カスペルスキーがわかりません

昨日カスペルスキーのお試し版を入れましたが、今日PC起動したときに

「プロセスはシステムサービスへアクセスするために削除を得ようをしています。
レジストリアクセス
HKEY_LOCAL_MACHINE/SYSTEM/CO......./rpcetp
プロセスを実行します（PID:764）
C://windows/system32/Services.exe」

というのが出てきましたがよくわからなかったので一度電源おとして再び起動したら出てきませんでした。

詳細をクリックしてみたら何かがレジストリにアクセス（改ざん？）しようとしていたみたいです。
これはウイルス？それとも必要なアクセス？
（ちなみに昨日PC全体をスキャンした時は何もでてきませんでしたが、そのあと友人からの写真付きメールをWEB上で開けました。）

どう処理すればよいのかわかりません。
また今後似たようなのがでてきても許可していいのか判断の仕方がわかりません。
どなたか詳しい方教えていただけませんか？

No.6 ベストアンサー 回答者： ft4545ft 回答日時： 2008/07/06 16:28

だったら、これしかない！

　　　システムリカバリ → カスペルスキーのインストール。
こんなことを要求するセキュリティソフトはちょっと問題だなぁと思いますねぇ。私ならレジストリ編集ツールを使いますが、質問者さんにはちょっと大変でしょ？　時間ももったいないしね。これでも解決しないなら、別の質問を立ててください。成功を祈ります。

この回答へのお礼

なるほど！リカバリしてしまえばいいのか！！
新たに他の警告もでてきたので別に質問してみましたら、どうも‘パソコンが盗まれた時の追跡ソフト’なるものが入っていたようです。
いまアンインストールしようかと探したら見つからなかったので、どうしようかと思っていたので、この際時間がある時にリカバリしてしまった方がよさそうですね。
これでやっと解決できそうです。ありがとうございました！！！

お礼日時：2008/07/06 17:24

No.5 回答者： ft4545ft 回答日時： 2008/07/05 13:00

２つの周辺情報が見つかりました。

１．LANケーブルを抜くと再起動する件
外部からＰＣをリモートコントロールさせるサービスが機能していると、このような症状が出るとのことです。rpcnet.exeというソフト（詳細不明）が見つかるのなら、このソフトがいたずらしている可能性が高く、windows本来のサービスではないから停止してかまわない。rpcnet.exe自体は悪質ではないようですが、他のマルウエアが化けていることがある。
（XPでは）マイコンピュータの管理を開いてサービスをダブルクリック。右側から、remoteで始まるサービス名を見つけてください。その中に「Remote Procedure Call (RPC) Net」が見つかれば、その名前の上で右クリックしてプロパティを選んで、「サービスの状態」で停止を指定して下さい。停止したら、「スタートアップの種類」で無効を指定してください。
掲示板で近頃よく見るマルウエアに、既成のネットワーク・ドライバ（エンジン）を悪用した新種があります。System32に正規のドライバ・プログラムをマルウエアがインストールし、正規のネットワーク・ドライバを介して感染していくというものです。インストールされるドライバ自体は正規のプログラムですから、判断が難しい。その対抗策としてヒューリスティック・モードが必要になる、らしいです。

２．ウイルスバスターの完全削除に失敗すると、カスペルスキーが変な症状を出すことがある。完全削除についてはいかがでしょうか。私見ですが、カスペルスキーのインストール・アンインストールは結構神経質ですよ。

以上、御参考までに。何かのヒントになればいいですね。

この回答へのお礼

またお礼が遅くなってすいません。。。すっごく詳しく説明くださってありがとうございます！！！
今日セーフモードで起動してPC完全スキャンしたけど何も検出できませんでした。
教えて頂いたRPCnetを検索してみましたが見つけられません。。。
ウイルスバスターのアンインストールはカスペルスキーを入れた後に削除しようと思っていたら、カスぺのインストール中にウイルスバスターのアンインストールを促されたのでその時しました。
その他に自分でインストールしたのはFIREFOXだけです。

リモートコントロールされている可能性あるのですか・・・？
無線LANも使わないしファイアーウォールも高めで使って使っていたつもりなのに・・・　ちなみにオンラインゲームとかもしません。。

お礼日時：2008/07/06 01:36

No.4 回答者： ft4545ft 回答日時： 2008/07/04 17:05

rpcnetpについてですが、

rpcnetp.exeというプログラムがC:\Windows\System32に見つかりませんか。Windows XP上のファイルサイズは17408バイトか16896バイト。rpcnetp.exeは Windowsのフォルダに置かれますが、正規のファイルではないので削除してかまいません。rpcnetp.exeは他のプログラムを操作するので大変危険です。rpcnetp.exeを見つけて削除してください。見つからなければ、補足してください。

この回答への補足

今C:\Windows\System32を開けて探してみたけど見つかりませんでした。
明日PC全体ウイルススキャンしてみます。

補足日時：2008/07/05 00:38

この回答へのお礼

お礼が遅くなってすいません。
OSはＶＩＳＴＡです。ファイルを探して削除してみます。
　
リカバリーにアクセスしようとする警告はとりあえずぜんぶ拒否しましたけど、今朝からLANケーブルを抜くとPCが黒い画面になって電源が落ちて再起動するというへんな現象がおきています。

（先週買ったばかりのパソコンでデータも移動してないし危険なサイトもいってないのに何故にウイルス入りこんだのだろう・・・？写真付きのメールかしら？）

お礼日時：2008/07/05 00:25

No.3 回答者： wamos101 回答日時： 2008/07/04 02:12

#1です。

Process Explorerはこちら

http://cowscorpion.com/Process/ProExp.html

この回答へのお礼

ありがとうございます！！！

お礼日時：2008/07/04 02:36

No.2 回答者： wamos101 回答日時： 2008/07/04 01:32

#1です。

Malwareの可能性が高いと見ました。

ダイアログで許可を与えないで下さい！！！！

WinSock2というのは、WinにおけるTCP/IPのAPIです。これのフックによるパラメータ変更ですのでやはり非常に怪しいと判断します。

なお、プロセスを調べるにはProcess Explorerが便利です。

この回答へのお礼

ありがとうございます！！
どうしていいのかわからなくて途方にくれていたのでたすかりました！！！
あの後も似たような警告がいろいろでてきてわからないのでとりあえず拒否にしておきました。
１週間前に新しいPCを購入したばかりで昨日ウイルスバスターからカスペルスキーに変えたばかりなので、まだウイルスは入ってないだろうと思っていたので必要なアクセスなのか迷っていました。

もひとつ無知で申し訳ないのですが、プロセスエクスプローラーとは
ふつうPCに入ってますか？どのように調べたらいいのでしょうか？

お礼日時：2008/07/04 02:04

No.1 回答者： wamos101 回答日時： 2008/07/04 00:34

当方はここのサイトでカスペルスキーを推奨している者です。

HKEY_LOCAL_MACHINE/SYSTEM/CO......./rpcetp　←これは合ってます？

とりあえずプロセスIDがわかってるんだから、何のプロセスか把握してからでしょうね。

この回答への補足

一度スリープにして起動したらまた別のプロアクティブディフェンスがでてきました

プロセスはウインドウズスタートアップ時に実行されるモジュールリストへアクセスするために、削除を得ようとしています。

レジストリアクセス
HKEY_LOCAL_MACHINE_SYST...../00000000001
プロセスを実行します（PID：１２３６）：
C：//Windows/system32/svchost.exe

詳細
ウィンドウズスタートアップ時に実行されるモジュールリストのレジストリの削除値を横取りしようとしています。

キー: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001

値:

データ(値のタイプがありません):


これは許可してもいいのでしょうか？（無知ですみません）

補足日時：2008/07/04 01:06

この回答へのお礼

ありがとうございます。

rpcnetpの間違いでした・・・（でも一度紙に書き写したので他にも写し間違いあるかも。。）

恥ずかしながら、PCよくわからないので何のプロセスかもわかりません。。。

お礼日時：2008/07/04 00:50