この動作はスパイウェアによるものでしょうか？

PCの起動時の動作についてお尋ねします。
PCの電源ONにして５分ほど放置してから
ネットワーク接続のタスク「ローカルエリア接続の状態」を見ると
送信が８万バイト、受信が３万バイトほどになっています。
何もキー操作していないのに８万バイトもどこへ何を送信しているんでしょうか？
以前スパイウェアが入ったことがあり、リカバリーしているのですが
まだスパイウェアが残って何かを送信しているのではないかと不気味です。
スパイウェア対策ソフトをセーフモードでスキャンしても何も検出されません。リカバリーはハードディスクリカバリーをしました。
ハードディスクリカバリーで完璧に元に戻るんでしょうか？メーカーのサポートに聞いたら大丈夫と言ってましたがこれも不安です。

接続はADSLでモデム（ルータタイプ）に１台のPCをつないでます。
OSはXP、PCはダイナブックTXシリーズです。
ご返答何卒お願いいたします。

No.7 ベストアンサー 回答者： prfct_fool 回答日時： 2006/11/17 05:37

パーソナルファイアーウォール等で、具体的なソフト名が出ずに、svchost.exeとしか表示されないのであれば、

殆どの場合にはウィンドウズ自身の仕業と考えて差し支えないと思います.
これが、同じsvchost.exeでも、"C:\WINDOWS\System32\svchost.exe"ではなく、"C:\WINDOWS\svchost.exe"となりますと
こちらはウィルスなどの可能性があるんですけれどね^-^;

もし、svchost.exeが接続している先のIPアドレスが判るのであれば、 http://whois.shinobi.jp/ などで接続先の素性が解ります.
とりあえず、このサイトにはwhoisとlookupという二つの入力欄があるのですが、
whoisはIPアドレスの所有者を表示するもので、lookupはIPアドレスをドメイン名に変換します.
whoisの情報の見方はちょっと難しいので、とりあえずlookupで接続先が信用できるものかどうかくらいは判別できます.
ウィンドウズのシステムが行っている通信であれば、～.microsoft.comという風に表示されると思います.

また、「ウィンドウズ防御ツール」が入っているとの事ですが、これもsvchostを通してデータの更新を確認しに行くと思います.
この他、ウィンドウズの自動更新などが行う通信でsvchostが経由されたと思います.
そういう通信がウィンドウズの起動直後に必ず行われるかどうかまではちょっと断言できませんが.

この回答へのお礼

続けてのご返答ありがとうございます。
１００％ではありませんが、安心することができました。
とにもかくにも知識がないので困ります。
TCP/IPあたりから勉強したいと思います。

お礼日時：2006/11/17 17:58

No.8 回答者： toshi_2000 回答日時： 2006/11/18 21:32

No.5です。

>よろしければ、大丈夫であるとの理由を教えていただけないでしょうか。
通常起動時には、リカバリー領域は、ドライブ名も割り当てられないし、アクセスすることもできません。たとえアクセスできてもリカバリー専用のプログラム・データが入っているためWindowsからは見えないでしょう。

この回答へのお礼

たびたびのご返答ありがとうございます。
おかげさまで納得いきました。
ありがとうございました。

お礼日時：2006/11/20 13:05

No.6 回答者： prfct_fool 回答日時： 2006/11/16 17:16

今のパソコンでは起動当初から様々なプログラムが稼動してますから、80KBというと、あっと言う間ですね.

セキュリティ対策ソフトからの更新確認だけでなくて、ウィンドウズ自体も更新の有無を確認していますし
iTunesなど、ネットワークの使用を前提としているソフトや、メールの定期受信設定などでもデータは送信されます.
スパイウェアやウィルスの影響と考えたら、むしろ少な過ぎるくらいかも知れません.

「ローカルエリア接続の状態」に、どの時点からのデータ通信量が表示されるのか判りませんが、
プロバイダとローカルエリア接続するのに必要なデータ通信などでも、それくらいは使われてしまうと思います.
どのようなウィルス対策ソフトやスパイウェア対策ソフトをお使いなのか判らないですけれども
それらで検知しなかったのであれば、まず有害なものはコンピュータ上に無いと思います.

リカバリ領域の汚染は、絶対に無いとは言えないかも知れませんが、そういう領域は
コンピュータには「フォーマットされていない」として認識される事もありますので、
まず無いと考えてよろしいかと思います.
汚染するとかいう以前に破壊してしまうという事の方が考え易いですね.

この回答へのお礼

ご返答ありがとうございます。
「ローカルエリア接続の状態」に、どの時点からのデータ通信量が表示されるのか判りませんが、>接続時間の表示を見ると２分ほどで送信５ｋバイト、受信３０～４０ｋバイト、３分ほどで送信８０～９０ｋバイト、受信４０～５０ｋバイトです。３分前後で突然送信量が増えます。また少ないときもあり、その時は３分で送信１kバイト、受信３００バイトです。いずれも３分以降はほとんど変化しません。

皆さんのおかげでC:\WINDOWS\System32\svchost.exeから動く何かが送信しているというのはわかりましたが、初心者ではここまでが精一杯です。基幹システムが作動するときの何かなので安心していいんでしょうか？
ウィルス対策ソフトは常駐が更新料ゼロのあれです。あとはオンラインスキャンで有名どころを何本かスキャンして白でした。スパイウェアはアダ対に出てる定番のやつとMSのディフェンダーです。いずれも白でした。

お礼日時：2006/11/16 21:31

No.5 回答者： toshi_2000 回答日時： 2006/11/16 08:21

No.1です。

>ウィルス等はHD上のリカバリー領域を侵すということは絶対にないのでしょうか？
絶対にありません。

この回答へのお礼

再度のご返答ありがとうございます。
絶対にないとのことですが、PCに疎い者からみると
物理的に隔絶しているわけではない、HDD上のパーティーション
はあまり意味をなさないように思えてしまうものですから、
ついつい疑心暗鬼になってしまいます。
よろしければ、大丈夫であるとの理由を教えていただけないでしょうか。

お礼日時：2006/11/16 13:13

No.4 回答者： FMVNB50GJ 回答日時： 2006/11/16 06:23

富士通のパソコンのリカバリについて言えば、通常のリカバリでは、システムの復元を無効にしないでやったらDのほうが全部残るだけでなく、Dのシステムフォルダー内には以前インストールしたものが残っていました。

ハードディスク上の全部を消去するようにリカバリするにはリカバリのときにCとDの領域の変更をすると可能です。

東芝のパソコンについてどうなのか知りません。

パソコン内にネットにつなぐものがあれば、ルーターが自動的に接続・通信するはずです。

etherealというソフトでどこに送信しているか詳しく知ることができますが、もし使ってみるなら、LANケーブルをはずして、パソコンを起動し、etherealを起動してキャプチャを開始し、それからLANケーブルを接続してどんな通信をするか確認できます。
もちろん、自信がない場合は使わないほうがいいです。

ファイアーウォールソフトのログに記録されていないか確認しては。ないかもしれませんが。

手持ちのセキュリティソフトでスキャン
それで何もなくてもまだ心配するなら、オンラインスキャン
それで何もなくてもまだ心配するなら、リカバリするしかないと思いますが。

一度感染して苦労すると、気になるのは仕方ありません。
windows XP SP2でしょうか。

この回答へのお礼

ご返答ありがとうございます。
OSはSP2です。
いろいろやってみます。

お礼日時：2006/11/16 13:03

No.3 回答者： pekpa 回答日時： 2006/11/16 03:13

リカバリツール使用とことであればHd全てリカバリしてるのではなくて

バックアップ用のパーティションで分けてあるドライブがあるのですね？そこにスパイウェアがあればOSドライブリカバリ後もそのスパイウェアが残っている可能性も考えられると思うのですが、どうでしょうか？
もしスパイウェア等の可能性がないなら送信はFwで許可されたアプリが送信をしている可能性が考えられると思います。

気になるんであればFWの許可を全て削除して、信用できるアプリが通信だけを許可すればいいのではないでしょうか？

それでも不安でしたら、
FileMon
http://www.microsoft.com/technet/sysinternals/ut …
http://www.isl.ne.jp/pc/075/f1.html
http://xworks.org/arc/filemon703jr01.zip
System Safety Monitor
http://www.syssafety.com/http://www.geocities.co …
で監視、チェックをしてみるのもいいかと思います。

この回答へのお礼

ご返答ありがとうございます。
早速教えていただいたチェックしたいと思います。

お礼日時：2006/11/16 12:49

No.2 回答者： noname#175529 回答日時： 2006/11/15 16:26

送信80KB、受信30KBくらいセキュリティソフトだけでもアップデート確認とかでやるんじゃないでしょうか。

気にするほどのことではないと思いますが。

どうしても不安であれば、（ハードディスク）リカバリ（ただしバックアップデータのレストアなし、システムドライブ以外もフォーマットという条件で実行）なされば大丈夫です。でも、バックアップ放棄、システムドライブ以外もフォーマット、というのは結構つらいものがありますよ。データが全部パーということですから。

今の状態でいきなりリカバリというのは早計だと思いますが…。

私なら、無料オンラインセキュリティスキャンサービス数種で完全スキャンして、有害なものが検知されなければ、あるいは検知されても駆除なり隔離なりができれば、リカバリはしませんが。

この回答へのお礼

ご返答ありがとうございます。
アップデート確認の可能性ということですか。
セキュリティソフト無効にして（XPのファイアウォールはONにして）試してみます。
spacejunkさんのおっしゃるとおり、オンラインスキャン数種やりましたがすべて白でした。
疑えばきりがないので、ほどほどにしておきます。
ありがとうございました。

お礼日時：2006/11/15 17:11

No.1 回答者： toshi_2000 回答日時： 2006/11/15 16:03

>ハードディスクリカバリーで完璧に元に戻るんでしょうか？

完璧に元に戻ります。

この回答へのお礼

早速のご返答ありがとうございます。
HDリカバリーと書きましたが、HDをまっさらにしてからリカバリーディスクを読み込ませるんじゃなくて、HDのリカバリーツール領域から、再度OS等を読み込ませるという意味でHDリカバリーと書きました。
ウィルス等はHD上のリカバリー領域を侵すということは絶対にないのでしょうか？
神経質なもんで気になります。絶対に大丈夫と考えていいわけですね？

お礼日時：2006/11/15 16:18