- 締切済み
SVHOST,EXEが勝手に生成されます
ケーブルインターネットでLANケーブルをつなげるだけで帯域が占有され、ブラウザー・メールしてないのに なにか転送しています。 ウイルスチェックはひっかかりません。 怪しいexeがあり「svhost」を削除、レジストリも変更しますが、ネットにつなぐとまた同じ現象が再現します。 なにが悪いのでしょうか
- mimi124124
- お礼率0% (0/5)
- スパイウェア
- 回答数5
- ありがとう数6
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- nobuchi
- ベストアンサー率54% (475/875)
申し訳ありません、No3・No4、の回答について。 本来は他の回答者様に意見するような事はマナー違反ですし、しませんが・・、質問者様のトラブルに直結しますので、一言 お許し下さい。 ーーーー すでに私の回答の中でも説明しておりますが、 「svhostファイル」「svhostレジストリ値」 に関連し、これらを生成するウィルス・スパイウェアの類は「トロイ種」「ワーム種」「バックドア種」その他含めて、亜種も考えると数百以上が存在します。 それぞれ「行動」も違えば「駆除方法」も異なってきます。 安易に「生成ファイル」だけで見当をつけ、もし「違うウィルスの対処(特にレジストリ編集)」を行うと、逆に事態を悪化させたり、PCシステムに致命的な損害を与える可能性が出てきます。 もちろん解決するかもしれませんが・・。 ご指摘のような(WEB検索して見つかるような)「Backdoor.Socksbot」「W32.Mydoom.I@mm」であれば、既に『ノートン』で検出がされているはずなのですしね。 例えばノートンだけでも以下9個が疑われます。 http://search.symantec.com/custom/jp/query.html?lk=1&rf=0&la=ja&qt=svhost&col=japan&qs=-url%3Ahttp%3A%2F%2Fservice1.symantec.com%2Fsupport%2Finter%2F&x=47&y=15 ですから、決定的な確証を持って「親玉」の正体が判明しない限り、私のアドバイスは「限界」だと申し上げたのです。 もっとも・・、相談者様の判断で「それ以外」の、予想されるウィルスの駆除方法を参考にするのもOKです(少なくとも数十通りありますし、どれかヒットするかもしれません)。 御自分の責任の上、試される事には反対はいたしませんが・・・、『回答者』という立場ではお勧めできないのです。 ・・・横から失礼しました。 気分を害されたら申し訳ありません。
No3ですけれど、「svhost.exe」というファイルを形成するワームとしては、次のものがありました。 W32.Mydoom.I@mm http://www.symantec.com/region/jp/sarcj/data/w/w32.mydoom.i@mm.html こちらの可能性もありますので参照してみてください。 なお、そちらに不審なメールがあって、それを間違って開封したら感染した可能性もあります。
「SVHOSTEXE」で検索したら、次のワーム(ウィルス)が検索されましたけれど。 Backdoor.Socksbot http://www.symantec.com/region/jp/avcenter/venc/data/backdoor.socksbot.html それが原因かわかりませんけれど、とりあえず症状は外部に情報を漏らすので、それの可能性は高いです。 上記のアドレスを確認してください。
- nobuchi
- ベストアンサー率54% (475/875)
なるほど、ノートンですね。 さあて、どうしたものか・・。 もし、「システムの復元」で直れば、それはそれでいいですよね。 ただし、システムにトラブルが起こっても責任は持てませんので、承知の上で行って下さい。 →参考 http://www.higaitaisaku.com/fukugen.html ーーーー 復元が不可能であれば、やはり虫本体の探索が目的となります。 以下の作業も、システムトラブルに責任は持てません。 ご了承の上進めて下さい。 ーー 【まず基本作業をします。】 ・クッキーの削除。 ・一時ファイルの削除。 ・「プログラムの追加と削除」に怪しい物がないかチェック。 ・「プログラム」→「スタートアップ」に怪しい物がないかチェック。 ・「ファイル名を実行」→「msconfig」→「スタートアップ」のリストをチェック、最低限ものだけ残す。 ・同→「サービス」→「Microsoftのサービスをすべて隠すにチェックを入れ」→「ノートン関係を残し、他のチェックを外す」→「適用」 まだ再起動しないで、次に進んで下さい。 ーー 準備ができました、はじめましょう。 この作業の途中で何か見つかったら、随時駆除してOK。 【セーフモードスキャン】 『システムレストアユーティリティの無効化』 http://www.mcafeesecurity.com/japan/security/DisableSysRestore.asp 無効化の作業をしてから再起動しますが、 次の起動をセーフモードで行います。 「セーフモード」は分かりますか? メーカーで操作キーが違いますが、「システム構成ユーティリティ」からなら確実です。 →参考 http://www.higaitaisaku.com/safemode.html 『セーフモードでの各種スキャン』 ノートン・adaware・spybot、 を試します。 「svhost」ファイルを検索し削除。 『レジストリからsvhostを削除』 念のため、作業前に「レジストリのバックアップ」をします。 http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020308022342953 では、「スタート」→「ファイル名を指定して実行」→「regedit」 エディタが開いたら、上部のメニューから。 「編集」→「検索」→「svhostを入れて検索」 見つかったレジストリキーの「svhostの値」を削除。 (Svhost Loader、 Svhost.exe のような形でしょう) 通常再起動。 (この段階でシステムの異常が起きたら、バックアップを実行) 再び、一通りスキャン。 『システムレストアユーティリティの無効化』を元に戻す。 「システム構成ユーティリティ」からセーフモードにしたなら、「BOOT.INI」タブの設定を戻す。 通常再起動。 「svhostファイル」「svhostレジストリ値」を検索し確認。 無ければ終了。 ーーーー それでも改善がなければ、念のために。 【Internet Explorer関連レジストリの完全なリセット】 http://www.higaitaisaku.com/cleanfixreg.html こちらの指示に従って試して下さい。 「Web設定のリセット」などの項目は関係なし、リセット作業だけ参考にして下さい。 ーーーー いかがでしょうか? 上記「セーフモード」→「通常モード」の作業を何回か繰り返してもなお・・、何も出ないとなると・・。 これ以上は残念ながら、ここでのアドバイスの限界です。 自己再生のレジストリキーを削除するにも、親玉の判断材料がありませんので。 申し訳ないです。 最後の手段「リカバリー」などを検討してみてください。
- nobuchi
- ベストアンサー率54% (475/875)
ううむ、症状と「SVHOST,EXE」から 何らかのワームだというのは確実そうですね。 強制起動のレジストリを別に持ってると思われます。 大量送信してる疑いもあるので、ネットにつながない方がいいと思いますが・・・。 ただ、「svhost」からでは特定はできません。 これに関与するウィルスは山ほどあるので・・。 まずはお使いの対ウィルスソフトのアップデートを試して、最新の定義ファイルにして下さい。 また、念のためにトレンドマイクロのオンラインスキャンも試してはいかがでしょう。 http://www.trendmicro.co.jp/hcall/index.asp それから、ワームがあれば・・ スパイウェアのおまけももらってる可能性が高いので。 そちらのツールでのスキャン&駆除も試してくださいね。 http://www.higaitaisaku.com/adaware.html http://www.higaitaisaku.com/spybot2.html ーーーー とりあえず、もう少し情報が欲しいですね。 ・ご使用のOSとブラウザ ・ご使用の対策ソフト、その状態。 ・スキャンは何でしましたか? ・「怪しい」とは何で知りましたか? ・新しい定義ファイルでのスキャン、オンラインスキャン、対スパイウェアツールのスキャン結果。 その辺りを書いてもらえると 他の回答者さんもアドバイスしやすいです。 なるべくネットに繋がないようにして(送信してたら大変ですから)、作業してくださいね。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
補足
アドバイスありがとうございます。 OS:2000SP4 ブラウザ:IE6 *アップデート最新。 *シマンテック アンチ8.1 スキャンシしても検知されません。 トレンドオンラインも同じ。 スパイボットはやりましたが、でません。 怪しいとわかったのは、接続しただけで、 ケーブルモデムの受信・送信ランプが常時点灯 しだします。 タスクマネージャー上のなにかのEXeが悪さ していると思います。 接続中にファイル検索をするといつのまにか SVHOSTEXEが生成されます。 以上補足でございます。