VIRY.CZ

Dobrý den, z ničeho nic se mi zpomalil PC a když jsem se podíval do správce úloh zjistil jsem, že proces rundll32.exe vytěžuje procesor na 100%. Zkoušel jsem ComboFix ale problém stále přetrvává. Prosím o radu.
Přikládám log z ComboFixu.
Děkuji.

ComboFix 12-03-13.01 - Administrator 14.03.2012 14:51:27.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1214.562 [GMT 1:00]
Spuštěný z: e:\programy\Repair\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\Data aplikací\ACD Systems\ACDSee\ImageDB.ddf
c:\documents and settings\Administrator\Dokumenty\~WRL3894.tmp
c:\documents and settings\Administrator\WINDOWS
c:\windows\dasetup.log
c:\windows\IsUn0405.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\winlogon.bak
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-02-14 do 2012-03-14 )))))))))))))))))))))))))))))))
.
.
2012-03-02 14:13 . 2012-03-02 14:13 -------- d-----r- c:\documents and settings\LocalService\Oblíbené položky
2012-02-27 08:44 . 2012-02-27 08:44 -------- d-----w- c:\documents and settings\LocalService\Plocha
2012-02-25 17:02 . 2012-03-13 06:51 -------- d--h--w- c:\documents and settings\All Users\Data aplikací\kprologs
2012-02-25 17:02 . 2011-01-27 15:18 15616 ----a-w- c:\windows\system32\drivers\aswebr.sys
2012-02-25 17:02 . 2009-05-13 18:35 50688 ----a-w- c:\windows\system32\wbhelp2.dll
2012-02-25 17:02 . 2009-05-13 18:35 28160 ----a-w- c:\windows\system32\anim.dll
2012-02-25 17:02 . 2009-05-13 18:35 258352 ----a-w- c:\windows\system32\unicows.dll
2012-02-25 17:02 . 2012-03-05 06:59 -------- d--h--w- c:\program files\ProKAward
2012-02-25 17:02 . 2009-05-13 18:35 1706800 ----a-w- c:\windows\system32\gdiplus.dll
2012-02-21 15:18 . 2012-02-21 15:18 -------- d-----w- c:\documents and settings\All Users\Data aplikací\SysMon
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-24 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-10-13 17351304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"CNAP2 Launcher"="c:\windows\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE" [2007-09-05 406944]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-09-24 122880]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-10-07 1461080]
"SysMon"="c:\documents and settings\All Users\Data aplikací\SysMon\ASK.dll" [2010-05-06 1268736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]
.
c:\documents and settings\Administrator\Nabídka Start\Programy\Po spuštění\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-12-13 110592]
Správce vzdálených pokladních komponent pro Money S3.lnk - c:\program files\CIGLER SOFTWARE\POSSrv\POSSrv.exe [2010-1-13 834288]
.
c:\documents and settings\Administrator\Nabídka Start\Programy\Po spuštění\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-12-13 110592]
Správce vzdálených pokladních komponent pro Money S3.lnk - c:\program files\CIGLER SOFTWARE\POSSrv\POSSrv.exe [2010-1-13 834288]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Acrobat Assistant.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SBService"=2 (0x2)
"SAVScan"=3 (0x3)
"NPFMntor"=2 (0x2)
"navapsvc"=2 (0x2)
"LiveUpdate"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9190:TCP"= 9190:TCP:Pokladní komponenty
.
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [1.7.2008 9:04 35168]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [7.10.2009 9:16 472280]
R3 AswebrMP;AswebrMP;c:\windows\system32\drivers\aswebr.sys [25.2.2012 18:02 15616]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [3.3.2010 11:52 135664]
S2 SKLProService;Run software as Windows service;c:\program files\ProKAward\aklservice.exe [25.2.2012 18:02 90112]
S3 Aswebr;Aswebr Service;c:\windows\system32\drivers\aswebr.sys [25.2.2012 18:02 15616]
S3 gupdatem;Služba Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [3.3.2010 11:52 135664]
S3 usbvm326_W;usbvm326 Wireless Camera;c:\windows\system32\drivers\usbvm326_w.sys [7.11.2008 15:49 195200]
.
Obsah adresáře 'Naplánované úlohy'
.
2012-03-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-03 10:52]
.
2012-03-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-03 10:52]
.
2012-03-14 c:\windows\Tasks\User_Feed_Synchronization-{8EB06FC0-628A-4891-BCEC-3E6E43C19555}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: Easy-WebPrint Add To Print List - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint High Speed Print - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Preview - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint Print - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: {{0E46D7B6-887D-4F81-B4CA-FCC92AF73610} - {0E46D7B6-887D-4F81-B4CA-FCC92AF73610} - c:\program files\Seznam.cz\listicka.dll
TCP: Interfaces\{8EFAC7AA-15B8-4283-BCAB-D55FE2D0359D}: NameServer = 172.30.1.8,212.158.128.3
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\okb53fmh.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - c:\program files\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-DataboxFFServer - c:\progra~1\Databox\CONTAC~1.0\Server\FFSrv95.exe
HKCU-Run-DataboxDBServer - c:\program files\Databox\Server\nxServer.exe
HKLM-Run-GEST - c:\program files\GIGABYTE\GEST\run.exe
AddRemove-anljpxqkyx - c:\windows\system32\anljpxqkyx.exe
AddRemove-cont_mxlivemedia - c:\windows\system32\cont_mxlivemedia-remove.exe
AddRemove-Software Setup - c:\windows\IsUn0405.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-14 15:02
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-1664683364-2335511065-919444218-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,6b,24,0b,e9,7b,4b,4c,a9,8a,df,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b1,34,cb,1c,69,48,b3,4f,9e,40,a7,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,6b,24,0b,e9,7b,4b,4c,a9,8a,df,\
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2012-03-14 15:04:09
ComboFix-quarantined-files.txt 2012-03-14 14:03
ComboFix2.txt 2009-02-13 08:53
.
Před spuštěním: Volných bajtů: 134 094 409 728
Po spuštění: Volných bajtů: 136 027 435 008
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 6C4F2AA8B8060C71305E70E0B8B29884

ahoj,
CF nie je urceny na spustanie podla lubovole ,,,
prescanuj PC s MBAM - bolo tam kopec smejdov, urcite este nieco ostalo

Tak bohužel po projetí MBAM a odstranění nalezeného svinstva se situace nezměnila rundll32.exe běží stále na 100%.

prescanuj s RK http://forum.viry.cz/viewtopic.php?f=24 ... 05#p981205 - vloz log
bez logu trt viem, co tam bolo ,,,

Log z RK
RogueKiller V7.3.1 [03/10/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Podpora: http://www.geekstogo.com/forum/files/fi ... guekiller/
Operační systém: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Spuštěno v: Normální režim
Uživatel: Administrator [Práva správce]
Mode: Kontrola -- Date: 03/15/2012 14:01:23

¤¤¤ Škodlivé procesy: 1 ¤¤¤
[SUSP PATH] ASK.dll -- C:\Documents and Settings\All Users\Data aplikací\SysMon\ASK.dll -> KILLED [TermProc]

¤¤¤ Záznamy Registrů: 4 ¤¤¤
[BLACKLIST DLL] HKLM\[...]\Run : SysMon (C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\All Users\Data aplikací\SysMon\ASK.dll" rdl) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{8EFAC7AA-15B8-4283-BCAB-D55FE2D0359D} : NameServer (172.30.1.8,212.158.128.3) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{8EFAC7AA-15B8-4283-BCAB-D55FE2D0359D} : NameServer (172.30.1.8,212.158.128.3) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Zvláštní soubory / Složky: ¤¤¤

¤¤¤ Ovladač: [NAHRÁNO] ¤¤¤

¤¤¤ Nákaza : ¤¤¤

¤¤¤ Soubor HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ Kontrola MBR: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HD160JJ +++++
--- User ---
[MBR] 70c15f4b9c83165a0fba81d29aa6961b
[BSP] 39605244cd0aaf8f8dd8f8bd64130405 : Standard MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Dokončeno : << RKreport[1].txt >>
RKreport[1].txt

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{8EFAC7AA-15B8-4283-BCAB-D55FE2D0359D} : NameServer (172.30.1.8,212.158.128.3) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{8EFAC7AA-15B8-4283-BCAB-D55FE2D0359D} : NameServer (172.30.1.8,212.158.128.3) -> FOUND
toto ponechaj - ostatne odstranit

Mnohokrát děkuji. Vše je již OK.

rado sa stalo

VIRY.CZ

Zpomalené PC rundll32.exe na 100%

Zpomalené PC rundll32.exe na 100%

Re: Zpomalené PC rundll32.exe na 100%

Re: Zpomalené PC rundll32.exe na 100%

Re: Zpomalené PC rundll32.exe na 100%

Re: Zpomalené PC rundll32.exe na 100%

Re: Zpomalené PC rundll32.exe na 100%

Re: Zpomalené PC rundll32.exe na 100%

Re: Zpomalené PC rundll32.exe na 100%