[Petya V4sechkin]

Цитата Arns:

Согласно Process Explorer'у путь(Path) к файлу [Error opening process], а также строки Command line и Current directory пустые.

Убедитесь, что Process Explorer запущен от имени Администратора (через меню правой кнопкой мыши).

[Arns]

Про запуск Process Explorer от имени Администратора я как раз забыл, за напоминание спасибо, если поймаю снова неопознаный rundll32.exe попробую узнать откуда ноги растут. А может есть еще варианты к примеру проверить rundll32.exe на достоверность, а то у него 2 часа разницы между созданием и изменением, создан он в 3:41, а изменен в 5:14, даты совпадают?

UPD: при поиске по компьютеру файла Rundll32.exe помимо C:\Windows\System32\rundll32.exe, он также обнаружился в C:\Windows\winsxs, если верно понимаю папка winsxs вроде как хранит в себе то ли копии, то ли какие-то другие компоненты обновлений Windows?

[Iska]

Цитата Arns:

если верно понимаю папка winsxs вроде как хранит в себе то ли копии, »

Она хранит оригиналы, которые посредством жёстких ссылок отображаются на «%SystemRoot%\System32» и пр.

[Nordek]

Цитата Arns:

C:\Windows\System32\rundll32.exe »

Начиная с Windows 7, в "Диспетчер задач" есть дополнительные столбцы для просмотра информации.
Один из них называется "Командная строка":
"Вид » Выбрать столбцы..."
Установить флажок напротив "Командная строка".
В "Диспетчер задач" появится дополнительный столбец "Командная строка" - где будет видно что именно выполняется процессом.
Например установка устройства:

Код:

rundll32.exe C:\Windows\System32\newdev.dll,pDiDeviceInstallNotification \\,\pipe\PNP_Device_Insall_pipe_1.{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} *(null)*

где "X" - набор состоящий из букв/цифр.

[Arns]

Цитата Nordek:

Начиная с Windows 7, в "Диспетчер задач" есть дополнительные столбцы для просмотра информации. Один из них называется "Командная строка": "Вид » Выбрать столбцы..." Установить флажок напротив "Командная строка". В "Диспетчер задач" появится дополнительный столбец "Командная строка" - где будет видно что именно выполняется процессом. »

Спасибо, сколько пользуюсь Win7, даже не догадывался что там, есть что-то подобное.

А теперь самое интересное, поймал этот неизвестный Rundll32.exe запущенный от пользователя "система", через чуть больше чем один час после запуска системы.

В Диспетчере задач в столбце Командная строка и в Process Explorer в строке Command line значится:
C:\Windows\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy правда не знаю что это и появилось откуда?

P.S.: Win7 Лицензия, после последнего сноса оси прошло больше двух лет, подобное появление Rundll32.exe замечено только в течение последних одной-двух недель.

[Nordek]

Цитата Arns:

aepdu.dll »

Смотрите в "Планировщике заданий"
"Пуск » Панель управления » Администрирование » Планировщик заданий"
Или на клавиатуре нажмите комбинацию клавиш Win+R
В появившемся окне "Выполнить", напротив "Открыть:" введите:

Код:

taskschd.msc /s

и на клавиатуре нажмите клавишу Enter.

В планировщике заданий переходите: Библиотека планировщика заданий » Microsoft » Windows » Application Experience
Далее смотрите задание "ProgramDataUpdater"
Описание задания: Сбор телеметрических данных программы при участии в программе улучшения качества ПО

Также смотрите: Проблема с приложением aepdu.dll

[Arns]

Цитата Nordek:

Смотрите в "Планировщике заданий »

Посмотрел Планировщик заданий, данное задание действительно есть, вопрос откуда оно там появилось? 2-3 недели назад запущенный Rundll32.exe отсутствовал в процессах. Может он избирательный, года два сидел не показывался и вдруг вылез пособирать телеметрические данные?

[Nordek]

Цитата Arns:

вопрос откуда оно там появилось? »

"ProgramDataUpdater" - Это инструмент Microsoft. Т.е в только что установленной системе с оригинального дистрибутива, задание "ProgramDataUpdater" уже имеется.

Цитата Arns:

года два сидел не показывался »

Возможно вы его не замечали.
Например установлена операционная система 21/01/2016 в 16:14. Быть точнее 21/01/2016 в 16:18 т.е использование начинается после создания первого профиля пользователя, то задание будет выполнено днём позже:

Код:

AitAgent             22/01/2016 2:30:00   - Время запуска запланировано: В 2:30 каждый день
ProgramDataUpdater   22/01/2016 0:30:00   - Время запуска запланировано: В 0:30 каждый день

[Arns]

Цитата Nordek:

Возможно вы его не замечали. »

Не согласен, если компьютер работает обычно около восьми часов почти каждые сутки, то не заметить непривычный для глаз exe-шник (rundll32.exe) на протяжении нескольких лет просто не возможно, т.к. с момента установки системы при включении первое, что открываю это Диспетчер задач. Одно дело, если он(rundll32.exe) бы запустился, поработал какой-то период времени(5-10 минут, а не 8 часов) и отключился, а он как запустится, так и висит в процессах пока компьютер не выключишь\перезагрузишь. При этом, если в момент его запуска по расписанию(2:30-3:00 ночи) компьютер был выключен, то он вылезит прям при запуске Windows, так что если открыть Диспетчер задач его трудно будет не заметить.

Цитата Nordek:

Например установлена операционная система 21/01/2016 в 16:14. Быть точнее 21/01/2016 в 16:18 т.е использование начинается после создания первого профиля пользователя, то задание будет выполнено днём позже »

У меня там три строки, помимо:

Цитата Nordek:

AitAgent 22/01/2016 2:30:00 - Время запуска запланировано: В 2:30 каждый день ProgramDataUpdater 22/01/2016 0:30:00 - Время запуска запланировано: В 0:30 каждый день »

есть еще
Microsoft Compatibility Appraiser - Время запуска запланировано: В 3:00 каждый день.

К слову у AitAgent автор Microsoft Corp., а вот у Microsoft Compatibility Appraiser и ProgramDataUpdater автор aepdu.dll. При этом вот эта строка:
Запуск программы %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy именно у Microsoft Compatibility Appraiser, получается что это он запускает "неотключающийся самостоятельно" rundll32.exe, который висит пока компьютер работает, а не ProgramDataUpdater. Может есть еще какие-то варианты?

UPD: Чтобы еще одну тему не создавать вот еще один RunDll32.exe(причем именно так, а не rundll32.exe как у первого), это тот самый что на 13 минуте при каждом запуске системы появляется висит 30-60 секунд и отключается сам.
Путь к нему такой: %windir%\system32\WerConCpl.dll, LaunchErcApp -queuereporting не подскажите что это за приложение или компонент или еще что-то?