ようこそ ゲスト さん、新規登録(無料)して気になる疑問を解決しませんか?
はじめての方へヘルプFAQ

質問
質問者:shosin-sha Hidden Data Sending
困り度:
  • すぐに回答を!
 カスペルスキー7.0を使用しています。動画のダウンロード中に、何かが勝手にインストールされたと、警告が出ました。最終的に完全スキャンを高レベルでして、合計4つのTroyan-PSW.Win32.WOW.avm が出てきました。駆除できないらしかったので、削除しました。
ところが、その後システムの復元を実行しようとすると(ウイルス完全削除のつもりでしたのですが、システムの復元がウイルス対策にならないことは、その後掲示板で知りました)、 「プロセスが疑わしい動きをみせています」リスクウェア:Hidden Data Sendingといってきました。よくわからなかったですが、とりあえず選択肢の一番上の「検疫」を選んで、隔離フォルダに移動されたものを見てみると、C\WINDOWS\PCHealth\Binaries\helpctr.exe というものがありました。
なんどシステムの復元をしようとしても、Hidden Data Sending が出てきます。
これはどういうことなのでしょうか、、?
どうしたらいいでしょうか、、、?
質問投稿日時:08/05/07 03:24
質問番号:4003451
この質問に対する回答は締め切られました。

回答

良回答20pt
回答者:kanoetora カスペルスキー7.0のことは知りませんが、私のPCにも
C:\WINDOWS\PCHealthフォルダがありますが\Binaries\helpctr.exeは存在しません。C:\WINDOWS\PCHealthはHPのPCに付属のPCのチェックプログラム用の作業フォルダです。プログラム自体はC:\Program Files\hewlett-Packard\HP Health Checkフォルダ以下にあります。
私はHealth CheckをHPのサイトよりアップデートしたので、もとのものがどうのようなフォルダ構成になっていたか記憶していないのでわかりませんが、もしかしたらそれかもしれないと思って書いてみました。間違っていたら、ご容赦を。私のスタートアップ項目の一覧の中にはレジストリのRUNキーに登録されているものの一つとしてHP Health Check Schedulerがあり、月に1度くらいヘルスチェックの画面が開きます。ちゃんとしたHPのプログラムですよ。カスペルスキー7.0が御認識しているということはありませんか?フォルダ名に記憶がありましたので投稿してみました。
種類:アドバイス
どんな人:経験者
自信:参考意見
回答日時:08/05/07 08:45
回答番号:No.1
この回答への補足ご回答ありがとうございます。

最初に、ウイルス名を間違えて書いていたので、訂正いたします。
Troyan-PSW.Win32.WOW.avm ではなく、
Trojan-PSW.Win32.WOW.avm です。(yではなく、jでした)
すみませんでした。

このパソコンには、HPのプリンタドライバがインストールされています。helpctr.exeもネットで検索したところ、マイクロソフトのプログラムらしいことが分りました。C\WINDOWS\PCHealth\Binaries\helpctr.exeは、ご指摘いただいたとおり、HPのちゃんとしたプログラムみたいです。どうもありがとうございました。

C\WINDOWS\PCHealth\Binaries\helpctr.exeというプログラム自体は怪しいものではないが、別のウイルスプログラムによって、それを利用しようとする動作がなされているようです。というのも、「プロセスが疑わしい動作をみせています」の横にある、「詳細」を開いてみると、以下の情報が出ました。

プロセス: C\WINDOWS\PCHealth\Binaries\helpctr.exe (PID****)が信頼されたアプリケーションを使用してデータ送信を試みています。

宛先アドレス:
hcp://system/panels/Topics.htm

データ:
****

暗号化データ:
path=TopLevelBucket_
4/Performance_and_maintenance/Using_System_Restore_to_undo_changes

また、今発見しましたが、もう一つのリスクウェアが、ログに入っていました。Hidden Installというやつで、 C¥Program Files¥Real¥RealOne Player¥realplay.exeです。 最初に動画のダウンロード中にこれを通じてウイルスがインストールされたようです。。
この回答へのお礼この回答にお礼をつける(質問者のみ)
このページのトップへ