Вие несъмнено ще прочетете тази статия, защото сте се вгледали в мениджъра на задачите и се чудите какво на земята всички тези rundll32.exe процеси са и защо те работят ... И така, какви са те?
Тази статия е част от текущата ни серия, обясняваща различните процеси в Task Manager като svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe и много други. Не знам какви са тези услуги? По-добре започнете да четете!
Ако сте били навсякъде около Windows, сте виждали злакините на файлове * .dll (библиотека за динамични връзки) във всяка папка на приложението, които се използват за съхраняване на често срещани логики на приложението, които могат да бъдат достъпни от множество приложения.
Тъй като няма начин директно да стартирате DLL файл, приложението rundll32.exe просто се използва за стартиране на функционалността, съхранявана в споделените .dll файлове. Този изпълним файл е валидна част от Windows и обикновено не трябва да бъде заплаха.
Забележка: валидният процес обикновено се намира на \ Windows \ System32 \ rundll32.exe, но понякога шпионският софтуер използва същото име и се изпълнява от друга директория, за да се прикрие. Ако смятате, че имате проблем, винаги трябва да изпълните сканиране, за да сте сигурни, но можем да проверим точно какво се случва ... така че продължавайте да четете.
Вместо да използваме Task Manager, можем да използваме безплатната помощна програма Process Explorer от Microsoft, за да разберем какво се случва, което има полза от работата във всяка версия на Windows и е най-добрият избор за работа при отстраняване на неизправности.
Просто стартирайте Process Explorer и ще искате да изберете File \ Show Details for All Processes, за да сте сигурни, че виждате всичко.
Сега, когато задържите курсора на мишката над rundll32.exe в списъка, ще видите подсказка с подробности за това, което всъщност е:
Или можете да кликнете с десния бутон на мишката, да изберете Свойства и след това да разгледате раздела Изображение, за да видите пълния път, който се стартира, и дори можете да видите процеса на родител, който в този случай е shell на Windows (explorer.exe ), което показва, че е вероятно да бъде пуснато от елемент за бърз достъп или стартиране.
Можете да преглеждате и да виждате подробностите за файла, точно както направихме в секцията "Управление на задачите" по-горе. В моя случай това е част от контролния панел на NVIDIA, така че няма да направя нищо.
В зависимост от това какво е процесът, няма да искате непременно да го забраните, но ако искате, можете да въведете msconfig.exe в полето за търсене или стартиране в менюто за стартиране и трябва да го намерите в командата Команда, която трябва да е същата като полето "Командния ред", което видяхме в Process Explorer. Просто махнете отметката от кутията, за да не се стартира автоматично.
Понякога процесът всъщност няма стартов елемент, в който случай вероятно ще трябва да направите някои изследвания, за да разберете откъде е започнал. Например, ако отворите свойствата на дисплея в XP, ще видите друг rundll32.exe в списъка, защото Windows използва вътрешно rundll32, за да стартира този диалогов прозорец.
Ако използвате Windows 8 или 10, можете да го използвате, за да го забраните.
Една от страхотните функции в Windows 7 или Vista Task Manager е възможността да видите пълния команден ред за всяко работещо приложение. Например, ще видите, че в моя списък имам два процеса rundll32.exe тук:
Ако отидете в View \ Select Columns, ще видите опцията "Command Line" в списъка, който ще искате да проверите.
Сега можете да видите пълния път за файла в списъка, който ще забележите е валиден път за rundll32.exe в директорията System32, а аргументът е друг DLL, който в действителност се изпълнява.
Ако разглеждате файла, който в този пример е nvmctray.dll, обикновено ще видите какво всъщност е, когато задръжте курсора на мишката над името на файла:
В противен случай можете да отворите Properties и да разгледате Details, за да видите описанието на файла, което обикновено ще ви информира за целта на този файл.
Щом разберем какво е това, можем да разберем дали искаме да го деактивираме или не, което ще покрием по-долу. Ако изобщо няма информация, трябва да го направите или да помолите някого на полезен форум.
Когато всичко останало е неуспешно, трябва да публикувате пълния път на командата на полезен форум и да получите съвет от някой друг, който може да знае повече за него.
