Recentemente, instalei o Win7 no meu HP8530. Tudo funciona bem na maior parte do tempo, mas nos últimos dias, todas as manhãs, depois que meu computador ficou inativo durante a noite, descobri que o rundll32.exe está consumindo 50% da CPU (ou seja, todo um processador). A única maneira que eu posso fazer isso é reiniciar.
O Process Explorer não possui informações sobre o processo em execução. Se eu tentar fazer alguma coisa para rundll32.exe (processo de matar, suspender, etc) eu recebo "Processo de abertura de erro: acesso negado." Nenhuma das guias na caixa de diálogo de propriedades ProcExp possui nenhuma informação.
Eu tenho o Norton Internet Security em execução com as definições mais recentes; Eu executei uma varredura completa do sistema e isso me deu uma boa conta.
Como posso obter mais informações sobre por que esse processo está sendo executado?
Aqui está a parte que eu estava faltando: No Process Explorer, no menu Arquivo, há uma opção para "Mostrar detalhes de todos os processos". Assim que fiz isso, todas as informações sobre o processo rundll32.exe estava sendo executado tornou-se disponível (era a tarefa agendada executescheduledsppcreation, que cria pontos de restauração do sistema).
Tivemos isso em vários servidores de impressão que havíamos configurado. Quando analisamos no Process Explorer, obtínhamos uma linha de comando como
rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\hpmsn6bu.DLL,MonitorPrintJobStatus /pjob=135 /pname"PRINTER01"
Depois de muita pesquisa, descobrimos que isso só acontecia na máquina que estava usando o HP Universal Printing Driver (ambos os tipos PCL 5 e PCL 6). Este é um recurso do HP UPD chamado Pop-ups de notificação de status (SNPs). De acordo com o site da HP
SNPs provide immediate job information and printer status information by a small pop-up window on the client PC. SNPs also provide current information about printer consumables, such as toner levels and links to HP SureSupply ordering system and HP Instant Support page. The SNP feature, which displays during the submittal of a print job, is fully configurable through a variety of tools available to print administrators.
Mais informações podem ser encontradas aqui
Esta é uma ótima informação sobre como diagnosticar um procedimento rundll.32
Explanation
If you’ve been around Windows for any amount of time, you’ve seen the zillions of *.dll (Dynamic Link Library) files in every application folder, which are used to store common pieces of application logic that can be accessed from multiple applications.
Since there’s no way to directly launch a DLL file, the rundll32.exe application is simply used to launch functionality stored in shared .dll files. This executable is a valid part of Windows, and normally shouldn’t be a threat.
Note: the valid process is normally located at \Windows\System32\rundll32.exe, but sometimes spyware uses the same filename and runs from a different directory in order to disguise itself. If you think you have a problem, you should always run a scan to be sure, but we can verify exactly what is going on… so keep reading.
Você precisa observar o que a linha de comando usou para iniciar o processo, qual é o caminho real do processo em execução (para verificar se ele não é um malware mascarado como um processo legítimo) e quais threads o processo está executando atualmente. Todos estes estão disponíveis através do Process Explorer
examine o processo com o Gerenciador de tarefas AnVir Free Portable
Tags process windows-7 cpu rundll32.exe