Що таке rundll32.exe і чому він працює?

Ви, без сумніву, читаєте цю статтю, тому що ви дивилися в диспетчері завдань і дивувалися, що на світі всі ці rundll32.exe процеси, і чому вони працюють ... Так що ж вони?

Ця стаття є частиною нашої нинішньої серії, в якій пояснюються різні процеси, знайдені в диспетчері завдань, такі як svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe та багато інших. Не знаєте, що це за послуги? Краще почати читати!

Пояснення

Якщо ви перебували навколо Windows протягом будь-якої кількості часу, ви бачили тисячі файлів * .dll (Dynamic Link Library) у кожній папці програми, які використовуються для зберігання загальних частин логіки програми, до яких можна отримати доступ з кількох програми.

Оскільки не існує способу безпосереднього запуску файлу DLL, програма rundll32.exe просто використовується для запуску функціональних можливостей, що зберігаються в спільних файлах .dll. Цей виконуваний файл є дійсною частиною Windows і зазвичай не повинен бути загрозою.

Примітка: дійсний процес зазвичай розташований на Windows System32 rundll32.exe, але іноді шпигунські програми використовують одне і те ж ім'я файлу і запускаються з іншого каталогу, щоб замаскувати себе. Якщо ви вважаєте, що у вас виникла проблема, слід завжди виконувати сканування, щоб бути впевненим, але ми можемо точно перевірити, що відбувається ....

Дослідження з використанням Process Explorer на Windows 10, 8, 7, Vista і т.д.

Замість того, щоб використовувати диспетчер завдань, ми можемо використовувати безкоштовну утиліту Process Explorer від Microsoft, щоб зрозуміти, що відбувається, що має переваги від роботи в кожній версії Windows і є найкращим вибором для будь-яких завдань з усунення несправностей..

Просто запустіть Process Explorer, і ви хочете вибрати "Файл" Показати деталі для всіх процесів, щоб переконатися, що ви бачите все.

Тепер, коли ви пересуваєте курсор на rundll32.exe у списку, ви побачите підказку з детальною інформацією про те, що вона насправді:

Або клацніть правою кнопкою миші, виберіть Властивості, а потім перегляньте вкладку Зображення, щоб побачити повний шлях, який запускається, і ви можете бачити навіть батьківський процес, який у цьому випадку є оболонкою Windows (explorer.exe). ), що вказує на те, що воно ймовірно було запущено з ярлика або елемента запуску.

Ви можете переглядати і переглядати деталі файлу так само, як ми зробили в розділі менеджера завдань вище. У моєму прикладі, це частина панелі керування NVIDIA, і тому я не збираюся нічого робити.

Як вимкнути процес Rundll32 (Windows 7)

Залежно від того, який процес, ви не захочете обов'язково відключити його, але якщо ви хочете, ви можете ввести msconfig.exe у вікні пошуку стартового меню або у вікні запуску, і ви зможете знайти його за допомогою стовпця Command, який повинен бути таким же, як поле "Command line", яке ми бачили в Process Explorer. Просто зніміть прапорець, щоб запобігти автоматичному запуску.

Іноді цей процес фактично не має елемента запуску, і в цьому випадку вам, мабуть, доведеться провести дослідження, щоб визначити, звідки його було запущено. Наприклад, якщо ви відкриваєте Display Properties у XP, ви побачите інший rundll32.exe у списку, оскільки Windows внутрішньо використовує rundll32 для запуску цього діалогового вікна..

Вимкнення в Windows 8 або 10

Якщо ви використовуєте Windows 8 або 10, ви можете скористатися розділом запуску диспетчера завдань, щоб вимкнути його.

Використання Windows 7 або Vista Task Manager

Однією з великих можливостей в Windows 7 або Vista Task Manager є можливість перегляду повної командного рядка для будь-якої запущеної програми. Наприклад, ви побачите, що у мене в списку два процеси rundll32.exe:

Якщо ви перейдете до пункту Перегляд Виберіть стовпці, у списку з'явиться опція "Командний рядок", яку потрібно перевірити..

Тепер ви можете побачити повний шлях до файлу в списку, який ви помітите, є дійсним шляхом для rundll32.exe в каталозі System32, а аргумент - це інша бібліотека DLL, що насправді те, що виконується.

Якщо ви переглядаєте цей файл, який у цьому прикладі є nvmctray.dll, ви, звичайно, побачите, що це насправді, коли ви наводите курсор миші на назву файлу:

В іншому випадку, ви можете відкрити вікно властивостей та переглянути деталі, щоб побачити опис файлу, який зазвичай повідомляє вам про мету цього файлу..

Як тільки ми дізнаємося, що це таке, ми можемо зрозуміти, чи хочемо ми його відключити чи ні, про що ми розповімо нижче. Якщо взагалі немає жодної інформації, ви повинні або Google, або попросити когось на корисному форумі.

Коли все інше не вдасться, ви повинні опублікувати повний шлях до команди на корисному форумі та отримати поради від когось іншого, що може знати більше про це.