Rundll32.exe

Hola que tal amigos. Este es mi primero post en este foro.

Tengo un broncon desde hace mas de 20 dias.

No se porque motivo cada que cambia de hora en mi OS XP sp2 se me cargan muchos Rundll32.exe.

Les platico un poco de historia.

Dentro de la empresa donde trabajo, hay alrededor de 70 pcs, hace mas de 2 meses nos cayo el virus del Conficker, alrededor de un 95% de las pcs se infectaron, buen un show desinfectarlas, bajamos tantas utilerias para quitarlos y hasta que dimos y lo quitamos de las pcs.

Para quitarlo usamos varios, entre ellas:
1.- EConfickerRemover
2.- windows-kb890830-v2.10
3.- McAfee Conficker Detection Tool
5.- y uno de symantec que no recuerdo el nombre.
6.- Despues instalamos la actualizacion WindowsXP-KB958644-x86-ENU
7.- Nod32
8.- Avira

En fin, parace que lo quitamos.

Ahora de ves en cuendo nuestro antivirus NOD32 no manda mensajes constantemente de que se ha tratado de introducir el conficker y lo manda a cuarentena, solo le damos al boton de aceptar y listo.

Eh leido tanto sobre ese virus como no tienen idea, eh chekado registros de windows, etc etc etc para encontralo.

En fin, lo que mas me preocupa es que cada puta hora se me genera un proceso de Rundll32.exe, si, yase que es ese proceso y tambien se lo que hace, carga librerias de windows bla bla bla, pero porque carajos cada hora se me carga muchos procesos a la ves, eh llegado a tener como 80 procesos cargados.

NOTA.- Cada ves que pasa una hora,aparte de cargar el rundll32, se oye el wav de windows de el de critical stop.wav.

Eh usado el Regmon, filemon HijackThis para ver desde donde viene el pedo, pero han de creer que no eh logrado nada, les dejo el log del Hijackthis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = edm.local
O17 - HKLM\Software\..\Telephony: DomainName = edm.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6970DDFF-1428-4D96-9D74-12AC8927EA1A}: NameServer = 10.0.3.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = edm.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = edm.local
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe

Si ven algo extraño, diganme.

tambien les dejo un screenshot del FILEMON Y SU LOG para que vean que es lo que pasa en cuanto cambia la hora.
Les dejo el FTP para que lo bajen:
f t p ://estrelladelmar.org.mx/
usuario: ponchin
passw : estafa

senores, quien me ayude les picho unos tacos aca en mazatlan sinaloa mexico jeje


NOTA IMPORTANTE: Eh leí en un foro gringo donde decia que una de las variantes del Conficker se inyectaba dentro de unos de los servicios de windows y que asi era mucho mas dificil de buscar el problema, como les digo, eh bajando tantas utilerias para el conficker y todas me dicen que mi PC ya esta limpia, pero el problema es que cada hora se me genera uno o mas procesos repetidos del Rundll32.exe

Saludos.

...Mira amigo. haz lo siguiente

Descarga el Malwarebytes y has un examen COMPLETO y borra todas las emenazas, despues de reinciar pega el log de MALWAREBYTES para analizarlo
lo tienes en
C:\Documents and Settings\Tu Usuario\Datos de programa\Malwarebytes\Malwarebytes Anti-Malware\Logs.




Utiliza el hijackthis de nuevo, pero pega el log completo

No deberias tener tantos SVHOST corriendo! Me parece que a simple vista estas todavia infectado. Ademas el proceso IEXPLORER es sospechoso cuando ya hay un EXPLORER corriendo. Tenias el Explorer abierto cuando hiciste el HJT?

Haber no hay que confundir el proceso EXPLORER.EXE con IEXPLORER.EXE que corresponde a Internet Explorer.

Zacrater, existe un virus que se llama IEXPLORE y corre incluso que no hay explorador abierto. A eso me refiero.

Si lo sé pero no veo nada sospechoso en el Log de Hijacthis
El proceso Explorer.exe es legítimo C:\WINDOWS\Explorer.EXE
finalizalo y veras que la barra de tareas desaparece
El proceso Iexplorer.exe pertenece a IE. C:\Program Files\Internet Explorer\IEXPLORE.EXE

PD. cuando ejecutes hijackthis aslo pero con TODOS los programas cerrados


ACTUALIZACION

Ups, no ví el otro log de hijackthis en tu FTP. xD
Pero aun no me convence que sea un virus. Puede ser que tenias varias ventanas o pestañas del IE abiertas, y por eso lo toma como 2 procesos
ademas ambos provienen de C:\Programs Files

MDNETO seria bueno que aparezcas y nos digas porque asi no podemos ayudarte.

Que tal caballeros, pues dejenme decirles que corri varias de las aplicaciones que trae el Hirenboot CD y creo que ya esta bien mi pc, al parecer creo que era un registro dañado, aunque no estoy totalmente seguro debido a que fueron tantas cosas que hice.

Como les comentaba anteriormente, hay como tres pcs mas en donde trabajo y tienen el mismo problema, voy hacer lo que me dicen y les pego el log.

saludos...

MMmmmm, crei que ya staba solucionado, pero no es asi. ahorita las 10 am volvio a ejecutarse dicho proceso acompañado de su critical stop.wav de windows.
ahorita les posteo los resultados

Yo monté una red como laboratorio para, precisamente, ver como eliminar este virus de la forma más facil y rápida posible. Luego me sirvió un mes más tarde para la vida real en una tred de una empresa. Te cuento.

Esto pasa por no tener, de ser realmente conficker, aplicado un determinado parche (WindowsXP-KB958644-x86-ESN)

Al lio.

- De momento desconecta todos los equipos de la red y, pos supuesto los servidores.
- Con un Pen USB vas a ir máquina por máquina con la utilidad de SATINFO llamada ELITRIIP:
http://www.zonavirus.com/datos/desca...3/elitriip.asp que previamente habrás grabado junto al parche que te proteje contra este gusano: WindowsXP-KB958644-x86-ESN.exe para el caso de un Win XP.
Esta utilidad detectecta Conficker y elimina un servicio, pero no un archivo que lo harás "a mano". De esto se te informará en un archivo en c:\InfoSat.txt que tiene una pinta parecida a esta:

- Reinicias, como te dice, el sistema y automáticamente te realizará una exploración. cuando termine borras la dll que te indica.

- Desde el Pen instalas el parche correspondiente al sistema operativo infectado, reinicias y repites el procedimiento con todas las máquinas de la red. siempre desconectadas.

- Cuando esté todas, con un antivirus al dia, las vas conectado una a una. Y vuelves a pasar un antivirus.

Con este procedimento, eliminé el virus y no volvió a reproducirse

De todas formas creo que tienes algo más que el conficker y tendrás, si no quieres formatear, que auditar bien los procesos. Auditar bien los procesos, no vale decir que Explorer es un procesos legítimo porque puede NO serlo, puede tener subprocesos ocultos.

Para ver estos subprocesos ocultos usando una herramienta como Process Explorer (Hay muchas otras qiue lo hacen también):

Ejecutas Process Explorer y en el menu View activar Lower Pane Wiew > Handles, ahí verás mas información que te guiará para ver procesos algo más ocultos, claves involucradas, etc. Una vez detectado un proceso malicioso, desde Process Explorer puedes matarlo, descubrir donde se encuentra., DLLs, clave de registro para borrar, etc. Con Hijackthis también puedes hacerlo pero tendrás que profundizar más y estudiar sus informes para no depender de terceros que, en muchos casos, no tienen ni idea de lo que dicen y te van a confundir aún más.

Puedes usar también msconfig para ver que procesos se arrancan con el sistema. Es facil detectar procesos con nombres raros o con combres formados por números.

Antes que nada, gracias por su colaboracion.

Hola que tal, les dejo el LOG del programa Malwarebytes, al parecer todo esta limpio.

Malwarebytes' Anti-Malware 1.36
Versión de la Base de Datos: 2147
Windows 5.1.2600 Service Pack 3

2009-05-18 10:56:34
mbam-log-2009-05-18 (10-56-34).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 204488
Tiempo transcurrido: 47 minute(s), 43 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)




Tambien les dejo otra ves el LOG de hijackthis completo

Logfile of HijackThis v1.99.1
Scan saved at 10:03, on 2009-05-18
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21020)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = edm.local
O17 - HKLM\Software\..\Telephony: DomainName = edm.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6970DDFF-1428-4D96-9D74-12AC8927EA1A}: NameServer = 10.0.3.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = edm.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe


Tambien les dejo el LOG del ElitriiP


(18-5-2009 16:56:23)
EliTriIP v5.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminado Servicio, "SCardSvr"

(18-5-2009 17:01:34)
EliTriIP v5.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 8869
Nº Total de Ficheros: 71410
Nº de Ficheros Analizados: 21694
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0



Nota.- Ya habia hecho lo que Alfon comenta, de hecho todas las PC's ya tiene el parche KB958644 tanto para las pcs con windows xp como su respectivo parche para los servidores con windows 2003 x32 y 64 bits correspondientes.

Yo creo que esto ya no es un spy o algun virusillo, creo que es algo de windows que la esta haciendo de pedo, usstedes como ven? que otra idea me pueden dar?

Eh pensado en volver a formatiar e instalarle todas las actualizaciones ya con el sp3, pero creo que eso haria en el ultimo de los casos, no kiero irme derrotado, kiero encontrar cual es la falla.


saludos...

Antes que nada, gracias por su colaboracion.

Hola que tal, les dejo el LOG del programa Malwarebytes, al parecer todo esta limpio.

Malwarebytes' Anti-Malware 1.36
Versión de la Base de Datos: 2147
Windows 5.1.2600 Service Pack 3

2009-05-18 10:56:34
mbam-log-2009-05-18 (10-56-34).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 204488
Tiempo transcurrido: 47 minute(s), 43 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)




Tambien les dejo otra ves el LOG de hijackthis completo

Logfile of HijackThis v1.99.1
Scan saved at 10:03, on 2009-05-18
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21020)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = edm.local
O17 - HKLM\Software\..\Telephony: DomainName = edm.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6970DDFF-1428-4D96-9D74-12AC8927EA1A}: NameServer = 10.0.3.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = edm.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe


Tambien les dejo el LOG del ElitriiP


(18-5-2009 16:56:23)
EliTriIP v5.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminado Servicio, "SCardSvr"

(18-5-2009 17:01:34)
EliTriIP v5.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 8869
Nº Total de Ficheros: 71410
Nº de Ficheros Analizados: 21694
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0



Nota.- Ya habia hecho lo que Alfon comenta, de hecho todas las PC's ya tiene el parche KB958644 tanto para las pcs con windows xp como su respectivo parche para los servidores con windows 2003 x32 y 64 bits correspondientes.

Yo creo que esto ya no es un spy o algun virusillo, creo que es algo de windows que la esta haciendo de pedo, usstedes como ven? que otra idea me pueden dar?

Eh pensado en volver a formatiar e instalarle todas las actualizaciones ya con el sp3, pero creo que eso haria en el ultimo de los casos, no kiero irme derrotado, kiero encontrar cual es la falla.


saludos...

Señores, les dejo un Video en mi FTP para que vean en vivo y directo lo que me esta pasando con el mugre proceso.
el archi esta comprimido, pesa alrededor de 3m.

Chequen muy bien en cuanto cambia la hora.

saludos...


Les dejo el FTP para que lo bajen:
f t p ://estrelladelmar.org.mx/
usuario: ponchin
passw : estafa

Amigo, tu log de hijacthis esta limpio.
De hecho esta entrada le puedes dar fix checked, pero no es nada malo
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

Vamos a ver, el hecho de tener un log hijackthis limpio no neceariamente significa que no exista un proceso malicioso. Hay que revisar también los Handles. Hay que profundizar más. Hay rutas de ejecución de malware que no son detectadas ni por hijackthis ni por msconfig. Hay malwares que se ejecutan cuando son ejecutados otros procesos del sistemas nada sospechosos bajo punteros handles.

Entonces que ondas?

Aquí te lo cuento. Pensé, por tus respuestas, que ya lo habías leido y actuado en consecuencia.

Hasta en las claves de RECYCLER puedes tener procesos. Incluso con programas del tipo wireshark podrás detectar procesos que se comunican con hosts remotos.

Lo que a estas alturas está claro es que tienes un proceso que te está dando los problemas origen de tu duda. Usa también Process monitor para ver la actividad de los procesos. Hay que profundizar más. Luego cuando lo tengas claro podrás poner barreras para que no te pase más.

Que onda Alfon, te dejo un screenshot en la FTP del Procces Explorer para que le heches un vistaso, ve el textbox de command line, ese se me hace muy extraño.
La imagen te la deje en el FTP.

saludos y gracias...

mdneto, posicionandpote en rundll32, te vas al Menu View y activas Lower Pane Wiew > Handles. Se dividirá la pantalla en dos, la zona de abajo es la que nos interesa que captures.. entera.

Respecto a la captura de pantalla. En la ventana de información que abres, hay una pestaña (TCP/IP). Cunsulta ahí, porque si algún proceso Rundll32 usa TCP/IP (que por defecto no lo usa nunca, no usa internet), entonces no es un Rundll32 válido.

Necesito también los handles de Explorer, que en la captura no lo tienes desplegado.

Alfon, te dejo los screenshot del rundll32 genuino y el del falso, ve las diferencias y dime que opinas, si te fijas el genuino se carga en diferente lado y tiene diferente linia de comandos.

saludosy gracias...

Ya casi me voy a casa, lo miro después más tranquilo. Mira a ver si tiene una forma de reportar todo eso en forma de log o parecido.

Lo que está claro es que se trata de un Rundll32 oculto por el proceso svchots y puede que sea el problema. Bastante oculto además. Luego lo miro y te digo.

Edito: Haz lo mismo con el proceso padre", es decir, con el svchosts que tienes arriba del rundll32.

entonvces?

Disculpa la tardanza.

A lo que íbamos:

Alfon, que tal, te dejo la imagen y un txt de lo que me pides, eh estado leyendo de otros casos parecidos, pero en ninguno de esos casos es el problema esta dentro o inyectado dentro de un servicios de windows, por lo que esto lo hace mas dificil, ahora en donde trabajo, me estoy dando cuenta que ya hay mas pcs con el mismo problema, lo curioso es que a mi cada hora se me genera 1 o dos processos, , en algunas pcs se genera como hasta 30 procesos cada hora

[QUOTE=Alfon;2918128]
tu dices que esto es un mal parche?

WindowsXP-KB958644-x86-ESN.exe
no lo sabia yo, y esto viene en las actualisaciones de XP?

No es un mal parche, es un parche de seguridad.

Saludos...

¿Alguna idea de quitar este problema?

Hola

Rundll32.exe es un ejecutable de Windows que permite ejecutar librerías dinámicas de Windows DLL. Esta puede llegar a ser un virus en 2 casos:
1 - El rundll32.exe no está en windows\system32 (o el archivo fue reemplazado, cosa que dudo porque no recuerdo haber visto un caso similar)
2 - El virus en realidad no es el rundll32.exe en sí, si no la librería que está ejecutando.

Según el log del HijackThis, en verdad no me da para sospechar a menos que tengas algún síntoma de infección, aunque puedes chequear que librería está ejecutando esos procesos viendo los parámetros pasados al rundll32. Para eso puedes abrir Process Explorer, y en las propiedades del proceso fijarte la línea de comandos o "Command Line", y googlear la librería o postearla por acá.


Salu2

Hola

Rundll32.exe es un ejecutable de Windows que permite ejecutar librerías dinámicas de Windows DLL. Esta puede llegar a ser un virus en 2 casos:
1 - El rundll32.exe no está en windows\system32 (o el archivo fue reemplazado, cosa que dudo porque no recuerdo haber visto un caso similar)
2 - El virus en realidad no es el rundll32.exe en sí, si no la librería que está ejecutando.

Según el log del HijackThis, en verdad no me da para sospechar a menos que tengas algún síntoma de infección, aunque puedes chequear que librería está ejecutando esos procesos viendo los parámetros pasados al rundll32. Para eso puedes abrir Process Explorer, y en las propiedades del proceso fijarte la línea de comandos o "Command Line", y googlear la librería o postearla por acá.


Salu2

Si, estoy deacuerdo contigo, chekate en el FTP que tengo y mira las imagenes y ve el command line y veras la diferencia entre un rundll32 original y el falso.

Les dejo el FTP para que lo bajen:
f t p ://estrelladelmar.org.mx/
usuario: ponchin
passw : estafa

PD.- Ya me resigne a vivir con este problema, me da una flojera formatiar, pero no me kiero rendir aun, asi que si tienen alguna idea, diganmela.
De pasado les dejo un link del juego del brutos, si se registran me dan puntitos a mi, saludos y gracias..
h ttp://volkmzt.elbruto.es

Sube a VirusTotal.com el archivo shihkt.tj y pega un reporte del Silent Runners por aqui.


Salu2