Rundll32.exe sempre attivo!!!!

[mazedj]

ragazzi...ogni volta che devo spegnere il pc mi conmpare una finestra con su scritto :Rundll32.exe Termina Processo e se guardo nel Task è sempre in esecuzione...e che io sappia non dovrebbe esserlo...
in più mi compaiono delle finestre di IE (che io non uso assolutamente mai xkè uso firefox) con scritto :Advertisement oppure con pubblicità E-Bay....
Che cos'è un virus?
l'Avast non dice niente...
l'AdAware e l'XoftSpy neanche...

HELP!!!

[fabrizius]

Ciao,
posta un log hijackthis

[mazedj]

Logfile of HijackThis v1.99.1
Scan saved at 1.20.05, on 28/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avast4.1\aswUpdSv.exe
C:\Programmi\Avast4.1\ashServ.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\Avast4.1\ashDisp.exe
C:\Programmi\Avast4.1\ashMaiSv.exe
C:\Programmi\Avast4.1\ashWebSv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Tweak-XP Pro 3\transtask.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\utente\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4.1\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BeClean Start-Up Clean] C:\Programmi\BeClean\BeClean.exe /s
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [w001f8e2.dll] RUNDLL32.EXE w001f8e2.dll,I2 00057c620001f8e2
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TransTask] "C:\Programmi\Tweak-XP Pro 3\transtask.exe"
O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{881306C4-5E56-4975-90D7-A93B723CBBE2}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast4.1\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast4.1\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast4.1\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast4.1\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

[mazedj]

qui xò ho già terminato manualmene il processo rundll2.exe

[fabrizius]

Ciao con hijackthis fixa questi processi:
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [w001f8e2.dll] RUNDLL32.EXE w001f8e2.dll,I2 00057c620001f8e2

Ora dai una ripulita ai files inutili,temp,cookie etc con Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Al limite fai anche uno scna online:
BitDefender
oppure
Panda

PS:dovresti aggiornare IE+SP2

[fabrizius]

PS:come fattomi da notare dal caro collega Luke avevo dimenticato di scriverti la procedura per eliminare il servizio,altrimenti non sarebbe possibile fixarlo...
Fai cosi vai nel pannello di controllo-->>strumenti di amministrazione-->>servizi e cerca il servizio UpdateManager o ,doppio click sopra e nel tab generale se é avviato lo arresti e nel tipo di avvio metti su disabilitato...
Poi vai su start-->>esegui e digita sc delete UpdateManager e dai ok

poi fixalo xon hijackthis

[mazedj]

Ok...allora provo a fare cosi... xò 2 domandine...:
posso aggiornare a SP2 senza problemi? cioè...mi dicevano che era meglio tenere l'uno...

se disabilito il Windows Update non sono un pò più vulnerabile ad attacchi esterni??

cmq era proprio l'update che qualche giorno fa mi chiedeva di aggiornare a SP2...ma non l'ho fatto...

[/img]

[fabrizius]

Quel servizio é stato aggiunto da un adware (eUniverse/KeenValue) e non ha niente a che vedere col windows update microsoft....
Comunque il sp2 io ti consiglierei di installarlo....

[mazedj]

ok, grazie, farò come dici...
Ciao