svchostがコネクション乱立。ウィルスの可能性あり?

前へ 次へ
このQ&Aのポイント
  • svchost.exeがやたらとネットワークコネクションを乱立し、外部に情報を流そうとしているような不審な挙動を示しています。
  • COMODO Firewallのネットワークディフェンスの画像を見ると、ランダムなTCPポートでアクセスしている様子が見受けられます。
  • 停止した最もメモリを使用しているsvchost.exeはSYSTEMのものであり、偽装svchostではない可能性があります。しかし、ウィルスかどうかは不明です。
回答を見る
  • ベストアンサー

svchostがコネクション乱立。もしかしてウィルス?

svchost.exeがやたらとネットワークコネクションを乱立し、外部に情報を流そうとしているような不審な挙動を示しています。というのも、これまでにsvchost.exeがこんな動作をしたことがないためです。COMODO Firewallのネットワークディフェンスの画像です。 http://hakos.dip.jp/virus/virus.png これを見るとますます怪しくなってきます。ランダムなTCPポートでアクセスして、開いているポートを見つけようとしているように見えます。ブロックされているのかすぐにこの接続は切れてしまうんですが、ほかのTCPポートで接続しようと新しい接続をたくさん作って、ブロックされて切れて・・・の繰り返しで、タスクのネットワーク接続を見ても http://hakos.dip.jp/virus/traffic.png と落ち着きがなく、こんなことは初めてです。 そして、メモリを一番使っている(27000Kくらい)svchostを停止したらぴたりと止みました。しかし、よくある偽装svchostはAdmiとかなのに、こちらはちゃんとSYSTEMなんです。 これって何かのウィルスなんでしょうか。安心できずにいます。

  • daasu
  • お礼率41% (14/34)

質問者が選んだベストアンサー

  • ベストアンサー
  • redirect
  • ベストアンサー率22% (117/514)
回答No.3

マルウェアを集めてテストなどをしている者です。 画像を見させていただきましたがMS Update関連のような。 CurrPortsを使うとわかり易いですよ。svchost.exeをダブルクリックすると詳細が表示されます。 なお、他者の質問のところで書きましたが、現行Internet Security 3.9 RC2に関しては様子見のほうがいいです。

daasu
質問者

お礼

すみません内容を確認せずにCurrPortsの出力したHTMLをアップしてしまいました。 日本語の表示が変なので使えないです。 すみません。

daasu
質問者

補足

CurrPortsを使ってみたのですが、素人にはこれが怪しいのかどうか、判断がつきかねます。 http://hakos.dip.jp/virus/

その他の回答 (3)

noname#102804
noname#102804
回答No.4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Reminderは怪しい。 Trojan.Win32.FTP Attack↓の疑いがあります。    http://www.spywareguide.jp/product_show.php?id=1039 PC内にRemind_XP.exeが見つかれば、Trojan.Win32.FTP Attackは確定です。SoftThinks CD Creator CD/DVD Writerをお使いなら、Reminder(Remind_XP.exe)は定期的にSoftThinksへのユーザー登録を促すソフトなので安全だそうです。 もしもTrojan.Win32.FTP Attackなら、a-Squared freeで解決できるとのこです。 http://www.gigafree.net/security/asquared.html 以下は老婆心の書き込みです。気に食わなければ、無視してください。 質問者さんにとって使いやすいファイヤーウォールを選んだほうがいいと思いますよ。私は、操作のしやすさから、PC Tools+avast!+Spybot S&D+SpywareBlaster+バックアップ+ルータ-+Firefoxを基本にセキュリティー対策をあれこれ工夫しています。検査団体の評価も参考にはしますが、最後は自分の使い勝手で決めます。

noname#102804
noname#102804
回答No.2

PCとルーターが単純に交信しているだけのようにも見えますが、これだけでは判断が難しい。わたしのCOMODOのログにも似たような履歴は残っていますよ。 No.1に加えて、以下のソフトでIPアドレスを捕捉して正体を調べたらどうでしょうか。 TCP Monitor Plus(日本語)   http://hp.vector.co.jp/authors/VA032928/index.html IP Sniffer(英語)   http://bbs.betabbs.com/index.php?showtopic=90040 IP SnifferはIPアドレスの統計を取りますので、怪しいIPアドレスを突き止めるのに便利です。   以下のURLもご利用ください。   http://geotool.servehttp.com/ 以下のレジストリーの下に怪しいエントリーがないかチェックしてください。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run あと、お使いのセキュリティーソフトでフルスキャンを実行してください。

daasu
質問者

補足

レジストリを調べましたところ、 avast! COMODO Internet Security Cpqset HotKeysCmds HP Software Update Igfx Tray IMJPMIG8.1 MsmqIntCert Persistence PHIME2002A PHIME2002ASync Recguard Reminder Scheduler SoundMAX SoundMAXPnP SunJavaUpdateSched SynTPEnh SynTPStart WatchDog がありました。どれが怪しいものなのか、皆目見当がつきません。 よろしければこの中のものでなにか怪しいものがないか教えていただけませんでしょうか。

  • Syleena
  • ベストアンサー率39% (385/974)
回答No.1

以前私も気になって調べました。Vistaだと使った事がないので失礼 http://technet.microsoft.com/ja-jp/sysinternals/bb896653(en-us).aspx 使用法 http://gigazine.net/index.php?/news/comments/20061009_svchost/ 使えるのならやってみると結構安心します^^

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • SVCHOSTが大量に表示されるのですが。

    本日、久々にファイアーウォールの ログを見ていたところ気になる部分があったので 質問させてください^^; 使用PCはNEC製 接続方法はCATVで行っています。 使用ソフトはウイルスバスター2005、SGアンチスパイ ad-awareを使っています。 ログを見たとき目に飛び込んできたのは。 大量のC:WINDOWS\SYSTEM32\SVCHOST.EXEという文字でした。 プロトコル:UDP(TCPの方がとても多かったです) 送信先ポート:1025  アプリケーションパス:C:WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名:Generic Host Process for Win32 Services 説明:セキュリティレベル設定によるブロック となっていて同じ送信元IPから一度に5回位の攻撃を受けていました。 TCPとUDPのブロック数を見てみると明らかに TCPと表示されているのが多かったです。 以前はこんなに大量に攻撃を受けることはなかったのですが。 昨日今日の2日間の間で急激に増えてきました。 これは誰かが故意に攻撃してきているのでしょうか^^; それとも何かのウィルスに感染してしまったのでしょうか。 どなたかご意見聞かせていただけないでしょうか。

  • svchost.exeの通信について

    C:\Windows\system32にあるsvchost.exeについての質問です。 このプログラムについてよく分かってない初心者なんですが、ウイルスやハッカーなどによる危険な通信にsvchost.exeが使用されるケースというのはないんでしょうか? ファイアウォールの設定でsvchost.exeのTCP80やTCP443の外向き通信を許可しても安全なのか分からず困っているので、上記の件について詳しい方がいらっしゃったらよろしくお願いします。

  • svchost.exeがTCPで224.0.0.252へ通信するのはなんですか?

    svchost.exeが外部へTCPで224.0.0.252へ通信するのはなんですか? IANAと何か関係があるのでしょうか? ネットワークのファイルを参照する時に使用されているような感じがするのですが、これをブロックしてもファイルの参照はできています パソコンにあまり詳しくないので優しく解説していただけますようよろしくお願いします よろしくお願いします

  • svchost.exeがどこかと接続しようとします

    こんばんは windows7のsystem32\svchost.exeなのですが 数日前からどこかに接続しようとします。 そのたびファイアウォールが「ブロックしますか?」 と言ってくるのでブロックしているのですがインターネットするたび 毎回なので少し面倒になってきました。 SvchostAnalyzerでどういったsvchost.exeなのか調べてみたのですが よく分らず困っております。 接続させても問題ないのでしょうか? それともずっとブロックしても問題ないのでしょうか?

  • svchost.exeは不正な通信に使われることはないでしょうか?

    C:\Windows\system32にあるsvchost.exeについての質問です。 ファイアウォールの通信設定で、svchost.exeによる外向き通信のTCP80やTCP443を無条件に許可しても大丈夫なのか分からず困っています。 このプログラムによる通信は、ウイルスやハッカーなどによる不正な通信である可能性はないんでしょうか? (何のサービスが動いているか突き止めたとしても、使っているファイアウォールにはサービスごとに通信設定する機能はないようです) svchost.exeは不正な通信に使われることはないか?という点について、よろしくお願いします。

  • svchost.exeがファイアウォールにひっかかる

    winXPを起動したときsvchost.exeが外部に接続しようとして、ウイルスバスター2004のファイアウォール(セキュリティレベル高)に引っ掛かります。拒否してますが、windowsは特に問題なく動いています。タスクマネージャーで見るとsvchost.exeは4つも動いています。 svchost.exeはどこに接続しようとしているのでしょうか?なぜ4つも動いているのでしょうか?

  • svchost.exeの数について

    最近タスクマネージャを見たら、svchost.exeが6つありました。ユーザー名がsystemが3つ、NETWORK SERVICEが2つ、LOCAL SERVICEが1つでした。svchost.exeが複数起動していることが正常であることはわかるのですが、もう一台のノートPCやネットで検索してみると、svchost.exeは5つしかないようでした。ウイルスかとも思いウイルスバスター2005やシマンテックのオンラインスキャンで調べても何も出てきませんでした。どうしようもなかったのでOSを入れなおしてしまいました。正常な状態でもsvchost.exeが6つ以上起動することはあるのでしょうか? 自作マシンでOSはWindowsXP HOME SP2です。 もしご存知の方がいらっしゃいましたらよろしくお願いします。

  • svchost.exeの暴走?

    ある日突然TCP/IPが機能してないのか?LANは何とか機能していてWANが機能しない。InterNetにアクセス出来なくなり、結局Windows2000を再インストールして回復するといった事象に悩まされてました。 svchostがフル稼働しているので調べると、Ipripというサービスを停止することで、SystemIdleProcessが100%取り戻す結果までわかりました。 ルーターの設定用プログラムを動かすとTCP/IPプロトコルをインストールしなさいと表示され、見てみるとTCP/IPは変わらず存在していて設定も変わっていない。変わっているのはsvchost.exeがCPUを独り占めしているということだけ(自分の解る範囲ですが)。 再インストール以外で、ネット接続を取り戻すことは出来ないのでしょうか? 一応、ウイルスチェックは掛けました。 何度か同じトラブルに見舞われましたが、きっかけが特定できなくて、さらに困っています。 宜しくお願いします

  • svchost.exe エラーの正体は??

    突然svchost.exeのエラーが出て、PCがフリーズしたり不安定になるようになりました・・。 自分で調べてみた結果 ウィルスかと思いましたが、その現象に当てはまりません・・。 ちなみにタスクからsvchost.exeを見てみると、実行しているのはPC名以外のユーザ名が動かしているようです。。。システムやらローカルやらネットワークです。 ちょっとお助け願います。・

  • KIS7のファイアーウォールについて

    こんにちは。よろしくお願いします。 ウィルス対策ではないのですが、セキュリティ関連ですので、 どうぞ、お願いします。 Kaspersky Internet Security 7の設定について、 お教えいただけませんでしょうか? ファイアウォール:ネットワークモニタ 「開いているポート」を見ると、 3260 TCP STARWINDSERVICE.EXE 0.0.0.0 3261 TCP STARWINDSERVICE.EXE 0.0.0.0 31038 TCP DKSERVICE.EXE 0.0.0.0 がありますが、 この3つが、 「開いているポート」に出てこないようにならないのでしょうか? Alchol120%とDiskeeperをPCに入れています。 KISのファイアーウォールの設定で、 「アプリケーションのルール」で、 STARWINDSERVICE.EXEと、DKSERVICE.EXEの実行ファイルを指定して、 Block Any TCP Activity Block Any UDP Activity にしていますし、 「パケットフィルタリングのルール」で、 ローカルポート 3260, 3261, 31038 を遮断しています。 ファイアウォール:ネットワークモニタ の、確立中の通信には、出ていないので、 通信はしていないように思いますが、 開いているポートに何故出てくるのか、疑問なのです。 どうぞ、お教え下さい。よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する