Что такое rundll32.exe и почему он запускается?

Вы, несомненно, читаете эту статью, потому что заглянули в диспетчер задач и задались вопросом, что же такое все эти процессы rundll32.exe и почему они выполняются… Так что же они?

СВЯЗАННЫЕ: Что это за процесс и почему он выполняется на моем компьютере?

Эта статья является частью нашей текущей серии, в которой объясняются различные процессы, обнаруженные в диспетчере задач, такие как svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за услуги? Лучше начни читать!

Объяснение

Если вы какое-то время знакомы с Windows, вы видели миллионы файлов * .dll (библиотека динамической компоновки) в каждой папке приложения, которые используются для хранения общих частей логики приложения, к которым можно получить доступ из нескольких Приложения.

Поскольку нет возможности напрямую запустить файл DLL, приложение rundll32.exe просто используется для запуска функций, хранящихся в общих файлах .dll. Этот исполняемый файл является действующей частью Windows и обычно не представляет угрозы.

Примечание: действующий процесс обычно находится в \ Windows \ System32 \ rundll32.exe, но иногда шпионское ПО использует то же имя файла и запускается из другого каталога, чтобы замаскироваться. Если вы думаете, что у вас возникла проблема, вы всегда должны запускать сканирование, чтобы быть уверенным, но мы можем точно проверить, что происходит… так что продолжайте читать.

Исследование с помощью Process Explorer в Windows 10, 8, 7, Vista и т. Д.

Вместо использования диспетчера задач мы можем использовать бесплатную служебную программу Process Explorer от Microsoft, чтобы выяснить, что происходит, которая имеет то преимущество, что работает во всех версиях Windows и является лучшим выбором для любой задачи по устранению неполадок.

Просто запустите Process Explorer, и вы захотите выбрать File \ Show Details for All Processes, чтобы убедиться, что вы видите все.

Теперь, когда вы наводите курсор на rundll32.exe в списке, вы увидите всплывающую подсказку с подробностями того, что это на самом деле:

Или вы можете щелкнуть правой кнопкой мыши, выбрать `` Свойства '', а затем взглянуть на вкладку `` Изображение '', чтобы увидеть полный путь, который запускается, и вы даже можете увидеть родительский процесс, которым в данном случае является оболочка Windows (explorer.exe ), указывая на то, что он, вероятно, был запущен из ярлыка или элемента автозагрузки.

Вы можете пролистать вниз и просмотреть подробную информацию о файле так же, как мы делали это в разделе диспетчера задач выше. В моем случае это часть панели управления NVIDIA, поэтому я не собираюсь ничего с этим делать.

Как отключить процесс Rundll32 (Windows 7)

В зависимости от того, что это за процесс, вам не обязательно отключать его, но если вы хотите, вы можете ввести msconfig.exe в поле поиска или запуска меню «Пуск», и вы сможете найти его в столбце «Команда». , которое должно быть таким же, как поле «Командная строка», которое мы видели в Process Explorer. Просто снимите флажок, чтобы он не запускался автоматически.

Иногда у процесса на самом деле нет элемента запуска, и в этом случае вам, вероятно, придется провести некоторое исследование, чтобы выяснить, откуда он был начат. Например, если вы откроете «Свойства экрана» в XP, вы увидите в списке еще один файл rundll32.exe, потому что Windows внутренне использует rundll32 для запуска этого диалогового окна.

Отключение в Windows 8 или 10

Если вы используете Windows 8 или 10, вы можете использовать раздел «Автозагрузка» диспетчера задач, чтобы отключить его.

Использование диспетчера задач Windows 7 или Vista

Одна из замечательных функций Диспетчера задач Windows 7 или Vista - это возможность видеть полную командную строку для любого запущенного приложения. Например, вы увидите, что в моем списке есть два процесса rundll32.exe:

Если вы перейдете в View \ Select Columns, вы увидите в списке опцию «Command Line», которую вы захотите проверить.

Теперь вы можете увидеть полный путь к файлу в списке, который, как вы заметите, является допустимым путем для rundll32.exe в каталоге System32, а аргументом является другая DLL, которая фактически запускается.

Если вы пролистаете вниз, чтобы найти этот файл, которым в этом примере является nvmctray.dll, вы обычно увидите, что это на самом деле, когда вы наведете указатель мыши на имя файла:

В противном случае вы можете открыть Свойства и взглянуть на детали, чтобы увидеть описание файла, которое обычно сообщает вам назначение этого файла.

Как только мы узнаем, что это такое, мы сможем выяснить, хотим ли мы отключить его или нет, о чем мы расскажем ниже. Если никакой информации нет, вам следует либо погуглить, либо спросить кого-нибудь на полезном форуме.

Когда ничего не помогает, вам следует опубликовать полный путь к команде на полезном форуме и получить совет от кого-нибудь, кто может знать об этом больше.