毫无疑问,您阅读本文是因为您查看了任务管理器并想知道所有这些 rundll32.exe 进程到底是什么,以及它们为什么在运行……那么它们是什么?
这篇文章是一部分我们正在进行一系列解释各种进程在任务管理器中发现,像 中svchost.exe, dwm.exe,Ctfmon.exe会, mDNSResponder.exe,conhost.exe, Adobe_Updater.exe,和其他许多人。不知道这些服务是什么?最好开始阅读!
解释
如果您使用 Windows 已经有一段时间了,您就会在每个应用程序文件夹中看到数以百万计的 *.dll(动态链接库)文件,这些文件用于存储可以从多个应用程序访问的通用应用程序逻辑部分。应用程序。
由于无法直接启动 DLL 文件,因此 rundll32.exe 应用程序仅用于启动存储在共享 .dll 文件中的功能。此可执行文件是 Windows 的有效部分,通常不应构成威胁。
注意:有效进程通常位于WindowsSystem32rundll32.exe,但有时间谍软件会使用相同的文件名并从不同的目录运行以伪装自己。如果你认为你有问题,你应该总是运行扫描来确定,但我们可以验证到底发生了什么......所以继续阅读。
在 Windows 10、8、7、Vista 等上使用 Process Explorer 进行研究
我们可以不使用任务管理器,而是使用Microsoft的免费软件Process Explorer 实用程序来弄清楚发生了什么,它的好处是可以在每个版本的 Windows 中工作,并且是任何故障排除工作的最佳选择。
只需启动进程资源管理器,您将需要选择文件 显示所有进程的详细信息以确保您看到所有内容。
现在,当您将鼠标悬停在列表中的 rundll32.exe 上时,您将看到一个工具提示,其中包含它实际内容的详细信息:
或者您可以右键单击,选择属性,然后查看图像选项卡以查看正在启动的完整路径名,您甚至可以看到父进程,在这种情况下是 Windows shell (explorer.exe ),表示它很可能是从快捷方式或启动项启动的。
您可以向下浏览并查看文件的详细信息,就像我们在上面的任务管理器部分所做的那样。在我的例子中,它是 NVIDIA 控制面板的一部分,所以我不会对它做任何事情。
如何禁用 Rundll32 进程 (Windows 7)
根据进程是什么,您不一定要禁用它,但如果您愿意,可以在开始菜单搜索或运行框中键入msconfig.exe,您应该能够通过命令列找到它,它应该与我们在 Process Explorer 中看到的“命令行”字段相同。只需取消选中该框即可防止其自动启动。
有时,该流程实际上并没有启动项,在这种情况下,您可能需要进行一些研究才能弄清楚它是从哪里开始的。例如,如果您在 XP 上打开 Display Properties,您将在列表中看到另一个 rundll32.exe,因为 Windows 内部使用 rundll32 来运行该对话框。
在 Windows 8 或 10 中禁用
如果您使用的是 Windows 8 或 10,您可以使用任务管理器的启动部分来禁用它。
使用 Windows 7 或 Vista 任务管理器
Windows 7 或 Vista 任务管理器的一项重要功能是能够查看任何正在运行的应用程序的完整命令行。例如,您会看到我的列表中有两个 rundll32.exe 进程:
如果您转到查看 选择列,您将在列表中看到“命令行”选项,您需要检查该选项。
现在您可以在列表中看到文件的完整路径,您会注意到它是 System32 目录中 rundll32.exe 的有效路径,而参数是另一个实际正在运行的 DLL。
如果您向下浏览以找到该文件(在本例中为 nvmctray.dll),您通常会在将鼠标悬停在文件名上时看到它的实际内容:
否则,您可以打开“属性”并查看“详细信息”以查看文件说明,这通常会告诉您该文件的用途。
一旦我们知道它是什么,我们就可以确定是否要禁用它,我们将在下面介绍。如果根本没有任何信息,您应该谷歌它,或者在一个有用的论坛上询问某人。
当所有其他方法都失败时,您应该在一个有用的论坛上发布完整的命令路径,并从其他可能了解它的人那里获得建议。