C:\Winodws\System32\conhost.exe の不審な振舞い

標記のプログラムが不審な振舞いをしています。

具体的には、
・Norton Internet Security 2012 のログに、「C:\Winodws\System32\conhost.exeからNortonのプログラムコンポーネントに権限のないアクセスがあり、それを遮断した」という趣旨の記載が2,3日に一度の頻度で残されてます。

・Norton Internet Security の検疫と呼ばれる機能を使い、C:\Winodws\System32\conhost.exeの動作を明示的に殺そうとすると、検疫機能から「そのソフトが存在しない」という趣旨のメッセージが出ます。

・VirusTotal でC:\Winodws\System32\conhost.exe を検査するため、このサイトに同ソフトを送付しようとしました。VirusTotal にはサイトの Web 画面上から送付したい(PC内の)ファイルを選択する機能がありますが、この機能を使ってPC内のC:\Winodws\System32フォルダを眺めても、conhost.exe を見つけることができません。
.
・通常のように、Explorerからこのフォルダを調べると、確かに上記のフォルダにconhost.exeは存在しています。

なお、この現象はNorton Internet Security 2011でも確認しています。また、この件については Symantec のサポートに再三の問い合わせを行いましたが、Windows システムのプログラムの振舞いなので、Symantec からは一切コメントできないという回答でした。

真相の究明のため、どうぞよろしく、ご援助をお願いいたします。

* 小さ目のページ番号でお試しください。

* 番号のみをご入力ください。

* 小さ目のページ番号でお試しください。

* 番号のみをご入力ください。

Console Host に関しては、 下記の文書を参照してみてください。

> この機能を使ってPC内のC:\Winodws\System32フォルダを眺めても、conhost.exe を見つけることができません。

VirusTotal で検査したいのであれば、 conhost.exe
 を 任意の場所にコピー をして、 そのコピー を VirusTotal に Uploda して検査を実行してください。

怪しい挙動があるのであれば、
Microsoft Safety Scanner、 SuperAntiSpyware、Emsisoft Emergency Kit などを使って、
Full Scan を実行してみてください。




The Emsisoft Emergency Kit

http://www.emsisoft.com/en/software/eek/

一人がこの回答を役に立ったと思いました

·

この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

ご回答まことにありがとうございます。

言葉足らずでした。

conhost の機能については従前より理解しているつもりです。

問題は、たとえばコマンドプロンプトを起動したわけではないのに、なぜ不定期に conhost が走るのか、さらに、その本来の機能からはまったく想定されないような振舞い(Norton のコンポーネントへのアクセス)をするのか、という点です。

また、Norton のマルウェア検出能力が必ずしも高くないということも理解しております。他のセキュリティソフトで異常が発見されたわけではありません。ただ、Nortonとの組み合わせでこのような異常が発生することそのものが問題だと思います。

付け加えるならば、VirusTotal に conhost を送ろうとするとき、このファイルが見えない理由はなぜでしょうか。もちろん、conhost のコピーを作ればそれを送ることはできます。しかし、元々の conhost が送れない理由は何でしょうか。




この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

> VirusTotal に conhost を送ろうとするとき、このファイルが見えない理由はなぜでしょうか。

System32 は 保護されたフォルダです。

> たとえばコマンドプロンプトを起動したわけではないのに

別に Command Prompt ではなく、 それを使う、 プロセスが稼働すれば、
あるいは 要求されれば、 稼働すると思います。

先に提示した文書にあるように、 Process Explorer を使って Conhost のプロセスを、
定期的にチェックされてみてはいかがでしょうか。


3 ユーザーがこの回答を役に立ったと思いました

·

この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

>> VirusTotal に conhost を送ろうとするとき、このファイルが見えない理由はなぜでしょうか。

>System32 は 保護されたフォルダです。

では、conhost 以外のファイルが見えるのはなぜでしょうか。

そもそも System32 とその配下のフォルダ、ファイルに対して、管理者ユーザーはフルコントロールのアクセス権をもっています。仮に、conhost が実行状態にあっても少なくとも読み取り権限はあるのではありませんか。

この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

>> VirusTotal に conhost を送ろうとするとき、このファイルが見えない理由はなぜでしょうか。

>System32 は 保護されたフォルダです。

では、conhost 以外のファイルが見えるのはなぜでしょうか。

そもそも System32 とその配下のフォルダ、ファイルに対して、管理者ユーザーはフルコントロールのアクセス権をもっています。仮に、conhost が実行状態にあっても少なくとも読み取り権限はあるのではありませんか。

パスを直接指定しているので見えているのでは有りませんか ?
System32 のフォルダ内を操作するのは被害が拡大する可能性が有ります。

Norton が判断しているファイルが感染しているかも判断していないのに削除をしようとして大丈夫ですか ?
大変知識が有るような内容を投稿者に返信していますが、解らないために質問をしているという姿勢は必要だと思います。

Symantec に確認した方が良いと思います。

この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

> そもそも System32 とその配下のフォルダ、ファイルに対して、
>管理者ユーザーはフルコントロールのアクセス権をもっています

通常 System32 の中の conhost.exe には 管理者、 System ともに Full Control の 権限は与えられていないと思います。
管理者 あるいは 管理者権限の ユーザに対して Full Control の アクセス権が与えられている場合、
一般的ではない 何らかの変更が加えられていると考えたほうがよろしいのではないかと思います。

3 ユーザーがこの回答を役に立ったと思いました

·

この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

System32 フォルダの内容をやみくもに操作しようとしているわけではありません、

ただ単に、このフォルダの中の1ファイルをVirusToalに送信しようとし、それが不可能であるという状況を迎えているということです。

また、Nortonを使って行おうとしていたのは、むやみなファイルの削除ではなく、検疫と呼ばれる隔離操作です。私はこれを安全な仮想環境でひとつの実験として行い、かつ、Nortonはなぜゆえかそれに失敗したということです。

さらに、質問本体にも書きましたように、私はすでにこの件をSymantecに対して再三問い合わせています。Symantec 側の回答を再掲しますと、「これは Windows システムのプログラムの振舞いなので Symantec からは一切コメントできない」ということです。

Symantec の言い分をごく単純に解釈すれば、これは単に conhost のバグであるということになるでしょう。しかし、それを鵜呑みにできないのは、conhost がVirusTotal を初めとするいくつかのサイトやユーティリティから不可視の状態になっているということです。


この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

>通常 System32 の中の conhost.exe には 管理者、 System ともに Full Control の 権限は与えられていないと思います。


おっしゃるとおりです。System32フォルダそのものに注目すると、その配下のファイルには管理者に対するフルコントロールが許されています。しかし、実際にSystem32フォルダにおかれているシステムファイルに関しては、管理者によるフルコントロールは認められていません。

前言を訂正いたします。

この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

System32 フォルダの内容をやみくもに操作しようとしているわけではありません、

ただ単に、このフォルダの中の1ファイルをVirusToalに送信しようとし、それが不可能であるという状況を迎えているということです。

また、Nortonを使って行おうとしていたのは、むやみなファイルの削除ではなく、検疫と呼ばれる隔離操作です。私はこれを安全な仮想環境でひとつの実験として行い、かつ、Nortonはなぜゆえかそれに失敗したということです。

さらに、質問本体にも書きましたように、私はすでにこの件をSymantecに対して再三問い合わせています。Symantec 側の回答を再掲しますと、「これは Windows システムのプログラムの振舞いなので Symantec からは一切コメントできない」ということです。

Symantec の言い分をごく単純に解釈すれば、これは単に conhost のバグであるということになるでしょう。しかし、それを鵜呑みにできないのは、conhost がVirusTotal を初めとするいくつかのサイトやユーティリティから不可視の状態になっているということです。

隔離の操作をするのであれば殺すという表現は不適切です。
むやみにと頻繁に使っていますが、 thrn2011 さんの文章からすると私ではなく symantec はその様に思うかもしれません。

操作が出来なければ Windows の Bug と考えるのは短絡的です。
通常は問題のある動作をして他のソフトに影響を与えるものが原因と考えます。

この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

失礼ながら、回答者様は、私のもともとの質問文とその後のやりとりをよくお読みになり、その趣旨を理解なさった上で回答をなさっていらっしゃるようには思えません。

おっしゃっていることは的外れです。

この回答が役に立ちましたか?

役に立ちませんでした。

素晴らしい!フィードバックをありがとうございました。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

* 小さ目のページ番号でお試しください。

* 番号のみをご入力ください。

* 小さ目のページ番号でお試しください。

* 番号のみをご入力ください。

 
 

質問情報


最終更新日 2020年10月23日 表示 26,267 適用先: