If-Koubou

Co to jest rundll32.exe i dlaczego to działa?

Co to jest rundll32.exe i dlaczego to działa? (Jak)

Bez wątpienia czytasz ten artykuł, ponieważ zajrzałeś do menedżera zadań i zastanawiałeś się, na czym polegają wszystkie te procesy rundll32.exe i dlaczego działają ... Więc czym one są?

Ten artykuł jest częścią naszych bieżących serii wyjaśniających różne procesy znalezione w Menedżerze zadań, takie jak svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe i wiele innych. Nie wiesz, jakie są te usługi? Lepiej zacznij czytać!

Wyjaśnienie

Jeśli przebywałeś w systemie Windows przez jakiś czas, widziałeś miliony plików * .dll (Dynamic Link Library) w każdym folderze aplikacji, które są używane do przechowywania wspólnych elementów logiki aplikacji, do których można uzyskać dostęp z wielu Aplikacje.

Ponieważ nie ma możliwości bezpośredniego uruchomienia pliku DLL, aplikacja rundll32.exe jest po prostu używana do uruchamiania funkcjonalności przechowywanej w udostępnionych plikach .dll. Ten plik wykonywalny jest ważną częścią systemu Windows i zwykle nie powinien stanowić zagrożenia.

Uwaga: prawidłowy proces zazwyczaj znajduje się w katalogu \ Windows \ System32 \ rundll32.exe, ale czasami oprogramowanie szpiegujące używa tej samej nazwy pliku i uruchamia się z innego katalogu w celu ukrycia się. Jeśli uważasz, że masz jakiś problem, zawsze powinieneś uruchomić skan, aby się upewnić, ale możemy dokładnie sprawdzić, co się dzieje ... więc czytaj dalej.

Badanie za pomocą Process Explorer na Windows 10, 8, 7, Vista, itp

Zamiast korzystać z Menedżera zadań, możemy skorzystać z bezpłatnego narzędzia Process Explorer firmy Microsoft, aby dowiedzieć się, co się dzieje, co ma tę zaletę, że działa w każdej wersji systemu Windows i jest najlepszym wyborem dla każdej pracy związanej z rozwiązywaniem problemów.

Po prostu uruchom Eksplorator procesów, a następnie wybierz Plik \ Pokaż szczegóły dla wszystkich procesów, aby upewnić się, że wszystko widzisz.

Teraz, gdy umieścisz kursor nad plikiem rundll32.exe na liście, zobaczysz etykietkę ze szczegółowymi informacjami na temat tego, co to jest:

Możesz też kliknąć prawym przyciskiem myszy, wybrać Właściwości, a następnie przyjrzeć się karcie Obraz, aby wyświetlić pełną nazwę ścieżki, która jest uruchamiana, a nawet zobaczyć proces nadrzędny, który w tym przypadku jest powłoką systemu Windows (explorer.exe ), co oznacza, że ​​najprawdopodobniej zostało uruchomione ze skrótu lub elementu startowego.

Możesz przeglądać i przeglądać szczegóły pliku, tak jak zrobiliśmy to w powyższej sekcji menedżera zadań. W moim przykładzie jest to część panelu kontrolnego NVIDIA, więc nie zamierzam nic z tym zrobić.

Jak wyłączyć proces Rundll32 (Windows 7)

W zależności od tego, jaki proces jest, nie będziesz chciał go koniecznie wyłączyć, ale jeśli chcesz, możesz go wpisać msconfig.exe do pola wyszukiwania lub uruchamiania menu Start, a powinieneś być w stanie je znaleźć w kolumnie Polecenie, która powinna być taka sama jak pole "Wiersz polecenia", które widzieliśmy w Process Explorer. Po prostu usuń zaznaczenie tego pola, aby zapobiec automatycznemu uruchomieniu.

Czasami proces nie ma faktycznie elementu startowego, w takim przypadku prawdopodobnie będziesz musiał przeprowadzić pewne badania, aby dowiedzieć się, skąd się to wzięło. Na przykład, jeśli otworzysz Właściwości wyświetlania w XP, na liście pojawi się inny plik rundll32.exe, ponieważ system Windows wewnętrznie używa programu rundll32 do uruchomienia tego okna dialogowego.

Wyłączanie w Windows 8 lub 10

Jeśli używasz systemu Windows 8 lub 10, możesz użyć sekcji Uruchamianie Menedżera zadań, aby go wyłączyć.

Korzystanie z Windows 7 lub Vista Task Manager

Jedną z doskonałych funkcji w Windows 7 lub Vista Task Manager jest możliwość wyświetlenia pełnej linii poleceń dla każdej uruchomionej aplikacji. Na przykład zobaczysz, że mam dwa procesy rundll32.exe na mojej liście tutaj:

Jeśli przejdziesz do Widok \ Wybierz kolumny, zobaczysz opcję "Wiersz polecenia" na liście, którą chcesz sprawdzić.

Teraz możesz zobaczyć pełną ścieżkę do pliku na liście, którą zauważysz, jest poprawną ścieżką dla rundll32.exe w katalogu System32, a argumentem jest inna biblioteka DLL, która faktycznie jest uruchomiona.

Jeśli przeglądasz w dół, aby zlokalizować ten plik, który w tym przykładzie to nvmctray.dll, zazwyczaj zobaczysz, co to jest, gdy najedziesz myszą na nazwę pliku:

W przeciwnym razie możesz otworzyć Właściwości i spojrzeć na Szczegóły, aby zobaczyć opis pliku, który zwykle wskaże cel tego pliku.

Gdy już wiemy, co to jest, możemy dowiedzieć się, czy chcemy go wyłączyć, czy nie, co omówimy poniżej. Jeśli w ogóle nie ma żadnych informacji, powinieneś to zrobić w Google lub poprosić kogoś o pomoc na forum.

Kiedy wszystko inne zawiedzie, powinieneś opublikować pełną ścieżkę poleceń na pomocnym forum i uzyskać poradę od kogoś, kto może wiedzieć więcej na ten temat.