Вот такие вот дела....оставил комп без присмотра на несколько часоФ..прихожу...вижу скорость инета катастрофически низкая....думаю...чёт не то)Открываю диспетчер задач...вижу..некий rundll32.exe
что о нём известно..
Дело в том, что сами по себе rundll.exe и rundll32.exe - нормальные программы, входящие в состав Windows. Но они предназначены для запуска других программ, вернее, исполняемого кода DLL-файлов - и вот тут-то и кроется путь запуска разных шпионов. То есть одна вполне легитимная программа (rundll32.exe) запускает другую, которая задается как ее аргумент в командной строке, например: "rundll32.exe w3knet.dll,dllinitrun". Поэтому в случае с rundll32.exe надо смотреть не на exe-файл, а на параметры его командной строки - библиотеку, которую он запускает. Возможно имеет место быть шпион w3knet.
При попытке получить инфу из инета про этот самый процесс,встретитл отпор))))инет обрубили))
Каспер молчит(KIS 7)
Вот кусочек лога из отчётов каспера за сегодня

06.01.2008 19:59:52 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
06.01.2008 20:01:17 Защита вашего компьютера работает.
06.01.2008 20:01:17 Некоторые компоненты защиты выключены. Рекомендуется включить их.
06.01.2008 20:04:04 Попытка процесса с PID 732 получения доступа к процессу Kaspersky Internet Security с PID 696 заблокирована. Это результат срабатывания механизма самозащиты.
06.01.2008 20:11:23 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
06.01.2008 20:12:44 Защита вашего компьютера работает.
06.01.2008 20:12:44 Некоторые компоненты защиты выключены. Рекомендуется включить их.
06.01.2008 20:18:55 Попытка процесса с PID 740 получения доступа к процессу Kaspersky Internet Security с PID 704 заблокирована. Это результат срабатывания механизма самозащиты.
06.01.2008 21:14:14 Обновление завершено успешно
06.01.2008 22:23:49 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
06.01.2008 22:25:11 Защита вашего компьютера работает.
06.01.2008 22:25:11 Некоторые компоненты защиты выключены. Рекомендуется включить их.
06.01.2008 22:26:38 Попытка процесса с PID 728 получения доступа к процессу Kaspersky Internet Security с PID 692 заблокирована. Это результат срабатывания механизма самозащиты.


Отчеты
------
Компонент Статус Начало Окончание Размер
--------- ------ ------ --------- ------
Сетевой экран работает 06.01.2008 22:25:11 12,4 КБ
Анти-Спам работает 06.01.2008 22:25:11 0 б
Анти-Шпион работает 06.01.2008 22:25:11 0 б
Проактивная защита работает 06.01.2008 22:25:11 0 б
Файловый Антивирус работает 06.01.2008 22:25:11 490,2 КБ
Почтовый Антивирус работает 06.01.2008 22:25:11 0 б
Веб-Антивирус работает 06.01.2008 22:25:11 20,8 КБ
Проверка объектов автозапуска завершена 06.01.2008 22:27:11 06.01.2008 22:28:43 327 КБ
Никаких отключений защиты с моей стороны небыло(200%)
Меня в это время и рядом небыло!!!!
Никто за компом кроме меня небыл и близко к нему не подходил(вообще 300%:) )
rundll32.exe нашёл в папочке dllcashe,его там по идее быть нре должно...потёр)Перезагрузил ся,в процессах он по прежнему сидит!)
Ну...кто что скажет))?

>>rundll32.exe нашёл в папочке dllcashe,его там по идее быть нре должно...потёр)Перезагрузил ся,в процессах он по прежнему сидит!)
Ну...кто что скажет))?

он должен быть, это хостовый процесс для длл. он входит в Windows и вполне имеет право на работу, правда сам по себе обычно не запускается.. а потёр зря ты

http://www.processlibrary.com/directory/files/rundll32.exe/
на старой системе висел в процессах все время, иногда подвисал (занимал 50 ЦП). приходилось отрубать. на новой системе (все тот же хр сп2, сборка другая) в процессах не висит

Советую для таких целей _ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe очень удобная, маленкая но мошная прога, сам использую.

он должен быть, это хостовый процесс для длл. он входит в Windows и вполне имеет право на работу
Согласен....но ведь он должен хранится в system32(где он тоже имеется)а в dllcashe насколько я помню лежат копии важных процессов...

Хм...вот тут вспомнилось кой чё....
На днях был угнан уин из моих "запасов" Стоял на нём нехилый пасс,ПМ КУА и все дела)))
Насчёт ась я вродь как не дурак...)))
Каким раком его угнали я не знаю...Может это всё как-то связано))

старый трюк? трой пишется как dll, стартится через 'rundll.exe VirusHere.dll, параметры' , в процессах видишь толька рандлл32 .exe ...

Круть)))чё делать то?!!!)))))

АпчеГ)
Актуально как никогда)))
Как врага то искоренить?Качать с инета ничего не предлагайте,не могу(((
Мне что-то это очень сильно не нравится...
Помогите :confused:

Autoruns
runscanner

в зубы :) и вперед выявлять левые длл...

1. ставь линуху советую ubuntu 7.10
2. сижу антивиръем zone alarm, и никаких проблем нет...на крайняк ставь нод...

Есть такая утилита AVZ (http://z-oleg.com/). У неё есть куча всяких ф-ций... кароче есть там ещё сканер процессов, он также показывает что в процессе жывет, тоесть подкл. длл и т.д. еси получится скачай её. Там можно посотерть также авторан, так что юзай.

АпчеГ)
Актуально как никогда)))
Как врага то искоренить?Качать с инета ничего не предлагайте,не могу(((
Мне что-то это очень сильно не нравится...
Помогите :confused:
Безопасный режим+Dr.Web CureIT

11. Ага, клиент попался... запустим VNCViewer из Tools и приконнектимся к взломанной машине.
Вот так мы взломали удалённо компьютер юзверя и получили удалённый рабочий стол с возможностью выполнения комманд. Примечательно, то что сервер VNC невиден в процессах, так как он исполнен в виде dll, которая инжектированна в взломанный процесc run32dll.exe - и он будет жить до тех пор, пока не грохнут родителя (run32dll.exe).
http://forum.antichat.ru/thread38434.html
PS Инжект в run32dll.exe - обычное дело для заразы... procedexplorer тебе в помошь...

ставь линуху советую ubuntu 7.10
Покупай новый компутер =\
Или пиши прогу которая будет каждые десять секунд убивать процесс "rundll32.exe" ахуенно получиться =)

Хм...каспер в утиль...
Нод нашёл очень много занимательных вещиц...трои,кейлоггеры и т.д...писец)