Autor Tema: Proceso "rundll32.exe"un spyware? (Leído 8957 veces)

69anonimo69 · « **en:** 25 de Julio de 2004, 08:39:38 pm »

Como siempre un saludo. Tengo una duda que me ha surgido escaneando procesos del sistema del pc. Todos son correctos,pero aparece este "rundll32.exe". Para mas información os comunico que uso el programa de comprobacón de procesos "process explorer". viendo las propiedades que indica sale:C:\windows\System32\RUNDLL32.EXE" C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit. :shock: :shock: sorpresa :shock: :shock: . La dll: NVMCTRAY.DLL,buscando en internet indica que corresponde a los procesos de nividia (evidentemente tengo una esta targeta),pero ,¿que narices es,NvTaskbarInit?. Lo mas fuerte es que consultando la web:

rundll32 - rundll32.exe - Process Information
Process File: rundll32 or rundll32.exe
Process Name: Rundll32
Description: Microsoft "Run a DLL as an App". RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.
Company: Microsoft Corp.
System Process: Yes
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
Common Errors: N/A

Como pueden comprobar es otro proceso legítimo pero porque me sale en las propiedades con el programa anterior NvTaskbarInit?

Entre otras cosas eso de taskbar me suena a spyware puro y duro. Ya sabeis que uso spyboot , ad aware y firewall norton, que a su vez controla todo lo que se conecta a internet pero esa dll no ha intentado nunca una conexión , eso me tranquiliza. aunque no me deja de tener un poco mosca.
Tambien tengo otra duda, cada cierto tiempo, tengo un intento de conexión que me detecta el firewall. Las ip que detecta marcan como procedencia siempre alguien de Corea. Os adjunto un login de una de las ip,s:eekTools Whois Proxy v5.0.3 Ready.

Checking access for 62.37.41.167... ok.

Final results obtained from whois.apnic.net.

Results:
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 211.216.0.0 - 211.225.255.255
netname: KORNET
descr: KOREA TELECOM
descr: KOREA TELECOM Internet Operating Center
country: KR
admin-c: DL276-AP
tech-c: WK81-AP
remarks: ******************************************
remarks: Allocated to KRNIC Member.
remarks: If you would like to find assignment
remarks: information in detail please refer to
remarks: the KRNIC Whois Database at:
remarks: http://whois.nic.or.kr/english/index.html
remarks: ******************************************
mnt-by: MNT-KRNIC-AP
mnt-lower: MNT-KRNIC-AP
changed: hostmaster@apnic.net 20000901
changed: hostmaster@apnic.net 20000912
changed: hostmaster@apnic.net 20010627
status: ALLOCATED PORTABLE
source: APNIC

person: Dongjoo Lee
address: Korea Telecom
address: 128-9 Youngundong Chongroku
address: SEOUL
address: 463-711
country: KR
phone: +82-2-747-9213
fax-no: +82-2-766-5901
e-mail: ip@ns.kornet.net
nic-hdl: DL276-AP
mnt-by: MNT-KRNIC-AP
changed: hostmaster@nic.or.kr 20010523
source: APNIC

person: Won Kang
address: Korea Telecom
address: 128-9 Youngundong Chongroku
address: SEOUL
address: 463-711
country: KR
phone: +82-2-747-9213
fax-no: +82-2-766-5901
e-mail: ip@ns.kornet.net
nic-hdl: WK81-AP
mnt-by: MNT-KRNIC-AP
changed: hostmaster@nic.or.kr 20010523
source: APNIC

inetnum: 211.222.100.0 - 211.222.100.255
netname: KORNET-INFRA000001-KR
descr:     Korea Telecom
descr:     GYUNGGI
descr:     GYUNGGI
descr:     463-711
country: KR
admin-c: IA30625-KR
tech-c: IM30471-KR
remarks: This IP address space has been allocated to KRNIC.
remarks: For more information, using KRNIC Whois Database
remarks: whois -h whois.nic.or.kr
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed: hostmaster@nic.or.kr 20040315
source: KRNIC

person: IP Administrator
descr:     Korea Telecom
descr:     206 Jungja-dong, Bundang-gu, Sungnam city, Gyunggi-do, Korea, 463-711
descr:     GYUNGGI
descr:     463-711
country: KR
phone:     +82-2-3674-5708
fax-no: +82-2-747-8701
e-mail: ip@ns.kornet.net
nic-hdl: IA30625-KR
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed: hostmaster@nic.or.kr 20040315
source: KRNIC

person: IP Manager
descr:     Korea Telecom
descr:     206 Jungja-dong, Bundang-gu, Sungnam city, Gyunggi-do, :evil: :twisted: Korea, 463-711
descr:     GYUNGGI
descr:     463-711
country: KR
phone:     +82-2-3674-5708
fax-no: +82-2-747-8701
e-mail: ip@ns.kornet.net
nic-hdl: IM30471-KR
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed: hostmaster@nic.or.kr 20040315
source: KRNIC

211.222.100.199/211.222.100.199

25   smtp Simple Mail Transfer
21   ftp File Transfer [Control]
110   pop3 Post Office Protocol - Version 3
119   nntp Network News Transfer
82   XFER Utility
83   MIT ML Device
81   hosts2-ns HOSTS2 Name Server
80   http World Wide Web HyperText Transfer
389   ldap Lightweight Directory Access Protocol
1002   Unassigned
1080   Socks, WebSTAR Admin, socks proxy server
1025   network blackjack
1720   h323hostcall
1863   MSNP, MSN Messenger
5000   commplex-main, Yahoo Messenger, Voice Chat
5190   aol America-Online Instant Messenger
6980
8080   HTTP Alternate, WWW caching service
8088   Radan HTTP
8700
9910
11523

y aqui teneis otro de los mas recientes:

GeekTools Whois Proxy v5.0.4 Ready.

Checking access for 80.102.195.226... ok.

Final results obtained from whois.apnic.net.

Results:
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 61.248.0.0 - 61.255.255.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center :wink:
country: KR
admin-c: HM127-AP
tech-c: HM127-AP
remarks: ******************************************
remarks: KRNIC is the National Internet Registry
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the KRNIC Whois DB
remarks: http://whois.nic.or.kr/english/index.html
remarks: ******************************************
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP
changed: hostmaster@apnic.net 20010321
changed: hostmaster@apnic.net 20010606
status: ALLOCATED PORTABLE
source: APNIC

person: Host Master
address: 11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu, :evil: :twisted:
address: Seoul, Korea, 137-857
country: KR
phone: +82-2-2186-4500
fax-no: +82-2-2186-4496
e-mail: hostmaster@nic.or.kr
nic-hdl: HM127-AP
mnt-by: MNT-KRNIC-AP
changed: hostmaster@nic.or.kr 20020507
source: APNIC

Results brought to you by the GeekTools WHOIS Proxy
Server results may be copyrighted and are used with permission.
Your host (80.102.195.226) has visited 1 times today.

Es curioso que simpre que tengo alertas de intrusion siempre son de corea

¿hay alguna manera de averiguar quien es?¿alguien tiene alguna deteccion parecida?

Todo esto parecen preguntas tontas pero me tienen algo intrigado. :oops: :oops:

Dabo · « **Respuesta #1 en:** 26 de Julio de 2004, 12:13:34 am »

muy curiosa informacion amigo, voy a reciclarla a ver que puedo encontrar, lo de dll..opino como tu, sabes que los spy se camuflan muy bien con nombres de procesos subprocesos legitimos, siguelo con cuidado

saludos :wink:

destroyer · « **Respuesta #2 en:** 26 de Julio de 2004, 02:59:47 pm »

Hola:

Si como parece son legítimos, NvTaskbarInit, NVMCTRAY.DLL Por descarte, me dá la sensacion que podria ser del icono que se pone de nvidia en la barra de tareas, con el que puedes cambiar las configuraciones. Si lo tienes habilitado para que se cargue en la barra, pulsa con raton derecho sobre él y en una de las pestañas te dá la oppcion de quitarlo de la barra..
A ver si desaparece el proceso así.

Un saludo

69anonimo69 · « **Respuesta #3 en:** 26 de Julio de 2004, 05:27:39 pm »

:wink: :wink: Pues, si señor, al cerrar el icono de control de nividia se cierra ese proceso. :P :P Gracias por la idea. Solo me falta lo del coreano pesado (o coreanos). Es raro que no tenga casi ninguna alerta y las pocas que me entran son de corea Es para investigar su proveniencia. Para mi opinion creo que puede ser un intento de spam. Hace mucho tiempo atras, como cualquier usuario nobel, tenia spywares en el PC,hasta claro esta me informé del tema,y los limpié pero ,¿y si les llego a estos alguna información de mi maquina de aquel tiempo?. todo son suposiciones pero, piensa mal y acertarás8tampoco quiero caer en la paranoya,pero un poco de guardia siempre va bién). gracias por lo de antes y hasta la proxima. :wink: :wink:

destroyer · « **Respuesta #4 en:** 26 de Julio de 2004, 09:46:06 pm »

hola:

Me alegro..

Un saludo

Dabo · « **Respuesta #5 en:** 28 de Julio de 2004, 01:13:37 am »

pues si Dest, has estado muy fino, de los "coreanos" no te puedo decir nada, todavia, he estado haciendo unas indagaciones fallidas del todo pero podria ser spam, no obstante para que sea tan insistente y siempre de alli... no se, en tu caso lo dudo porque se que estas muy puesto de proteccion pero vaya, si no fueras tu pensaria que igual hay algun Spy escuchando un puerto en tu PC

saludos :wink:

69anonimo69 · « **Respuesta #6 en:** 28 de Julio de 2004, 07:08:40 pm »

8) Ok. Pues la verdad es esa, se tendran que dar de tortas con mis "barreras" del pc si me quieren spamear o espiar, yo por mi cuenta seguire controlando al oriental, que no se vuelva tonto. l a verdad es que no quiero, como dije antes, caer en la paranoya, el Pc es sobre todo una herramienta para multiples tareas, y con respecto a seguridad el "chinito" me ayuda a tener el firewall en guardia,jeje. :wink:

:D Un abrazo a todo qisqui :roll: :wink:

Dabo · « **Respuesta #7 en:** 29 de Julio de 2004, 12:45:30 am »

bien amigo bien, controlalo y atalo en corto al muy jodido :wink:

Noticias:

Autor Tema: Proceso "rundll32.exe"un spyware? (Leído 8957 veces)