system
March 28, 2014, 6:01pm
1
Windows7 Professional、avast! Free Antivirus 8.0.1483.0+COMODOで使用中。
一週間程のスリープのみの連続使用後(この時点では起動している)、再起動したところavastが起動できなくなるように。
avastを手動で起動しようとすると”グループポリシーによりこのプログラムはブロックされています。”と表示され起動できず、プログラムと機能からの変更を試みると”アンインストールするのに必要なアクセス権がありません。”と表示、avastの起動・変更・削除が一切不可能な状態です。
何らかの関係がありそうなのが、Java7の新規インストール及びインストール後すぐにUACで642L.dll(C:Windows配下のフォルダ配置だったと思います)の実行を何度も促された事です。キャンセルを何度押しても消せず、Windowsフォルダ配下だったのとJava7インストールすぐだったのもあり、最終的に実行してしまいました。
これ以外に前回の再起動までにインストールしたソフトはFolder Option XとAdobe Readerだけだと思われます。
自分の力では解決できず、解決手段など何かあれば助かります……
よろしくお願いします。
NON
March 29, 2014, 6:23am
2
こんにちは lyndall さん
過去の記録を見ますと、この症状は何らかのマルウェアの感染により、Windowsの設定が書き換えられて発生するものと考えられます。
こちらのフォーラムのルール上、駆除まがいの操作を指示すると怒られるかもしれませんが、見つけた手順を試してみましょうか。
念のため、これらの操作を実行する前に、必要なデータのバックアップを取ってください。
以下のいずれかのリンクから"rkill"をダウンロードし、デスクトップに保存後、実行してください。動かなかったら他のものを試してください。
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.scr
http://download.bleepingcomputer.com/grinler/rkill.pif
レジストリエディタを開きます。"プログラムとファイルの検索"に"regedit"と入れれば出るはずです。
次のキーを開いてください。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\safer\codeidentifiers\
"codeidentifiers"以下に"0"というキーがある場合、右クリックして、"0"を削除してください。
レジストリエディタを終了してください。
参考
https://forums.malwarebytes.org/index.php?showtopic=118179&page=2
system
March 29, 2014, 7:01am
3
NON様
上記手順を試みたところ無事avastを起動させることができました。ありがとうございます(*_ _)
"rkill"を実行してできたログを確認するとChecking for processes to terminateにて”1 proccess”のみ終了されていました。このプログラムが原因だと考えてよいのでしょうか?(だとすると随分前にインストールしたソフトで以前までは問題なかったため驚いています)
そしてマルウェア感染だとするとパスワードなどの変更なども必要なのでしょうか?
お手数お掛けしますが教えて頂けると嬉しいです。
NON
March 29, 2014, 7:57am
4
動いたようで何よりです。
"rkill"を実行してできたログを確認するとChecking for processes to terminateにて”1 proccess”のみ終了されていました。このプログラムが原因だと考えてよいのでしょうか?(だとすると随分前にインストールしたソフトで以前までは問題なかったため驚いています)
rkillはマルウェアに作業を妨害されないよう、余計なソフトを終了させるために入れたものですので、おそらく心配はないでしょう。
私も専門家ではありませんが、この手のソフトだと結構誤検知も多い気がしますので(マルウェアを除去し損なうくらいなら、全部消してしまえという考えでしょうか)。
そしてマルウェア感染だとするとパスワードなどの変更なども必要なのでしょうか?
直前に出てきたという「642L.dll」が気になります。検索してもほとんど出てこないので。
avastが起動するようになったとのことですので、定義ファイルを最新に更新した上で、フルスキャンを行ってみましょう。
また、Malwarebytes Anti-Malwareといった検査ツールも、セカンドオピニオンとして使ってみることをお勧めします。
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/malwarebytes-anti-malware.htm
これらのツールで何も出てこないようならば、心配はないでしょう。逆に、マルウェア(Trojanなど)がぞろぞろ出てくるようだと、変更した方が安全となります。
その場合は、感染PCから変更しても意味がないので、別PCから行うことになります。
system
March 29, 2014, 9:32am
5
NON様
丁寧な説明ありがとうございます。さっそくavastにてフルスキャンを実行してみました。
結果、121件の検出がありました……
内訳
約50% C:\Users***\AppData\Local\Temp\配下の拡張子exe.partファイル群 ”Win32:Adware-gen”
残り D:\Temp\User\Temp\配下の1つの拡張子exe.partファイルの中身を示して すべて”エラー:圧縮ファイルはパスワードで保護されています”
と表示されました。
DのTempはC:\Users***\AppData\Local\Tempをシンボリックリンクにて変更していたなごりです。
セカンドオピニオンも後で行うつもりですが、現状の結果はどう受け止めるべきでしょう?
よろしくお願いします(*_ _)
NON
March 31, 2014, 8:35am
6
返信遅れましてすみません。
拡張子がすべて「.part」ならば、ダウンロード中にブロックされた残骸という感じですので、全てこれならばあまり問題は無い気がします。
Webシールドからブロックの警告とか出ませんでしたか?
残り D:\Temp\User\Temp\配下の1つの拡張子exe.partファイルの中身を示して すべて”エラー:圧縮ファイルはパスワードで保護されています”
と表示されました。
こちらは心配ありません。私のPCでもよく出ます。
最初の50%のファイルを駆除(チェストに移動)した上で、Malwarebytes Anti-Malwareで何が出るか、ですね。
system
March 31, 2014, 11:16am
7
NON様
avastにてチェスト移動の後にMalwarebytes Anti-Malwareでの脅威スキャンも完了させました。
Malwarebytes Anti-Malwareの結果は、 avastが検出しなかったC:\Users***\AppData\Local\Temp\配下の拡張子exe.partファイルがいくつか検出されるのみでした。Webシールドからブロックの警告されたものはこうなるのですね。
avastを操作不能にした存在がavastやMalwarebytes Anti-Malwareから検出されなかったのは気になるところですが、これでひとまず安心でしょうか……
後このPostとはまったく関係ないのですが、今すぐスキャンの項目にavastのバージョンアップなどすると現れるいくつもの???は消去しても問題ないのでしょうか?
NON
April 2, 2014, 8:32am
8
気になるのは確かですが、現在のPCの動作に特に不審な点が無ければ、ひとまず問題ないと考えてよいと思います。
後このPostとはまったく関係ないのですが、今すぐスキャンの項目にavastのバージョンアップなどすると現れるいくつもの????は消去しても問題ないのでしょうか?
消して大丈夫です。というか、このバグまだ残ってたんですね・・・。
もしうまく消せない場合は、avastの設定リセットを試してください。設定 -> トラブルシューティング からできます。
system
April 3, 2014, 3:26pm
9
NON様
今回はありがとうございます。再起動してもまたavastが起動できないなどもなく、正常稼働しています。
また何かあればよろしくお願いします(*_ _)