Как я могу получить больше информации о процессе rundll32.exe с высоким процессором?

Question

Я недавно установил чистую Win7 на мой HP8530. В большинстве случаев все работает хорошо, но в последние несколько дней каждое утро после того, как мой компьютер простаивал в течение ночи, я обнаружил, что rundll32.exe потребляет 50% ресурсов ЦП (т. Е. Всего одного процессора). Единственный способ, которым я могу это сделать - перезапустить.

Process Explorer не имеет информации о том, что процесс запущен. Если я пытаюсь что-то сделать для rundll32.exe (уничтожить процесс, приостановить и т.д.) Я получаю сообщение "Ошибка открытия процесса: доступ запрещен". Ни одна из вкладок в диалоге свойств ProcExp не имеет никакой информации вообще.

У меня Norton Internet Security работает с последними определениями; Я запустил полное сканирование системы, и это дает мне полную оценку здоровья.

Как я могу получить больше информации о том, почему этот процесс выполняется?

Answer 1

Это происходило на нескольких настроенных нами серверах печати. Когда мы смотрели на это в Process Explorer, мы получали командную строку, такую как

rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\hpmsn6bu.DLL,MonitorPrintJobStatus /pjob=135 /pname"PRINTER01"

После долгих исследований мы выяснили, что это произошло только на машине, которая использовала универсальный драйвер печати HP (как PCL 5, так и PCL 6). Это особенность HP UPD, называемая всплывающими уведомлениями о состоянии (SNP). По данным сайта HP

SNP предоставляют немедленную информацию о задании и информацию о состоянии принтера с помощью небольшого всплывающего окна на клиентском ПК. SNP также предоставляют текущую информацию о расходных материалах для принтера, например, уровень тонера и ссылки на систему заказов HP SureSupply и страницу поддержки HP Instant Support. Функция SNP, которая отображается во время отправки задания на печать, полностью настраивается с помощью различных инструментов, доступных администраторам печати.

Более подробную информацию можно найти здесь

• Универсальный драйвер печати HP (PCL5/PCL6/PS) и инструменты HP UPD, Руководство системного администратора
• Универсальный драйвер печати HP, версия 3.0

Answer 2

Это отличная информация о том, как диагностировать процесс rundll.32

объяснение

Если вы были в Windows какое-то время, вы видели миллионы файлов * .dll (Dynamic Link Library) в каждой папке приложения, которые используются для хранения общих частей логики приложения, к которым можно обращаться из нескольких Приложения.

Поскольку нет никакого способа непосредственно запустить файл DLL, приложение rundll32.exe просто используется для запуска функций, хранящихся в общих файлах DLL. Этот исполняемый файл является допустимой частью Windows и обычно не должен представлять угрозы.

Примечание: допустимый процесс обычно находится в \Windows \System32 \rundll32.exe, но иногда шпионское ПО использует одно и то же имя файла и запускается из другого каталога, чтобы замаскироваться. Если вы считаете, что у вас есть проблема, вы всегда должны запускать сканирование, чтобы убедиться, но мы можем точно проверить, что происходит ... так что продолжайте читать.

Answer 3

Вот часть, которую мне не хватало: в Process Explorer, в меню File есть опция «Показать детали для всех процессов». Как только я это сделал, стала доступна вся информация о запущенном процессе rundll32.exe (это было запланированное задание executetescheduledsppcreation, которое создает точки восстановления системы).

Answer 4

Вам нужно посмотреть, какая командная строка использовалась для запуска процесса, каков реальный путь запуска процесса (чтобы убедиться, что это не вредоносная программа, маскирующаяся под легальный процесс) и какие потоки запущен в данный момент. Все это доступно через Process Explorer

Answer 5

изучить процесс с помощью AnVir Task Manager Free Portable