Про процесс rundll3?ex

Процесс “rundll32.exe”: что за процесс и можно ли его отключить?

Читайте о том, какие функции на самом деле выполняет «rundll32.exe», и почему их так много работает одновременно.

За что отвечает «rundll32.exe»?

Если вы работали в операционной системе Windows в течение некоторого времени, то обязательно видели тонны файлов с расширением «*.dll» (Dynamic Link Library) в каждом каталоге с установленным ПО. Они используются для хранения общих частей логики программных функций, к которым можно получить доступ из любого приложения.

Поскольку «DLL-файлы» не являются исполняемыми сами по себе, то стандартное системное приложение «rundll32.exe» используется для подключения и запуска функций, хранящихся в этих файлах. Этот исполняемый файл является неотъемлемой частью ОС Windows и не может представлять угрозу для вашего ПК.

Примечание: сам исполняемый файл обычно располагается в каталоге «С:WindowsSystem32rundll32.exe». Были замечены случаи, когда вредоносное программное обеспечение использует имя этого файла и пытается запустить его из другого каталога, чтобы замаскироваться. Если у вас возникли подозрения, то проведите полное сканирование системы с помощью антивирусного ПО, но мы можем точно узнать что происходит.

Проведем исследование с программой «Process Explorer» для Windows 10, 8, 7, Vista и т. д.

Вместо использования стандартного «Диспетчера задач», мы установим бесплатную утилиту «Process Explorer» от «Microsoft», чтобы выяснить что происходит на самом деле. Скачать эту утилиту можно на официальном веб-сайте компании «Microsoft», просто перейдите по ссылке:

Вы скачаете «ProcessExplorer.zip», разархивируйте архив и запустите файл «procexp.exe» если вы работаете на ОС Windows x86, или «procexp64.exe» если ваша система х64. Выбираем в меню «File» – > «Show Details for All Processes», для того чтобы увидеть все запущенные процессы.

Теперь, когда вы наведете курсор мыши на любой процесс в списке, выпадет всплывающая подсказка с описанием данного процесса.

Или можно щелкнуть правой кнопкой мыши по процессу и выбрать «Properties», чтобы увидеть всю доступную информацию о нем. На вкладке «Image» можно проверить полный путь к исполняемому файлу, а также узнать родительский процесс (поле «Parent»), который в этом случае является командной строкой Windows (cmd.exe ).

Также можно узнать все сведения о данном файле, как и в «Диспетчере задач».

Как отключить процесс Rundll32 в Windows 7?

В большинстве случаев данный процесс не нужно отключать, но если это потребуется, то вам понадобится завершить родительский процесс, который запустил эту утилиту. В данном конкретном случае нужно завершить процесс «cmd.exe». Это легко можно сделать в «Диспетчере задач», откройте его, найдите процесс «cmd.exe», щелкните правой кнопкой мыши на нём и выберите пункт «Снять задачу».

Если же «rundll32.exe» запустила какая-то служба, то необходимо в строке поиска Windows ввести «msconfig.exe» или в меню «Пуск» – > «Выполнить», найдите по названию нужную службу (название можно найти в свойствах процесса Process Explorer). И просто снимите флажок, чтобы она не запускалась автоматически.

Иногда «rundll32.exe» фактически не имеет родительского процесса (он не отображается в свойствах процесса), и в этом случае вам придется выяснять откуда именно он был запущен. Например, если вы откроете «Свойства экрана» в операционной системе Windows XP, то, запустив «Диспетчер задач», увидите еще один процесс «rundll32.exe» в списке, потому что эта версия ОС сама использует «rundll32.exe» для запуска этого диалога.

Отключение «rundll32.exe» в Windows 8 или 10

В Windows 8 или 10, чтобы завершить выполнение родительского процесса, также открываете «Диспетчер задач», выделяете процесс и жмёте «Снять задачу».

Для отключения приложения, которое запускается автоматически при перезагрузке Windows и является родительским процессом для «rundll32.exe», необходимо открыть «Диспетчер задач» и перейти на вкладку «Автозагрузка», чтобы отключить его. Потом перезагрузите компьютер, и этого приложения как не бывало.

Интересные фишки Диспетчера задач Windows 7 и Vista

Одной из замечательных особенностей «Диспетчера задач» в Windows 7 или Vista является возможность увидеть полную информацию для любого запущенного процесса. Например, можно убедится, что в моем списке есть два процесса «rundll32.exe»:

Перейдите во вкладку главного меню «Вид» – > «Выбрать столбцы», в появившемся списке найдите опцию «Командная строка», и поставьте галочку напротив неё.

Теперь можно увидеть название исполняемого процесса и полный путь к файлу (не всегда), и аргумент – это и есть DLL-файл, он фактически является тем куском кода, который именно выполняется в данный момент.

Теперь нужно посмотреть в каком каталоге находится сам подключаемый модуль, запускаем поиск на ПК по названию, в нашем примере это «shwebsvc.dll».

Кликаем правой кнопкой мыши и выбираем «Свойства», после чего переходим на вкладку «Подробно». В описании файла сказано, что это компонент «Веб-службы оболочки Windows», авторское право принадлежит компании Microsoft. Следовательно, этот процесс не нужно завершать, так как он является частью операционной системы.

То есть, когда вы узнали, какой именно файл подключает «rundll32.com», и какой системный процесс его запустил, то сами будете решать нужен он вам или нет. Если вы не смогли найти информацию о подключаемой библиотеке, то всегда можно воспользоваться «Google» и найти ответ.

Если и так вы ничего не нашли, то мы очень рекомендуем сделать полное сканирование системы с помощью вашего антивируса. Как вариант, задайте вопрос на каком-либо специализированном форуме, возможно кто-то уже встречался с подобной проблемой и может дать вам дельный совет.

Способы устранения ошибки RunDLL

Наверное, многие не раз сталкивались с ошибкой RunDll.exe, и у каждого заготовлен метод борьбы с ней. Что означает это сообщение, причины его появления и как устранить без потери информации и файлов?

Ошибка «RunDll не найден указанный модуль» при запуске системы — что это

RunDll.exe — утилита Windows, которая необходима для запуска программного кода в DLL-файлах.

Ошибка «RunDll не найден указанный модуль» чаще всего появляется при включении компьютера, запуске программ или использовании некоторых операций, таких как, например, печать файла.

Причин появления ошибки RunDll может быть несколько

Причины

1. Вредоносные программы и вирусы (черви, трояны, adware, spyware), которые изменяют и удаляют нужные файлы DLL.
2. Повреждённые ключи реестра Windows, которые могут быть связаны с RunDll.exe.
3. Неправильная установка или удаление программ и приложений.

Ниже приведён список наиболее распространённых сообщений об ошибках RunDll.exe.

1. Ошибка приложения rundll.exe.
2. Rundll.exe не является приложением Win32.
3. Возникла ошибка в приложении rundll.exe. Приложение будет закрыто. Приносим извинения за неудобства.
4. Файл rundll.exe не найден.
5. Ошибка запуска программы: rundll.exe.
6. Файл Rundll.exe не запущен.
7. Отказ Rundll.exe.
8. Неверный путь к приложению: rundll.exe.

Подобные сообщения об ошибках .*exe могут возникнуть при установке программы, связанной с RunDll.exe (например, SharePoint Portal Server), при старте, завершении работы, а также при установке операционной системы Windows.

Как исправить на компьютере или ноутбуке

Итак, существует несколько способов устранения этой проблемы. Ниже изложены подробные инструкции.

Переустановка операционной системы

Первый вариант убрать ошибку — полная переустановка операционной системы, — но он не совсем приемлем, поскольку установка и настройка ОС и всех необходимых программ займёт массу времени, к тому же не все пользователи умеют делать это правильно.

Проверка системных файлов

Утилита sfc/scannow предназначена для проверки целостности системных файлов и их восстановления. Для её запуска в командной строке нужно ввести sfc/scannow от имени администратора. Команда выполнит сканирование и заменит повреждённые файлы их кэшированной копией.

Процедуру рекомендуется выполнять в безопасном режиме до запуска драйверов и процессов. Не закрывайте окно, пока не завершится проверка и восстановление.

Один из способов решить проблемы — проверить системные файлы на ошибки

Видео: как выполнить сканирование и восстановление файлов Windows

Утилита «Autoruns»

1. Для начала потребуется с официального сайта Microsoft скачать утилиту Autoruns (разработчик Sysinternals).

Важно! Прежде чем приступать к дальнейшей инструкции, создайте точку восстановления системы, иными словами сделайте бэкап, дабы при неудачной попытке не потерять важные файлы и информацию.

Распаковать архив. В папке находится два файла: autoruns и autorunsc, запустить нужно первый.

Чтобы приступить к работе, нужно запустить файл autoruns

Во вкладке Everything нужно найти файлы, выделенные жёлтым цветом

Устранение ошибки с помощью планировщика задач

Эта инструкция позволит вам решить проблему без установки дополнительных программ и утилит.

1. Запустить планировщик задач одним из способов:
   • в командной строке набрать «Taskschd.msc»;
   • зайти в «Панель управления», затем открыть «Система и её обслуживание» — «Администрирование» — «Планировщик заданий».

Для начала нужно запустить «Планировщик задач»

Нажать на пункт «Отобрать все выполняемые задачи»

В планировщике появится окно с выполняемыми на данный момент задачами

Здесь можно увидеть, в какой директории находится файл

Открыть список активных задач

В верхней части окна содержится информации о состоянии задачи

Во вкладке «Действия» нажать на выделенную задачу

Очистить поле «Добавить аргументы (необязательно)»

Видео: как быстро устранить ошибку RunDll

Итак, мы предложили несколько способов борьбы с ошибкой RunDll. Но чтобы подобных проблем не возникало, стоит соблюдать простые рекомендации:

• установите антивирус, чтобы обеспечить защиту своего компьютера;
• регулярно сканируйте диски на наличие вирусов и вредоносных файлов;
• проводите проверку реестра, чтобы избежать хранения устаревших или повреждённых записей.

Про процесс rundll32.exe

Процесс rundll32.exe Windows/

Приветствую вас на страничках блога Компьютер76, сегодня рассмотрим процесс rundll32.exe . Что за процесс, почему их запущено несколько или нет вообще.

Теория. Как всегда.

Если вы пользуетесь Windows порядочное время, то могли заметить, что в папке с практически любым приложением существует множество файлов с расширением .dll – «длл-ки» (если, конечно, система настроена так, что вы вообще можете читать расширения файлов). Это – динамически подключаемые библиотеки, и используются они для хранения совместимых составляющих логики программы или приложения так, чтобы к ним был доступ от любого (или, по крайней мере, большинства) другого приложения.

Файл .dll не запустится по нажатии по нему двойным щелчком мыши. Потому приложение или процесс rundll32.exe призван прочитать запись из этих фалов библиотек, и чтение происходит перекрёстным манером – от приложения к приложению, от системы к программе и наоборот. Для разработчиков программ это панацея от бесконечно увеличивающихся требований к оперативной памяти в текущем сеансе разработанного ими приложения и запущенного сейчас пользователем: основная программа запускается от имени пользователя – нужные библиотеки выгружаются из папки с программой – программа закрывается – .dll-файлы захлопываются (впрочем, не всегда). Плюс к тому разные приложения могут между собой взаимодействовать – это и есть конечный смысл этих маленьких файлов. А rundll32.exe всем этим управляет. Этот процесс rundll32.exe санкционирован системой, в нём нет ничего запретного и незаконного в смысле доступа. И некоторые вирусы научились этим пользоваться.

Строго говоря, им любят прикрываться компьютерные черви. Расположение rundll32.exe одно:

Ваш_дискWindowsSystem32rundll32.exe

А если вы решили проверить расположение процесса, и путь ведёт не в эту папку (туда без разрешения системы вообще положить ничего не получится), то пора запускать антивирусное ПО. Для чистоты эксперимента сделайте это в безопасном режиме с поддержкой сетевых драйверов. Однако некоторые выводы вы сможете сделать и без антивирусной программы. Так, на процессе rundll.exe показано Откуда запускаются и чем поддерживаются процессы в Windows.

Что запущено от имени rundll32.exe ?

Чтобы пристальнее на него взглянуть, можно воспользоваться встроенным Диспетчером задач или его бесплатным аналогом, знакомым профессионалам с ещё незапамятных времён. Это утилита Process Explorer . Теперь она принадлежит самой Microsoft и призвана расширить функции встроенной в Windows утилиты. Скачать можно по адресу:

Вы скачаете zip-архив. Скопируйте .exe файл на Рабочий стол и запустите. Перед вами обновлённый Диспетчер задач. Нажмите File Show Details for All Processes , подтвердите права администратора и увидите полный список запущенных процессов в системе.

Вобщем, не важно каким инструментом вы пользуетесь. Процесс rundll32.exe является системным и от глаз пользователя не скрывается. Его также можно легко обнаружить и в файле конфигурации пользователя. Это тот, что вызывается знаменитой командой строки поиска:

Здесь, во вкладке Автозагрузки процесс, связанный с rundll32.exe, иногда можно «выцепить» – он прописан в пути к приложению:

У меня никакой процесс rundll32.exe не запущен…

А вот это нормально. И даже хорошо. Если у вас 32-битная Windows, даже не задумывайтесь. Если вы обладатель 64-битной версии, стоит просто внимательнее отнестись к версиям установленных программ (точнее, к их разрядности: может, уже вышла именно 64-битная версия?). А вот если вы не попадаете ни под первую, ни под вторую категорию пользователей, стоит задуматься…

По моему опыту постоянно отображённый в Диспетчере процесс rundll32.exe свидетельствует о нарушениях в работе с оборудованием или программами, которые связаны между собой. Это нарушение может быть локальным (в течение текущего сеанса; после перезагрузки нормализуется) или постоянным (повреждение самих файлов, «битый драйвер», плохие сектора HDD, вирус).

Ошибка c:windowssystem32rundll32.exe application not found…

Пользователи Windows 7 и позднее с такой проблемой сталкиваются редко. Для пользователей Windows XP эта проблема возникала почаще. Равно как и путей решений было поболе. В любом случае 100%-м решением было копирование изначального файла rundll32.exe с загрузочного диска или из сети (опасайтесь подделок!).

RunDLL возникла ошибка при запуске. Указанный модуль не найден. Как исправить?

Многие пользователи после обновления с Windows 8 до Windows 8.1 получают такую ошибку: “RunDLL возникла ошибка при запуске. Указанный модуль не найден”. Если это происходит каждый раз, когда вы запускаете систему, то можно попробовать найти решение в этой статье.

Решений есть несколько, например, переустановка Windows. Тем более, что это делается в наше время довольно быстро, а для установки некоторых программ все же придется потратить немного времени.

Преимущество такой установки в отличие от обновления старой версия Windows до более новой, заключается в том, что никаких повреждений системы и лишних записей не остается, поэтому такой способ очень эффективен и предпочтителен.

На форумах компании Microsoft, от пользователей, как раз появляется сообщения об этой ошибке. Выглядит оно вот так:

Возникла ошибка при запуске

Не найден указанный модуль.

Как видим, в сообщении об ошибке нет ничего такого, что могло бы решить эту проблему, то есть, неизвестно в какую сторону копать. Также, пользователи могут видеть даже до 3-х сообщений об этой ошибке.

Можно, конечно, проверить диск при помощи команды sfc /scannow, которую нужно вводить в командной строке от имени администратора. Это может устранить проблему, а может и нет. Поэтому, мы перейдем к следующему методу, только создайте сначала точку восстановления, чтобы потом не было еще больших проблем.

• Скачайте утилиту под названием Autoruns, для этого зайти сюда. Данный инструмент рекомендуют сами разработчики из Microsoft, так как он не плохо проводит анализ системы и сможет выявить какие-либо проблемы. После закачки откройте архив любым архиватором.

• Как только вы распаковали инструмент, можно увидеть два файла, из них запускаем Autoruns.

• Отлично. Теперь, в открывшемся окне, ищем вкладку Everything и в окне ниже найдите такие записи, которые выделены жёлтым цветом. Далее, просто удалите их, посредством нажатия на них правой кнопкой мыши, а потом Delete .

• После удаления всех этих записей, закрывайте программу Autoruns и перезагрузите компьютер. Скорее всего, проблема будет устранена.

Может ли процесс rundll32.exe быть вирусом – как его отключить

Если Вы пользуетесь системой Windows достаточно долгое время, то видели «тысячи» файлов с расширением .dll (динамически подключаемая библиотека) в каждой папке приложения, которая используется для хранения логических частей приложения, которые должны быть доступны из нескольких приложений.

Поскольку не существует никакого способа, чтобы непосредственно запустить dll файл, приложение rundll32.exe просто используется для запуска функций, хранящиеся в общих .dll файлах. Этот исполняемый файл является частью Windows и, как правило, не опасен.

Примечание: надежный процесс обычно находится в папке WindowsSystem32rundll32.exe, но иногда вирусы используют тоже название и запускаются из другой директории, чтобы замаскировать себя. Если вы считаете, что у вас есть проблемы, Вам следует запустить антивирусное сканирование, чтобы быть уверенным, что не происходит чего-то опасного.

Исследование с помощью Process Explorer

Вместо того, чтобы использовать Диспетчер задач, мы можем воспользоваться инструментом Process Explorer от Microsoft, который работает во всех версия Windows и является лучшим выбором для решения любых неисправностей в работе операционной системы.

Просто запустите Process Explorer и нажмите Показать детали для всех процессов, чтобы убедиться, что вы видите всё.

Теперь при наведении курсора на rundll32.exe в списке, вы увидите всплывающую подсказку с деталями, что это на самом деле:

Вы можете щелкнуть правой кнопкой мыши, выбрать Свойства, а затем внимательно изучить вкладку Image, чтобы увидеть полный путь к файлу, который запускается, и вы можете даже увидеть родительский процесс, которым в данном случае является оболочка Windows (explorer.exe).

Вы можете просмотреть детали файла, как мы делали в предыдущем разделе в диспетчере задач.

Как отключить процесс rundll32 в Windows

В зависимости от того, какой процесс связан с rundll32, отключать его не обязательно, но если вы хотите, то можете использовать Диспетчер задач ( Ctrl + Alt + Del ). Затем перейдите на вкладку Автозагрузка и снимите флажок у соответствующей записи.

Иногда процесс rundll32 не имеет элементов в автозагрузке, в этом случае, вероятно, Вам придётся провести некоторые исследования, чтобы выяснить, откуда он запускается.

RunDll32 – вызов функций библиотек DLL

RunDll32 – системная утилита командной строки, разработанная для загрузки и запуска функций из 32/64-битных библиотек DLL. Распространено ошибочное мнение, что утилита rundll32 является средством для “запуска DLL” по аналогии с исполняемым приложением, в действительности же DLL невозможно “запустить”, поскольку это не исполняемый образ в классическом понимании (вроде .EXE). Для того, что бы понять причины этого явления, следует разобраться, что же такое библиотека:

Одним словом просто так вот щелкнуть в проводнике по .dll-файлу и запустить его не получится. Но как же быть когда возникает необходимость запускать из командной строки на исполнение функции той или иной библиотеки? Оказывается, такая возможность в системе присутствует и реализуется она при помощи утилиты rundll32.exe, которая предназначена для запуска функций (процедур) хранящихся в библиотеках DLL. Но имеется одно ограничение, rundll32 позволяет получить доступ только к функциям/процедурам, которые были описаны надлежащим образом. Мало того, что вызываемые функции должны быть экспортируемыми, так они еще должны удовлетворять специфичным требованиям к определению входных параметров. Функции библиотек, которые не помечены как экспортируемые, запускаться посредством rundll32 не могут.

Бытует мнение, что утилита rundll32 изначально была спроектирована разработчиками для внутренних нужд самой операционной системы, то есть использовалась системой Windows для запуска ограниченного количества функций системных DLL.

Утверждается, что когда-то (давным-давно) функциональные особенности rundll32 были неявными, то есть “скрытыми” от пользователя системы, но при этом самой системой активно эксплуатирующимися. Со временем утилита rundll32 превратилась в достаточно продвинутое средство, и в определенный момент, по причине того, что программа предоставляла возможности общего характера, разработчики решили включить её в комплект ОС в виде отдельной утилиты. В состав Microsoft Windows 95, Windows 98 и Windows Millennium входили программы rundll.exe и rundll32.exe . А в операционных системах Microsoft Windows NT 4.0, Windows 2000 и Windows XP, в сборку была включена единственная утилита с именем rundll32.exe .

Причина подобного отношения кроется в многочисленных проблемах, связанных с использованием rundll32 в своих программных окружениях. Как же без rundll32, спросите Вы? Оказывается, Microsoft активно пишет специализированные системные утилиты, которые постепенно заменяют функционал полюбившегося нам многочисленного программного функционала. Поэтому, время от времени в процессах Windows 7 можно таки встретить процесс rundll32, однако встречается подобное явление всё реже и реже.

Алгоритм работы rundll32

В общих чертах, поскольку утилита представляет из себя некую обертку, алгоритм работы rundll32 можно описать следующим образом:

1. Вызывается функция LoadLibrary() , которая загружает выбранную DLL;
2. Вызывается функция GetProcAddress() , для получения адреса точки входа вызываемой из библиотеки функции;
3. Вызывается сама функция и ей передаются входные параметры;
4. Происходит выход из функции по завершению её работы;
5. Библиотека DLL выгружается системой из памяти.

Как увидеть полный путь запуска rundll32

Если в системе ни с того ни с сего вдруг удалось обнаружить запущенный процесс rundll32, и вам стало интересно, а какой же, собственно, функционал утилита выполняет, то можно определить это по полному пути запуска утилиты rundll32. Посмотреть полный путь запуска, то есть параметры командной строки можно при помощи системной утилиты Task Manager.
Вызовите “Диспетчер задач” ( Ctrl + Shift + Esc ), перейдите в меню “Вид”, выберите пункт “Выбрать столбцы..” и пролистав список вниз, найдите пункт “Командная строка” и отметьте его чекбокс, затем нажмите ОК . Результатом будет появление в главном окне диспетчера задач в параметре “командная строка” полной строки запуска rundll32.

32-битные и 64-битные версии программы

В 64-битных версиях ОС семейства Windows присутствуют 2 варианта программы rundll32.exe :

• 64-битная версия, расположенная в %SystemRoot%System32 ;
• 32-битная версия, расположенная в %SystemRoot%SysWOW64 .

В 64-битной ОС, для загрузки 64-битной библиотеки DLL может быть использована 64-битная версия rundll32.exe , находящаяся в директории %SystemRoot%System32 . Напротив, 32-битные программы в 64-битной ОС, обращающиеся к %SystemRoot%System32 , в целях обеспечения совместимости будут перенаправлены в %SystemRoot%SysWOW64 и, соответственно, будут использовать уже 32-битную версию rundll32.exe .

Пример использования rundll32

Для запуска программы rundll32 используется синтаксис командной строки следующего вида:

В качестве примера предлагаю разобрать команду запуска апплета “Язык и региональные стандарты” панели управления, вкладка “Форматы”:

rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,0

При выполнении данной команды утилита rundll32 вызовет функцию Control_RunDLL(), находящуюся в библиотеке shell32.dll , и передаст ей следующие параметры:

Теперь давайте отметим и некоторые требования к синтаксису rundll32:

• Параметр, описывающий точку входа вызываемой функции (EntryPoint) чувствителен к регистру. Это означает, что значение Control_RunDLL не тоже самое что control_rundll . Довольно часто неправильное указание регистра символов вызываемой функции приводит к ошибкам отказа в обнаружении последних.
• Функция (в приведенном выше примере — функция Control_RunDLL()) должна самостоятельно выполнять анализ командной строки и идентифицировать отдельные ее аргументы.
• Утилиты rundll/rundll32 ищут указанную библиотеку DLL в стандартных местоположениях.

В нашем примере библиотека shell32.dll располагается по известному в переменной %PATH% пути, поэтому мы и указываем её в сокращенном виде. Чтобы быть уверенным, что будет загружена именно интересующая нас библиотека DLL, рекомендуется конкретизировать полный путь к файлу библиотеки. В противном случае может возникнуть ситуация, когда в системе может присутствовать одноименная библиотека, находящаяся в стандартном местоположении (например, по путям, определяемым %PATH% ), а та, которую хотите использовать Вы, находится по неизвестному системе пути, в этом случае утилитой rundll32 будет вызвана первая библиотека.

Правила создания функций

Очевидно, что в создаваемую нами пользовательскую библиотеку DLL нам необходимо поместить функцию со входными следующими параметрами.
Пример описания процедуры на языке Ассемблера: