User Käyttäjä Salasana  
   
maanantai 23.12.2024 / 03:54
Hae keskustelualueilta:        In English   Suomeksi   På svenska
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat > rundll32.exe löytyy useammasta paikasta
Näytä aiheet
 
Keskustelualueet
Keskustelualueet
rundll32.exe löytyy useammasta paikasta
  Siirry:
 
Kirjoittaja Viesti
kirgis
Suspended permanently
_
22. tammikuuta 2012 @ 17:37 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
rundll32.exe löytyy useammasta paikasta

http://www.neuber.com/taskmanager/process/rundll32.exe.html

http://www.ehow.com/facts_7601313_micro...s-rundll32.html

noiden sivustojen mukaan jos kys. tiedosto löytyy muualta niin se on jokin haittaohjelma.

Koneellani rundll32.exe löytyy seuraavista paikoista:

C:\Windows\winsxs\amd64_microsoft-windows-rundll32_31bf3856ad364e35_6.1.7600.16385_none_33fa4336c49b998b

C:\Windows\SysWOW64

C:\Windows\winsxs\x86_microsoft-windows-rundll32_31bf3856ad364e35_6.1.7600.16385_none_d7dba7b30c3e2855
Senior Member
_
22. tammikuuta 2012 @ 19:47 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Olikos tämä jokin tietoisku?
kirgis
Suspended permanently
_
22. tammikuuta 2012 @ 19:52 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Eli siis onko tämä nyt merkki siitä että tuo/nuo ovat jotain haittaohjelmia?
1pertti
AfterDawn Addict
_
22. tammikuuta 2012 @ 20:43 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti kirgis:
Eli siis onko tämä nyt merkki siitä että tuo/nuo ovat jotain haittaohjelmia?
Ei vaan se on merkki siitä, ettei pidä uskoa kaikkea, mitä internetissä lukee.
kirgis
Suspended permanently
_
22. tammikuuta 2012 @ 20:45 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Joka paikassa, jossa kerrotaan tuosta tiedostosta sanotaan että oikea sijaintipaikka on system32-kansiossa, ja jos se on muualla niin se on virus, vakoiluohjelma tai mato.

Ovatko ne kaikki huijausta?

Miten poistan nuo tiedostot? Koetin poistaa ne manuaalisesti hiiren oikealla muttei kuulemma ole lupaa.
rick79
Senior Member

1 tuotearvio
_
22. tammikuuta 2012 @ 22:34 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Et oo aatellu siirtyä käyttämään linuxia??? siihen kun on paaaaaaljon vähemmän tehty viruksia.. kato tällä menolla sä oot jossain suljetulla hetken päästä kun et nää mitään muuta kuin vakoilusoftia joka kulman takana.. toisaalta tekis mieli kehottaa että mee puhumaan jonkun kanssa tuosta, mutta toisaalta voi olla parempi että nickin takaa kirjottelet tuntemattomille.. elämän pikku paradokseja :D
kirgis
Suspended permanently
_
22. tammikuuta 2012 @ 22:41 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Voisitteko nyt sanoa, että onko nyt oikeasti aihetta epäillä että nuo tiedostot olisivat jotain haittaohjelmia ja että ovatko nuo sivustojen kertomat jutut siitä että jos löytyy muualta kuin system32 kansiosta -> virus-jutut totta
rick79
Senior Member

1 tuotearvio
_
22. tammikuuta 2012 @ 22:51 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti kirgis:
Voisitteko nyt sanoa, että onko nyt oikeasti aihetta epäillä että nuo tiedostot olisivat jotain haittaohjelmia ja että ovatko nuo sivustojen kertomat jutut siitä että jos löytyy muualta kuin system32 kansiosta -> virus-jutut totta
Ei voida kun sä et usko meitä kuitenkaan. jos me vastataan että on, niin kysyt miks, jos me vastataan että ei oo, niin kysyt miks. Joten viäräleuka savolaisena tuumaan sulle että suattaapi olla vuan suattaapi olla ettei ookkaan

ps:tähänkin kyssäriin on jo vastattu ylempänä, eli älä usko kaikkea mitä luet netistä. Kaikki mitä google löytää ei ole totta.
kirgis
Suspended permanently
_
22. tammikuuta 2012 @ 23:08 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Minua nyt kiinnostaisi jotain konkreettisia perusteluja saada tähän asiaan, että miksei ole syytä epäillä noita haittaohjelmiksi.

Tässä on nyt kaikkien nettisivustojen sana vs. teidän sana

Jos sanotte, että on syytä epäillä haittaohjelmaksi niin kertokaa nyt miten poistan nuo.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 22. tammikuuta 2012 @ 23:09

Senior Member

1 tuotearvio
_
22. tammikuuta 2012 @ 23:09 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus:
Kaikki mitä google löytää ei ole totta.
vain Aku Ankka on totta.sori OT :)

ja AP voi tutkiskella tätä
Senior Member
_
23. tammikuuta 2012 @ 11:08 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti kirgis:


Tässä on nyt kaikkien nettisivustojen sana vs. teidän sana

Ehdotus: Ala seuraamaan vain noita muita nettisivuja, ja unohda tämä.
kirgis
Suspended permanently
_
25. tammikuuta 2012 @ 00:50 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Olin pistänyt zonealarmin palomuurissa kohteelle C:\Windows\SysWOW64\rundll32.exe "outbound internet" ja "inbound" internet kohtiin "hyväksy" hetken ajaksi, ja pistin ne takaisin blokkiin hetken päästä koska se ei auttanut erääseen ongelmaan.

Kysymykseni on, että tarjosiko tuo nyt jonkun avoimen portin tai "takaoven" jota kautta joku olisi voinut ujuttaa koneelleni haittaohjelman? Olettaen, että tämän kriminaalin vakoiluohjelma olisi aiemmin ollut keräämässä tietoja koneestani ja modeemistani jne.

Sain koneeni juuri puhdistettua dariks boot and nukella, tein 2x pnrg-streamia jonka jälkeen quick erase jonka jälkeen vielä kerran yksi kierros pnrg-streamia ja sitten taas quick erase. Tuo varmaankin hävitti jo kaikki vakoiluohjelmat kiintolevyltä mutta mietityttää että jos tämä minun kikkailuni tuon rundll32.exen kanssa avasi mahdollisuuden sille kriminaalille saada ujutettua koneelleni vakoiluohjelma uudestaan.
AfterDawn Addict

8 tuotearviota
_
25. tammikuuta 2012 @ 11:55 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti kirgis:
Olin pistänyt zonealarmin palomuurissa kohteelle C:\Windows\SysWOW64\rundll32.exe "outbound internet" ja "inbound" internet kohtiin "hyväksy" hetken ajaksi, ja pistin ne takaisin blokkiin hetken päästä koska se ei auttanut erääseen ongelmaan.
Tuo on ihan normaali sijainti rundll32.exe -tiedostolle eikä ole mitään syytä sitä estää.
Lainaus, alkuperäisen viestin kirjoitti kirgis:
Kysymykseni on, että tarjosiko tuo nyt jonkun avoimen portin tai "takaoven" jota kautta joku olisi voinut ujuttaa koneelleni haittaohjelman?
Ovatko portit sitten auki internettiin asti? Eli olisit luonut reitittimeesi port forwarding -sääntöjä. Mistä syystä pidät niitä auki?

Voit tarkistaa avoimet portit esim.
https://www.grc.com/x/ne.dll?bh0bkyd2
Lainaus, alkuperäisen viestin kirjoitti kirgis:
Sain koneeni juuri puhdistettua dariks boot and nukella, tein 2x pnrg-streamia jonka jälkeen quick erase jonka jälkeen vielä kerran yksi kierros pnrg-streamia ja sitten taas quick erase. Tuo varmaankin hävitti jo kaikki vakoiluohjelmat kiintolevyltä
Tämä boot and nuke ei "poista" viruksia, se vain tyhjentää kiintolevyn niin, että tietojen palauttaminen on sieltä mahdollisimman vaikeaa tai mahdotonta. Se on tarkoitettu lähinnä siihen että, jos aiot hävittää tai myydä jonkin kiintolevysi etkä halua, että sieltä joku saisi otettua jotain talteen (esim. valokuvia/tms.). Mahdollisten haittaohjelmien kannalta yhtä tehokas tapa on vaikka quick format (pika-alustus) tai vaikka ihan käyttöjärjestelmän asennus ilman kiintolevyn alustamista.
kirgis
Suspended permanently
_
25. tammikuuta 2012 @ 17:15 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
No zonealarmin application controllistahan on kyse, joten kyllähän ne internettiin liittyät. Tarkistin antamallasi linkillä avoimet portit "all service ports"-testillä, ja tulos oli "pass".

Huomasin äsken, että mainitsemallani rundll32.exellä oli nyt nuo kaikki outbound ja inbound internet asetukset "hyväksy"-säädöllä ja silti tuon testin tulos oli "pass"

Tarkoittaako tämä että tuon ohjelman salliminen internettiin ei aiheuttanut avoimia portteja joiden kautta joku olisi voinut ujuttaa vakoiluohjelmia tietokoneelleni?

Tuost boot and nukesta, se tekee parempaa työtä kuin formatointi koska se dariks boot and nuke kirjoittaa niiden tietojen päälle uutta dataa ja täten varmemmin hankkiutuu eroon haittaohjelmista.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. tammikuuta 2012 @ 17:17

AfterDawn Addict

8 tuotearviota
_
25. tammikuuta 2012 @ 18:48 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti kirgis:
Tarkoittaako tämä että tuon ohjelman salliminen internettiin ei aiheuttanut avoimia portteja joiden kautta joku olisi voinut ujuttaa vakoiluohjelmia tietokoneelleni?
Tarkoittaa.
Lainaus, alkuperäisen viestin kirjoitti kirgis:
Tuost boot and nukesta, se tekee parempaa työtä kuin formatointi koska se dariks boot and nuke kirjoittaa niiden tietojen päälle uutta dataa ja täten varmemmin hankkiutuu eroon haittaohjelmista.
Tietokoneelle on ihan sama miltä se bitti näyttää siellä kiintolevyllä sen jälkeen kun ko. tieto on määritetty poistetuksi. Se ei sitä poistettua tietoa sieltä levyltä enää voi suorittaa.

Virukset ym. muut haitakkeet taas poistuvat automaattisesti kun asennat käyttöjärjestelmän uudestaan, vaikka ilman alustusta, koska ne suorittavat itsensä käynnistyksen yhteydessä tavalla tai toisella. Haittaohjelmat vaativat niiden suorittamisen jollain tapaa ainakin kerran, että ne pystyvät järjestelmän saastuttamaan. Uudestaan asennettu käyttöjärjestelmä ei niitä aja, koska sitä ei mikään näin käske tekemään.


EDIT:
Lainaus, alkuperäisen viestin kirjoitti kirgis:
No zonealarmin application controllistahan on kyse, joten kyllähän ne internettiin liittyät.
Zone Alarm, eikä mikään muukaan ohjelma voi tietää onko havaitun ohjelman käyttämä portti auki internettiin asti vai vain lähiverkkoon.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. tammikuuta 2012 @ 18:50

kirgis
Suspended permanently
_
25. tammikuuta 2012 @ 18:53 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
On mahdollista haittaohjelmille saastuttaa kone uudestaan formatoinnin jälkeen eikä formatointi edes pyyhi koko kiintolevyä vaan jättää jonkun tietyn välimuistin koskemattomaksi jonne ne voivat piiloutua.

Muutenkin, formatointi edellyttää että kys. levy ei ole se jolla käyttistä pyöritetään ja haittaohjelmat voivat saastuttaa sen toisen kiintolevyn. Niistä ei koskaan tiedä millaiseksi ne on suunniteltu joten dariks boot and nuke on luotettavin tapa päästä eroon haittaohjelmista.
kirgis
Suspended permanently
_
25. tammikuuta 2012 @ 18:57 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Eilen kun avasin streamin sivustolla teamliquid.net, tuli ilmoitus zonealarmilta että rundll32.exe (sieltä syswow64-kansiolta) haluaa avata yhteyden.

Onko normaalia että tuo tiedosto kysyy tuollaista tuollaisen toiminnon yhteydessä? Ei sitä ennen ole minulla ainakaan tapahtunut. Pistin että en hyväksy ja se ei estänyt streamauksen toimintaa joten se ei ainakaan mikään olennainen juttu ollut sen streamin toiminnan kannalta.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. tammikuuta 2012 @ 18:59

AfterDawn Addict

8 tuotearviota
_
25. tammikuuta 2012 @ 20:05 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti kirgis:
On mahdollista haittaohjelmille saastuttaa kone uudestaan formatoinnin jälkeen eikä formatointi edes pyyhi koko kiintolevyä vaan jättää jonkun tietyn välimuistin koskemattomaksi jonne ne voivat piiloutua.

Muutenkin, formatointi edellyttää että kys. levy ei ole se jolla käyttistä pyöritetään ja haittaohjelmat voivat saastuttaa sen toisen kiintolevyn. Niistä ei koskaan tiedä millaiseksi ne on suunniteltu joten dariks boot and nuke on luotettavin tapa päästä eroon haittaohjelmista.
Lainaus, alkuperäisen viestin kirjoitti rick79:
Et oo aatellu siirtyä käyttämään linuxia??? siihen kun on paaaaaaljon vähemmän tehty viruksia.. kato tällä menolla sä oot jossain suljetulla hetken päästä kun et nää mitään muuta kuin vakoilusoftia joka kulman takana.. toisaalta tekis mieli kehottaa että mee puhumaan jonkun kanssa tuosta, mutta toisaalta voi olla parempi että nickin takaa kirjottelet tuntemattomille.. elämän pikku paradokseja :D
Toinen vaihtoehto linuxille on Mac tai mainittu suljettu osasto. En suosittele jatkamaan Windowsin käyttämistä ennen lääkityksen tarkistamista.

Lainaus, alkuperäisen viestin kirjoitti kirgis:
Eilen kun avasin streamin sivustolla teamliquid.net, tuli ilmoitus zonealarmilta että rundll32.exe (sieltä syswow64-kansiolta) haluaa avata yhteyden.

Onko normaalia että tuo tiedosto kysyy tuollaista tuollaisen toiminnon yhteydessä? Ei sitä ennen ole minulla ainakaan tapahtunut. Pistin että en hyväksy ja se ei estänyt streamauksen toimintaa joten se ei ainakaan mikään olennainen juttu ollut sen streamin toiminnan kannalta.
Et ilmeisesti edes tiedä mikä se rundll32.exe on.

Lue vaikka:
http://www.groovypost.com/howto/groovyt...-is-it-running/
kirgis
Suspended permanently
_
25. tammikuuta 2012 @ 20:10 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Jos kerran on normaalia että rundll32.exe vaatii yhteyttä jos katson jotain streamia netistä, niin miksi tämä oli vasta ensimmäinen kerta kun tämä tapahtui? Ei tuo tiedosto ole ennen minulla vaatinut mitään tälläistä tuollaisen toiminnan yhteydessä.

Onko tämä merkki siitä, että joku kriminaali yritti käyttää tuota rundll32.exeä jonain takaovena päästäkseen koneelleni?

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. tammikuuta 2012 @ 20:11

Senior Member
_
25. tammikuuta 2012 @ 21:42 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti kirgis:

Onko tämä merkki siitä, että joku kriminaali yritti käyttää tuota rundll32.exeä jonain takaovena päästäkseen koneelleni?
ON! Nyt tarkkana! Verkkopiuha koneesta irti mahd.nopeasti, viikko, pari voi olla hyvä aika pitää piuhaa irti. Siinä välillä ajelet kaikki mahdolliset putsaussoftat vähintään kerran päivässä. Eiköhän ne vihulaiset siitä tokene.

Parin viikon päästä laita tänne viestiä miten kävi.
Mainos
_
__
 
_
Moderator

7 tuotearviota
_
25. tammikuuta 2012 @ 22:18 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Just, eiköhän tämä trolli ole nähty.

Viestiketju on suljettu. Uusien viestien lähettäminen ei ole mahdollista.
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat > rundll32.exe löytyy useammasta paikasta
 

Apua ongelmiin: AfterDawnin keskustelualueet | AfterDawnin Vastaukset
Uutiset: IT-alan uutiset | Uutisia puhelimista
Musiikkia: MP3Lizard.com
Tuotearviot: Laitevertailu | Vertaa puhelimia | Vertaa kännykkäliittymiä
Pelit: Pelitiedostot, pelidemot ja trailerit
Ohjelmat: download.fi | AfterDawnin ohjelma-alueet
International: AfterDawn in English | Software downloads | Free, legal MP3s | AfterDawn på svenska
RSS -syötteet: AfterDawnin uutiset | Uusimmat ohjelmapäivitykset | Keskustelualueiden viestit
Tietoja: Tietoa AfterDawn Oy:stä | Mainosta sivuillamme | Sivuston käyttöehdot ja tietoja yksityisyydensuojasta
Ota yhteyttä: Lähetä palautetta | Ota yhteyttä mainosmyyntiimme
 
  © 1999-2024 AfterDawn Oy