csrss.exeが見つからないエラー

こんにちは、よろしくお願いします

先ほどウイルス検索を行ったところ(AVGフリーエディション)
winsock/csrss.exeというものがトロイと認識され、削除したのですが
その後、再起動ごとにwinsock/csrss.exeが見当たりませんというエラーが出ます。

しかし、おそらく本物?のcsrssはsystem32/csrss.exeとして存在し、タスクマネージャでも動いています。


起動時にエラーが出るだけで特に動きに支障はないのですが、これは直したほうがいいのでしょうか？


先ほどウイルス関係の質問もさせていただき、回答で
http://www.kt.rim.or.jp/~ksk/wskfaq-ja/general.h …

winsockがどういうものなのかが書かれたページは教えていただいたのですが
PCに疎いため、よくわからないのです；


トロイがウイルスではなくスパイウェアということもやっと分かったのですが
回答者の皆様からはOSの再インストールを進められたのですが、PCに疎すぎて業者の方に頼んでやってもらったので一人で気軽に出来ないのです；

OSの再インストールという方法以外で何か解決策などあるようでしたら
教えていただけると幸いです、よろしくお願いいたします

No.4 ベストアンサー 回答者： mama_ane 回答日時： 2006/06/16 15:25

カスペルスキーオンラインは察しのようにバスターの隔離フォルダでファイル戻さない限り無害ね。

現状は不正プログラムは動いて無さそうなのでまずは一安心。
痕跡がどれだけ影響及ぼしているか？ですね。

なんだかやったら「リカバリ」と書かれてますが・・・。
とりあえず・・・
こういった駆除関連で指示が混乱するのは避けたいので他者との指示を両方作業されるのは避けてください。
他者のレスを優先されても構いません、その場合私のレスはスルーしてください。


で・・・
HijackThisのほうはやったの？
eScanは？
1～2の指示出した事すべてやってきてください。
やらずに補足要求は勘弁ね。


>ちょっと状況がよくつかめてないので、
よく分からないって事なら先に書いたようにサイトの移動を行って下さい。
本当は分かっても「移動」をお勧めしたいんですけどね・・・。
(感染専門サイトなのでその方が徹底して調べられますから・・・)
HijackThisログなどの取り方も図入りで説明ページ用意されています。
かなりの初心者さんでもよく読めば分かります。

食わず嫌いならぬ"読まず嫌い"をするのなら私もリカバリお勧めします。

この回答への補足

あれ？補足でお礼の欄でhijackの結果を張ったのですが・・；
一応コピペしておきますね

追記です。
Hijackを行いましたところ、ログの中に

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\winsock\csrss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\winsock\csrss.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

このF２にあたる部分が問題の箇所っぽいのですが、これはfixしてしまってもよろしいのでしょうか？

教えていただけると助かります


このような文章でした。eScanはこのfixが終わってからのほうがいいかなと思いましたので、まだやってないんです、すみません

先ほどのサイトのほうも見たのですが、質問をあちらに転換して重複していいか迷っていたもので・・

気分を悪くされたようでしたらすいません；；

補足日時：2006/06/16 15:35

この回答へのお礼

先ほどのサイトで色々なケースを見ながら錯誤した結果
無事Fixも出来、起動も問題なくなり、またウイルスも検出されなくなりました。

これで暫く様子を見てみようかと思います。

今回の件で、自分の知っていた以外にさまざまな便利なサイトやスキャンソフトがあることを知れて大変よい機会でした。


答えてくれた皆さんに感謝したいと思います。

どうもありがとうございました！

お礼日時：2006/06/16 16:53

No.3 回答者： yoshi-thk 回答日時： 2006/06/16 14:27

申し訳ないですが、すぐにリカバリを業者に依頼してください。

というのは、今回検出されているウイルスのようなプログラムのファイルに関しては、国内での解決例がないです。
そして、以前の質問文を見ると、ウイルス感染しているファイルについては、隔離していると回答があり、
どうやら、一筋縄ではいかないタイプの、ウイルスの複合汚染の危険性が高いのです。
ただ、だらだらと時間を過ごして、スパイウェアを検出して排除しても何の解決にもならないです。
再び、ウイルスやスパイウェアに感染する可能性が非常に高いです。

パソコンについて、詳しくないと御自身でも質問文で触れられているので、時間を掛けることなく、
業者にリカバリを依頼することを勧めます。

その上で、今回の経験を教訓として、ウイルス対策やスパイウェア対策を取り直すことを勧めます。

ちなみに「winsock/csrss.exe」で検索をしたところ、フランス語圏での感染例があるようです。

01.Net froms　
Virus Winsock - CSRSS.EXE - Que faire???
http://forum.telecharger.01net.com/telecharger/s …

ただし、経過に関しては途中のようです。
今後どのようになっていくのか不明なところです。

No.2 回答者： junra 回答日時： 2006/06/16 12:37

http://www.symantec.com/region/jp/avcenter/venc/ …
http://www.sophos.co.jp/virusinfo/analyses/w32me …
http://www.casupport.jp/virusinfo/2005/win32_cia …
スパイウエアに感染されて完全に削除対策をされてみたください。

WindowsでTCP/IPの機能を利用したソフトウェアを開発するためのAPIとありますので通信のためのバックドアを作るためにクローンを作成されたるとおもいます。
スパイウエアの特定が出来てないので先ほど入れなおしを薦めましたが、内部的に隠れて動くものもありますので、検索後何度も同じものがでるようでしたら削除しいれてませんので再度対策が必要です

No.1 回答者： mama_ane 回答日時： 2006/06/16 12:32

先の質問に投稿しようと下書きしていたんですけどね・・・。

多情手直ししてこちらへ書き込みます。


まず・・・
オンラインスキャンは以下の所だけで十分
感染疑惑状態でのネット接続長時間は危険なので複数はお勧めできません。
この辺ちょっと感染系に詳しい人なら気を配ってレスするのですが・・・。
★カスペルスキーオンライン
(検出力NO1エンジンです、ここで検出出来ないモノはバスターでも検出しません)
http://www.kaspersky.co.jp/scanforvirus/

>トロイがウイルスではなくスパイウェアということもやっと分かったのですが
トロイの木馬はトロイの木馬です…ウイルスでも無くスパイウェアでもありません。
ただウイルスとセットで考えられますが、スパイウェアとは別種です
…といっても最近では似たような動きするのでトロイに分類されるモノもありますが。


>お試し版(昨日は完全版と同じ)のウイルスバスター2006をインストールしまして
AVGはアンインストールしてありますか？(重複は危険です)

以下について処理していきます
>その後再起動ごとにwinsock/csrss.exeが見つかりませんとエラーメッセージが出ます。

問題のファイルがPC起動時に自動で起動するレジストリ設定になっているにも関わらずファイルが無い＝エラーメッセージが出ている状態です。
なので問題箇所のレジストリを処理します。


1/
↓ページ熟読の上HijackThisログを取ってください。
http://www.higaitaisaku.com/hijackthis.html#jyunbi

O4中心にご自身でチェックして「winsock/csrss.exe」記載部分をFixして下さい。
※結果お知らせ下さい。(複数ある可能性大)
※問題らしき部分を返信にも貼って下さい。


2/
念のためのウイルススキャン行って下さい。
オフラインで行えるカスペルスキーエンジン使用のものです。
★eScan
http://www.higaitaisaku.com/escan.html
スキャン後にVirusScanTool2で加工して eScan.log を作成します。

Cから始まるファイル名の部分のみチェック対象になります。
この時以下のファイルは除いてください。
・C:\System Volume Information\_restore（システムの復元ポイントで無害）
・C:\RECYCLER（ごみ箱で無害）

文字数が多い場合は同じファイル名のモノは一つにまとめるなり工夫お願いします。



#これらログをご自身で判断しての作業が難しい場合は以下のサイトへ移動をお勧めします。
#駆除からOS入れ直しが必要か？その場合の手順やリカバリ後のチェックも出来ます。
（OKでは文字制限でこれら指示は無理なので・・・他…)
アダ被＜新規作成よりお進み下さい＞
http://bbs.higaitaisaku.com/cbbs.cgi

この回答への補足

ありがとうございます、大変参考になりました。
カスペルスキーオンラインスキャンをやらせてもらったところ
なんとまだウイルスがありました

感染オブジェクト名 ウイルス名 前回の処理
C:\Program Files\Trend Micro\Virus Buster 2006\Quarantine\4.tmp/data0001 感染: Trojan-Downloader.NSIS.Agent.u スキップ

C:\Program Files\Trend Micro\Virus Buster 2006\Quarantine\4.tmp NSIS: 感染 - 1 スキップ

C:\Program Files\Trend Micro\Virus Buster 2006\Quarantine\4.tmp UPX: 感染 - 1 スキップ

C:\Program Files\Trend Micro\Virus Buster 2006\Quarantine\4.tmp PE_Patch.UPX: 感染 - 1 スキップ

C:\Program Files\Trend Micro\Virus Buster 2006\Quarantine\4.tmp CryptFF.b: 感染 - 1 スキップ

スキャンプロセスは完了しました。

これを見るとウイルスバスターに対して反応しているようなのですが・・?

ちょっと状況がよくつかめてないので、補足のほうありましたらよろしくお願いいたします

補足日時：2006/06/16 14:34

この回答へのお礼

追記です。
Hijackを行いましたところ、ログの中に

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\winsock\csrss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\winsock\csrss.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

このF２にあたる部分が問題の箇所っぽいのですが、これはfixしてしまってもよろしいのでしょうか？

教えていただけると助かります

お礼日時：2006/06/16 15:02