rundll32がプロセスに複数常駐しています 昨年購入したパソコンなのですが、知人との会話で&#8… | 質問の答えを募集中です! rundll32がプロセスに複数常駐しています 昨年購入したパソコンなのですが、知人との会話で&#8… | 質問の答えを募集中です!

rundll32がプロセスに複数常駐しています 昨年購入したパソコンなのですが、知人との会話で…

パソコン

rundll32がプロセスに複数常駐しています
昨年購入したパソコンなのですが、知人との会話でかなり重いらしいということに気づき、
タスクマネージャーを見たところ、rundll32.exeというプロセスが3つ常駐しています。
サイズはそれぞれ1196kB、828kB、1436kBです。
メーカーはLaVie、OSはWindows7、セキュリティソフトはMcAfeeのインターネットセキュリティです。
フルスキャンしても、今までウィルスが検出されたことはなく、
WebブラウザはIE9ですが、セキュリティでアクセス規制されるようなページを踏んだ経験もありません。

rundll32.exeについて調べたところ、

・これ自体はMicrosoft公式のファイルであってOS動作上必須のもので、ドライバの呼び出しなんかを管理している。
・その都合上いくつものソフトで使われると複数タスクマネージャーに現れることもある。
・一昔前にこれを利用したマルウェアが流行ったが、今はセキュリティを入れてればそうかからない
・常駐することはあまりない(必要とするシステムが常時起動しているならありうる

ということまではわかりました。

しかし複数で常駐するソフトではないようですし、
システム構成でスタートアップも見ましたが、
スタートアップ項目のコマンド列にはrundll32を含むものはありませんでした。

rundll32.exeはその性質からマルウェアに改変されたり、名前を騙って
潜り込むこともあるらしいので、Cドライブ全体を検索したところ、次の場所で見つかりました。

1.C:WindowsSystem32
2.C:Windowswinsxsx86_microsoft-windows-rundll32_31bf3856ad364e35_6.1.7600.16385_none_d7dba7b30c3e2855
3.C:WindowsSysWOW64
4.C:Windowswinsxsamd64_microsoft-windows-rundll32_31bf3856ad364e35_6.1.7600.16385_none_33fa4336c49b998b

2と4はハッシュ値のようなフォルダ名なのでバックアップだろうか、と考えています。
更新日時はすべて2009年7月14日、ファイルサイズは1と4が44.5kB、2と3が43.5kBでした。
また、この4つのファイルアイコンですが、通常.exeのアプリケーションファイルは小さなエクスプローラーの形をしていますが、DATファイルのような単なる角の折れた紙のアイコンになっていました。

この他にも、rundll32.exe.muiという2.5kBほどのファイルが
C:WindowsSystem32ja-JP
C:WindowsSysWOW64ja-JP
の二か所で見つかりました。

正直問題の有無さえわかりません。
診断、修復の方法など、どうかよろしくお願いします。

  1. 匿名 より:
    2022年8月2日 2:09 AM

    私のPC(Win7x64)で見つけたrundll32.exe、rundll32.exe.muiの場所及びMD5・SHA-1ハッシュ値は
    “C:WindowsSystem32rundll32.exe”
    MD5:dd81d91ff3b0763c392422865c9ac12e
    SHA-1:963b55acc8c566876364716d5aafa353995812a8

    “C:Windowswinsxsamd64_microsoft-windows-rundll32_31bf3856ad364e35_6.1.7600.16385_none_33fa4336c49b998brundll32.exe”
    MD5:dd81d91ff3b0763c392422865c9ac12e
    SHA-1:963b55acc8c566876364716d5aafa353995812a8

    “C:WindowsSysWOW64rundll32.exe”
    MD5:51138beea3e2c21ec44d0932c71762a8
    SHA-1:8939cf35447b22dd2c6e6f443446acc1bf986d58

    “C:Windowswinsxsx86_microsoft-windows-rundll32_31bf3856ad364e35_6.1.7600.16385_none_d7dba7b30c3e2855rundll32.exe”
    MD5:51138beea3e2c21ec44d0932c71762a8
    SHA-1:8939cf35447b22dd2c6e6f443446acc1bf986d58

    “C:WindowsSysWOW64ja-JPrundll32.exe.mui”
    MD5:a3a664574f351776c2789627fa9532c6
    SHA-1:553430134a6a660a68a5dc88314f4cd2e35de845

    “C:Windowswinsxsx86_microsoft-windows-rundll32.resources_31bf3856ad364e35_6.1.7600.16385_ja-jp_7b72211ab7fe50e2rundll32.exe.mui”
    MD5:a3a664574f351776c2789627fa9532c6
    SHA-1:553430134a6a660a68a5dc88314f4cd2e35de845

    “C:WindowsSystem32ja-JPrundll32.exe.mui”
    MD5:a62d4a5ef3135f5e221a5cf2dd27bbf6
    SHA-1:457a61915ce7669a10db64d66deb1f3a790e42d8

    “C:Windowswinsxsamd64_microsoft-windows-rundll32.resources_31bf3856ad364e35_6.1.7600.16385_ja-jp_d790bc9e705bc218rundll32.exe.mui”
    MD5:a62d4a5ef3135f5e221a5cf2dd27bbf6
    SHA-1:457a61915ce7669a10db64d66deb1f3a790e42d8

    です。ちょっと見づらいですが、ハッシュ値を確認してみてください。
    http://www.colonywest.us/digestit/
    このツールでハッシュ値を調べています。

    補足見て
    うーん、僕はあとは下記の方法しか知らない・・・。
    http://note.chiebukuro.yahoo.co.jp/detail/n6006

    返信
  2. 匿名 より:
    2022年8月2日 2:09 AM

    おお、これはすごい。
    なんかいろいろありますので、調べて試してみることにします。
    ありがとうございました。

    返信

 ⬇人気の記事!⬇

タイトルとURLをコピーしました