svchost.exeは\device\harddisk0\dr0へのアクセスをブロックされました

logical 受付中最終更新日:2022-03-14 21:45

2回の更新後の再起動後(KB5006738)(KB5006365)Controlled Folder Accessから、MoUsoCoreWorker.exeによるアクセスがブロックされたという通知を受け取りましたstrong>\Device\HarddiskVolume2で、グーグルですばやく検索した後、更新用のWindowsオペレーションサービスの一部であるため、アクセスを許可しました.2分後、svchost.exeが\Device\Harddisk0\DR0にアクセスするのをブロックしたという別の通知が届きました.また、そのフォルダが何であれ、どのsvchostApplicationがアクセスしようとしている可能性があるかを調べてみましたが、ほとんどの場合、svchostプロセスを装ったトロイの木馬やウイルスについての話が返ってきます.

ですから、これが必ずしも心配する必要のないものなのか、それとももっと深刻なものなのかを判断するために、皆さんに助けを求めます.

前もって感謝します！ c:

返信リスト(回答:9)

1 #
chrisco 2021-12-23 14:11

こんにちは皆さん、私はCFAのオンとオフを試していましたが、最終的にはCFAの使用をやめることにしました.また、監査モードで実行する期間もありました.
私の観察はそうでした.
1-一貫してリクエストを許可またはブロックしました.これは、セキュリティバリア内の私にとって、何かが機能するか機能しないかのいずれかの大きな警告サインです. Robの返信を読んだことで、2番目のリクエストが許可されるという点でなぜこのように動作するのかがわかりました.
2-サードパーティのバイナリも含めることができるホワイトリストが組み込まれています.デフォルトでは拒否する必要があります.UACをWindowsVistaモードで動作するように設定したのと同じ理由で、Microsoftバイナリをホワイトリストに登録しません.残念ながら、CFAには無効にする手段がありません.ホワイトリストに登録されたバイナリであるため、ハードコードされたホワイトリストに登録されたバイナリをだまして保護されたフォルダの場所に書き込むなどの潜在的な悪用があります.
3-MicrosoftはCFAをセキュリティメカニズムとは見なしていませんが、そうあるべきだと思いますが、Microsoftはそうしません.また、CFAがない限り、適切なセキュリティを備えた方法で設計される可能性は低くなります.誰かがエクスプロイトを報告しましたが、その回答は、CFAはセキュリティ境界ではないというものでした.
これをSRP/APPLOCKERと組み合わせると、パッチに依存するよりもはるかに優れたセキュリティバリアとして非常に強力になる可能性があるため、残念です.

2 #
RichAla 2021-12-17 23:10

ここでも同じです. 私は3台のPCを持っていますが、それらはすべてほぼ同時に同じことを報告し始めました. svchost\Device\Harddisk0\DR0を1日に数回取得します. フラッシュドライバがDR1であっても、フラッシュドライバを挿入または削除するとトリガーされる可能性があります. それは無視することができますが、それは気を散らすものであり迷惑であるため、マイクロソフトがこれに対処することを望みます. 私はそれが最初に起こり始めて以来、この問題を何度も繰り返して他のものを探していました. 何か進展があった場合に備えて、このスレッドをフォローします.
応答2# ->にスキップ
5 #
logical 2021-12-21 22:01
自分が何をしたかは正確には覚えていませんが、かなり長い間起こっていないことはわかっています.
正直なところ、Windowsの設定でCFAを無効にして、そのタスクをMalwarbytesやAvastに任せることにしたかもしれないと思います.
まだ問題が発生しているかどうかはわかりませんが、迷惑な通知にうんざりしている場合に備えて、可能な解決策でスレッドを更新したい場合に備えてください.
応答5# ->にスキップ
6 #
RobKoch 2021-12-22 05:08
logicly.blonde、
今日、あなたが私の投稿に回答のマークを付けたようです.CFAが機能する理由と方法を理解するのに役立つことを願っていますが、あなたや他の人に役立つかもしれない最後のコメントを1つ追加します.
はい、CFA通知は煩わしいですが、それ以前のUACと同様に、それがまさにポイントです.その煩わしさがなければ、ランサムウェアであるかどうかに関係なく、過去と同じように書き込みをサイレントに実行できるようにする以外に方法はありません..
以前の投稿で述べたように、これらの通知は、アプリ開発者が「保護された」(重要なデータなど)フォルダーに書き込もうとしているために発生します.ユーザーがアプリ内のファイルを保存または更新しようとしたときにアプリによって. Windows Updateの場合、インストールまたはドライバーの初期化自体がこれらのフォルダーの1つに書き込もうとしているという事実は本質的に疑わしいため、CFAはブロックによってこれを許可することを拒否しています.
繰り返しになりますが、残念ながら、少なくともMicrosoftがアプリ開発者に(まだ積極的にビジネスを行っている場合はそうします)、アプリ、ドライバー、またはインストールが常に顧客にこれらの苛立ちを引き起こしていることを通知するまで、これらの通知は常に迷惑になります.開発者は適切な変更を加えて、それらの発生を完全に阻止します.
したがって、通知は問題ではなく、問題を引き起こしているのはマイクロソフトではなく、関係する開発者の行動、より正確には行動ではないことを理解してください. 残念ながら、ユーザーがアプリのインストールを実行したとき、またはアプリ自体がユーザーが認識している他のアクションを実行したときに通知を表示することが最も多いUACとは異なり、CFAは、WindowsUpdate中または瞬間にブロックを実行することがよくあります.PCユーザーが本当にそれを引き起こしているのは何か.
先に述べたように、CFA自体に加えてテレメトリや内部Windowsトラッキングにより、Microsoftは一般的に認識しています.特に、これが短期間に何千もの顧客に発生した場合はなおさらです. ただし、それでもMicrosoftが通常は修正できないものであるため、一部のプロセスの不適切な処理を修正するのは開発者の責任です.
本当の問題は、Microsoftがこれらすべてをデフォルトで許可することを選択した場合、ランサムウェアがこれらのフォルダー内のすべての個人ファイルを暗号化するのを止めることはできないということです.これは、Micrsoftが提供するトレードオフです.必要に応じて自分自身を最大限に保護するために、選択はあなた次第です.
ロブ
応答6# ->にスキップ
7 #
RichAla 2021-12-22 05:53
この場合、Robは、これらの通知を引き起こしているのはMicrosoftのexeです. それを修正するのは彼ら次第です.
応答7# ->にスキップ
4 #
RobKoch 2021-12-22 06:56
アラン、
MoUSOCoreWorkerProcess(MoUsoCoreWorker.exe)-次のURLごと:
更新プロセス中のusocorworker.exe、mousocorworker.exe-Microsoft Q&A
USOstandsforUpdateSessionOrchestrator(anewtooltocoordinateandmanageupdatesessions)、anewWindowsUpdateAgent.
上記の意味は、これが更新セッションを実行するツールです(たとえば、更新が実行される特定のWindowsデバイスに必要なWindowsまたはサードパーティコンポーネントの一部であるサービス、アプリなどのインストール.
この場合に問題を引き起こしているのはMicrosoftexeであると述べることの問題は、Microsoftがずっと前に独自の問題を修正した可能性が高いため、少なくともほとんどの場合、真実ではない可能性が高いことです. 代わりに、上記のURLに記載されているこのファイルおよび関連ファイルは、Windows Updateを介して提供されたインストールファイルを処理するだけなので、真の問題は、の開発者によって提供されたサードパーティのインストールファイルに含まれている可能性がはるかに高くなります.これらの追加製品、多くの場合、ユーティリティアプリまたは構成アプリのいずれかを含む可能性のあるドライバーまたはドライバーパッケージ.
これらのドライバーパックの一部は、完了間近のファイルコピーなどの追加のプロセスを自動的に呼び出すため、これらが実際に通知をトリガーする原因である可能性があります.ただし、インストールプロセス自体の何かが問題を引き起こしている場合は、Microsoftのテレメトリがそれを検出する必要があります.事実を確認し、WindowsUpdateグループのメンバーが対処できるように中継します.
ただし、これらのタイプのインストールの問題のほとんどは、通常、初期のテスト中に検出されると思われるため、これらのほとんどは、プロセスの後半で発生する可能性があります. これは、前回の投稿で説明しようとしていた問題です.ほとんどのアプリのインストールやユーザーが開始するアクションとは異なり、Windows Updateとこの関連するUSOエージェントによって管理されるアクションは、すべてWindowsに関連しているように消費者ユーザーに表示されます.それ自体、多くの場合そうではない場合、通知の実際の原因を特定することは困難であり、実際、個人的に何もできないことは事実です.
そのため、これらすべてを一般的に処理する方法についての私の長い説明があります. 言い換えれば、特定のアプリで特定できる特定の問題を本当に明確に引き起こさない限り、それらを無視してください. それ以外の場合、ほとんどの場合、それらは実際にはまったく問題ではなく、安全に無視できる迷惑な通知だけです.
消費者がこれを行うのに非常に苦労している理由は、セキュリティアプリからのすべての通知が重要であると考えているためです.前述したように、CFAは真のセキュリティではなく、特定のまれなケースでは単なるブロッカーです.ランサムウェアをブロックしている可能性があります. 最も安全な行動は、CFAでこれらを許可しないことです.ただし、原因と許可を選択した理由が100%確実でない限り、許可しない場合は無視してください.実際にはランサムウェアである可能性が低くなります.
新しいコンピューターを購入することを意味しますが、これらのCFA通知を永久に取り除く簡単な方法があることについては前に述べませんでした. 新しいデバイスを購入するときは、「Sモード」で実行されている新しいWindows 11Homeが付属していることを確認してください.この新しい、より限定されたversionのWindowsには、CFAが必要ないため含まれていません. これは、Sモードによって、レガシー実行可能ファイル(exe、com、batなど)、スクリプト(Java)、シェル(PowerShell、コマンドプロンプト)、およびレガシーデスクトップWindowsを影響を受けやすくするコードがすべて削除されたためです.マルウェアであり、通常は開発者のみが必要とします.
Sモードでは、ほとんどのマルウェアは単純に実行できず、CFAが保護するように設計された問題はSモードでも発生しないため、CFAは単に存在する理由がありません.
私はSモードで実行されているMicrosoftSurfaceGoタブレットを3年以上使用しており、マルウェアについて心配することはありません.マイクロソフトは、Sモードが有効になっている新しいWindows 11 Home(コンシューマー)システムを出荷していると思われますが、アップグレードについてはわかりません.アップグレード前に存在していたものと同じコアWindowsversionを実行する必要があり、通常はレガシーwindows 10であると思われるためです.
ロブ
応答4# ->にスキップ
3 #
RichAla 2021-12-22 22:16
ロブ、私はOPによっても言及されているsvchost実行可能ファイルについて考えていました. Microsoftは、構成に基づいてごく一部のユーザーにしか影響を与えないため、おそらくまだそれを採用していません. 制御されたフォルダアクセスはデフォルトで無効になっているため、平均的なユーザーには表示されません.

8 #
RobKoch 2021-11-01 13:42 2

logicly.blonde、
Controlled Folder Accessは、これらのフォーラムのほとんどの技術者をひどく混乱させるものであり、したがって、基本的な常識を持っている人だけが本当に理解できるものであるため、技術ではなく単純な常識でこれに答えます.
まず、CFAでは、マルウェア対策ではなく、単純で比較的ダムなファイルシステム、フォルダーブロック機能であることを理解することが重要です.ほとんどの場合、CFAは、実際にフォルダーに書き込もうとしているものを完全に認識していませんが、関連するApplicationが不良Applicationであるか良好Applicationであるかを認識していません. それが知っている唯一のことは、関係するフォルダが保護される(つまりブロックされる)フォルダのリストにあるかどうかです. この最も一般的な状況の例外は、特定のアプリがこのブロックをバイパスできるものとしてMicrosoftの組み込みホワイトリストに追加された場合です.これは通常、Windowsユーザーから頻繁に要求され、Microsoftによって「安全」であることが確認されているためです.ホワイトリストに登録されている特定のフォルダへの書き込みを実行します.
上記は多くのユーザーを混乱させる可能性があります.ランサムウェアからの保護は非常にスマートで高度な技術である必要があると考えているためです. 答えは同じように単純です.ほとんどのランサムウェアは、個人のドキュメント、写真、ファイルをすべて暗号化するために、ドキュメントなどの保護されたフォルダを書き込む機能を悪用しますが、デフォルトで許可されていない場合は、これらのファイルに損害を与える悪意のあるランサムウェア.
前の2つの段落は、ほとんどの人がCFAからの通知にどのように応答するかを理解し始めるのに十分なはずですが、今度はそれを完全に明確にしようとします.
Windowsフォルダーへの書き込みを許可する必要があるのは、それが合理的で安全な場合のみであるため、これらを許可する必要があるのは、どのApplicationが書き込みを実行しようとしているのか、およびその状況を理解している場合のみです.理にかなっています. 一方、状況が明確でなく、Applicationまたは単にCFA通知をもたらした一連の状況が疑わしい、または単に不明確である場合は、もちろん、可能性のある何かを許可したくないでしょう.リスク.
マイクロソフトが制御フォルダーアクセスを作成した本当の理由は、ユーザーアクセス制御の背後にある理由と似ています.この機能を理解していれば、Applicationが管理者アクセスを取得する機能をブロックし、PCユーザーにこの特権を許可するように要求するためです. 以前のケースと同様に、CFAが解決するように設計されている真の問題は、ほとんどの場合、何年にもわたって、Microsoftがソフトウェア開発者にやめるように要求していた潜在的に危険なことを開発者が行おうとすることです.
CFAの例では、私が通常見た最も一般的な早期通知は、一部のプログラムがWindowsデスクトップでアイコンを提供または自動的に作成しようとしたときでした.これは、Microsoftが10年以上にわたって推奨していなかったことです. CFAを選択した場合、アイコンの作成が許可されますが、元のリクエストは常にCFAが最初にブロックされていたため、リクエストを行ったApplicationが2回目の試行を行った場合に限ります. 明らかに、このアイコンの作成は重大なセキュリティの問題ではありませんが、デスクトップフォルダはCFAによって保護されているため、この状況は、上記で説明したのと同じ特性をすべて明確に示しています.
特定の状況と質問に戻ると、両方の通知をWindows Updateで開始されたインストールに明確に関連付けることができるため、これらは危険なものではなく、必要に応じて許可される可能性が高いことを理解する必要があります.
>
ただし、ここで明確にする必要があるもう1つの点は、同じアプリ(またはインストールパッケージの更新)から同じ特性を持つ同じ正確なリクエストが発生しない限り、同じインストールパッケージを手動で再度実行しようとすると、 CFA通知は何の役にも立ちます.
もう1つ明確にすべきことは、更新中の2つの異なるリクエストやデスクトップアイコンのインストールリクエストの場合のように、ほとんどの場合、CFAリクエストを許可する理由はまったくないということです.実際、書き込みがブロックされるほとんどの場合、ブロックされる特定のアイテムは本当に必要なものではなく、Applicationの操作にとって本当に重要ではないオプションのコンポーネントまたはフォローアップ操作にすぎません.
私は個人的に最初のCFA通知を見たことがありませんが、Windows Update中に、CFAがWindows 10に追加された最も早い時点に戻って2番目の通知を何度か見ました. この試みられた\Device\Harddisk0\DR0への書き込みを許可するように応答したことがないので、すでに説明したように、何をしようとしても実際には問題ではなく、通知を安全に無視できることは明らかです..
上記のもう1つの理由は、マルウェアが何らかの形でPCに侵入し、CFAで保護されたフォルダーに個人ファイルをインストールまたは上書き(暗号化など)しようとした場合、最後に許可することです.、したがって、そのような試みを行う原因不明のすべては常にブロックする必要があります.これは、CFAがデフォルトで常に行うことです.
その最後の文が十分に明確でなかった場合、どのような場合に、完全に理解していないものを許可したいと思うでしょう.なぜなら、何かを許可することが理にかなっているのは、インストールや実行などの前のアクションのときだけだからです.Applicationは、エラーまたはメッセージが表示されて明らかに失敗したことを実行しようとしました.つまり、アプリを本当に信頼している場合は、必要に応じて、フォルダーへの書き込み機能を許可する必要があります.
ロブ

9 #
GregCar 2021-11-01 10:42 1

念のために確認し、マルウェア攻撃について疑問があるかどうかを確認する方法を示しましょう.
最も強力なオンデマンドの無料スキャナーMalwarebytesを使用して、フルScanをダウンロード、インストール、実行します.
https://translate.google.com/translate?sl= auto&... .
[Malwarebytes設定]>[セキュリティ]タブで、ルートキットのScanを含めるように設定します.
必要に応じて、ネットワークを使用したセーフモード、または次のいずれかの方法でアクセスしたセーフモードで実行します. https://translate.google.com/translate?sl= auto&...
見つかったものをすべてクリーンアップし、PCを再起動してから、クリーンになるまで再実行します.
次に、AdwCleanerを使用してフルScanをダウンロード、インストール、実行します.
https://translate.google.com/translate?sl= auto&... 見つかったものをすべて削除します.
見つかったものがすべて[設定]>[アプリ]>[アプリと機能]に残っているかどうかを確認し、C:\Program FilesとC:\Program Files(86)でアンインストールまたは削除します. 問題がある場合にこれを行う方法をご案内します.
また、ここに示すように、ブラウザの拡張機能、ホームページ設定、検索サービス、またはアドオンのそれぞれで: https://translate.google.com/translate?sl= auto&...
自分で追加していないものを無効にし、必要なものを確認します. 疑問がある場合は、質問してください.
次に、次のチェックリストの手順10のシステムファイルチェッカーを実行して、破損したシステムファイルを確認します. windows 10のパフォーマンスとインストールの整合性チェックリスト
上記のチェックリストのステップ10をすべて完了しても修正されない場合は、修復インストールを実行して、ファイル、プログラム、およびほとんどの設定を保持したままWindowsを再インストールします. 次のリンクからメディア作成ツールをインストールします.windows 10をダウンロードし、ツールを開いて、[このPCを今すぐアップグレード]を選択します. これにより、ほとんどの問題が解決され、とにかく最も安定した方法で必要な最新versionになります.
Malwarebytesをオンデマンドスキャナーとして保持したい場合は、フロントパネルのスライダーボタンを使用して、リアルタイム試用版をオフにすることができます. 組み込みのDefenderを使用して、最高のWindowsパフォーマンスと適切なリアルタイム保護を実現します
Controlled Folder Accessを超えてアプリを許可するには、次を参照してください.