TROJ_DECEIVLNK.A の感染を再発見しました。削除し、再起動後の再検索後も感染無しで、当該レジストリも無く、1ヶ月弱 経過していました。1 これは、私が添付するファイルにどうやって侵入するのでしょうか?2 そして、それが伝播するのでしょうか?拡散性の無いものとの解説に思えるのですが、詳細をご存知の方、ご教示戴ければ幸いです。 
◇-伝播するのでしょうか-XIX(2003/9/13-07:52)No.103226
 ┗Re:伝播するのでしょうか-キャスバル(2003/9/13-10:56)No.103236
  ┗添付のファイルが発端でした。-XIX(2003/9/13-11:39)No.103239
   ┣Re:添付のファイルが発端でした。-まいと(2003/9/13-12:07)No.103246
   ┃┗宜しくお願いします。-XIX(2003/9/13-13:26)No.103264
   ┗Re:添付のファイルが発端でした。-キャスバル(2003/9/13-12:16)No.103248
    ┣Re:添付のファイルが発端でした。-やまふみ(2003/9/13-13:10)No.103254
    ┃┗検索が続いています。-XIX(2003/9/13-17:02)No.103278
    ┃ ┗まだ、試行しています。-XIX(2003/9/13-22:21)No.103339
    ┗もう少し詳しく書きますと、-XIX(2003/9/13-13:17)No.103259
     ┗Re:ええっ! ちょっと前提がくずれているんですけど...-やまふみ(2003/9/14-03:13)No.103366
      ┗Re:補足-やまふみ(2003/9/14-04:14)No.103368
       ┗何にせよ、伝播を解明したいですね。-XIX(2003/9/14-08:40)No.103376
        ┗今までありがとうございました。-XIX(2003/9/14-21:40)No.103429
         ┗Re:知り合いの方の状況確認が先!-やまふみ(2003/9/15-12:13)No.103474
          ┣Re:知り合いの方の状況確認が先!-やまふみ(2003/9/15-12:27)No.103475
          ┗Re:デシーブリンク-Ai-net(2003/9/15-15:01)No.103492
           ┗Re:DECEIVLNK-やまふみ(2003/9/15-15:12)No.103495
            ┗Re:DECEIVLNK-Ai-net(2003/9/15-15:16)No.103496
▲このページのトップに戻る
103226伝播するのでしょうかXIX URL2003/9/13-07:52

メーカー名:日本電気 NEC
OS名:WindowsMe
パソコン名:Lavie C LC700J/64DR12
ソフト名:IE 6.0SP1 office
インターネット全般:アウトルックエクスプレス
使用回線:ADSL
--
TROJ_DECEIVLNK.A の感染を再発見しました。
削除し、再起動後の再検索後も感染無しで、当該レジストリも無く、1ヶ月弱 経過していました。

1 これは、私が添付するファイルにどうやって侵入するのでしょうか?
2 そして、それが伝播するのでしょうか?
拡散性の無いものとの解説に思えるのですが、詳細をご存知の方、ご教示戴ければ幸いです。

▲このページのトップに戻る
103236Re:伝播するのでしょうかキャスバル 2003/9/13-10:56
記事番号103226へのコメント
どもども。

>TROJ_DECEIVLNK.A の感染を再発見しました。
>1 これは、私が添付するファイルにどうやって侵入するのでしょうか?
あなたから誰かに送るメールの添付ファイルにくっついて行くってこと?
であれば、そのような活動はしません。木馬だしね。

>2 そして、それが伝播するのでしょうか?
いや、あなた(もしくは他の使用者)が、どこかからか"自分で"そのウイルスを
落としてきたから感染したのであって、そこから広がることは無いみたい。


http://www.southernx.ne.jp/information/virus/43.htm
○感染方法:
インターネット上のアダルトサイトなどでアクセス用プログラムや
一般的なツールとして頒布されていた例が報告されています。
騙しメッセージなどにより、ユーザ自らWeb上からインストールしてしまう
ケースが多いようです。

ってかね、これに該当するのならウイルス対策ソフト入れてないんでしょ?
しかも、受動的にではなく能動的に自分から感染しないと
食らうことなんてないようなウイルスなのだから、
そのあたりの改善を強くお薦めします。

▲このページのトップに戻る
103239添付のファイルが発端でした。XIX 2003/9/13-11:39
記事番号103236へのコメント
キャスバルさん ありがとうございます。

>>1 これは、私が添付するファイルにどうやって侵入するのでしょうか?
>あなたから誰かに送るメールの添付ファイルにくっついて行くってこと?
>であれば、そのような活動はしません。木馬だしね。
>
>>2 そして、それが伝播するのでしょうか?
>いや、あなた(もしくは他の使用者)が、どこかからか"自分で"そのウイルスを
>落としてきたから感染したのであって、そこから広がることは無いみたい。

私も理論は良く解りませんすが、結果としてそう解釈しました。
ところが、切っ掛けは意外にも友達のお知らせでした。私が添付したエクセルのファイルが原因の様で、
「添付がウイルスチェックにひっ掛かったので、」とのことでした。

添付で知らぬ間に伝播するものかと思うと、なんとも不思議でした。
(今回、存在ディレクトリも変わっていました。¥tempinternetが¥_restoreに、です。
この_restoreは、システムの復元とのサポセンの助言から、その復元をしないにチェックを入れてみました。)

キャスバルさん、どのようにお考えになりますか。

▲このページのトップに戻る
103246Re:添付のファイルが発端でした。まいと 2003/9/13-12:07
記事番号103239へのコメント
こんにちわ!横槍失礼します

木馬には感染(正確には駐在、かな)後、発見までどれくらいの
期間をおきましたか?
一般的には木馬系プログラムがセルフ・デュープリケーション(自己複製)を
行う事はありません。

友人に送った添付ファイルについていたのも同じウィルスですか?
特にこの木馬ウィルスに鍵って言えばファイル名の書き換え、等も
一切行わないようです。他のウィルスへの感染をもう一度調べてください

この木馬型ウィルス情報はコチラ
http://www.google.co.jp/search?q=cache:Af8HmcY8erYJ:www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp%3FVName%3DTROJ_DECEIVLNK.A+TROJ_DECEIVLNK.A&hl=ja&ie=UTF-8

▲このページのトップに戻る
103264宜しくお願いします。XIX 2003/9/13-13:26
記事番号103246へのコメント
まいとさん はじめまして。

>木馬には感染(正確には駐在、かな)後、発見までどれくらいの
>期間をおきましたか?

半月です。
前回感染後、始末。今回再発で半月ですね。同じ友達にその間にエクセル添付してますが、そのようなお知らせは無かったです。

>一般的には木馬系プログラムがセルフ・デュープリケーション(自己複製)を
>行う事はありません。
>
>友人に送った添付ファイルについていたのも同じウィルスですか?

ウイルス名は判りません。私には認識ありません。

▲このページのトップに戻る
103248Re:添付のファイルが発端でした。キャスバル 2003/9/13-12:16
記事番号103239へのコメント
ちと出かけちゃうので、たいしたこと書けないですけど。
尻切れで申し訳ないです。。。

>私も理論は良く解りませんすが、結果としてそう解釈しました。
>ところが、切っ掛けは意外にも友達のお知らせでした。私が添付したエクセルのファイルが原因の様で、
>「添付がウイルスチェックにひっ掛かったので、」とのことでした。
これ自体は、当該のトロージャンだったんでしょうか?
各社サイトに「メールで撒くよ」って書いていない以上、
そのウイルスが添付の形で広まるのは考えづらいしね。

もしくは、ちゃんと読んでないのだけど、
・トロイ&ローカルの任意のファイルに細工を施す
ってのなら、そのエクセルは既に犯されていて、
そいつを送ったもんだからご友人が検知した、、、っと。
# 別にウイルス自体の機能として拡散するんじゃなくて
# 感染したファイルを"自分で"メールで送ったから検知された


>添付で知らぬ間に伝播するものかと思うと、なんとも不思議でした。
>(今回、存在ディレクトリも変わっていました。¥tempinternetが¥_restoreに、です。
>この_restoreは、システムの復元とのサポセンの助言から、その復元をしないにチェックを入れてみました。)
_restoreはご存知でしょうけど、システムの復元のための"倉庫"だから、
各ウイルスに感染したときは、ご丁寧にそれも保存しちゃうデメリットがあります。


前に駆除した時は、_restoreは削除しなかったのね?
その後にシステムの復元しちゃうと、また感染するかもよ。
_restore内のみに存在が発見された場合は、基本的には感染はしてないです。


>キャスバルさん、どのようにお考えになりますか。
・ウイルスに感染しないよう
・どういった経路での感染の可能性があるか
・OSやその他プログラムの脆弱性
などには常にアンテナ張ってるつもりですけど、
個別のウイルスの挙動には暗いなぁ。。。ごめんなさい。

ってか、役に立ってないな、ぼく。Webの技術者失格か。。。
でもね、そろそろ常連の皆様が起きる頃なので(笑)、
その他の返答を待ってみてくださいな。

▲このページのトップに戻る
103254Re:添付のファイルが発端でした。やまふみ 2003/9/13-13:10
記事番号103248へのコメント

ウイルス・スパイ・侵入ネタに食いつきのいい常連のやまふみです。

可能性として考えられるのは
 ・しばしば起る誤検出
 ・デシーブリンクソースをベースとした亜種の登場
 ・たまたまデシーブリンクに似た所を持つ新種
といったところかな。

このデシーブリンクって、
どっちかっていうとアド/スパイウェア軍団所属のものだと思います。
それのごく一部をトレンドマイクロだけがウイルスとして検出していると思われます。
他のセキュリティソフトメーカーの情報出てこないし。

検出を知らせてくれた知り合いも、
使っているウイルスチェックはきっとトレンドマイクロのでしょう?
たぶんもう気持ち悪くてそのファイル捨ててしまったと思うんだけど、
ヨソのウイルスチェックでチェックしてみると面白かったかも。
ヨソのがウイルスとして検出しないようだと、
「慣れないアド/スパイウェア系を無理してチェックしているため、誤検出がある」
ってことだと思いますが。

質問者はまだ_restoreファイルを始末していないのでしたら、
http://www.vintage-solutions.com/Japanese/Antivirus/Super/index.html
を使って同じものがウイルス扱いされるかどうかやってみるといいかも。
(検出機能だけのフリーのウイルスチェック。
使い終わったらゴミ箱にポイの、使い捨て。システムは汚さずに使えます。
検出能力には定評があるので、別種のウイルスが見つかってしまうかも。)

あっ、でも、ANTIDOTEでウイルス扱いされなくても、
スパイウェア系のものが入りこんだ歴があることは間違いないので、
_restoreは後で始末しちゃってくださいよ。

それからあなたも、検出してくれたお知り合いも、
Ad-AwareやSpyBotでアド/スパイウェアを完全駆除しておきましょう。
アド/スパイウェアとウイルスはもともと境界があいまいで、
アド/スパイウェアが駆除されていないシステムをウイルスチェックするのは、
ウイルスチェックの結果に少なからず影響を与えて、
チェック結果の解釈を難しくすることもあるでしょう。

また可能性は低いながら、
いよいよ増殖能力を持つデシーブリンク亜種登場、
またはたまたま似た構造を持つ新種登場ってこともあるわけですから、
お知り合いがまだその検出されたファイルを保持していたら、
トレンドマイクロに送って解析してもらうのも面白いですよ。

▲このページのトップに戻る
103278検索が続いています。XIX 2003/9/13-17:02
記事番号103254へのコメント
やまふみさん、はじめまして。遅くなりました。
>http://www.vintage-solutions.com/Japanese/Antivirus/Super/index.html
を使って同じものがウイルス扱いされるかどうかやってみるといいかも。

1「レジストリーを検索し、・・・」は、感染無しでした。
2「MAPI機能を利用し、Out・・・」は、Mapiscanが原因で、同exeにエラーが発生しました。解決しない場合は、再起動して下さい。」
再起動しても、同じでした。
3「ディレクトリーやドライブへオンデ・・・」は、後で詳報しますが、全ドライブは、永いです。(これには、検索後の削除キーが無いみたいですが・・・メモしてでしょうか。)

C:の結果
システムメモリ ブートセクター マスターブートレコード ファイル 検索結果各OK
ウイルス感染レポート コード解析にチェック

緑色虫眼鏡マークを先頭に次のファイル名その後、検索結果 圧縮ファイル : Embedded(exeのみ「EXE」が付加します。)
ProgramFiles\hsbex\readme.doc
ProgramFiles \InfoSphere\InfoSphere Online SignUp\main.exe
ProgramFiles\Netshow Services\Tools\NetShowPresenter.ppa
ProgramFiles MicrosoftOffice\Office\Webページウィザード.wiz
ProgramFiles\ MicrosoftOffice\ Office\Welcome.msg
ProgramFiles\ MicrosoftOffice\Office\Library\html.xla
ProgramFiles\MicrosoftOffice\Office\1041\xl8galry.xls
ProgramFiles\MicrosoftOffice\Office\email.dot
ProgramFiles\MicrosoftOffice\Office\Samples\Samples.xls
ProgramFiles\MicrosoftOffice\templates\1041\address.doc
50ファイル以上同様に続きます。そして、
緑色虫眼鏡マークを先頭に次のファイル名その後、検索結果 圧縮ファイル : Embedded
MyDocuments\文書1.doc
MyDocuments\FaxWizard.doc
MyDocuments\~Wrl2670.tmp
MyDocuments\広報:・・・.doc
MyDocuments\~Wrl3002.tmp
MyDocuments\フォルダ名称\お知らせ.doc
50ファイル以上同様に続きます。そして、
緑色虫眼鏡マークを先頭に次のファイル名その後、検索結果 圧縮ファイル : Embedded(exeのみ「EXE」が付加します。)
Recycled\dc27.doc
Recycled \dc103.exe
Recycled \dc104.exe
Recycled \dc58\FaxWizar付文.doc
・・・
Windows\script.doc
Windows\temp\2723c.msi
駐車禁止マーク が初めて先頭に付きました。検索結果は、不良  その内容は、
Windows\temp\v9qg1ua63181 拡張子が有りません。
緑色虫眼鏡マークを先頭に次のファイル名その後、検索結果 圧縮ファイル : Embedded
Windows\Installer\15d0d.msi
・ ・・
Windows\ApplicationDate\Microsoft\Templates\Normalq.dot
Windows\ApplicationDate\Microsoft\Word\~Wra3262.wbk
Windows\ApplicationDate\Microsoft\Word\~Wra3824.tmp
・ ・・
Windows\TemporaryInternetFiles\Content.ie5\8t81wror\フォルダ名\ファイル名.doc

駐車禁止マーク 先頭 検索結果は、不良  その内容は、          Windows\TemporaryInternetFiles\Content.ie5\01sdyrep\ファイル名.exe
Windows\TemporaryInternetFiles\Content.ie5\01sdyrep\msnsetup_min[1].exe
Windows\TemporaryInternetFiles\Content.ie5\fz2iytmy\5-1-61-77[1].exe
Windows\TemporaryInternetFiles\Content.ie5\u65t4lj3\is4msn_v1_01_jpn[1].exe
Windows\TemporaryInternetFiles\Content.ie5\u65t4lj3\is4msn_v1_01_jpn[3].exe
Windows\TemporaryInternetFiles\Content.ie5\u65t4lj3\is4msn_v1_01_jpn[5].exe
Windows\TemporaryInternetFiles\Content.ie5 \u65t4lj3\is4msn_v1_01_jpn[7].exe
Windows\TemporaryInternetFiles\Content.ie5 \u65t4lj3\is4msn_v1_01_jpn[9].exe
Windows\TemporaryInternetFiles\Content.ie5\u65t4lj3\is4msn_v1_01_jpn[11].exe
緑色虫眼鏡マークを先頭に次のファイル名その後、検索結果 圧縮ファイル : Embedded
Windows\ShellNew\Winword.doc
Windows\Allusers\ApplicationDate\msnMessenger5.0.0527\MsnMsgs.msi

▲このページのトップに戻る
103339まだ、試行しています。XIX URL2003/9/13-22:21
記事番号103278へのコメント
やまふみさん、色々ご助言ありがとうございます。まだまだ、実行することが有りますので、ここで一旦お返事と感謝とを述べさせて頂きます。

>http://www.vintage-solutions.com/Japanese/Antivirus/Super/index.html
を使って同じものがウイルス扱いされるかどうかやってみるといいかも。
その他情報です。
D:の結果
システムメモリ ブートセクター マスターブートレコード ファイル 検索結果各OK
ウイルス感染レポート コード解析にチェック
C:の結果・詳細
前回の4倍出ました。書けません(断念)。
赤色のSTOPマークが新に4つ出現しました。
これから、全て削除に掛かります。
E:の結果
緑の虫眼鏡マークばかり200個ほど。

>Ad-AwareやSpyBotでアド/スパイウェアを完全駆除しておきましょう。
19個検出でした。その後処理。

>スパイウェア系のものが入りこんだ歴があることは間違いないので、
_restoreは後で始末しちゃってくださいよ。
はい。見付けました。恐らくリンクを利用するのでしょう。

>トレンドマイクロに送って解析してもらうのも面白いですよ
検討してみます。
?研究助成費が貰えるのでしょうか。(^o^;

>どっちかっていうとアド/スパイウェア軍団所属のものだと思います。
それのごく一部をトレンドマイクロだけがウイルスとして検出していると思われます。
納得のご解説ありがとうございます。

▲このページのトップに戻る
103259もう少し詳しく書きますと、XIX 2003/9/13-13:17
記事番号103248へのコメント
>ちと出かけちゃうので、たいしたこと書けないですけど。
キャスバルさん すみませんでした。お気持ちを感謝します。書いておきますので、もし宜しかったらどうぞ。

>これ自体は、当該のトロージャンだったんでしょうか?
名称は、伝えていません。それで、兎に角 慌ててオンラインキャンでした。

>各社サイトに「メールで撒くよ」って書いていない以上、>そのウイルスが添付の形で広まるのは考えづらいしね。
そう思いますが、命名前の亜種かも?

>もしくは、ちゃんと読んでないのだけど、
>・トロイ&ローカルの任意のファイルに細工を施す
>ってのなら、そのエクセルは既に犯されていて、
「冒されるって」、どういう概論でしょうか。
例えば、見知らぬタイトルのファイルが自動併信されているのでしょうか?

>そいつを送ったもんだからご友人が検知した、、、っと。
># 別にウイルス自体の機能として拡散するんじゃなくて
># 感染したファイルを"自分で"メールで送ったから検知された
ん〜ん、この概論が解れば、詳細を書けるかも知れません。

>前に駆除した時は、_restoreは削除しなかったのね?
このディレクトリは、前回スキャンに検知されなかったのでした

>その後にシステムの復元しちゃうと、また感染するかもよ。
>_restore内のみに存在が発見された場合は、基本的には感染はしてないです。
削除できないのです。「アクセスできません。送り側のファイルが使用中の可能性が有ります。」
それで、サポセンとも相談して復元のしないに設定した訳です。

>・ウイルスに感染しないよう
>・どういった経路での感染の可能性があるか
>・OSやその他プログラムの脆弱性
>などには常にアンテナ張ってるつもりですけど、
>個別のウイルスの挙動には暗いなぁ。。。ごめんなさい。
>
>ってか、役に立ってないな、ぼく。Webの技術者失格か。。。
>でもね、そろそろ常連の皆様が起きる頃なので(笑)、
>その他の返答を待ってみてください

ありがとうございます。

▲このページのトップに戻る
103366Re:ええっ! ちょっと前提がくずれているんですけど...やまふみ 2003/9/14-03:13
記事番号103259へのコメント

あの〜〜〜、
ここであなたの質問に答えていた方ほとんど、
お知り合いに送られたエクセルファイルから検出されたものが、
TROJ_DECEIVLNK.Aという前提で答えているんですけど、

>>友人に送った添付ファイルについていたのも同じウィルスですか?

>ウイルス名は判りません。私には認識ありません。

なんですかぁ???
(イヤ、途中で皆さん、
同じウイルスじゃないんじゃないかと疑い出してはいますが...)

結局、お知り合いからは、ウイルス名はナシで添付が感染していることだけ連絡を受けて、
自分でチェックしたらTROJ_DECEIVLNK.Aが出てきた、ということなんでしょうか???
(しかもそのチェックは、ウイルスチェックによるものではなく、
感染の連絡を受けて、以前感染歴のあるTROJ_DECEIVLNK.Aについての部分だけ、
再確認のつもりで手動でチェックしてみた、というものだったりするのかな...
でなきゃ、ANTIDOTEが別種をいくつか検出したようなのに、
トレンドマイクロのがTROJ_DECEIVLNK.Aしか検出しないなんて、ちょっと考えられない。
それとも精度のイマイチ良くないオンラインチェックだったのか???)

結論としては、ANTIDOTEが別種のウイルスをいろいろ見つけてしまったようですから、
お知り合いに届いた添付のウイルスはTROJ_DECEIVLNK.Aじゃない、
他のファイルに感染を広げる機能を持つことが確認されているウイルスだったのでしょう。

しかし、ANTIDOTEの圧縮ファイルの結果表示(緑色の虫眼鏡)は、
ウイルス名が出てなければウイルスってわけじゃないですよ。
圧縮形式を確認してくれているだけです。
削除してなきゃいいですけど...

とはいえ、明かにウイルスっていうのもいくつか見つかっているみたいだし、
アド/スパイウェアは一杯入っていたみたいだし、
一度リカバリしてさっぱりすることをお勧めしますけどね。

▲このページのトップに戻る
103368Re:補足やまふみ 2003/9/14-04:14
記事番号103366へのコメント

>とはいえ、明かにウイルスっていうのもいくつか見つかっているみたいだし、

と言ったものの、ウイルス感染リポートの見方は大丈夫だったのかな?
もしリポートに出ているものが全部感染ファイルだと思っていたら、
それは違いますよ。
リポートにピンクの×マークとウイルス名出てる?
「ウイルスを検出しました」というメッセージの入ったボックスは表示された?
各マークの意味などはこちらでご確認を。
http://www.vintage-solutions.com/Japanese/Antivirus/Super/index.html

▲このページのトップに戻る
103376何にせよ、伝播を解明したいですね。XIX 2003/9/14-08:40
記事番号103368へのコメント
やまふみさん おはようございます。その後、未だ一部研究中で未完です。

>結局、お知り合いからは、ウイルス名はナシで添付が感染していることだけ連絡を受けて、
>自分でチェックしたらTROJ_DECEIVLNK.Aが出てきた、ということなんでしょうか???
ご推察の通りです。
ですから、これが伝播したと思うと心配です。

>(しかもそのチェックは、ウイルスチェックによるものではなく、
>感染の連絡を受けて、以前感染歴のあるTROJ_DECEIVLNK.Aについての部分だけ、
>再確認のつもりで手動でチェックしてみた、というものだったりするのかな...
「手動」?トレンドマイクロオンラインスキャンで全ドライブ点検しました。

>圧縮形式を確認してくれているだけです。
>削除してなきゃいいですけど...
あ〜よかった。しません。

>リポートにピンクの×マークとウイルス名出てる?
「ウイルスを検出しました」というメッセージの入ったボックスは表示された?
表示されていません。疑われるのは、以下の2つです。削除するつもりです。
赤色のSTOPマーク:入出力エラーやサポートできないファイル形式に遭遇したことを示す警告アイコン
駐車禁止マーク:ファイル不良のため検出動作を中止した際の例外条件警告アイコンやまふみさんは No.103368「Re:補足」で書きました。

以上、ご報告しますともに、もう少しご教示戴ければ大変幸いです。

▲このページのトップに戻る
103429今までありがとうございました。XIX URL2003/9/14-21:40
記事番号103376へのコメント
続報です。
やまふみさん、広範囲な解明探索となっています。

>http://www.vintage-solutions.com/Japanese/Antivirus/Super/index.html
を使って同じものがウイルス扱いされるかどうかやってみるといいかも。
C:の結果・セーフモードで。
変らずでした。

>19個検出でした。その後処理。
これは、SpyBotでしたので、今度はAd-Awareで。
4個検出でした、その後処理。更にセーフモードで、2個検出、その後処理。

>はい。見付けました。恐らくリンクを利用するのでしょう。
全部のファイルを削除できないのは、相変らずでした。

>検討してみます。
>?研究助成費が貰えるのでしょうか。(^o^;
さすがにそのもののアドレスが載ってませんね。WEB送信では添付できないですし。
適当なアドレスで先ずは打診・お伺いを送信しました。

>結局、お知り合いからは、ウイルス名はナシで添付が感染していることだけ連絡を受けて、
>自分でチェックしたらTROJ_DECEIVLNK.Aが出てきた、ということなんでしょうか???
最近に同じ名称があったものですから、「再発見」の表現になりました次第です。

>(しかもそのチェックは、ウイルスチェックによるものではなく、
>感染の連絡を受けて、以前感染歴のあるTROJ_DECEIVLNK.Aについての部分だけ、
>再確認のつもりで手動でチェックしてみた、というものだったりするのかな...
スキャン前は、同名のウイルスとは思ってませんでした。

>表示されていません。疑われるのは、以下の2つです。削除するつもりです。
削除しました。

>ってのなら、そのエクセルは既に犯されていて、
調べましたら、マクロやリンクの場合があるそうです。こうなると、原因探索もチョット辛くなってまいりました。


気になることを発見しましました。
再起動すると、システムの更新の太鼓のアイコンが出てそれで作動が終了してしまうのです。画面が初期画面は勿論、起動しません。
その後、再度作動させると、正常に行うことが出来るのです。2度するようなものです。
これまでは、ハングアップ(リソース極貧時とか)時のポップアップ画面の強制終了の選択画面が時々出るぐらいでした。

WInFAQやゴーグル(再起動 システム 更新)でも、解明できませんでした。

お返事が遅れたのは、解明が広範囲になっているこことと、私のスキル不足です。m(_ _)m

▲このページのトップに戻る
103474Re:知り合いの方の状況確認が先!やまふみ 2003/9/15-12:13
記事番号103429へのコメント

>お返事が遅れたのは、解明が広範囲になっているこことと、私のスキル不足です。m(_ _)m

ごめん、はっきり言うけど、やってもらっていることが
「広範囲」とはちっとも思わない。
定期的なスパイウェアチェック(しかもAd-awareとSpybotのダブルチェックの方多し。)、
手持ちのウイルスチェックの検出結果に疑問がある場合の、
別のウイルスチェックによる検出結果との比較とかは、
私を含む回答をつけているレベルの方なら、
普段からやっていることだから。

しかも皆さん、ウイルスチェックは常時稼動させていますよ。
結局ウイルスチェックを普段稼動させていないから、
人から「感染添付が届いている」と言われると、
自分のPCの状況に自信が持てずに慌てることになるんじゃないですか?
自分側に感染の可能性はほとんどない、と思えれば、
相手の感染を疑うこともできるはず。

とりあえず、この話よく伺うと、
お知り合いがどう言う風にチェックして、なんのウイルスを検出したのか、
ぜんぜん分かっていない話のようなので、
それの確認の方が先です。
メール受信時に即座に捕獲された場合を除けば、
あなたが送ったものから検出された=あなたが感染している、
という風に100%なるわけじゃないです。

お知り合いが検出したウイルスは十中八九デシーブリンクではないです。
どちらかというとお知り合いの方がまったく別のウイルスに感染してる可能性が高いです。
あなたのPCにデシーブリンクの再発はありません。
(_restoreファイルに入っているのは感染していた頃のシステム状態の保存であって、
復元さえしてなければ、まったく活動してません。)

その代りデシーブリンクの親戚(スパイウェア)はたくさん入ったままになっていました。
これまでの手荒い使い方がたたって、
ロクに読み取れない壊れファイルがかなり存在しているようです。
OSの調子は良くなくて当然です。
リカバリは強くお勧めしておきます。
ウイルスチェックソフトとファイヤーウォールは新規購入して、
常時稼動させてください。
ロクに対策できないのに、アダルトページを見に行ったり、
違法なファイル交換をするのは止めましょう

▲このページのトップに戻る
103475Re:知り合いの方の状況確認が先!やまふみ 2003/9/15-12:27
記事番号103474へのコメント

>どちらかというとお知り合いの方がまったく別のウイルスに感染してる可能性が高いです。

ANTIDOTEの結果は
結局生きているウイルスはひとつも発見できていないことを示しているから。
トレンドマイクロのオンラインでも
_restoreに以前の感染の残りであるデシーブリンクしか見つかっていないし。
(コイツはANTIDOTEではおそらくウイルス扱いされない。)

あなたのPCは現在ウイルス感染してませんよ。
大変調子悪そうなPCではありますが...

▲このページのトップに戻る
103492Re:デシーブリンクAi-net 2003/9/15-15:01
記事番号103474へのコメント
やまふみさんは No.103474「Re:知り合いの方の状況確認が先!」で書きました。

>お知り合いが検出したウイルスは十中八九デシーブリンクではないです。

What is "デシーブリンク"? deceive link?

▲このページのトップに戻る
103495Re:DECEIVLNKやまふみ 2003/9/15-15:12
記事番号103492へのコメント

TROJ_DECEIVLNK.A
(読み違えならはずかしいけど、
一応デシーブリンクって読む「お約束」らしいから。
http://www.southernx.ne.jp/information/virus/43.htm

▲このページのトップに戻る
103496Re:DECEIVLNKAi-net 2003/9/15-15:16
記事番号103495へのコメント
やまふみさんは No.103495「Re:DECEIVLNK」で書きました。
>
>TROJ_DECEIVLNK.A
>(読み違えならはずかしいけど、
>一応デシーブリンクって読む「お約束」らしいから。
>http://www.southernx.ne.jp/information/virus/43.htm

Oh, thank you, yamafumi. :-)