У меня есть два процесса run32dll.exe, один в System32 и другой в SysWOW64. Один из них вирус или это нормально? Иногда там только один (SysWOW64), и этот использует 60-90 Мбайт памяти.
Кроме того, я был один дома со всеми устройствами, в которых отключен Wi-Fi, но мой опыт онлайн-игр был слабым. Я пошел к монитору ресурсов, и все другие процессы (кроме run32dll) использовали 20-30% сети, в то время как остальные использовали run32dll (70%).
Rundll32 - это просто хост-процесс, который загружает DLL и вызывает функцию в этой DLL. «Интересная» часть - это не сам исполняемый файл (который является частью Windows), а вместо этого загруженная им dll и то, что делает эта dll.
Sysinternals Process Explorer - ваша лучшая ставка на выяснение того, что загрузил данный конкретный экземпляр; это работает какой-то стандартный процесс / служба Windows, или это размещение вредоносных программ? Аргументы командной строки, с которыми он был запущен, покажут; первый аргумент - это dll, который он загружает, второй - точка входа, за которой следуют параметры, переданные ей.
Как кто-то еще упомянул: fiddler, wireshark, сетевой монитор MS и т.д. Могут быть полезны для отслеживания того, почему он использует большую пропускную способность сети и с кем он общается. Часть "кто" также может быть раскрыта с помощью простого «netstat -oa».
Наконец, да, в 64-битной системе у вас будет две копии rundll32: 64-битная версия в system32 и 32-битная версия в syswow64.
Прежде всего, run32dll.exe обычно используется Windows. Например, если вы откроете «Свойства экрана» в XP, вы увидите новый rundll32.exe в списке процессов, потому что Windows внутренне использует rundll32 для запуска этого диалога. Допустимый процесс обычно находится в \Windows \System32 \rundll32.exe, но иногда шпионское ПО использует то же имя файла и запускается из другого каталога, чтобы замаскироваться. Если вы считаете, что у вас есть проблема, вы всегда должны запускать сканирование, чтобы убедиться, но мы можем точно проверить, что происходит. Используйте диспетчер задач, чтобы увидеть полный путь к запущенному файлу. Если это не то, что \Windows \System32 \rundll32.exe, возможно, у вас проблема с шпионским ПО. Если у вас есть два процесса, один из которых в System32, а другой в SysWOW64, то это совершенно нормально. Очевидно, существует возможность, что сам run32dll.exe инфицирован. К сожалению, невозможно ответить на этот вопрос - вы должны запустить проверку на вирусы.
Обычно нет, но есть сценарии, в которых процесс может обслуживать вредоносный код.
Этот сайт дает несколько сценариев, в которых процесс может быть подозрительным:
http://www.file.net/process/rundll32.exe.html
Для устранения неполадок в процессе вы можете попробовать Microsoft Process Explorer. Https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Поскольку вы писали, что 70% сетевого трафика поступает из процесса, вы можете использовать следующие инструменты, чтобы помочь выяснить, какой тип трафика отправляется в вашей сети и за ее пределами:
Fiddler используется для устранения неполадок на веб-сайтах, но прост в использовании и позволяет видеть, что отправляется в вашу сеть и из нее: http://www.telerik.com/fiddler.
Wireshark - более продвинутый инструмент, но вы можете видеть, что происходит в вашей локальной сети, а также в глобальной сети. Https://www.wireshark.org
Контролируя сетевой трафик с помощью одного из приведенных выше инструментов, попробуйте завершить (не отключать) процесс и посмотреть, что произойдет.
