ウイルスに感染してしまった？助けて下さい!

Question

Windows7です。
最近パソコンの調子が急にとても重くなったり異常なので色々調べていたところ、nortonの経歴に
添付画像
画像のPort()の（）の中身が2869のもの

この表記が１分に数個の勢いで出ています。
途中で見つけた、http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1147716631
この方の質問とかなり似ている状況です。ただ私は、そのファイルを使用してしまった後です。
そのファイルを消そうとしても、Systemによって使用されているため、削除できませんといった感じで弾かれてしまいます。
あとは、

権限がないアクセスを遮断しました（プロセスデータのアクセス）
処理側　C:\USERS\YOU\DESKTOP\PROCESSEXPLORER\PROCEXP64.EXE
処理側PID　2780
対象　C:\Program files (x86)\Norton Internet Security\Engine\18.6.0.29\ccsvchst.exe

このような表記が毎分とても大量に出ています。
ccsvchstというファイルはNortonの正規ファイルにもあるとの事ですが、
色々調べて見てhttp://gigazine.net/news/20061009_svchost/
このサイトを参考にしてプロセスを確認して見たところ、
1つだけ青色の、プロセスの説明も何も書いていないccsvchst.exeがありました。
先ほどの質問の方の回答を見る限り、ウイルスに感染してしまっているということでしょうか？

PCには疎く、何が起きているかも分からずとても混乱している状況です。
何が起きているかが分かる方、対処法など知っている方居ましたら、どうかご教授お願い致します。

rebind · Accepted Answer

>権限がないアクセスを遮断しました云々はproccess explorerが原因みたいですかね？

ですね。

で、ISPの変更。これの影響の可能性が高いでしょうね。シマンテックのサポに聞くかFAQ漁り。

マルウェアの可能性は心配なさそう。状況的な判断で。

BellBell · Answer

＞＞2869の通信にしても、内部→外部、外部→内部の動作によって、異なるかも知れません。
＞これは確認する術はあるのでしょうか？
2869で通信している(通信が来ている？)を、どうやって確認しました？

ノートンのFirewallのブロックログか何かを見たのではないのですか？
(添付のファイルと書かれているが実際は添付されていない画像が、スクリーンショットだったのでしょうか？)
※できればスクリーンショットではなくて、テキストで書いてください。縮小されてまともに読めないので。

＞PCのDVDドライブが壊れているため、DLしてdaemon toolsにて使用しています。
＞これを削除しようとすると、systemによってファイルは開かれているため～で削除が出来なくなっています。
＞無論daemontoolsからは抜いてあります。

現象から推測すると、ISO内からdaemon toolsを通してウィルスが実行されているなら、daemon toolsからISOファイルをアンマウントできなくなると思います。
アンマウントできたという事から推測すると、ISO内からは現在ウィルスは実行されていないはずです。

ただ、HDD内にウィルス自身をインストールしてすぐに終了した可能性は残りますし、ウィルスが実行されているせいで、daemon toolsの内部的にはアンマウントが完了していないといいう現象は否定できません。

ISO削除だけなら、たぶんWindows再起動後に削除は可能だと思いますが、ウィルス感染している可能性は残ってますよ。
ノートンがウィルス実行を遮断した、あるいは、自動起動をオフにしているのでマウントしただけで実行はされていないなどの確証があれば別ですが。

正直、ウィルスが実行されている可能性があるなら、仮にポート番号2869の通信の通信が異常な動作じゃないと判明したとしても、大丈夫だと言えるものではないと思います。(今は潜伏期間で、通信をしていないだけという可能性などがある)

rebind · Answer

参考に

http://ittechinf.wiki.zoho.com/Windows%E3%83%9D%E3%83%BC%E3%83%88%E7%95%AA%E5%8F%B7%E4%B8%80%E8%A6%A7.html

rebind · Answer

すいません。

使用していなければ感染の可能性ありの間違い　m(_ _)m

rebind · Answer

>使用してなければ感染ということは、これを使用していると何かあるのでしょうか？

いえ、使用してたら感染の可能性は低いです。使用していれば成りすましといった可能性が出てきますし。

で、下の方いわれるように2869と聞いてSSDP関連かとはすぐに思いましたが、成りすましの件があったのでまずはこの線がどうかを見極める必要があるため尋ねました。

で、おそらくノートンではSSDPやUPnPに対してデフォでチェックがかかる設定になってるのでしょう。「設定」からFirewallの設定画面に入ればパケットフィルタ関連の設定画面がある筈です。

結論的には今の時点、感染の可能性はかなり低くなりました。サポセンで聞けば一発で回答されるんじゃないでしょうか。あるいはメーカーのサイトで自分でFAQを漁る。

BellBell · Answer

ポート番号2869の通信は、通常はなんら問題のない通信です。

ザクッと言えば、LAN内に接続した機器同士が勝手に情報をやり取りして、『電源が入っています』などの状態通知などをしていると考えて貰って構いません。
ただ、『2869だから問題ない』と思わせるためにわざとポート番号2869を使ったウィルスが存在しないとは言えないところが問題ですね。

＞この方の質問とかなり似ている状況です。ただ私は、そのファイルを使用してしまった後です。
＞そのファイルを消そうとしても、Systemによって使用されているため、削除できませんといった感じで弾かれてしまいます。
気になるのは、『そのファイル』って何？って事です。
使用してしまったってのも何？exeをダブルクリックして実行してしまったって事？

2869の通信にしても、内部→外部、外部→内部の動作によって、異なるかも知れません。
ブロックログなのか、通信ログなのかも書かれていませんし。
発信元のIPアドレスがLAN内のものかLAN外のものかも判りませんし。
(LAN内なら、一般的に192.168.で始まる番号、ルータなら192.168.1.1,または192.168.0.1のいずれかにする事が多い)

なんとなく、外部→内部のルータアドレスからのブロックログじゃないかとは思うんですが(それなら基本的に問題ない)。

rebind · Answer

あの、Process Explorerというプロセス表示ツールの64ビット版をお使いになったことありますか？

なければ感染の可能性濃厚です。おそらくは、Persistenceといってシステムから自身を駆除されないようにする手法が使われてると思います。Killer系性質も持つ匂いがするし。この場合、OSの再インストールが最も確実に駆除できる方法です。

lensent · Answer

こんにちは、
windows7は使用したことがないので
不確かですが、セーフモードで起動しても、同様の現象は起こりますか？

http://windows7faq.net/50/cat149/

ウイルスに感染してしまった？助けて下さい!

>権限がないアクセスを遮断しました云々はproccess explorerが原因みたいですかね？

＞＞2869の通信にしても、内部→外部、外部→内部の動作によって、異なるかも知れません。

参考に

この回答への補足

すいません。

>使用してなければ感染ということは、これを使用していると何かあるのでしょうか？

ポート番号2869の通信は、通常はなんら問題のない通信です。

この回答への補足

あの、Process Explorerというプロセス表示ツールの64ビット版をお使いになったことありますか？

この回答への補足

こんにちは、

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング