PCDVD數位科技討論區
PCDVD數位科技討論區   註冊 常見問題 標記討論區為已讀

回到   PCDVD數位科技討論區 > 其他群組 > 疑難雜症區
帳戶
密碼
 

  回應
 
主題工具
pcwheat
Major Member
 

加入日期: Feb 2006
文章: 217
大量 rundll32.exe 吃掉系統資源

這幾天電腦會變得有點緩慢,查看了系統工作,
發現冒出大量 rundll32.exe 執行


要刪還刪不掉,
Error opening process: 存取被拒。

檢視一下程序,無法查知相關呼叫。
只看到一個 [Error opening process] 的錯誤提示。

有人知道該怎麼解決嗎?希望不會走上重灌一途。

最近安裝的程式是 Ext2Fsd,是想存取 ext4 磁碟。
但好像沒用,就移除了。
     
      

此文章於 2024-10-01 02:03 PM 被 pcwheat 編輯.
舊 2024-10-01, 02:00 PM #1
回應時引用此文章
pcwheat離線中  
chowtom
Master Member
 

加入日期: Sep 2001
文章: 2,421
View裡面有個Show Process Tree
可以顯示出樹狀結構
讓你知道他是被哪個程式呼叫的
先查一下上游是哪一隻吧

另外把游標放在上面也可以顯示出Command Line 可以顯示出執行該程式時的完整命令行
Rundll32是用來呼叫DLL函示庫的 知道完整命令行就能知道他呼叫了哪一隻DLL 也能知道該DLL位置在哪
 

此文章於 2024-10-01 02:42 PM 被 chowtom 編輯.
舊 2024-10-01, 02:39 PM #2
回應時引用此文章
chowtom離線中  
pcwheat
Major Member
 

加入日期: Feb 2006
文章: 217
引用:
作者chowtom
View裡面有個Show Process Tree
可以顯示出樹狀結構
讓你知道他是被哪個程式呼叫的
先查一下上游是哪一隻吧

另外把游標放在上面也可以顯示出Command Line 可以顯示出執行該程式時的完整命令行
Rundll32是用來呼叫DLL函示庫的 知道完整命令行就能知道他呼叫了哪一隻DLL 也能知道該DLL位置在哪


就是因為沒有顯示tree,才傷腦筋。他不是跟 line 同一 tree


然後也無法知道誰呼叫
游標移過去就是顯示 Error opening process

此文章於 2024-10-01 03:40 PM 被 pcwheat 編輯.
舊 2024-10-01, 03:38 PM #3
回應時引用此文章
pcwheat離線中  
chowtom
Master Member
 

加入日期: Sep 2001
文章: 2,421
引用:
作者pcwheat
就是因為沒有顯示tree,才傷腦筋。他不是跟 line 同一 tree
https://i.imgur.com/zVGYqyq.png

然後也無法知道誰呼叫
游標移過去就是顯示 Error opening process
https://i.imgur.com/RQ6up1n.png

這跡象 惡意程式的機率很高 建議用PE開機對開機碟整個搜尋rundll32.exe
把位置不對的砍了
我記得以前有病毒會偽裝成rundll32
正常的會在:
C:\Windows\System32
C:\Windows\SysWOW64

C:\Windows\winsxs\下的子目錄裡也會有
但是備份檔

除了這幾個位置以外的全砍了別放過

而且這隻程式很小 不到45K
1MB多肯定有問題

此文章於 2024-10-01 03:50 PM 被 chowtom 編輯.
舊 2024-10-01, 03:48 PM #4
回應時引用此文章
chowtom離線中  
pcwheat
Major Member
 

加入日期: Feb 2006
文章: 217
9/30 微軟更新了語言套件 ,中文(繁體)當地體驗套件
我懷疑是這個?

process 點進去看,找到 threads ,Start Address 顯示 !RtlUserThreadStart
用key word : rtluserthreadstart rundll32.exe 找。出來這結果

https://answers.microsoft.com/zh-ha...7d-a29caa13ce10

再看 Properties 中的 Image
中間User欄位顯示一個訊息
User: <access denied>

看來是有機會? 再找一下確認好了,萬一是病毒木馬之類,我還給他權限就更糟了
舊 2024-10-01, 03:54 PM #5
回應時引用此文章
pcwheat離線中  
pcwheat
Major Member
 

加入日期: Feb 2006
文章: 217
引用:
作者chowtom
這跡象 惡意程式的機率很高 建議用PE開機對開機碟整個搜尋rundll32.exe
把位置不對的砍了
我記得以前有病毒會偽裝成rundll32
正常的會在:
C:\Windows\System32
C:\Windows\SysWOW64

C:\Windows\winsxs\下的子目錄裡也會有
但是備份檔

除了這幾個位置以外的全砍了別放過

而且這隻程式很小 不到45K
1MB多肯定有問題


也是,我先來找找
舊 2024-10-01, 03:55 PM #6
回應時引用此文章
pcwheat離線中  
chowtom
Master Member
 

加入日期: Sep 2001
文章: 2,421
https://www.facebook.com/groups/201...25529427564099/
感覺是同樣症狀
NV驅動搞鬼?
是用NV的顯卡嗎?
舊 2024-10-01, 03:58 PM #7
回應時引用此文章
chowtom離線中  
pcwheat
Major Member
 

加入日期: Feb 2006
文章: 217
引用:
作者pcwheat
9/30 微軟更新了語言套件 ,中文(繁體)當地體驗套件
我懷疑是這個?

process 點進去看,找到 threads ,Start Address 顯示 !RtlUserThreadStart
用key word : rtluserthreadstart rundll32.exe 找。出來這結果

https://answers.microsoft.com/zh-ha...7d-a29caa13ce10

再看 Properties 中的 Image
中間User欄位顯示一個訊息
User: <access denied>

看來是有機會? 再找一下確認好了,萬一是病毒木馬之類,我還給他權限就更糟了


嫌疑越來越大

舊 2024-10-01, 04:01 PM #8
回應時引用此文章
pcwheat離線中  
pcwheat
Major Member
 

加入日期: Feb 2006
文章: 217
引用:
作者chowtom
https://www.facebook.com/groups/2014Computer/posts/7625529427564099/
感覺是同樣症狀
NV驅動搞鬼?
是用NV的顯卡嗎?


幾乎一樣耶,但我曾想過回朔驅動,但現在都 auto 了,怎麼強制裝某特定版本驅動?
舊 2024-10-01, 04:03 PM #9
回應時引用此文章
pcwheat離線中  
chowtom
Master Member
 

加入日期: Sep 2001
文章: 2,421
引用:
作者pcwheat
幾乎一樣耶,但我曾想過回朔驅動,但現在都 auto 了,怎麼強制裝某特定版本驅動?

那幾個位置都是正常的

不用回朔 反安裝掉NV驅動以後看有沒有恢復正常
沒有再去NV官網抓離線安裝檔案完整跑一次正常安裝
重開以後看有沒有正常
照上面那篇的狀況看起來是NV的驅動安裝過程中有呼叫Rundll32
但安裝沒有正常完成
導致一直重複呼叫Rundll32
呼叫了又不結束 就卡在那

此文章於 2024-10-01 04:26 PM 被 chowtom 編輯.
舊 2024-10-01, 04:22 PM #10
回應時引用此文章
chowtom離線中  


    回應


POPIN
主題工具

發表文章規則
不可以發起新主題
不可以回應主題
不可以上傳附加檔案
不可以編輯您的文章

vB 代碼打開
[IMG]代碼打開
HTML代碼關閉



所有的時間均為GMT +8。 現在的時間是06:37 PM.


vBulletin Version 3.0.1
powered_by_vbulletin 2024。