起動時にSYSTEM32フォルダが開く…調べたが解決できない…

PCについて専門知識はありませんが、よろしくお願いいたします。

現在、私のPC（WindowsXP Home Edition SP2）なのですが、起動時にSYSTEM32フォルダが勝手に開くようになってしまってます。
よくある問題らしく、検索したらすぐに解決方法が見つかりました。「msconfigのスタートアップから名前のない項目のチェックをはずす。それがなければ関連性のある項目を探してチェックをはずす」とかいうものです。

しかし、私のPCはそれで解決できません。名前のない項目がなく、さらに全ての項目のチェックをはずしてみても、やはりSYSTEM32のフォルダは起動時に開きます。

実はこの症状が出る直前、ふとした不注意からアドウェアに感染（？）してしまいました。マカフィーが反応し、そのままウイルススキャンをかけたところ「不要なプログラム（？）」が検出されたので削除を試みましたが不可能で、結局セーフモードで起動後、手動で削除しました。その「不要なプログラム」はSYSTEM32フォルダ内にあったと思います。

そのほかにも日時などから判断していらなそうなファイルも削除し（素人判断）、Spypodでスパイウェアも検出・削除するなどしました。

長くなりましたが、以上のことから考えられる「SYSTEM32のフォルダが勝手に開く原因と対策」がありましたらご伝授ください。ちなみに今のところこの症状以外に問題は無いように思います。
よろしくお願いいたします。

No.4 ベストアンサー 回答者： sapoten 回答日時： 2006/06/17 01:05

＃３です。

頂いた補足質問から、下記が原因かと思います。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
にある「kernel32.dill」のデータが「C:\WINDOWS\system32\」

↑コヤツ。その場所から、「kernel32.dill」を右クリックで削除して良いと思います。

念のため、削除前には、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

を右クリックして、「エクスポート」(バックアップ)しておいてください。
保存の際の「エクスポート範囲」は「選択された部分」で良いです。選択している部分が、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
となっているのを確認してから保存してください。

パソコンを再起動して確認するのも面倒でしょうから、ログオンしなおすだけでも確認できます。

手順)
1.レジストリエディタで該当箇所をバックアップ後、修正。エディタを終了。
2.「スタート」ボタン→「ログオフ」→「ログオフ」
3.アカウント名(いつもの名前)をクリックしてログオン。
で、問題が解決できているか、確認して下さい。

問題が解決していない場合は、エクスポートしたファイルをダブルクリックすれば、元に戻ります。
レジストリの修正は、自己責任でお願いします。

一応、自分のPCで該当箇所を変更し、確認を取ってはいますが、これでも解決しない場合は、修正すべき場所が複数あるのかも知れません。
ウィルススキャンで検出されたのなら、ログに残っていると思うので、上記で解決しなかった場合は、感染した物の名前を見付けて下さい。または、削除したファイルとかでも。

この回答へのお礼

か、解決できました！
素人の自分にとても親切に教えてくださりありがとうございました！もうあきらめかけていたので感激もひとしおです。ここで質問して一番の感動ものといっても過言ではありません。

これからは気をつけたいと思います。本当にありがとうございました！

お礼日時：2006/06/17 10:08

No.3 回答者： sapoten 回答日時： 2006/06/16 19:02

レジストリエディタを使ったことはありますか?

使える・使ったことがある、なら、レジストリエディタで、問題の解決を。

--- レジストリエディタを使った解決方法 ---

下記の回答文、＃３を実行してみてください。
http://okwave.jp/kotaeru.php3?q=2121238
レジストリの修正前には、バックアップ(該当キーのエクスポート)をお勧めします。
恐らく、質問者様のPCでは、該当箇所が、

Explorer.exe C:\WINDOWS\system32

または、

Explorer.exe %System%

となっていると思います。


--- レジストリエディタを使わない解決方法 ---

(↓↓↓　ここから下をコピーして下さい　↓↓↓)
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
(↑↑↑　この上までを　↑↑↑)　(途中の空行も含めて４行になります)

1.上記をメモ帳などに貼り付けて、名前をつけて保存。名前は何でも良いですが、拡張子は「.reg」にして下さい。
　(例えば、ちちんぶいぶい.reg など)
2.「1.」で作ったファイルをダブルクリックすると、確認メッセージが出るので「はい」をクリック。問題箇所が修正された後、再びメッセージが出ますので「OK」をクリック。
3.パソコンを再起動して、問題が解決しているか、確認してみてください。
(但し、この方法では、バックアップが取れませんので、自分でレジストリエディタを使えるなら、最初の方法をお勧めします)

これでも解決しなかった場合は、感染していた「不要なプログラム」の名前、または、解説サイトのアドレスを示していただけると、解決の糸口が見つかるかもしれません。

この回答への補足

お忙しいところ回答ありがとうございます！なんとなく糸口が見えかけてきたような…。

が、レジストリエディタ（ほとんど使ったことなかったので解説しているwebのページを見ながら操作）で該当箇所を見てみましたが、「Shell」のデータはちゃんと「Explorer.exe」になってました…。

ちなみに、該当箇所の「Shell」の少し下にある「Userinit」のデータが「C:\WINDOWS\system32\userinit.exe,」となっていますが、関係ないですかね？？

なお、「不要なプログラム」の名前は覚えてませんでした。（マカフィーってスキャンで検出した履歴を出せないんですかね？）

ところで、レジストリエディタを見て#1さんの示してくれたURLに書かれた文字列がなんのことなのか少しわかったので、しらみつぶしに「system32」がからんでるものを調べて下に列記してみます（上記の「Userinit」は省いてあります）。見落としもあるかもしれませんが…。
私は素人のため、調べたこと自体が全くの見当違い（無駄な努力）なのかもしれませんが、もしこれでわかることがあったらぜひとも教えてください。もし見当違いであっても「これじゃ分からない」等と回答ください。お願いします…。


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
にある「ctfmon.exe」のデータが「C:\WINDOWS\system32\ctfmon.exe」

HKEY_LOCAL_MACHINE\Software\Classes\htafile\shell\open\command
にある「（既定）」のデータが「C:\WINDOWS\system32\mshta.exe"%1"%*」

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
にある「kernel32.dill」のデータが「C:\WINDOWS\system32\」

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
にある「dla」のデータが「C:\WINDOWS\system32\dla\tfswctrl.exe」
同じく「igfxhkcmd」のデータが「C:\WINDOWS\system32\hkcmd.exe」
同じく「igfxpers」のデータが「C:\WINDOWS\system32\igfxpers.exe」
同じく「igfxtray」のデータが「C:\WINDOWS\system32\igfxtray.exe」
同じく「PHIME2002A」のデータが「C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName」
同じく「PHIME2002ASync」のデータが「C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC」

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\（いろいろ）
にある「ImagePath」のデータは「\SystemRoot\System32\（いろいろ）」

補足日時：2006/06/16 21:38

No.2 回答者： izumon 回答日時： 2006/06/13 20:56

　たぶんこれでしょう。

http://homepage2.nifty.com/winfaq/w2k/boot.html#85

この回答へのお礼

お忙しいところ回答ありがとうございます。
はい、それを試みたのですが質問文にある通り解決できなかったのです。

どうしたものでしょうか…

お礼日時：2006/06/13 22:00

No.1 回答者： noname#25507 回答日時： 2006/06/13 20:40

その事象が発生するのは、自動起動指定されたプログラムが、実際には見つからない場合です。

しかし、自動起動指定されたプログラムがすべてシステム構成ユーティリティのスタートアップタブに記されるわけではなく、特にアドウェアの類に侵入された場合は
http://cowscorpion.com/FAQ/Details/windowsautoru …
あたりを念入りに調べないと原因の特定はムツカシイと思います。

ただ、本体は除去されているようですので、当面の心配はなさそうですが。

この回答への補足

（お礼の追加）
最初は何がなんだかわからなかったwindowsautorunのテキストでしたが、結果的に解決への糸口になりました。今後はアドウェアに侵されぬよう気をつけたいと思います。
どうもありがとうございました！

補足日時：2006/06/17 10:09

この回答へのお礼

お忙しいところ回答ありがとうございます。
教えていただいたURLを拝見してみましたが、チンプンカンプンでした。すいません…。素人の自分にとっては原因の特定は不可能なんですかね。

起動のたびにフォルダを閉じればよいのですが、なんともスッキリしなくて。

お礼日時：2006/06/13 21:56