- ベストアンサー
ファイルパスの大文字小文字の違い
Windows XP を利用しています。 セキュリティスキャンをしていて気になったのですが、同じファイルのパスに大文字を使ったパターンと小文字を使ったパターンがあります。 C:/WINDOWS/System32/svchost.exe C:/WINDOWS/system32/svchost.exe エクスプローラでsystem32フォルダを確認すると全て小文字です。 大文字のパターンは偽装なのか?などと不安になってしまいます。 これは、なぜでしょうか?
- mania715
- お礼率40% (6/15)
- Windows XP
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
Windows自体は大文字/小文字を区別しない、と思います。 実際コマンドではどっちでタイプしても通ります。 ですからそのことだけで偽装かどうかを疑うのは非常に難しいですね。 調べられたのでお分かりでしょうが、svchost.exeはSystem32フォルダ内に ひとつしかありません。ということはその表示の違いはファイルの違いではない、と言うことです。 憶測ですがそれはレジストリの登録情報を表示したのでしょう。 svchost.exeは複数のサービスをセクションごとに束ねて実行するプログラムです。依存したサービスの登録情報(つまりどの親玉に乗っかって動くかを記載した情報)に大文字/小文字の区別があるのかもしれません。 あるいはあるいは、セキュリティソフトのデータベースや情報がそうなってて、間接的な情報を見ている可能性もありますし。 確かにこのファイル名に偽装したマルウェアは存在しますので100%の楽観は出来ませんが、かといってそのことだけで疑う理由にもならないでしょう。 ただし、それらマルウェアは本物と同じ場所には入りません。というか、入れませんし入って入れ替わるとWindowsが起動時におかしくなりますからやぶへびですので、ほかの場所で同じファイル名で潜みます。 つまりパスそのものが違うわけです。
関連するQ&A
- svchostがユーザー名で起動
svchostがユーザー名で起動 svchostがユーザー名で起動しています。 いろいろ調べたところ、svchostがユーザー名で起動しているとウイルス感染濃厚のようです。 avastとesetなどのソフトでスキャンしてみましたが、何も見つかりませんでした。 ProcessExplorerで調べようとしているのですが使い方がよく分からず、ウイルス駆除まで至っていません。 該当するsvchostを調べると パス C:\WINDOWS\system32\svchost.exe コマンドライン C:\WINDOWS\system32\svchost.exe 現在のディレクトリ c:\ となっています。ディレクトリの位置がおかしいと思うのですが・・・。 どうすればいいでしょうか? OSはXPです。
- 締切済み
- ウィルス・マルウェア
- 助けてください。
現在、ツールバーにRemove Toolbar というものがくっついています。それに対策としてHijack Thisというものを使い、ある段階まで行きました。するとメモ帳に謎の記号の羅列が。。。。どうすればいいですか?貼り付けておきます。半分あたりまで。。。 Logfile of HijackThis v1.99.1 Scan saved at 19:45:12, on 2005/07/15 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nmftskss.exe C:\WINDOWS\system32\NTMETER.EXE C:\Smdata\ReadSctService.exe C:\Program Files\Trend Micro\Virus Buster 2004\Tmntsrv.exe C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe C:\WINDOWS\system32\Asrv.exe C:\WINDOWS\system32\FUSCli.exe C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\LTSMMSG.exe
- 締切済み
- ウィルス・マルウェア
- XPと7でファイルパスのルールは同じですか
Windowsのファイルパスに関して質問です。 Windows XP Professional(SP3)とWindows 7 Professional(SP1)を使用しています。 Windowsでのファイルのパスについて、ネットで調べましたが確認のための質問です。 以下質問は、Windows XP,Windows7ともに当てはまることなのかお答えいただけますでしょうか。 よろしくお願いいたします。 ・1バイト=1文字 ・半角も全角も1文字として扱われる ・エクスプローラーが認識可能なフルパスは255文字である (システムの予約文字?を入れると260字) ・上記パスの制限を超えてファイルを移動できるが、コピーはできない
- ベストアンサー
- Windows 7
- ワンクリック詐欺サイトに誤アクセス後、解析の助力をお願いします
先日、ワンクリック詐欺サイトにアクセスしてしまい、進行インジケータがでて、ダウンロードのようなものが一秒位、別枠で見えた後、詐欺文章のウィンドウが現れました。今の所、症状は無いが心配になり解析を試みてみました。不安なので、大丈夫かお力添えをお願いします。 Higaitaisakuサイトでは症状が出て無いと質問が禁じられているようなので、こちらで質問しました。解析手法はHigaitaisakuサイトを参考にしました。 Norton Internet Security 2005では通常モードでもセーフモードでもマルウェアは見つからなかったです。Higaitaisakuサイト内で見た感じでは該当マルウェアは無いようです。例題として挙げられて無いマルウェアがあるかも知れません。以下はセーフモードでHijackThisログを出してみました。(とりあえず冒頭のみ) Logfile of HijackThis v1.99.1 Scan saved at 21:41:35, on 2006/12/03 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\ユーザー名\デスクトップ\HijackThis\HijackThis.exe
- ベストアンサー
- スパイウェア
- ラグナロクオンライン2
ラグナロクオンライン2に接続するとカスペルスキーが反応します。これは許可して大丈夫なのでしょうか?探知したのは C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Gravity\RagnarokOnline2\Ragnarok2.exe でラグナロクオンライン2を終了してインターネットに繋ぐと C:\WINDOWS\Explorer.EXE がいくつか探知します。再起動した場合は探知しません。 あとタスクマネージャーを起動すると C:\WINDOWS\system32\winlogon.exe が探知します。これも再起動した場合探知しません。 完全スキャンしましたがウィルスはありません。 一様シマンテックのオンラインスキャンもしました。 これは許可して大丈夫なのでしょうか? よろしくお願いします。
- ベストアンサー
- Windows XP
- ノートンのインバウンドの危険性に関して
ノートンインターネットセキュリティ2011を使用しています。 スマートファイアウォールのプログラム制御で Java(TM) Platform SE Bianry C:\Program Files (x86)\Java\jre6\bin\javaw.exe Windows スタートアップアプリケーション C:\Windows\System32\winnit.exe Windows サービスのホストプロセス C:\Windows\System32\svchost.exe 初期設定で上記の3つのプログラムのインバウンド設定が許可になっていたので セキュリティに不安を感じ、許可になっているチェックボックスのチェックを外しました。 ただ、これら3つのプログラムでインバウンド設定の許可を外すと 逆にセキュリティ上の危険が発生するかもしれないと心配です。 Windows スタートアップアプリケーション C:\Windows\System32\winnit.exe Windows サービスのホストプロセス C:\Windows\System32\svchost.exe 特に↑のふたつです。 アドバイスお願いします。 ちなみに Windows サービスのホストプロセス C:\Windows\System32\svchost.exe に関しては 初期設定では インバウンド単体で許可になっているのではなくて インバウンド/アウントバウンド で許可になっています。 OSはWindows7 Home Premium です。
- 締切済み
- ウィルス・マルウェア
- excel VBA で、エクスプローラを開くとき
excel VBA で、フォルダを指定してエクスプローラーを開くことができますが、そのとき検索文字も指定できるのでしょうか。 具体的には、以下のようにpath0でパスを指定して、エクスプローラーが開きます。 Shell "c:\windows\explorer.exe " + path0, vbNormalFocus このとき、検索文字列を指定したいのですが、可能でしょうか? エクスプローラの右上の虫眼鏡のウインドウに入れる文字を指定して、検索を自動実行させたいのですが。
- ベストアンサー
- Windows 7
- 暴露ウイルスについて色々ネットで調べていたら・・
暴露ウイルスについて色々ネットで調べていたら svchost.exeはsystem32にしか入っていないらしいです。 で、僕のPC内をsvchost.exeを検索したら4つでましたTT 1つ目のフォルダ名はC:\WINDOWS\$NtServicePackUninstall$ 2つ目はC:\WINDOWS\system32 3つ目はC:\WINDOWS\ServicePackFiles\i386 4つ目はC:\WINDOWS\SoftwareDistribution\Download\332d2b3cb45aedf9098161883a24dd36 に入っていました・・2つ目以外は全て、圧縮されたファイルです。 ウイルスバスターで[セキュリティ脅威の検索]をしても何もでませんでした、これはどいうことなんですか? 暴露ウイルスにかかっていますか? 圧縮されたファイルは[セキュリティ脅威の検索]ができないのでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- svchost.exeの対処
windows XP service park 3をインストールして再起動したら 小さなウィンドウで「symantec 低危険度の警告」 ・プログラム svchost.exe ・パス C://WINDOWS/system32/ (以下略) というメッセージが出ます。 『どう処理しますか?』と聞かれているのですが、 これは「常に許可する」で良いのでしょうか? どなたかご存知の方がいましたら是非教えてください。 宜しくお願い致します。
- ベストアンサー
- Windows XP
- WIN fixer 2005 削除が出来ません。その2
WIN fixer 2005 削除が出来ません。のタイトルの質問がすでにあるのですが、解決できないのでよろしくです、hijackthisを使い開いてみたのですがHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run がどれだかわかりません、開いたメモは以下のとおりです Logfile of HijackThis v1.99.1 Scan saved at 9:35:43, on 2005/11/06 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\System32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe C:\Program Files\TurboPlayer\TurboAgent.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\ClockSync\Sync.exe C:\PROGRA~1\Save\Save.exe D:\norton\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\Internet Explorer\iexplore.exe D:\HijackThis\HijackThis.exe C:\Program Files\Messenger\msmsgs.exe つづきます
- 締切済み
- スパイウェア
お礼
やはりそのような解釈が妥当ですかね。 今回の事が気になるからという訳ではありませんが、データ管理の方を見直そうと思います。 ご丁寧な回答ありがとうございました。