Tunnista mikä on ladattu rundll32.exe-tiedostoon Windowsin tehtäväluettelossa

2019-02-19 08:29:26
Tärkein·Windows·Tunnista mikä on ladattu rundll32.exe-tiedostoon Windowsin tehtäväluettelossa

Yksi ongelmista, kun yrität diagnosoida Windowsin ongelmia, on melko paljon tietoa siitä, mitkä tiedostot ja ohjelmat on ladattu taustalle, piilotettu pois eikä ole helposti näkyvissä. Yksi näistä Windows-ohjelmista on svchost.exe-prosessi, joka näyttää vain yhdeltä prosessilta Tehtävienhallinnassa, mutta voi itse asiassa sisältää useita dll-ladattuja palveluita, joista et tiedä, ellet tiedä miten tunnistaa svchost-prosessin sisällöt.

Toinen prosessi, joka saattaa näkyä Windows-tehtäväluettelossasi, mutta et voi koskaan tietää, millainen se on, todennäköisesti rundll32-prosessi. Rundll32.exe on osa Windowsia, joka löytyy \ Windows \ System32: sta ja jota käytetään ohjelman koodin suorittamiseen dll-tiedostossa ikään kuin se olisi todellinen ohjelma. Dll-tiedostoa ei voi suorittaa suoraan, siksi rundll32.exe vaaditaan sen suorittamiseksi. Monet haittaohjelmat voivat myös käyttää tätä nimeä tai vastaavia nimiä huijaamaan sinua ajattelemaan, että virus on todella laillinen Windows-tiedosto. Nimet, kuten rundII32.exe (tosiasiallisesti käyttävät 2 isoa i-kirjainta) tai rundll.32.exe, eivät ole harvinaisia, ja sinun tulee aina tutkia rundll32 (ja svchost) -nimien nimiä Tehtävienhallinnassa, jos epäilet, että järjestelmässäsi on haittaohjelmia. Vakoiluohjelmat käyttävät Rundll32-ohjelmaa myös yleisesti oman koodinsa käynnistämiseen. Kuten näet, jos avaat Task Manager -sovelluksen ja sinulla on Rundll32.exe-tiedosto, et voi itse nähdä oletuksena, mitä dll on käynnistämässä.

Näin tunnistetaan, mitkä DLL-tiedostot ladataan rundll32.exe-tiedostoon Windows XP: ssä, Vistassa ja 7: ssä.

Tunnista käytössä oleva Rundll32.exe-komento Task Manager -ohjelman avulla

Tämä toiminto on käytettävissä vain Vista-käyttöjärjestelmässä ja sitä uudemmissa versioissa, ja sen tehtävänä on näyttää Task Managerissa ylimääräinen sarake, joka kertoo prosessin tällä hetkellä käyttämän komentorivin. Avaa Tehtävienhallinta -> Näytä-valikko -> Valitse sarakkeet…, napsauta komentorivikenttää ja sitten OK.

Uusi sarake on nyt saatavana, ja sinun pitäisi pystyä tunnistamaan, mikä dll suoritetaan.

Tunnista ladatut DLL-tiedostot Process Explorerilla

Process Explorer on SysInternalsin valmistama hieno Task Manager -korvaaja, joka voi näyttää paljon yksityiskohtaisempia tietoja siitä, mitä Rundll32-prosessi lataa. Suorita vain Process Explorer -työkalu ja sinulle näytetään Task Manager -tyyppinen luettelo prosesseista.

Ainoa mitä sinun täytyy tehdä, on viedä hiiri Rundll32.exe -merkinnän päälle ja se näyttää työkaluvihjeessä, mikä komento on käynnissä ja mikä dll suoritetaan. Kuten kuvasta voidaan nähdä, tämä rundll32.exe suorittaa nVidia-tarjotinkuvaketta.

Lataa Process Explorer

Tunnista ladatut DLL-tiedostot komentokehotteen avulla

Tässä on manuaalinen tapa tunnistaa DLL-tiedostot rundll32.exe-tiedostossa. Avaa komentokehote painamalla WinKey + R ja kirjoita cmd. Kirjoita tai liitä sitten alla oleva komento kehotteeseen ja paina Enter.

tasklist / m / fi "IMAGENAME eq rundll32.exe"

Huomaa, että Windows XP Home Edition -sovelluksessa ei oletuksena ole tasklist.exe-apuohjelmaa, vain Professional. Se on integroitu kaikkiin Windows Vista- ja 7-versioihin. Jos haluat Tasklist-työkalun XP Home: lle, voit ladata sen tästä linkistä:

Lataa Tasklist.exe

Dll-moduulit näkyvät tehtäväluettelon oikealla puolella. Näet todennäköisesti paljon moduuleja, jotka ovat sisäisiä Windows-dll-tiedostoja, ja kokeneelta käyttäjältä on kuluttava vähän tietoa, jotta luettelossa olevat vaaralliset dll-tiedostot voidaan tunnistaa. Jos olet epävarma, voit aina tehdä Google-haun dll-tiedostonimellä.

Fake Rundll32-tiedostot

Nyt tiedät, kuinka tunnistaa ladatut DLL-tiedostot rundll32.exe-tiedostossa, mutta on myös vakoiluohjelmia ja viruksia, jotka korvaavat Windowsin alkuperäisen rundll32.exe -sovelluksella väärennetyn. Kun sinulla on huono tai vioittunut rundll32.exe, sinulla on ongelmia Ohjauspaneelin avaamisessa jne.

Voit tarkistaa, onko rundll32.exe muokattu vai vaihdettu, avaamalla se Notepadilla, Wordpadilla tai Hex-editorilla. Kun olet avannut rundll32.exe, etsi sana “padding”. Jos tämä sana on rundll32.exe: ssä, se tarkoittaa, että käytät vääriä tiedostoja ja se on korvattava.

Yksinkertaisin tapa korvata tiedosto on käyttää komentoriviltä SFC-järjestelmää.

1. Paina Win-näppäintä + R ja kirjoita cmd Suorita-valintaikkunaan, paina Enter.

2. Kirjoita alla oleva komento komentoriville ja paina Enter. Windowsin pitäisi nyt korvata vioittunut rundll32.exe ja kaikki muut virustiedostojen tai muiden ongelmien vahingoittamat järjestelmätiedostot.

sfc / Scannow

Jos tiedät vain rundll32.exe-tiedoston olevan vioittunut ja käytät Vistaa tai 7, voit välttää täydellisen järjestelmätiedoston tarkistuksen ja suorittaa vain SFC-tiedoston kyseisessä 1 tiedostossa.

sfc /scanfile=c:\ Windows\system32\rundll32.exe

Windows XP: n käyttäjät voivat tarvita Windowsin asennus-CD: n alkuperäisen tiedoston palauttamiseksi. I386-kansion kopiointi kiintolevylle on erittäin hyödyllinen ja aikaa säästävä vinkki CD: n välttämiseksi tulevaisuudessa SFC: tä käytettäessä.

Toimituksen Valinta