Ett av problemen när du försöker diagnostisera problem i Windows är ganska mycket information om vilka filer och program som laddas i bakgrunden som är gömda bort och inte är synliga. Ett av dessa Windows-program är svchost.exe-processen som bara ser ut som en enda process i Task Manager, men i själva verket kan innehålla flera dll-laddade tjänster som du inte vet om om du inte vet hur du identifierar vad som finns i svchost-processen.
En annan process som kan visas i din Windows uppgiftslista men du kan aldrig veta vad det är kommer förmodligen att vara rundll32-processen. Rundll32.exe är en del av Windows som finns i \ Windows \ System32 och används för att köra programkod i en dll-fil som om det var ett verkligt program. Dll-filen kan inte köras direkt, det är därför rundll32.exe krävs för att köra den. En hel del skadlig programvara kan också använda detta namn eller liknande namn för att lura dig att tro att viruset faktiskt är en legitim Windows-fil. Namn som rundII32.exe (faktiskt använder 2 stora bokstäver i bokstäver) eller rundll.32.exe är inte ovanliga och du bör alltid studera rundll32 (och svchost) filnamn i Task Manager om du misstänker att du har skadlig programvara på ditt system. Rundll32 används också ofta av spionprogram för att lansera sin egen kod. Som du kan se om du öppnar Task Manager och du har ett Rundll32.exe närvarande, kan du inte se som standard vad dll är det som startar.
Så här identifierar du vilka DLL-filer som laddas i rundll32.exe på Windows XP, Vista och 7.
Använd Task Manager för att identifiera Rundll32.exe-kommandot som används
Denna funktion är endast tillgänglig i Vista och ovan, och vad den gör är att visa en extra kolumn i Task Manager som berättar vad kommandoraden som för närvarande används av processen är. Öppna Aktivitetshanteraren -> Visa-menyn -> Välj kolumner ..., klicka på kommandoradslådan och sedan på OK.
En ny kolumn kommer nu att finnas tillgänglig och du bör kunna identifiera vilken dll som körs.
Identifiera laddade DLL-filer med hjälp av Process Explorer
Process Explorer är en stor Task Manager-ersättning som görs av SysInternals som kan visa mycket mer detaljerad information om vad Rundll32-processen laddar. Kör bara Process Explorer-verktyget så kommer du att presenteras med en lista över processer i Task Manager.
Allt du behöver göra är att sväva musen över posten Rundll32.exe och den visar dig i ett verktygstips vilket kommando som startas och vilken dll som körs. Som ni kan se från bilden kör denna rundll32.exe ikonen nVidia-facket.
Ladda ner Process Explorer
Identifiera inlästa DLL-filer genom kommandotolken
Här är ett manuellt sätt att identifiera DLL-filer i rundll32.exe. Öppna en kommandotolken genom att trycka på WinKey + R och skriv cmd. Skriv eller klistra sedan in kommandot nedan i prompten och tryck på Enter.
tasklist / m / fi "IMAGENAME eq rundll32.exe"
Observera att som standard inte har Windows XP Home-versionen verktyget tasklist.exe, bara Professional. Det är inbyggt i alla versioner av Windows Vista och 7. Om du vill ha verktygslistan för XP Home kan du ladda ner det från den här länken:
Ladda ner Tasklist.exe
Dll-modulerna visas på höger sida om resultatlistan. Du kommer förmodligen att se en hel del moduler som visas som de interna Windows-dllarna och det tar lite kunskap från en erfaren användare för att identifiera eventuella farliga dll på listan. Om du är osäker kan du alltid göra en sökning i Google på dll-filnamnet.
Fake Rundll32-filer
Nu vet du hur du identifierar laddade DLL-filer i rundll32.exe, men det finns också exempel på spionprogram och virus som ersätter Windows-ursprungliga rundll32.exe med ett falskt. När du har en dålig eller skadad rundll32.exe har du problem med att öppna Kontrollpanelen och etc.
För att kontrollera om din rundll32.exe har ändrats eller ersatts kan du öppna den med Notepad, Wordpad eller en Hex-redigerare. När du har öppnat rundll32.exe, leta efter ordet "padding". Om detta ord finns i rundll32.exe, betyder det att du använder en falsk fil och den måste ersättas.
Det enklaste sättet att ersätta filen är att använda System File Checker (SFC) från kommandotolken.
1. Tryck på Win-tangenten + R och skriv cmd i dialogrutan Kör, tryck på Enter.
2. Skriv kommandot nedan i kommandotolken och tryck på Enter. Windows bör nu ersätta den skadade rundll32.exe och alla andra systemfiler som skadats av ett virus eller andra problem.
sfc / Scannow
Om du vet att bara rundll32.exe-filen är skadad och du använder Vista eller 7 kan du undvika en fullständig systemfilkontroll och bara köra SFC på den 1 filen.
sfc /scanfile=c:\windows\system32\rundll32.exe
Windows XP-användare kan behöva installations-CD: n för Windows för att återställa en originalfil. Ett mycket användbart och tidsbesparande tips för att undvika att behöva CD i framtiden när du kör SFC är att kopiera mappen i386 till din hårddisk.