rundll32.exeについて

あるとき、ノートンで「Trojan.LowZonesを発見し、解決しました」というメッセージが出ました。
後にタスクマネージャのプロセスを見ると、「rundll32.exe」が2つほど、ユーザ名がアカウント名で実行されていました。
これが起こったあと、C/Windows/system32/でファイルを作成日時順に表示すると、
cskvobbg.dllやjutyjhfg.dll、tajtjwab.dllなど（ランダムで8文）.dllがいくつか作成されてます。サイズは大体100～200KBです。
また、スタートアップに、これらのdllファイルが登録されていました。
削除しようとセーフモードで起動し、これらのdllファイルを削除しました。
また、msconfigにて、スタートアップの項目からも、上記dllファイルの読み込みのチェックをはずしました。

これで解決したと思ったのですが、その後も「Trojan.LowZonesを発見し、解決しました」というメッセージが毎日現れ、
さきほどのような手順を繰り返しています。

ノートンのウイルスチェックは何度か行いましたが、ウイルスやスパイウェアの類は発見されません。

調べてみたところ、Trojan.LowZonesの被害には、さきほどのようにdllが作成されるとは書かれていませんよね？
それに、IEの設定を見ても、セキュリティの設定は変更されていません。

Trojan.LowZonesの検出が報告されるたびに必ず起こる現象なのですが、これは、本当にTrojan.LowZonesによる被害なのでしょうか。

このTrojan.LowZonesは毎回、Temporary Internet Filesから検出されるようです。
IEの履歴や一時ファイルの削除は行いました。また、問題のありそうなサイトにも近づいてないです。
ただ、しいて言えば、ラグナロクオンラインの関連サイトをサーフしました。
毎回何かをダウンロードするときはブラウザ上部に警告文が出ますので、勘違いで・・・ということは無いと思っています。

ノートンではどうにもならないですし、私はPCについて詳しいわけでもないですので、大変困っています。
どうすればリカバリやOSの再インストールをせずに、解決できるでしょうか。

No.4 回答者： Wr5 回答日時： 2008/05/28 01:37

レジストリの

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
辺りに潜伏するタイプのスパイウェアではないでしょうか。
http://www.google.co.jp/search?hl=ja&q=Winlogon% …

レジストリから削除されたかどうかを監視して、削除されたら再登録するタイプのものです。
上記のレジストリに入り込まれるとセーフモードですら駆除ができません。
回復コンソールから削除したことはありますが…。
http://oshiete1.goo.ne.jp/qa3431604.html

この回答へのお礼

参考のアドレス、ひととおり目を通してきました。
ファイルの削除と、ファイルが復活するのを抑えようと躍起になって、レジストリについては
あまり考えてませんでした。

ご回答ありがとうございました。

お礼日時：2008/05/29 19:53

No.3 回答者： wamos101 回答日時： 2008/05/28 01:13

当方、アングラ突入調査や対策ソフトの性能テスト、Malwareの解析なんかもちょこっとやったりします。

当方はノートンユーザーじゃないんですけど、

まあ、手っ取り早くやるならブートスキャンでしょうね。あと、やるとしたら、Process ExplorerやAutorunsで調べるとか。Process Explorerではrundll32.exeがロードするモジュールを調べられますし、Autorunsではさまざまなスタートアップエントリを調べられます。

>IEの設定を見ても、セキュリティの設定は変更されていません。

たぶん、ノートンが毎回処理しちゃってるんで実害がないのだと思います。

解決できそうにないなら、ベンダのサポートを受けたほうがいいと思います。

この回答へのお礼

ProcessExplorerで、rundll32.exeについてみましたが、質問の内容どおり、ランダム8文字のdllなどが含まれていました。
スタートアップについては、msconfigを使っていたのですが、Autorunsを使ってみようと思います。

LowZonesは、毎回検出されるたびに削除されているようで、それの実害はないようです。
ただ、それについてポップアップが出たら、rundll32.exeが起動している・・・という感じです。

ご回答ありがとうございました。

お礼日時：2008/05/29 19:48

No.2 回答者： _himajin_ 回答日時： 2008/05/27 23:42

Trojan.LowZonesはIEのセキュリティを落とすだけのようなので、これは単体で使われるものではなく、他の何かを感染させるためのものでしょう。

なので、ノートンが検出できていない別なマルウェアがいる可能性もあるんじゃないでしょうか。

ノートンと一口に言ってもシリーズ/バージョンが結構ありますので…Norton AntiVirus 2008とかInternet Security 2008とかNorton 360とか…
どのシリーズでも良いのですが本体、定義ファイルとも最新ですか？
アップデートしてないなら(特に定義ファイル)アップデートしておくべきです。

また、他社のオンラインスキャンなども併用してみてはどうでしょう。
一覧になっているサイトを参考URLに載せておきますので参考にどうぞ。

参考URL：http://cowscorpion.com/Outline/secu_on.html

この回答へのお礼

多分、ノートンが検出できていないマルウェアがあるのだと思っています。
アップデートをしてありましたので、ウイルス定義ファイルは最新です。

他社のオンラインスキャンをいくつか試してみようと思います。
ありがとうございました。

お礼日時：2008/05/29 19:44

No.1 回答者： HDKYDK1978 回答日時： 2008/05/27 23:27

宜しくお願いします。

＞ノートンのウイルスチェックは何度か行いましたが~
OS は Windows XP でしょうか。
Norton 製品の正式名及びバージョンは何でしょうか？
更新サービスの期限は有効ですか？

＞ノートンで「Trojan.LowZonesを発見し、解決しました」というメッセージ
どのような状況でこのメッセージは出ましたか？
以下の URL は参照されましたか？

Trojan.LowZones
http://www.symantec.com/ja/jp/security_response/ …

＞毎回何かをダウンロードするときはブラウザ上部に警告文が出ますので
ダウンロードの警告は飽くまでもダウンロード確認の警告です。
ダウンロードファイルが危険であるかを知らせるものではありません。

Norton での一般的なウイルス対策法をご紹介いたします。
下記の操作を実行される前に必要なデータのバックアップを取ってください。
一部上記の URL と重複する部分があります。
手順は以下の通りです。

ウィルス定義ファイルを更新 → [システムの復元] を無効化 →
セーフ モードで起動 → セーフ モードで [システムの完全スキャン] を実行

まず Norton のオプションでスキャンの設定を行います。
以下の手順を参照してください。

[Norton Internet Security] → [設定] → 基本セキュリティ [Auto-Protect] →
[設定] → ウイルスとスパイウエアの防止オプションが起動 →
画面左 手動スキャン [全般の設定] → 画面右の以下の項目にチェック →

[圧縮ファイル内部をスキャンする]
[アクティブなプログラムと起動ファイルをスキャンする]

両方にチェックを入れて [OK] ボタンをクリック

上記の操作は NIS2007 を元に作成されています。
お手元の Norton の AntiVirus オプションでも同様に設定してください。
続けて以下の URL からウィルス定義ファイルをダウンロードしてください。

ウィルス定義ファイルのダウンロード
http://www.symantec.com/region/jp/avcenter/downl …

お使いの Norton に適合するウィルス定義をインストールしてください。
これは LiveUpdate で更新するウィルス定義ファイルと同じです。
LiveUpdate はウィルス定義以外の更新もあるので今回はこれを使います。
最新のウィルス定義ファイルを PC にダウンロードして
ダウンロードが完了したら exe ファイルを実行してみてください。
exe ファイルを実行したら画面の指示に従って進めます。

ウィルス定義を更新しましたら PC の LAN ケーブルを抜いてください。
続けてシステムの復元機能を無効化します。

Windows XP のシステムの復元機能を有効/無効にする方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …

無効化しましたらセーフ モードで起動します。
以下の URL のどちらでも結構ですので参考にして下さい。

Windows XP を セーフモードで起動する方法
http://support.microsoft.com/kb/880414/ja

コンピュータをセーフモードで起動する方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …

セーフ モードで起動できましたらシステムの完全スキャンを実行します。

セーフ モードで起動 → [スタート] ボタン → [ファイル名を指定して実行] →
navw32 /L と入力 (32 と / の間は半角スペース)

お使いの PC で最新の定義ファイルがダウングレードできない場合は
ネットに接続できる他の PC で定義ファイルをダウンロードしてみてください。
該当する PC に最新の定義ファイルをインストールできなくても
必ずセーフ モードでスキャンを行ってみてください。

これで何も出なければ一先ず安心かと思いますがしばらく様子を見てください。
まだ不安なら通常モードで起動してオンラインスキャンを実行してください。

Windows Live OneCare -
http://onecare.live.com/site/ja-JP/default.htm

他のセキュリティソフト会社のオンラインスキャンでも構いません。
複数のオンラインスキャンを実行するのも有効策だと思います。
全てを実行しても改善が見られない場合は PC のリカバリをお勧めします。

全ての操作は自己責任でお願いします。
宜しければ結果も教えてください。

この回答へのお礼

詳しく説明していただいて申し訳ないのですが、ノートンについてのお話は、すべて実行済みでした。
いつどういう状況でウイルスチェックをしようと、何も検出されません。

お礼日時：2008/05/29 19:43