Hola, mi nombre es dieki y soy nuevo... no se si esto estartra bien posteado pero lo intento.
Mi problema no es el "normal" con en rundll32.ece; vereis hace poquito que he contratado internet y he descubientro que el rundll32.exe se conecta para enviar y recibir datos lo cual no es agradable ya que me crea problemas para jugar en internet. Principalmete me causa ping y perdidas de paquetes.
Es normal este comportamiento en el rundll32.exe?
Podria de alguna manera bloquearle el acceso a la red? y si es asi como?
PD. uso W7 pro. SP1
Gracias de antemano.
Dieki.
Creo que aquí hay un fallo de entendimiento por tu parte.
El archivo "rundll32.exe" no es más que una interfáz commandline para llamar a funciones de dlls (dlls de Windows generálmente, o de terceros), y solo funciona con dlls que exporten funciones diseñadas para usar con "rundll32.exe".
¿Qué quiero decir con esto?, que "rundll32.exe" no se conecta a la red, no hace nada, nada más allá de llamar funciones como acabo de epxlicar, tal vez esté llamando a una función de terceros que establezca una conexión de red, tal vez si explicases como has llegado a la conclusión de que "rundll32.exe" recibe y/o envia datos por red se te podría ofrecer algún tipo de ayuda.
Cita de: dieki en 14 Noviembre 2015, 14:38 PMPodria de alguna manera bloquearle el acceso a la red? y si es asi como?
Windows viene con un Firewall integrado, para algo está :P. Mediante una política de Firewall puedes bloquear conexiones entrantes y salientes a "X" proceso, pero mejor deberías explicar lo que he dicho antes.
Saludos
tengo un programa llamado NetWorx para ver el uso y demases de mi linea en el pc una de sus aplicaciones es NetStat que te dice que programas estan accediendo a la red esto es un informe que acabo se sacar:
NetWorx NetStat at 14/11/2015 14:50:34
--------------------------------------
Aplicación ProtocoloDirección LocalDirección Remota Estado Recibido Enviado
rundll32.exe TCP192.168.1.33: 5424564.233.166.95: 80ESTABLISHED 10,6 MB 19,6 KB
rundll32.exe TCP192.168.1.33: 54248216.58.210.166: 80ESTABLISHED 1,04 MB 15,2 KB
rundll32.exe TCP192.168.1.33: 5526031.13.83.12: 80ESTABLISHED 102 KB 336 KB
rundll32.exe TCP192.168.1.33: 5526331.13.83.12: 80ESTABLISHED 102 KB 305 KB
rundll32.exe TCP192.168.1.33: 55289216.58.210.166: 80ESTABLISHED 108 KB 8,98 KB
rundll32.exe TCP192.168.1.33: 5568631.13.83.12: 80ESTABLISHED 48,2 KB 165 KB
rundll32.exe TCP192.168.1.33: 5578031.13.83.12: 80ESTABLISHED 58,1 KB 195 KB
rundll32.exe TCP192.168.1.33: 55836104.83.191.141: 80ESTABLISHED 608 KB 11,2 KB
rundll32.exe TCP192.168.1.33: 5584231.13.83.12: 80ESTABLISHED 9,53 KB 62,2 KB
rundll32.exe TCP192.168.1.33: 55937216.58.211.226: 443ESTABLISHED 144 KB 18,2 KB
rundll32.exe TCP192.168.1.33: 56031216.58.211.226: 443ESTABLISHED 91,7 KB 12,9 KB
rundll32.exe TCP192.168.1.33: 56035159.8.37.100: 80ESTABLISHED 6,29 KB 20,5 KB
rundll32.exe TCP192.168.1.33: 5607854.191.76.37: 80ESTABLISHED 6,37 KB 4,72 KB
rundll32.exe TCP192.168.1.33: 5607954.171.27.249: 80ESTABLISHED 18,5 KB 4,99 KB
rundll32.exe TCP192.168.1.33: 5609254.191.76.37: 80ESTABLISHED 3,36 KB 3,34 KB
rundll32.exe TCP192.168.1.33: 5609354.191.76.37: 80ESTABLISHED 3,36 KB 3,34 KB
rundll32.exe TCP192.168.1.33: 5609454.191.76.37: 80ESTABLISHED 3,36 KB 3,34 KB
rundll32.exe TCP192.168.1.33: 5617852.28.38.224: 80ESTABLISHED 25,5 KB 45,5 KB
rundll32.exe TCP192.168.1.33: 5618131.13.83.12: 80ESTABLISHED 30,3 KB 96,7 KB
rundll32.exe TCP192.168.1.33: 5620754.230.76.53: 80ESTABLISHED 179 KB 1,23 KB
rundll32.exe TCP192.168.1.33: 56215185.94.180.123: 80ESTABLISHED 14,8 KB 20,4 KB
rundll32.exe TCP192.168.1.33: 56216185.94.180.123: 80ESTABLISHED 6,10 KB 10,1 KB
rundll32.exe TCP192.168.1.33: 5625154.164.138.135: 80ESTABLISHED 600 bytes 4,92 KB
rundll32.exe TCP192.168.1.33: 5627252.6.134.143: 80ESTABLISHED 6,16 KB 3,01 KB
rundll32.exe TCP192.168.1.33: 5627754.84.253.122: 80ESTABLISHED 1,55 KB 1,55 KB
rundll32.exe TCP192.168.1.33: 5628331.13.83.12: 80ESTABLISHED 13,4 KB 49,0 KB
rundll32.exe TCP192.168.1.33: 5628431.13.83.12: 80ESTABLISHED 8,71 KB 32,8 KB
rundll32.exe TCP192.168.1.33: 5629931.13.83.12: 80ESTABLISHED 3,95 KB 26,8 KB
rundll32.exe TCP192.168.1.33: 5630031.13.83.12: 80ESTABLISHED 5,33 KB 19,5 KB
rundll32.exe TCP192.168.1.33: 5630131.13.83.12: 80ESTABLISHED 5,05 KB 14,7 KB
rundll32.exe TCP192.168.1.33: 56302209.15.224.6: 80ESTABLISHED 2,45 KB 9,67 KB
rundll32.exe TCP192.168.1.33: 5630654.172.179.216: 80ESTABLISHED 4,43 KB 2,09 KB
rundll32.exe TCP192.168.1.33: 5630752.6.134.143: 80ESTABLISHED 6,93 KB 3,24 KB
rundll32.exe TCP192.168.1.33: 5632054.172.179.216: 80ESTABLISHED 7,10 KB 3,23 KB
rundll32.exe TCP192.168.1.33: 5643764.233.166.95: 443ESTABLISHED 314 KB 1,23 KB
rundll32.exe TCP192.168.1.33: 56441216.58.210.166: 443ESTABLISHED 3,56 KB 993 bytes
rundll32.exe TCP192.168.1.33: 56443216.58.210.166: 443ESTABLISHED 3,31 KB 1,03 KB
rundll32.exe TCP192.168.1.33: 56446104.83.174.108: 443ESTABLISHED 4,05 MB 821 bytes
rundll32.exe TCP192.168.1.33: 56451216.58.210.134: 443ESTABLISHED 3,06 KB 4,83 KB
rundll32.exe TCP192.168.1.33: 56452216.58.211.194: 443ESTABLISHED 1,28 KB 2,00 KB
rundll32.exe TCP192.168.1.33: 56453185.43.181.169: 80ESTABLISHED 618 bytes 1,12 KB
rundll32.exe TCP192.168.1.33: 56455216.58.210.162: 443ESTABLISHED 636 bytes 1,01 KB
rundll32.exe TCP192.168.1.33: 56456216.58.210.134: 443ESTABLISHED 3,65 KB 5,62 KB
rundll32.exe TCP192.168.1.33: 5646364.233.166.95: 443ESTABLISHED 705 bytes 1,28 KB
rundll32.exe TCP192.168.1.33: 56465216.58.210.130: 443ESTABLISHED 1,14 KB 901 bytes
rundll32.exe TCP192.168.1.33: 5646754.230.76.117: 80ESTABLISHED 37,2 KB 390 bytes
rundll32.exe TCP192.168.1.33: 5646862.67.193.45: 443ESTABLISHED 4,00 KB 1,59 KB
rundll32.exe TCP192.168.1.33: 56472185.43.181.169: 80ESTABLISHED 23,4 KB 3,28 KB
rundll32.exe TCP192.168.1.33: 5650652.20.65.247: 80ESTABLISHED 909 bytes 1,05 KB
rundll32.exe TCP192.168.1.33: 5651331.13.83.12: 80ESTABLISHED 4,61 KB 37,5 KB
rundll32.exe TCP192.168.1.33: 5651446.105.57.38: 80ESTABLISHED 136 KB 472 bytes
rundll32.exe TCP192.168.1.33: 5651654.172.179.216: 80ESTABLISHED 2,75 KB 1,13 KB
rundll32.exe TCP192.168.1.33: 56531104.83.49.13: 80ESTABLISHED 6,02 KB 0,98 KB
rundll32.exe TCP192.168.1.33: 5653352.17.166.71: 80ESTABLISHED 523 bytes 634 bytes
rundll32.exe TCP192.168.1.33: 56534104.16.26.235: 80ESTABLISHED 500 bytes 616 bytes
rundll32.exe TCP192.168.1.33: 56535107.23.47.12: 80ESTABLISHED 645 bytes 501 bytes
rundll32.exe TCP192.168.1.33: 56537149.174.67.72: 80ESTABLISHED 415 bytes 506 bytes
rundll32.exe TCP192.168.1.33: 56538149.174.67.72: 80ESTABLISHED 709 bytes 0,99 KB
rundll32.exe TCP192.168.1.33: 56539149.174.67.72: 443ESTABLISHED 598 bytes 742 bytes
rundll32.exe TCP192.168.1.33: 56540104.83.191.141: 80ESTABLISHED 3,32 KB 450 bytes
rundll32.exe TCP192.168.1.33: 56541104.83.191.141: 80ESTABLISHED 3,32 KB 450 bytes
rundll32.exe TCP192.168.1.33: 56542104.83.191.141: 80ESTABLISHED 95,8 KB 1,44 KB
rundll32.exe TCP192.168.1.33: 56548205.185.216.10: 80ESTABLISHED 12,9 KB 39,3 KB
rundll32.exe TCP192.168.1.33: 5655274.201.85.88: 80ESTABLISHED 5,15 KB 1,35 KB
rundll32.exe TCP192.168.1.33: 56562205.185.216.42: 80ESTABLISHED 408 KB 14,8 KB
rundll32.exe TCP192.168.1.33: 5657446.105.62.189: 80ESTABLISHED 1,52 KB 3,08 KB
rundll32.exe TCP192.168.1.33: 5657552.28.198.18: 80ESTABLISHED 991 bytes 1,52 KB
rundll32.exe TCP192.168.1.33: 5657731.13.83.12: 80ESTABLISHED 2,63 KB 17,5 KB
rundll32.exe TCP192.168.1.33: 5657831.13.83.12: 80ESTABLISHED 3,97 KB 14,6 KB
rundll32.exe TCP192.168.1.33: 56579209.15.224.6: 80ESTABLISHED 1,06 KB 3,14 KB
rundll32.exe TCP192.168.1.33: 5658052.28.198.18: 80ESTABLISHED 808 bytes 1,08 KB
rundll32.exe TCP192.168.1.33: 5666931.13.83.12: 80ESTABLISHED 22,0 KB 34,7 KB
rundll32.exe TCP192.168.1.33: 5667031.13.83.12: 80ESTABLISHED 12,5 KB 25,8 KB
rundll32.exe TCP192.168.1.33: 5667131.13.83.12: 80ESTABLISHED 2,33 KB 7,47 KB
rundll32.exe TCP192.168.1.33: 5668952.28.38.224: 80ESTABLISHED 3,90 KB 10,3 KB
rundll32.exe TCP192.168.1.33: 5669352.28.38.224: 80ESTABLISHED 2,30 KB 4,20 KB
rundll32.exe TCP192.168.1.33: 5669452.28.38.224: 80ESTABLISHED 3,46 KB 6,33 KB
rundll32.exe TCP192.168.1.33: 5670231.13.83.12: 80ESTABLISHED 1,19 KB 3,91 KB
rundll32.exe TCP192.168.1.33: 5670331.13.83.12: 80ESTABLISHED 1,16 KB 3,73 KB
rundll32.exe TCP192.168.1.33: 5670431.13.83.12: 80ESTABLISHED 8,52 KB 40,4 KB
rundll32.exe TCP192.168.1.33: 5670531.13.83.12: 80ESTABLISHED 1,16 KB 3,73 KB
rundll32.exe TCP192.168.1.33: 5670646.228.164.11: 80ESTABLISHED 761 bytes 1,93 KB
rundll32.exe TCP192.168.1.33: 56707209.197.3.64: 443ESTABLISHED 1,62 KB 3,92 KB
rundll32.exe TCP192.168.1.33: 5670854.172.179.216: 80ESTABLISHED 1,99 KB 959 bytes
Bueno, no soy ni mucho menos experto en análisis de red, pero que con esa ausencia de información en el registro de actividad de red que has msotrado podría ser CUALQUIER cosa, desde un servicio de Windows, un servicio de los drivers de tu adaptador, o incluso un malware.
Te sugiero descargar la aplicación
Process Monitor de
SysInternals, y hacer un filtro para listar solamente la actividad del proceso rundll32.exe y las llamadas que hace rundll32.exe para averiguar que es el causante de esas conexiones.
- https://technet.microsoft.com/en-us/sysinternals/processmonitor.aspx
EDITO:- How to exclude every process in Sysinternal's Process Monitor in the filter except for one process? (http://superuser.com/questions/372204/how-to-exclude-every-process-in-sysinternals-process-monitor-in-the-filter-exce)
- Process Monitor Filters for Malware Analysis and Forensics (https://zeltser.com/process-monitor-filters-for-malware-analysis/)
- USING SYSINTERNALS TOOLS LIKE A PRO (http://www.howtogeek.com/school/sysinternals-pro/lesson4/all/?PageSpeed=noscript)
Saludos
hola y si finalizas el proceso, vuelve a salir?
saludos Flamer y es para tener una idea a que te enfrentas
si, asi es; ya lo finalice mediante el administrador de tareas o mediante la propia aplicación e incluso si lo bloque mediante el firewall al rato vuelve a dar guerra... de mometo lo bloquee por firewall de W y aun no ha vuelto.
se conecta cuando quiere a pesar de estar bloqueado mediante el firewll de W
Descarga el TN Process Explorer:
https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx (https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)
este te dirá que programa o dll esta asiendo que se ejecute el Rundll32
saludos flamer
parece que de momento he conseguido hacer que pare de subir cosas mediante reglas en el Firewall de Windows.
Echare un vistazo al programa.
esto es lo que he sacado
Process CPU Private Bytes Working Set PID Description Company Name
System Idle Process 48.11 0 K 24 K 0
System 0.12 308 K 9.524 K 4
Interrupts 0.42 0 K 0 K n/a Hardware Interrupts and DPCs
smss.exe 476 K 1.124 K 396
csrss.exe < 0.01 2.116 K 4.628 K 568
conhost.exe 1.044 K 2.908 K 2536
wininit.exe 1.504 K 4.528 K 620
services.exe 0.01 6.040 K 11.176 K 676
svchost.exe 4.560 K 10.604 K 872 Proceso host para los servicios de Windows Microsoft Corporation
WmiPrvSE.exe 6.652 K 12.052 K 2836
unsecapp.exe 1.696 K 5.676 K 1380
dllhost.exe 2.360 K 10.240 K 3812
mmc.exe < 0.01 71.708 K 44.908 K 5600
nvvsvc.exe 2.804 K 7.864 K 956 NVIDIA Driver Helper Service, Version 358.91 NVIDIA Corporation
nvxdsync.exe 7.856 K 20.132 K 1320
nvtray.exe 4.436 K 11.420 K 2888 NVIDIA Settings NVIDIA Corporation
NvBackend.exe < 0.01 17.556 K 23.028 K 2356 NVIDIA Backend NVIDIA Corporation
nvvsvc.exe < 0.01 4.844 K 12.704 K 1344
nvSCPAPISvr.exe 2.664 K 6.024 K 980 Stereo Vision Control Panel API Server NVIDIA Corporation
svchost.exe < 0.01 4.940 K 9.232 K 1016 Proceso host para los servicios de Windows Microsoft Corporation
svchost.exe 19.276 K 20.760 K 572 Proceso host para los servicios de Windows Microsoft Corporation
audiodg.exe 15.612 K 16.012 K 1516
svchost.exe 0.01 115.528 K 116.164 K 1028 Proceso host para los servicios de Windows Microsoft Corporation
WUDFHost.exe 2.116 K 6.388 K 3128
dwm.exe 2.284 K 6.764 K 3760 Administrador de ventanas del escritorio Microsoft Corporation
svchost.exe 18.684 K 33.976 K 1076 Proceso host para los servicios de Windows Microsoft Corporation
taskeng.exe 1.876 K 5.484 K 1780
rundll32.exe 916 K 2.408 K 1904
rundll32.exe 0.15 6.636 K 3.468 K 1924
rundll32.exe < 0.01 69.900 K 29.404 K 3164 Proceso host de Windows (Rundll32) Microsoft Corporation
AVG-Secure-Search-Update_0214b.exe 1.704 K 2.980 K 3708
svchost.exe < 0.01 13.004 K 22.672 K 1236 Proceso host para los servicios de Windows Microsoft Corporation
svchost.exe < 0.01 15.680 K 18.832 K 1552 Proceso host para los servicios de Windows Microsoft Corporation
AvastSvc.exe 0.02 162.832 K 41.280 K 1648 avast! Service AVAST Software
spoolsv.exe 6.636 K 12.376 K 1744 Aplicación de subsistema de cola Microsoft Corporation
svchost.exe 20.112 K 22.148 K 1792 Proceso host para los servicios de Windows Microsoft Corporation
armsvc.exe 1.192 K 3.896 K 1952 Adobe Acrobat Update Service Adobe Systems Incorporated
svchost.exe < 0.01 8.192 K 15.544 K 1272 Proceso host para los servicios de Windows Microsoft Corporation
GfExperienceService.exe 3.832 K 9.884 K 1492 NVIDIA GeForce ExperienceService NVIDIA Corporation
svchost.exe 1.964 K 6.832 K 1920 Proceso host para los servicios de Windows Microsoft Corporation
svchost.exe 1.340 K 3.772 K 2208 Proceso host para los servicios de Windows Microsoft Corporation
NvNetworkService.exe 5.240 K 9.384 K 2232 NVIDIA Network Service NVIDIA Corporation
NvStreamService.exe 0.02 3.180 K 9.292 K 2292 NVIDIA Streamer Service NVIDIA Corporation
NvStreamNetworkService.exe 0.06 4.684 K 11.464 K 2528
NvStreamUserAgent.exe 0.02 5.844 K 13.676 K 3464
svchost.exe 1.168 K 3.596 K 2416 Proceso host para los servicios de Windows Microsoft Corporation
PnkBstrA.exe < 0.01 1.204 K 4.244 K 2440
RtlService.exe 2.304 K 4.424 K 2508 RtlService MFC Application Realtek
WLIDSVC.EXE 4.240 K 12.500 K 2604
WLIDSVCM.EXE 1.188 K 3.144 K 3252
svchost.exe < 0.01 3.908 K 7.752 K 3008 Proceso host para los servicios de Windows Microsoft Corporation
SearchIndexer.exe < 0.01 53.848 K 48.360 K 1444 Indizador de Microsoft Windows Search Microsoft Corporation
SearchProtocolHost.exe < 0.01 2.388 K 8.172 K 2044
SearchFilterHost.exe 2.200 K 6.084 K 6020
svchost.exe 2.452 K 6.296 K 2156 Proceso host para los servicios de Windows Microsoft Corporation
taskhost.exe < 0.01 13.752 K 16.320 K 3308 Proceso de host para tareas de Windows Microsoft Corporation
wmpnetwk.exe < 0.01 10.012 K 11.936 K 2660 Servicio de uso compartido de red del Reproductor de Windows Media Microsoft Corporation
svchost.exe 5.668 K 11.716 K 2084 Proceso host para los servicios de Windows Microsoft Corporation
TrustedInstaller.exe 10.868 K 15.712 K 2820 Instalador de módulos de Windows Microsoft Corporation
svchost.exe 2.264 K 6.732 K 5984 Proceso host para los servicios de Windows Microsoft Corporation
lsass.exe < 0.01 6.144 K 14.580 K 716 Local Security Authority Process Microsoft Corporation
lsm.exe 2.524 K 4.432 K 724
csrss.exe 0.05 11.384 K 12.684 K 652
conhost.exe 1.016 K 2.928 K 3520
winlogon.exe 2.864 K 7.512 K 780
explorer.exe 0.07 85.168 K 81.516 K 3788 Explorador de Windows Microsoft Corporation
RAVCpl64.exe 8.112 K 10.564 K 4836 Realtek HD Audio Manager Realtek Semiconductor
networx.exe 0.11 30.344 K 45.584 K 4928 NetWorx Application (64-bit) SoftPerfect
MyComGames.exe 49.78 21.220 K 35.272 K 192 MY.COM GAME CENTER MY.COM B.V.
ts3client_win32.exe 0.21 27.644 K 42.872 K 2624
chrome.exe 0.03 66.188 K 94.312 K 5428 Google Chrome Google Inc.
chrome.exe 43.040 K 36.144 K 4240 Google Chrome Google Inc.
chrome.exe 83.900 K 87.276 K 4148 Google Chrome Google Inc.
chrome.exe 34.296 K 36.424 K 5572 Google Chrome Google Inc.
chrome.exe 0.10 68.192 K 85.540 K 5204 Google Chrome Google Inc.
WinRAR.exe < 0.01 25.136 K 48.316 K 5440 WinRAR archiver Alexander Roshal
procexp.exe 2.220 K 7.344 K 3360 Sysinternals Process Explorer Sysinternals - www.sysinternals.com
procexp64.exe 0.29 21.220 K 41.816 K 2752 Sysinternals Process Explorer Sysinternals - www.sysinternals.com
Cloud.exe 0.05 2.204 K 5.520 K 3160 Cloud Gold Click Ltd
AvastUI.exe 0.02 45.080 K 29.112 K 3404
CCleaner64.exe 0.01 8.140 K 3.224 K 4860
taskmgr.exe 0.28 3.472 K 14.752 K 1108
Ahora mata el proceso que lo hace ejecutar...
no entiendo bien el resultado que subistes si subieras una imagen asi seria mejor
(http://fotos.subefotos.com/978c936c60c94a9d3fd3c2c847486acco.jpg)
saludos
asi?
(http://thumbs.subefotos.com/7beb2cdcf13e54a3016456f675d70e28o.jpg)
No veo nada
mas grande la imagen
(http://fotos.subefotos.com/7beb2cdcf13e54a3016456f675d70e28o.png)
svchost.exe este programa es del sistema de windows...
no se que problemas tendrás con el sistema, pero virus no es ya te puedes despreocupar por eso.
ase mucho me surgió algo parecido y era que windows quería actualizarse
intenta des-habilitar la actualizacion de windows y dime si se detiene el proceso rundll32
si con actualizar windows te refieres al Windows Update, lo tengo apagado
y desde que bloquee el rundll32.exe (ambos el de 32 y el de 64bits) no me ha vuelto a dar la lata.
Veremos si esto funciona igual.