Как я могу получить больше информации о процессе rundll32.exe с высоким процессором?
6563
Herb Caudill
Я недавно установил чистую Win7 на мой HP8530. В большинстве случаев все работает хорошо, но в последние несколько дней каждое утро после того, как мой компьютер простаивал в течение ночи, я обнаружил, что rundll32.exe потребляет 50% ресурсов ЦП (т. Е. Всего одного процессора). Единственный способ, которым я могу это сделать - перезапустить.
Process Explorer не имеет информации о том, что процесс запущен. Если я пытаюсь что-то сделать для rundll32.exe (процесс kill, suspend и т. Д.), Я получаю сообщение «Ошибка открытия процесса: доступ запрещен». Ни одна из вкладок в диалоге свойств ProcExp не имеет никакой информации вообще.
У меня Norton Internet Security работает с последними определениями; Я запустил полное сканирование системы, и это дает мне полную оценку здоровья.
Как я могу получить больше информации о том, почему этот процесс выполняется?
After much research, we figured out that this only happened on machine that were using the HP Universal Printing Driver (both PCL 5 and PCL 6 flavors). This is a feature of of the HP UPD named Status Notification Pop-ups (SNPs). According to the HP website
SNPs provide immediate job information and printer status information by a small pop-up window on the client PC. SNPs also provide current information about printer consumables, such as toner levels and links to HP SureSupply ordering system and HP Instant Support page. The SNP feature, which displays during the submittal of a print job, is fully configurable through a variety of tools available to print administrators.
У нас было много запросов ldap (требующих rwdc), которые были сгенерированы на некоторых наших рабочих станциях. SNP был виновником.
Loïc MICHEL 10 лет назад
0
Через два года после нахождения этого ответа я наткнулся на [это сообщение в блоге] (http://blog.priveonlabs.com/sec_blog.php?title=disabling-the-status-notification-pop-up-in-hp-s- universal-print-driver & more = 1 & c = 1 & tb = 1 & pb = 1), который _не не работал для меня, но заставил меня заглянуть в реестр и написать скрипт Powershell для отключения SNP для всех принтеров HP одновременно.
Michael 8 лет назад
0
2
admintech
Это отличная информация о том, как диагностировать процесс rundll.32
объяснение
Если вы были в Windows какое-то время, вы видели миллионы файлов * .dll (Dynamic Link Library) в каждой папке приложения, которые используются для хранения общих частей логики приложения, к которым можно обращаться из нескольких Приложения.
Поскольку прямого запуска DLL-файла нет, приложение rundll32.exe просто используется для запуска функций, хранящихся в общих DLL-файлах. Этот исполняемый файл является допустимой частью Windows и обычно не должен представлять угрозы.
Примечание: допустимый процесс обычно находится в \ Windows \ System32 \ rundll32.exe, но иногда шпионское ПО использует одно и то же имя файла и запускается из другого каталога, чтобы замаскироваться. Если вы считаете, что у вас есть проблема, вы всегда должны запускать сканирование, чтобы убедиться, но мы можем точно проверить, что происходит ... так что продолжайте читать.
1
joh6nn
Вам нужно посмотреть, какая командная строка использовалась для запуска процесса, каков реальный путь запуска процесса (чтобы убедиться, что это не вредоносная программа, маскирующаяся под легальный процесс) и какие потоки запущен в данный момент. Все это доступно через Process Explorer
1
Herb Caudill
Вот часть, которую мне не хватало: в Process Explorer, в меню File есть опция «Показать детали для всех процессов». Как только я это сделал, стала доступна вся информация о запущенном процессе rundll32.exe (это было запланированное задание executetescheduledsppcreation, которое создает точки восстановления системы).