Rundll32.exe грузит систему Windows

Те, кто регулярно работает в операционной системы Windows, могли обращать внимание, на тот факт, что основную массу файлов операционной системы занимают файлы в формате * .dll (Dynamic Link Library).

Эти файлы могут быть расположены в каждой папке приложения, и используются для хранения фрагментов логики приложения, кроме того эти библиотеки могут быть доступны из разных приложений.

Как правило нет никакого способа непосредственного запуска файлов DLL. Для этого в операционной системы Windows используется rundll32.exe приложение, которое выполняется запуск функций, хранящейся в общих DLL-файлах. Этот исполняемый файл является неотъемлемой частью Windows, и, как правило, не должен быть угрозой.

Примечание: исполняемый файл обычно находится в каталоге:

Но иногда шпионское программное обеспечение использует такое же имя файла (rundll32.exe) и/или запускается из другой директории для того, чтобы замаскировать себя. Если есть подозрение, что выполняются неизвестные программы, то необходимо выполнить детальную проверку запускаемых процессов, чтобы убедиться в правомерности запускаемого программного обеспечения.

Здесь стоит обратить внимание на тот факт, что зачастую используется системный файл rundll32.exe, но при этом запускаемые им библиотеки, могут быть неизвестного происхождения, что бывает не так очевидно при первом взгляде на процессы в диспетчере задач Windows.

Вместо того чтобы использовать Task Manager (стандартный диспетчер задач), мы скачаем бесплатную утилиту Process Explorer, разработанную Марком Руссиновичем и опубликованную на сайте Microsoft ( https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx ), чтобы выяснить, что происходит. Утилита имеет ряд преимуществ по сравнению со стандартной версией и является лучшим выбором для любой работы по устранению неполадок.

Просто запустите программу Process Explorer, далее в главном меню необходимо выбрать пункт File –> Show Details for All Processes, для отображения детальной информации о процессах. Скриншот ниже.

Теперь, когда вы наведите курсор мыши на rundll32.exe в списке процессов, вы увидите всплывающую подсказку с подробностями о том, что это на самом деле:

Или же вы можете щелкнуть правой кнопкой мыши, выберите Properties (Свойства), а затем посмотрите на вкладке Image, чтобы увидеть полный путь к файлу, который в настоящее время запущен, и вы даже можете увидеть процесс Родитель, который в данном случае является оболочкой для Windows (explorer.exe ), что свидетельствует о том, что он, вероятно, запускается с ярлыка или из раздела автозапуска.

В конце этой статьи можно просмотреть сведения о файле так же, как мы это делали в разделе менеджера задач выше. В моем случае файл — это часть панели управления NVIDIA, и поэтому я не собираюсь ничего с ним делать.

Как отключить процесс Rundll32 (Windows 7)

Для отключения процесса в операционной системе Windows 7, достаточно запустить из командной строки утилиту msconfig.exe.

Далее необходимо перейти к вкладке Startup (Автозагрузка) и далее найти нужный процесс в колонке Command , которая должна быть такой же, как поле «Командная строка» в окне Process Explorer.

Просто снимите флажок, чтобы предотвратить его автоматический запуск при следующей загрузке системы.

Иногда процесс фактически не имеет элемента в автозагрузки, в этом случае придется выполнить поиск запускаемого файла например в реестре.

Об использовании сторонней утилиты, для поиска проблемных файлов автозапуска, я напишу в завершении этой статьи.

Как отключить процесс Rundll32 (Windows 8 или 10)

Если вы используете Windows 8 или 10, вы можете использовать раздел Автозагрузка диспетчера задач, для проверки состояния и отключения приложений, выполняющих запуску при загрузке операционной системы.

Использование диспетчера задач (Windows 7)

Одной из главных особенностей диспетчера задач (Task Manager ) в Windows 7 или Vista, является возможность видеть полную командную строку для любого запущенного приложения. Например, вы увидите, что у меня есть два процесса rundll32.exe в моем списке задач на скриншоте ниже:

Если мы перейдем в ВидВыбор столбцов (ViewSelect columns), то в списке колонок увидим опцию «Командная строка» (Command Line), который хотим увидеть в диспетчере задач, ставим соответствующую галочку.

Теперь в диспетчере задач можно увидеть полный путь к файлу в отдельной колонке. Это правильный путь для rundll32.exe в каталоге System32, а его аргумент путь к другой DLL, которая на самом деле работает в настоящий момент.

Если навести курсор мыши, то отобразится полный путь к файлу. Можно пойти по этому пути и убедится, в том что библиотека *.dll запущенная c помощью rundll32.exe действительно принадлежит программе которую мы устанавливали ранее в системе.

Можно открыть Свойства библиотеки и посмотреть на детали

В противном случае, вы можете открыть Свойства и посмотреть на вкладке Подробно (Details) информацию о разработчике этого файла. Скриншот ниже.

Выяснив эти детали можно понять, стоит исключать данную библиотеку из автозагрузки или нет. Если вы не в курсе что это за библиотека, то в этом вам поможет Google.

Использование диспетчера задач (Windows 10)

Тем же функционалом, который присутствует в диспетчере задач в Windows 7 можно воспользоваться и в диспетчере задач в Windows 10.

Для подробного отображения сведений о текущих запущенных процессах, необходимо в диспетчере задач перейти во вкладку «Подробности«.

Для того, чтобы отображался столбец «Командная строка«, необходимо щелкнуть правой кнопкой мыши по соседнему столбцу и в контекстном меню пункт «Выбрать столбцы», далее в списке необходимо выбрать пункт «Командная строка«, поставить галочку и нажать Ок. Результат представлен на скриншоте выше.

AnVir Task Manager

В завершении рассмотрения программ, обеспечивающих поиск неуставного программного обеспечения, нельзя не обратить внимание на еще один бесплатный, но полезный продукт AnVir Task Manager, который обладает следующими функциями:

• Управление автозагрузкой, запущенными процессами, сервисами и драйверами,
• Обнаружение и удаление вирусов и шпионов, блокирование попыток заразить систему,
• Может заменять стандартный Диспетчера Задач.

Данная программа доступна для загрузки с сайта http://www.anvir.net . Одной из особенность AnVir является поиск всего автоматически запускаемого программного обеспечения в операционной системе Windows. В главном окне программы показаны названия процессов, степень их риска, где определен механизм автозапуска (например в реестре или в качестве системного сервиса), указана информация о разработчике, и путь к файлу.

Как правило из всего программного обеспечения указанного выше, в части управления процессами, AnVir можно считать лидером. AnVir обладает не только удобным в т.ч. русскоязычным интерфейсом, ни позволяем достаточно гибко управляем процессами запуска различного ПО. Поэтому при исследовании запущеных процессов, я бы рекомендвоал начинать с AnVir , и потом в дополнение использовать Process Explorer.

Что такое и для каких целей служит хост-процесс Windows rundll32

Почти каждый владелец компьютера на «Виндовс» когда-нибудь запускал диспетчер задач и изучал текущие процессы. Возможно, некоторые пользователи замечали среди них работу хост-процесса операционной системы Windows под названием «rundll32.exe».

Ниже приведена информация о том, для чего нужна эта служба, почему из-за нее часто появляются ошибки и как можно их исправить.

Что это за процесс и какие цели он преследует?

Это вспомогательная процедура в системе. При открытии какого-либо каталога, занятого приложением, всегда можно обнаружить в нем некоторое количество .dll-файлов. Они применяются программой во время работы и являются так называемыми файлами библиотек «DLL».

Для их запуска применяются файлы «.exe». Таким образом, Rundll32.exe – это одна из самых важных составляющих «Виндовс», без которых ОС не способна нормально функционировать.

Месторасположение

Как полагается файлу системы, он хранится в одной из директорий системного тома. Чтобы найти его, потребуется исполнить лишь несколько следующие шагов:

1. В окне проводника открыть содержимое системного тома «С»;
2. Далее перейти в каталог «Windows»;
3. Затем возможны два варианта, чтобы отыскать нужный файл:

а) в случае работающей в ПК 32-битной «Виндовс» он будет расположен в директории под названием «System32»,

б) если ОС имеет объем 64 бит, то он обычно хранится в «SysWOW64».

Знание того, где он должен находиться, поможет пользователю отличить вирусные приложения, которые нередко маскируются под этот системный файл.

Ошибки со ссылкой на процесс «rundll32.exe»

Злоумышленники очень любят использовать наименования подобных важных компонентов ОС в своих корыстных целях и присваивают их названия вирусным приложениям.

Если вовремя не удалить подобные вредоносные утилиты, то пользователь рискует не только исправностью «Виндовс», но и кражей личных денежных средств со своих электронных счетов и виртуальных кошельков.

Поэтому, если владелец ПК не желает увидеть, к примеру, «экран смерти» на дисплее или потерять свои «кровно заработанные», то сразу уже при обнаружении замедления работы компьютера из-за одноименного процесса в первую очередь следует осуществить полный анализ ПК антивирусным приложением.

Но иногда некоторые антивирусы не могут качественно справиться с проблемой, и даже после полной проверки какие-то из процессов «Rundll32.exe» продолжают перегружать ресурсы ПК.

В таком случае требуется исполнить нижеописанные рекомендации.

Как функционирует служба?

Суть ее работы заключается в том, что она запускает программный код, который хранится в файле библиотеки. Например, чтобы активировать адаптер «Блютуз» от фирмы «Моторола», тоже применяется «Rundll32.exe» и файл Btmshellex.dll.

Рекомендации по устранению причин ошибок

С целью выяснения, какая из работающих служб под наименованием «rundll32.exe» подлинная, а что – результат разработок злоумышленников, необходимо узнать место хранения исполнительного файла в памяти компьютера.

Также проблемными могут оказаться и некоторые файлы «.dll». Чтобы выявить источник ошибок, требуется обратиться к помощи диспетчера задач. Рассматриваемый процесс функционирует в режиме командной строки и работает с параметрами файлов библиотек.

Таким образом, посмотрев ее, можно будет узнать наименования проблемных файлов с расширением «.dll».

Потребуется выполнить всего несколько шагов:

1. Войти в «Диспетчер задач» (ДЗ);
2. Открыть вкладку «Вид»;
3. Далее в отобразившемся меню кликнуть по строчке «Выбрать столбцы…»;
4. Затем установить галочку в графе «Командная строка»;
5. В ДЗ возникнет столбец, из которого можно выяснить наименование искомого файла с расширением «.dll».

Чтобы выявить его отношение к программе, потребуется запустить поиск в компьютере и, найдя директорию, в которой он расположен, уже точно определить исполняющую ее программу.

После этого принять решение о необходимых действиях с проблемным приложением, например, произвести его обновление либо осуществить полную деинсталляцию с последующей установкой ее вновь и т. п. Вариантов действий множество, и требуется принимать различные решения в разных частных случаях.

После определения места, где находится файл, необходимо установить курсор так, чтобы появилась информация о нем.

Вызвав на нем контекстное меню и войдя в свойства, изучить более детально функции библиотеки.

Добытые сведения помогут в принятии решения о возможности деактивации файла.

Пример устранения проблемы

Очень часто зараженный «rundll32.exe» бывает причиной сбоя системы, при этом выводится следующее оповещение: «Windows cannot find C:\Windows\Rundll32.exe. Make sure you typed the name correctly and try again».

Если пользователь увидел это или подобное сообщение, то рекомендуется сразу произвести полный анализ компьютера на предмет наличия вредоносных компонентов антивирусной утилитой с обновленными базами данных.

Но в случаях повреждений файла антивирус не устранит ошибку, поэтому потребуется открыть его месторасположение и вручную решить проблему, руководствуясь методикой, описанной выше в этом руководстве.

При отсутствии положительных результатов после исполнения вышеизложенных инструкций рекомендуется выполнить следующие действия:

1. Установить CD либо DVD с Windows в привод компьютера;
2. Затем кликнуть «Пуск» и нажать «Выполнить»;
3. Далее щелкнуть «Обзор»;
4. После этого в графе «Открыть» напечатать следующий путь: «E: \ i386 \ rundll32.ex_ C: \ Windows \ system32 \ rundll32.exe» (в этом примере вместо «Е» пользователю требуется поставить букву, которая соответствует оптическому приводу его компьютера);
5. Перезапустить ПК;
6. Готово. Сообщение об ошибке после этого появляться не будет.

Дополнительные способы решения проблемы

Существует специальное приложение «DLL Suite», которое доступно для скачивания в интернете. После ее инсталляции и запуска в проблемном компьютере необходимо запустить поиск ошибок в системе.

Далее потребуется только кликнуть одну кнопку, и все обнаруженные неполадки будут быстро устранены в автоматическом режиме. А также в этой утилите предусмотрена функция скачивания официальной версии файла «RunDll32.exe».

После того как он будет скачан, произойдет автоматическое сохранение в нужной директории на системном томе ПК.

Заключение

Теперь для пользователя уже не должно остаться секретов о назначении этого важного файла, и есть все необходимые знания для устранения наиболее часто возникающих сложностей по вине этой службы.