Co to jest proces Rundll32.exe? Czy to złośliwe oprogramowanie?

RóżneDec 20, 2021

Po otwarciu Menedżera zadań możesz zobaczyć wpis Rundll32.exe na karcie Procesy. Możesz też spotkać się z Błąd rundll32.exe przy każdym uruchomieniu lub podczas wyłączania. Wielu użytkowników zastanawia się, czy rundll32.exe jest wirusem. Jeśli nie, co dokładnie robi rundll32.exe w systemie?

wpis rundll32 w menedżerze zadań

Co to jest rundll32.exe? Czy to wirus?

Rundll32.exe, ten znajdujący się w Windows\System32 folder jest prawidłowym plikiem systemowym Windows. To nie wirus!

Ale jeśli masz plik znajdujący się w dowolnym folderze poza twoim Windows\System32 katalogu, to może to być fałszywy plik, a nawet złośliwe oprogramowanie.

Co robi rundll32.exe?

Rundll32.exe to plik systemowy, który wykonuje bibliotekę DLL. Biblioteka DLL może opcjonalnie określić funkcję punktu wejścia. Aby wykonać bibliotekę DLL, która określa punkt wejścia, używany jest rundll32.exe. Składnia wiersza poleceń dla Rundll32 jest następująca:

rundll32.exe ,

Dlaczego w Menedżerze zadań pojawia się wiele wpisów rundll32.exe?

Każdy wpis rundll32.exe, który widzisz w Menedżerze zadań, może uruchamiać inny program (DLL).

rundll32 wiele wpisów w menedżerze zadań

Załóżmy, że otwierasz aplet Panelu sterowania – np. Opcje indeksowania. Po otwarciu klasycznego apletu Panelu sterowania Opcje indeksowania system Windows faktycznie uruchamia to polecenie za maską:

rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll

Podobnie mogą być uruchomione inne aplety, które używają rundll32.exe.

Innym przykładem może być aplet Dźwięk w Panelu sterowania. Pełna linia poleceń do otwarcia apletu Dźwięk to:

rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

W przypadku apletu Panelu sterowania godzina i data użyto wiersza polecenia rundll32.exe:

rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Jak sprawdzić, który plik jest uruchomiony w procesie Rundll32.exe?

Możesz zobaczyć pełny wiersz polecenia każdego procesu Rundll32.exe za pomocą Menedżera zadań. Możesz skonfigurować Menedżera zadań, aby wyświetlał Kolumny wiersza poleceń i nazwy ścieżki obrazu w Procesach oraz w widoku Szczegóły.

menedżer zadań pokaż wiersz poleceń

Notatka: Menedżer zadań, z ustawieniami domyślnymi, pokazuje tylko nazwy procesów, ich identyfikatory i inne rzeczy, ale nie pokazuje pełnych argumentów wiersza poleceń każdego procesu.

Możesz zobaczyć wpis taki jak poniżej, bez nazwy pliku DLL w argumentach. Niektórzy użytkownicy wskazali, że jest to związane z Muzyka Groove w systemie Windows 10.

"C:\Windows\system32\rundll32.exe" -serwer lokalny 22d8c27b-47a1-48d1-ad08-7da7abd79617

Korzystanie z wiersza poleceń

Aby wyświetlić listę procesów rundll32.exe wraz z wierszem polecenia i identyfikatorem procesu, uruchom to polecenie w oknie wiersza polecenia:

WMIC PROCESS WHERE Name="rundll32.exe" pobierz podpis, wiersz poleceń, identyfikator procesu /format: lista

Aby wyświetlić procesy działające pod tokenem administratora, uruchom powyższe polecenie z Wiersz polecenia administratora.

Przykładowe wyjście

Podpis=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll, ProcessId=11404 Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" Identyfikator procesu=10580

Lista modułów używanych przez proces RunDll32.exe

Aby wyświetlić listę modułów używanych przez każdą instancję rundll32.exe, otwórz okno wiersza polecenia i uruchom to polecenie:

lista zadań /m /fi "NAZWA OBRAZU eq rundll32.exe"

Zobaczysz wynik taki:

lista modułów rundll32 lista zadań

Zastrzeżenia dotyczące Rundll32.exe

Powinieneś być podejrzliwy w stosunku do następujących rzeczy w swoim systemie:

  • Jeśli plik Rundll32.exe nazwa pliku znajduje się w innej lokalizacji poza katalogiem Windows, może to być wirus.
  • Bądź świadomy tego, co jest wykonywane przez proces Rundll32.exe, sprawdzając Menedżera zadań. W zhakowanych systemach najprawdopodobniej zobaczysz jeden lub wiele procesów Rundll32.exe z fałszywymi plikami DLL złośliwego oprogramowania, prawdopodobnie uruchomionymi jako wpisy startowe.

    Krótko mówiąc, zanotuj argumenty wiersza polecenia wpisów Rundll32.exe w Menedżerze zadań — tj. DLL, który jest wykonywany przez Rundll32.exe.

ZWIĄZANE Z:Jak naprawić błędy Rundll32 lub RunDll podczas uruchamiania?

Jedna mała prośba: Jeśli podobał Ci się ten post, udostępnij go?

Jeden „mały” udział od ciebie bardzo pomógłby w rozwoju tego bloga. Kilka świetnych sugestii:
  • Przypiąć!
  • Udostępnij to na swoim ulubionym blogu + Facebooku, Reddit
  • Tweetuj to!
Więc bardzo dziękuję za wsparcie, mój czytelniku. To nie zajmie więcej niż 10 sekund twojego czasu. Przyciski udostępniania znajdują się tuż poniżej. :)