מהו rundll32.exe ומדוע הוא פועל?

אתה ללא ספק קורא מאמר זה מכיוון שחיפשת מנהל המשימות ותהית מה לכל הרוחות כל אותם תהליכי rundll32.exe ומדוע הם פועלים ... אז מה הם?

קשורים: מהו התהליך הזה ולמה הוא פועל במחשב שלי?

מאמר זה הוא חלק מהסדרה המתמשכת שלנו המסבירה תהליכים שונים שנמצאו במנהל המשימות, כמו svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe, ורבים אחרים. לא יודע מהם השירותים האלה? עדיף להתחיל לקרוא!

הֶסבֵּר

אם היית סביב Windows במשך זמן כלשהו, ​​ראית את כל הזיליון של קבצי * .dll (ספריית קישורים דינמית) בכל תיקיית יישומים המשמשים לאחסון חלקים נפוצים של לוגיקה של יישומים אליהם ניתן לגשת ממספר רב של יישומים.

מכיוון שאין דרך להפעיל ישירות קובץ DLL, היישום rundll32.exe משמש פשוט להפעלת פונקציונליות המאוחסנת בקבצי .dll משותפים. הפעלה זו היא חלק חוקי של Windows, ובדרך כלל לא אמור להוות איום.

הערה: התהליך התקף נמצא בדרך כלל ב- \ Windows \ System32 \ rundll32.exe, אך לעיתים תוכנות ריגול משתמשות באותו שם קובץ ופועלות מספרייה אחרת על מנת להסוות את עצמה. אם אתה חושב שיש לך בעיה, אתה צריך תמיד לבצע סריקה כדי להיות בטוחים, אבל אנחנו יכולים לאמת בדיוק מה קורה ... אז המשך לקרוא.

מחקר באמצעות סייר תהליכים ב- Windows 10, 8, 7, Vista וכו '

במקום להשתמש במנהל המשימות, נוכל להשתמש בכלי התוכנה החינמי של סייר התהליכים ממיקרוסופט כדי להבין מה קורה, מה שיש לו את היתרון לעבוד בכל גרסאות של Windows ולהיות הבחירה הטובה ביותר לכל עבודת פתרון בעיות.

כל שעליך לעשות הוא להפעיל את סייר התהליך, ותרצה לבחור קובץ \ הצגת פרטים עבור כל התהליכים כדי לוודא שאתה רואה הכל.

כעת כשאתה מעביר את העכבר מעל rundll32.exe ברשימה, תראה תיאור כלים עם הפרטים של מה זה בפועל:

לחלופין, לחץ באמצעות לחצן העכבר הימני, בחר מאפיינים ואז התבונן בכרטיסיה תמונה כדי לראות את שם הנתיב המלא שמושק, ותוכל אפילו לראות את תהליך האב, שהוא במקרה זה מעטפת Windows (explorer.exe ), המציין כי הוא הושק ככל הנראה מקיצור דרך או פריט אתחול.

אתה יכול לדפדף למטה ולהציג את פרטי הקובץ בדיוק כמו שעשינו בסעיף מנהל המשימות שלמעלה. במקרה שלי, זה חלק מלוח הבקרה של NVIDIA, ולכן אני לא הולך לעשות שום דבר בקשר לזה.

כיצד להשבית את תהליך Rundll32 (Windows 7)

תלוי מהו התהליך, לא תרצה להשבית אותו בהכרח, אך אם תרצה, תוכל להקליד msconfig.exe בתיבת החיפוש או הפעלת תפריט ההתחלה, ואתה אמור להיות מסוגל למצוא אותו באמצעות העמודה Command. , שאמור להיות זהה לשדה "שורת פקודה" שראינו ב- Explorer Explorer. פשוט בטל את הסימון של התיבה כדי למנוע את הפעלתה באופן אוטומטי.

לפעמים בתהליך אין למעשה פריט הפעלה, ובמקרה כזה סביר להניח שתצטרך לעשות קצת מחקר כדי להבין מאיפה התחיל. לדוגמה, אם תפתח מאפייני תצוגה ב- XP תראה רשימת rundll32.exe נוספת ברשימה, מכיוון ש- Windows משתמש באופן פנימי ב- rundll32 להפעלת שיח זה.

השבתה ב- Windows 8 או 10

אם אתה משתמש ב- Windows 8 או 10, באפשרותך להשתמש בחלק ההפעלה של מנהל המשימות כדי להשבית אותו.

באמצעות מנהל המשימות של Windows 7 או Vista

אחת התכונות הנהדרות במנהל המשימות של Windows 7 או Vista היא היכולת לראות את שורת הפקודה המלאה עבור כל יישום פועל. לדוגמה, תראה שיש לי שני תהליכי rundll32.exe ברשימה שלי כאן:

אם תעבור לתצוגה \ בחר עמודות, תראה ברשימה את האפשרות "שורת פקודה" שאותה תרצה לבדוק.

עכשיו אתה יכול לראות את הנתיב המלא עבור הקובץ ברשימה, שתבחין שהוא הנתיב החוקי עבור rundll32.exe בספריה System32, והוויכוח הוא עוד קובץ DLL שהוא למעשה המופעל.

אם אתה גולש מטה כדי לאתר את הקובץ הזה, שבדוגמה זו הוא nvmctray.dll, בדרך כלל תראה מה זה בעצם כשאתה מעביר את העכבר מעל שם הקובץ:

אחרת, אתה יכול לפתוח את המאפיינים ולעיין בפרטים כדי לראות את תיאור הקובץ, אשר בדרך כלל יגיד לך את המטרה לקובץ זה.

ברגע שנדע מה זה, נוכל להבין אם אנו רוצים להשבית אותו או לא, עליו נסקור בהמשך. אם אין מידע בכלל, עליך לחפש אותו בגוגל או לשאול מישהו בפורום מועיל.

כאשר כל השאר נכשלים, עליך לפרסם את נתיב הפקודה המלא בפורום מועיל ולקבל ייעוץ ממישהו אחר שעשוי לדעת עליו יותר.