SECURITY Публикувано Декември 31, 2011 Report Share Публикувано Декември 31, 2011 Здравейте.Нуждая се от съвет относно взимане на решение дали да разреша или забраня стартирането на процес: "Windows host process (Rundll32)" . Опитът за стартирането е засечен от Spyware Terminator 2012. Прилагам снимка: http://www.picvalley...6Fc8OHuJxId.BMP Ползвам от скоро Terminator-a и не съм много на ти с програми от типа HIPS. Досега програмата ме е питала все за процеси, инициирани при инсталация от моя страна на програми/игри. Този процес (Rundll32) обаче ми е не познат. Опитах се да намеря информация за него в интернет. Но съм с много лош английски и единственото, което подразбрах е, че може да е чист процес, но може да се използва и от зловредни "програмки".Сканирах компютъра за всеки случай с: Malwarebytes Anti-Malware, SUPERAntiSpyware Free Edition, Spyware Terminator 2012 и Mircosoft Security Essential. Те не откриха нищо. Сега ще сканирам и с COMODO Antivirus и Panda Cloud Antivirus. Ако има значение: с Windows 7 Ultimate съм. Забелязах, че Internet Explorer 9 ми бъгна по едно време. При стартиране отказа да зареди какъвто и да е адрес (линк/интернет страница). Оправи се след рестарт на компютъра. Споменавам го за всеки случай. Може и да не е свързано с (Rundll32) но пък до сега не ми е бъгвал никога по-този начин. Ползвам и Mozilla Firefox но тя си работи без проблем. Предварително Благодаря за всяка помощ. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Декември 31, 2011 Report Share Публикувано Декември 31, 2011 Rundll32 е напълно легитимен системен процес. Той има за цел да стартира дадени функции от библиотеки (DLL), които иначе не могат да се изпълнят директно. Напълно нормално е да е стартиран, както и повече от един процес.Не знам точно какъв софтуер на Comodo имаш, но не е добра идея да комбинираш D+ модула (на Comodo) със Spyware Terminator. И двете са HIPS функции и е лоша идея да са активни едновременно. Избери само една от тях. Цитирай Link to comment Сподели другаде More sharing options...
semkajiqta Публикувано Февруари 5, 2012 Report Share Публикувано Февруари 5, 2012 И аз имах рундлл32 и много сев боях да не е вирус, но имам процеси taskhost и servicehost(srvhost). Tа те безопасни ли са? Цитирай Link to comment Сподели другаде More sharing options...
Aquarius Публикувано Февруари 5, 2012 Report Share Публикувано Февруари 5, 2012 Да. И двата процеса са част от Windows като втория т.е. svchost-а има няколко инстанции, всяка от които хоства Windows услуги. Това се прави с цел да се редуцира броя на отделните процеси, защото ако всяка услуга има собствен процес ще стане страшно, докато така услугите са мапнати като DLL-и в отделните инстанции на svchost, споделяйки общо адресно пространство (на съответния svchost). Затова и само Microsoft услуги могат да се изпълняват там с оглед стабилност най-вече.Друг е въпросът, че често се случва зловреден код под формата на библиотека с динамично свързване да се мапне в адресното пространство на легитимен процес, примерно explorer.exe и съответно неопитният потребител никога няма да разбере, че зад иначе легитимния процес се крие зловреден код. За целта се прави по-сериозен анализ със съответните инструменти. Цитирай Link to comment Сподели другаде More sharing options...
semkajiqta Публикувано Февруари 5, 2012 Report Share Публикувано Февруари 5, 2012 Дааа, познато. Наскоро преинсталирах уиндоус, защото зад сервизхоста се криеше вирусa''RAT's'', който дава достъп на други хора(в моя случей хакер)до компа ти без ти вобще да подозираш.И така бях принуден да форматирам.А зад таскхоста и/или rundll32 може ли да се крие зловреден код? Цитирай Link to comment Сподели другаде More sharing options...
Aquarius Публикувано Февруари 5, 2012 Report Share Публикувано Февруари 5, 2012 Често се случва заплахи да ползват fake svchost или други системни процеси. Твоят случай вероятно е бил такъв т.е. не е ставало въпрос за истинския svchost, който както казах е легитимен процес на Windows, а за фалшив такъв.Що се отнася до въпроса ти - да, може. Цитирай Link to comment Сподели другаде More sharing options...
semkajiqta Публикувано Февруари 5, 2012 Report Share Публикувано Февруари 5, 2012 Какво, таскхоста ли може да е злловреден код или рундлл32?2-според моята ситуация какво е по възможно да е-вирус или нормален уиндоус проццесмоята ситуация-обикновен windows 7 потребител. Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Февруари 5, 2012 Report Share Публикувано Февруари 5, 2012 Какво, таскхоста ли може да е злловреден код или рундлл32? И двата процеса могат да представляват зловреден код.2-според моята ситуация какво е по възможно да е-вирус или нормален уиндоус проццесмоята ситуация-обикновен windows 7 потребител. За да се определи дали даден процес е част от malware е нужно да се използват специализирани инструменти. Ако се спазват основните правила за защита на операционната система от зловреден код, то тогава най-вероятно те са напълно легитимни. Цитирай Link to comment Сподели другаде More sharing options...
semkajiqta Публикувано Февруари 7, 2012 Report Share Публикувано Февруари 7, 2012 Кажи, моля те, някоя програма, която проверява такива проццесси дали всъщност са нормални уиндоус процесси или зловредни кодове. Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Февруари 7, 2012 Report Share Публикувано Февруари 7, 2012 В повечето случаи се разглежда директорията в която се намира въпросният изпълним файл. Чрез нея може да се определи дали даден процесът е част от зловреден код или е легитимен. Когато дадени библиотеки, под формата на зловреден код, са map-нати в адресното пространство на даден процес, както е обяснил l.kanelov, се изискват по-задълбочени познания относно структурата на операционната система. В такива случаи може да се използва функцията на Process Explorer за показване на информация относно заредените от дадения процес библиотеки (DLL). В други случаи се проверяват MD5 сумите на определени обекти за да се определи дали въпросните файлове са легитимни. Цитирай Link to comment Сподели другаде More sharing options...
semkajiqta Публикувано Февруари 8, 2012 Report Share Публикувано Февруари 8, 2012 И чрез този ''process explorer'' ли да разбера дали това са зловредни кодове? Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Февруари 8, 2012 Report Share Публикувано Февруари 8, 2012 Да, с нея може. Може и с други приложения. Можеш да опиташ и с Anvir Task Manager, която може да улесни процеса. И все пак може би най-смисленото нещо, което можеш да направиш на този етап, е просто да си сканираш системата с антивирусната + Malwarebytes Anti-Malware. Цитирай Link to comment Сподели другаде More sharing options...
semkajiqta Публикувано Февруари 8, 2012 Report Share Публикувано Февруари 8, 2012 Еми аз съм с аваст!интернет секюрити и там ми казва, че няма вируси.Сега сканирам с Malwarebytes ПРО и ще видя какво ще излезе. Цитирай Link to comment Сподели другаде More sharing options...
s.feradov Публикувано Февруари 8, 2012 Report Share Публикувано Февруари 8, 2012 Night_Raven е предоставил линк към безплатната версия на програмата. Препоръчвам сканиране с нея, освен ако не сте закупили PRO версията на програмата. Цитирай Link to comment Сподели другаде More sharing options...
semkajiqta Публикувано Февруари 8, 2012 Report Share Публикувано Февруари 8, 2012 Malwarebytes пречат ли си с антивирус-а АВАСТ!?А про версията-аз си свалих Malwarebytes от замунда и там в коментарите беше написан СД кея.Така че, вече съм с ПРО версията. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.