Что такое rundll32.exe и почему он запущен?

Опубликовано: 2023-04-10
Диспетчер задач Windows
Джейсон Фицпатрик / Компьютерщик с практическими рекомендациями
Rundll32.exe — это стандартная часть Windows, используемая для запуска файлов библиотеки динамической компоновки (DLL). Библиотеки DLL содержат код для различных функций программы и обычно используются процессами Windows и сторонними приложениями. Rundll32.exe обычно не является вредоносным ПО, но его можно использовать для выполнения вредоносного кода.

Вы открываете Диспетчер задач только для того, чтобы найти бесчисленное количество экземпляров rundll32.exe, работающих одновременно. Но что такое rundll32.exe? Что он делает и как определить, что тот или иной экземпляр на самом деле делает на вашем ПК? Вот все, что вам нужно знать.

Оглавление

Что такое Rundll32?
Является ли Rundll32.exe вирусом?
Исследование Rundll32.exe с помощью Process Explorer в Windows 10 или Windows 11
Можете ли вы удалить Rundll32.exe?
Как отключить Rundll32.exe

Что такое Rundll32?

Rundll32.exe используется для запуска библиотеки динамической компоновки (DLL) в операционной системе Windows. Библиотеки DLL хранят код для предоставления функций процессам Windows и сторонним приложениям, и к ним могут одновременно обращаться несколько программ.

В вашу обычную установку Windows входят тысячи (если не больше) библиотек DLL, которые связаны со всем, от сети до пользовательского интерфейса, с которым вы ежедневно взаимодействуете. Большинство программ, которые вы устанавливаете, также используют библиотеки DLL. Это повсеместное распространение делает rundll32.exe неотъемлемой частью Windows, независимо от того, используете ли вы Windows 10, Windows 11 или более старую версию Windows, например Windows 7.

Является ли Rundll32.exe вирусом?

Rundll32.exe является обычной частью Windows. Однако вредоносное ПО может выдавать себя за законную копию rundll32.exe или использовать настоящий rundll32.exe для выполнения вредоносного кода на вашем ПК.

В установке Windows содержится несколько законных копий исполняемого файла rundll32. Два из них, которые вы обычно видите, расположены в «C:\Windows\System32\» и «C:\Windows\SysWOW64», но если вы выполните поиск, вы найдете дополнительные в папке Windows.

Иногда вредоносные программы используют одно и то же имя исполняемого файла и запускаются из другого каталога, чтобы замаскироваться. Вы должны немедленно с подозрением относиться к любому исполняемому файлу rundll32, который не находится в вашей папке Windows или подпапке Windows.

Как правило, если вы подозреваете, что на вашем компьютере установлена ​​вредоносная копия rundll32.exe, лучше всего запустить проверку на наличие вирусов с помощью Microsoft Defender или антивирусной программы, которую вы предпочитаете. Malwarebytes — отличный выбор, и он позаботится о большинстве вредоносных программ, хотя существуют и другие отличные пакеты антивирусного программного обеспечения.

Однако антивирусные программы не идеальны, и иногда вредоносное ПО, работающее с rundll32, не обнаруживается. Если это так, вам нужно разобраться, что делает rundll32.exe вручную и как отключить его, если вы обнаружите что-то, что вам не нужно.

СВЯЗАННЫЕ С: Что такое файлы DLL и почему они отсутствуют на моем ПК?

Исследование Rundll32.exe с помощью Process Explorer в Windows 10 или Windows 11

Process Explorer, бесплатная утилита от Microsoft, предоставляет более конкретную информацию, которая полезна, если вы пытаетесь точно определить, что делает приложение. Он небольшой, не требует установки и работает с любой версией Windows. Здесь мы собираемся использовать его для исследования активности rundll32.exe.

Запустите Process Explorer от имени администратора, затем выберите «Файл» > «Показать сведения обо всех процессах», чтобы убедиться, что вы видите все. Там, вероятно, будет много всего перечисленного, и вы можете не узнать все это, если вы никогда раньше не изучали, как работает Windows. Это не значит, что у вас вирус.

Примечание. Вам не нужно запускать Process Explorer от имени администратора, но лучше, если вы это сделаете. Некоторые процессы могут не отображать всю свою информацию без прав администратора.

Теперь, когда вы наведете курсор на rundll32.exe в списке, вы увидите всплывающую подсказку с подробной информацией о том, что он делает. Еще лучше, вы можете щелкнуть правой кнопкой мыши, выбрать «Свойства», чтобы получить более подробную информацию.

В окне «Свойства» доступно много информации, но начать следует с вкладки «Изображение». Он покажет вам полное имя пути, родительский процесс, пользователя и многое другое. В этом случае наш rundll32.exe связан с чем-то под названием «localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617».

Окно «Свойства» на вкладке «Изображение».

Итак, что же такое «-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617»? Мы не совсем уверены, но мы подтвердили, что он присутствует в полностью чистой установке Windows 10, так что это определенно нормальная часть Windows. Кажется, он каким-то образом участвует в представлении изображений в пользовательском интерфейсе. Если вы приостановите или завершите процесс, значок рядом с вашими элементами управления мультимедиа больше не будет отображаться, и некоторые пользователи сообщают, что он взаимодействует со значками учетной записи пользователя.

Нижнее изображение — это то, что происходит, когда упомянутый ранее процесс локального сервера приостанавливается или уничтожается. Обратите внимание на отсутствующую миниатюру.
Предупреждение: вы должны с осторожностью относиться к странным вещам, которые вы обнаружите при запуске через rundll32 -localserver, даже если исполняемый файл является законным, входящим в состав Windows. Его можно использовать для выполнения вредоносных операций.

Можете ли вы удалить Rundll32.exe?

Вы не можете безопасно удалить rundll32.exe, если хотите, чтобы Windows работала правильно. Это нормальная, важная часть операционной системы Windows. Это все равно, что спросить, можете ли вы открыть микроволновую печь и начать извлекать различные компоненты. Конечно, это физически возможно, но вы не можете этого сделать, если хотите, чтобы ваша микроволновка продолжала нормально работать.

Так что да, технически вы можете удалить rundll32.exe, если готовы пойти на многое, но на самом деле не стоит этого делать . Скорее всего, удаление rundll32.exe сломает множество вещей и сделает работу вашего ПК обычной головной болью.

Предупреждение: не удаляйте rundll32.exe с вашего компьютера.

Однако, если вы действительно хотите это сделать по какой-то причине, самый простой способ — загрузить дистрибутив Linux, убедиться, что ваш диск Windows смонтирован, и удалить его оттуда. Windows довольно агрессивно защищает rundll32.exe, и вам будет сложно избавиться от него из самой Windows. Удаление его из Linux полностью обходит эти защитные меры. Если вам удастся это сделать, у вас, вероятно, будет сломанная установка Windows, которую вам нужно будет восстановить с помощью чего-то вроде команды SFC.

Если вам не нравится что-то, что делает rundll32.exe, лучше выяснить, с каким процессом связан rundll32.exe, и вместо этого просто отключить триггеры, связанные с этим процессом.

Как отключить Rundll32.exe

Предупреждение: не переусердствуйте, отключая то и это, не подтвердив, что вы делаете. Вы можете случайно что-нибудь сломать.

Вы не можете напрямую отключить rundll32.exe, так как он сам по себе ничего не делает, но вы можете отключить приложения и службы, которые используют rundll32.exe для работы. Иногда это может быть немного сложно, в зависимости от того, что именно вы хотите. У нас есть другой экземпляр rundll32.exe, работающий в нашей системе, который загружает что-то под названием «rxdiag.dll», которое мы будем использовать в следующем примере.

Самое простое решение — щелкнуть правой кнопкой мыши экземпляр rundll32.exe в диспетчере процессов и нажать «Убить процесс», чтобы немедленно завершить его.

Однако это исправление не остановит вызов и повторный запуск rundll32, как только это потребуется. Если вы хотите это сделать, вы должны определить, что заставляет rundll32.exe активировать или полностью удалить вызывающую его программу. Вот как вы можете это сделать, начиная с нуля.

Щелкните правой кнопкой мыши экземпляр rundll32.exe и выберите «Свойства», затем убедитесь, что вы находитесь на вкладке «Изображение». Обратите внимание, что rundll32.exe — это законная копия, расположенная в папке Windows, родительский процесс называется «nvcontainer.exe», а DLL хранится в папке «C:\Program Files\Nvidia Corporation\nvstreamsrv».

Вкладка «Изображение» с выделенными различными атрибутами экземпляра rundll32.

Это говорит нам о многом. Мы можем быть уверены, что это не вредоносное ПО, и мы знаем, что оно связано с нашим графическим драйвером (у нас есть графический процессор NVIDIA) из-за папки, в которой оно находится. Если вы не узнаете имя папки, попробуйте поиск в интернете. Обычно вы сможете найти несколько результатов, объясняющих, какая программа создала папку.

Итак, теперь вы знаете, что за это отвечает программа NVIDIA, но на вашем ПК установлено несколько разных программ NVIDIA. Как узнать, какой именно?

Название подпапки — nvstreamsrv — дает некоторую полезную информацию. GeForce Experience, ориентированная на игры утилита, созданная NVIDIA, позволяет вам транслировать и записывать видео с помощью функции Shadowplay. Имя папки «nvstreamsrv», вероятно, является сокращением от « NV IDIA Stream Server », и это указывает на то, что за этот вызов rundll32.exe отвечает GeForce Experience, а не другая часть программного обеспечения NVIDIA, такая как панель управления NVIDIA. .

Опять же, если вы не можете легко установить связь между именем папки (или другим аргументом, связанным с rundll32), попробуйте поискать его в Интернете. Большинство вещей, с которыми вы столкнетесь, будут хорошо задокументированы.

Теперь мы можем разумно предположить, что GeForce Experience, скорее всего, несет ответственность за этот экземпляр rundll32.exe. Теперь вам нужно отключить его, чтобы rundll32 не запускался снова. Специфика будет варьироваться в зависимости от ваших обстоятельств, но помните об общих чертах этих шагов:

  1. Поскольку мы подозреваем, что это связано с Shadowplay, отключите Shadowplay в GeForce Experience.
  2. Удалить GeForce Experience из списка запускаемых программ
  3. Отключите все связанные службы в утилите «Службы».
  4. Отключите любые запланированные задачи, которые могут вызвать автоматический запуск GeForce Experience (автообновления являются частой причиной) в планировщике задач.
  5. Полностью удалить программу
Примечание. В данном случае отключение функций потоковой передачи ShadowPlay и GeForce Experience не помогло. Нам пришлось полностью отключить GeForce Experience.

Запланированное автоматическое обновление GeForce Experience.

Обычно вы должны стараться быть как можно более целенаправленными при отключении вещей. Сначала мы попытались отключить конкретную функцию, которая, по нашему мнению, была ответственной, затем отключить запуск или службу, затем удалить важное запланированное действие (автоматическое обновление) и только после этого мы удалили приложение. Это сводит к минимуму возможность случайного нарушения другой важной функции, которую вы можете использовать или которая может быть важна за кулисами так, как вы этого не осознавали.

Конечно, если вы знаете, что приложение вам вообще не нужно, просто пропустите другие шаги и сразу приступайте к его удалению. Просто будьте осторожны — вы не хотите удалить что-то важное случайно.

Совет. Эта статья является частью нашей продолжающейся серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe и многие другие.