run32dll.exe(rundll32 exe病毒)
大家好,雨雨来为大家解答以上问题,run32dll.exe,rundll32 exe病毒很多人还不知道,现在让我们一起来看看吧!
1、 如何通过系统进程分析病毒
2、 现在很多朋友都是靠杀毒软件来清除电脑上的病毒。其实常见的几种病毒都喜欢伪装成系统文件。无论如何,如果你发现你的电脑有异常,检查你的进程,看看有没有问题。病毒经常模仿的进程名称有:svch0st.exe、schvost.exe和scvhost.exe。我们可以通过查看系统进程来分析和查找病毒。
3、 现在,随着Windows系统服务越来越多,为了节省系统资源,微软把很多服务做成共享模式,这就是svchost.exe进程启动的。一定要知道一些病毒在进程中常用的,迷惑大家的进程程序,这样才能防范,也要有所了解。下面的小例子也是几种病毒喜欢的常见系统文件。
4、 svchost.exe简介
5、 我们可以打开控制面板管理工具服务,双击剪贴簿服务。在其属性面板中,我们可以发现对应的可执行文件路径是c : \ Windows \ System32 \ Clipsrv.exe。双击“Alerter”服务,可以发现其可执行文件路径为“c : \ Windows \ System32 \ svchost . exe-k local service”,而“Server”服务的可执行文件路径为“c : \ Windows \ System32 \ svchost . exe-k netsvcs”。正是这种调用可以节省大量的系统资源,所以系统中有很多svchost.exe,其实只是系统的服务。
6、 一般来说,Windows2000系统中有两个svchost.exe进程,一个是RPCSS(remoteprocurecall)服务进程,另一个是许多服务共享的svchost.exe。在WindowsXP中,通常有四个以上的svchost.exe服务进程。如果svchost.exe进程的数量超过5,就要小心了。很可能是假病毒,检测方法简单。使用一些进程管理工具,如Windows Optimizer的进程管理功能,检查svchost.exe的可执行文件路径。如果是在“C:\WINDOWS\system32”目录之外,可以判断为病毒。
7、 explorer.exe
8、 病毒经常模仿的进程名称有:iexplorer.exe、expiorer.exe和explore.exe。Explorer.exe是我们经常使用的“资源经理”。如果你在任务管理器中完成了explorer.exe进程,所有的文件包括任务栏、桌面和打开的文件都会消失。点击任务管理器文件新建任务,进入“explorer.exe”。消失的东西会再回来。explorer.exe的作用是让我们管理计算机中的资源。
9、 默认情况下,explorer.exe进程随系统启动,其对应的可执行文件的路径为“C:\Windows”目录;否则就是病毒。
10、 iexplore.exe
11、 经常被病毒冒充的进程名称有:iexploer.exei,iexploer.exei,上面文章中的iexploer.exei进程和iexploer.exei进程非常相似,很容易混淆。实际上,iexplorer.exe是微软IE浏览器(也就是我们通常使用的IE浏览器)生成的一个进程。知道之后应该更容易认清角色。iexplorer.exe进程的开始名字是“ie”,意思是IE浏览器。
12、 iexplore.exe进程对应的可执行程序位于c : \ Program Files \ Internet Explorer目录下,在其他目录下的存在就是病毒,除非你转移文件夹。另外,有时候我们会发现,在不打开IE浏览器的情况下,iexplore.exe进程仍然存在于系统中,这可以分为两种情况:1。这种病毒伪装成iexplore.exe进程的名字。2.该病毒通过iexplore.exe在后台偷偷做坏事。所以,如果出现这种情况,请用杀毒软件快速查杀。
13、 rundll32.exe
14、 经常被病毒模仿的进程的名字是:rundl132.exe和rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数。系统中有多少Rundll32.exe进程就意味着Rundll32.exe启动了多少DLL文件。实际上,我们经常使用rundll32.exe,它可以控制系统中的一些dll文件。比如在“命令提示符”中输入“rundll32 . exe user32.dll,锁定工作站”,按enter后系统会快速切换到登录界面。rundll32.exe的路径是“C:\Windows\system32”,在其他目录下也可以判断为病毒。
15、 spoolsv.exe
16、 经常被病毒模仿的进程的名字是:spoo1sv.exe和spolsv.exe。它是与spoolsv.exe系统服务“打印假脱机程序”相对应的可执行程序,其作用是管理所有本地和网络打印队列并控制所有打印作业。如果此服务被停止,计算机上的打印将不可用,并且spoolsv.exe进程将从计算机上消失。如果您没有打印机设备,请关闭此服务以节省系统资源。停止并关闭服务后,如果spoolsv.exe进程仍然存在于系统中,它一定是被病毒伪装了。
本文讲解到此结束,希望对大家有所帮助。
标签: