締切済み

rundll32.exeの複数起動について

2008/07/20 00:07

普段はfirefoxを使っているのですが、この間IEを起動した所、動作しませんでした。そこで、タスクマネージャーを起動した所、「rundll32.exe」が9つ起動していました。これの動作を全て終了させた所、無事IEは動くようになりました。このような事が過去に2回ほどあったのです。現在使用しているOSはVistaです。過去にトロイの木馬に感染してしまった事があり完全に駆除できたつもりだったのですがもしかしてまだ残ってたのかなと思いシマンテックでのオンラインウイルス検索や AVAST！、Spybotなどで何度もチェックしてみました。しかし、ウイルスは発見されませんでした。とりあえず、スタートアップで全ての「rundll32.exe」起動を拒否しているのですが、いつの間にか今も2つほど起動しています。これは、過去のウイルスの影響なのでしょうか？

blaxilmar
お礼率75% (3/4)

ウィルス・マルウェア
回答数4
ありがとう数5

みんなの回答 （4）
専門家の回答

みんなの回答

ryu-fiz
ベストアンサー率63% (2705/4228)

2008/07/21 01:51 回答No.4

>過去のrundll32の質問では、ドライバなどで使用されていて >ウイルスではない、というパターンが多かった気がします。 >２つ程度だとそれに当てはまるのでしょうか？２つだったら大丈夫、という見方はどうかと思いますが。。確かにドライバ関連の起動などにも使われる例はあるでしょうが、感染に悪用されるケースももちろんありますし、大丈夫なものかどうかはrundll32が介在して、実際に起動されているファイルが何か、によって判断されなければなりません。おそらく、システム構成ユーティリティからスタートアップ項目を確認すればそうした実体が分かると思いますが。 http://www.atmarkit.co.jp/fwin2k/win2ktips/180disabl_autorun/disabl_autorun.html rundll32が介在している項目の名称、あるいはrundll32の末尾にいわゆる引数として書かれているファイルの名前をGoogleなどで検索すれば、そのファイルの素性は分かるかと思います。とにかく、rundll32が２つ、だけで判断は無理です。あくまで数ではなく、何が起動されているか…それが問題です。ちなみに、ですが、当方のWindows2000機上ではrundll32.exeは一つたりとも起動していません。 >＞Vundo系感染の中には、プロセスを隠蔽する性質の悪いものも中には存在する >これの可能性を考慮して、何かした方がいいのでしょうか。個人的にはもっと何かした方がよいと思います。既に書いてますが…higaitaisaku.comの質問掲示板もしくはPC健康診断板の利用とか。 HijackThisなどの解析ツールを使うと、ウイルス対策ソフトなどを使っただけでは見つけにくい感染の兆候を発見出来る場合があります。まぁ、隠蔽されたプロセスを見つけることまでは出来ませんが…。ただし、HijackThisの膨大な解析ログを文字数制限のあるこの掲示板で貼ることは事実上出来ません。検出されたものを全て削除すれば良いという訳でもないので、有識者の意見を訊く方が良く、結局はあちらに移動されるのが良いということになります。ここで感染の相談を受けている限り、Vundo系感染が例えばシマンテックのオンラインスキャンとか、Spybot-S&Dとか、あるいはWindows Defenderのような、誰でも知ってそうな対策ソフトで比較的簡単に処理出来たという実例にはあまりお目にかかりません。そういう意味でも、Vundo系感染が見つかったら要注意、だと考える訳です。

FMVNB50GJ
ベストアンサー率27% (411/1520)

2008/07/20 09:53 回答No.3

スタートアップにrundll32.exe？タクスマネージャで表示しているものでは。自分が試すとしたら、ノートンなどの試用版を入れておき、AVAST！、Spybotを削除、ノートンインストール。それでタスクマネージャでのプロセスはどのように出るか、IEの起動不良が出ないかを確認したら、AVAST！、Spybotをやめてノートンに鞍替えしますが。ビスタのことはいまひとつわからないが、システムの復元を無効・有効で不要なファイルを削除したり、ごみ掃除したり。 http://www.higaitaisaku.com/atfcleaner.html 過去のトロイ人は、対処法などセキュリティソフトのメーカーサイトにあるはずだから、それにしたがってやるべきことをやっておけば問題ないと思うが。感染したということはそのパソコンにセキュリティの穴があること。AVAST！、Spybotで穴がふさがればいいけどね。

質問者

お礼 2008/07/21 00:16

ありがとうございます。今は落ち着いてるように見えますが、もしかしたら今後再発する可能性がありそうなのでノートン等の製品を購入する事にします。

ryu-fiz
ベストアンサー率63% (2705/4228)

2008/07/20 02:13 回答No.2

Vista機、それも通常はFirefox利用でVundo系を含むトロイに感染、ですか…。おそらくそれは、各種アプリケーションソフトのセキュリティ上の問題点＝脆弱性をきちんと解消していなかった故のものではないかと思います。例えばの話、UACが煩わしいので完全に無効化している、というような場合を除けば…Vista上で発生する感染の多くはそうした原因によると私には思えます。 Windows Updateの必要性はこれまでも叫ばれていますが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、・Firefox、Operaなどのブラウザ。・Sun Java 仮想マシン(JRE)。・Flash PlayerやShockwave Playerなどのプラグイン。・Real Player、QuickTimeなどのメディアプレイヤー。・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けのある悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。ということで…特にブラウザのプラグインや、ブラウザ上から起動する可能性のあるものを中心に各種アプリケーションが最新の状態になっているかどうかを再チェックされた方が良いでしょう。セキュリティホールが放置されたままだと、何度でも同様な感染に遭う危険性があります。 >過去の質問を参考に、 >C:\windows\system32\内を再び検査した結果 >Vundo含む、トロイが複数発見されました。昨今のVundo系感染は、対処が難しいものが多いように思われますが…駆除作業は進んでますでしょうか？感染のチェックを厳重に行ないたいなら、オンラインスキャンはカスペルスキーエンジンを利用したものが外せないと思うのですが。 http://www.f-secure.co.jp/v-descs/disinfestation.html F-Secureのものなら、削除機能もあります。ただ…Vundo系感染の中には、プロセスを隠蔽する性質の悪いものも中には存在するようです。場合によっては、ここを締め切った上でhigaitaisaku.comの質問掲示板に移動されるか、思い切ってリカバリされた方が良いかも知れません。 http://www.higaitaisaku.com/

質問者

お礼 2008/07/20 23:58

ありがとうございます。 firefox含め、各種アプリを最新版へと変更しました。とりあえず今は、Avastとオンラインチェックを使い C:\windows\system32\からは、有害なものが発見されることはなくなりました。 spybotもavastも最新ですが、発見していません。しかし、rundll32はまだ二つほど動作しています。過去のrundll32の質問では、ドライバなどで使用されていてウイルスではない、というパターンが多かった気がします。２つ程度だとそれに当てはまるのでしょうか？それとも、＞Vundo系感染の中には、プロセスを隠蔽する性質の悪いものも中には存在するこれの可能性を考慮して、何かした方がいいのでしょうか。