Mis on Rundll32.exe protsess? Kas see on pahavara?

Kui avate tegumihalduri, võite vahekaardil Protsessid näha kirje Rundll32.exe. Või võite kohata ka a viga rundll32.exe igal käivitamisel või seiskamise ajal. Paljud kasutajad mõtlevad, kas rundll32.exe on viirus. Kui ei, siis mida rundll32.exe süsteemis täpselt teeb?

Mis on rundll32.exe? Kas see on viirus?

Rundll32.exe, mis asub failis Windows\System32 kaust on seaduslik Windowsi süsteemifail. See ei ole viirus!

Kuid kui teil on fail mis tahes kaustas väljaspool teie Windows\System32 kataloogi, siis võib see olla võltsfail või isegi pahavara.

Mida rundll32.exe teeb?

Rundll32.exe on süsteemifail, mis käivitab DLL-i. DLL võib valikuliselt määrata sisenemispunkti funktsiooni. Sisendpunkti määrava DLL-i käivitamiseks kasutatakse faili rundll32.exe. Rundll32 käsurea süntaks on järgmine:

rundll32.exe ,

Miks kuvatakse tegumihalduris mitu rundll32.exe kirjet?

Iga rundll32.exe kirje, mida näete tegumihalduris, võib käitada erinevat programmi (DLL).

Oletame, et avate juhtpaneeli apleti – nt indekseerimissuvandid. Kui avate Indekseerimissuvandite klassikalise juhtpaneeli apleti, käivitab Windows tegelikult kapoti taga selle käsu:

rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll

Samuti võivad töös olla ka muud apletid, mis kasutavad faili rundll32.exe.

Teine näide oleks juhtpaneeli heliaplett. Täielik käsurida Sound apleti avamiseks on:

rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

Kellaaja ja kuupäeva juhtpaneeli apleti jaoks on siin kasutatav käsurida rundll32.exe:

rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Kuidas teada saada, millist faili Rundll32.exe protsess töötab?

Tegumihalduri abil näete iga Rundll32.exe protsessi täielikku käsurida. Saate seadistada tegumihalduri kuvama Käsurea ja pilditee nime veerud nii protsesside kui ka üksikasjade vaates.

Märge: Vaikimisi seadistustega tegumihaldur näitab ainult protsesside nimesid, nende ID-d ja muud kraami, kuid mitte iga protsessi täielikke käsurea argumente.

Võite näha allolevat kirjet ilma DLL-faili nimeta argumentides. Mõned kasutajad on märkinud, et see on seotud Groove muusika operatsioonisüsteemis Windows 10.

"C:\Windows\system32\rundll32.exe" -kohalik server 22d8c27b-47a1-48d1-ad08-7da7abd79617

Kasutades käsurida

Rundll32.exe protsesside loendi koos käsurea ja protsessi ID vaatamiseks käivitage see käsk käsuviiba aknas:

WMIC-PROTSESS, KUS Name="rundll32.exe" hankib pealdis, käsurea, protsessi /formaat: loend

Administraatori loa all töötavate protsesside vaatamiseks käivitage ülaltoodud käsk aadressilt admin käsuviip.

Näidisväljund

Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll, ProcessId=11404 Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" ProcessId=10580

RunDll32.exe protsessis kasutatavate moodulite loend

Et vaadata moodulite loendit, mida iga eksemplar kasutab rundll32.exe, avage käsuviiba aken ja käivitage see käsk:

ülesannete loend /m /fi "IMAGENAME eq rundll32.exe"

Näete sellist väljundit:

Hoiatused seoses Rundll32.exe

Te peaksite oma süsteemis kahtlustama järgmisi asju:

• Kui faili Rundll32.exe failinimi leitakse mõnest muust asukohast väljaspool Windowsi kataloogi, võib see olla viirus.
• Olge tegumihalduri kontrollimisega teadlik sellest, mida Rundll32.exe protsess käivitab. Ohustatud süsteemides näete tõenäoliselt ühte või mitut Rundll32.exe protsessi, mis käitavad pahavara DLL-faile, mis on tõenäoliselt käivitatud kui käivituskanded.

  Lühidalt, märkige üles tegumihalduri Rundll32.exe kirjete käsurea argumendid, st DLL, mida Rundll32.exe käivitab.

SEOTUD:Kuidas parandada Rundll32 või RunDll vigu käivitamisel?