トロイの木馬?

数日前から、パソコンを使用中に突然「16 ビット MS-DOS サブシステム エラー」の表示ががポップアップウィンドウに出るようになった。 特に小刻みに出るわけでもなく、一日に1度か2度程度です。
最初は何かのアプリケーションエラーかな? と思いあまり気にしなかったが、2度目からは「今時MS-DOSエラー」とは少しおかしいなと思い、まずセキュリティソフトでのスキャンをかけてみたが、何も発見されずに終了した。 まっ、通常ならこれで一安心と云うところだが、その矢先にまたエラーが発生・・・ 今度は、別のソフトでスキャンするがまたまた何事も無く終了  結局4種類ほどのソフトでスキャンするが、どれでも発見出来なかった。

そこで、自力で探る事に・・・
エラーメッセージでは「C:\WINDOWS\Sysvxd.exe」で発生しているようなので、そのキーワードで検索するが、その殆どが英字のページで、細かい所がよく分からない
そのうちに英字ながら、非常によく似た事例のページを発見し、次のような事が判った。

■判明したこと・・・
 これは「トロイの木馬」ではないか?
 C:\DocumentsとSettings\ユーザ名\Local Settings\Temp\ubiA0.tmp.exe ←これが大元かと思います。
 
C:\WINDOWS\Sysvxd.exe ←これを削除する

■取り敢えずの処置
 C:\DocumentsとSettings\ユーザ名\Local Settings\Temp\の中を覗いて見たら、怪しいEXEファイルがありましたので、「Temp」の中を全て消しました。
  ※この時うっかり「怪しいEXEファイル」のファイル名をメモせずに消してしまいました。(恐らく、名前はその都度異なると思うのであまりここでは意味が無いかも知れませんが・・・)
 
C:\WINDOWS\Sysvxd.exe を削除してみた。

■しかし、数時間後に再び「16 ビット MS-DOS サブシステム エラー」が発生
 
C:\WINDOWS\ 内を覗くと見事に「Sysvxd.exe」が復活していました。 この事により「Sysvxd.exe」はほぼ間違い無くスパイウェアだと確信し、さらなる対策を討つことにした。

■主な対策・・・
 C:\WINDOWS\Sysvxd.exe」が復活したと言う事は、これとは別に何処かに、スクリプトが常駐していて、そのスクリプトが「Sysvxd.exe」を生成してるはずと考え、まず「タスクマネージャー」を見てみると怪しいものを発見、それは「svchost」です、通常「svchost」複数存在しますが、普通「ユーザ名」が「SYSTEM」か「LOCAL SERVICE」であるはずが一つだけ「ユーザ名」で立ち上がっています。
 長年の感から「svchost」の常駐がおかしいと考え、その常駐元を調査してみた、そこでいろいろ調べて見るとどうやら「C:\WINDOWS\system32\drivers\svchost.exe 」が「不正なsvchost」を常駐させているらしく、この「「C:\WINDOWS\system32\drivers\svchost.exe 」は意外に簡単に削除ができました。
 そこで念の為に、「C:\WINDOWS\system32\drivers\svchost.exe 」サービスを起動しているところも起動しないように手を打つことに・・・
 「ファイル名を指定して実行」のところに「msconfig」と入力しシステム構成ユーティリティを開いて「スタートアップ」タブで確認すると、そこにありました確かに「C:\WINDOWS\system32\drivers\svchost.exe 」とあります。 早速チェックを外してサービスのスタートを防止しました
 最後に、セキュリティソフトで「C:\WINDOWS\system32\drivers\svchost.exe 」からのアクセスを拒否するように設定。

スパイウェアはウィルスと異なり、その判断が難しいく通常のセキュリティーソフトでは、発見駆除が難しいようです、セキュリティーソフトを過信せずに、ご自分のPCがいつもと違うなと思ったら「スパイウェア」を疑って下さい。(今回のsvchost.exe もスパイウェアかどうかは未だに明確ではありませんが・・・

技術の倉庫での問い合わせ
お名前:
Valid お名前:を入力してください。
メールアドレス:
Valid メールアドレス:を入力してください。 メールアドレスが不正です。
問い合わせ内容:
Valid 問い合わせ内容:が入力されていません。
画像認証コード
上の画像で表示されている数字を入力してください。
Valid 上記認証コードを入力してください。