Rundll32.exe 80-100%-on húzza a gépem, pls.help
2009-07-11T16:25:39+02:00
2009-10-20T07:39:33+02:00
2022-07-24T09:20:27+02:00
martens
Pár napja benyalhattam valami vírust a KIS ellenére, és nem tudom hogyan lehetne kinyírni:

- svchost.exe indítgatja folyamatosan a Rundll32.exe-t (indul-leáll a Process Explorerben) ezalatt az egérkurzor homokórává változik, rohadt idegesítő...
- ha letörlöm a Rundll32.exe -t (!!!) újra "születik" pár másodperc múlva (még akkor is, ha a dllcache-ből is törlöm)
- Rundll32.exe mérete: 33280 byte, a telepítőn 31744 (XP Pro Eng.SP3)
- registry CurrentVersion\Run -ban semmi érdekes
- futó szervízek között sem látok semmi érdekest
- KIS nem talált semmit a full system scan során
- HijackThis-ben sem látok semmit
- Spybot sem talált semmit
- mindezeket safe módban is próbáltam
+1: ha rundll32.exe-re RSH attribútumokat rakok és a belsejét kitörlöm, hogy csak egy "M" betű maradjon benne, ez a rohadék "megjavítja" szó nélkül: visszaállítja a vírusos 33280 byteost... :-|

Napok óta szívok, valakinek van ötlete? A neten semmit sem találtam...

Üdv.: m.

Itt a HJT logja:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:34, on 2009.07.11.
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\Fmctrl.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\TOOLS\SYSINTERNALS\PROCESSEXPLORER\PROCEXP.EXE
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Mobile Partner\Mobile Partner.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live bejelentkezési segítség - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/c..
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86..
O17 - HKLM\System\CCS\Services\Tcpip\..\{4339C86F-7C44-4042-97D6-535DBAF26E83}: NameServer = 217.79.128.40 217.79.128.45
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
Mutasd a teljes hozzászólást!

  • Ezzel is nézd át a gépet, csökkentett módban és kikapcsolt rendszervisszaállítás mellett. Telepítés után először frissítsd az adatbázisát!
    Mutasd a teljes hozzászólást!
  • semmi.
    (aki ilyen vírus-malware szarokat csinál, szét kéne verni a 2-es IQ-val megáldott primitív gyökér agyát)
    Mutasd a teljes hozzászólást!
  • ezzel
    töltsd le majd futtasd minden problémádat megoldja
    ezeket meg letiltanám az idtitásból:
    C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    C:\TOOLS\SYSINTERNALS\PROCESSEXPLORER\PROCEXP.EXE
    C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
    C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
    Mutasd a teljes hozzászólást!
  • ...kb 1 órás futtatás után a vírus továbbra is virul, viszont a SystemCare @lk#rta az alapértelmezett fontkészletet és néhány audio kodek sem indul már...

    a C:\Program Files\PC Connectivity Solution nokia telefonhoz szervíz, nincs összefüggésben a problémával, a
    C:\TOOLS\SYSINTERNALS\PROCESSEXPLORER\PROCEXP.EXE pedig olyan mint a task manager, csak jobb, szintén nincs köze a fertőzéshez.

    nem gondoltam, hogy ez ennyire kiírthatatlan szutyok, marad az újratelepítés...
    Mutasd a teljes hozzászólást!
  • Újratelepítés előtt még próbáld meg a ComboFix.exe-vel helyreállítani a rendet. Erről az oldalról letöltheted. Letöltése és használata közben a KIS legyen kikapcsolva, mert nem fogják szeretni egymást! Ha még ezek után is jelentkezne a problémád, akkor viszont, ha van rá módod és lehetőséged tedd át a fertőzött(?) hdd-t egy garantáltan kártevőmentes gépbe másodlagos lemeznek és így végezd el a mentesítést. A csökkentett mód és a rendszervisszaállítás kikapcsolása itt is ajánlott.
    Mutasd a teljes hozzászólást!
  • Ha nincs sok kedved Xpt telepíteni akkor szed le az AVSTot frissítsd manuálisan, (regisztrálj) és futtasd a boot idejő vizsgálatot(persze elötte minden más vírusírtót törölj a gépről) !!magyar!!
    Mutasd a teljes hozzászólást!
  • Üdv!
    Ha még aktuális:
    Nekem is volt ilyen gondom, igaz "csak" 50% vitt el a CPU.
    Futtatás - msconfig.exe - automatikus indítás - rundll32.exe - pipa ki - újraindít - CPU visszaáll.
    Nálam egyébként a rundll32.exe egy service manager programot indított ( teljesen feleslegesen, állandóan kifagyott ).

    Üdv: Aller
    Mutasd a teljes hozzászólást!
abcd