Et av problemene når du prøver å diagnostisere noen problemer i Windows, er ganske mye informasjon om hvilke filer og programmer som er lastet i bakgrunnen som er gjemt bort og ikke lett synlige. Et av disse Windows-programmene er svchost.exe-prosessen, som bare ser ut som en enkelt prosess i Task Manager, men som faktisk kan inneholde flere dll-lastede tjenester som du ikke vil vite om med mindre du vet hvordan du kan identifisere hva som er inne i svchost-prosessen.
En annen prosess som kan vises i Windows oppgaveliste, men du kan aldri vite hva det er, vil sannsynligvis være rundll32-prosessen. Rundll32.exe er en del av Windows funnet i \ Windows \ System32 og brukes til å kjøre programkode i en dll-fil som om det var et faktisk program. Dll-filen kan ikke kjøres direkte, det er grunnen til at rundll32.exe kreves for å kjøre den. Mye ondsinnet programvare kan også bruke dette navnet eller lignende navn for å lure deg til å tro at viruset faktisk er en legitim Windows-fil. Navn som rundII32.exe (faktisk bruker to store bokstaver i bokstaver) eller rundll.32.exe er ikke uvanlig, og du bør alltid studere rundll32 (og svchost) filnavnene i Task Manager hvis du mistenker at du har skadelig programvare på systemet ditt. Rundll32 brukes også ofte av spyware for å lansere sin egen kode. Som du kan se om du åpner Task Manager og du har en Rundll32.exe til stede, kan du ikke se som standard hva dll-en den lanserer.
Slik identifiserer du hvilke DLL-filer som lastes i rundll32.exe på Windows XP, Vista og 7.
Bruk Oppgavebehandling for å identifisere Rundll32.exe-kommandoen som er i bruk
Denne funksjonen er bare tilgjengelig i Vista og over, og hva den gjør er å vise en ekstra kolonne i Task Manager som forteller deg hva kommandolinjen som for øyeblikket brukes av prosessen. Åpne Oppgavebehandling -> Vis-meny -> Velg kolonner ..., klikk på kommandolinjeboksen og deretter OK.
En ny kolonne vil nå være tilgjengelig, og du skal kunne identifisere hvilken dll som kjøres.
Identifiser lastede DLL-filer ved hjelp av Process Explorer
Process Explorer er en flott Task Manager-erstatning laget av SysInternals som kan vise mye mer detaljert informasjon om hva Rundll32-prosessen laster inn. Bare kjør prosessutforskerverktøyet, og du vil bli presentert med en oppgaveleder-type liste over prosesser.
Alt du trenger å gjøre er å holde musen over Rundll32.exe-oppføringen, og den vil vise deg i et verktøytips hvilken kommando som blir startet og hvilken dll som kjøres. Som du ser av bildet, kjører dette rundll32.exe nVidia-ikonet.
Last ned prosessutforsker
Identifiser lastede DLL-filer gjennom ledetekst
Her er en manuell måte å identifisere DLL-filer i rundll32.exe. Åpne en ledetekst ved å trykke på WinKey + R og skriv inn cmd. Skriv eller lim deretter inn kommandoen nedenfor i ledeteksten og trykk Enter.
oppgaveliste / m / fi "IMAGENAME eq rundll32.exe"
Vær oppmerksom på at som standard ikke har Windows XP Home-utgaven verktøyet tasklist.exe, bare Professional. Det er innebygd i alle versjoner av Windows Vista og 7. Hvis du vil ha oppgavelisteverktøyet for XP Home, kan du laste det ned fra denne lenken:
Last ned Tasklist.exe
Dll-modulene vises på høyre side av oppgavelisteresultatet. Du vil sannsynligvis se mange moduler som vises som de interne Windows dll-ene, og det tar litt kunnskap fra en erfaren bruker å identifisere eventuelle farlige dll på listen. Hvis du er usikker, kan du alltid gjøre et søk i Google på dll-filnavnet.
Falske Rundll32 filer
Nå vet du hvordan du identifiserer lastede DLLer i rundll32.exe, men det er også tilfeller av spyware og virus som erstatter Windows-originale rundll32.exe med en falsk. Når du har en dårlig eller ødelagt rundll32.exe, vil du få problemer med å åpne Kontrollpanel og etc.
For å sjekke om rundll32.exe er endret eller erstattet, kan du åpne den med Notepad, Wordpad eller en Hex-editor. Når du har åpnet rundll32.exe, se etter ordet "polstring". Hvis dette ordet er inne i rundll32.exe, betyr det at du bruker en falsk fil og den må erstattes.
Den enkleste måten å erstatte filen på er å bruke System File Checker (SFC) fra Kommandoprompten.
1. Trykk Win-tast + R og skriv cmd i Kjør-dialogen, trykk Enter.
2. Skriv kommandoen nedenfor i ledeteksten, og trykk Enter. Windows bør nå erstatte den ødelagte rundll32.exe og eventuelle andre systemfiler som er skadet av et virus eller andre problemer.
sfc / Scannow
Hvis du vet at bare rundll32.exe-filen er skadet og at du bruker Vista eller 7, kan du unngå en fullstendig systemfilkontroll og bare kjøre SFC på den 1 filen.
sfc /scanfile=c:\windows\system32\rundll32.exe
Windows XP-brukere kan trenge Windows-installasjons-CDen for å gjenopprette en original fil. Et veldig nyttig og tidsbesparende tips for å unngå at CDen trenger fremover når du kjører SFC, er å kopiere i386-mappen til harddisken.