Co je proces Rundll32.exe? Je to malware?

Když otevřete Správce úloh, můžete vidět položku Rundll32.exe na kartě Procesy. Nebo se také můžete setkat s a chyba rundll32.exe při každém spuštění nebo během odstávky. Mnoho uživatelů si klade otázku, zda rundll32.exe není virus. Pokud ne, co přesně dělá rundll32.exe v systému?

Co je rundll32.exe? Je to virus?

Rundll32.exe, ten umístěný v Windows\System32 složka je legitimní systémový soubor Windows. Není to virus!

Pokud však máte soubor umístěn v jakékoli složce mimo vaši Windows\System32 adresář, pak se může jednat o falešný soubor nebo dokonce o malware.

Co dělá rundll32.exe?

Rundll32.exe je systémový soubor, který spouští DLL. DLL může volitelně specifikovat funkci vstupního bodu. Ke spuštění knihovny DLL, která určuje vstupní bod, se používá rundll32.exe. Syntaxe příkazového řádku pro Rundll32 je následující:

rundll32.exe ,

Proč se ve Správci úloh zobrazuje více položek rundll32.exe?

Každá položka rundll32.exe, kterou vidíte ve Správci úloh, může mít spuštěný jiný program (DLL).

Řekněme, že otevřete aplet ovládacího panelu – např. Možnosti indexování. Když otevřete klasický ovládací panel Možnosti indexování, Windows ve skutečnosti spustí tento příkaz za kapotou:

rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll

Podobně mohou být spuštěny další aplety, které používají rundll32.exe.

Dalším příkladem může být aplet Zvuk v Ovládacích panelech. Úplný příkazový řádek pro otevření apletu Zvuk je:

rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

Pro aplet ovládacího panelu Čas a datum je použit příkazový řádek rundll32.exe:

rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Jak zjistit, který soubor běží proces Rundll32.exe?

Úplný příkazový řádek každého procesu Rundll32.exe můžete zobrazit pomocí Správce úloh. Správce úloh můžete nakonfigurovat tak, aby se zobrazoval Sloupce s názvem příkazového řádku a cesty obrázku v zobrazení Procesy a také v zobrazení Podrobnosti.

Poznámka: Správce úloh s výchozím nastavením zobrazuje pouze názvy procesů, jejich ID a další věci, ale ne úplné argumenty příkazového řádku každého procesu.

Můžete vidět položku jako níže, bez názvu souboru DLL v argumentech. Někteří uživatelé uvedli, že to souvisí s Hudba Groove ve Windows 10.

"C:\Windows\system32\rundll32.exe" -místní server 22d8c27b-47a1-48d1-ad08-7da7abd79617

Pomocí příkazového řádku

Chcete-li zobrazit seznam procesů rundll32.exe spolu s příkazovým řádkem a ID procesu, spusťte tento příkaz v okně příkazového řádku:

WMIC PROCESS WHERE Name="rundll32.exe" získat titulek, příkazový řádek, procesní číslo /formát: seznam

Chcete-li zobrazit procesy běžící pod tokenem správce, spusťte výše uvedený příkaz z Příkazový řádek admin.

Ukázkový výstup

Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll, ProcessId=11404 Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" ProcessId=10580

Seznam modulů používaných procesem RunDll32.exe

Chcete-li zobrazit seznam modulů, které používají jednotlivé instance rundll32.exe, otevřete okno příkazového řádku a spusťte tento příkaz:

tasklist /m /fi "IMAGENAME eq rundll32.exe"

Uvidíte výstup takto:

Upozornění týkající se Rundll32.exe

Měli byste být podezřívaví ohledně následujících věcí na vašem systému:

• Pokud je soubor Rundll32.exe s názvem souboru nalezen v jakémkoli jiném umístění mimo adresář Windows, může se jednat o virus.
• Kontrolou Správce úloh si uvědomte, co proces Rundll32.exe provádí. V kompromitovaných systémech s největší pravděpodobností uvidíte jeden nebo více procesů Rundll32.exe se soubory DLL škodlivého softwaru, pravděpodobně spuštěných jako spouštěcí položky.

  Stručně řečeno, poznamenejte si argumenty příkazového řádku položek Rundll32.exe ve Správci úloh – tj. DLL, kterou Rundll32.exe spouští.

PŘÍBUZNÝ:Jak opravit chyby Rundll32 nebo RunDll při spuštění?