rundll32.exe zatezuje CPU skoro na 100%
Ahoj,
proces rundll32.exe mne zatezuje CPU skoro na 100% v WIN XP proff. Jak se proti tomu branit a nebo co delat, aby se to opet spravilo? Zapnu PC a jede to v pohode, po cca pul hodine(nevim presne) se PC zpomali a kdyz se podivam do procesu, tak mnou uvadeny proces ma skoro 100% a nejde v Task man. vypnout. Spyware a ani viry bych podle vseho mit nemel a navic jsem necetl, ze by v tomto procesu neco nekde bylo. Taky mne zacla padat Opera, ale pouze kdyz zaviram posledni okno a Opera stabilne zabira cca 20-30% CPU(ale je mozne, ze opet nekde na nektere otevrene strance blbne JS), kdyz ji vypnu okamzite si tech 20-30% vezme rundll32.exe.
za beznych okolnosti nema co randll32 bezat. docasne tento subor moze vyuzivat iny proces (bolo by treba pozriet ktory ju spustil ale inak provak proces kludne zakilluj
Ja ho mam spustenej porad a pritom ho nespoustim, ale on se ma spoustet po startu PC, ne? No on prave jak zatezuje potom ten CPU, tak se neda killnout. Teda nejde to z normalnich programu(task manager, autoruns, starter)
killnut samozrejme ide len je pravdepodobne naviazany na nejaky proces ktory ho drzi pri zivote...pozri si cez unlocker ktory to je alebo cez process explorer. ja to zatial tipujem na spyware alebo virus.
spustat sa samozrejme nema pri starte pc pokial si ho nevyziada nejaky program.
aha, tak mne se spousti primo po startu. jdu se podivat na ten proces explorer.
já myslím že jo
zkoušels projet PC pomocí HijackThis.exe? Co třeba Winlogon Notify nebo BHO? Antivirák máš? Jakej?
AV mam NOD a jeste to projizdim obcas MWAVem. HIjackthis jsem zatim nezkousel, delal jsem pred par dny obnovu celyho PC z preloadu primo z fabriky a tak pochybuju, ze bych stihl neco chytit. Ale hijackthois zkusim.
Winlogon nevim co je.
Vir mozes chytit 30sekund po pripojeni k inetu ani nemusis nikde klikat, ak je napr. WinXP bez servicepacku. Myslim ze 30sekund uz si k inetu pripojeny :) Otazka je nakolko bola zaplatana ta cista instalacia Win, ak mala SP1 alebo SP2 tak to nie je az take horuce, ale aj tak nejake svinstvo mozes chytit za sekundu ak kliknes kam nemas.
Mam SP2 a hned po spusteni image z preloadu jsem pripojen pres rouuter a hned pak instaluju sw firewall, proto doufam, ze to vir nebude. nenasel ho ani NOD, ani MWAV a ani Kaspersky. Takze nez jsem klikal vubec nekam, mel jsem router a sw FW.
Tak jsem zkousel hijackthis a nic podezrele tam nevidim a ani na tech kontrolnich strankach nic neni. V Process Exploreru se nevyznam...
můžeš někde hodit log z toho Hijacku?
premyslim kam
tak jsem to hodil sem hijackthis.log
Ježišmarjá tam toho je....
O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe
tohle netuším jestli tam je potřeba
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
tohle je možná košer, ale asi bych si to do kompu nepustil...
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
EDIT: beru zpět, tohle je něco od Kasperskyho, ale stejně je to tam nahovno, když AVP chybí...
O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
tyhle dva už asi moc košer nebudou
EDIT: tohle je něco k funkčním klávesám
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
tenhle asi jo (Thinkpad hotkey lock?)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
tohle mi občas blblo, takže jsem to zastavil a zakázal (a je klid)
O23 - Service: Norton Ghost - Symantec Corporation - D:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
tohle tam straší asi zbytečně
O23 - Service: Lenovo PSA Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
tohle tam straší tím tuplem zbytečně, navíc, když ten soubor chybí...
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPw rMonitor
no a tohle možná bude to rundll32, který hledáš
V každým případě, pokud bych dostal něco takovýho do ruky, asi bych čistil a čistil a čistil... čím míň se toho spouští po startu a čím míň <|>čovin je v BHO, DPF, extra button, Winlogon notify... tim líp.
EDIT: Ještě tohle
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
není co spouštět, soubor chybí
a AVG Antispyware by taky nemuselo běžet současně se SuperAntiSpyware...
no ja myslim, ze tyto veci mimo te jedne, nemuzou nic delat, neni to zadny spyware
04 mam to tam, protoze to updatuje ruzny kraviny od IBM
020 je antispyware SUPERAntispyware, podle www.viry.cz jeden z nejlepsich antispy porgramu
020 klogon.dll je kaspersky AV
020 notifyf2.dll to je spyware a mam to uz smazane
020 tphklock.dll jo je to od Thinkpadu
023 IDriverT.exe zatim s tim problemy nemam
023 PQV2iSvc.exe sluzba od Norton Ghostu, neni spustena, je nastavena na MANUAL a myslim, ze nema cenu ji zakazovat, kdyz se nespousti a mam to vypnuto i v HKLM RUN
023 PsaSrv.exe opet soucast od IBM, mam tu sluzbu(proces) taky vypnutou a uz jsem to smazal
04 HKLM pwrmonit.dll je pouze zobrazeni ikonky sily baterky v liste win, to neni spyware, ale jako proces v exploreru je to spojeny s rundll32.exe, vyhazovat to nechci, je to pomerne uzitecna vec
rundll32.exe se spousti automaticky po startu pc a asi mu k tomu pomaha prave ta posledni polozka, ale neni to spyware.
Myslim, ze to bylo vyreseno tim notifyf2.dll a pockam do zitra. nenasel to ale ani NOD, ani KAV a ani MWAV, o kterem se na VIRY.cz tvrdi, ze najde snad vse, nenasly to ani ruzny antispyware. jediny co jsem instaloval je soucast par programku primo z IBM, takze to asi bylo tam.
Já netvrdil že je něco spyware, ale:
klogon.dll je Kaspersky AV, ale kus dál je oznámení, že avp.exe chybí. Tzn, že to chce buď celý odinstalovat anebo nainstalovat znovu (což nedoporučuju, ptž tam máš NOD32 a mohlo by se to pobít). PsaSrv.exe taky chybí, tzn není důvod mít ho mezi spouštěnýma službama. Pwrmonit bylo jediný co se spouštělo pomocí rundll32, mohlo se to s něčím pohádat...
ono není jistý ani že notifyf2.dll je spyware, zkoušel jsem to googlit a podle jedněch je to spyware a podle druhejch regulérní program pro obsluhu funkčních kláves Thinkpadu... tož tak.
Vyloženě spywarovou mrchu tam snad nikde nemáš, ale na můj vkus se tam toho spouští moc.
klogon.dll je tam proto, ze mam ted nainstalovany KAV trial, protoze jsem pc potreboval projet jeste necim jinym nez jen NODem. Mam ho ale vypnutyho ve sluzbach i v RUN, takze to nemuze delat problem.
No tohle notifyf2.dll jsem dal pryc a od te doby jsem nemel s tim rundll problem, takze bych to videl na nej. Stahl jsem totiz vcera nejaky balik od IBM jako aktualizaci a jak je videt, tak v tom asi byl ten notifyf2.dll.
Snad tam nic neni, ale ten pwrmonit jsem nemenil. Tak myslis, ze to tam mam nechat jak to je?
Mas to rozdrbane, chybaju ti tam subory, to ma byt akoze Win z originalneho image IBM ???
Co si s tym robil od toho obnovenia Win, nieco si odinstalovaval, mazal?
Co je tam rozdrbane a co chybi?
Jo je to win z originalniho image od servisaka IBM. Nahral mne na HDD nejaky preload a ja jsem to musel minuly tyden poprve pouzit.
Od toho obnoveni jsem nainstaloval pouze par programu(neco na fotky, AV), povypinal nekolik sluzeb a povyhazoval asi 6-8 veci z HKLM RUN, vetsinoou od IBM klaves a dalsich kravin.
Mezi programy ktere jsem nainstaloval je i nejaka aktualizace baliku od IBM a tipnul bych si, ze ten notifyf2.dll jsem stahl s tim. Otazka je jestli je to spyware, ale od jeho smazani mam pokoj, takze asi je.
Jeste jedna zaajimava vec, po spusteni PC rundll32.exe nezere CPU vubec a ma neco pres 3mb a jak zacne blbnout, tak ma cca 188kB
Winlogon notify ti odhalí Hijackthis. To je jedna z položek, která může dělat bordel
tak uz to asi vidim: notifyf2.dll nechapu kde jsem to vzal, na nic jsem neklikal a nic neinstaloval
člověče nešťastnej! odinstaluj všechny bezpečnostní programy-nech si jenom Noda.
až to uděláš,tak
vyčisti systém CCleanerem
viewtopic.php
a RegCleanerem
http://www.pcpomocnik.cz/c/softwarova-udrzba-system u/cistime-registry-pomoci-regcleaner.htm
a potom uvidíme
(notifyf2.dll-je v pořádku.v logu šmejda nevidim)
ja si chci kAV nechat s nodem, vim ze to problem nedela, pokud nejsou oba rezidentne zanuty a to ja nemam.
CCleanerem jsem to davno projel. Regcleaneru se trochu bojim, protoze uz mne parkrat smazal neco, co pak nekde chybelo a cetl jsem to i na forech.
Ty myslis, ze to notifyf2.dll je v pohode? Ja co jsem ho smazal, tak nemam s tim rundll32.exe zatim zadny problem.
Co je ale divny, tak v system 32 jsem mel prazdny adresare, ktery tam podle meho nemaji co delat a podle tohodle http://www.trojaner-board.de/37039-ordner-unter-win dows-logo1_-exe-rundl132-dll-rundll16-exe-zts2-exe . html jsou to i nejaky smejdici, ale nemecky umim akorat Kurvahosigutentag.... Takze neco v tom pc asi musi a nebo muselo byt uz asi v tom preloadu.
Bylo tam vcmgcd32.dll logo1_.exe rundl132.exe rundll16.exe zts2.exe iifgfgf.dll
Tie prazdne adresare vytvata MWAV (na roznych miestach). A k tomu prida este par falosnych poplachov (legitimny zaznam v Registry odkazujuci na legitimny subor, ktoreho meno nahodou zneuziva nejaky virus).
tomuhle nerozumim, proc by MWAV vytvarel prazdne adresare, ktere by se jmenovaly jako viry?
o20list-201.html
běžej ti tři štíty antispyware
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Eset Service
toho kasperskyho zastav ve službách a typ spuštění dej na ručně
nebezi to ani ve sluzbach a ani v procesech. kde jinde to muze jeste bezet?
KAV je ve sluzbach zastaven a typ spousteni je MANUAL, stejne jako u AVG, mam to takto nastaveny hned od instalace a spoustim to jen obcas a manualne. Jediny co jede rezidentne je NOD. Ten log asi ukazuje i zastavene sluzby
a ty řádky z HijackThis sem si asi vycucal z prstu,ne?![[sml79.gif]](http://www.zena-in.cz/images/smiles/sml79.gif)
to netvrdim, ja jen nechapu proc to tam je. kde je to teda spusteny? ja znam jen sluzby a procesy a tam to rozhodne nebezi.
Jinak rundll32.exe uz opet zere 100% CPU.
no proto,že co si fixnul nebyl šmejd
proč neuděláš,co ti radim a všechno kromě toho balíku od noda neodinstaluješ?
má snad tady někdo jinej lepší nápad?
ty bezpečnostní programy prostě hlídaj i když jim to zakážeš
(myslim,že to má co dělat s jejich vlastní imunitou proti napadení a deaktivaci)
tak to udělej a pak uvidíš.
a když se to nezmění,tak pošli sem
www.pc-help.cz
log z HijackThis do sekce Hijackthis
No odinstaovavat vsechno nechci, protoze mne to tak bez problemu jelo a i na viry.cz rikaji, ze neni problem mit na pc nekolik AV a nekolik antispywaru, jen nesmi jet najednou a to u mne urcite nejedou . Proste nechapu kdyz to jelo, ze uz to najednou nejde. Videl bych to na toho novyho Noda, ale s nim to jelo tyden bez problemu.
Takze to co jsem smazal nebyl smejd, jo? Dobre, pokud to vezmu v potaz, tak to klidne vratim, ale rundll32.exe ma porad 100% zatez. Tak to bude potom cim? Ja uz jsem log dal na viry a nic tam pry neni.
jeste by stalo za zvazeni tohle
viewtopic.php
to znam, ale nevim co mas na mysli