Я недавно чисто установленный Win7 на моем HP8530. Все работает хорошо большую часть времени, но в течение последних нескольких дней, каждое утро после того, как мой компьютер был неактивен ночной, я нахожу, что rundll32.exe использует устойчивые 50% ЦП (т.е. весь один процессор). Единственным путем я могу сделать, это уйти путем перезапуска.
Проводник процесса не имеет никакой информации о том, что выполняет процесс. Если я пытаюсь сделать что-нибудь к rundll32.exe (уничтожьте процесс, приостановите, и т.д.), я получаю "Ошибку при открытии процесса: Доступ запрещен". Ни одна из вкладок в диалоговом окне свойств ProcExp не имеет информации вообще.
У меня есть Norton Internet Security, работающий с последними определениями; я выполнил полное системное сканирование, и оно дает мне сертификат здоровья.
Как я могу получить больше информации о том, почему этот процесс работает?
Вот часть, которую я пропускал: В Проводнике Процесса в меню File существует опция "Показать Детали для Всех Процессов". Как только я сделал это, вся информация о процессе, который выполнял rundll32.exe, стала доступной (это была executescheduledsppcreation запланированная задача, которая создает точки восстановления системы).
Это - большая информация о том, как диагностировать процесс rundll.32
Объяснение
Если Вы были вокруг Windows сколько угодно, Вы видели огромное количество *.dll (Динамически подключаемая библиотека) файлы в каждой папке приложения, которые используются для хранения общих частей прикладной логики, к которой можно получить доступ из нескольких приложений.
С тех пор нет никакого способа непосредственно запустить файл DLL, приложение rundll32.exe просто используется для запуска функциональности, сохраненной в общих .dll файлах. Этот исполняемый файл является допустимой частью Windows и обычно не должен быть угрозой.
Примечание: допустимый процесс обычно располагается в \Windows\System32\rundll32.exe, но иногда шпионское ПО использует то же имя файла и работает из другого каталога для маскировки. Если Вы думаете, что у Вас есть проблема, необходимо всегда выполнять сканирование, чтобы быть уверенными, но мы можем проверить точно, что идет на …, так продолжайте читать.
Необходимо посмотреть на то, какова командная строка, используемая для запуска процесса, была, что фактический путь рабочего процесса (чтобы проверить, что это не вредоносная подмена законным процессом), и что распараллеливает процесс, в настоящее время имеет выполнение. Все они доступны через Проводник Процесса