|
 | 作者: esohdp [esohdp]
 论坛用户 |
登录 |
| 最近一直发现机器里有rundll32.exe的进程,起先认为是系统文件,没在意,可是后来发现有时候开好几个进程,而且只要我一打开.exe文件就会自动运行rundll32.exe的进程。后来我开始注意这个文件,用防火墙+追捕查,发现这个进程运行一端时间后会连接219.133.39.2和219.133.39.3以及61.145.112.165这三个IP,而且是连接对方的80端口(很象反弹端口型的木马)还会监听1234端口,然后我用追捕查这三个IP,对方有开HTTP服务,我看过msconfig和win.ini等文件,没有发现这个文件的启动项。刚装系统时一直都没有这个文件的进程(rundll32.exe好象是系统文件,怕贸然删除会带来其他问题)顺便问一下pstores.exe是什么文件,也经常莫名出现这个文件的进程。有高手知道的,帮助解决一下。 |
| 地主 发表时间: 11/18 02:15 |
 | 回复: afan271314 [afan271314]  论坛用户 |
登录 |
|
我不知道那是什么文件 但是我的机子有一次run32.dll文件有点问题导致我的机子 一开机 就出错 接着就自动关机了 |
| B1层 发表时间: 11/18 09:53 |
 | 回复: moley [moley]  论坛用户 |
登录 |
|
呵呵,什么系统,回去看看. 但是,好象在windows9.X下的有一个叫:rundll.exe,好像是. |
| B2层 发表时间: 11/18 14:40 |
 | 回复: hcz [hcz] 论坛用户 |
登录 |
|
rundll32.exe所在的目录是windows下,如果看进程是在别的目录肯定不是什么善意的东西,删吧 |
| B3层 发表时间: 11/18 14:53 |
| 回复: esohdp [esohdp] 论坛用户 |
登录 |
|
我用的是98系统,奇怪的就是这个文件就在windows/目录下,怕贸然删除会出现问题 |
| B4层 发表时间: 11/18 17:26 |
| 回复: afan271314 [afan271314] 论坛用户 |
登录 |
|
这个是个系统进程 是什么服务我忘了 不过有的病毒 可以潜在里面 |
| B5层 发表时间: 11/18 20:19 |
 | 回复: wsw [wsw]  论坛用户 |
登录 |
|
这么说我的机器的那个系统文件一定潜有病毒了 |
| B6层 发表时间: 11/28 22:57 |
 | 回复: jkwang [jkwang] 论坛用户 |
登录 |
|
某些程序会用到它。 |
| B7层 发表时间: 11/29 10:58 |
| 回复: Royy [royy]  论坛用户 |
登录 |
|
是不是装了3721? |
| B8层 发表时间: 12/01 23:14 |
| 回复: wsw [wsw] 论坛用户 |
登录 |
|
不错,,是装了, 我每次按三个热键,都会看到两个RUNDLL32请问这是怎么回事 |
| B9层 发表时间: 12/02 18:35 |
| 回复: Royy [royy] 论坛用户 |
登录 |
|
就是3721在访问网络,有个Cns.dll,还有两个记不住了。 |
| B10层 发表时间: 12/03 23:43 |
 | 回复: w315h [w315h]  论坛用户 |
登录 |
|
我已经删掉了,好象没有什么影响。 如果你和我一样有胆量的话也可以试试哦。:) |
| B11层 发表时间: 12/04 02:42 |
 | 回复: burningice [burningice] 论坛用户 |
登录 |
|
rundll32.exe 不是系统文件 ,只是与 系统文件 “rundll32.dll"相似罢了,删!!!!!! |
| B12层 发表时间: 12/07 12:25 |
| 回复: hksking [hksking] 论坛用户 |
登录 |
|
rundll32.dll别删呀,是系统文件,删除后开机和关机都会出现系统错误的提示! rundll32.exe是伪装的病毒文件,查杀一下 |
| B13层 发表时间: 12/07 16:02 |
 | 回复: wjhwjh5 [wjhwjh5] 论坛用户 |
登录 |
|
rundll32.exe 能�\行系�y中的���B�B接�煳募�(.dll) |
| B14层 发表时间: 12/08 17:18 |
 | 回复: lgf [lgf] 论坛用户 |
登录 |
|
以上各位说的对 |
| B15层 发表时间: 12/09 18:20 |
 | 回复: lida1818 [lida1818]  论坛用户 |
登录 |
|
必须明确rundll32.exe是系统文件! 有没有染毒或者被木马利用是另一回事,判明是不是系统文件有一个很笨的方法: 用MSCONFIG提取系统盘,能提则是,不能提则肯定不是系统自带! [此贴被 烟雨平生(lida1818) 在 12月09日19时30分 编辑过] |
| B16层 发表时间: 12/09 19:25 |
 | 回复: freek [freek] 论坛用户 |
登录 |
|
首先win98中windows下的rundll.exe和rundll32.exe都是系统文件,是调用动态链接库的应用程序。3721就是用的rundll32.exe来启动的。楼主说过装了3721,那在msconfig的启动项里一定能看到xxxx c:\window\rundll32.exe xxxxxxx 的东东。在按三个热键看到的应用程序进程中看到的两到三个rundll32.exe就是3721的。 另外楼主怀疑是木马,我看这个可能是很小的,因为在98里隐藏进程是极其容易的事,好像现在的木马没有笨到这种程度。 [此贴被 freek(freek) 在 12月09日22时47分 编辑过] |
| B17层 发表时间: 12/09 22:40 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 求助,很奇怪的rundll32.exe进程,高手帮忙