リモートシステムがsvchost.exeにアクセスしようと・・・

Win XP Home を再インストールしました。
環境は、PCは無線LAN、LAN接続HDDは無線親機に有線接続。
そしてNorton Internet Security2005 をインストールしたら下記のメッセージが表示されました。『中危険度：リモートシステムがこのコンピュータ上の svchost.exe にアクセスしようとしています』
この意味がわかりません。(リモートシステム？)・・・(1)
が、対応として『どう処理しますか：常に許可する(推奨)』が表示されていたのでそのまま OKボタン を押しました。
上記対応はシステムに問題はないのでしょうか。・・・(2)
お願いします。

No.8 回答者： waros99 回答日時： 2007/10/09 02:24

#3です。

WAN側を無効にすれば切り分けができるじゃないですか。その状態で信頼ゾーンの定義を再設定してみて下さい。

この回答への補足

返信が大変遅くなり申し訳ありません。

最初に質問したMSGが表示されないので色々試してみました。
が、結局 表示されませんでした。
WANとの接続を切っていましたが、その後 接続してみました。
試したことは下記です。
１）ファイアーウォール設定をデフォルトへ変更
（maniada55さん提案のシマンテックサイトから）
・・・最初に質問したMSGが表示されない！

２）ノートンをアンインストールしてから再インストール
・・・しかし最初に質問したMSGが表示されない！

３）ノートンをアンインストール後、
PROGRAM FILEフォルダーにあるSymantecフォルダを削除してから再インストール
・・・しかし最初に質問したMSGが表示されない！


そして収集できたMSGは下記です。

ADSLルータのIP = nnn.nnn.0.1 とします。
パソコンのIP = nnn.nnn.0.2 とします。

＜"プログラム制御"のMSG＞
a)インターネット接続前
・低危険度
・MSG：リモートシステムがこのコンピュータ上の xxxxx にアクセスしようとしています
・アクション：常に許可する（推奨）
・プログラム：svchost.exe
・プロトコル：UDP（インバウンド）
・リモートアドレス：nnn.nnn.0.1：1900
・ローカルアドレス：nnn.nnn.0.2：1041
・場所 ：デフォルト

b)インターネット接続後
・高危険度
・MSG：AUAgent.exe が DNS サーバーに接続しようとしています。
・アクション：常にすべてのポートでこのプログラムからの接続を許可する
・プログラム：AUAgent.exe
・プロトコル：UDP（アウトバウンド）
・リモートアドレス：nnn.nnn.0.1：53
・ローカルアドレス：nnn.nnn.0.2：1070
・場所 ： ホーム


＜"セキュリティ警告"のMSG＞
c)インターネット接続前
・中危険度
・MSG：XXXXX.exe が DNS サーバーに接続しようとしています。
・アクション：常にすべてのポートでこのプログラムからの接続を許可する
・プログラム：AUAgent.exe
・プロトコル：UDP（アウトバウンド）
・リモートアドレス：nnn.nnn.0.1：53
・ローカルアドレス：nnn.nnn.0.2：0
・場所 ：デフォルト


上記 a) のMSGが、最初に質問したMSGに近いです（最初は”中危険度”）。
このＭＳＧの見方は次のようでいいでしょうか？
『ADSLルータ（リーモートアドレス）が、パソコン（ローカルアドレス）の xxxxx にアクセスしようとしています』

◎なぜこのようなアクセスが発生するかは分かりませんが、
以前言われていたように”UDP”で ポートが 1900 となっている(=SSDP)ので
問題ないと判断したいと思います。如何でしょうか。

補足日時：2007/11/27 22:37

No.7 回答者： waros99 回答日時： 2007/10/04 22:01

#3です。

「WAN(Internet)に接続しない状態で確認」というのは、無線親機からモデムに行ってるケーブルを外せば済むことです。

>その定義を削除したら LAN接続HDD へアクセスできなくなりました。

この定義設定が有効か無効かでアラートの変化が出るかどうかですね。

この回答への補足

つまりノートンの設定自体は現在のまま（常に許可する）にしておいて、
WAN(Internet)に接続しない状態にし、どのような変化が起こるか待っているということですか？

補足日時：2007/10/06 00:22

No.6 回答者： waros99 回答日時： 2007/10/03 22:29

#3です。

何も矛盾してません。#3の補足を見た時点でルータ機能付きモデムの使用がわかったわけですから(ボクにとって)。ですから、#3の回答を書いた時点では「使ってなければ」となってます。で、回線終端(モデム)がルータ内臓ですのでリモートアクセスの線は低いです。で、前回の回答に続きます。

WAN(Internet)に接続しない状態で確認してみて下さい。

この回答への補足

＝(1)＝
>3の回答を書いた時点では「使ってなければ」となってます。
→なるほど、理解できました。

>WAN(Internet)に接続しない状態で確認してみて下さい。
→前回の回答を参考に確認するのだと思いますが、具体的に何をしたら良いのか分かりません。唯一つ分かることは、モデムにアクセスして通信を遮断（WANからの切り離し）することです。
その後、具体的に何をしたら良いのでしょうか。

＝(2)＝
気が付いたのですが、Norton Internet Security2005 のファイアーウォールの設定で”このコンピュータにアクセスできるコンピュータを識別します”とあり、説明としては下記が書かれています。
『信頼ゾーンのコンピュータはこのコンピュータに対するフルアクセス権があります。ファイルやプリンタを他のコンピュータと共有する必要がある場合にはそれらを信頼ゾーンに入れてください（”信頼ゾーン”というフィールドに定義するという意味）。』
その”信頼ゾーン”には、プライベートアドレスが一つ定義されていました。その定義を削除したら LAN接続HDD へアクセスできなくなりました。
このことは、『リモートシステムがこのコンピュータ上のsvchost.exe にアクセスしようとしています』と関係があるのでしょうか。
すみません、長くなりましたが宜しくお願いします。

補足日時：2007/10/04 00:26

No.5 回答者： waros99 回答日時： 2007/10/02 03:57

#3です。

>ADSLモデムはルータ機能あり、無線親機はルータ機能なし です。
つまりルータは１つだと思います

そうですか。ならWAN側からの可能性は低いですね。できれば、CurrPortsとか使いこなせるといいんですが。svchost.exeは複数表示されますが、普通です。ダブルクリックすると対応するサービスが表示されます。

とりあえず、WAN接続をしない状態でリモートアドレスがプライベートIPになってるやつが該当するSvchot.exeだと思います。一つだけじゃない可能性もあります。で、ボクの勘ではそのsvchost.exeのローカルポートがUDP1900(SSDP)なんじゃないかと踏んでるんですが。もし、そうなら問題ないです。

この回答への補足

waros99さん、回答No.3 で言われていることは ルータが１つであればリモートアクセスされたこと自体 危ないんですよね。
今回は、ルータが１つであれば「WAN側からの可能性は低い」と言われている。つまり危険度は低いと言われているように思うのですが。
すみません、前回の回答と矛盾しているような気がしてますが、私は何か取り違えているのでしょうか？LAN接続HDDがあるからでしょうか。
また、LAN接続のHDDは、そのLANに接続されているPCへアクセスしてくるものなのでしょうか？

補足日時：2007/10/03 00:38

No.4 回答者： ryu-fiz 回答日時： 2007/09/30 16:27

>提言のようにノートンを再インストールしてみようと思います。

私の回答を理解していただいたのはありがたいのですが…多分、２番さんの回答のほうがより無駄がないと思います。（シマンテックのサポート文書はサイト仕様変更によって検索し辛くなった…よくあれを見つけたな、と思います>２番さん）

http://service1.symantec.com/SUPPORT/INTER/nisja …

『デフォルトの一般ルールおよびトロイの木馬ルールを復元するには』のところに書かれている『2005 シリーズの場合 ISRlRstr.exe ファイルをダウンロードする。』の下のリンクをクリックし、ISRlRstr.exeをデスクトップなどに保存。その後でダブルクリックして実行するとファイアウォールのルール設定が初期状態に戻ります。

リモートシステムからのアクセスを許可した場合、プログラム制御ルール上には現れないので設定の修正が困難になると思われます。そういう意味で当初Internet Securityの再インストールが妥当、と回答しましたが…ISRlRstr.exeの実行によって関連する設定は初期状態に戻ると思われますので再インストールまでは必要ないと思います。

次に同様なかたちでリモートシステムからのアクセスがあった場合には、取り敢えずブロックしておくことをお勧めします。（厳密に言うと、利用環境によっては受け入れる必要がある場合もありそうですが…利用者の意図しないタイミングでのこの種のアクセスはブロックが原則だと思います）

この回答への補足

やり方と若干の説明を添えてもらって非常に助かります。
”なるほど そういうものなんだ”ということが。
その手順を実行しようと思っていますが、次のことは考えられないのかと疑問もあります。
前後しますが、No.3さん への補足にも書いたことですが、
I-O DATAのLAN接続HDD が私のPCにアクセスすることはないのでしょうか。
実は、そのLAN接続HDD ですが、私がPCを立ち上げると、停止していたのに稼動し始めます（音がするので分かる）。電源は24時間ON状態です。また決まった時刻にも10分～15分くらい動いているようにおもえます。
ひょっとして、このLAN接続HDDが原因ということはありえませんか？
皆さんに対してもそうですが、レスポンス悪くてすみませんが、
よろしくお願いします。

補足日時：2007/09/30 22:05

No.3 回答者： waros99 回答日時： 2007/09/30 03:02

こんにちは。

ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。

WAN回線がどのような物か知りませんが、無線ルータ、もしくはアクセスポイントとは別にルータを使ってないのであれば、その状態は危険だと思います。

svchost.exe(Generic Host Process for Win32 Services)は、ネットワーク関連のシステムサービスも担当しますので。

で、無線LANに関してはWPA2仕様の物をお使い下さい。

http://www.uquest.co.jp/embedded/columns/lan2.html

この回答への補足

LAN接続のHDDは I-O DATA のものを無線親機に接続しています。
ADSLモデムはルータ機能あり、無線親機はルータ機能なし です。
つまりルータは１つだと思います。
LAN接続HDD は小型PCのようなものと聞いていますので、それが私のPCにアクセスしにきたということは考えられませんか？

>無線LANに関してはWPA2仕様の物をお使い下さい。
自分の無線LANがよく分からないので購入店できいてみます。
（バッファローのエアーステーションです）

補足日時：2007/09/30 21:50

No.2 回答者： maniada55 回答日時： 2007/09/29 10:43

不安なようでしたらファイアーウォール設定をデフォルトに戻されてはどうでしょうか。

http://service1.symantec.com/SUPPORT/INTER/nisja …

No.1 回答者： ryu-fiz 回答日時： 2007/09/29 10:04

リモートシステム…外部のPCがアクセスを求めて来ているということでしょう。

許可すべきでなかったと思います。

最悪、パソコンを乗っ取られる危険性があると思います。すぐにPCをネットワークから切り離し、一旦Norton Internet Security2005をアンインストール後再度インストールし直してください。外部からのこの種のアクセスを許可してしまった場合、設定上から取り消しを行うことはかなり難しいと思いますので、アンインストール後再インストールが結局最も手っ取り早いと私は思います。

インストールが完了したらすぐにPCの全体スキャンを行うべきでしょう。セカンドオピニオンとしてカスペルスキーのオンラインスキャンを受けられるのが良いと思います。
http://www.kaspersky.co.jp/virusscanner

出来れば、higaitaisaku.comのPC健康診断掲示板を利用された方がより望ましいと思いますが。
http://medcheck.higaitaisaku.com/cbbs.cgi

>対応として『どう処理しますか：常に許可する(推奨)』が表示されていたのでそのまま OKボタン を押しました。

この『常に許可する(推奨)』が落とし穴になることがありそうです。私も以前ノートン製品を使っていたときに経験しましたが…例えばシマンテック社のpcAnywhereを利用して第三者のPCがアクセスを図ってきた場合には『常に許可する(推奨)』の表示が出てしまうようです。

http://www.symantec.com/ja/jp/norton/products/ov …

pcAnywhereはネットワーク接続されたPCを遠隔操作するためのソフトウェアです。

この回答へのお礼

ノートンのこの種の問いには、実際のところ”許可する（推奨）”、”一度だけ許可する”や”接続を遮断する（推奨）”とか表示されますが 実際のところ何を答えてよいのか分からないのが現状です。私のPC環境では、自分のPCから出て行く行為（xxx.exeがDNSサーバーに接続しようとしています）は、許してもOKのようですね。絶対だめなのは、外から自分のPC（xxx.exe）へアクセスしてくるものですね。
提言のようにノートンを再インストールしてみようと思います。
ありがとうございました。

お礼日時：2007/09/30 11:54