rundll32.exe 这个动作在做什么

显示全部楼层 · 发表于 2016-11-2 17:32:31

本帖最后由 ELOHIM 于 2016-11-2 19:05 编辑

命令行参数是：

"C:\Windows\system32\rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

其中，22d8c27b-47a1-48d1-ad08-7da7abd79617 在注册表和文件系统都查不到。

下面是 image文件。

17:17:08.3774571 rundll32.exe 2920 Process Profiling SUCCESS User Time: 0.0000000 seconds, Kernel Time: 0.0312500 seconds, Private Bytes: 1,470,464, Working Set: 9,015,296

这是其中一条，且不断重复。

显示全部楼层 · 发表于 2016-11-2 17:39:41

本帖最后由 ELOHIM 于 2016-11-2 19:09 编辑

文字太多，占不下了，跟一贴。

————————————————

所加载模块都是 system32 下的。。
求指点迷津。

因为着急，所以贴了大量的枯燥的文字，抱歉。

希望可以看懂的大神帮我分析一下这个 rundll32.exe 在做什么。

再次感谢！

显示全部楼层 · 发表于 2016-11-2 18:31:04

楼主不会发附件吗？
病毒样本区的很多朋友也不会发附件，一大通文字！

你的问题，我不会

显示全部楼层 · 发表于 2016-11-2 19:02:55

iduserid 发表于 2016-11-2 18:31
楼主不会发附件吗？
病毒样本区的很多朋友也不会发附件，一大通文字！

批评的是。
因为着急，几天监视得不到结果。
现在去编辑一下。

显示全部楼层 · 发表于 2016-11-2 19:07:52

本帖最后由 fireherman 于 2016-11-2 19:11 编辑

iduserid 发表于 2016-11-2 18:31
楼主不会发附件吗？
病毒样本区的很多朋友也不会发附件，一大通文字！

查杀结果，检测结果，发不发附件是发帖人的自由。

退一步讲，为什么要发附件？发那些信息就是给所有人看的，附件对于非注册会员是无法下载的；同样基于自由的原则，为什么人家为了看检测结果就要注册会员，注册会员还需要等验证邮件。

既然发布结果出来是为了与人共享，又为什么强迫别人注册下载附件来刁难？

换位思考，你去到另外一个论坛，看见一个你有兴趣的帖子，对方却弄成一个附件打包，而你不是会员，还需要进行麻烦的注册流程；那时候你又会不会说：为什么不码文字直接给出结果，强迫人家注册来下载附件这么麻烦？

显示全部楼层 · 发表于 2016-11-2 19:12:12

本帖最后由 ELOHIM 于 2016-11-2 19:18 编辑

fireherman 发表于 2016-11-2 19:07
查杀结果，检测结果，发不发附件是发帖人的自由。

退一步讲，为什么要发附件？发那些信息就是给所 ...

谢谢 @fireherman 。。。

我编辑了一下贴子。

如果这个 rundll32 不手动结束，就会一直这样一秒一次的进行下去，不知道在做什么。
网上也有人有这样问题，但是无果。。

貌似和 userprofile userdata 相关。。

——————————————————

以前监测，
发现在写 %userprofile%\AppData\Local\Microsoft\Windows 下的 UsrClass.dat 文件。
可是现在又不写这个文件了。。

被这个困扰很久了。。。

显示全部楼层 · 发表于 2016-11-2 19:16:01

ELOHIM 发表于 2016-11-2 19:12
谢谢 @fireherman 。。。

我编辑了一下贴子。

首先我没遇到过这种问题，而且……以下是我猜的

"C:\Windows\system32\rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

RunDLL32就是用于运行DLL动态链接库的，后面的参数，按字面意思：本地服务器机器码。

既然这个机器码不是本机，自然会出错。

不过……这是我猜的……猜的……猜的……猜的……猜的……还得要专业人士来回答

显示全部楼层 · 发表于 2016-11-2 19:19:27

ELOHIM 发表于 2016-11-2 19:12
谢谢 @fireherman 。。。

我编辑了一下贴子。

还有，我想问问：你是什么系统？（原版镜像？Ghost版？阉割版？）

显示全部楼层 · 发表于 2016-11-2 19:25:34

fireherman 发表于 2016-11-2 19:16
首先我没遇到过这种问题，而且……以下是我猜的

"C:\Windows\system32\rundll32.exe" -loc ...

22d8c27b-47a1-48d1-ad08-7da7abd79617
嗯，
这个值应该不是唯一值，网上也有这个值的一些信息。
比如这个：http://www.boostbyreason.com/res ... 6-rundll32-exe.aspx
还有这个：http://www.shouldiblockit.com/ru ... 2065cb4392b5f4.aspx
和这个：https://forums.techguy.org/threa ... work.1122189/page-2

（上面网站这个家伙跟我一样贴满了整个网页。。。但是也没有人回复）

显示全部楼层 · 发表于 2016-11-2 19:27:18

fireherman 发表于 2016-11-2 19:19
还有，我想问问：你是什么系统？（原版镜像？Ghost版？阉割版？）

原版，微软10586升级14393激活以后，重新从微软官方网站下载14393安装的。

但是系统组策略有一点复杂，我在想，是不是和这个有关系。。

[系统] rundll32.exe 这个动作在做什么

本帖子中包含更多资源

本帖子中包含更多资源