- ベストアンサー
svchost はどこから起動してるの???
似たような質問がありましたら、ご容赦ください。(その質問へのURLをお教えいただけると嬉しいです) 昨日、うっかりバックドア・プログラムを起動させてしまいました。 c:\winnt\system32\microsoft\svchost.exe こういうプログラムを勝手に作って、接続先とのスパイ行為を行うタイプの奴です。(それと、ヒントになるのか分かりませんが、唯一外部から開いていたポートを閉じたところ、こやつめ、OSをハングアップさせてしまいました) で、セーフモードから本体を削除したのはいいんですが、このプログラムがどこから起動していたのか、いまだよく分かりません。 スタートアップ、レジストリの \Run のところ、win.ini、system.ini と全て調べて消えたことを確認したのに、それでも起動していました。 おそらくサービスの1つが仲介役をやってるんだと思うんですが、どこを調べたらいいのでしょうか。この手のタイプのスパイウェアは子プログラムが復旧を受け持つこともあるらしいので、その点もちょっと不安です。 可能性でかまいませんので、調べる場所をご存知の方お教えください。 なお、OSは2000プロ、接続はルーター経由のADSLです。
- スパイウェア
- 回答数4
- ありがとう数5
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
こんにちは。 過去スレ:CoolWebSearchにやられました 05/05/15 http://okwave.jp/kotaeru.php3?q=1388620 HijackThisのログ関連で解析されていますが、未解決のようです。 ”SpywareGuide"サイトの検索ページです。 http://www.shareedge.com/spywareguide/product_search.php "SvcHost"の検索の結果は、以下のようです。 危険度: 10 [説明] 検出報告数: 24,715 回 / 最終報告日時: 2006/02/28 08:36:25 オフィシャル説明: 現在知られている中で最も悪名高いハイジャッカの一つです。異なったテクニックをすべて使用した、さまざまなバージョンがあります。 ************* 引用終り ************ 削除ツールとして次のようなツールが紹介されています。 http://www.shareedge.com/spywareguide/txt_onlinescan.php
その他の回答 (3)
- doki2
- ベストアンサー率51% (440/860)
>もうちょっとレジストリの中を探してみます。 通常の方法では探すのが大変だろうと思います。 「RegSrch.vbs」というのを使ってみてください。 http://fine.tok2.com/home/heto2/0500MiniTool/0506RegSrch/0001.htm 検索する文字列を 「microsoft\\svchost.exe]にしてみてください。 「microsoft\svchost.exe]では多分何も検索できないと思います。
お礼
ありがとうございます。 試してみます。
- doki2
- ベストアンサー率51% (440/860)
下記ウィルスではないでしょうか W32.Kipis.K@mm http://www.norton.com/region/jp/avcenter/venc/data/jp-w32.kipis.k@mm.html 1.system.iniの修正 c:\winnt\system.iniの[boot] セクションに下記記述があれば修正する。 "Shell" = "Explorer.exe %System%\microsoft\svchost.exe" または "Shell" = "Explorer.exe c:\winnt\system32\microsoft\svchost.exe" 2.レジストリの修正 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon "Shell" = "Explorer.exe %System%\microsoft\svchost.exe" または "Shell" = "Explorer.exe c:\winnt\system32\microsoft\svchost.exe" があれば "Shell" = "Explorer.exe" に修正する。 3.「CleanUp!」でテンポラリーファイルの掃除 最近のスパイウエアにはテンポラリーフォルダに怪しげなファイルを置くものがあのでテンポラリーファイルも掃除して置くといいでしょう。 ☆CleanUp! のダウンロード http://www.stevengould.org/software/cleanup/download.html 上記サイトにアクセスして画面中ほどの「CleanUp40.exe」をクリックします。 ☆CleanUp!の使い方 「CleanUp!」を起動して画面右側の「Option」ボタンをクリック 下記の項目にチェックを入れ「OK」 Empty Recycle Bins Delete Cookies Delete Prefetch files Cleanup! All Users 画面右側の「Cleanup!」ボタンをクリック 注意! 作業終了後、再起動するかどうかの画面では「いいえ」を選択。 (編集中のファイル等を保存してから再起動してください。) ☆「Registry Jumper」 レジストリの操作には上下記ソフトを使うとを使うと非常に便利です。 http://fine.tok2.com/home/heto2/0501RegJumper/001.htm 4.「c:\winnt\system32\microsoft\svchost.exe」の削除 パソコンを再起動したのち、タスクマネージャで上記プロセスが実行されていないのを確認してファイルを削除 >svchost はどこから起動してるの??? ノートンの記述どおりであれば"Explorer.exe"から起動されています。 上記(4)でファイルを削除できない場合、少し荒っぽい操作ですが、下記操作を実行した後ファイルを削除する必要があります。 AAA.タスクマネージャの「プロセス」画面を開く BBB."Explorer.exe"を選択して右クリック CCC.メニューの「プロセスツリーの終了」を選択 このとき、エキスプローラの画面が閉じられたりエキスプローラから起動されているプロセスがすべて閉じられ画面が乱れますが、パソコンを再起動すれば修復できます。 DDD.コマンドプロンプトまたは「ファイル名を指定して実行」で下記コマンドを実行 「del c:\winnt\system32\microsoft\svchost.exe」 エキスプローラで削除しようとすると悪玉が復活してしまい削除できなくなるので注意してください。 EEE."Explorer.exe"が複数のPIDで実行されていることがあるのですべて終了させてください。
お礼
ありがとうございます。 幸運にも(?)これではなかったようです。 でも念のため、もうちょっとレジストリの中を探してみます。
- lonewolf
- ベストアンサー率48% (818/1682)
バックドアに感染したのがわかっているのなら、リカバリをおすすめします。 バックドアとルートキットその他、どのようなものに感染しているかわからないので、見つかったものだけ削除しても安心できません。 完全に削除するには、かなりの知識とスキルがなければ不可能です。 http://wiki.higaitaisaku.com/wiki.cgi?page=%A5%B9%A5%C6%A5%EB%A5%B9%B5%A1%C7%BD%A4%F2%BB%FD%A4%C4%A5%DE%A5%EB%A5%A6%A5%A8%A5%A2%A4%D8%A4%CE%C2%D0%BD%E8%CB%A1
お礼
たしかにそのとおりなんですけどね。 でもリカバリとかやろうとすると、そのための時間を確保するのにまず半年とかかかるので(^_^; なんで、時間がかかっても少しずつ潰していきたいのです。
お礼
ありがとうございます。 お教えいただいたページは隅々まで念入りに目を通すことにします。 持ち主がマシンを使っている可能性があるときに、DVDドライブの中身を大量コピーするような奴が名高いかなぁ、とは思うんですが(そういうことをしてたんです(^_^; 中学生かと思いました(笑))……あ、でも油断は禁物ですね。 駆除ツールは調べてみます。 他のページも一通り見て、それからいい機会なので我が家のルーターの穴も改めて探してみます。