ctfmon.exeが２つある

以前にPCが逝ってしまったのでリカバリー後、
アップデートする前にサイトを徘徊してしたのでその時に感染したと思います

機種は富士通のXPです
SP１の時に徘徊後、SP２を入れました

凄く重いので調べてたらウィルスに感染してるのが解りました
msauc.exeってウィルスが感染していたと思います
sall.exeの様なのを作って行動すると他の掲示板で書いてあったのでレジストリを自分なりに消去しましたが有ってるかは解りません・・・

今のところ通信が途切れる事や重くって開いたページが消える程度です
これは多分・・・容量が２４６MBしかない為だと思います

他にもウィルスらしき物がタスクマネージャーを見たら
vgxe2e.tmp
vgxe2d.tmp
00024.tmp
16ce.TMP

tmpの付いたのが幾つか有りましたが調べたのですが同じtmpが殆ど出て来ませんでした
英語でのサイトは幾つか出て来ましたが全然英語力が無いので翻訳サイトで見ても意味がサッパリ解りませんでした

一応ｔｍｐを調べてみたところプロセス終了しても問題無さそうだったのでｔｍｐは全て終了させました

その後他のも止めようとして調べてましたがシステム構成ユーティリティでスタートアップ項目のとこに何故か普通１つの筈のctfmonが２つ有ります

IMEの為１つの筈ですが・・・・
このどちらを消して良いのかが解りませんので宜しくお願いします

２つともコマンドはC:\WINDOWS\system32\ctfmon.exeです
場所が違います
１つは
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
もう１つは
SOFTWARE\Micorosoft\Windows\CurrentVersion\Run

HKCUが有るのと無いだけです
IMEなので両方のチェックボックスを外して止めても良いと思いますが・・・
一応確認する方法が調べたけれど出て来ませんでしたので質問しました。

ウィルススキャンではマカフィーとマイクロソフトのOne Liveで調べましたが何も検出されませんでしたのでスパイウェアーと思います
スパイボットはこの前導入しましたが全く反応が無いので動いてるのかすら今は解りません

自分は初心者レベルに毛が生えた程度なので詳しい回答をお願いします

他に今タスクに出てる怪しいと思うのを書いて置きます
（特に怪しいのを付けて置きました）
数が多いのとメモリをやたら使ってたりプロセス終了しても直ぐに立ち直るので・・・・

spooll.exe
iexplore.exe
rundll32.exe
mmc.exe
svchost.exe
wscontfy.exe
AcroRd32.exe
snmp.exe
tcpsvcs.exe
PCKETSVC.exe
ctfmon.exe
explirer.exe
alg.exe
lsass.exe
services.exe
csrss.exe
System

システムのスタートアップで構成ユーティリティーにある怪しいの
pctspk
BtnHnd
IMJPMIG
消して良いのが有りました教えて下さい

No.2 回答者： nobupiao02 回答日時： 2009/11/17 14:03

ctfmon.exeに対する詳細な情報を次のＵＲＬで参照することができます：

http://www.windowsfiles.jp/fairu/ctfmon.exe.html

参考URL：http://www.windowsfiles.jp/fairu/ctfmon.exe.html

No.1 回答者： okweb-goo 回答日時： 2009/06/22 12:22

怪しいファイルがたくさんありますね。

最小限の大事なデータだけ外部にバックアップして、リカバリをお勧めします。
リカバリ後、その大事なデータを戻す前に、必ず最新のウィルス防止ソフトを使い、その大事なデータも含めてすべて、ウィルスチェックもしてください。

この回答への補足

色々弄くってたので解った事も幾つか有りましたので今後同じ症状の方が出て来ると思い解除出来たウィルスと解ったプロセスを書いて置きます
spooll.exe
これはウィルスの可能性が高かったですが本当の役割は印刷機を使う場合に印刷をして下さいって何度も呼び掛けや印刷を繰り返す内容です
（良く印刷機を使った後にきちんと止めて無いとこの症状が出てる様です）
iexplore.exe
インターネットエクスプローラー
（今見てるサイトを表示っさせる機能ＩＥです）
rundll32.exe
mmc.exe
svchost.exe
４～５個有っても問題なし
意味は似てますがＳＹＳＴＥＭやＯＮＯＲに寄って変わるので詳しい方に聞いて下さい
wscontfy.exe
ウィンドウズの機能
AcroRd32.exe
フラッシュー機能の１つ
snmp.exe
tcpsvcs.exe
PCKETSVC.exe
これは富士通の独自の診断をするプロセスでした
ctfmon.exe
２つ有ったのでどちらがウィルスか解りませんでしたが普段はキボードで文字を打つ機能
explirer.exe
ファイルやフォルダー機能
alg.exe
lsass.exe
services.exe
csrss.exe
System
pctspk
タスクバー（プロセスを見れる機能）
BtnHnd
IMJPMIG
イメージボード（画像とかを表示する機能）

※他にも解りましたが説明の仕方が難しいので初心者に分かるのだけ答えて置きました
全て独学ですので間違ってたら訂正をお願いします


レジストリーの事は詳しく無いので詳しい方に問い合わせてからして下さい
飽くまでも自分が試みた限りの内容ですので同じ事をして誤動作が起きても責任持てませんのであしからず

普通のウィルス製品を導入出来ませんでしたのでスパイウェア用の製品では有料版のみ消去可能でした

Ａｄ－ＡｗａｒｅＡＥは使えませんでした
インストールをするとＸＰなのに２０００以上の機能が無いと御利用出来ませんと警告文が出て何も出来ませんでした

他の製品Ｓｐｙ　ｃｈｅｃｋ　ＡｎｔｉＳｐｙｗａｒｅでスキャンすると２つ出て来ました

調べた内容は
スパイウェアウィルス
このＰＣに感染後、他のＰＣに向けてドス攻撃（サーバーダウン）をさせるウィルスの様です

Pripi
Key: HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_iprip
Key: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\iprip

このPripiはルーターの機能を１部利用してるのですが消去をしてみたのですが使用中なのかセーフモードの影響なのかは解りませんが自分の知識ではレジストリーを消す事が出来ませんでした

一応他の方の解答が有りましたので付けて置きます
http://okwave.jp/qa3573208.html

もう１つは英文で２０件しか出て来ませんでした
内容はトロイの木馬ウィルス
トロイだと言う事以外は良く解らなかったです
Ｓｌｌｉｙａ　ＣＵＢ　←こんな名前だったと思います

Key: HKEY_LOCAL_MACHINE\software\classes\appid\{00e7b358-f65b-4dcf-83df-cd026b94bfd4}

※レジストリーをそのまま消去しましたが特に問題は出ません出したのでこの方法で消せます
スパイウェアのスキャンでもその後出て来ませんでした

セーフモードが解除出来たらカスペルスキーで消去出来たと思います
このトロイ木馬ウィルスの１つには対応してました

補足日時：2009/07/02 13:13

この回答へのお礼

返信が遅く成ってスイマセン。
色々試みましたが諦めました

やはりリカバリーした方が早かったと思います
色々試してたらセーフモードから戻しても何故かセーフモードが解除されて無くってウィルスソフトを入れようとしても高機能のウィルス製品だけ拒否されてしまいます

無限ループ常態に陥ってしまってるのでどうにも成らないので諦めが出ました。
長文失礼しました
解答して下さった方へ有難う御座いました

お礼日時：2009/07/02 13:17