系统进程中有两个rundll,其中一个总是占用过多的内存,删掉后每次开机又会出现,怀疑是病毒,但不知道该怎么删掉,常用的方法都试过了。
參考答案:如何防止附加于rundll.exe中的病毒:
一、rundll.exe和rundll32.exe文件的区别
我们知道rundll.exe文件和rundll32.exe文件是windows操作系统下的两个重要文件,用来调用动态链接库文件,它们的区别在于rundll.exe用于16位操作系统,如win9x和winme,存放在windows目录中,windows\system目录中仅有rundll32.exe;而rundll32用于32位操作系统,如win2000和winxp中,存放于windows\system32文件夹中。
但问题是,由于win9x或me不是纯32位系统,所以同时拥有rundll.exe和rundll32.exe,而win2000和winxp是纯32位系统,不使用rundll.exe文件。
因此,基本可以肯定地说,如果winxp或2000等纯32位操作系统的windows\system32目录中出现了rundll.exe文件,或win9x或me等非纯32位操作系统的windows\system32中出现了rundll.exe,可以说,恭喜你,你已中招了。
那么,有些人问,我的winxp系统中只有rundll32.exe,或我的win9x系统中只有rundll文件,我的机器是否中招?这样,就需要知道……
二、如何辨别是否中毒
1.在开始-》运行-》输入regedit-》回车
然后就打开了注册表编辑器,依次打开如下键目:
HKEY_CLASSES_ROOT\exefile\shell\open\command
然后,右边窗口有一键值:默认 "\"%1\" %*"
这样就表示,你的系统是干净的,没有感染此病毒,无需担心。
但如果看到的键值是这样的:默认 E:\***** "\"%1\" %*"
注意看到了么?前面多了一个路径,此路径可因病毒体所在分区不同而有所不同,但有一点是肯定的,你中招了!!!:icon29:
不信你再用系统的搜索功能搜一下“rundll.exe”,一定会发现在windows\system32目录下存在这个程序,图标各式各样很好看(就像蘑菇一样,越好看毒性就越大),程序大小在20K左右,就像我前面提到的一样,system32下面是不可能有rundll.exe存在的,而只应该有rundll32.exe存在。所以,这个system32下的不速之客rundll.exe,就是病毒体文件无疑!:icon6:
三、杀毒
杀毒的办法其实很简单,但是操作的步骤一定不能反,如果反了,直接导致的结果就是,病毒体被删了,系统上所有的exe程序全部完蛋,无法运行,整个系统也就瘫痪了,不得不自己编写regedit的恢复键,导入注册表,除非对注册表非常熟悉,否则一般人很难做到。
办法是这样的:
1.在注册表编辑器里,打开刚才看到的感染的键值:默认 E:\***** "\"%1\" %*"
删除前面的路径,变为:"\"%1\" %*" 即可。
2.把搜到的rundll.exe(可能有多个存在),只把system32下的rundll.exe删除即可。