csrss.exe が二つある??

gokooといいます。ウィルスに感染したかのかもしれません。

型番　dynabookSS 1600 10L/2
OS XP
シマンテックでウィルスが感染されるが、Temporary Internet file内のファイルへの感染(？)等だったため、そのまま削除。

具体的な症状
パワーポイントで作ったファイルを開くと文字化けし、PCのディスプレイ全体の文字までもがおかしくなるという現象に悩んでいます。文字化けの瞬間、タスクマネージャーでcsrss.exeのCPU使用率が90%にも上昇し、pptを閉じるまで使用率は下がりません。いったん文字化けすると、正常にもどすまでパソコンを再起動するしか方法はなく困っています。
ただ、どういうわけか、文字化けを引き起こすpptファイルは決まって日本語ファイル(とくにMS Pゴシック)で英語・簡体字のファイルは問題ありません。
上にも書いたように一旦バグるとie上での日本語サイトやエクスプローラーのアイコンの横の文字も文字化けしてしまいます。ただ何故か、英語・簡体字のウェブサイトは正常です。
(pptを開く以外に、ネットサーフィンをしていても、文字化けが起こることがあります。)

気になってcsrss.exeを検索すると以下に二つありました。
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\system32

このファイルは通常二つあるものなのでしょうか？

何が原因か分からないので、状況を書き出してみました。
ご存知の方宜しくお願いします。

No.7 ベストアンサー 回答者： doki2 回答日時： 2007/03/04 18:07

アップローダーを使ってみてください。

送信者側

１．フォントフォルダからは直接アップロードできませんのでデスクトップにコピー
２．「HGRSGU.TTC」と「msgothic.ttc」（２件）を「HGRSGU.lzh」ファイル（１件）に圧縮してデスクトップに保存
３．アップローダーサイトにアクセス。（下記が使いやすそうです。）
　http://updas.net/up/
４．file:の横の「参照」をクリック
５．C:\Documents and Settings\ユーザー名\デスクトップ\HGRSGU.lzhを選択
６．Comment欄に「お世話になります」等と入力
７．DL pass　RM pass　空白のままスキップして「送信」をクリック
８．ファイルのリンク先、たとえば下記URLをメールで送信。
　http://updas.net/up/download/1172996114.lzh

受信者側

１．デスクトップにい「Fonts」フォルダを作成しておく
２．リンク先にアクセスして「ダウンロード」をクリックし、HGRSGU.lzhをデスクトップの「Fonts」フォルダに保存
３．HGRSGU.lzhを解凍すると「HGRSGU.TTC」と「msgothic.ttc」が作成されます。

☆破損したフォントファイルの削除エラーへの対応

「Unlocker」をインストールしておいてください。
　http://fine.tok2.com/home/heto2/0404Unlocker/000 …

　１．インストールすると「UnlockerAssistant」がメモリーに常駐するようになります。
　２．エキスプローラでファイルを削除しようとすると削除エラーの表示になると思います。
　３．しばらく待つと自動的に「UnlockerAssistant」が起動され、ファイルをロックしているプログラムのリストが表示されます。
　４．「UnlockerAssistant」の画面左下のドロップダウンリストで「削除」を選択

　５．画面右下の「全ロック解除」をクリックしてファイルを削除し、「終了」を押して「UnLocker」の画面を閉じます。
　６．パソコンを再起動してファイルが削除されているのを確認してください。
　＊パソコンの再起動時に削除する旨の表示が出ることがあるので画面の指示に従ってください。

No.8 回答者： doki2 回答日時： 2007/03/04 19:19

フォントファイルをいじくると非常に危ないことがわかりました。

問題のフォントはいずれもシステムフォントですから、もし操作を誤ると画面表示がおかしくなりファイル操作が難しくなってしまいます。

まだ作業をやっておられないのであればこれ以上事態を悪化させないために、作業を中止されることをお勧めします。

もし、すでに異常が発生しているようであれば、問題のフォントをエキスプローラでいったん削除して、正常なフォントをドラッグ・アンド・ドロップでフォントフォルダにコピーしてみてください。

この回答への補足

まだ作業をしておりません。
No.7で回答頂いた作業は危ないということですね。確かに「msgothic.ttc」のショートカットを「Fonts」ファイルにおかないと、デスクトップで多くの文字が小さな明朝体で表示され、ieではやたら太いゴシックになるなど見にくいです。

ただその状態で「Fonts」ファイルの操作をすることは可能です。また「Fonts」ファイルからフォントの削除は(といってもショートカットの削除ですが)何のエラーもなく実行できます。
説明不足であったか、私の勘違いなのか確認のために質問をさせてください。No.7でおっしゃる損傷フォントの削除とは、損傷のあるフォントをフォルダをデスクトップなどに残しておくことをいうのでしょうか？それとも完全にPCから削除して、(うまく言えませんが)新しいフォントを使う以外方法が無い状態になってしまうことでしょうか？

前者の状態は何度か見ており、例えば起動中の“～へようこそ”なども明朝体になり、PCは問題のある「msgothic.ttc」フォントを読み込んでいない状態だと思うのですが、その状態でPCに新しいフォントを読み込ませる作業をさせても、やはり危ないのでしょうか？

後者の場合ですと、フォントトラブルに参っているので、破損の無いフォントをうまく入れれなかった場合など考えると、これ以上悪化させたくないのも事実です。

補足日時：2007/03/04 22:10

この回答へのお礼

doki2さん
先日、知り合いのXpユーザーから問題のあるフォントファイルをスカイプで送ってもらい、フォントフォルダにインストールしました。するとこれまでの文字化け現象が全ておさまり、これでPCは何の不自由もなく使えるようになっております。これまでアドバイス頂きありがとうございます。これにてこの質問を締め切らせていただきます。

お礼日時：2007/05/29 03:07

No.6 回答者： doki2 回答日時： 2007/03/03 11:25

参考になりますかどうか・・・

１．ウィルス、スパイウエアの疑い。

　下記のオンラインスキャンを試してみてください。

　「BitDefender」オンラインウィルススキャン
　http://fine.tok2.com/home/heto2/0700SecurityApp/ …

　「eWido」オンラインスパイウエアスキャン
　http://fine.tok2.com/home/heto2/0700SecurityApp/ …

　疑えばキリがありませんので、何も検出されなければウィルス、スパイウエアの可能性は殆どないと考えたほうがいいと思います。

２．パワーポイント固有の問題。

　プレゼンテーション関連では見栄えを良くするために特殊なフォントを使うことがあります。

　PPTファイルを作成保存したパソコンで特殊なフォントを使って保存し、そのファイルを他のパソコンで再生した場合、そのパソコンに同じフォントがなければ文字化けが発生しますが、この場合、作成、保存した経緯がわからなければ解決できません。

３．インストール中にPCがフリーズします。

　メモリー不足でフリーズするようであればセーフモードでのインストールをお試しください。

　「BootSafe」 セーフモードで再起動するミニツール
　http://fine.tok2.com/home/heto2/0500MiniTool/051 …

　フォントファイルの破損が原因でフリーズするのかもしれません。

　「MSGOTHIC.TTC」
　サイズ：7.97 MB (8,368,096 バイト)
　ディスク上のサイズ：7.98 MB (8,368,128 バイト)

　サイズが変わっている場合、Windowsのインストールディスクや、ハードディスク内に「MSGOTHIC.TTC」のバックアップがあれば正常なフォントファイルを再インストールできると思います。

４．代替フォントのインストール

　「MSGOTHIC.TTC」のバックアップがない場合、代替フォントを使う手もありますが、問題を更にこじれさせる可能性もありますのであまりお勧めできません。

　MS *ゴシック Ex+ 配布ページ
　http://ms-gothicex.mpage.jp/

　Lhaz v1.33 (MS-GothicExPlus.7z　解凍ツール)
　http://www.chitora.jp/lhaz.html

５．別のカテゴリーで質問する

　http://oshiete1.goo.ne.jp/c232.html

この回答へのお礼

ありがとうございます。ファイルが破損しているようです。

まずはセーフモードでインストールを試みました。普段と違いフリーズまでしませんでしたが、数分かかった後、「・・・ファイルは現在使用中であるため置き換えられません。 Windowsがファイルを使用し終わるまで待ってから、再実行してください」とエラーがでました。（因みにショートカットをおいている状態ではすぐにこのメッセージがでます。

そして「MSGOTHIC.TTC」のファイルサイズですが、
サイズ：7.88 MB (8,272,028 バイト)
デスク上のサイズ：7.89 MB (8,273,920 バイト)

とでました。同じくインストールできないフォント「HGRSGU.TTC」は
サイズ：1.87 MB (1,964,832 バイト)
デスク上のサイズ：1.87 MB (1,966,080 バイト)　　

これでファイルが破損したという事が確認できました。

>サイズが変わっている場合、Windowsのインストールディスクや、ハードディスク内に「MSGOTHIC.TTC」のバックアップがあれば正常なフォントファイルを再インストールできると思います。

現在、Windowsのインストールディスクや問題のあるフォントのバックアップはありません。誰かにほしいといって戴けるものなのでしょうか？
例えば知り合いにファイルをスカイプ経由など。。。（安易な方法しか思いつかず、すいません）

お礼日時：2007/03/04 00:18

No.5 回答者： doki2 回答日時： 2007/03/01 18:24

デスクトップへ移動されたフォントファイルは「MSGOTHIC.TTC」ではないかと思います。

このフォントはシステムの各所で使われていますから正規の場所以外に移動すると何が起こるかわかりません。

システムで使われている「MSGOTHIC.TTC」関連の設定をすべてほかのフォントに切り替えればうまくいくかもしれませんが、大変な作業になるでしょうし、確実に修復できるという保証もありません。

滅多にいわないことですが、ここは素直にリカバリーして再出発されるのがいいのではないかと思います。

この回答へのお礼

おっしゃる通り「MSGOTHIC.TTC」です。動かしてはいけなかったのですね・・・。ただpptを開く等して発生する文字化け現象は、ファイルを動かす前からありました。

リカバリーと聞き少々ショックですが、今はそれができる環境にありません。個人PCでなく、また海外に持ち出して使用しています。普段使う分には影響がないのが幸いですが、再起動すれば元に戻っていましたので、何かのプログラムを停止させれば割と簡単に解決するのかなどと考えていました。

今までアドバイスしていただきありがとうございます。リカバリは今すぐにとはできませんので、また何か気づかれたことがあれば宜しくお願いします。

お礼日時：2007/03/03 01:52

No.4 回答者： doki2 回答日時： 2007/03/01 10:43

☆Email-Worm.Win32.Brontok.q

http://www.viruslistjp.com/viruses/encyclopedia/ …

　詳細は上記のページにありますが、現在の症状とは関係はなさそうです。
　また隔離フォルダで見つかっていますから、動作しないと思います。

　ノートンのヘルプで隔離ファイルの削除方法を探して、削除してください。

>fontreg`実行しようにも、見つかりませんと表示され、

　Windows９X/Me用のプログラムで、Windows XPには「fontreg.exe」はありません。

>上のウィルスと関係があるのでしょうか

　関係ないと思います。

☆Fontsフォルダ

　特殊なフォルダですからエキスプローラで登録削除はできないことがあるかもしれません。

　コントロールパネルの「フォント」を選択して表示される画面で「ファイル」「新しいフォントのインストール」や「削除」コマンドを使ってみてください。

☆フォントキャッシュの削除

　[WD2002] 特定フォントがフォント一覧に表示されない
　http://support.microsoft.com/kb/417563/ja

　Windowsのバージョンによってキャッシュファイルの名前が変わるので注意してください。

　Windows XPでは下記のファイルになります。

　C:\WINDOWS\system32\FNTCACHE.DAT

☆[PPT2000] 特定フォントで一部の文字が別のフォントに置き換わる
http://support.microsoft.com/kb/413940/JA/

　この問題については下記のソフトを試してください。
　ただし私も使ったことがありませんので自己責任ということで・・・

　Win2000/XPでUnicode tableのないフォントを(WindowsNT/2000/XP / 文書作成)
　http://www.vector.co.jp/soft/winnt/writing/se268 …

この回答への補足

ご回答ありがとうございます。隔離ファイルを削除しました。素人ながら気になるのは、ノートンの脅威履歴に“隔離”“感染”と表示されていたことです。この“感染”の影響がないと良いのですが。。。

>コントロールパネルの「フォント」を選択して表示される画面で「ファイル」「新しいフォントのインストール」や「削除」コマンドを使ってみてください。

「新しいフォントのインストール」コマンドを実行してみました。
・フォントファイルのショートカットがある場合
[フォントは既にインストールされています。新しいバージョンをインストールするには、先に古いバージョンを削除してください。]とエラーがでます。

・フォントファイルのショートカットを削除後
インストール中にPCがフリーズします。
=>フォントの追加ウィンドウ下部の、`フォントフォルダにフォントをコピーする`のチェックをはずした場合ショートカットが作成できます。(今はショートカットをファイル内にあり、本物はデスクトップに置きPCを使っていますが、MSゴシック使用のpptファイルの文字化けには参っています)


>☆フォントキャッシュの削除
　[WD2002] 特定フォントがフォント一覧に表示されない
　​http://support.microsoft.com/kb/417563/ja​

問題が解決できませんでした。


>☆[PPT2000] 特定フォントで一部の文字が別のフォントに置き換わる
​http://support.microsoft.com/kb/413940/JA/​

>Win2000/XPでUnicode tableのないフォントを(WindowsNT/2000/XP / 文書作成)
　​http://www.vector.co.jp/soft/winnt/writing/se268 …​

上の二つのリンクですが、トラブルのあるフォントは当初よりPCにあったフォントですが、Fonts内に戻せないのはどういう原因なのでしょうか？フリーズする事に対して、嫌な予感がします。
一番下のリンクですが、今は時間がないので後ほどトライしてみます。

補足日時：2007/03/01 14:53

No.3 回答者： yoshi-thk 回答日時： 2007/03/01 09:42

No1ですけれど、お礼の内容から推測すると、今回見つかったウイルスは、削除しているのではなくて、

「検疫」というフォルダに残っている状態です。
ですから、この検疫フォルダを削除することで、解決すると思います。

シマンテック　サポート
文書番号（ID）：20020501102347949
ウイルス履歴に感染ファイルを「放置」したログが残されている
http://service1.symantec.com/support/inter/entse …

それで、今回カスペルスキーで見つかったウイルスについては、シマンテックでは次のようなウイルス情報が出ています。

W32.Rontokbro@mm
http://www.symantec.com/region/jp/avcenter/venc/ …

推測としては、このウイルスに感染していて、隔離したのでしょうが、未だ残っているかとおいますので
削除して、レジストリの改変部分を直してみることを勧めます。

この回答への補足

ありがとうございます。教えていただいた一つ目のリンクで、ノートンで処理したつもりだったQuarantine フォルダ内のすべてのファイルを削除することができました。

二つ目のリンク、32.Rontokbro@mmについて、カスペルスキーでみつかった、Email-Worm.Win32.Brontok.q　と名前が少し違います。(リンクの説明を読みましたがハードルが高く挫折しました。)どういう関係なのでしょうか?恥ずかしながらレジストリを全く触ったことがないので、編集する前に確認をしようと思いました。見当違いな質問でしたらすみません。

補足日時：2007/03/01 14:37

No.2 回答者： doki2 回答日時： 2007/02/27 16:39

>C:\WINDOWS\ServicePackFiles\i386

>C:\WINDOWS\system32

いずれも正常な場所にあります。

C:\WINDOWS\system32\csrss.exe

プロパティーを調べて下記サイズであればこのファイル自体には問題はなさそうです。

サイズ：6.00 KB (6,144 バイト)
ディスク上のサイズ：8.00 KB (8,192 バイト)

Windows Messenger 5.0 のインストール後、Windows が応答を停止し、Csrss.exe プロセスの CPU 使用率が 100% になる
http://support.microsoft.com/kb/835973/ja

「方法 2 : Windows Messenger を無効にする」を試されてはどうでしょうか。

この回答へのお礼

ご回答ありがとうございます。ファイルのプロパティを調べると二つとも上記のサイズでした。また`Windows Messengerを無効にする`を試しましたが解決しませんでした。フォントの症状を以下のyoshi-thkさんの欄で追加でに書き出したのですが、もし何か分かりましたら引き続き教えてください。よろしくお願いします。

お礼日時：2007/03/01 04:48

No.1 回答者： yoshi-thk 回答日時： 2007/02/27 16:22

ウイルスを心配するのであれば、次のサイトでウイルス検索してはどうですか？

トレンドマイクロウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp

F-Secure オンラインスキャナ
http://www.f-secure.co.jp/v-descs/disinfestation …

カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
http://www.kaspersky.co.jp/scanforvirus/

ノートンで検知しないウイルスがあれば見つけられるし、発見されたものを処置した方がよいです。

この回答へのお礼

回答ありがとうございます。返信が遅くなってすいません。仰るとおり試してみたところ、
ウィルスバスターとF-Secure：問題なし
カスペルスキー：見つかったウィルス4、感染したオブジェクト2458
と出ました。正直、固まってしまいました。2458個は全て同じ場所にあり感染ウィルスも同じです。

・場所
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\xxxxxxxx.VBN　(xxxxxxxxはアルファベットと数字)
・ウィルス
Email-Worm.Win32.Brontok.q
・前回の処理
全てスキップ

これはノートンが処理(隔離?)したもののようなものでしょうか。素人なりにノートンで検疫ファイルを削除できたと思っていたので(勘違い?)お手上げです。その後の処理の方法をご存知であれば、よろしくお願いします。


※文字化けしたフォントについて質問
トラブルがフォントという事で、フォントのトラブルシューティングを試したことがあるのですが、追加の質問をさせてください。Fontsフォルダの内、
・HG創英角ゴシックUB & HGP創英角ゴシックUB & HGS創英角ゴシックUB
・MSゴシック & MS Pゴシック & MS UI Gothic
を一旦Fontsフォルダから出した後、インストールしようとするとエラーが出ます。(フォルダ内にはショートカットアイコンしか作れず、フォントファイルをデスクトップ上におくか、フォントファイルを開かないとディスプレイにゴシックが現れません)。他のフォントは問題なくインストール＆削除ができ、pptファイル等の文字化けの原因は上のフォントが原因のような気がします。過去のフォントトラブルの投稿等を見よう見真似で、フォントキャッシュやレジストリの破損の際の処理をしようとしました。ただキャッシュ削除するも結果は変わらず、`fontreg`実行しようにも、見つかりませんと表示され、何か嫌な予感がします。上のウィルスと関係があるのでしょうか。。。

お礼日時：2007/03/01 04:35