В в течении дня  в диспетчере задач постепенно появляются процессы rundll32.exe, ничего не делают, память почти не занимают, процессор тоже. По все видимости пытается запустить какую-то dll-ку, а DrWeb не дает или файла который надо запустить уже нет и они остаются висеть. К концу дня  до 100 процессов доходит...
На одном из серверов уже пара тысяч висит...
Достали. Посоветуете с чего начинать копать.

P.S. Вирусов нет, проверено 3-мя антивирусами, на всех компах лицензионный DrWeb 2 недели уже стоит, раньше был просто рассадник везде, но вроде пролечили, только вот последствия замучили...  
Скорее всего где-то в реестре ветка какая-то лишняя, но по подстроке "rundll32.exe" будет несколько сотен строк, офигеем искать...
Может кто-то уже сталкивался ?

P.S.S.
Гугл не помог, в поиск не отправлять )))

А реестр пролечить каким нить нортоновским доктором?

Поставь какой нибудь приличный менеджер задач и посмотри, откуда они беруться

блютузовскую или еще какую прогу удали
и позырь ключики
hklm\software\microsoft\windows\currentversion\run
hkcu\software\microsoft\windows\currentversion\run

(1) не доверяю я всем продуктам нортона принципиально, ни разу без траблов не обходилось, блин антивирус их особенно, который гад ничего не говоря тупо нам налоговые декларации по эл. почте чикал, 2 дня разбирались почему у нас неверная подпись в налоговой выдается...

(3) ничего подобного не стоит, практически девственно чистая винда
С ключиками этими все тоже в порядке...

wmic process where name='rundll32.exe' get commandline

(6)
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\prohorova.KEK.001>wmic process where name='rundll32.ex
e' get commandline
CommandLine
rundll32.exe tisphc.h,frdbz
rundll32.exe tisphc.h,bffeqt
rundll32.exe tisphc.h,nxjll
rundll32.exe tisphc.h,cgcfb
rundll32.exe tisphc.h,aamqjaa
rundll32.exe tisphc.h,pzkhzoif
rundll32.exe tisphc.h,xnthmdk
rundll32.exe tisphc.h,nvdvoq
rundll32.exe tisphc.h,xenwoezk
rundll32.exe tisphc.h,zjbvtnrg
rundll32.exe tisphc.h,uvpeajs
rundll32.exe tisphc.h,houtzou
rundll32.exe tisphc.h,gsaahevh
rundll32.exe tisphc.h,xlxqe
rundll32.exe tisphc.h,hivccj
rundll32.exe tisphc.h,qazsbvv
rundll32.exe tisphc.h,igvufke
rundll32.exe tisphc.h,qqylrge
rundll32.exe tisphc.h,tksbzrc
rundll32.exe tisphc.h,gebant
rundll32.exe tisphc.h,lccgce
rundll32.exe tisphc.h,kujjy
rundll32.exe tisphc.h,jnlzuje
rundll32.exe tisphc.h,ztfeumc
rundll32.exe tisphc.h,tizwzm
rundll32.exe tisphc.h,racixdaf
rundll32.exe tisphc.h,frkmtwad
rundll32.exe tisphc.h,jhfzbqs

да уж :(
еще
wmic process where name='rundll32.exe' get commandline,executablepath,parentprocessid

и посмотри кто parentprocessid

(8) нашла и убила ветку с подстрокой "tisphc.h"

(8) сейчас буду смотреть на результаты...

рандлл не перестанет запускаться от этого, просто будет схлапываться быстро
надо еще и файлик бы такой поискать

(11) в том-то и дело что нету такого...

можно сделать так
взять файлик kernel32.dll и скопировать его в  tisphc.h
и ловить кто его запускает
либо еще лучше заменить rundll32.exe на свой который будет в лог просто гнать парент процесс

(13) Блин, я-ж не сисадмин все-таки, прямо набор слов наполовину для меня )))
Rundll заменить получится, он его на свой меняет через 5 секунд гад...
Как понять "скопировать его в  tisphc.h" ?

(14) его в двух местах заменить
в system32 и в system32\dllcache

создаем файлик
c:\test.bat

echo off
wmic process where "name='rundll32.exe'" get parentprocessid >> c:\test.log
%1 %*


правим ветку реестра (регедит не закрываем после, а то при любой оплошности кирдык небольшой)
правим следующее
HKEY_CLASSES_ROOT\exefile\shell\open\command
ключик по умолчанию меняем с "%1" %* на c:\test.bat "%1" %*

(16) вернулась с обеда, буду пробовать

лучше всегда начинать с msconfig

(0) а посмотри что у тебя в планировщике задач творится

(18) Тоже самое смотрела только другими средствами
(19) Человечище, спасибо!!!! Блин, вот тупняк, а мне даже в голову не пришло... ))))))))))))))))))))))

Всем спасибо, проблема решена )))
Пойду спасать сервер...

94 задания в планировщике, все на запуск rundll32

а на сервере блин 730 оказалось 0_0 ))))))))))))))))
блин, чувствую себя ламером

(0) DrWeb - ГУАНО, когда поменял его на каспера, только тогда очистил комп от всякой дряни, что принес от клиентов.

(23) Принципиальной разницы не замечено, кроме того что каспер систему сильнее тормозит и периодически орет без повода... офигеешь пока настроишь все исключения.

(24) Замечено, еще как замечено, а с тормозами приходится мириться

Ладно, назначенные задания удалили, но вот только при перезагрузке он опять 2 создает новых... Будем рыть дальше...

(26) Проверь каспером

(27) тишина

Проверяли нодом, каспером, авастом, вебом и везде тишина...

А что за файлик "tisphc.h" это не С-шный файл заголовка? И какое отношение он к ОС имеет?

(30) представления не имею, у меня  такого файла не было ни одного...
Такие строки "tisphc.h*" идут в заданиях в планировщике как параметр к rundll32, но файлов таких нет.

(30) а без разницы какое расширение у файла
Каспер тоже гуано, как и все остальные
...
на свежих компах, с установленным лицензионным каспером загнаным на полную защиту и прочие строгости, установка сразу после установки ос была, спокойно сосуществовали вирусы.
Так и с дрвебом
...
а вот про планировщик не подумал, иду биться о стену ))

(32) пока не бейся, лучше подскажи что может задания создавать...   )))))))))

даже не знаю
либо
AT
SCHTASKS
либо WMI

(34) чё материшся )))) ?

(34)  говорю-ж не сисадмин я ))) а он гад в Египте на песке валяется...

(36) а отруби планировщик пока совсем, если не пользуетесь
в службах останови и в отключено поставь, только если не Vista
...
Приедет, пусть сам думает

(37) на своем я так и сделала, а вот на сервере там архивация в планировщике, просто так не отключишь...

а добавь в задание каждую минуту такой пакетник

for /f "tokens=2 delims=," %%i in ('schtasks /query /fo csv /nh /v ^| find /i "rundll32"') do schtasks /delete /tn %%i /f


Пущай потом админ разгребает )))