• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:netstat が変です。)

ネットワーク接続が異常な状態ですか?ハイジャックされている可能性があります!

このQ&Aのポイント
  • パソコンの挙動が不審なため、netstatを実行しました。
  • netstatの結果、不審なアクセスが見えます。
  • ブロック設定やシステムファイルの復旧を試みましたが、問題は解決していません。この危険な状態をどのように解消できるでしょうか?アドバイスをお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • localica
  • ベストアンサー率52% (202/385)
回答No.1

netstat -vb あたりで通信してるアプリを特定して止める。 通信してるアプリがsvchostなら正規のアプリか確認する。 マルウェアに改ざんされているなら正規品に戻す。 正規品にインジェクトされているなら起動時のログを調べる必要があるが、おそらく無理。 セキュリティ対策製品のルートキット対策ツールを使えば復旧可能かも。 わからないなら初期化が手っ取り早い。

cso236
質問者

お礼

netstat -anbvで見たところ、こうなりました。 [システム] TCP 127.0.0.1:53113 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53114 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53117 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53118 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53124 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53136 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53143 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53144 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53153 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53154 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53155 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53158 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53159 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53160 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53161 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53162 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53163 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53164 127.0.0.1:21332 TIME_WAIT TCP 127.0.0.1:53165 127.0.0.1:21332 TIME_WAIT TCP 192.168.11.3:139 0.0.0.0:0 LISTENING 所有者情報を取得できません [システム]というのは、System Idle Process(pid 0)らしいです。 ここ http://okwave.jp/qa/q2573101.html でも話されているみたいなんですけど、PIDが0のプロセスがポートを空けていることがあるらしいですが、これは正常でしょうか... と、こちらにありました。 http://www.wilderssecurity.com/threads/pid-0.68048/ Hi Snook, I found this info' in the help file: Windows XP/2003 In some rare circumstance, Windows XP doesn't clean up all its sockets correctly after an application has closed. This has the effect of Port Explorer showing a socket with an asterix and no filename because the application is closed yet Windows XP is reporting that the closed application owns the socket(s). Usually after your internet connection has been disconnected the 'blank' socket(s) will be cleaned up by Windows XP. This isn't a Port Explorer problem, it's a Windows XP issue. To check this, whenever you see a blank socket go to your command prompt and type "netstat -ano" (without quotes). You should see the sockets which have the same PID as the blank sockets in Port Explorer. If you look in Windows Task Manager (Ctrl+Alt+Delete | Task Manager) you will see no process that has the PID that netstat and Port Explorer report. HTH Pilli 閉じられそこなったソケットの残骸がpid 0と表示されるかんじですか。これでは原因が突き止められそうにない感じです...。 ルートキット除去ツールはスキャンが遅く、今夜一杯かかる様子です。ゆっくり様子を見たいと思います。 いろいろ教えてくださいましてありがとうございました。

cso236
質問者

補足

ありがとうございます。 起動するたびに時計がGMT+0時間にリセットされる現象が置き(BIOSの時計を直してもまたリセットされる)なにか怪しいと思っていたので見たのです。自動起動されるはずのwindows time(w32time)サービスが停止されていたり、なにかと怪しかったです。 hostsを変更する前は TCP 127.0.0.1:49882 www:21332 ESTABLISHED のうように、ESTABLISHEDになっていました。 現在は時計が9時間きっかりで狂うことはなくなりました。 実は、windows8 firewall controlを入れてあるので、怪しいプログラムがネットに接続しようとしている時にはそれが何かわかるし、接続はプログラムごとに許可/ブロック可能です。しかし怪しいプログラムがなく、かわりにsvchostが接続を試みているという点が気になりました。 正規品にインジェクトされている、というのが本当ならば、なんともできないのでしょうか...。 とりあえず「ルートキットの駆除--Virus Removal Tool (無償) によるルートキットの駆除」というサイトがありましたので、Sophos Virus Removal Tool (無償)というのを使って検出されるか待とうと思います。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する