- ベストアンサー
windows-update.exeって、何のプログラムでしょうか
win XP SP2のファイアウォールで、先日引っかかってきたのですが、 これが動いているとインターネットに接続できなくて、エラーになってしまいます。 プロセスをとめると普通に使えるのですが、これはwindowsに必要なファイルなのでしょうか? ちなみに接続環境はアナログのダイアルアップで、 私がこのPCに触る以前はwindowsupdateは全く行われていませんでした。 (rbotなどのウイルスに感染していたので、駆除した上でwinとofficeのupdateを行いました。) c:\windows\system32\Windows-Update.exeで、隠しファイルになっています。 HKEY_current_user\Software\Microsoft\Windows\CurrentVersion\Runとrunservicesに それぞれ項目Windows 32 Update があり、Windows-Update.exeが入っています。 HKEY_current_user\Software\Microsoft\search assistant\ACMru\5603 名前:000 データ:Windows-Update.exe (その他2,3ほどレジストリに登録がありますので、必要であれば補足します。) ちなみにプロセス停止後、trendmicroさんのオンラインウイルススキャン、 antidote、adaware、spybotの最新のもの(10/17現在)では引っかからなかったです。 これって、レジストリを含めて、消していいものなのでしょうか?
- nasb
- お礼率66% (28/42)
- ウィルス・マルウェア
- 回答数6
- ありがとう数7
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
ネットを彷徨っていると 海外で何人かがWindows-Update.exeに遭遇したという情報がありました。 サーバーのURLも記載されていましたが 現在そのサーバーは稼動していないようです。
その他の回答 (5)
- ittochan
- ベストアンサー率64% (2667/4137)
>Windows-Update.exe キー入力を記憶してサーバーに送るプログラムのようです。
お礼
毎度お手数かけました。ありがとうございます。 先日、情報処理推進機構(IPA)さんのほうに一応例のファイルをお送りしました。 現在分析結果待ちです。 一週間ほど待ってみて、結果が出るようでしたらこちらで報告したいと思います。 連絡がないようでしたらこの質問を締め切りますね。 しかし、これだけの情報で何なのか特定できたのはすごいです! 差し支えなければ、どうやって調べたのか教えてもらえませんか?
- ittochan
- ベストアンサー率64% (2667/4137)
>BHO ActiveXには普通のwindows updateがあり、 >問題の、 >"windows-update","Windows 32 Update" >などはみあたらなかったです。 スパイウェアをどこかのサーバーからダウンロードするプログラムも存在します。 >私がこのPCに触る以前はwindowsupdateは >全く行われていませんでした。 そのような状況で悪質なサイトに飛ぶと とたんに悪質なプログラムがダウンロードされたことでしょう。
- syunmaru
- ベストアンサー率37% (1635/4345)
私も、WinXP SP2環境です。 結果報告します。HKEY_current_user\Software\Microsoft\Windows\CurrentVersion\Runに、Windows 32 UpdateWindows-Update.exeは、無し。 とrunservices自体が無し。 HKEY_current_user\Software\Microsoft\search assistant\ACMru\5603 の中に、名前:000 データ:Windows-Update.exeは無くて空っぽ状態です。 後、 >c:\windows\system32\Windows-Update.exeで、隠しファイルになっています。 この中の、Windows-Update.exeの隠しファイルは、無しです。 何か、偽装されたファイルの様に思います。 参考まで
お礼
よくわからないファイルですけど、皆さんの環境にはないようですね。 消してもwindowsに支障は出ないようですね。 ありがとうございました。
- ittochan
- ベストアンサー率64% (2667/4137)
>spybotの最新のもの(10/17現在)では引っかからなかったです。 おっと!インストール済みでしたね。 では、 Spybotの「高度なモード」から 「ツール」の 「ActiveX」、「BHO」、「システムスタートアップ」 、「ホストファイル」 などを調べてみてください。
補足
spybotのシステムレポート内の、スタートアップには、 レジストリの記述どおりにRunとRunServicesの2つ出ています。 BHO ActiveXには普通のwindows updateがあり、問題の、 "windows-update","Windows 32 Update"などはみあたらなかったです。 一体なんでしょうね。 新手のスパイウエアでしょうかね? 一応動いているとネットにつながらないので、ウイルスなんでしょうかね?
- ittochan
- ベストアンサー率64% (2667/4137)
>c:\windows\system32\Windows-Update.exeで、 >隠しファイルになっています。 「隠し属性」ですからね。 スパイウェアと思われます。 >HKEY_current_user\Software\Microsoft\search assistant\ACMru\5603 名前:000 データ:Windows-Update.exe これはエクスプローラの検索履歴です。 >HKEY_current_user\Software\Microsoft\Windows\CurrentVersion\Runとrunservicesに >それぞれ項目Windows 32 Update があり、 >Windows-Update.exeが入っています。 どっちも削除ですね。 とりあえず、 Spybot、Ad-awareといったスパイウェア検索ツールで検索&削除してみてください。 それでも駄目なら補足ください。 Spybotは有用な情報を与えてくれるのでインストールしたら教えてください。
関連するQ&A
- ウィルス感染BKDR_SDBOT.DP
今日PCをリカバリーしてウィルスバスターにて検索スキャンした所BKDR_SDBOT.DPというウィルスがC:\WINDOWS\SYSTEM32\MSCONFIG.EXEから検出されました。トレンドマイクロのHPでみるとレジストリーキーの削除となっておりますが場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" レジストリーにnavmgrd.exeはありません。どう削除したらよいか教えて下さい。
- 締切済み
- ウィルス・マルウェア
- crss.exeが削除できません
会社内の1台のPC(NT)でウイルスチェック(NortonAntivirus)をかけたら、 C:\WINNT\system32下に「crss.exe」(Trojan.Horse)が検出されました ノートンでクリーニング、削除、隔離しようと試みましたが失敗します (最近(?)の定義ファイルにアップデートのはず…です) いろいろと調べましたがレジストリ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CRSS や ~\RunServices\CRSS もありません 削除する方法を教えてください
- ベストアンサー
- ウィルス・マルウェア
- update
今使っているXPを、オンラインウイルススキャンするとTROJ_AGENT~というウイルスに感染していました。駆除しようとしたのですが、完全に削除されず、他の方法を探しました。そして見つけたサイトの方法で行ったのですが(タクスクマネージャでupdate.exeとsys.exeを停止。Program Filesフォルダとupdateを削除。ファイル名を指定して実行、regedit。HKEY_LOCAL_MACHINE→Software→Microsoft→Windows→Currentversion→Runで、C;\ProgramFiles\update\update.exeを削除。 同じくHIKEY_CURRENT_USER→Software→Microsoft→Windows→Currentversion→Runで、C;\ProgramFiles\sys\sys.exeを削除)それからインターネットの調子が悪く、検索しても時間が掛かったり、サイトが一回では表示されなくなりました。 update.exeを消去したからなのでしょうか。 まったくの素人ですみません。お返事よろしくお願いします。
- ベストアンサー
- スパイウェア
- このレジストリは消しても大丈夫でしょうか??
こちらでレジスターのログについてお聞きしてよいのか迷いましたが教えていただければ非常に助かります。 RegCleanerとCCleanerというソフトでレジストリのチェックをしました。 たくさん表示されたので一つ一つ調べてみたのですが、以下のものは消してよいのかどうかわかりません。 後半のLeaderTechのものについても調べてみたのですが、スタートアップの項目に入っている場合はスパイウェアー、、?みたいな情報を見つけたのですが、私の場合はスタートアップ項目には入っていません。 SpyBotとAd-AwareSEでのチェックにはなにも引っかかりませんでした。 ウィルスバスターでも大丈夫でした。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.avc] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.avc\OpenWithList] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.key\OpenWithList] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.LNG] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.LNG\OpenWithList] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\OpenWithList] HKEY_CURRENT_USER\Software\LeaderTech\Product Registration\Settings HKEY_CURRENT_USER\Software\LeaderTech\Product Registration HKEY_CURRENT_USER\Software\LeaderTech\PowerRegister\ADOB HKEY_CURRENT_USER\Software\LeaderTech\PowerRegister
- ベストアンサー
- スパイウェア
- リカバリしてもウイルスが残っています。の続き
http://okweb.jp/kotaeru.php3?q=1204758 上記の質問の続きです。 連立すみません。 もう一度ノートンでチェックしたところ、今度は検出することができましたのでシマンテックの指示に従って駆除いたしました。 その際に疑問があったので返答いただけると助かります。 1、レジストリの削除の際に HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\OLE のレジストリキーが見つかりませんでした(ほか三つは見つかったので、中にあったファイルを削除しました)。 いいのかなーと思いつつ終了してしまいましたが大丈夫でしょうか? 2、最後に0バイトファイルを削除とありますが、指示に従って検索しても出てきません。 何度か条件を変えて試してもみたのですが… このままでも大丈夫でしょうか? 3、これで完全に駆除されているのでしょうか? 一度シマンテックのウイルスチェックでもノートンでも検出されなかったのに感染していたようだったので気になっています。 確実な確認方法はありませんか? どれかひとつでもいいので、わかるかたお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
- webprint.exeとは?
WindowsXPを使用しADSLでインターネットに接続しています。 タスクマネージャのプロセスにイメージ名webprint.exeというタスクがあります。 netstat -anoのコマンドを入力すると 192.168.0.2:3011 69.44.59.154:80 ESTABLISHED 1044 と表示されます。 ※1044はWEBPRINT.EXEのPIDと一致しています。 ※192.168.0.2は自宅パソコンのIPアドレスです。 WEBPRINT.EXEはレジストリのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesに登録されているらしく自動的に起動しています。 このWEBPRINT.EXEとは何でしょうか?このようなソフトをインストールした覚えはありませんし,以前ディスクトップアイコンがまったく表示されなくなった時があり,このWEBPRINT.EXEを強制終了させると正常に表示されるようになったという事もありました ※この時に上記レジストリからも削除しました。 しかしまた,WEBPRINT.EXEが動いています。トロイ系のウイルスでしょうか?ノートンがはいってますがウイルスは検知していません。 非常に気持ち悪いです。WEBPRINT.EXEが何なのか教えてください。
- ベストアンサー
- ネットワーク
- Win 7 コントロールパネルのことです。
コントロールパネルのいらないアイコンを消したいのですが、インターネットで調べたところ「regedit」と入力して「OK」ボタンをクリックする。レジストリエディタが起動したら、次のようにキーをたどる。 HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→Policies→Explorer とあり、レジストリーファイルを開いたところ、HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→PoliciesまではあるのですがExplorer がありません。探し方が悪いのでしょうか? OSはWin 7 64ビットです。どなたか詳しい方、教えていただけないでしょうか。
- ベストアンサー
- Windows 7
- Win32.VB.svhとは
最新のSpy-bot S&Dでスキャンしてみたところ Win32.VB.svhというマルウェアが4つ検出されました。 Win32.VB.svh: [SBI $7E9215BC] 設定 (レジストリ変更, fixed) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE Win32.VB.svh: [SBI $7E9215BC] 設定 (レジストリ変更, fixed) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE Win32.VB.svh: [SBI $7E9215BC] 設定 (レジストリ変更, fixed) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE Win32.VB.svh: [SBI $7E9215BC] 設定 (レジストリ変更, fixed) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE 一応削除(検疫?)はされたようですが、レジストリ変更などと書いてあって心配です。 タチの悪いマルウェアなのでしょうか?
- ベストアンサー
- スパイウェア
- 以前の質問を見ても解決できないWORM_WINUR.C
QNo.871519の「ウイルス?助けてください!!」 という質問と同じ状況になってしまいました。 (WORM_WINUR.Cでの被害です) 同じ状況なので、同じように C:\windows\winrun.exe C:\winnt\winrun.exe を手動にて削除と消去する。 regedit.exeで HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Windir = "C:\windows\winrun.exe」を削除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Sysdir = "C:\winnt\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winrun = "C:\windows\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winur = "C:\winnt\winrun.exe"」を削除 という処理を行おうとしたのですが、肝心のファイルが レジストリエディタで開いても、隠しファイルも全て表示しても存在しません。 RUNのなかにあるのは、cffmon.exe と MsnMsgr というファイルしか見つかりません。 OSはXPなのですが、どうすればよいのでしょう? 教えてください。お願いします。
- 締切済み
- ウィルス・マルウェア
- qoqudmtoというEXEファイル
qoqudmto.exeというファイルが勝手に生成されて困っています。 このファイル自体、無害なのか有害なのかさえ分かりません。 このファイルには、 Qernel Mode Drive Manager 会社名:Four-F と説明されていますがネットで検索してもあまり出てきません。 ログインすると、 C:\Documents and Settings\<ユーザー名>\Local Settings C:\WINDOWS\system32 の2箇所に生成されます。 セーフモードでファイルを削除したりレジストリを削除しても次に起動するときには 自動でファイルが生成されたりレジストリも書き換わっています。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ウィルスソフトでのスキャンでも検出されず、何をしようとしているのか分からず 不気味なので2度と出てこないようにしたいです。 リカバリーも考えていますが、最終手段にしたいと思います。 皆さん、お力を貸してください。 ちなみにOSはXPです。
- ベストアンサー
- ウィルス・マルウェア
お礼
結局某所からは、現在まで解析結果の返答は来ていませんでしたが、 この辺で締めくくります。 最後まで付き合っていただいて、ありがとうございました。