View裡面有個Show Process Tree
可以顯示出樹狀結構
讓你知道他是被哪個程式呼叫的
先查一下上游是哪一隻吧

另外把游標放在上面也可以顯示出Command Line 可以顯示出執行該程式時的完整命令行
Rundll32是用來呼叫DLL函示庫的 知道完整命令行就能知道他呼叫了哪一隻DLL 也能知道該DLL位置在哪

就是因為沒有顯示tree，才傷腦筋。他不是跟 line 同一 tree


然後也無法知道誰呼叫
游標移過去就是顯示 Error opening process

這跡象 惡意程式的機率很高 建議用PE開機對開機碟整個搜尋rundll32.exe
把位置不對的砍了
我記得以前有病毒會偽裝成rundll32
正常的會在:
C:\Windows\System32
C:\Windows\SysWOW64
裡
C:\Windows\winsxs\下的子目錄裡也會有
但是備份檔

除了這幾個位置以外的全砍了別放過

而且這隻程式很小 不到45K
1MB多肯定有問題

9/30 微軟更新了語言套件 ，中文(繁體)當地體驗套件
我懷疑是這個？

process 點進去看，找到 threads ，Start Address 顯示 !RtlUserThreadStart
用key word : rtluserthreadstart rundll32.exe 找。出來這結果

https://answers.microsoft.com/zh-ha...7d-a29caa13ce10

再看 Properties 中的 Image
中間User欄位顯示一個訊息
User: <access denied>

看來是有機會? 再找一下確認好了，萬一是病毒木馬之類，我還給他權限就更糟了

也是，我先來找找

https://www.facebook.com/groups/201...25529427564099/
感覺是同樣症狀
NV驅動搞鬼?
是用NV的顯卡嗎?

嫌疑越來越大

幾乎一樣耶，但我曾想過回朔驅動，但現在都 auto 了，怎麼強制裝某特定版本驅動?

那幾個位置都是正常的

不用回朔 反安裝掉NV驅動以後看有沒有恢復正常
沒有再去NV官網抓離線安裝檔案完整跑一次正常安裝
重開以後看有沒有正常
照上面那篇的狀況看起來是NV的驅動安裝過程中有呼叫Rundll32
但安裝沒有正常完成
導致一直重複呼叫Rundll32
呼叫了又不結束 就卡在那