Что такое процесс Rundll32.exe? Это вредоносное ПО?

Когда вы открываете диспетчер задач, вы можете увидеть запись Rundll32.exe на вкладке Процессы. Или вы также можете столкнуться с ошибкой rundll32.exe при каждом запуске или при завершении работы. Многие пользователи задаются вопросом, является ли rundll32.exe вирусом. Если нет, что именно делает rundll32.exe в системе?

запись rundll32 в диспетчере задач

Что такое rundll32.exe? Это вирус?

Rundll32.exe, расположенный в Windows\System32 папка является законным системным файлом Windows. Это не вирус!

Но если у вас есть файл, расположенный в любой папке за пределами вашего Windows\System32 директории, то это может быть фальшивый файл или даже вредоносная программа.

Что делает rundll32.exe?

Rundll32.exe — это системный файл, который выполняет DLL. DLL может опционально указать функцию точки входа. Для выполнения библиотеки DLL, в которой указана точка входа, используется rundll32.exe. Синтаксис командной строки для Rundll32 выглядит следующим образом:

rundll32.exe , 

Почему несколько записей rundll32.exe отображаются в диспетчере задач?

Каждая запись rundll32.exe, которую вы видите в диспетчере задач, может работать под управлением другой программы (DLL).

rundll32 несколько записей в диспетчере задач

Допустим, вы открываете апплет Панели управления, например, Параметры индексирования. Когда вы открываете классический апплет «Параметры индексации», Windows фактически запускает эту команду за укрытием:

rundll32.exe C:\WINDOWS\system32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\srchadmin.dll

Кроме того, могут быть запущены другие апплеты, использующие rundll32.exe.

Другим примером может быть апплет Sound на панели управления. Полная командная строка для открытия апплета Sound:

rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

Для апплета панели управления временем и датой используется командная строка rundll32.exe:

rundll32.exe Shell32.dll,Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Как узнать, какой файл запущен процесс Rundll32.exe?

Вы можете увидеть полную командную строку каждого процесса Rundll32.exe с помощью диспетчера задач. Вы можете настроить Диспетчер задач так, чтобы он отображал столбцы «Командная строка» и «Путь к изображению» в процессах, а также в представлении «Подробности».

Диспетчер задач Показать командную строку

Заметка: Диспетчер задач с его настройками по умолчанию показывает только имена процессов, их ID и другие данные, но не полные аргументы командной строки каждого процесса.

Вы можете увидеть запись, как показано ниже, без имени файла DLL в аргументах. Некоторые пользователи указали, что это связано с Groove Music в Windows 10.

"C:\Windows\system32\rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

Использование командной строки

Чтобы просмотреть список процессов rundll32.exe, а также командную строку и идентификатор процесса, выполните эту команду в окне командной строки:

WMIC PROCESS WHERE Name="rundll32.exe" get Caption,Commandline,Processid /format:list

Чтобы просмотреть процессы, запущенные под токеном администратора, выполните приведенную выше команду из командной строки администратора.

Пример вывода

Caption=rundll32.exe
CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\srchadmin.dll ,
ProcessId=11404
Caption=rundll32.exe
CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll,Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"
ProcessId=10580

Список модулей, используемых процессом RunDll32.exe

Чтобы просмотреть список модулей, которые используются каждым экземпляром rundll32.exeоткройте окно командной строки и выполните следующую команду:

tasklist /m /fi "IMAGENAME eq rundll32.exe"

Вы увидите такой вывод:

Список задач модулей rundll32

Предостережения относительно Rundll32.exe

Вы должны с подозрением относиться к следующим вещам в вашей системе:

  • Если файл Rundll32.exe имя файла находится в любом другом месте за пределами каталога Windows, это может быть вирус.
  • Узнайте, что выполняет процесс Rundll32.exe, проверив диспетчер задач. В скомпрометированных системах вы, скорее всего, увидите один или несколько процессов Rundll32.exe, выполняющих мошеннические файлы DLL вредоносных программ, которые, вероятно, запускаются в качестве записей запуска.

    Короче говоря, запишите аргументы командной строки записей Rundll32.exe в диспетчере задач, т. Е. DLL, которая выполняется Rundll32.exe.

СВЯЗАННЫЙ: Как исправить ошибки Rundll32 или RunDll при запуске?

Ссылка на основную публикацию