Windows10 Wscript.exeが自動で実行されるのを止めたいです

ActiveDirectoryなどにログオンしていて、サーバー側で設定したログオンスクリプトが動いている、などと言うことはありませんか。

ご返信ありがとうございます 社内環境でADにログオンはしていて、社内独自スクリプトが実行されてはいるのですが、同じ環境下で、Wscriptが実行されてるものとそうでないものがあるのです。 なので、それらの比較をしてみたのですが、どうにも差異が見つからず困った次第なのです。

止めないと何か不都合がありますか？

どうも情報が不足しているかと思いますが ・まったく同じログオンスクリプトが動いているのか。 ・それぞれのPCのWindowsのバージョンは同じなのか。 ・ユーザーだけではなく、マシン（PC)ごとの細かい指定がされているのではないか。 　（ご存じとは思いますが、ActiveDirectoryには、ユーザーのログオンとマシンのログオンがあります） ・私自身のPC、と称しているのは、ActiveDirectoryで管理されているのか。単にローカルでログオンしているということはないか。 など、詳細を記載すると、より詳しい有識者の方からの回答やコメントをいただける可能性が増えると思います。

止めないと不都合があるので質問しています 社内のサイトでセキュリティ上の検疫で止められるのです

dodox86様 社内環境でログオンスクリプトは同じものが動いています WindowsのFUも同じです 私自身のと申してる下りも問題あるPCと同じADへのユーザーログオン環境下での話です

質問が要領を得ないので角度を変えて質問しています。聞かれたくなければ自分で詳細に書いてください。とりあえず dodox86 さんの質問には全て言葉を省略せず答えるところからスタートです。

ちなみに不都合があるかどうかを聞いたのは、それを止めず不都合をなくすことができないか考えるためです。スクリプトの実行と wscript の実行は同義です。

Zuishin様 聞かれたくないことを隠して質問しているつもりはございません。 ご教示いただくうえで不足している情報があればこの場でお答えしているつもりです

それならば素直に答えれば良いだけでしょう。必要だから聞いているだけなので。まだ情報が足りないので、全て書いてください。

Zuishin様 お気を悪くされているようであればお詫びしますが・・ 当方正直皆様のようなエキスパートではないため、質問内容も不足はあるかとは思います なので、この板で正直に書いているつもりです お言葉を返すようですが、Zuishin様の　”不都合があるか？”というお言葉だけで、それを止めずに不都合をなくすことができないかっていう意図には読み取れなかったのです。 お考えいただき感謝しております。

＞@hirohiro7094さん Zuishinさんに既にフォローをいただいていますが、このコメント欄で問い合わせて初めて明らかになったことばかりです。「質問への追記・修正の依頼」はその為にあるものではありますが、最初から状況はなるべく詳しく書きましょう。 話は戻りますが、「SystemConfigrationで起動されるサービス一覧」と「スタートアップ」で見当たらないとすると、起動時の何らかのプログラムが内部でWScript.exeとともに独自スクリプトを起動している可能性はあります。少々無茶をしますが、WScript.exeを例えばリネームして使えないようにした後、PCを起動してみると何らかのアラートがWindowsのイベントログに報告されるかもしれず、もしかするとその該当のプログラムを特定するヒントになるかもしれません。（無茶を承知のことなので、自己責任でお願いします） 尚、私自身は今のところ回答に至らないのでこのコメント欄でヒアリング程度のこととして聞いています。これらのコメントから他回答者様からの回答を期待するものでもありますので、その点はご了承ください。

dodobo86様、Zuishin様 いろいろと当方の不足ご指摘いただきありがとうございます、不足しているという情報は改めて、質問本文に加筆させていただきます

> Wscript.exeが自動で起動される と判断した理由となる具体的な現象は何でしょうか？見たままを書いてください。

意図がわからなければ答えられない質問ではないので意図は省略しました。むしろ聞かれる前に自分から書くべきことです。

よーするに、Wscript.exe がどのプロセスから起動されたのかを特定すれば、対処方法が見つかるのでは？ Process Monitor で、PC 電源投入からログオン後に Wscript.exe が起動されるまでのキャプチャを採取すれば、Wscript.exe がどのプロセスから起動されたのかを特定することができます。 ----------------------------------- Process Monitor で OS 起動時のログを採取する手順 https://social.msdn.microsoft.com/Forums/sqlserver/ja-JP/410e6a67-0d97-451f-b24e-f9974c280924/process-monitor-12391-os?forum=wdksupportteamja -----------------------------------

Otn様　質問文に追記しましたが　社内サイトの検疫で当該のexeが実行されていると指摘されていたこと そこからタスクマネージャで確認したところ実行されていた。閲覧に問題なかったPCでタスクマネージャーで確認したところ当該のexeは実行されていなかった（一覧にいなかった）ということになります

Bego様 起動時のプロセス起動履歴をキャプチャーですね、社内環境でそこが許されるかわかりませんが試してみますご教示ありがとうございます

ちなみに、Process Monitor はインストールする必要はありません。 Microsoft 公式の Sysinternals サイトからツールをダウンロードし、ZIP ファイルを解凍するだけで使えます。 (Sysinternals は Microsoft は買収した子会社で、素晴らしいツールをいくつも無償で提供してる、信頼できる会社です。) ---------------------------------- Process Monitor v3.60 https://docs.microsoft.com/en-us/sysinternals/downloads/procmon ----------------------------------

wscript.exeが動いている状態で、タスクマネージャーのプロセスタブで、列見出しを右クリックして「コマンドライン」をチェックすると、どのVBSファイルを実行しているのかわかるので、そこから探れるかと思います。

otn様 お忙しいところアドバイスありがとうございます、確認してみます

Bego様 返信遅くなり失礼しました、ProcessMonitorをつかってログ収集してみます ありがとうございました

otn様やBego様のご教示を参考に起動時スナップショットなど見ていましたが、ログオンスクリプトや、アンチウイルスソフトウェアのパターンファイル更新のスクリプトを実行してるときにWscript.exeが起動していますが、問題のPCについてはWScript.exeだけが起動しっぱなしでした。 もうすこし時間をかけて知らべてみます。 取り急ぎ御礼申し上げます

Process Monitor のキャプチャ ログを、どのようなフィルタ条件で確認されたのでしょうか？ Process Monitor で起動時のキャプチャ ログを採取後、下記フィルタ設定を行えば、どのプロセスがどの親プロセスからどのようなパラメータ設定で生成されたかを確認できます。 ----------------------------- <フィルタ条件> "Operation" "is" "ProcessCreate" then "Include" ====> Add & Apply "Operation" "is" "ProcessStart" then "Include" ====> Add & Apply ----------------------------- 上記情報には、プロセス起動時のパラメータ設定が含まれているので、実行対象となった VBS ファイルを確認できるはずです。 なので正常 PC と異常 PC で、それぞれ同じ条件でのキャプチャ ログを採取し、その差異を細かくチェックしていけば、ヒントが得られると思います。 例えば正常 PC と異常 PC で、実行している VBS ファイルに差異が無いのであれば、さらにフィルタ条件を追加し、その対象 VBS ファイルにアクセスしている他のプロセスに違いはないか等を調べてみるのもいいかもしれません。 正常 PC と異常 PC で、起動時のパラメータが全く同じなのに挙動が異なる (正常 PC では自動終了するのに、異常 PC では終了しない等) 場合は、"Process Name" や "PID" でのフィルタ条件を追加して、差異部分絞り込んでいけばいいかと。 Wscript.exe 関連に絞り込むなら。。。 ----------------------------- <フィルタ条件> "Path" "contains" "Wscript" then "Include" ====> Add & Apply "Process Name " "contains" "Wscript" then "Include" ====> Add & Apply ----------------------------- 特定の VBS ファイル アクセスに絞り込むなら。。。 ----------------------------- <フィルタ条件> "Path" "contains" "<VBS ファイル名>" then "Include" ====> Add & Apply -----------------------------

Bego様 お忙しい中ご丁寧にご返事くださり本当にありがとうございます さしあたって、ProcessName　is 　Wscript.exe　というフィルタで比較していたのですが、スレッドの数などがあまりにも異なっていて　悩んでおりました 数がどうかというよりBego様のおっしゃるように系統的に調べていくべきですね 順をおって確認してまいります 取り急ぎ御礼申し上げます

問題あるPCとそうでないPCとの比較で起動時に実行されているｖｂｓの顔ぶれに違いがありました もう少し整理して改めて社内IT部門に問い合わせてみることにします 本当にありがとうございます 他にご助言いただいた方にもお礼申し上げます

問題のＰＣでのみ起動時にキックされるvbsがありそのスクリプトを読んでみると、バグがありました・・・ なので、社内IT部門へ打ち上げて対策してもらうことにしました