Що таке процес Rundll32.exe? Це шкідливе програмне забезпечення?

РізнеDec 20, 2021
click fraud protection

Коли ви відкриєте диспетчер завдань, ви можете побачити запис Rundll32.exe на вкладці «Процеси». Або ви також можете зіткнутися з a Помилка rundll32.exe при кожному запуску або під час вимкнення. Багато користувачів задаються питанням, чи є rundll32.exe вірусом. Якщо ні, то що саме rundll32.exe робить у системі?

запис rundll32 в диспетчері завдань

Що таке rundll32.exe? Це вірус?

Rundll32.exe, той, що знаходиться в Windows\System32 папка є законним системним файлом Windows. Це не вірус!

Але, якщо у вас є файл, розташований у будь-якій папці за межами вашої Windows\System32 каталог, то це може бути підроблений файл або навіть шкідливе програмне забезпечення.

Що робить rundll32.exe?

Rundll32.exe — це системний файл, який виконує DLL. DLL за бажанням може вказати функцію точки входу. Для виконання DLL, яка визначає точку входу, використовується rundll32.exe. Синтаксис командного рядка для Rundll32 виглядає наступним чином:

rundll32.exe ,

Чому в диспетчері завдань відображаються кілька записів rundll32.exe?

Кожен запис rundll32.exe, який ви бачите в диспетчері завдань, може виконувати іншу програму (DLL).

rundll32 кілька записів у диспетчері завдань

Скажімо, ви відкриваєте аплет панелі керування – наприклад, параметри індексування. Коли ви відкриваєте класичний аплет панелі керування «Параметри індексування», Windows насправді запускає цю команду за кришкою:

rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srcadmin.dll

Так само можуть бути запущені інші аплети, які використовують rundll32.exe.

Іншим прикладом може бути аплет «Звук» на панелі керування. Повний командний рядок для відкриття звукового аплету:

rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

Для аплету панелі керування часом і датою використовується командний рядок rundll32.exe:

rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Як дізнатися, який файл запущений процес Rundll32.exe?

Ви можете побачити повний командний рядок кожного процесу Rundll32.exe за допомогою диспетчера завдань. Ви можете налаштувати диспетчер завдань на показ Стовпці імені командного рядка та шляху до зображення у вікні «Процеси», а також у перегляді «Деталі».

диспетчер завдань показати командний рядок

Примітка: Диспетчер завдань із налаштуваннями за замовчуванням показує лише назви процесів, їхні ідентифікатори та інші речі, але не повні аргументи командного рядка кожного процесу.

Ви можете побачити запис, як показано нижче, без імені файлу DLL в аргументах. Деякі користувачі вказали, що це пов’язано з Грув Музика в Windows 10.

"C:\Windows\system32\rundll32.exe" -локальний сервер 22d8c27b-47a1-48d1-ad08-7da7abd79617

Використання командного рядка

Щоб переглянути список процесів rundll32.exe разом із командним рядком та ідентифікатором процесу, виконайте цю команду у вікні командного рядка:

WMIC PROCESS WHERE Name="rundll32.exe" отримати Caption, Commandline, Processid /format: list

Щоб переглянути процеси, запущені під маркером адміністратора, виконайте наведену вище команду з Командний рядок адміністратора.

Вихідний зразок

Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srcadmin.dll, ProcessId=11404 Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" ProcessId=10580

Список модулів, які використовує процес RunDll32.exe

Щоб переглянути список модулів, які використовуються кожним екземпляром rundll32.exe, відкрийте вікно командного рядка та запустіть цю команду:

список завдань /m /fi "IMAGENAME eq rundll32.exe"

Ви побачите такий результат:

Список завдань модулів rundll32

Застереження щодо Rundll32.exe

Ви повинні бути підозрілими щодо таких речей у вашій системі:

  • Якщо ім’я файлу Rundll32.exe знайдено в будь-якому іншому місці за межами каталогу Windows, це може бути вірус.
  • Дізнайтеся, що виконує процес Rundll32.exe, перевіривши диспетчер завдань. У зламаних системах ви, швидше за все, побачите один або кілька процесів Rundll32.exe, які запускають несанкціоновані файли DLL зловмисного програмного забезпечення, імовірно, запущені як записи запуску.

    Коротше кажучи, зверніть увагу на аргументи командного рядка записів Rundll32.exe в диспетчері завдань, тобто DLL, яка виконується Rundll32.exe.

ПОВ'ЯЗАНІ:Як виправити помилки Rundll32 або RunDll під час запуску?

Одне невелике прохання: якщо вам сподобався цей пост, поділіться ним?

Одна ваша "крихітна" публікація серйозно допомогла б у розвитку цього блогу. Кілька чудових пропозицій:
  • Закріпіть!
  • Поділіться ним у своєму улюбленому блозі + Facebook, Reddit
  • Твіттер!
Тож дуже дякую за підтримку, мій читачу. Це займе не більше 10 секунд вашого часу. Кнопки спільного доступу знаходяться прямо нижче. :)