Et af problemerne, når du prøver at diagnosticere eventuelle problemer i Windows, er ganske meget information om, hvilke filer og programmer, der er indlæst i baggrunden, er skjult væk og ikke let synlige. Et af disse Windows-programmer er svchost.exe-processen, der bare ligner en enkelt proces i Task Manager, men faktisk kan indeholde flere dll-indlæste tjenester, som du ikke vil vide om, medmindre du ved, hvordan du identificerer, hvad der er inde i svchost-processen.
En anden proces, der muligvis vises i din Windows-opgaveliste, men du kan aldrig vide, hvad det er, vil sandsynligvis være rundll32-processen. Rundll32.exe er en del af Windows, der findes i \ Windows \ System32 og bruges til at køre programkode i en dll-fil, som om det var et faktisk program. Dll-filen kan ikke udføres direkte, det er grunden til, at rundll32.exe er påkrævet for at køre den. En masse ondsindet software kan også bruge dette navn eller lignende navne for at narre dig til at tro, at virussen faktisk er en legitim Windows-fil. Navne såsom rundII32.exe (faktisk ved hjælp af 2 store bogstaver i bogstaver) eller rundll.32.exe er ikke ualmindelige, og du skal altid studere rundll32 (og svchost) filnavne i Task Manager, hvis du har mistanke om, at du har malware på dit system. Rundll32 bruges også ofte af spyware til at lancere sin egen kode. Som du kan se, om du åbner Task Manager, og du har en Rundll32.exe til stede, kan du faktisk ikke se, hvad dll'en er, den starter.
Her er, hvordan du identificerer, hvilke DLL-filer der indlæses i rundll32.exe på Windows XP, Vista og 7.
Brug Task Manager til at identificere Rundll32.exe-kommandoen i brug
Denne funktion er kun tilgængelig i Vista og derover, og hvad den gør er at vise en ekstra kolonne i Task Manager, der fortæller dig, hvad den kommandolinie, der i øjeblikket bruges af processen, er. Åbn Task Manager -> Vis menu -> Vælg kolonner ..., klik på kommandolinjeboksen og derefter OK.
En ny kolonne vil nu være tilgængelig, og du skal være i stand til at identificere, hvilken dll der udføres.
Identificer indlæste DLL-filer ved hjælp af Process Explorer
Process Explorer er en fantastisk Task Manager-erstatning foretaget af SysInternals, som kan vise en meget mere detaljeret information om, hvad Rundll32-processen indlæser. Kør blot Process Explorer-værktøjet, og du får en liste over processer i Task Manager.
Alt hvad du skal gøre er at holde musen hen over Rundll32.exe-posten, og den vil vise dig i et værktøjstip, hvilken kommando der lanceres, og hvilken dll der udføres. Som du kan se fra billedet, udfører dette rundll32.exe ikonet nVidia-bakke.
Download Process Explorer
Identificer indlæste DLL-filer gennem kommandoprompten
Her er en manuel måde at identificere DLL-filer i rundll32.exe. Åbn en kommandoprompt ved at trykke på WinKey + R og skriv cmd. Skriv eller indsæt derefter kommandoen herunder i prompten, og tryk på Enter.
tasklist / m / fi "IMAGENAME eq rundll32.exe"
Vær opmærksom på, at Windows XP Home-udgave som standard ikke har tasklist.exe-værktøjet, kun Professional. Det er indbygget i alle versioner af Windows Vista og 7. Hvis du vil have værktøjet Tasklist til XP Home, kan du downloade det fra dette link:
Download Tasklist.exe
Dll-modulerne vises i højre side af opgaveliste-resultatet. Du vil sandsynligvis se en masse moduler, der er de interne Windows-dll'er, og det kræver lidt viden fra en erfaren bruger at identificere eventuelle farlige dll på listen. Hvis du er usikker, kan du altid foretage en søgning i Google på dll-filnavnet.
Falske Rundll32-filer
Nu ved du hvordan man identificerer indlæste DLL'er i rundll32.exe, men der er også tilfælde af spyware og vira, der erstatter Windows oprindelige rundll32.exe med en falsk. Når du har en dårlig eller beskadiget rundll32.exe, får du problemer med at åbne Kontrolpanel og osv.
For at kontrollere, om din rundll32.exe er blevet ændret eller erstattet, kan du åbne den med Notepad, Wordpad eller en Hex-editor. Når du har åbnet rundll32.exe, skal du kigge efter ordet "polstring". Hvis dette ord er inde i rundll32.exe, betyder det, at du bruger en falsk fil, og det skal udskiftes.
Den enkleste måde at udskifte filen på er at bruge System File Checker (SFC) fra Kommandoprompten.
1. Tryk på Win-tast + R, og skriv cmd i dialogboksen Kør, tryk på Enter.
2. Skriv kommandoen nedenfor i Kommandoprompten, og tryk på Enter. Windows skal nu erstatte den beskadigede rundll32.exe og alle andre systemfiler, der er beskadiget af en virus eller andre problemer.
sfc / Scannow
Hvis du kun ved, at rundll32.exe-filen er korrupt, og du bruger Vista eller 7, kan du undgå en komplet systemfilkontrol og bare køre SFC på den 1 fil.
sfc /scanfile=c:\windows\system32\rundll32.exe
Windows XP-brugere har muligvis brug for Windows-installations-cd'en for at gendanne en original fil. Et meget nyttigt og tidsbesparende tip for at undgå at have brug af cd'en i fremtiden, når du kører SFC, er at kopiere mappen i386 til din harddisk.
