svchost.exeが保護されたフォルダーにアクセスしようとしているのはなぜですか?
こんにちは.
最近、HPラップトップ14-dk1xxxをフォーマットし、version20H2でWindows Home SingleLanguageをインストールしました.3日後、次のWindowsDefenderアラートを受け取ったことがわかりました.
*翻訳は次のようになります:
保護されたアクセスフォルダ
管理者がこのアクションをブロックしましたアプリまたはブロックされたプロセス:svchost.exe
画像1:投影フォルダー:%userprofile%\Videos
画像2:保護されたフォルダ:\Device\Hardisk\Volume1
私は他の人々がこの問題を彼らに起こしたのを見ました.私は彼らが推奨するいくつかの方法を適用しました:
Windows DefenderオフラインScanを実行しましたが、脅威は見つかりませんでした.
ルートキット用にインストールして構成し、MalwarebytesでPCをScanしましたが、脅威は見つかりませんでした.
コマンドsfc/scannowを入力すると、次のように表示されました.
Windows Resource Protectionは破損したファイルを検出し、正常に修復しました.詳細はCBS.Log%WinDir%Logs\CBS\CBS.logに含まれています.
svchost.exeを破壊するウイルスを正常に削除しましたか?....それは誤検知でしたか?それとも、PCの機密情報を損傷したり盗んだりする可能性のあるウイルスがまだ残っているのでしょうか?
私の仕事は危険にさらされています.ですから、私にとっては緊急であり、迅速な返信をいただければ幸いです.
ありがとう
返信リスト(回答:6)
このControlledFolder Access(CFA)ブロッキング操作に関連して説明した翻訳された詳細に基づくと、これは1月に応答したこの他のスレッドと同じ基本的な状況のようです.
あなたは英語を上手に書くので、それを読むのに問題はないと思います.
ただし、CFAは真のウイルス対策ではなく、長年のベストプラクティスの乱用に基づいて操作を検出およびブロックする、ファイリングシステムの書き込み監視機能としてより正確に説明されています.
その場合、関係するアプリ(AMDドライバーがインストールされている可能性がありますか?)は、私が覚えているように、Videosフォルダーに書き込もうとしていたので、このアプリについて具体的に言及しているのはわかりませんが、方法の違いが原因である可能性があります他のポスターがその原因を特定するために使用しました. 彼がCFAを無効にしてから再度有効にして、PCを再起動し、電源をオフにしてから再度オンにして、CFAからより具体的な通知を受け取ったときに、Applicationの名前が最初に表示されたようです.
あなたの状況が同じであるかどうかはわかりませんが、言及された項目に基づいて、それは非常に似ているように聞こえます. どちらの場合でも、私のアドバイスのほとんどはほとんど同じです.CFAが行うのは、マルウェアに関連する場合もしない場合もあるが、多くの場合は関連しない、潜在的に不適切なアクションをブロックすることだけだからです.
ロブ
応答3# ->にスキップ2 #LuisMLRこんにちはロブ
非常に興味深い答えであり、多くの論理があります.しかし、私は次の方法を実行しました:CFAを無効にする/再起動する/CFAを有効にする/再起動する(投稿の人がコメントしたように)そして私は問題なくWindowsを起動させました.また、WindowsDefenderアラートも受信しませんでした.
私のラップトップにはAMDプロセッサが搭載されていますが、タスクマネージャでAMDRSServ.exeプロセスを探しましたが、見つかりません(これは、このAMDRSServを使用する前から、PCに対して行った再フォーマットが原因である必要があります.exe実行中).
CFA自体がマルウェア対策ではないという論理を理解しており、ほとんどすべてのプログラムで誤った「悪意のある動作」を検出できることは明らかです.
ただし、svchost.exeがVideosフォルダーにアクセスできるのはなぜか疑問に思っています.それは私には非常に奇妙に思えます.何かアイデアはありますか?
ありがとう
応答2# ->にスキップ1 #RobKochSvcHost.exeはサービスの汎用ホストプロセスであるため、Windows内でその職務を遂行するために必要なものすべてにアクセスできます.
svchostexeとは何ですか、なぜ実行されているのですか
AMDRSServ.exeサービスがVideosライブラリフォルダーにアクセスするように設計されていることを実行するようなものは、SvcHost.exeを使用して必要なアクセスを取得することは完全に理にかなっています. 説明していないのは、あなたのケースで特定のアプリが同様のアクションを実行していたことだけです.
私の推測では、AMDビデオに基づいて、関連するドライバーの名前が変更されているか、コアビデオドライバーファイルの1つに埋め込まれている可能性があります.つまり、見えにくくなりますが、基本的な役割は同じです.
私の推測では、これは新しいビデオドライバーのインストール後に一度だけ発生するある種の初期化ルーチンであるため、CFAを無効にしてから有効にするという行為により、初期化が可能になるか、目的がすでに完了しています.
この種の偽の初期化ルーチンの警告は、Windows Updateパッケージを大量にインストールした後に発生することがよくあります.これは、CFAがブロックするように設計された不適切なフォルダーアクセスの種類が含まれていることが非常に多いためです. これらのいくつかは、Windows 10CFAの初期の頃に私自身が見たものですが、ドライバー開発者が自分たちの行為を片付け始めたため、あまり一般的ではなくなりました.
CFAに関連する他の一般的なことは、ブロックするものを許可する必要がある理由は実際にはないということです.ただし、それがまれな明らかな操作上の問題を引き起こすか、より頻繁に、CFAブロックメッセージの繰り返しセットを作成し、それが終了するまで終了しない場合を除きます.完了することができます. 基本的に、CFAは「ダム」ブロッカーであり、何がブロックされているのか、なぜブロックされているのかがわかりません.通常の操作ではこれらのフォルダーに書き込もうとするものはないため、これを実行しますが、ランサムウェアなどの悪意のあるアプリがこれを実行する可能性があります.CFAは、書き込み機能をブロックするだけで、これらの重要なフォルダに含まれるファイルが破損するのを防ぐことができます.
ロブ
親愛なるルイス、これはDefenderのフォルダへのアクセス制御によるものです.
フォルダへの制御されたアクセスを無効にするか、Applicationが保護されたフォルダにアクセスできるようにすることができます.
[スタート]>[設定]>[更新とセキュリティ]>[Windowsセキュリティ]>[ウイルス対策と脅威の保護]を選択します.
下にスクロールして、[ランサムウェア保護]の下の[ランサムウェア保護の管理]をクリックします.
[制御されたフォルダーアクセス]で、[制御されたフォルダーアクセスの管理]を選択します.
Applicationへのアクセスを許可する場合は、次の手順を実行して、フォルダへの制御されたアクセスを無効にすることができます.
[ブロック履歴]をクリックします.
保護されたフォルダへのアクセスをブロックするには、下側をクリックします.
次に、[アクション]をクリックし、[デバイスで許可]オプションを選択します.
このテーマについて質問がある場合は、以下のリンクにある記事を読むことをお勧めします.
support.Microsoft.com/ja-jp/Windows...
お役に立てば幸いです.またお会いしましょう!
Defenderについての興味深い質問.
この問題を見ると、おそらく脅威ではありませんでしたが、システム上のファイルが破損しており、Sfc/scannowコマンドで修正できました.
それでも質問があれば、私は利用できます.
お役に立てば幸いです.またお会いしましょう!
応答6# ->にスキップ5 #LuisMLRこんにちはルイス、返信ありがとうございます.
svchost.exeがビデオフォルダに入ろうとする理由がわかりません.そこでどのようなプロセスを実行する必要がありますか?
イベントビューアを調べていたところ、上の画像の日付に対応するこれらのイベントが見つかりました:
画像1
画像2:
*スペイン語をご理解いただければ幸いです.