスには見事やられたけど
今回は運がいいのか実害なく終われました
238 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:19]: >>227のは、NTP鯖でDNSかつWWW鯖
239 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:23]: 今気付いたんだが

2004/05/03 16:28:35 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:30 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:22 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:18 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:14 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:12 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:08 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:07 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:05 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745

こいつは何が目的だ　orz
240 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:27]: うぜーな
241 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:27]: ていうか、新たなワームが発見されるたびに
やれ135,137,139だ
やれ445だ
やれ1433,1434だ
って後手後手に対応しても大変じゃないですか？
IN方向は基本的に全拒否にしとけば、まず感染する危険性が激減します
万が一感染してしまったときのことを考えたときに
初めてOUT方向の”ポートを塞いでおこう”という発想になるのです

しかし、ここで”ポートを閉じる”議論を見てると
明らかにインバウンドのお話です
皆さん、ポートは外に向けて開放しておくものではありません
わかってください。お願いします
>>236は言葉が過ぎたので、謝ります。すいませんでした

>>238
ntpはクライアント側も開放しないと通信できません
ルーターはhttpdが動いてるので、80を開放したら大変ですね

では、おやすみなさい
242 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:29]: お願いされちゃったよ、参ったなこりゃ
243 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:30]: OUTを閉じる意見は
>>68,72,73
とかでやってるね
244 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:33]: >>73
は偉い
では、おやすみ
245 名前：113 mailto:sage [04/05/04 02:35]: 活動を見る限りsasserだと思うんだけどavseveも無ければ*****_up.exeもない・・・
マイナーな亜種にでも感染したか?
246 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:36]: まー本来ネットワークは繋げるためにある訳で

FWでinもoutもちくちく閉じてると、なんか空しくなる今日この頃だ
>>241の話は判るんだけどね。
247 名前：定期貼り mailto:sage [04/05/04 02:44]: ■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　LSA Shell(Export Version) has encountered a problem
　This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかしらないがパソコンの反応がメチャ遅い。

■トレンド、シマンテックのデータベース情報、MSの公式対策情報　>>12

■WindowsのLSASS脆弱性にパッチを当てる。
　Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

■MSの駆除ツール　>>5

■ちゃんとしたファイアウォールを入れましょう。解説とリンク　>>3
248 名前：名無しさん＠お腹いっぱい。 [04/05/04 02:46]: アタック来てるのってどうやったら分かるんですか？すいません
249 名前：定期貼り mailto:sage [04/05/04 02:46]: スマソ。あと【SASSER　FAQ　ＸＰ付属ファイアウォール編】>>24
250 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 02:49]: >>248
ログが取れるちゃんとしたファイアウォール入れてればわかる。
しかしその場合はちゃんと防いでいるということだから気にする
必要もないわけだｗ

>>3　>>24　見ておくように。
251 名前：名無しさん＠お腹いっぱい。 [04/05/04 03:08]: >>250
ありがとうございます　
252 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 03:09]: 消しても消しても復活します
253 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 03:12]: ゾネの警告&ログが異常に静かだ・・・・・

ゾネの警備員染んじゃったんだろうか・・・・？
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 03:14]: >>253
それは貴方が仕事を奪っているからです。
ルータの穴を開けましょう。
255 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 03:14]: >>253
気にすんな。あうぽの警備員も静かだ。445が派手に叩かれるのは
連休明け。
256 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 03:21]: まだ１、２分置き位ですな。
ﾌﾞﾗｽﾀのときは半端じゃなかったが、連休明けにはあれぐらいになるのかなぁ・・・
257 名前：113 mailto:sage [04/05/04 03:23]: >>252
システムの復元OFFにしてある?
ってかおいら釣られた?
258 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 03:27]: 久しぶりにルータのログ見たけど、445来てるな～
だが、その数倍の135,137へのアタックが来てるのは…
259 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 03:33]: >>256
１時間2000回くらい来てたな。

あうぽ入れてたが、初心者だったので「許可したルール以外の接続全部遮断」
というルール入れてなかったからOS起動中の10秒くらいのFWの空白期間に
瞬殺で入り込まれてびっくらこいた。　

今度はFW+修正パッチ+アンチスパイで鉄壁…のハズｗ
260 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 03:55]: MSに鉄壁はｱﾘｴﾅｰｲ
261 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 03:56]: 連休明けに会社のPCが一斉にbootしたとたん (･∀･) うひょー
262 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 04:18]: 連休中に、OS再インストしようと思っているものです。
これってネット接続するだけで、感染するみたいだけど、こういう場合はどうすれば安全に再インストできるのでしょうか？

「HDDフォーマット >> OS(WIN2000)インスト >> WINDOWSUPDATE >> 各種アプリインスト」

以前はこうやってたけどこれだと感染してしまいますよね？
263 名前：名無しさん＠お腹いっぱい。 [04/05/04 04:26]: >>262
PFWで防御
264 名前：名無しさん＠お腹いっぱい。 [04/05/04 04:29]: P2P対策なんだろうか…
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 04:37]: 誰か､封鎖ﾎﾟｰﾄ一覧を作ってくれ_|￣|○
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 04:37]: >>262

263の言う通り、PFWをリムーバブル・メディアに保存した上で、
→ケーブルを抜く
→OSを再インストール
→PFWをインストール
→ケーブル繋ぐ
→Windows Update
→各種アプリをインストール

ルータが有るなら、PFWは不要。
TCP445のIncomingを拒否するフィルタリング設定を行えばよい。
267 名前：名無しさん＠お腹いっぱい。 [04/05/04 04:42]: >>265

TCP 139 Incoming & Outgoing
TCP 445 Incoming & Outgoing
TCP 5554 Incoming & Outgoing
TCP 9996 Incoming & Outgoing
268 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 04:48]: >>263,266
つーか、該当ﾊﾟｯﾁファイル先に落としとけばいいんでねぇの？
269 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 04:49]: >245
漏れは同じような状況です。
abserve、*****_up.exe無し。
不定期に突然「～lsass.exe は、状態コード128 で突然終了しました。」
と出てカウントダウン60秒後に再起動がかかる。

原因が分からないから不気味だ…
270 名前：名無しさん＠お腹いっぱい。 [04/05/04 04:50]: >>268
HA!HA!HA!
コリャ一本取られたネ！

確かにその通りだ。
271 名前：名無しさん＠お腹いっぱい。 [04/05/04 04:52]: >>268
手間隙かけるのが苦痛で無ければな
272 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 04:58]: 明日は田代砲の日か…

またﾀﾞｳﾝする悪寒
273 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 05:11]: TCP/UDP全ポートの受信を拒否するようにしたんですがこうすると安全なんですか？
274 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 05:16]: >>273
そんなことするぐらいならLANケーブル引っこ抜け。
275 名前：名無しさん＠お腹いっぱい。 [04/05/04 05:18]: 　　　　　　　　　 , -ｰ,
　　　　　　　　／　　 | 　
　　 ∧∧　　／　　　　| 　 TCP/UDP全ポートの
　　(*ﾟーﾟ)／.　　　　 |　受信を拒否するように
　　 |　つ'@　　　　　 |　したんですがこうすると
　～＿`)｀).　　　　　 |　安全なんですか？
￣￣￣しU　　　　　　 |　
　　　　　|　　　　　　　 |　
～～～～～～～～～～～～
　　　　　　　　　　　　｜
　　　　　　　　　　　>>274
276 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 05:19]: >>261
ﾊｹﾞﾜﾗ！
277 名前：262 mailto:sage [04/05/04 05:20]: >>263 >>266
レス、どうもです。

「HDDフォーマット >> OS(WIN2000)インスト >> Norton-PFWインスト >> Norton-PFW、UPDATE >> WINDOWSUPDATE >> 各種アプリインスト」

こんな感じで行ってみようと思います。
278 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 05:25]: >>274
ケーブルじゃなくて無線なんです…
279 名前：名無しさん＠お腹いっぱい。 [04/05/04 05:27]: >>278
第一にどうやって2chのログを読んでいる。
第二に、それならFWのデフォで十分。
280 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 05:40]: >>273
おい！
早くルーター買い換えろ
閉じてログ見えるんなら、おまいのルーターは壊れてるぞ
早く！急げ
281 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 06:26]: Win98SE使ってますが
サッサーに感染しますか？
282 名前：名無しさん＠お腹いっぱい。 [04/05/04 06:29]: >>281
しない。相手にされてません。
283 名前：名無しさん＠お腹いっぱい。 [04/05/04 06:40]: >>281
しないよ。
高みの見物と以降じゃないか、同士よ。(･∀･) ｳﾋｮｰ
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 06:44]: In/Outの違いが分かってない奴多いな。
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 06:45]: Windows Updateの重要な更新をインストールしておけば
www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
ここのパッチはダウンロードしなくても感染しませんよね？
286 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 06:48]: >>285
WindowsUpdateにそのパッチが入ってるので
ダウンロードする必要はありません。
287 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 06:49]: >>281
WORM_SASSER.B
変種・亜種: WORM_SASSER.A
感染報告有無: あり
プラットフォーム: Windows 95,98,ME, NT, 2000, XP
288 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 06:52]: >>287
その情報はおかしいだろ
www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
＞影響を受けるシステム: Windows 2000, Windows Server 2003, Windows XP
289 名前：名無しさん＠お腹いっぱい。 [04/05/04 06:53]: この大法螺吹き>>287に、誰か正義の鉄槌を下し給わん事を
290 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 06:54]: >>286
どうもありがとうございました。
291 名前：287 mailto:sage [04/05/04 06:57]: トレンドマイクロでは98も対象になってるぽ

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
292 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 06:59]: まぁ情報が錯乱してるから、どうにも言えんな。
1週間後には、まとまってるかな
293 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 07:03]: 9xにはワームは入るが活動はしない(できない)とか
あくまで憶測
294 名前：287 mailto:sage [04/05/04 07:06]: MSのWEBには98については「緊急」ではないと書いてある

これはMSにとっては緊急ではないから98用のパッチを出さないということか？
295 名前：287 mailto:sage [04/05/04 07:09]: トレンドマイクロから届いたウイルス警告メールでも

○感染の危険のあるプラットフォーム
　Windows 95、98、Me、NT、2000、XP

となっている。
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 07:11]: 9x系を見放しただけ
297 名前：名無しさん＠お腹いっぱい。 [04/05/04 07:14]: 2k/XP以外では、セキュリティホールを利用したリモートコントロールが出来ないと書いている。
だからFTP転送によるコピーも出来ない。

＞Windows 95,98,ME, NT, 2000, XP
この無節操なラインナップから見て、通常ありえない形で強引に感染させたんじゃないの？
そしたらレジストリを変更したり、Systemフォルダに何かファイルを作った、と。
でも活動は、出来ない、と。
そういう事だろう。
298 名前：名無しさん＠お腹いっぱい。 [04/05/04 07:19]: サッサのA.B.Cが入ってたんですけど。。。
Cも出てるんですね。
299 名前：名無しさん＠お腹いっぱい。 [04/05/04 07:20]: >>298
Dもあるでよ。
300 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 07:21]: サッサZはまだか？
301 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 07:22]: Zの次はなに？
302 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 07:24]: AA
303 名前：次 mailto:sage [04/05/04 07:24]: AB
AC
...
304 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 07:27]: コノ時間に即レス＆マジレスがthx
ちなみに445より135が増えてきた
305 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 07:45]: ルータってデフォでInは繋げないものですか？
306 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 07:52]: >>305
うちのルーター、デフォルトではTCP&UDP137~139しか閉じてなかった。
307 名前：名無しさん＠お腹いっぱい。 [04/05/04 07:58]: サッサーが発生してからupdateしてないのに、今updateしてみたら
重要な更新は見つかりませんでした。
どうしたらいいでしょうか？
xpです。
308 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 07:59]: >>305
家のルータ(I.O Data WN-G54/BBR)だとデフォルトでIn側TCP/UDP全ポート拒否になってる。
309 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 08:00]: >>307
今回の件で問題になってるパッチはさっさ発生以前に既にリリースされてるよ
310 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 08:00]: >>307
Sasserが出てからまだ新しい更新はUPされてないし。
311 名前：287 mailto:sage [04/05/04 08:02]: >>307
4月の14日にうpdateしてたら大丈夫
312 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 08:02]: I-Oってストレージ製品は結構良いけどネットワーク系弱いよな
313 名前：名無しさん＠お腹いっぱい。 [04/05/04 08:02]: >>307
534 名前：名無しさん＠４周年[sage] 投稿日：04/05/04 06:14 ID:OVIHs4Kx
KB835732入ってるか気になって今WindowsUpdateの履歴調べてみたら
4月18日に自動更新されてたヽ（´ー`）ノ
314 名前：307 [04/05/04 08:07]: >>309
>>310
>>311
>>313
皆さんありがとうございました。安心しました。
315 名前：308 mailto:sage [04/05/04 08:08]: >>312
前に使ってたI-Oのルータ(名前忘れた)は落ちまくる糞ルータだったけど今のは特に不満ないよ。
316 名前：名無しさん＠お腹いっぱい。 [04/05/04 08:10]: 要するに９８ＳＥの私はダウンするパッチもないので放置すればいいってことですね？
317 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 08:11]: >>316
アンチウイルスソフトを入れて、定義を最新のものにする。
FWを入れる。
これでOK
318 名前：312 mailto:sage [04/05/04 08:14]: おっ
今度買うとき参考にするよ。THX
319 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 08:29]: 漏れはHDD,DVD-RAM等はI-O
ルーターはバッファロー
LANカードはコレガ
320 名前：31 mailto:sage [04/05/04 08:34]: >>245 >269
321 名前：31 mailto:sage [04/05/04 08:36]: >>245 >>269
もれも同じ状況だったYO
とりあえず、修正パッチとファイアウォール(Outpost)を時限爆弾前にｻｻｯと入れておいたらポート445は塞げるから時限爆弾は登場しない。
そしてｵﾝﾗｲﾝｽｷｬﾝしてみたら、msblastとnachiに感染してますたよ。
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 08:37]: >>320
その2つはDじゃないか？
skynetave.exe
だけど
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 09:57]: ゴールデンウィークに出てくるのは
やっぱり日本狙ってるのか？
このせいでゴールデンウィーク明けに
仕事に支障が出るわけで
海外企業または何らかの組織の陰
324 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 10:04]: >>323
この時期は中国とかマレーシアも長期の休みになるから
日本も含めてアジア地域を狙っている可能性はあるな
325 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 10:08]: 糞パッチ修正版(English)ができたらしい
まだ、公開はしてないぽ
326 名前：名無しさん＠お腹いっぱい。 [04/05/04 10:31]: もういやだ
パソコン使うのやめる
327 名前：名無しさん＠お腹いっぱい。 [04/05/04 10:34]: もまいら！！

サッサと言えば金鳥（ｒ
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 10:38]: >>325を補完します

support.microsoft.com/default.aspx?scid=kb;EN-US;841382

[Hotfix information]に修正パッチのファイル情報があります。
329 名前：名無しさん＠お腹いっぱい。 [04/05/04 10:39]: ここにお集まりの2ｃｈの皆さん、お助けください。
義兄のPCがこのウィルスにやられたみたいです。
再起動を繰り返し立ち上がってきません。災厄データだけでも抜き取りたいのですが
他のPCへセカンダリとして接続しても、感染しないでしょうか？
また、他に良い方法があればご教授ください。
330 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 10:43]: う～んネットを始めて4年経つが一度もウイルスに感染したことが無い
運がいいのかセキュリティーが完璧なのか
はたまた誰にも相手にされないのか
331 名前：名無しさん＠お腹いっぱい。 [04/05/04 10:54]: >>329
接続したPCが何も対策してなけりゃ、感染する。
データ移動については、USBメモリでも買ってくれば？
災厄データがどんなもんか知らんがｗ
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:02]: >330
トロイはどっさり持ってそうだな、オマエ
333 名前：名無しさん＠お腹いっぱい。 [04/05/04 11:04]: >>329
再起動するまで時間差あるでしょ？
パッチあてて駆除ツール使え
334 名前：名無しさん＠お腹いっぱい。 [04/05/04 11:08]: >>331
>>333
ありがとう！
しかし、立ち上がる前に再起動になってしまいます。
立ち上がらなければ、何もできないですか？
335 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:13]: >>334
>>4 に書いてあるMSの対策ページには目を通したのか？　と小一時間・・・
336 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:13]: >>326
大正解！
337 名前：287 mailto:sage [04/05/04 11:14]: ここに書いてあるセーフモードで立ち上げてってのでどうだい

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
338 名前：名無しさん＠お腹いっぱい。 [04/05/04 11:15]: news5.2ch.net/test/read.cgi/newsplus/1083582626/326
326 ： ◆C.Hou68... ：04/05/03 22:38 ID:RWPnrrSh
>>315
念のため言っとくとAirH"じゃ穴は塞げないぞ。
ところでIDからすると、PCはやっぱ不治痛？
*****
を見て、来ました。
AirH"＋VB最新定義＋WIN・update本日AM11:11現在利用可能な更新なし
でしなくてはならないことはあるでしょうか？
339 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:17]: >>335
じゃあﾈｯﾄに繋がらない俺はどうしたらいいのかと小一時間t(ry
340 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:20]: この1週間、私自身はアップデートしてないのですが　（父がしたかも？）
アップデートの更新をしても「重要な更新項目はありません」
みたいな文章がでます。

…安心して良いんだよね……？ｶﾞｸﾌﾞﾙ
341 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:24]: >>338
AirH"やmoperaを使う時は、PFWを入れて完全stealthにした方がいい。
342 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:27]: >>332

自分は8年目になるけどウィルスもトロイの類も無い…。

＃しかし135と445へのアタックが凄いな。(十数秒刻みで…)
＃適切なパッチ当てやルータ、ファイヤーウォール等を導入
＃してない奴が多いんだな。
343 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:34]: ルーターのログに見事に445が並んでる(´ー｀)
344 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:34]: >>330
自分もそのくらい経つけどなんもない。
たまにオンラインスキャンしてるけど何も出てこない。
345 名前：287 mailto:sage [04/05/04 11:38]: 今頃気づいたんだけど
阪神が単独首位やん
346 名前：338 [04/05/04 11:39]: >>341
ありがとうございました。
347 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:40]: 昨日サッサーに感染したんだけど、今日WINDOWSのアップデートと
ファイアーオールをONにしたら、カウントダウンがなくなり、普通に繋げるようになってる

一応

・セーフモードでレジストリ確認
・トレンドのオンラインスキャン
・windowsの検索

やってみたけどなにも出てこない。このままにしておいていいんでしょうか。
348 名前：名無しさん＠お腹いっぱい。 [04/05/04 11:41]: FWのログ見てると445へのアタックもあるにはあるが
同時に4つくらいのポート(毎回同じ)をたたいていくやつの方が多い。
みなさんのところはどうですかい？

ちなみにたたいていくのは80,139,6129,3127と445,1025,135,2745
これを規則的にたたいていくんだが。
349 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:43]: >>348

135,445が多いね。80,139,6129,3127は不定期に来る感じです。
350 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 11:47]: >>344
まあ普通はそんなもんじゃない
351 名前：名無しさん＠お腹いっぱい。 [04/05/04 11:49]: >>339
じゃあここは何？ネットじゃないのか？
携帯で見てるのならスマン（ｗ
352 名前：名無しさん＠お腹いっぱい。 [04/05/04 11:56]: ZoneAlarm使いだが
445単独のたたきはDNS逆引きができるのに、
ポートまとめたたきのやつはなぜか逆引きが出ない。
(すべて***.in-addr.arpaになる)

これはどういうことなのかな？
大したことじゃないけど、ログがこれで埋まっていくのは気味悪いし。
353 名前：名無しさん＠お腹いっぱい。 [04/05/04 12:04]: ルーター入れてれば、問題ないのにね。
354 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 12:16]: >>353
禿胴。
この辺見て不要なポート塞ぐべし。
www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap4/router.html
355 名前：名無しさん＠お腹いっぱい。 [04/05/04 12:20]: ＯＳはウインドウズ９８なんだけど
サッサーに感染しますか？
356 名前：名無しさん＠お腹いっぱい。 [04/05/04 12:20]: >>347
オンランインスキャンで、なんもでてこないならいいんじゃないの。
357 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 12:21]: 久々に、ADSLモデム（ルータ機能込）のログを見たが、
何じゃコリャって感じ。
韓国だの、台湾だの、おフランスだの…。
358 名前：名無しさん＠お腹いっぱい。 [04/05/04 12:23]: ３５５です。
自己解決しました。
359 名前：名無しさん＠お腹いっぱい。 [04/05/04 12:24]: ６０SecカウントダウンPC再起動sasserに感染したら
>>40でもみておけ
360 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 12:37]: 既出かもしれませんが以下の症状もあるみたいですね。

・スタート→すべてのプログラム→（なし）になっている。
　（もしくは一部のプログラムがなくなっている）

・ユーザー設定した覚えがないのに終了オプションで
　「ユーザーの切り替え」が増えている。
　（SP1をあてた事によってできるユーザーではなく。）

・スタートボタンがない。終了オプションがない。電源を切るがない。
361 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 12:39]: ニュー速で”ウイルスマッチポンプ説”を持ち出してる人が居る。
ウイルスが蔓延して儲かるのはセキュリティ業界だからそう考えるのも
自然といえば自然だよね。
362 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 12:42]: >>361
確かに何となく納得は行くが・・・
ばれれば自爆行為だろ。
世界中から袋叩きにあうだろうからね。
363 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 12:44]: なんか急におさまってきた悪寒
364 名前：名無しさん＠お腹いっぱい。 [04/05/04 12:52]: ｱｷﾊﾞ某店
店頭のPCが佐々に感染してた
ﾆﾔﾆﾔ
365 名前：名無しさん＠お腹いっぱい。 [04/05/04 12:58]: なんか同一IPからのアタックがすさまじいな。
10秒から30秒おきに8つのポートを同時にたたいてくる。
ちなみに第三オクテットまでうちのIPと同じ。

けど、カウントダウン式とはちょっと考えにくいような気もするんだが・・・ひょっとして別物か？
366 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 13:55]: スタコラサッサと逝こうぜ。
367 名前：名無しさん＠お腹いっぱい。 [04/05/04 13:58]: >>362
でも、他人の不幸で儲けているために怨嗟の的になっているのは確か
368 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 13:59]: 全くｱﾀｯｸがないのはちと異常か?
369 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 14:03]: 休み明けサポセン大忙しの予感ｗ
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 14:03]: >>365
大規模感染タイプのワームはみなそうだが「システムをなるべく
クラッシュさせない」のがデザイン上の原則。LSASSがクラッシュ
→OS再起動してしまのは意図的なものではなくて、コードのバグ
とマシンの環境によっていろいろな「相性問題」ｗが出てるという
ことでは？

ただ[ランダム数字4桁_up.exe]が見あたらないケースはちょっと不審。
ほんとうにＳASSERなのか、亜種なのか…？
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 14:09]: 誰かがカキコしてたが、犯人のリリースのタイミングが１週間
早すぎた。GW明けと同時にリリースだったらもっと混乱した
だろう。

大きなシステムは休み中でも当直がいるからせっせと対策している。
個人もインターネットから情報を入手している。去年ブラスタでイタイ
目にあった被害者の半分くらいは急いでパッチ当てるはず。

よってブラスタに比べたら流行はずっと小規模になる。

…はずだといいなｗ
372 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 14:13]: >371
日本が標的ならな
GWなんて他の国はねーし
373 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 14:35]: サッサ対策web
www.jade.dti.ne.jp/~sassa/
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 14:53]: 質問。
最近、ＰＣの状態が悪い。
先ほど、シャットダウンをするためすべてのデータを保存しログオフしてください。
なるものがでた。このプログラムでコードがなんたらかんたら・・
カウントダウン形式で１分前からカウントダウンが始まりました。
それに最近ははスタートアップ時に多分スパイウェアのせいでシステム情報が
出るなど・・Runtime　Erorrがでるなど・・・そのためにスパイウェア駆除ソフトを
昨日いれました。あとスタートアップにGstartupなるものが・・・これが
情報を送ってウイルス感染・・・てのはないよね・・ノートンあるけど期限切れの予感。
これってやばいか？もしかしたらこのウイルスか？ＬＳＡシェルに問題発生っていう
警告も出た。
その後も何度も再起動させられてﾒﾓって見た。

NTAUTHORITY\SYSTEMに開始されたと書いてあった。
でﾒｯｾｰｼﾞみたいのが入ってて内容がＣ\WIDOWS\SYSTEMlsass32が
状態コード１０７３７４１８１９を突然終了させましただって。
急いでたから間違ってるかもしれないがなんかやばそう。また開始されました。どうっすりゃいんだ・・・
375 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 14:55]: >>374
LSASS？Sasserにやられてるんじゃないの？
この機会にセキュリティに関心を持っては如何？
376 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 14:57]: >>374

このスレまでたどり着いた君なら自力でなんとかできるさ。
377 名前：３７４ [04/05/04 15:05]: しかしサッサではなくなんらかのウイルスの可能性はある？ウイルス全くわかんねぇからさ。でも６０秒カウントダウンさせるのはやばいだろ？またシャットダウンさせらたから今携帯。
378 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:09]: >>374
その症状はSasserの可能性が一番高いと言ってるのだと思うが。
それを信用する・しないは君の自由だ。好きにしろ。
379 名前：名無しさん＠お腹いっぱい。 [04/05/04 15:14]: 喪前はｾｰﾌﾓｰﾄﾞを使ったことはないのか
380 名前：３７４ mailto:sage [04/05/04 15:18]: >>378やはりそうだよな。しかし対処したいが勝手にシャットダウンして対処できないんだよな…どうすりゃいいのか…
381 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:21]: >>374
漏れも同じ状態になります。
ただ、最初にその症状がでたのが４月２９日の夕方
昨日ａｈｏｏのニュースみてｵﾝﾗｲﾝｽｷｬﾝかけて、ＡＶＧ最新版で完全スキャンかけて
ｼﾏﾝﾃｯｸの駆除ツールを使ってみたが何も見つからなかった・・・

パッチ当てたら症状はでなくなりますた。
382 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:21]: うーん、ノートンは入れてるけど、「統計」っていうの見ても
「最近の侵入の試み」０件、
「最近試みがあった攻撃者」なし…
6時間も起動してるのにこれじゃあ、うちのノートソ先生死んでるのかな？
って思ったら、ここで初めて「ルータの履歴」が見れる、っていうのを知って、
どうにかルータ（うちは無線LAN）の履歴を見たら…
ぎょえーー！！本当に445と135だらけでした！！こえええーーーーー
ルータのログ情報の「現在のアクセス数」2300っていう数も、このせいなのかな？
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:21]: >>374
>>2
384 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:22]: >>380
お前さんはこのスレの1-10ぐらいも読めないのかと…
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:22]: シャットダウンされてる最中にファイル名を指定して実行で「shutdown -a」か
もしくはLANケーブルを抜くといいですよ。
386 名前：381 [04/05/04 15:25]: >>370
漏れは感染してるのかどうかわかりませんが・・・

>ただ[ランダム数字4桁_up.exe]が見あたらないケースはちょっと不審。
これは見当たりません
387 名前：381 mailto:sage [04/05/04 15:28]: ｾｰﾌﾓｰﾄﾞで起動してないけどダメかな？
ｵﾝﾗｲﾝｽｷｬﾝもｾｰﾌﾓｰﾄﾞで起動させるの？
388 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:29]: >330
うちも4年だけど先日初めてsasserにやられました
（ウイルス製品も最新にしてたしFWも完璧にしてたのに・・）
389 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:30]: >>374
帰れ
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:33]: >>388
＞ウイルス製品も最新にしてたしFWも完璧にしてたのに
なぜWindowsUpdateをやらないのに完璧なのか…お前も帰れ。
391 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:35]: そんな佐々ーに一言↓
392 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:37]: なんでルータをかませてると平気なんですか？
393 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:43]: ウイルス製品とやらが売られているのか？へー。
394 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:50]: >>392
まずは>>1にも記載されているリンク先を読んで欲しい。
www.isskk.co.jp/support/techinfo/general/Sasser_172.html

で、ルータを使えばこの中にある
＞マニュアルプロテクションを行うには、TCP ポート 139, 445, 5554, 9996をネットワークゲートウェイでブロックしてください。
という処理が出来るから比較的安全になる。

勘違いして欲しく無いのは、「ルータが入っているから安全」ではなく、きちんと設定しなければ意味がない。
それと、ルータはウイルスを駆除してくれるわけじゃない。あくまでも「侵入を防ぐ」だけ。
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:51]: >>393
尾満テックが業績快調で、笑いが止まらなくて思わず屁をこいたら身が出たって言うのが
ニュースになるくらいだからな。
396 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:51]: ﾊｧ？
397 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:56]: いつカウントダウンが始めるか分からないのに、終わらせられるか？
398 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 15:59]: >>397
日本語でお願いします
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:04]: 放置汁
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:09]: サッサに関しては例のパッチ当ててれば大丈夫だよね？

一応Norton AntiVirus 2004とXP標準FWはつけてます。
401 名前：名無しさん＠お腹いっぱい。 [04/05/04 16:10]: パターンファイル更新してれば安心だね
402 名前：名無しさん＠お腹いっぱい。 [04/05/04 16:11]: ルーターって通常445ってふさいでるでしょ？
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:11]: え…げーとうぇいでぶろっく？？（;　´Д｀）
WAN側からのパケットを無視（拒否？）する、TCP135と445…とかにすればいいのかな。
とりあえず履歴に山ほど135と445は残ってるけど、感染はしてない。
404 名前：381 mailto:sage [04/05/04 16:13]: すいません。
帰ってからセーフモードで起動していろいろやってからまた報告にきます。

lsass.exeが壊れたのが2004/4/29 19：26くらいだったから、感染してるんだったら
かなり早めの感染ですね＿|￣|○　ﾆﾎﾝﾃﾞｲﾁﾊﾞﾝｶﾓ
偶然lsass.exe壊れたってことは・・・ないな
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:13]: サッサを駆除してるうちにカウントダウンが始まったらどうするのって言ってるんだが。カウントダウンが始まらない方法があるなら教えてほしい。みての通りあまりパソコンは得意じゃない。
406 名前：381 mailto:sage [04/05/04 16:14]: それと、余談ですが漏れの消防の時のあだ名が「サッサ」だった＿|￣|○
407 名前：名無しさん＠お腹いっぱい。 [04/05/04 16:15]: ルーターのログがすごい事になってるね
TCP445が突かれまくりだわ・・・ルーター大丈夫だろうか・・・頑張ってくれ
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:21]: >>403
通常はデフォルト設定でも通さないはずだけど、心配ならTCPの139, 445, 5554, 9996のIN・OUT両方をReject（破棄・拒否）するルールを追記しておけば良い。
409 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:22]: なぜout
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:22]: >>405
>>2
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:23]: >>409
自分が感染した時の用心だけど？
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:24]: ふーん
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:25]: >>407
某ISP用の某ADSLモデムが昨日は落ちまくりだったよ。(w
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:25]: 5554はoutを塞いでおかないとね。
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:25]: タダでばらまいてるやつ
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:26]: フレッツADSLのNV,NV II 使ってる奴はデフォルトで塞がってるだろ。
417 名前：名無しさん＠お腹いっぱい。 [04/05/04 16:27]: aterm 202cはふさがってる？
418 名前：名無しさん＠お腹いっぱい。 [04/05/04 16:30]: 初心者にこそルータは必須
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:32]: なんで今日仕事しなきゃいけないんだよｳﾜｱｧｧｧｧｱヽ(`Д´)ﾉ
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:35]: >>417
説明書を読んで、自分で設定を確認してくれ。

分からなければ、
www.symantec.com/region/jp/securitycheck/index.html
https://grc.com/x/ne.dll?bh0bkyd2
あたりでチェックしてくれ。
421 名前：名無しさん＠お腹いっぱい。 [04/05/04 16:45]: ルーターのログ見れないんだけど・・防いでくれてるのかな？
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:49]: >>406
佐々クンor佐々木クン？
423 名前：名無しさん＠お腹いっぱい。 [04/05/04 16:51]: >>419
ウイルス駆除ソフト入れてればいいんじゃないの？
424 名前：名無しさん＠お腹いっぱい。 [04/05/04 16:52]: >>413
yahoo？
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 16:52]: >>382 ネタだろ。

2300でなくて、23だろ。
netstat -na したら、2300個も出てくるなんて、幾つ接続してるんだYo！
426 名前：413 mailto:sage [04/05/04 16:53]: no。
427 名前：413 mailto:sage [04/05/04 16:54]: >>426=>>424へのRes。スマソ。
428 名前：381 mailto:sage [04/05/04 16:54]: >>422

○○さ○　さ○○

なぜかこれであだ名がサッサ・・・
429 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:01]: というかファイル指定しても途中でレジストリが消えるのだが・・
430 名前：名無しさん＠お腹いっぱい。 [04/05/04 17:11]: サッサーの攻撃が、激しい・・・ウイルスバスターが防御してくれているが・・・
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:13]: >>428
ふじさわ　さちを　　　　（ｗ
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:14]: ながさか　さとる

だな。
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:17]: >>381の仮名募集中で～す。（ｗ
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:24]: >>428
たかさきさとし
でどうだ。
435 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:31]: サッサがあだ名だと、おいサッサ、サッサとしろよとか言われてそうだな。
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:32]: サッサ繋がりで、金鳥は夏だけでいいとか言われそうだな。
437 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:32]: そんなサッサに一言↓
438 名前：定期貼り mailto:sage [04/05/04 17:33]: ■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続
するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　LSA Shell(Export Version) has encountered a problem
　This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかしらないがパソコンの反応がメチャ遅い。
・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで確認
　しましょう。
　　　www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120

■Microsoft公式ページ
・Sasser ワームについてのお知らせ
　　www.microsoft.com/japan/security/incident/sasser.mspx
・Sasser 対策 Windows XP
　　www.microsoft.com/japan/security/incident/sasser_xp.mspx
　（XP付属ファイアウォールの使い方は >>24）
・Sasser 対策 Windows 2000
　　www.microsoft.com/japan/security/incident/sasser_2k.mspx
・セキュリティ修正プログラム (835732) (MS04-011)
　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
・すでに感染しているマシンにパッチを当てる場合
　MSの駆除ツール>>5

■トレンド、シマンテックのデータベース情報　>>12

■ちゃんとしたファイアウォールを入れましょう。解説とリンク　>>3
439 名前：381 mailto:sage [04/05/04 17:37]: >>432
(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>434
（ ;ﾟДﾟ))ｶﾞｸﾌﾞﾙ

>>435
なんで知ってるの・・・
440 名前：名無しさん＠お腹いっぱい。 [04/05/04 17:37]: 佐々ちね！
441 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:39]: 佐々成正
442 名前：名無しさん＠お腹いっぱい。 [04/05/04 17:40]: >>407
…さっきから２度も落ちた…。
山のようーなアタックぅ…（涙）
…ぷららなせいか？
アタックもぷららからが多い…。
ＤＱＮなご近所さんが多いと…。
443 名前：音速のゴト師 mailto:sage [04/05/04 17:41]: ブラスターが流行った頃のYahooBBからのメール（抜粋）

…━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…

　Yahoo! BBでは、今回の「エムエスブラスト」の蔓延に対する緊急対策
　として、現在、「エムエスブラスト」が流入する一部のポート番号
　（TCP/UDP：135,139,445）における通信を遮断しております。
　そのため、該当ポート番号を使用した一部の通信サービス、インターネット
　経由でのファイル共有（Netbios over TCP/IP）やExchangesサービス
　（Microsoft DS）等がご利用いただけない場合があります。
　これは、全国的なウイルス蔓延をかんがみての緊急対策であることを
　ご理解いただき、ご容赦いただけますようお願いいたします。

…━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…

臨時とか言いながらいまだに上記処置が継続中の模様。
よってウチのルーターは平穏そのもの。

．．．しっかし、上記ポート閉じちゃって仕事に影響出た人
いなかったんだろうか．．．（強引かとも思うんですがねぇ）
444 名前：名無しさん＠お腹いっぱい。 [04/05/04 17:43]: >>443
「エムエスブラスト」を「エクトプラズム」って読んじゃった。
ＹＢＢならありかと…ｗ
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:45]: ぷららの意気地なし～～～～

わぁ、ぷららが立っ（ｒｙ
446 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:47]: 今、田舎何だけど､ｻ､ｻ､ｻ､ｻのアタックは来てない・・・・
明日、東京に戻ったら(((( ;ﾟдﾟ)))ｱﾜﾜﾜﾜってことになるのか？
447 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:47]: 　|￣￣￣￣￣￣￣￣￣|
　|　つぎでボケて！. 　　|
　|＿＿＿＿＿＿＿＿＿|
　　　 ∧∧ ||
　　　 ( ﾟдﾟ)||
　　　 /　づΦ
448 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:50]: 名前：381[sage] 投稿日：04/05/04 17:37
>>432
(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>434
（ ;ﾟДﾟ))ｶﾞｸﾌﾞﾙ

>>435
なんで知ってるの・・・

スルーされた>>431 >>433 orz
449 名前：名無しさん＠お腹いっぱい。 [04/05/04 17:54]: …こないだルータ初期化したの忘れてた…。
せっかく色々登録していたフィルタが真っ白だった…（涙）

１３５も４４５ちゃんと防いでくれてたけど。
慌てて他のも登録し直したさーｗ

デフォでどれが入ってんのかなあ？
450 名前：381 mailto:sage [04/05/04 17:54]: >>448

>>432　>>434はホントにビビッたんだｙｐ

>>433
もうヤメレ・・・

>>431
正直スマンカッタ
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 17:57]: 381を防ぐ方法を教えて下さい
452 名前：381 mailto:sage [04/05/04 18:00]: >>451
もう書き込みませんので安心してください
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:00]: ちょっと質問です
１日の夜からインターネットへ正常につながらなくなり、
常駐を見ると（数字）_up.exe が起動していました。
それからＯＳを再インストールして直したのですが、これはsasserでしょうか？

メッセでよく話す友人のＰＣにＬＳＡＳＳのエラーとか出て再起動がかかる症状が
出ていたので、そのあたりとの関係があるような気もします。
454 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:02]: ルーター（ADSLモデム一体型）のログを見たら、今も一秒間に数通き続けているが
弾いている。全部445だよ。こりゃぁ、すげぇなぁ・・
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:04]: >>453
書き込む前に>>1-10くらいまで読んでからきなさいな
456 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:04]: >453
大当たり
457 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:10]: 末尾の文字変えてみたら既にDまでありますたｗ
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.C
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
Eもやったけどまだ無いみたい
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:10]: >>455
こんな大物に感染したの初めてだったんで取り乱してました
今度からもっと落ち着いて書き込むようにします。
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:12]: blast(ry
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:18]: もう一台のPC、パッチ当ててないが
使用者はルーターで弾かれてるしXpのFW機能オンだから大丈夫と言ってやがる……

パケットフィルタリング機能オフにしておいてやろうかな
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:20]: 整理するとWindowsファイルに作られるのは・・
WORM_SASSER.A ＝＞数字_up.exe
WORM_SASSER.B ＝＞数字_up.exe
WORM_SASSER.C ＝＞数字_up.exe
WORM_SASSER.D ＝＞skynetave.exe
のようだ。
462 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:22]: >>460
自動更新に設定させとけよ
463 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:23]: Dも数字じゃなかった？
464 名前：名無しさん＠お腹いっぱい。 [04/05/04 18:24]: 休暇から帰ってきてパソ立ち上げて感染してる香具師がどんどん増殖中なんだろうなあ…。
休暇中でもニュース見とけよ。
つーか、ネットやるならセキュリティを忘れるな！
465 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:25]: >>460
実際大丈夫なんだから良いじゃない。人のやり方にケチつけないくても。
466 名前：461 mailto:sage [04/05/04 18:26]: >>463
既出だがDはドイツで発見されており、数字ではないようだリーベ。
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:28]: 俺の知り合いはＰＣ買ってから１度もアップデートすらせずにつかってて
去年blasterに感染してsasserにも感染したよ
blasterも自分で治せなくてリモートで他人に治させた
今回あたり自分が犠牲者になりそうで怖い
468 名前：名無しさん＠お腹いっぱい。 [04/05/04 18:31]: >>454
おらも見てみたが、ほんとに来てる（（；ﾟДﾟ）））ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
ちゃんとREJECTできてるけど。　こりゃ、相当な勢いで広がりそう．．．
469 名前：名無しさん＠お腹いっぱい。 [04/05/04 18:31]: >>467
その知人にはネットをやるなと伝えてくれたまえｗ
470 名前：名無しさん＠お腹いっぱい。 [04/05/04 18:35]: さっきまで色んなポート叩かれてたけど、ここへ来て４４５一色に…。
旅行から疲れて帰って、パソ立ち上げてウイルス感染。
で、リカバリーで更にお疲れ？ｗ
対処法知らないと現在パニックになってる真っ最中かな？
サポートもお休み多そう…（人）ﾅﾑｰ
471 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:36]: 今日 18:18:59 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745
今日 18:18:59 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025
今日 18:18:59 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445
今日 18:18:59 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127
今日 18:18:59 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129
今日 18:18:59 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139
今日 18:19:00 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745
今日 18:19:00 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025
今日 18:19:00 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129
今日 18:19:00 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127
今日 18:19:00 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445
今日 18:19:00 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139
今日 18:19:00 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025
今日 18:19:00 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745
今日 18:19:00 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129
今日 18:19:00 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127
今日 18:19:00 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445
今日 18:19:01 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139

誰だか知らんが、2秒間にこんなに・・・・・・
ネット重くなってるだろうな。
472 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:43]: 去年の夏に引き続き今回もログ貼り付けが流行ってるのかw
473 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:46]: これサッサーってよむの？
474 名前：ぷらら。 mailto:sage [04/05/04 18:47]: 我が家のログ。他で貼る機会もないしｗ

2004年5月4日 17時58分15秒フィルタ 220.186.197.* からNBT 又は Microsoft-DS パケットのルーティング UDPポート:137
2004年5月4日 17時58分15秒フィルタ 220.186.197.* --> 我が家 UDPポート:137
2004年5月4日 17時57分09秒フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時57分09秒フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時57分03秒フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時57分03秒フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時57分01秒フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時57分01秒フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時55分56秒フィルタ 24.79.122.* からNBT 又は Microsoft-DS パケットのルーティング UDPポート:137
2004年5月4日 17時55分56秒フィルタ 24.79.122.* --> 我が家 UDPポート:137
2004年5月4日 17時54分16秒フィルタ 220.108.79.*からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分16秒フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時54分10秒フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分10秒フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時54分07秒フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分07秒フィルタ 220.108.79.1* --> 我が家 TCPポート:445
2004年5月4日 17時54分01秒フィルタ 220.108.201.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分01秒フィルタ 220.108.201.* --> 我が家 TCPポート:445
2004年5月4日 17時53分58秒フィルタ 220.108.201.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時53分58秒フィルタ 220.108.201.* --> 我が家TCPポート:445
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:50]: >>473
そう。
東京タワーとは呼ばないらしい。。
476 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:52]: ぷららだけどルーターのログ見ると445より135が若干多い。
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 18:58]: うちはここ20分ぐらい、1分に1度程度で445と135が半々ぐらいかな～。
XPのFWのログ取りをさっき始めたところだけど。

このFWを突破されることはなかろうけど、パッチは当てているし
ノートンもいるから安心。
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 19:03]: 今にたら197もあるけどなんだろ～。197だからｲｸﾅｲのか？
479 名前：478 mailto:sage [04/05/04 19:05]: ごめん
×　今にたら
○　今見たら
調理中だったもんで・・
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 19:09]: うちは半々くらいかな。1発/10秒

数分前にログ見るまでは、俺の前に使ってた馬鹿がbittorrentやってたらしくて6881への接続要求が
現時点でのサッサーより多かった。PPPoEの接続しなおして回避。
481 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 19:31]: ログみたら結構来てるねー。GW明けがもっと凄そうだけど。
482 名前：名無しさん＠お腹いっぱい。 [04/05/04 19:42]: WINアップデートは複雑でいかん
483 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 19:47]: きょええええぇ～
ttp://cgi.2chan.net/up2/src/f54316.jpg
484 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 19:51]: >>483
この後のレスは全部君に任せた、君はプロだ！
485 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 19:54]: >>483
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ　
486 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 19:57]: >>483　エラーが出たけど何？
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 19:57]: あ～ぁ、もぅ、やめてくれぇ～

ﾌﾟﾛｾｽ名は N/A
2004/05/04 19:32:58 スーパーバイザ未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ﾛｰｶﾙｻｰﾋﾞｽは 220.213.61.93,epmap(135)
2004/05/04 19:32:58 スーパーバイザ未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ﾛｰｶﾙｻｰﾋﾞｽは 220.213.61.93,2745
2004/05/04 19:22:40 スーパーバイザ規則「Microsoft Windows 2000 SMBのﾃﾞﾌｫﾙﾄ遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました｡詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ｻｰﾋﾞｽは LT3005D-i2(220.144.179.121),microsoft-ds(445)
ﾘﾓｰﾄｱﾄﾞﾚｽ､ｻｰﾋﾞｽは 220.144.129.9,1043
ﾌﾟﾛｾｽ名は N/A
2004/05/04 19:22:15 スーパーバイザ未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ﾛｰｶﾙｻｰﾋﾞｽは 220.144.233.62,epmap(135)
2004/05/04 19:19:07 スーパーバイザ規則「Microsoft Windows 2000 SMBのﾃﾞﾌｫﾙﾄ遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました｡詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ｻｰﾋﾞｽは LT3005D-i2(220.144.179.121),microsoft-ds(445)
ﾘﾓｰﾄｱﾄﾞﾚｽ､ｻｰﾋﾞｽは 220.146.29.151,2624
ﾌﾟﾛｾｽ名は N/A
2004/05/04 19:19:01 スーパーバイザ規則「Microsoft Windows 2000 SMBのﾃﾞﾌｫﾙﾄ遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました｡詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 19:59]: >>483
解析しといてｗ
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:00]: >>483
Ｂだけじゃないんだね・・・(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
490 名前：名無しさん＠お腹いっぱい。 [04/05/04 20:02]: 過去スレなどを読むのに利用してください
makimo.to/cgi-bin/dat2html/dat2html.cgi?http://pc3.2ch.net/test/read.cgi/sec/1083573189/&ls=30
491 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:03]: >>486
あたまにｈ付けたか？
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:10]: Janeだから自動で付けてくれるみたいです。
493 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:14]: 某ｲﾏｲ君のパソ。

今朝、今井くんに会ってきました。
彼のパソコンは、数千ものウイルス攻撃にやられ、いまは全く使えないとか。
そこで口頭で、ここの掲示板のことや、募金活動のことを伝えてきました。
www3.creative.co.jp/bbs/mess.cgi?p=883

だそうです。
494 名前：491 mailto:sage [04/05/04 20:14]: >>492
そりゃぁｽﾏﾝかった。
何のエラーか判らんが、あぷろだが重くてタイムオーバーになったんんか？
495 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:20]: janeだけど普通に見られる。
ちなみに>>483は脳豚先生がSasserをいっぱい検出した画像ね。
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:21]: >>493
数千ものウイルス攻撃って…ヤツのPCはMacじゃなかったか？
497 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:28]: デスクトップは売男らしい。
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:30]: >>494
いえいえ、
けっこうエラー出るんです。IEだと見れたりするんですけど。
499 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:41]: 昨日今日と何度かﾀﾞｲﾔﾙｱｯﾌﾟでつないでみてるんだが、ぱったり来なくなっている。
プロバイダが TCP/445 宛てパケット遮断したかな？
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:50]: 便乗して139,445,1025,2745,3157,6129をいっぺんに叩いてくる奴が
いると騒いでるやつがいるが・・・。
1ヵ月前からあったよ。ｻｯｻとは無関係。phatbotだろ
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:53]: >>483
重いので別所にウプさせてもらったよ
lucky-tv.net/img-box/img20040504202135.jpg
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:55]: ﾊｲｻｯｻｰで綺麗好き～♪
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 20:59]: >>500
で、ｻｯｻは？
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 21:00]: ネットが重い気がするのはこのせいかな？
１秒に１０回とか来てる…。

と思ってwww.bspeedtest.jp/でスピード計ったらいつもの半分…＿|￣|○；
505 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 21:01]: >>504
旅行券２万円が当るを押してしまったよｗ
506 名前：名無しさん＠お腹いっぱい。 [04/05/04 21:08]: sasserまとめページ
ttp://www.sasser.ac/
507 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 21:18]: >>506
ご苦労様。ダウンロードページが役に立った。
www.sasser.ac/download/index.html
2004年版がないようなのが残念。
508 名前：名無しさん＠お腹いっぱい。 [04/05/04 21:21]: かなり概出なことでょうが当方携帯からなのでお許しください
プロバイダには接続できるのですがＩＥがページを表示できませんと出てきます。検索からａｖｅｓｅｒｖｅ２．ｅｘｅと～_ｕｐ．ｅｘｅとレジストリディタでａｖｓｅｒｖｅ２．ｅｘｅは消しました。
509 名前：名無しさん＠お腹いっぱい。 [04/05/04 21:25]: ルーターのログみてみましたところ、ログ最後に４４５が多数ありました。
防いでいるかいないか、ルーターのログのどの部分を
見ればわかるのでしょうか？
なにせログを見たのが今回初めてでして・・・すみま
せん。
510 名前：名無しさん＠お腹いっぱい。 [04/05/04 21:38]: >>509
blockとか書いてあれば防いでると思うが。
心配ならログを切り出して貼り付けてみなさい。
511 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 21:40]: >>510
⊿　　　　　○　　　∇　、,､´｀ﾞ；~､　　';冫　☆
　　　　　　　　　　　┏　 ━ゝヽ''人━人━从━〆Ａ!ﾟ━━┓。
　╋┓"〓┃　＜　ゝ＼',冫｡'　、　（＿_）Ν ; ゛△│´'´,.ゝ'┃.　　　　　 ●┃ ┃┃
　┃┃_.━┛ヤ━━━━━━━（＿＿）━━━━━━━━━━　　━┛ ・　・
　　　　　　　　∇ 　┠─Σ-　　　/,, ・∀・) ｳﾝｺｰ!冫┨'ﾟ,。とんでもウンコ、パッカァーン！！！
　　　　　　 .。冫▽　＜　　 ⊂ 　　　./⊃　　　　乙　　≧　　　▽
　　　　　　　　　。　┃　　 Σ　　（⌒ゞ　,l,　､'' 　│ 　て　く
　　　　　　　　　　　┠─ム┼ 　　ゝ,,ﾉ　ﾉゝ.　､,,　 .┼ ｧ　Ζ┨　ミｏ''｀
　　　　　　　　　。､ﾟ`。､　　　i／　　　レ' o。了　､''　×　个ｏ
　　　　　　　　○　 ┃ 　　`､,~´＋√ ▽　　',!ヽ.◇　　　ｏ┃
　　　　　　　　　　 ┗〆━┷　Ｚ,.'　/┷━''ｏヾｏ┷+＼━┛,゛；
　　　　　　ヾ　　　⊿　　　　　　　　　　　　　　　'、´　　　　∇
512 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 21:41]: >>511
防ぎきれませんでした(´･ω･`)
513 名前：名無しさん＠お腹いっぱい。 [04/05/04 21:45]: 2004/05/04 21:44:32 IP_Filter REJECT UDP 192.168.0.2:137 > 192.168.0.255:137 (IP-PORT=0)
は大丈夫？
514 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 21:50]: 大丈夫以前じゃ。
515 名前：名無しさん＠お腹いっぱい。 [04/05/04 21:52]: >>510
ありがとうございます。も１度調べてみまして
不安な部分がありましたら、ここに貼りたい
と思います。
516 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 21:54]: >>513
それLAN内のじゃないの？？？
N○CのAt○rmのログじゃない？
517 名前：名無しさん＠お腹いっぱい。 [04/05/04 22:07]: >>483
すげー
518 名前：名無しさん＠お腹いっぱい。 [04/05/04 22:13]: ＞＞５０８をお願いします
519 名前：これもサッサ？ [04/05/04 22:27]: 教えてください。問題が発生した為、Generic Host Process forWin32 Servicesを終了…ってのがでてネット接続がきれます。タスクバ－にはアイコンが残ってます。でも接続はきれてる。Winのアッブデイトしてからおかしくなりました。助けてください。
520 名前：名無しさん＠お腹いっぱい。 [04/05/04 22:28]: すいません。質問させてください。
マイクロソフト社の「ワームについてのお知らせ」の中で
(ttp://www.microsoft.com/japan/security/incident/sasser.mspx)
「Sasserワームの感染の確認および駆除をします」のステップで
英語ページに飛んでチェックする所まで進んだのですが
結果が・・・
Required update is not installed
To use this tool, you must have already installed the security update associated
with Microsoft Security Bulletin MS04-011.

・・・と出てきました。
この表示が出た場合、どうしたらよいのかが分からずに途方にくれています。
表示の色からして、ヤバイという事は理解できたのですが・・・
もし良い解決策をご存知でしたら教えてください。
521 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 22:30]: >>508
PFWでIE用ポート開ける。

>>519
ttp://support.microsoft.com/default.aspx?scid=kb%3Bja%3B821690
522 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 22:30]: 駆除の前にパッチ
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 22:31]: >>520
まずUPDATE
524 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 22:32]: >520
ヤバイんじゃなくてワームの感染確認するツールを使う前に
MS04-011のパッチをあてておけってメッセージでしょ？
525 名前：520 mailto:sage [04/05/04 22:34]: ありがとうございます。
赤色で表示されてたのでヤバイと思い込んでいました。
もう一度最初からやり直してみます。
526 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 22:41]: 英語くらい読めよ
527 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 23:01]: ちょっと教えて頂きたいのですが。
nachiにしろsasserにしろルータのwan側のアドレスの445他にアクセスしに来ている訳ですが、
これって、ルータのlan側にまで入って来れるもんなんでしょうか？

ちなみに、DMZの設定はしていません。
528 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 23:01]: >>520のはエキサイト翻訳通せば十分理解出来るな。
英語アレルギーは良いけどせめて機械翻訳を。

必要な最新版はインストールされません。このツールを使用するために、
マイクロソフト・セキュリティ公報MS04-011に関連したセキュリティ最新版
を既にインストールしなければなりません。
529 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 23:03]: >>527
ルーターの解説をするスレではないわけだが…

余計な設定してなければ答えはno
530 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 23:08]: >>527
Rejectしてれば入ってこれない。

ただし、100%安全というわけでもない。
ルータの設定をきちんとやる事。
ルータとの接続に使うパスワードがデフォルトのままなんてのは問題外。

ルータの設定や解説とかしてるスレってハードウェア板かな？
531 名前：５２７ mailto:sage [04/05/04 23:23]: >>529,530
スレ違いな質問にお答えいただきありがとうございます。

ハードウェア板に逝ってきます。
532 名前：名無しさん＠お腹いっぱい。 [04/05/04 23:36]: 今のパソコンを買ってから半月ほどしか経ってないのですが、
１０分もパソコンを使っていたらネットでページが表示できなくなり、
全体的に重くなるんです。
ノートパソコン（Prius）です。ソフトなどは５つほどしかダウンロード
してないです。（その中に非常に重いというものもないです）
他のスレでnetskyに感染してるだろうと言われたんですけど、
netskyの対処法教えてください。
533 名前：名無しさん＠お腹いっぱい。 [04/05/04 23:37]: ルーターのログってどこみるんじゃ？
534 名前：名無しさん＠お腹いっぱい。 [04/05/04 23:38]: おいおいおい…　さっきから同じISPの同じIPから
135、445、1025、2745…叩かれまくり…
ルータでブロックしてくれてるからいいけど気持ちわる～
535 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 23:40]: >>532
www.trendmicro.co.jp/vinfo/virusencyclo/default2.asp?m=q&virus=netsky&alt=netsky
とりあえずこのあたりかと・・・
536 名前：名無しさん＠お腹いっぱい。 [04/05/04 23:42]: Ｎ速＋のサッサスレ見たけど
全く関係ない話題で回ってた…
537 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 23:47]: >>536
Ｎ速＋はバイキンネタだな。
538 名前：定期貼り mailto:sage [04/05/04 23:50]: ■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続
するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　LSA Shell(Export Version) has encountered a problem...
　　This system is shutting down ... by NT AUTHORITY\SYSTEM
・なんだかしらないがパソコンの反応がメチャ遅い。
・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　してるか確認しましょう。
　　　www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120

■Microsoft公式ページ
・Sasser ワームについてのお知らせ
　　www.microsoft.com/japan/security/incident/sasser.mspx
・Sasser 対策 Windows XP篇
　　www.microsoft.com/japan/security/incident/sasser_xp.mspx
　（XP付属ファイアウォールの詳しい使い方は >>24）
・Sasser 対策 Windows 2000篇
　　www.microsoft.com/japan/security/incident/sasser_2k.mspx
・セキュリティ修正プログラム (835732) (MS04-011)
　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
・すでに感染しているマシンにパッチを当てた場合
　MSの駆除ツールを使って駆除>>5　（先にパッチ当ててないとｺﾞﾙｧされます）

■トレンド、シマンテックのデータベース情報　>>12

■ちゃんとしたファイアウォールを入れましょう。解説とリンク　>>3
539 名前：５０８ [04/05/04 23:53]: 》５２１
何度もくだらないこときいて恐縮なのですが
ＰＦＷとはなにかのヒァイアーウォールのことでしょうか、はたまた全然違うものでしょうか？
540 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 23:57]: >>539
PersonalFireWall
541 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/04 23:57]: >>539
PFW＝Personal Fire Wall。
つまり、パーソナルファイアーウォールのこと。
特定ソフト名のことを指しているわけではない。
542 名前：名無しさん＠お腹いっぱい。 mailto:釣りなのか？ [04/05/04 23:57]: >>539
search.yahoo.co.jp/bin/query?p=%a5%d1%a1%bc%a5%bd%a5%ca%a5%eb%a5%d5%a5%a1%a5%a4%a5%e4%a1%bc%a5%a6%a5%a9%a1%bc%a5%eb&hc=0&hs=0
543 名前：532 [04/05/05 00:02]: >>535
教えてくださったページを見てもよく分からなかったのですが…。
ごめんなさい。初心者なもので(>_<)
544 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:04]: >>543

【差出人】WORM_NETSKY【詐称】
pc3.2ch.net/test/read.cgi/sec/1080741342/l50

ここは？
545 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:05]: Personal Hyaire Wall
546 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:06]: >>543
とりあえず、
www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
を実行する。
その後ウインドウズアップデート。
www.trendmicro.com/jp/security/general/what/prevent/update.htm
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:07]: >>543
駆除が終わるまで、メールは開かないように。
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:07]: 普段はルータを通して常時接続してるけど、今夜はたまたま出先で
ダイヤルアップ接続してる。
この2時間で41回もVB2004が警告だしやがった。こりゃひでぇ…。
549 名前：名無しさん＠お腹いっぱい。 [04/05/05 00:08]: >>536
なぜか検便の話題になってるな（ｗ
550 名前：544 mailto:sage [04/05/05 00:08]: >>543
まずwww.trendmicro.co.jp/hcall/index.aspでｵﾝﾗｲﾝｽｷｬﾝして
発見されたウイルスの駆除ツールを使って駆除
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:12]: >>543
なんかみんなやさしいな・・・
けどこれくらいは自力で何とかしていかないと、これから先もっとやっかいなのが出てきたとき
対処できないよ。
これを機にもっとセキュリティに敏感になってみることを強くおすすめする。
552 名前：532 [04/05/05 00:18]: ホントみなさん優しいです。ありがとうございます。
これで出来るはずなんで、今からやってみます!!
少しずつパソコンの事を知っていかなきゃ…と実感しました…。
553 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:20]: >>551
禿同

もし次にウイルスに感染したら今回経験したこと活かす
まず、どういうウイルスに感染したのか調べる
www.trendmicro.co.jp/hcall/index.asp←ここあたり

ウイルス名がわかったら2ｃｈのスレとかサイトで詳細を調べる
www.trendmicro.co.jp/vinfo/virusencyclo/←こことか

まずはアンチウイスルソフトを入れるべき・・・
あとインターネットセキュリティーとか
554 名前：名無しさん＠お腹いっぱい。 [04/05/05 00:21]: SASSERシリーズってNETSKYの作者たちが作ったんじゃないか?
NETSKY.ACで何か言ってるし、SASSER.Dのコピーするファイル名がskynetave.exeだし。

・・・といってみるテスト（逃
555 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:27]: 亜種作ったのがオリジナルを作成した人だとは限らないわけで・・・
と可能性を薄めてみるテス㌧
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:29]: >>554
NetSkyの作者がSasserシリーズのいずれかのソースをバイナリをクラックとか
Sasser作者と何らかのつながりがあってそこから入手して
それを改造したんじゃ無かろうか　途中からそのファイル名を出すのも変な話だし
557 名前：554 mailto:sage [04/05/05 00:35]: しかし、NETSKY.ACのメッセージには自称NETSKY.Vと書いてあるから、普通に考えるとNETSKY.Vが出る前に作られたものであって
NETSKY.Vが出たころには当然SASSERは登場してないからオリジナルを作ったのもNETSKYの作者になるんじゃないかな?

それとも俺はNETSKYの作者に踊らされているのか?
558 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 00:38]: >>533
ルータによるんじゃね？

漏れは機器診断→ログ情報
559 名前：520 mailto:sage [04/05/05 00:50]: すいません。今やっとUPDATEして再チャレンジし、駆除しました。
くだらない質問して申し訳ございませんでした。

>>528わざわざ和訳ありがとうございました。
もっと知識増やさないといけませんね。お騒がせして申し訳ございません。
いきなり再起動再起動でかなり動揺してたもので・・・。
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:06]: これってMeを使っている場合関係無いんですか？
561 名前：５０８ [04/05/05 01:07]: コントロールパネルから接続をクリックして全ての接続のＦＷを開き、ノートンのＦＷを無効にしたのですがＩＥが表示できません。そもそもＰＦＷがどれなのかもちんぷんかんぷんです。
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:16]: どうしょうも無いな
563 名前：532 [04/05/05 01:19]: >>546サンが最初に実行するって書いてる所のリンクをクリックしたら
ページが表示されませんって出てきました…
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:23]: >>560
Ｍ＄は関係ないって言ってる。
マイクロトレンドは関係あるって言ってる。
565 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:29]: ネットワークのレスポンスが下がるってことを被害として考えたら
どんなOSも（ｒｙ
566 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:32]: >>561
ＦＷとは関係なさそうな？
とりあえずＩＥの修復を試してみてからじゃないかな？
567 名前：名無しさん＠お腹いっぱい。 [04/05/05 01:33]: ウイルスバスターでSASSER、Ｃ検出されました。
しかし削除のところが・・・いいえに先に進めん・・。どうすりゃいい？
568 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:37]: >>567
オンラインスキャンは検出のみ。
569 名前：名無しさん＠お腹いっぱい。 [04/05/05 01:39]: >>532
買ったばかりなえら、ノートン体験版が入ってるよ。
データ更新してスキャンした？
570 名前：名無しさん＠お腹いっぱい。 [04/05/05 01:46]: >>568
ｻﾝｸｽ。まじか・・きびしいな・・しかしｳｲﾙｽ感染ファイル４６０個。
復帰にはウイルス駆除ソフト買ったほうがいいかな・・
571 名前：名無しさん＠お腹いっぱい。 [04/05/05 01:47]: >>568
削除だけはできたような？
駆除はできないんじゃ？
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:47]: >>570
回線切れよ
573 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:47]: >>570
絶対買ったほうがいい
ってかみんなのために回線切ってください
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:48]: >>572
かぶった　orz
575 名前：名無しさん＠お腹いっぱい。 [04/05/05 01:48]: >>567
ttp://www.trendmicro.co.jp/download/tsc.asp
使え
576 名前：名無しさん＠お腹いっぱい。 [04/05/05 01:48]: あとﾄﾚﾝﾄﾞﾏｲｸﾛの製品・サービスが「ページが表示できませんだって」
こんな時に困るな・・
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:51]: 【ネ申】佐々成政【佐々淳行】
hobby.2ch.net/test/read.cgi/warhis/1082175444/
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 01:54]: トレンドやシマンテックのページが表示できんとか言ってる香具師ら、
サッサ以外のウイルスの感染を疑う必要も有るんじゃないか？
MS04-011を利用するのはサッサだけじゃ無いぞ。
579 名前：名無しさん＠お腹いっぱい。 [04/05/05 01:57]: そいやウイルス検出でSASSERとAGOBOTO発見したｗ
580 名前：５０８ [04/05/05 01:57]: おとといサッサーにかかったと知り、昨日ノートンを買って入れた所
ＩＥを開くとページを表示できませんと出てきてしまいます
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:00]: >>576
私もついさっきまで表示出来なかったけど
ログを追って、追って、、、追って、、、ｗｗ
やっと表示出来るまでに至ったので、578さんが言う様に
別のウィルスの可能性があるかもしれませんよ。

と言ってる私も10個あったウィルスを12時間かけて
残り2個・・・（ｻｯｻＣ。これでつまづいてます）
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:09]: 木曜日会社に行きたくないなぁ…
583 名前：名無しさん＠お腹いっぱい。 [04/05/05 02:11]: うちはsasserとagobotが波状攻撃でくる・・・
というか、agobotの方がうちは多いな・・・
584 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:12]: >>582
最低限もしものために
各種Windows用パッチ　各社のウイルス駆除ツール　各社の最新ウイルス定義
の三つぐらいはCD-Rにでも焼いて持ってくのをお勧めする
585 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:13]: 会社でport445が開いてる自体おかしいだろ
586 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:14]: こいつもまた亜種かなんかでどっかのサイトをDosアタックするとかなるんだろうか？
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:15]: 亜種で駆除してくれるウイルスも出そうだな（ｗ
588 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:16]: でも、まいどおなじみ日本語OSは除外される。と
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:21]: >>582
それぞれ３枚ずつ焼いとけよ。必ず「うちにも焼いてくれ」っていう隣の
課長とか出てくるｗ
590 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:24]: 漏れの会社は
深夜か社員の出勤前にSEがﾁｮｺﾁｮｺやってくれてるから大丈夫だ
591 名前：名無しさん＠お腹いっぱい。 [04/05/05 02:25]: sasser駆除ツールとか言ってNerskyを送りつけてくるメールが流れているらしい。

ウイルス除去装うメールに注意を
headlines.yahoo.co.jp/hl?a=20040505-00000689-jij-bus_all

あちらの話らしいが、国内でも巻き添え食らうやつ出るかもしれないな。
592 名前：定期貼り mailto:sage [04/05/05 02:26]: ■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続
するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　LSA Shell(Export Version) has encountered a problem...
　　This system is shutting down ... by NT AUTHORITY\SYSTEM
・なんだかしらないがパソコンの反応がメチャ遅い。
・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　してるか確認しましょう。
　　　www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120

■Microsoft公式ページ
・Sasser ワームについてのお知らせ
　　www.microsoft.com/japan/security/incident/sasser.mspx
・Sasser 対策 Windows XP篇
　　www.microsoft.com/japan/security/incident/sasser_xp.mspx
　（XP付属ファイアウォールの詳しい使い方は >>24）
・Sasser 対策 Windows 2000篇
　　www.microsoft.com/japan/security/incident/sasser_2k.mspx
・セキュリティ修正プログラム (835732) (MS04-011)
　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
・すでに感染しているマシンにパッチを当てた場合
　MSの駆除ツールを使って駆除>>5　（先にパッチ当ててないとｺﾞﾙｧされます）

■トレンド、シマンテックのデータベース情報　>>12

■ちゃんとしたファイアウォールを入れましょう。解説とリンク　>>3
593 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:27]: >>592
乙～
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:34]: オンラインスキャンって矛盾してるよな・・・
長い時間ネットワークに接続させといて、ウイルス見つけても何もしない。
感染を拡大させる原因にもなる。
削除しなくてもいいのでローカルにDL＆保存ができる形式にすればいいと思うのは、漏れだけ？
595 名前：名無しさん＠お腹いっぱい。 [04/05/05 02:41]: このSASSARとかってｳｲﾙｽﾊﾞｽﾀｰ使えば一瞬で滅びるの？
596 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:41]: >>594
アホ？
597 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:42]: >>595
検出できない亜種もあるかもしれんが、大体できる。
でも一瞬ではない。
598 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:44]: >>594
確かに感染を拡大させる要因になることは確かだな

>>596
おまいがアホ
599 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:45]: これって
本当はサザーらしいね
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:47]: >>595
インストールしただけでは検出すらしないかも。
インストールした後アップデートを実行し最新のウイルスパターンファイルを
ダウンロードすれば、ダウンロードが完了してそれが適用された瞬間に感染して
いたSASSARは殺される。
あとは全ハードディスクを手動検索して一匹残らず隔離して作業終了。
601 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:51]: >>600
隔離？
削除じゃなくて？
602 名前：名無しさん＠お腹いっぱい。 [04/05/05 02:52]: オンラインスキャンって検索終了した後削除の仕方どうやるわけ？
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 02:56]: >>602
できない。あくまでも検出のみの無料サービスだから。
ウイルスバスター２００４評価版インストールすれば１ヶ月間はフル機能
使えるから削除でもなんでもできる。その後は購入するなりなんなり。
604 名前：603 mailto:sage [04/05/05 02:57]: ｽﾏｿ。シマンテックのオンラインスキャンの後ならNIS2004の体験版でも
インストールすれば同じようにできるはず。
605 名前：名無しさん＠お腹いっぱい。 [04/05/05 03:00]: 私Magabit Gear TE4121C のルーター使ってるんですが・・ログってどこで見れるのでしょうか？
もし、知っていらっしゃる方が居たら教えてください　すいません
606 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:00]: オンラインスキャンって、なんか俺の恥ずかしいファイルが
みんな表示されてるし、オンラインってことでトレンドマイクロ社員に丸見えなのかな
と思うと、使うのに躊躇して使えない。
607 名前：名無しさん＠お腹いっぱい。 [04/05/05 03:03]: アップデートしてる最中にシステムダウンして再起動してしまう(>_<)どうすればいいのー
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:12]: >>607
shutdown -a
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:21]: Microsoft純正Sasser駆除ツール
ダウソ www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
使い方 support.microsoft.com/?kbid=841720
事前にパッチを当てなかった(感染した)やつは非国民
www.soumu.go.jp/s-news/2004/040426_2.html
610 名前：名無しさん＠お腹いっぱい。 [04/05/05 03:21]: ↑どういう意味？
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:27]: いつになったらレッドコード、ブラスターの教訓が生かされるんだろうか？
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:31]: せんせい！れっどこーどってなんですかぁ～？
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:32]: LAN側からWAN(インターネット)側へアドレス変換して通信した時の情報を表示します。で

漏れの端末→202.129.29.108 HTTP(TCPポート:80)

ってのはなんだろう？
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:34]: >>611
人は同じ過ちを繰り返すものですよ。
それで成り立つ職業も多いのです。
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:37]: パッチを当てていない。尚且つ、ファイアーウォールなども導入していない。
世の中、ごみパケットが飛び回ってまんがな。こう言うのって、損失利益って言うのかな？
きっと、何十兆円だよ。
616 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:39]: >>613
夜中なのにタイカレー食べたくなった。。。
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 03:59]: C:\RECYCLER\S-1-5-18\Dc1.exe は　W32.Sasser.C.Worm に感染しています。
C:\RECYCLER\S-1-5-18\Dc2.exe は　W32.Sasser.C.Worm に感染しています。

み・・・みつけられない・・・
ｱﾌｫだ・・・自分
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 04:11]: >>617
RECYCLERフォルダをリネームしてから、削除する。
フォルダオプションでシステムファイルを表示する。
619 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 04:22]: >>613
NATだよ
620 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 04:26]: >>617
1.マイコンピューターを右クリック、プロパティ
システムの復元タブの「すべてのドライブでシステムの復元を無効にする」
にチェック。OKでプロパティを閉じる。

2.対象ファイルを削除。

3.マイコンピューターを右クリック、プロパティ
システムの復元タブの「すべてのドライブでシステムの復元を無効にする」
のチェックを外す。OKでプロパティを閉じる。
621 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 04:28]: RESTORE≠RECYCLER
622 名前：620 mailto:sage [04/05/05 04:32]: >>621
今見て気付いたよ　orz
ｽﾚ汚しｽﾏｿ
623 名前：617 mailto:sage [04/05/05 04:40]: 皆さん、ありがとうございます。
先程から一生懸命探しているんですが、ＲＥＣＹＣＬＥＲ自体が
見つからずに困っております・・・
1-5-18というのは見つけたんですが、対象となるモノも
見つからず・・・（検索、レジストリなどで探しています）
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 04:47]: >>623
C:\RECYCLER～はゴミ箱の中だ。
削除したヤツが引っかかってるって事だな。
PCから見ると
[ ごみ箱\ファイル名.exe ]だが
オンラインスキャンでは
[ RECYCLER\S数字\Dc数字.exe ]と表示されるはず。
625 名前：名無しさん＠お腹いっぱい。 [04/05/05 04:51]: 必死にshutdown -aを叩きながらうｐデート中（ｗ
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 04:54]: >>623
隠しフォルダ属性も付いているぞよ
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 04:56]: >>625
サービスの設定から、svchostをエラー時に再起動しないに設定すればいいのに。
628 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 04:59]: bat作ればいいのに
629 名前：617 mailto:sage [04/05/05 05:04]: >>624
>>626さん
ありがとうございます。
ごみ箱が空になってる状態でスキャンしたので、
削除したつもりが削除されずにどこかにある、という事で
しょうか・・・
もう15時間この作業に費やしてるあほです
630 名前：名無しさん＠お腹いっぱい。 [04/05/05 05:09]: ALL初期化の方が速そう
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 05:10]: >>629
C:\RECYCLER\S-1-5-18\
をアドレスバーに貼り付けるとかじゃ無理なんですか？
632 名前：617 mailto:sage [04/05/05 05:16]: >>631
おお！！ありがとうございます！
「隠しファイル」として出て参りました。
・・・・・・・・（涙）
633 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 05:23]: ポート135に来るのはagobotですか？
634 名前：617 mailto:sage [04/05/05 05:48]: 隠しをといたものの、０個のオブジェクト・・・０バイト
一体彼らはどこへ行ってしまったものやら・・・
635 名前：287 [04/05/05 06:43]: イギリス沿岸警備隊で大々的にやられたと

BY　NHK　RADIO
636 名前：名無しさん＠お腹いっぱい。 [04/05/05 06:43]: SASSERだけに
さっさと解決してくれ
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 06:51]: >>634
フォルダオプション→表示タブの
すべてのファイルとフォルダを表示するにチェックしても出てこない？
638 名前：287 [04/05/05 07:01]: >>634
ゴミ箱のトラブルなら、何でもいいからいらないファイルを1つ
ゴミ箱に入れる（そのファイルを削除する）
それからゴミ箱を空にすると治るよ　（XPの場合）
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 07:02]: これWindows2000Serverにも当然感染するんだよね？
マイクロソフトの修正パッチのページにはWindows2000SP2～SP4と記されたパッチしかないけど
こいつを適用すればいいのかな。
2003Serverのパッチは個別にあるんだけど。
640 名前：名無しさん＠お腹いっぱい。 [04/05/05 07:32]: XP のFWが駄目なケースもあるだろ。
Blasterのときにもあったよな。
XP FWは、XPのTCP/IPが起動してから起動される。
このタイムラグの間に感染するケースがあった。
(だからXP Sp2で改良点となった)

アホーとかにモデムで直結しているケースはがいとうする。
フレッツ接続ツールとかPPPoE接続認証の時は平気だと思うがな。

ちなみに、以前トレンドに聞いたことがあるが、同様の危険は
あるそうだ(バスターのFW起動順番まで　わからん　ということ)
641 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 07:34]: 俺MEなんだけどﾈｯﾄに繋いだらsasserがどうとか英語ででてきたYO！
(ﾉД`)ｺﾜｲﾖｰ
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 07:42]: 内閣官房・警察庁・総務省・経済産業省による勧告
www.soumu.go.jp/s-news/2004/040426_2.html
を無視して感染したやつは
イラクは危険だから渡航を自粛するよう勧告されても
のこのこ出かけて拉致されるやつと同じだ。
「自己責任」で直せよ?
643 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 07:47]: ＞639
2000は2000Serverと2000Proを、XPはXPProとXPHomeを指す。
字を見ればわかるだろ?
644 名前：287 [04/05/05 07:50]: >>641
How to Protect Yourself from the Sasser Worm and Other Attacks

とか出たんなら、マイクロソフトからのメッセージで対策をしれという警告だわ
645 名前：名無しさん＠お腹いっぱい。 [04/05/05 07:52]: なんか、自分のメアドを件名に入れて来るよね。
だからメールサーバの設定で、自分のメアドが件名に含まれる
メールを受信しないで削除するように設定したら
送られて来なくなったよ！サッサがアホで助かった。。。
646 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 07:55]: >>640
そうか、今までフレッツ接続ツールは余計だと思いつつ使っていたが、
いいところもあるんだね。（XP Home）
あ、パッチは当ててます。Norton AntiVirusも常駐。
647 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 08:08]: >>644
ｱﾘ㌧
それなら気にしなくていいね
ヽ(´ー`)ﾉ
648 名前：640 [04/05/05 08:28]: >>646
フレッツ接続ツールとかを使える状況になったときは、
FW起動後のはずだからということかな・・
649 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 08:45]: Windows起動時にはネットに接続せず、その後に手動で接続することに
していて、その接続先に対してはXPのFWを適用する、という設定に
なっていれば、隙はないですかね？
（つまり、接続はされているがFWが起動されていない瞬間があるかどうか）
650 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 09:58]: >>645
?
651 名前：名無しさん＠お腹いっぱい。 [04/05/05 10:02]: >>645
??
652 名前：名無しさん＠お腹いっぱい。 [04/05/05 10:08]: 645 名前：名無しさん＠お腹いっぱい。投稿日：04/05/05 07:52
なんか、自分のメアドを件名に入れて来るよね。
だからメールサーバの設定で、自分のメアドが件名に含まれる
メールを受信しないで削除するように設定したら
送られて来なくなったよ！サッサがアホで助かった。。。
653 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 10:30]: ルータのログ見てたら、SQLSlammerってまだうろついていたのね。
サッサは昨日よりか減ったよ。
654 名前：640 [04/05/05 10:39]: >>649
わからん
だれかわかる人回答キボーヌ
655 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 10:54]: うちの会社のLAN、XPのファイアウォールをONにするとネットに接続できなくなる。
個人パソコンにPFW入れてない香具師もいるし。
別のパソコンで修正パッチや駆除ツールをダウンロードしてCD-Rに焼いて、１台ずつ回るしかないか。
うちの管理者、ブラスターの教訓を活かしていない・・・。

ところで、ネットにつながないでMS04-011の修正バッチが適用されているか確認する方法ってありますか？。
WindowsUpdateの「インストールの履歴の表示」ではネットにつながないと確認できないんですが。
656 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 10:59]: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
っていう場所が存在しないんですけど。
ネットにつないだ直後にシャットダウンされるわけでもないしサッサーじゃないんですかね？
657 名前：定期貼り mailto:sage [04/05/05 10:59]: ■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsのupdateしてないパソコンはネットに
接続するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
　・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　　LSA Shell(Export Version) has encountered a problem...
　　　This system is shutting down ... by NT AUTHORITY\SYSTEM
　・なんだかしらないがパソコンの反応がメチャ遅い。
　・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　　してるか確認しましょう。
　　　www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120
■Microsoft公式ページ
　・Sasser ワームについてのお知らせ
　　　www.microsoft.com/japan/security/incident/sasser.mspx
　・Sasser 対策 Windows XP篇
　　　www.microsoft.com/japan/security/incident/sasser_xp.mspx
　　　（XP付属ファイアウォールの詳しい使い方は >>24）
　・Sasser 対策 Windows 2000篇
　　　www.microsoft.com/japan/security/incident/sasser_2k.mspx
　・セキュリティ修正プログラム (835732) (MS04-011)
　　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
　・すでに感染しているマシンにパッチを当てた場合
　　MSの駆除ツールを使って駆除 >>5　（先にパッチ当ててないとｺﾞﾙｧされます）
■トレンド、シマンテックのデータベース情報　>>12
　・ SASSERに感染するようなうかつなパソコンは他のウィルスにもやられてる鴨
　　行ったついでにオンラインスキャンしておきましょう。
■ちゃんとしたファイアウォール入れれ。解説とリンク　>>3
658 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 11:02]: >>655
「プログラムの追加と削除」に出るはず。
「ホットフィックス　KB835732」っていうやつがあればパッチ適用ずみ
659 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 11:05]: >>656
それがレジストリー内にないはずはない。
エクスプローラーでファイルを見てたりしてね。ははは
660 名前：656 mailto:sage [04/05/05 11:07]: すいません。間違いです。見つからないのは
avserve.exe = %Windows%\avserve.exe
こっちのファイル自体です
661 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 11:10]: >>649
つまり、「ローカルエリア接続」を無効、XPのファイアウォールを有効
にした状態でOS立ち上げて、「ローカルエリア接続」を有効にしたら、
という話か？　

Win2Kなんで実験できないが、それでXPのFWが接続に成功するならOK
だろう。FWによってはFWの起動時にLAN接続が有効になっていないと
以後LANを認識しないものもある。
662 名前：640 [04/05/05 11:14]: >>661
XPだと、作成したダイヤルアップネットワーク(PPPoEもここにはいる)
ごとにFWを　つける/付けないを設定できるのねん

>>649はそのことだとおもう
663 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 11:38]: Outpostは設定、運用が適切ならWindowsのコアのスタートとほとんど
同時に保護が開始されます。くわしい情報は…

まとめサイト
　システムルールの設定
www.geocities.jp/outpost_2ch/setting.html#2
　「念のため全部遮断ルール」が必要な理由
www.geocities.jp/outpost_2ch/faq.html#22

専用スレ
Agnitum Outpost Firewall part15
pc3.2ch.net/test/read.cgi/sec/1079512402/
664 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 11:40]: さっきまでシマンテックいけなかったが、やっと評価板ダウンロードのとこまできた・・
いけるかも。これで進める。あと>>12のSasser ウイルスに関する情報 Windows XP 編(Microsoft)
ってのにも対策法かいてあるんだけどこれってソフトとか使わないようだけどしっかり
駆除できるの？
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 11:43]: >>664
ActiveXコントロールとは、プログラムそのものの事だ。
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 11:46]: >>655
社内LAN内のPCをチェックするのなら、↓こんなツールもあるぞ。
www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/dsscan.htm
667 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 11:58]: 感染してなかった(´･ω･`)
パッチも当ててノートン先生も常時フル活動
このままだとノートン先生がCPU乗っ取って心中する｡･ﾟ･(ﾉ□`)･ﾟ･｡
668 名前：名無しさん＠お腹いっぱい。 [04/05/05 12:01]: 9x系や、ソフトウェアPFWを適切に導入すれば安全というのは
わかるのだが、笹に感染しないとはいえ、やはりポートを猛烈
に叩かれるとPCに負荷がかかるわけだから、ルータ（安物で上
等）を導入するのが正しい。
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 12:06]: ノートンはインストールするものじゃない
670 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 12:07]: >>655
つーか、ルータで445塞いでないの？
671 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 12:08]: Nortonもパッチもアップデートもしたけど
パソコン綱ぎっぱましだったらどうなるの？
672 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 12:10]: >>668
ノートンに金払うくらいなら3千円くらいのルータ入れてフリーの
アンチウィルス、ファイアウォール、アンチスパイを入れた方が
有効というならそのとおりｗ　ただ初心者は金払うこと自体に安心
を感じるわけで…
673 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 12:19]: >>668
うむ、うちはコレガの安物（3000円）ルータだが、値段の割にはよく働いてくれるわい。
674 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 12:30]: ええええええええっ！　今ルーターそんなに安いのか！！！
675 名前：672 mailto:sage [04/05/05 12:32]: >>673
実はウチとこもそれだｗｗｗ　あまりの安さにダメモトで買ったが、
もう２月ぐらいとくに問題なく動いてる。
676 名前：名無しさん＠お腹いっぱい。 [04/05/05 12:41]: WORM_AGOBOT.IMに感染したのですが、概要のページ
（www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.IM#solution）
が英語で、翻訳サイトに行っても何故か翻訳されず、対応方法が分かりません。
"Trend Micro Damage Cleanup Services"に行こうとしても
「ページが表示されません」というのが出てきます。
どうすればいいのでしょうか？
677 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 12:48]: スレ違い。ここはSasser専用スレだ。

ついでに言うと翻訳サイトに文章コピペするとか
辞書と睨めっこするとかできんのかキミは。
678 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 12:49]: よし評価板ダウンロード完了・・あと少しで駆除できる・・眠い・・
679 名前：名無しさん＠お腹いっぱい。 [04/05/05 12:53]: >>677
スレ違いでしたか…。ごめんなさい…。
私はsasserという意味をよく知らなかったんで…。今度から気をつけます。
時間がないんです。至急正常なパソコンが必要なんで、
辞書とかひいてるヒマないです…。
680 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 13:03]: ここに書き込むヒマはあるのか。帰れ。
681 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 13:07]: >>679
こっちで聞け…同じこと言われるかもしれんがｗ
【正式】ウィルス情報＆質問　総合スレッド☆Part19
pc3.2ch.net/test/read.cgi/sec/1083586576/
682 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 13:16]: つーか感染する奴が池沼
683 名前：名無しさん＠お腹いっぱい。 [04/05/05 13:22]: >>680
ここに書き込むヒマがある…てか、初心者の私が自分だけの力で
ウイルスを駆除するより、詳しそうな人が多いここで聞いたほうが
早く解決すると思ったんで…。他力本願な人間でごめんなさい。
もうこのスレには来ないんで安心してください。
>>681
ありがとうございました。
684 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 13:52]: >672-673
ヽ(ﾟ∀ﾟ)メ(ﾟ∀ﾟ)メ(ﾟ∀ﾟ)ノﾅｶｰﾏ

ウチはMSBLAST騒ぎの直後にADSLにしたから
こんな安モンで大丈夫かと心配だったけど、
未だに良く働いてるw
685 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 14:07]: 13500叩いてくるやつが異常に増えたな。
おまいらのルータorFWのログはどうですか?
686 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 14:14]: 60210？
687 名前：名無しさん＠お腹いっぱい。 [04/05/05 14:25]: TCP: 135,445,1025,1433,2745,3127,6129
UDP: 137,1434
いまんとここんなパケットが多い
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 14:27]: >>685
うちは相変わらず、3127、6129、1025、2745が定期的に叩かれてるが
昨日の夜中位から20088を叩くのが増えてきた。
689 名前：教えてください [04/05/05 14:37]: サッサーに感染した場合に、最新の定義ファイルでスキャンすれば、
ウィルスは削除されるけど、追加されたレジストリの情報も削除
されるのですか？
690 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 14:39]: 遅レスですが
>>658
サンクス！。これで手間がかなり減りそうです。

>>666
自分はサーバに触れる身分じゃないし、IPアドレスは全部署を１台のDHCPで割り振ってるから、せっかくの
便利なツールも使えない。別の部署で英語の警告が出たらパニックだろうしｗ。

>>670
外からのは塞いでいるはずだが、GW中に自宅で感染したPCを社内LANにつなぐ香具師がいると思う。
ブラスターのときもそれにやられたし。
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 14:40]: >>690
>>655です。ｽﾏｿ
692 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 14:49]: >>689
レジストリの改ざんまで面倒を見てくれるセキュリティソフトは少ない。
感染する前ならファイルを検出してそれが起動する前に駆除してしまえば
問題ないけど一旦感染してしまった状態ならファイルを削除しただけでは
Runレジにゴミが残る。
693 名前：649 mailto:sage [04/05/05 15:12]: >>662の通りのことがききたかったのでした。
今のPCは2月末に買い換えて、初めてXPになったんですが、ちょうどすぐ
NTT西のグリッド実験のBio@Homeに参加したので、フレッツ接続ツールを
使ってマルチセッションを組みました。１つは今までのプロバイダBIGLOBE、
もう１つがグリッドのネットワークですが、これは（詳しいことは判らないが）
インターネットと違うらしいので、そっちにはFWは当てず、BIGLOBEの方だけ
FWを当てる、という設定で来たのです。
グリッドはもう期間が終わったのでその接続は削除したんですが、こういう
１つ１つの接続に対してFWをつけるつけないを個別に設定する方式だと、
何だか　まず接続する→それからFWを被せる、みたいな感じがするんです。
そうでなくて先にFWがあって、それに接続要求を通して接続を確立する、
というのなら隙はないと思うんですが。
（サッサと直接関係ないし、ネットのことをもっと勉強しないと聞いてもよく
判らないと思うのでこれぐらいにします。失礼しました）
694 名前：教えてください [04/05/05 15:12]: >692
レスありがとうございます。
自分もその様に思ったのですが、マイクロソフトのサッサー駆除ツールの
ページ（support.microsoft.com/?kbid=841720）に、”ほとんど
の場合、ウイルス対策プログラムを最新の状態にすることで、このワームを
駆除することが可能です。” って書いてあるので、レジストリも削除してくれる
のかな？って思ってしまいました。やはり感染していたら、駆除ツールで駆除
するか、手動で削除するしかないということですよね？
695 名前：名無しさん＠お腹いっぱい。 [04/05/05 15:18]: ネットワーク経由でパッチを適用する場合、その適用処理中に
Sasserにやられて、パッチ適用が完了する前にWindowsが再起動
してしまうことがあるようです。
その結果システムファイルが正しく更新できず、結果として
Windowsが起動しないトラブルが発生するケースがあるらしい。
以下のページあたりからまとめると、
www.f-secure.com/weblog/
www.securitytracker.com/alerts/2004/Apr/1009751.html

回避手順
1. %SystemRoot%\Debug\dcpromo.log を読み取りアクセス権限で作成する。
2. MS04-011パッチを適用
3. dcpromo.log を削除
4. PC再起動
696 名前：名無しさん＠お腹いっぱい。 [04/05/05 15:24]: 当方Xguardと言うｾｷｭﾘﾃｨｿﾌﾄ(ﾌﾘｰ)使っているんですが、
Outpost等に乗り換えた方がいいですか？
697 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 15:29]: >>695
サッサのプロセスを先に終了させておいても、パッチ適用処理中に再起動してしまうのですか？
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 15:45]: >>696
もっと詳しく環境をかかないとなんとも言えない。
例えば、ルータ使ってるんだったらXｶﾞﾄﾞで無問題。
699 名前：名無しさん＠お腹いっぱい。 [04/05/05 15:52]: >>697
オレが経験した限りでは、タスクマネージャでavserve2.exeを
止めようとしても蹴られてしまった。他にテクニックがあるのかもしれんが。
700 名前：名無しさん＠お腹いっぱい。 [04/05/05 16:04]: >>698
すいません、ルータ使っているから大丈夫ですね、有難うございます、
ＸｶﾞﾄﾞのFWにﾎﾟｰﾄ拒否しておいた方がいいですよね
701 名前：名無しさん＠お腹いっぱい。 [04/05/05 16:06]: ルータのほう、ちゃんと設定できてますか？
そっち固めるのが先決ですよ。
SPI・アタックブロック等有効になってますか？
702 名前：名無しさん＠お腹いっぱい。 [04/05/05 16:47]: 私は大学でヘルプデスク業務をしているのですが、Sasser対策ツールで
www.lac.co.jp/security/jsoc/tool/SNS_ABM.html
みたいなものってありますか？

大量のPCを次から次へとチェック・対策していくには結構使いやすい
ツールだったんですが…
703 名前：名無しさん＠お腹いっぱい。 [04/05/05 16:49]: >>702
まず、大学内にsasserを解き放て
そして感染したものを洗い出して対処すればいい
704 名前：名無しさん＠お腹いっぱい。 [04/05/05 16:58]: すいません、質問です

　ル　ー　タ　っ　て　な　ん　で　す　か　？
705 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:01]: >>704
ネタ？　じゃなかたら検索汁
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:02]: 言っていいですか？。「逝ってよし」って。
707 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:06]: >>704
中に人が入っていて、「いつものHな画像は田中だし」「このメールはおまいだし」
とか言って汗水流して振り分けてんだよ！
機嫌悪いと「もうあげない！」なんちって弾くんだよ。わかったれすか？
708 名前：名無しさん＠お腹いっぱい。 [04/05/05 17:07]: Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
を自分が既に当ててるかどうかってわかる？
アップデートやって重要な更新に何もなければおｋ？
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:08]: >>707
704じゃないけど、凄くよくわかった
710 名前：名無しさん＠お腹いっぱい。 [04/05/05 17:12]: ルーター買ってセットしましたが
設定がお任せみたいなのがデフォルトなんですけど、
敢えてカスタム化しなければ駄目なんでしょうか？
あまり詳しくないので、訳の判らない設定にちょっかい出す勇気が湧きません。
標準設定では駄目なんでしょうか？
ｘｐホームエディションでNECのpcgateでファイアーウォール設定して
マカフィーのウイルススキャンで防備しております。
ルーターはバファローのBBRー4MGという安い有線式です。
711 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:14]: >>710
アタックブロックって設定があればONにする
712 名前：名無しさん＠お腹いっぱい。 [04/05/05 17:29]: ルータ無しでモデムのみの場合どうすれば防げますか？
ｱｯﾌﾟﾃﾞｰﾄを利用しようとしたのですが、現在利用可能な重要な更新はありません、となっているんですが・・・・・・
自動更新した覚えも無いので・・・・・・・つД｀）ﾀｽｹﾚ !!
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:31]: >>708
アップデートの左側に、その他のオプション「インストールの履歴を表示」って
あるでしょｯｶﾞ。
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:31]: >>712
自動更新でｲﾝｽｺされてるんじゃない？
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:32]: >>712
自動更新は設定によっては、気付かないうちにインストールされてる場合あるぞ
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:32]: >>712
Windows9X･MEは対象でないかもです。
717 名前：名無しさん＠お腹いっぱい。 [04/05/05 17:35]: >>716
過去ログ見れ
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:37]: >>712
オイラも現在利用可能な重要な更新はありませんってなった。
ｱｯﾌﾟﾃﾞｰﾄの自動更新はしないようにしてたのに・・・。
719 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:40]: 騒いでるのは9x小僧か
720 名前：712 mailto:sage [04/05/05 17:43]: >>714 >>715
更新の履歴見てみたら

4月16日にWindows XP 用ｾｷｭﾘﾃｨ問題の修正プログラムってのが入っていました

(KB835732)
(KB828741)
(KB837001)
の修正プログラムが自動更新されていました

同じく16日に
Q831167 : 重要な更新
OESP1の累積的な修正プログラム(KB837009)
が更新されていました・・・・この更新だけでいいのでしょうか？
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:44]: 9xはサッサは大丈夫じゃなかったか？
722 名前：716 mailto:sage [04/05/05 17:45]: >>717
過去ログって、Part1れす。。
アナウンスではWin2k/XPになってるけど、トレンドの手動削除手順の中に
Win9X/MEのケースがあるのは？　それで・・「かも」なんす。
723 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:45]: 835732さえ入っていればサッサに対しては安全です。
724 名前：717 mailto:sage [04/05/05 17:48]: >>722
ﾏﾁｶﾞｴﾀｰﾖｳﾂﾀﾞｼﾉｳ・・・・・・・

>>287
>>291
725 名前：712 mailto:sage [04/05/05 17:50]: >>723
そうですか、　(´ー｀)y─┛~~ﾖｶｯﾀﾖｶｯﾀ
教えてくれた方ドモです
726 名前：名無しさん＠お腹いっぱい。 [04/05/05 17:54]: というか、少なくともここ見てる感染してるヤシ(ROM込み)だけでもFWくらい何とかしてでも使えよ。
それだけでも、被害の何パーセントかは減らせるだろうに。

つーか、感染者のポートって大解放状態なんだよな。
別の意味で危険だと思うぞ・・・
727 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:55]: このスレは親切で涙が出るほど良いスレでつ。
life3.2ch.net/test/read.cgi/kankon/1083655645/
より感動しまｓつ。
ﾊｨ、次の方ど～ぞ！
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:55]: 串の踏み台が減るのは困る。
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 17:58]: ｶﾞｲｼｭﾂだが、Windowsの更新は「プログラム（アプリケーション）の追加と削除」
に「ホットフィックス　KB835732」のように出る。
730 名前：i82550 [04/05/05 18:07]: FWでポート塞いでやった
731 名前：名無しさん＠お腹いっぱい。 mailto:age [04/05/05 18:16]: 荒らし板は通報せよ！荒らし狩りだっ！
愛と荒らしの掲示板(逃亡先）：bbs10.otd.co.jp/286214/bbs_plain
逃げても無駄だぜ！
ツーかぁ？ばーか！
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 18:17]: >>727
どんなんかと思ってみてきたら・・・
確かにある意味感動だな。
こういうの見ると2chってまんざらでもないな・・・とか思うんだよな。

スレ違い失礼・・・次の方元気にいってみよう!
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 18:20]: 科学雑巾おそるべし
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 18:21]: >>733
今じゃ10枚で200ｻｯｻだよ。
735 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 18:26]: 今のところサッサのせいでネット全体が重くなるというほどではないようだけど、
MSのアップデートは重くなっているんだろうな。
（俺はすぐやったから今の様子は知らん）
連休明けでまた感染が広がるとすれば、みんなが騒いでいる間にもう5月の
定例パッチが来るだろ。
ここでまた大物の脆弱性が明らかになって、そのパッチがまた糞でXPを含め
これを当てたWindowsがみな青息吐息の状態になるようなことになってみろｗ
736 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 18:27]: 今日はﾎﾟｰﾄ445が賑やかです。
3日-----------
4日-----
5日---------------
737 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 18:41]: パソコンつけっぱなしでもげ平気ですか？
738 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 18:50]: >>702
www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/dsscan.htm
こんなのどう?
739 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 18:57]: ノートン先生で完全防御
パッチも当てて無問題
でも胸がどきどきするの(´･ω･`)
まだ安全じゃなかったりする？
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 18:58]: >>739
あと、ルーターさえあれば文句なし
741 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 19:06]: >>673
Coregaの低価格帯ルーターが、ですか？
頻繁に接続が切れるので
ネットからは隔離されて安全とは言えますが・・・。
742 名前：名無しさん＠お腹いっぱい。 [04/05/05 19:07]: どなたか詳しい方、お教え下さい。
ルータのログ見たら

2004/05/05 18:51:58 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.7 : 1086 > 222.2.42.192 : 7788 (IP-PORT=6)
2004/05/05 18:52:09 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.7 : 1086 > 222.2.42.192 : 7788 (IP-PORT=6)
2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0)
2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0)
2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0)
2004/05/05 18:54:52 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6)
2004/05/05 18:54:55 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6)
2004/05/05 18:55:01 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6)
2004/05/05 18:59:53 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 18:59:56 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:00:02 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:02 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:05 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:08 NAT RX Not Found : ICMP 168.11.165.1 > 210.170.223.37 (IP-PORT=6)
2004/05/05 19:02:11 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:26 NAT RX Not Found : ICMP 80.120.160.244 > 210.170.223.37 (IP-PORT=6)

となっていたんですが、これはキチンと防御されてるんでしょうか？
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 19:09]: >>742
自分のIP晒してまで・・・（ｒｙ
744 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 19:11]: りじぇくと
745 名前：742 [04/05/05 19:14]: >>743
もうIPが変わってますんで、いいんですが
恥を承知で教えていただきたいもんで…

>>744
REJECTは心配ないんでしょうか？無知ですんません…
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 19:15]: cmd.ftpは消しちゃってもいいですか
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 19:17]: >>742,745
まぁ塞げてる
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 19:18]: >>742
問題なし
749 名前：742 mailto:sage [04/05/05 19:19]: >>747さん

レスありがとうございます。そうですか…
「まぁ」というのが何かビクビクですが　(((( ;゜Д゜)))
750 名前：742 mailto:sage [04/05/05 19:21]: >>748さん
レスありがとうございます。少しホッとしました。
751 名前：名無しさん＠お腹いっぱい。 [04/05/05 19:28]: >>738
おそらくそのツールはフル活用でしょう。Blasterの時もネットワーク上で検索かけて、
NetBIOSマシン名（通常ユーザIDになっている）を叫んでまわって対策してました。

問題なのは自発的にチェックを受けに来た人をいかに早くチェックするかなのですが…
パッチがあたっているかのチェックと、感染の有無、亜種の判別、駆除までオフラインで
実行可能なツールなんてないでしょうか？
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 19:32]: >>751
W32.Sasser 駆除ツール
www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
753 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 19:33]: NECのWARPSTARシリーズはログが赤文字以外は大丈夫のはずだけど>>742
754 名前：742 mailto:sage [04/05/05 19:43]: >>753さん
えっとNECのDR202Cです。WARPSTARじゃなく
確かダイレクトスターだったと思います。
755 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 19:55]: 氏万テック見れない…
756 名前：名無しさん＠お腹いっぱい。 [04/05/05 19:57]: KB835732がインストールできません。
インストールしようとしても
ファイルまたはヂレクトリを作成できません
になってしまいます。
どうしてれすかね？
757 名前：753 mailto:sage [04/05/05 20:04]: >>754
そうでしたか、それは失礼・・・
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:06]: >>756
それ以前の更新が入ってないんじゃないの？
それとOSやら情報全部秘密だとレスのしようがない。
759 名前：742 mailto:sage [04/05/05 20:10]: >>757さん
いえいえ、あやまるのはコチラの方で（汗
同じNEC製なのでDR202Cも赤字になるのかな…
も少し勉強してみます。ありがとうございました。
760 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:11]: >>754
俺も同じDR202Cっす。設定ツールDIRECTSTARのパケットフィルタ設定の種別
「拒否」を見れば初期値でちゃんと「445」拒否になってるよ。安心して寝よ～。
761 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:15]: ７５６れす
ＯＳはＸＰです。
パソコン初心者でぜんぜんわかんないんです。
このレスの最初の方のやり方でシャットダウンは
しなくなったんですが、KB835732のインストールだけ
できないんです。
762 名前：742 mailto:sage [04/05/05 20:15]: >>760さん
｡･ﾟ･(ﾉД`)･ﾟ･｡　　ありがたきアドバイス。多謝です。
763 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:28]: >761
windows updateしたときに上げるスレ 13
pc5.2ch.net/test/read.cgi/win/1081932957/
windows updateしたときに上げるスレ 14
pc5.2ch.net/test/read.cgi/win/1083647775/
Windows Update失敗したらageるスレ 6
pc5.2ch.net/test/read.cgi/win/1083512923/

とりあえず全部読んできなさい
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:32]: 明日は会社がどんな事になっているか。
よんよんごぉ～、よんよんごぉ～！止めとめ！とかコダマしてんのかなぁ・・
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:33]: SASSERの症状がでたので、ここのスレと同じ対処して
なんとかシャットダウンもなくなり、ネットも見れるようになったんですが
PCがやけに重く、アプリケーションが勝手に動いてるみたいです。。
これってまだウィルス残ってるんでしょうか？
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:35]: >>765
駆除はしたんか？FWは？
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:35]: sasserよりもAGOBOTが・・攻撃してくる・・
768 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:36]: >>742
安心汁!!
ログが残っているということは
防御してるという証拠だ
769 名前：名無しさん@セカンドマシーン [04/05/05 20:39]: ルータ使用しているので安全だとは思ったのですが
念のためMSのパッチを入れました。
2日くらいは起動したのに今日の朝から全く起動しません。
OSは2000なんですけど、これはサッサーとは関係ないんですかね？
770 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:40]: なんか初心者スレになってるな
どっかで誘導されてるのか？
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:42]: >>764
おまいの明日の会社の予想。
係長「おはようございます。サッサー対処のため速やかにWindowsアップデートをしましょう」
社員「係長、電源入れた途端やられますた～！」
係長「ﾎﾞｹﾞっ！アップデートの前にやられたんか？」
社員「普通、アップデートするに電源入れるっしょ」
係長「・・・・」
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:45]: ウイルスバスターもパッチもいれたしひとまず安心だ。
これからWindousのアップデートまめにやらんと・・
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:46]: >>769
とりあえず、>>763で上がっているスレを読んでみた方が良いかも。
774 名前：名無しさん＠お腹いっぱい。 [04/05/05 20:53]: ルーター入れてれば大丈夫？
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:55]: 押忍の精神があれば大丈夫。
776 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 20:58]: 適正なルータ設定とマメなWinUPと必勝の信念があれば大丈夫
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 21:03]: 派遣の身だから、こいつに罹ると契約ごと切られかねないなあ。

明日は人柱が出るまで、社内 LAN に繋がないでおこっと…。
778 名前：名無しさん＠お腹いっぱい。 [04/05/05 21:06]: 2000 xp は感染する？
2000serverやNTserverはどう？
779 名前：名無しさん＠お腹いっぱい。 [04/05/05 21:06]: >>773
サンクスモニカ。
なんだ、2000に問題があったのか　orz
780 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 21:10]: >>778
↓ここの「影響を受けるソフトウェア」をご参考まで。
www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp?frame=true
781 名前：名無しさん＠お腹いっぱい。 [04/05/05 21:14]: >>780
感染するのか............
782 名前：617 mailto:sage [04/05/05 21:15]: 昨日
C:\RECYCLER\S-1-5-18\Dc1.exe は　W32.Sasser.C.Worm に感染しています。
C:\RECYCLER\S-1-5-18\Dc2.exe は　W32.Sasser.C.Worm に感染しています。
が見つからないと書き込んだ617です・・・。
今日も頑張ってるのですが、未だ見つからず・・・
怪しいのを消してはスキャンの繰り返しで・・・
783 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 21:25]: >>782
レジストリにもないですか？
HKEY_USERS\S-1-5-18\Software\Microsoft・・・・
784 名前：617 mailto:sage [04/05/05 21:31]: >>783
ありがとうございます。
昨日からレジストリも探しているのですがそれらしいものが
見つからずに困っている次第です・・・。
785 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 21:32]: >>782
ゴミ箱を空にする
786 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 21:34]: ■MSのSASSER駆除ツール
　このツールは Windows XP、Windows 2000SP2以降に有効です。
　　 www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14c
このツールをして今のところ落ち着いてるんですが、今度はエラー報告が消しても消しても消えなくなってしまいました・・・
対処法はあるんでしょうか？
それと、このツールで駆除したら安心なんでしょうか？
787 名前：783 mailto:sage [04/05/05 21:36]: >>784
通常のゴミ箱ではなくワームによって作られたファイルだと思われます。
隠しファイルもエクスプローラで閲覧できるように設定していると思いますが
既に強制削除されていてデレクトリにだけ中途半端に残っているような
気がします。あくまでも推測ですが・・
788 名前：617 mailto:sage [04/05/05 21:38]: >>785
ゴミ箱も常に空にした状態なんですよね・・・
それで八方塞りな状況になってしまっております。

スレ汚しな下らない質問で本当に皆様すみません
789 名前：617 mailto:sage [04/05/05 21:41]: >>787
何度もすみませんです。
昨日、1-5-18が隠しファイルだったので、設定を変えて
隠しを解いたのですが、それでも全く見られなかったので
その可能性がある気がします・・・。
怪しいものは消しているので、これ以上どうしたら・・・という
状況です。
790 名前：783 mailto:sage [04/05/05 21:42]: >>789
MSSTASK.EXE とか　REGCTRL.EXE　は作られてませんか？
791 名前：名無しさん＠お腹いっぱい。 [04/05/05 21:53]: 445って共有ファイルの時使用される、ポート？
792 名前：617 mailto:sage [04/05/05 21:54]: >>790
残念ながらない様です・・・
REGEDIT.EXE～というファイルが似た名前ではありますが・・・
793 名前：名無しさん＠お腹いっぱい。 [04/05/05 21:54]: PC保守の仕事してるんだけど、ウイルス対策どうするべ
めんどくさい。
パターンファイルだけあげれば大丈夫かな？
794 名前：783 mailto:sage [04/05/05 21:56]: >>792
REGEDIT.EXEは触らないで、それ消したらレジストリ編集できんくなる。
後は・・・・ん～ん、判らんなぁ。ｽﾏｿ
795 名前：617 mailto:sage [04/05/05 21:59]: >>794
はい。了解しました。
何度も何度もすみませんです。
Ｄｃ１．ｅｘｅっていうもの自体、全く見つからないもので
この二日はこれにかかりっきりですｗ
自分が悪いのでこれからはしっかりセキュリティー
考えなくては・・・と反省しております。
796 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 21:59]: アンチウイルスソフトでも無理か？
797 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 22:01]: ノートン壊されたーうわーん
798 名前：794 mailto:sage [04/05/05 22:04]: >>795
既出でスレ違いで見当違いかもしれんが、あとはSpybotなんかで検索・駆除
を試みるしか考えつかん。ﾎﾝﾄｽﾏﾝ
799 名前：617 mailto:sage [04/05/05 22:06]: >>798
いえいえ。とんでもないです。
そう言われて当たり前です。
そちら関係のスレで勉強してきます。
本当にありがとうございました。
800 名前：名無しさん＠お腹いっぱい。 [04/05/05 22:09]: A～Dまで対応してる駆除ツール
download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V2.exe
801 名前：定期貼り mailto:sage [04/05/05 22:20]: ■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsのupdateしてないパソコンはネットに
接続するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
　・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　　LSA Shell(Export Version) has encountered a problem...
　　　This system is shutting down ... by NT AUTHORITY\SYSTEM
　・なんだかしらないがパソコンの反応がメチャ遅い。
　・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　　してるか確認しましょう。
　　　www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120
■Microsoft公式ページ
　・Sasser ワームについてのお知らせ
　　　www.microsoft.com/japan/security/incident/sasser.mspx
　・Sasser 対策 Windows XP篇
　　　www.microsoft.com/japan/security/incident/sasser_xp.mspx
　　　（XP付属ファイアウォールの詳しい使い方は >>24）
　・Sasser 対策 Windows 2000篇
　　　www.microsoft.com/japan/security/incident/sasser_2k.mspx
　・セキュリティ修正プログラム (835732) (MS04-011)
　　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
　・すでに感染しているマシンにパッチを当てた場合
　　MSの駆除ツールを使って駆除 >>5　（先にパッチ当ててないとｺﾞﾙｧされます）
■トレンド、シマンテックのデータベース情報　>>12
　・ SASSERに感染するようなうかつなパソコンは他のウィルスにもやられてる鴨
　　行ったついでにオンラインスキャンしておきましょう。
■ちゃんとしたファイアウォール入れれ。解説とリンク　>>3
802 名前：定期貼りに追加しよう mailto:sage [04/05/05 22:21]: SASSERファミリー（A～D）の感染動作概要

■感染経路のport番号
　感染マシン→ターゲットマシンのTCPポート445をスキャン
　感染マシン←ターゲットマシンの脆弱性の情報を確認
　感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
　感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送

■レジストリの改変
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値：
　avserve.exe = %Windows%\avserve.exe
　avserve2.exe = %Windows%\avserve2.exe
　skynetave.exe = "%Windows%\skynetave.exe"

■その他ウィルスが作成するファイル名
　＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"）
　システムドライブのルート（C:\）にWIN2.LOG" というログファイル
803 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 22:23]: スレタイで爆笑した俺は池沼。
804 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 22:24]: このウイルスが駆除されたかどうか確かめるにはどうすればいいのでしょう？
805 名前：名無しさん＠お腹いっぱい。 [04/05/05 22:37]: だいたい「ネットに接続するだけで何もしなくても感染」とはどういうこと？？？
806 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 22:42]: >>805
それは質問か？　嘆きか？
807 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 22:48]: CodeRed Nimda Blaster Sasser
ワームは増え続け、絶滅も活動停止もしない。
ネットがゴミパケットで溢れかえってしまう。
808 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 22:50]: ルーターの電源入れたと同時に、待ってましたとばかりに猛攻撃が！
頑張れルーター
809 名前：名無しさん＠お腹いっぱい。 [04/05/05 22:54]: 涙
ε=(´∞｀)ハァー
執行猶予六十秒では落ちないあっとふりーでぃ64
810 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:00]: リリンの作ったトラフィックはゴミで満ち満ちている‥‥
811 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:09]: ずっとご近所さんからばかりだったけど、オランダから来てるのがあった。
海外旅行もこれくらいお手軽だといいなあ…ｗ
812 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:11]: 445叩かれまくりだな
明日の祭りは確定だろ
813 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:13]: ■ sasser をとりあえず“駆除”する方法、または“駆除”されたことを確認する方法

０．ネットワークから物理的に離脱する
１．タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
２．レジストリで、
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　で　"avserve*.exe" = "C:\WINDOWS\avserve*.exe"　　（*：なし、または数字）
　　　　"skynetave.exe" = "C:\WINDOWS\skynetave.exe"　（Windows2000：WINNT）
　　の削除、または無いことを確認
３．%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
　　（%SystemRoot%：Windows, または WINNT）（*：なし、または数字）
４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
５．システムドライブ（ふつう C ドライブ）のルート（直下）の "win*.log" の削除、
　　または無いことを確認　　（このログは sasser の他への攻撃成功の戦利記録）
６．Windows を再起動
814 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:16]: パソコン立ち上げたまま寝ても大丈夫でしょうか？
アップデート、Norton済みです
815 名前：名無しさん＠お腹いっぱい。 [04/05/05 23:18]: >>814
必要がなければ電源は落とせ、その方が無難
必要なら止むを得まい、
としか回答しようがないでしょ？
816 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:20]: ネット上のどの鯖も重くなっているような…やっぱsasserの仕業か。
817 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:22]: www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
たくさんクリックする所があってどれをクリックするのかわかりません
助けてください．．．
818 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:24]: >>814
それこそ自己責任。
コンビニに車で買い物に行って、
エンジン掛けっ放しにするかどうかってことと同じ。
なにが起こっても

責　任　取　る　の　は　お　前　だ
819 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:25]: つか、そんなこといちいち聞くなよ　馬鹿じゃねーか
820 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:27]: 断る。
初心者スレ逝け。

と思ったら初心者スレがここに誘導してるやん(鬱
821 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:28]: >>817
断る。よそ行きな。
822 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:28]: >>820
おまいはオレか
823 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:30]: >>821
分かりました．．．
824 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:31]: かかったー__|￣|○
825 名前：定期的に貼りましょう mailto:sage [04/05/05 23:32]: ■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsのupdateしてないパソコンはネットに
接続するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
　・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　　LSA Shell(Export Version) has encountered a problem...
　　　This system is shutting down ... by NT AUTHORITY\SYSTEM
　・なんだかしらないがパソコンの反応がメチャ遅い。
　・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　　してるか確認しましょう。
　　　www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120
■Microsoft公式ページ
　・Sasser ワームについてのお知らせ
　　　www.microsoft.com/japan/security/incident/sasser.mspx
　・Sasser 対策 Windows XP篇
　　　www.microsoft.com/japan/security/incident/sasser_xp.mspx
　　　（XP付属ファイアウォールの詳しい使い方は >>24）
　・Sasser 対策 Windows 2000篇
　　　www.microsoft.com/japan/security/incident/sasser_2k.mspx
　・セキュリティ修正プログラム (835732) (MS04-011)
　　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
　・すでに感染しているマシンにパッチを当てた場合
　　MSの駆除ツールを使って駆除 >>5　（先にパッチ当ててないとｺﾞﾙｧされます）
■トレンド、シマンテックのデータベース情報　>>12
　・ SASSERに感染するようなうかつなパソコンは他のウィルスにもやられてる鴨
　　行ったついでにオンラインスキャンしておきましょう。
■ちゃんとしたファイアウォール入れれ。解説とリンク　>>3
826 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:32]: いらねーよ　うぜえな
827 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:34]: ネットがsasserのゴミパケットであふれかえってて重い。
828 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:35]: そんな重いかぁ？　さほどでもないよ。
829 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:36]: 感染してから自分の症状が何か確認しようとしてもインターネットにつながらないんだよな
830 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:37]: >>817
あなたのPCがWindows2000なら上から4番目の左側
Windows XPなら上から5番目
831 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:39]: >>830
ありがとうございます
832 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:40]: >>827
やっぱり？重いのうちだけかと思ってた
833 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:57]: SASSERに感染後駆除して、駆除された事も確認済みですが、
なぜか数分くらいするとネットに繋がらなくなるという症状が治りません。
これはまだ感染しているということなのでしょうか？
834 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/05 23:59]: >>833
釣り？
835 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:00]: >>834
だと思うなら反応するな　うぜー
836 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:08]: >>833
Netskyだったかな
同じような症状を聞いたことがある。
ってか上の方で出てたような
837 名前：名無CCDさん＠画素いっぱい mailto:sage [04/05/06 00:10]: 東京房区のケーブルテレビからネットに繋いでいます

このプロバイダは他の会社にウィルス対策を依頼してて、
ここ３週間で３０通くらいのウィルスメールを削除しました
っていう通知がきました。こんなもんでしょうか…？

何かしらありましたら、ご足労ですがレスをいただきたいと
思います。ぜひともよろです。m ( _ _ ) m。
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:18]: >>837
んで、どれが質問なの？こんなもんでしょうかってのがそう？
よく意味がわかんない…
839 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:18]: >837
板＆スレ違い。去れ。
840 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:18]: >>837
何が聞きたいのかさっぱりわからん。
第一Sasserはメール感染型じゃない。
スレ違い
841 名前：840 mailto:sage [04/05/06 00:18]: >>839
かぶった　orz
842 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:24]: XPだけどMSのパッチ当てておけば問題ないんでしょ？
843 名前：ミナツキ　サヤ ◆SAYAC2HJWE mailto:saya [04/05/06 00:24]: 今回ばかりは俺もう駄目かもしれない。感染してあぼ～んだよきっと
844 名前：名無しさん＠お腹いっぱい。 [04/05/06 00:24]: >>617
まだ見てますか?
ふと思ったこと。
フォルダオプション→表示→保護されたオペ(ry
のチェックが入ってれば消してみると何か出てくるかも
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:25]: さあね。余所逝きな。
846 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:25]: 833ですが釣りではなくて、本当に症状が治らないんです。
一度感染したのは確かですが駆除済みです。
今もMSの対策ページでもう一度確認しましたがやはり現在は感染していませんでした。
でもネットはだんだん重くなってやはり繋がらなくなってしまいます。
847 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:26]: それがどうした
848 名前：名無CCDさん＠画素いっぱい mailto:sage [04/05/06 00:26]: >>837です。漠然とした書き方すいませんでした。

>>838さんのおっしゃるようにこんなもんでしょうか≒
こんな例は沢山あるでしょうか？と聞きたかったのです。
スレ違いなようなので相応しいスレを探します。失礼しました。
849 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:27]: >>833,846
>>836見た？
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:28]: >>846
感染したのがSasserだけじゃ無かったんじゃない？
AGOBOTあたりもSasserと同じ脆弱性を狙うようだし、もう一度ウイルスチェックした方が良い。
851 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:30]: >>846
再度ウイルスのスキャンを汁。他のヤツが何か見つかるかも。
852 名前：穴瑠河菊乃輔 ◆Wbm2oUflB2 mailto:sage [04/05/06 00:34]: >>846
名古屋コーチン
853 名前：名無しさん＠お腹いっぱい。 [04/05/06 00:35]: ME使ってればいいんじゃない？
MSも賠償しろ！
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:37]: >>850
>AGOBOTあたりもSasserと同じ脆弱性を狙うようだし

それはどうかな？
855 名前：名無しさん＠お腹いっぱい。 [04/05/06 00:41]: 自分はサッサ感染症状に該当していて、カウントダウン中にファイル削除して、再起動したらユーザー選択のところで矢印だけ出て背景は真っ黒でそこから進まないのですが、何か対策はありますか？ちなみに今は携帯からです。
856 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:45]: 1243が結構多いな・・・なんだろ、これ。
857 名前：名無しさん＠お腹いっぱい。 [04/05/06 00:47]: KB835732充てなきゃだめなのかよ
正直Sasserよりうぜえこのパッチ
858 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:48]: >>857
じゃあ当てるな
859 名前：名無しさん＠お腹いっぱい。 [04/05/06 00:54]: ねえねえ、AGOBOTってなんて読むの？
エロいひと教えて
860 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:57]: >>854
じゃあ、この辺は？
www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.JF
861 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 00:59]: >>854

pc3.2ch.net/test/read.cgi/sec/1083586576/93
> Trend Microの対応ウイルスでMS04-011の脆弱性を使うと言われているのは、
> www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.JF
> www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.IM
> www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.YX
> www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HKTL_RPCLSA.A
> とSASSERのA～Dだな。他にもあるかもしれんがこれ以上探し出せなかった。
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 01:00]: 明日会社逝きたくない・・・・
ﾊﾟｯﾁ当てとけって連休前に言ってたしFWあるし連休中にお呼び出しもなかったから大丈夫だと思うけど
早くセキュリティ担当外れたいよ(´･ω･`)
863 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 01:02]: 445アタックが０時くらいから３２回になりました。
864 名前：617 mailto:sage [04/05/06 01:04]: spybotで駆除成功しました。
沢山アドバイス下さった方々、本当にありがとうございました！
自分がいかにアホな状態で居たかが、身にしみてわかりました・・・。
865 名前：名無しさん＠お腹いっぱい。 [04/05/06 01:04]: >>862
コーポレートエディションは入ってないの？
866 名前：名無しさん＠お腹いっぱい。 [04/05/06 01:05]: バッチ当てるとログオンは遅いので当てん！
867 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 01:23]: >>862
ご愁傷様。体壊すなよ。（体験者談）
868 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 01:26]: >>865
コーポのサーバ、いざという時に役立たずだ罠
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 01:38]: >>856

1243 BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles
必ずフィルタリングしてくださいトロイの木馬によるデータ盗難

だって。
870 名前：名無しさん＠お腹いっぱい。 [04/05/06 01:49]: なんかこの時間になって急にICMP(pingだろう)打ってくるやつが増えてきたんだが・・・
なんかblasterの時もこんな流れだったような気が・・・
ひょっとして亜種か？
871 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 01:52]: 亜種なんでこれから腐るように出てくるだろうさ
872 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 01:55]: >>870
D だろう。
873 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 01:56]: >>870
ping撃ってターゲット探す亜種が出てる
itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040505/143789/
874 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 02:04]: まさに企業なんかはblasterの時の教訓を試される訳か・・・
875 名前：ビギナー…… mailto:sage [04/05/06 02:09]: ping打たれてるかどうかってどうやって確認するんだろう？？
876 名前：定期貼りに追加 mailto:sage [04/05/06 02:11]: SASSER対策：経済産業省の呼びかけ
www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html

(3) ワームの侵入・拡大を防ぐようネットワークを設定する
・Sasserワームを防御するため、社内ネットワークとインターネットの境界に設置した
　ファイアウォールやルータの設定で、
　　UDP135、137、138、139及び445、
　　TCP135、138、139、445及び593
　のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
　を許可しない。
877 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 02:13]: >>875
ファイアウォールのログ見ろよ。ICMPなんちゃらって、どっちゃり出てるでよ。
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 02:15]: >>874
去年は某K電気屋のポスレジが２日くらいあぼーんして、
電卓手打ちで汗かいてたな。
879 名前：ビギナー…… mailto:sage [04/05/06 02:25]: >>877
NISには反応なし…。
ルーターのログは
2004年5月6日 01時36分39秒フィルタ 200.82.57.106 --> 自分パソ TCPポート:80
2004年5月6日 01時33分43秒フィルタ 4.7.208.139 からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月6日 01時33分43秒フィルタ 4.7.208.139 --> 自分パソ TCPポート:445
2004年5月6日 01時33分37秒フィルタ 4.7.208.139 からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月6日 01時33分37秒フィルタ 4.7.208.139 --> 自分パソ TCPポート:445

…ＩＣＭＰは何処… ＿|￣|○；
見る所が間違ってるのかな？
880 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 02:28]: うちは昨夜７時台にぽつぽつとICMPがあったけど、あとは電源を切ったので
不明。いまはない。（もう寝てるPCが多いということだろうけど）
881 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 02:33]: うちもポツポツといった感じでＩＣＭＰ
（ここ8時間で3回）
この一時間ぐらいは5～10分に一度ぐらいで落ち着いてる
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 02:54]: うちだけかもしれないけど、この時間帯はやはり攻撃の頻度が低いな。
ウイルスに国境なしとはいうものの、来るのは近所が多いということか。
昼間になればもっと多くなるだろう。
でも外国にはゴールデンウィークなどはないわけだが、あまり大騒ぎに
なっている報道も聞かない。
MSBlastの教訓を生かして、今回はパッチを当てた人が前よりはだいぶ
多くなったのかもしれない。
883 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 03:20]: >>869
サンクスです。
必ず、というほど重要なものだったのか・・・。
ルータ様さまだな。
884 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 03:21]: Gaobot(Agobot)のLSASSアタックルーチンは動いてないか
localhostにしか働かないかだよ。
アラートレベルが低いのが変だと思って実験機で踏んでみた。
外部にパケ出てない。
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 03:40]: ルータとは無縁な56kbpsのダイヤルアップの俺は勝ち組。
XPSP2のファイアウォール最強。
886 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 03:53]: 一眠りして起きたらネットワークトラフィックはどうなんってるんだろうか。
SEさんは引っ切り無しに呼ばれるんでしょうね・・・・
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 03:56]: 連休中は携帯電話切ってたよ…。
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 03:56]: >>885
ルータ入れてる奴のほうがこういうバグ突き型に感染するリスクは低いだろう。
(設定いじくって穴だらけなら話は別だが)
ダイヤルアップだから、ファイアーウォールなんていらないと思ってる奴も結構いるみたいで。
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 04:05]: いや56kbpsでＷｉｎｄｏｗｓＵｐｄａｔｅするのかと思うと眩暈がしそうｗ
890 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 06:18]: サッサーには感染してはいないですがちょっとくだらない質問いいですか？

例えばメールを介したウィルスは理論上全PCが駆除してしまえば根絶出来るような
気がしますが
サッサーのようにネット上に存在するウィルスは感染の有無は置いといて、
常にネットワーク上に存在し続けるのでしょうか?
で、ブラスターはもう存在しないのでしょうか?

空気感染するウィルスの根絶は難しいように･･･

ルーターもある、アップデート失敗にもめげず、当日当てたのはただの偶然ですが
今後のためにも知りたいな、と思いました
891 名前：890 mailto:sage [04/05/06 06:21]: ｶｷｺんでから思った･･･

全サーバーが対応してしまえばネットワーク上からもいなくなるのかな?
892 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 06:21]: >>890
感染者が居なくなれば消えるだろう。
100%不可能だが
Blasterは未だに残ってる。
未だに感染者が居るため
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 06:22]: >>891
サーバーもクライアントも全てのPCだ
894 名前：890 mailto:sage [04/05/06 06:30]: >>892-893
即レスありがとう!
ブラスターはまだ残ってるんですか
という事はこれから買い換える時は
ルーター、FW等セキュリティに注意しつつ、
購入直後の各種アップデートしなければならないんですね
一月に買ったメインPCが何事もなくアップ出来たのも「偶然」ルーター入れてたからか
（NTTはただのモデム、って言ってたが良く見ればルーター機能付きモデムだった）

ありがとう勉強になりました
895 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 06:41]: >>894
＞購入直後の各種アップデートしなければならないんですね

メーカー製のPC等は、こういうネットワーク感染型のウイルスがある場合、
そのパッチを当てて出荷する場合がある。
Blasterのパッチも当たってる場合が多い。
896 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 06:41]: >>894
連休の間にADSL入れた（ルーター機能つきのモデムつきのモデム入れた）ら、
FWが静かになってしまったので、
どっか設定変えちゃって機能してないのかしら、と試しにダイヤルアップで繋ぎなおしたら、
鳴りっぱなしになりました。
ありがたいよな、物足りないよなｗ
897 名前：890 mailto:sage [04/05/06 06:59]: もう一つ質問いいでしょうか

OSの修正ファイルや、ノートンの定義ファイルの差分についてググッて来ました
今後OS再インストールの際、ノートンも初期の状態に戻りますよね?
OSの修正ファイルをCDなどに焼いて保存するように
ノートンも差分を再インストール直前に取って置く事は可能でしょうか？
service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/jp_docid/20011114151127930
ココにそれっぽい事書かれてますが、合ってますか?

こんな事、考えた事無かったな
898 名前：798 mailto:sage [04/05/06 07:00]: >>864
そりゃ、よかった！
899 名前：890 mailto:sage [04/05/06 07:10]: >>897
すいません
Intelligent Updater でいいようですね

スレ汚しすいません
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 08:00]: うちのセキュリティー担当は明日出勤なわけだが・・・orz

俺はいやだ、やりたくない。夜勤明けで帰らせてくれ！でも、税理士が来るんだよなorz
901 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 08:04]: おはよう
今から出勤するぽorz
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 08:37]: おまいらの会社にはSEもおらんのか？
903 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 08:42]: 8時半少し前ぐらいから、445への攻撃が増えてきた。
違うIPが数回ずつやっていく。
どうやら各社のPCのスイッチが入り始めたようだｗ
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 08:44]: >>903
インターネットの世界は日本だけですか？
905 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 08:48]: >>904
でも深夜は少なかったよ。
攻撃に使われるIPアドレスの生成方式で、近所が多くなるのでは
ないか。
906 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 09:38]: すいません、MS04-011 [KB835732]が当たってなくて攻撃受けたら
ノートンなりバスターなりのウイルスパターンファイルが最新でもあぼーんですか？
907 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 09:41]: log見ても445への攻撃は少ないな。
Blasterの時はもっと凄まじかった

>>906
FWで455落とせ
908 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 09:42]: ノートン2004はAuto-ProtectをONにして、定義も最新なら
とりあえず感染はしないはず。
909 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 09:44]: パッチ当てるかFWしないとウィルスに感染しなかったとしても、
外部から管理者権限取り放題だが
910 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 09:47]: ＞先週末から拡大し始めたSasserワーム。海外での感染はひと段落付いた
＞模様だが、数ある大企業で感染報告が見られたようだ。ゴールデンウィーク
＞明けを迎え、多くのユーザーがオフィスに戻ってくる日本では、これから
＞被害が拡大する可能性がある。
www.itmedia.co.jp/enterprise/0405/06/epn03.html

まだ強力な亜種が出てきてないからかもしれないけど、海外ではひとまず
終息しつつあるのでしょうか。
911 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 10:10]: 待っているのだけれど、Sasserが来ない(´Д｀)!!
912 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 10:19]: まさかとは思うが、メールで来るのを待ってるのではあるまいなｗ
913 名前：名無しさん＠お腹いっぱい。 [04/05/06 10:24]: 早速、亜種がでますた

ttp://headlines.yahoo.co.jp/hl?a=20040506-00000001-cnet-sci
914 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 10:27]: >>913
情報遅いね。もう D まで逝ってるよ。
915 名前：914 mailto:sage [04/05/06 10:28]: すんまそん、読み違え。逝ってきます。
916 名前：名無しさん＠お腹いっぱい。 [04/05/06 10:34]: lsass.exeが状態コード128で落ちるのもSasser？
917 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 10:37]: 今頃糞パッチKB835732がｻｯｻｰ以上の猛威を振るってる悪寒
918 名前：名無しさん＠お腹いっぱい。 [04/05/06 10:37]: >>916
www.f-secure.co.jp/v-descs/v-descs3/sasser.htm
919 名前：名無しさん＠お腹いっぱい。 [04/05/06 10:42]: 918thx
でもやっぱり０だよなー
他にも128で落ちてる人がいるっぽいんで亜種かと思ったんだが・・・
なんだー！！！
920 名前：911 mailto:sage [04/05/06 11:00]: XPのファイヤウォールのログの
IPアドレス1個目、2個目、の後にある数字のどこかに、
445っていうのがあれば、sasserですよね？
…来ない(´Д｀)!!…違うのかな。

他の人、どれくらい来てます？？
921 名前：名無しさん＠お腹いっぱい。 [04/05/06 11:02]: ↓朝からこのバカがうるさいのだが、どうにかしてください。

inetnum: 61.205.128.0 - 61.205.143.255
netname: KCC-NET
descr: Cablenet Kobe Ashiya Co.,Ltd.
country: JP
admin-c: YT4624JP
tech-c: YT4624JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed: apnic-ftp@nic.ad.jp 20010507
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed: apnic-ftp@nic.ad.jp 20040421
source: JPNIC
922 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 11:05]: >>921
まず、おまいの頭をどうにかしてください。
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 11:11]: >>921
回線を切ってしまえば楽になりますよ。
924 名前：名無しさん＠お腹いっぱい。 [04/05/06 11:13]: 445をつついてくる香具師をﾎﾟﾄｽｶﾝしてみた

21 ftp File Transfer [Control] TCP 接続可
25 smtp Simple Mail Transfer TCP 接続可
80 www-http World Wide Web HTTP TCP 接続可
110 pop3 Post Office Protocol - Version 3 TCP 接続可
113 auth Authentication Service TCP 接続可
119 nntp Network News Transfer Protocol TCP 接続可
135 loc-srv Location Service TCP 接続可
443 https https MCom TCP 接続可
563 ＜不明＞ - TCP 接続可
1025 blackjack network blackjack TCP 接続可
1027 ＜不明＞ - TCP 接続可
1028 ＜不明＞ - TCP 接続可
925 名前：次スレテンプレ案　1 mailto:sage [04/05/06 11:24]: ■悪質ウィルスSASSER大暴れ中
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
現在確認されている亜種はA～Dの４種類ですが、動作、対処法はどれもほとんど同じ。

前スレ　sasser【スタコラサッサ】sasser　Part1
pc3.2ch.net/test/read.cgi/sec/1083573189/

■症状
・妙な窓↓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　LSA Shell(Export Version) has encountered a problem
　　This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかわからないが動作がメチャ重い。ネット接続がひんぱんに切れる。
・症状はパソコンの環境によっていろいろです。変だなと思ったらこの後のテンプレ
　読んでさっそく対策してください。ウィルスを広めるあなたもウィルスじゃ。

■ワームの侵入・拡大を防ぐようネットワークを設定する方法（経済産業省の呼びかけ）
　www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
　やルータの設定で、
　　UDP135、137、138、139及び445、
　　TCP135、138、139、445及び593
　のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
　を許可しない。
926 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 11:24]: マイクロのサッサ駆除ページの感染確認のところで

YOUR PC IS NOT INFECTED
と出て一安心なのですが

To help avoid worms such as Sasser in the future, visit the Protect Your PC site.

下のこの文章が理解出来なくてとてもとても怖いです
誰かへるぷみー
927 名前：sage [04/05/06 11:25]: サッサーでいいの？
サッサ？セッサ？サッセ？
928 名前：次スレテンプレ案　２ mailto:sage [04/05/06 11:25]: 《関連リンク》

Sasser ワームについてのお知らせ(Microsoft)
　www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
　www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
　www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
　　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
W32.Sasser.Worm(Symantec)
　www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
W32.Sasser.B.Worm(Symantec)
　www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser 駆除ツール(Symantec) (亜種A-Dまで対応)
　www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
WORM_SASSER.A(Trend Micro)
　www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
WORM_SASSER.B(Trend Micro)
　www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

その他亜種はデータベースのトップからSasserで検索してください）
・トレンド(手動削除手順はトレンドが詳しいです)
　www.trendmicro.co.jp/vinfo/
・シマンテック
　www.symantec.com/region/jp/sarcj/vinfodb.html
929 名前：次スレテンプレ案　３ mailto:sage [04/05/06 11:27]: 《SASSER動作概要》
■SASSERファミリー（A～D）の感染動作概要

・感染経路のport番号
　感染マシン→ターゲットマシンのTCPポート445をスキャン
　感染マシン←ターゲットマシンの脆弱性の情報を確認
　感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
　感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送

・レジストリの改変
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値：
　avserve.exe = %Windows%\avserve.exe
　avserve2.exe = %Windows%\avserve2.exe
　skynetave.exe = "%Windows%\skynetave.exe"

・その他ウィルスが作成するファイル名
　＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"）
　システムドライブのルート（C:\）にWIN2.LOG" というログファイル

■ワームの侵入・拡大を防ぐようネットワークを設定する方法（経済産業省の呼びかけ）
　www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
　やルータの設定で、
　　UDP135、137、138、139及び445、
　　TCP135、138、139、445及び593
　のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
　を許可しない。
930 名前：次スレテンプレ案　４ mailto:sage [04/05/06 11:29]: ■sasser を手動で“駆除”および“駆除”されたことを確認する方法
０．ネットワークから物理的に離脱する（ケーブルを抜く、モデムの電源OFF）
１．タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
２．レジストリで、
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　で　"avserve*.exe" = "C:\WINDOWS\avserve*.exe"　　（*：なし、または数字）
　　　　"skynetave.exe" = "C:\WINDOWS\skynetave.exe"　（Windows2000：WINNT）
　　の削除、または無いことを確認
３．%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
　　（%SystemRoot%：Windows, または WINNT）（*：なし、または数字）
４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
５．システムドライブ（ふつう C ドライブ）のルート（直下）の "win*.log" の削除、
　　または無いことを確認　　（このログは sasser の他への攻撃履歴が記録されている）
６．Windows を再起動

■　Windowsアップデート後、Microsoft純正Sasserツールで駆除
　　 www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
　使い方　support.microsoft.com/?kbid=841720
・手動：セーフモードで（F8を連打しながら）起動→スタート→ファイル名を指定して
　実行→regedit→以下の項目を削除
　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　値　： avserve.exe = %Windows%\avserve.exe　（SASSER.Bの場合　avserve2.exe）
　→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
　さらにウィルスとして発見されたファイルがあれば削除
931 名前：　次スレテンプレ案　以上 mailto:sage [04/05/06 11:32]: …他にも有用情報はありますが、それはいつでも貼りなおせるし、
必要最小限というとこんなもんかと…
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 11:34]: 乙～
933 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 11:36]: >>927
セッセと呼ぶと云い
googleは
サッサー 1060
サッサ　32200
サッセ　80
セッセ 7220
セッサ　3690
セッシャ 954
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 11:56]: ササーかとおもた
935 名前：次スレ立つまで定期貼り mailto:sage [04/05/06 12:26]: 次スレ立てるひとはテンプレ案を参考にしてください。
>>925　>>928-930
936 名前：名無しさん＠お腹いっぱい。 [04/05/06 12:30]: サッサのウィルス退治しても、しばらくするとまた感染
７件ってでる。セキュリティ修正プログラムもは入ってるのに!
なんかおかしい！ヘルプ
937 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 12:32]: 一応対応パッチが地雷だと言うことも書いといた方が
ttp://support.microsoft.com/?kbid=841382

Win板のスレ見たら他にも問題ありそうだけど
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 12:42]: アストロロボ
939 名前：名無しさん＠お腹いっぱい。 [04/05/06 12:46]: それでYAHOOだけが救われてるのかな
他にポート閉じてるプロバはないの？
940 名前：名無しさん＠お腹いっぱい。 [04/05/06 12:57]: >>939
Yahooでも、内部だけなら通るんじゃないのか？
941 名前：名無しさん＠お腹いっぱい。 [04/05/06 13:07]: >>933
ややこしい。経産省あたりが日本語名つけてほしい。
942 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 13:09]: 日本名、ウィンダム。
943 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 13:13]: プロバにポート閉じられたら困る人もいるだろう。
感染者だけ半年くらい隔離してほしい
944 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 14:06]: やっほーだけど４４５叩かれたよ。たいしたことないけど
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 14:19]: >>940
全然感染しないよ＿|￣|○

ただいまダイヤルアップで待ち受け状態れつ(･∀･)ﾆﾔﾆﾔ
946 名前：次スレ立つまで定期貼り mailto:sage [04/05/06 14:30]: 次スレ立てるひとはテンプレ案を参考にしてください。
>>925　>>928-930
追加
　MS04-011 のインストール後にコンピュータが応答を停止する問題
　support.microsoft.com/?kbid=841382
947 名前：名無しさん＠お腹いっぱい。 [04/05/06 14:32]: >>945
そりゃYahooのダイアルUPなんて誰も使っていないから、振られたIPに
近い奴が感染している確率なんて低いからだろ？

砂漠で一人ぼっちで立ってて、誰とも会わないのに、風邪に感染しないよと
言ってるようなもんだと思うけどな。
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 14:47]: >>945
通りかかったラクダにくしゃみ吹きかけられてあぼーん。
949 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:01]: 以下の現象、昨今流行のSasserと関係があるんでしょうか？

同じような英文メールが数日前から大量に来るようになりました。
（1日300通から500通）

From:フィールドが
MAILER-DAEMON@なんとか (Mail Delivery System) で、

Subject: Undelivered Mail Returned to Sender
Subject: Returned mail: see transcript for details
Subject: failure notice

というSubjectのメールが数日前から大量に来るようになりました。
Sasserの流行と関係があるんでしょうか？
Sasserに感染したパソコンが、なんでFrom: MAILER-DAEMON@なんでしょうか？
Sasserってそういうことをやるの？

----- The following addresses had permanent fatal errors -----

とか

Sorry, your message to xxx@btinternet.com cannot be delivered.
This account is over quota.

とかなんていうもっともらいしいことが書いてあるんだけど…。

転送メールのヘッダーのReturn-Path: に僕のアドレスが入ってるん
だよね。From:はまた別人のアドレスが入っている。
これって詐称メールがばら撒かれてるってことかな？
それとも、僕のメールサーバーが感染して、
勝手にメールをばら撒いてるの？
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 15:08]: >>926
「サッサーみたいなワームを今後とも避けるために、「あなたのPCを守ろう」の
サイトをごらんください。」

というだけのことなのでご安心を。
951 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:10]: 948ﾜﾛﾀ
952 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:10]: あんたが感染源なんだよ。
953 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:11]: >>952
おめぇが病原菌
954 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:12]: support.microsoft.com/default.aspx?scid=kb;ja;835732
support.microsoft.com/default.aspx?scid=kb;ja;835732
[MS04-011] Microsoft Windows のセキュリティ修正プログラム
対象製品
マイクロソフトはセキュリティ情報 MS04-011 をリリースしました。このセキュリティ
情報には、ファイルの一覧情報、展開オプションを始め、セキュリティ修正プ
ログラムの関連情報がすべて記載されています。セキュリティ情報の詳細を参
照するには、次のマイクロソフトWeb サイトにアクセスしてください。

www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

本セキュリティ更新プログラムのインストール後、次のサポート技術情報に記載されて
いる問題が発生する可能性があります。詳細については、サポート技術情報の
文書番号をクリックしてください。

840997 Adobe Illustrator で作成された拡張メタファイル形式のグラフィックファイル
(EMF 画像ファイル) が表示されない

841384 Windows NT 4.0 に MS04-011 のセキュリティ修正プログラムをインストールした
後 "STOP 0x00000079" エラーが発生する

841382 MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、CPU
使用率 100% の現象が発生する
Ntoskrnl.exe ファイルを置き換えるソフトウェア更新プログラムをインストールする際に
発生する可能性のある一般的な問題に関する追加情報については、次のサポー
ト技術情報の文書番号をクリックしてご確認ください。

246507 Windows NT は、 Ntoskrnl.exe についてのエラーメッセージを起動しません。

224526 Windows NT 4.0 がサポートするシステムパーティションは最大 7.8 GB
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 15:14]: >>949
それは多分Netsky.ABがどこかで拾ったあなたのメアドを詐称して
大量のウイルスメールをばらまいているのだと思います。
www.symantec.com/region/jp/sarcj/data/w/w32.netsky.ab@mm.html

Netskyには多くの亜種がありますが、ここ数日ならABでしょうか。
あなた自身のPCが感染していないかどうかも念のためチェックしてください。
956 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:20]: >>955
ということは、Sasserに感染しても、アドレス詐称メールは
ばら撒かないってこと？
Sasserに感染すると、具体的にはどういう害があるんですか？
ざっくり読んでみたかぎりだと、
パソコンが遅くなる、くらいの害しか書いてないけど…。
メール詐称ばら撒きとかデータを破壊するとかいう症状は、
Sasser感染とは関係がない？
957 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:30]: これだけの説明だと、Sasser感染の実害がよくわからんね。
書いてるやつもわかってないんじゃないのか？
俺もわからんけど。

www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser.B.Worm は、W32.Sasser.Worm の亜種です。このワームは、
マイクロソフトセキュリティ情報 MS04-011 で解説されている LSASS
の脆弱性の悪用を試み、ランダムに選択された IP アドレスを持つコン
ピュータをスキャンすることによって、上述の脆弱性に未対応のシス
テムを探し出して拡散します。
958 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 15:30]: >>956
Sasserはメールでは感染しない。
ネットに繋がってるパソコンを直接狙って来るのでNetskyより恐い。
勝手にシャットダウンとかするのでサーバーに使ってるPCは困るだろう。
959 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:31]: >>956
お前さんはこのスレの何を見ていたのかと…
せめて、>>1とその関連サイトをもう一度見直してくれ。
960 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 15:32]: >>956
Sasserはメールは使いません。
これに感染したことによる感染者自身の被害はパフォーマンスの低下
ぐらいが多いようです（詳細はウイルス対策各社のサイト参照）。

データの破壊や盗難は、今のところはないですが、そういうことをする
Sasserの亜種が今後登場しないとも限らないので、風邪程度と侮っては
なりません。

あと、「Sasserを除去するソフトをやる」と称してNetskyつきのメールを
送りつけられることがあるらしいので注意。
961 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:39]: >>960
>これに感染したことによる感染者自身の被害はパフォーマンスの低下
>ぐらいが多いようです

なーんだ、大騒ぎするほどでもない。
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 15:40]: >>961
そんなエサに釣られクマー
963 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 15:45]: しかしSasserと同じ脆弱性を使う他のウイルスの中には、もっと
凶悪なのもあるらしいよ。（Agobot系）

★この脆弱性を塞ぐパッチ（KB835732）を当てるとトラブルが起きる
件についての最新記事

Sasserを防ぐために必要なパッチを適用すると不具合が発生
internet.watch.impress.co.jp/cda/news/2004/05/06/2997.html
964 名前：名無しさん＠お腹いっぱい。 [04/05/06 15:48]: 君らマイクロソフトの質の悪い商品のおかげでてんてこ舞いだね。
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 15:51]: log
1025,3127,6129,1080,2745,80,1433,4899,21,8062,80,後は10000以上
全部Unrecognized access
966 名前：ぽるじょあ ◆yBEncckFOU mailto:sage [04/05/06 15:57]: これのせいでもしかしてトラフィック増えてる?
何か回線重いんだけど。
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 16:02]: ウィルスよりMSのパッチの方が怖い
968 名前：ミナツキ　サヤ ◆SAYAC2HJWE mailto:saya [04/05/06 16:07]: 重いと思うから重いのかもしれない。
普段気にせずヤフー開いたりとかしてるから分からない。
969 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 16:21]: 自分の家でネズミ講の集会開かれてるけど、
自分には害が無いからまぁいいかと思える奴は平気だろうな。
970 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 16:44]: マイクロソフト、IE上で利用できる「Sasser」の検知・駆除ツール発表
internet.watch.impress.co.jp/cda/news/2004/05/06/2991.html
971 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 16:47]: support.microsoft.com/default.aspx?scid=kb;ja;841720
support.microsoft.com/default.aspx?scid=kb;ja;841728
support.microsoft.com/default.aspx?scid=kb;ja;841727

MSの中の人も大変だな
972 名前：名無しさん＠お腹いっぱい。 [04/05/06 16:58]: Sasserって感染してても気が付かない人が多いのでは？
LANに繋いで無いと実害が分かりにくいし。
インターネット接続だけの単独パソコンなら感染は分からないかもね。
973 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 16:58]: MEだと大丈夫なの？
974 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 17:05]: …話がループしてるな。
過去レスくらい読まないのか？
975 名前：次スレ立つまで定期貼り mailto:sage [04/05/06 17:07]: 次スレ立てるひとはテンプレ案を参考にしてください。
>>925　>>928-930
976 名前：ミナツキ　サヤ ◆SAYAC2HJWE mailto:saya [04/05/06 17:17]: 俺としては、これとっくに既出なんだけど…
headlines.yahoo.co.jp/hl?a=20040506-00000008-imp-sci
977 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 17:22]: >>976
既出すぎ。
>>928のリンクたどっても行けるし
978 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 17:26]: >>972
実害無いなら無問題じゃない？
光直結でルータもＦＷもウプデートすら施していない友人
何も異常が見られないって言ってたよ
979 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 17:28]: 観戦したくても９８ＳＥだから無理ぽｼｮﾓｰﾝ
980 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 17:34]: 自分に害が無くても他で誰かが悲鳴を上げるかもしれないな
981 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 17:42]: >>979
パソコン持ってる奴なんて一杯いるんだから探してきなよ。
982 名前：　テンプレ案　５追加…英語拒否反応もあるし mailto:sage [04/05/06 17:43]: ■マイクロソフトのSasser感染・駆除チェックサイト
headlines.yahoo.co.jp/hl?a=20040506-00000008-imp-sci

画面をスクロールして↓下記のボタンを押す。
　　　　　　　　------------------------
　　　　　　　　 Check My PC for Infection
　　　　　　　　------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
　　　　　　　　------------------------
　　　　　　　　 Your PC Is Not Infected
　　　　　　　　------------------------　　　と出ればOK。

Windowsのアップデート「MS04-011」が未適用のPCだと
　To use this tool, you must be running Windows XP or Windows 2000,
　and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査

アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer.　
と表示される。「駆除に成功した」のでこれでOK
983 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 17:46]: >>982
リンク先をそのサイトにしないと意味ないじゃん
984 名前：　テンプレ案　５追加…訂正　982は無視してね mailto:sage [04/05/06 17:50]: ■マイクロソフトのSasser感染・駆除チェックサイト
www.microsoft.com/security/incident/sasser.asp

画面をスクロールして↓下記のボタンを押す。
　　　　　　　　------------------------
　　　　　　　　 Check My PC for Infection
　　　　　　　　------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
　　　　　　　　------------------------
　　　　　　　　 Your PC Is Not Infected
　　　　　　　　------------------------　　　と出ればOK。

Windowsのアップデート「MS04-011」が未適用のPCだと
　To use this tool, you must be running Windows XP or Windows 2000,
　and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査

アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer.　
と表示される。「駆除に成功した」のでこれでOK
985 名前：名無しさん＠お腹いっぱい。 [04/05/06 17:51]: 仕事から帰ってきて、PC立ち上げて、ここ見てみたら・・・

アレ？
なんか落ち着いてるやん・・・

FWのログ見てもなんか445なんかほとんど来てないし・・・
986 名前：定期貼り mailto:sage [04/05/06 17:58]: 次スレ立てるひとは以下のテンプレ案を参考にしてください。
>>925　>>928-930　>>984　（←MSのチェックサイト　IEでしか作動しない）
987 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 18:19]: >>985
プロバイダにもよるが、ポートを閉じてる場合がある
988 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 18:21]: ぷららはガンガン来てるぞー！
989 名前：名無しさん＠お腹いっぱい。 [04/05/06 18:23]: 445たたきが落ち着いてきたと思ったら
今度は16060たたいてくるのがじわりと増えてきてる。
なんかもう何でも有りって感じだな。
990 名前：名無しさん＠お腹いっぱい。 [04/05/06 18:36]: あほーは閉じてるっぽい
991 名前：名無しさん＠お腹いっぱい。 [04/05/06 18:36]: すいません　頑張ってアップデートして　駆除ツール作動させたんですが。。。
ポートの閉じ方とかが良く分かりません。
992 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 18:41]: >>991
んで、あに？
993 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 18:43]: >>991
ポートを閉じるのは、「ファイアウォール」というもので行います。
WindowsXPなら、「スタート―接続―すべての接続の表示」で
お使いのプロバイダの接続を選んで、右クリックして「プロパティ」
を出します。
その「詳細設定」のタブを見ると、一番上にファイアウォールを
設定するところがあるので、それにチェックを入れてください。
これでウイルスが使うあらゆるポートが閉じられます。

※接続中に行うと完全にできないようなので、いったん接続を
切ってからするとよいと思います。
994 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 18:53]: a
995 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 18:53]: >>990
どうかな？　YBBだが、445はYBBの近所からがもちろん多いが、
中国広東省あたりからもちらほら来ている。
996 名前：最後の定期貼り mailto:sage [04/05/06 18:54]: 次スレ立てるひとは以下のテンプレ案を参考にしてください。
>>925　>>928-930　>>984　（←MSのチェックサイト　IEでしか作動しない）
997 名前：名無しさん＠お腹いっぱい。 [04/05/06 18:59]: >>993
ありがとうございます
998 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:03]: >>993
>> これでウイルスが使うあらゆるポートが閉じられます。

へー
999 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:03]: このスレッドは９９９を超えました。
１０００を取るのに生きがいを感じてる方。
　　　　　　　　　↓
1000 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:03]: 1000
1001 名前：１００１ [Over 1000 Thread]: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef