TRENDING

Dllhost32 4x? En nog meer problemen…

Home Forums Games discussies Dllhost32 4x? En nog meer problemen…

6 berichten aan het bekijken - 1 tot 6 (van in totaal 6)
  • Auteur
    Berichten
  • 13-09-2006 16:27 om 16:27 #117959
    -SNPER--SNPER-
    Deelnemer
    16

    Ik heb een nogal vreemd probleem. Bij taskmanager staat namelijk 4x dllhost32.exe. Soms maar 1x, maar vaak dus ook 4x. Verdwijnt vaak net zo snel als dat die komt.

    Nu ging ik op internet zoeken hoe ik die moest verwijderen, maar er staat dat windows gerelateerd is. Dit geloofde ik niet dus zocht ik verder naar how to remove dllhost32.exe. Blijkt dus dat het ook spyware kan zijn.

    Ik dus al die programma’s proberen, maar niets helpt. Hitmanpro gedraait, vond alleen een aantal tracking cookies…

    Weet iemand hoe ik dit weg krijg? Het vertraagd me systeem nogal, neemt soms 100% cpu load in.

    Dan heb ik nog een probleem met Firefox en Rundll32.exe, deze staat er ook 2x in en svchost.exe zelfs 5x. Die rundll32.exe vind ik niet zo erg, maar die 2de firefox neemt vaak 100% cpu in. Als ik hem dan afsluit is het wel weg, maar als ik dan me computer opnieuw opstart staat die er weer.

    Iemand oplossing hiervoor?

    Specs:

    P-M 730 @ 2.58gig

    Geforce 6800GT 401/1100

    2×512 G.E.I.L. Ram

    Asus P4P800E-Deluxe

    Thermaltake 410Watt

    Windows XP Pro SP2

    Mijn virusscanner is AVG en al die virusscaners van Hitmanpro, die vinden niets.

    Hoop dat iemand me kan helpen met deze vage problemen :)

    Heb trouwens een Hijackthis log gemaakt:

    Code:


    Logfile of HijackThis v1.99.1
    Scan saved at 15:08:46, on 13-9-2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:WINDOWSSystem32smss.exe
    C:WINDOWSsystem32winlogon.exe
    C:WINDOWSsystem32services.exe
    C:WINDOWSsystem32lsass.exe
    C:WINDOWSsystem32svchost.exe
    C:WINDOWSSystem32svchost.exe
    C:WINDOWSsystem32spoolsv.exe
    C:WINDOWSsystem32netdde.exe
    C:PROGRA~1GrisoftAVG7avgamsvr.exe
    C:PROGRA~1GrisoftAVG7avgupsvc.exe
    C:WINDOWSsystem32nvsvc32.exe
    C:WINDOWSExplorer.EXE
    C:WINDOWSSystem32svchost.exe
    C:Program FilesWebrootSpy SweeperWRSSSDK.exe
    C:WINDOWSsystem32RUNDLL32.EXE
    C:WINDOWSSOUNDMAN.EXE
    C:Program FilesMessengerPlus! 3MsgPlus.exe
    C:Program FilesDAEMON Toolsdaemon.exe
    C:PROGRA~1GrisoftAVG7avgcc.exe
    C:Program FilesJavajre1.5.0_07binjusched.exe
    C:WINDOWSsystem32rundll32.exe
    C:Program FilesPowerISOPWRISOVM.EXE
    C:Program FilesASUSProbeAsusProb.exe
    C:Program FilesWinampwinampa.exe
    C:Program FilesiTunesiTunesHelper.exe
    C:Program FilesQuickTimeqttask.exe
    C:WINDOWSsystem32LVCOMSX.EXE
    C:Program FilesLogitechVideoLogiTray.exe
    C:Program FilesDU MeterDUMeter.exe
    C:Program FilesUltraMonUltraMon.exe
    C:WINDOWSsystem32ctfmon.exe
    C:Program FilesCommon FilesAheadLibNMBgMonitor.exe
    C:Program FilesLogitechMouseWaresystemem_exec.exe
    C:Program FilesUltraMonUltraMonTaskbar.exe
    C:Program FilesLogitechVideoFxSvr2.exe
    C:Program FilesiPodbiniPodService.exe
    C:PROGRA~1MSNMES~1msnmsgr.exe
    C:Program FilesMozilla FirefoxDataresourcesfirefox.exe
    C:Program FilesMozilla Firefoxfirefox.exe
    C:Program FilesWinRARWinRAR.exe
    C:DOCUME~1SniperLOCALS~1TempRar$EX00.734HijackThis.exe

    R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
    R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
    R1 – HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://192.168.1.1/
    R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Koppelingen
    O2 – BHO: Adobe PDF Reader Link Helper – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
    O2 – BHO: (no name) – {53707962-6F74-2D53-2644-206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
    O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:Program FilesJavajre1.5.0_07binssv.dll
    O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
    O4 – HKLM..Run: [nwiz] nwiz.exe /install
    O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
    O4 – HKLM..Run: [Logitech Utility] Logi_MwX.Exe
    O4 – HKLM..Run: [SoundMan] SOUNDMAN.EXE
    O4 – HKLM..Run: [MessengerPlus3] “C:Program FilesMessengerPlus! 3MsgPlus.exe”
    O4 – HKLM..Run: [DAEMON Tools] “C:Program FilesDAEMON Toolsdaemon.exe” -lang 1033
    O4 – HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVG7avgcc.exe /STARTUP
    O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_07binjusched.exe
    O4 – HKLM..Run: [NeroFilterCheck] C:Program FilesCommon FilesAheadLibNeroCheck.exe
    O4 – HKLM..Run: [PWRISOVM.EXE] C:Program FilesPowerISOPWRISOVM.EXE
    O4 – HKLM..Run: [ASUS Probe] C:Program FilesASUSProbeAsusProb.exe
    O4 – HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe
    O4 – HKLM..Run: [iTunesHelper] “C:Program FilesiTunesiTunesHelper.exe”
    O4 – HKLM..Run: [QuickTime Task] “C:Program FilesQuickTimeqttask.exe” -atboottime
    O4 – HKLM..Run: [LVCOMSX] C:WINDOWSsystem32LVCOMSX.EXE
    O4 – HKLM..Run: [LogitechVideoRepair] C:Program FilesLogitechVideoISStart.exe
    O4 – HKLM..Run: [LogitechVideoTray] C:Program FilesLogitechVideoLogiTray.exe
    O4 – HKLM..Run: [DU Meter] C:Program FilesDU MeterDUMeter.exe
    O4 – HKLM..Run: [UltraMon] “C:Program FilesUltraMonUltraMon.exe” /auto
    O4 – HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
    O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
    O4 – HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:Program FilesCommon FilesAheadLibNMBgMonitor.exe”
    O4 – HKCU..Run: [LogitechSoftwareUpdate] “C:Program FilesLogitechVideoManifestEngine.exe” boot
    O4 – HKCU..Run: [MessengerPlus3] “C:Program FilesMessengerPlus! 3MsgPlus.exe” /WinStart
    O4 – HKCU..Run: [msnmsgr] “C:PROGRA~1MSNMES~1msnmsgr.exe” /background
    O4 – Startup: Dual.lnk = ?
    O4 – Global Startup: Adobe Reader Snelle start.lnk = C:Program FilesAdobeAcrobat 7.0ReaderDataresourcesreader_sl.exe
    O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10DataresourcesOSA.EXE
    O8 – Extra context menu item: E&xport to Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
    O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:Program FilesJavajre1.5.0_07binssv.dll
    O9 – Extra ‘Tools’ menuitem: Sun Java Console – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:Program FilesJavajre1.5.0_07binssv.dll
    O9 – Extra button: Spyware Doctor – {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} – C:PROGRA~1SPYWAR~2toolsiesdpb.dll
    O9 – Extra button: Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:Program FilesMessengermsmsgs.exe
    O9 – Extra ‘Tools’ menuitem: Windows Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:Program FilesMessengermsmsgs.exe
    O16 – DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) – http://teddybeerr.spaces.live.com//PhotoUpload/MsnPUpld.cab
    O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150299241140
    O17 – HKLMSystemCCSServicesTcpip..{82758B67-5E1B-4C69-9C86-3A1C0A96996C}: NameServer = 194.134.5.5,194.134.0.97
    O18 – Protocol: msnim – {828030A1-22C1-4009-854F-8E305202313F} – “C:PROGRA~1MSNMES~1msgrapp.dll” (file missing)
    O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – C:PROGRA~1GrisoftAVG7avgamsvr.exe
    O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – C:PROGRA~1GrisoftAVG7avgupsvc.exe
    O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
    O23 – Service: iPodService – Apple Computer, Inc. – C:Program FilesiPodbiniPodService.exe
    O23 – Service: NOD32 Kernel Service (NOD32krn) – Eset – C:Program FilesEsetnod32krn.exe
    O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:WINDOWSsystem32nvsvc32.exe
    O23 – Service: PC Tools Spyware Doctor (SDhelper) – PC Tools Research Pty Ltd – C:Program FilesSpyware Doctorsdhelp.exe
    O23 – Service: Webroot Spy Sweeper Engine (svcWRSSSDK) – Webroot Software, Inc. – C:Program FilesWebrootSpy SweeperWRSSSDK.exe

    Volgens mij stond er niets verkeerds in.

    Ik heb even een screenshot gemaakt van de taskmanager (dit keer “maar” met 3xdllhost32):

    [img]http://home.wanadoo.nl/berco.landman/Processen.JPG[/img]

    Ik ben er trouwens ook achter gekomen dat als ik firefox sluit, er in werkelijkheid maar 1 proces sluit en dat die andere daarna vaak oploopt tot 100%cpu load.

    Dit topic heb ik trouwens ook op GOT geopend, alleen 2 is altijd beter dan 1 :)

    Topic op GOT

    13-09-2006 17:40 om 17:40 #451131
    imported_Z@3 RedrumZ@3 Redrum.
    Deelnemer
    15

    Kijk eens of die ook in msconfig staat vermeld.

    13-09-2006 18:44 om 18:44 #451132
    DukeDuke
    Deelnemer
    15

    Ik heb even naar je log gekeken, maar daar heb ik niets vreemds uit kunnen opmaken, dus dat is gewoon in orde.

    Dllhost32.exe is een virus (worm) die beter bekend staat als Fagot, een IRC Worm.

    Zie ook dit stukje:

    Quote:

    Ntkrnlpa.exe is Fagot IRC worm.

    The Ntkrnlpa.exe spreads via IRC chat when a user downloads “britney.jpg”.

    The image contains the script code that executes when a user opens picture file in the unpatched Internet Explorer (update your IE).

    Ntkrnlpa.exe replaces Windows Media Player with patch.exe file. The original version of WMP is copied to a file and will be executed after the executing the worm with 5 seconds delay.

    Also, Ntkrnlpa.exe process creates its copy to the %SysDir%userinit32.exe file.

    Ntkrnlpa.exe changes the UserInit value in the registry key:

    HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

    “Userinit” = “C:Windowssystem32userinit32.exe”

    Ntkrnlpa makes another copy t

    %SysDir%dllhost32.exe

    Ntkrnlpa changes IE home page to http://www.blacksnake.com.

    Kills antiviral software.

    More info

    http://www.f-secure.com/v-descs/fagot.shtml

    Removal of Ntkrnlpa.exe:

    Kills related process and removes it from Windows startup.

    Delete its files.

    Ik weet niet of je vaak op IRC zit, maar dit zou je dus via IRC binnen gehaald moeten hebben. Hoe dan ook, voor alles is een oplossing. :mrgreen:

    Allereerst, download Killbox start daarna Killbox op, en kies voor Delete on Reboot..

    Vul bij Full Path of File to Delete het volgende in :

    C:dllhost32.exe

    Klik daarna op de knop Single File, en klik daarna op de rode cirkel met het witte kruisje erin.

    Als het goed is zegt Killbox nu dat je moet rebooten, kies dan voor Yes.

    Dat er overigens 5x svchost.exe staat, is normaal.

    Wat betreft Firefox zou ik zo niet weten, maar ik neem dat je de meest recente versie hebt? (1.5.0.6)

    13-09-2006 19:37 om 19:37 #451133
    -SNPER--SNPER-
    Deelnemer
    16

    Ik heb geen IRC geinstalleerd en op deze installatie nog nooit geinstalleerd gehad… Maar zal het toch even proberen dan…

    13-09-2006 21:18 om 21:18 #451134
    BarthezZBarthezZ
    Deelnemer
    15

    uhmmm? niemand kijkt even aandachtig naar de hijacklog

    C:Program FilesUltraMonUltraMonTaskbar.exe (verdacht)

    C:Program FilesMozilla FirefoxDataresourcesfirefox.exe (is stout bestaat niet hier)

    14-09-2006 06:39 om 06:39 #451135
    DukeDuke
    Deelnemer
    15

    UltraMonTaskbar.exe hoort bij het progje UltraMon, waar je een dual-monitor opstelling mee kunt configureren.

    Niks mis mee dus, met dit proces.

  • Auteur
    Berichten
6 berichten aan het bekijken - 1 tot 6 (van in totaal 6)
  • Je moet ingelogd zijn om een antwoord op dit onderwerp te kunnen geven.

Naar boven