14Aug
U leest dit artikel ongetwijfeld omdat u in de taakbeheerder hebt gekeken en zich afvroeg wat in feite al die processen van rundll32.exe zijn en waarom ze worden uitgevoerd. .. Dus wat zijn ze?
Dit artikel maakt deel uit van onze doorlopende serie waarin verschillende processen worden beschreven die worden gevonden in Taakbeheer, zoals svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe en vele anderen. Weet niet wat die services zijn? Beter beginnen met lezen!
Uitleg
Als je al een tijdje in Windows bent geweest, heb je de ontelbare *. dll-bestanden( Dynamic Link Library) in elke applicatiemap gezien, die worden gebruikt om gemeenschappelijke stukjes applicatielogica op te slaan die kunnen worden gebruikttoegankelijk vanuit meerdere applicaties.
Aangezien er geen manier is om een DLL-bestand direct te starten, wordt de toepassing rundll32.exe eenvoudig gebruikt om de functionaliteit te starten die is opgeslagen in gedeelde dll-bestanden. Dit uitvoerbare bestand is een geldig onderdeel van Windows en mag normaal geen bedreiging vormen.
Opmerking: het geldige proces bevindt zich normaliter op \ Windows \ System32 \ rundll32.exe, maar soms gebruikt spyware dezelfde bestandsnaam en wordt het vanuit een andere directory uitgevoerd om zichzelf te verbergen. Als u denkt dat u een probleem heeft, moet u altijd een scan uitvoeren om zeker te zijn, maar we kunnen controleren wat er precies aan de hand is. .. dus blijf lezen.
Onderzoek met Process Explorer op Windows 10, 8, 7, Vista, enz.
In plaats van Taakbeheer te gebruiken, kunnen we het freeware Process Explorer-hulpprogramma van Microsoft gebruiken om erachter te komen wat er aan de hand is, wat het voordeel heeft dat het in elke versie werktvan Windows en de beste keuze zijn voor elke taak voor probleemoplossing.
Start eenvoudig Process Explorer en kies Bestand \ Details weergeven voor alle processen om ervoor te zorgen dat u alles ziet.
Als u nu met de muis over de rundll32.exe in de lijst gaat, ziet u een tooltip met de details van wat het eigenlijk is:
Of u kunt met de rechtermuisknop klikken, Eigenschappen kiezen en vervolgens het tabblad Afbeelding bekijken omzie de volledige padnaam die wordt gestart en je kunt zelfs het bovenliggende proces zien, in dit geval de Windows-shell( explorer.exe), waarmee wordt aangegeven dat het waarschijnlijk is gestart vanuit een snelkoppeling of opstartitem.
U kunt naar beneden bladeren en de details van het bestand bekijken, net zoals we deden in het gedeelte over taakbeheer hierboven. In mijn geval maakt het deel uit van het NVIDIA-configuratiescherm en dus ga ik er niets aan doen.
Hoe het Rundll32-proces uit te schakelen( Windows 7)
Afhankelijk van wat het proces is, wilt u het niet noodzakelijkerwijs uitschakelen, maar als u dat wilt, kunt u msconfig.exe in het startmenu zoeken ofvoer box uit en je zou het moeten kunnen vinden door de kolom Command, die hetzelfde zou moeten zijn als het veld "Command line" dat we in Process Explorer zagen. Schakel het selectievakje uit om te voorkomen dat het automatisch wordt gestart.
Soms heeft het proces eigenlijk geen opstartitem, in welk geval u waarschijnlijk wat onderzoek zult moeten doen om uit te zoeken waar het vandaan kwam. Als u bijvoorbeeld Display Properties op XP opent, ziet u een andere rundll32.exe in de lijst, omdat Windows intern rundll32 gebruikt om dat dialoogvenster uit te voeren.
Uitschakelen in Windows 8 of 10
Als u Windows 8 of 10 gebruikt, kunt u het gedeelte Opstarten van Taakbeheer gebruiken om het uit te schakelen.
Windows 7 of Vista Task Manager gebruiken
Een van de geweldige functies in Windows 7 of Vista Task Manager is de mogelijkheid om de volledige opdrachtregel voor elke actieve toepassing te zien. U ziet bijvoorbeeld dat ik twee rundll32.exe-processen in mijn lijst hier heb:
Als u naar View \ Select Columns gaat, ziet u de optie voor "Command Line" in de lijst, die u wiltcontroleren.
Nu kunt u het volledige pad voor het bestand in de lijst zien, wat u zal opvallen is het geldige pad voor rundll32.exe in de System32-directory en het argument is een ander DLL-bestand dat feitelijk wordt uitgevoerd.
Als u bladert naar beneden om dat bestand te vinden, wat in dit voorbeeld nvmctray.dll is, zult u meestal zien wat het werkelijk is wanneer u met uw muis over de bestandsnaam beweegt:
Anders kunt u de eigenschappen openen en een kijkje nemenbij de Details om de bestandsbeschrijving te zien, die u meestal het doel voor dat bestand zal vertellen.
Als we eenmaal weten wat het is, kunnen we erachter komen of we het willen uitschakelen of niet, wat we hieronder zullen bespreken. Als er helemaal geen informatie is, zou je het moeten google of iemand vragen op een nuttig forum.
Wanneer al het andere faalt, zou je het volledige pad moeten posten op een nuttig forum en advies krijgen van iemand anders die er misschien meer van weet.