マタハラとrundll32 (PART 2 OF 3)

 

マタハラとrundll32 (PART 2 OF 3)



(sys50524b.png)

■『拡大する』



ブラウザを閉じて　他にはどのプログラムも走ってないから、当然、画面にはデスクトップが表示されてます。　タスクマネージャーを立ち上げると、上のように　rundll32.exe が走っていると表示されたのですよ。　ジューンさんにも、よく見えるようにタスクマネージャーだけを貼り出してみます。


(sys50524b2.png)



上のリストを見れば解るように、この時のコンピューター利用率４３％　の内　３３％　を　rundll32.exe が占めているのですよ。　つまり、この時　rundll32.exe というソフトがパソコンを占有して、得体（えたい）の知れない事をやっているのです。



つまり、デンマンさんがエッチなことをしていると思って、盗撮していたのですわねぇ～。。。　うふふふふふふ。。。


(kiss222.jpg)



あのねぇ～。。。　ウェブカムは使ってないから、盗撮していたわけではないのですよ。



じゃあ、何をしていたのですか？

たぶん、僕がどのサイトを見ていたのか？　その履歴を調べて報告するためのファイルを作っていたようですよ。

つまり、スパイウェアが走っていたのですわね。

そうだと思います。。。　で、rundll32.exe がスパイウェアに乗っ取られる事があるのだろうか？　そう思ってネットで調べてみたら次のようなページに出くわしましたよ。


rundll32.exeというのは

ウイルスなのでしょうか？


(virus03.gif)

lailuoimさん

2012/4/1405:55:53

タスクマネージャの見るとメモリが「1.176k」でした。
右クリックでも「管理タスクを実行」一択しか出てこないので、ファイルの場所を確認できません。
説明部分も空白なので余計心配です。

ノートンでも検出されません。

知恵袋などいろいろなサイトで調べまわったのですが、ウイルスだという方もいれば、ウイルスではないという人もいて・・・
真相を教えてください。

閲覧数：10,308 回答数：3



ベストアンサーに選ばれた回答


(virus04.jpg)

programer0716さん

2012/4/1421:53:32

こんばんわ＾＾

rundll32.exeとwinlogon.exeですね。

基本は正規プロセスです。ウイルスではありません＾＾

ただし、上記ファイルはC:\WINDOWS\system32\にあるのが正規です。
(C:\WINDOWS\ServicePackFiles\にあるものも正規)

ファイルの場所がわからないということですので、
まずはWindows標準機能の”ファイル検索” で
上記ファイル2つを検索してください。

※隠しファイルの表示設定が必要

何かフォルダを開き、ツール ＞ フォルダオプション ＞ 表示 で
”全てのファイルとフォルダを表示する”にチェック、
”保護されたオペレーティングシステムを表示しない”のチェックOFF
（警告表示されますが無視していいです）

検索後の結果、上記ファイルが正規パスにあるのであれば、
ご安心されて大丈夫かと思います＾＾

それ以外のパスに存在するものは偽者、いわゆるウイルスの可能性が高いです。

もし、正規パスにないのであれば、

以下サイトで、スキャンして判断してみてください。

https://www.virustotal.com/



『Yahoo!　知恵袋』より




。。。というわけで、僕も調べてみたのですよ。


(sys50525d.gif)



うっかりして、僕は※隠しファイルの表示設定を忘れてしまったのですよ。



Search hidden files and folders　にチェックマークを付けるのを忘れたのですわね。

そうなのですよ。。。　とにかく、その結果を見てください。


(sys50525a.png)

■『拡大する』



あらっ。。。　１０個も見つかったのですわね。



１０個の内の最後の２つは正規のファイルです。

どうして正規のファイルだと判るのですか？

上のページにも書いてありますよ。


C:\WINDOWS\system32\にあるのが正規です。

C:\WINDOWS\ServicePackFiles\にあるものも正規。


最初の８つは　何ですか？

僕も不思議に思って調べてみましたよ。　３番目の一番大きなファイルをクリックしてみました。　次のようにポップアップ・ウィンドウが飛び出すのですよ。


(sys50525c.png)

■『拡大する』



上のポップアップ・ウィンドウは何のためですか？



.pf という拡張子は、自動的に表示できないので、表示するためのソフトを探すためのウィンドウですよ。　「ネットで最適なソフトを探す」ようにマークを入れて OK ボタンをクリックしたのです。　その結果を見てください。


(sys50525b.png)

■『拡大する』



.pf という拡張子が付いた　８つのファイルは　赤いアンダーラインを引いた　マイクロソフトの　Prefetch File なのですよ。　



何のためのファイルなのですか？

Windows が次にアプリケーションを実行する時に、できるだけ早く実行できるように　このファイルに必要なデータを保存すると書いてあります。

つまり、ブラウザをデンマンさんが閉じた時に、デンマンさんのパソコンが勝手に実行していたのは、このファイルを作るためだったのですか？

そういう事なのだと思いますよ。。。　でもねぇ～、僕は rundll32.exe を調べる時に、うっかりして、※隠しファイルの表示設定を忘れてしまったからねぇ～。。。　もしかすると、※隠しファイルの中に　rundll32.exe の名前でスパイウェアが潜んでいるかもしれないのですよ。

じゃあ、今度、ブラウザを閉じてもパソコンが動いているようだったら、※隠しファイルの表示設定を忘れないように調べてみてくださいなァ。

はい。。。　忘れないように、そうします。



(laugh16.gif)

　（すぐ下のページへ続く）