PDA

View Full Version : Rundll32.exe, questo sconosciuto

NarKoMechBass
02-07-2007, 02:42
Allora... cercherò di essere breve...
2 o 3 sessioni di rundll32.exe in taskbar (RUNDDL32, rundll32, Rundll32)... anche dopo aver disabilitato l'autoripristino, se ne copio una nuova versione (31kb) tempo 2-3 secondi viene modificata in una versione da 33Kb, con "PADDINGXXPADDINGPADDINGXXPAD" al fondo...

Posto log di hijack:
Logfile of HijackThis v1.99.1
Scan saved at 2.35.19, on 02/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\PC Tools Firewall Plus\FWService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
D:\Programmi\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\File comuni\Logitech\G-series Software\LGDCore.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
D:\Programmi\File comuni\Logitech\LCD Manager\lcdmon.exe
D:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
D:\Programmi\Logitech\SetPoint\SetPoint.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE
D:\Programmi\File comuni\Logitech\LCD Manager\Applets\LCDClock.exe
D:\Programmi\File comuni\Logitech\LCD Manager\Applets\LCDMedia.exe
D:\Programmi\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
D:\Programmi\Alwil Software\Avast4\ashWebSv.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Documents and Settings\NarKoMechBass\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Programmi\File comuni\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Programmi\File comuni\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Babylon Client] D:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [00PCTFW] "D:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programmi\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - D:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

La cosa bella è che Logfile of HijackThis v1.99.1
Scan saved at 2.35.19, on 02/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\PC Tools Firewall Plus\FWService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
D:\Programmi\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\File comuni\Logitech\G-series Software\LGDCore.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
D:\Programmi\File comuni\Logitech\LCD Manager\lcdmon.exe
D:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
D:\Programmi\Logitech\SetPoint\SetPoint.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE
D:\Programmi\File comuni\Logitech\LCD Manager\Applets\LCDClock.exe
D:\Programmi\File comuni\Logitech\LCD Manager\Applets\LCDMedia.exe
D:\Programmi\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
D:\Programmi\Alwil Software\Avast4\ashWebSv.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Documents and Settings\NarKoMechBass\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Programmi\File comuni\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Programmi\File comuni\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Babylon Client] D:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [00PCTFW] "D:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programmi\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - D:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Qualcuno ha un'idea di che cosa mi stia succedendo?
Bugs Bunny
02-07-2007, 10:51
le 2 istanze di rundll32.exe sono normali in quanto utilizzate in avvio da questi 2 file,
D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

D:\WINDOWS\system32\NvCpl.dll,NvStartup

mentre runddl32 (da notare che ha 2 D e una L invece che una D e 2 L) deve essere un virus.

la cosa strana è che non compare nel log di hijackthis...

Installa active virus shield(DOWNLOAD (http://www.activevirusshield.com/antivirus/freeav/index.adp?))
e dopo aver tolto avast installalo e fai una scansione completa
NarKoMechBass
02-07-2007, 11:08
Nessun virus trovato.... l'unica cosa che mi lascia dubbioso, è l'"editing" istantaneo del file rundll32.exe appena lo copio...

ah... il file runddl.... era solo un errore di battitura... :muro:
Bugs Bunny
02-07-2007, 12:08
scusa un att,cerca rundll32.exe nella ricerca di windows e dimmi tutti i percorsi in cui lo trovi
pinolo79
02-07-2007, 12:21
ciao,

scusate se mi intrometto... ma da quanto tempo hai win installato ?
NarKoMechBass
02-07-2007, 12:29
Mah... saranno 3 mesi...
NarKoMechBass
02-07-2007, 12:44
scusa un att,cerca rundll32.exe nella ricerca di windows e dimmi tutti i percorsi in cui lo trovi


Linko l'immagine della ricerca
pinolo79
02-07-2007, 13:12
potrebbe essere un malware sito in documents and settings, che si rinomimina acquisendo il nome di un processo reale... a me era successo con iexplore.exe ...
prova a cercare nelle cartelle nascoste di tutti gli user del tuo pc soprattutto in impostazioni locali e dati applicazioni... qualche cartella con nome stano con dentro un exe...
pinolo79
04-07-2007, 11:09
aggiornamenti? :)
NarKoMechBass
04-07-2007, 11:53
X ora niente... con vari logger e packet sniffer ho controllato, ma non mi pare di avere backdoor strane... continuerò a cercare, comunque...

Il bello è che non mi fa cancellare rundll32.exe, ma me lo fa rinominare (poi dopo lo posso cancellare senza problemi)...
Se c'è una cosa che odio è avere qualcosa di strano nel pc e non sapere manco COSA mi sta facendo^^:confused: :confused: :confused:
pinolo79
04-07-2007, 12:00
hai provato a cercare cartelle con nome strano in doc e settings?
devi farlo a manina pero :)
NarKoMechBass
04-07-2007, 12:31
Girato in tutta doc&setting (con file di sys NON visualizzati)... a parte un mezzo infarto su una cartella (che poi era solo un log di un virusscanner online) nada... svuotato da OVUNQUE i files temporanei (js inclusi) ma non c'è nulla di strano... porte chiuse, processi nella norma... ora ho chiesto ad un amico di farsi un giro da fuori, per vedere se ho backdoor che non ho visto, ma finora non è ancora entrato
juninho85
04-07-2007, 12:34
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

questo?
NarKoMechBass
04-07-2007, 12:39
Audigy

Una domanda... esiste un modo di sapere QUALE applicazione edita un file? se riuscissi a trackare l'editing semi-istantaneo che mi fa su rundll32.exe, magari trovo l'"imputato"
juninho85
04-07-2007, 12:54
Audigy

hai una audigy?dal log pareva di no :D
lancetta
04-07-2007, 13:06
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

driver ASIO per Sound Blaster Audigy & Audigy 2 series sound card
pinolo79
04-07-2007, 13:47
Ho avuto un'ideona !!!!

:sofico:

Formattone si si si... formattone si si si... :cool: :O

:Prrr: :Prrr:
NarKoMechBass
04-07-2007, 14:06
:cry: :cry: :cry: :cry: :cry:
caro, vecchio format... mi sa che lo farò a breve comunque... tanto ho una mezza idea di fa impennare un po' le performance, quindi tanto vale resistere qualche tempo e poi megaformat e recostruzione macchina....
:muro: :muro: :muro: :muro: :muro:
lancetta
04-07-2007, 16:20
scusami ma il pc ti dà problemi? Perchè dal log vedo che sono 3 istanze dll32

ma date tutte da leggittimi processi.....:confused:
NarKoMechBass
05-07-2007, 00:05
No, non mi da problemi ma, come ho scritto all'inizio, c'è comunque qualcosa (che non trovo) che mi edita il file, aggiungendoci 3 k circa di roba... NON APPENA lo copio...