avast!が起動できない

Windows7 Professional、avast! Free Antivirus 8.0.1483.0+COMODOで使用中。
一週間程のスリープのみの連続使用後(この時点では起動している)、再起動したところavastが起動できなくなるように。

avastを手動で起動しようとすると”グループポリシーによりこのプログラムはブロックされています。”と表示され起動できず、プログラムと機能からの変更を試みると”アンインストールするのに必要なアクセス権がありません。”と表示、avastの起動・変更・削除が一切不可能な状態です。

何らかの関係がありそうなのが、Java7の新規インストール及びインストール後すぐにUACで642L.dll(C:Windows配下のフォルダ配置だったと思います)の実行を何度も促された事です。キャンセルを何度押しても消せず、Windowsフォルダ配下だったのとJava7インストールすぐだったのもあり、最終的に実行してしまいました。
これ以外に前回の再起動までにインストールしたソフトはFolder Option XとAdobe Readerだけだと思われます。

自分の力では解決できず、解決手段など何かあれば助かります……
よろしくお願いします。

こんにちは lyndall さん

過去の記録を見ますと、この症状は何らかのマルウェアの感染により、Windowsの設定が書き換えられて発生するものと考えられます。
こちらのフォーラムのルール上、駆除まがいの操作を指示すると怒られるかもしれませんが、見つけた手順を試してみましょうか。
念のため、これらの操作を実行する前に、必要なデータのバックアップを取ってください。

  1. 以下のいずれかのリンクから"rkill"をダウンロードし、デスクトップに保存後、実行してください。動かなかったら他のものを試してください。
    http://download.bleepingcomputer.com/grinler/rkill.exe
    http://download.bleepingcomputer.com/grinler/rkill.com
    http://download.bleepingcomputer.com/grinler/rkill.scr
    http://download.bleepingcomputer.com/grinler/rkill.pif

  2. レジストリエディタを開きます。"プログラムとファイルの検索"に"regedit"と入れれば出るはずです。

  3. 次のキーを開いてください。
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\safer\codeidentifiers\

  4. "codeidentifiers"以下に"0"というキーがある場合、右クリックして、"0"を削除してください。

  5. レジストリエディタを終了してください。

参考
https://forums.malwarebytes.org/index.php?showtopic=118179&page=2

NON様

上記手順を試みたところ無事avastを起動させることができました。ありがとうございます(*_ _)

"rkill"を実行してできたログを確認するとChecking for processes to terminateにて”1 proccess”のみ終了されていました。このプログラムが原因だと考えてよいのでしょうか?(だとすると随分前にインストールしたソフトで以前までは問題なかったため驚いています)
そしてマルウェア感染だとするとパスワードなどの変更なども必要なのでしょうか?

お手数お掛けしますが教えて頂けると嬉しいです。

動いたようで何よりです。 :slight_smile:

"rkill"を実行してできたログを確認するとChecking for processes to terminateにて”1 proccess”のみ終了されていました。このプログラムが原因だと考えてよいのでしょうか?(だとすると随分前にインストールしたソフトで以前までは問題なかったため驚いています)
rkillはマルウェアに作業を妨害されないよう、余計なソフトを終了させるために入れたものですので、おそらく心配はないでしょう。 私も専門家ではありませんが、この手のソフトだと結構誤検知も多い気がしますので(マルウェアを除去し損なうくらいなら、全部消してしまえという考えでしょうか)。
そしてマルウェア感染だとするとパスワードなどの変更なども必要なのでしょうか?
直前に出てきたという「642L.dll」が気になります。検索してもほとんど出てこないので。

avastが起動するようになったとのことですので、定義ファイルを最新に更新した上で、フルスキャンを行ってみましょう。
また、Malwarebytes Anti-Malwareといった検査ツールも、セカンドオピニオンとして使ってみることをお勧めします。
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/malwarebytes-anti-malware.htm

これらのツールで何も出てこないようならば、心配はないでしょう。逆に、マルウェア(Trojanなど)がぞろぞろ出てくるようだと、変更した方が安全となります。
その場合は、感染PCから変更しても意味がないので、別PCから行うことになります。

NON様

丁寧な説明ありがとうございます。さっそくavastにてフルスキャンを実行してみました。

結果、121件の検出がありました……

内訳
約50% C:\Users***\AppData\Local\Temp\配下の拡張子exe.partファイル群 ”Win32:Adware-gen”
残り D:\Temp\User\Temp\配下の1つの拡張子exe.partファイルの中身を示して すべて”エラー:圧縮ファイルはパスワードで保護されています”
と表示されました。

DのTempはC:\Users***\AppData\Local\Tempをシンボリックリンクにて変更していたなごりです。
セカンドオピニオンも後で行うつもりですが、現状の結果はどう受け止めるべきでしょう?
よろしくお願いします(*_ _)

返信遅れましてすみません。

拡張子がすべて「.part」ならば、ダウンロード中にブロックされた残骸という感じですので、全てこれならばあまり問題は無い気がします。
Webシールドからブロックの警告とか出ませんでしたか?

残り D:\Temp\User\Temp\配下の1つの拡張子exe.partファイルの中身を示して すべて”エラー:圧縮ファイルはパスワードで保護されています” と表示されました。
こちらは心配ありません。私のPCでもよく出ます。

最初の50%のファイルを駆除(チェストに移動)した上で、Malwarebytes Anti-Malwareで何が出るか、ですね。

NON様

avastにてチェスト移動の後にMalwarebytes Anti-Malwareでの脅威スキャンも完了させました。
Malwarebytes Anti-Malwareの結果は、 avastが検出しなかったC:\Users***\AppData\Local\Temp\配下の拡張子exe.partファイルがいくつか検出されるのみでした。Webシールドからブロックの警告されたものはこうなるのですね。
avastを操作不能にした存在がavastやMalwarebytes Anti-Malwareから検出されなかったのは気になるところですが、これでひとまず安心でしょうか……

後このPostとはまったく関係ないのですが、今すぐスキャンの項目にavastのバージョンアップなどすると現れるいくつもの???は消去しても問題ないのでしょうか?

気になるのは確かですが、現在のPCの動作に特に不審な点が無ければ、ひとまず問題ないと考えてよいと思います。

後このPostとはまったく関係ないのですが、今すぐスキャンの項目にavastのバージョンアップなどすると現れるいくつもの????は消去しても問題ないのでしょうか?
消して大丈夫です。というか、このバグまだ残ってたんですね・・・。 もしうまく消せない場合は、avastの設定リセットを試してください。設定 -> トラブルシューティング からできます。

NON様

今回はありがとうございます。再起動してもまたavastが起動できないなどもなく、正常稼働しています。
また何かあればよろしくお願いします(*_ _)

また何かありましたらお越しください :slight_smile: