Какво е rundll32.exe и защо се изпълнява?

Несъмнено четете тази статия, защото сте погледнали в диспечера на задачите и сте се чудили какви са всички тези процеси rundll32.exe и защо се изпълняват ... И така, какви са те?

СВЪРЗАНИ: Какво представлява този процес и защо се изпълнява на моя компютър?

Тази статия е част от текущата ни поредица, обясняваща различни процеси, намерени в диспечера на задачите, като svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe и много други. Не знаете какви са тези услуги? По-добре започнете да четете!

Обяснение

Ако сте били около Windows от известно време, сте виждали милионите * .dll (Dynamic Link Library) файлове във всяка папка на приложението, които се използват за съхраняване на общи части от логиката на приложенията, които могат да бъдат достъпни от множество приложения.

Тъй като няма начин директно да стартирате DLL файл, приложението rundll32.exe просто се използва за стартиране на функционалност, съхранявана в споделени .dll файлове. Този изпълним файл е валидна част от Windows и обикновено не трябва да представлява заплаха.

Забележка: валидният процес обикновено се намира в \ Windows \ System32 \ rundll32.exe, но понякога шпионският софтуер използва същото име на файл и се стартира от друга директория, за да се прикрие. Ако смятате, че имате проблем, винаги трябва да пуснете сканиране, за да сте сигурни, но ние можем да проверим точно какво се случва ... така че продължете да четете.

Изследване с помощта на Process Explorer на Windows 10, 8, 7, Vista и др

Вместо да използваме диспечера на задачите, можем да използваме безплатната помощна програма Process Explorer от Microsoft, за да разберем какво се случва, което има предимството да работи във всяка версия на Windows и да бъде най-добрият избор за всяка работа за отстраняване на неизправности.

Просто стартирайте Process Explorer и ще искате да изберете File \ Show Details за всички процеси, за да сте сигурни, че виждате всичко.

Сега, когато задържите курсора на мишката върху rundll32.exe в списъка, ще видите подсказка с подробности за това какво всъщност е:

Или можете да щракнете с десния бутон на мишката, да изберете Properties и след това да разгледате раздела Image, за да видите пълното име на пътя, който се стартира, и дори можете да видите процеса на родител, който в този случай е черупката на Windows (explorer.exe ), което показва, че вероятно е стартиран от пряк път или стартиращ елемент.

Можете да разглеждате и преглеждате подробности за файла точно както направихме в раздела за диспечера на задачите по-горе. В моя случай това е част от контролния панел на NVIDIA и затова няма да правя нищо по въпроса.

Как да деактивирам процеса Rundll32 (Windows 7)

В зависимост от това какъв е процесът, няма да искате да го деактивирате непременно, но ако искате, можете да въведете msconfig.exe в полето за търсене или стартиране на менюто „Старт“ и трябва да можете да го намерите от колоната Command , което трябва да е същото като полето „Команден ред“, което видяхме в Process Explorer. Просто премахнете отметката от квадратчето, за да не се стартира автоматично.

Понякога процесът всъщност няма стартиращ елемент, в който случай най-вероятно ще се наложи да направите някои изследвания, за да разберете откъде е стартиран. Например, ако отворите Display Properties в XP, ще видите друг rundll32.exe в списъка, тъй като Windows вътрешно използва rundll32, за да стартира този диалогов прозорец.

Деактивиране в Windows 8 или 10

Ако използвате Windows 8 или 10, можете да използвате раздела за стартиране на диспечера на задачите, за да го деактивирате.

Използване на Windows 7 или Vista Task Manager

Една от чудесните функции в Windows 7 или Vista Task Manager е възможността да видите пълния команден ред за всяко работещо приложение. Например, ще видите, че имам два процеса rundll32.exe в моя списък тук:

Ако отидете на Преглед \ Избор на колони, ще видите опцията за „Команден ред“ в списъка, която ще искате да проверите.

Сега можете да видите пълния път за файла в списъка, който ще забележите, че е валидният път за rundll32.exe в директорията System32, а аргументът е друга DLL, която всъщност се изпълнява.

Ако прегледате надолу, за да намерите този файл, който в този пример е nvmctray.dll, обикновено ще видите какво е всъщност, когато задържите мишката върху името на файла:

В противен случай можете да отворите свойствата и да разгледате подробностите, за да видите описанието на файла, което обикновено ще ви каже целта на този файл.

След като разберем какво е, можем да разберем дали искаме да го деактивираме или не, което ще разгледаме по-долу. Ако изобщо няма информация, трябва или да я потърсите в Google, или да попитате някой в ​​полезен форум.

Когато всичко друго се провали, трябва да публикувате пълния път на командата на полезен форум и да получите съвет от някой друг, който може да знае повече за него.