Po otwarciu Menedżera zadań na karcie Procesy może zostać wyświetlony wpis Rundll32.exe. Lub możesz również napotkać plik rundll32.exe błąd przy każdym uruchomieniu lub podczas wyłączania. Wielu użytkowników zastanawia się, czy rundll32.exe jest wirusem. Jeśli nie, to co dokładnie robi rundll32.exe w systemie?
Co to jest rundll32.exe? Czy to wirus?
Rundll32.exe, ten znajdujący się w Windows System32
folder to prawdziwy plik systemowy Windows. To nie jest wirus!
Ale jeśli masz plik znajdujący się w dowolnym folderze poza Windows System32
katalog, może to być fałszywy plik lub nawet złośliwe oprogramowanie.
Co robi rundll32.exe?
Rundll32.exe to plik systemowy, który wykonuje bibliotekę DLL. Biblioteka DLL może opcjonalnie określić funkcję punktu wejścia. Aby wykonać bibliotekę DLL, która określa punkt wejścia, używany jest program rundll32.exe. Składnia wiersza poleceń dla Rundll32 jest następująca:
rundll32.exe,
Dlaczego w Menedżerze zadań pojawia się wiele wpisów rundll32.exe?
Każda pozycja rundll32.exe widoczna w Menedżerze zadań może działać pod kontrolą innego programu (DLL).
Załóżmy, że otwierasz aplet Panelu sterowania - np. Opcje indeksowania. Po otwarciu klasycznego apletu Opcje indeksowania w Panelu sterowania system Windows uruchamia to polecenie za maską:
rundll32.exe C: WINDOWS system32 shell32.dll, Control_RunDLL C: WINDOWS System32 srchadmin.dll
Podobnie mogą być uruchomione inne aplety, które używają rundll32.exe.
Innym przykładem może być aplet Dźwięk w Panelu sterowania. Pełna linia poleceń do otwarcia apletu Dźwięk to:
rundll32.exe C: WINDOWS System32 shell32.dll, Control_RunDLL C: WINDOWS System32 mmsys.cpl
W przypadku apletu Godzina i data w Panelu sterowania używany jest wiersz polecenia rundll32.exe:
rundll32.exe Shell32.dll, Control_RunDLL 'C: WINDOWS system32 timedate.cpl'
Jak sprawdzić, który plik jest uruchomiony w procesie Rundll32.exe?
Możesz zobaczyć pełny wiersz poleceń każdego procesu Rundll32.exe za pomocą Menedżera zadań. Możesz skonfigurować Menedżera zadań, aby pokazać Kolumny wiersza polecenia i nazwy ścieżki obrazu w widoku Procesy oraz Szczegóły.
Uwaga: Menedżer zadań, z domyślnymi ustawieniami, pokazuje tylko nazwy procesów, ich identyfikator i inne rzeczy, ale nie pełne argumenty wiersza poleceń każdego procesu.
Możesz zobaczyć wpis taki jak poniżej, bez nazwy pliku DLL w argumentach. Niektórzy użytkownicy wskazali, że jest to związane z Muzyka Groove w systemie Windows 10.
„C: Windows system32 rundll32.exe” -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617
Korzystanie z wiersza poleceń
Aby wyświetlić listę procesów rundll32.exe wraz z wierszem polecenia i identyfikatorem procesu, uruchom to polecenie w oknie wiersza polecenia:
WMIC PROCESS WHERE Nazwa = 'rundll32.exe' pobierz podpis, wiersz polecenia, identyfikator procesu / format: lista
Aby wyświetlić procesy działające z tokenem administratora, uruchom powyższe polecenie z wiersz polecenia administratora .
Przykładowe wyjście
Caption = rundll32.exe CommandLine = 'C: WINDOWS system32 rundll32.exe' C: WINDOWS system32 shell32.dll, Control_RunDLL C: WINDOWS System32 srchadmin.dll, ProcessId = 11404 Caption = rundll32.exe CommandLine = 'C: WINDOWS system32 rundll32.exe' Shell32.dll, Control_RunDLL 'C: WINDOWS system32 timedate.cpl' ProcessId = 10580
Lista modułów używanych przez proces RunDll32.exe
Aby wyświetlić listę modułów, które są używane przez każdą instancję rundll32.exe
, otwórz okno wiersza polecenia i uruchom to polecenie:
lista zadań / m / fi „IMAGENAME eq rundll32.exe”
Zobaczysz takie wyjście:
Ostrzeżenia dotyczące Rundll32.exe
Powinieneś być podejrzliwy w stosunku do następujących rzeczy w swoim systemie:
- Jeśli plik Rundll32.exe nazwa pliku znajduje się w dowolnej innej lokalizacji poza katalogiem Windows, może to być wirus.
- Miej świadomość, co wykonuje proces Rundll32.exe, sprawdzając Menedżera zadań. W zainfekowanych systemach najprawdopodobniej zobaczysz jeden lub wiele procesów Rundll32.exe uruchamiających fałszywe pliki DLL złośliwego oprogramowania, prawdopodobnie uruchomione jako wpisy startowe .
Krótko mówiąc, zanotuj argumenty wiersza polecenia wpisów Rundll32.exe w Menedżerze zadań - tj. Bibliotekę DLL, która jest wykonywana przez program Rundll32.exe.
ZWIĄZANE Z: Jak naprawić błędy Rundll32 lub RunDll podczas uruchamiania?
Jedna mała prośba: jeśli podobał Ci się ten post, udostępnij go?
Jedna „mała” część od Ciebie bardzo pomogłaby w rozwoju tego bloga. Kilka świetnych sugestii:- Przypiąć!
- Udostępnij to na swoim ulubionym blogu + Facebook, Reddit
- Tweetnij to!