回答受付中の質問
avast!が数分間隔でsvchost.exeがウイルスだと判断されます。チェストへ移動される...
spkx8cx9さん
avast!が数分間隔でsvchost.exeがウイルスだと判断されます。チェストへ移動されるのですが何回も探知され続いています。なにもしていないのにクリック音?がしたりもします・・・。どう対処すればいいのでしょうか
このように探知されております
2010/08/14 14:13:28 C:\WINDOWS\TEMP\~es.exe [L] Win32:Malware-gen (0)
ファイルをチェストに移動することに成功しました...
2010/08/14 14:22:20 C:\WINDOWS\TEMP\~es.exe [L] Win32:Malware-gen (0)
ファイルをチェストに移動することに成功しました...
プロセスはC:\WINDOWS\system32\svchost.exeと出ております
ブートタイム検査もし他のアンチウイルスソフトでも試してみたのですが見付けることは出来ませんでした
-
- 質問日時:
- 2010/8/14 15:31:36
-
- 残り時間:
- 7日間
-
- 回答数:
- 4
-
- お礼:
- 知恵コイン
- 100枚
-
- 閲覧数:
- 31
-
- ソーシャルブックマークへ投稿:
- Yahoo!ブックマークへ投稿
- はてなブックマークへ投稿
- (ソーシャルブックマークとは)
回答
(4件中1〜4件)
- 並べ替え:回答日時の
- 新しい順
- |
- 古い順
C:\WINDOWS\system32\svchost.exe
は、正規のプロセス。
その検知された PID(プログラムID)情報が必要。
それを元に、解析してみる。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1444822219...
C:\WINDOWS\TEMP\~es.exe
というのは、かなり怪しい。その不可解な文字列.exeは、
年末・年始あたりに蔓延した(現在もか!!)Gumblar8080ru:経由感染の
Security Toolでもありましたね。
ルートキットで隠蔽されたプログラムが、そのパスに
~es.exeを生成する疑いもありますね。
だから、~es.exe、svchost.exe(正規ファイル)単体を、
VirusTotalで調査しても、赤文字(クロ)判定はされない予測。
前述のリンク先処置を試行して進展しなければ、
こちらに相談(無料)してみましょうか?
http://bbs.higaitaisaku.com/wizard/wizard.cgi
もしくは、「リカバリ」が安全・確実な手段です。
--------------------------------
[余波:気付いた点]
この枠内に、トギリ何とか・・という”途切れ川”君がいますが、
あてになりません。得意分野は、
avast! と higaitaisaku.comへの誘導です。
回答リンク内に、
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1444796339
”そのファイルをAviraに検体送信しましょう”と前回回答にありますが、
VirusTotalにAviraの検索エンジンがありますので無意味だと思われます。
というコメントがありますが、己が無意味ということに気付いていない”バカ”です。
その質問者の補足みりゃ わかるでしょ。
”途切れ川”に対して補足してるのに、答える術なく”トンズラ”して、
ここで他BA回答者を批判ですよ。AHOな奴です。
そして今回、十八番:higaitaisaku.com への誘導はありませんね。
今回の質問主の状態を見れば、Combofix のGMER機能で、
悪性種を炙り出して、kk氏に解析してもらい、
CFScriptでの対処を仰ぐのが、普遍的処置、と誰でも推測出来るのに、
それをしないということは、単なるBOT君という事実が判明しました。
”途切れ川” か、”トグルスウィッチ”か何か知らね~けど、
こいつ、いつもの常套手段で”トンズラ”するのを想定して、
ここに、この質問枠の”キャッシュ”を進呈して、わたくしの言葉とさせて頂きます。
http://megalodon.jp/2010-0814-2336-21/detail.chiebukuro.yahoo.co.jp...
御静聴、ありがとうございました。。。ばくしょ。
- 違反報告
- 編集日時:2010/8/14 23:38:18
- 回答日時:2010/8/14 23:35:49
svchost.exe
***************
以下のtoolで、調べてみるという方法もあります。
Process Explorer
http://www.forest.impress.co.jp/docs/news/20100326_357127.html
svchost.exeというだけでは、正体が見えないので、これを使用して細かくみてみたら?
**************
難しい問題ですね。
登録した上で、ここから、この問題の相談ができませんか?
http://support.avast.com/index.php?_m=tickets&_a=submit
http://forum.avast.com/
ここに相談する方法もあります。日本人大学生のnon pcさんが日本語でのフォーラムを立ち上げました。
http://my.chiebukuro.yahoo.co.jp/my/non_pc001
↓
会員登録の上、日本語で、non pcさんに相談して応援お願いしましょう。彼が英語でavastのスタッフに質問してくれるはずです。
彼は英語も堪能なので、相談することです。
http://forum.avast.com/index.php?board=29.0
過去回答を調べれば、non pcさんとコンタクトできるはずですよ。avast!に大変詳しい知恵袋さんです。相談してみたら?
あるいは、おじいちゃんのメモ。
http://www.iso-g.com/avast5/
登録してから相談してみたら?
**********
メールを送信して、avastに問い合わせするという方法もあります
疑わしいウイルスを報告
ファイルを送信: virus@avast.com ←メルアド。
*****************
なお、以下は余談ですが、
”そのファイルをAviraに検体送信しましょう”と前回回答にありますが、VirusTotalにAviraの検索エンジンがありますので無意味だと思われます。
********
↑
というコメントがありますが、検体送信をすると、aviraが、この検体を「詳しく」調べた上で、検査の結果「マルウエア」と判断した場合には、早急にAviraのウイルスデータベースに登録されることになります。
なにか勘違いされているのではありませんか?virustotalに怪しいファイルを送信した時、Aviraが「ウイルスデータベース」にそのファイルに関するデータを有していなければ、「virustotalのAviraが無反応」なのは、当然ではありませんかね?
virustotalで検査して、登録されているaviraに反応がない」場合でも、例えば、そのファイルを、PCにインストールした状態のAviraで検索すると「マルウエア」と判定する場合があり、これはカスペルスキーの場合でも同じことです。virustotalに登録されているカスペルスキーでは「無反応」だったこれども、そのファイルを、PCにインストールしてあるカスペルスキーでスキャンしたら「反応した」という場合もあります。そして、Aviraでいえば、virustotalで無反応かつPCにインストールしてあるAviraでも検出できない場合に、Aviraへ検体送信をすると、Aviraサイドで入念な調査をしたうえで、その検査結果を通知してきます。
virustotalのAviraでは無反応
PCにインストールしてあるaviraで検索しても無反応
そこで、検体を送信した結果「マルウエアと判定しました」という事例は、頻繁にありますよ。
↓
以下が、その「一例」です。
****************
A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25845112 111111111111111pl...ie.hta 1.12 KB MALWARE
25845321 D68D37FF8BCB986E400C...83 1.45 KB MALWARE
Please find a detailed report concerning each individual sample below:
Filename Result
111111111111111pl...ie.hta MALWARE
The file '111111111111111playmovie.hta' has been determined to be 'MALWARE'. Our analysts named the threat HTML/Dldr.Agent.RY. The term "HTML/" denotes a script-virus that is able to infect the system using a HTML script.Detection will be added to our virus definition file (VDF) with one of the next updates
*******
検体送信して、Aviraのlabが調査した結果「malware」と判断し、ウイルスデータベースを更新するということは「頻繁」です。
virustotalに登録されたaviraが「無反応」だから、これ以上、Aviraへ検体送信しても「意味が無い」のではなく「意味はある」のです。
ご参考までに。
- 違反報告
- 編集日時:2010/8/14 22:15:24
- 回答日時:2010/8/14 20:06:03
下記のような事例がありました。
8/5 17:58:34 Avastの警告が止まらない k02028to2000
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1444796339
もし、前の方の回答にありますVirusTotalの判定が、”どのメーカーでもウイルスは検出されませんでした”と出た時は
”そのファイルをAviraに検体送信しましょう”と前回回答にありますが、VirusTotalにAviraの検索エンジンがありますので無意味だと思われます。
以下ヘルプセンターより引用
*****
ウイルス研究室に提出 - 此れを選択する事で、例えば、ファイルが誤って感染していると確定されたと信じるならば、 ファイルを アバスト! ウイルス研究室に送る事が出来ます。 其のファイルやプログラムの名前、バージョン番号、及び 其のファイルやプログラムが検出されるべきではないと思われる理由 等、 出来るだけ多くの情報を追記して下さい。
*****
とありますので
アバスト! への問い合わせ方法
疑わしいウイルスを報告
http://www.avast.com/ja-jp/contacts
で問い合わせてみては如何でしょうか。
- 違反報告
- 回答日時:2010/8/14 18:24:54
C:\WINDOWS\system32\svchost.exe
はWindowsのシステムファイルで削除することができないで、
このファイルからウィルスを駆除するのは厄介です。
一度、C:\WINDOWS\system32\svchost.exe のファイルを下記サイトに
アップロードし、どのウィルスに感染しているか確認してみてください。
VirusTotal
http://www.virustotal.com/index.html
「参照」ボタンをクリックし、C:\WINDOWS\system32\svchost.exe のファイルを選択し、「Send file」ボタンをクリックします。
複数種類のセキュリティソフトでスキャンした結果を表示してくれるので、駆除できるセキュリティソフトが見つかるかもしれません。
- 違反報告
- 回答日時:2010/8/14 16:19:31