关机或重起时怎么老会显示正在结束RUNDLL.32程序
发布网友
发布时间:2024-09-08 18:14
共1个回答
热心网友
时间:2024-09-15 01:14
在Windows的任务管理器中,我们看到的rundll32.exe进程,其实质是调用了大量的dll文件.我们可以通过进程管理器查看软件(例如:瑞星卡卡上网助手)来得到它具体运行了哪些dll文件.
上面谈到了正常的rundll32.exe进程,它是针对有些木马来说的,这些木马会利用rundll32.exe加载dll的形式运行.鉴别是否木马调用了rundll32.exe进程,其主要方法是:
1.确定正在运行的rundll32.exe是否在%systemroot%system32目录下(%systemroot%是你的系统安装文件夹,一般为"C:\Windows").
2.要注意文件名称的变化,有些病毒木马会伪装成系统文件来运行,达到欺骗用户的目的.比如:rundll32.exe和rundl132.exe文件,他们用小写英文几乎看不到任何区别.这里我换成了大写字母,原来是RUNDLL32.EXE和RUNDL132.EXE文件,你是否一目了然呢(前面的是英文L,后面的是个数字1)!
3.用工具软件查看rundll32.exe具体调用了哪些dll文件,以此来判断是否中了病毒木马.这里以瑞星卡卡为例做一说明,下载并安装卡卡,然后打开主程序,在程序界面做如下操作:
1).点击""高级功能"选项卡下面的"进程管理",在"进程名称"中找到rundll32.exe后选中它;
2).你会在下方窗格中看到rundll32.exe调用模块的情况,点击"发行者",按"发行者"顺序排列(主要是便于查看);
3).发行者为"Microsoft Corporation(或Microsoft Corp.)"的是微软公司,一般可以忽略不计.主要查看排在"Microsoft Corporation"上方的"模块",如果有的模块没有"发行者"和"版本"信息,大多数可以判断为可疑文件!
4).查看完后,再点击一次"发行者",按倒序进行排列,接着查看有没有可疑文件!
5).对于可疑文件,按照"路径"记录下它的位置和文件名.重启计算机按F8进入安全模式,找到文件进行重命名(把后缀名dll更改为dl_),这是为了预防万一!
6).使用计算机几天后,如果你的系统及主要软件运行正常,再删除重命名的dl_文件即可...
