Viren, Spyware, Datenschutz 11.249 Themen, 94.772 Beiträge

rundll32 will sich mit 178.255.83.1 verbinden

Hardy© / 10 Antworten / Baumansicht Nickles

meine Firewall (ZoneAlarm) meldet neuerdings, daß sich rundll32.exe mit der IP 178.255.83.1 verbinden will. Diese IP gehört der Fa. Comodo die meines Wissens ein Konkurrenzprodukt zur ZoneAlarm vertreibt. Ich hab wissentlich nie diese Comodo Internet Suite installiert allerdings hat kürzlich so ein blöder Download-Manager von ComputerBild mir da eine Antivirus-App ungefragt untergeschoben die ich aber sofort wieder deinstalliert habe.

Hab die Registry schon nach der IP-Adresse durchsuchen lassen aber nix gefunden. Wie kann ich das loswerden oder benötige ich es etwa doch? Mein OS ist Win7x64

Gruß Hardy©
bei Antwort benachrichtigen
mi~we Hardy© „rundll32 will sich mit 178.255.83.1 verbinden“
Optionen

Comodo stellt auch (SSL-)Zertifikate aus:

https://ssl.comodo.com/

Die IP 178.255.83.1 gehört zu diesem Zertifikats-Kram von Comodo:

178.255.83.1 - ocsp.comodoca.com (ocsp is 'Online Certificate Status Protocol') 178.255.83.2 - crl.comodoca.com (crl is 'Certificate Revocation List')

https://forums.comodo.com/firewall-help-cis-b135.0/-t102241.0.html

Ich vermute mal, daß Windows da nur die Gültigkeit irgendwelcher Zertifikate, die von Comodo ausgestellt wurden, überprüft. Dürfte also kein Grund zur Panik sein.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Hardy© mi~we „Comodo stellt auch SSL- Zertifikate aus: https://ssl.comodo.com/ Die IP 178.255.83.1 gehört zu diesem Zertifikats-Kram von ...“
Optionen

Ok, dann bin ich ganz entspannt aber an welcher Stelle erfolgt denn der Aufruf oder Befehl, das rundll32 das jetzt machen soll, könnte auch ein einem direkt davor installierten MS-Patch/Windows-Update liegen?

Gruß Hardy©
bei Antwort benachrichtigen
mi~we Hardy© „Ok, dann bin ich ganz entspannt aber an welcher Stelle erfolgt denn der Aufruf oder Befehl, das rundll32 das jetzt machen ...“
Optionen
an welcher Stelle erfolgt denn der Aufruf oder Befehl, das rundll32 das jetzt machen soll

Da bin ich natürlich auch überfragt. Man könnte vielleicht mal versuchen, mit z.B. dem Process Explorer, den "parent process" dieses rundll32-Kommandos zu ermitteln:

http://www.winhelponline.com/blog/determine-parent-process-of-running-process/

Das ist dann das Programm, das den rundll32-Befehl gestartet hat. Das klärt ja vielleicht auf, ob da irgendeine neue, unerwünschte Fremdsoftware rumwerkelt.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Hardy© mi~we „Comodo stellt auch SSL- Zertifikate aus: https://ssl.comodo.com/ Die IP 178.255.83.1 gehört zu diesem Zertifikats-Kram von ...“
Optionen

heute Morgen neuer Verbindungsversuch, diesmal mit der IP 111.206.66.61 (China United Network Communications Corporation Limited Beijing, China). Ich sage jetzt mal, daß ZoneAlarm es 1x verweigern soll und warte ab, ob die Anfrage wieder kommt.

Gruß Hardy©
bei Antwort benachrichtigen
Hardy© Nachtrag zu: „heute Morgen neuer Verbindungsversuch, diesmal mit der IP 111.206.66.61 China United Network Communications Corporation ...“
Optionen

also im ProcessExplorer erscheint rundll32.exe nicht aber ist es nicht so, daß der Aufruf dieser exe eh immer von einem anderen Programm erfolgt?

Was ich jedenfalls gesehen habe sind laufende Hintergrundprogramme von Apps, die vor ewigen Zeiten schon deinstalliert wurden und absolut unnötig weiterlaufen zB.

PowerDVD14Agent.exe

CPUCool.exe

NASvc.exe (Nero UpdateService)

wie kann man die denn endgültig los werden?

Gruß Hardy©
bei Antwort benachrichtigen
Greif 72 Hardy© „also im ProcessExplorer erscheint rundll32.exe nicht aber ist es nicht so, daß der Aufruf dieser exe eh immer von einem ...“
Optionen

Hi,

da Du ja sowieso schon mit Sysinternals Programmen rumwerkelst, würde ich hierfür "Autoruns" nehmen, um die nicht mehr benötigten Programme stillzulegen bzw. zu entfernen.

Mit Autoruns lassen sich alle diese Programme auch recht leicht mit Virus Total auf eventuelle Infektionen überprüfen.

Gruß

Hartmut

Rei bonae tempus est et air, quis ex abdomine oritur, sagitta non est!
bei Antwort benachrichtigen
mi~we Hardy© „heute Morgen neuer Verbindungsversuch, diesmal mit der IP 111.206.66.61 China United Network Communications Corporation ...“
Optionen
IP 111.206.66.61

Das ist (laut Google) oscp.wosign.com. Wosign ist auch wieder so ein Zertifikatsaussteller (der halt in China sitzt):

https://www.golem.de/news/wosign-kostenlose-tls-zertifikate-aus-china-1502-112203.html

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Hardy© mi~we „Das ist laut Google oscp.wosign.com. Wosign ist auch wieder so ein Zertifikatsaussteller der halt in China sitzt : ...“
Optionen

OK, demnach startet irgend ein Prozess die rundll32.exe um auf eine Webside zu gehen, die ein Zertifikat zur Verfügung stellt. Welcher Prozess das ist, weiss man aber nicht. Wir vermuten, daß es schon OK ist weil es ja mit einem Zertifikat zu tun hat und das klingt dann irgendwie glaubwürdig. Hab ich das soweit richtig verstanden?

Wenn ich weiterhin diesen Zugriff verweigere, kommt das jeden Tag neu, aber sonst passiert auch nix schlimmes ohne dieses Zertifikat?

Gruß Hardy©
bei Antwort benachrichtigen
mi~we Hardy© „OK, demnach startet irgend ein Prozess die rundll32.exe um auf eine Webside zu gehen, die ein Zertifikat zur Verfügung ...“
Optionen

Wenn Windows Verbindungen zu irgendwelchen Zertifikatsausstellern herstellen will, ist das jedenfalls mal nichts, was ich als "offensichtlich verdächtig" einstufen würde.

im ProcessExplorer erscheint rundll32.exe nicht

Komisch. Wenn ZoneAlarm dir meldet, daß rundll32.exe bla bla bla und darauf wartet, ob du das erlauben willst oder nicht, müsste doch währenddessen die rundll32.exe bei den laufenden Anwendungen auftauchen!?

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
gelöscht_323936 mi~we „Wenn Windows Verbindungen zu irgendwelchen Zertifikatsausstellern herstellen will, ist das jedenfalls mal nichts, was ich ...“
Optionen
müsste doch währenddessen die rundll32.exe bei den laufenden Anwendungen auftauchen

Im Win-Taskmanager wird sie angezeigt.
Jetzt gerade sind auf dem Rechner hier (Win 7 prof) 4 Prozesse gestartet. Nichts weiter als der Explorer und einige FF-Tabs laufen da.

Was die rundll32.exe macht, wird von  fast jedem Windows-Ratgeber im web beschrieben.

Auch dass man bei Verdacht schon mal gucken soll, ob da ein falsche rundll32.exe vorhanden ist.

Gruß,
Anne

bei Antwort benachrichtigen