culhu

Определите, что загружается с помощью rundll32.exe в списке задач Windows

Одна из проблем, когда вы пытаетесь диагностировать какие-либо проблемы в Windows, – довольно много информации о том, какие файлы и программы загружаются в фоновом режиме, скрыто и невидимо. Одной из этих программ для Windows является процесс svchost.exe, который в диспетчере задач выглядит как отдельный процесс, но на самом деле может содержать несколько загруженных dll-сервисов, о которых вы не узнаете, если не знаете, как определить, что находится внутри процесса svchost.

Другим процессом, который может отображаться в вашем списке задач Windows, но вы никогда не узнаете, что это, вероятно, будет процесс rundll32. Rundll32.exe является частью Windows, находящейся в Windows System32 и используемой для запуска программного кода в DLL-файле, как если бы это была настоящая программа. Файл dll не может быть выполнен напрямую, поэтому для его запуска необходим rundll32.exe.
Многие вредоносные программы могут также использовать это имя или аналогичные имена, чтобы обмануть вас, заставляя думать, что вирус на самом деле является законным файлом Windows. Такие имена, как rundII32.exe (на самом деле используются 2 заглавные буквы i) или rundll.32.exe, не редкость, и вы всегда должны изучать имена файлов rundll32 (и svchost) в диспетчере задач, если вы подозреваете, что в вашей системе есть вредоносное ПО. Rundll32 также широко используется программами-шпионами для запуска собственного кода. Как вы можете видеть, если вы открываете диспетчер задач и у вас есть Rundll32.exe, вы по умолчанию не видите, что это за dll.

Вот как определить, какие файлы DLL загружаются в rundll32.exe в Windows XP, Vista и 7.

Использование диспетчера задач для определения используемой команды Rundll32.exe

Эта функция доступна только в Vista и выше, и она показывает дополнительный столбец в диспетчере задач, который сообщает вам, какая командная строка в данный момент используется процессом. Откройте Диспетчер задач -> Меню «Вид» -> Выбрать столбцы…, щелкните поле Командная строка и нажмите ОК.

Теперь будет доступен новый столбец, и вы сможете определить, какая DLL выполняется.

Определите загруженные файлы DLL с помощью Process Explorer

Process Explorer – отличная замена диспетчера задач, сделанная SysInternals, которая может отображать гораздо более подробную информацию о том, что загружает процесс Rundll32. Просто запустите инструмент Process Explorer, и вы увидите список типов процессов в диспетчере задач.

Все, что вам нужно сделать, это навести указатель мыши на запись Rundll32.exe, и она покажет во всплывающей подсказке, какая команда запускается и какая dll выполняется. Как вы можете видеть из изображения, этот rundll32.exe выполняет иконку в трее nVidia.

Скачать Process Explorer

Определите загруженные файлы DLL через командную строку

Вот ручной способ идентификации файлов DLL в rundll32.exe. Откройте командную строку, нажав WinKey + R и введите cmd. Затем введите или вставьте приведенную ниже команду в подсказку и нажмите Enter.

список задач / m / fi "IMAGENAME eq rundll32.exe"

Обратите внимание, что по умолчанию Windows XP Home Edition не имеет утилиты tasklist.exe, только Professional. Он встроен во все версии Windows Vista и 7. Если вам нужен инструмент Tasklist для XP Home, вы можете скачать его по этой ссылке:

Скачать Tasklist.exe

Модули DLL отображаются в правой части результатов списка задач. Вы, вероятно, увидите много модулей, которые являются внутренними DLL-библиотеками Windows, и опытному пользователю понадобится немного знаний, чтобы определить любую опасную DLL-библиотеку в списке. Если вы не уверены, вы всегда можете выполнить поиск в Google по имени файла DLL.

Поддельные файлы Rundll32

Теперь вы знаете, как идентифицировать загруженные библиотеки DLL в файле rundll32.exe, но есть также случаи, когда программы-шпионы и вирусы заменяли оригинальный файл Windows rundll32.exe на поддельный. Если у вас плохой или поврежденный файл rundll32.exe, у вас будут проблемы с открытием панели управления и т. Д.

Чтобы проверить, был ли ваш rundll32.exe изменен или заменен, вы можете открыть его с помощью Блокнота, Wordpad или шестнадцатеричного редактора. Когда вы откроете файл rundll32.exe, найдите слово «padding». Если это слово находится внутри rundll32.exe, это означает, что вы используете поддельный файл, и его необходимо заменить.

Самым простым способом замены файла является использование средства проверки системных файлов (SFC) из командной строки.

1. Нажмите клавишу Win + R и введите cmd в диалоговом окне «Выполнить», нажмите Enter.

2. Введите команду ниже в командной строке и нажмите Enter. Теперь Windows должна заменить поврежденный rundll32.exe и любые другие системные файлы, поврежденные вирусом или другими проблемами.

SFC / Scannow

Если вы знаете, что поврежден только файл rundll32.exe, и вы используете Vista или 7, вы можете избежать полной проверки системных файлов и просто запустить SFC для этого 1 файла.

sfc /scanfile=c:windowssystem32rundll32.exe

Пользователям Windows XP может потребоваться установочный компакт-диск Windows для восстановления исходного файла. Очень полезный и экономящий время совет, чтобы избежать необходимости использования компакт-диска в будущем при запуске SFC, – это скопировать папку i386 на жесткий диск.

Exit mobile version