اسرار ملف rundll32.exe فى الويندوز........الحلقة الثانية

السلام عليكم ورحمة الله وبركاته

ربما سمع احدنا عن هذا الملف او تعرض لمشكلة فى الويندوز لها علاقة بهذا الملف ، انه ملف rundll32.exe الموجود فى مجلد system32 تحت مجلد windows وهوالمسئول عن تشغيل اكواد البرامج الموجودة فى ملفات المكتبات الديناميكية التي تنتهي بالامتداد DLL كما لو كانت برامج حقيقية والتى لا يمكنها ان تعمل بدون هذا الملف الصغير (حوالى 34 كيلويايت) فى بيئة ويندوز 2000 و اكس بى(هناك نسخة قديمة وهى rundll.exe خاصة بتشغيل التطبيقات 16 بت فى بيئة ويندوز 98 و ميللينيوم)

والملف يستغله العديد من الفيروسات باسمه صحيح Rundll32.exe او مع تحريف بسيط كتغيير حرفى ll الى ii ليصبح rundii32.exe (حرف L فى اللغة الانجليزية فى بعض الخطوط مشابه الى حد مع حرف I على شكل حروف صغيرة Small) كتغيير svchost.exe الى svohost.exe الفيروس اللعين.

وعند فتح مدير المهام Task Manager ((كليك يمين على شريط المهام Task bar واختيا ر Task manager او كتابة taskmgr فى قائمة Run)) لا يمكنك سوى رؤية اسم العملية Process لهذا الملف ولا تستطيع ان ترى ملفات المكتبات الديناميكية DLL'S للبرامج التى يقوم الملف بتحميلها .

ولرؤية تلك الملفات فى بيئة ويندوز اكس بى بروفيشنال هناك طريقتين واحدة عن طريق برنامج Hijackthis الغنى عن التعريف وذلك بالقيام بعمل فحص للنظام System Scan والنظر الى تقرير الفحص الذى يظهر فى الصورة تحميل الــ rundll32.exe لملفين dll هما NvCpl.dll و NvMcTray.dll مع كل مرة يقلع فيها الويندوز

اما الطريقة الاخرى يدوية عن طريق سطر الاوامر command-line (افتح run واكتب فيها cmd وانتر )

فى شاشة سطر الاوامر اكتب الامر التالى:



لاحظ ان الامر tasklist غير موجود فى نسخة Home edition

فى الشاشة التالية تظهر ملفات الــ dll التى يقوم بتحميلها ملف الــ rundll32.exe على يمين الشاشة واذا استثنينا ملفات النظام يمكنك رؤية ملفات الــ dll الضارة واذا كان عندك شك فى احداها يمكنك البحث عنها فى جوجل و اذا لاحظنا قليلا فى نتائج البحث سنجد ملف NvMcTray.dll الذى ظهر فى تقرير برنامج Hijackthis


تبقى مشكلة خطيرة وهى ان بعض الفيروسات والسباى وير Spyware تقوم باستبدال ملف الـ Rundll32.exe الاصلى باخر مزيف مما يتسبب فى ظهور رسائل خطأ عند القيام بفتح مهام معينة على سبيل المثال لوحة التحكم او ابعاد الشاشة وغيرها الكثير جدا من التطبيقات ولكن كيف يمكن معرفة ان الملف مضروب ؟ افتحه بالمفكرة Notepad واعمل بحثCtrl+F عن كلمة "Paddings" فاذا كانت موجودة فهذا معناه ان الملف فعلا مضروب ولازم يتغير طب ازاى؟

ممكن تنزل الملف من على الانترنت جاهز من هنـــــــــــــــــــــا وتستبدله بالمزيف او لو عندك اسطوانة الويندوز ضعها فى السيدى روم وروح لنافذ الاوامر

وأكتب الامر التالى :




مهم جدا :لاحظ تغيير حرف الــ D بحرف السيدى روم عندك