Tempフォルダにcheck.bmpが生成される

Windows Vista Homeを利用しております。

環境変数TEMPとTMPで示されるテンポラリフォルダにcheck.bmpという画像が生成されており、不審に感じております。
（TEMPとTMPの中身は同じ場所Tempを指しています）

Google検索したところ、古いトロイの木馬がTempフォルダにcheck.bmpを生成するということで、カスペルスキーとMicrosoft Security Essencialsにてフルスキャンしましたが何も検出されません。
画像のハッシュ値で検索するとロシア語のサイトが引っ掛かりますが詳細はわかりません。
ファイアウォール(PeerBlockとComodo)のログに不審な通信は見当たりませんでした。

PC起動時に作成され、あとは一定時間置きになんらかの操作を行ったときに生成されるようです。
すでに存在していれば上書き更新されます。

「コントロールパネル＞プログラムと機能」からプログラムをインストールやアンインストールした瞬間に作成されたのを確認しましたが、インストールやアンインストール作業後に生成されないアプリもあります。
たとえば、www.xvidvideo.ruからダウンロードしたMedia Player Classic Home Cinema(X86)をインストールすると、ファイルコピー完了後の「インストール完了」のダイアログが表示された瞬間にcheck.bmpが必ず生成されます。

Tempフォルダにcheck.bmpが生成されるのは正常なのでしょうか？
インストーラはよくTempフォルダを利用するので、Tempフォルダが存在するかチェックしているのかと考えていますが、同様の方はいらっしゃいますでしょうか。

常駐アプリ
COMODO Firewall (Defence+有効)
Microsoft Security Essencials
Office IME 2010
k10stat (CPUクロック制御）

「jpgに変換した画像」を添付します。
画像自体はWindowsサービスで利用されるオレンジ色の花です。

サイズ: 31,832 バイト
MD5: 4b91c57f1a43b107ee6992022c3be684
SHA-1: 6270ea4e2e40c70cdcb363d7f5dea09eca134b3f

Google画像検索の結果
http://www.google.co.jp/search?tbs=sbi:AMhZZiuStZ7CeaLUBvqLWT-FI1vqm1rhdSd4hOSRsudzyzANiG-GyCYK3wdnbNwMMZV7QuEG5m09EJ6vGHNE5tYl_19kn0ux7s4nrL3DwNymIB5-WIlG2i9ayMVBJduZKg7vL3vP0bswflnugUNGJaPvKpqZO40OlA_1XDUJL-aYz_1WFNtQVc00NlQBPJIDodxS8UC5X4U4XIMlbFCgWvyZGMrLzoh75AewiwP-MQH33c90x_1afl_1uqfTBqbK03B0kdy_1mUFgvWduu9SG4xBt90xjkorphvWXUUnqobCUsBKx1wU04zFity2QuTABBp2E2OBh11FXQh42kTHrh6RNsDd2PPSabkL7NiQF7u2qe_15kHmPW8i_19-dK0MWTkmJJyLLVY9XyQtDCNMIASLwS09cNwB_1NQNWNxQGql_1EGD1yXPkTfxCZcJEvBP_1E3E4CzeTx11taow2EdAgoAk6lKNxvQ3bfLLTbaxhjeHzJTcQPt1YoVT9N6k6AxhrkIXjeLSo53Bw8N_1Jf5Kn4afecwkqk-IZryCz4mGTy00wVAESUGkUgcHwKr_1dlxYwigS4LDYBfIkgNpARdfV-ye7NKWhSkCz71LQcIbFwbRPY133_10ofE0JVjhxPHoN-DPM_1_1IR2Zg8Uv1O12nnZCYQLCrVM0SOE8WhlZUkdz5krqm_1-YXAuVUONlGaVAQ7YzP_1My83HdXpyNFU9aqhYU2xsi-wgi5zSIrd0Z0lBONXvvAz0Z4ei4vLpnJ-itEdCktEeDKN2sAP4tt3ugoZOjdtWzddorXczOjWH3XApabH7DOTNouhJ53zHV1IO8pjDtH6E1PalrVTKGdz3ibzOxzp_1DiDoRsvAMCORdDkTlWFPTQ4VNqYPsAwwQBQr4lVkAocYmiW9AM6gelHixno1nUlZrf6LgbxTknoHEPMYwq2p-2Z1MCX_1nmsU8boCvWpu0-C0Q1_1qiSE0EzxwiQGd-wnCpQIkgJoys5m-bosYvBb8s1gEtrcz0UVhzpVqSqpq5xma5b_1ecAPV2zRtu501tSY9rulpw6eIPtrVc0am5hSTyaUVgHClwt7XxFF2NzyP6niBFnV2TRFgDxMZN4wHnVW9TCg1x3sKgnWlXnF3ckoO7ZfOQaT56yHQ_1cMLCItzwsajRBEQI-YYtzGCsBkq0aqOe3mJCoGbZlp6Gh-VNsfqRC0Wi5nc0yEq4FNugFsrRNVGwjZm2zUUfKlaWG8Tljk0f_1pN67pyfmSjvJXjQTdT7hD59QLyhWH235x3ScWT2mT0i0AA7lR93k9P1lLsRmZ41bcrLn-WrcvkhY8bbcyauM_1Umy89LWnLO3QXB5KNlyfcVqTLmjkyk_1RAojQqHaJ0Du9uUY4gwr5nmqjHak2L4M7otjz1MxymEQzvrn3c&num=10&hl=ja&safe=off

ベストアンサー Niwatori-Sanpo 回答No.1

＞カスペルスキーとMicrosoft Security Essencialsにてフルスキャン

　まさか 2つの常駐型セキュリティソフトを同じシステムの中に共存
させているとは思いませんが、そういうことなら安心のために↓この
辺も試してみては如何でしょうか？

オンラインスキャンによるクロスチェック
https://www.ccc.go.jp/flow/03/340.html

「Malwarebytes' Anti-Malware」（スパイウェア対策ソフト）
http://fine.tok2.com/home/heto2/0700SecurityApp/Malwarebytes/0001.htm

＞画像自体はWindowsサービスで利用されるオレンジ色の花

　ユーザーアカウントに利用される画像のようですね。

　オイラの Vista環境では、登録している幾つかのユーザー名と
同じ名前で（「ユーザー名.BMP」のように）何らかのきっかけで
生成されます。
　その場合、登録済みのユーザーと対になっているので、本件で
取り上げられた画像ばかりではなく、作られるタイミングで数は
違いますが、合計で 4種類ほどあります。

　ただし、「check.bmp」として 居座られたことはありません。

　解決策じゃなくて、済みません。　ｍ（＿　＿）ｍ

参考URL：

http://okwave.jp/qa/q5254396.html

お礼 2011/09/06 09:19

昨日、explorer.exeの再起動にて画像が生成されることを確認し、エクスプローラ関係を探っていたところ、スタートメニューに表示されるアカウント名がcheckになっており、そこに表示されるアカウント画像そのものでした。
そこでアカウント名.bmpがTempに作成されるかを質問しようとしたところ、丁度Niwatori-Sanpo様のご回答を拝見しました。

セキュリティとしては上記以外にもEMETやFirefoxアドオンのNoScriptやFlashBlock、プラグインの更新も頻繁に行っており、特にcomodo defence+の許可なくウイルスが起動、常駐されるというのも考えにくいため、ウイルスに感染した可能性は「比較的」低いと考えております。
（過信してるわけではありませんが）

アカウント名が汎用的すぎたのが反省点ですね。
ありがとうございました。