ネットワーク接続が異常な状態ですか?ハイジャックされている可能性があります!
- パソコンの挙動が不審なため、netstatを実行しました。
- netstatの結果、不審なアクセスが見えます。
- ブロック設定やシステムファイルの復旧を試みましたが、問題は解決していません。この危険な状態をどのように解消できるでしょうか?アドバイスをお願いします。
- ベストアンサー
netstat が変です。
パソコンの挙動が不審なのでnetstatしました。 すると不審なアクセスが見えます。これはハイジャックされている状態ですか? C:\Users\user>netstat アクティブな接続 プロトコル ローカル アドレス 外部アドレス 状態 TCP 127.0.0.1:49260 www:49261 ESTABLISHED TCP 127.0.0.1:49261 www:49260 ESTABLISHED TCP 127.0.0.1:49872 www:21332 TIME_WAIT TCP 127.0.0.1:49873 www:21332 TIME_WAIT TCP 127.0.0.1:49874 www:21332 TIME_WAIT TCP 127.0.0.1:49875 www:21332 TIME_WAIT TCP 127.0.0.1:49876 www:21332 TIME_WAIT TCP 127.0.0.1:49877 www:21332 TIME_WAIT TCP 127.0.0.1:49878 www:21332 TIME_WAIT TCP 127.0.0.1:49879 www:21332 TIME_WAIT TCP 127.0.0.1:49880 www:21332 TIME_WAIT TCP 127.0.0.1:49881 www:21332 TIME_WAIT TCP 127.0.0.1:49882 www:21332 TIME_WAIT TCP 127.0.0.1:49883 www:21332 TIME_WAIT TCP 127.0.0.1:49884 www:21332 TIME_WAIT TCP 127.0.0.1:49885 www:21332 TIME_WAIT TCP 127.0.0.1:49886 www:21332 TIME_WAIT TCP 127.0.0.1:49887 www:21332 TIME_WAIT TCP 127.0.0.1:49889 www:21332 TIME_WAIT TCP 127.0.0.1:49890 www:21332 TIME_WAIT TCP 127.0.0.1:49891 www:21332 TIME_WAIT TCP 127.0.0.1:49892 www:21332 TIME_WAIT TCP 127.0.0.1:49893 www:21332 TIME_WAIT TCP 127.0.0.1:49894 www:21332 TIME_WAIT TCP 127.0.0.1:49898 www:21332 TIME_WAIT TCP 192.168.11.3:49168 17.167.137.42:https CLOSE_WAIT TCP 192.168.11.3:49175 17.167.137.39:https CLOSE_WAIT TCP 192.168.11.3:49282 ec2-54-214-248-72:http ESTABLISHED TCP 192.168.11.3:49780 tf-in-f95:http TIME_WAIT TCP 192.168.11.3:49781 nrt19s02-in-f16:http TIME_WAIT TCP 192.168.11.3:49802 210.158.146.137:http TIME_WAIT TCP 192.168.11.3:49803 210.158.146.137:http TIME_WAIT TCP 192.168.11.3:49804 210.158.146.137:http TIME_WAIT TCP 192.168.11.3:49805 210.158.146.137:http TIME_WAIT TCP 192.168.11.3:49806 210.158.146.137:http TIME_WAIT TCP 192.168.11.3:49829 74.125.203.157:http TIME_WAIT TCP 192.168.11.3:49839 nrt19s12-in-f6:http TIME_WAIT TCP 192.168.11.3:49844 nrt04s08-in-f2:http TIME_WAIT TCP 192.168.11.3:49895 tf-in-f84:https ESTABLISHED TCP 192.168.11.3:49896 nrt19s02-in-f15:https ESTABLISHED TCP 192.168.11.3:49897 nrt19s01-in-f14:https ESTABLISHED あまりにwwwとか怖いので、hostsに 127.0,.0.1 www としてみたり、ファイアーウォールの設定のin-bound,out-boundの設定に49000-49999でブロックとしたのですが、netstat -naoで見ると49000番台にアクセスしているアプリケーションのpidがsystem32のsvchost.exeらしく、このアプリケーションの設定では任意のポートがオープンになっているようで、ブロックされていないようです。 システムファイルが書き換えられているのか? と思い、sfc.exe /scannow として復旧してみたのですが変わりませんでした。 どうしたらこの危険な?? 状態 を普通に近い状態に直せるのでしょうか。 アドバイスを下さい。 よろしくお願いいたします
- cso236
- お礼率100% (1/1)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
netstat -vb あたりで通信してるアプリを特定して止める。 通信してるアプリがsvchostなら正規のアプリか確認する。 マルウェアに改ざんされているなら正規品に戻す。 正規品にインジェクトされているなら起動時のログを調べる必要があるが、おそらく無理。 セキュリティ対策製品のルートキット対策ツールを使えば復旧可能かも。 わからないなら初期化が手っ取り早い。
関連するQ&A
- netstatを打った時の反応
初めまして。 コマンドプロンプトでnetstatを打ったところ 下記のようにすごい数の反応があって困っています。 (もう少したくさんありましたが省略しました。) Proto Local Address Foreign Address State TCP cn:1027 localhost:2184 ESTABLISHED TCP cn:1027 localhost:2311 ESTABLISHED TCP cn:1027 localhost:2315 TIME_WAIT TCP cn:1027 localhost:2395 TIME_WAIT TCP cn:1027 localhost:2397 TIME_WAIT TCP cn:1027 localhost:2401 TIME_WAIT TCP cn:1048 localhost:1049 ESTABLISHED TCP cn:1049 localhost:1048 ESTABLISHED TCP cn:1050 localhost:1051 ESTABLISHED TCP cn:1051 localhost:1050 ESTABLISHED TCP cn:2184 localhost:1027 ESTABLISHED TCP cn:2311 localhost:1027 ESTABLISHED TCP cn:2313 localhost:1027 TIME_WAIT TCP cn:2317 localhost:1027 TIME_WAIT TCP cn:2319 localhost:1027 TIME_WAIT TCP cn:2325 localhost:1027 TIME_WAIT TCP cn:2185 72.14.255.99:http ESTABLISHED TCP cn:2312 in-in-f91.google.com:http ESTABLISHED TCP cn:2314 oshiete1.goo.ne.jp:http TIME_WAIT TCP cn:2340 210.132.71.42:http TIME_WAIT 少し前までこんなことはなくて怖くなってリカバリした後も 症状は変わらず続いています。 ウィルスにかかっているのでしょうか? 教えてください。お願いします。
- ベストアンサー
- ネットワーク
- netstatついて
netstatついて聞きたいのですが、このコマンドを実行したら、 ・ ・ ・ 省略 ・ ・ TCP neccomputer:1444 61.113.95.67:http ESTABLISED TCP neccomputer:1530 61.113.95.8:http TIME_WAIT ・ ・ ・ と出たのですが、「61.113.95.67:http」は誰かがこのコンピュータにアクセスしていて「61.113.95.8:http」はアクセス終了したってことなのでしょうか?
- ベストアンサー
- その他(プログラミング・開発)
- netstat -a
netstat -a Proto Local Address Foreign Address State TCP dtsdsd:epmap rad.msn.com:0 LISTENING TCP dtsdsd:microsoft-ds rad.msn.com:0 LISTENING TCP dtsdsd:990 rad.msn.com:0 LISTENING TCP dtsdsd:2869 rad.msn.com:0 LISTENING TCP dtsdsd:1029 rad.msn.com:0 LISTENING TCP dtsdsd:1038 rad.msn.com:0 LISTENING TCP dtsdsd:5152 rad.msn.com:0 LISTENING TCP dtsdsd:5679 rad.msn.com:0 LISTENING TCP dtsdsd:7438 rad.msn.com:0 LISTENING TCP dtsdsd:netbios-ssn rad.msn.com:0 LISTENING TCP dtsdsd:1061 pv-in-f147.1e100.net:https ESTABLISHED TCP dtsdsd:1074 pv-in-f147.1e100.net:http ESTABLISHED TCP dtsdsd:1079 pv-in-f102.1e100.net:http ESTABLISHED TCP dtsdsd:1080 pv-in-f102.1e100.net:http ESTABLISHED TCP dtsdsd:1100 px-in-f101.1e100.net:http ESTABLISHED TCP dtsdsd:1103 px-in-f154.1e100.net:http ESTABLISHED TCP dtsdsd:1104 px-in-f154.1e100.net:http ESTABLISHED TCP dtsdsd:1126 pw-in-f100.1e100.net:http ESTABLISHED こんな感じですrad.msn.comはmsnを実行したわけでもないのであります したのpv-in-f147.le100.netはなんですか? 実はこれだけじゃなくいろんな変な住所とがある時もあります portが13121, 53513, 61252など。。。 trojanウイルスでしょうか? trojanウイルスを消すだめにどうしたらいいんでしょうか
- ベストアンサー
- ネットワーク
- コマンド netstat -a(an)について
PC起動 ⇒ スタート ⇒ プログラム ⇒ アクセサリ ⇒ コマンドプロンプト ⇒ netsata -aを実行したら以下になってますが、なぜこのような表示になるのか分かりません。 ntt.setup(192.168.1.1)にはアクセスしてないのに・・・。 ***以下*** C:\Documents and Settings\yuuya>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 192.168.1.6:139 0.0.0.0:0 LISTENING TCP 192.168.1.6:2740 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2741 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2746 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2749 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2762 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2766 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2774 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2777 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2793 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2795 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2813 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2829 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2847 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2862 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2865 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2870 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2880 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2882 192.168.1.1:80 TIME_WAIT UDP 0.0.0.0:445 *:* UDP 192.168.1.6:137 *:* UDP 192.168.1.6:138 *:* UDP 192.168.1.6:500 *:* UDP 192.168.1.6:4500 *:* ***************** またサイトを二つ開いていてしばらく置いた後、 同じくnetstat -anを実行した時は下記のように表示されてるが、 サイトをいくつ開いたままでもねは表示されないとのことでしょうか? **下記** C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 *:* UDP 127.0.0.1:1246 *:* UDP 127.0.0.1:1348 *:*
- ベストアンサー
- その他([技術者向] コンピューター)
- netstat、netstat -a のState
netstat オプションなしと、netstat -a の表示されるStateの種類の違いについて教えてください(Linux) # netstat # netstat -a を実行したときに表示されるStateの種類の違いは、オプションなしは下記StateのLISTEN以外が表示対象で、-a オプション指定時は下記Stateの全てが表示対象である認識で間違っていないでしょうか。 State ESTABLISHED ソケットは確立した接続状態にある。 SYN_SENT ソケットは接続を確立しようと試みている。 SYN_RECV 接続要求をネットワークから受信している。 FIN_WAIT1 ソケットはクローズされており、接続は切断中である。 FIN_WAIT2 接続はクローズされ、ソケットはリモート側からの切断を待っている。 TIME_WAIT ソケットは、クローズ後にリモートからの切断が再送されるのを待っている。 CLOSED ソケットは使用されていない。 CLOSE_WAIT リモート側は既に切断され、ソケットがクローズされるのを待っている。 LAST_ACK リモート側は既に切断され、ソケットもクローズされている。 確認 (acknowledgement) を待っている。 LISTEN ソケットは接続待ち (listen) である。 このようなソケットは、 --listening (-l) または --all (-a) オプションを指定しない限り、出力には含まれない。 CLOSING 両方のソケットが切断されているが、まだ全てのデータが送られていない。 UNKNOWN ソケットの状態は不明である。
- ベストアンサー
- ネットワーク
- netstatで接続先がいっぱい
Windows2000のコマンドプロンプトでnetstatを実行すると TCP ****:2437 ads.web.aol.com:http TIME_WAIT TCP ****:2438 ads.web.aol.com:http TIME_WAIT TCP ****:2439 ads.web.aol.com:http TIME_WAIT TCP ****:2440 ads.web.aol.com:http TIME_WAIT TCP ****:2441 ads.web.aol.com:http TIME_WAIT (****は私のPC名) というように、たくさんの接続(大体8個前後)が 次から次へと出現してきます。 ブラウザやICQ等、何も立ち上げていない状態でも 出てくるので気持ち悪いのですが、これで正常なんでしょうか? ウィルスチェックもしていますが、特に検出されてません。 何かご存知の方おりましたら、よろしくお願いします。
- ベストアンサー
- ネットワーク
- netstatについて
はじめまして。ネットワークを勉強しているエンジニアの卵です。 このサイトでの投稿は初めてになりますが、是非とも、ご教授 頂きたいことがある為、宜しくお願いします。 ●まず1点は、netstatについてです。 〔 -a〕〔 -e〕〔 -s〕〔 -r〕をDOSプロンプトで打ち込んだ時に表示される、「LISTENING」「TIME_WAIT」の意味・解釈について教えて下さい。また、netstatについて分かりやすいサイトがありましたら、分かりやすく丁寧なURLを教えて下さい。
- ベストアンサー
- Windows XP
- オプションなしnetstatのStateについて
netstat オプションなしと、netstat -a の表示されるStateの種類の違いについて教えてください。 # netstat # netstat -a を実行したときに表示されるStateの種類の違いは、オプションなしは下記StateのLISTEN以外が表示対象で、-a オプション指定時は下記Stateの全てが表示対象である認識でいます。 では、netstat オプションなしで実行した場合、LISTEN以外が表示であることを裏付けるには、ソースを追うしかないでしょうか? netstat オプションなしで実行した場合、LISTEN以外が表示であることを裏付ける方法について教えてください。 State ESTABLISHED ソケットは確立した接続状態にある。 SYN_SENT ソケットは接続を確立しようと試みている。 SYN_RECV 接続要求をネットワークから受信している。 FIN_WAIT1 ソケットはクローズされており、接続は切断中である。 FIN_WAIT2 接続はクローズされ、ソケットはリモート側からの切断を待っている。 TIME_WAIT ソケットは、クローズ後にリモートからの切断が再送されるのを待っている。 CLOSED ソケットは使用されていない。 CLOSE_WAIT リモート側は既に切断され、ソケットがクローズされるのを待っている。 LAST_ACK リモート側は既に切断され、ソケットもクローズされている。 確認 (acknowledgement) を待っている。 LISTEN ソケットは接続待ち (listen) である。 このようなソケットは、 --listening (-l) または --all (-a) オプションを指定しない限り、出力には含まれない。 CLOSING 両方のソケットが切断されているが、まだ全てのデータが送られていない。 UNKNOWN ソケットの状態は不明である。
- ベストアンサー
- Linux系OS
- コマンドプロンプトでnetstatのCLOSE_WAITについて
xpのコマンドプロンプトで、 netstatコマンドを実行しましたところ、 Port1053のところに、 TCP 名前:1053 a202-239-172-70.deploy.akamaitechnologies.com:https CLOSE_WAIT というように表示されます。 逆に、ファイアウォールで全遮断すると、 このport1053についてのCLOSE_WAITは出てきません。 私の情報が外部に漏れているのでしょうか?? ネットワークに詳しい方、アドバイスお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- Windowsログイン後にnetstat -n を実行すると・・・
Windowsログイン直後にコマンドプロンプトを立ち上げて netstat -n を実行すると インターネットエクスプローラーを開いていないのに ------------------------------------- C:\>netstat -n Active Connections Proto Local Address Foreign Address State TCP 192.168.1.2:1027 211.10.xxx.xxx:80 TIME_WAIT TCP 192.168.1.2:1036 210.148.xxx.xxx:80 TIME_WAIT ------------------------------------- とインタネットエクスプローラーを使用している時と 同じ表示になります。 これはなぜでしょうか? ちなみにWeb閲覧してすぐ再起動して netstat -n を実行したときに上記の接続が確認されます。 セキュリティソフト Norton InterNetSecurity2005
- 締切済み
- Windows XP
お礼
netstat -anbvで見たところ、こうなりました。 [システム] TCP 127.0.0.1:53113 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53114 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53117 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53118 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53124 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53136 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53143 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53144 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53153 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53154 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53155 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53158 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53159 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53160 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53161 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53162 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53163 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53164 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53165 127.0.0.1:21332 TIME_WAIT TCP 192.168.11.3:139 0.0.0.0:0 LISTENING 所有者情報を取得できません [システム]というのは、System Idle Process(pid 0)らしいです。 ここ http://okwave.jp/qa/q2573101.html でも話されているみたいなんですけど、PIDが0のプロセスがポートを空けていることがあるらしいですが、これは正常でしょうか... と、こちらにありました。 http://www.wilderssecurity.com/threads/pid-0.68048/ Hi Snook, I found this info' in the help file: Windows XP/2003 In some rare circumstance, Windows XP doesn't clean up all its sockets correctly after an application has closed. This has the effect of Port Explorer showing a socket with an asterix and no filename because the application is closed yet Windows XP is reporting that the closed application owns the socket(s). Usually after your internet connection has been disconnected the 'blank' socket(s) will be cleaned up by Windows XP. This isn't a Port Explorer problem, it's a Windows XP issue. To check this, whenever you see a blank socket go to your command prompt and type "netstat -ano" (without quotes). You should see the sockets which have the same PID as the blank sockets in Port Explorer. If you look in Windows Task Manager (Ctrl+Alt+Delete | Task Manager) you will see no process that has the PID that netstat and Port Explorer report. HTH Pilli 閉じられそこなったソケットの残骸がpid 0と表示されるかんじですか。これでは原因が突き止められそうにない感じです...。 ルートキット除去ツールはスキャンが遅く、今夜一杯かかる様子です。ゆっくり様子を見たいと思います。 いろいろ教えてくださいましてありがとうございました。
補足
ありがとうございます。 起動するたびに時計がGMT+0時間にリセットされる現象が置き(BIOSの時計を直してもまたリセットされる)なにか怪しいと思っていたので見たのです。自動起動されるはずのwindows time(w32time)サービスが停止されていたり、なにかと怪しかったです。 hostsを変更する前は TCP 127.0.0.1:49882 www:21332 ESTABLISHED のうように、ESTABLISHEDになっていました。 現在は時計が9時間きっかりで狂うことはなくなりました。 実は、windows8 firewall controlを入れてあるので、怪しいプログラムがネットに接続しようとしている時にはそれが何かわかるし、接続はプログラムごとに許可/ブロック可能です。しかし怪しいプログラムがなく、かわりにsvchostが接続を試みているという点が気になりました。 正規品にインジェクトされている、というのが本当ならば、なんともできないのでしょうか...。 とりあえず「ルートキットの駆除--Virus Removal Tool (無償) によるルートキットの駆除」というサイトがありましたので、Sophos Virus Removal Tool (無償)というのを使って検出されるか待とうと思います。