rundll32.exe в списке процессов...(???) |
06.01.2008, 23:39
|
|
Познающий
Регистрация: 30.11.2007
Сообщений: 53
Провел на форуме:
464784
Репутация:
56
|
|
rundll32.exe в списке процессов...(???)
Вот такие вот дела....оставил комп без присмотра на несколько часоФ..прихожу...вижу скорость инета катастрофически низкая....думаю...чёт не то)Открываю диспетчер задач...вижу..некий rundll32.exe
что о нём известно..
Дело в том, что сами по себе rundll.exe и rundll32.exe - нормальные программы, входящие в состав Windows. Но они предназначены для запуска других программ, вернее, исполняемого кода DLL-файлов - и вот тут-то и кроется путь запуска разных шпионов. То есть одна вполне легитимная программа (rundll32.exe) запускает другую, которая задается как ее аргумент в командной строке, например: "rundll32.exe w3knet.dll,dllinitrun". Поэтому в случае с rundll32.exe надо смотреть не на exe-файл, а на параметры его командной строки - библиотеку, которую он запускает. Возможно имеет место быть шпион w3knet.
При попытке получить инфу из инета про этот самый процесс,встретитл отпор))))инет обрубили))
Каспер молчит(KIS 7)
Вот кусочек лога из отчётов каспера за сегодня
Код:
06.01.2008 19:59:52 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
06.01.2008 20:01:17 Защита вашего компьютера работает.
06.01.2008 20:01:17 Некоторые компоненты защиты выключены. Рекомендуется включить их.
06.01.2008 20:04:04 Попытка процесса с PID 732 получения доступа к процессу Kaspersky Internet Security с PID 696 заблокирована. Это результат срабатывания механизма самозащиты.
06.01.2008 20:11:23 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
06.01.2008 20:12:44 Защита вашего компьютера работает.
06.01.2008 20:12:44 Некоторые компоненты защиты выключены. Рекомендуется включить их.
06.01.2008 20:18:55 Попытка процесса с PID 740 получения доступа к процессу Kaspersky Internet Security с PID 704 заблокирована. Это результат срабатывания механизма самозащиты.
06.01.2008 21:14:14 Обновление завершено успешно
06.01.2008 22:23:49 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
06.01.2008 22:25:11 Защита вашего компьютера работает.
06.01.2008 22:25:11 Некоторые компоненты защиты выключены. Рекомендуется включить их.
06.01.2008 22:26:38 Попытка процесса с PID 728 получения доступа к процессу Kaspersky Internet Security с PID 692 заблокирована. Это результат срабатывания механизма самозащиты.
Отчеты
------
Компонент Статус Начало Окончание Размер
--------- ------ ------ --------- ------
Сетевой экран работает 06.01.2008 22:25:11 12,4 КБ
Анти-Спам работает 06.01.2008 22:25:11 0 б
Анти-Шпион работает 06.01.2008 22:25:11 0 б
Проактивная защита работает 06.01.2008 22:25:11 0 б
Файловый Антивирус работает 06.01.2008 22:25:11 490,2 КБ
Почтовый Антивирус работает 06.01.2008 22:25:11 0 б
Веб-Антивирус работает 06.01.2008 22:25:11 20,8 КБ
Проверка объектов автозапуска завершена 06.01.2008 22:27:11 06.01.2008 22:28:43 327 КБ
Никаких отключений защиты с моей стороны небыло(200%)
Меня в это время и рядом небыло!!!!
Никто за компом кроме меня небыл и близко к нему не подходил(вообще 300%  )
rundll32.exe нашёл в папочке dllcashe,его там по идее быть нре должно...потёр)Перезагрузил ся,в процессах он по прежнему сидит!)
Ну...кто что скажет))? |
|
|
06.01.2008, 23:52
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
>>rundll32.exe нашёл в папочке dllcashe,его там по идее быть нре должно...потёр)Перезагрузил ся,в процессах он по прежнему сидит!)
Ну...кто что скажет))?
он должен быть, это хостовый процесс для длл. он входит в Windows и вполне имеет право на работу, правда сам по себе обычно не запускается.. а потёр зря ты
|
|
|
|
06.01.2008, 23:56
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
Провел на форуме:
5128756
Репутация:
2032
|
|
http://www.processlibrary.com/directory/files/rundll32.exe/
на старой системе висел в процессах все время, иногда подвисал (занимал 50 ЦП). приходилось отрубать. на новой системе (все тот же хр сп2, сборка другая) в процессах не висит
|
|
|
|
07.01.2008, 00:01
|
|
Banned
Регистрация: 05.10.2005
Сообщений: 965
Провел на форуме:
5888800
Репутация:
547
|
|
Советую для таких целей _ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe очень удобная, маленкая но мошная прога, сам использую.
|
|
|
|
07.01.2008, 00:02
|
|
Познающий
Регистрация: 30.11.2007
Сообщений: 53
Провел на форуме:
464784
Репутация:
56
|
|
он должен быть, это хостовый процесс для длл. он входит в Windows и вполне имеет право на работу
Согласен....но ведь он должен хранится в system32(где он тоже имеется)а в dllcashe насколько я помню лежат копии важных процессов...
|
|
|
|
07.01.2008, 00:04
|
|
Познающий
Регистрация: 30.11.2007
Сообщений: 53
Провел на форуме:
464784
Репутация:
56
|
|
Хм...вот тут вспомнилось кой чё....
На днях был угнан уин из моих "запасов" Стоял на нём нехилый пасс,ПМ КУА и все дела)))
Насчёт ась я вродь как не дурак...)))
Каким раком его угнали я не знаю...Может это всё как-то связано))
|
|
|
|
07.01.2008, 00:29
|
|
Постоянный
Регистрация: 16.04.2007
Сообщений: 398
Провел на форуме:
3371897
Репутация:
1462
|
|
старый трюк? трой пишется как dll, стартится через 'rundll.exe VirusHere.dll, параметры' , в процессах видишь толька рандлл32 .exe ...
|
|
|
|
07.01.2008, 00:38
|
|
Познающий
Регистрация: 30.11.2007
Сообщений: 53
Провел на форуме:
464784
Репутация:
56
|
|
Круть)))чё делать то?!!!)))))
Последний раз редактировалось Chib@; 07.01.2008 в 02:05..
|
|
|
|
07.01.2008, 02:05
|
|
Познающий
Регистрация: 30.11.2007
Сообщений: 53
Провел на форуме:
464784
Репутация:
56
|
|
АпчеГ)
Актуально как никогда)))
Как врага то искоренить?Качать с инета ничего не предлагайте,не могу(((
Мне что-то это очень сильно не нравится...
Помогите 
Последний раз редактировалось Chib@; 07.01.2008 в 02:08..
|
|
|
|
07.01.2008, 12:46
|
|
Banned
Регистрация: 21.07.2007
Сообщений: 504
Провел на форуме:
1899369
Репутация:
445
|
|
Сообщение от Chib@
АпчеГ)
Актуально как никогда)))
Как врага то искоренить?Качать с инета ничего не предлагайте,не могу(((
Мне что-то это очень сильно не нравится...
Помогите Безопасный режим+Dr.Web CureIT
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
