Rundll32 exe c windows system32 davclnt dll davsetcookie

Hi, we noticed that since we upgraded few computers to Windows 10 Build 1709 (Fall Creators Update), two of these machines kept scanning the network for WebDAV shares. On practically all servers that have IIS installed with a website on port 80, we find
this kind of logs:

2017-10-25 07:05:16 <SERVERIP> OPTIONS /d$/ - 80 - <CLIENTIP> Microsoft-WebDAV-MiniRedir/10.0.16299 200 0 0 234 
2017-10-25 07:05:16 <SERVERIP> PROPFIND /d$/ - 80 - <CLIENTIP> Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 78 
2017-10-25 07:05:24 <SERVERIP> PROPFIND /f$/ - 80 - <CLIENTIP> Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 78 
2017-10-25 07:05:41 <SERVERIP> OPTIONS /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 200 0 0 93 
2017-10-25 07:05:41 <SERVERIP> PROPFIND /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:41 <SERVERIP> PROPFIND /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:42 <SERVERIP> PROPFIND /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:42 <SERVERIP> PROPFIND /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 234 
2017-10-25 07:05:44 <SERVERIP> PROPFIND /C$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:44 <SERVERIP> PROPFIND /C$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 78 
2017-10-25 07:05:44 <SERVERIP> PROPFIND /C$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:45 <SERVERIP> PROPFIND /C$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:45 <SERVERIP> PROPFIND /E$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:45 <SERVERIP> PROPFIND /E$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 109 
2017-10-25 07:05:46 <SERVERIP> PROPFIND /E$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:46 <SERVERIP> PROPFIND /E$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93

We captured network traffic with Wireshark, and found conversations like this:

PROPFIND /admin%24/ HTTP/1.1 
Connection: Keep-Alive 
User-Agent: Microsoft-WebDAV-MiniRedir/10.0.16299 
Depth: 0 
translate: f 
Content-Length: 0 
Host: <HOSTNAME>
HTTP/1.1 404 Not Found 
Content-Type: text/html 
Server: Microsoft-IIS/8.5 
Date: Wed, 25 Oct 2017 07:53:40 GMT 
Content-Length: 1245 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml"> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/> 
<title>404 - File or directory not found.</title> 
<style type="text/css"> 
<!-- 
body{margin:0;font-size:.7em;font-family:Verdana, Arial, Helvetica, sans-serif;background:#EEEEEE;} 
fieldset{padding:0 15px 10px 15px;}  
h1{font-size:2.4em;margin:0;color:#FFF;} 
h2{font-size:1.7em;margin:0;color:#CC0000;}  
h3{font-size:1.2em;margin:10px 0 0 0;color:#000000;}  
#header{width:96%;margin:0 0 0 0;padding:6px 2% 6px 2%;font-family:"trebuchet MS", Verdana, sans-serif;color:#FFF; 
background-color:#555555;} 
#content{margin:0 0 0 2%;;} 
.content-container{background:#FFF;width:96%;margin-padding:10px;;} 
--> 
</style> 
</head> 
<body> 
<div id="header"><h1>Server Error</h1></div> 
<div id="content"> 
<div class="content-container"><fieldset> 
<h2>404 - File or directory not found.</h2> 
<h3>The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.</h3> 
</fieldset></div> 
</div> 
</body> 
</html>

First we thought of Malware, but multiple scanners did not find any suspicious files or processes on any of the affected machines.

We then did some more tests and found that the issue happens only if both «Offline Files» (CSC) and «WebClient» services are running. It seems that Offline Files service initiates WebClient service to run commands like this:

rundll32.exe C:WINDOWSsystem32davclnt.dll,DavSetCookie <SERVERNAME> http://<SERVERNAME>/admin%24/

and then that process performs the actual scan.

This happens for a large range of IP addresses as well as for a large number of hostnames, and on these it seems to scan for C$, D$, E$, F$ and ADMIN$.

To me this is typical Malware behavior, but yet it seems that it is a ‘feature’ of Windows 10 Build 1709.

I am not 100 % sure, but probably we somehow accessed all these machines recently. For example, I checked all servers if a certain file exists on these — probably this triggers the Offline Files service to check for WebDAV shares on these systems. On the
other hand, I saw that it tried to access another system that is not a server, so I am really not sure if that is related.

On the two affected machines, this behavior clearly started after the upgrade from 1703 to 1709. (One of the affected machines was upgraded with installation media from licensing.microsoft.com, the other was upgraded by Windows Update, so it cannot be an
infected installation media.) 

Did anyone notice similar behavior? 

  • Edited by

    Thursday, October 26, 2017 9:46 AM

#1

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 11:17

Лет 8 назад в favorites сохранил линк на посмотреть потом и так руки не дошли, сейчас Др.ВЕБ напомнил об этом линке

  • Наверх

#2


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 11:25

Пока набивал эту строчку, посыпались сообщения, теперь вирусы в

Текстуры высокого разрешения. Текстуры для Photoshop. 3D текстуры. 3D объекты..url

Variables (переменные) в Photoshop.url

Ложные срабатывания? Полное сканирование делал в январе, не было ничего .

  • Наверх

#3


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 13:08

Интересно, линк на сайт был добавлен за пару дней до 22 февраля, сейчас он оказался с вирусом и был удален из favorites. Я добавил линк повторно, но реакции Др.ВЕБ никакой.

  • Наверх

#4


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 14:32

Сделал полное сканирование, вирусов не найдено, но спустя пару минут, найден вирус в url.

После удаления url, я создал новый, при добавлении никаких сообщений о вирусе не было, но спустя минут 20, в этом url был найден вирус.

Получается, какая-то зараза сидит у меня и вирусует url, но почему-то сканер ничего не обнаруживает или ложное срабатывание Др.ВЕБ.

  • Наверх

#5


Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 299 Сообщений:

Отправлено 25 Март 2022 — 14:35

проверить URL на vms.drweb.com — не? Что скажет?

  • Наверх

#6


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 14:49

проверить URL на vms.drweb.com — не? Что скажет?

Ничего

Но спустя время, там вдруг вирус.

Я не понимаю, что происходит. Такая ситуация только у меня?

Сообщение было изменено ЛСергей: 25 Март 2022 — 14:51

  • Наверх

#7


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 14:54

Для проверки сайт добавил в исключения и сохранил линк на сайт, всё сообщений нет, через пару минут SHORTCUT:MALWARE.URL.

  • Наверх

#8


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 14:57

  • Наверх

#9


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 15:00

Вот с через онлайн сканер на вашем сайте

  • Наверх

#10


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 15:31

Скажите, не могут ли это быть происки мелкомягких? С какой-то радости вирусованными оказываются линки на сайты в домене .ру или на русском. Что плохого с сайтом liveclasses.ru, сканер не находит там ничего, но линк удаляется.

Обновления 10х64 были 9 марта, а чудеса с линками начались сегодня.

И ещё, вирусованный и удаленный линк на сайт m0nkrus’a, я добавил опять и копию отсадил на другой диск, там он живой и к нему нет претензий, длина 515 байт и не меняется.

  • Наверх

#11


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 25 Март 2022 — 17:15

Dmitry_rus,

Проверка объектов в карантине
Некоторые проверенные объекты не содержат угроз. Вы хотите восстановить эти объекты?
Объект: Варез от mOnkrus’a [Warez by mOnkrus].url
Дата:    Fri 25/03/2022 14:21

Но при попытке восстановить, сообщение, что восстановление невозможно, возникла ошибка в rundll32.exe C:WINDOWSsystem32davclnt.dll,DavSetCookie

  • Наверх

#12


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 26 Март 2022 — 17:28

Второй день, удаления продолжаются, проверяю в карантине, вирусов нет, восстанавливаю, но ровно через 10 минут опять удаление.

Если вирусов нет, то почему спайдер удаляет файлы? 

  • Наверх

#13


Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 299 Сообщений:

Отправлено 27 Март 2022 — 09:17

возникла ошибка в rundll32.exe C:WINDOWSsystem32davclnt.dll,DavSet

Какая именно ошибка? Если запустить

rundll32.exe C:WINDOWSsystem32davclnt.dll,DavSetCookie

из комстроки — будут ли какие-то сообщения, указывающие на ошибки?

  • Наверх

#14


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 30 Март 2022 — 14:07

Какая именно ошибка? Если запустить

В CMD запускаю, ошибки нет никакой.

Проверка объектов в карантине
Некоторые проверенные объекты не содержат угроз. Вы хотите восстановить эти объекты?

Но через 10 минут опять вирус. Делал полную проверку, ничего не найдено.

  • Наверх

#15


Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff

  • 19 401 Сообщений:

Отправлено 30 Март 2022 — 14:12

я понимаю что ничего не понимаю

With best regards, Konstantin Yudin
Doctor Web, Ltd.

  • Наверх

#16


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 30 Март 2022 — 15:28

я понимаю что ничего не понимаю

Аналогично.

Я понимаю, что проблема только у меня, раз больше никто не сообщил, но даже не знаю, где и что искать, если сканер молчит. Более того,  если после создания url, копию этого файла копирую в другую папку и после восстановления из карантина делаю текстовое сравнение в Total Commander, то  файлы полностью совпадают, разница только в дате совпадают(при восстановлении из карантина время меняется).

Допускаю, что были вирусы и потому спайдер эти файлы смувил в карантин.

Но я создаю новый url и через 10 минут эта песня начинается с начала.

Второе более непонятно. В карантине делаю проверку, вирусов нет, тогда восстанавливаю, но через 10 минут см. скриншот в #1

За последнее время были только 2 обновления.

Виндоус обновлися, см. #10

и 16 марта PaperScan 4 Professional Edition(в paperscanpro4.exe Trojan.Siggen17.23276), при скачивании Др.ВЕБ обнаружил в их ехе троян и я сразу же удалил, отчет выслал в их фирму, ответ не пришел.

18 марта я скачад этот же ехе с тем же CRC32, но вируса уже не было и установил.

А 25 марта начались вирусы в url.

Не знаю, есть ли связь с этими обновлениями.

Если создать такие же закладки в FF, то спайдер не говорит ничего.

И ещё, спайдер вирус находит только в папке с закладками, другие папки с копией ему без разницы.

Возможно, что это мелкие пакости от мелкомягких?

Сообщение было изменено ЛСергей: 30 Март 2022 — 15:31

  • Наверх

#17


Alexandr_Goldenberg

Alexandr_Goldenberg

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 05 Май 2022 — 03:16

У меня похожая ситуация. 25 марта Spider обнаружил SHORTCUT:MALWARE.URL в 10 ссылках в папке Favorites и вылечил их, т.е. просто удалил. После этого я запускал сканер на полную проверку: угроз не было обнаружено.

Вчера я перепроверил те 10 объектов в карантине, объекты оказались чистыми, и я их восстановил. Затем я запустил сканер на полную проверку, и эти 10 объектов опять выявлены как зараженные SHORTCUT:MALWARE.URL. При этом сканер в таблице с результатами проверки отметил их как измененные системные объекты.

  • Наверх

#18


Alexandr_Goldenberg

Alexandr_Goldenberg

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 06 Май 2022 — 08:45

Правда, в моем случае ссылки ведут на сайты, находящиеся в базе вредоносных сайтов Dr.Web.

Видимо, проверяются ссылки только в папке Favorites, поэтому в карантине они чистые.

  • Наверх

#19


Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff

  • 19 401 Сообщений:

Отправлено 06 Май 2022 — 13:40

в карантине рескан идет только по сигнатурам движка, а это детект из облака

и то не фолс

With best regards, Konstantin Yudin
Doctor Web, Ltd.

  • Наверх

#20


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 10 Май 2022 — 21:02

Правда, в моем случае ссылки ведут на сайты, находящиеся в базе вредоносных сайтов Dr.Web.

Видимо, проверяются ссылки только в папке Favorites, поэтому в карантине они чистые.

У меня на чистые сайты и сканер не видит там вирус. Напр. сайт с svg icons. Не смог я ничего придумать, сделал страницу на своем сайте и там разместил.

В моём случае, вирус детектировался без запуска сканера, 10 минут примерно и сообщение о вирусе. В тоже время, если просто смувить из папки Favorites, то уже не вирус.

  • Наверх

Система Windows использует одновременно множество файлов, так как является многозадачной и запускает много фоновых служб. И каждое запущенное приложение также использует не только свои собственные файлы, но и функции системы, которые содержатся в файлах с расширением dll и называются библиотеками. В них запрограммированы определённые алгоритмы, которыми активно пользуются программисты. Это сильно облегчает использование возможностей системы и ускоряет разработку программ. Кстати, именно поэтому некоторые программы могут не работать на других версиях Windows – потому что в них нет нужных библиотек.

Что такое процесс rundll32.exe и как его отключить

Работа с процессом rundll32.exe.

Если нажать клавиши Ctrl+Alt+Delete и перейти в диспетчер задач, то на вкладке «Службы» можно обнаружить множество запущенных процессов, которые работают в данный момент. Среди них найдётся и rundll32.exe, но что это такое? Многие почему-то считают его отдельным приложением, причём вредоносным. Вероятно, потому что в случае многих возникающих системных сбоев появляется сообщение с упоминанием этой службы. На самом деле хост-процесс Windows под названием rundll32 необходим для подключения в нужный момент нужных библиотек dll. Сами по себе они не являются исполняемыми, а содержат лишь некие алгоритмы. Делается это по требованию системы или разных приложений. Он как бы отыскивает и предоставляет доступ к нужным функциям тем программам, которым они требуются. Появление ошибки с упоминанием этого процесса чаще всего означает, что нужной библиотеки не нашлось. Это бывает из-за разных причин, в том числе и неправильно установленной программы.

Ошибка процесса rundll32.exe

Теперь вы знаете, что это за процесс. Также следует знать, что он не всегда необходим, так как срабатывает лишь при необходимости. Но иногда он прописывается в автозагрузке и стартует вместе с системой, что не всегда нужно, но создаёт лишнюю нагрузку и расходует память. Причём запускается он не сам по себе, а посредством какой-нибудь программы – если её отключить, то и rundll32.exe тоже не будет запускаться.

Месторасположение

Файл rundll32.exe располагается в папке установленной системы Windows, в поддиректории System32, если система 32-битная, или в SysWOW64 в случае 64-битной. Но иногда можно обнаружить, что запущенная служба с таким же именем находится в другой папке, иногда вообще за пределами системы – это вредоносная программа, которую просто маскируют под распространённую службу. Если такая обнаружена, нужно немедленно её остановить и проверить компьютер антивирусом. Точно узнать, из какого места запускается этот файл, несложно. Всю информацию может показать, например, приложение Process Explorer, которую можно скачать с сайта Microsoft. Оно выводит список всех фоновых процессов и подробную информацию по любому из них.

Месторасположение файла rundll32.exe

Ошибки со ссылкой на процесс rundll32.exe

Иногда можно увидеть сообщение об ошибке такого типа «Windows cannot find C:WindowsRundll32.exe. Make sure you typed the name correctly and try again». Это значит, что система не обнаружила rundll32.exe. Если такое случилось, это повод немедленно проверить компьютер антивирусом. Решить же проблему с отсутствующим файлом поможет диск или флешка с системой Windows. Действовать нужно по инструкции, которая появится при ошибке. Отсутствующий файл найдётся в дистрибутиве и скопируется в системную папку. Исправить проблему с rundll32.exe поможет и программа DLL Suite, которую несложно найти в Интернете. Она просканирует системные папки и найдёт все проблемы с библиотеками. В том числе это приложение проверяет наличие файла rundll32.exe, и при необходимости может скачать его официальную версию.

Программа DLL Suite

Как отключить процесс rundll32 в Windows

Как правило, этот процесс запускается не самостоятельно, а только вместе с какой-либо программой, которой требуется доступ к сторонним библиотекам. Чтобы отключить его, сначала нужно завершить работу этой программы, что не всегда просто, так как это может быть и драйвер какого-либо устройства. Выявить её поможет Process Explorer – эта утилита покажет, какое приложение запускает этот процесс. После этого действия несколько отличаются в зависимости от версии Windows. В 7 версии введите команду msconfig в командной строке и появится окно с вкладкой «Автозагрузка». Там нужно отключить приложение, которое и запускает нежелательный процесс. После перезагрузки его не должно быть в списке запущенных. В Windows 8 и 10 в Панели управления есть пункт «Автозагрузка», где можно сделать то же самое. Но помните: если отключить хост-процесс rundll32 в Windows, он всё равно запустится, когда в этом возникнет необходимость.

Как удалить rundll32.exe совсем? Это можно сделать, хотя и с трудом, так как Windows защищает системные файлы от удаления. Простейший способ обойти это – загрузиться с диск или флешки, а потом можно удалять что угодно. Но делать этого не нужно. Такой шаг повлечёт за собой множество проблем с самыми разными приложениями, в том числе с драйверами устройств, система станет нестабильной, будет часто показывать сообщение об ошибке, а некоторые программы перестанут работать. Безопасно, и даже полезно удалять этот файл, если он на самом деле вредоносный, маскирующийся под настоящий. Но свежий антивирус, скорее всего, выявит его сам и предупредит вас об этом.

На чтение 7 мин. Просмотров 5.3k. Опубликовано 03.09.2019

Файлы Rundll32.exe – это системные процессы, связанные с функционированием Windows 10. Эти файлы на самом деле являются частью сети кода, соединяющей множество программ на вашем компьютере. Повторное использование одного и того же кода для различных программ повышает вычислительную мощность и объем памяти вашей системы.

Принимая во внимание огромную сложность таких кодовых сетей, иногда появляются ошибки. Ошибки Rundll32.exe в основном вызваны поврежденными файлами DLL, отсутствующими файлами DLL, общим файлом DLL, удаленным или зараженным вирусом, или неправильными записями DLL в реестре Windows.

Содержание

  1. Вот что вы можете сделать, чтобы исправить ошибки Rundll32.exe в Windows 10
  2. Решение 1. Проверьте свой антивирус
  3. Способ 2 – заменить поврежденный файл с помощью восстановления при загрузке
  4. Способ 3 – Используйте команду scannow
  5. Способ 4 – Заменить поврежденный файл Rundll
  6. Решение 4. Очистите кеш браузера и закройте все вкладки.
  7. Решение 5. Убедитесь, что ваш компьютер обновлен
  8. Решение 6 – Выполнить восстановление системы

Вот что вы можете сделать, чтобы исправить ошибки Rundll32.exe в Windows 10

Ошибка Rundll32.exe может вызвать определенные проблемы на вашем компьютере. Говоря об этой ошибке, пользователи сообщили о следующих проблемах:

  • Rundll32.exe ошибка Windows 10, Windows 8, Windows 7 . Эта ошибка может появляться в любой версии Windows, включая Windows 8 и Windows 7. Даже если вы не используете Windows 10, вам следует возможность применения большинства наших решений на ПК с Windows 8 или Windows 7.
  • Вирус Rundll32.exe, ошибка на флеш-накопителе . Если эта ошибка возникает при подключении флеш-накопителя, возможно, ваш флеш-накопитель заражен вредоносным ПО. Чтобы решить эту проблему, используйте антивирусную программу и выполните детальное сканирование вашего флешки.
  • Ошибка приложения Rundll32.exe . Иногда эта проблема может возникать из-за вашего антивируса. Чтобы устранить проблему, вам, возможно, придется изменить несколько настроек и проверить, решает ли это проблему.
  • Rundll32.exe ошибка точки входа не найдена, память не может быть записана, процесс открытия . Существует много проблем, которые могут возникнуть из-за Rundll32.exe. Если у вас есть какие-либо из этих ошибок, попробуйте запустить сканирование SFC и DISM и проверьте, устраняет ли это вашу проблему.
  • Rundll32.exe ошибка времени выполнения, ошибка выключения . Эта ошибка может иногда появляться при попытке выключить компьютер. Если это произойдет, вам, возможно, придется выполнить восстановление системы и проверить, решает ли это проблему.
  • Rundll32.exe ошибка при загрузке, сбой при запуске – Иногда эта ошибка может появиться, как только ваш компьютер загружается. Это странная проблема, но вы сможете исправить ее, создав новую учетную запись пользователя.

Решение 1. Проверьте свой антивирус

Если на вашем компьютере появляется ошибка Rundll32.exe, наиболее вероятной причиной может быть ваш антивирус. Несколько пользователей сообщили, что основной причиной была особенность песочницы их антивируса. По словам пользователей, Rundll32.exe был добавлен в «песочницу» на их антивирусе, и это привело к появлению проблемы. Чтобы решить проблему, вам нужно удалить Rundll32 из песочницы и проверить, решает ли это проблему. Пользователи сообщали об этой проблеме с Avast, но проблема может также появиться с другими антивирусными инструментами, которые поддерживают функцию песочницы.

  • ЧИТАЙТЕ ТАКЖЕ: Исправлено: ошибка Windows 10 netwtw04.sys

Если изменение настроек антивируса не решает проблему, возможно, вам придется удалить антивирус. Есть несколько способов сделать это, но лучше всего использовать специальный инструмент для удаления. Вы можете бесплатно загрузить антивирусное средство от разработчика антивируса.

После удаления антивируса проверьте, сохраняется ли проблема. Если нет, это означает, что ваш антивирус был причиной проблемы. Чтобы проблема не появлялась в будущем, рекомендуется переключиться на другое антивирусное решение. Существует множество отличных антивирусных инструментов, но лучшими являются Bitdefender , Panda Antivirus и BullGuard .

Способ 2 – заменить поврежденный файл с помощью восстановления при загрузке

  1. Введите Параметры восстановления в поле поиска> дважды щелкните Параметры восстановления.

  2. Перейдите в Расширенный запуск > Перезагрузите сейчас.

  3. Ваш компьютер запустит синее окно> выберите Устранение неполадок.
  4. Выберите Дополнительные параметры > Параметры запуска > Перезагрузить.
  5. Появится новый список настроек> Выберите Включить отладку .

Способ 3 – Используйте команду scannow

Иногда эта проблема может возникнуть из-за повреждения файла. Повреждение файла может появиться по разным причинам, и если у вас есть проблемы с ошибкой Rundll32.exe, вы можете решить эту проблему, запустив сканирование SFC. Для этого просто выполните следующие действия:

  1. Нажмите Windows Key + X , чтобы открыть меню Win + X. Теперь выберите Командная строка (Администратор) или PowerShell (Администратор) из списка.
  2. Теперь введите sfc/scannow и нажмите Enter , чтобы начать сканирование SFC.
  3. Помните, что это сканирование может занять около 15 минут и более, поэтому не вмешивайтесь в него.

По завершении сканирования проверьте, сохраняется ли проблема. Если вы не можете запустить сканирование SFC, или если проблема все еще присутствует, вы можете решить проблему, запустив сканирование DISM. Для этого выполните следующие действия:

  1. Запустите Командную строку от имени администратора.
  2. Введите и выполните команду DISM/Online/Cleanup-Image/RestoreHealth .
  3. Сканирование DISM начнется. Стоит отметить, что это сканирование может занять более 20 минут, поэтому не прерывайте его.

После завершения сканирования DISM проверьте, устранена ли проблема. Если вам не удалось запустить сканирование SFC ранее, обязательно запустите его после завершения сканирования DISM и проверьте, решает ли это вашу проблему.

  • ЧИТАЙТЕ ТАКЖЕ: ИСПРАВЛЕНИЕ: «avira.servicehost.exe столкнулся с проблемой» в Windows 10

Способ 4 – Заменить поврежденный файл Rundll

Иногда эта проблема может возникнуть, если ваш файл Rundll32.exe поврежден. Чтобы решить эту проблему, необходимо скопировать Rundll32.exe с рабочего компьютера на компьютер. Просто найдите другой ПК с Windows 10 и перейдите на страницу C: W indows S ystem32 и найдите Файл Rundll32.exe . Скопируйте этот файл на USB-накопитель.

Теперь вам просто нужно подключить флешку к вашему ПК и скопировать Rundll32.exe в каталог C: WindowsSystem32 . Перезапишите файл и перезагрузите компьютер. После перезагрузки ПК проблема должна быть полностью решена. Помните, что перезапись системных файлов может быть потенциально опасной, поэтому вы заменяете системные файлы на свой страх и риск.

Решение 4. Очистите кеш браузера и закройте все вкладки.

Несколько пользователей сообщили об ошибке Rundll32.exe в их браузере. Если у вас возникла эта проблема, скорее всего, на одной из ваших вкладок открыт веб-сайт мошенников. Если эта проблема возникает в вашем браузере, попробуйте очистить историю посещенных страниц и кеш.

Если это не работает, не забудьте закрыть вкладку, которая дает вам это сообщение, и все должно вернуться к нормальной жизни. Вы также можете открыть другой браузер и проверить, появляется ли проблема снова. Если нет, это означает, что у вас просто есть мошеннический сайт, открытый в другом браузере.

Независимо от того, что говорится в сообщении в браузере, ваш компьютер не заражен и ваши файлы не повреждены, так что вам не о чем беспокоиться. Просто закройте эту вкладку, и проблема больше не будет появляться.

Решение 5. Убедитесь, что ваш компьютер обновлен

Иногда проблемы с Rundll32.exe могут возникнуть из-за определенных ошибок в вашей системе. Однако вы можете решить проблему, просто установив последние обновления. По умолчанию Windows 10 автоматически устанавливает отсутствующие обновления, но иногда вы можете пропустить важное обновление.

  • ЧИТАЙТЕ ТАКЖЕ: как исправить проблемы Winload.exe в Windows 10, 8, 8.1

Однако вы всегда можете проверить наличие обновлений вручную. Это довольно просто, и вы можете сделать это, выполнив следующие действия:

  1. Нажмите Ключ Windows + I , чтобы открыть приложение Настройки .
  2. Перейдите в раздел Обновление и безопасность .
  3. Нажмите кнопку Проверить наличие обновлений .

Теперь Windows проверит наличие доступных обновлений и автоматически загрузит их в фоновом режиме. После загрузки обновлений они будут установлены автоматически, как только вы перезагрузите компьютер. Как только ваш компьютер обновится, проверьте, сохраняется ли проблема.

Решение 6 – Выполнить восстановление системы

Если вы часто получаете ошибку Rundll32.exe на вашем компьютере, вы можете исправить проблему, выполнив Восстановление системы. Если вы не знакомы, Восстановление системы – это полезная функция, которая позволяет восстановить прежний режим работы вашего ПК и устранить многие проблемы. Чтобы использовать восстановление системы, вам необходимо сделать следующее:

  1. Нажмите Windows Key + S и введите восстановление системы . Выберите в меню Создать точку восстановления системы .
  2. Теперь нажмите кнопку Восстановление системы .
  3. Появится окно Восстановление системы . Нажмите Далее , чтобы продолжить.
  4. Если доступно, установите флажок Показать больше точек восстановления .Теперь выберите нужную точку восстановления и нажмите Далее , чтобы продолжить.
  5. Следуйте инструкциям на экране для завершения процесса восстановления.

После завершения процесса восстановления проверьте, устранена ли проблема.

Если вы нашли другие обходные пути для решения этой проблемы, вы можете поделиться ими с сообществом в разделе комментариев ниже.

Примечание редактора . Этот пост был первоначально опубликован в июле 2016 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.

Содержание

  1. Полная ошибка Rundll32.exe в Windows 10, 8.1, 7
  2. Вот что вы можете сделать, чтобы исправить ошибки Rundll32.exe в Windows 10
  3. Решение 1. Проверьте свой антивирус
  4. Способ 2 – заменить поврежденный файл с помощью восстановления при загрузке
  5. Способ 3 – Используйте команду scannow
  6. Способ 4 – Заменить поврежденный файл Rundll
  7. Решение 4. Очистите кеш браузера и закройте все вкладки.
  8. Решение 5. Убедитесь, что ваш компьютер обновлен
  9. Решение 6 – Выполнить восстановление системы
  10. Как скачать и исправить rundll32.exe?
  11. Исправьте ошибки rundll32.exe
  12. Информация о файле
  13. Наиболее распространенные проблемы с файлом rundll32.exe
  14. rundll32.exe
  15. Как исправить ошибки rundll32.exe всего за несколько шагов?
  16. Шаг 1.. Сканирование компьютера на наличие вредоносных программ.
  17. Шаг 2.. Обновите систему и драйверы.
  18. Шаг 3.. Используйте средство проверки системных файлов (SFC).
  19. Шаг 4. Восстановление системы Windows.
  20. Загрузите и замените файл rundll32.exe

Полная ошибка Rundll32.exe в Windows 10, 8.1, 7

Файлы Rundll32.exe – это системные процессы, связанные с функционированием Windows 10. Эти файлы на самом деле являются частью сети кода, соединяющей множество программ на вашем компьютере. Повторное использование одного и того же кода для различных программ повышает вычислительную мощность и объем памяти вашей системы.

Принимая во внимание огромную сложность таких кодовых сетей, иногда появляются ошибки. Ошибки Rundll32.exe в основном вызваны поврежденными файлами DLL, отсутствующими файлами DLL, общим файлом DLL, удаленным или зараженным вирусом, или неправильными записями DLL в реестре Windows.

Вот что вы можете сделать, чтобы исправить ошибки Rundll32.exe в Windows 10

Ошибка Rundll32.exe может вызвать определенные проблемы на вашем компьютере. Говоря об этой ошибке, пользователи сообщили о следующих проблемах:

Решение 1. Проверьте свой антивирус

Если на вашем компьютере появляется ошибка Rundll32.exe, наиболее вероятной причиной может быть ваш антивирус. Несколько пользователей сообщили, что основной причиной была особенность песочницы их антивируса. По словам пользователей, Rundll32.exe был добавлен в «песочницу» на их антивирусе, и это привело к появлению проблемы. Чтобы решить проблему, вам нужно удалить Rundll32 из песочницы и проверить, решает ли это проблему. Пользователи сообщали об этой проблеме с Avast, но проблема может также появиться с другими антивирусными инструментами, которые поддерживают функцию песочницы.

Если изменение настроек антивируса не решает проблему, возможно, вам придется удалить антивирус. Есть несколько способов сделать это, но лучше всего использовать специальный инструмент для удаления. Вы можете бесплатно загрузить антивирусное средство от разработчика антивируса.

Способ 2 – заменить поврежденный файл с помощью восстановления при загрузке

Способ 3 – Используйте команду scannow

Иногда эта проблема может возникнуть из-за повреждения файла. Повреждение файла может появиться по разным причинам, и если у вас есть проблемы с ошибкой Rundll32.exe, вы можете решить эту проблему, запустив сканирование SFC. Для этого просто выполните следующие действия:

По завершении сканирования проверьте, сохраняется ли проблема. Если вы не можете запустить сканирование SFC, или если проблема все еще присутствует, вы можете решить проблему, запустив сканирование DISM. Для этого выполните следующие действия:

После завершения сканирования DISM проверьте, устранена ли проблема. Если вам не удалось запустить сканирование SFC ранее, обязательно запустите его после завершения сканирования DISM и проверьте, решает ли это вашу проблему.

Способ 4 – Заменить поврежденный файл Rundll

lazy placeholder

Решение 4. Очистите кеш браузера и закройте все вкладки.

Несколько пользователей сообщили об ошибке Rundll32.exe в их браузере. Если у вас возникла эта проблема, скорее всего, на одной из ваших вкладок открыт веб-сайт мошенников. Если эта проблема возникает в вашем браузере, попробуйте очистить историю посещенных страниц и кеш.

Если это не работает, не забудьте закрыть вкладку, которая дает вам это сообщение, и все должно вернуться к нормальной жизни. Вы также можете открыть другой браузер и проверить, появляется ли проблема снова. Если нет, это означает, что у вас просто есть мошеннический сайт, открытый в другом браузере.

Независимо от того, что говорится в сообщении в браузере, ваш компьютер не заражен и ваши файлы не повреждены, так что вам не о чем беспокоиться. Просто закройте эту вкладку, и проблема больше не будет появляться.

Решение 5. Убедитесь, что ваш компьютер обновлен

Иногда проблемы с Rundll32.exe могут возникнуть из-за определенных ошибок в вашей системе. Однако вы можете решить проблему, просто установив последние обновления. По умолчанию Windows 10 автоматически устанавливает отсутствующие обновления, но иногда вы можете пропустить важное обновление.

Однако вы всегда можете проверить наличие обновлений вручную. Это довольно просто, и вы можете сделать это, выполнив следующие действия:

Теперь Windows проверит наличие доступных обновлений и автоматически загрузит их в фоновом режиме. После загрузки обновлений они будут установлены автоматически, как только вы перезагрузите компьютер. Как только ваш компьютер обновится, проверьте, сохраняется ли проблема.

Решение 6 – Выполнить восстановление системы

Если вы часто получаете ошибку Rundll32.exe на вашем компьютере, вы можете исправить проблему, выполнив Восстановление системы. Если вы не знакомы, Восстановление системы – это полезная функция, которая позволяет восстановить прежний режим работы вашего ПК и устранить многие проблемы. Чтобы использовать восстановление системы, вам необходимо сделать следующее:

После завершения процесса восстановления проверьте, устранена ли проблема.

Если вы нашли другие обходные пути для решения этой проблемы, вы можете поделиться ими с сообществом в разделе комментариев ниже.

Примечание редактора . Этот пост был первоначально опубликован в июле 2016 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.

Источник

Как скачать и исправить rundll32.exe?

Иногда система Windows отображает сообщения об ошибках поврежденных или отсутствующих файлов rundll32.exe. Подобные ситуации могут возникнуть, например, во время процесса установки программного обеспечения. Каждая программа требует определенных ресурсов, библиотек и исходных данных для правильной работы. Поэтому поврежденный или несуществующий файл rundll32.exe может повлиять на неудачное выполнение запущенного процесса.

windowsСовместим с: Windows 10, Windows 8.1, Windows 8, Windows 7, Windows 7, Windows Vista, Windows Vista, Windows XP

Исправьте ошибки rundll32.exe

Информация о файле

Основная информация
Имя файла rundll32.exe
Расширение файла EXE
Описание Windows host process (Rundll32)
Программного обеспечения
программа Microsoft® Windows® Operating System
автор Microsoft Corporation
подробности
MIME тип application/octet-stream
Тип файла Executable application
система Windows NT 32-bit
Авторские права © Microsoft Corporation. All rights reserved.
Набор символов Unicode
Языковая треска English (U.S.)

Наиболее распространенные проблемы с файлом rundll32.exe

Существует несколько типов ошибок, связанных с файлом rundll32.exe. Файл rundll32.exe может находиться в неправильном каталоге файлов на вашем устройстве, может отсутствовать в системе или может быть заражен вредоносным программным обеспечением и, следовательно, работать неправильно. Ниже приведен список наиболее распространенных сообщений об ошибках, связанных с файлом rundll32.exe. Если вы найдете один из перечисленных ниже (или похожих), рассмотрите следующие предложения.

rundll32.exe

Не удалось запустить приложение, так как отсутствует файл rundll32.exe. Переустановите приложение, чтобы решить проблему.

Проблемы, связанные с rundll32.exe, могут решаться различными способами. Некоторые методы предназначены только для опытных пользователей. Если вы не уверены в своих силах, мы советуем обратиться к специалисту. К исправлению ошибок в файле rundll32.exe следует подходить с особой осторожностью, поскольку любые ошибки могут привести к нестабильной или некорректно работающей системе. Если у вас есть необходимые навыки, пожалуйста, продолжайте.

Как исправить ошибки rundll32.exe всего за несколько шагов?

Ошибки файла rundll32.exe могут быть вызваны различными причинами, поэтому полезно попытаться исправить их различными способами.

Шаг 1.. Сканирование компьютера на наличие вредоносных программ.

step1

Файлы Windows обычно подвергаются атаке со стороны вредоносного программного обеспечения, которое не позволяет им работать должным образом. Первым шагом в решении проблем с файлом rundll32.exe или любыми другими системными файлами Windows должно быть сканирование системы на наличие вредоносных программ с использованием антивирусного инструмента.

Шаг 2.. Обновите систему и драйверы.

step2

Установка соответствующих исправлений и обновлений Microsoft Windows может решить ваши проблемы, связанные с файлом rundll32.exe. Используйте специальный инструмент Windows для выполнения обновления.

Помимо обновления системы рекомендуется установить последние версии драйверов устройств, так как драйверы могут влиять на правильную работу rundll32.exe или других системных файлов. Для этого перейдите на веб-сайт производителя вашего компьютера или устройства, где вы найдете информацию о последних обновлениях драйверов.

Шаг 3.. Используйте средство проверки системных файлов (SFC).

step3

Шаг 4. Восстановление системы Windows.

step4

Другой подход заключается в восстановлении системы до предыдущего состояния до того, как произошла ошибка файла rundll32.exe. Чтобы восстановить вашу систему, следуйте инструкциям ниже

Если все вышеупомянутые методы завершились неудачно и проблема с файлом rundll32.exe не была решена, перейдите к следующему шагу. Помните, что следующие шаги предназначены только для опытных пользователей

Загрузите и замените файл rundll32.exe

Перейдите в папку, в которой должен находиться файл, и вставьте загруженный файл. Ниже приведен список путей к каталогу файлов rundll32.exe.

Источник

Файл Rundll32.exe достаточно часто является причиной отображения ошибок о некорректной работе в системе. Часто именно из-за него Windows начинает «зависать» и неправильно работать. Поэтому стоит разобраться более детально, что представляет собой этот компонент и может ли он стать причиной проблем в работе системы.

Наличие файла Rundll32 является причиной вопросов у многих пользователей – зачем он постоянно находится в системных процессах и для чего он используется. Однако его наличие необходимо, поскольку он выполняет вспомогательные функции. Так, в папке любой установленной программы на ПК имеется несколько библиотек .dll. Последние невозможно самостоятельно запустить и эта задача лежит именно на хост процессе Rundll32.Диспетчер устройств

Другими словами, без наличия этого файла большинство программ или игр не смогут попросту запуститься. Исключением будут только наиболее простые приложения.

Расположение файла

Найти его несложно, поскольку он относится к категории системных компонентов Windows. Соответственно, он хранится в каталоге C:WindowsSystem32 – если на компьютере установлена 32-разрядная ОС.

В случае с 64-битными версиями, его можно найти по пути C:WindowsSysWOW64. Утилита является исполняемой и по умолчанию она запускается в процессе загрузки Windows. Однако включить ее можно и своими силами просто запустив файл, если произошло непредвиденное отключение.

Принцип работы

Изначально следует разобраться с файлами dll. Они являются библиотеками, которые содержат в себе код программы или ресурсы (графика, шрифты, команды и другая необходимая информация). Для их использования нужно, чтобы приложение сделало запрос на их запуск. Причем после остановки работы программы библиотеки также будут отключены.

Такой алгоритм позволяет избежать лишних нагрузок на систему, поскольку обращаться к библиотекам из приложения на определенное время всегда выгоднее, чем запустить их в фоновом режиме и оставить включенными постоянно.

При этом в Windows содержится множество таких библиотек и требуется отдельный инструмент, который будет определять необходимость их запуска и использования ими ресурсов. Это делает Rundll32, которая ответственна за правильный запуск драйверов, элементов ActiveX и других компонентов, которые делают систему такой, какая она есть в рабочем состоянии.

Rundll32 грузит систему

Поскольку rundll32 является системным файлом, он ни в коем случае не должен чрезмерно перенагружать систему. Тем не менее, такое случается и достаточно часто. Так, если включить «Диспетчер задач«, можно увидеть, как процесс rundll32 может загружать процессор на 25% и более. Однако зная, что файл создан исключительно для запуска других dll-библиотек, становится понятно – проблема не в нем, а том, что он запускает.Диспетчер устройств

Следовательно, потребуется определить – что именно он запускает. Варианты могут быть различны – например, во время запуска игры осуществляется обращение к неправильно работающему драйверу (dll или drv), который из-за недостаточной оптимизации как раз и забирает ненужные ему ресурсы. Соответственно, потребуется замена последнего, чтобы исправить эту ошибку.Файл вызывает ошибку

Однако проблема может заключаться и в наличии вируса. Часто злоумышленники называют свои вредоносные программы именно таким именем, чтобы они могли восприниматься пользователем и системой, как стандартные файлы. Если вирус заменил собой оригинальный компонент, с его помощью можно без особых трудностей перехватить контроль над компьютером пользователя или выманить у него личные данные для входа на различные сервисы.

В таком случае приходится прибегать к помощи антивирусов. Только они позволяют определить – заражен ли системный файл или нет и удалить его в случае необходимости.

Частые ошибки

Любая ошибка в Windows, в описании которой будет указан rundll32, является следствием указанных ниже неполадок, которые могут  сопровождаться текстом «прекращена работа программы» и описанием «Хост процесс Windows rundll32».:

  1. Ключи в системном реестре были повреждены или удалены. Потребуется установка системной утилиты CCleaner, которая сможет восстановить все, как было.
  2. В системе произошло заражение вирусом. Необходимо воспользоваться антивирусным приложением – Norton, Касперский, Avast или Dr.Web справляются с этой задачей.
  3. Какое-либо приложение было неправильно установлено или удалено. Здесь два варианта – заново установить операционную систему или воспользоваться системным инструментом sfc/scannow.Вид ошибки

Что касается переустановки ОС – этот вариант не всегда подходит, поскольку этот процесс занимает время и затем потребуется еще раз устанавливать и настраивать все программы, что были раннее.

Инструмент sfc/scannow позволяет проверить системные файлы на целостность и восстановить их в случае необходимости. Чтобы ее запустить, следует в командной строке с правами администратора набрать sfc/scannow и нажать Enter. Затем останется подождать, пока не будет проведено сканирование и замена поврежденного Rundll32 копией из кэша.Процесс проверки

Источник

11 hours ago, digmorcrusher said:

Go to the WhitelistCloud section and see if Malwarebytes is marked as Safe, if not whitelist it. If this doesn’t help I can pass this on to developer to see what he says.

Yes, Malwarebytes is whitelisted.

Since this problem, I’ve run numerous time the scan by MB and that particular message didn’t return. Even if a open the registry of VoodooShield, I only found that particular entry listed two times, when the popup first occured.

I deleted the block setting and the registry to see if the message come back, but to this moment that particulat «script» didn’t run.

I believe that the MB trigger was only a coincidence. In that particular moment something runs rundll with that option and at the same moment I was trying the scan from MB. I try again immediatly after and the blocked script popup again.

I don’t know if a need to open another thread becuase now this seems uncorrelated.

I tried searching online and «rundll32.exe c:\windows\system32\davclnt.dll,davsetcookie» seems used by malware, buti n my case the host is note an IP, but the name of my PC… It seems like davsetcookie accessed /root/subscription:nteventlogeventconsumer.name:d»scm event log consumer» (I cleaned the previous script which contains many %).

I don’t know how this nteventlogeventconsumer work. From my basic understanding davsetcookie in related to WebDav, a client to access remote documents. But I do not use remote document and I don’t know if it’s normal that the scm event log consumer was accessed via http or like a webpage, instead that normally written locally like a normal file.

15 hours ago, Porthos said:

Sounds like you need to allow or exclude Malwarebytes in that product.

Please see my upper quote. At this moment I believe the strange behaviour with MB was only a coincidence, and VoodooShiled only alerted the execution of the previous code, which I don’t know if is maliciuos or not…

Источник

Hi, we noticed that since we upgraded few computers to Windows 10 Build 1709 (Fall Creators Update), two of these machines kept scanning the network for WebDAV shares. On practically all servers that have IIS installed with a website on port 80, we find
this kind of logs:

2017-10-25 07:05:16 <SERVERIP> OPTIONS /d$/ - 80 - <CLIENTIP> Microsoft-WebDAV-MiniRedir/10.0.16299 200 0 0 234 
2017-10-25 07:05:16 <SERVERIP> PROPFIND /d$/ - 80 - <CLIENTIP> Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 78 
2017-10-25 07:05:24 <SERVERIP> PROPFIND /f$/ - 80 - <CLIENTIP> Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 78 
2017-10-25 07:05:41 <SERVERIP> OPTIONS /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 200 0 0 93 
2017-10-25 07:05:41 <SERVERIP> PROPFIND /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:41 <SERVERIP> PROPFIND /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:42 <SERVERIP> PROPFIND /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:42 <SERVERIP> PROPFIND /ADMIN$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 234 
2017-10-25 07:05:44 <SERVERIP> PROPFIND /C$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:44 <SERVERIP> PROPFIND /C$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 78 
2017-10-25 07:05:44 <SERVERIP> PROPFIND /C$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:45 <SERVERIP> PROPFIND /C$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:45 <SERVERIP> PROPFIND /E$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:45 <SERVERIP> PROPFIND /E$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 109 
2017-10-25 07:05:46 <SERVERIP> PROPFIND /E$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93 
2017-10-25 07:05:46 <SERVERIP> PROPFIND /E$ - 80 - 10.208.8.183 Microsoft-WebDAV-MiniRedir/10.0.16299 404 0 2 93

We captured network traffic with Wireshark, and found conversations like this:

PROPFIND /admin%24/ HTTP/1.1 
Connection: Keep-Alive 
User-Agent: Microsoft-WebDAV-MiniRedir/10.0.16299 
Depth: 0 
translate: f 
Content-Length: 0 
Host: <HOSTNAME>
HTTP/1.1 404 Not Found 
Content-Type: text/html 
Server: Microsoft-IIS/8.5 
Date: Wed, 25 Oct 2017 07:53:40 GMT 
Content-Length: 1245 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml"> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/> 
<title>404 - File or directory not found.</title> 
<style type="text/css"> 
<!-- 
body{margin:0;font-size:.7em;font-family:Verdana, Arial, Helvetica, sans-serif;background:#EEEEEE;} 
fieldset{padding:0 15px 10px 15px;}  
h1{font-size:2.4em;margin:0;color:#FFF;} 
h2{font-size:1.7em;margin:0;color:#CC0000;}  
h3{font-size:1.2em;margin:10px 0 0 0;color:#000000;}  
#header{width:96%;margin:0 0 0 0;padding:6px 2% 6px 2%;font-family:"trebuchet MS", Verdana, sans-serif;color:#FFF; 
background-color:#555555;} 
#content{margin:0 0 0 2%;;} 
.content-container{background:#FFF;width:96%;margin-padding:10px;;} 
--> 
</style> 
</head> 
<body> 
<div id="header"><h1>Server Error</h1></div> 
<div id="content"> 
<div class="content-container"><fieldset> 
<h2>404 - File or directory not found.</h2> 
<h3>The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.</h3> 
</fieldset></div> 
</div> 
</body> 
</html>

First we thought of Malware, but multiple scanners did not find any suspicious files or processes on any of the affected machines.

We then did some more tests and found that the issue happens only if both «Offline Files» (CSC) and «WebClient» services are running. It seems that Offline Files service initiates WebClient service to run commands like this:

rundll32.exe C:\WINDOWS\system32\davclnt.dll,DavSetCookie <SERVERNAME> http://<SERVERNAME>/admin%24/

and then that process performs the actual scan.

This happens for a large range of IP addresses as well as for a large number of hostnames, and on these it seems to scan for C$, D$, E$, F$ and ADMIN$.

To me this is typical Malware behavior, but yet it seems that it is a ‘feature’ of Windows 10 Build 1709.

I am not 100 % sure, but probably we somehow accessed all these machines recently. For example, I checked all servers if a certain file exists on these — probably this triggers the Offline Files service to check for WebDAV shares on these systems. On the
other hand, I saw that it tried to access another system that is not a server, so I am really not sure if that is related.

On the two affected machines, this behavior clearly started after the upgrade from 1703 to 1709. (One of the affected machines was upgraded with installation media from licensing.microsoft.com, the other was upgraded by Windows Update, so it cannot be an
infected installation media.) 

Did anyone notice similar behavior? 

  • Edited by

    Thursday, October 26, 2017 9:46 AM

Источник
  • File Path: C:\Windows\system32\davclnt.dll
  • Description: Web DAV Client DLL

Hashes

Type Hash
MD5 0EA3050E7CC710526E330C413C165DA0
SHA1 38F4AF0CDE05D2A3DED9A79748C93B0EE5682D4F
SHA256 54D1F31AAA5683F8E4BCF2CCEA4BE09E772EF5E812DA3DDCAFC91365CB1DFE8D
SHA384 037AE6099885AAD3708FEBB4F54E22702F243A585DE702E3925CF9CB6519DC57D026D91FCBB707318A7076EC4EF0F4A1
SHA512 060A9780D751F9D7A2AAF992F00B7453224CA89A1748934E4EE797377E7816754BEC7C56A0D24D65A59CEBEA1D9A9EEBF43E6AF06E473711F0BFF80EAD55B888
SSDEEP 1536:pz5LlO/zxV37m7KmCkyDyCdWPmG/+EPDlcBJ6LdYar/nh7IO:p9LKD3SCkIy0WPmG/ZPZQS3rPh7I
IMP 658F6A79468A317865A20E521DB5186A
PESHA1 EF785C49BE386ADC90E3A0F0A5C48AA5BAEB02B0
PE256 B216B132277E4879D84829ABE1B90E68E18CBBF1F02524E74E10DB593F22334C

DLL Exports:

Function Name Ordinal Type
NPEnumResource 16 Exported Function
NPFormatNetworkName 17 Exported Function
NPGetCaps 18 Exported Function
NPAddConnection3 13 Exported Function
NPCancelConnection 14 Exported Function
NPCloseEnum 15 Exported Function
NPGetUniversalName 22 Exported Function
NPGetUser 23 Exported Function
NPOpenEnum 24 Exported Function
NPGetConnection 19 Exported Function
NPGetResourceInformation 20 Exported Function
NPGetResourceParent 21 Exported Function
DavGetTheLockOwnerOfTheFile 4 Exported Function
DavInvalidateCache 5 Exported Function
DavRegisterAuthCallback 6 Exported Function
DavCancelConnectionsToServer 1 Exported Function
DavFreeUsedDiskSpace 2 Exported Function
DavGetDiskSpaceUsage 3 Exported Function
DllGetClassObject 10 Exported Function
DllMain 11 Exported Function
NPAddConnection 12 Exported Function
DavSetCookieW 7 Exported Function
DavUnregisterAuthCallback 8 Exported Function
DllCanUnloadNow 9 Exported Function

Signature

  • Status: Signature verified.
  • Serial: 330000026551AE1BBD005CBFBD000000000265
  • Thumbprint: E168609353F30FF2373157B4EB8CD519D07A2BFF
  • Issuer: CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Subject: CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Original Filename: davclnt.dll
  • Product Name: Microsoft Windows Operating System
  • Company Name: Microsoft Corporation
  • File Version: 10.0.19041.1 (WinBuild.160101.0800)
  • Product Version: 10.0.19041.1
  • Language: English (United States)
  • Legal Copyright: Microsoft Corporation. All rights reserved.
  • Machine Type: 64-bit

File Scan

  • VirusTotal Detections: 0/67
  • VirusTotal Link: https://www.virustotal.com/gui/file/54d1f31aaa5683f8e4bcf2ccea4be09e772ef5e812da3ddcafc91365cb1dfe8d/detection/

Possible Misuse

The following table contains possible examples of davclnt.dll being misused. While davclnt.dll is not inherently malicious, its legitimate functionality can be abused for malicious purposes.

Source Source File Example License
sigma proc_creation_win_susp_webdav_client_execution.yml description: A General detection for svchost.exe spawning rundll32.exe with command arguments like C:\windows\system32\davclnt.dll,DavSetCookie. This could be an indicator of exfiltration or use of WebDav to launch code (hosted on WebDav Server). DRL 1.0
sigma proc_creation_win_susp_webdav_client_execution.yml CommandLine\|contains: 'C:\windows\system32\davclnt.dll,DavSetCookie' DRL 1.0

MIT License. Copyright (c) 2020-2021 Strontic.

Источник

#1

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 11:17

Лет 8 назад в favorites сохранил линк на посмотреть потом и так руки не дошли, сейчас Др.ВЕБ напомнил об этом линке

  • Наверх

#2


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 11:25

Пока набивал эту строчку, посыпались сообщения, теперь вирусы в

Текстуры высокого разрешения. Текстуры для Photoshop. 3D текстуры. 3D объекты..url

Variables (переменные) в Photoshop.url

Ложные срабатывания? Полное сканирование делал в январе, не было ничего .

  • Наверх

#3


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 13:08

Интересно, линк на сайт был добавлен за пару дней до 22 февраля, сейчас он оказался с вирусом и был удален из favorites. Я добавил линк повторно, но реакции Др.ВЕБ никакой.

  • Наверх

#4


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 14:32

Сделал полное сканирование, вирусов не найдено, но спустя пару минут, найден вирус в url.

После удаления url, я создал новый, при добавлении никаких сообщений о вирусе не было, но спустя минут 20, в этом url был найден вирус.

Получается, какая-то зараза сидит у меня и вирусует url, но почему-то сканер ничего не обнаруживает или ложное срабатывание Др.ВЕБ.

  • Наверх

#5


Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 528 Сообщений:

Отправлено 25 Март 2022 — 14:35

проверить URL на vms.drweb.com — не? Что скажет?

  • Наверх

#6


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 14:49

проверить URL на vms.drweb.com — не? Что скажет?

Ничего

Но спустя время, там вдруг вирус.

Я не понимаю, что происходит. Такая ситуация только у меня?

Сообщение было изменено ЛСергей: 25 Март 2022 — 14:51

  • Наверх

#7


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 14:54

Для проверки сайт добавил в исключения и сохранил линк на сайт, всё сообщений нет, через пару минут SHORTCUT:MALWARE.URL.

  • Наверх

#8


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 14:57

  • Наверх

#9


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 15:00

Вот с через онлайн сканер на вашем сайте

  • Наверх

#10


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 15:31

Скажите, не могут ли это быть происки мелкомягких? С какой-то радости вирусованными оказываются линки на сайты в домене .ру или на русском. Что плохого с сайтом liveclasses.ru, сканер не находит там ничего, но линк удаляется.

Обновления 10х64 были 9 марта, а чудеса с линками начались сегодня.

И ещё, вирусованный и удаленный линк на сайт m0nkrus’a, я добавил опять и копию отсадил на другой диск, там он живой и к нему нет претензий, длина 515 байт и не меняется.

  • Наверх

#11


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 25 Март 2022 — 17:15

Dmitry_rus,

Проверка объектов в карантине
Некоторые проверенные объекты не содержат угроз. Вы хотите восстановить эти объекты?
Объект: Варез от mOnkrus’a [Warez by mOnkrus].url
Дата:    Fri 25/03/2022 14:21

Но при попытке восстановить, сообщение, что восстановление невозможно, возникла ошибка в rundll32.exe C:\WINDOWS\system32\davclnt.dll,DavSetCookie

  • Наверх

#12


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 26 Март 2022 — 17:28

Второй день, удаления продолжаются, проверяю в карантине, вирусов нет, восстанавливаю, но ровно через 10 минут опять удаление.

Если вирусов нет, то почему спайдер удаляет файлы? 

  • Наверх

#13


Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 528 Сообщений:

Отправлено 27 Март 2022 — 09:17

возникла ошибка в rundll32.exe C:\WINDOWS\system32\davclnt.dll,DavSet

Какая именно ошибка? Если запустить

rundll32.exe C:\WINDOWS\system32\davclnt.dll,DavSetCookie

из комстроки — будут ли какие-то сообщения, указывающие на ошибки?

  • Наверх

#14


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 30 Март 2022 — 14:07

Какая именно ошибка? Если запустить

В CMD запускаю, ошибки нет никакой.

Проверка объектов в карантине
Некоторые проверенные объекты не содержат угроз. Вы хотите восстановить эти объекты?

Но через 10 минут опять вирус. Делал полную проверку, ничего не найдено.

  • Наверх

#15


Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff

  • 19 552 Сообщений:

Отправлено 30 Март 2022 — 14:12

я понимаю что ничего не понимаю

With best regards, Konstantin Yudin
Doctor Web, Ltd.

  • Наверх

#16


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 30 Март 2022 — 15:28

я понимаю что ничего не понимаю

Аналогично.

Я понимаю, что проблема только у меня, раз больше никто не сообщил, но даже не знаю, где и что искать, если сканер молчит. Более того,  если после создания url, копию этого файла копирую в другую папку и после восстановления из карантина делаю текстовое сравнение в Total Commander, то  файлы полностью совпадают, разница только в дате совпадают(при восстановлении из карантина время меняется).

Допускаю, что были вирусы и потому спайдер эти файлы смувил в карантин.

Но я создаю новый url и через 10 минут эта песня начинается с начала.

Второе более непонятно. В карантине делаю проверку, вирусов нет, тогда восстанавливаю, но через 10 минут см. скриншот в #1

За последнее время были только 2 обновления.

Виндоус обновлися, см. #10

и 16 марта PaperScan 4 Professional Edition(в paperscanpro4.exe Trojan.Siggen17.23276), при скачивании Др.ВЕБ обнаружил в их ехе троян и я сразу же удалил, отчет выслал в их фирму, ответ не пришел.

18 марта я скачад этот же ехе с тем же CRC32, но вируса уже не было и установил.

А 25 марта начались вирусы в url.

Не знаю, есть ли связь с этими обновлениями.

Если создать такие же закладки в FF, то спайдер не говорит ничего.

И ещё, спайдер вирус находит только в папке с закладками, другие папки с копией ему без разницы.

Возможно, что это мелкие пакости от мелкомягких?

Сообщение было изменено ЛСергей: 30 Март 2022 — 15:31

  • Наверх

#17


Alexandr_Goldenberg

Alexandr_Goldenberg

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 05 Май 2022 — 03:16

У меня похожая ситуация. 25 марта Spider обнаружил SHORTCUT:MALWARE.URL в 10 ссылках в папке Favorites и вылечил их, т.е. просто удалил. После этого я запускал сканер на полную проверку: угроз не было обнаружено.

Вчера я перепроверил те 10 объектов в карантине, объекты оказались чистыми, и я их восстановил. Затем я запустил сканер на полную проверку, и эти 10 объектов опять выявлены как зараженные SHORTCUT:MALWARE.URL. При этом сканер в таблице с результатами проверки отметил их как измененные системные объекты.

  • Наверх

#18


Alexandr_Goldenberg

Alexandr_Goldenberg

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 06 Май 2022 — 08:45

Правда, в моем случае ссылки ведут на сайты, находящиеся в базе вредоносных сайтов Dr.Web.

Видимо, проверяются ссылки только в папке Favorites, поэтому в карантине они чистые.

  • Наверх

#19


Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff

  • 19 552 Сообщений:

Отправлено 06 Май 2022 — 13:40

в карантине рескан идет только по сигнатурам движка, а это детект из облака

и то не фолс

With best regards, Konstantin Yudin
Doctor Web, Ltd.

  • Наверх

#20


ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 987 Сообщений:

Отправлено 10 Май 2022 — 21:02

Правда, в моем случае ссылки ведут на сайты, находящиеся в базе вредоносных сайтов Dr.Web.

Видимо, проверяются ссылки только в папке Favorites, поэтому в карантине они чистые.

У меня на чистые сайты и сканер не видит там вирус. Напр. сайт с svg icons. Не смог я ничего придумать, сделал страницу на своем сайте и там разместил.

В моём случае, вирус детектировался без запуска сканера, 10 минут примерно и сообщение о вирусе. В тоже время, если просто смувить из папки Favorites, то уже не вирус.

  • Наверх

Источник

  • Run program as windows service
  • Rundll возникла ошибка при запуске c windows system32 logilda dll не найден указанный модуль
  • Runtime broker что это за процесс windows 10 как отключить
  • Run powershell script from windows powershell
  • Run в windows 10 как вызвать