VSYSTLB.DLLとはなんですか。ググっても1件しかみあたりません("どるこむ過去ログ")。当方Win2K SP4です。起動時にカスペルスキーが見つけました。ファイルはsystem32にありますが、プロパティにはバージョンタブがなく概要も空白です。タイムスタンプは2年以上前になっています。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2007/10/03 11:48:23
  • 終了:2007/10/10 02:36:53

回答(3件)

id:lark_mild No.1

lark_mild回答回数74ベストアンサー獲得回数02007/10/05 02:07:54

スペルまちがいでは http://www.hatena.ne.jp

id:maria226

回答ありがとうございます。でも,コメントでやりとりしてるのにそう来ますか。なにと間違ってたら検索にかかるんでしょう?

2007/10/05 03:10:31
id:cx20 No.2

cx20回答回数607ベストアンサー獲得回数1082007/10/05 12:59:39

ポイント80pt

 USER32.DLLで使ってる関数は,

  CallNextHookEx

  RegisterWindowMessageA

  SetWindowRgn

  SetWindowsHookExA

  UnhookWindowsHookEx

使用している関数から推測すると、VSYSTLB.DLL はフック用の DLL のようですね。

マウスフックなのか、キーボードフックなのかは分かりませんが・・・。

フックを使うアプリケーションの例としては

  • マウス・ジェスチャー … マウスフックを使用
  • IME キーボードフックを使用
  • キーロガー … キーボードフックを使用

等があります。

VSYSTLB.DLLの公開関数名は,全て一文字で A, B, C, P の4つ

おそらく、VSYSTLB.DLLの公開関数は、フックをインストール/アンインストールする為の関数では?と思います。

常用マシンではw2k(x2), xp pro, vistaのいずれにも入ってました。

自分のところの PC(Windows 2000 Pro / Windows XP SP2)では、VSYSTLB.DLL は、入っていませんでした。

私が定番で常用しているソフトあたりが怪しいかな?

インストールしているソフトで、フックを使うようなアプリケーションがあれば、それが怪しい気がします。

もし、そのようなアプリケーションに心当たりがなく、気になるようでしたら以下のようなツールを使用するのも手かもしれません。

■ キーロガー対策ソフト「ノーロガー」v1.01 
http://www.forest.impress.co.jp/article/2004/08/24/okiniiri.html
id:maria226

ありがとうございます。ご紹介のアイデアから常駐物をチェックした結果,"通り抜けループ"というシェアウェアの関連だということがわかりました。タイムスタンプが変っていたのは,動的に生成されていたためのようです。リネームするとまた復活しました。インストールアーカイブのチェックではひっかからなかったわけです。実行ファイルのバイナリを見るとVSYSTLB.DLLの文字列があります。最新版では生成されないようですが(いまのところ),文字列は残っていますので確定でしょう。悪さはしていないようですが,ドキュメントになにも記述がないのは気持ち悪いですね。いいソフトなんで今後も使うつもりですがちょっと姿勢にがっかり。教えていただいたツール類で十二分にもとはとれました。またよろしくお願いします。(次のコメントに続きます)

2007/10/10 02:22:20
id:ardarim No.3

ardarim回答回数897ベストアンサー獲得回数1452007/10/06 01:47:10

ポイント60pt

直接解決できる回答でなくて申し訳ないですが。

気になるので色々考えてみました。


・タイムスタンプ(更新日時)でソートして、同じ日付または近い日付のファイルがないか探す


・エクスプローラのメニューで[表示]-[詳細表示の設定]で、「作成日時」を追加する。エクスプローラのファイルビューで「作成日時」欄が表示されるようになるので、この欄でソートし、同じ日付または近い日付のファイルがないか探す。作成日時はそのファイルがディスクに最初に作られた日付=インストールされたと考えられる日付なので関連するファイルが見つかる可能性があります。またもしかしたらその日に何をしたか記憶がたどれるかも知れません。


FileMonで、"vsystlb.dll"をフィルターとして誰がvsystlb.dllにアクセスするか見てみる(ただし、ブート時とかは監視できませんが…)


・ProcessWalker等でvsystlb.dllを呼んでいるexeがわかったのであれば、そのexeからたどれると思います。(exe名から検索、そのexeが登録されているレジストリなど)


(参考)

ProcessWalkerと機能的には似てますが、個人的にはProcessExplorerをお勧めしておきます。

id:maria226

上のコメントも参照してください。どうもありがとうございました。実は「はてな」ってこんなマイナーな質問が答え一発だったらすごいなと思って出したところもあります。一発じゃないのはまあ予想通りでした。しかし,こうやってお二人の良質な回答者と議論できたのは収穫と思います。それにしてもダイナミックにDLLを吐き出すなんていうのがホントに正解なのでしょうかね。ある意味かなり危険ですね。「通り抜けループ」自体は良く出来ているしフリー/シェアウェアなら覚悟の上なんですが,大手ソフトならさらに,と恐ろしさも改めて感じました。インストール時の構成変更をチェックするソフトでもありましたら教えてください。この件についてもバイナリの動作をトレースしたいところでうが根性も暇もありませんのでこれで終わりにします。またよろしくお願いします。

2007/10/10 02:33:39
  • id:maria226
    まじめに回答していただければ、URLはダミーでかまいません。
  • id:cx20
    ↓ 下記ツールで、DLL が公開している関数を見ることができます。これで何か分かるかも?(関数名とかで機能を推測とか)

    ■ Dependency Walker
    http://www.dependencywalker.com/
  • id:maria226
    cx20さん,ありがとうござます。
    dependsでみてみましたけど,依存関係は
    [ ] VSYSTLB.DLL
       [ ] USER32.DLL
         [ ] NTDLL.DLL
         [ ] KERNEL32.DLL
           [ ^ ] NTDLL.DLL
           [F^ ] NTDLL.DLL
         [ ] GDI32.DLL
           [ ^ ] NTDLL.DLL
           [ ^ ] KERNEL32.DLL
             [F^ ] NTDLL.DLL
           [ ^ ] USER32.DLL
    な感じです。特殊なDLLは呼んでないようです。関数はたっぷり出てきますが私にはよくわかりません。なんでしょうね。
     ちなみに,ロシア人のプロアクティブディフェンスにかかったのですが,ダイアログを待たせたまんまFirefoxを起動したらフリーズしたので,気になって質問しています。
  • id:cx20
    なんなんでしょうね。

    ちなみに、Dependency Walker で表示される内容の意味ですが、

    ┌─┬─┐
    | |②|
    |①├─┤
    | |③|
    └─┴─┘
    ① … DLL 依存関係ツリー(Dependency Tree)
    ② … DLL のうち、呼び出し元が使用している関数(Import Function)
    ③ … DLL のうち、公開している関数の一覧(Export Function)

    という意味になっています。

    VSYSTLB.DLL を選択して、③ の場所に表示される一覧が、VSYSTLB.DLL が公開している関数の一覧になります。

    とは言っても、関数の一覧が分かっても、それが何の機能なのか分からないと意味がないですが・・・

    あと、別の方法として、VSYSTLB.DLL を使用している EXE を調査するという方法があります。

    以下のツールにて、[表示] - [ウィンドウ] - [モジュール] を選択すると、
    DLL がロードされている場合、ロードしている EXE を調べることが可能です。

    ■ ProcessWalker(WindowsNT/2000/XP / ユーティリティ)
    http://www.vector.co.jp/soft/dl/winnt/util/se221254.html
  • id:ardarim
    レジストリエディタでファイル名を検索すれば何か引っかかるかもしれませんね。
    うまくいけば関連するキーワードとかが見つかる可能性があります。

    あとは上の方がコメントしてますがvsystlb.dllがどういう関数を公開(エクスポート)しているか関数名であたりが付けられる場合もあります。
  • id:maria226
    >cx20さん
     USER32.DLLで使ってる関数は,
      CallNextHookEx
      RegisterWindowMessageA
      SetWindowRgn
      SetWindowsHookExA
      UnhookWindowsHookEx
    です。雰囲気はわからんでもないけど具体的になにをしてるのやら。
     VSYSTLB.DLLの公開関数名(ActivateKeyboardLayoutの類)は,全て一文字で A, B, C, P の4つで,簡単すぎです。
     ProcessWalkerで見るとこれを呼んでいるものは見えるときにはスタートアップに起動しているものが多いですね。今みたら出てこないなぁ。ProcessWalkerは知りませんでした。ありがとうございます。
    >ardarimさん
     regeditで全検索しましたがひっかかりませんでした。チェックとしてまずやるべきでしたね。

     常用マシンではw2k(x2), xp pro, vistaのいずれにも入ってました。それぞれタイムスタンプは最後にクリーンインストールした時期に近く,また,あまりいじってない共用マシンにはありませんでした。なのできっと私が定番で常用しているソフトあたりが怪しいかな?でも,N氏は駆逐したし,Firefoxでもない様です。わかんなくても問題ないみたいですが,海外含めて有名どこサーチエンジンいくつもあたってヒット1件ってのは気になるなぁ。そこまでマイナーなものなんか使ってたかな。あとは消してみる,かな。
     追加情報:ファイルサイズは9,216です。

     cx20さん,ardarimさんのとこにはないんでしょうね。ポイント差し上げて終わりたいので,なんでもいいので回答の方に書いていただけると助かります。
  • id:ardarim
    Windowsファイル保護(OSの重要なexeやdllが監視されて、削除されたり上書きされると元のファイルに書き戻される機能)のような仕組みなのかもしれません。
    http://pc.nikkeibp.co.jp/word/page/10014215/

    好意的に解釈すると、フックのような使い方の場合悪用されたりすると大変なのでそのためのガードなのかもしれません。
    ただし...フックのような使い方は一歩間違えればキーロガーのようなマルウェアと区別できないので事前説明無しにそのような機能を使っているとしたらあまりよろしくない、説明責任を果たしていないソフトですね。
    プロアクティブディフェンスでマルウェアと間違えられても文句は言えない機能です。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません