- ベストアンサー
カスペルスキーがわかりません
昨日カスペルスキーのお試し版を入れましたが、今日PC起動したときに 「プロセスはシステムサービスへアクセスするために削除を得ようをしています。 レジストリアクセス HKEY_LOCAL_MACHINE/SYSTEM/CO......./rpcetp プロセスを実行します(PID:764) C://windows/system32/Services.exe」 というのが出てきましたがよくわからなかったので一度電源おとして再び起動したら出てきませんでした。 詳細をクリックしてみたら何かがレジストリにアクセス(改ざん?)しようとしていたみたいです。 これはウイルス?それとも必要なアクセス? (ちなみに昨日PC全体をスキャンした時は何もでてきませんでしたが、そのあと友人からの写真付きメールをWEB上で開けました。) どう処理すればよいのかわかりません。 また今後似たようなのがでてきても許可していいのか判断の仕方がわかりません。 どなたか詳しい方教えていただけませんか?
- wbpanda
- お礼率100% (37/37)
- ウィルス・マルウェア
- 回答数6
- ありがとう数6
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
だったら、これしかない! システムリカバリ → カスペルスキーのインストール。 こんなことを要求するセキュリティソフトはちょっと問題だなぁと思いますねぇ。私ならレジストリ編集ツールを使いますが、質問者さんにはちょっと大変でしょ? 時間ももったいないしね。これでも解決しないなら、別の質問を立ててください。成功を祈ります。
その他の回答 (5)
2つの周辺情報が見つかりました。 1.LANケーブルを抜くと再起動する件 外部からPCをリモートコントロールさせるサービスが機能していると、このような症状が出るとのことです。rpcnet.exeというソフト(詳細不明)が見つかるのなら、このソフトがいたずらしている可能性が高く、windows本来のサービスではないから停止してかまわない。rpcnet.exe自体は悪質ではないようですが、他のマルウエアが化けていることがある。 (XPでは)マイコンピュータの管理を開いてサービスをダブルクリック。右側から、remoteで始まるサービス名を見つけてください。その中に「Remote Procedure Call (RPC) Net」が見つかれば、その名前の上で右クリックしてプロパティを選んで、「サービスの状態」で停止を指定して下さい。停止したら、「スタートアップの種類」で無効を指定してください。 掲示板で近頃よく見るマルウエアに、既成のネットワーク・ドライバ(エンジン)を悪用した新種があります。System32に正規のドライバ・プログラムをマルウエアがインストールし、正規のネットワーク・ドライバを介して感染していくというものです。インストールされるドライバ自体は正規のプログラムですから、判断が難しい。その対抗策としてヒューリスティック・モードが必要になる、らしいです。 2.ウイルスバスターの完全削除に失敗すると、カスペルスキーが変な症状を出すことがある。完全削除についてはいかがでしょうか。私見ですが、カスペルスキーのインストール・アンインストールは結構神経質ですよ。 以上、御参考までに。何かのヒントになればいいですね。
お礼
またお礼が遅くなってすいません。。。すっごく詳しく説明くださってありがとうございます!!! 今日セーフモードで起動してPC完全スキャンしたけど何も検出できませんでした。 教えて頂いたRPCnetを検索してみましたが見つけられません。。。 ウイルスバスターのアンインストールはカスペルスキーを入れた後に削除しようと思っていたら、カスぺのインストール中にウイルスバスターのアンインストールを促されたのでその時しました。 その他に自分でインストールしたのはFIREFOXだけです。 リモートコントロールされている可能性あるのですか・・・? 無線LANも使わないしファイアーウォールも高めで使って使っていたつもりなのに・・・ ちなみにオンラインゲームとかもしません。。
rpcnetpについてですが、 rpcnetp.exeというプログラムがC:\Windows\System32に見つかりませんか。Windows XP上のファイルサイズは17408バイトか16896バイト。rpcnetp.exeは Windowsのフォルダに置かれますが、正規のファイルではないので削除してかまいません。rpcnetp.exeは他のプログラムを操作するので大変危険です。rpcnetp.exeを見つけて削除してください。見つからなければ、補足してください。
お礼
お礼が遅くなってすいません。 OSはVISTAです。ファイルを探して削除してみます。 リカバリーにアクセスしようとする警告はとりあえずぜんぶ拒否しましたけど、今朝からLANケーブルを抜くとPCが黒い画面になって電源が落ちて再起動するというへんな現象がおきています。 (先週買ったばかりのパソコンでデータも移動してないし危険なサイトもいってないのに何故にウイルス入りこんだのだろう・・・?写真付きのメールかしら?)
補足
今C:\Windows\System32を開けて探してみたけど見つかりませんでした。 明日PC全体ウイルススキャンしてみます。
- wamos101
- ベストアンサー率25% (221/852)
#1です。 Process Explorerはこちら http://cowscorpion.com/Process/ProExp.html
お礼
ありがとうございます!!!
- wamos101
- ベストアンサー率25% (221/852)
#1です。 Malwareの可能性が高いと見ました。 ダイアログで許可を与えないで下さい!!!! WinSock2というのは、WinにおけるTCP/IPのAPIです。これのフックによるパラメータ変更ですのでやはり非常に怪しいと判断します。 なお、プロセスを調べるにはProcess Explorerが便利です。
お礼
ありがとうございます!! どうしていいのかわからなくて途方にくれていたのでたすかりました!!! あの後も似たような警告がいろいろでてきてわからないのでとりあえず拒否にしておきました。 1週間前に新しいPCを購入したばかりで昨日ウイルスバスターからカスペルスキーに変えたばかりなので、まだウイルスは入ってないだろうと思っていたので必要なアクセスなのか迷っていました。 もひとつ無知で申し訳ないのですが、プロセスエクスプローラーとは ふつうPCに入ってますか?どのように調べたらいいのでしょうか?
- wamos101
- ベストアンサー率25% (221/852)
当方はここのサイトでカスペルスキーを推奨している者です。 HKEY_LOCAL_MACHINE/SYSTEM/CO......./rpcetp ←これは合ってます? とりあえずプロセスIDがわかってるんだから、何のプロセスか把握してからでしょうね。
お礼
ありがとうございます。 rpcnetpの間違いでした・・・(でも一度紙に書き写したので他にも写し間違いあるかも。。) 恥ずかしながら、PCよくわからないので何のプロセスかもわかりません。。。
補足
一度スリープにして起動したらまた別のプロアクティブディフェンスがでてきました プロセスはウインドウズスタートアップ時に実行されるモジュールリストへアクセスするために、削除を得ようとしています。 レジストリアクセス HKEY_LOCAL_MACHINE_SYST...../00000000001 プロセスを実行します(PID:1236): C://Windows/system32/svchost.exe 詳細 ウィンドウズスタートアップ時に実行されるモジュールリストのレジストリの削除値を横取りしようとしています。 キー: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 値: データ(値のタイプがありません): これは許可してもいいのでしょうか?(無知ですみません)
関連するQ&A
- INSTB32.SYS てウイルス?
カスペルスキーのお試し版を入れてからプロアクティブディフェンスに「レジストリの削除値を横取りしようとしています」と何度も警告がでます。 最初はこれ↓ レジストリアクセス HKEY_LOCAL_MACHINE/SYSTEM/CO......./rpcnetp プロセスを実行します(PID:764) C://windows/system32/Services.exe 次は レジストリアクセス HKEY_LOCAL_MACHINE_SYST...../00000000001 プロセスを実行します(PID:1236): C://Windows/system32/svchost.exe 詳細 ウィンドウズスタートアップ時に実行されるモジュールリストのレジストリの削除値を横取りしようとしています。 キー: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 また次は キー HKEY_LOCAL_MACHINE/SYSTEM/Controlset001/Services/INSTB32 データ /??/c://WINDOWS/TEMP/INSTB32.SYS セーフモードでウイルス検査しても何もひっかりませんでした。 ネットでINSTB32.SYSで検索してみたらカスペルスキーの英語版のサイトがヒットして翻訳して読んでみましたら症状がまったく一緒なのですが、結局これが新種の未知のウイルスなのか問題ないのか肝心なとこが理解できません。 どなたか教えてください!!! 英語の原文サイト↓ http://forum.kaspersky.com/index.php?showtopic=56856 yahoo翻訳済↓ http://honyaku.yahoofs.jp/url_result?ctw_=sT,eCR-EJ,bT,hT,uaHR0cDovL2ZvcnVtLmthc3BlcnNreS5jb20vaW5kZXgucGhwP3Nob3d0b3BpYz01Njg1Ng==,qlang=ja|for=0|sp=-5|fs=100%|fb=0|fi=0|fc=FF0000|db=T|eid=CR-EJ,k62da9145eabe7bd620f123fd58776897,t20080707003212,
- ベストアンサー
- ウィルス・マルウェア
- レジストリの値について
最近、PCを起動したらNortonのプロセスの ccApp.exeがうまくあがらないので、 レジストリエディタを見てみたらHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 配下にServicesという名称で、 C:\WINNT\system32\1.tmpへパスをはっているものがあります。 これって必要なものなのでしょうか? 現在system32配下には1.tmpは見えないのですが。 ちなみにウィルススキャンしてもなにもでてきません。 OSはwindows2000SP4、 ウィルスソフトはNortonAntiVirus2006です。
- ベストアンサー
- ウィルス・マルウェア
- msiserverがない
Windowsのインストーラーサービスにアクセスできないとエラーが出るので、色々とこちらで調べていたんですが、自分のPCのサービスに"Windows Installer"がなかったり、レジストリに"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer"がなく、対処に困っています。 何か良い方法はないでしょうか。 OSはWindows2000proです。
- 締切済み
- Windows NT・2000
- Trojan.Blusodによって壊された部分を修復するには?
Trojan.Blusodによって壊れてしまった部分を修復したいのですが。 下記の方法を教えてください。 必要な場合は、次のレジストリエントリを以前の値へ復元します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier\"InstallationID" = "[ランダムな CLSID]" HKEY_CURRENT_USER\Control Panel\Desktop\"ConvertedWallpaper" = "%System%\ph[ランダムな文字].bmp" HKEY_CURRENT_USER\Control Panel\Desktop\"SCRNSAVE.EXE" = "%System%\blph[ランダムな文字].scr" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispBackgroundPage" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispScrSavPage" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableSR" = "0" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\"Start" = "0" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\"ImagePath" = "*system32\DRIVERS\sr.sys*" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\Parameters\"FirstRun" = "0" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\"Start" = "0" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\"ImagePath" = "*system32\DRIVERS\sr.sys*" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters\"FirstRun" = "0" HKEY_CURRENT_USER\Control Panel\Colors\"Background" = "0 0 255" HKEY_CURRENT_USER\Control Panel\Desktop\"ScreenSaveActive" = "1" HKEY_CURRENT_USER\Control Panel\Desktop\"TileWallpaper" = "0" 症状としてはトロイが入ったためにまずシステムの復元ができなくなりその後壁紙の変更ができず壁紙に Warning! Spyware detected on Your computer!・・・・・・・・・・・・etcというJoke Bluescreenが出たままになってます。ノートン(期限が切れている)のウィルススキャンによって探してもらったのですが駆除ができなかったのでカスペルスキーによって駆除しました。が依然として壁紙の変更やスクリーンセーバーは壊されたままです。リカバリーをすれば直ると思いますがインストールしたソフトがもう手元にないものもあり何とかこの状態で修復しなければなりません。どなたかよいアドバイスをお願い致します。 OS Windows XP Home Editionです
- 締切済み
- その他([技術者向] コンピューター)
- OSが立ち上がらなくなってしまいました...
フロッピーディスクの使用制御をかけようとレジストリの値を変更したのですが、違うレジストリを変更してしまい(誤の方の値を4(16進数に変更してしまった))、OSが立ち上がらなくなってしまいました。。。 誤)[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ftdisk] 正) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Flpydisk] OSから修復セットアップも試みましたがダメでした。 新しく端末を作るのであればいいのですが、そうではなく今までのデータを無くさない方法を探しております。 どなたかご教授いただけないでしょうか? よろしくお願い致します。
- 締切済み
- Windows系OS
- services.exeについて。
こんにちわ。 パソコンのウイルス感染が気になり、タスクマネージャーで起動しているものを確認すると、services.exeが優先度:リアルタイムで起動していました。検索したところ、services.exeがウイルスの可能性が高いと言う事がわかり、トレンドマイクロのサイトを参考にしてレジストリエディタを開いて確認してみると HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runに 名前 services contoroller データ C:\WINNT\services.exe と登録されていました。 自分で登録した記憶はありません。 また、ここの過去ログではsystem32と言うフォルダ以外にあるservices.exeは黒とバッチリ書かれていました。 ですが、検索した結果の例と違う事やウイルスバスターのウイルス検索が反応しない事から削除するべきか迷っています。 ちなみにservices.exeはタスクマネージャーを見る限りwin32フォルダのものはちゃんと起動されていました。 OSは2kです。 ウイルスなのか、違うのかよくわかりませんが、プロセスの優先度が他は通常なのに、これだけリアルタイムと言うのがどうも気持悪いです。良くある事なのでしょうか? 削除すべきか、アドバイス、宜しくお願いします。
- 締切済み
- ウィルス・マルウェア
- カスペルスキーの操作で大事なファイルを
カスペルスキーでまちがって大事なファイルを読み込まないようにしてしまったようです。 プロセス:c:\windows\system32\rundll32.exe(pid:3704)が新規 または 修正したモジュールのろーどを試みましたが、遮断しました。 とでるようになりました。自分で常に遮断するように設定してしまったとおもうのですが 永遠にロードをするみたいで遮断を解除したいとおもっています。 (何千回も遮断しちゃってるようです) プロパティを開くだけでも繰り返してしまって困っています。 しかし一度設定したのをどこで解除すればいいのかわかりません どう設定すれば上の問題を解決できるのでしょうか?
- 締切済み
- ウィルス・マルウェア
- レジストリ編集を元に戻したい
とあるサイトからネット接続が速くなるということで下記のものを取り込みました。レジストリエディタでしたので結合し再起動したのは良いのですが、バックアップを取っておらず元に戻せません。 復元を実行しようとしたのですが、なぜか復元元ポイントが下記を取り込む以前のがなく戻せない状態です。 そのレジストリエディタをワードパットで開いてみたものが下記です Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "TcpWindowSize"=dword:0003ecd0 "DefaultTTL"=dword:00000080 "SackOpts"=dword:00000001 "TcpMaxDupAcks"=dword:00000002 "Tcp1323Opts"=dword:00000001 "EnablePMTUBHDetect"=dword:00000000 "EnablePMTUDiscovery"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces] "MTU"=dword:000005dc [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters] "NetFailureCacheTime"=dword:00000000 "NegativeSOACacheTime"=dword:00000000 "NegativeCacheTime"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] "LargeBufferSize"=dword:00004000 "MediumBufferSize"=dword:00000bc0 "SmallBufferSize"=dword:00000100 "TransmitWorker"=dword:00000020 "DefaultReceiveWindow"=dword:0003ecd0 "DefaultSendWindow"=dword:0003ecd0
- ベストアンサー
- Windows XP
- 漫画喫茶でUSBフラッシュメモリーがつかえないぞ?
漫画喫茶でUSBフラッシュメモリーがつかえない。 USBにいれているFIREFOXを起動しようとおもいましたが リムーバルメディアとしての認識があるがのに 開こうとしますと このメディアをフォーマットしますか?というガイダンスが何度やってもでてきるだけです。 レジストリーで制限してるのでしょうか?そこでレジストリをみてみますと HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR ⇒Start ⇒3(使用可) になっていました。 参考意見お願いします。
- 締切済み
- Windows XP
- カスペルスキー7.0のリスクウェアについて
プロテクションを起動していると、「リスクウェア Invader プロセスを実行します: C:\WINDOWS\system32\mmvo.exe」が表示されました。これを削除したいのですが、MMVOというものがsystem32内になく、検索をかけてもありません。また隠しファイルも表示できるようにしてあります。詳細を見るとIEのエクスプローラーのシステムに接続しているようです。削除すべきなのですか?もしそうならどうやって削除すればいいのですか?カスペルスキーのスキャン結果では典型的なマルウェアと表示されています。
- ベストアンサー
- スパイウェア
お礼
なるほど!リカバリしてしまえばいいのか!! 新たに他の警告もでてきたので別に質問してみましたら、どうも‘パソコンが盗まれた時の追跡ソフト’なるものが入っていたようです。 いまアンインストールしようかと探したら見つからなかったので、どうしようかと思っていたので、この際時間がある時にリカバリしてしまった方がよさそうですね。 これでやっと解決できそうです。ありがとうございました!!!