Jednym z problemów podczas próby zdiagnozowania jakichkolwiek problemów w systemie Windows jest to, że sporo informacji o tym, jakie pliki i programy są ładowane w tle, jest ukryte i niewidoczne. Jednym z tych programów systemu Windows jest proces svchost.exe, który wygląda jak pojedynczy proces w Menedżerze zadań, ale w rzeczywistości może zawierać kilka załadowanych usług dll, o których nie będziesz wiedział, chyba że wiesz, jak rozpoznać zawartość procesu svchost.
Innym procesem, który może być wyświetlany na liście zadań systemu Windows, ale nigdy nie wiadomo, co to jest, prawdopodobnie będzie proces rundll32. Rundll32.exe jest częścią systemu Windows znajdującą się w folderze \ Windows \ System32 i służy do uruchamiania kodu programu w pliku dll tak, jakby to był prawdziwy program. Pliku dll nie można wykonać bezpośrednio, dlatego do jego uruchomienia wymagany jest plik rundll32.exe. Wiele złośliwych programów może również używać tej nazwy lub podobnych nazw, aby oszukać użytkownika, że wirus jest faktycznie legalnym plikiem systemu Windows. Nazwy takie jak rundII32.exe (faktycznie przy użyciu 2 wielkich liter i) lub rundll.32.exe nie są rzadkie i zawsze powinieneś przestudiować nazwy plików rundll32 (i svchost) w Menedżerze zadań, jeśli podejrzewasz, że masz złośliwe oprogramowanie w systemie. Rundll32 jest również powszechnie używany przez oprogramowanie szpiegujące do uruchamiania własnego kodu. Jak widać, jeśli otworzysz Menedżera zadań i masz plik Rundll32.exe, w rzeczywistości domyślnie nie widzisz, co dll uruchamia.
Oto jak rozpoznać, które pliki DLL są ładowane w rundll32.exe na Windows XP, Vista i 7.
Użyj Menedżera zadań, aby zidentyfikować używane polecenie Rundll32.exe
Ta funkcja jest dostępna tylko w systemie Vista i nowszych wersjach, a wyświetla dodatkową kolumnę w Menedżerze zadań, która informuje, jaki wiersz poleceń jest aktualnie używany przez proces. Otwórz Menedżera zadań -> menu Widok -> Wybierz kolumny…, kliknij pole wiersza polecenia, a następnie OK.
Nowa kolumna będzie teraz dostępna i powinieneś być w stanie określić, która biblioteka DLL jest wykonywana.
Zidentyfikuj załadowane pliki DLL za pomocą Process Explorer
Process Explorer jest świetnym zamiennikiem Menedżera zadań stworzonym przez SysInternals, który może wyświetlać o wiele bardziej szczegółowe informacje o tym, co ładuje proces Rundll32. Wystarczy uruchomić narzędzie Process Explorer, a zostanie wyświetlona lista procesów typu Menedżer zadań.
Wystarczy, że najedziesz myszką na pozycję Rundll32.exe, a zobaczysz w podpowiedzi, jakie polecenie jest uruchamiane i które dll jest wykonywane. Jak widać z obrazu, ten plik rundll32.exe wykonuje ikonę zasobnika nVidia.
Pobierz Process Explorer
Zidentyfikuj załadowane pliki DLL za pomocą wiersza polecenia
Oto ręczny sposób identyfikacji plików DLL w programie rundll32.exe. Otwórz wiersz polecenia, naciskając WinKey + R i wpisz cmd. Następnie wpisz lub wklej poniższe polecenie w wierszu polecenia i naciśnij klawisz Enter.
tasklist / m / fi "IMAGENAME eq rundll32.exe"
Należy pamiętać, że domyślnie system Windows XP Home Edition nie ma narzędzia tasklist.exe, tylko Professional. Jest wbudowany we wszystkie wersje Windows Vista i 7. Jeśli chcesz mieć narzędzie Tasklist dla XP Home, możesz pobrać go z tego linku:
Pobierz Tasklist.exe
Moduły dll są wyświetlane po prawej stronie wyniku listy zadań. Prawdopodobnie zobaczysz wiele modułów, które są wewnętrznymi bibliotekami DLL systemu Windows, a doświadczony użytkownik potrzebuje trochę wiedzy, aby zidentyfikować niebezpieczne listy DLL na liście. Jeśli nie masz pewności, zawsze możesz wyszukać w Google nazwę pliku DLL.
Fałszywe pliki Rundll32
Teraz wiesz, jak zidentyfikować załadowane biblioteki DLL w programie rundll32.exe, ale są też przypadki programów szpiegujących i wirusów zastępujących oryginalny system Windows rundll32.exe fałszywym. Jeśli masz zły lub uszkodzony plik rundll32.exe, będziesz mieć problemy z otwarciem Panelu sterowania itp.
Aby sprawdzić, czy plik rundll32.exe został zmodyfikowany lub wymieniony, możesz go otworzyć za pomocą Notatnika, Wordpada lub edytora szesnastkowego. Po otwarciu pliku rundll32.exe poszukaj słowa „padding”. Jeśli to słowo znajduje się w pliku rundll32.exe, oznacza to, że używasz fałszywego pliku i należy go wymienić.
Najprostszym sposobem zastąpienia pliku jest użycie Kontrolera plików systemowych (SFC) z wiersza polecenia.
1. Naciśnij klawisz Win + R i wpisz cmd w oknie dialogowym Uruchom, naciśnij klawisz Enter.
2. Wpisz poniższe polecenie w wierszu polecenia i naciśnij klawisz Enter. System Windows powinien teraz zastąpić uszkodzony plik rundll32.exe i wszelkie inne pliki systemowe uszkodzone przez wirusa lub inne problemy.
sfc / Scannow
Jeśli wiesz, że tylko plik rundll32.exe jest uszkodzony i używasz systemu Vista lub 7, możesz uniknąć pełnego sprawdzania plików systemowych i po prostu uruchomić SFC dla tego 1 pliku.
sfc /scanfile=c:\windows\system32\rundll32.exe
Użytkownicy systemu Windows XP mogą potrzebować instalacyjnego dysku CD z systemem Windows, aby przywrócić oryginalny plik. Bardzo przydatną i oszczędzającą czas wskazówką, aby uniknąć konieczności korzystania z dysku CD w przyszłości podczas uruchamiania SFC, jest skopiowanie folderu i386 na dysk twardy.