質問

HijackThisのScan結果(怪しそうなものだけ表示)

Running processes:
C:\WINDOWS\System32\xwkfpycy.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Di\Hatchinn\hatchinn.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\mmkbd.exe
C:\WINDOWS\System32\msiexec.exe

O4 - HKLM\..\Run: [zzppaqxt] C:\WINDOWS\System32\xwkfpycy.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
O4 - Global Startup: Thumbs.db
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.mt-download.com

症状と現状:(1)IEを起動させると必ずOSのインストールが始まる.
(2)スタート→ファイル名を指定して実行→msconfig→スタートアップで怪しそうな
xwkfpycy.exe
pctspk.exe
crik32.exe

のチェック(最後の行はわざと空白にしてあります.なぜなら名無しのexeなんです!!)を外して再起動しても(1)の現象は直らない.
(3)Ad-aware 6.0でスキャンすると2個ぐらい検出されるが削除しても再びPCを使っていると復活する.
(4)xwkfpycy.exeを検索してプロパティを見るとcallinghome.bizという会社でこれはどうやらトロイの木馬に関係!?しているよう.

解決策ご教授お願いします.

通報する

回答 (10件)

> スタートアップに空白がまだ残っています。
> 場所はたしか
> SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> となっていたと思います。
> ファイルやフォルダの検索でCurrentVersionと
> して検索しましたが・・・
透明(不明)ファイルの事ですか?
Cドライブを検索してもCurrentVersionは出ません
レジストリ内に書き込まれた情報です
常駐起動している場合は以下のレジストリ内を
再度確認してください。
(ここの中で見つからない場合は、
こちらでもわかりません)
HKEY_CURRENT_USER
 -Software
  -Microsoft
   -Windows
    -CurrentVersion
     -Run(ここの中)

HKEY_LOCAL_MACHINE
 -SOFTWARE
  -Microsoft
   -Windows
    -CurrentVersion
     -Run(ここの中)
すぐ下の" Run- "の中を確認

HKEY_USERS
 -.DEFAULT
  -Software
   -Microsoft
    -Windows
     -CurrentVersion
      Run(ここの中)

msconfig(システム構成ユーティリティ)
でスタートアップ項目からはずす事はできますか

> 問題はウィルスがメールで一杯送られて
> くることだそうです。
支障が無ければ、アドレス変更をする。
変更すれば、しばらくの間は来なくなります。
プロバイダーの有料オプションでサーバー側で
ウィルス付きメールを削除してもらう。

この回答へのお礼

なるほど!レジストリなんですね!!xwkfpycy.exeを削除してから、もう来なくなったようです。快適に使えるようになったようです。
いつもいろいろ助けていただいてありがとうございました。

HijackThisのScan結果から見ると
O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe
となっていますので
存在場所として ローカルディスク C:
WINDOWSフォルダーの中にcrik32.exeがあるはず
なのですが??
フォルダーオプションで全てのファイル表示を
できるように変更と、保護されたシステムファイル
の表示しないのチェックをはずすことにより
直接ファイルを探してみる

起動条件はHKLM\..\Run: [crik32.exe]ですから
[crik32.exe]は常駐起動となる為
タスクマネジャーに表示されているはずなので
> 通に検索でcrik32.exeとやると
> 発見されませんでした。
検索条件で詳細設定オプションはどのように
なっていますか?
システムフォルダーと隠しファイル、サブフォルダー
など検索できるように設定を変更しましたか?
(前回の経験から、設定変更して検索していると
思いますが、確認の為)

crik32.exeが通常インストールのアプリソフト
の一部ならば Program Files と表示が入るはずです。
富士通のPCでハードの一部をコントロールしている
場合はプロパティを確認できればすぐわかるはず
予想としてcrik32(クリック32)ならば
マウス関係の設定オプションと思います。

富士通に直接メールで問い合わせてみる事も
出来るはずですが、どうでしょうか?

(現在 crik32.exe は正体不明、PC所在未確認)

この回答へのお礼

回答ありがとうございます。
#2の症状および(1)の症状はなんか適当に調べたりして自力でやったら直ったそうです。
HijackThisでログをとってみたらcrik32はなくなっていました。問題はウィルスがメールで一杯送られてくることだそうです。
HijackThisでxwkfpycy.exeを削除。あとレジストリでxwkfpycyを検索して削除。そして、ファイル検索で削除(通常モードでは削除できませんでしたが、セーフモードでやったら削除できました)。
スタートアップに空白がまだ残っています。
場所はたしか
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
となっていたと思います。
ファイルやフォルダの検索でCurrentVersionとして検索しましたが、見つかりませんでした。
それからの症状はまた後日分かり次第報告いたします。

この回答への補足

そういえば
O15 - Trusted Zone: *.mt-download.com
もxwkfpycyを削除時についでに削除しました。

ANo.#7 の訂正です。

crik32.exeは情報がほとんど得られない為
怪しいと判断しました。

> 再度検索したら、レジストリ内にありました、
> 通常の検索では、表示されませんでした。
> これは、正常と判断してください。

の部分について、検索を繰り返していた為
一時データがレジストリーに残った為と
わかりました。
通常では私のPCには、crik32.exeはありません。
現在正体不明です。

そちらの現在修理中PCではcrik32.exeの
プロパティー内容はどのようになっているか
確認して下さい。

この回答へのお礼

回答ありがとうございます。
>そちらの現在修理中PCではcrik32.exeの
>プロパティー内容はどのようになっているか
>確認して下さい。
crik32はレジストリエディタで検索するとレジストリ内には見つかるのですが、普通に検索でcrik32.exeとやると発見されませんでした。
この場合どうすればプロパティを確認できるでしょうか?

ANo.#4について、つ込みが入ってしまった2

>O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe
>を怪しいと判断された根拠は何ですか?

crik32.exeは情報がほとんど得られない為
怪しいと判断したのですが
再度検索したら、レジストリ内にありました、
通常の検索では、表示されませんでした。
これは、正常と判断してください。

ANo.#6の続き
msiexec.exeは自己のPCにあった為

その他 情報
スパイウェア検索サイト
http://www.spywareguide.com/index.php

余談
今週は私の回答内容に管理人さんたちが
かなり調べている様子です。いくつかの回答の削除と
修正をいれた連絡が多数(8)入りました。
又訂正がはるのかな?

ANo.#3について、つ込みが入ってしまった

>C:\WINDOWS\System32\conime.exe
>C:\WINDOWS\mmkbd.exe
>C:\WINDOWS\System32\msiexec.exe
>は何か分かりますか?

conime.exeは自己のPCにあるConsole IME
サイズ 24.0 KB (24,576 バイト)
作成日時 2003年4月3日、21:00:00
ファイルバージョン5.1.2600.1106 (xpsp1.020828-1920)などから判断しました。

mmkbd.exeはキーボードに関する一部のファイル
googleで検索しても、特に出ないが、疑惑は残る

msiexec.exeは下記の参考URLに記載がありました。
短いコメントの翻訳の為、ハッキリとした意味は
つかめていません。
(説明によると、動作している場合は何かの理由が
ある為、バックグラウンドで動作する)
DAEMON-TOOLSと言うようなソフトを
使用していませんか?
マイクロソフト検索でmsiexec.exeを調べると
多数表示されます。
http://search.microsoft.com/search/search.aspx?s …

その他 情報
ここのHPでWinに関してある程度検索できます。
(全てのファイルに関するデータはありません)
http://www.answersthatwork.com/Tasklist_pages/ta …

> 他の症状としてはIMEパッドが出てこない,
Office のアップデートで直るかもしれません。
http://office.microsoft.com/home/default.aspx?CT …


> Windows Media Playerが使えないなどがあります。
WindowsのUPデートから
Windows Media Player 9シリーズのダウンロードから
上書きインストールすれば、よいかもしれません。

その他として
各種のWindowsのUPデートをおこなって下さい。

IE6のセキュリティー関連も調べてください。
http://www.microsoft.com/windows/ie_intl/ja/defa …

callinghome.biz?トロイの木馬?スパイウェア?第二章

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [IRRCManager] C:\Program Files\Fujitsu\
O4 - HKLM\..\Run: [BrightWin] C:\Program Files\Fujitsu\BrightWin\BrightWin.exe
O4 - HKLM\..\Run: [INETCONDSP] "C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
●O4 - HKLM\..\Run: [zzppaqxt] C:\WINDOWS\System32\xwkfpycy.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
●O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
O4 - Global Startup: Thumbs.db

第二章のログについては
IME関連とFujitsu関連とMessengerとSymantec関連です
●印が先ほどの怪しい所です。再確認してください。
文章は残してありません。

この回答への補足

>●O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe
を怪しいと判断された根拠は何ですか?

callinghome.biz?トロイの木馬?スパイウェア?第一章

C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
<<Visual Studio 7>>
●C:\WINDOWS\System32\xwkfpycy.exe
C:\WINDOWS\System32\pctspk.exe
<<Cabの圧縮にあるドライバ>>
C:\Program Files\Di\Hatchinn\hatchinn.exe
<<Jword ?>>
●C:\Program
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\mmkbd.exe
C:\WINDOWS\System32\msiexec.exe


●xwkfpycy.exe
pctspk.exe
●crik32.exe
●○○○.exe

残したのはログだけです。文章はありません。
●は怪しい所
<< >>は検索してわかった範囲
その他印の無いものはPC内にあった物と
検索して、支障が無いと判断した所です。
富士通のFM-Vはアプリソフトが多い為
ログを解析しても分かりずらいです。

この回答への補足

>C:\WINDOWS\System32\conime.exe
>C:\WINDOWS\mmkbd.exe
>C:\WINDOWS\System32\msiexec.exe
は何か分かりますか?

> 削除した部分を送ってくれればまた
> コピーして使えるのにー!!
それはざんねんでしたね(笑)

昨日のHijackThisログは部分コピーしてあります。
必要なら、載せましょうか?

この回答へのお礼

>昨日のHijackThisログは部分コピーしてあります。
さすがです!
昨日のはできるだけ削除して怪しくないけどもしかしたらってのも入れておいたので、必要ないかもしれませんが、では念のためお願いします。
他の症状としてはIMEパッドが出てこない,Windows Media Playerが使えないなどがあります。

昨日の第一章と第二章の質問は管理人さんに
見事に削除されてしまいましたね
立て続けに質問欄に載せたので、OK-Webの
利用マナーに引っかかったでしょう

こちらは内容を調べて、回答しようかなと
確認したら、あれあれ??でしたよ

まだPCの調子がおかしいのですか?

こちらで調べた範囲で怪しい所です、
が確証はありません。

C:\WINDOWS\System32\xwkfpycy.exe
C:\Program (後無しの所)

xwkfpycy.exe
crik32.exe
○○○.exe(名前無し)

O4 - HKLM\..\Run: [zzppaqxt] C:\WINDOWS\System32\xwkfpycy.exe
O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe
O15 - Trusted Zone: *.mt-download.com

この回答へのお礼

>昨日の第一章と第二章の質問は管理人さんに
>見事に削除されてしまいましたね
>立て続けに質問欄に載せたので、OK-Webの
>利用マナーに引っかかったでしょう
見事に削除されました(^^;)しょうがないことなんですが、時間をかけてまとめて書いたのに易々と削除されるとなんかメッチャもの凄く悔しいですね!せめてメールで削除した部分を送ってくれればまたコピーして使えるのにー!!今度からは質問するときは予めコピーをとっておこうと思いました.みなさんもコピーお勧めします!!

>こちらは内容を調べて、回答しようかなと
>確認したら、あれあれ??でしたよ
本当にご迷惑おかけしました!

>まだPCの調子がおかしいのですか?
僕のPCはbastard2さんのおかげでこの通り快適に調子いいんですが、今回は他の人のPCを直してる所なんです.
結構直すことができたんですが、どうしても(1)の症状が治せなくて.それで質問する事にしたんです.

いつも回答いただきありがとうございます.

このQ&Aは役に立ちましたか?7 件

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

新しく質問する

注目の記事

フリーアナウンサー長谷川豊氏の新コーナー「このニュースどう思います?」がスタート!

元フジテレビのフリーアナウンサー長谷川豊氏から気になるニュースについておしトピの皆さんに質問します! 皆さんの意見をもとに長谷川豊氏がコラムを執筆します! アプリリリース記念として最大1万分のアマゾンギフト券プレゼントキャンペーンも実施中!

このQ&Aを見た人が検索しているワード


新しく質問する

このカテゴリの人気Q&Aランキング

毎日見よう!教えて!gooトゥディ