Når du logger på din computer, vises der muligvis et fejlmeddelelsesvindue med RunDll i titlen, der nævner et DLL-filnavn som følgende:
Der var et problem med at starte C:\Users\desktop\AppData\Local\Microsoft\Protect\protecthost.dll
Det angivne modul blev ikke fundet.
Selvom DLL-navnet og mappestien ser lovlige ud i dette eksempel, er det ikke rigtigt. En malware havde droppet DLL-filen der og tilføjet en startpost, så DLL'en udføres ved hver opstart. Beskeden "Det angivne modul kunne ikke findes." angiver normalt, at din antivirussoftware allerede har taget hånd om det problematiske modul ved at slette eller sætte det i karantæne. Nu skal du bare fjerne posten fra opstart eller planlagt opgave, uanset hvor den indlæses fra.
Task Manager – Fanen Start
Åbn Task Manager, og klik på fanen Startup. Aktiver kommandolinjekolonnen ved at højreklikke på kolonneoverskriften og aktivere afkrydsningsfeltet "Kommandolinje". Dette viser den fulde kommandolinje for hvert opstartselement på listen. For at forhindre, at fejlmeddelelsesvinduet vises ved opstart, skal du højreklikke på den relevante (rundll32) post på listen og klikke på Deaktiver.
Autoruns
Task Manager viser kun startposter fra RunOnce/Run-tasterne og Startup-mappen, men der er flere andre startpunkter for start. Det er bedre at bruge Autoruns at administrere opstartsprogrammer.
I Autoruns er manglende filer fremhævet med gult, hvilket er en nem indikator for at finde rundll32-posterne. Du kan deaktivere eller slette posterne derfra. Bemærk, at noget malware indlæses som planlagt opgave i stedet for fra opstart. Du skal muligvis også inspicere 3. parts opgaveplanlægningsposter. For at forhindre utilsigtet sletning af indbyggede poster tilføjet af Windows, skal du sørge for at aktivere "Skjul Microsoft Entries" i Autoruns Options-menuen.
Hvad er Rundll32.exe?
Rundll32.exe er en gyldig Windows-fil, som kan indlæse en DLL og køre en specificeret entry-point-funktion inde i DLL-filen. Problemet er ikke rundll32.exe, men den slyngelstatiske DLL-fil, som blev droppet af en Malware, og den tilsvarende startpost. Hvis du vil vide mere om et modul, kan du slå det op på nettet. I nogle tilfælde indeholder modulnavne og mappeplaceringer tilfældige tegn og tal, som det er tilfældet med de fleste opstartsposter og planlagte opgaver tilføjet af Malware.
Efter at have fjernet posterne, følg op med en grundig scanning ved hjælp af dit anti-virus program, samt brug Malwarebytes Antimalware.
En lille anmodning: Hvis du kunne lide dette opslag, så del venligst dette?
En "lille" andel fra dig ville virkelig hjælpe meget med væksten af denne blog. Nogle gode forslag:- Fastgør det!
- Del det på din yndlingsblog + Facebook, Reddit
- Tweet det!