スタートアップに消しても勝手に作られるexeファイル

お世話になります。
どんなタイミングで出来たものなのか、本人がさっぱり気づいていないのでとても困っています。試しにタスクマネージャを見ながらそのexeファイルを起動しても何も動いてないようですし、プロセスには心当たりのないものはないようです。なので消してしまえと削除するのですが、１，２秒でまた同じファイルが作られます。スパイウェアのチェックとウイルスチェックは行いましたが、特別引っかかりません。
挙動は「 急にスタートアップに登録 」http://oshiete1.goo.ne.jp/qa406117.html
に似ています。ショートカットではなくexe本体です。
名前は「FC1D82.exe」です。検索しても引っかかりません。
プロパティを見ても作成日時しかわからず、中身を見れるなら見てみて調べたいところです・・・。

こんな一個のファイルのために、ウインドウズの再インストールはしたくありません。このexeファイルがなぜ勝手に作られるのかを調べる方法がありましたら、ご教授ください<(_ _)>　よろしくお願いします。

No.4 回答者： kasumi1982 回答日時： 2006/11/01 09:27

firefoxが原因か知りたいなら、フォーラムに質問されては?

「Mozilla-gumi Forum」
http://forum.mozilla.gr.jp/?H=T&

この回答へのお礼

たびたび回答ありがとうございます。

今日か明日リカバリーすることにしてしまいました。いろいろ調子もおかしかったので。その後もFirefoxインストの影響で同様の症状がでた場合はフォーラムへ相談に行ってみたいと思います。ありがとうございました<(_ _)>

お礼日時：2006/11/01 22:37

No.3 回答者： popesyu 回答日時： 2006/11/01 02:58

別のスタートアップのアプリかサービスからか「FC1D82.exe」を起動時に毎回スタートアップに登録していると思われるわけで、サービスの場合だと、レジストリ内におそらく「FC1D82.exe」の語句が入っているだろうと思いましたがどうやらそうではないようですねぇ。

別のアプリを実行してそこからコピーするような仕組みになっていたら見つけるのが難しくなります（誘拐犯人が身代金の受け渡しの際に関係ない第三者を使うようなもんです。勿論そのアプリが誘拐犯人並の悪者なものかどうかは全く確定ではありませんけど）。

ただその動作だと常時監視しているのですから、プロセスに常駐しているのは間違いないので、見覚えがなくともプロセスのどれかが犯人であることは間違いないでしょう。プロセス監視系のソフトを使って地道に捜索するしかなさそうな感じです。
http://www.gigafree.net/security/process/process …
http://www.forest.impress.co.jp/article/2005/09/ …
※削除した瞬間に何らかの動作をするプロセスを見つける方が簡単かもしれません。

>スタートアップにある状態で検索したらありました
というのは単にスタートアップのそれがそのままひっかかっただけでしょう。「FC1D82.exe」の語句そのものではおそらくレジストリには登録されていないんじゃないんですかねぇ・・・ということはfirefox関係かサービスの方に犯人がいることになりますが。

ちなみに
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
はファイルの検索履歴のことですので、これは関係ないです。ただのログです。

ついでに
>プログラムファイルがいくつか消えました
これは復元したせいかと。

この回答への補足

教えて頂いたフリーソフトで「FC1D82.exe」を削除→勝手に作られる際のログをとりました。結果は
2006/11/01 3:49:33,開始　　,4092,TeraPad.exe,J:\プログラム\TeraPad\TeraPad.exe,1137 KB,2006/04/06 03:14:48,2005/10/06 18:12:20,2006/11/01 03:49:32
2006/11/01 3:49:39,終了　　,4092,TeraPad.exe,J:\プログラム\TeraPad\TeraPad.exe,1137 KB,2006/04/06 03:14:48,2005/10/06 18:12:20,2006/11/01 03:49:32
この後ははどう理解していけばいいんでしょうか；；
TeraPadは関係なく、テキストファイルが何かしてるとか。そういう可能性もあるのでしょうか？。。手詰まりです<(_ _)>

補足日時：2006/11/01 03:51

この回答へのお礼

回答ありがとうございます。
なるほど・・・。紹介してもらったフリーソフトなどを利用して調べてみたいと思います。（気持ち的にはさっぱりリカバリーしたいけど面倒）削除した瞬間のログが見つかればいいんですけどね。

そうですね。検索にかかった結果はスタートアップのまんまでした＾＾；
Firefox関係なのかな・・・挙動がおかしくなってるといえばおかしいんですよね。普通に終了していても、次回から頻繁にセッション異常とでるんです。

またプログラムが消えたのは復元のせいでもないです。これは・・・ただの気のせい、自分が消したんだと思い込みます。たぶん。（ちなみにずいぶん前から使ってるhtmlエディタとギコナビとFFFTPなんかで、Jドライブのprogramフォルダに入れてるんですが、偶然上から（名前順）消えているのを確認したので焦りました（フォルダの中が空になってる）

どっちにしろ近いうちに再セットアップしちゃったほうが気持ちがいいかもしれないです。

お礼日時：2006/11/01 03:24

No.2 回答者： kasumi1982 回答日時： 2006/11/01 01:21

回答ではありませんが、ヒントになれば…

私はXPでFirefox1.5を使っています

「スタートアップ」「Cドライブ」「プロセス」にもありませんが、
下のレジストリに「FC1D82.exe」ありました。

レジストリ「HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603」
「000」の中に「FC1D82.exe」ありました。
※他にもありました

詳細は分かりませんが、「ファイル検索の履歴を削除。」という記事を見つけました。
http://an-5960.cocolog-nifty.com/raki/cat3170065 …

この回答へのお礼

回答ありがとうございます<(_ _)>
「FC1D82.exe」ありましたってだけで少し心強いです。
ただ存在する場所は違うようですね。

いったい何のファイルなのか知りたいですね～・・・。

まったく関係ないと思うのですが、プログラムファイルがいくつか消えました。ただ自分の誤操作のためだと思うんですが。たぶん。。
なんとなくもう怖くて触りたくないので、再インストールしかないのかなぁ。もう少し調べてみます。ご意見ありがとうございました<(_ _)>

お礼日時：2006/11/01 01:46

No.1 回答者： popesyu 回答日時： 2006/10/31 21:04

スタートアップとサービスを一個ずつ停止していって確認するぐらいしか。

まぁサービスに入ってるのであればレジストリで「FC1D82.exe」を検索すればすぐに判明するでしょう。スタートアップもシステム系以外のもので絞り込めばそんなに数はないでしょうし、1時間もあれば分かるんじゃないんですかね。

この回答への補足

スタートアップは全部停止して確認したのですが、
<blockquote cite="http://oshiete1.goo.ne.jp/kotaeru_hosoku.php3?a= …
<p>まぁサービスに入ってるのであればレジストリで「FC1D82.exe」を検索すればすぐに判明するでしょう。スタートアップもシステム系以外のもので絞り込めばそんなに数はないでしょうし、1時間もあれば分かるんじゃないんですかね。</p>
</blockquote>
これは具体的にはどういった感じで行えばいいんでしょうか？
レジストリエディタから簡単にできますか？
ちなみに上から検索してみても何もでませんでした。

それから4日前に復元ポイントがあったので、そこに戻してしまいました。
その後firefoxのなくなってた拡張を追加している最中に例のexeファイルがスタートアップに登録されるのを確認しました。ただ複数の拡張をまとめてインストールしてしまってたので、また復元して個別にインストールして確認しようと思い、そうしていたのですが・・・今度は作られませんでした。。。なんなんでしょう？？Firefoxの拡張の一つに原因があるならばすっきるするんですけど。ん～～～、またそのうち作られそうで気持ちが悪いです。（ちなみに念のためずっとスタートアップフォルダを開いて横目で見てます）

補足日時：2006/10/31 22:43

この回答へのお礼

記入する欄を間違えました・・<(_ _)>
回答ありがとうございました。
レジストリになかったといいましたが、勘違いでした。
スタートアップにある状態で検索したらありました。
ただスタートアップに存在するってわかったのですが、ここを削除すればいいんでしょうか？なんだか頭が痛いです。

お礼日時：2006/10/31 23:07