• ベストアンサー

SVCHOSTが大量に表示されるのですが。

本日、久々にファイアーウォールの ログを見ていたところ気になる部分があったので 質問させてください^^; 使用PCはNEC製 接続方法はCATVで行っています。 使用ソフトはウイルスバスター2005、SGアンチスパイ ad-awareを使っています。 ログを見たとき目に飛び込んできたのは。 大量のC:WINDOWS\SYSTEM32\SVCHOST.EXEという文字でした。 プロトコル:UDP(TCPの方がとても多かったです) 送信先ポート:1025  アプリケーションパス:C:WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名:Generic Host Process for Win32 Services 説明:セキュリティレベル設定によるブロック となっていて同じ送信元IPから一度に5回位の攻撃を受けていました。 TCPとUDPのブロック数を見てみると明らかに TCPと表示されているのが多かったです。 以前はこんなに大量に攻撃を受けることはなかったのですが。 昨日今日の2日間の間で急激に増えてきました。 これは誰かが故意に攻撃してきているのでしょうか^^; それとも何かのウィルスに感染してしまったのでしょうか。 どなたかご意見聞かせていただけないでしょうか。

質問者が選んだベストアンサー

  • ベストアンサー
  • doki2
  • ベストアンサー率51% (440/860)
回答No.3

警察庁からの警告が出ているようです。 ◇警察庁、中国を発信元とするTCP 1025番ポートへのアクセス増加を警告 http://internet.watch.impress.co.jp/cda/news/2005/12/09/10174.html ■TCP1025番ポートに対するアクセスの増加について(12/9) http://www.cyberpolice.go.jp/important/2005/20051209_184920.html roku1550さんの場合、ファイアウォールでブロックされていると思います。 「MS Blast」が蔓延したときこのポート経由DCOMが悪用されたとか・・・ ポートの開放状況等「Access Port」が便利ではないでしょうか? http://www.altech-ads.com/product/10000314.htm その他参考情報 ★RPC(Remote Procedure Call) http://e-words.jp/w/RPC.html DCOM を無効にする方法 http://www.st.ryukoku.ac.jp/~kjm/ms-windows/dcom/ RPCサービスに重大なセキュリティ・ホール(MS03-039) ■回避法2:DCOMを無効化する http://www.atmarkit.co.jp/fwin2k/hotfix/ms03-039/ms03-039.html MSRPC DCOM ワーム「MS Blast」の蔓延 http://www.isskk.co.jp/support/techinfo/general/MS_Blast.html

roku1550
質問者

お礼

返信有難う御座います。 警視庁の方からも警告が出ていたのですね^^; URLも参考にさせていただきます。 どうもありがとう御座いました。

その他の回答 (4)

  • FMVNB50GJ
  • ベストアンサー率27% (411/1520)
回答No.5

micrpsoft updateのことだと思いますが、なんと言うか今までやっていないということですかね。 何とかアップデートを完了すべき、としかいえません。 正規品の確認をするものだろうと思いますが、正規品ならアップデートできるのではないかと。 「セキュリティ警告」というのは、そのパソコンははじめからSP2が入っているということですかね。 アップデートは、activXコントロールを有効にしていないとできないはずだったと思いますが、とにかくアップデートを完了しないとまずいでしょう。

roku1550
質問者

お礼

返信有難う御座いました。 無事にアップデートすることが出来ました。

  • FMVNB50GJ
  • ベストアンサー率27% (411/1520)
回答No.4

故意かどうかは、送信元の人に聞いてみないとはっきりとはいえませんが。 「中国のIPを範囲ごと遮断するというのはどのように行えばよいのでしょうか」 ですが、IPアドレスの検索URLを以下に。 http://www.apnic.net/apnic-bin/whois.pl アジア・オセアニア http://www.arin.net/whois/index.html  アメリカ大陸 http://www.ripe.net/perl/whois   ヨーロッパ・中東 バスターの設定は知りません。あしからず。 当方はルーターを使用していません。 IPアドレスを範囲ごと遮断しているのは、ノートンでの設定です。 もちろん、その範囲とは通信できなくなります。 いちいち設定しなくても大丈夫だと思いますが。 セキュリティの基本は、OSのアップデートをやってセキュリティホールを埋めることです。 やっていないと、相手の攻撃がうまくいく可能性が出てきます。

roku1550
質問者

お礼

↑正規Windowsの検証でしたorz これが出てアップデートが出来ない状態なのですが。 言われるまま進めていればアップデート出来るよう なるのでしょうか…? 追加質問大変申し訳ありません。

roku1550
質問者

補足

返信有難う御座います^^ OSのアップデートの事なんですが アップデートしようとしましたらWindowsの~確認 という物が出てきてしまいまして、次に進んだら セキュリティ警告という物が出てきてしまいましたが これは「はい」を選択して次に進むべきでしょうか。

  • FMVNB50GJ
  • ベストアンサー率27% (411/1520)
回答No.2

1025番ポートへのアクセスはこっちでも観測しています。 送信元は中国のIPアドレスでした。 ノートンを使っています。 今日もアクセスに励んでいるようです。たしかにきのうぐらいからです。 故意じゃないとすると、ウイルスによるものなんでしょうかね。 故意にやっていると思いますよ。 「しもべ」にするパソコンを増やそうとしているかも。 何しろ中国のハッカー集団は、中国政府が関与しているうわさがあるくらいですから。 私の場合、中国のIPアドレスを範囲ごと遮断しています。

roku1550
質問者

補足

返信有難う御座います。 そちらにも攻撃が仕掛けられていたのですね; 故意に複数のPCに攻撃を仕掛けているという事でしょうか。 中国側のハッカー事情がそんな風に言われてるのは 知りませんでした…驚きです^^; 中国のIPを範囲ごと遮断するというのは どのように行えばよいのでしょうか^^; ルーターを導入すればよいのでしょうか?

noname#40123
noname#40123
回答No.1

とりあえずは、次のことを実行してみてください。 1.ウイルスバスターのウイルスパターンを更新して、 最新版にしてから全ドライブのウイルス検索とスパイウェア検索を実行する。 2.ウイルスバスターを2005から2006にアップグレードする。 (ユーザー登録期間内であれば、アップグレード可能) 3.SGアンチスパイと、AD-AwareSEを最新版に更新して、全ドライブのスパイウェアチェックをする。 4.MicrosoftUpdateを実行する。 それで様子を見てください。

roku1550
質問者

お礼

返信有難う御座います。 教えて頂いた通りにしてみようと思います。 どうも有難う御座いました^^

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • Generic Host Process for Win32 Servicesとは?

    質問なのですが。2日ほど前から ウイルスバスター2006のパーソナルファイアーウォールログに 「TCP(UDPもあります)C:WINDOWS\SYSTEM32\SVCHOST.EXE」 「Generic Host Process for Win32 Services」 「セキュリティレベル設定によるブロック」 という物が大量に表示されるようになってしまいました。 送信元、送信先はIP自分のIPから自分のIPに 送信しているようでした;(ルーター使用してます) 今までだと「N/A」という物が大量に表示されていたのですが…; 2日前から別のポートの番号が混じったものが表示されています; 念のためにウイルスチェック等も試みてみましたが 何も検出されませんでした…。 これは何かが悪さを働いているのでしょうか…? どなたかご意見聞かせていただけないでしょうか。 宜しくお願いいたします。

  • svchost.exeの通信について

    C:\Windows\system32にあるsvchost.exeについての質問です。 このプログラムについてよく分かってない初心者なんですが、ウイルスやハッカーなどによる危険な通信にsvchost.exeが使用されるケースというのはないんでしょうか? ファイアウォールの設定でsvchost.exeのTCP80やTCP443の外向き通信を許可しても安全なのか分からず困っているので、上記の件について詳しい方がいらっしゃったらよろしくお願いします。

  • バスター2006・例外ルールの「汎用ホストプロセス (Svchost)」とはなんでしょうか。

    WinXP Home SP2、IE6SP2、ウィルスバスター2006を使用しています。 有線ブロードバンドルータを使用しているので、バスター2006のパーソナルファイアーウォールのプロファイルの設定は「家庭内ネットワーク2」にしています。セキュリティレベルは「中」です。 バスター2006ファイアーウォールの例外ルールの中に、 「汎用ホストプロセス (Svchost)」という項目があり、 アプリケーション名・Generic Host Process for Win32 Services 指定のアプリケーション・C:\WINDOWS\system32\svchost.exe プロトコル・TCP/UDP ポート/種類・ すべて となっています。(バスター2005の時はこの項目はなかったと思います。) 初期設定では送信の許可が有効にされているのですが、この「汎用ホストプロセス (Svchost)」とはなんでしょうか。 この初期設定のまま送信許可で大丈夫なのでしょうか。 また、バスターのファイアウォールのログを見ると、このアプリケーションが非常にたくさん記録されていて、「セキュリティレベル設定によるブロック」と説明が出ています。 よろしくお願いします。

  • ウイルスバスター2007:ファイアウォールログの「例外設定」とは

    WindowsXPホームエディション、ウィルスバスター2007を使用しています。回線はADSL、ルータは使用していません。 先日VB2007のファイアウォール(家庭内ネットワーク1)のセキュリティレベルを中から「高」にして、ファイアウォールログを見てみたところ、このようなログが大量に増えていました。  種類:例外設定  プロトコル:TCP  送信元IP:自分のコンピュータ名  送信元ポート:1027~1117  送信先IP:61.208.××.××(都道府県なし、ネットワーク名AKAMAI)や 207.46.××.××(国名はアメリカ、ホスト名dia.static.qwest.net) ※どのIPも心当たりはありません  送信先ポート:全て80  アプリケーションパス:C:\WINDOWS\SYSTEM32\SVCHOST.EXE  アプリケーション名・説明:Generic Host Process for Win32 Services このログは一体何なのでしょうか…?(自分のパソコンが他のパソコンにアクセスしている???)同時刻に何十個もあったのでびっくりしました。 もう一つあるのですが、同じく種類は「例外設定」で  プロトコル:UDP 送信元IP:192.168.1.2   送信先IP:192.168.1.255  送信元、送信先ポート:どちらも137  アプリケーションパス:SYSTEM    説明:システムプログラム  というものも見つけたのですが、これはポート137が攻撃を受けたということでしょうか…?一応シマンテック等でポートの開閉を調べましたが、全てCLOSEDかステルスでした。ウィルス・スパイウェアもありません。 種類が「ファイアウォール」となっていればブロックされているのはわかるのですが、どれも「例外設定」になっていたのでブロックされていないのでは?と心配です。安全なものならよいのですが…。 このようなことには素人で戸惑っています;;よろしくお願いいたします。    

  • svchost単体でのリバース接続は出来ますか?

    ログを見ているとGeneric Host process for Win 32services(svchost.exe)が プロトコル:UDPパケット送信 リモートアドレス:255.255.255.255 リモートポート:67 プロトコル:UDPパケット送信 リモートアドレス:239.255.255.250 リモートポート:1900 の通信をしています。 Generic Host process for Win 32services(svchost.exe)の通信しているリモートアドレスが リモートアドレス:255.255.255.255 リモートアドレス:239.255.255.250 この2つだけの場合、マルウェアに感染しているとこのリモートアドレスだけで ブラウザなどの他のアプリを使わず、Generic Host process for Win 32services(svchost.exe)単体でリバース接続は可能でしょうか? Generic Host process for Win 32services(svchost.exe)以外のアプリ(ブラウザなど)で不審な接続先はありませんでした。

  • svchost.exeは不正な通信に使われることはないでしょうか?

    C:\Windows\system32にあるsvchost.exeについての質問です。 ファイアウォールの通信設定で、svchost.exeによる外向き通信のTCP80やTCP443を無条件に許可しても大丈夫なのか分からず困っています。 このプログラムによる通信は、ウイルスやハッカーなどによる不正な通信である可能性はないんでしょうか? (何のサービスが動いているか突き止めたとしても、使っているファイアウォールにはサービスごとに通信設定する機能はないようです) svchost.exeは不正な通信に使われることはないか?という点について、よろしくお願いします。

  • ウイルスバスターのパーソナルファイアーウオールについて

    アプリケーションパス C:\WINDOWS\SYSTEM32\SVCHOST-EXE アプリケーション名 GenericHOSTprocessforWin32services がログ履歴に多数出ますがこれは何でしょうか。 どうすればいいでしょうか。

  • FWログに変なアクセスが・・

    普段ネットをしていて急に許可していいですか? という画面が出てきたので拒否しました それのせいだと思うんですが FWログに変なものが残ります ネットにつないだ直後に残るらしい? プロコトル:TCP 送信元:じぶんのPCネーム?のようなもの 送信元ポート:1044~1079まで連続で続いています  送信先IP:IPサーチで調べましたが存在しませんでした 送信先ポート:ほとんど80番。送信元ポートが1076~1078、が443番に1079番が80番に送信してるみたいです アプリケーションパス:C:\WINDOWS\System32\svchost.exe アプリケーション名:Generic Host Process for Win32 Service 使ってるソフトはウイルスバスターです このアクセスは何なんでしょうか? 今までネットしててもこんな症状なかったので 気になってます どなたか詳しい方いましたら教えてください<(_ _)> お願いします

  • svchostがコネクション乱立。もしかしてウィルス?

    svchost.exeがやたらとネットワークコネクションを乱立し、外部に情報を流そうとしているような不審な挙動を示しています。というのも、これまでにsvchost.exeがこんな動作をしたことがないためです。COMODO Firewallのネットワークディフェンスの画像です。 http://hakos.dip.jp/virus/virus.png これを見るとますます怪しくなってきます。ランダムなTCPポートでアクセスして、開いているポートを見つけようとしているように見えます。ブロックされているのかすぐにこの接続は切れてしまうんですが、ほかのTCPポートで接続しようと新しい接続をたくさん作って、ブロックされて切れて・・・の繰り返しで、タスクのネットワーク接続を見ても http://hakos.dip.jp/virus/traffic.png と落ち着きがなく、こんなことは初めてです。 そして、メモリを一番使っている(27000Kくらい)svchostを停止したらぴたりと止みました。しかし、よくある偽装svchostはAdmiとかなのに、こちらはちゃんとSYSTEMなんです。 これって何かのウィルスなんでしょうか。安心できずにいます。

  • svchostがユーザー名で起動

    svchostがユーザー名で起動 svchostがユーザー名で起動しています。 いろいろ調べたところ、svchostがユーザー名で起動しているとウイルス感染濃厚のようです。 avastとesetなどのソフトでスキャンしてみましたが、何も見つかりませんでした。 ProcessExplorerで調べようとしているのですが使い方がよく分からず、ウイルス駆除まで至っていません。 該当するsvchostを調べると パス C:\WINDOWS\system32\svchost.exe コマンドライン C:\WINDOWS\system32\svchost.exe 現在のディレクトリ c:\ となっています。ディレクトリの位置がおかしいと思うのですが・・・。 どうすればいいでしょうか? OSはXPです。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する