Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)
-   -   rundll32.exe в списке процессов...(???) (https://forum.antichat.xyz/showthread.php?t=57631)

Chib@ 06.01.2008 23:39
rundll32.exe в списке процессов...(???)
 
Вот такие вот дела....оставил комп без присмотра на несколько часоФ..прихожу...вижу скорость инета катастрофически низкая....думаю...чёт не то)Открываю диспетчер задач...вижу..некий rundll32.exe
что о нём известно..
Цитата:
Дело в том, что сами по себе rundll.exe и rundll32.exe - нормальные программы, входящие в состав Windows. Но они предназначены для запуска других программ, вернее, исполняемого кода DLL-файлов - и вот тут-то и кроется путь запуска разных шпионов. То есть одна вполне легитимная программа (rundll32.exe) запускает другую, которая задается как ее аргумент в командной строке, например: "rundll32.exe w3knet.dll,dllinitrun". Поэтому в случае с rundll32.exe надо смотреть не на exe-файл, а на параметры его командной строки - библиотеку, которую он запускает. Возможно имеет место быть шпион w3knet.
При попытке получить инфу из инета про этот самый процесс,встретитл отпор))))инет обрубили))
Каспер молчит(KIS 7)
Вот кусочек лога из отчётов каспера за сегодня

Код:
06.01.2008 19:59:52        Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
06.01.2008 20:01:17        Защита вашего компьютера работает.
06.01.2008 20:01:17        Некоторые компоненты защиты выключены. Рекомендуется включить их.
06.01.2008 20:04:04        Попытка процесса  с PID 732 получения доступа к процессу Kaspersky Internet Security с PID 696 заблокирована. Это результат срабатывания механизма самозащиты.
06.01.2008 20:11:23        Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
06.01.2008 20:12:44        Защита вашего компьютера работает.
06.01.2008 20:12:44        Некоторые компоненты защиты выключены. Рекомендуется включить их.
06.01.2008 20:18:55        Попытка процесса  с PID 740 получения доступа к процессу Kaspersky Internet Security с PID 704 заблокирована. Это результат срабатывания механизма самозащиты.
06.01.2008 21:14:14        Обновление завершено успешно
06.01.2008 22:23:49        Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
06.01.2008 22:25:11        Защита вашего компьютера работает.
06.01.2008 22:25:11        Некоторые компоненты защиты выключены. Рекомендуется включить их.
06.01.2008 22:26:38        Попытка процесса  с PID 728 получения доступа к процессу Kaspersky Internet Security с PID 692 заблокирована. Это результат срабатывания механизма самозащиты.


Отчеты
------
Компонент        Статус        Начало        Окончание        Размер
---------        ------        ------        ---------        ------
Сетевой экран        работает        06.01.2008 22:25:11                12,4 КБ
Анти-Спам        работает        06.01.2008 22:25:11                0 б
Анти-Шпион        работает        06.01.2008 22:25:11                0 б
Проактивная защита        работает        06.01.2008 22:25:11                0 б
Файловый Антивирус        работает        06.01.2008 22:25:11                490,2 КБ
Почтовый Антивирус        работает        06.01.2008 22:25:11                0 б
Веб-Антивирус        работает        06.01.2008 22:25:11                20,8 КБ
Проверка объектов автозапуска        завершена        06.01.2008 22:27:11        06.01.2008 22:28:43        327 КБ
Никаких отключений защиты с моей стороны небыло(200%)
Меня в это время и рядом небыло!!!!
Никто за компом кроме меня небыл и близко к нему не подходил(вообще 300%:) )
rundll32.exe нашёл в папочке dllcashe,его там по идее быть нре должно...потёр)Перезагрузил ся,в процессах он по прежнему сидит!)
Ну...кто что скажет))?

_Great_ 06.01.2008 23:52
>>rundll32.exe нашёл в папочке dllcashe,его там по идее быть нре должно...потёр)Перезагрузил ся,в процессах он по прежнему сидит!)
Ну...кто что скажет))?

он должен быть, это хостовый процесс для длл. он входит в Windows и вполне имеет право на работу, правда сам по себе обычно не запускается.. а потёр зря ты

Piflit 06.01.2008 23:56
http://www.processlibrary.com/directory/files/rundll32.exe/
на старой системе висел в процессах все время, иногда подвисал (занимал 50 ЦП). приходилось отрубать. на новой системе (все тот же хр сп2, сборка другая) в процессах не висит

Tem 07.01.2008 00:01
Советую для таких целей _ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe очень удобная, маленкая но мошная прога, сам использую.

Chib@ 07.01.2008 00:02
Цитата:
он должен быть, это хостовый процесс для длл. он входит в Windows и вполне имеет право на работу
Согласен....но ведь он должен хранится в system32(где он тоже имеется)а в dllcashe насколько я помню лежат копии важных процессов...

Chib@ 07.01.2008 00:04
Хм...вот тут вспомнилось кой чё....
На днях был угнан уин из моих "запасов" Стоял на нём нехилый пасс,ПМ КУА и все дела)))
Насчёт ась я вродь как не дурак...)))
Каким раком его угнали я не знаю...Может это всё как-то связано))

Jes 07.01.2008 00:29
старый трюк? трой пишется как dll, стартится через 'rundll.exe VirusHere.dll, параметры' , в процессах видишь толька рандлл32 .exe ...

Chib@ 07.01.2008 00:38
Круть)))чё делать то?!!!)))))

Chib@ 07.01.2008 02:05
АпчеГ)
Актуально как никогда)))
Как врага то искоренить?Качать с инета ничего не предлагайте,не могу(((
Мне что-то это очень сильно не нравится...
Помогите :confused:

Hellsp@wn 07.01.2008 02:08
Autoruns
runscanner

в зубы :) и вперед выявлять левые длл...

procedure 07.01.2008 02:47
1. ставь линуху советую ubuntu 7.10
2. сижу антивиръем zone alarm, и никаких проблем нет...на крайняк ставь нод...

xGOR 07.01.2008 02:55
Есть такая утилита AVZ (http://z-oleg.com/). У неё есть куча всяких ф-ций... кароче есть там ещё сканер процессов, он также показывает что в процессе жывет, тоесть подкл. длл и т.д. еси получится скачай её. Там можно посотерть также авторан, так что юзай.

_Sniper_ 07.01.2008 12:46
Цитата:
Сообщение от Chib@
АпчеГ)
Актуально как никогда)))
Как врага то искоренить?Качать с инета ничего не предлагайте,не могу(((
Мне что-то это очень сильно не нравится...
Помогите :confused:
Безопасный режим+Dr.Web CureIT

-=lebed=- 07.01.2008 12:54
Цитата:
11. Ага, клиент попался... запустим VNCViewer из Tools и приконнектимся к взломанной машине.
Вот так мы взломали удалённо компьютер юзверя и получили удалённый рабочий стол с возможностью выполнения комманд. Примечательно, то что сервер VNC невиден в процессах, так как он исполнен в виде dll, которая инжектированна в взломанный процесc run32dll.exe - и он будет жить до тех пор, пока не грохнут родителя (run32dll.exe).
http://forum.antichat.ru/thread38434.html
PS Инжект в run32dll.exe - обычное дело для заразы... procedexplorer тебе в помошь...

bul.666 07.01.2008 12:56
Цитата:
ставь линуху советую ubuntu 7.10
Покупай новый компутер =\
Или пиши прогу которая будет каждые десять секунд убивать процесс "rundll32.exe" ахуенно получиться =)

Chib@ 07.01.2008 15:06
Хм...каспер в утиль...
Нод нашёл очень много занимательных вещиц...трои,кейлоггеры и т.д...писец)


Время: 03:01