Windows host process (Rundll32) безобиден или?

[SECURITY]

Здравейте.

Нуждая се от съвет относно взимане на решение дали да разреша или забраня стартирането на процес: "Windows host process (Rundll32)" . Опитът за стартирането е засечен от Spyware Terminator 2012. Прилагам снимка: http://www.picvalley...6Fc8OHuJxId.BMP

 

Ползвам от скоро Terminator-a и не съм много на ти с програми от типа HIPS. Досега програмата ме е питала все за процеси, инициирани при инсталация от моя страна на програми/игри. Този процес (Rundll32) обаче ми е не познат. Опитах се да намеря информация за него в интернет. Но съм с много лош английски и единственото, което подразбрах е, че може да е чист процес, но може да се използва и от зловредни "програмки".

Сканирах компютъра за всеки случай с: Malwarebytes Anti-Malware, SUPERAntiSpyware Free Edition, Spyware Terminator 2012 и Mircosoft Security Essential. Те не откриха нищо. Сега ще сканирам и с COMODO Antivirus и Panda Cloud Antivirus.

 

Ако има значение: с Windows 7 Ultimate съм. Забелязах, че Internet Explorer 9 ми бъгна по едно време. При стартиране отказа да зареди какъвто и да е адрес (линк/интернет страница). Оправи се след рестарт на компютъра. Споменавам го за всеки случай. Може и да не е свързано с (Rundll32) но пък до сега не ми е бъгвал никога по-този начин. Ползвам и Mozilla Firefox но тя си работи без проблем.

 

Предварително Благодаря за всяка помощ.

[Night_Raven]

Rundll32 е напълно легитимен системен процес. Той има за цел да стартира дадени функции от библиотеки (DLL), които иначе не могат да се изпълнят директно. Напълно нормално е да е стартиран, както и повече от един процес.

Не знам точно какъв софтуер на Comodo имаш, но не е добра идея да комбинираш D+ модула (на Comodo) със Spyware Terminator. И двете са HIPS функции и е лоша идея да са активни едновременно. Избери само една от тях.

[semkajiqta]

И аз имах рундлл32 и много сев боях да не е вирус, но имам процеси taskhost и servicehost(srvhost). Tа те безопасни ли са?

[Aquarius]

Да. И двата процеса са част от Windows като втория т.е. svchost-а има няколко инстанции, всяка от които хоства Windows услуги. Това се прави с цел да се редуцира броя на отделните процеси, защото ако всяка услуга има собствен процес ще стане страшно, докато така услугите са мапнати като DLL-и в отделните инстанции на svchost, споделяйки общо адресно пространство (на съответния svchost). Затова и само Microsoft услуги могат да се изпълняват там с оглед стабилност най-вече.

Друг е въпросът, че често се случва зловреден код под формата на библиотека с динамично свързване да се мапне в адресното пространство на легитимен процес, примерно explorer.exe и съответно неопитният потребител никога няма да разбере, че зад иначе легитимния процес се крие зловреден код. За целта се прави по-сериозен анализ със съответните инструменти.

[semkajiqta]

Дааа, познато. Наскоро преинсталирах уиндоус, защото зад сервизхоста се криеше вирусa''RAT's'', който дава достъп на други хора(в моя случей хакер)до компа ти без ти вобще да подозираш.

И така бях принуден да форматирам.

А зад таскхоста и/или rundll32 може ли да се крие зловреден код?

[Aquarius]

Често се случва заплахи да ползват fake svchost или други системни процеси. Твоят случай вероятно е бил такъв т.е. не е ставало въпрос за истинския svchost, който както казах е легитимен процес на Windows, а за фалшив такъв.

Що се отнася до въпроса ти - да, може.

[semkajiqta]

Какво, таскхоста ли може да е злловреден код или рундлл32?

2-според моята ситуация какво е по възможно да е-вирус или нормален уиндоус проццес

моята ситуация-обикновен windows 7 потребител.

[s.feradov]

Какво, таскхоста ли може да е злловреден код или рундлл32?

 

И двата процеса могат да представляват зловреден код.

2-според моята ситуация какво е по възможно да е-вирус или нормален уиндоус проццес

моята ситуация-обикновен windows 7 потребител.

 

За да се определи дали даден процес е част от malware е нужно да се използват специализирани инструменти. Ако се спазват основните правила за защита на операционната система от зловреден код, то тогава най-вероятно те са напълно легитимни.

[semkajiqta]

Кажи, моля те, някоя програма, която проверява такива проццесси дали всъщност са нормални уиндоус процесси или зловредни кодове.

[s.feradov]

В повечето случаи се разглежда директорията в която се намира въпросният изпълним файл. Чрез нея може да се определи дали даден процесът е част от зловреден код или е легитимен.

 

Когато дадени библиотеки, под формата на зловреден код, са map-нати в адресното пространство на даден процес, както е обяснил l.kanelov, се изискват по-задълбочени познания относно структурата на операционната система. В такива случаи може да се използва функцията на Process Explorer за показване на информация относно заредените от дадения процес библиотеки (DLL).

 

В други случаи се проверяват MD5 сумите на определени обекти за да се определи дали въпросните файлове са легитимни.

[semkajiqta]

И чрез този ''process explorer'' ли да разбера дали това са зловредни кодове?

[Night_Raven]

Да, с нея може. Може и с други приложения. Можеш да опиташ и с Anvir Task Manager, която може да улесни процеса. И все пак може би най-смисленото нещо, което можеш да направиш на този етап, е просто да си сканираш системата с антивирусната + Malwarebytes Anti-Malware.

[semkajiqta]

Еми аз съм с аваст!интернет секюрити и там ми казва, че няма вируси.

Сега сканирам с Malwarebytes ПРО и ще видя какво ще излезе.

[s.feradov]

Night_Raven е предоставил линк към безплатната версия на програмата. Препоръчвам сканиране с нея, освен ако не сте закупили PRO версията на програмата.

[semkajiqta]

Malwarebytes пречат ли си с антивирус-а АВАСТ!?

А про версията-аз си свалих Malwarebytes от замунда и там в коментарите беше написан СД кея.Така че, вече съм с ПРО версията.