突如インストールされ、サービスrsEngineSvc.exeが常駐してゲームファイルまで削除してしまう──そんなRAV Endpoint Protectionの強制常駐は、標準のアンインストール手順やsc deleteコマンドすらはねのける厄介なケースが報告されています。本記事では、Sysinternals AutorunsとFarbar Recovery Scan Tool (FRST)を中心に、サービス停止から完全駆除、さらにW32/Expiroなどの二次感染時のOS再構築までを一気通貫で解説します。導入経路や再発リスク、バックアップ戦略、ライセンス管理まで網羅しているので「アクセスが拒否されました」で行き詰まっている方はぜひ参考にしてください。
RAV Endpoint Protection/rsEngineSvc.exe が削除できない原因
RAV Endpoint Protection は ReasonLabs 社が配布するフリーアンチウイルスですが、ブラウザ拡張バンドルや広告インストーラ経由でユーザーが気付かないうちに導入されることがあります。削除不能になる主な要因は次のとおりです。
- サービス権限のハードニング…Standard ユーザーはもちろん、管理者権限でも停止/削除に SYSTEM レベルの制限がかかる。
- 自己防衛モジュール…プロセスを強制終了しようとすると瞬時に再起動するウォッチャーが存在。
- カーネルドライバー…ドライバー層からファイル・レジストリ保護を行うため、通常の削除では「アクセス拒否」が発生。
- 誤検知削除機能…オンラインゲームの実行ファイルや MOD をウイルス扱いし、勝手に隔離や削除を行う。
対処フロー概要
| 段階 | 使用ツール | 目的 | ポイント |
|---|---|---|---|
| ① 自動起動無効化 | Sysinternals Autoruns | サービス/ドライバーの停止 | GUI でエントリのチェックを外すだけ |
| ② 残骸削除 | FRST + fixlist.txt | サービス・ドライバー・レジストリ掃除 | 実行前に復元ポイント |
| ③ GUI 妨害回避 | Windows セーフモード | 自己防衛バイパス | Shift+再起動→スタートアップ設定 |
| ④ 感染確認 | FRST 再スキャン | RAV/Expiro残存の有無 | ログ比較で差分チェック |
| ⑤ OS 再構築* | 公式メディア (USB) | Expiro 等システム感染時 | 全パーティション削除→クリーンインストール |
*⑤は W32/Expiro などシステムファイル感染が判明した場合のみ必須。
STEP 1: Sysinternals Autoruns で自動起動を止める
- Autoruns64.exe をダウンロードし、右クリック「管理者として実行」。
[Services]と[Drivers]タブで次を検索:- ReasonLabs
- RAV
- rsEngineSvc*
- 該当エントリのチェックをOFFにするだけで自動起動が解除。
- Autorunsを閉じ、Windowsを通常再起動する。
再起動後にタスクマネージャーでrsEngineSvc.exeが存在しなければ、サービス停止は成功です。この時点でエクスプローラーや del /f、フォルダー削除が素直に通るケースもあります。
STEP 2: Farbar Recovery Scan Tool (FRST) で残骸一掃
サービス停止後もレジストリやドライバーが残っていると再感染の温床になります。FRST でfixlist.txtを適用し、根こそぎ削除しましょう。
FRST が起動しない場合のテクニック
- ファイル名を
FRST64.exeからOfficeUpdater.exeなど適当な名前に変更。 - Windows セキュリティ > 「ウイルスと脅威の防止」> 除外の追加 に exe を登録。
FRST 実行手順
- FRST.exeを管理者権限で起動 → [Scan] を実行。
- デスクトップに FRST.txt / Addition.txt が生成される。
- ログ中の
ReasonLabs行や不審なドライバー行 (File not found含む) を基に fixlist.txt を作成。 - FRST と同じフォルダーに置き、FRST を再起動 → [Fix] をクリック。
- 自動再起動後、Fixlog.txt を確認。すべて
==== Endまで Successfully Deleted になっていれば完了。
fixlist.txt 例
S3 rsEngineSvc; "C:\Program Files (x86)\ReasonLabs\RAV Endpoint Protection\rsEngineSvc.exe" [X] C:\ProgramData\ReasonLabs C:\Program Files (x86)\ReasonLabs HKLM\System\CurrentControlSet\Services\rsEngineSvc
※FRST は強力な削除ツールです。必ずシステムの復元ポイントを作成し、fixlist の内容を二重に確認してください。
STEP 3: セーフモードで自己防衛をバイパス
RAV が Autoruns や FRST の GUI にすら干渉する場合は、セーフモードを併用します。
- Shift を押しながら再起動 → 「トラブルシューティング」→「詳細オプション」→「スタートアップ設定」。
- 再起動後、数字キー 4 (ネットワークなし) または 5 (ネットワークあり) を選択。
- セーフモードでは自己防衛ドライバーがロードされないため、Autoruns/FRST が正常に動作します。
STEP 4: FRST 再スキャンで残存チェック
Fix 実行後にもう一度 [Scan] を行い、ログから ReasonLabs キーワードが完全に消えているか確認します。Service セクション、Driver セクション、Task セクションのいずれにも検出されない状態が望ましいです。残っている場合は追加で fixlist を作成し、再度 [Fix] を実施してください。
番外編: FRST ログで W32/Expiro 感染が判明した場合
Expiro は実行ファイル (.exe/.dll) に寄生する古典的ファイル感染型ウイルスです。システムファイルが汚染されていると、駆除しても Windows 起動時に再実行・再感染しやすく、クリーンインストールが最も安全な選択肢になります。
1. バックアップ戦略
- 外付けドライブに写真・文書・プロジェクトファイルなどデータ限定で退避。実行形式ファイルは感染源になり得るためコピーしない。
- クラウド同期中のファイルも、ローカルキャッシュが感染していないか確認。
2. 公式メディア作成
- クリーンな別PCで Media Creation Tool を入手。
- 8 GB 以上の USB メモリを接続し、Windows 10/11 セットアップメディアを作成。
3. クリーンインストール手順
- 感染 PC を USB から起動。「カスタム (詳細)」インストールを選択。
- 表示されるすべてのパーティションを削除し、未割当領域に Windows を新規インストール。
- 初回セットアップ完了後、チップセット・GPU などドライバーはメーカー公式サイトから取得。
- アプリケーションも公式ストア/公式サイト版のみ導入し、フリーソフトは必ずハッシュ値や配布元を確認。
4. アカウントとクレジットカード保護
- Microsoft、Google、Steam などすべてのオンラインアカウントのパスワードを変更。
- 二要素認証 (2FA) を有効化。
- ネットショッピングに使ったクレジットカードは再発行や利用履歴のチェックを推奨。
5. 海賊版OSのリスクとライセンス管理
非正規 ISO や事前アクティベート済みイメージは、初期状態でマルウェアが埋め込まれている事例が後を絶ちません。正規ライセンスの Windows を使用することで、月例のセキュリティパッチとサポートを受けられ、未知の脆弱性悪用リスクを大幅に低減できます。
RAV Endpoint Protection を再び入れないための予防策
- バンドルインストーラのオプションを熟読…「同意します (推奨)」のチェックに RAV が含まれていないか毎回確認。
- ブラウザ拡張の整理…不要なダウンロード支援ツールや動画変換アドオンは削除。
- セキュリティポリシーの徹底…企業PCならアプリケーションホワイトリスト (AppLocker など) を導入。
- Windows Defender + SmartScreen…既存の Defender だけでも未知の PUA (Potentially Unwanted Application) はかなり検出できる。
- 定期的な FRST または PowerShell スクリプト監査…スタートアップ・サービス・ドライバー一覧を自動出力し差分比較。
よくある質問 (FAQ)
Autoruns のチェックを外したのに再起動後に rsEngineSvc.exe が復活します
GUIから外しても別名サービスや予定タスクが残っている場合、RAV の自己修復機能で戻ることがあります。Scheduled Tasks タブや HKCU\Software\Microsoft\Windows\CurrentVersion\Run key も併せて無効化してください。
FRST で Fix を実行したらブルースクリーンになりました
fixlist に必要なシステムドライバーを誤って指定した可能性があります。セーフモード+システムの復元で直前の復元ポイントへ戻し、fixlist を見直しましょう。
Expiro 感染なのにアンチウイルス検出がゼロです
ファイル感染型ウイルスはポリモーフィック暗号化でシグネチャを回避します。FRST や専用診断ツールで感染パターン (サイズ増加・セクション追加) を直接解析する方が確実です。
まとめ
RAV Endpoint Protectionを安全かつ確実に駆除する鍵は、Autoruns で自動起動を無効化 → FRST で残骸削除という二段構えにあります。さらにログ解析でW32/Expiroなど深刻な感染が確認された場合は、迷わずクリーンインストールを選択しましょう。正規ライセンスの Windows と日頃のバックアップ、そしてアプリケーションの入手元を厳選する習慣が、再発防止とシステム安定化の近道です。
コメント