大家好，雨雨來為大家解答以上問題，run32dll.exe，rundll32 exe病毒很多人還不知道，現(xiàn)在讓我們一起來看看吧！

1、 如何通過系統(tǒng)進程分析病毒

2、 現(xiàn)在很多朋友都是靠殺毒軟件來清除電腦上的病毒。其實常見的幾種病毒都喜歡偽裝成系統(tǒng)文件。無論如何，如果你發(fā)現(xiàn)你的電腦有異常，檢查你的進程，看看有沒有問題。病毒經(jīng)常模仿的進程名稱有：svch0st.exe、schvost.exe和scvhost.exe。我們可以通過查看系統(tǒng)進程來分析和查找病毒。

3、 現(xiàn)在，隨著Windows系統(tǒng)服務越來越多，為了節(jié)省系統(tǒng)資源，微軟把很多服務做成共享模式，這就是svchost.exe進程啟動的。一定要知道一些病毒在進程中常用的，迷惑大家的進程程序，這樣才能防范，也要有所了解。下面的小例子也是幾種病毒喜歡的常見系統(tǒng)文件。

4、 svchost.exe簡介

5、 我們可以打開控制面板管理工具服務，雙擊剪貼簿服務。在其屬性面板中，我們可以發(fā)現(xiàn)對應的可執(zhí)行文件路徑是c : \ Windows \ System32 \ Clipsrv.exe。雙擊“Alerter”服務，可以發(fā)現(xiàn)其可執(zhí)行文件路徑為“c : \ Windows \ System32 \ svchost . exe-k local service”，而“Server”服務的可執(zhí)行文件路徑為“c : \ Windows \ System32 \ svchost . exe-k netsvcs”。正是這種調(diào)用可以節(jié)省大量的系統(tǒng)資源，所以系統(tǒng)中有很多svchost.exe，其實只是系統(tǒng)的服務。

6、 一般來說，Windows2000系統(tǒng)中有兩個svchost.exe進程，一個是RPCSS(remoteprocurecall)服務進程，另一個是許多服務共享的svchost.exe。在WindowsXP中，通常有四個以上的svchost.exe服務進程。如果svchost.exe進程的數(shù)量超過5，就要小心了。很可能是假病毒，檢測方法簡單。使用一些進程管理工具，如Windows Optimizer的進程管理功能，檢查svchost.exe的可執(zhí)行文件路徑。如果是在“C:\WINDOWS\system32”目錄之外，可以判斷為病毒。

7、 explorer.exe

8、 病毒經(jīng)常模仿的進程名稱有：iexplorer.exe、expiorer.exe和explore.exe。Explorer.exe是我們經(jīng)常使用的“資源經(jīng)理”。如果你在任務管理器中完成了explorer.exe進程，所有的文件包括任務欄、桌面和打開的文件都會消失。點擊任務管理器文件新建任務，進入“explorer.exe”。消失的東西會再回來。explorer.exe的作用是讓我們管理計算機中的資源。

9、 默認情況下，explorer.exe進程隨系統(tǒng)啟動，其對應的可執(zhí)行文件的路徑為“C:\Windows”目錄；否則就是病毒。

10、 iexplore.exe

11、 經(jīng)常被病毒冒充的進程名稱有：iexploer.exei，iexploer.exei，上面文章中的iexploer.exei進程和iexploer.exei進程非常相似，很容易混淆。實際上，iexplorer.exe是微軟IE瀏覽器(也就是我們通常使用的IE瀏覽器)生成的一個進程。知道之后應該更容易認清角色。iexplorer.exe進程的開始名字是“ie”，意思是IE瀏覽器。

12、 iexplore.exe進程對應的可執(zhí)行程序位于c : \ Program Files \ Internet Explorer目錄下，在其他目錄下的存在就是病毒，除非你轉(zhuǎn)移文件夾。另外，有時候我們會發(fā)現(xiàn)，在不打開IE瀏覽器的情況下，iexplore.exe進程仍然存在于系統(tǒng)中，這可以分為兩種情況：1。這種病毒偽裝成iexplore.exe進程的名字。2.該病毒通過iexplore.exe在后臺偷偷做壞事。所以，如果出現(xiàn)這種情況，請用殺毒軟件快速查殺。

13、 rundll32.exe

14、 經(jīng)常被病毒模仿的進程的名字是：rundl132.exe和rundl32.exe。rundll32.exe在系統(tǒng)中的作用是執(zhí)行DLL文件中的內(nèi)部函數(shù)。系統(tǒng)中有多少Rundll32.exe進程就意味著Rundll32.exe啟動了多少DLL文件。實際上，我們經(jīng)常使用rundll32.exe，它可以控制系統(tǒng)中的一些dll文件。比如在“命令提示符”中輸入“rundll32 . exe user32.dll，鎖定工作站”，按enter后系統(tǒng)會快速切換到登錄界面。rundll32.exe的路徑是“C:\Windows\system32”，在其他目錄下也可以判斷為病毒。

15、 spoolsv.exe

16、 經(jīng)常被病毒模仿的進程的名字是：spoo1sv.exe和spolsv.exe。它是與spoolsv.exe系統(tǒng)服務“打印假脫機程序”相對應的可執(zhí)行程序，其作用是管理所有本地和網(wǎng)絡打印隊列并控制所有打印作業(yè)。如果此服務被停止，計算機上的打印將不可用，并且spoolsv.exe進程將從計算機上消失。如果您沒有打印機設備，請關閉此服務以節(jié)省系統(tǒng)資源。停止并關閉服務后，如果spoolsv.exe進程仍然存在于系統(tǒng)中，它一定是被病毒偽裝了。

本文講解到此結束，希望對大家有所幫助。

　　免責聲明：本文由用戶上傳，與本網(wǎng)站立場無關。財經(jīng)信息僅供讀者參考，并不構成投資建議。投資者據(jù)此操作，風險自擔。 如有侵權請聯(lián)系刪除！