Test Foro de elhacker.net SMF 2.1

Hola, mi nombre es dieki y soy nuevo... no se si esto estartra bien posteado pero lo intento.

Mi problema no es el "normal" con en rundll32.ece; vereis hace poquito que he contratado internet y he descubientro que el rundll32.exe se conecta para enviar y recibir datos lo cual no es agradable  ya que me crea problemas para jugar en internet. Principalmete me causa ping y perdidas de paquetes.

Es normal este comportamiento en el rundll32.exe?
Podria de alguna manera bloquearle el acceso a la red? y si es asi como?

PD. uso W7 pro. SP1

Gracias de antemano.


Dieki.

Creo que aquí hay un fallo de entendimiento por tu parte.

El archivo "rundll32.exe" no es más que una interfáz commandline para llamar a funciones de dlls (dlls de Windows generálmente, o de terceros), y solo funciona con dlls que exporten funciones diseñadas para usar con "rundll32.exe".

¿Qué quiero decir con esto?, que "rundll32.exe" no se conecta a la red, no hace nada, nada más allá de llamar funciones como acabo de epxlicar, tal vez esté llamando a una función de terceros que establezca una conexión de red, tal vez si explicases como has llegado a la conclusión de que "rundll32.exe" recibe y/o envia datos por red se te podría ofrecer algún tipo de ayuda.

---

Cita de: dieki en 14 Noviembre 2015, 14:38 PMPodria de alguna manera bloquearle el acceso a la red? y si es asi como?

Windows viene con un Firewall integrado, para algo está :P. Mediante una política de Firewall puedes bloquear conexiones entrantes y salientes a "X" proceso, pero mejor deberías explicar lo que he dicho antes.

Saludos

tengo un programa llamado NetWorx para ver el uso y demases de mi linea en el pc una de sus aplicaciones es NetStat que te dice que programas estan accediendo a la red esto es un informe que acabo se sacar:

                     NetWorx NetStat at 14/11/2015 14:50:34
                     --------------------------------------

Aplicación  ProtocoloDirección LocalDirección Remota     Estado   Recibido    Enviado

rundll32.exe        TCP192.168.1.33: 5424564.233.166.95: 80ESTABLISHED    10,6 MB    19,6 KB
rundll32.exe        TCP192.168.1.33: 54248216.58.210.166: 80ESTABLISHED    1,04 MB    15,2 KB
rundll32.exe        TCP192.168.1.33: 5526031.13.83.12: 80ESTABLISHED     102 KB     336 KB
rundll32.exe        TCP192.168.1.33: 5526331.13.83.12: 80ESTABLISHED     102 KB     305 KB
rundll32.exe        TCP192.168.1.33: 55289216.58.210.166: 80ESTABLISHED     108 KB    8,98 KB
rundll32.exe        TCP192.168.1.33: 5568631.13.83.12: 80ESTABLISHED    48,2 KB     165 KB
rundll32.exe        TCP192.168.1.33: 5578031.13.83.12: 80ESTABLISHED    58,1 KB     195 KB
rundll32.exe        TCP192.168.1.33: 55836104.83.191.141: 80ESTABLISHED     608 KB    11,2 KB
rundll32.exe        TCP192.168.1.33: 5584231.13.83.12: 80ESTABLISHED    9,53 KB    62,2 KB
rundll32.exe        TCP192.168.1.33: 55937216.58.211.226: 443ESTABLISHED     144 KB    18,2 KB
rundll32.exe        TCP192.168.1.33: 56031216.58.211.226: 443ESTABLISHED    91,7 KB    12,9 KB
rundll32.exe        TCP192.168.1.33: 56035159.8.37.100: 80ESTABLISHED    6,29 KB    20,5 KB
rundll32.exe        TCP192.168.1.33: 5607854.191.76.37: 80ESTABLISHED    6,37 KB    4,72 KB
rundll32.exe        TCP192.168.1.33: 5607954.171.27.249: 80ESTABLISHED    18,5 KB    4,99 KB
rundll32.exe        TCP192.168.1.33: 5609254.191.76.37: 80ESTABLISHED    3,36 KB    3,34 KB
rundll32.exe        TCP192.168.1.33: 5609354.191.76.37: 80ESTABLISHED    3,36 KB    3,34 KB
rundll32.exe        TCP192.168.1.33: 5609454.191.76.37: 80ESTABLISHED    3,36 KB    3,34 KB
rundll32.exe        TCP192.168.1.33: 5617852.28.38.224: 80ESTABLISHED    25,5 KB    45,5 KB
rundll32.exe        TCP192.168.1.33: 5618131.13.83.12: 80ESTABLISHED    30,3 KB    96,7 KB
rundll32.exe        TCP192.168.1.33: 5620754.230.76.53: 80ESTABLISHED     179 KB    1,23 KB
rundll32.exe        TCP192.168.1.33: 56215185.94.180.123: 80ESTABLISHED    14,8 KB    20,4 KB
rundll32.exe        TCP192.168.1.33: 56216185.94.180.123: 80ESTABLISHED    6,10 KB    10,1 KB
rundll32.exe        TCP192.168.1.33: 5625154.164.138.135: 80ESTABLISHED  600 bytes    4,92 KB
rundll32.exe        TCP192.168.1.33: 5627252.6.134.143: 80ESTABLISHED    6,16 KB    3,01 KB
rundll32.exe        TCP192.168.1.33: 5627754.84.253.122: 80ESTABLISHED    1,55 KB    1,55 KB
rundll32.exe        TCP192.168.1.33: 5628331.13.83.12: 80ESTABLISHED    13,4 KB    49,0 KB
rundll32.exe        TCP192.168.1.33: 5628431.13.83.12: 80ESTABLISHED    8,71 KB    32,8 KB
rundll32.exe        TCP192.168.1.33: 5629931.13.83.12: 80ESTABLISHED    3,95 KB    26,8 KB
rundll32.exe        TCP192.168.1.33: 5630031.13.83.12: 80ESTABLISHED    5,33 KB    19,5 KB
rundll32.exe        TCP192.168.1.33: 5630131.13.83.12: 80ESTABLISHED    5,05 KB    14,7 KB
rundll32.exe        TCP192.168.1.33: 56302209.15.224.6: 80ESTABLISHED    2,45 KB    9,67 KB
rundll32.exe        TCP192.168.1.33: 5630654.172.179.216: 80ESTABLISHED    4,43 KB    2,09 KB
rundll32.exe        TCP192.168.1.33: 5630752.6.134.143: 80ESTABLISHED    6,93 KB    3,24 KB
rundll32.exe        TCP192.168.1.33: 5632054.172.179.216: 80ESTABLISHED    7,10 KB    3,23 KB
rundll32.exe        TCP192.168.1.33: 5643764.233.166.95: 443ESTABLISHED     314 KB    1,23 KB
rundll32.exe        TCP192.168.1.33: 56441216.58.210.166: 443ESTABLISHED    3,56 KB  993 bytes
rundll32.exe        TCP192.168.1.33: 56443216.58.210.166: 443ESTABLISHED    3,31 KB    1,03 KB
rundll32.exe        TCP192.168.1.33: 56446104.83.174.108: 443ESTABLISHED    4,05 MB  821 bytes
rundll32.exe        TCP192.168.1.33: 56451216.58.210.134: 443ESTABLISHED    3,06 KB    4,83 KB
rundll32.exe        TCP192.168.1.33: 56452216.58.211.194: 443ESTABLISHED    1,28 KB    2,00 KB
rundll32.exe        TCP192.168.1.33: 56453185.43.181.169: 80ESTABLISHED  618 bytes    1,12 KB
rundll32.exe        TCP192.168.1.33: 56455216.58.210.162: 443ESTABLISHED  636 bytes    1,01 KB
rundll32.exe        TCP192.168.1.33: 56456216.58.210.134: 443ESTABLISHED    3,65 KB    5,62 KB
rundll32.exe        TCP192.168.1.33: 5646364.233.166.95: 443ESTABLISHED  705 bytes    1,28 KB
rundll32.exe        TCP192.168.1.33: 56465216.58.210.130: 443ESTABLISHED    1,14 KB  901 bytes
rundll32.exe        TCP192.168.1.33: 5646754.230.76.117: 80ESTABLISHED    37,2 KB  390 bytes
rundll32.exe        TCP192.168.1.33: 5646862.67.193.45: 443ESTABLISHED    4,00 KB    1,59 KB
rundll32.exe        TCP192.168.1.33: 56472185.43.181.169: 80ESTABLISHED    23,4 KB    3,28 KB
rundll32.exe        TCP192.168.1.33: 5650652.20.65.247: 80ESTABLISHED  909 bytes    1,05 KB
rundll32.exe        TCP192.168.1.33: 5651331.13.83.12: 80ESTABLISHED    4,61 KB    37,5 KB
rundll32.exe        TCP192.168.1.33: 5651446.105.57.38: 80ESTABLISHED     136 KB  472 bytes
rundll32.exe        TCP192.168.1.33: 5651654.172.179.216: 80ESTABLISHED    2,75 KB    1,13 KB
rundll32.exe        TCP192.168.1.33: 56531104.83.49.13: 80ESTABLISHED    6,02 KB    0,98 KB
rundll32.exe        TCP192.168.1.33: 5653352.17.166.71: 80ESTABLISHED  523 bytes  634 bytes
rundll32.exe        TCP192.168.1.33: 56534104.16.26.235: 80ESTABLISHED  500 bytes  616 bytes
rundll32.exe        TCP192.168.1.33: 56535107.23.47.12: 80ESTABLISHED  645 bytes  501 bytes
rundll32.exe        TCP192.168.1.33: 56537149.174.67.72: 80ESTABLISHED  415 bytes  506 bytes
rundll32.exe        TCP192.168.1.33: 56538149.174.67.72: 80ESTABLISHED  709 bytes    0,99 KB
rundll32.exe        TCP192.168.1.33: 56539149.174.67.72: 443ESTABLISHED  598 bytes  742 bytes
rundll32.exe        TCP192.168.1.33: 56540104.83.191.141: 80ESTABLISHED    3,32 KB  450 bytes
rundll32.exe        TCP192.168.1.33: 56541104.83.191.141: 80ESTABLISHED    3,32 KB  450 bytes
rundll32.exe        TCP192.168.1.33: 56542104.83.191.141: 80ESTABLISHED    95,8 KB    1,44 KB
rundll32.exe        TCP192.168.1.33: 56548205.185.216.10: 80ESTABLISHED    12,9 KB    39,3 KB
rundll32.exe        TCP192.168.1.33: 5655274.201.85.88: 80ESTABLISHED    5,15 KB    1,35 KB
rundll32.exe        TCP192.168.1.33: 56562205.185.216.42: 80ESTABLISHED     408 KB    14,8 KB
rundll32.exe        TCP192.168.1.33: 5657446.105.62.189: 80ESTABLISHED    1,52 KB    3,08 KB
rundll32.exe        TCP192.168.1.33: 5657552.28.198.18: 80ESTABLISHED  991 bytes    1,52 KB
rundll32.exe        TCP192.168.1.33: 5657731.13.83.12: 80ESTABLISHED    2,63 KB    17,5 KB
rundll32.exe        TCP192.168.1.33: 5657831.13.83.12: 80ESTABLISHED    3,97 KB    14,6 KB
rundll32.exe        TCP192.168.1.33: 56579209.15.224.6: 80ESTABLISHED    1,06 KB    3,14 KB
rundll32.exe        TCP192.168.1.33: 5658052.28.198.18: 80ESTABLISHED  808 bytes    1,08 KB
rundll32.exe        TCP192.168.1.33: 5666931.13.83.12: 80ESTABLISHED    22,0 KB    34,7 KB
rundll32.exe        TCP192.168.1.33: 5667031.13.83.12: 80ESTABLISHED    12,5 KB    25,8 KB
rundll32.exe        TCP192.168.1.33: 5667131.13.83.12: 80ESTABLISHED    2,33 KB    7,47 KB
rundll32.exe        TCP192.168.1.33: 5668952.28.38.224: 80ESTABLISHED    3,90 KB    10,3 KB
rundll32.exe        TCP192.168.1.33: 5669352.28.38.224: 80ESTABLISHED    2,30 KB    4,20 KB
rundll32.exe        TCP192.168.1.33: 5669452.28.38.224: 80ESTABLISHED    3,46 KB    6,33 KB
rundll32.exe        TCP192.168.1.33: 5670231.13.83.12: 80ESTABLISHED    1,19 KB    3,91 KB
rundll32.exe        TCP192.168.1.33: 5670331.13.83.12: 80ESTABLISHED    1,16 KB    3,73 KB
rundll32.exe        TCP192.168.1.33: 5670431.13.83.12: 80ESTABLISHED    8,52 KB    40,4 KB
rundll32.exe        TCP192.168.1.33: 5670531.13.83.12: 80ESTABLISHED    1,16 KB    3,73 KB
rundll32.exe        TCP192.168.1.33: 5670646.228.164.11: 80ESTABLISHED  761 bytes    1,93 KB
rundll32.exe        TCP192.168.1.33: 56707209.197.3.64: 443ESTABLISHED    1,62 KB    3,92 KB
rundll32.exe        TCP192.168.1.33: 5670854.172.179.216: 80ESTABLISHED    1,99 KB  959 bytes

Bueno, no soy ni mucho menos experto en análisis de red, pero que con esa ausencia de información en el registro de actividad de red que has msotrado podría ser CUALQUIER cosa, desde un servicio de Windows, un servicio de los drivers de tu adaptador, o incluso un malware.

Te sugiero descargar la aplicación Process Monitor de SysInternals, y hacer un filtro para listar solamente la actividad del proceso rundll32.exe y las llamadas que hace rundll32.exe para averiguar que es el causante de esas conexiones.

• https://technet.microsoft.com/en-us/sysinternals/processmonitor.aspx

EDITO:

• How to exclude every process in Sysinternal's Process Monitor in the filter except for one process? (http://superuser.com/questions/372204/how-to-exclude-every-process-in-sysinternals-process-monitor-in-the-filter-exce)
• Process Monitor Filters for Malware Analysis and Forensics (https://zeltser.com/process-monitor-filters-for-malware-analysis/)
• USING SYSINTERNALS TOOLS LIKE A PRO (http://www.howtogeek.com/school/sysinternals-pro/lesson4/all/?PageSpeed=noscript)

Saludos

hola y si finalizas el proceso, vuelve a salir?

saludos Flamer y es para tener una idea a que te enfrentas

si, asi es; ya lo finalice mediante el administrador de tareas o mediante la propia aplicación e incluso si lo bloque mediante el firewall al rato vuelve a dar guerra... de mometo lo bloquee por firewall de W y aun no ha vuelto.

se conecta cuando quiere a pesar de estar bloqueado mediante el firewll de W

Descarga el TN Process Explorer:
https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx (https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)

este te dirá que programa o dll esta asiendo que se ejecute el Rundll32

saludos flamer

parece que de momento he conseguido hacer que pare de subir cosas mediante reglas en el Firewall de Windows.

Echare un vistazo al programa.

esto es lo que he sacado


Process CPU Private Bytes Working Set PID Description Company Name
System Idle Process 48.11 0 K 24 K 0
System 0.12 308 K 9.524 K 4
Interrupts 0.42 0 K 0 K n/a Hardware Interrupts and DPCs
smss.exe 476 K 1.124 K 396
csrss.exe < 0.01 2.116 K 4.628 K 568
conhost.exe 1.044 K 2.908 K 2536
wininit.exe 1.504 K 4.528 K 620
services.exe 0.01 6.040 K 11.176 K 676
  svchost.exe 4.560 K 10.604 K 872 Proceso host para los servicios de Windows Microsoft Corporation
   WmiPrvSE.exe 6.652 K 12.052 K 2836
   unsecapp.exe 1.696 K 5.676 K 1380
   dllhost.exe 2.360 K 10.240 K 3812
    mmc.exe < 0.01 71.708 K 44.908 K 5600
  nvvsvc.exe 2.804 K 7.864 K 956 NVIDIA Driver Helper Service, Version 358.91 NVIDIA Corporation
   nvxdsync.exe 7.856 K 20.132 K 1320
    nvtray.exe 4.436 K 11.420 K 2888 NVIDIA Settings NVIDIA Corporation
     NvBackend.exe < 0.01 17.556 K 23.028 K 2356 NVIDIA Backend NVIDIA Corporation
   nvvsvc.exe < 0.01 4.844 K 12.704 K 1344
  nvSCPAPISvr.exe 2.664 K 6.024 K 980 Stereo Vision Control Panel API Server NVIDIA Corporation
  svchost.exe < 0.01 4.940 K 9.232 K 1016 Proceso host para los servicios de Windows Microsoft Corporation
  svchost.exe 19.276 K 20.760 K 572 Proceso host para los servicios de Windows Microsoft Corporation
   audiodg.exe 15.612 K 16.012 K 1516
  svchost.exe 0.01 115.528 K 116.164 K 1028 Proceso host para los servicios de Windows Microsoft Corporation
   WUDFHost.exe 2.116 K 6.388 K 3128
   dwm.exe 2.284 K 6.764 K 3760 Administrador de ventanas del escritorio Microsoft Corporation
  svchost.exe 18.684 K 33.976 K 1076 Proceso host para los servicios de Windows Microsoft Corporation
   taskeng.exe 1.876 K 5.484 K 1780
    rundll32.exe 916 K 2.408 K 1904
     rundll32.exe 0.15 6.636 K 3.468 K 1924
      rundll32.exe < 0.01 69.900 K 29.404 K 3164 Proceso host de Windows (Rundll32) Microsoft Corporation
    AVG-Secure-Search-Update_0214b.exe 1.704 K 2.980 K 3708
  svchost.exe < 0.01 13.004 K 22.672 K 1236 Proceso host para los servicios de Windows Microsoft Corporation
  svchost.exe < 0.01 15.680 K 18.832 K 1552 Proceso host para los servicios de Windows Microsoft Corporation
  AvastSvc.exe 0.02 162.832 K 41.280 K 1648 avast! Service AVAST Software
  spoolsv.exe 6.636 K 12.376 K 1744 Aplicación de subsistema de cola Microsoft Corporation
  svchost.exe 20.112 K 22.148 K 1792 Proceso host para los servicios de Windows Microsoft Corporation
  armsvc.exe 1.192 K 3.896 K 1952 Adobe Acrobat Update Service Adobe Systems Incorporated
  svchost.exe < 0.01 8.192 K 15.544 K 1272 Proceso host para los servicios de Windows Microsoft Corporation
  GfExperienceService.exe 3.832 K 9.884 K 1492 NVIDIA GeForce ExperienceService NVIDIA Corporation
  svchost.exe 1.964 K 6.832 K 1920 Proceso host para los servicios de Windows Microsoft Corporation
  svchost.exe 1.340 K 3.772 K 2208 Proceso host para los servicios de Windows Microsoft Corporation
  NvNetworkService.exe 5.240 K 9.384 K 2232 NVIDIA Network Service NVIDIA Corporation
  NvStreamService.exe 0.02 3.180 K 9.292 K 2292 NVIDIA Streamer Service NVIDIA Corporation
   NvStreamNetworkService.exe 0.06 4.684 K 11.464 K 2528
   NvStreamUserAgent.exe 0.02 5.844 K 13.676 K 3464
  svchost.exe 1.168 K 3.596 K 2416 Proceso host para los servicios de Windows Microsoft Corporation
  PnkBstrA.exe < 0.01 1.204 K 4.244 K 2440
  RtlService.exe 2.304 K 4.424 K 2508 RtlService MFC Application Realtek
  WLIDSVC.EXE 4.240 K 12.500 K 2604
   WLIDSVCM.EXE 1.188 K 3.144 K 3252
  svchost.exe < 0.01 3.908 K 7.752 K 3008 Proceso host para los servicios de Windows Microsoft Corporation
  SearchIndexer.exe < 0.01 53.848 K 48.360 K 1444 Indizador de Microsoft Windows Search Microsoft Corporation
   SearchProtocolHost.exe < 0.01 2.388 K 8.172 K 2044
   SearchFilterHost.exe 2.200 K 6.084 K 6020
  svchost.exe 2.452 K 6.296 K 2156 Proceso host para los servicios de Windows Microsoft Corporation
  taskhost.exe < 0.01 13.752 K 16.320 K 3308 Proceso de host para tareas de Windows Microsoft Corporation
  wmpnetwk.exe < 0.01 10.012 K 11.936 K 2660 Servicio de uso compartido de red del Reproductor de Windows Media Microsoft Corporation
  svchost.exe 5.668 K 11.716 K 2084 Proceso host para los servicios de Windows Microsoft Corporation
  TrustedInstaller.exe 10.868 K 15.712 K 2820 Instalador de módulos de Windows Microsoft Corporation
  svchost.exe 2.264 K 6.732 K 5984 Proceso host para los servicios de Windows Microsoft Corporation
lsass.exe < 0.01 6.144 K 14.580 K 716 Local Security Authority Process Microsoft Corporation
lsm.exe 2.524 K 4.432 K 724
csrss.exe 0.05 11.384 K 12.684 K 652
conhost.exe 1.016 K 2.928 K 3520
winlogon.exe 2.864 K 7.512 K 780
explorer.exe 0.07 85.168 K 81.516 K 3788 Explorador de Windows Microsoft Corporation
RAVCpl64.exe 8.112 K 10.564 K 4836 Realtek HD Audio Manager Realtek Semiconductor
networx.exe 0.11 30.344 K 45.584 K 4928 NetWorx Application (64-bit) SoftPerfect
MyComGames.exe 49.78 21.220 K 35.272 K 192 MY.COM GAME CENTER MY.COM B.V.
ts3client_win32.exe 0.21 27.644 K 42.872 K 2624
chrome.exe 0.03 66.188 K 94.312 K 5428 Google Chrome Google Inc.
  chrome.exe 43.040 K 36.144 K 4240 Google Chrome Google Inc.
  chrome.exe 83.900 K 87.276 K 4148 Google Chrome Google Inc.
  chrome.exe 34.296 K 36.424 K 5572 Google Chrome Google Inc.
  chrome.exe 0.10 68.192 K 85.540 K 5204 Google Chrome Google Inc.
  WinRAR.exe < 0.01 25.136 K 48.316 K 5440 WinRAR archiver Alexander Roshal
   procexp.exe 2.220 K 7.344 K 3360 Sysinternals Process Explorer Sysinternals - www.sysinternals.com
    procexp64.exe 0.29 21.220 K 41.816 K 2752 Sysinternals Process Explorer Sysinternals - www.sysinternals.com
Cloud.exe 0.05 2.204 K 5.520 K 3160 Cloud Gold Click Ltd
AvastUI.exe 0.02 45.080 K 29.112 K 3404
CCleaner64.exe 0.01 8.140 K 3.224 K 4860
taskmgr.exe 0.28 3.472 K 14.752 K 1108


Ahora mata el proceso que lo hace ejecutar...

no entiendo bien el resultado que subistes si subieras una imagen asi seria mejor

(http://fotos.subefotos.com/978c936c60c94a9d3fd3c2c847486acco.jpg)


saludos

asi?
(http://thumbs.subefotos.com/7beb2cdcf13e54a3016456f675d70e28o.jpg)

No veo nada

mas grande la imagen

(http://fotos.subefotos.com/7beb2cdcf13e54a3016456f675d70e28o.png)

svchost.exe este programa es del sistema de windows...

no se que problemas tendrás con el sistema, pero virus no es ya te puedes despreocupar por eso.

ase mucho me surgió algo parecido y era que windows quería actualizarse

intenta des-habilitar la actualizacion de windows y dime si se detiene el proceso rundll32

si con actualizar windows te refieres al Windows Update, lo tengo apagado
y desde que bloquee el rundll32.exe (ambos el de 32 y el de 64bits) no me ha vuelto a dar la lata.

Veremos si esto funciona igual.