Salah satu masalah ketika Anda mencoba mendiagnosis masalah apa pun di Windows, adalah cukup banyak informasi tentang file dan program apa yang dimuat di latar belakang yang disembunyikan dan tidak mudah terlihat. Salah satu program Windows ini adalah proses svchost.exe yang hanya terlihat seperti satu proses di Task Manager, tetapi sebenarnya dapat berisi beberapa layanan yang dimuat dll yang Anda tidak akan tahu tentang kecuali Anda tahu bagaimana mengidentifikasi apa yang ada di dalam proses svchost.
Proses lain yang mungkin ditampilkan dalam Daftar Tugas Windows Anda tetapi Anda tidak pernah tahu apa itu mungkin akan menjadi proses rundll32. Rundll32.exe adalah bagian dari Windows yang ditemukan di \ Windows \ System32 dan digunakan untuk menjalankan kode program dalam file dll seolah-olah itu adalah program yang sebenarnya. File dll tidak dapat dieksekusi secara langsung, itu sebabnya rundll32.exe diperlukan untuk menjalankannya. Banyak perangkat lunak berbahaya juga dapat menggunakan nama ini atau nama-nama serupa untuk membodohi Anda dengan menganggap virus itu sebenarnya file Windows yang sah. Nama-nama seperti rundII32.exe (sebenarnya menggunakan 2 huruf i huruf besar) atau rundll.32.exe tidak jarang dan Anda harus selalu mempelajari nama file rundll32 (dan svchost) di Task Manager jika Anda mencurigai Anda memiliki malware pada sistem Anda. Rundll32 juga biasa digunakan oleh spyware untuk meluncurkan kodenya sendiri. Seperti yang Anda lihat jika Anda membuka Task Manager dan Anda memiliki hadiah Rundll32.exe, Anda tidak dapat melihat secara default apa dll yang diluncurkannya.
Berikut cara mengidentifikasi file DLL apa yang sedang dimuat di rundll32.exe pada Windows XP, Vista dan 7.
Gunakan Task Manager untuk Mengidentifikasi Perintah Rundll32.exe yang Digunakan
Fungsi ini hanya tersedia di Vista dan di atas, dan apa yang dilakukannya adalah menampilkan kolom tambahan di Task Manager yang memberi tahu Anda apa baris perintah yang saat ini digunakan oleh proses. Buka Task Manager -> Lihat menu -> Pilih Kolom…, klik kotak baris perintah dan kemudian OK.
Kolom baru sekarang akan tersedia dan Anda harus dapat mengidentifikasi dll yang sedang dieksekusi.
Identifikasi File DLL yang Diisi Menggunakan Proses Explorer
Process Explorer adalah pengganti Task Manager yang hebat yang dibuat oleh SysInternals yang dapat menampilkan lebih banyak informasi terperinci tentang apa yang sedang dimuat oleh proses Rundll32. Cukup jalankan alat Process Explorer dan Anda akan disajikan dengan daftar jenis proses Task Manager.
Yang harus Anda lakukan adalah mengarahkan mouse Anda ke entri Rundll32.exe dan itu akan menunjukkan kepada Anda di ujung alat apa perintah yang diluncurkan dan dll yang sedang dieksekusi. Seperti yang dapat Anda lihat dari gambar, rundll32.exe ini menjalankan ikon nampan nVidia.
Unduh Process Explorer
Identifikasi File DLL yang Dimuat melalui Command Prompt
Berikut ini adalah cara manual untuk mengidentifikasi file DLL di rundll32.exe. Buka Prompt Perintah dengan menekan WinKey + R dan ketik cmd. Kemudian ketik atau rekatkan perintah di bawah ini ke prompt dan tekan Enter.
daftar tugas / m / fi "IMAGENAME eq rundll32.exe"
Perhatikan bahwa secara default, Windows XP Home edition tidak memiliki utilitas tasklist.exe, hanya Professional. Itu dibangun ke semua versi Windows Vista dan 7. Jika Anda ingin alat Tasklist untuk XP Home Anda dapat mengunduhnya dari tautan ini:
Unduh Tasklist.exe
Modul dll ditampilkan di sisi kanan hasil tasklist. Anda mungkin akan melihat banyak modul yang ditampilkan yang merupakan dll Windows internal dan dibutuhkan sedikit pengetahuan dari pengguna yang berpengalaman untuk mengidentifikasi dll berbahaya dalam daftar. Jika Anda tidak yakin, Anda selalu dapat melakukan pencarian di Google pada nama file dll.
File Rundll32 palsu
Sekarang Anda tahu cara mengidentifikasi DLL yang dimuat di rundll32.exe, tetapi ada juga contoh spyware dan virus yang menggantikan rundll32.exe asli Windows dengan yang palsu. Ketika Anda memiliki rundll32.exe yang buruk atau rusak, Anda akan memiliki masalah dalam membuka Control Panel dan lain-lain.
Untuk memeriksa apakah rundll32.exe Anda telah dimodifikasi atau diganti, Anda dapat membukanya dengan Notepad, Wordpad, atau Hex editor. Setelah Anda membuka rundll32.exe, cari kata "padding". Jika kata ini ada di dalam rundll32.exe, itu berarti bahwa Anda menggunakan file palsu dan perlu diganti.
Cara paling sederhana untuk mengganti file menggunakan System File Checker (SFC) dari Command Prompt.
1. Tekan tombol Win + R dan ketik cmd ke dalam dialog Run, tekan Enter.
2. Ketikkan perintah di bawah ini ke Command Prompt dan tekan Enter. Windows sekarang harus mengganti rundll32.exe yang rusak dan file sistem lainnya yang rusak oleh virus atau masalah lain.
sfc / Scannow
Jika Anda tahu hanya file rundll32.exe yang rusak dan Anda menggunakan Vista atau 7, Anda dapat menghindari pemeriksaan file sistem lengkap dan jalankan SFC pada 1 file itu.
sfc /scanfile=c:\windows\system32\rundll32.exe
Pengguna Windows XP mungkin memerlukan CD instalasi Windows untuk mengembalikan file asli. Tip yang sangat berguna dan hemat waktu untuk menghindari kebutuhan CD di masa depan ketika menjalankan SFC adalah menyalin folder i386 ke hard drive Anda.