Wie kann ich mehr Informationen über den Prozess rund-hoch-CPU rundll32.exe erhalten?
6713
Herb Caudill
Ich habe kürzlich Win7 auf meinem HP8530 sauber installiert. Meistens funktioniert alles gut, aber in den letzten Tagen, jeden Morgen, nachdem sich mein Computer über Nacht im Leerlauf befunden hat, stelle ich fest, dass rundll32.exe ständig 50% der CPU (dh eines Prozessors) beansprucht. Der einzige Weg, wie ich es schaffen kann, ist durch einen Neustart.
Der Prozess-Explorer enthält keine Informationen darüber, was der Prozess ausführt. Wenn ich versuche, etwas zu rundll32.exe zu tun (Prozess beenden, aussetzen usw.), erhalte ich die Meldung "Fehler beim Öffnen: Zugriff wird verweigert." Keine der Registerkarten im ProcExp-Eigenschaftendialogfeld enthält Informationen.
Ich habe Norton Internet Security mit den neuesten Definitionen. Ich habe einen vollständigen Systemscan durchgeführt und es gibt mir einen sauberen Gesundheitszustand.
Wie kann ich mehr Informationen darüber erhalten, warum dieser Prozess ausgeführt wird?
Nach langen Nachforschungen stellten wir fest, dass dies nur auf Computern der Fall war, die den HP Universal Printing Driver (beide PCL 5- und PCL 6-Versionen) verwendeten. Dies ist eine Funktion des HP UPD mit dem Namen Status Notification Popups (SNPs). Laut der HP Website
SNPs bieten durch ein kleines Popup-Fenster auf dem Client-PC sofortige Auftragsinformationen und Informationen zum Druckerstatus. SNPs bieten auch aktuelle Informationen zu Verbrauchsmaterialien für Drucker, z. B. Tonerstand und Links zum HP SureSupply-Bestellsystem und zur HP Instant Support-Seite. Die SNP-Funktion, die während der Übermittlung eines Druckauftrags angezeigt wird, ist durch eine Vielzahl von Tools, die Druckadministratoren zur Verfügung stehen, vollständig konfigurierbar.
Wir hatten viele LDAP-Abfragen (die Rwdc erfordern), die von einigen unserer Workstations generiert wurden. Die SNP war der Schuldige.
Loïc MICHEL vor 10 Jahren
0
Zwei Jahre nachdem ich diese Antwort gefunden hatte, stieß ich auf diesen Blogeintrag (http://blog.priveonlabs.com/sec_blog.php?title=disabling-the-status-notification-pop-up-in-hp-s- universal-print-driver & more = 1 & c = 1 & tt = 1 & pb = 1) was _did not_ für mich funktionierte, aber es führte mich dazu, in der Registry nachzuschauen und ein Powershell-Skript zu schreiben, um SNP für alle HP-Drucker gleichzeitig zu deaktivieren.
Michael vor 8 Jahren
0
2
admintech
Dies ist eine großartige Information zur Diagnose eines rundll.32-Prozesses
Erläuterung
Wenn Sie sich schon lange mit Windows beschäftigt haben, haben Sie in jedem Anwendungsordner zig Millionen * .dll-Dateien (Dynamic Link Library) gesehen, in denen häufig verwendete Anwendungslogiken gespeichert werden, auf die von mehreren Benutzern zugegriffen werden kann Anwendungen.
Da es keine Möglichkeit gibt, eine DLL-Datei direkt zu starten, wird die Anwendung rundll32.exe einfach zum Starten von Funktionen verwendet, die in gemeinsam genutzten DLL-Dateien gespeichert sind. Diese ausführbare Datei ist ein gültiger Teil von Windows und sollte normalerweise keine Bedrohung darstellen.
Hinweis: Der gültige Prozess befindet sich normalerweise unter \ Windows \ System32 \ rundll32.exe. Manchmal verwendet Spyware jedoch denselben Dateinamen und wird in einem anderen Verzeichnis ausgeführt, um sich selbst zu tarnen. Wenn Sie der Meinung sind, dass Sie ein Problem haben, sollten Sie immer einen Scan durchführen, um sicher zu gehen, aber wir können genau überprüfen, was los ist. Lesen Sie also weiter.
1
joh6nn
Sie müssen prüfen, was die Befehlszeile zum Starten des Prozesses war, wie der tatsächliche Pfad des laufenden Prozesses ist (um zu überprüfen, ob es sich nicht um Malware handelt, die sich als legitimer Prozess ausgibt) und welche Threads der Prozess derzeit ausgeführt hat. Alle diese Optionen sind über den Process Explorer verfügbar
1
Herb Caudill
Hier ist das Stück, das mir gefehlt hat: Im Prozess-Explorer im Menü Datei gibt es die Option "Details für alle Prozesse anzeigen". Sobald ich das getan hatte, standen alle Informationen zum Prozess rundll32.exe zur Verfügung (die geplante Task executescheduledsppcreation, die Systemwiederherstellungspunkte erstellt).