我有两个 run32dll.exe 进程,一个在 System32 中,另一个在 SysWOW64 中。其中一个是病毒还是正常现象?有时只有一个(SysWOW64),并且这个进程使用 60-90 Mbs 的内存。
另外,我一个人在家,所有设备的 Wi-Fi 都关闭了,但我的在线游戏体验却很差。我打开资源监视器,发现所有其他进程(run32dll 除外)占用了 20-30% 的网络,而其余部分则由 run32dll 使用(70%)。
答案1
Rundll32 只是一个加载 DLL 并调用该 DLL 中的函数的主机进程。“有趣”的部分不是 exe 本身(它是 Windows 的一部分),而是它加载的 dll 以及该 dll 的作用。
Sysinternals 进程资源管理器是找出此特定实例已加载内容的最佳选择;它是在运行一些标准的 Windows 进程/服务,还是在托管恶意软件?它启动时使用的命令行参数会告诉你;第一个参数是它加载的 dll,第二个参数是入口点,后面是传递给它的参数。
正如其他人提到的:fiddler、wireshark、MS network monitor 等可能有助于追踪它为何使用大量网络带宽以及它与谁通信。“谁”部分也可以通过简单的“netstat -oa”来显示。
最后,是的,在 64 位系统上,您将拥有 rundll32 的两个副本:system32 中的 64 位版本和 syswow64 中的 32 位版本。
答案2
首先,run32dll.exe 是 Windows 的常用程序。例如,如果您在 XP 上打开“显示属性”,您会在进程列表中看到新的 rundll32.exe,因为 Windows 在内部使用 rundll32 来运行该对话框。有效进程通常位于 \Windows\System32\rundll32.exe,但有时间谍软件会使用相同的文件名并从不同的目录运行以伪装自己。如果您认为有问题,您应该始终运行扫描以确保万无一失,但我们可以准确验证发生了什么。使用任务管理器查看正在运行的文件的完整路径。如果它与 \Windows\System32\rundll32.exe 不同,那么您可能遇到了间谍软件问题。如果您有两个进程,其中一个在 System32 中,另一个在 SysWOW64 中,那么这是完全正常的。显然,run32dll.exe 本身可能已被感染。不幸的是,我们无法回答这个问题 - 您应该运行病毒扫描。
答案3
一般来说不会,但在某些情况下,该进程可能提供恶意代码。
此站点给出了一些可能存在可疑的情况:
http://www.file.net/process/rundll32.exe.html
为了解决此过程的问题,您可以尝试使用 Microsoft 的 Process explorerhttps://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
由于您所写的 70% 的网络流量来自该过程,因此您可以使用以下工具来帮助排除网络内部和外部发送的流量类型故障:
Fiddler 用于对网站进行故障排除,但易于使用,并可以查看网络发送和接收的内容:http://www.telerik.com/fiddler。
Wireshark 是一款更高级的工具,但你可以看到 LAN 和 WAN 上发生的事情https://www.wireshark.org
在使用上述工具之一监控网络流量时,尝试终止(不要禁用)该过程并查看会发生什么。