Kas ir Rundll32.exe process? Vai tā ir ļaunprātīga programmatūra?

Atverot uzdevumu pārvaldnieku, cilnē Procesi var tikt parādīts ieraksts Rundll32.exe. Vai arī jūs varat saskarties ar a rundll32.exe kļūda katrā startēšanas reizē vai izslēgšanas laikā. Daudzi lietotāji vēlas uzzināt, vai rundll32.exe ir vīruss. Ja nē, ko tieši sistēmā rundll32.exe dara?

rundll32 ieraksts uzdevumu pārvaldniekā

Kas ir rundll32.exe? Vai tas ir vīruss?

Rundll32.exe, kas atrodas mapē Windows\System32 mape ir likumīgs Windows sistēmas fails. Tas nav vīruss!

Bet, ja fails atrodas jebkurā mapē ārpus jūsu Windows\System32 direktorijā, tas var būt viltots fails vai pat ļaunprātīga programmatūra.

Ko dara rundll32.exe?

Rundll32.exe ir sistēmas fails, kas izpilda DLL. DLL pēc izvēles var norādīt ieejas punkta funkciju. Lai izpildītu DLL, kas norāda ieejas punktu, tiek izmantots rundll32.exe. Rundll32 komandrindas sintakse ir šāda:

rundll32.exe ,

Kāpēc uzdevumu pārvaldniekā tiek parādīti vairāki rundll32.exe ieraksti?

Katrs rundll32.exe ieraksts, ko redzat uzdevumu pārvaldniekā, iespējams, darbojas citā programmā (DLL).

rundll32 vairāki ieraksti uzdevumu pārvaldniekā

Pieņemsim, ka atverat vadības paneļa sīklietotni, piemēram, Indeksēšanas opcijas. Atverot klasisko vadības paneļa sīklietotni Indeksēšanas opcijas, sistēma Windows faktiski palaiž šo komandu aiz pārsega:

rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll

Tāpat var darboties arī citas sīklietotnes, kas izmanto rundll32.exe.

Vēl viens piemērs varētu būt skaņas sīklietotne vadības panelī. Pilna komandrinda skaņas sīklietotnes atvēršanai ir:

rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

Laika un datuma vadības paneļa sīklietotnei šeit ir izmantota komandrinda rundll32.exe:

rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Kā uzzināt, kurš fails darbojas Rundll32.exe process?

Izmantojot uzdevumu pārvaldnieku, varat skatīt katra Rundll32.exe procesa pilnu komandrindu. Varat konfigurēt uzdevumu pārvaldnieku, lai tas tiktu rādīts Komandrindas un attēla ceļa nosaukumu kolonnas Procesi, kā arī Detaļas skatā.

uzdevumu pārvaldnieks parāda komandrindu

Piezīme: Uzdevumu pārvaldnieks ar noklusējuma iestatījumiem parāda tikai procesu nosaukumus, to ID un citus datus, bet ne visus katra procesa komandrindas argumentus.

Jūs varat redzēt ierakstu, piemēram, zemāk, bez DLL faila nosaukuma argumentos. Daži lietotāji ir norādījuši, ka tas ir saistīts ar Groove mūzika operētājsistēmā Windows 10.

"C:\Windows\system32\rundll32.exe" -vietējais serveris 22d8c27b-47a1-48d1-ad08-7da7abd79617

Izmantojot komandrindu

Lai skatītu rundll32.exe procesu sarakstu kopā ar komandrindu un procesa ID, palaidiet šo komandu komandu uzvednes logā:

WMIC PROCESS WHERE Name = "rundll32.exe" iegūst parakstu, komandrindu, procesu / formāts: saraksts

Lai skatītu procesus, kas darbojas ar administratora pilnvaru, palaidiet iepriekš minēto komandu no admin komandu uzvedne.

Izvades paraugs

Paraksts=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll, ProcessId=11404 Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" ProcessId=10580

Procesā RunDll32.exe izmantoto moduļu saraksts

Lai skatītu to moduļu sarakstu, kurus izmanto katrs gadījums rundll32.exe, atveriet komandu uzvednes logu un palaidiet šo komandu:

uzdevumu saraksts /m /fi "IMAGENAME eq rundll32.exe"

Jūs redzēsit šādu izvadi:

rundll32 moduļu saraksta uzdevumu saraksts

Brīdinājumi saistībā ar Rundll32.exe

Jums vajadzētu būt aizdomīgam par šādām lietām savā sistēmā:

  • Ja faila Rundll32.exe faila nosaukums tiek atrasts jebkurā citā vietā ārpus Windows direktorija, tas varētu būt vīruss.
  • Ņemiet vērā, ko izpilda Rundll32.exe process, pārbaudot uzdevumu pārvaldnieku. Kompromitētās sistēmās jūs, visticamāk, redzēsit vienu vai vairākus Rundll32.exe procesus, kuros darbojas ļaunprātīgas programmatūras DLL faili, kas, iespējams, tiks palaisti kā startēšanas ieraksti.

    Īsāk sakot, pierakstiet uzdevumu pārvaldniekā Rundll32.exe ierakstu komandrindas argumentus, t.i., DLL, ko izpilda Rundll32.exe.

SAISTĪTI:Kā palaišanas laikā labot Rundll32 vai RunDll kļūdas?


Viens neliels lūgums: ja jums patika šis ieraksts, lūdzu, kopīgojiet to?

Viena "niecīga" daļa no jums nopietni palīdzētu šī emuāra izaugsmei. Daži lieliski ieteikumi:
  • Piespraud to!
  • Kopīgojiet to savā iecienītākajā emuārā + Facebook, Reddit
  • Tvīto to!
Tāpēc liels paldies par atbalstu, mans lasītāj. Tas neaizņems vairāk par 10 sekundēm jūsu laika. Kopīgošanas pogas atrodas tieši zemāk. :)