毎回駆除しても再起動する度に復活してしまう

Question

セーフモードで起動してアンチスパイソフトCWShredder(最新バージョン）を実行すると、
必ずCWS.Msconfigが発見されRemovedされます。

その時は駆除出来るのですが、再度セーフモードで
起動してCWShredderを実行してみると又、発見されRemovedされています。これの繰り返しです。

どうすればこのCWS.Msconfigを元から駆除できますでしょうか？
仕組まれている場所も何処だかサッパリわかりません。

PCを再セットアップやシステムの復元をすれば直る確率が高いですが、かなりの大事になってしまうので、他の方法で何か良い方法があれば教えてください。

又、このCWS.Msconfigというものは何をするスパイウェアなんでしょうか？
ウェブ検索しても情報が少なく困っています。

宜しくご回答お願いします。

ksuzuki · Accepted Answer

ANo.11で記した方法で、システムファイルチェッカーを使ってみてください。それで問題がなければ、以下のようだと考えます。すなわち、システム構成ユーティリティmsconfig.exeによって、自動起動するアプリケーションを制御してパソコンを起動すると、少なくともWindowsXP home editionでは、CWShredder(version2.14)によってCWS.Msconfigとして（誤）検出されてしまうようですね。お疲れ様でした。

ちなみに、ANo.9でHijackThisによってFixCheckedするように薦めましたが、FixCheckedはしなくても良かったようですね。FixCheckedしてしまった場合には、ANo.9に記した方法で、全て、FixCheckedする前の状態に戻してください。
ただし、タスクマネージャ（「CTRL」「SHIFT」「ESC」キーを同時に押すと起動します。）で起動中のプロセスを確認してみて、「ctfmon32(.exe)」があったら、連絡してください。

P.S.実は、ANo.12に色々と（私のHPへの誘導のようなことと、takamikaさんへのキツイ助言を）書き込んだのですが、また、OKWEBの管理人さんに、それらの内容を削除されてしまいました。私はブラックリストに載っているのかも・・。私からの連絡が途絶えたら、私がOKWEB管理者の方に嫌われて、書き込めなくなったのだと思ってください。（←このような書き込みをするから嫌われるのでしょうね・・残念・・。）

ksuzuki · Answer

間違えました。WindowsMeや98では、システム構成（設定）ユーティリティで全部を許可するのは「全般」の「標準・・」となっているのですが、WindowsXPでは「全般」の「通常スタートアップ・・」でした。それをクリックして再起動してください。私はWindowsXPのパソコンもWindowsMeのパソコンも使っているので、勘違いしました。済みません。

ANo.9の補足も拝見しました。どうやらCWShredderの誤検出の可能性が高いですね。

ちなみに、システム構成ユーティリティで起動を止めているものについては、「プログラムの追加と削除」でプログラムごとアンインストールしたら良いのでは？

ksuzuki · Answer

ANo.10のお礼を見ました。誤検出である可能性が高いです。ただ、ANo.9に記したことについての返事が欲しいのです。特に、1）通常モードでCWShredderを起動した場合にCWS.Msconfigが検出されるか、2）システム構成ユーティリティmsconfig.exeを起動して設定を行ったか、3）HijackThisのログの一部を隠していないか、が知りたいです。答えたくない場合には、「答えたくない」と明確に記してください。

とりあえず、msconfig.exeを起動した覚えが無い場合には、以下を実行してください。
1）「スタート」-「ファイル名を指定して実行」をクリック。
2）開いたウィンドウに「msconfig」を入力して「OK」をクリック。
3）開いた「システム構成ユーティリティ」のウィンドウで「全般」タブをクリックして、「標準・・」の左にチェックを入れて、「適用」をクリック。指示されたら再起動してください。
★★
以上の操作の後で、通常モードおよびSafeModeでCWShredderを起動してスキャンし、何も見つからなければ、CWShredderの誤検出とみなせば良いと思います。お疲れ様でした。
★★

以上の操作を行っても、本当にCWS.Msconfigにやられている場合には、やはりCWS.Msconfigが検出されます。つまり、msconfig.exeが改竄されているのです。その場合には、システムファイルチェッカー（参考↓
http://support.microsoft.com/default.aspx?scid=kb;ja;310747
以上、参考HP）
を以下の方法で使ってみてください。
1）コマンドプロンプトを開く：「スタート」-「ファイル名を指定して実行」をクリック。開いたウィンドウで「cmd」を入力し、「OK」をクリック。以上の操作でコマンドプロンプトのウィンドウが開くはずです。開かなければ、以下を実行してください。
「スタート」-「プログラム」-「アクセサリ」-「コマンドプロンプト」をクリック。
2）開いたウィンドウで「sfc /scannow」（「sfc」と「/」の間にスペースがあります）を入力して、「Enter」キーを押す。 
以上の操作で、システムファイルチェッカーが起動して、問題点がないかを調べます。

以上の操作の後で、上記の「★★」で囲まれた部分の処理を行ってみてください。

以上の操作でも修復が出来ない場合には、以下の方法で、WindowsXPのCD-ROMを使ってWindowsの修復を行ってみて下さい。
1）c:\windows\systemフォルダまたはc:\windows\system32フォルダに「Undo_guimode.txt」があるかどうかを調べます。あったら、削除して下さい。
2）コンピューターにWindowsXPのCD-ROMをセットして電源を切ります。電源を入れて起動し、[セットアップ実行(Enter)]－[修復(R)] を選択。

以上の操作の後で、上記の「★★」で囲まれた部分の処理を行ってみてください。

以上で何とかなると思います。
私も、この誤検出を見つけることができて、勉強になり、また、楽しかったです。

ksuzuki · Answer

誤検出である可能性が非常に高いです。

CWShredderの作者であるMerjinのサイトでは
http://www.spywareinfo.com/~merijn/cwschronicles.html#msconfig
でCoolWebSearch(CWS).MSConfigを紹介していますが、これは、
C:\windows\system\msconfig.exe
を書き換えるそうです。そしてHijackThisで検出すると、O4に上記ファイルへのリンクが作成されているようです。
しかし、WindowsXPでは
C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe
となるはずです。
まず、本当に書き換えられているのなら、それを調べる必要があります。上記のファイル（msconfig.exe）を見つけて、右クリックして、プロパティを開き、「全般」タブをクリックして、サイズ、ディスク上のサイズ、作成日時、更新日時を、また、「バージョン情報」をクリックして、ファイルバージョンをメモしてください。そして、それを報告してください。

CoolWebShredderのヴァージョンは2.14ですよね？
違ったら、以下のHPからダウンロードして下さい。
http://www.intermute.com/spysubtract/cwshredder_download.html

私のWindowsXP Home editionパソコンで、CWShredderを起動しました。何も検出されませんでした。そこで、「スタート」－「ファイル名を指定して実行」で「msconfig」と入力してシステム構成ユーティリティを起動し、「スタートアップ」をクリックして、「realsched」（これはRealPlayer関連のもので、起動しなくても問題ありません）の左のチェックを外して、「適用」をクリックして、再起動しました。SafeModeで起動して、CWShredderを起動しました。スキャンすると、「CWS.Msconfig」が検出されました。そこで、通常モードで再起動し、システム構成ユーティリティを起動して、「全般」の「通常スタートアップ」の左にチェックして「適用」し、SafeModeで再起動しました。CWShredderを起動しました。何も検出されませんでした。
以上のことから、誤検出（間違って検出されているだけであって、問題はない）である可能性が非常に高いです。

ksuzuki · Answer

なかなか手強いですね。「CoolWebSearch（CWS).MSConfig」は。誤検出かもしれませんが・・。

いくつかの情報を知りたいです。以下の情報を連絡してください。

c:\windows\system32\openme.htm
は存在したのですか？

セーフモードではなく通常モードでは、CWShredderで検出されますか？

P2Pソフトと言っておられるソフトは何ですか？

Antidoteを使ってウイルス・スパイウェア検索してください。
結果のログをテキストファイルに保存し、「ウイルス」（全部、大文字で半角）、「懐疑」、「不良」、「未知」、「不明」などで検索し、見つかった行を全てこちらに貼り付けて報告してください。

HijackThisの検出結果（ログ）は、貼り付けてあるものが全てですね？一部、隠していないですね？
もしも隠しているのでしたら、私には診断しようがありません。隠さずに全部示してください。
書き込めない理由があるのでしたら、そのことについて連絡してください。

スタートアップ時に起動されるファイルを管理するためにシステム構成ユーティリティ「msconfig」がありますが、それを使って何らかのソフトやプログラムを起動しないように設定したことがありますか？ある場合には、設定した内容を詳細にこちらに記してください。
参考↓
http://inet.trendmicro.co.jp/virusinfo/isp/howto/howto_utility.asp


HijackThisで「FixChecked」して、正常に起動しない場合には以下の方法で、「FixChecked」する前の状態に戻せます。まず、以下の方法を理解してください。
＜戻す方法＞
1）HijackThis(Version1.99.1)を起動。
2）「View the list of backups」をクリック。
3）過去に「FixChecked」したもののリストが表示されるので、元に戻したいものの左のチェックボックスにチェックを入れる。
4）「Restore」をクリック。
5）確認メッセージが表示されるので、「はい」をクリック。

それでは、対策方法を記します。セーフモードで起動し、HijackThisを起動。「Do a system scan and save a logfile」をクリック。結果を適切なテキストファイルに保存。以下のものにチェックを入れて、「FixChecked」をクリック。

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
（RealTekのサウンドカードのドライバとともにインストールされる、デジタル音声入出力をコントロールするためのユーティリティ。参考↓
http://www.higaitaisaku.com/database/database.cgi?cmd=dp&num=212

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
（スタートアップで起動されるものを制御するためのものだが、上にも書かれているとおり、設定しない限りは特に現れるはずもない。CWShredderで検出されるものに似ている。怪しい。）

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
（OfficeXPの言語代替入力サービスを可能にするためのもの。コントロールパネルでテキストサービスとスピーチアプレットを実行する設定をしていると必要。）

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
（SunのJavaコンソール：使用している場合でも、一度FixCheckedしてみてください。）

正常に起動できなくなったら、セーフモードで起動してください。CWShredderを起動して、CWS.Msconfigが検出されるかどうか確かめてください。その後、HijackThisを起動し、FixCheckedする前の状態に戻してください。

正常に起動できた場合でも、セーフモードで起動してください。CWShredderを起動して、CWS.Msconfigが検出されるかどうか確かめてください。

ksuzuki · Answer

HijackThisのログを拝見しました。WindowsXP SP2のようですが、HomeEditionですか？それともProfessionalEditionですか？「マイコンピューター」を右クリックして「プロパティ」を開き、「全般」をクリックして確認して、連絡してください。ログの中に特に気になるものはありません。ただし、

O4 - HKLM\..\Run: [IMJPMIG8.1 "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
については、”[IMJPMIG8.1”の右に”]”が必要です。貼り付けミスでしょうか？

以下のものに心当たりがなければ、勝手にインストールされた可能性があります。心当たりのないものを報告してください。

O8 - Extra context menu item: 2ch検索 - C:\WINDOWS\web\2chs.htm
2chの検索機能

O8 - Extra context menu item: Amazonで検索(&A) - C:\WINDOWS\web\amazon.htm
Amazonの検索

O8 - Extra context menu item: Iriaですぐにダウンロード - E:\インターネット\iria107a\iria_ie5.htm
O8 - Extra context menu item: Iriaでダウンロード - E:\インターネット\iria107a\iria_ie1.htm
O8 - Extra context menu item: Iriaでリンクのインポート - E:\インターネット\iria107a\iria_ie3.htm
O8 - Extra context menu item: Iriaへ全てのURLを送る - E:\インターネット\iria107a\iria_ie2.htm
O8 - Extra context menu item: Iriaへ全てのURLを送る(コメント付き) - E:\インターネット\iria107a\iria_ie6.htm
おそらくHTTP/FTPダウンロード専用クライアントのIria？Irvine？
参考↓
http://www.vector.co.jp/soft/win95/net/se161790.html

O8 - Extra context menu item: ヤフオク検索 - C:\WINDOWS\web\yahooa.htm
Yahooオークションの検索機能

O8 - Extra context menu item: ページをDS Downloaderに追加 - E:\ユーティリティー\DSダウンローダ\Script\AddPage.html
O8 - Extra context menu item: リンクをDS Downloaderに追加 - E:\ユーティリティー\DSダウンローダ\Script\AddLink.html
O8 - Extra context menu item: 名前を変えてDS Downloaderに追加 - E:\ユーティリティー\DSダウンローダ\Script\AddLinkAs.html
O8 - Extra context menu item: 画像をDS Downloaderに追加 - E:\ユーティリティー\DSダウンローダ\Script\AddImage.html
DS Downloader？
参考↓
http://www.vector.co.jp/soft/winnt/net/se275651.html

O8 - Extra context menu item: URL圧縮(&C) - C:\WINDOWS\web\url.htm
O8 - Extra context menu item: ハイライト表示(&H) - C:\WINDOWS\web\hilight.htm
O8 - Extra context menu item: 和英辞書(&J) - C:\WINDOWS\web\jtoestr.htm
O8 - Extra context menu item: 日->英サイト翻訳(&J) - C:\WINDOWS\web\jtoe.htm
O8 - Extra context menu item: 英->日サイト翻訳(&E) - C:\WINDOWS\web\etoj.htm
O8 - Extra context menu item: 英和辞書(&E) - C:\WINDOWS\web\etojstr.htm
O8 - Extra context menu item: 選択URLを開く(&O) - C:\WINDOWS\web\openurl.htm
YahooかGoogleなどの何かのツールバーでしょうか？

O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm
パソコンは日立のプリウスですか？

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
これは気になります。とりあえず、残しておいて、問題が解決されなかったら、後で削除してみましょう。

また、問題ではないのでしょうが、やたらとIEにツールバーがありますね。

以上がHijackThisのログの解析結果です。私は「やぶ医者」なので、私では見つけられない問題点があるかもしれません。

以下に対策方法を記します。実行してみてください。

WindowsUpdateは実行していますか？していないのなら、必ず実行してください。また、WindowsUpdateを実行していなかったことを連絡してください。

システムの復元機能がオンになっていて、そこに問題箇所が入り込んでいる可能性もあります。システムの復元機能はオフになっていますか？なっていないのなら、以下の方法で一時的にシステムの復元をオフにしてください。
1）「マイコンピューター」を右クリックして「プロパティ」を開く。
2）「システムの復元」をクリック。
3）「すべてのドライブでシステムの復元を無効にする」の左にチェックを入れる。
4）「適用」をクリック。「OK」をクリック。メッセージが現れたら、それに従う。
以上の方法でシステムの復元を無効にした後で、SafeModeで起動して、CWShredderで駆除を行ってください。

CWShredderによる誤検出かもしれません。

CWS.Msconfigについては以下のページに情報がありました。
eTrust Spyware Encyclopedia
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453082843
上記のページによると、対処方法は、
c:\windows\system32\openme.htm
を削除してから、IEなどのブラウザの設定を初期設定に戻すということです。初期設定に戻さないと、IEなどでインターネットを閲覧すれば、また感染する可能性があります。
まず、全てのファイルが見えるようにエクスプローラーを設定します。

SafeModeで起動して、それから上記のHPに書かれた操作を行って、c:\windows\system32フォルダを開いてください。
その中に「openme.htm」が存在したら削除して下さい。
次にコントロールパネルを開き、「インターネット」を開く。「全般」をクリック。「ホームページ」の右の「標準設定」をクリック。
「インターネット一時ファイル」の「Cookieの削除」をクリック。「Cookieの削除」というタイトルのウィンドウで「OK」をクリック。
「インターネット一時ファイル」の「ファイルの削除」をクリック。「ファイルの削除」というタイトルのウィンドウで「すべてのオフラインコンテンツを削除する」の左のチェックを入れて、「OK」をクリック。
「履歴のクリア」をクリック。「インターネットオプション」というタイトルのウィンドウで「はい」をクリック。
「インターネットオプション」のウィンドウの「プログラム」をクリック。「Webの設定のリセット」をクリック。「Webの設定のリセット」というタイトルのウィンドウで「ホームページもリセットする」の左にチェックを入れて、「はい」をクリック

以上の作業の後で、再起動を行って、SafeModeでCWShredderでスキャンしてみてください。まだ検出されるのなら、再度状況を報告してください。

ksuzuki · Answer

ご存知でしょうが、P2Pソフトを導入していると、知らないうちにウイルスやスパイウェアに感染する可能性が高いです。即刻、P2Pソフトをアンインストールし、そのP2Pソフトでダウンロードした全てのファイルを削除することを薦めます。ちなみに、ウイルス対策ソフトは何を使用していますか？P2Pソフトをアンインストールし、ウイルス対策ソフトがインストールされていれば、アダルトサイト被害対策の部屋で質問できるでしょう。
どうしても、P2Pソフトをアンインストールしないというのなら、SafeModeで起動（起動時にF8キーを押す）して
HijackThisでログを作成（ANo.5のyoshi-tohokさんの示したHPを参考）し、こちらにHijackThisのログを貼り付けてください。さらに、スタートアップリストのログを貼りつけてくれれば、問題が分かりやすいです。それらのログが貼り付けられれば、私が調べてみます。
ちなみに、ご存知でしょうが、CWShredderで検出されるのは、CoolWebSearch関連のものであり、スパイウェアです。

参考URL：http://www.tef-room.net/virus/spyware.html

noname#40123 · Answer

WinXPやMeではないですか？今使っていパソコン。
それでしたら、一度「システムの復元」を無効にして、Restoreファイルを削除してみてください。

それで改善するのであれば、その中に別のスパイウェアが入り込んでいる可能性はあります。

あと、HijackThisというツールであなたのパソコンの中のプログラムを見て、
その中に不審なツールがないか探してみた方がよいと思います。

アダルト諫被害対策の部屋　スパイウェア
HijackThisによるレポート出力と手動でのスパイウェア除去
http://www.higaitaisaku.com/hijackthis.html

noname#25358 · Answer

再登場。
　あてずっぽうなので調べてもらわないと分かりませんが、俺んちではあまり見かけない名前のタスクをピックアップしてみます。

hkcmd
SynTPLpr
SynTPEnh
ezSP_Px
zlclient
dumprep0-k

　上記について、インストールした覚えがあるか調べてみてください。

noname#25358 · Answer

>システムの常駐しているアプリケーションは何も無い

　そりゃまた、たちの悪いのにやられましたね(^_^;
　それはステルス機能といって、自分自身を隠す機能を持ったものです。

・スタートアップフォルダ
・以下のレジストリ
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
・win.ini
・system.ini
・autoexec.bat（あれば）

　以上の部分全てを確認されましたでしょうか。

毎回駆除しても再起動する度に復活してしまう

ANo.11で記した方法で、システムファイルチェッカーを使ってみてください。

間違えました。

この回答への補足

ANo.10のお礼を見ました。

誤検出である可能性が非常に高いです。

なかなか手強いですね。

この回答への補足

HijackThisのログを拝見しました。

この回答への補足

ご存知でしょうが、P2Pソフトを導入していると、知らないうちにウイルスやスパイウェアに感染する可能性が高いです。

この回答への補足

WinXPやMeではないですか？今使っていパソコン。

この回答への補足

再登場。

この回答への補足

>システムの常駐しているアプリケーションは何も無い

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

　再登場。