Úvodná » ako » Čo je rundll32.exe a prečo to beží?

    Čo je rundll32.exe a prečo to beží?

    Ste nepochybne čítanie tohto článku, pretože ste sa pozrel v správcovi úloh a premýšľal nad tým, čo na zemi všetky tie procesy rundll32.exe sú a prečo beží ... Takže čo sú to?

    Tento článok je súčasťou našej prebiehajúcej série vysvetľujúcej rôzne procesy, ktoré sa nachádzajú v nástroji Správca úloh, ako napríklad svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe a mnoho ďalších. Neviete, aké sú tieto služby? Lepšie čítanie!

    vysvetlenie

    Ak ste boli po celom systéme Windows dlho, v každom priečinku aplikácie ste videli zillóny súborov * .dll (knižnica Dynamic Link), ktoré sa používajú na ukladanie bežných častí aplikačnej logiky, ktoré je možné získať z viacerých aplikácie.

    Keďže neexistuje žiadny spôsob, ako priamo spustiť súbor DLL, aplikácia rundll32.exe sa jednoducho používa na spustenie funkcií uložených v zdieľaných súboroch DLL. Tento spustiteľný súbor je platnou súčasťou systému Windows a normálne by nemal byť hrozbou.

    Poznámka: platný proces sa bežne nachádza na adrese \ Windows \ System32 \ rundll32.exe, ale niekedy spyware používa rovnaký názov súboru a beží z iného adresára, aby sa sám zamaskoval. Ak si myslíte, že máte problém, mali by ste vždy spustiť sken, aby ste si boli istí, ale môžeme overiť presne to, čo sa deje ... tak čítajte.

    Výskum pomocou aplikácie Process Explorer v systéme Windows 10, 8, 7, Vista, atď

    Namiesto použitia nástroja Správca úloh môžeme použiť nástroj Freeware Process Explorer od spoločnosti Microsoft, aby sme zistili, čo sa deje, čo prináša výhodu práce v každej verzii systému Windows a je najlepšou voľbou pre akékoľvek riešenie problémov.

    Jednoducho spustite Process Explorer a budete chcieť vybrať File \ Show Details for All Processes, aby ste sa uistili, že vidíte všetko.

    Teraz, keď umiestnite kurzor myši nad zoznam rundll32.exe v zozname, uvidíte popisky s podrobnosťami o tom, čo vlastne je:

    Alebo môžete kliknúť pravým tlačidlom myši, vybrať Vlastnosti a potom sa pozrieť na kartu Obrázok zobraziť úplnú cestu, ktorá sa spúšťa a dokonca môžete vidieť proces Parent, ktorý je v tomto prípade shell systému Windows (explorer.exe ), čo naznačuje, že je pravdepodobne spustené z odkazovej alebo spúšťacej položky.

    Môžete prechádzať a zobrazovať podrobnosti o súbore rovnako ako v sekcii Správca úloh vyššie. V mojom prípade je to súčasť ovládacieho panela NVIDIA, a tak s ním nebudem robiť nič.

    Ako zakázať proces Rundll32 (Windows 7)

    V závislosti od toho, aký proces je, nechcete ho nevyhnutne zakázať, ale ak by ste chceli, môžete napísať msconfig.exe do vyhľadávacieho alebo spusteného poľa štartovacej ponuky a mali by ste ho nájsť pomocou stĺpca príkazu, ktorý by mal byť rovnaký ako pole "Príkazový riadok", ktoré sme v programe Process Explorer zaznamenali. Jednoducho zrušte začiarknutie políčka, aby ste zabránili automatickému spusteniu.

    Niekedy proces nemá v skutočnosti štartovací položku, v takom prípade budete pravdepodobne musieť urobiť nejaký výskum, aby ste zistili, odkiaľ sa začalo. Ak napríklad otvoríte zobrazovacie vlastnosti v systéme XP, zobrazí sa v zozname ďalší príkaz rundll32.exe, pretože systém Windows interne používa rundll32 na spustenie tohto dialógového okna.

    Zakázanie v systéme Windows 8 alebo 10

    Ak používate systém Windows 8 alebo 10, môžete ho vypnúť pomocou sekcie Po spustení nástroja Správca úloh.

    Používanie Správcu úloh systému Windows 7 alebo Vista

    Jednou z veľkých funkcií v systéme Správca úloh systému Windows 7 alebo Vista je možnosť vidieť celý príkazový riadok pre každú spustenú aplikáciu. Napríklad uvidíte, že v mojom zozname mám dva procesy rundll32.exe:

    Ak prejdete na položku Zobraziť \ Vybrať stĺpce, v zozname sa zobrazí možnosť Príkazový riadok, ktorý chcete skontrolovať.

    Teraz môžete vidieť úplnú cestu k súboru v zozname, ktorý si všimnete ako platnú cestu pre rundll32.exe v adresári System32 a argument je ďalšia DLL, ktorá je vlastne spustená.

    Ak prehliadnete nadol nájsť súbor, ktorý je v tomto príklade nvmctray.dll, zvyčajne uvidíte, čo vlastne je, keď umiestnite kurzor myši nad názov súboru:

    V opačnom prípade môžete otvoriť vlastnosti a pozrieť si podrobnosti, aby ste videli popis súboru, ktorý zvyčajne povie účel použitia daného súboru.

    Akonáhle vieme, čo to je, môžeme zistiť, či chceme zablokovať alebo nie, čo budeme pokrývať nižšie. Ak nie sú k dispozícii žiadne informácie, mali by ste to buď Google, alebo požiadať niekoho o užitočné fórum.

    Keď všetko ostatné zlyhá, mali by ste poslať úplnú cestu príkazu na užitočné fórum a získať radu od niekoho iného, ​​ktorý by o tom vedel viac.