Домашняя » как » Что такое rundll32.exe и почему он работает?

    Что такое rundll32.exe и почему он работает?

    Вы, несомненно, читаете эту статью, потому что заглянули в диспетчер задач и поинтересовались, что на самом деле представляют собой все эти процессы rundll32.exe и почему они выполняются ...?

    Эта статья является частью нашей продолжающейся серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за услуги? Лучше начать читать!

    объяснение

    Если вы были в Windows какое-то время, вы видели миллионы файлов * .dll (Dynamic Link Library) в каждой папке приложения, которые используются для хранения общих частей логики приложения, к которым можно обращаться из нескольких Приложения.

    Поскольку прямого запуска DLL-файла нет, приложение rundll32.exe просто используется для запуска функций, хранящихся в общих DLL-файлах. Этот исполняемый файл является допустимой частью Windows и, как правило, не должен представлять угрозу.

    Примечание: допустимый процесс обычно находится в \ Windows \ System32 \ rundll32.exe, но иногда шпионское ПО использует одно и то же имя файла и запускается из другого каталога, чтобы замаскироваться. Если вы считаете, что у вас есть проблема, вы всегда должны запускать сканирование, чтобы убедиться, но мы можем точно проверить, что происходит ... так что продолжайте читать.

    Исследования с помощью Process Explorer в Windows 10, 8, 7, Vista и т. Д.

    Вместо того, чтобы использовать диспетчер задач, мы можем использовать бесплатную утилиту Process Explorer от Microsoft, чтобы выяснить, что происходит, что дает преимущество работы в каждой версии Windows и является лучшим выбором для любой работы по устранению неполадок..

    Просто запустите Process Explorer, и вы захотите выбрать Файл \ Показать детали для всех процессов, чтобы убедиться, что вы видите все.

    Теперь, когда вы наведите курсор мыши на файл rundll32.exe в списке, вы увидите всплывающую подсказку с подробной информацией о том, что это на самом деле:

    Или вы можете щелкнуть правой кнопкой мыши, выбрать «Свойства», а затем взглянуть на вкладку «Изображение», чтобы увидеть полный путь, который запускается, и вы даже можете увидеть родительский процесс, который в данном случае является оболочкой Windows (explorer.exe). ), указывая на то, что он, вероятно, был запущен из ярлыка или элемента автозагрузки.

    Вы можете просмотреть и просмотреть сведения о файле так же, как мы делали это в разделе диспетчера задач выше. В моем случае это часть панели управления NVIDIA, и я не собираюсь ничего с этим делать.

    Как отключить процесс Rundll32 (Windows 7)

    В зависимости от процесса вы не захотите обязательно его отключать, но при желании вы можете набрать msconfig.exe в поле поиска или меню запуска, и вы сможете найти его по столбцу «Команда», который должен совпадать с полем «Командная строка», которое мы видели в Process Explorer. Просто снимите флажок, чтобы предотвратить автоматический запуск.

    Иногда у процесса фактически нет элемента запуска, и в этом случае вам, вероятно, придется провести некоторое исследование, чтобы выяснить, откуда он был запущен. Например, если вы откроете «Свойства экрана» в XP, вы увидите еще один файл rundll32.exe в списке, поскольку Windows внутренне использует rundll32 для запуска этого диалога..

    Отключение в Windows 8 или 10

    Если вы используете Windows 8 или 10, вы можете использовать раздел «Запуск» Диспетчера задач, чтобы отключить его.

    Использование Windows 7 или Vista Task Manager

    Одна из замечательных функций Windows 7 или Vista Task Manager - возможность видеть полную командную строку для любого работающего приложения. Например, вы увидите, что у меня есть два процесса rundll32.exe в моем списке здесь:

    Если вы перейдете в View \ Select Columns, вы увидите опцию «Командная строка» в списке, которую вы хотите проверить.

    Теперь вы можете увидеть полный путь к файлу в списке, который, как вы заметили, является допустимым путем для rundll32.exe в каталоге System32, а аргументом является еще одна DLL, которая фактически запускается.

    Если вы перейдете вниз, чтобы найти этот файл, который в этом примере является nvmctray.dll, вы обычно увидите, что это на самом деле, когда наведете указатель мыши на имя файла:

    В противном случае вы можете открыть «Свойства» и посмотреть «Детали», чтобы увидеть описание файла, в котором обычно указывается цель этого файла..

    Как только мы узнаем, что это такое, мы можем выяснить, хотим ли мы его отключить или нет, о чем мы расскажем ниже. Если информации вообще нет, вы должны либо Google, либо попросить кого-нибудь на полезном форуме.

    Когда ничего не помогает, вы должны опубликовать полный путь к команде на полезном форуме и получить совет от кого-то еще, кто может узнать о нем больше.