Üks probleemidest, kui proovite Windowsi probleeme diagnoosida, on üsna palju teavet selle kohta, millised failid ja programmid on taustal laaditud ja mis on peidetud ning pole hõlpsasti nähtavad. Üks neist Windowsi programmidest on protsess svchost.exe, mis näeb lihtsalt välja nagu Task Manager üks protsess, kuid tegelikult võib see sisaldada mitut dll-laaditud teenust, millest te ei tea, kui te ei tea, kuidas tuvastada svchost-protsessi sisu.
Teine protsess, mida võidakse teie Windowsi tegumiloendis näidata, kuid te ei saa kunagi teada, mis see on, on tõenäoliselt rundll32 protsess. Rundll32.exe on Windowsi osa, mis asub \ Windows \ System32 ja mida kasutatakse programmikoodi käivitamiseks dll-failis justkui tegelik programm. Dll-faili ei saa otse käivitada, sellepärast on selle käivitamiseks vajalik rundll32.exe. Paljud ründetarkvara võivad seda nime või sarnaseid nimesid kasutada ka selleks, et petetaks teid mõtlema, et viirus on tegelikult seaduslik Windowsi fail. Nimed nagu rundII32.exe (tegelikult kasutatakse 2 i suurtähte) või rundll.32.exe pole haruldased ja kui te kahtlustate, et teie süsteemis on pahavara, peaksite alati Task Manager'is uurima rundll32 (ja svchost) failinimesid. Rundll32 kasutab nuhkvara ka oma koodi käivitamiseks. Nagu näete, kui avate tegumihalduri ja teil on kohal Rundll32.exe, ei saa te vaikimisi näha, mis dll see käivitab.
Siit saate teada saada, millised DLL-failid laaditakse Windows XP, Vista ja 7 operatsioonisüsteemi rundll32.exe.
Kasutatava käsu Rundll32.exe tuvastamiseks kasutage tegumihaldurit
See funktsioon on saadaval ainult Vista ja uuemate versioonide korral ning see näitab task manager'is täiendavat veergu, mis ütleb teile, mida käsurida protsessis praegu kasutab. Avage tegumihaldur -> menüü Vaade -> Valige veerud…, klõpsake käsuribal käsku ja seejärel nuppu OK.
Nüüd on saadaval uus veerg ja te peaksite saama tuvastada, millist dll täidetakse.
Laaditud DLL-failide tuvastamine protsessihalduri abil
Process Explorer on SysInternalsi tehtud suurepärane Task Manageri asendus, mis võib kuvada palju üksikasjalikumat teavet selle kohta, mida Rundll32 protsess laadib. Lihtsalt käivitage tööriist Process Explorer ja teile kuvatakse Task Manager tüüpi protsesside loend.
Kõik, mida peate tegema, on hõljutada hiirekursorit kande Rundll32.exe kohal ja see näitab tööriista näpunäites, milline käsk käivitatakse ja millist dll täidetakse. Nagu pildilt näha, täidab see rundll32.exe nVidia salveikooni.
Laadige alla protsessihaldur
Laaditud DLL-failide tuvastamine käsuviiba kaudu
Siin on käsitsi viis rundll32.exe-s DLL-faile tuvastada. Avage käsuviip, vajutades WinKey + R ja tippige cmd. Seejärel tippige või kleepige allolev käsk viipasse ja klõpsake sisestusklahvi.
tasklist / m / fi "IMAGENAME eq rundll32.exe"
Pange tähele, et vaikimisi pole Windows XP Home väljaandes utiliit tasklist.exe, ainult Professional. See on sisseehitatud kõigisse Windows Vista ja 7 versioonidesse. Kui soovite tööriista Tasklist for XP Home, saate selle alla laadida järgmiselt lingilt:
Laadige alla Tasklist.exe
DLL-moodulid kuvatakse tegumiloendi paremal küljel. Ilmselt kuvatakse palju moodulid, mis on sisemised Windowsi dllid ja loendis sisalduvate ohtlike dllide tuvastamiseks on vaja kogenud kasutaja vähe teadmisi. Kui te pole milleski kindel, saate alati Google'is otsida dll-faili nime järgi.
Võlts Rundll32 failid
Nüüd teate, kuidas rundll32.exe laaditud DLL-sid tuvastada, kuid on ka nuhkvara ja viiruste juhtumeid, mis asendavad Windowsi algse rundll32.exe võltsitud. Kui teil on rundll32.exe vigane või rikutud, on teil probleeme juhtpaneeli jms avamisega.
Kontrollimaks, kas teie rundll32.exe on muudetud või asendatud, saate selle avada Notepadis, Wordpadis või Hex-redaktoris. Kui olete faili rundll32.exe avanud, otsige sõna “polster”. Kui see sõna asub rundll32.exe sees, tähendab see, et kasutate võltsfaili ja see tuleb asendada.
Lihtsaim viis faili asendamiseks on käsuviiba süsteemifaili kontrollija (SFC).
1. Vajutage klahvi Win ja R ja tippige dialoogiboksis Käivita cmd, seejärel vajutage sisestusklahvi.
2. Tippige allolev käsk käsuviiba ja vajutage sisestusklahvi. Windows peaks nüüd asendama rikutud rundll32.exe ja kõik muud viiruse või muude probleemide poolt kahjustatud süsteemifailid.
sfc / Scannow
Kui teate, et ainult fail rundll32.exe on rikutud ja kasutate Vistat või 7, saate vältida süsteemifaili täielikku kontrollimist ja käivitada sellel failil lihtsalt SFC.
sfc /scanfile=c:\ Windows\system32\rundll32.exe
Windows XP kasutajad vajavad algfaili taastamiseks Windowsi installi-CD-d. I386 kausta kopeerimine kõvakettale on väga kasulik ja ajakulu säästev näpunäide, et vältida SFC käitamisel tulevikus CD-plaadi vajamist.
