「svlmngr.exe」についてご存知の方はいらっしゃいませんか？

ダイアルアップでインターネットに接続中、あまりに速度が遅く
ダイアルアップの送受信情報も自分では何もアクセスしていないので延々と受信を続けている状態。
ウイルスでは？と思いSOURCENEXT ウイルスセキュリティをインストール。
最新版(バージョン：9.0.0032)でスキャンをしましたが検知されず・・・。
その後、インターネットに接続すると不正進入の機能が、所在不明なプログラム(svlmngr.exe)による
インターネットアクセスを検知してくれたのでアクセスを防いだところ速度が若干早くなりました。

しかしプログラム自体は以前活動をしております。

インターネットで該当のファイル名前を検索した所、
日本語サイトに情報は無く
海外サイトに情報が掲載されておりウイルスらしい事が
掲載されておりました。
http://www.pcbanter.net/showthread.php?t=842351

本当にウイルスなのかも不明なので情報を提供して
頂けないでしょうか？
もしウイルスであるとした場合、駆除方法も併せて
教えて頂けると大変助かります。

PCの環境
OS：Windows2000 SP4
ウイルスソフト：SOURCENEXT ウイルスセキュリティ
バージョン：9.0.0032
怪しいファイルが保存されている場所:C:\WINNT\system32\svlmngr.exe
備考：タスクマネージャーから停止不可

宜しくお願いします。

No.6 ベストアンサー 回答者： lonewolf 回答日時： 2006/01/19 18:04

Backdoor.Win32.Rbot.gen ：　bot系のワームです。

ゾンビ化されていますので何を仕込まれているかわからないのでリカバリをおすすめします。
PCの情報が盗まれている可能性がありますので、パスワード、IDなどの変更された方がいいでしょう。
http://www.f-secure.co.jp/v-descs/v-descs3/rbot. …
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/2 …

この回答へのお礼

重ね重ねのアドバイス、本当にありがとうございます。
早速、初期化再インストールを行う事にします。

僅か1時間(しかもダイアルアップで繋いだり、
切断したりのトータルで・・・。)たらずの接続時間で
こんなものを拾うことになるとは。
改めてウィルスの恐ろしさを認識しました。

私の周りを見渡しても、ちゃんとにセキュリティ対策を
施している人は一握りのような気がします。

お礼日時：2006/01/19 22:21

No.5 回答者： Miracle_panda 回答日時： 2006/01/16 08:42

Virudtotalのアドレスが抜けてました。

参考URL：http://www.virustotal.com/flash/index_en.html

この回答へのお礼

ありがとうございました！

現状は↓のレスの通りです。

追って最終報告致します。

お礼日時：2006/01/19 11:55

No.4 回答者： lonewolf 回答日時： 2006/01/16 08:24

怪しいファイルのフォルダとファイル名が特定できていればこちらのページでウィルスの名称が確認できます。

参照をクリックしてファイルを選んで Submit をクリックしてください。
http://virusscan.jotti.org/

この回答へのお礼

ご連絡が遅くなり失礼しました。
ご連絡頂いたサイトでチェックしたところ、以下の結果が得られました。
手持ちのソフトではセーフモードでも検知できなかったので取り急ぎセーフモードで該当ファイルをリネーム＆システムフォルダから移動しました。
恐らくレジストリの何処かも変更されてしまっていると
思われるので完全な対応ではないですが
回線がINSなのでオンラインでのチェックと削除が
思うように出来ないのが現状です。
近々ADSLに変更するのでその時に再度試みる予定です。
結果は追ってご報告致します。

Scanner results
AntiVir Found nothing
ArcaVir Found Heur.Win32
Avast Found Win32:SdBot-gen3
AVG Antivirus Found nothing
BitDefender Found Backdoor.SDBot.116833B1
ClamAV Found nothing
Dr.Web Found Win32.HLLW.MyBot.based
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Backdoor.Win32.Rbot.gen
NOD32 Found a variant of Win32/Rbot
Norman Virus Control Found W32/SDBot.XEH
UNA Found nothing
VBA32 Found nothing

お礼日時：2006/01/19 11:54

No.3 回答者： Miracle_panda 回答日時： 2006/01/16 03:03

他のオンラインスキャンも試しましょう。

ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/

シマンテックセキュリティチェック
http://www.symantec.co.jp/region/jp/securitycheck/

カスペルスキーオンラインスキャナー
http://www.kaspersky.com/virusscanner


また、場所まで特定できているなら、
Virustotalでスキャンもできます。各メンダーのエンジンで特定のファイルを検査します。
画面右上の参照をクリックして、目的の場所まで行ってスキャンできます。
参照>C:>WINNT>system32>svlmngr.exe
になります。
特定したら、その横にある[Send]でスキャン開始です。

この回答へのお礼

ありがとうございました！

現状は↑のレスの通りです。

INSなので思うようにチェック出来なくて・・・。

追って最終報告致します。

お礼日時：2006/01/19 11:56

No.2 回答者： hoihence 回答日時： 2006/01/15 23:58

えーと、以下のツールが有用なのではないかと。

http://blog.tech-security.com/?p=16

この回答へのお礼

ありがとうございます！

セーフモードでの確認と併せてないよう確認してみます。

お礼日時：2006/01/16 00:02

No.1 回答者： noname#15675 回答日時： 2006/01/15 23:46

なんか状況的にワームっぽいものに感染しているような感じです。

とりあえずウイルスセキュリティに C:\WINNT\system32\svlmngr.exe の
外への通信は全部遮断させてください。

それから、今まで対策ソフトなしでネットにつないでいたのであれば、重篤な状況になっている
可能性も否定できないので OS 再インストールした方がよいかと思います。

一応、

> 怪しいファイルが保存されている場所:C:\WINNT\system32\svlmngr.exe
> 備考：タスクマネージャーから停止不可

この2点から考えると、真っ先に疑うのは Windows のサービスです。
セーフモードで起動したときはどうですか?普通に動作しますか?
セーフモードで、コントロールパネル＞管理ツール＞サービス、から見覚えのないサービスがインストールされていないかをまず確認。
で、怪しそうなものがあったらプロパティをみて「実行ファイルのパス」をさらに確認してください。
それでビンゴなものがあれば、停止してスタートアップを無効に。

そのときついでに、怪しいサービスのサービス名と内部名を控えておいてこっちに補足してもらうとなお良いかもしれません。

ただし、

・system32 フォルダ
・Windows (MS 製品) の正規ファイルをもじったような名前のファイル
・で、不正サービス

となると、Bot 系のワーム的なにおいがぷんぷんします。
また、こういうタイプは、一緒にルートキットを投下することも結構あります。
そうなるとお手上げなので、原因追求がうまくいかない場合は、
あきらめて OS 再インストールを決断したほうが絶対に早いです。

この回答へのお礼

早速のアドバイス有難うございます！

セーフモードでの確認を行ってみます。
補足にも記載しますので是非情報の提供をお願いします。

実はＰＣ設定中の出来事でトータルで正味３０分も繋いでいなかったのです。
その間にsvlmngr.exe以外にワームが感染してました。
こいつは削除出来たので一安心ですが。恐ろしい世の中です。
ダイアルアップなだけに甘く見ていて大反省な状況です。

お礼日時：2006/01/15 23:59