PCDVD數位科技討論區

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   疑難雜症區 (https://www.pcdvd.com.tw/forumdisplay.php?f=34)
-   -   大量 rundll32.exe 吃掉系統資源 (https://www.pcdvd.com.tw/showthread.php?t=1210262)

pcwheat 2024-10-01 02:00 PM

大量 rundll32.exe 吃掉系統資源
 
這幾天電腦會變得有點緩慢,查看了系統工作,
發現冒出大量 rundll32.exe 執行


要刪還刪不掉,
Error opening process: 存取被拒。

檢視一下程序,無法查知相關呼叫。
只看到一個 [Error opening process] 的錯誤提示。

有人知道該怎麼解決嗎?希望不會走上重灌一途。

最近安裝的程式是 Ext2Fsd,是想存取 ext4 磁碟。
但好像沒用,就移除了。

chowtom 2024-10-01 02:39 PM

View裡面有個Show Process Tree
可以顯示出樹狀結構
讓你知道他是被哪個程式呼叫的
先查一下上游是哪一隻吧

另外把游標放在上面也可以顯示出Command Line 可以顯示出執行該程式時的完整命令行
Rundll32是用來呼叫DLL函示庫的 知道完整命令行就能知道他呼叫了哪一隻DLL 也能知道該DLL位置在哪

pcwheat 2024-10-01 03:38 PM

引用:
作者chowtom
View裡面有個Show Process Tree
可以顯示出樹狀結構
讓你知道他是被哪個程式呼叫的
先查一下上游是哪一隻吧

另外把游標放在上面也可以顯示出Command Line 可以顯示出執行該程式時的完整命令行
Rundll32是用來呼叫DLL函示庫的 知道完整命令行就能知道他呼叫了哪一隻DLL 也能知道該DLL位置在哪


就是因為沒有顯示tree,才傷腦筋。他不是跟 line 同一 tree


然後也無法知道誰呼叫
游標移過去就是顯示 Error opening process

chowtom 2024-10-01 03:48 PM

引用:
作者pcwheat
就是因為沒有顯示tree,才傷腦筋。他不是跟 line 同一 tree
https://i.imgur.com/zVGYqyq.png

然後也無法知道誰呼叫
游標移過去就是顯示 Error opening process
https://i.imgur.com/RQ6up1n.png

這跡象 惡意程式的機率很高 建議用PE開機對開機碟整個搜尋rundll32.exe
把位置不對的砍了
我記得以前有病毒會偽裝成rundll32
正常的會在:
C:\Windows\System32
C:\Windows\SysWOW64

C:\Windows\winsxs\下的子目錄裡也會有
但是備份檔

除了這幾個位置以外的全砍了別放過

而且這隻程式很小 不到45K
1MB多肯定有問題

pcwheat 2024-10-01 03:54 PM

9/30 微軟更新了語言套件 ,中文(繁體)當地體驗套件
我懷疑是這個?

process 點進去看,找到 threads ,Start Address 顯示 !RtlUserThreadStart
用key word : rtluserthreadstart rundll32.exe 找。出來這結果

https://answers.microsoft.com/zh-ha...7d-a29caa13ce10

再看 Properties 中的 Image
中間User欄位顯示一個訊息
User: <access denied>

看來是有機會? 再找一下確認好了,萬一是病毒木馬之類,我還給他權限就更糟了

pcwheat 2024-10-01 03:55 PM

引用:
作者chowtom
這跡象 惡意程式的機率很高 建議用PE開機對開機碟整個搜尋rundll32.exe
把位置不對的砍了
我記得以前有病毒會偽裝成rundll32
正常的會在:
C:\Windows\System32
C:\Windows\SysWOW64

C:\Windows\winsxs\下的子目錄裡也會有
但是備份檔

除了這幾個位置以外的全砍了別放過

而且這隻程式很小 不到45K
1MB多肯定有問題


也是,我先來找找

chowtom 2024-10-01 03:58 PM

https://www.facebook.com/groups/201...25529427564099/
感覺是同樣症狀
NV驅動搞鬼?
是用NV的顯卡嗎?

pcwheat 2024-10-01 04:01 PM

引用:
作者pcwheat
9/30 微軟更新了語言套件 ,中文(繁體)當地體驗套件
我懷疑是這個?

process 點進去看,找到 threads ,Start Address 顯示 !RtlUserThreadStart
用key word : rtluserthreadstart rundll32.exe 找。出來這結果

https://answers.microsoft.com/zh-ha...7d-a29caa13ce10

再看 Properties 中的 Image
中間User欄位顯示一個訊息
User: <access denied>

看來是有機會? 再找一下確認好了,萬一是病毒木馬之類,我還給他權限就更糟了


嫌疑越來越大


pcwheat 2024-10-01 04:03 PM

引用:
作者chowtom
https://www.facebook.com/groups/2014Computer/posts/7625529427564099/
感覺是同樣症狀
NV驅動搞鬼?
是用NV的顯卡嗎?


幾乎一樣耶,但我曾想過回朔驅動,但現在都 auto 了,怎麼強制裝某特定版本驅動?

chowtom 2024-10-01 04:22 PM

引用:
作者pcwheat
幾乎一樣耶,但我曾想過回朔驅動,但現在都 auto 了,怎麼強制裝某特定版本驅動?

那幾個位置都是正常的

不用回朔 反安裝掉NV驅動以後看有沒有恢復正常
沒有再去NV官網抓離線安裝檔案完整跑一次正常安裝
重開以後看有沒有正常
照上面那篇的狀況看起來是NV的驅動安裝過程中有呼叫Rundll32
但安裝沒有正常完成
導致一直重複呼叫Rundll32
呼叫了又不結束 就卡在那


所有的時間均為GMT +8。 現在的時間是05:26 AM.

vBulletin Version 3.0.1
powered_by_vbulletin 2024。