Rundll exe что это

Rundll exe что это

Если Вы пользуетесь системой Windows достаточно долгое время, то видели «тысячи» файлов с расширением .dll (динамически подключаемая библиотека) в каждой папке приложения, которая используется для хранения логических частей приложения, которые должны быть доступны из нескольких приложений.

Поскольку не существует никакого способа, чтобы непосредственно запустить dll файл, приложение rundll32.exe просто используется для запуска функций, хранящиеся в общих .dll файлах. Этот исполняемый файл является частью Windows и, как правило, не опасен.

Примечание: надежный процесс обычно находится в папке WindowsSystem32
undll32.exe, но иногда вирусы используют тоже название и запускаются из другой директории, чтобы замаскировать себя. Если вы считаете, что у вас есть проблемы, Вам следует запустить антивирусное сканирование, чтобы быть уверенным, что не происходит чего-то опасного.

Исследование с помощью Process Explorer

Вместо того, чтобы использовать Диспетчер задач, мы можем воспользоваться инструментом Process Explorer от Microsoft, который работает во всех версия Windows и является лучшим выбором для решения любых неисправностей в работе операционной системы.

Просто запустите Process Explorer и нажмите Показать детали для всех процессов, чтобы убедиться, что вы видите всё.

Теперь при наведении курсора на rundll32.exe в списке, вы увидите всплывающую подсказку с деталями, что это на самом деле:

Вы можете щелкнуть правой кнопкой мыши, выбрать Свойства, а затем внимательно изучить вкладку Image, чтобы увидеть полный путь к файлу, который запускается, и вы можете даже увидеть родительский процесс, которым в данном случае является оболочка Windows (explorer.exe).

Вы можете просмотреть детали файла, как мы делали в предыдущем разделе в диспетчере задач.

Как отключить процесс rundll32 в Windows

В зависимости от того, какой процесс связан с rundll32, отключать его не обязательно, но если вы хотите, то можете использовать Диспетчер задач ( Ctrl + Alt + Del ). Затем перейдите на вкладку Автозагрузка и снимите флажок у соответствующей записи.

Иногда процесс rundll32 не имеет элементов в автозагрузке, в этом случае, вероятно, Вам придётся провести некоторые исследования, чтобы выяснить, откуда он запускается.

Хост-процесс Windows (Rundll32) — компонент операционных систем семейства Microsoft Windows, запускающий программы, находящиеся в динамически подключаемых библиотеках [1] . Находится по адресу %WINDIR%System32
undll32.exe . Программа поддерживает параметры filename (название .DLL -файла), function_name (имя экспортированной функции в файле) и function-arguments (различные аргументы для выполнения) [2] .

Читайте также:  La noire fatal error что делать

Содержание

Библиотеки [ править | править код ]

Программная библиотека (DLL) служит в качестве программного модуля для предоставления функций другим программам, однако, не может непосредственно выполняться в обычном режиме. RUNDLL позволяет вызывать отдельные функции, такие, как например интерфейс, в командной строке из сценариев или в виде ссылки. Выполнение осуществляется в отдельном процессе, так вызовы RUNDLL могут использоваться другими программами, которые хотят защитить себя от ошибок при вызове DLL. Точно так же могут вызываться и функции программ в исполняемых файлах системы (.exe файлы).

  • RUNDLL32 SHELL32.DLL,Control_RunDLL hotplug.dll [3]
  • Откроется функция Удалить или извлечь аппаратное устройство , например, подключенное к USB.
  • RunDll32.EXE SHELL32.DLL,SHExitWindowsEx 2 [4]
    RunDll32.EXE USER.EXE,ExitWindowsExec [4]
    • Перезагрузка (перезагрузка системы) (в Windows XP программа Reboot управляется файлом shutdown.exe.)
    • RunDll32.EXE URL.DLL,FileProtocolHandler "%1" [5]
      • открывает файл под именем «%1» и связанное с ним приложение по умолчанию (автоматическое распознавание файла)
      • Панель управления [ править | править код ]

        Файлы панели управления (CPL), которые обычно находятся в виртуальной папке панели управления, могут вызываться альтернативы методом, используя RUNDLL вызванную с помощью командной строки вызовом Shell32.dll:

        • RUNDLL32 SHELL32.DLL,Control_RunDLL filename.CPL,@n,t
        • filename.CPL имя CPL-файла панели управления.
        • n… апплет в файле CPL
        • t… Количество вкладок, когда апплет имеет их несколько.
        • RUNDLL32 SHELL32.DLL,Control_RunDLL TIMEDATE.CPL,@0,1 [3]
        • открывает функции настройки часового пояса, даты / времени.
      • RUNDLL32 shell32.dll,Control_RunDLL access.cpl,,4 [4]
        • Настройка мыши для пользователей с ослабленным зрением.
        • Использование [ править | править код ]

          Этот метод может быть использован как в командной строке или при пакетной обработки данных различных скриптов, так и с помощью обычных ярлыков (LINK-файлов). Поскольку функции работают в контакте с операционной системой, рекомендуется соблюдать осторожность в определенных экспериментах и рекомендуется только достаточно опытным пользователям.

          Типичные источники ошибок [ править | править код ]

          Предполагается, что функция, вызываемая Rundll32.exe, имеет следующую сигнатуру [6] :

          Этим, однако, нередко пренебрегают [7] (подобные примеры на этой странице). Это часто приводит к повреждению стека [8] и к непредсказуемому поведению, например, зацикливанию.

          Читайте также:  Excel выделить ячейки с одинаковыми значениями

          Безопасность [ править | править код ]

          Угрозы безопасности могут часто происходить из-за частого использования rundll32 вирусами, шпионскими программами, использующих его как «тезку» для своих программ — вредителей.

          Прежде всего, это позволяет RUNDLL скрыть фактического злодея: В сообщениях об ошибках и журналах (записях журнала) определяется в качестве причины имя файла EXE. Ею оказывается rundll.exe, но при этом абсолютно безупречной — вредоносная программа, находящаяся в DLL и её имя не упоминается во многих случаях. Вместо того, чтобы определить, какие DLL является нежелательным, обвиняется rundll.exe в качестве причины.

          Кроме того, этот файл находится за пределами %windir% с rundll32.exe и в большинстве случаев является вирусом. Вирус заменяет оригинальный RUNDLL, но Windows, функция System Restore, хеджирование файловой системы автоматически возвращают в надежное состояние. Но если ему удастся создать для RUNDLL вредоносную версию, не будучи замеченным, может возникнуть опасный инцидент.

          В Диспетчере задач можно обнаружить несколько процессов Rundll32.exe, причем запущены они могут быть от имени разных пользователей. Что это за процесс, за что он отвечает и почему их может быть неколько одновременно запущено на компьютере?

          Дело в том, что процесс rundll32.exe является вспомогательным. Если вы заходили в папку с любой установленной на компьютере программой, то наверняка обращали внимание на то, что в папке находится множество файлов с расширением .dll. Это файлы библиотек, которые используются программой при работе (DLL — Dynamic Link Library). Так как подобные файлы не могут быть самостоятельно запущены в операционной системе, то для этого используется специальная утилита rundll32.exe, с помощью которой и производится запуск функций DLL-библиотек.

          Rundll32.exe — это исполняемый системный файл, который является частью Windows. Как и большинство системных файлов он находится в папке «C:WindowsSystem32», правда это в том случае, если у вас на компьютере установлена 32-х битная Windows. Если 64-х битная, то данный файл вы также найдете в папке «C:WindowsSysWOW64».

          Достаточно часто процесс rundll32.exe используется вредоносными программами для скрытия их присутствия на компьютере. Чтобы определить является ли rundll32.exe настоящим или нет, нужно проверить местоположение откуда он запущен. О том, как это сделать я рассказал в заметке «Сколько процессов svchost.exe должно быть?».

          Читайте также:  Mikrotik блокировка по mac адресу

          Если при работе компьютера появляются какие-либо ошибки с указанием на процесс Rundll32.exe или один из процессов Rundll32.exe чрезмерно загружает процессор компьютера, что приводит к притормаживанию или зависанию, то в первую очередь стоит провести полную проверку компьютера с помощью антивирусной программы. Но описанные выше проблемы не указывают однозначно на заражение вашего компьютера. Присутствие на компьютере вируса или вредоносной программы — это лишь одна из множества возможных причин, вызвавших проблему.

          Поскольку данный процесс работает с библиотеками множества программ, установленных на компьютере, то причина может крыться именно в конкретной библиотеке конкретной программы. Что это за библиотека можно выяснить в Диспетчере задач.

          Дело в том, что сама утилита Rundll32.exe работает в режиме командной строки, а значит она запускается с некоторыми параметрами в виде имен файлов библиотек. Поэтому если мы увидим всю командную строку, то сможем выявить название файлов библиотек, которые приводят к проблеме с конкретным процессом Rundll32.exe.

          Для этого в Диспетчере задач заходим в меню «Вид» (1) и выбираем пункт «Выбрать столбцы. » (2):

          Далее в открывшемся окне необходимо выбрать чек-бокс «Командная строка» (3) и в окне процессов отобразиться соответствующий столбец. В этом столбце мы обнаружим перечень всех библиотек, которые запускаются данным процессом Rundll32.exe (4) (на скриншоте это библиотека shell32.dll).

          Теперь остается лишь выяснить какой программе эти библиотеки принадлежат. Сделать это можно, например, воспользовавшись стандартным поиском файлов на компьютере и поискав файл библиотеки, указанный в команде. Либо можно задать вопрос Гугл или Яндекс в формате «xxx.dll что это».

          Выявив таким образом проблемную программу можно действовать дальше. Например, можно попробовать обновить, удалить или переустановить программу и отслеживать при этом поведение компьютера. Тут нет однозначного алгоритма действий и решение необходимо принимать в каждом конкретном случае отдельно, основываясь на конкретной ситуации.

          Ссылка на основную публикацию
          Adblock detector