Что такое rundll32.exe и почему он работает?

Вы, без сомнения, читаете эту статью, потому что заглянули в диспетчер задач и задались вопросом, что же это за процессы все эти rundll32.exe и почему они работают … Так кто же они?

Эта статья является частью нашей продолжающейся серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за услуги? Лучше начать читать!

Объяснение

Если вы были в Windows какое-то время, вы видели миллионы файлов * .dll (Dynamic Link Library) в каждой папке приложения, которые используются для хранения общих частей логики приложения, к которым можно получить доступ из нескольких Приложения.

Поскольку прямого запуска DLL-файла нет, приложение rundll32.exe просто используется для запуска функций, хранящихся в общих DLL-файлах. Этот исполняемый файл является допустимой частью Windows и обычно не должен представлять угрозы.

Примечание: допустимый процесс обычно находится в \ Windows \ System32 \ rundll32.exe, но иногда шпионское ПО использует одно и то же имя файла и запускается из другого каталога, чтобы замаскироваться. Если вы считаете, что у вас есть проблема, вы всегда должны запускать сканирование, чтобы убедиться, но мы можем точно проверить, что происходит … так что продолжайте читать.

Исследования с использованием Process Explorer в Windows 10, 8, 7, Vista и т. д.

Вместо того, чтобы использовать диспетчер задач, мы можем использовать бесплатную утилиту Process Explorer от Microsoft, чтобы выяснить, что происходит, что дает преимущество работы в каждой версии Windows и является лучшим выбором для любой работы по устранению неполадок.

Просто запустите Process Explorer, и вы захотите выбрать File \ Show Details для всех процессов, чтобы убедиться, что вы видите все.

Теперь, когда вы наведите курсор мыши на файл rundll32.exe в списке, вы увидите всплывающую подсказку с подробной информацией о том, что это на самом деле:

Или вы можете щелкнуть правой кнопкой мыши, выбрать «Свойства», а затем взглянуть на вкладку «Изображение», чтобы увидеть полный путь, который запускается, и вы даже можете увидеть родительский процесс, который в данном случае является оболочкой Windows (explorer.exe). ), указывая на то, что он, вероятно, был запущен из ярлыка или элемента автозагрузки.

Вы можете просмотреть и просмотреть сведения о файле так же, как мы делали это в разделе диспетчера задач выше. В моем случае это часть панели управления NVIDIA, и я не собираюсь ничего с этим делать.

Как отключить процесс Rundll32 (Windows 7)

В зависимости от процесса, вы не захотите обязательно его отключать, но если вы хотите, вы можете ввести msconfig.exe в поле поиска меню «Пуск» или в поле «Выполнить», и вы сможете найти его по столбцу Command, который должен совпадать с полем «Command line», которое мы видели в Process Explorer. Просто снимите флажок, чтобы предотвратить автоматический запуск.

Иногда у процесса на самом деле нет элемента запуска, и в этом случае вам, вероятно, придется провести какое-то исследование, чтобы выяснить, откуда он был запущен. Например, если вы откроете «Свойства экрана» в XP, вы увидите еще один файл rundll32.exe в списке, потому что Windows внутренне использует rundll32 для запуска этого диалога.

Отключение в Windows 8 или 10

Если вы используете Windows 8 или 10, вы можете использовать раздел «Запуск» Диспетчера задач, чтобы отключить его.

Использование диспетчера задач Windows 7 или Vista

Одна из замечательных функций Windows 7 или Vista Task Manager — возможность видеть полную командную строку для любого работающего приложения. Например, вы увидите, что у меня есть два процесса rundll32.exe в моем списке здесь:

Если вы перейдете в меню «Просмотр \ Выбрать столбцы», в списке вы увидите опцию «Командная строка», которую вы хотите проверить.

Теперь вы можете увидеть полный путь к файлу в списке, который, как вы заметите, является допустимым путем для rundll32.exe в каталоге System32, а аргументом является другая DLL, которая фактически запускается.

Если вы перейдете вниз, чтобы найти этот файл, который в этом примере называется nvmctray.dll, вы обычно увидите, что это на самом деле, когда наводите указатель мыши на имя файла:

В противном случае вы можете открыть окно «Свойства» и просмотреть сведения, чтобы увидеть описание файла, в котором обычно указывается назначение этого файла.

Как только мы узнаем, что это такое, мы можем выяснить, хотим ли мы его отключить или нет, о чем мы расскажем ниже.Если вообще нет никакой информации, вам следует либо отсканировать ее в Google, либо попросить кого-нибудь на полезном форуме.

Когда ничего не помогает, вы должны опубликовать полный путь к команде на полезном форуме и получить совет от кого-то еще, кто может знать об этом больше.

Оцените статью
TutoryBird.Ru
Добавить комментарий