謎のwscript.exe が起動されている!ウィルス?tasklist.exe で確認




現象




tasklist でみると wscript.exe が起動している。特に手動で起動した覚えはない。スタートアップや msconfig で確認してもそのようなシェルはない。


>tasklist | findstr wscript
wscript.exe 7192 Console 5 18,044 K


ウィルス?不正攻撃?かなり気になります。トロイの木馬でしょうか。流行のファイルレス攻撃でしょうか。netsh や powershell や cscript など Windows標準ツールを使いメモリに済みつくと一般的なウィルス対策ソフトでは検知できません。

原因


原因はドメインポリシーでした。ポリシーで管理用のソフトが起動していました。

確認するには「プロセスエクスプローラ (Process Explorer)」がお勧めです。
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

注意点は「管理差」として実行することです。通常の起動では wscript.exe のフルパスや引数は「アクセスが拒否されました」と表示されて、確認できません。
逆に管理者で実行すればフルパスと引数が分かります。今回は Active Directory の共有パスから管理用の vbs が起動されていました。

まとめ



プロセスエクスプローラーを管理者で実行してフルパスを確認して実行処理を推定する。



キーワード:wscript

Windows トラブルシューティング一覧に戻る


(ご注意事項)本ページは2017年に独自に調査して記載した事項です。本ページには誤りがある可能性はあります。また今後仕様が変更となる可能性があります。
本ページにより発生したいかなる損失も誰も補償しません。あくまでも自己責任で参考にしてください。