标题: [原创]对付奇怪的run a dll as app? [打印本页] 作者: 壁虎 时间: 2004-11-7 12:00 标题: [原创]对付奇怪的run a dll as app?
我不知道该不该写这个东西的,因为说实话,当我知道实情以后,真的觉得没什么价值,不过又有必要声明一下,因为我见过不少人为此烦恼。
话说到新装系统之后,XP系统,升级到了sp2,补丁全打满了,相比系统是没什么漏洞了,不过很多设置方面都需要补充,而且应用会有自己的特点。所以设置了拦截弹出窗口和提示ActiveX控件。新装系统没有下什么插件,除了一个微软升级插件和flash插件外,IE没有再下其他插件,这时是没出现run a dll as app的。
一次访问一个下载站点,进去的时候很卡,原以为是网速原因,没想到给我个下马威,不久提示,3721上网助手安装成功,百度搜索引擎插件安装成功。马上就出现了run a dll as app要求访问网络,我一看,对应c:\windows\system32\rundll32.exe.但是我并不想如此,于是就禁止访问网络。没想到在防火墙的监控里面显示rundll32.exe正在监听1086端口,我就知道已经没用了,防火墙更本没禁止住(本人是天网防火墙),因为禁止了访问网络就算进程已经启动也会显示在××端口监听但被禁止。
于是我就知道是由于刚才安装3721的原因,下了个3721免疫和卸载程序uninst3721@cnbeta.com.exe,在没重启之前将3721全部卸载了。
再次重启,结果发现run a dll as app仍然存在,我就糊涂了,3721已经没有了呀,难到它这么厉害,还留了后遗症啊。
查了一下rundll32的资料,如下
rundll32 - rundll32.exe - 进程信息
进程文件: rundll32 or rundll32.exe
进程名称: Windows RUNDLL32 Helper
描述: Windows Rundll32为了需要调用DLLs的程序。
常见错误: N/A
是否为系统进程: 否
资料:Rundll32者,顾名思义,执行DLL(动态链接库)也,是Windows用来调用32位dll函数时所使用的命令(16位的DLL文件使用rundll.exe。DLL文件是Windows的基础,所有的API函数都是在DLL中实现的。它不能独立运行,一般都是由进程加载并调用的。
3721上网助手开机运行时使用系统命令Rundll32.exe实现对3721动态链接库helper.dll的调用,从而执行上网助手的功能。
既然rundll32.exe并非系统必要进程,肯定就是由于其他程序调用引起的。上面说了3721会调用rundll32访问网络,那么难道是3721没有卸载完毕,在注册表里留下什么东西造成的。于是开始搜索注册表,有关rundll32的信息全部搜索。最后发现3721在注册表里面已经没有任何可以找到的痕迹了。糊涂了。。。。
我异想天开,各方面都统统想一次,排除了一些不可能的情况我把注意力放到了系统权限上面,因为我想到自己现在这个用户名虽然是管理员权限的,但是系统最高管理员还是Administrator,可能有些系统设置需要在这个用户下面才真正有效,于是注销进入Administrator用户,令我惊讶的事情出现了,在Administrator用户下,防火墙里面根本没有run a dll as app这个项目要求访问网络,也没出现端口监听。难道这个是和用户挂钩的?想到这里,我又进了自己本身用户。发现有run a dll as app要求访问网络。
似乎离答案近了许多,我还是觉得应该从最基本的地方重新搜索一遍,从注册表开始,发现只有百度在调用,注册表名BIE,在启动项目里面也有,我猛的想到,难道我的思路错了,也许引起rundll32.exe访问网络的根本就不是3721,而是这个百度呢?因为之前是没装这个百度插件的,想到这里,我从防火墙里关掉这个rundll32,不久后重新出现。
进入c:\windows\Downloaded Program Files\想删掉百度这个插件,结果显示正在调用,无法删除。狠下心,进安全模式,删掉了这个家伙。
再次重启正常模式到windows下,奇迹出现了,没有了run a dll as app要求访问网络。世界终于清净了。原来百度也弄个插件搞人,幸好不像3721那样难卸载,否则也会臭名远扬。
后记:想到这里,不仅让我深有感触也提醒了自己,这个问题之所以弄了这么久,原因是一开始就把所有的责任都推到了3721上面,而不被关注的百度确是罪魁祸首。rundll32运行是需要其他程序调用的,3721的确会调用来访问网络,但是其他程序也会,所以思考问题对象务必大而全,排除问题对象的时候名气并不能用来排除问题原因所在,好了,希望对大家有帮助。
不妨试试。作者: copyday 时间: 2004-11-8 22:59 标题: [原创]对付奇怪的run a dll as app?
