none
WindowsServer2003服务器 一百多个rundll32.exe进程,求解! RRS feed

  • 问题

  • 把服务器重启后恢复正常,过一天后任务管理器里面就多了十多个rundll32.exe进程,每天增加十几个。一个礼拜后有几十个,任务管理器里全部进程有一百多个。杀毒没用,用了很多种杀毒软件,没杀出病毒来。服务器上面只运行两个程序,一个数据库,一个软件同步数据程序。试了很多方法不行,求解!
    2013年1月23日 8:45

全部回复

  • 以下内容僅供參考:

    首先以可靠並可還原的方式備份此服務器所有重要數據.

    查看這些 rundll32 進程的命令行參數都是什麽

    wmic process where name="rundll32.exe" get commandline, parentprocessid

    如果懷疑命令行參數包含的文件是惡意文件, 可將這些文件備份出來, 上傳到在線掃描網站進行掃描. 至於父進程 ID 可作為參考.

    http://www.virscan.org/
    http://www.virustotal.com/

    如果確認是惡意代碼, 可以嘗試通過臨時對 rundll32 進行映像文件重定向來緩解問題

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe" /v Debugger /t REG_SZ /d null.exe

    此命令建議在安全模式下進行.

    根據之前獲得 rundll32 命令行參數手動刪除惡意代碼文件, 刪除後在相同位置創建同名目錄, 並可考慮對 NTFS 權限進行設置. 同時也在注冊表搜尋一下, 如果找到, 那麽刪除前最好也進行一些備份.
    這個也建議在安全模式下進行.

    同時爲了防止該惡意代碼文件, 在系統不同位置放置不同名稱的文件, 也可通過 forfiles 查找相同文件大小的文件, 然後再借助 fc 命令進行比較.

    當然這些方法也通過安裝適用於服務器的防病毒軟件來進行.


    Folding@Home

    2013年1月23日 14:38
  • 首先请确认你看到的 RUNDLL32.EXE 进程是不是正常的 Windows 系统进程,有没有文件名用 1 冒仿 l、文件位置不在 system32、发行者信息不是微软等异常现象,如果有则极有可能是未能查杀的恶意程序。
     
    其次如果可以确认 RUNDLL32.EXE 没有问题,请再检查一下这些 RUNDLL32.EXE 调用的命令具体是什么。
     
    例如,通常打开控制面板的“系统”属性后也会运行 RUNDLL32.EXE,它的命令行是:
     
    "C:\Windows\system32\RUNDLL32.EXE" C:\Windows\system32\Shell32.DLL,Control_RunDLL "C:\Windows\system32\SYSDM.CPL",系统
     
    请确认你看到 RUNDLL32.EXE 的命令是否无法识别或明显调用的是未知程序。
     
    以上步骤都可以用 Process Explorer 进行。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "pengjianpiao"
     
    把服务器重启后恢复正常,过一天后任务管理器里面就多了十多个rundll32.exe进程,每天增加十几个。一个礼拜后有几十个,任务管理器里全部进程有一百多个。
     
     
    2013年1月23日 21:06
    版主