ネトゲ(ラグナロクオンライン)が動かなくなっている人がいます

昨日から、ラグナロクオンライン(ネトゲ)のSNSに、Avastユーザーでもある方々の、「ラグナロクオンラインが動かなくなった」という日記が数件あります。

私も昨日、Windows Vista Home Premium(32bit)の環境で、ラグナロクオンライン実行中にAvast 6.0.1289、最新パターン(111001-1)で「検査」をしたところ、「脅威:Rootkit hidden Process」と検出され、削除を迫られました。検出されたのは、Ragexe.exe(ラグナロクオンライン)と、GameMon.des(nProtect GameGuard)のプロセスです。

http://ros.hasera.net/20111001avast.jpg

ここからは推測ですが、ラグナロクオンラインが動かなくなったという方々は、Ragexe.exeを削除してしまったのではないかと思われます。特に、「スケジュール」で「毎月1日」と設定していると、昨日自動的に検索されて、削除までされてしまった?

実行中のプロセスが検出されたのであって、ラグナロクオンラインを終了してファイルを検索しても、何も見つかりません。当然、除外設定しても無駄です。

私の場合は、Windows7(64bit)のPCでは発生していません。

nProtect GameGuardがルートキットであるというのは間違いではないと思いますが、これを検出してデフォルト動作が「削除」では、色々なゲームが「動かなくなる」(だって、プログラムファイル消しちゃうんだから(^^;)可能性がありますね。このままだと混乱を招きそう。

WindowsXPユーザーで、ラグナロクオンラインを起動してしばらくすると、「怪しい隠しオブジェクト(ルートキット)がシステム上に検出されました」と表示される人がいます(今日の時点)。設定が異なるのかOSの違いか、意識して検索しなくても、自動的に検出するようで。

http://ros.hasera.net/20111002avast.jpg

avastのルートキット検知システムは2種類ありまして、1つはavast自身が持っている通常のウイルス検知と同じもの、もう1つはGMERと呼ばれるルートキット検出システムを利用したものがあります。
今回の検知は2つ目のGMER側のシステムによるものですが、これはavast本体のシステムとは別の開発者によるものであるため、除外設定やチェストに移動などのavastの機能が利用できない困った仕様になっています。

GMER側のシステムはリアルタイムでルートキットを監視するシステムであり、任意のスキャンには依存しません。
デフォルトで検査がスケジュールされていた記憶はないのですが、メッセージに驚いてつい"削除"を押してしまったのかもしれません。

とりあえず、採用する処理を"無視する"にしておいた上で、何度も出てくるようであれば"今後はこのルートキットについては知らせない"にチェックを入れることで、恒久的にこのプロセスを無視できるはずです。

なお、オンラインゲームが動かなくなった点については、
http://forum.avast.com/index.php?topic=70182.msg693624#msg693624
にもありますとおり、先日より旧バージョン利用者一掃のための強制プログラムアップデートが実施されていまして、使用していた旧版から最新版にアップデートされてしまったため、という可能性もあります。

お返事ありがとうございます。

動かなくなったが、「Ragexe.exeが消えてた」と書いておりましたので、ルートキットと表示されて、びっくりして削除したか、よく分からないけど危険だと表示されてるから削除した・・・といった可能性が高いです。

ゲームする人はPCに詳しい人ばかりではなく、自分がしているゲームのファイルが何かなんて知らない場合もありますからね・・・。

Windows Vista(32bit)の環境で、現在も発生します。
ラグナロクオンラインのファイル(Regexe.exe)がいつの間にか消えたこともありました。

Windows7(64bit)では一度も発生していません。


プログラム:6.0.1289
パターンファイル111027-1

hasera さん、こんにちは。

Ragexe.exe と GameMon.des ファイルについてですが、これらのファイルをホワイトリストに追加するようすでに依頼しましたが、まだアバスト! で検知されますか。

ラグナロクオンラインは海外からプレイできないので、この現象を確認することができません。お手数をおかけいたしますが再度ご確認いただけますか。よろしくお願いいたします。

まだ発生します。

パターン:111103-0
プログラム:6.0.1239

手順:
(1)ラグナロクオンラインを起動
(2)コンピュータの検査(迅速でも完全でも)→ごく最初の方で検出され、「ルートキット」

上記現象は、Windows VistaのPCでのみ確認しています。
ラグナロクオンラインを起動していない状態で検査しても、何も検出されません。

今日の時点で、発生しなくなっています。

パターン 111110-1
プログラム 6.0.1289

hasera さん、報告をいただきましてありがとうございます。

NON さんがおっしゃったように、この検出に関して AVAST サイドではあまりできることがないのですが、10日時点での定義で発生しなくなったということですので、問題が解決したのかもしれません。

もしまた検出されることがありましたらお知らせください。