Viena iš problemų, bandant diagnozuoti bet kokias „Windows“ problemas, yra gana daug informacijos apie tai, kokie failai ir programos yra įkelti į foną, yra paslėpti ir nėra lengvai matomi. Viena iš šių „Windows“ programų yra „svchost.exe“ procesas, kuris tiesiog atrodo kaip vienas „Task Manager“ procesas, tačiau iš tikrųjų jame gali būti keletas dll įkeltų paslaugų, apie kurias jūs nežinote, nebent jūs žinote, kaip nustatyti, kas yra „svchost“ proceso viduje.
Kitas procesas, kuris gali būti rodomas „Windows“ užduočių sąraše, bet jūs niekada negalite žinoti, koks tai yra, tikriausiai bus „rundll32“ procesas. „Rundll32.exe“ yra „Windows“ dalis, randama \ Windows \ System32 ir naudojama programos kodo paleidimui dll faile, tarsi tai būtų tikra programa. Dll failas negali būti tiesiogiai vykdomas, todėl norint jį paleisti, reikalingas rundll32.exe. Kenkėjiška programinė įranga taip pat gali naudoti šį vardą ar panašius pavadinimus, kad suklaidintų jus, manydami, kad virusas iš tikrųjų yra teisėtas „Windows“ failas. Vardai, tokie kaip rundII32.exe (iš tikrųjų naudojant 2 didžiąsias i raides) arba rundll.32.exe, nėra neįprasti, todėl turėtumėte visada išstudijuoti rundll32 (ir svchost) failų pavadinimus „Task Manager“, jei įtariate, kad jūsų sistemoje yra kenkėjiškų programų. „Rundll32“ taip pat dažniausiai naudoja šnipinėjimo programos, kad paleistų savo kodą. Kaip matote, jei atidarote užduočių tvarkytuvę ir turite Rundll32.exe, pagal numatytuosius nustatymus iš tikrųjų negalite pamatyti, koks dll yra jos paleidimas.
Štai kaip nustatyti, kokie DLL failai yra įkeliami į „rundll32.exe“ „Windows XP“, „Vista“ ir 7.
Naudodami užduočių tvarkytuvę nustatykite naudojamą komandą „Rundll32.exe“
Ši funkcija pasiekiama tik „Vista“ ir naujesnėse versijose. Tai reiškia, kad užduočių tvarkytuvėje rodomas papildomas stulpelis, kuriame nurodoma, kokia yra komandų eilutė, kurią šiuo metu naudoja procesas. Atidarykite užduočių tvarkytuvę -> Rodinių meniu -> Pasirinkite stulpelius ..., spustelėkite komandų eilutės lauką, tada gerai.
Dabar bus naujas stulpelis, kurį turėtumėte nustatyti, kuris dll vykdomas.
Naudodami „Process Explorer“ nustatykite įkeltus DLL failus
„Process Explorer“ yra puikus užduočių tvarkyklės pakeitimas, kurį padarė „SysInternals“ ir kuris gali parodyti daug išsamesnę informaciją apie tai, ką įkelia „Rundll32“ procesas. Tiesiog paleiskite „Process Explorer“ įrankį ir jums bus pateiktas Task Manager tipų procesų sąrašas.
Viskas, ką jums reikia padaryti, tai užveskite pelę ant Rundll32.exe įrašo ir įrankių patarime parodys, kokia komanda paleidžiama, o kuri vykdoma. Kaip matote iš paveikslėlio, šis rundll32.exe vykdo „nVidia“ dėklo piktogramą.
Atsisiųskite „Process Explorer“
Naudodami komandinę eilutę atpažinkite įkeltus DLL failus
Čia yra rankiniu būdu identifikuojami DLL failai rundll32.exe. Atidarykite komandų eilutę paspausdami WinKey + R ir įveskite cmd. Tada įveskite arba įklijuokite žemiau esančią komandą į eilutę ir paspauskite Enter.
užduočių sąrašas / m / fi „IMAGENAME eq rundll32.exe“
Atminkite, kad pagal numatytuosius nustatymus „Windows XP Home“ leidimas neturi „tasklist.exe“ programos, o tik „Professional“. Jis įmontuotas į visas „Windows Vista“ ir 7 versijas. Jei norite „XP Home“ „Tasklist“ įrankio, galite jį atsisiųsti iš šios nuorodos:
Atsisiųskite „Tasklist.exe“
Dll moduliai pateikiami dešinėje užduočių sąrašo rezultato pusėje. Tikriausiai pamatysite, kad parodoma daugybė modulių, kurie yra vidiniai „Windows“ dll, ir patyrusiam vartotojui reikia šiek tiek žinių, kad būtų galima nustatyti bet kokius pavojingus dll sąraše. Jei nesate tikri, visada galite ieškoti „Google“ naudodami dll failo pavadinimą.
Suklastoti Rundll32 failai
Dabar jūs žinote, kaip atpažinti įkeltus DLL failus rundll32.exe, tačiau taip pat yra šnipinėjimo programų ir virusų atvejų, kurie pakeičia originalų „Windows“ rundll32.exe netikru. Kai turite blogą ar sugadintą „rundll32.exe“, turėsite problemų atidarę Valdymo skydelį ir kt.
Norėdami patikrinti, ar jūsų „rundll32.exe“ nebuvo pakeistas ar pakeistas, galite atidaryti jį naudodami užrašų knygelę, „Wordpad“ arba „Hex“ rengyklę. Atidarę rundll32.exe, ieškokite žodžio „padding“. Jei šis žodis yra „rundll32.exe“ viduje, tai reiškia, kad naudojate suklastotą failą ir jį reikia pakeisti.
Paprasčiausias būdas pakeisti failą yra komandų eilutės sistemos failų tikrintuvas (SFC).
1. Paspauskite klavišą „Win“ + R ir įveskite „cmd“ į dialogo langą Vykdyti, paspauskite „Enter“.
2. Įveskite toliau pateiktą komandą į komandų eilutę ir paspauskite Enter. Dabar „Windows“ turėtų pakeisti sugadintą rundll32.exe ir visus kitus sistemos failus, kuriuos sugadino virusas ar kitos problemos.
sfc / „Scannow“
Jei žinote, kad tik rundll32.exe failas yra sugadintas ir naudojate „Vista“ ar 7, galite išvengti visiško sistemos failo tikrinimo ir tiesiog paleisti SFC tame 1 faile.
„sfc /scanfile=c:\ Windows\system32\rundll32.exe
Norint atkurti originalų failą, „Windows XP“ vartotojams gali reikėti „Windows“ diegimo kompaktinio disko. Labai naudingas ir laiką taupantis patarimas, kad ateityje nereikėtų kompaktinio disko, kai paleisite SFC, yra nukopijuoti „i386“ aplanką į standųjį diską.