- ベストアンサー
callinghome.biz?トロイの木馬?スパイウェア?
- IEを起動させると必ずOSのインストールが始まる.スタートアップの怪しいファイルを削除しても解決しない.Ad-aware 6.0でのスキャンでも再び検出される.xwkfpycy.exeはcallinghome.bizという会社に関係している可能性がある.
- 問題のSymptoms: 1) インターネットエクスプローラーを起動するとOSのインストールが始まる 2) msconfigのスタートアップの怪しいファイルを無効にしても解決しない 3) Ad-aware 6.0で検出されるが削除しても再び現れる 4) xwkfpycy.exeのプロパティを見るとcallinghome.bizと関連している
- callinghome.bizに関連するxwkfpycy.exeというファイルが問題の原因である可能性がある.Scanning with HijackThisで、xwkfpycy.exeなどの怪しいファイルを特定することができる.
- Rossana
- お礼率96% (407/422)
- ウィルス・マルウェア
- 回答数10
- ありがとう数12
- みんなの回答 (10)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
> スタートアップに空白がまだ残っています。 > 場所はたしか > SOFTWARE\Microsoft\Windows\CurrentVersion\Run > となっていたと思います。 > ファイルやフォルダの検索でCurrentVersionと > して検索しましたが・・・ 透明(不明)ファイルの事ですか? Cドライブを検索してもCurrentVersionは出ません レジストリ内に書き込まれた情報です 常駐起動している場合は以下のレジストリ内を 再度確認してください。 (ここの中で見つからない場合は、 こちらでもわかりません) HKEY_CURRENT_USER -Software -Microsoft -Windows -CurrentVersion -Run(ここの中) HKEY_LOCAL_MACHINE -SOFTWARE -Microsoft -Windows -CurrentVersion -Run(ここの中) すぐ下の" Run- "の中を確認 HKEY_USERS -.DEFAULT -Software -Microsoft -Windows -CurrentVersion Run(ここの中) msconfig(システム構成ユーティリティ) でスタートアップ項目からはずす事はできますか > 問題はウィルスがメールで一杯送られて > くることだそうです。 支障が無ければ、アドレス変更をする。 変更すれば、しばらくの間は来なくなります。 プロバイダーの有料オプションでサーバー側で ウィルス付きメールを削除してもらう。
その他の回答 (9)
HijackThisのScan結果から見ると O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe となっていますので 存在場所として ローカルディスク C: WINDOWSフォルダーの中にcrik32.exeがあるはず なのですが?? フォルダーオプションで全てのファイル表示を できるように変更と、保護されたシステムファイル の表示しないのチェックをはずすことにより 直接ファイルを探してみる 起動条件はHKLM\..\Run: [crik32.exe]ですから [crik32.exe]は常駐起動となる為 タスクマネジャーに表示されているはずなので > 通に検索でcrik32.exeとやると > 発見されませんでした。 検索条件で詳細設定オプションはどのように なっていますか? システムフォルダーと隠しファイル、サブフォルダー など検索できるように設定を変更しましたか? (前回の経験から、設定変更して検索していると 思いますが、確認の為) crik32.exeが通常インストールのアプリソフト の一部ならば Program Files と表示が入るはずです。 富士通のPCでハードの一部をコントロールしている 場合はプロパティを確認できればすぐわかるはず 予想としてcrik32(クリック32)ならば マウス関係の設定オプションと思います。 富士通に直接メールで問い合わせてみる事も 出来るはずですが、どうでしょうか? (現在 crik32.exe は正体不明、PC所在未確認)
お礼
回答ありがとうございます。 #2の症状および(1)の症状はなんか適当に調べたりして自力でやったら直ったそうです。 HijackThisでログをとってみたらcrik32はなくなっていました。問題はウィルスがメールで一杯送られてくることだそうです。 HijackThisでxwkfpycy.exeを削除。あとレジストリでxwkfpycyを検索して削除。そして、ファイル検索で削除(通常モードでは削除できませんでしたが、セーフモードでやったら削除できました)。 スタートアップに空白がまだ残っています。 場所はたしか SOFTWARE\Microsoft\Windows\CurrentVersion\Run となっていたと思います。 ファイルやフォルダの検索でCurrentVersionとして検索しましたが、見つかりませんでした。 それからの症状はまた後日分かり次第報告いたします。
補足
そういえば O15 - Trusted Zone: *.mt-download.com もxwkfpycyを削除時についでに削除しました。
ANo.#7 の訂正です。 crik32.exeは情報がほとんど得られない為 怪しいと判断しました。 > 再度検索したら、レジストリ内にありました、 > 通常の検索では、表示されませんでした。 > これは、正常と判断してください。 の部分について、検索を繰り返していた為 一時データがレジストリーに残った為と わかりました。 通常では私のPCには、crik32.exeはありません。 現在正体不明です。 そちらの現在修理中PCではcrik32.exeの プロパティー内容はどのようになっているか 確認して下さい。
お礼
回答ありがとうございます。 >そちらの現在修理中PCではcrik32.exeの >プロパティー内容はどのようになっているか >確認して下さい。 crik32はレジストリエディタで検索するとレジストリ内には見つかるのですが、普通に検索でcrik32.exeとやると発見されませんでした。 この場合どうすればプロパティを確認できるでしょうか?
ANo.#4について、つ込みが入ってしまった2 >O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe >を怪しいと判断された根拠は何ですか? crik32.exeは情報がほとんど得られない為 怪しいと判断したのですが 再度検索したら、レジストリ内にありました、 通常の検索では、表示されませんでした。 これは、正常と判断してください。 ANo.#6の続き msiexec.exeは自己のPCにあった為 その他 情報 スパイウェア検索サイト http://www.spywareguide.com/index.php 余談 今週は私の回答内容に管理人さんたちが かなり調べている様子です。いくつかの回答の削除と 修正をいれた連絡が多数(8)入りました。 又訂正がはるのかな?
ANo.#3について、つ込みが入ってしまった >C:\WINDOWS\System32\conime.exe >C:\WINDOWS\mmkbd.exe >C:\WINDOWS\System32\msiexec.exe >は何か分かりますか? conime.exeは自己のPCにあるConsole IME サイズ 24.0 KB (24,576 バイト) 作成日時 2003年4月3日、21:00:00 ファイルバージョン5.1.2600.1106 (xpsp1.020828-1920)などから判断しました。 mmkbd.exeはキーボードに関する一部のファイル googleで検索しても、特に出ないが、疑惑は残る msiexec.exeは下記の参考URLに記載がありました。 短いコメントの翻訳の為、ハッキリとした意味は つかめていません。 (説明によると、動作している場合は何かの理由が ある為、バックグラウンドで動作する) DAEMON-TOOLSと言うようなソフトを 使用していませんか? マイクロソフト検索でmsiexec.exeを調べると 多数表示されます。 http://search.microsoft.com/search/search.aspx?st=b&view=ja-jp その他 情報 ここのHPでWinに関してある程度検索できます。 (全てのファイルに関するデータはありません) http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
> 他の症状としてはIMEパッドが出てこない, Office のアップデートで直るかもしれません。 http://office.microsoft.com/home/default.aspx?CTT=6&Origin=EC790020111041 > Windows Media Playerが使えないなどがあります。 WindowsのUPデートから Windows Media Player 9シリーズのダウンロードから 上書きインストールすれば、よいかもしれません。 その他として 各種のWindowsのUPデートをおこなって下さい。 IE6のセキュリティー関連も調べてください。 http://www.microsoft.com/windows/ie_intl/ja/default.mspx
callinghome.biz?トロイの木馬?スパイウェア?第二章 O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload O4 - HKLM\..\Run: [IRRCManager] C:\Program Files\Fujitsu\ O4 - HKLM\..\Run: [BrightWin] C:\Program Files\Fujitsu\BrightWin\BrightWin.exe O4 - HKLM\..\Run: [INETCONDSP] "C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe" O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe ●O4 - HKLM\..\Run: [zzppaqxt] C:\WINDOWS\System32\xwkfpycy.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe ●O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Startup: NTUSER.DAT O4 - Startup: ntuser.dat.LOG O4 - Startup: ntuser.ini O4 - Global Startup: NTUSER.DAT O4 - Global Startup: NTUSER.DAT.LOG O4 - Global Startup: Thumbs.db 第二章のログについては IME関連とFujitsu関連とMessengerとSymantec関連です ●印が先ほどの怪しい所です。再確認してください。 文章は残してありません。
補足
>●O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe を怪しいと判断された根拠は何ですか?
callinghome.biz?トロイの木馬?スパイウェア?第一章 C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe <<Visual Studio 7>> ●C:\WINDOWS\System32\xwkfpycy.exe C:\WINDOWS\System32\pctspk.exe <<Cabの圧縮にあるドライバ>> C:\Program Files\Di\Hatchinn\hatchinn.exe <<Jword ?>> ●C:\Program C:\WINDOWS\System32\conime.exe C:\WINDOWS\mmkbd.exe C:\WINDOWS\System32\msiexec.exe ●xwkfpycy.exe pctspk.exe ●crik32.exe ●○○○.exe 残したのはログだけです。文章はありません。 ●は怪しい所 << >>は検索してわかった範囲 その他印の無いものはPC内にあった物と 検索して、支障が無いと判断した所です。 富士通のFM-Vはアプリソフトが多い為 ログを解析しても分かりずらいです。
補足
>C:\WINDOWS\System32\conime.exe >C:\WINDOWS\mmkbd.exe >C:\WINDOWS\System32\msiexec.exe は何か分かりますか?
> 削除した部分を送ってくれればまた > コピーして使えるのにー!! それはざんねんでしたね(笑) 昨日のHijackThisログは部分コピーしてあります。 必要なら、載せましょうか?
お礼
>昨日のHijackThisログは部分コピーしてあります。 さすがです! 昨日のはできるだけ削除して怪しくないけどもしかしたらってのも入れておいたので、必要ないかもしれませんが、では念のためお願いします。 他の症状としてはIMEパッドが出てこない,Windows Media Playerが使えないなどがあります。
昨日の第一章と第二章の質問は管理人さんに 見事に削除されてしまいましたね 立て続けに質問欄に載せたので、OK-Webの 利用マナーに引っかかったでしょう こちらは内容を調べて、回答しようかなと 確認したら、あれあれ??でしたよ まだPCの調子がおかしいのですか? こちらで調べた範囲で怪しい所です、 が確証はありません。 C:\WINDOWS\System32\xwkfpycy.exe C:\Program (後無しの所) xwkfpycy.exe crik32.exe ○○○.exe(名前無し) O4 - HKLM\..\Run: [zzppaqxt] C:\WINDOWS\System32\xwkfpycy.exe O4 - HKLM\..\Run: [crik32.exe] C:\WINDOWS\crik32.exe O15 - Trusted Zone: *.mt-download.com
お礼
>昨日の第一章と第二章の質問は管理人さんに >見事に削除されてしまいましたね >立て続けに質問欄に載せたので、OK-Webの >利用マナーに引っかかったでしょう 見事に削除されました(^^;)しょうがないことなんですが、時間をかけてまとめて書いたのに易々と削除されるとなんかメッチャもの凄く悔しいですね!せめてメールで削除した部分を送ってくれればまたコピーして使えるのにー!!今度からは質問するときは予めコピーをとっておこうと思いました.みなさんもコピーお勧めします!! >こちらは内容を調べて、回答しようかなと >確認したら、あれあれ??でしたよ 本当にご迷惑おかけしました! >まだPCの調子がおかしいのですか? 僕のPCはbastard2さんのおかげでこの通り快適に調子いいんですが、今回は他の人のPCを直してる所なんです. 結構直すことができたんですが、どうしても(1)の症状が治せなくて.それで質問する事にしたんです. いつも回答いただきありがとうございます.
お礼
なるほど!レジストリなんですね!!xwkfpycy.exeを削除してから、もう来なくなったようです。快適に使えるようになったようです。 いつもいろいろ助けていただいてありがとうございました。