/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Rundll32.exe forsøger at gå online ??
Fra : SpookiePower


Dato : 30-12-01 12:31

Jeg fandt disse info vedr. Rundell32.exe som hver gang jeg starter
min computer op, ber om adgang til nettet. Men jeg kan ikke ud fra
disse info se hvad filen skal online for. Er der noget at være urolig
for ? Jeg bruger Zonealarm.

Rundll32.exe is used extensively by Windows 95 and Windows NT 4 to launch a
wide variety of actions defined in DLLs. One of its many capabilities is
invoking Control Panel applets. A file with the .cpl extension contains one
or more applets, and some of the applets may display multiple pages. Using
Rundll32.exe, you can launch any of the applets found in a CPL file, and in
many cases you can cause the applet to open on a particular page. The basic
syntax is



 
 
Christian Andersen (30-12-2001)
Kommentar
Fra : Christian Andersen


Dato : 30-12-01 12:43

SpookiePower wrote:

>Jeg fandt disse info vedr. Rundell32.exe som hver gang jeg starter
>min computer op, ber om adgang til nettet. Men jeg kan ikke ud fra
>disse info se hvad filen skal online for. Er der noget at være urolig
>for ?

Hvor prøver den et gå hen? Portnummer og IP, tak.

--
http://chran.dyndns.dk - Nu med nedbrud!

SpookiePower (30-12-2001)
Kommentar
Fra : SpookiePower


Dato : 30-12-01 14:32


"Christian Andersen" <m4jni76ztglp001@sneakemail.com> wrote in message
news:3c2efdda$0$89080$edfadb0f@dspool01.news.tele.dk...
>
> Hvor prøver den et gå hen? Portnummer og IP, tak.
>
> --
> http://chran.dyndns.dk - Nu med nedbrud!

Jeg er lidt itvivl om det den som laver disse linier i min logfil. Det er de
eneste linier som jeg ikke selv kan forklare.

PE,2001/12/29,11:28:52 +1:00 GMT,Run a DLL as an App,207.46.226.17:80,N/A
PE,2001/12/29,12:02:21 +1:00 GMT,Run a DLL as an App,207.68.131.27:80,N/A
PE,2001/12/30,12:19:35 +1:00 GMT,Run a DLL as an App,207.46.106.88:80,N/A



Christian Andersen (30-12-2001)
Kommentar
Fra : Christian Andersen


Dato : 30-12-01 14:45

SpookiePower wrote:

>> Hvor prøver den et gå hen? Portnummer og IP, tak.

>Jeg er lidt itvivl om det den som laver disse linier i min logfil. Det er de
>eneste linier som jeg ikke selv kan forklare.
>
>PE,2001/12/29,11:28:52 +1:00 GMT,Run a DLL as an App,207.46.226.17:80,N/A

$ host 207.46.226.17
17.226.46.207.in-addr.arpa. domain name pointer windowsupdate.com.

>PE,2001/12/29,12:02:21 +1:00 GMT,Run a DLL as an App,207.68.131.27:80,N/A

$ host 207.68.131.27
Host 27.131.68.207.in-addr.arpa. not found: 3(NXDOMAIN)

Nå, så den gemmer sig? Den skal ikke dø i synden!

$ traceroute 207.68.131.27
traceroute to 207.68.131.27 (207.68.131.27), 30 hops max, 38 byte
packets

<snip>

10 core2-iad1-oc48.iad2.above.net (209.249.0.134) 141.294 ms 141.511
ms 138.812 ms
11 main1-core2-oc12.iad2.above.net (208.185.0.14) 147.079 ms 149.520
ms 144.090 ms
12 above-gw1.microsoft.com (64.124.128.45) 129.919 ms 128.102 ms
129.916 ms
13 *

Altså også ved Microsoft. Gatewayen gider bare ikke at lukke mig forbi.

>PE,2001/12/30,12:19:35 +1:00 GMT,Run a DLL as an App,207.46.106.88:80,N/A

$ host 207.46.106.88
88.106.46.207.in-addr.arpa. domain name pointer windowsupdate.com.

Det er altså ganske normal WindowsUpdate-action. Muligvis har du
installeret den der smarte agent-ting, der automatisk sørger for at
holde dig orienteret om nye patches.

--
http://chran.dyndns.dk - Nu med nedbrud!

SpookiePower (30-12-2001)
Kommentar
Fra : SpookiePower


Dato : 30-12-01 16:50


"Christian Andersen" <m4jni76ztglp001@sneakemail.com> wrote in message
news:3c2f1a53$0$89112$edfadb0f@dspool01.news.tele.dk...
> SpookiePower wrote:
>
> >> Hvor prøver den et gå hen? Portnummer og IP, tak.
>
> >Jeg er lidt itvivl om det den som laver disse linier i min logfil. Det er
de
> >eneste linier som jeg ikke selv kan forklare.
> >
> >PE,2001/12/29,11:28:52 +1:00 GMT,Run a DLL as an App,207.46.226.17:80,N/A
>
> $ host 207.46.226.17
> 17.226.46.207.in-addr.arpa. domain name pointer windowsupdate.com.
>
> >PE,2001/12/29,12:02:21 +1:00 GMT,Run a DLL as an App,207.68.131.27:80,N/A
>
> $ host 207.68.131.27
> Host 27.131.68.207.in-addr.arpa. not found: 3(NXDOMAIN)
>
> Nå, så den gemmer sig? Den skal ikke dø i synden!
>
> $ traceroute 207.68.131.27
> traceroute to 207.68.131.27 (207.68.131.27), 30 hops max, 38 byte
> packets
>
> <snip>
>
> 10 core2-iad1-oc48.iad2.above.net (209.249.0.134) 141.294 ms 141.511
> ms 138.812 ms
> 11 main1-core2-oc12.iad2.above.net (208.185.0.14) 147.079 ms 149.520
> ms 144.090 ms
> 12 above-gw1.microsoft.com (64.124.128.45) 129.919 ms 128.102 ms
> 129.916 ms
> 13 *
>
> Altså også ved Microsoft. Gatewayen gider bare ikke at lukke mig forbi.
>
> >PE,2001/12/30,12:19:35 +1:00 GMT,Run a DLL as an App,207.46.106.88:80,N/A
>
> $ host 207.46.106.88
> 88.106.46.207.in-addr.arpa. domain name pointer windowsupdate.com.
>
> Det er altså ganske normal WindowsUpdate-action. Muligvis har du
> installeret den der smarte agent-ting, der automatisk sørger for at
> holde dig orienteret om nye patches.
>
> --
> http://chran.dyndns.dk - Nu med nedbrud!


Tak for hjælpen begge to. Men hvad er det lige i skriver for at følge IP
adresserne til deres hjemsted ?? Jeg havde på et tidspunkt et program
som hed NeoTrace. Kan man finde de samme oplysninger med det ??



Martin Østerberg (30-12-2001)
Kommentar
Fra : Martin Østerberg


Dato : 30-12-01 16:59

On Sun, 30 Dec 2001 16:49:45 +0100 skrev "SpookiePower"
<boxjunk2600@hotmail.com> ...:


>Tak for hjælpen begge to. Men hvad er det lige i skriver for at følge IP
>adresserne til deres hjemsted ?? Jeg havde på et tidspunkt et program
>som hed NeoTrace. Kan man finde de samme oplysninger med det ??

Åbn en commandoprompt og skriv: tracert 207.68.131.27 eller
start > kør > tracert 207.68.131.27

Martin

Peter Kruse (30-12-2001)
Kommentar
Fra : Peter Kruse


Dato : 30-12-01 17:32

"SpookiePower" <boxjunk2600@hotmail.com> skrev i en meddelelse
news:a0nd30$216n$1@news.cybercity.dk...
> Tak for hjælpen begge to. Men hvad er det lige i skriver for at følge IP
> adresserne til deres hjemsted ?? Jeg havde på et tidspunkt et program
> som hed NeoTrace. Kan man finde de samme oplysninger med det ??

Hej,

Tracert=traceroute
Neotrace=grafisk traceroute

Neotrace er et grafisk værktøj, som jeg iøvrigt mener har skiftet navn til
Visual Trace efter det blev opkøbt af McAfee, men det er en helt anden
historie. Programmet gør rent teknisk det samme som tracert kommandoen gør,
men præsenterer det i en mere overskuelig form.

Venligst
Peter Kruse




Kasper Dupont (30-12-2001)
Kommentar
Fra : Kasper Dupont


Dato : 30-12-01 17:44

Peter Kruse wrote:
>
> "SpookiePower" <boxjunk2600@hotmail.com> skrev i en meddelelse
> news:a0nd30$216n$1@news.cybercity.dk...
> > Tak for hjælpen begge to. Men hvad er det lige i skriver for at følge IP
> > adresserne til deres hjemsted ?? Jeg havde på et tidspunkt et program
> > som hed NeoTrace. Kan man finde de samme oplysninger med det ??
>
> Hej,
>
> Tracert=traceroute

Svarer tracert ikke nærmere til "traceroute -I"?

> Neotrace=grafisk traceroute

Altså noget i retning af xmtr?

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.

Peter Kruse (30-12-2001)
Kommentar
Fra : Peter Kruse


Dato : 30-12-01 17:56

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3C2F4465.2E10ACDB@daimi.au.dk...
> Peter Kruse wrote:
> >
> > Tracert=traceroute
> Svarer tracert ikke nærmere til "traceroute -I"?

Joh

> > Neotrace=grafisk traceroute

> Altså noget i retning af xmtr?

Hvis jeg husker rigtigt er traceroute og ping samlet i xmtr, hvor resultatet
præsenteres i en grafisk konsol under Linux og FreeBSD. Det er vel en ok
sammenligning.

Venligst
Peter Kruse


> --
> Kasper Dupont
>
> Notice: By sending SPAM (UCE/BCE) to this address, you are
> accepting and agreeing to our charging a $1000 fee, per
> email, for handling and processing, and you agree to pay any
> and all costs for collecting this fee.



Rune Kronenberg (30-12-2001)
Kommentar
Fra : Rune Kronenberg


Dato : 30-12-01 14:46

On Sun, 30 Dec 2001 14:31:39 +0100, "SpookiePower"
<boxjunk2600@hotmail.com> wrote:

>Jeg er lidt itvivl om det den som laver disse linier i min logfil. Det er de
>eneste linier som jeg ikke selv kan forklare.
>
>PE,2001/12/29,11:28:52 +1:00 GMT,Run a DLL as an App,207.46.226.17:80,N/A
>PE,2001/12/29,12:02:21 +1:00 GMT,Run a DLL as an App,207.68.131.27:80,N/A
>PE,2001/12/30,12:19:35 +1:00 GMT,Run a DLL as an App,207.46.106.88:80,N/A

Disse tre linier er alle fra det samme program.
Det virker umiddelbart som det, ZA kan finde på at skrive, når rundll32
prøver at komme på nettet ifølge den (tænker på "Run a DLL as an App".

De tre IP'er den prøver at komme i kontakt med tilhører MS, og er en del af
deres windows autoupdate.
Så det er fordi du har sat din maskine til automatiskt at finde nye patches
og opgraderinger, at det program bliver kørt på det tidspunkt.

Hvorfor det bliver gjort på den måde på din komputer, skal jeg dog ikke
kunne sige.
Normalt så vil den pågældende fil selv stå, som den der prøver at komme i
kontakt med I-nettet.
Den hedder vist nok auto update i systemet.
Mener at filen hedder wucrtupd.exe

M.v.h.
--
Rune Kronenberg
It's not hard to meet expenses, they're everywhere.

Søg
Reklame
Statistik
Spørgsmål : 177553
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste