ランサムウェア保護はsvchost.exeをブロックし続けます
最近、何らかの理由で私のランサムウェア保護が%userprofile%\videosからsvchost.exeをブロックし始めましたか?これは、PCの電源を入れるたびに発生します.また、最後にsvchost.exeが正当なホストプロセスであることを確認しましたが、これは突然発生し始めたためです.脅威レベルは低いと言っていますが、ブロックされているホストプロセスは私にとって一種の危険信号です...これはある種のバグですか、それとも偽旗ですか?また、奇妙に思われる他の何かは、私の保護履歴がクリアされているように見えることです?
返信リスト(回答:10)
やあ.同じ質問があります.
最近、Microsoftランサムウェア保護によってブロックされるプロセスが増えていることに気付きました.
SrTasks.exe...\Device\HarddiskVolume1
RuntimeBroker.exe...%userprofile%\Videos
(SrTasks.exeは「MicrosoftWindowsシステム保護のバックグラウンドタスク」です.この現象は私には理解しにくいです.)
svchost.exeとRuntimBroker.exeはプロセスと呼ばれる可能性があり、問題の原因ではない可能性があることは知っていますが、どのプロセスがそれらを呼び出したかを知りたいです.
応答3# ->にスキップ1 #RobKoch 1\Videos\Tdbswd56spcapという名前の保護されたフォルダに書き込もうとしているnvcontainer.exeアプリは、2017年後半からの別のフォーラムでのこのはるかに古い投稿によると、かなり前から存在しているようです.
WINDOWS DEFENDER CONTROLLED FOLDER ACCESS:NVCONTAINER.exe
私の検索では、さまざまなフォーラムで他のいくつかのスレッドも見つかりましたが、このフォルダーが作成または書き込まれた理由を誰もが知っていることを示すものはなく、Nvidiaを最近インストールまたは更新したときに通常発生する場合は、悪意のある可能性は低いと思われます.ドライバーとこれらは、Windows Updateを介して、または別のNvidia認可ソースから直接入手したものです.
無視するか、必要に応じて許可しますが、前のフォルダーがブロックされてブロックされないため、次にユーザーまたはWindows Updateが同じアクションを再度実行するまで、このフォルダーを変更または更新することはできません.通常、次に更新が行われるまで繰り返されます. ただし、それらが繰り返されている場合は、ソースが信頼できるものであると安心できると仮定して、allowingはこれらを停止します.
Controlled Folder Accessについて覚えておくべき重要なことは、状況が疑わしいのは、何が原因であるかがわからない場合だけですが、この場合、これらはNvidiaの更新が原因であるとかなり確信しています.
ロブ
Microsoft Defenderを更新して、システム全体のScanを実行してみてください.
Windowsも更新してください.
これは通常の動作ではありません.あなたが言ったように、svchost.exeは安全ですが、マルウェアが正規のプログラムの名前でプロセッサを作成することがあります.
このプロセッサの場所を知っていますか?
例外に追加することもできますが、その前に、それが本当に安全で合法的なものであることを確認する必要があります.
応答10# ->にスキップ9 #SwagMasすでにかなり時間が経っていますが、いいえ、プロセッサの場所はわかりません.はい、システム全体のScanを複数回実行しましたが、何も検出されませんでした.
また、更新後、ブロックの通知が停止したので、バグが発生する可能性がありますか?その後はあまり調べていませんが、PCには何も違和感がないようですが、ある種のウイルスだったとしたら、何もダウンロードしておらず、実際には何もダウンロードしていないので、どうやって入手したのかわかりません.奇妙なサイトに行くと奇妙になります.
ただし、その間に、発生する直前のNvidiaドライバーの更新をインストールしたので、それに関連している可能性がありますか?
応答9# ->にスキップ7 #RezaAmeはい、関連している可能性があり、誤検知である可能性があります.
オープンスタートを試してフィードバックを検索し、フィードバックハブアプリを開いてこの問題を報告してください.
応答7# ->にスキップ6 #SwagMasさて、それは再びそれを始めました、Windows Defenderはまだ何も拾っていませんが、私はそれを止める方法がわかりません.アクセスを許可しますが、実際にウイルスであるリスクを冒したくありません.(また、フィードバックHubがないようですが?)
応答6# ->にスキップ5 #RobKochこのスレッドの以前の投稿で書いたように、これはビデオカードドライバーに関連している可能性があります.これは、先週の火曜日に毎月のWindows Updateサイクルが発生したため、ファイルのソースである可能性が高く、これが再発する可能性があります.、それは毎月のブラック火曜日(第2火曜日)の毎月のWindowsUpdateリリースなので.
NVIDIAドライバーについて言及されましたが、AMDドライバーサービスの実行可能ファイルに関して過去に言及されたこの問題のみを確認しました.これは、当時の私の考えで回答した次のスレッドで具体的に言及されています.
同じVideosフォルダーがこれらすべてに関与しているように見えても、追加のsvchost.exeの関与は最近のスレッドでも開始されているように見えるため、NVIDIAは現在ドライバーと同様のことを行っている可能性があります.
とりわけそのスレッドの私の投稿で述べたように、CFAは単に比較的ばかげた書き込みブロックアプリであり、ランサムウェアが暗号化されたコピーで個人ファイルを上書きするのを防ぐように設計されていますが、実際にはそれが何をブロックしているのか正確にはわかりません.ほとんどの場合、これらのフォルダには何も書き込まないはずです.
したがって、これらの古い投稿でも言及しているように、これらの通知がWindows Updateのインストールに関連してのみ発生する場合は、通常、これらの通知について心配する必要はありません. 実際、システムが起動するたびに通知が繰り返し表示されない限り、通知を無視します.CFAを介して通知を「許可」する必要がある唯一の理由は、実際に問題を引き起こしている場合であるためです.ビデオドライバが機能していないことに関連する重要な問題などを特定できます.
ロブ
応答5# ->にスキップ4 #DanielENvidiaドライバーを更新したところ、これも発生し始めました.アクセスを許可しましたが、悪意のあるものである可能性があると考えると、ちょっと怖いです.
応答9# ->にスキップ8 #RobKochNVidiaドライバーについては、おそらく正しいでしょう.CFA、Videosフォルダー、およびコミュニティ検索と同じ一連の症状が、リストされているほとんどのスレッドに表示されるはずだからです.
コミュニティ検索:CFAビデオsvchost.exeがブロックされました
私は自分の考えでこれらのいくつかを投稿したので、ここでは繰り返しません.興味があれば、RobKochの投稿を探してください.
ロブ