web-dev-qa-db-ja.com

不審なSVchost.

TCPView(SysInternals)を開いたときに、私のシステム内の7つのポートを介して接続された多くのインスタンスが見つかりました。マルウェアのためにそれが可能ですか?ウイルス対策なしでそれを見つける方法。

4
darthvader

これは確かにマルウェアの結果かもしれません。 svchost.exeは、マルウェアプロセスを生成するために一般的に使用されています。場合によっては、SVCHOSTは実際には問題の良いビットにダイビングせずに問題のあるプログラムを見つけることを困難にすることができます。

TCPViewは、どのプロセスがワイヤ間で話しているのかを確認するために便利です。プロセスエクスプローラにはI/O履歴タブがあり、このプロセスにも非常に役立ちます。 FILEMONを使用してどのファイルが開いているかを判断することをお勧めします。マルウェアは多くの場合、ファイルをロックすることによってランタイムの削除/修正を防止しようとします。

PIDは、どのプロセスが他のプロセスを生成したかを判断するのに役立ちます。

一般的に私がこの時点に着くと、私はすでにマルウェアがあると思われると私は問題のあるプログラムを見つけるまで一度に1つずつのプロセスを殺します。プログラムがワイヤー間で話している場合は、正しいプログラムを終了した良い表示が疑わしいネットワークトラフィックの停止になります。いくつかのマルウェアは非常にひどく振る舞うように設計されていますので、これらの場合は見つけるのは難しくありません。すべてのシステムリソースを消費しないプロセスは、インターネットを介して「ホームを呼び出す」ではないプロセスです。

2
Axxmasterr