• 締切済み
  • すぐに回答を!

Rundll.exe

先週「W32.Mixor.Q@mm」に感染してしまい、 なんとか駆除出来たのですが、まだウィルスかスパイウェアが残っているのか、ノートンが急に「Hacktool.Spammer」を探知したりします 直ぐに削除されるので問題はないのですが、再起動するたびに、C:\Documents and Settings\ユーザー名に、 謎のexeファイルが生成されて、何時の間にかプロセスで動いたりします。 ノートンでスキャンしても何も探知されないので、トレンドのオンラインスキャンをしたところ、C:windows|Rundll.exeがウィルスと出ました。 ファイル更新日が丁度、「W32.Mixor.Q@mm」に感染した時間になっているので、かなり怪しいのですが、削除しても大丈夫でしょうか? Rundll.exeは場合によっては重要なファイルだったりするみたいなんですが。

共感・応援の気持ちを伝えよう!

  • 回答数4
  • 閲覧数608
  • ありがとう数1

みんなの回答

  • 回答No.4
  • ryu-fiz
  • ベストアンサー率63% (2705/4228)

http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mixor.q@mm.html W32.Mixor.Q@mm感染後に、検出の難しい種類のマルウェアを投下された可能性が高いですね。(質問分の読み込みが足りなかったためか、重要な情報を見逃してしまってました。本当にすみません) この種の感染で後手に回った場合、あらゆる感染の危険性を考慮しなくてはいけません。最悪の場合、rootkit系の感染によって一部のプロセスが隠蔽された結果、検出が非常に難しくなる場合があります。 通常のウイルス対策ソフトでは検出の難しいものに効果的に働く次のようなソフト http://www.emsisoft.jp/jp/software/free/ http://eazyfox.homelinux.org/SecuTool/ewido/ewido01.html rootkit検出に効果的な次のようなソフト http://www.higaitaisaku.com/blacklight.html などでより詳しく調べることは可能ですが…これらを全て使っても検出出来ない感染は存在すると見られます。 確実に対処したいのであればやはりリカバリ推奨です。 リカバリなしでの対処を続行したい場合も、各種ツールを思いつくままつるべ打ちするのではなく、より体系的に分析、対処の指示をもらえるhigaitaisaku.comの質問掲示板の利用がお勧めです。 http://bbs.higaitaisaku.com/wizard/wizard.cgi あちらを利用される場合は、事前にこちらの質問は締め切るようにしてください。

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • rundll32.exeについて

    今日はタスクマネージャを見ていると不思議な事にきずきました。 rundll32.exeが3つもあるんですが これはウィルスですか? ノートンでウィルスチェックしても何も検出されなかったんだけど 同じものが3つもあるって不安になってきました。 放置してていいものかどうか 何方か教えてください!おねがいします

  • Rundll32.exeが二つでています

    タスクマネージャを見ていたらRundll32.exeが二つありました ユーザー名で動いています ウイルスに感染しているんでしょうか? ウイルスソフトがないのでバスターのオンラインスキャンしましたが出ませんでした キングソフトの無料のは入れてあるのですが・・・

  • rundll32.exeに関連するウィルス対策で・・・

    先ほど、ノートンのアンチウイルスでウィルス検索したところ「Infostealer.Lineage」という名前のウィルスが検出されたので(TEMPフォルダの.tmp拡張子ファイル複数)、ウィルスについて調べてレジストリを削除してみたのですが…あとから考えてみるとほんとにシステム自体感染してたのかな?と疑問に持ち始めました…。 対策ページには、 レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にあるrundll32.exeを指定している値を消してみたのですが、 もしかしてWindows初期からあるレジストリだったりしたのでしょうか。 削除前ではプロセスのところにrundll32.exeがあったんですが、レジストリ削除後に再起動したあとから見当たりません。 これはウィルスだったのか、それとも勘違いで余計なことをしてしまったのか、どちらだかよくわかりません。。 いちおうシステムの復元もしてみましたが、変わらずでした。 どなたか詳しい方いらっしゃいましたらアドバイスお願い致します。 ちなみに、rundll32.exe自体は検索するとsystemフォルダ(system,system32)に1個ずつあったのですがこれは正常なんでしょうか? 1つはメモ帳のアイコンで、ひとつは普通のアイコンです。 system32にあるやつはどうやらマイクロソフトなんちゃらと詳細が見えるので本物だと思うんですが…。 systemのは詳細もなにもないので怪しいです。

  • 回答No.3
  • ryu-fiz
  • ベストアンサー率63% (2705/4228)

う~ん…調べ直してみたら、結構ややこしいですね。 1)98/Me機の場合、"C:\windows\rundll.exe"は存在します。 2)2000/XP機の場合は"C:\windows\rundll.exe"は存在しません。 http://support.microsoft.com/kb/164787/ja つまり、2000/XPの場合は問答無用でインチキシステムファイルと断定出来ます。ばっさり削除、出来なければタスクマネージャなどから終了させて削除で構わないと思います。 98/Meの場合、正常なファイルが置き換えられていると考えられるため、正常なファイルを抽出して再度置き換えを行うことで正常化が期待出来ます。 98の場合は、システムファイルチェッカーで行える筈です。 http://www-06.ibm.com/jp/domino04/pc/support/beginner.nsf/btechinfo/SYB0-01F61F2 Meの場合、XPに近いシステムファイル保護機能が働いているので置き換えは容易ではないようですが、次のページのやり方を参考にすれば出来ないことはないようです。 http://support.microsoft.com/kb/265371/ja

共感・感謝の気持ちを伝えよう!

  • 回答No.2

http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mixor.q@mm.html http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FNUWAR%2EAY トレンドマイクロだとよくわかりやすい 電子メールの添付ファイルとして侵入 他の不正プログラム(「TROJ_TIBS.PE」)を作成 ワーム活動(マスメーリング) プロセスの強制終了 添付ファイルを開いて感染したんでしょうかね

共感・感謝の気持ちを伝えよう!

  • 回答No.1
  • ryu-fiz
  • ベストアンサー率63% (2705/4228)

c:\windows\rundll.exe つまりWindowsフォルダにあるrundll.exeはシステムファイルではありません。 システムファイルと勘違いしやすいファイル名を付け、それっぽい場所に投下するのは常套手段です。 "c:\windows\rundll.exe"をキーワードにGoogleなどで検索するとすぐにそのことが分かると思います。 XPの場合ですと、"c:\windows\system32"フォルダにあるrundll32.exeが本物です。場合によってはこの本物がすげ替えられるケースもあるにはありますから、注意は必要ですが。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

回答ありがとうございます。 カスペルスキーでもオンラインスキャンをしたところ、別のdllファィルもウィルス反応が出て、explorer.exeでアクセス中でファイル削除を 出来なかったので、セーフモードで削除しました。 OSはWinXPを使用しています。 Rundll.exeは削除しました、再起動後でも特に問題はなしです。 まだウィルスが残っている可能性があるので油断出来ないのですが、 一応レジストリも見ておいた方が良いですかね? Run項目には特に怪しいのはなかったのですが、 あまりPC知識がないので、見落としているかもしれません。

関連するQ&A

  • またまたなのですが・・・

    朝、メールチェックをしていたらいきなりノートンの このメールはウィルスに感染しています。という感じの警告がきて、それで、Norton AntiVirusを見てみたら、 Norton AntiVirusのレポートの検疫項目に脅威名が不明と書かれ、種類が不明で状態が検疫済みとかかれたCC2.tmpというファイルみたいなのがあります、 場所はC:\Documents and Settings\Owner\Local Settings\Tempです。 あと、バックアップ項目にファイルが2つあってファイル名が一つはinformation.doc.pifで、脅威名がW32.Netsky.damで、 種類がMS-DOS プログラムへのショートカットとなっているやつと、そしてもう一つはファイル名がdocument01.zipで、 脅威名がW32.Netsky.P@mmです。種類が圧縮 (zip 形式) フォルダです。状態は2つとも感染ファイルのバックアップです。活動ログも見たところ、 適用した処理のところに、検疫済みと、出てその後に自動的に削除しましたと、出ています。調べてみたら、W32.Netsky.P@mm!encが検疫済みとなっていて その後に、脅威名、W32.Netsky.damが自動的に削除しましたとなっており、またその後に脅威名、W32.Netsky.P@mmが自動的に削除しましたとでています ただちにノートンのスキャンと ノートンのオンラインスキャンをやったところ『脅威は見つかりません』と出ます。 聞きたいことは、このパソコンはウィルスに感染しているのでしょうか? それとも感染していないのでしょうか?ひとつのメールに2つのウィルスが送られてきたということなのでしょうか? ノートンインターネットセキュリティ2004で WindowsXPでsp2で毎日LiveUpdateして定義は最新版でいるつもりです。

  • rundll32.exe プロセス ウィルス?

    タスクマネージャーのプロセスを見るとrundll32.exeというのが8個動いてます。 ちょっと前に見たときは3個動いててなんだろう?と思って調べてみるとrundll32.exeという名前の ウィルスもあるみたいで、不安になってきました。 ちなみにこのファイルの場所は \Windows\System32の中にrundll32.exe.muiとrundll32.exeがありました。 \Windows\SysWOW64の中にrundll32.exe.muiとrundll32.exeがありました。 それぞれのファイルの更新日時は数年前になってます、 system32とsysWOW64のフォルダをスキャンしました、何も検出されませんでした。 がプロセスに8個もあることって普通にあるんでしょうか? pcはwin7 64bitです。

  • spybotでのrundll32.exeの削除

    rundll32.exeについて教えてください。 今朝パソコンを起動させたら、spybotで以下のレジストリの変更が検知されました。 カテゴリ:System Startup global entry 変更:値 削除 エントリ:getPlusUninstall_ocx 古いデータ:rundll32.exe advpack.dll.LaunchINFSSection 以前の教えてgooの質問や、googleで調べてみたところ、 rundll32はシステムファイルだから削除してはいけないようですが、 ウイルスに感染しているならレジストリを変更して削除した方がいいのか迷っています。 ちなみにc\windows内にrundll32.exeはありました。 spybotで変更を許可するかまだ判断がつかず、そのまま放置しているという状態です。 どうかご教授お願いします。

  • W32.Netsky.Q@mm.encついて

    初めてのウィルスメールでよくわからないので教えてください。 W32.Netsky.Q@mm.encのメールが入ってきました。 ノートンインターネットセキュリティ2002を使用しています。 活動ログを見ると (1)\NAV8F.tmpはW32.Netsky.Q@mm.encウィルスに感染しています。ファイルは検疫場所に入りました。 (2)msg10387.pifはW32.Netsky.Q@mm.encウィルスに感染しています。ファイルは検疫場所に入りました。 (3)添付ファイルUnknown00000000.dataはW32.Netsky.Q@mm.encウィルスに感染しています。ファイルを削除できません。 という3つのウィルスの活動ログがありました。 (1)と(2)はそのままにしておいて良いですか? (3)はどうすれば良いですか? これはウィルスメールが届いただけで感染はしてないのですか? ウィルスチェックしても感染が見つかりませんでした。 メールはプレビューしてません。 添付ファイルも開けないで削除しました。 宜しくお願いします。

  • 感染ファイルの削除の仕方を教えて下さい

    ウイルスに感染したのは初めてで、友達から添付ファイルが送られてきました。ファイルは開かなかったもののプレビューしてしまい感染したようです。ノートン社のバスターで駆除をして、更新したところ「感染はしてない」と 表示されました。が、もう一度念の為に「Symantec」のウイルスチェックをしてみたら感染したファイルが5個見つかりました。削除しようと思ったのですが 『アクセスできません。送り側のファイルが使用中の可能性があります』 と表示され、削除が出来ません。アンチウイルスをしてみたのですが無理でした。 PCにはあまり詳しくないのですが、削除の仕方を教えて いただけませんでしょうか。 感染ファイルは ************************** c:\_RESTORE\TEMP\A0009459.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm c:\_RESTORE\TEMP\A0009462.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm c:\_RESTORE\TEMP\A0009465.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm c:\_RESTORE\TEMP\A0009468.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm c:\_RESTORE\TEMP\A0009471.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm ************************** と表示されています。

  • ウイルスにマジ感染しました 助けてください お願いします!!

    symantecのオンラインスキャンをしたところ・・・ 75565 個のファイルをスキャンし 6 個のファイルが感染していました。 メモリ上でウィルスは見つかりませんでした。 スキャンしたファイルの中に 1 つ以上のウィルスが検出されました。 詳細・・・ C:\WINDOWS\system32\mm\explorer.sys は 次のウィルスに感染しています: W32.Tzet.Worm C:\WINDOWS\system32\mm\lxmstart.exe は 次のウィルスに感染しています: Backdoor.IRC.Flood.H C:\WINDOWS\system32\mm\srfb.ini は 次のウィルスに感染しています: W32.Tzet.Worm C:\Documents and Settings\XXXX\Local Settings\Temporary Internet Files\Content.IE5\MPO3IPA5\i[1].htm は 次のウィルスに感染しています: VBS.Network.E C:\Documents and Settings\XXXX\Local Settings\Temporary Internet Files\Content.IE5\MPO3IPA5\l50[1].htm は 次のウィルスに感染しています: VBS.LoveLetter.Var C:\Documents and Settings\XXXX\Local Settings\Temporary Internet Files\Content.IE5\0XQF09IF\i[1].htm は 次のウィルスに感染しています: VBS.Network.E 非常に恐縮なんですがウイルスのソフトを買うお金はありません・・・ このsymantecってサイトでは消すことは無理みたいなので 違うオンラインスキャンで消せるところがあったんですが ファイルを消そうとしたところ WINDOWSで動作してるから無理みたいな文章がでてきて消せないんです;; 普通に今まで通りPCは触れるんです なにも症状みたいなものはないんですが このままではとても怖いです どうすればいいんでしょうか?至急どなたかお答えください ほんとによろしくお願いします!!

  • 大丈夫でしょうか?

    朝、メールチェックをしていたらいきなりノートンの このメールはウィルスに感染しています。という感じの警告がきて、それで、Norton AntiVirusを見てみたら、Norton AntiVirusのレポートの検疫項目に脅威名が不明と書かれ、種類が不明で状態が検疫済みとかかれたCC2.tmpというファイルと、同じく検疫項目に脅威名が不明と書かれたCC4.tmpというファイルみたいなのと、同じく検疫項目に脅威名が不明と書かれたCC6.tmpというファイルみたいなのがあります、場所は3つともC:\Documents and Settings\Owner\Local Settings\Tempです。あと、バックアップ項目に種類が 種類がウィルス、状態が感染ファイルのバックアップとされたファイルが3つあって ファイル名が一つはletter_akio-na.zipで、脅威名がW32.Netsky.P@mmです。そしてもう一つはファイル名が同じくletter_akio-na.zipで、脅威名がW32.Netsky.P@mmです。もう一つはファイル名がdocument_all_akio-na.zipで、脅威名が同じくW32.Netsky.P@mmです。状態は感染ファイルのバックアップです。活動ログも見たところ、適用した処理のところに、検疫済みと、出てその後に自動的に削除しましたと、出ています。調べてみたら、この処理は3つのウィルスそれぞれに行われたようで検疫済みと自動的に削除が3つありました。 ただちにノートンのスキャンとオンラインスキャンの2つをやったところ『脅威は見つかりません』と出ます。 このパソコンはウィルスに感染しているのでしょうか それとも感染していないのでしょうか? ノートンインターネットセキュリティ2004で WindowsXPでsp2で毎日LiveUpdateして定義は最新版でいるつもりです。

  • mapisp32.exeが怪しいです。

    昨日、会社のPCのOutlookでメール確認行っていると、cpuの使用率が100%になるという症状がでたのでノートンで、スキャンしたところW32.Netsky.P@mm!encに感染していました。 その後、再起動したのですが、また同じ症状が現れcpuの使用率が100%になっていました。調べてみるとOutlookを立ち上げただけで、mapisp32.exeがcpuの使用率が100%になっており、PCが重くて他のアプリが使用できなくなっていました。 W32.Netskyは、独自でispを持っているのに、なぜmapisp32.exeがcpuを100%しているのでしょうか? 別のウィルスがいるのでしょうか?レジストリが書き換えられているのでしょうか? 教えていただけないでしょうか?

  • rundll32.exeを名乗るウイルス(?)と思われるファイルがある

    rundll32.exeを名乗るウイルス(?)と思われるファイルがあるみたいで、PCを起動させるたびにウインドウが出てきます(>_<;) 最初は3XYH86A3.htaというファイル(中に何も表示されていないウインドウ)を表示させていたのですが、それは保存場所が分かったので手動で削除→完全削除しました。 (削除時に中身を確認したところ、女性の足(?)の画像と、3XYH86A3.htaというファイルがありました。) 取り敢えずそれで一段落するかなぁ?と、気楽に考えていたのですが、その後は、起動する度に 「C:\~\message.dllを読み込み中にエラーが発生しました。 指定されたモジュールが見つかりません」 と表示されるようになってしまいました・・・orz 実害があるのかどうか目に見えないので分からないのですが、取り敢えずうざったいですし、身に覚えのないものなので消してしまいたいです・・・; (今まで起動する度にウインドウが出てくる事はありませんでした) ただPCが親のもので、いつからそのウインドウが出始めたのか、等の詳しい情報が手元にありません(普段は親とは別の所に住んでいるので・・・) なんとか私が親の所に居る間に消しておきたいので、解答お願いします(>_<;) ちなみにOSはWindowsXPで、 ウイルス対策ソフトはAviraです。 やはりフリーのアンチウイルスソフトではダメ…なのでしょうか; あと、トレンド(?)のオンラインスキャンで確認もしたのですが、何も表示されませんでした(>_<;)

  • RUNDLL32.EXEを削除したい

    XPを使っています。 先日、自分がPCを使っていない時間帯にPCが立ち上がっており、その時間帯にRUNDLL32.EXEというファイルがCドライブに複数作成されているのをみつけました。その後調べてみた結果の憶測なのですが、これは誰かに勝手にスパイウェアを入れられたということなのでしょうか? またその場合、削除する方法も教えてください。いくつか削除ソフトのサイトも見てみましたが、すべて英語なので不安です。日本語サイトを教えていただけると嬉しいです。削除ソフトを使わない方法でも結構です。