1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

rundll32.exe löytyy useammasta paikasta

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi kirgis 22.01.2012.

Viestiketjun tila:
Viestiketju on suljettu.
  1. kirgis

    kirgis Guest

    rundll32.exe löytyy useammasta paikasta

    http://www.neuber.com/taskmanager/process/rundll32.exe.html

    http://www.ehow.com/facts_7601313_microsoft-windows-host-process-rundll32.html

    noiden sivustojen mukaan jos kys. tiedosto löytyy muualta niin se on jokin haittaohjelma.

    Koneellani rundll32.exe löytyy seuraavista paikoista:

    C:\Windows\winsxs\amd64_microsoft-windows-rundll32_31bf3856ad364e35_6.1.7600.16385_none_33fa4336c49b998b

    C:\Windows\SysWOW64

    C:\Windows\winsxs\x86_microsoft-windows-rundll32_31bf3856ad364e35_6.1.7600.16385_none_d7dba7b30c3e2855
     
  2.  
  3. pentsu

    pentsu Active member

    Liittynyt:
    07.03.2008
    Viestejä:
    1,388
    Kiitokset:
    24
    Pisteet:
    68
    Olikos tämä jokin tietoisku?
     
  4. kirgis

    kirgis Guest

    Eli siis onko tämä nyt merkki siitä että tuo/nuo ovat jotain haittaohjelmia?
     
  5. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,192
    Kiitokset:
    1,227
    Pisteet:
    243
    Ei vaan se on merkki siitä, ettei pidä uskoa kaikkea, mitä internetissä lukee.
     
  6. kirgis

    kirgis Guest

    Joka paikassa, jossa kerrotaan tuosta tiedostosta sanotaan että oikea sijaintipaikka on system32-kansiossa, ja jos se on muualla niin se on virus, vakoiluohjelma tai mato.

    Ovatko ne kaikki huijausta?

    Miten poistan nuo tiedostot? Koetin poistaa ne manuaalisesti hiiren oikealla muttei kuulemma ole lupaa.
     
  7. rick79

    rick79 Senior member

    Liittynyt:
    15.02.2009
    Viestejä:
    5,125
    Kiitokset:
    547
    Pisteet:
    193
    Et oo aatellu siirtyä käyttämään linuxia??? siihen kun on paaaaaaljon vähemmän tehty viruksia.. kato tällä menolla sä oot jossain suljetulla hetken päästä kun et nää mitään muuta kuin vakoilusoftia joka kulman takana.. toisaalta tekis mieli kehottaa että mee puhumaan jonkun kanssa tuosta, mutta toisaalta voi olla parempi että nickin takaa kirjottelet tuntemattomille.. elämän pikku paradokseja :D
     
  8. kirgis

    kirgis Guest

    Voisitteko nyt sanoa, että onko nyt oikeasti aihetta epäillä että nuo tiedostot olisivat jotain haittaohjelmia ja että ovatko nuo sivustojen kertomat jutut siitä että jos löytyy muualta kuin system32 kansiosta -> virus-jutut totta
     
  9. rick79

    rick79 Senior member

    Liittynyt:
    15.02.2009
    Viestejä:
    5,125
    Kiitokset:
    547
    Pisteet:
    193
    Ei voida kun sä et usko meitä kuitenkaan. jos me vastataan että on, niin kysyt miks, jos me vastataan että ei oo, niin kysyt miks. Joten viäräleuka savolaisena tuumaan sulle että suattaapi olla vuan suattaapi olla ettei ookkaan

    ps:tähänkin kyssäriin on jo vastattu ylempänä, eli älä usko kaikkea mitä luet netistä. Kaikki mitä google löytää ei ole totta.
     
  10. kirgis

    kirgis Guest

    Minua nyt kiinnostaisi jotain konkreettisia perusteluja saada tähän asiaan, että miksei ole syytä epäillä noita haittaohjelmiksi.

    Tässä on nyt kaikkien nettisivustojen sana vs. teidän sana

    Jos sanotte, että on syytä epäillä haittaohjelmaksi niin kertokaa nyt miten poistan nuo.
     
    Moderaattorin viimeksi muokkaama: 22.01.2012
  11. Make_72

    Make_72 Regular member

    Liittynyt:
    29.07.2007
    Viestejä:
    1,666
    Kiitokset:
    4
    Pisteet:
    48
    vain Aku Ankka on totta.sori OT :)

    ja AP voi tutkiskella tätä
     
  12. pentsu

    pentsu Active member

    Liittynyt:
    07.03.2008
    Viestejä:
    1,388
    Kiitokset:
    24
    Pisteet:
    68
    Ehdotus: Ala seuraamaan vain noita muita nettisivuja, ja unohda tämä.
     
  13. kirgis

    kirgis Guest

    Olin pistänyt zonealarmin palomuurissa kohteelle C:\Windows\SysWOW64\rundll32.exe "outbound internet" ja "inbound" internet kohtiin "hyväksy" hetken ajaksi, ja pistin ne takaisin blokkiin hetken päästä koska se ei auttanut erääseen ongelmaan.

    Kysymykseni on, että tarjosiko tuo nyt jonkun avoimen portin tai "takaoven" jota kautta joku olisi voinut ujuttaa koneelleni haittaohjelman? Olettaen, että tämän kriminaalin vakoiluohjelma olisi aiemmin ollut keräämässä tietoja koneestani ja modeemistani jne.

    Sain koneeni juuri puhdistettua dariks boot and nukella, tein 2x pnrg-streamia jonka jälkeen quick erase jonka jälkeen vielä kerran yksi kierros pnrg-streamia ja sitten taas quick erase. Tuo varmaankin hävitti jo kaikki vakoiluohjelmat kiintolevyltä mutta mietityttää että jos tämä minun kikkailuni tuon rundll32.exen kanssa avasi mahdollisuuden sille kriminaalille saada ujutettua koneelleni vakoiluohjelma uudestaan.
     
  14. xbkrypt0n

    xbkrypt0n Active member

    Liittynyt:
    16.06.2010
    Viestejä:
    3,154
    Kiitokset:
    120
    Pisteet:
    73
    Tuo on ihan normaali sijainti rundll32.exe -tiedostolle eikä ole mitään syytä sitä estää.
    Ovatko portit sitten auki internettiin asti? Eli olisit luonut reitittimeesi port forwarding -sääntöjä. Mistä syystä pidät niitä auki?

    Voit tarkistaa avoimet portit esim.
    https://www.grc.com/x/ne.dll?bh0bkyd2
    Tämä boot and nuke ei "poista" viruksia, se vain tyhjentää kiintolevyn niin, että tietojen palauttaminen on sieltä mahdollisimman vaikeaa tai mahdotonta. Se on tarkoitettu lähinnä siihen että, jos aiot hävittää tai myydä jonkin kiintolevysi etkä halua, että sieltä joku saisi otettua jotain talteen (esim. valokuvia/tms.). Mahdollisten haittaohjelmien kannalta yhtä tehokas tapa on vaikka quick format (pika-alustus) tai vaikka ihan käyttöjärjestelmän asennus ilman kiintolevyn alustamista.
     
  15. kirgis

    kirgis Guest

    No zonealarmin application controllistahan on kyse, joten kyllähän ne internettiin liittyät. Tarkistin antamallasi linkillä avoimet portit "all service ports"-testillä, ja tulos oli "pass".

    Huomasin äsken, että mainitsemallani rundll32.exellä oli nyt nuo kaikki outbound ja inbound internet asetukset "hyväksy"-säädöllä ja silti tuon testin tulos oli "pass"

    Tarkoittaako tämä että tuon ohjelman salliminen internettiin ei aiheuttanut avoimia portteja joiden kautta joku olisi voinut ujuttaa vakoiluohjelmia tietokoneelleni?

    Tuost boot and nukesta, se tekee parempaa työtä kuin formatointi koska se dariks boot and nuke kirjoittaa niiden tietojen päälle uutta dataa ja täten varmemmin hankkiutuu eroon haittaohjelmista.
     
    Moderaattorin viimeksi muokkaama: 25.01.2012
  16. xbkrypt0n

    xbkrypt0n Active member

    Liittynyt:
    16.06.2010
    Viestejä:
    3,154
    Kiitokset:
    120
    Pisteet:
    73
    Tarkoittaa.
    Tietokoneelle on ihan sama miltä se bitti näyttää siellä kiintolevyllä sen jälkeen kun ko. tieto on määritetty poistetuksi. Se ei sitä poistettua tietoa sieltä levyltä enää voi suorittaa.

    Virukset ym. muut haitakkeet taas poistuvat automaattisesti kun asennat käyttöjärjestelmän uudestaan, vaikka ilman alustusta, koska ne suorittavat itsensä käynnistyksen yhteydessä tavalla tai toisella. Haittaohjelmat vaativat niiden suorittamisen jollain tapaa ainakin kerran, että ne pystyvät järjestelmän saastuttamaan. Uudestaan asennettu käyttöjärjestelmä ei niitä aja, koska sitä ei mikään näin käske tekemään.


    EDIT:
    Zone Alarm, eikä mikään muukaan ohjelma voi tietää onko havaitun ohjelman käyttämä portti auki internettiin asti vai vain lähiverkkoon.
     
    Viimeksi muokattu: 25.01.2012
  17. kirgis

    kirgis Guest

    On mahdollista haittaohjelmille saastuttaa kone uudestaan formatoinnin jälkeen eikä formatointi edes pyyhi koko kiintolevyä vaan jättää jonkun tietyn välimuistin koskemattomaksi jonne ne voivat piiloutua.

    Muutenkin, formatointi edellyttää että kys. levy ei ole se jolla käyttistä pyöritetään ja haittaohjelmat voivat saastuttaa sen toisen kiintolevyn. Niistä ei koskaan tiedä millaiseksi ne on suunniteltu joten dariks boot and nuke on luotettavin tapa päästä eroon haittaohjelmista.
     
  18. kirgis

    kirgis Guest

    Eilen kun avasin streamin sivustolla teamliquid.net, tuli ilmoitus zonealarmilta että rundll32.exe (sieltä syswow64-kansiolta) haluaa avata yhteyden.

    Onko normaalia että tuo tiedosto kysyy tuollaista tuollaisen toiminnon yhteydessä? Ei sitä ennen ole minulla ainakaan tapahtunut. Pistin että en hyväksy ja se ei estänyt streamauksen toimintaa joten se ei ainakaan mikään olennainen juttu ollut sen streamin toiminnan kannalta.
     
    Moderaattorin viimeksi muokkaama: 25.01.2012
  19. xbkrypt0n

    xbkrypt0n Active member

    Liittynyt:
    16.06.2010
    Viestejä:
    3,154
    Kiitokset:
    120
    Pisteet:
    73
    Toinen vaihtoehto linuxille on Mac tai mainittu suljettu osasto. En suosittele jatkamaan Windowsin käyttämistä ennen lääkityksen tarkistamista.

    Et ilmeisesti edes tiedä mikä se rundll32.exe on.

    Lue vaikka:
    http://www.groovypost.com/howto/groovytip/what-is-rundll32-exe-and-why-is-it-running/
     
  20. kirgis

    kirgis Guest

    Jos kerran on normaalia että rundll32.exe vaatii yhteyttä jos katson jotain streamia netistä, niin miksi tämä oli vasta ensimmäinen kerta kun tämä tapahtui? Ei tuo tiedosto ole ennen minulla vaatinut mitään tälläistä tuollaisen toiminnan yhteydessä.

    Onko tämä merkki siitä, että joku kriminaali yritti käyttää tuota rundll32.exeä jonain takaovena päästäkseen koneelleni?
     
    Moderaattorin viimeksi muokkaama: 25.01.2012
  21. pentsu

    pentsu Active member

    Liittynyt:
    07.03.2008
    Viestejä:
    1,388
    Kiitokset:
    24
    Pisteet:
    68
    ON! Nyt tarkkana! Verkkopiuha koneesta irti mahd.nopeasti, viikko, pari voi olla hyvä aika pitää piuhaa irti. Siinä välillä ajelet kaikki mahdolliset putsaussoftat vähintään kerran päivässä. Eiköhän ne vihulaiset siitä tokene.

    Parin viikon päästä laita tänne viestiä miten kävi.
     
Viestiketjun tila:
Viestiketju on suljettu.

Jaa tämä sivu