Вы, несомненно, читаете эту статью, потому что заглянули в диспетчер задач и поинтересовались, что на самом деле представляют собой все эти процессы rundll32.exe и почему они выполняются … Так кто же они?
СВЯЗАННЫЕ: Что это за процесс и почему он работает на моем ПК?
Эта статья является частью нашей продолжающейся серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как svchost.exe , dwm.exe , ctfmon.exe , mDNSResponder.exe , conhost.exe , Adobe_Updater.exe и многие другие . Не знаете, что это за услуги? Лучше начать читать!
объяснение
Если вы были в Windows какое-то время, вы видели миллионы файлов * .dll (Dynamic Link Library) в каждой папке приложения, которые используются для хранения общих частей логики приложения, к которым можно обращаться из нескольких Приложения.
Поскольку прямого запуска DLL-файла нет, приложение rundll32.exe просто используется для запуска функций, хранящихся в общих DLL-файлах. Этот исполняемый файл является допустимой частью Windows и обычно не должен представлять угрозы.
Примечание: допустимый процесс обычно находится в \ Windows \ System32 \ rundll32.exe, но иногда шпионское ПО использует одно и то же имя файла и запускается из другого каталога, чтобы замаскироваться. Если вы считаете, что у вас есть проблема, вы всегда должны запускать сканирование, чтобы убедиться, но мы можем точно проверить, что происходит … так что продолжайте читать.
Исследования с помощью Process Explorer в Windows 10, 8, 7, Vista и т. Д.
Вместо того, чтобы использовать диспетчер задач, мы можем использовать бесплатную утилиту Process Explorer от Microsoft, чтобы выяснить, что происходит, что дает преимущество работы в каждой версии Windows и является лучшим выбором для любой работы по устранению неполадок.
Просто запустите Process Explorer, и вы захотите выбрать File \ Show Details для всех процессов, чтобы убедиться, что вы видите все.
Теперь, когда вы наведите курсор мыши на файл rundll32.exe в списке, вы увидите всплывающую подсказку с подробной информацией о том, что это на самом деле:
Или вы можете щелкнуть правой кнопкой мыши, выбрать «Свойства», а затем взглянуть на вкладку «Изображение», чтобы увидеть полный путь, который запускается, и вы даже можете увидеть родительский процесс, который в данном случае является оболочкой Windows (explorer.exe). ), указывая на то, что он, вероятно, был запущен из ярлыка или элемента автозагрузки
Вы можете просмотреть и просмотреть сведения о файле так же, как мы делали это в разделе диспетчера задач выше. В моем случае это часть панели управления NVIDIA, и я не собираюсь ничего с этим делать.
Как отключить процесс Rundll32 (Windows 7)
В зависимости от процесса, вы не захотите обязательно его отключать, но при желании вы можете набрать msconfig.exe в поиске или окне запуска меню «Пуск» и найти его по столбцу «Команда». , которое должно совпадать с полем «Командная строка», которое мы видели в Process Explorer. Просто снимите флажок, чтобы предотвратить автоматический запуск.
Иногда у процесса фактически нет элемента запуска, и в этом случае вам, вероятно, придется провести некоторое исследование, чтобы выяснить, откуда он был запущен. Например, если вы откроете «Свойства экрана» в XP, вы увидите еще один файл rundll32.exe в списке, потому что Windows внутренне использует rundll32 для запуска этого диалога.
Отключение в Windows 8 или 10
Если вы используете Windows 8 или 10, вы можете использовать раздел «Запуск» Диспетчера задач, чтобы отключить его.
Использование диспетчера задач Windows 7 или Vista
Одна из замечательных функций Windows 7 или Vista Task Manager — возможность видеть полную командную строку для любого работающего приложения. Например, вы увидите, что у меня есть два процесса rundll32.exe в моем списке здесь:
Если вы перейдете в View \ Select Columns, вы увидите опцию «Командная строка» в списке, которую вы хотите проверить.
Теперь вы можете увидеть полный путь к файлу в списке, который, как вы заметите, является допустимым путем для rundll32.exe в каталоге System32, а аргументом является другая DLL, которая фактически запускается.
Если вы перейдете вниз, чтобы найти этот файл, который в этом примере является nvmctray.dll, вы обычно увидите, что это на самом деле, когда наводите указатель мыши на имя файла:
В противном случае вы можете открыть окно «Свойства» и просмотреть сведения, чтобы увидеть описание файла, в котором обычно указывается назначение этого файла.
Как только мы узнаем, что это такое, мы можем выяснить, хотим ли мы его отключить или нет, о чем мы расскажем ниже. Если никакой информации вообще нет, вам следует либо Google, либо попросить кого-нибудь на полезном форуме .
Когда ничего не помогает, вы должны опубликовать полный путь к команде на полезном форуме и получить совет от кого-то другого, кто может узнать о нем больше.