rundll32.dll Hohe CPU-Auslastung
lima-city → Forum → Heim-PC → Betriebssysteme
abgesicherten modus
auslastung
betroffenen prozess
boot
datei
gegensatz
hochfahren
host
machen
manager
modus
nachricht
ort
pfad
rechner
sorgen
versuch
versuchen
virus
windows
-
Wie der Titel schon sagt, sort der Prozess rundll32.dll für eine ungewöhnlich hohe CPU-Auslastung.
Hier ein Screen:
http://kehrum.lima-city.de/Capture.PNG
Weiss jemand was los ist?
Und Warum ist der Prozess zweimal da?
Hab den AMD Phenom II 940 4x2.40 GHz.
Glaube am Prozessor liegt es nicht. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hmm...
Nicht gut wenn das jetzt ein Virus ist.
Wie krieg ich den Weg?
Lässt sich nicht beenden.
-
Ich kenn mich jetzt mit Windoof nicht besonders aus, aber gibts da vielleicht irgendeinen Pfad, worunter der Prozess läuft?
-
Ich bin mir jetzt sicher, dass es ein Virus ist, weil ich auch keine Updates mehr installieren kann und am Router starke Netzwerk-Aktivität angezeigt wird.
Kann mir jemand helfen?
Ich habe G Data Internet Security 2010 aber er findet nichts. -
Auf jeden Fall liegt diejenige rundll32, die für die Auslastung sorgt nicht im "system32" oder "sysWOW64", weil sie im Gegensatz zur "richtigen" nicht als "Windows Host Process" identifiziert wird. Was mir aber mehr Sorgen macht ist, dass sie nicht mit deinen Credentials läuft. . .
Ich tippe auch mal ganz stark, dass du irgendne Malware auf dem Rechner hat, die sich als rundll32 tarnt. . .
Edit: Wie kriegst du das weg? So: Task Manager auf, rechtsklick auf den betroffenen Prozess und "Properties". Dort steht der Ort der ausführbaren Dateie (i.d.R. exe oder dll). Den Pfad aufschreiben. Neu booten und im abgesicherten Modus hochfahren. Dann die Datei suchen und umbennen (z.B. "rundll32.dll" in "rundll32.dll.copy"). Wieder neu booten. Wenn das Windows normal läuft, dann war die Datei nichts wichtiges und wahrscheinlich was böses. Wenn das Windows nicht mehr normal läuft, wieder abgesicherter Modus und rückbenennen.)
Beitrag zuletzt geändert: 4.7.2009 19:28:00 von census -
census schrieb:
Auf jeden Fall liegt diejenige rundll32, die für die Auslastung sorgt nicht im "system32" oder "sysWOW64", weil sie im Gegensatz zur "richtigen" nicht als "Windows Host Process" identifiziert wird. Was mir aber mehr Sorgen macht ist, dass sie nicht mit deinen Credentials läuft. . .
Ich tippe auch mal ganz stark, dass du irgendne Malware auf dem Rechner hat, die sich als rundll32 tarnt. . .
Edit: Wie kriegst du das weg? So: Task Manager auf, rechtsklick auf den betroffenen Prozess und "Properties". Dort steht der Ort der ausführbaren Dateie (i.d.R. exe oder dll). Den Pfad aufschreiben. Neu booten und im abgesicherten Modus hochfahren. Dann die Datei suchen und umbennen (z.B. "rundll32.dll" in "rundll32.dll.copy"). Wieder neu booten. Wenn das Windows normal läuft, dann war die Datei nichts wichtiges und wahrscheinlich was böses. Wenn das Windows nicht mehr normal läuft, wieder abgesicherter Modus und rückbenennen.)
Hab ich vorher ausprobiert, aber leider kommt bei jeden Versuch egal was ich mit den Prozess versuche, die Nachricht "Access id Denied".
Beitrag zuletzt geändert: 4.7.2009 19:36:54 von kehrum -
kehrum schrieb:
census schrieb:
Auf jeden Fall liegt diejenige rundll32, die für die Auslastung sorgt nicht im "system32" oder "sysWOW64", weil sie im Gegensatz zur "richtigen" nicht als "Windows Host Process" identifiziert wird. Was mir aber mehr Sorgen macht ist, dass sie nicht mit deinen Credentials läuft. . .
Ich tippe auch mal ganz stark, dass du irgendne Malware auf dem Rechner hat, die sich als rundll32 tarnt. . .
Edit: Wie kriegst du das weg? So: Task Manager auf, rechtsklick auf den betroffenen Prozess und "Properties". Dort steht der Ort der ausführbaren Dateie (i.d.R. exe oder dll). Den Pfad aufschreiben. Neu booten und im abgesicherten Modus hochfahren. Dann die Datei suchen und umbennen (z.B. "rundll32.dll" in "rundll32.dll.copy"). Wieder neu booten. Wenn das Windows normal läuft, dann war die Datei nichts wichtiges und wahrscheinlich was böses. Wenn das Windows nicht mehr normal läuft, wieder abgesicherter Modus und rückbenennen.)
Hab ich vorher ausprobiert, aber leider kommt bei jeden Versuch egal was ich mit den Prozess versuche, die Nachricht "Access id Denied".
Bist du als Admin eingeloggt? -
cookies schrieb:
kehrum schrieb:
census schrieb:
Auf jeden Fall liegt diejenige rundll32, die für die Auslastung sorgt nicht im "system32" oder "sysWOW64", weil sie im Gegensatz zur "richtigen" nicht als "Windows Host Process" identifiziert wird. Was mir aber mehr Sorgen macht ist, dass sie nicht mit deinen Credentials läuft. . .
Ich tippe auch mal ganz stark, dass du irgendne Malware auf dem Rechner hat, die sich als rundll32 tarnt. . .
Edit: Wie kriegst du das weg? So: Task Manager auf, rechtsklick auf den betroffenen Prozess und "Properties". Dort steht der Ort der ausführbaren Dateie (i.d.R. exe oder dll). Den Pfad aufschreiben. Neu booten und im abgesicherten Modus hochfahren. Dann die Datei suchen und umbennen (z.B. "rundll32.dll" in "rundll32.dll.copy"). Wieder neu booten. Wenn das Windows normal läuft, dann war die Datei nichts wichtiges und wahrscheinlich was böses. Wenn das Windows nicht mehr normal läuft, wieder abgesicherter Modus und rückbenennen.)
Hab ich vorher ausprobiert, aber leider kommt bei jeden Versuch egal was ich mit den Prozess versuche, die Nachricht "Access id Denied".
Bist du als Admin eingeloggt?
Ja, bin als Admin eingeloggt(Ist mein normaler Account). -
OK, dann versuch's so:
Boote deine Kiste mit irgendeinem Linux, mounte deine Windows-Partition, suche alle Dateien die irgendwas mit rundll32 heißen und benenne alle um, die weder im system32 noch im sysWOW64 liegen. Oder mach die Kiste komplett platt und installier n anständiges OS. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage