Problemilla con rundll32.exe... necesito ayuda

dieki · 14 Noviembre 2015, 14:38 PM

Hola, mi nombre es dieki y soy nuevo... no se si esto estartra bien posteado pero lo intento.

Mi problema no es el "normal" con en rundll32.ece; vereis hace poquito que he contratado internet y he descubientro que el rundll32.exe se conecta para enviar y recibir datos lo cual no es agradable ya que me crea problemas para jugar en internet. Principalmete me causa ping y perdidas de paquetes.

Es normal este comportamiento en el rundll32.exe?
Podria de alguna manera bloquearle el acceso a la red? y si es asi como?

PD. uso W7 pro. SP1

Gracias de antemano.

Dieki.

Eleкtro · 14 Noviembre 2015, 14:49 PM

Creo que aquí hay un fallo de entendimiento por tu parte.

El archivo "rundll32.exe" no es más que una interfáz commandline para llamar a funciones de dlls (dlls de Windows generálmente, o de terceros), y solo funciona con dlls que exporten funciones diseñadas para usar con "rundll32.exe".

¿Qué quiero decir con esto?, que "rundll32.exe" no se conecta a la red, no hace nada, nada más allá de llamar funciones como acabo de epxlicar, tal vez esté llamando a una función de terceros que establezca una conexión de red, tal vez si explicases como has llegado a la conclusión de que "rundll32.exe" recibe y/o envia datos por red se te podría ofrecer algún tipo de ayuda.

Cita de: dieki en 14 Noviembre 2015, 14:38 PMPodria de alguna manera bloquearle el acceso a la red? y si es asi como?

Windows viene con un Firewall integrado, para algo está

. Mediante una política de Firewall puedes bloquear conexiones entrantes y salientes a "X" proceso, pero mejor deberías explicar lo que he dicho antes.

Saludos

dieki · 14 Noviembre 2015, 14:54 PM

tengo un programa llamado NetWorx para ver el uso y demases de mi linea en el pc una de sus aplicaciones es NetStat que te dice que programas estan accediendo a la red esto es un informe que acabo se sacar:

NetWorx NetStat at 14/11/2015 14:50:34
--------------------------------------

Aplicación ProtocoloDirección LocalDirección Remota Estado Recibido Enviado

rundll32.exe TCP192.168.1.33: 5424564.233.166.95: 80ESTABLISHED 10,6 MB 19,6 KB
rundll32.exe TCP192.168.1.33: 54248216.58.210.166: 80ESTABLISHED 1,04 MB 15,2 KB
rundll32.exe TCP192.168.1.33: 5526031.13.83.12: 80ESTABLISHED 102 KB 336 KB
rundll32.exe TCP192.168.1.33: 5526331.13.83.12: 80ESTABLISHED 102 KB 305 KB
rundll32.exe TCP192.168.1.33: 55289216.58.210.166: 80ESTABLISHED 108 KB 8,98 KB
rundll32.exe TCP192.168.1.33: 5568631.13.83.12: 80ESTABLISHED 48,2 KB 165 KB
rundll32.exe TCP192.168.1.33: 5578031.13.83.12: 80ESTABLISHED 58,1 KB 195 KB
rundll32.exe TCP192.168.1.33: 55836104.83.191.141: 80ESTABLISHED 608 KB 11,2 KB
rundll32.exe TCP192.168.1.33: 5584231.13.83.12: 80ESTABLISHED 9,53 KB 62,2 KB
rundll32.exe TCP192.168.1.33: 55937216.58.211.226: 443ESTABLISHED 144 KB 18,2 KB
rundll32.exe TCP192.168.1.33: 56031216.58.211.226: 443ESTABLISHED 91,7 KB 12,9 KB
rundll32.exe TCP192.168.1.33: 56035159.8.37.100: 80ESTABLISHED 6,29 KB 20,5 KB
rundll32.exe TCP192.168.1.33: 5607854.191.76.37: 80ESTABLISHED 6,37 KB 4,72 KB
rundll32.exe TCP192.168.1.33: 5607954.171.27.249: 80ESTABLISHED 18,5 KB 4,99 KB
rundll32.exe TCP192.168.1.33: 5609254.191.76.37: 80ESTABLISHED 3,36 KB 3,34 KB
rundll32.exe TCP192.168.1.33: 5609354.191.76.37: 80ESTABLISHED 3,36 KB 3,34 KB
rundll32.exe TCP192.168.1.33: 5609454.191.76.37: 80ESTABLISHED 3,36 KB 3,34 KB
rundll32.exe TCP192.168.1.33: 5617852.28.38.224: 80ESTABLISHED 25,5 KB 45,5 KB
rundll32.exe TCP192.168.1.33: 5618131.13.83.12: 80ESTABLISHED 30,3 KB 96,7 KB
rundll32.exe TCP192.168.1.33: 5620754.230.76.53: 80ESTABLISHED 179 KB 1,23 KB
rundll32.exe TCP192.168.1.33: 56215185.94.180.123: 80ESTABLISHED 14,8 KB 20,4 KB
rundll32.exe TCP192.168.1.33: 56216185.94.180.123: 80ESTABLISHED 6,10 KB 10,1 KB
rundll32.exe TCP192.168.1.33: 5625154.164.138.135: 80ESTABLISHED 600 bytes 4,92 KB
rundll32.exe TCP192.168.1.33: 5627252.6.134.143: 80ESTABLISHED 6,16 KB 3,01 KB
rundll32.exe TCP192.168.1.33: 5627754.84.253.122: 80ESTABLISHED 1,55 KB 1,55 KB
rundll32.exe TCP192.168.1.33: 5628331.13.83.12: 80ESTABLISHED 13,4 KB 49,0 KB
rundll32.exe TCP192.168.1.33: 5628431.13.83.12: 80ESTABLISHED 8,71 KB 32,8 KB
rundll32.exe TCP192.168.1.33: 5629931.13.83.12: 80ESTABLISHED 3,95 KB 26,8 KB
rundll32.exe TCP192.168.1.33: 5630031.13.83.12: 80ESTABLISHED 5,33 KB 19,5 KB
rundll32.exe TCP192.168.1.33: 5630131.13.83.12: 80ESTABLISHED 5,05 KB 14,7 KB
rundll32.exe TCP192.168.1.33: 56302209.15.224.6: 80ESTABLISHED 2,45 KB 9,67 KB
rundll32.exe TCP192.168.1.33: 5630654.172.179.216: 80ESTABLISHED 4,43 KB 2,09 KB
rundll32.exe TCP192.168.1.33: 5630752.6.134.143: 80ESTABLISHED 6,93 KB 3,24 KB
rundll32.exe TCP192.168.1.33: 5632054.172.179.216: 80ESTABLISHED 7,10 KB 3,23 KB
rundll32.exe TCP192.168.1.33: 5643764.233.166.95: 443ESTABLISHED 314 KB 1,23 KB
rundll32.exe TCP192.168.1.33: 56441216.58.210.166: 443ESTABLISHED 3,56 KB 993 bytes
rundll32.exe TCP192.168.1.33: 56443216.58.210.166: 443ESTABLISHED 3,31 KB 1,03 KB
rundll32.exe TCP192.168.1.33: 56446104.83.174.108: 443ESTABLISHED 4,05 MB 821 bytes
rundll32.exe TCP192.168.1.33: 56451216.58.210.134: 443ESTABLISHED 3,06 KB 4,83 KB
rundll32.exe TCP192.168.1.33: 56452216.58.211.194: 443ESTABLISHED 1,28 KB 2,00 KB
rundll32.exe TCP192.168.1.33: 56453185.43.181.169: 80ESTABLISHED 618 bytes 1,12 KB
rundll32.exe TCP192.168.1.33: 56455216.58.210.162: 443ESTABLISHED 636 bytes 1,01 KB
rundll32.exe TCP192.168.1.33: 56456216.58.210.134: 443ESTABLISHED 3,65 KB 5,62 KB
rundll32.exe TCP192.168.1.33: 5646364.233.166.95: 443ESTABLISHED 705 bytes 1,28 KB
rundll32.exe TCP192.168.1.33: 56465216.58.210.130: 443ESTABLISHED 1,14 KB 901 bytes
rundll32.exe TCP192.168.1.33: 5646754.230.76.117: 80ESTABLISHED 37,2 KB 390 bytes
rundll32.exe TCP192.168.1.33: 5646862.67.193.45: 443ESTABLISHED 4,00 KB 1,59 KB
rundll32.exe TCP192.168.1.33: 56472185.43.181.169: 80ESTABLISHED 23,4 KB 3,28 KB
rundll32.exe TCP192.168.1.33: 5650652.20.65.247: 80ESTABLISHED 909 bytes 1,05 KB
rundll32.exe TCP192.168.1.33: 5651331.13.83.12: 80ESTABLISHED 4,61 KB 37,5 KB
rundll32.exe TCP192.168.1.33: 5651446.105.57.38: 80ESTABLISHED 136 KB 472 bytes
rundll32.exe TCP192.168.1.33: 5651654.172.179.216: 80ESTABLISHED 2,75 KB 1,13 KB
rundll32.exe TCP192.168.1.33: 56531104.83.49.13: 80ESTABLISHED 6,02 KB 0,98 KB
rundll32.exe TCP192.168.1.33: 5653352.17.166.71: 80ESTABLISHED 523 bytes 634 bytes
rundll32.exe TCP192.168.1.33: 56534104.16.26.235: 80ESTABLISHED 500 bytes 616 bytes
rundll32.exe TCP192.168.1.33: 56535107.23.47.12: 80ESTABLISHED 645 bytes 501 bytes
rundll32.exe TCP192.168.1.33: 56537149.174.67.72: 80ESTABLISHED 415 bytes 506 bytes
rundll32.exe TCP192.168.1.33: 56538149.174.67.72: 80ESTABLISHED 709 bytes 0,99 KB
rundll32.exe TCP192.168.1.33: 56539149.174.67.72: 443ESTABLISHED 598 bytes 742 bytes
rundll32.exe TCP192.168.1.33: 56540104.83.191.141: 80ESTABLISHED 3,32 KB 450 bytes
rundll32.exe TCP192.168.1.33: 56541104.83.191.141: 80ESTABLISHED 3,32 KB 450 bytes
rundll32.exe TCP192.168.1.33: 56542104.83.191.141: 80ESTABLISHED 95,8 KB 1,44 KB
rundll32.exe TCP192.168.1.33: 56548205.185.216.10: 80ESTABLISHED 12,9 KB 39,3 KB
rundll32.exe TCP192.168.1.33: 5655274.201.85.88: 80ESTABLISHED 5,15 KB 1,35 KB
rundll32.exe TCP192.168.1.33: 56562205.185.216.42: 80ESTABLISHED 408 KB 14,8 KB
rundll32.exe TCP192.168.1.33: 5657446.105.62.189: 80ESTABLISHED 1,52 KB 3,08 KB
rundll32.exe TCP192.168.1.33: 5657552.28.198.18: 80ESTABLISHED 991 bytes 1,52 KB
rundll32.exe TCP192.168.1.33: 5657731.13.83.12: 80ESTABLISHED 2,63 KB 17,5 KB
rundll32.exe TCP192.168.1.33: 5657831.13.83.12: 80ESTABLISHED 3,97 KB 14,6 KB
rundll32.exe TCP192.168.1.33: 56579209.15.224.6: 80ESTABLISHED 1,06 KB 3,14 KB
rundll32.exe TCP192.168.1.33: 5658052.28.198.18: 80ESTABLISHED 808 bytes 1,08 KB
rundll32.exe TCP192.168.1.33: 5666931.13.83.12: 80ESTABLISHED 22,0 KB 34,7 KB
rundll32.exe TCP192.168.1.33: 5667031.13.83.12: 80ESTABLISHED 12,5 KB 25,8 KB
rundll32.exe TCP192.168.1.33: 5667131.13.83.12: 80ESTABLISHED 2,33 KB 7,47 KB
rundll32.exe TCP192.168.1.33: 5668952.28.38.224: 80ESTABLISHED 3,90 KB 10,3 KB
rundll32.exe TCP192.168.1.33: 5669352.28.38.224: 80ESTABLISHED 2,30 KB 4,20 KB
rundll32.exe TCP192.168.1.33: 5669452.28.38.224: 80ESTABLISHED 3,46 KB 6,33 KB
rundll32.exe TCP192.168.1.33: 5670231.13.83.12: 80ESTABLISHED 1,19 KB 3,91 KB
rundll32.exe TCP192.168.1.33: 5670331.13.83.12: 80ESTABLISHED 1,16 KB 3,73 KB
rundll32.exe TCP192.168.1.33: 5670431.13.83.12: 80ESTABLISHED 8,52 KB 40,4 KB
rundll32.exe TCP192.168.1.33: 5670531.13.83.12: 80ESTABLISHED 1,16 KB 3,73 KB
rundll32.exe TCP192.168.1.33: 5670646.228.164.11: 80ESTABLISHED 761 bytes 1,93 KB
rundll32.exe TCP192.168.1.33: 56707209.197.3.64: 443ESTABLISHED 1,62 KB 3,92 KB
rundll32.exe TCP192.168.1.33: 5670854.172.179.216: 80ESTABLISHED 1,99 KB 959 bytes

Eleкtro · 14 Noviembre 2015, 15:06 PM

Bueno, no soy ni mucho menos experto en análisis de red, pero que con esa ausencia de información en el registro de actividad de red que has msotrado podría ser CUALQUIER cosa, desde un servicio de Windows, un servicio de los drivers de tu adaptador, o incluso un malware.

Te sugiero descargar la aplicación Process Monitor de SysInternals, y hacer un filtro para listar solamente la actividad del proceso rundll32.exe y las llamadas que hace rundll32.exe para averiguar que es el causante de esas conexiones.

https://technet.microsoft.com/en-us/sysinternals/processmonitor.aspx

EDITO:

Saludos

Flamer · 14 Noviembre 2015, 16:13 PM

hola y si finalizas el proceso, vuelve a salir?

saludos Flamer y es para tener una idea a que te enfrentas

dieki · 14 Noviembre 2015, 16:25 PM

si, asi es; ya lo finalice mediante el administrador de tareas o mediante la propia aplicación e incluso si lo bloque mediante el firewall al rato vuelve a dar guerra... de mometo lo bloquee por firewall de W y aun no ha vuelto.

dieki · 14 Noviembre 2015, 16:53 PM

se conecta cuando quiere a pesar de estar bloqueado mediante el firewll de W

Flamer · 14 Noviembre 2015, 17:30 PM

Descarga el TN Process Explorer:
https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

este te dirá que programa o dll esta asiendo que se ejecute el Rundll32

saludos flamer

dieki · 14 Noviembre 2015, 17:45 PM

parece que de momento he conseguido hacer que pare de subir cosas mediante reglas en el Firewall de Windows.

Echare un vistazo al programa.

dieki · 14 Noviembre 2015, 17:51 PM

esto es lo que he sacado

Código [Seleccionar]

Process	CPU	Private Bytes	Working Set	PID	Description	Company Name
System Idle Process	48.11	0 K	24 K	0		
System	0.12	308 K	9.524 K	4		
 Interrupts	0.42	0 K	0 K	n/a	Hardware Interrupts and DPCs	
 smss.exe		476 K	1.124 K	396		
csrss.exe	< 0.01	2.116 K	4.628 K	568		
 conhost.exe		1.044 K	2.908 K	2536		
wininit.exe		1.504 K	4.528 K	620		
 services.exe	0.01	6.040 K	11.176 K	676		
  svchost.exe		4.560 K	10.604 K	872	Proceso host para los servicios de Windows	Microsoft Corporation
   WmiPrvSE.exe		6.652 K	12.052 K	2836		
   unsecapp.exe		1.696 K	5.676 K	1380		
   dllhost.exe		2.360 K	10.240 K	3812		
    mmc.exe	< 0.01	71.708 K	44.908 K	5600		
  nvvsvc.exe		2.804 K	7.864 K	956	NVIDIA Driver Helper Service, Version 358.91	NVIDIA Corporation
   nvxdsync.exe		7.856 K	20.132 K	1320		
    nvtray.exe		4.436 K	11.420 K	2888	NVIDIA Settings	NVIDIA Corporation
     NvBackend.exe	< 0.01	17.556 K	23.028 K	2356	NVIDIA Backend	NVIDIA Corporation
   nvvsvc.exe	< 0.01	4.844 K	12.704 K	1344		
  nvSCPAPISvr.exe		2.664 K	6.024 K	980	Stereo Vision Control Panel API Server	NVIDIA Corporation
  svchost.exe	< 0.01	4.940 K	9.232 K	1016	Proceso host para los servicios de Windows	Microsoft Corporation
  svchost.exe		19.276 K	20.760 K	572	Proceso host para los servicios de Windows	Microsoft Corporation
   audiodg.exe		15.612 K	16.012 K	1516		
  svchost.exe	0.01	115.528 K	116.164 K	1028	Proceso host para los servicios de Windows	Microsoft Corporation
   WUDFHost.exe		2.116 K	6.388 K	3128		
   dwm.exe		2.284 K	6.764 K	3760	Administrador de ventanas del escritorio	Microsoft Corporation
  svchost.exe		18.684 K	33.976 K	1076	Proceso host para los servicios de Windows	Microsoft Corporation
   taskeng.exe		1.876 K	5.484 K	1780		
    rundll32.exe		916 K	2.408 K	1904		
     rundll32.exe	0.15	6.636 K	3.468 K	1924		
      rundll32.exe	< 0.01	69.900 K	29.404 K	3164	Proceso host de Windows (Rundll32)	Microsoft Corporation
    AVG-Secure-Search-Update_0214b.exe		1.704 K	2.980 K	3708		
  svchost.exe	< 0.01	13.004 K	22.672 K	1236	Proceso host para los servicios de Windows	Microsoft Corporation
  svchost.exe	< 0.01	15.680 K	18.832 K	1552	Proceso host para los servicios de Windows	Microsoft Corporation
  AvastSvc.exe	0.02	162.832 K	41.280 K	1648	avast! Service	AVAST Software
  spoolsv.exe		6.636 K	12.376 K	1744	Aplicación de subsistema de cola	Microsoft Corporation
  svchost.exe		20.112 K	22.148 K	1792	Proceso host para los servicios de Windows	Microsoft Corporation
  armsvc.exe		1.192 K	3.896 K	1952	Adobe Acrobat Update Service	Adobe Systems Incorporated
  svchost.exe	< 0.01	8.192 K	15.544 K	1272	Proceso host para los servicios de Windows	Microsoft Corporation
  GfExperienceService.exe		3.832 K	9.884 K	1492	NVIDIA GeForce ExperienceService	NVIDIA Corporation
  svchost.exe		1.964 K	6.832 K	1920	Proceso host para los servicios de Windows	Microsoft Corporation
  svchost.exe		1.340 K	3.772 K	2208	Proceso host para los servicios de Windows	Microsoft Corporation
  NvNetworkService.exe		5.240 K	9.384 K	2232	NVIDIA Network Service	NVIDIA Corporation
  NvStreamService.exe	0.02	3.180 K	9.292 K	2292	NVIDIA Streamer Service	NVIDIA Corporation
   NvStreamNetworkService.exe	0.06	4.684 K	11.464 K	2528		
   NvStreamUserAgent.exe	0.02	5.844 K	13.676 K	3464		
  svchost.exe		1.168 K	3.596 K	2416	Proceso host para los servicios de Windows	Microsoft Corporation
  PnkBstrA.exe	< 0.01	1.204 K	4.244 K	2440		
  RtlService.exe		2.304 K	4.424 K	2508	RtlService MFC Application	Realtek
  WLIDSVC.EXE		4.240 K	12.500 K	2604		
   WLIDSVCM.EXE		1.188 K	3.144 K	3252		
  svchost.exe	< 0.01	3.908 K	7.752 K	3008	Proceso host para los servicios de Windows	Microsoft Corporation
  SearchIndexer.exe	< 0.01	53.848 K	48.360 K	1444	Indizador de Microsoft Windows Search	Microsoft Corporation
   SearchProtocolHost.exe	< 0.01	2.388 K	8.172 K	2044		
   SearchFilterHost.exe		2.200 K	6.084 K	6020		
  svchost.exe		2.452 K	6.296 K	2156	Proceso host para los servicios de Windows	Microsoft Corporation
  taskhost.exe	< 0.01	13.752 K	16.320 K	3308	Proceso de host para tareas de Windows	Microsoft Corporation
  wmpnetwk.exe	< 0.01	10.012 K	11.936 K	2660	Servicio de uso compartido de red del Reproductor de Windows Media	Microsoft Corporation
  svchost.exe		5.668 K	11.716 K	2084	Proceso host para los servicios de Windows	Microsoft Corporation
  TrustedInstaller.exe		10.868 K	15.712 K	2820	Instalador de módulos de Windows	Microsoft Corporation
  svchost.exe		2.264 K	6.732 K	5984	Proceso host para los servicios de Windows	Microsoft Corporation
 lsass.exe	< 0.01	6.144 K	14.580 K	716	Local Security Authority Process	Microsoft Corporation
 lsm.exe		2.524 K	4.432 K	724		
csrss.exe	0.05	11.384 K	12.684 K	652		
 conhost.exe		1.016 K	2.928 K	3520		
winlogon.exe		2.864 K	7.512 K	780		
explorer.exe	0.07	85.168 K	81.516 K	3788	Explorador de Windows	Microsoft Corporation
 RAVCpl64.exe		8.112 K	10.564 K	4836	Realtek HD Audio Manager	Realtek Semiconductor
 networx.exe	0.11	30.344 K	45.584 K	4928	NetWorx Application (64-bit)	SoftPerfect
 MyComGames.exe	49.78	21.220 K	35.272 K	192	MY.COM GAME CENTER	MY.COM B.V.
 ts3client_win32.exe	0.21	27.644 K	42.872 K	2624		
 chrome.exe	0.03	66.188 K	94.312 K	5428	Google Chrome	Google Inc.
  chrome.exe		43.040 K	36.144 K	4240	Google Chrome	Google Inc.
  chrome.exe		83.900 K	87.276 K	4148	Google Chrome	Google Inc.
  chrome.exe		34.296 K	36.424 K	5572	Google Chrome	Google Inc.
  chrome.exe	0.10	68.192 K	85.540 K	5204	Google Chrome	Google Inc.
  WinRAR.exe	< 0.01	25.136 K	48.316 K	5440	WinRAR archiver	Alexander Roshal
   procexp.exe		2.220 K	7.344 K	3360	Sysinternals Process Explorer	Sysinternals - www.sysinternals.com
    procexp64.exe	0.29	21.220 K	41.816 K	2752	Sysinternals Process Explorer	Sysinternals - www.sysinternals.com
Cloud.exe	0.05	2.204 K	5.520 K	3160	Cloud	Gold Click Ltd
AvastUI.exe	0.02	45.080 K	29.112 K	3404		
CCleaner64.exe	0.01	8.140 K	3.224 K	4860		
taskmgr.exe	0.28	3.472 K	14.752 K	1108