Windowsタスクマネージャでsvchostがユーザ名で起動している

現在問題が起きているＰＣの環境は下記の通りです。
ＯＳ：WindowsＸＰ（ＳＰ２）
セキュリティソフトはKaspersky Internet Security 7.0

現象ですがＫＩＳで「重要な領域のみスキャンを実行」を実行すると
ウイルス（亜種）：Beur.Backdoor.Generic
モジュールを実行します：svchost.exe\svchost.exe
そして駆除できません。となります。
そこで検索サイトでsvchostについて調べた結果、タスクマネージャでsvchostがユーザ名で動いていると山田ウイルスに感染しているということが分かり、
実際に自身のＰＣで確認してみるとsvchostがユーザ名で実行されていました。
そこでそのプロセスを終了させ、ＫＩＳで「感染オブジェクトのウイルス駆除をする」を実行すると駆除されました。

ここからが問題なのですが
システムの再起動をし再びタスクマネージャを見るとsvchostがユーザ名で起動されています。
もう一度上にも書きましたとおりに駆除しても、また再起動すると同じ結果です。
これは本当に山田ウイルスとゆうものなのでしょうか？
ちなみに→http://www.geocities.jp/dkstr_hamar/yamada_repor …を参考に山田ウイルスに感染しているかチェックしました

レジストリを確認したのですがそのようなものは確認されず、
山田チェックツールでチェックを掛けましたが問題はありませんでした。
次にSlightTaskManagerを使用しユーザ名で起動されているsvchostがどのパスで起動しているか確認すると下記の結果でした。
c:\WINDOWS\system32\svchost.exe

本当にウイルスに感染にしているのでしょうか。
何か対策案などありましたら教えてください。
よろしくお願いします。

No.5 回答者： wamos101 回答日時： 2008/04/14 16:44

当方、アングラ突入調査や対策ソフトなどのテストをしております。

えっとですね、海外のカスペフーラムにほとんど同じような問いかけが出てました。

http://forum.kaspersky.com/index.php?s=7890b3b2d …

で、いろいろ調べたんですが、Killer系(対策ソフト無効化系)に関係するかもしれないのでジャストシステムに連絡取ったほうがいいと思います。

No.4 回答者： niryo 回答日時： 2008/04/09 18:27

No.3です。

プロアクティブディフェンス（以下PDM）がじゃなくて普通の検出のようですね。

再スキャンしてOKだったのであれば問題ないと思います。
ちなみにPDMはマルウェアじゃなくても警告が出てきます。
PDMは設定が変更されたときや、怪しい行動をするプログラムがあると警告します。
わからないのであればOFFでいいと思います。

No.3 回答者： niryo 回答日時： 2008/04/07 23:40

No.3です。

一つ書き忘れました。
「Heur.Backdoor.Generic」でウイルスを検出しているということはkisからみると未知のウイルス扱いになっています。
kisが検出不可能な他のウイルスがPC内にいる可能性がありますのでkisでのスキャンも大切ですが、他社のオンラインスキャンも一応お勧めします。

ESET社（NOD32でおなじみ）
http://www.eset.com/onlinescan/
Panda
http://www.pandasecurity.com/activescan/requirem …

この回答への補足

回答して頂きありがとうございます。
すいませんスキャン中ではなく起動後しばらくすると
右下に↓
「スキャン
　モジュールを実行します　（←空白）はウイルスを含み、駆除できません
ウイルス（亜種）：Heur.Backdoor.Generic
モジュールを実行します：svchost.exe\svchost.exe」
というウインドウ？みたいなのが出現します。

以前からＰ２Ｐ（Ｃａｂｏｓ，トレント）などをしていましたのでこれを機にプログラムを削除、
念のため落としたファイルも削除しました。
niryoさんがおっしゃられた「プロアクティブディフェンス」についてなんですが、今使用しているＫＩＳは試用版のため
その機能の意味を知らなかったため、調べてみたんですけどＫＩＳが誤検出してるんですかね…
また
ＰＣ起動後、タスクマネージャからログイン中のユーザー名で起動しているsvchostを終了させ駆除してから
ＫＩＳでの完全スキャン、他社のオンラインスキャンを掛けてみましたがいづれもウイルスなどは発見されませんでした。

ＯＳを再インストールすると問題は解決されるかと思うんですが、本当に感染しているか分かりませんし
手間が掛ってしまうんで何か解決方がり教えて頂けましたら幸いです。

しかし山田ウイルスなどに感染しているとsvchostはc:\WINDOWS\system32\svchost.exe以外＆ログインしているユーザで起動していれば
感染の可能性は大とのことですが、私のＰＣではc:\WINDOWS\system32\svchost.exeで起動、ログイン中のユーザで起動。
そして他社のスキャンでは引っかからずにＫＩＳでのみ引っかかるとゆうこと現象がどうしても気になります…

補足日時：2008/04/08 18:55

No.2 回答者： niryo 回答日時： 2008/04/07 23:32

まず、もう一度お尋ねしますがスキャン中に出てくるのですよね？

「モジュールを実行します」というのはプロアクティブディフェンスのような気もします。

山田ウイルスというのは基本的にP2P（ファイル共用ソフト）から感染するウイルスでパソコン内のデーターをネット上に流出させたりします。
もしP2Pをご使用でしたら、削除を強く推奨します。

ちなみに「C:\WINDOWS\system32\svchost.exe」は普通、どのPCにもあります。
kisが検出し、駆除したのであれば大丈夫だとは思いますがシステム全体をスキャンすることをお勧めします。

#どうでもいいことなので気にしなくていいですが「Beur.Backdoor.Generic」ではなく「Heur.Backdoor.Generic」です。

No.1 回答者： FMVNB50GJ 回答日時： 2008/04/07 21:23

少しだけ書き込み

http://www2.atwiki.jp/kawaisosu/pages/208.html
「被害の予防
P2Pは使わない
OpenNapクライアント 、WinMX、Winny、Shareといったファイル共有ツールを使用していると、ウィルスに感染する確率が飛躍的に上がります。
これらのツールは使わないようにしましょう。 」
P2Pやっているの？

最近P2Pのやからのパケットがウザイほど。お盛んだったということ。

プロセスエクスプローラでsvchostのユーザー名を表示してみた。システム何とやら、だった。
亜種もたくさんあるようで。対策ソフトの定義が間に合わないのかもね。

対策案？
カスペ入れていて。

通信するらしいからパケットキャプチャでも入れて観測するとか。
httpサーバーだったらアクセスに応えているのかな。

別メーカーのオンラインスキャンとか。
http://www.f-secure.co.jp/v-descs/disinfestation …
IEしか使えないはず。