- ベストアンサー
カスペルスキーがわかりません
昨日カスペルスキーのお試し版を入れましたが、今日PC起動したときに 「プロセスはシステムサービスへアクセスするために削除を得ようをしています。 レジストリアクセス HKEY_LOCAL_MACHINE/SYSTEM/CO......./rpcetp プロセスを実行します(PID:764) C://windows/system32/Services.exe」 というのが出てきましたがよくわからなかったので一度電源おとして再び起動したら出てきませんでした。 詳細をクリックしてみたら何かがレジストリにアクセス(改ざん?)しようとしていたみたいです。 これはウイルス?それとも必要なアクセス? (ちなみに昨日PC全体をスキャンした時は何もでてきませんでしたが、そのあと友人からの写真付きメールをWEB上で開けました。) どう処理すればよいのかわかりません。 また今後似たようなのがでてきても許可していいのか判断の仕方がわかりません。 どなたか詳しい方教えていただけませんか?
- wbpanda
- お礼率100% (37/37)
- ウィルス・マルウェア
- 回答数6
- ありがとう数6
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
だったら、これしかない! システムリカバリ → カスペルスキーのインストール。 こんなことを要求するセキュリティソフトはちょっと問題だなぁと思いますねぇ。私ならレジストリ編集ツールを使いますが、質問者さんにはちょっと大変でしょ? 時間ももったいないしね。これでも解決しないなら、別の質問を立ててください。成功を祈ります。
その他の回答 (5)
2つの周辺情報が見つかりました。 1.LANケーブルを抜くと再起動する件 外部からPCをリモートコントロールさせるサービスが機能していると、このような症状が出るとのことです。rpcnet.exeというソフト(詳細不明)が見つかるのなら、このソフトがいたずらしている可能性が高く、windows本来のサービスではないから停止してかまわない。rpcnet.exe自体は悪質ではないようですが、他のマルウエアが化けていることがある。 (XPでは)マイコンピュータの管理を開いてサービスをダブルクリック。右側から、remoteで始まるサービス名を見つけてください。その中に「Remote Procedure Call (RPC) Net」が見つかれば、その名前の上で右クリックしてプロパティを選んで、「サービスの状態」で停止を指定して下さい。停止したら、「スタートアップの種類」で無効を指定してください。 掲示板で近頃よく見るマルウエアに、既成のネットワーク・ドライバ(エンジン)を悪用した新種があります。System32に正規のドライバ・プログラムをマルウエアがインストールし、正規のネットワーク・ドライバを介して感染していくというものです。インストールされるドライバ自体は正規のプログラムですから、判断が難しい。その対抗策としてヒューリスティック・モードが必要になる、らしいです。 2.ウイルスバスターの完全削除に失敗すると、カスペルスキーが変な症状を出すことがある。完全削除についてはいかがでしょうか。私見ですが、カスペルスキーのインストール・アンインストールは結構神経質ですよ。 以上、御参考までに。何かのヒントになればいいですね。
お礼
またお礼が遅くなってすいません。。。すっごく詳しく説明くださってありがとうございます!!! 今日セーフモードで起動してPC完全スキャンしたけど何も検出できませんでした。 教えて頂いたRPCnetを検索してみましたが見つけられません。。。 ウイルスバスターのアンインストールはカスペルスキーを入れた後に削除しようと思っていたら、カスぺのインストール中にウイルスバスターのアンインストールを促されたのでその時しました。 その他に自分でインストールしたのはFIREFOXだけです。 リモートコントロールされている可能性あるのですか・・・? 無線LANも使わないしファイアーウォールも高めで使って使っていたつもりなのに・・・ ちなみにオンラインゲームとかもしません。。
rpcnetpについてですが、 rpcnetp.exeというプログラムがC:\Windows\System32に見つかりませんか。Windows XP上のファイルサイズは17408バイトか16896バイト。rpcnetp.exeは Windowsのフォルダに置かれますが、正規のファイルではないので削除してかまいません。rpcnetp.exeは他のプログラムを操作するので大変危険です。rpcnetp.exeを見つけて削除してください。見つからなければ、補足してください。
お礼
お礼が遅くなってすいません。 OSはVISTAです。ファイルを探して削除してみます。 リカバリーにアクセスしようとする警告はとりあえずぜんぶ拒否しましたけど、今朝からLANケーブルを抜くとPCが黒い画面になって電源が落ちて再起動するというへんな現象がおきています。 (先週買ったばかりのパソコンでデータも移動してないし危険なサイトもいってないのに何故にウイルス入りこんだのだろう・・・?写真付きのメールかしら?)
補足
今C:\Windows\System32を開けて探してみたけど見つかりませんでした。 明日PC全体ウイルススキャンしてみます。
- wamos101
- ベストアンサー率25% (221/852)
#1です。 Process Explorerはこちら http://cowscorpion.com/Process/ProExp.html
お礼
ありがとうございます!!!
- wamos101
- ベストアンサー率25% (221/852)
#1です。 Malwareの可能性が高いと見ました。 ダイアログで許可を与えないで下さい!!!! WinSock2というのは、WinにおけるTCP/IPのAPIです。これのフックによるパラメータ変更ですのでやはり非常に怪しいと判断します。 なお、プロセスを調べるにはProcess Explorerが便利です。
お礼
ありがとうございます!! どうしていいのかわからなくて途方にくれていたのでたすかりました!!! あの後も似たような警告がいろいろでてきてわからないのでとりあえず拒否にしておきました。 1週間前に新しいPCを購入したばかりで昨日ウイルスバスターからカスペルスキーに変えたばかりなので、まだウイルスは入ってないだろうと思っていたので必要なアクセスなのか迷っていました。 もひとつ無知で申し訳ないのですが、プロセスエクスプローラーとは ふつうPCに入ってますか?どのように調べたらいいのでしょうか?
- wamos101
- ベストアンサー率25% (221/852)
当方はここのサイトでカスペルスキーを推奨している者です。 HKEY_LOCAL_MACHINE/SYSTEM/CO......./rpcetp ←これは合ってます? とりあえずプロセスIDがわかってるんだから、何のプロセスか把握してからでしょうね。
お礼
ありがとうございます。 rpcnetpの間違いでした・・・(でも一度紙に書き写したので他にも写し間違いあるかも。。) 恥ずかしながら、PCよくわからないので何のプロセスかもわかりません。。。
補足
一度スリープにして起動したらまた別のプロアクティブディフェンスがでてきました プロセスはウインドウズスタートアップ時に実行されるモジュールリストへアクセスするために、削除を得ようとしています。 レジストリアクセス HKEY_LOCAL_MACHINE_SYST...../00000000001 プロセスを実行します(PID:1236): C://Windows/system32/svchost.exe 詳細 ウィンドウズスタートアップ時に実行されるモジュールリストのレジストリの削除値を横取りしようとしています。 キー: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 値: データ(値のタイプがありません): これは許可してもいいのでしょうか?(無知ですみません)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
なるほど!リカバリしてしまえばいいのか!! 新たに他の警告もでてきたので別に質問してみましたら、どうも‘パソコンが盗まれた時の追跡ソフト’なるものが入っていたようです。 いまアンインストールしようかと探したら見つからなかったので、どうしようかと思っていたので、この際時間がある時にリカバリしてしまった方がよさそうですね。 これでやっと解決できそうです。ありがとうございました!!!