こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

Windowsタスクマネージャでsvchostがユーザ名で起動している

現在問題が起きているPCの環境は下記の通りです。
OS:WindowsXP(SP2)
セキュリティソフトはKaspersky Internet Security 7.0

現象ですがKISで「重要な領域のみスキャンを実行」を実行すると
ウイルス(亜種):Beur.Backdoor.Generic
モジュールを実行します:svchost.exe\svchost.exe
そして駆除できません。となります。
そこで検索サイトでsvchostについて調べた結果、タスクマネージャでsvchostがユーザ名で動いていると山田ウイルスに感染しているということが分かり、
実際に自身のPCで確認してみるとsvchostがユーザ名で実行されていました。
そこでそのプロセスを終了させ、KISで「感染オブジェクトのウイルス駆除をする」を実行すると駆除されました。

ここからが問題なのですが
システムの再起動をし再びタスクマネージャを見るとsvchostがユーザ名で起動されています。
もう一度上にも書きましたとおりに駆除しても、また再起動すると同じ結果です。
これは本当に山田ウイルスとゆうものなのでしょうか?
ちなみに→http://www.geocities.jp/dkstr_hamar/yamada_report2.htmlを参考に山田ウイルスに感染しているかチェックしました

レジストリを確認したのですがそのようなものは確認されず、
山田チェックツールでチェックを掛けましたが問題はありませんでした。
次にSlightTaskManagerを使用しユーザ名で起動されているsvchostがどのパスで起動しているか確認すると下記の結果でした。
c:\WINDOWS\system32\svchost.exe

本当にウイルスに感染にしているのでしょうか。
何か対策案などありましたら教えてください。
よろしくお願いします。

投稿日時 - 2008-04-07 18:53:14

QNo.3930182

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(5)

ANo.5

当方、アングラ突入調査や対策ソフトなどのテストをしております。

えっとですね、海外のカスペフーラムにほとんど同じような問いかけが出てました。

http://forum.kaspersky.com/index.php?s=7890b3b2d010b01b0f6500e74bad0fe9&showtopic=57282&mode=linearplus

で、いろいろ調べたんですが、Killer系(対策ソフト無効化系)に関係するかもしれないのでジャストシステムに連絡取ったほうがいいと思います。

投稿日時 - 2008-04-14 16:44:55

ANo.4

No.3です。
プロアクティブディフェンス(以下PDM)がじゃなくて普通の検出のようですね。

再スキャンしてOKだったのであれば問題ないと思います。
ちなみにPDMはマルウェアじゃなくても警告が出てきます。
PDMは設定が変更されたときや、怪しい行動をするプログラムがあると警告します。
わからないのであればOFFでいいと思います。

投稿日時 - 2008-04-09 18:27:41

ANo.3

No.3です。
一つ書き忘れました。
「Heur.Backdoor.Generic」でウイルスを検出しているということはkisからみると未知のウイルス扱いになっています。
kisが検出不可能な他のウイルスがPC内にいる可能性がありますのでkisでのスキャンも大切ですが、他社のオンラインスキャンも一応お勧めします。

ESET社(NOD32でおなじみ)
http://www.eset.com/onlinescan/
Panda
http://www.pandasecurity.com/activescan/requirements/?error=javascript

投稿日時 - 2008-04-07 23:40:01

補足

回答して頂きありがとうございます。
すいませんスキャン中ではなく起動後しばらくすると
右下に↓
「スキャン
 モジュールを実行します (←空白)はウイルスを含み、駆除できません
ウイルス(亜種):Heur.Backdoor.Generic
モジュールを実行します:svchost.exe\svchost.exe」
というウインドウ?みたいなのが出現します。

以前からP2P(Cabos,トレント)などをしていましたのでこれを機にプログラムを削除、
念のため落としたファイルも削除しました。
niryoさんがおっしゃられた「プロアクティブディフェンス」についてなんですが、今使用しているKISは試用版のため
その機能の意味を知らなかったため、調べてみたんですけどKISが誤検出してるんですかね…
また
PC起動後、タスクマネージャからログイン中のユーザー名で起動しているsvchostを終了させ駆除してから
KISでの完全スキャン、他社のオンラインスキャンを掛けてみましたがいづれもウイルスなどは発見されませんでした。

OSを再インストールすると問題は解決されるかと思うんですが、本当に感染しているか分かりませんし
手間が掛ってしまうんで何か解決方がり教えて頂けましたら幸いです。

しかし山田ウイルスなどに感染しているとsvchostはc:\WINDOWS\system32\svchost.exe以外&ログインしているユーザで起動していれば
感染の可能性は大とのことですが、私のPCではc:\WINDOWS\system32\svchost.exeで起動、ログイン中のユーザで起動。
そして他社のスキャンでは引っかからずにKISでのみ引っかかるとゆうこと現象がどうしても気になります…

投稿日時 - 2008-04-08 18:55:11

ANo.2

まず、もう一度お尋ねしますがスキャン中に出てくるのですよね?
「モジュールを実行します」というのはプロアクティブディフェンスのような気もします。

山田ウイルスというのは基本的にP2P(ファイル共用ソフト)から感染するウイルスでパソコン内のデーターをネット上に流出させたりします。
もしP2Pをご使用でしたら、削除を強く推奨します。

ちなみに「C:\WINDOWS\system32\svchost.exe」は普通、どのPCにもあります。
kisが検出し、駆除したのであれば大丈夫だとは思いますがシステム全体をスキャンすることをお勧めします。

#どうでもいいことなので気にしなくていいですが「Beur.Backdoor.Generic」ではなく「Heur.Backdoor.Generic」です。

投稿日時 - 2008-04-07 23:32:38

ANo.1

少しだけ書き込み
http://www2.atwiki.jp/kawaisosu/pages/208.html
「被害の予防
P2Pは使わない
OpenNapクライアント 、WinMX、Winny、Shareといったファイル共有ツールを使用していると、ウィルスに感染する確率が飛躍的に上がります。
これらのツールは使わないようにしましょう。 」
P2Pやっているの?

最近P2Pのやからのパケットがウザイほど。お盛んだったということ。

プロセスエクスプローラでsvchostのユーザー名を表示してみた。システム何とやら、だった。
亜種もたくさんあるようで。対策ソフトの定義が間に合わないのかもね。

対策案?
カスペ入れていて。

通信するらしいからパケットキャプチャでも入れて観測するとか。
httpサーバーだったらアクセスに応えているのかな。

別メーカーのオンラインスキャンとか。
http://www.f-secure.co.jp/v-descs/disinfestation.html
IEしか使えないはず。

投稿日時 - 2008-04-07 21:23:32

あなたにオススメの質問