本日完全スキャンをした所、家族のアカウントの方からcftmon.exeがトロイの木馬に感染していますと警告が出ました。
しかしこのctfmon.exeはインターネットで調べると音声入力やらをサポートするシステムですが削除してもいいのでしょうか?
参考お願いします。

A 回答 (3件)

ctfmon.exeに対する詳細な情報を次のURLで参照することができます:



参考URL:http://www.windowsfiles.jp/fairu/ctfmon.exe.html
    • good
    • 0

こんにちは。



ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。

ctfmon.exeは拡張IMEと思ってもらって結構です。システムサービス名に偽装するのは常套手段です。No.1さんの解答にあるように、正規のものと間違わないで対処することが必要です。
    • good
    • 0

その"ctfmon.exe"がどこにあるのか?それが問題なんです。



確かにWindowsのシステムファイルであるctfmon.exeというのが存在します。でも…それと紛らわしくするため敢えてそれと同じ名前のファイルを別の場所に置いて動作させる、という手口があるようなのです。

http://hjdb.higaitaisaku.com/database.cgi?cmd=dp …
このページで紹介されているのが本物のctfmon.exeです。これと違った場所から検出されたファイルが見つかっているのなら問題のあるファイルである可能性が非常に高い。当然削除すべきでしょう。

あと…この種の感染では、単に検出されたファイルをそのまま削除しようとしても『削除出来ません』となってしまうことが非常に多いのです。何故なら、そのファイルが実行済みでメモリ上にあるからです。実行を終了させてからでないと削除は出来ませんし、ファイルだけ削除しても自動実行に使われるレジストリ上の記述が残ったままになり、システムの起動のたびに不快なエラーメッセージが消えなかったり、システムの動作が不安定になったりする可能性が高いです。

どのような名目でctfmon.exeが検出されたのか、それが大切です。その名称が分かれば、お使いになっているウイルス対策ソフトのメーカーのデータベースで調べて、その感染に対処する方法を見つける必要があります。その手順通りに作業を進めれば、より安全かつ確実に問題のあるファイルを削除出来る筈です。

タスクマネージャからctfmon.exeを終了させたいが、2つ立ち上がっていてどちらを終了させていいか分からない場合は、次のフリーソフトを使ってみてください。

http://uechoco.s14.xrea.com/download/stm.html

zip形式の圧縮ファイルとして配布されてますので、それを解凍出来る環境が必要です。XPなら標準でついていると思いますが。どこに解凍して良いか分からなかったら、"c:\program files"フォルダの中に適当な名前のフォルダを作成して、そこに解凍してから使ってください。
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qウィルス?不正プログラムですか?勝手に起動・・・

インターネットに接続する(ブラウザを立ち上げる)と勝手にコマンドプロンプトが立ち上がり、何か自動でプログラムが走っているようです。
事象としましては、以下の3つが発生します。
・コマンドプロンプトが立ち上がる
・ブラウザが立ち上がる

ブラウザのアクティブXの設定のためか、ページは表示されないのですが、「コンティニューならYesをクリック」とエラー表示が出ます。

またCドライブの直下に、
・コマンドプロンプトのアイコン
・IEのアイコン(HTMLファイル?)
・何かプログラムのようなアイコン2つ
・レジストリエディタのアイコン
が作成されてます。削除してもすぐにできます・・・。

かなりポコポコ立ち上がってくるのでかなり困っています。
あまりPCに詳しくないのですが、レジストリを変更されてしまったのでしょうか?
ウィルスチェック(SourceNextのウィルスセキュリティ)を実行しても発見はされません。

よろしくお願いします。

Aベストアンサー

なるほど、ダメでしたか・・。

『WinRAR self-extracting archive』
は「WinRARという圧縮方式の、自己解凍アーカイブ」という意味になります。
つまりはそれらを「勝手にダウンロード」するためのコマンドですね。先の「windupdates.com」を含め、やはりアクセス先は一箇所じゃなく、ランダムに探してる感がありますね、まったくやっかいな奴です。

こいつにしても、オンラインスキャンで出た『REG_LOWZONES.A』にしても、対処療法で削除した所でほとんど意味ありません。これを行ってる「親玉」を見つけないと根本的解決ではないですから・・、それが見つからないと何ともお手上げです。
ーーーー

さて、最後の手段「リカバリー」はOSだけでなく、HDDを含めたPCそのものの「初期化」を指します。
つまり、購入した時の状態に戻す、っと言えば分かりやすいでしょうか。
部分的にデータをエクスポート(出力保存)する事も可能ですが、それは後に言及しましょう。
その方法については、メーカーや型番で異なりますので詳細は提示できませんが、おそらくは取説やPC内のメーカーヘルプを「リカバリー」で検索すれば項目が出てくると思います。
参考までにこちらの記事をご覧下さい。
http://arena.nikkeibp.co.jp/qa/os/20040507/108533/

具体的な方法としては。
最も簡単なのはメーカー修理(もしかしてウィルス除去も可能かも)でリカバリーを依頼する事ですが・・。
自分で行う場合、上記サイトの説明であるように「リカバリーCD-ROM」があるもの、「HDD方式」で専用コマンドが用意されてるもの、それぞれの説明に従ってください。
例えば、富士通の製品はHDD方式で独自の「FMVかんたんバックアップ&リカバリーウィザード」などが用意されていたりします。詳しくはメーカーのサポートに確認した方が確実でしょう。

で、データのエクスポートですが。
これもメーカーによって専用機能があったりしますので確認して欲しいのですが・・。
HDDを初期化するというのは、すべてデリートされるという意味ですよね。
ですが、ウィルスとは関係ないと思われる「個人設定」については、バックアップファイルやCD(DVD)メディアに保存しておき、リカバリー後にインポートする事も可能です。

具体的には、「マイドキュメント」「お気に入り」などのユーザーフォルダ&ファイル。後はどうしても必要な個々のデータもバックアップしておきます。
上記のような製品自体の「ウィザード」があれば必要無いですが、手動ですとブラウザの「フォルダ」→「インポートとエクスポート」で「お気に入り」を出力できます。

ただし、「クッキー」は止めておいた方がいいでしょう。また、「ブラウザ設定」も・・止めておいた方がよさそうですね。なるべく、最小の情報だけ残すようにした方が安全です。
今まで入れた「ソフト」の類も、あらためてダウンロードするなどしましょう(何かのソフトにウィルスが寄生してる可能性も無きにしも非ずなので)。
ーーーー

余談ですが、リカバリー後には購入時の状態に戻りますから、まさに赤子状態でまっさらです。
ネットに接続する前にファイアーウォールや、対策ソフトを先にインストールし設定&スキャンしてから繋いで下さい。

では、健闘を祈ります。
うまくいくといいですね。

なるほど、ダメでしたか・・。

『WinRAR self-extracting archive』
は「WinRARという圧縮方式の、自己解凍アーカイブ」という意味になります。
つまりはそれらを「勝手にダウンロード」するためのコマンドですね。先の「windupdates.com」を含め、やはりアクセス先は一箇所じゃなく、ランダムに探してる感がありますね、まったくやっかいな奴です。

こいつにしても、オンラインスキャンで出た『REG_LOWZONES.A』にしても、対処療法で削除した所でほとんど意味ありません。これを行ってる「親玉」を見つけ...続きを読む

Qconime.exeについて質問があります。

先ほどタスクマネージャーを見たところ
見たことの無い「conime.exe」というのが
あったのですが過去ログを見たところスパイウェアらしい(?
と書かれていたのですがこれは危険な物なのでしょうか。

どなたかお解かりになられる方がいましたら
教えていただけないでしょうか。

Aベストアンサー

>私は普段かな入力をしているのですが、それが原因という考え方もあるのでしょうか…^^;

Windowsレベルで日本語変換を有効にしただけでは「Conime.exe」は読み込まれません。

念のため、もう一度調べましたが、私の環境(Windows XP Home Edition SP2)では、スタートアップ直後には「Conime.exe」は読み込まれていません。

考えられることとしては、どこかでバッチファイルが実行されているのではないかということくらいです。

バッチファイルについては下記参照ください。
バッチファイルとは?
http://ykr414.com/dos/bat.html#01

レジストリを使って「Conime.exe」を起動させないようにできますが、お勧めできません。
(HKEY_CURRENT_USER\Consoleを開きLoadConImeの値を「0」にする)

その他、マイクロソフト以外のIMEを使っていると状況が変わるかもしれません。

スタートアップで不審なプログラムが起動されていないか調べるのがいいと思います。

「Autoruns V 8.42」詳解
http://fine.tok2.com/home/heto2/0401Autoruns/mokuji.htm

「Starter」
http://fine.tok2.com/home/heto2/02605Starter/0100B.htm

>私は普段かな入力をしているのですが、それが原因という考え方もあるのでしょうか…^^;

Windowsレベルで日本語変換を有効にしただけでは「Conime.exe」は読み込まれません。

念のため、もう一度調べましたが、私の環境(Windows XP Home Edition SP2)では、スタートアップ直後には「Conime.exe」は読み込まれていません。

考えられることとしては、どこかでバッチファイルが実行されているのではないかということくらいです。

バッチファイルについては下記参照ください。
バッチファイルとは?
...続きを読む

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング

おすすめ情報