Foro de elhacker.net

hola amigos tengo otra duda y es que en la versión de windows 8.1 tenia el proceso rundll32 ejecutándose desde que encendía la maquina y ahora que me actualice a windows 10 también lo tengo ejecutándose

pregunto si es normal o si no para meterle mano y averiguar que es lo que sucede


saludos Flamer

Métele mano. RunDll32 es un proceso auxiliar y confiable por el sistema, por lo tanto ideal para cargar código malicioso. Puede llegar a ser normal verlo ejecutarse en el inicio, o cuando abres algo auxiliar, pero verlo constantemente corriendo huele mal. Intenta hacerle un dump de las dependencias que tiene en runtime y si puedes deducir el comportamiento de su rutina de ejecucción mucho mejor.

Saludos!

Intentá revisar sus handles y datos usando el programa  Process Explorer de Sysinternals (https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx). Es muy útil, te recomiendo que después de solucionar el problema te lo quedes para futuro uso. (Requiere derechos de administrador para varias tareas, entre ellas cerrar handles)
Me fijé en la CMD a ver si tenía por así decirlo instrucciones como los otros ejecutables (comandos) y no las tiene al parecer, pero por el nombre ya es fácil adivinar lo que hace.
Someter el proceso a un sandbox no sería una opción, ya que son otros programas (bah, DLLs) los que utilizarían ese ejecutable para hacer sus tareas.
Está bien que el proceso es ideal para cargar malware, pero pensá en los otros DLLs que se ejecutan mediante él, por eso el programa de arriba.
Igual, por el origen del ejecutable no te preocupes que yo estoy en windows 7 y lo tengo también.

Gracias por crear un tema, ya me estaba aburriendo  :rolleyes:

ya lo solucione era el proceso de registro de alertas y de rendimiento


Saludos Flamer y gracias por el programa EagleStrike me sirvió