اسرار ملف rundll32.exe فى الويندوز ........ الحلقة الثانية

السلام عليكم
ورحمة الله وبركاته

اليوم هنستكمل الحلقة الثانية من كلامنا على ملف الــ

Rundll32.exe وهو الموضوع المتعلق بالفيروسات

وهذا الملف تستغله العديد من
الفيروسات باسمه
صحيح Rundll32.exe او مع تحريف بسيط كتغيير حرفى ll الى ii ليصبح
rundii32.exe
(حرف L فى اللغة الانجليزية فى بعض الخطوط مشابه الى حد مع حرف I على
شكل
حروف صغيرة Small) كتغيير svchost.exe الى svohost.exe الفيروس
اللعين.

وعند فتح مدير المهام Task Manager ((كليك يمين على
شريط المهام
Task bar واختيا ر Task manager او كتابة taskmgr فى قائمة
Run)) لا يمكنك سوى رؤية
اسم العملية Process لهذا الملف ولا تستطيع
ان ترى ملفات المكتبات الديناميكية
DLL'S للبرامج التى يقوم الملف
بتحميلها .

ولرؤية
تلك الملفات فى بيئة ويندوز اكس بى بروفيشنال هناك
طريقتين واحدة عن
طريق برنامج Hijackthis الغنى عن التعريف وذلك بالقيام بعمل فحص
للنظام
System Scan والنظر الى تقرير الفحص الذى يظهر فى الصورة تحميل الــ
rundll32.exe
لملفين dll هما NvCpl.dll و NvMcTray.dll مع كل مرة يقلع فيها
الويندوز

تكبير الصورة تصغير الصورة

اما الطريقة الاخرى يدوية عن طريق سطر الاوامر
command-line
(افتح run واكتب فيها cmd وانتر )

فى شاشة سطر الاوامر اكتب الامر
التالى:

tasklist
/m /fi "IMAGENAME eq rundll32.exe"

لاحظ ان الامر tasklist غير موجود فى نسخة Home
edition

فى
الشاشة
التالية تظهر ملفات الــ dll التى يقوم بتحميلها ملف الــ
rundll32.exe على يمين
الشاشة واذا استثنينا ملفات النظام يمكنك رؤية
ملفات الــ dll الضارة واذا كان عندك
شك فى احداها يمكنك البحث عنها فى
جوجل و اذا لاحظنا قليلا فى نتائج البحث سنجد ملف
NvMcTray.dll الذى
ظهر فى تقرير برنامج Hijackthis

تكبير الصورة تصغير الصورة تم تعديل
ابعاد هذه الصورة. انقر هنا لمعاينتها بأبعادها الأصلية.

تكبير الصورة تصغير الصورة

ياريت
الموضوع
يكون عجبكوا

موضوع رائع

مشكور

» اسرار ملف rundll32.exe فى الويندوز ........ الحلقة الاولى
» تنصيب الويندوز سيرفر 2008
» حرس الحدود يبكي الأهلاوية ويخطف كأس مصر للمرة الثانية
» F8 يحميك من سقوط الويندوز ولا داعى للفورمات
» الأهلي يسقط فى فخ التعادل للمرة الثانية أمام الجونة