- 締切済み
Rundll.exe
先週「W32.Mixor.Q@mm」に感染してしまい、 なんとか駆除出来たのですが、まだウィルスかスパイウェアが残っているのか、ノートンが急に「Hacktool.Spammer」を探知したりします 直ぐに削除されるので問題はないのですが、再起動するたびに、C:\Documents and Settings\ユーザー名に、 謎のexeファイルが生成されて、何時の間にかプロセスで動いたりします。 ノートンでスキャンしても何も探知されないので、トレンドのオンラインスキャンをしたところ、C:windows|Rundll.exeがウィルスと出ました。 ファイル更新日が丁度、「W32.Mixor.Q@mm」に感染した時間になっているので、かなり怪しいのですが、削除しても大丈夫でしょうか? Rundll.exeは場合によっては重要なファイルだったりするみたいなんですが。
- azel913
- お礼率25% (1/4)
- ウィルス・マルウェア
- 回答数4
- ありがとう数1
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- ryu-fiz
- ベストアンサー率63% (2705/4228)
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mixor.q@mm.html W32.Mixor.Q@mm感染後に、検出の難しい種類のマルウェアを投下された可能性が高いですね。(質問分の読み込みが足りなかったためか、重要な情報を見逃してしまってました。本当にすみません) この種の感染で後手に回った場合、あらゆる感染の危険性を考慮しなくてはいけません。最悪の場合、rootkit系の感染によって一部のプロセスが隠蔽された結果、検出が非常に難しくなる場合があります。 通常のウイルス対策ソフトでは検出の難しいものに効果的に働く次のようなソフト http://www.emsisoft.jp/jp/software/free/ http://eazyfox.homelinux.org/SecuTool/ewido/ewido01.html rootkit検出に効果的な次のようなソフト http://www.higaitaisaku.com/blacklight.html などでより詳しく調べることは可能ですが…これらを全て使っても検出出来ない感染は存在すると見られます。 確実に対処したいのであればやはりリカバリ推奨です。 リカバリなしでの対処を続行したい場合も、各種ツールを思いつくままつるべ打ちするのではなく、より体系的に分析、対処の指示をもらえるhigaitaisaku.comの質問掲示板の利用がお勧めです。 http://bbs.higaitaisaku.com/wizard/wizard.cgi あちらを利用される場合は、事前にこちらの質問は締め切るようにしてください。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
う~ん…調べ直してみたら、結構ややこしいですね。 1)98/Me機の場合、"C:\windows\rundll.exe"は存在します。 2)2000/XP機の場合は"C:\windows\rundll.exe"は存在しません。 http://support.microsoft.com/kb/164787/ja つまり、2000/XPの場合は問答無用でインチキシステムファイルと断定出来ます。ばっさり削除、出来なければタスクマネージャなどから終了させて削除で構わないと思います。 98/Meの場合、正常なファイルが置き換えられていると考えられるため、正常なファイルを抽出して再度置き換えを行うことで正常化が期待出来ます。 98の場合は、システムファイルチェッカーで行える筈です。 http://www-06.ibm.com/jp/domino04/pc/support/beginner.nsf/btechinfo/SYB0-01F61F2 Meの場合、XPに近いシステムファイル保護機能が働いているので置き換えは容易ではないようですが、次のページのやり方を参考にすれば出来ないことはないようです。 http://support.microsoft.com/kb/265371/ja
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mixor.q@mm.html http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FNUWAR%2EAY トレンドマイクロだとよくわかりやすい 電子メールの添付ファイルとして侵入 他の不正プログラム(「TROJ_TIBS.PE」)を作成 ワーム活動(マスメーリング) プロセスの強制終了 添付ファイルを開いて感染したんでしょうかね
- ryu-fiz
- ベストアンサー率63% (2705/4228)
c:\windows\rundll.exe つまりWindowsフォルダにあるrundll.exeはシステムファイルではありません。 システムファイルと勘違いしやすいファイル名を付け、それっぽい場所に投下するのは常套手段です。 "c:\windows\rundll.exe"をキーワードにGoogleなどで検索するとすぐにそのことが分かると思います。 XPの場合ですと、"c:\windows\system32"フォルダにあるrundll32.exeが本物です。場合によってはこの本物がすげ替えられるケースもあるにはありますから、注意は必要ですが。
お礼
回答ありがとうございます。 カスペルスキーでもオンラインスキャンをしたところ、別のdllファィルもウィルス反応が出て、explorer.exeでアクセス中でファイル削除を 出来なかったので、セーフモードで削除しました。 OSはWinXPを使用しています。 Rundll.exeは削除しました、再起動後でも特に問題はなしです。 まだウィルスが残っている可能性があるので油断出来ないのですが、 一応レジストリも見ておいた方が良いですかね? Run項目には特に怪しいのはなかったのですが、 あまりPC知識がないので、見落としているかもしれません。