Rundll32.exe là gì và tại sao nó lại chạy?
Bạn không nghi ngờ gì khi đọc bài viết này bởi vì bạn đã xem trình quản lý tác vụ và tự hỏi những gì trên trái đất tất cả các quá trình rundll32.exe đó là gì và tại sao chúng lại chạy trên Vậy Vậy chúng là gì?
Bài viết này là một phần trong chuỗi liên tục của chúng tôi giải thích các quy trình khác nhau được tìm thấy trong Trình quản lý tác vụ, như svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe và nhiều quy trình khác. Không biết những dịch vụ đó là gì? Bắt đầu đọc tốt hơn!
Giải trình
Nếu bạn đã ở quanh Windows trong bất kỳ khoảng thời gian nào, bạn đã thấy hàng trăm tệp * đậm (Thư viện liên kết động) trong mọi thư mục ứng dụng, được sử dụng để lưu trữ các đoạn logic ứng dụng phổ biến có thể được truy cập từ nhiều các ứng dụng.
Vì không có cách nào để trực tiếp khởi chạy tệp DLL, ứng dụng rundll32.exe chỉ đơn giản được sử dụng để khởi chạy chức năng được lưu trữ trong các tệp được chia sẻ. Phần thi hành này là một phần hợp lệ của Windows và thông thường không nên là mối đe dọa.
Lưu ý: quy trình hợp lệ thường được đặt tại \ Windows \ System32 \ rundll32.exe, nhưng đôi khi phần mềm gián điệp sử dụng cùng tên tệp và chạy từ một thư mục khác để ngụy trang. Nếu bạn nghĩ rằng bạn có vấn đề, bạn nên luôn luôn quét để chắc chắn, nhưng chúng tôi có thể xác minh chính xác những gì đang xảy ra trên nên hãy tiếp tục đọc.
Nghiên cứu sử dụng Process Explorer trên Windows 10, 8, 7, Vista, v.v.
Thay vì sử dụng Trình quản lý tác vụ, chúng tôi có thể sử dụng tiện ích Process Explorer miễn phí từ Microsoft để tìm hiểu điều gì đang xảy ra, có lợi ích khi làm việc trong mọi phiên bản Windows và là lựa chọn tốt nhất cho mọi công việc khắc phục sự cố.
Chỉ cần khởi chạy Process Explorer và bạn sẽ muốn chọn File \ Show Chi tiết cho tất cả các quy trình để đảm bảo rằng bạn đang nhìn thấy mọi thứ.
Bây giờ khi bạn di chuột qua rundll32.exe trong danh sách, bạn sẽ thấy một chú giải công cụ với các chi tiết về nó thực sự là gì:
Hoặc bạn có thể nhấp chuột phải, chọn Thuộc tính, sau đó xem tab Hình ảnh để xem tên đường dẫn đầy đủ đang được khởi chạy và thậm chí bạn có thể thấy quy trình Parent, trong trường hợp này là shell Windows (explorer.exe ), chỉ ra rằng nó có khả năng được khởi chạy từ một phím tắt hoặc mục khởi động.
Bạn có thể duyệt xuống và xem chi tiết của tệp giống như chúng tôi đã làm trong phần quản lý tác vụ ở trên. Trong trường hợp của tôi, nó là một phần của bảng điều khiển NVIDIA và vì vậy tôi sẽ không làm gì với nó.
Cách vô hiệu hóa quy trình Rundll32 (Windows 7)
Tùy thuộc vào quy trình là gì, bạn sẽ không nhất thiết phải vô hiệu hóa nó, nhưng nếu bạn muốn, bạn có thể nhập msconfig.exe vào hộp bắt đầu tìm kiếm hoặc hộp chạy và bạn sẽ có thể tìm thấy nó bằng cột Lệnh, giống như trường Dòng lệnh Command mà chúng ta đã thấy trong Process Explorer. Chỉ cần bỏ chọn hộp để ngăn không cho nó bắt đầu tự động.
Đôi khi quá trình không thực sự có một mục khởi động, trong trường hợp đó, bạn có thể sẽ phải thực hiện một số nghiên cứu để tìm ra nó bắt đầu từ đâu. Chẳng hạn, nếu bạn mở Thuộc tính hiển thị trên XP, bạn sẽ thấy một rundll32.exe khác trong danh sách, vì Windows sử dụng rundll32 trong nội bộ để chạy hộp thoại đó.
Vô hiệu hóa trong Windows 8 hoặc 10
Nếu bạn đang sử dụng Windows 8 hoặc 10, bạn có thể sử dụng phần Khởi động của Trình quản lý tác vụ để tắt nó.
Sử dụng Windows 7 hoặc Vista Trình quản lý tác vụ
Một trong những tính năng tuyệt vời trong Windows 7 hoặc Vista Task Manager là khả năng xem dòng lệnh đầy đủ cho bất kỳ ứng dụng nào đang chạy. Chẳng hạn, bạn sẽ thấy rằng tôi có hai quy trình rundll32.exe trong danh sách của mình tại đây:
Nếu bạn đi đến Xem \ Chọn Cột, bạn sẽ thấy tùy chọn cho Dòng lệnh Dòng chữ trong danh sách, bạn sẽ muốn kiểm tra.
Bây giờ bạn có thể thấy đường dẫn đầy đủ cho tệp trong danh sách, mà bạn sẽ nhận thấy là đường dẫn hợp lệ cho rundll32.exe trong thư mục System32 và đối số là một DLL khác thực sự đang được chạy.
Nếu bạn duyệt xuống để xác định vị trí tệp đó, trong ví dụ này là nvmctray.dll, bạn sẽ thường thấy nó thực sự là gì khi bạn di chuột qua tên tệp:
Mặt khác, bạn có thể mở Thuộc tính và xem Chi tiết để xem mô tả tệp, thông thường sẽ cho bạn biết mục đích của tệp đó.
Khi chúng tôi biết nó là gì, chúng tôi có thể tìm hiểu xem chúng tôi có muốn tắt nó hay không, chúng tôi sẽ đề cập dưới đây. Nếu không có bất kỳ thông tin nào, bạn nên Google hoặc hỏi ai đó trên một diễn đàn hữu ích.
Khi thất bại, bạn nên đăng toàn bộ đường dẫn lệnh trên một diễn đàn hữu ích và nhận lời khuyên từ người khác có thể biết thêm về nó.