svchost.exeについて

こんにちは。一昨日からＰＣの調子が悪く（やたら動作が遅い、ＣＰＵ使用率が100％近い 等）、昨日ウイルスチェックを行いました。使用したのは、SOUCENEXTのウイルスチェックと、トレンドマイクロオンラインスキャン、MICROSOFTのウイルスチェック、SPY-BOTです。で、トレンドマイクロのチェックで、CIADOORというものに感染していたので削除したのですが、これでＰＣは健康体に戻ったと考えて大丈夫でしょうか。
最近引越しプロバイダはＥＯを使用しているのですが、ネットの接続を開始すると「svchost.exeが接続しようとしている」旨のメッセージが出、詳細を見るとＩＰアドレスとポート８０がどうのこうのと書いてあります（今会社から書いているので詳細なメッセージは分かりません）。とりあえず拒否するようにはしているのですが、妻に聞くと毎回はじめに接続を開始したときに出るメッセージらしく、前から出ていてここ数日突然出始めたものではないそうです。が、私が気づいたのが一昨日だったのでもしかしてこれもウイルスの類ではないかと心配です。ウイルスチェックにはＣＩＡＤＯＯＲ駆除後は感染の報告は出ないようになりました。
ウチのＰＣは今どういう状態にあるのでしょうか。分かる方よろしくお願いいたします。

No.1 回答者： goold-man 回答日時： 2007/11/06 13:27

svchost.exe（ネットワーク関連の基本的なサービスを起動するための親となるプロセス）を悪用して、パーソナルファイアウォールを回避する「トロイの木馬」に注意、と言う参考URLをご覧ください。

svchost.exeは正常なWindowsプログラムですが、名を変えて潜むことがあります。

「svchost.exeプロセスとは？」
http://www.atmarkit.co.jp/fwin2k/win2ktips/400sv …

参考URL：http://blog.jam-web.biz/?eid=229201

No.2 ベストアンサー 回答者： waros99 回答日時： 2007/11/06 21:33

こんにちは。

ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。

CIADOORはクラッカーに比較的のあるバックドアです。で、確かに#1さん言うように、システムサービスに偽ってFWB(Firewall Bypass)を仕掛けてきたりします。でも、その場合はその該当svchost.exeのユーザー(プロセスの所有者)が今現在PCを使ってるユーザー名になってる筈です。

で、そのsvchost.exeのアクセス先IPアドレスが表示されてるのなら、ドメインサーチなどを使って意図したアクセス先かどうか調べられる筈です。

まあ、仮にすり抜け(FWB)が出来ていたとしたら、リネームぐらいで成功しちゃうようじゃ、よほどショボイPFWということになります。

ですが、注意を払わなければいけないことは確かなんですが、もちろん、何でもない通常のアクセスかもしれないです。

とりあえず、信頼性の高いカスペルスキーのオンラインスキャンを念のためやっておくといいかもしれません。


※
svchost.exeはシステムサービスの親分ですが、ネットワーク関連サービスだけを起動するわけではないです。

No.3 回答者： waros99 回答日時： 2007/11/06 23:18

#2です。

「比較的人気のある」です。m(_ _)m