CPU使用率の合計が一致しません

Windows タスクマネージャのプロセスに表示されている各プロセスの合計（System Idle Process以外）と下部に表示されているCPU使用率の合計が一致しません。

詳しく申しますと、普段System Idle Processが90～95%で
それ以外のプロセスの合計は5～10%なのですが、
タスクマネージャの下部に表示されている「CPU使用率:○○%」の合計部分が常に40～50%になっております。
今まではこのようなことはなかったので少し不安になり色々と調べてみたのですが、未だ解決しておりません。
ウイルスチェックの方はアンチウイルスソフト「Norton Internet Security」のフルスキャンと
「Windows Live OneCare」のオンラインフルスキャンを行いましたが何も検出されませんでした。
これはタスクマネージャのプロセスに表示されていない他の何かが動いているということなのでしょうか？
それとも物理的な問題でCPUやハードディスク等の寿命が原因なのでしょうか？

分かる方おりましたらどうかよろしくお願いいたしますｍｍ

NEC LaVie PC-LL7305D
OS：Windows XP Home Edition (5.1, Build 2600) Service Pack 2 (2600.xpsp_sp2_gdr.061219-0316)
プロセッサ：Mobile Intel(R) Celeron(R) CPU 1.60GHz
メモリ：734MB RAM
HDD容量：40GB
インターネット回線:無線LAN/54Mbps
使用アンチウイルスソフト：Norton Internet Security 2005

No.6 ベストアンサー 回答者： FMVNB50GJ 回答日時： 2007/03/28 11:53

http://forum.telecharger.01net.com/telecharger/s …

C:\System Volume Information\_restore{DF167729-BB70-405E-96B0-3877D785703B
}\RP325\A0018241.dll
のA0018241.dllで検索
サイトアドバイザーでは注意サイトであったが、
Virus: Application.Adware.Sidefind.B
C:\System Volume Information\_restore{20813F10-07D0-4AE9-8587-6B4D96CB944E}\RP111\A0018241.dll

よくわからんので情報だけ。

ずっと40～50%なんておかしいけどね。
普通は変化するものだと思うけど。

ad-aware SE Proを入れていたら、そういうことはあったと思う。それのad-Watchというやつ。怪しいプロセスを監視する機能が原因だった。

この回答へのお礼

FMVNB50GJさん、ついに光が見えてきたかもしれません。

前回教えていただいたProcess Explorerを使用してタスクマネージャと比較してみたところ、

タスクマネージャ（CPUを消費していないプロセスは除く）
System Idle Process 　90%
explorer.exe　　　　　　　02%
taskmgr.exe　　　　　　 　05%
services.exe　　　　　　　02%
Sytem　　　　　　　　　 　02%
CPU使用率：42%

Process Explorer（CPUを消費していないプロセスは除く）
System Idle Process 　54.21%
　Interrupts　　　　　　　13.08%
　DPCs　　　　　　　　　　24.30%
Sytem　　　　　　　 　　　 0.93%
services.exe　　　　　　　 2.80%
explorer.exe　　　　　　　 0.93%
ClientMgr2.exe　　　　　　 0.93%
taskmgr.exe　　　　 　　　 2.80%
CPU使用率：45.79%

※各数値は多少ずれております。

Process ExplorerのSystem Idle Processの中に
InterruptsとDPCsというものがあって調べてみたところ、
http://srgia.blog46.fc2.com/blog-entry-211.html
http://www.atmarkit.co.jp/fwin2k/bookpreview/ins …
等を参照し、これから判断すると
System Idle Process≒System Idle Process＋Interrupts＋DPCsで
System Idle Process（54.21%）とCPU使用率（45.79%）であれば
計算が合います。
問題はInterruptsとDPCsですが、
まだ詳しくは私には分かりませんがこれが寿命によるものなのか、
また、これを軽減する手段はあるのかなどを調べてみます。

FMVNB50GJさんのお陰でここまでたどり着くことが出来ました。
本当に感謝しております。

お礼日時：2007/03/29 00:25

No.5 回答者： FMVNB50GJ 回答日時： 2007/03/27 07:16

問題は、<<普段System Idle Processが90～95%で>>

<<「CPU使用率:○○%」の合計部分が常に40～50%になっております>>

タスクマネージャで「全ユーザーのプロセスを表示する」ところにチェックしていてもそのように表示することですかね。

ブラックライトは何もないようなので。
ルートキットリヴィーラーの見方についてはわかりませんが、Favoritesのものはそのパソコンの仕様ではないですか。

今のところ何も特段感染したような症状がないなら、システムの復元を無効にしたり、ノートンで何か捕らえたものが在るなら、「パソコンから永久に削除する」操作をしては。
ほかには、一時ファイルの類です。
IEのクッキーとかも削除しては。

それと、ネットやるパソコンは、ネットを使うプログラムで使わないものは、基本的に削除するようにしています。
当方富士通のパソコンですが、たくさんあります。

「全ユーザーのプロセスを表示する」でまだそうなるなら何なのかわかりません。

パソコンで再生するCDですが、
http://japan.cnet.com/news/sec/story/0,200005602 …

NECのパソコンは、リカバリ領域をハードディスクに備えているものでしたら、ハードディスクの全データを削除するなら注意したほうがいいですね。

プロセス見るなら、
http://www.microsoft.com/technet/sysinternals/Pr …
この方がわかりやすい。

この回答への補足

回答ありがとうございます。

自分なりに調べてみました。

HKLM\SECURITY\Policy\Secrets\SAC*
HKLM\SECURITY\Policy\Secrets\SAI*
C:\Program Files\Common Files\Symantec Shared\VirusDefs\20070321.018\vscanmsx.dat
調べたところ具体的には良く分かりませんでしたが問題なさそうでした。

C:\System Volume Information\_restore{DF167729-BB70-405E-96B0-3877D785703B}\RP325\A0018241.dll
システムの復元のファイルでした。



>>タスクマネージャで「全ユーザーのプロセスを表示する」ところにチェックしていてもそのように表示することですかね。

その通りです。



>>ルートキットリヴィーラーの見方についてはわかりませんが、Favoritesのものはそのパソコンの仕様ではないですか。

Rootkit Revealerにあった121ware.url～インターネットどきどき体験.urlはなぜかPCの各アカウントごとのお気に入りのリンクでした。このリンクは特に使っておりませんので一応消しておきます。



>>今のところ何も特段感染したような症状がないなら、システムの復元を無効にしたり、ノートンで何か捕らえたものが在るなら、「パソコンから永久に削除する」操作をしては。
ほかには、一時ファイルの類です。
IEのクッキーとかも削除しては。

以前、Norton Internet SecurityとWindows Live OneCareでフルスキャンを行ったと申しましたが、具体的には
１、Nortonでフルスキャン
２、OneCareでフルスキャン
システムの復元を無効後
３、Nortonでフルスキャン
４、OneCareでフルスキャン
の手順で行いましたがCPU使用率の合計が一致しない問題は改善されませんでした。
その後、システムの復元を有効に戻しました。
また、今現在隔離しているウイルス等はありませんので全て削除済みだと思われます。
クッキーや一時ファイル等は定期的に手動で削除しております。
念のためCCleanerを使用して不要ファイルを掃除してみましたが変化はありませんでした。



>>パソコンで再生するCDですが、
http://japan.cnet.com/news/sec/story/0,200005602 …​
こんな記事があったとは・・・初めて知りました。
実は私はSony製のMP3ポータブルプレイヤーを持っており、パソコンからMP3プレイヤーに音楽を保存する際SonicStageというソフトが必要だったので、PC内にインストールされておりました。

不安になったので試しにアンインストールしてみましたが何も変わりませんでした。



>>NECのパソコンは、リカバリ領域をハードディスクに備えているものでしたら、ハードディスクの全データを削除するなら注意したほうがいいですね。

原因は解明したいですがやはり再セットアップしかないのかもしれません。本当に謎です。



>>プロセス見るなら、
http://www.microsoft.com/technet/sysinternals/Pr …​
この方がわかりやすい。

試してみます。

補足日時：2007/03/27 20:47

No.4 回答者： FMVNB50GJ 回答日時： 2007/03/26 07:33

WinDBGですが、

http://www.ttoyota.com/php/windbgintro.php
で詳しいです。

紹介したアドレスの　!idt -a　を試すことで調べようとしているなら、確かに表示しますが、さっぱりわかりません。

lkd> !idt -a

Dumping IDT:

00:8053f58c nt!KiTrap00
01:8053f704 nt!KiTrap01
02:Task Selector = 0x0058
03:8053fad4 nt!KiTrap03
04:8053fc54 nt!KiTrap04
05:8053fdb0 nt!KiTrap05
06:8053ff24 nt!KiTrap06
07:8054058c nt!KiTrap07
以下略

こんな具合に出てきます。
http://www.f-secure.com/blacklight/
ではなく、単に詳しく調べるなら、
http://www.microsoft.com/technet/sysinternals/Se …
だろうけど。

この回答への補足

C:\Documents and Settings\Default User\Favorites\NEC　\121ware.url
2000/08/19 11:4774 bytes
Hidden from Windows API.
C:\Documents and Settings\Default User\Favorites\NEC　\BIGLOBEサーチ.url
2001/02/28 0:0083 bytes
Hidden from Windows API.
C:\Documents and Settings\Default User\Favorites\NEC　\BIGLOBEホームページ.url
1998/10/01 0:0051 bytes
Hidden from Windows API.
C:\Documents and Settings\Default User\Favorites\NEC　\GlobalEnglishサービス.url
2001/07/27 11:54458 bytes
Hidden from Windows API.
C:\Documents and Settings\Default User\Favorites\NEC　\NECホームページ.url
1997/08/18 0:0047 bytes
Hidden from Windows API.
C:\Documents and Settings\Default User\Favorites\NEC　\インターネット ステーション (おすすめ！）.url
1998/12/08 0:0075 bytes
Hidden from Windows API.
C:\Documents and Settings\Default User\Favorites\NEC　インターネットどきどき体験.url
1998/04/08 0:0087 bytes
Hidden from Windows API.
C:\Documents and Settings\mine\Favorites\NEC\121ware.url
2000/08/19 11:4774 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\mine\Favorites\NEC\BIGLOBEサーチ.url
2001/02/28 0:0083 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\mine\Favorites\NEC\BIGLOBEホームページ.url
1998/10/01 0:0051 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\mine\Favorites\NEC\GlobalEnglishサービス.url
2001/07/27 11:54458 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\mine\Favorites\NEC\NEC ホームページ.url
1997/08/18 0:0047 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\mine\Favorites\NEC\インターネット ステーション (おすすめ！）.url
1998/12/08 0:0075 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\mine\Favorites\NEC\インターネットどきどき体験.url
1998/04/08 0:0087 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\mine\Favorites\NEC　\121ware.url
2000/08/19 11:4774 bytes
Hidden from Windows API.
C:\Documents and Settings\mine\Favorites\NEC　\BIGLOBEサーチ.url
2001/02/28 0:0083 bytes
Hidden from Windows API.
C:\Documents and Settings\mine\Favorites\NEC\BIGLOBEホームページ.url
1998/10/01 0:0051 bytes
Hidden from Windows API.
C:\Documents and Settings\mine\Favorites\NEC\GlobalEnglishサービス.url
2001/07/27 11:54458 bytes
Hidden from Windows API.
C:\Documents and Settings\mine\Favorites\NEC\NECホームページ.url
1997/08/18 0:0047 bytes
Hidden from Windows API.
C:\Documents and Settings\mine\Favorites\NEC\インターネットステーション (おすすめ！）.url
1998/12/08 0:0075 bytes
Hidden from Windows API.
C:\Documents and Settings\mine\Favorites\NEC\インターネットどきどき体験.url
1998/04/08 0:0087 bytes
Hidden from Windows API.
C:\Program Files\Common Files\Symantec Shared\VirusDefs\20070321.018\vscanmsx.dat
2007/03/26 22:572.02 KB
Hidden from Windows API.
C:\System Volume Information\_restore{DF167729-BB70-405E-96B0-3877D785703B}\RP325\A0018241.dll
2007/03/26 20:31253.49 KB
Hidden from Windows API.

途中までしか収まりませんでした。
以降は
C:\WINDOWS\system32\config\systemprofile\Favorites\NEC\と
C:\WINDOWS\system32\config\systemprofile\Favorites\NEC　\で
\以降はそれぞれ121ware.urlからインターネットどきどき体験.urlと同じ名前でした。
とりあえずこれらを検索して調べてみることにします。

補足日時：2007/03/27 00:45

この回答へのお礼

リンクの方ありがとうございます。
今カーネルデバッガー「WinDbg」入門を参照しつつ進めておりますが、
確かにさっぱりわかりません。
これは気長に覚えていかないと大変ですね。（私の知識不足ですみません・・・
そこでF-Secure Blacklight使用してみたのですが何も発見されませんでした。
次にRootkit Revealerを使用して検出を試みたところ46個検知されました。
以下が検知されたもので、txt形式で保存したものですが、なぜか日本語部分以降が抜けておりましたので表示通りに付け加えました。

HKLM\SECURITY\Policy\Secrets\SAC*
2002/11/07 18:210 bytes
Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*
2002/11/07 18:210 bytes
Key name contains embedded nulls (*)
C:\Documents and Settings\Default User\Favorites\NEC\121ware.url
2000/08/19 11:4774 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Default User\Favorites\NEC\BIGLOBEサーチ.url
2001/02/28 0:0083 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Default User\Favorites\NEC\BIGLOBEホームページ.url
1998/10/01 0:0051 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Default User\Favorites\NEC\GlobalEnglishサービス.url
2001/07/27 11:54458 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Default User\Favorites\NEC\NECホームページ.url
1997/08/18 0:0047 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Default User\Favorites\NEC\インターネット ステーション (おすすめ！）.url
1998/12/08 0:0075 bytes
Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Default User\Favorites\NEC\インターネットどきどき体験.url
1998/04/08 0:0087 bytes
Visible in Windows API, but not in MFT or directory index.

お礼日時：2007/03/27 00:42

No.3 回答者： FMVNB50GJ 回答日時： 2007/03/25 17:54

「タスクマネージャのプロセスに表示されていない他の何か」

プロセスは隠蔽できるらしいですが。

http://www.f-secure.com/blacklight/

http://japan.zdnet.com/news/hardware/story/0,200 …
http://itpro.nikkeibp.co.jp/article/NEWS/2007020 …

Norton Internet Security 2005の定義の日付のほうは最新でしょうか？

この回答へのお礼

回答ありがとうございます。

Norton Internet Security 2005のウイルス定義は3/21となっており今現在最新のものになっております。

記事の方拝見させていただきました。
自身を隠蔽するマルウェアがあるとは知りませんでした。
早速WinDBGの使い方について調べてみることにします。

お礼日時：2007/03/25 23:58

No.2 回答者： fuchihiro 回答日時： 2007/03/25 16:30

追記

なにも動かしていないとき（安定しているとき）は前記のプロセスは１００％です。もし、それ以外のプロセスなら名称を書いてもらえば、なんらかの助言はさしあげることができるかもしれません。

この回答へのお礼

回答ありがとうございます。

今現在、CPUを消費している常駐プロセス名は以下の通りです。

clientmgr2.exe
：YAHOO!BBの無線LANのステータス状態を表示するアプリケーションだと思われます。

ati2evxx.exe：グラフィックドライバ関係？？
csrss.exe：重要なシステム？？よくわかりません。
explorer.exe：エクスプローラ関係？？
lsass.exe
System

これらのプロセスが０～５％を行き来して消費しており、
合計で大体５～１０％を消費しております。（taskmgr.exe、System Idle Processを除く）
下の5つに関して調べてみると重要なシステムであることはわかりましたが、
私の知識不足で具体的にどんな活動をしているのかはわかりませんでした。
稀にウイルスに感染していることもあるようですが・・・

お礼日時：2007/03/25 23:56

No.1 回答者： fuchihiro 回答日時： 2007/03/25 16:27

CPUは常に何かで使ってないとだめです（回路に組み込まれてるので）。

そのためSystem　Idle　Processで常に使用しているのです。システムには関係ないです。