ネットワーク関連の記事を順次、別サイトに移動させています

システムファイルに潜む「Windows 10 更新アシスタント」の危険性

バージョン1703
記事内のリンクには広告が含まれている場合があります

いろいろな対処方法で、どうにか「Windows 10 更新アシスタント」を封じ込めたと安心していたのですが、どうも爆弾を埋め込まれたようです。

「Windows 10 更新アシスタント」の実体

「Windows 10 更新アシスタント」の実体は、

  • C:\Windows\UpdateAssistant
  • C:\Windows\UpdateAssistantV2

だと思っていました。

しかし、本当の実体は別のところにあり、そこからハードリンク(ファイルとしては別でも、ディスク上は同じ場所を指定しているファイル)されているそうです。

これをタスクで起動しているので、タスクを削除し、見えているハードリンクを削除することで、通常使用では問題は発生しなくなります。

 

「Windows 10 更新アシスタント」が爆弾と化す可能性

「Windows 10 更新アシスタント」の本当の実体は、64ビット版では、

  • C:\Windows\WinSxS\amd64_microsoft-windows-oobe-gwe_31bf3856ad364e35_10.0.15063.994_none_97dcb848d9b226f1

32ビット版では、

  • C:\Windows\WinSxS\x86_microsoft-windows-oobe-gwe_31bf3856ad364e35_10.0.15063.994_none_3bbe1cc52154b5bb

にあります。累積更新プログラムに同梱されるので、稼働している期間によってはインストールされていない場合もあります。

Windows 10 バージョン1709にはありません。

フォルダー名に含まれるOOBEとはOut of Box Experienceの略で、Windows 10の初期セットアップで動作するプログラムです。

初期セットアップは、既に稼働しているWindows 10では使われることはありません。しかし、Windows 10には初期状態に戻す機能があります。

「設定」アプリの「更新とセキュリティ」「回復」にある「このPCを初期状態に戻す」がその機能です。

Windows10-Update-Assistant-Bomb-01

パソコンを使っていて不安定になった場合に、Windows 10をクリーンインストールした直後の状態に戻すものです。ユーザーデータは残すこともできますが、アプリは再インストールが必要です。

試しに「ユーザーデータを残す」設定で初期状態に戻したところ「Windows 10 更新アシスタント」はインストールされませんでした。ただし、実体のファイルは引き継がれていました。

 

「ユーザーデータを消す」設定で初期状態に戻したところ、作業が完了してデスクトップが表示された後すぐに、この画面が表示されました。

Windows10-Update-Assistant-Bomb-36

これは「Windows 10 更新アシスタント」による画面です。

「プログラムのアンインストールまたは変更」を見ても「Windows 10 更新アシスタント」はインストールされていません。しかし「Windows」フォルダーには「UpdateAssistantV2」というフォルダーができていることが分かります。

Windows10-Update-Assistant-Bomb-37

これはOOBEによって登録されたものです。

OOBEについてはこちらに説明があります。

 

表示された画面で「今は実行しない」を選択しても、対策をしない限り何度でもアップデートしようとするでしょう。

 

本当の実体を削除するのは不可能

「Windows\WinSxS」の下のファイルは、TrustedInstallerの管理下にあり通常の方法では削除できません。

そのため「このPCを初期状態に戻す」を使用する場合は「ユーザーデータを残す」設定で実行するようにしてください。

「ユーザーデータを消す」設定で使用するならクリーンインストールした方がよいでしょう。

 

まとめ

初期状態に戻すぐらいならバージョンアップしろ、ということなのでしょうが、密かに「このPCを初期状態に戻す」を書き換えるのはどうかと思います。

コメント

  1. シンさま より:

    TrustedInstaller予想通りですねw

    • Solomon Solomon より:

      コメントを頂きありがとうございます。

      そうですね。

      ただ、これは「Windows 10 更新アシスタント」という更新プログラムではなくWindows 10を構成するシステムファイルとして登録されているようです。

      そのためTrustedInstaller管理下になるのは当然だと思われます。

      どちらにしろ、手出しはできませんが。

      • シンさま より:

        64bitの1703ですが、そのフォルダは存在していませんでした。
        残念。

        • Solomon Solomon より:

          コメントを頂きありがとうございます。

          過去の何かの累積アップデートに同梱されていたようです。アップデートされたようで古いものもありました。

          無いに越したことはありませんが、解析できないのは残念ですね。

タイトルとURLをコピーしました