ホームに戻る > スレッド一覧 > 記事閲覧
[856] svchost.exe
日時: 2007/01/09 18:38
名前: BB ID:vVbYyJWc

こんばんは。
以前はお世話になりました。

少し使ってみたのですが、タスクマネージャーを確認してみたら、「svchost.exe」と言うのが出てきました。
「svchost.exe」が出ると感染していると言うのを聞いたことがあるのですが、
どうなんでしょうか?

また、感染してるとしたら、どのような対処方法があるのでしょうか?

たびたびすいません。

よろしくお願いいたします・・・
メンテ

Page: 1 | 2 | 全部表示 スレッド一覧 新規スレッド作成

ユーザー名を確認してみました ( No.6 )
日時: 2007/01/10 00:37
名前: BB ID:BCOBJYSU

「svchost.exe」絡みのユーザー名はやはり上記No.2の3種類だけでした。

それから、ピーさんのおっしゃる「ログオン名」とは、ファイルの名前なのでしょうか?
もし、それを実行してしまったら、そのファイル名のまま「ユーザー名」に出て来ると言うことでしょうか?

気になるのは、トレントを使用してから「svchost.exe」が出てくるようになったもので・・・

しかも、DLしてからすぐに切ったので、ファイル自体を実行してないんです。


用語集見てみました。

>>正しいsvchost.exeは、ウィルスチェックに引っかかったりすることはないはずで、ウィルス対策ソフトの不具合ではないはずです。

偽装している「svchost.exe」がちゃんと引っかかれば確かにそうですよね。
逆に偽装を見破れない場合はお手上げなんでしょうね・・・

なので、仮に問題が無い場合でも、これを消すことは出来るんでしょうか?
唯、消していい物かどうかも分からないんですが・・・
メンテ
むやみに消しちゃだめです。 ( No.7 )
日時: 2007/01/10 01:24
名前: ピー ID:GB2eNuJQ

ファイルじゃないですよ。
BBさんがPCに登録した名前(個人名やOwnerなど)です。

私のPCは年末にクリンインスコしましたがsvchost.exeは6コありますよ。
むやみに消しちゃだめです。

心配なら検索していろいろ調べてみてください。
メンテ
分かりました ( No.8 )
日時: 2007/01/10 02:05
名前: BB ID:BCOBJYSU

私は「Owner」で登録してますが、「svchost.exe」でのユーザー名で「個人名やOwner」は有りませんでした。

検索してみてhttp://gigazine.net/index.php?/news/comments/20061009_svchost/
を見つけたので少し調べてみました。

調べた結果、「svchost.exe」の中に有る情報が分かりましたので、幾つか書いてみます。

@ DCOMサービスを起動する機能を提供します。

A エンドポイントマッパーや各種のRPCサービスを提供します

B NetBIOS over TCP/IP(NetBT)サービスとNetBIOS名前解決の為のサポートを有効にします。

C 複数のユーザーが会話型で、リモートコンピューターのデスクトップとアプリケーションの画面とコンピューターに接続できます。AdministratorsのRDを含むリモートデスクトップ、素早いユーザー切り替え、リモートアシスタント、及びターミナルサーバーを支援します。

ピーさんも「svchost.exe」が存在しているんですね。
何か少し安心しました・・・
メンテ
追加です ( No.9 )
日時: 2007/01/10 02:16
名前: BB ID:BCOBJYSU

すいません。変な所で空白が出来てしまいました。

それと、「svchost.exe」情報の全てに「Microsoft Corporation」と言う文字がありました。
メンテ
svchost ( No.10 )
日時: 2007/01/10 02:30
名前: ceem ID:GJ/PNXfs

svchostはOSの各サービスを起動させるための親プロセスです。
ネットワーク関連のサービスもsvchost経由で起動されているため、無闇にプロセスを停止させてはいけません。
svchostとして起動されるサービスのグループは以下のレジストリキーに格納されています。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

また、各svchost.exeで起動中のサービスの一覧はコマンドプロンプトより以下のコマンドで確認できます。

tasklist /fi "imagename eq svchost.exe" /svc

これらの中に怪しげなサービスが含まれている場合は該当サービスのみ停止させてみるとよいでしょう。

まぁ、ぶっちゃけ見ても何のこっちゃ分からんけどね。。。
メンテ
試してみました ( No.11 )
日時: 2007/01/10 19:06
名前: BB ID:zAluY2aQ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
を見ても確かにどれが怪しげなサービスかまったく意味が分かりませんね・・・

http://www.trendmicro.com/jp/security/general/reg_edit3.htm
も見てみましたが、「VIRUS」の文字はありませんでした。

>>各svchost.exeで起動中のサービスの一覧はコマンドプロンプトより以下のコマンドで確認できます。

これは、
@ファイル名を指定して実行
Acmd入力
BDocuments and Settings¥Owner>の後ろに
Ctasklist /fi "imagename eq svchost.exe" /svc入力
Dエンターキー

でやってみたんですけど、
『tasklistは内部コマンドまたは外部コマンド、操作可能なプログラムまたはバッチファイルとして認識されていません』
と出てしまいます。
多分、やり方が間違っているとは思うのですが・・・

念の為、「山田チェッカー」でスキャンしてみましたが、取り敢えず大丈夫でした。
メンテ
ちょっと心配しすぎでは? ( No.12 )
日時: 2007/01/10 23:06
名前: K2◆2LEFd5iAoc ID:7Ph3kIuE

BBさんの不安は良く分かるのですが、何か心配しすぎのような。

Svchost.exeに留意する必要があるのは、
・必ず存在するプロセスであるため、ウィルスの偽装対象になりやすい。
・ネットワークサービスのホストプロセスであるため、通常ファイアーウォール
の検知対象にならず、スパイウェア等が利用しても分かりにくい。
といった点で、

>「svchost.exe」が出ると感染していると言うのを聞いたことがあるのですが、

というのは全くの出鱈目です。

ウィルスチェッカーでチェックして何も出なかったのなら安心しても良いと
思うのですが。もちろん知識を深めて定期的にSvchost.exeから起動されてる
サービスをチェックするのは良いことだと思います。

ちなみにtasklistコマンドはXPでは標準コマンドですが、2000ではtlistという
コマンドをインストールCDから別途入れる必要があります。

というか、BBさん自身が引用しているURLから辿れるProcess Exploreを使った
方が分かりやすいと思いますが。
メンテ
間違えて… ( No.13 )
日時: 2007/02/14 05:26
名前: chiyu ID:gqCpZH5A

トレンドマイクロのウイルススキャンを実行した結果、svchost.exeが引っかかって、動揺して
タスクマネージャーのsvchost.exeを終了させてしまいました。

結果、OSは起動するものの、デスクトップが表示されずに、画面が黒いままマウスカーソルだけが存在する状態になってしまいました。

誰か解決策を教えてください。
メンテ
OSの再インストールがいいのでは? ( No.14 )
日時: 2007/02/14 13:02
名前: きりしま◆.CzKQna1OU ID:sKj5BuSw

間違って停止しただけなら、そのときの動作は変になるでしょうが、
再起動すれば元に戻るはずです。

トレンドマイクロので検出されている、ということは、
ウイルスに感染しているのは間違いないのではないでしょうか?

正しい svchost.exe を復元することができればいいのでしょうが、
Windowsを再インストールするのが手っ取り早いのではないでしょうか?

再インストールしてWindowsが動作するようになったら、
ウイルス対策ソフトで完全スキャンをするといいでしょう。

どちらにしても、BitCometの問題ではないと思いますが…。
メンテ
リカバリーCDを使い、OSを再インストールしました ( No.15 )
日時: 2007/03/05 11:45
名前: chiyu ID:6KKhfqUw

リカバリーCDを使い、OSを再インストールしたおかげで

なんとか、正常に作動する事ができました。

ありがとうございます。
メンテ

Page: 1 | 2 | 全部表示 スレッド一覧 新規スレッド作成