以下内容僅供參考:
首先以可靠並可還原的方式備份此服務器所有重要數據.
查看這些 rundll32 進程的命令行參數都是什麽
wmic process where name="rundll32.exe" get commandline, parentprocessid
如果懷疑命令行參數包含的文件是惡意文件, 可將這些文件備份出來, 上傳到在線掃描網站進行掃描. 至於父進程 ID 可作為參考.
http://www.virscan.org/
http://www.virustotal.com/
如果確認是惡意代碼, 可以嘗試通過臨時對 rundll32 進行映像文件重定向來緩解問題
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe" /v Debugger /t REG_SZ /d null.exe
此命令建議在安全模式下進行.
根據之前獲得 rundll32 命令行參數手動刪除惡意代碼文件, 刪除後在相同位置創建同名目錄, 並可考慮對 NTFS 權限進行設置. 同時也在注冊表搜尋一下, 如果找到, 那麽刪除前最好也進行一些備份.
這個也建議在安全模式下進行.
同時爲了防止該惡意代碼文件, 在系統不同位置放置不同名稱的文件, 也可通過 forfiles 查找相同文件大小的文件, 然後再借助 fc 命令進行比較.
當然這些方法也通過安裝適用於服務器的防病毒軟件來進行.
Folding@Home
