rundll32_exe病毒_run32dll.exe(rundll32.exe病毒)

1.如何通过系统进程分析病毒

2.现在很多朋友都是靠杀毒软件来清除电脑上的病毒。其实常见的几种病毒都喜欢伪装成系统文件。无论如何，如果你发现你的电脑有异常，检查你的进程，看看有没有问题。病毒经常模仿的进程名称有：svch0st.exe、schvost.exe和scvhost.exe。我们可以通过查看系统进程来分析和查找病毒。

3.现在，随着Windows系统服务越来越多，为了节省系统资源，微软把很多服务做成共享模式，这就是svchost.exe进程启动的。一定要知道一些病毒在进程中常用的，迷惑大家的进程程序，这样才能防范，也要有所了解。下面的小例子也是几种病毒喜欢的常见系统文件。

4.svchost.exe简介

5.我们可以打开控制面板管理工具服务，双击剪贴簿服务。在其属性面板中，我们可以发现对应的可执行文件路径是c : Windows System32 Clipsrv.exe。双击“Alerter”服务，可以发现其可执行文件路径为“c : Windows System32 svchost . exe-k local service”，而“Server”服务的可执行文件路径为“c : Windows System32 svchost . exe-k netsvcs”。正是这种调用可以节省大量的系统资源，所以系统中有很多svchost.exe，其实只是系统的服务。

6.一般来说，Windows2000系统中有两个svchost.exe进程，一个是RPCSS(remoteprocurecall)服务进程，另一个是许多服务共享的svchost.exe。在WindowsXP中，通常有四个以上的svchost.exe服务进程。如果svchost.exe进程的数量超过5，就要小心了。很可能是假病毒，检测方法简单。使用一些进程管理工具，如Windows Optimizer的进程管理功能，检查svchost.exe的可执行文件路径。如果是在“C:WINDOWSsystem32”目录之外，可以判断为病毒。

7.explorer.exe

8.病毒经常模仿的进程名称有：iexplorer.exe、expiorer.exe和explore.exe。Explorer.exe是我们经常使用的“资源经理”。如果你在任务管理器中完成了explorer.exe进程，所有的文件包括任务栏、桌面和打开的文件都会消失。点击任务管理器文件新建任务，进入“explorer.exe”。消失的东西会再回来。explorer.exe的作用是让我们管理计算机中的资源。

9.默认情况下，explorer.exe进程随系统启动，其对应的可执行文件的路径为“C:Windows”目录；否则就是病毒。

10.iexplore.exe

11.经常被病毒冒充的进程名称有：iexploer.exei，iexploer.exei，上面文章中的iexploer.exei进程和iexploer.exei进程非常相似，很容易混淆。实际上，iexplorer.exe是微软IE浏览器(也就是我们通常使用的IE浏览器)生成的一个进程。知道之后应该更容易认清角色。iexplorer.exe进程的开始名字是“ie”，意思是IE浏览器。

12.iexplore.exe进程对应的可执行程序位于c : Program Files Internet Explorer目录下，在其他目录下的存在就是病毒，除非你转移文件夹。另外，有时候我们会发现，在不打开IE浏览器的情况下，iexplore.exe进程仍然存在于系统中，这可以分为两种情况：1。这种病毒伪装成iexplore.exe进程的名字。2.该病毒通过iexplore.exe在后台偷偷做坏事。所以，如果出现这种情况，请用杀毒软件快速查杀。

13.rundll32.exe

14.经常被病毒模仿的进程的名字是：rundl132.exe和rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数。系统中有多少Rundll32.exe进程就意味着Rundll32.exe启动了多少DLL文件。实际上，我们经常使用rundll32.exe，它可以控制系统中的一些dll文件。比如在“命令提示符”中输入“rundll32 . exe user32.dll，锁定工作站”，按enter后系统会快速切换到登录界面。rundll32.exe的路径是“C:Windowssystem32”，在其他目录下也可以判断为病毒。

15.spoolsv.exe

16.经常被病毒模仿的进程的名字是：spoo1sv.exe和spolsv.exe。它是与spoolsv.exe系统服务“打印假脱机程序”相对应的可执行程序，其作用是管理所有本地和网络打印队列并控制所有打印作业。如果此服务被停止，计算机上的打印将不可用，并且spoolsv.exe进程将从计算机上消失。如果您没有打印机设备，请关闭此服务以节省系统资源。停止并关闭服务后，如果spoolsv.exe进程仍然存在于系统中，它一定是被病毒伪装了。

- END -