Question rundll32.exe
searcher182
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour à tous,
J'ai déjà vu quelques topics semblables par ici, mais aucun n'apporte de réelle réponse à ma question. Je vous demande par avance de m'excuser si ce topic est mal placé.
J'ai une question sur le processus rundll32.exe ; en effet, en regardant dans mon gestionnaire de processus, je le vois figurer en 2 exemplaires, et ce, à chaque démarrage, et quel que soit le temps que mon pc reste allumé les 2 processus subsistent.
je suis sous vista, et mes 2 processus sont les suivants (ils sont orthographiés de la même manière, et n'ont donc aucune majuscule) :
rundll32.exe -> 1556 ko (nom d'utilisateur : rien ; processeur : rien)
quand je fais clic droit la seule option qui s'affiche est "executer des tâches d'administration"
... c'est ce processus qui m'intrigue
rundll32.exe -> nom d'utilisateur : (le mien) -> processeur : 00 -> 400 ko -> Processus hôte Windows (Rundll32)
quand je fais clic droit j'ai le menu normal, avec par exemple "propriétés"
... celui-ci me semble bon
ayant vu qu'il fallait vérifier leurs chemins d'accès, j'ai donc effectué une recherche de "rundll32.exe", et j'obtiens :
rundll32.exe -> C:\Windows\System32 (semble ok)
rundll32.exe -> C:\Windows\winsxs\x86_microsoft-windows-rundll32_31bf3856ad364e35_6.0.6000.16386_none_d5ce8f93adff8210 (le suspect ?)
rundll32.exe.mui -> C:\Windows\System32\fr-FR
rundll32.exe.mui -> C:\Windows\winsxs\x86_microsoft-windows-rundll32.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_ed1793a78f72b344 (idem ?)
qu'en pensez-vous, mes soupçons sont-ils fondés ? suis-je infecté par un quelque chose (vu que j'ai un rundll32.exe dans un autre emplacement ?
je vous remercie par avance pour toutes vos informations
J'ai déjà vu quelques topics semblables par ici, mais aucun n'apporte de réelle réponse à ma question. Je vous demande par avance de m'excuser si ce topic est mal placé.
J'ai une question sur le processus rundll32.exe ; en effet, en regardant dans mon gestionnaire de processus, je le vois figurer en 2 exemplaires, et ce, à chaque démarrage, et quel que soit le temps que mon pc reste allumé les 2 processus subsistent.
je suis sous vista, et mes 2 processus sont les suivants (ils sont orthographiés de la même manière, et n'ont donc aucune majuscule) :
rundll32.exe -> 1556 ko (nom d'utilisateur : rien ; processeur : rien)
quand je fais clic droit la seule option qui s'affiche est "executer des tâches d'administration"
... c'est ce processus qui m'intrigue
rundll32.exe -> nom d'utilisateur : (le mien) -> processeur : 00 -> 400 ko -> Processus hôte Windows (Rundll32)
quand je fais clic droit j'ai le menu normal, avec par exemple "propriétés"
... celui-ci me semble bon
ayant vu qu'il fallait vérifier leurs chemins d'accès, j'ai donc effectué une recherche de "rundll32.exe", et j'obtiens :
rundll32.exe -> C:\Windows\System32 (semble ok)
rundll32.exe -> C:\Windows\winsxs\x86_microsoft-windows-rundll32_31bf3856ad364e35_6.0.6000.16386_none_d5ce8f93adff8210 (le suspect ?)
rundll32.exe.mui -> C:\Windows\System32\fr-FR
rundll32.exe.mui -> C:\Windows\winsxs\x86_microsoft-windows-rundll32.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_ed1793a78f72b344 (idem ?)
qu'en pensez-vous, mes soupçons sont-ils fondés ? suis-je infecté par un quelque chose (vu que j'ai un rundll32.exe dans un autre emplacement ?
je vous remercie par avance pour toutes vos informations
A voir également:
- Question rundll32.exe
- .Exe - Télécharger - Divers Utilitaires
- Winrar exe - Télécharger - Compression & Décompression
- Svchost exe - Guide
- Bat to exe - Télécharger - Édition & Programmation
- Picture to exe - Télécharger - Visionnage & Diaporama
5 réponses
slt je pense pas que tu sois infecté
analyse les fichiers douteux sur virus total https://www.virustotal.com/gui/
et/ou fais un scan en ligne pour vérifier ton pc
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Eset (Nod32) en ligne
https://www.eset.com/
analyse les fichiers douteux sur virus total https://www.virustotal.com/gui/
et/ou fais un scan en ligne pour vérifier ton pc
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Eset (Nod32) en ligne
https://www.eset.com/
Merci pour ta réponse. Une analyse sur virustotal me donne :
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.12 -
AhnLab-V3 5.0.0.2 2009.06.12 -
AntiVir 7.9.0.187 2009.06.12 -
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.12 -
Avast 4.8.1335.0 2009.06.11 -
AVG 8.5.0.339 2009.06.12 -
BitDefender 7.2 2009.06.12 -
CAT-QuickHeal 10.00 2009.06.12 -
ClamAV 0.94.1 2009.06.12 -
Comodo 1320 2009.06.12 -
DrWeb 5.0.0.12182 2009.06.12 -
eSafe 7.0.17.0 2009.06.11 -
eTrust-Vet 31.6.6555 2009.06.12 -
F-Prot 4.4.4.56 2009.06.12 -
F-Secure 8.0.14470.0 2009.06.12 -
Fortinet 3.117.0.0 2009.06.12 -
GData 19 2009.06.12 -
Ikarus T3.1.1.59.0 2009.06.12 -
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.12 -
McAfee 5643 2009.06.11 -
McAfee+Artemis 5643 2009.06.11 -
McAfee-GW-Edition 6.7.6 2009.06.12 -
Microsoft 1.4701 2009.06.12 -
NOD32 4151 2009.06.12 -
Norman 6.01.09 2009.06.12 -
nProtect 2009.1.8.0 2009.06.12 -
Panda 10.0.0.14 2009.06.12 -
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.12 -
Rising 21.33.44.00 2009.06.12 -
Sophos 4.42.0 2009.06.12 -
Sunbelt 3.2.1858.2 2009.06.12 -
Symantec 1.4.4.12 2009.06.12 -
TheHacker 6.3.4.3.344 2009.06.11 -
TrendMicro 8.950.0.1092 2009.06.12 -
VBA32 3.12.10.7 2009.06.12 -
ViRobot 2009.6.12.1783 2009.06.12 -
Information additionnelle
File size: 44544 bytes
MD5...: 4b555106290bd117334e9a08761c035a
SHA1..: 2d77b2ac185828a6300c8838355444279929bcb0
SHA256: 8a3808fbc197040bf0c65084514e8441e35ffff8e31980f9ce1f41ed65e08437
ssdeep: -
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1487
timedatestamp.....: 0x4549b0e1 (Thu Nov 02 08:48:33 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x393d 0x3a00 6.42 0344752302358062d9dc01b4216ea594
.data 0x5000 0x3c0 0x400 0.22 0d1d63b6d48eaa1443c6d701ea3bc2c2
.rsrc 0x6000 0x6710 0x6800 5.68 e42ace62b4008a6f6bec2f4a53a61bff
.reloc 0xd000 0x254 0x400 4.57 7db228b6f3ae4823ee322fe5bd961252
( 5 imports )
> KERNEL32.dll: QueryActCtxW, CloseHandle, SetFilePointer, ReadFile, CreateFileW, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, WaitForSingleObject, CreateProcessW, Wow64EnableWow64FsRedirection, GetSystemDirectoryW, GetNativeSystemInfo, IsWow64Process, GetCurrentProcess, GetCommandLineW, FormatMessageW, GetLastError, LoadLibraryW, FreeLibrary, ExitProcess, SetErrorMode, HeapSetInformation, InterlockedCompareExchange, LoadLibraryA, InterlockedExchange, Sleep, GetStartupInfoW, SetUnhandledExceptionFilter, DelayLoadFailureHook, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, CompareStringW, ReleaseActCtx, GetFileAttributesW, SearchPathW, CreateActCtxW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx
> USER32.dll: LoadIconW, CharNextW, DefWindowProcW, GetClassLongW, GetClassNameW, GetWindow, GetWindowLongW, SetWindowLongW, SetClassLongW, CreateWindowExW, RegisterClassW, DestroyWindow, LoadStringW, MessageBoxW, LoadCursorW
> msvcrt.dll: iswalpha, _wtoi, wcschr, __wgetmainargs, memset, _vsnwprintf, __p__fmode, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit
> imagehlp.dll: ImageDirectoryEntryToData
> ntdll.dll: NtClose, NtOpenProcessToken, NtSetInformationToken, NtSetInformationProcess, RtlImageNtHeader, NtQueryInformationToken
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
( Microsoft )
> Installed Vista Ultimate: rundll32.exe
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=4b555106290bd117334e9a08761c035a' target='_blank'>https://www.symantec.com?md5=4b555106290bd117334e9a08761c035a</a>
la mise en page n'est pas respectée avec le copier-coller mais les "-" sont dans la colonne "résultat"
-> dois je en déduire que mon fichier est sain ?
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.12 -
AhnLab-V3 5.0.0.2 2009.06.12 -
AntiVir 7.9.0.187 2009.06.12 -
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.12 -
Avast 4.8.1335.0 2009.06.11 -
AVG 8.5.0.339 2009.06.12 -
BitDefender 7.2 2009.06.12 -
CAT-QuickHeal 10.00 2009.06.12 -
ClamAV 0.94.1 2009.06.12 -
Comodo 1320 2009.06.12 -
DrWeb 5.0.0.12182 2009.06.12 -
eSafe 7.0.17.0 2009.06.11 -
eTrust-Vet 31.6.6555 2009.06.12 -
F-Prot 4.4.4.56 2009.06.12 -
F-Secure 8.0.14470.0 2009.06.12 -
Fortinet 3.117.0.0 2009.06.12 -
GData 19 2009.06.12 -
Ikarus T3.1.1.59.0 2009.06.12 -
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.12 -
McAfee 5643 2009.06.11 -
McAfee+Artemis 5643 2009.06.11 -
McAfee-GW-Edition 6.7.6 2009.06.12 -
Microsoft 1.4701 2009.06.12 -
NOD32 4151 2009.06.12 -
Norman 6.01.09 2009.06.12 -
nProtect 2009.1.8.0 2009.06.12 -
Panda 10.0.0.14 2009.06.12 -
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.12 -
Rising 21.33.44.00 2009.06.12 -
Sophos 4.42.0 2009.06.12 -
Sunbelt 3.2.1858.2 2009.06.12 -
Symantec 1.4.4.12 2009.06.12 -
TheHacker 6.3.4.3.344 2009.06.11 -
TrendMicro 8.950.0.1092 2009.06.12 -
VBA32 3.12.10.7 2009.06.12 -
ViRobot 2009.6.12.1783 2009.06.12 -
Information additionnelle
File size: 44544 bytes
MD5...: 4b555106290bd117334e9a08761c035a
SHA1..: 2d77b2ac185828a6300c8838355444279929bcb0
SHA256: 8a3808fbc197040bf0c65084514e8441e35ffff8e31980f9ce1f41ed65e08437
ssdeep: -
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1487
timedatestamp.....: 0x4549b0e1 (Thu Nov 02 08:48:33 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x393d 0x3a00 6.42 0344752302358062d9dc01b4216ea594
.data 0x5000 0x3c0 0x400 0.22 0d1d63b6d48eaa1443c6d701ea3bc2c2
.rsrc 0x6000 0x6710 0x6800 5.68 e42ace62b4008a6f6bec2f4a53a61bff
.reloc 0xd000 0x254 0x400 4.57 7db228b6f3ae4823ee322fe5bd961252
( 5 imports )
> KERNEL32.dll: QueryActCtxW, CloseHandle, SetFilePointer, ReadFile, CreateFileW, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, WaitForSingleObject, CreateProcessW, Wow64EnableWow64FsRedirection, GetSystemDirectoryW, GetNativeSystemInfo, IsWow64Process, GetCurrentProcess, GetCommandLineW, FormatMessageW, GetLastError, LoadLibraryW, FreeLibrary, ExitProcess, SetErrorMode, HeapSetInformation, InterlockedCompareExchange, LoadLibraryA, InterlockedExchange, Sleep, GetStartupInfoW, SetUnhandledExceptionFilter, DelayLoadFailureHook, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, CompareStringW, ReleaseActCtx, GetFileAttributesW, SearchPathW, CreateActCtxW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx
> USER32.dll: LoadIconW, CharNextW, DefWindowProcW, GetClassLongW, GetClassNameW, GetWindow, GetWindowLongW, SetWindowLongW, SetClassLongW, CreateWindowExW, RegisterClassW, DestroyWindow, LoadStringW, MessageBoxW, LoadCursorW
> msvcrt.dll: iswalpha, _wtoi, wcschr, __wgetmainargs, memset, _vsnwprintf, __p__fmode, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit
> imagehlp.dll: ImageDirectoryEntryToData
> ntdll.dll: NtClose, NtOpenProcessToken, NtSetInformationToken, NtSetInformationProcess, RtlImageNtHeader, NtQueryInformationToken
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
( Microsoft )
> Installed Vista Ultimate: rundll32.exe
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=4b555106290bd117334e9a08761c035a' target='_blank'>https://www.symantec.com?md5=4b555106290bd117334e9a08761c035a</a>
la mise en page n'est pas respectée avec le copier-coller mais les "-" sont dans la colonne "résultat"
-> dois je en déduire que mon fichier est sain ?
bien bien merci beaucoup pour les conseils.
par contre, la question que je me pose, c'est : pourquoi 2 rundll32.exe qui s'exécutent en même temps ? puisque ca n'est pas signe d'infection (pour cette fois), quelle est l'utilité qu'il tourne en double ?
par contre, la question que je me pose, c'est : pourquoi 2 rundll32.exe qui s'exécutent en même temps ? puisque ca n'est pas signe d'infection (pour cette fois), quelle est l'utilité qu'il tourne en double ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question