Хост процесс windows rundll32, что это?

Про процесс rundll32.exe — Компьютер76

Процесс rundll32.exe

Приветствую вас на страничках блога Компьютер76, сегодня рассмотрим процесс rundll32.exe . Что за процесс, почему их запущено несколько или нет вообще.

Теория. Как всегда.

Если вы пользуетесь Windows порядочное время, то могли заметить, что в папке с практически любым приложением существует множество файлов с расширением .dll – «длл-ки» (если, конечно, система настроена так, что вы вообще можете читать расширения файлов). Это – динамически подключаемые библиотеки, и используются они для хранения совместимых составляющих логики программы или приложения так, чтобы к ним был доступ от любого (или, по крайней мере, большинства) другого приложения.

Файл .dll не запустится по нажатии по нему двойным щелчком мыши. Потому приложение или процесс rundll32.exe призван прочитать запись из этих фалов библиотек, и чтение происходит перекрёстным манером – от приложения к приложению, от системы к программе и наоборот.

Для разработчиков программ это панацея от бесконечно увеличивающихся требований к оперативной памяти в текущем сеансе разработанного ими приложения и запущенного сейчас пользователем: основная программа запускается от имени пользователя – нужные библиотеки выгружаются из папки с программой – программа закрывается – .dll-файлы захлопываются (впрочем, не всегда). Плюс к тому разные приложения могут между собой взаимодействовать – это и есть конечный смысл этих маленьких файлов.

Вирус или нет?

Строго говоря, им любят прикрываться компьютерные черви. Расположение rundll32.exe одно:

Ваш_диск\Windows\System32\rundll32.exe

А если вы решили проверить расположение процесса, и путь ведёт не в эту папку (туда без разрешения системы вообще положить ничего не получится), то пора запускать антивирусное ПО. Для чистоты эксперимента сделайте это в безопасном режиме с поддержкой сетевых драйверов. Да. Microsoft Security Essentials вам тут вообще не помощник.

Что запущено от имени rundll32.exe ?

Чтобы пристальнее на него взглянуть, можно воспользоваться встроенным Диспетчером задач или его бесплатным аналогом, знакомым профессионалам с ещё незапамятных времён. Это утилита Process Explorer. Теперь она принадлежит самой Microsoft и призвана расширить функции встроенной в Windows утилиты. Скачать можно по адресу:

Process Explorer

Вы скачаете zip-архив. Скопируйте .exe файл на Рабочий стол и запустите. Перед вами обновлённый Диспетчер задач. Нажмите File \ Show Details for All Processes, подтвердите права администратора и увидите полный список запущенных процессов в системе.

Вобщем, не важно каким инструментом вы пользуетесь. Процесс rundll32.exe является системным и от глаз пользователя не скрывается. Его также можно легко обнаружить и в файле конфигурации пользователя

Это тот, что вызывается знаменитой командой строки поиска:

Его также можно легко обнаружить и в файле конфигурации пользователя. Это тот, что вызывается знаменитой командой строки поиска:

msconfig

Здесь, во вкладке Автозагрузки процесс, связанный с rundll32.exe, иногда можно «выцепить» – он прописан в пути к приложению:

Однако…

У меня никакой процесс rundll32.exe не запущен…

А вот это нормально. И даже хорошо. Если у вас 32-битная Windows, даже не задумывайтесь. Если вы обладатель 64-битной версии, стоит просто внимательнее отнестись к версиям установленных программ (точнее, к их разрядности: может, уже вышла именно 64-битная версия?). А вот если вы не попадаете ни под первую, ни под вторую категорию пользователей, стоит задуматься…

По моему опыту постоянно отображённый в Диспетчере процесс rundll32.exe свидетельствует о нарушениях в работе с оборудованием или программами, которые связаны между собой. Это нарушение может быть локальным (в течение текущего сеанса; после перезагрузки нормализуется) или постоянным (повреждение самих файлов, «битый драйвер», плохие сектора HDD, вирус).

Ошибка c:\windows\system32\rundll32.exe application not found…

Пользователи Windows 7 и позднее с такой проблемой сталкиваются редко. Для пользователей Windows XP эта проблема возникала почаще. Равно как и путей решений было поболе. В любом случае 100%-м решением было копирование изначального файла rundll32.exe с загрузочного диска или из сети (опасайтесь подделок!).

Успехов

Как увидеть полный путь запуска rundll32

Если в системе ни с того ни с сего вдруг удалось обнаружить запущенный процесс , и вам стало интересно, а какой же, собственно, функционал утилита выполняет, то можно определить это по полному пути запуска утилиты rundll32. Посмотреть полный путь запуска, то есть параметры командной строки можно при помощи системной утилиты Диспетчер задач Windows (Task Manager).
Вызовите «Диспетчер задач» (Ctrl+Shift+Esc), перейдите в меню «Вид», выберите пункт «Выбрать столбцы..» и пролистав список вниз, найдите пункт «Командная строка» и отметьте его чекбокс, затем нажмите ОК. Результатом будет появление в главном окне диспетчера задач в параметре «командная строка» полной строки запуска rundll32.

DEVCLNT.DLL — “DavSetCookie” (Web Dav Client)

One of the mysterious command lines in a “rundll32.exe” instance that’ll show up a lot in the logs, takes the following format.

C:\WINDOWS\System32\rundll32.exe C:\Windows\system32\davclnt.dll,DavSetCookie <Host> <Share>

When using the “file://” protocol, whether be it in a word file, or via share windows will sometimes use (if SMB is disabled in some cases) the WebDav Client to request these files. When that happens a request will be made via the “rundll32.exe” utility.

The parent process of such requests will be “svchost.exe” like so. (The “-s WebClient” is not obligatory)

C:\Windows\system32\svchost.exe -k LocalService -p -s WebClient

Malware like Emotet has already used this technique in the past. So always analyze the host that is present in this type of command line and make sure that everything is legitimate.

Руководство rundll32.exe

1. Шаг 1. Удалить rundll32.exe с вашего компьютера

1.1. Windows 8 & 10

1.2. Windows 7

1.3. Windows ХР

1.4. Mac ОС x

приложения

2. Шаг 2. Удалить rundll32.exe из браузера

2.1. Удалить приложение из Internet Explorer

1. Нажмите на Шестеренку и выберите Управление надстройками.
2. Выберите панели инструментов и расширения. Удалить все Нераспознанные элементы, кроме Microsoft, Яху, Гугл, Оракл или Adobe.
3. Закрыть окно.

2.2. Восстановление Internet Explorer домашнюю страницу, если он был изменен приложением

1. В Шестерня меню выберите Свойства обозревателя.
2. В общей вкладке, удалить URL-адрес и введите имя домена, вы хотите в качестве домашней страницы. Нажмите применить.

2.3. Сброс браузера

1. Выберите Свойства обозревателя в Шестерня меню.
2. Нажмите на вкладку Дополнительно и нажмите сброс.
3. Выберите удалить личные настройки и нажмите кнопку сброс снова.
4. Нажмите кнопку закрыть и закройте браузер.
5. Если сброс браузера не было возможности, использовать анти-вредоносных программ, чтобы просканировать ваш компьютер.

2.4. Завершить приложение Google Chrome

1. В меню выберите Настройки.
2. Нажмите на расширения.
3. Удалить приложения, нажав на мусорное ведро рядом с ними.
4. Вы можете временно отключить их, сняв флажок в случае, если Вы не знаете, что вам нужно удалить.

2.5. Сброс Google Chrome домашнюю страницу и поисковую систему

1. Выберите параметры в меню.
2. В разделе “при запуске”, находим “открыть определенную страницу” или “задать страницы”. Нажмите на набор страниц.
3. Удалить набор URL-адрес и введите тот, который вы хотите иметь в качестве домашней страницы. Нажмите кнопку ОК.
4. Затем выберите Управление поисковых систем в поисковом разделе. Удалить нежелательные веб-сайты, поиск и сохранить те, что вы используете. Нажмите Кнопку Готово.

2.6. Сброс Браузера

1. Если вы обнаружите, что вы все еще испытываете проблемы с вашим браузером, вы можете сбросить настройки.
2. Зайти в настройки в меню.
3. В Дополнительные настройки, нажмите сброс настроек.
4. Нажмите кнопку сбросить в окне, которое появляется.
5. Если вы обнаружите, что Вы не можете восстановить настройки, использовать анти-вредоносных программ, чтобы просканировать ваш компьютер.

2.7. Удалить приложения от Mozilla Firefox

1. В меню в верхнем правом углу, нажмите кнопку «надстройки».
2. Выберите расширениями и надстройками и удалить все ненужные/подозрительные расширения.

2.8. Восстановить домашнюю страницу, если он был изменен

1. В меню выберите опции.
2. В общей вкладке, удалить нежелательные URL-адрес и введите желаемый сайт. Или можно нажать кнопку восстановить по умолчанию.
3. Нажмите «ОК».

2.3. Сброс браузера

1. В меню, нажмите на помочь (синий знак вопроса внизу).
2. Выберите Сведения Об Устранении Неполадок.
3. Нажмите обновить Firefox.
4. Снова нажмите кнопку обновить Firefox.
5. Если Вы не можете сбросить Мозилла Firefox , проверить ваш компьютер с Анти-вредоносных программ.

2.10. Удалить приложения из Safari (для Mac OS х)

1. В меню выберите Настройки.
2. Перейти к расширения в разделе разделе.
3. Выберите нежелательные приложения и нажмите кнопку Удалить. Если уверены, если вы должны удалить его, временно отключите его, сняв включить поле.
4. Перезагрузите Ваш браузер.

2.11. Сбросить Safari

1. В меню выберите пункт сбросить Safari.
2. Проверить параметры, которые вы хотите восстановить. Нажмите Кнопку Сброс.
3. Если Вы не можете переустановить браузер, проверить ваш компьютер с Анти-вредоносных программ.

2.12. Удалить rundll32.exe от Microsoft край

1. Откройте Microsoft EDGE и нажмите на три точки, расположенные в верхнем правом углу.
2. Настройки Выбрать.
3. Нажмите на выберите, что нужно очистить кнопку, которая находится под удаление данных о просмотренных страницах.
4. Выберите все, что вы хотите удалить, и нажмите очистить.
5. Щелкните правой кнопкой мыши на кнопку Пуск → Диспетчер задач → вкладка процессы.
6. Найти Microsoft EDGE и щелкните на нем. Выберите перейти к деталям.
7. Найдите все записи Майкрософт Эдж, нажмите правой кнопкой мыши на них и выберите «завершить задачу».

Site Disclaimer

pc-threat.com is in no way linked, sponsored, owned or affiliated with any malware developers or distributors referenced in this article. We do not promote or support any kind of malware. Our aim is to provide information about potential computer threats so that users can safely detect and eliminate the malware. You can do so by following the manual removal guides or using anti-malware tool to aid you in the process.

The article is only meant for educational purposes. By using this website, you agree to the disclaimer. We do not guarantee that our removal guides will be able to solve your computer malware issues. Because malware changes constantly, manual removal does not always work.

RunDll32.exe — файл User.exe

Применяется в Windows различных версий – от весьма старых до самых современных. Данный документ содержит в себе специальные пошаговые инструкции для выполнения определенных функций. Обеспечивается исполнение данных рекомендаций в автоматическом режиме. Далее представлен список доступных команд, которые можно исполнить через КС.

Вот что вы можете сделать, чтобы исправить ошибки Rundll32.exe в Windows 10

Ошибка Rundll32.exe может вызвать определенные проблемы на вашем компьютере. Говоря об этой ошибке, пользователи сообщили о следующих проблемах:

• Ошибка Rundll32.exe Windows 10, Windows 8, Windows 7 — эта ошибка может появиться в любой версии Windows, включая Windows 8 и Windows 7. Даже если вы не используете Windows 10, вы сможете применить большинство наших решений на ПК с Windows 8 или Windows 7.
• Вирус Rundll32.exe, ошибка в флеш-накопителе. Если эта ошибка возникает при подключении флеш-накопителя, возможно, ваш флеш-накопитель заражен вредоносным ПО. Чтобы решить эту проблему, используйте антивирусную программу и выполните детальное сканирование вашего флешки.
• Ошибка приложения Rundll32.exe — иногда эта проблема может возникнуть из-за вашего антивируса. Чтобы устранить проблему, вам, возможно, придется изменить несколько настроек и проверить, решает ли это проблему.
• Точка входа ошибки Rundll32.exe не найдена, память не может быть записана, процесс открытия — существует много проблем, которые могут возникнуть из-за Rundll32.exe. Если у вас есть какие-либо из этих ошибок, попробуйте запустить сканирование SFC и DISM и проверьте, устраняет ли это вашу проблему.
• Rundll32.exe ошибка времени выполнения, ошибка выключения — эта ошибка может иногда появляться при попытке выключить компьютер. Если это произойдет, вам, возможно, придется выполнить восстановление системы и проверить, решает ли это проблему.
• Rundll32.exe ошибка при загрузке, сбой при запуске — иногда эта ошибка может появиться, как только ваш компьютер загружается. Это странная проблема, но вы сможете исправить ее, создав новую учетную запись пользователя.

Правила создания функций

Очевидно, что в создаваемую нами пользовательскую библиотеку DLL нам необходимо поместить функцию со входными следующими параметрами. Пример описания процедуры на языке Ассемблера:

При создании экспортируемой функции (в примерах выше она имеет псевдо-имя EntryPoint) необходимо учитывать следующие моменты:

Вместо строки «EntryPoint», желательно указать фактическое имя функции

Обратите внимание, что «точка входа», используемая программой rundll32, не зависит от функции DllEntryPoint, которая в 32-разрядных библиотеках DLL осуществляет обработку процессов и оповещение о подключении и отключении потоков. Это точка входа в саму функцию.
Функцию, являющуюся точкой входа для программы rundll32, необходимо определить, используя соглашение о вызовах _stdcall (в C++ по умолчанию для атрибута _stdcall используется значение CALLBACK)

Иначе, по умолчанию будет использоваться другое соглашение о вызовах _cdecl. Это приведет к аварийному завершению работы программы rundll32 после вызова данной функции.

Функции, являющейся точкой входа, передаются следующие параметры:

Информация о файле rundll32.exe

Процесс Windows host process (Rundll32) или Run a DLL as an App или Хост-процесс Windows (Rundll32) или Запуск библиотеки DLL как приложения или Uob или QSOZHPVCF или clr_optimization_v1.1.18957_x64 или Tree Microsoft

принадлежит программе Microsoft Windows Operating System или Операционная система Microsoft Windows или Lsz или ‹„њY»ЈvэЮ9„ь:8iФАiз•лlюг или hla или Хост-процесс Windows (Rundll32) или ecuma gourdirions или MAWYUMJHV

от Microsoft (www.microsoft.com) или Корпорация Майкрософт или Ocf или fgtyhbvdfr или їаm.ь№dьєУљУЉ0їҐЙeaЇ!c) или judokas négligent или DODQKDZQR или No Company.

Описание: rundll32.exe является одной из «рабочих лошадок» среди программ операционной системы Windows. Как следует из названия, она отвечает за вызов динамически подключаемых библиотек (DLL) и помещение их в память для использования другими программами. Эта версия отвечает за 32-битный код, и необходима, потому что библиотеки DLL не могут быть запущены непосредственно как программы.

Подробный анализ: rundll32.exe часто вызывает проблемы и необходим для Windows. Rundll32.exe находится в папке C:\Windows\System32.
Известны следующие размеры файла для Windows 10/8/7/XP 33,280 байт (45% всех случаев), 44,544 байт и .  
Название сервиса — YzY5NDMxODdkZWYyZ.

Это заслуживающий доверия файл от Microsoft. Приложение не видно пользователям.
Поэтому технический рейтинг надежности 9% опасности.

Рекомендуем: Выявление проблем, связанных с rundll32.exe

Является ли rundll32.exe вирусом? Нет, это не вирус. Настоящий файл rundll32.exe — это безопасный системный процесс Microsoft Windows, который называется «Windows host process».
Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: как например, TROJ_AGENT.NET или TROJ_DROPPER.VJG (определяется антивирусом TrendMicro), и Trojan.Gen или WS.Reputation.1 (определяется антивирусом Symantec).
Чтобы убедиться, что работающий rundll32.exe на вашем компьютере — это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.

Как распознать подозрительные процессы?

• Если rundll32.exe находится в подпапках C:\Windows, тогда рейтинг надежности 6% опасности. Размер файла 44,544 байт (75% всех случаев), 45,056 байт и .
  Это системный процесс Windows. Это файл, подписанный Microsoft. Приложение не видно пользователям.
• Если rundll32.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 70% опасности. Размер файла 24,576 байт (13% всех случаев), 196,608 байт и .
  Это не системный процесс Windows. Приложение не видно пользователям. Процесс начинает работу при запуске Windows (Смотрите ключ реестра: MACHINE\Run, Run, MACHINE\RunOnce, DEFAULT\Runonce, User Shell Folders, DEFAULT\Run, RunOnce).
  Нет информации о создателе файла.
  Rundll32.exe способен записывать ввод данных, мониторить приложения и манипулировать другими программами.
• Если rundll32.exe находится в подпапках «C:\Program Files», тогда рейтинг надежности 57% опасности. Размер файла 33,280 байт (20% всех случаев), 5,541,945 байт, 359,936 байт, 44,544 байт или 1,067,520 байт.
• Если rundll32.exe находится в подпапках Windows для хранения временных файлов, тогда рейтинг надежности 45% опасности. Размер файла 310,359 байт (66% всех случаев) или 44,544 байт.
• Если rundll32.exe находится в папке Windows для хранения временных файлов , тогда рейтинг надежности 54% опасности. Размер файла 20,480 байт.

RunDll32.exe — файл Url.dll

Данная библиотека важна при осуществлении работы в сети интернет. Она отвечает за правильное отображение html данных в браузере. Следует отметить тот факт, что наиболее часто библиотекой пользуются дизайнеры и некоторые другие веб мастера. Использовать функции разрешается не только за счет доступа через требуемую папку. Осуществлять определенные действия допускается непосредственно из КС. Далее будут рассматриваться различные варианты доступных команд.

RunDll32.exe — файл Printui.dll

Использование: rundll32 printui.dll,PrintUIEntry . Чтобы получить все эти параметры, можно вызвать окно «Пользовательский интерфейс принтера», в котором отобразится полный список:

rundll32 Printui.dll,PrintUIEntry /?

Библиотека данного типа отвечает за многие автоматические функции печатающего устройства. Это открывает широкие возможности для выполнения разнообразных настроек и корректировок при работе принтера. Для реализации функций предусматривается несколько различных подходов. Это может быть начала работы из сценария или пакетного документа. Другой вариант заключается в использовании командной строки. Далее будет представлена таблица с основными командами и их кратким описанием.

Способ 3 — Используйте команду scannow

Иногда эта проблема может возникнуть из-за повреждения файла. Повреждение файла может появиться по разным причинам, и если у вас есть проблемы с ошибкой Rundll32.exe, вы можете решить эту проблему, запустив сканирование SFC.

Для этого просто выполните следующие действия:

1. Нажмите Windows Key + X, чтобы открыть меню Win + X. Теперь выберите Командную строку (Admin) или PowerShell (Admin) из списка.

2. Теперь введите sfc / scannow и нажмите Enter, чтобы начать сканирование SFC.
3. Имейте в виду, что это сканирование может занять около 15 минут и более, поэтому не вмешивайтесь в него.

По завершении сканирования проверьте, сохраняется ли проблема. Если вы не можете запустить сканирование SFC или если проблема все еще присутствует, вы можете решить проблему, запустив вместо этого сканирование DISM.

Для этого выполните следующие действия:

1. Запустите командную строку от имени администратора.
2. Введите и выполните команду DISM / Online / Cleanup-Image / RestoreHealth .
3. Сканирование DISM начнется. Стоит отметить, что это сканирование может занять более 20 минут, поэтому не прерывайте его.

После завершения сканирования DISM проверьте, устранена ли проблема. Если вам не удалось запустить сканирование SFC ранее, обязательно запустите его после завершения сканирования DISM и проверьте, решает ли это вашу проблему.

Viruses with the same file name

Is rundll32.exe a virus? No, it is not. The true rundll32.exe file is a safe Microsoft Windows system process, called «Windows host process».
However, writers of malware programs, such as viruses, worms, and Trojans deliberately give their processes the same file name to escape detection. Viruses with the same file name are for example WS.Reputation.1 (detected by Symantec), and Trojan-Dropper.Win32.Injector.ebsj or Trojan.Win32.Zapchast.acbp (detected by Kaspersky).
To ensure that no rogue rundll32.exe is running on your PC, click here to run a Free Malware Scan.

How to recognize suspicious variants?

• If rundll32.exe is located in a subfolder of C:\Windows, the security rating is 8% dangerous. The file size is 44,544 bytes (69% of all occurrences), 45,056 bytes and .
  The program has no visible window. The file is a Windows core system file. It is a Microsoft signed file.
• If rundll32.exe is located in a subfolder of the user’s profile folder, the security rating is 71% dangerous. The file size is 24,576 bytes (16% of all occurrences), 120,992 bytes and .
  It is not a Windows core file. There is no description of the program. The program has no visible window. The process starts when Windows starts (see Registry key: MACHINE\Run, Run, MACHINE\RunOnce, User Shell Folders, DEFAULT\Runonce, DEFAULT\Run, RunOnce).
  Rundll32.exe is able to record keyboard and mouse inputs and monitor applications.
• If rundll32.exe is located in a subfolder of Windows folder for temporary files, the security rating is 48% dangerous. The file size is 310,359 bytes (75% of all occurrences) or 44,544 bytes.
• If rundll32.exe is located in a subfolder of «C:\Program Files», the security rating is 74% dangerous. The file size is 5,541,945 bytes (33% of all occurrences), 1,067,520 bytes or 290,816 bytes.
• If rundll32.exe is located in the Windows folder for temporary files, the security rating is 77% dangerous. The file size is 20,480 bytes (50% of all occurrences) or 737,280 bytes.
• If rundll32.exe is located in a subfolder of C:\Windows\System32, the security rating is 49% dangerous. The file size is 167,936 bytes (50% of all occurrences) or 376,851 bytes.
• If rundll32.exe is located in a subfolder of C:\, the security rating is 24% dangerous. The file size is 44,544 bytes.

External information from Paul Collins:There are different files with the same name:

• «BatInfEx» can run at start up. Displays battery status information on an IBM Thinkpad
• «LoadPowerProfile» definitely not required. Added by the MIROOT WORM! Note — do not confuse with the valid LoadPowerProfile entry which has «powrprof.dll» appended to the command/data line
• «Rundll32» definitely not required. Added by the DVLDR TROJAN! Note — this is not the valid «Rundll32.exe» as it’s in the Windows\Fonts directory
• «rundll32» definitely not required. Added by the SANKER WORM! Note that the valid «rundll32.exe» resides in C:\Windows\System32 wheras this version resides in C:\Windows
• «TaskMan» definitely not required. Added by the DVLDR TROJAN! Note — this is not the valid «rundll32.exe» as it’s in the Windows\Fonts directory
• «UPDATEHOOK»: ??
• «Win32 Rundll Loader» definitely not required. Added by the SDBOT.A TROJAN! Note: Rundll32.exe is a valid Windows application called «Run a DLL as an App» and stored in the C:\Windows directory. The version created by this virus is saved in the C:\Windows\System directory
• «Windows DLL Loader» definitely not required.

Хост процесс Rundll32 нагружает Windows при запуске игры — что делать?

В Виндовс 7 есть предустановленные игры, которые расположены в «Games Explorer» (всеми любимые пасьянсы, Сапер, Pinball и прочие). Так вот, Rundll32.exe также отвечает за поиск в интернете дополнительного контента — изображений, обновлений для этих компонентов. Но некоторые из них уже давно не поддерживаются разработчиками, а 14 января 2020 года доступ к серверам вообще будет закрыт.

«Рандлл32» активно ищет, поглощая ресурсы процессора. Но это можно прекратить, воспользовавшись простым и безопасным способом:

• В меню «Пуск» кликните по строке «Игры»;
• Запуститься «Обозреватель игр». В верхней части окна следует перейти к параметрам;
• Откроется окно, где нужно выбрать вариант «Не выполнять проверку обновлений…», а ниже убрать галочки с двух опций загрузки сведений/картинок.

Помогло такое решение?