Vad är Rundll32.exe-processen? Är det en skadlig programvara?

När du öppnar Aktivitetshanteraren kan du se Rundll32.exe-posten på fliken Processer. Eller så kan du också stöta på en rundll32.exe-fel vid varje uppstart eller under avstängning. Många användare undrar om rundll32.exe är ett virus. Om inte, vad exakt gör rundll32.exe i systemet?

Vad är rundll32.exe? Är det ett virus?

Rundll32.exe, den som finns i Windows\System32 mappen är en legitim Windows-systemfil. Det är inte ett virus!

Men om du har filen i någon mapp utanför din Windows\System32 katalog, då kan det vara en falsk fil eller till och med vara skadlig programvara.

Vad gör rundll32.exe?

Rundll32.exe är en systemfil som kör en DLL. En DLL kan valfritt ange en startpunktsfunktion. För att köra DLL-filen som anger en ingångspunkt används rundll32.exe. Kommandoradssyntaxen för Rundll32 är följande:

rundll32.exe ,

Varför visas flera rundll32.exe-poster i Aktivitetshanteraren?

Varje rundll32.exe-post som du ser i Aktivitetshanteraren kan köra ett annat program (DLL).

Låt oss säga att du öppnar en kontrollpanelapplet - t.ex. Indexeringsalternativ. När du öppnar Indexing Options klassiska kontrollpanelapplet kör Windows faktiskt det här kommandot bakom huven:

rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll

På samma sätt kan det finnas andra appletar som körs, som använder rundll32.exe.

Ett annat exempel skulle vara Sound-appleten i kontrollpanelen. Den fullständiga kommandoraden för att öppna Sound-appleten är:

rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

För tid- och datumkontrollpanelens applet, här är kommandoraden rundll32.exe som används:

rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Hur vet man vilken fil Rundll32.exe-processen körs?

Du kan se hela kommandoraden för varje Rundll32.exe-process med Task Manager. Du kan konfigurera Aktivitetshanteraren för att visa Kommandorads- och bildsökvägsnamnkolumner i processer såväl som i detaljvyn.

Notera: Aktivitetshanteraren, med dess standardinställningar, visar bara processnamnen, deras ID och andra saker, men inte de fullständiga kommandoradsargumenten för varje process.

Du kan se en post som nedan, utan ett DLL-filnamn i argumenten. Vissa användare har angett att det är relaterat till Groove musik i Windows 10.

"C:\Windows\system32\rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

Använder kommandoraden

För att se listan över rundll32.exe-processer tillsammans med kommandoraden och process-ID, kör det här kommandot i ett kommandotolksfönster:

WMIC PROCESS WHERE Name="rundll32.exe" få bildtext, kommandorad, processid /format: lista

För att se processer som körs under administratörstoken, kör kommandot ovan från admin kommandotolk.

Provutgång

Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll, ProcessId=11404 Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" ProcessId=10580

Lista över moduler som används av RunDll32.exe-processen

För att se listan över moduler som används av varje instans av rundll32.exe, öppna ett kommandotolksfönster och kör det här kommandot:

uppgiftslista /m /fi "IMAGENAME eq rundll32.exe"

Du kommer att se en utgång så här:

Varningar angående Rundll32.exe

Du bör vara misstänksam mot följande saker på ditt system:

• Om filen Rundll32.exe finns på någon annan plats utanför Windows-katalogen kan det vara ett virus.
• Var medveten om vad en Rundll32.exe-process kör genom att inspektera Aktivitetshanteraren. I komprometterade system kommer du sannolikt att se en eller flera Rundll32.exe-processer som kör falska skadliga DLL-filer, troligen lanserade som startposter.

  Kort sagt, notera kommandoradsargumenten för Rundll32.exe-poster i Aktivitetshanteraren - dvs DLL: n som körs av Rundll32.exe.

RELATERAD:Hur fixar jag Rundll32- eller RunDll-fel vid start?