我最近在 HP8530 上全新安装了 Win7。大多数时候一切都运行良好,但最近几天,每天早上我的电脑闲置一夜后,我都会发现 rundll32.exe 消耗了 50% 的 CPU(即一个处理器的全部)。我唯一能让它消失的方法是重新启动。
Process Explorer 没有关于进程正在运行的信息。如果我尝试对 rundll32.exe 执行任何操作(终止进程、暂停等),我会收到“打开进程错误:访问被拒绝”。ProcExp 属性对话框中的所有选项卡都没有任何信息。
我运行的是最新定义的诺顿网络安全软件;我进行了完整的系统扫描,它给我的检查结果是健康的。
我如何才能获得有关此进程运行原因的更多信息?
答案1
我们在配置的几台打印服务器上都出现过这种情况。当我们在 Process Explorer 中查看它时,我们会看到如下命令行
rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\hpmsn6bu.DLL,MonitorPrintJobStatus /pjob=135 /pname"PRINTER01"
经过大量研究,我们发现这种情况只发生在使用 HP 通用打印驱动程序(PCL 5 和 PCL 6 版本)的机器上。这是 HP UPD 的一项功能,名为状态通知弹出窗口 (SNP)。根据 HP 网站
SNP 通过客户端 PC 上的一个小弹出窗口提供即时作业信息和打印机状态信息。SNP 还提供有关打印机耗材的最新信息,例如碳粉量以及 HP SureSupply 订购系统和 HP Instant Support 页面的链接。SNP 功能在提交打印作业期间显示,可通过打印管理员可用的各种工具进行完全配置。
更多信息可以在这里找到
答案2
这是关于如何诊断 rundll.32 进程的很好的信息
解释
如果您使用 Windows 已有一段时间,那么您已经看到每个应用程序文件夹中都有大量的 *.dll(动态链接库)文件,这些文件用于存储可从多个应用程序访问的通用应用程序逻辑。
由于无法直接启动 DLL 文件,因此 rundll32.exe 应用程序仅用于启动存储在共享 .dll 文件中的功能。此可执行文件是 Windows 的有效组成部分,通常不会构成威胁。
注意:有效进程通常位于 \Windows\System32\rundll32.exe,但有时间谍软件会使用相同的文件名并从不同的目录运行以伪装自己。如果您认为有问题,则应始终运行扫描以确保万无一失,但我们可以准确验证发生了什么……所以请继续阅读。
答案3
您需要查看用于启动进程的命令行是什么、正在运行的进程的实际路径是什么(以验证它不是伪装成合法进程的恶意软件)以及进程当前正在运行的线程。所有这些都可以通过 Process Explorer 获得