- ベストアンサー
WORM_DOWNAD.ADが社内にしょちゅう進入してきます
お世話になります。 本社社内でLAN構築してあり、他営業所のパソコンもWANで接続されています。 ウィルスバスターを入れております。パターンも常に最新になるようにしてあります。 あるときWORM_DOWNAD.ADのウィルスが本社社内で一斉に感染しました。 他の営業所では発生していません。 トレンドマイクロのHPでMS08-067のセキュリティホール修正する ように記載されていましたので、本社含む全営業所にこのセキュリティホールの 修正を適用しました。 そしてWORM_DOWNAD.ADの駆除ツールをダウンロードし実行 そしてウィルスバスターによるスキャンをしました。全台数です。 ですが数日後、特定のパソコン5台だけ一斉に感染します。 念のため再度セキュリティホール修正の適用 同じようにサイド駆除ツール、ウィルススキャンして駆除しています。 ですが、同じ時刻に一斉にこの5台だけが数日後にウィルスバスターに より感染画面がでます。一斉感染後5回同じ日の同じ時刻にこの5台だけが感染します。 USBフラッシュメモリも使用していませんし、ネットワークドライブの共有もしていません。 ですが、共有ハードディスクドライブ(HD-LAN)を感染している5台中 3台使用していますが、この共有ディスクをオンラインスキャンしても ウィルス検知しません。 このWORM_DOWNAD.AD対策にはあとどのような方法がありますでしょうか? そこで
- busuemi
- お礼率41% (80/192)
- ウィルス・マルウェア
- 回答数4
- ありがとう数7
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
お疲れ様です。人事ではないですね。 WORM_DOWNAD.AD というのは、 代表的USB経由ワーム Conficker B,C のTrendmicro社での呼び名ですね。 既にしらべられているでしょうが詳細ページも参考にしてください。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T なかなか面倒な相手ですね。 トレンドマイクロに書かれていない事を補足して置きますと、 まず、Windows XPの場合、Tweak UIにて、Mycomputer\AutoPlayで、CD-DVD以外のドライブはAutoPlayを解除します。 Tweak UIのXP版は下記からダウンロードできます。(ページ右のリスト中ほどにあります) http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx PC起動時に共有ハードディスクドライブがネットワークドライブにマウントされるなどで自動感染してしまわないよう(Autorun.inf無効)にするためです。 駆除には、「Microsoft Windows 悪意のあるソフトウェアの削除ツール」をダウンロードして使用します。 このツールは、月例アップデートでも実行されますが、その場合実行後削除されてしまいますので、必要時にダウンロードする必要があります。 http://support.microsoft.com/?kbid=890830 こののち、セーフモードにて各PCをウイルスバスターによるスキャン。既に他のマルウエアをダウンロードしているかもしれませんので。 最後にクリーンになったAutorun.inf無効PCで共有ハードディスクドライブ(Linux系のNASですか?)をスキャン という手順になるでしょう。 この手順で行かないと、何度でも感染することになります。
その他の回答 (3)
- Aoox
- ベストアンサー率40% (138/340)
他の回答者さんも言われているように、どこかに感染したファイルが残っていたりする可能性があります。 時間はかかりますが、下記のソフトでネットワークサーバー、各クライアント端末のフルスキャンを行ってください。 他のセキュリティーソフトでは発見できないこともあるウイルスが引っ掛かるかもしれません。 試用版があるので、DLしてみてください。 ソフト名:Kaspersky 一応企業ということで、個人向けの対策ソフトもありますが、法人向けのソフトをDLされることをお勧めします。 個人向け:www.just-kaspersky.jp 法人向け:http://www.kaspersky.co.jp/trials なお、法人向けの最上位エディションは「Kaspersky Work Space Security」です。
お礼
ありがとうございます。 是非ためさせていただきます。
- T-200
- ベストアンサー率43% (157/360)
私は詳しい人ではありませんので参考程度でお願いします。 すくなくともその5台では完全な駆除は出来ていないと考えられます(ネットワーク内に何らかの再感染原因が潜んでいるかもしれませんが)。 一斉に再感染するわけですからそうしたタスクがスケジュールされていて、それが実行されていると思われます。 Conficker.worm(Downad/Downadup)の亜種では感染ファイルが駆除さらた場合でもそうして再感染させるものもあるようですし、ネットワーク全体に感染した場合は完全な駆除が難しいとか聞いた事もあります。 どのベンダの駆除ツールで駆除したか不明ですが、一応複数のConficker.worm駆除に対応しているMcAfeeのStingerを紹介してみますが、今回の場合はあまり改善は期待出来ないかもしれません。 http://www.mcafee.com/japan/security/stinger.asp 会社のシステムですので、専門業者に対応相談されるのが良いのではないでしょうか?
お礼
ありがとうございます。 参考にさせていただきます。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
ネットで調べたら出たが。 http://jp.trendmicro.com/jp/threat/extermination_tool/downad/ システム深くまで侵入するらしいのでネットでよく調べたほうが良いんじゃないの。 会社だからきちんとサポートを受けるとか。 「一斉感染後5回同じ日の同じ時刻にこの5台だけが感染します。」 それって活動するときじゃないの。 でも、感染原因がわからないようだし、更新プログラムの適用の類は、マイクロソフト以外のいろいろなソフトもあるからきちんと確認したほうがいいんじゃないか。Adobeのソフトとか。 読み流し程度で。
お礼
ありがとうございました。参考にいたします。
お礼
ありがとうございます。 ご指摘いただいたとおり、手順をおって実行したいと思います。 どうもありがとうございました。