Какво представлява процесът Rundll32.exe? Зловреден софтуер ли е?

Когато отворите диспечера на задачите, може да видите запис Rundll32.exe в раздела Процеси. Или може да срещнете и a rundll32.exe грешка при всяко стартиране или по време на изключване. Много потребители се чудят дали rundll32.exe е вирус. Ако не, какво точно прави rundll32.exe в системата?

Какво е rundll32.exe? Вирус ли е?

Rundll32.exe, този, който се намира в Windows\System32 папката е легитимен системен файл на Windows. Не е вирус!

Но ако имате файла, намиращ се във всяка папка извън вашата Windows\System32 директория, тогава може да е фалшив файл или дори да е злонамерен софтуер.

Какво прави rundll32.exe?

Rundll32.exe е системен файл, който изпълнява DLL. DLL може по избор да посочи функция за входна точка. За да се изпълни DLL, който посочва входна точка, се използва rundll32.exe. Синтаксисът на командния ред за Rundll32 е както следва:

rundll32.exe ,

Защо няколко записа rundll32.exe се показват в диспечера на задачите?

Всеки запис rundll32.exe, който виждате в диспечера на задачите, може да изпълнява различна програма (DLL).

Да приемем, че отваряте аплет на контролния панел – например Опции за индексиране. Когато отворите класическия аплет на контролния панел Опции за индексиране, Windows всъщност изпълнява тази команда зад капака:

rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srcadmin.dll

По същия начин може да има и други работещи аплети, които използват rundll32.exe.

Друг пример би бил аплетът Sound в контролния панел. Пълният команден ред за отваряне на звуков аплет е:

rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

За аплета на контролния панел за време и дата, ето използвания команден ред rundll32.exe:

rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Как да разбера кой файл работи процесът Rundll32.exe?

Можете да видите пълния команден ред на всеки процес Rundll32.exe с помощта на диспечера на задачите. Можете да конфигурирате диспечера на задачите да се показва Колоните за име на командния ред и пътя към изображението в процесите, както и в изгледа Детайли.

Забележка: Мениджърът на задачите, със своите настройки по подразбиране, показва само имената на процесите, техния идентификатор и други неща, но не и пълните аргументи на командния ред на всеки процес.

Може да видите запис като по-долу, без име на DLL файл в аргументите. Някои потребители посочиха, че е свързано с Граув музика в Windows 10.

"C:\Windows\system32\rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

Използване на командния ред

За да видите списъка с процеси rundll32.exe заедно с командния ред и ID на процеса, изпълнете тази команда в прозорец на командния ред:

WMIC PROCESS КЪДЕ Name="rundll32.exe" получава надпис, команден ред, Processid /format: list

За да видите процеси, изпълнявани под администраторски маркер, изпълнете горната команда от администраторски команден ред.

Примерен изход

Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srcadmin.dll, ProcessId=11404 Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" ProcessId=10580

Списък на модулите, използвани от процеса RunDll32.exe

За да видите списъка с модули, които се използват от всеки екземпляр на rundll32.exe, отворете прозорец на командния ред и изпълнете тази команда:

списък със задачи /m /fi "IMAGENAME eq rundll32.exe"

Ще видите изход като този:

Предупреждения относно Rundll32.exe

Трябва да сте подозрителни относно следните неща във вашата система:

• Ако файлът Rundll32.exe името на файла е намерен на друго място извън директорията на Windows, това може да е вирус.
• Бъдете наясно какво изпълнява процесът Rundll32.exe, като проверите диспечера на задачите. В компрометирани системи най-вероятно ще видите един или няколко процеса Rundll32.exe, изпълняващи измамни DLL файлове за злонамерен софтуер, вероятно стартирани като стартиращи записи.

  Накратко, отбележете аргументите на командния ред на записите Rundll32.exe в диспечера на задачите - т.е. DLL, който се изпълнява от Rundll32.exe.

СВЪРЗАНИ:Как да коригирам Rundll32 или RunDll грешки при стартиране?