JustAnswer のしくみ:
  • 専門家に質問
    知識豊富な専門家があらゆる質問にお答えするために常に待機しています。
  • 専門家が丁寧に対応
    E メールやサイト内オンラインメッセージなど、さまざまな手段で回答を通知。必要に応じてフォローアップの質問をすることもできます。
  • 満足度 100% 保証
    専門家からの回答を確認し評価をすることで、支払うかどうかを決めます。
pcnakadoに今すぐ質問する
pcnakado
pcnakado, システムエンジニア
カテゴリ: オペレーティングシステム
満足したユーザー: 1070
経験:  パソコンの病院なかど 院長
97084900
ここに オペレーティングシステム に関する質問を入力してください。
pcnakadoがオンラインで質問受付中

お世話になります。 ・「COM

質問者の質問

お世話になります。
・「COM Surrogate」というウイルスにWindows10Pro64bitAnniversaryUpdateの4台のPCがかかってネットの速度やPCの挙動がおかしなったので、ネットにつながずに新規でWindows10をインストールしてもすぐに同様のおかしな状態になってしまいます。JCOM 1GBに加入してるのでONUとホームゲートウェイやネット機器の電源をすべて切って「0」FULLで消去したHDDを使って新規でWindows10をインストールしても同じ症状になってしまいます。
うちからどうやって「COM Surrogate」を断ち切ればよいでしょうか?
プロバイダ変更、新品のPC購入のみで済むのか知りたいです。
口座開設用にアップロードした免許証などの個人情報もGoogleドライブなどクラウドにあったので流出していた場合も怖いです。
経緯:
数日間家を留守にして帰宅した3/16にうちのWindows10Pro64bitAnniversaryUpdate1607のパソコン3台が、ネットの速度やパソコン自体の動きが極端に遅くなってしまったり、Wi-Fi関係をいじると「あと5分後に
サインアウトします」と表示されて、さらにネットワークアダプタ設定を見ようと
クリックしたら「あと2分後にサインアウトします」と通常の動きではなく、
ファイルを消そうとすると「アクセス権が足りません」と出たり挙動がおかしいです。
無線LANと有線LANの設定が変更もできなくなっています。
システム復元のバックアップデータが全て消去されて留守にする前の状態に戻せなくなっていました。
タスクマネージャにたくさん「COM Surrogate」という見慣れないのが起動していて調べたらシステム
改ざんやデータ流出させるウイルスのようなんですね。
システム改ざんがひどい思ったので思い切ってHDD交換後ネットワークにつながずにWindows10pro64bitCreatorsUpdateを新規インストールした直後に「COM Surrogate」が
元Windows10Pro64bitだったほかのパソコンでもHDD交換後Windows8pro64bitをインストールした直後にすでに「COM Surrogate」が二つみえました。
うちのネットのホームゲートウェイのIPが狙われてるのかな?と思ってHDD交換後新規でWindows10Pro64bitAniversaryUpdateをインストールしてモバイルWi-Fiでインターネットにつないで「TCP Monitor Plus」でIP、通信のログをみていたら、
なにも操作してないのにすごい勢いで「10.9.0.1」「13.94.45.27」などなんのIPがわからないところと通信してました。
Googleからの通知で「(覚えのない端末名・ipで)不正と思われるログインがありました。」と通知がありました。そのあともいつもこのipの表示があります。
ウイルスでアカウントやメールのパスワードも流出したのかもしれません。
運転免許証などの個人情報もクラウドにもアップロードしてあったので個人情報流出の
悪用があったら怖いです。
ある一台はBIOSの表示も変わっていて光学ドライブのブートやUSBブートができなくなって新規でOSのインストールもできなくなっています。
対策教えてく下さい。よろしくお願いいたします。
投稿: 6 ヶ月 前.
カテゴリ: オペレーティングシステム
専門家:  dueprocess 返答済み 6 ヶ月 前.

ご質問ありがとうございます。

ITエンジニアです。

よろしくお願いいたします。

回答の前に確認させてください。

・新規でWindows10をインストールした状態のバージョンを教えてください。

Windowsキー+Rキーを同時に押し、開いた小窓に、

winver

と入力してエンターを押し、表示された

「バージョン」情報を教えてさい。

例:1703

まずやご返信お待ちしております。

質問者: 返答済み 6 ヶ月 前.
dueprocess様ご返信ありがとうございます。新規インストールは1607AnniversaryUpdateと1703CreatorsUpdateの両方で試しましたが、結果は同じです。
これはMicrosoftのMediacreationToolでisoをダウンロードしてDVDにしたものを使用しました。
よろしくお願いいたします。
質問者: 返答済み 6 ヶ月 前.
12381;れと明らかにシステム改ざんや挙動がおかしいのにウイルスバスターなどの市販のセキュリティーソフトでは検出されてないんのが
気になります。
専門家:  dueprocess 返答済み 6 ヶ月 前.

ご返信ありがとうございます。

インターネットに接続していない完全なスタンドアローン環境でリカバリを行ったのであれば、ウイルス感染は考えづらいです。

ですので、ウイルスバスターで何も検出されないのだと思います。

ちなみにCom Surrogateはウイルスではないと思われます。

https://answers.microsoft.com/ja-jp/windows/forum/windows_10-files/windows-10-com-surrogate/7b8d3de2-2e6f-4132-a276-4b4ee6ed46ac

事象が事象だけに的確な回答は難しいかもしれませんが、

リカバリ後も常に再現されてしまう事象をできるだけ詳しく教えてください。

質問者: 返答済み 6 ヶ月 前.
12372;返信ありがとうございます。「COM Surrogate」自体はWindowsの標準サービスですね。2か月半調べてなんとなくわかってはいました。
この「COM Surrogate」の機能を利用してシステム改ざんとデータの流出(トロイ系と同様)を行えるのをネットでうちと同じ症状が
あるのを知りました。今その「COM Surrogate」のウイルス症状の記載あるサイトを開こうとするとこちらのネットが切断され、
開けず、モバイルルータのクレードルから有線でネットにつないでいたのですが「インターネットに接続されていません」との表示で
インターネットから、以前と同じように切れてしまいました。
「COM Surrogate」がWindowsの標準サービスの「Windows\system32\dllhost.exe」を使っているのもタスクマネージャの「COM Surrogate」を右クリックして「ファイルの場所を見る」で確認しています。リカバリ時の状態ですが、
1.ONUやホームゲートウェイ、有線無線問わずネット関連全部電源切った状態で、新規インストール開始。
2.症状のあったPCで使っていたHDDをデータ消去装置で完全削除(「0フィル」と「ランダムでのフィル」)をそれぞれしたものを
3.はじめ1607で新規クリーンインストールもクリーンインストール直後にはタスクマネージャで「COM Surrogate」の表示があったが
   見ていると数秒で自動的に表示が消えた。うちは固定IPとのプロバイダからの情報で狙われやすいとのことで、
   ウイルスバスターをインストール後、モバイルWi-FiルーターでネットにつなげWindowsUpdateの更新などすると
   みるみるWi-Fiアダプタの有効無効の変更が「アクセス権が足りない」と表示されて効かなくなったり、InternetExplorer11や
   Edgeで検索した「COM Surrogate」関連記載のサイトが開かなくなったり、挙動がかなりおかしくなっていった。
   通信をモニタするとすごい早さでMicrooftと関連あるのかわからないIP(そのときは「10.9.0.*」「10.9.6.*」)などと通信していた。
   今日の先ほどの通信ログを添付jpgでお伝えしておきます。
4.試しに1703でクリーンインストールする同様。
5.データ消去機器で消したHDDと感染歴あるPCに市販のWindows8をインストールしたところはじめから「COM Surrogate」の
   表示はタスクマネージャにありました。ここからは想像ですが、一台はBIOSまで書き換えられいるのと、アクセス権の奪取をされているのを確認しているので、
HDD消去機器では消去できない領域やBIOSに自動実行するウイルスファイルを入れられて自動でクリーンインストールでも同じに
なってしまうのでしょうか。またモバイルルータのipや固有の識別情報(があれば)それが送信されていつも同じ状態になってしまうのかな
とも思えます。
それとそもそも感染していたPCでWindows10のDVDメディアを作成していて、クリーンインストールした段階で既に感染しているのも
考えられるでしょうか?・新品HDDと感染歴のあるPCの組み合わせ
・全く新品PCとまだ使ってないモバイルルーターを開通させて試す。
・感染していたと思われるPCで作成したWindows10メディアは使用しない。
質問者: 返答済み 6 ヶ月 前.
65288;すみません。途中で送信してしまいました。)
などを試していきます。それと早急に流出したと思われる運転免許やパスポートなどの個人情報が悪用された場合を相当して被害届を提出しておいて大丈夫でしょうか?
質問者: 返答済み 6 ヶ月 前.
20808;日はモバイルルーターのファイアウォールも書き換えられました。
このウイルスはシステムを改ざんして、こちらで直そうとすると、すぐにその対策がロボット的に瞬時にされるので、
ウイルス自体の削除方法がわかればいいのですが、うちのPCやルータやネット環境に関する情報が把握されていたら、
全部買い替えでプロバイダも加入しなおししないとですよね?グローバルIPが固定しないでセキュリティーに強いインターネットプロバイダなどありましたら、ぜひ教えてください。
ipv6が利用できるプロバイダは良いと書いてあるのもみたことありますが、どんな利点があるのでしょうか?
質問者: 返答済み 6 ヶ月 前.
28966;燥感から矢継ぎ早に質問してすみませんでした。現段階では、完全なスタンドアローン状態でのクリーンインストールでも、モバイルルータや固定のインターネット設備にかかわらず、
ネットにつないだ瞬間に重くなったり、ネット関連の操作ができなくなるなど、システム改ざんが見られます。
先ほどの添付jpgのipのログにありますように、PCの通信がすごいで速さで
「a104-102-24-128.deploy.static.akamaitechnologies.com」というところと通信してるんですが、
このアドレスはどんなところで何を通信しているのでしょうか?ご返信よろしくお願いいたします。
専門家:  dueprocess 返答済み 6 ヶ月 前.

ご返信ありがとうございます。

ご相談者様の状況をお伺いして検討致しましたが、ご期待に沿える回答ができそうにありませんので、

大変申し訳ございませんが、回答を辞退させていただきます。

他の専門家にも通知はされますので、引き続き回答をお待ち頂くか、

ご契約のプロバイダの訪問サポートなどをご利用もご検討ください。

なお、ご質問をキャンセルして返金をリクエストするには下記をご参考ください。

http://ww2.justanswer.jp/ja/help/how-can-i-request-refund

それではよろしくお願い致します。

質問者: 返答済み 6 ヶ月 前.
12372;返信ありがとうございました。
専門家でも難しい案件と思えましたので、
一つ一つ問題を分けて考えていきたいと
存じます。引き続きご回答頂けるご回答者をお待ちします。・ウイルス削除方法
・上記deploy.akamaitechnologiesという
アドレスはなんなのか?
・この様なバックドアを開けたり感染力の強いマルウェアに強いセキュリティーソフト(方法)
・お勧めのセキュリティーに強いインターネットサービスプロバイダやサービスの紹介
だけでもお伺いさせて頂ければと存じます。
質問者: 返答済み 6 ヶ月 前.
20309;卒宜しくお願い致します。
専門家:  pcnakado 返答済み 6 ヶ月 前.

前任者のオプトアウトに伴い、この度のご質問に対応させていただきます。pcnakado(中土)でございます。
質問の内容を確認させていただきました。

「deploy.static.akamaitechnologies.com」という場所に頻繁にアクセスされていることを不審に思われていられるようですが、これ自体は、まったく怪しい内容の物ではございません。WindowsUpdateに関連する通信を行っているものですので、この通信をブロックしたりしてはいけません。
当然ですが、このサイトとウイルスとは因果関係はございません。

詳細に関しては、下記のサイトを参考になさってください。詳しく説明されています。

https://itlife.oshiete.goo.ne.jp/archive/qa/view/a68fee850c8ef5c6d565f5778e310c3b

http://nuneno.cocolog-nifty.com/blog/2013/09/post-3151.html

https://www.lancork.net/2014/08/akamai-unknown-internet-giants/

上記の説明でもわかる通り、モバイルルーターのファイヤーウォールとの因果関係はありませんので、全くの別物と考えられたほうがいいでしょう。

当然クリーンインストールの状態でウイルス感染しているわけではありませんので、OSのインストールが終わった時点で、セキュリティソフトを導入し、バックアップされているデータのウイルススキャンを行って検出されなければ、ウイルス感染はないものと考えて大丈夫でしょう。

別の質問者様への対応や、土日祝日も本業を行っており外出している場合も多く、お問い合わせに対する確認にも時間を要することもあります。可能な限りお待たせすることがないようにはしておりますが、返信にお時間をいただくことがございますので、何とぞご理解いただきますようお願い申し上げます。
また、質問が完了いたしましたら評価の登録をお願いいたします。
故障などのように、質問のやり取りで解決できないものが評価の対象とはならず、回答に対する的確さを基準にご登録ください。

質問者: 返答済み 6 ヶ月 前.
Customer#27096;ご返信ありがとうございます。
上記akamai関連のホスト名については了解しまして安心致しました。
「northeast-1.compute.internal」というドメインも表示があるのですが
不安に思う必要はないでしょうか?検索してもみつけられません。。それと現在Windows10Home64bit1703を使用してますが、
「設定」>「バージョン情報」の「関連設定」内
・「その他の管理ツール」
・「デバイスマネージャ」
・「システム情報」
などクリックしても開かない状態です。この修復はどうそればよいのでしょうか?システム関連の設定が画面左下のスタートボタン右クリックして表示される
・「デバイスマネージャ」もクリックしても開かず
・「システム」はクリックして表示される「バージョン情報」内「関連設定」が上記と同じく開かずです。
「Bitlockerの設定」は現在Homeなのでストアが開いてPro版へのアップグレードが
勧められるページが開きます。「コントロール パネル\システムとセキュリティ\システム」の左欄の
「システムの保護」や「システムの詳細」は開き「復元ポイントの作成や構成」は
設定できます。それと「ユーザーアカウント制御設定の変更」もクリックしても開かず
重要なシステム設定関連が操作できないようになっていて、他の重篤な感染状態のPCに比べると
ネットのアダプタの操作などできてまだましですが、システム関連が機能しない点で傾向が
似ています。
コマンドプロンプトからは「デバイスマネージャ」も開くのでなにかおかしな点があるのでしょうか?
現在プロセス上に「COM Surrogate(32ビット)」が大量にあり、通常と違うような気がします。
念のため現在のプロセスのスナップショットを添付させていただきます。ご参考にして下さい。なんとかこの「COM Surrogate」のウイルスのような挙動を止めたいです。
お知恵をお貸しいただけると幸いです。何卒よろしくお願いいたします。
専門家:  pcnakado 返答済み 6 ヶ月 前.

ap-northeast-1.compute.internal だと思いますが、こちらも全く気にする必要はありません。
詳しく説明はできませんが、DNSの設定などの項目でよく見受けられる内容です。

以下の内容に関しては、パソコンの挙動に対する内容となりますので、現時点では回答の仕様がございません。

質問を上げられる際には、状況確認のため、OSとパソコンの機種型番は、セットで必ずご記載いただきますようにお願いいたします。

また、クリーンインストールされている応対ですので、インストール直後からの状態であるのか、デバイスドライバーやアップリケーションなど、何をインストールしたタイミングからこのようになるのかなど、具体的に業況をご記載ください。

動作が遅くなっているのは、「COM Surrogate」が多数起動することで不必要にメモリを消費している可能性がありますが、どのタイミングからが明確に分かれば、トリガーになるものが分かる可能性がありますので、改善方法を見つけられる可能性があります。

また、「com surrogate」のプロセスは、本来常時起動しているものではなく、作業が終われば自動的に終了するプロセスです。
待てば修了しているのか、異常を起こして修了できなくなっているのかによっても状況が違います。
起動直後はどんな機種でも多数のプロセスが同時進行で動作しますので、動作が遅くなること自体はまったく異常ではありません。クリーンインストールされておられますので適正なデバイスドライバーがインストールされていないことで、パソコンそのものが本来のパフォーマンスを発揮できていない可能性もあります。

それ以前に、パソコン自体がWindows10をサポートしていないということも考えられなくはありません。

まずは、パソコンに関する情報をご提供ください。

質問者: 返答済み 6 ヶ月 前.
12372;返信ありがとうございます。
OS:MediacreationToolでDVD作成したWindows10Home64bit1703CreatorsUpdateで新規インストール
機種:LenovoG50-80(元々Windows10Home64bitでした)
HDDは「0」で完全データ消去したものを使用。メモリ:8GB、Pagefile:推奨の2GBに設定。
現在デバイスマネージャで足りないドライバはありません。
インストールしたアプリ:ウイルスバスタークラウド、通信ログ取得アプリ、PDF閲覧アプリ。
今プロセスを開くと3個の「COM Surrogate」が表示されたあと数秒で1個になり、DVDにデータを書き込んでいる最中に3個になりました。
もうしばらく切り分けのために観察してみます。
少々お時間頂けると助かります。
宜しくお願い致します。
専門家:  pcnakado 返答済み 6 ヶ月 前.

デバイスドライバーは足りないものが無いという内容で確認するのではなく、適正なものがきちんとインストールされているかが重要です。

OS標準ドライバーがインストールされている場合には、汎用ドライバーとなっていることがあり、正常に動作はしても、本来のパフォーマンスを発揮できない場合があります。
メーカーによっては、初期インストール状態から、デバイスドライバーが更新されていなければ、ダウンロードできない場合も非常に多いため、場合によっては、購入初期のOSに一度戻したうえで、デバイスドライバーを抜き取っておかなければならない場合があります。

適正なデバイスドライバーが用意さえているかをメーカーサイトで確認されたほうがいいでしょう。

本来メーカーで検証されるのは、あくまでもアップデートです。初期インストールされている環境から、CreatersUpdateへアップデートする方法が標準的な方法とお考え下さい。工場出荷の環境から、アップデートを行うことで改善される可能性は否定できません。

イレギュラーな方法で組み込まれているOS環境では、現在の状態が正しい環境であるかどうかの確認ができません。

きちんとした原因の切り分けを行われるのであれば、工場出荷時の状態で、症状が発生しているのかを確認し、どの時点で現象が発生するのかをきちんと確認することを行ってください。

質問者: 返答済み 6 ヶ月 前.
12372;返信ありがとうございます。
了解致しました。現在のドライバが汎用のものがないか確認してドライバの入手ができない場合は、リカバリメディアをDVDで作成した記憶がありますので一旦工場出荷状態にしてみます。
その状態からセキュリティーソフトインストール、WindowsUpdateと一つずつ検証しながらみてみます。
また後程結果ご連絡させて頂きます。
専門家:  pcnakado 返答済み 6 ヶ月 前.

一度にまとめて実施されず、ひとつづつ検証してみられたほうがいいでしょう。

何らかの進展があれば、ご連絡ください。

質問者: 返答済み 6 ヶ月 前.
Customer#27096;ご返信ありがとうございます。今購入時作成のリカバリディスクでリカバリまで進みました。
今出先なので戻ったらリカバリ直後の状況で「COM Surrogate」がプロセスにあるかネットワークアダプタのアクセス権変えられてないか確認します。ネット接続はその後にしてみます。
専門家:  pcnakado 返答済み 6 ヶ月 前.

COM Surrogateがプロセスに表示されること自体は異常ではありません。

多数表示されたうえで、消えないことが問題であると認識しておいてください。

質問者: 返答済み 6 ヶ月 前.
20102;解致しました。
確認してご連絡させて頂きます。
専門家:  pcnakado 返答済み 6 ヶ月 前.

本日も本業のため、回答にお時間を要することがございますが、ご容赦ください。

いずれにしましても、後は、ひとつづつ症状の発生のトリガーを見つけていただく以外にはなかろうかと思います。

仮にCreatorsUpdateがトリガーとなるのであれば、対応でききれていないソフトやデバイスドライバーがあるということにもなりますので、必ずしも改善できるというものではないとことも、念頭に置いてお考えになられたほうがいい場合もあるでしょう。

専門家:  pcnakado 返答済み 6 ヶ月 前.

その後、返信がございませんが、質問は解決されましたでしょうか。
質問の有効期限は7日間となっております。
未解決であれば、返信をいただければ引き続き対処させていただきますので、現在の状況をお知らせください。
JustAnswerは無料のサイトではございません。質問をご投稿いただいた時点で、料金が発生しております。
質問を放置されず、専門家とのやり取りを継続していただくことで、問題の解決につながるものと考えておりますので、ご連絡をお待ちしております。
問題が解決されたもしくは、質問を継続される意思がないのであれば、評価の登録もしくは、質問の閉鎖まで行っていただきますようお願いいたします。

オペレーティングシステム についての関連する質問