Yksi ongelmista, kun yrität diagnosoida Windowsin ongelmia, on melko paljon tietoa siitä, mitkä tiedostot ja ohjelmat on ladattu taustalle, piilotettu pois eikä ole helposti näkyvissä. Yksi näistä Windows-ohjelmista on svchost.exe-prosessi, joka näyttää vain yhdeltä prosessilta Tehtävienhallinnassa, mutta voi itse asiassa sisältää useita dll-ladattuja palveluita, joista et tiedä, ellet tiedä miten tunnistaa svchost-prosessin sisällöt.
Toinen prosessi, joka saattaa näkyä Windows-tehtäväluettelossasi, mutta et voi koskaan tietää, millainen se on, todennäköisesti rundll32-prosessi. Rundll32.exe on osa Windowsia, joka löytyy \ Windows \ System32: sta ja jota käytetään ohjelman koodin suorittamiseen dll-tiedostossa ikään kuin se olisi todellinen ohjelma. Dll-tiedostoa ei voi suorittaa suoraan, siksi rundll32.exe vaaditaan sen suorittamiseksi. Monet haittaohjelmat voivat myös käyttää tätä nimeä tai vastaavia nimiä huijaamaan sinua ajattelemaan, että virus on todella laillinen Windows-tiedosto. Nimet, kuten rundII32.exe (tosiasiallisesti käyttävät 2 isoa i-kirjainta) tai rundll.32.exe, eivät ole harvinaisia, ja sinun tulee aina tutkia rundll32 (ja svchost) -nimien nimiä Tehtävienhallinnassa, jos epäilet, että järjestelmässäsi on haittaohjelmia. Vakoiluohjelmat käyttävät Rundll32-ohjelmaa myös yleisesti oman koodinsa käynnistämiseen. Kuten näet, jos avaat Task Manager -sovelluksen ja sinulla on Rundll32.exe-tiedosto, et voi itse nähdä oletuksena, mitä dll on käynnistämässä.
Näin tunnistetaan, mitkä DLL-tiedostot ladataan rundll32.exe-tiedostoon Windows XP: ssä, Vistassa ja 7: ssä.
Tunnista käytössä oleva Rundll32.exe-komento Task Manager -ohjelman avulla
Tämä toiminto on käytettävissä vain Vista-käyttöjärjestelmässä ja sitä uudemmissa versioissa, ja sen tehtävänä on näyttää Task Managerissa ylimääräinen sarake, joka kertoo prosessin tällä hetkellä käyttämän komentorivin. Avaa Tehtävienhallinta -> Näytä-valikko -> Valitse sarakkeet…, napsauta komentorivikenttää ja sitten OK.
Uusi sarake on nyt saatavana, ja sinun pitäisi pystyä tunnistamaan, mikä dll suoritetaan.
Tunnista ladatut DLL-tiedostot Process Explorerilla
Process Explorer on SysInternalsin valmistama hieno Task Manager -korvaaja, joka voi näyttää paljon yksityiskohtaisempia tietoja siitä, mitä Rundll32-prosessi lataa. Suorita vain Process Explorer -työkalu ja sinulle näytetään Task Manager -tyyppinen luettelo prosesseista.
Ainoa mitä sinun täytyy tehdä, on viedä hiiri Rundll32.exe -merkinnän päälle ja se näyttää työkaluvihjeessä, mikä komento on käynnissä ja mikä dll suoritetaan. Kuten kuvasta voidaan nähdä, tämä rundll32.exe suorittaa nVidia-tarjotinkuvaketta.
Lataa Process Explorer
Tunnista ladatut DLL-tiedostot komentokehotteen avulla
Tässä on manuaalinen tapa tunnistaa DLL-tiedostot rundll32.exe-tiedostossa. Avaa komentokehote painamalla WinKey + R ja kirjoita cmd. Kirjoita tai liitä sitten alla oleva komento kehotteeseen ja paina Enter.
tasklist / m / fi "IMAGENAME eq rundll32.exe"
Huomaa, että Windows XP Home Edition -sovelluksessa ei oletuksena ole tasklist.exe-apuohjelmaa, vain Professional. Se on integroitu kaikkiin Windows Vista- ja 7-versioihin. Jos haluat Tasklist-työkalun XP Home: lle, voit ladata sen tästä linkistä:
Lataa Tasklist.exe
Dll-moduulit näkyvät tehtäväluettelon oikealla puolella. Näet todennäköisesti paljon moduuleja, jotka ovat sisäisiä Windows-dll-tiedostoja, ja kokeneelta käyttäjältä on kuluttava vähän tietoa, jotta luettelossa olevat vaaralliset dll-tiedostot voidaan tunnistaa. Jos olet epävarma, voit aina tehdä Google-haun dll-tiedostonimellä.
Fake Rundll32-tiedostot
Nyt tiedät, kuinka tunnistaa ladatut DLL-tiedostot rundll32.exe-tiedostossa, mutta on myös vakoiluohjelmia ja viruksia, jotka korvaavat Windowsin alkuperäisen rundll32.exe -sovelluksella väärennetyn. Kun sinulla on huono tai vioittunut rundll32.exe, sinulla on ongelmia Ohjauspaneelin avaamisessa jne.
Voit tarkistaa, onko rundll32.exe muokattu vai vaihdettu, avaamalla se Notepadilla, Wordpadilla tai Hex-editorilla. Kun olet avannut rundll32.exe, etsi sana “padding”. Jos tämä sana on rundll32.exe: ssä, se tarkoittaa, että käytät vääriä tiedostoja ja se on korvattava.
Yksinkertaisin tapa korvata tiedosto on käyttää komentoriviltä SFC-järjestelmää.
1. Paina Win-näppäintä + R ja kirjoita cmd Suorita-valintaikkunaan, paina Enter.
2. Kirjoita alla oleva komento komentoriville ja paina Enter. Windowsin pitäisi nyt korvata vioittunut rundll32.exe ja kaikki muut virustiedostojen tai muiden ongelmien vahingoittamat järjestelmätiedostot.
sfc / Scannow
Jos tiedät vain rundll32.exe-tiedoston olevan vioittunut ja käytät Vistaa tai 7, voit välttää täydellisen järjestelmätiedoston tarkistuksen ja suorittaa vain SFC-tiedoston kyseisessä 1 tiedostossa.
sfc /scanfile=c:\ Windows\system32\rundll32.exe
Windows XP: n käyttäjät voivat tarvita Windowsin asennus-CD: n alkuperäisen tiedoston palauttamiseksi. I386-kansion kopiointi kiintolevylle on erittäin hyödyllinen ja aikaa säästävä vinkki CD: n välttämiseksi tulevaisuudessa SFC: tä käytettäessä.