Откуда запускается процесс rundll.exe?

Откуда запускается процесс rundll.exe?

24.07.2019 0 Автор GodKnowses

В статье описывается возможность узнать природу любого процесса на примере rundll.exe с помощью привычного Диспетчера задач Windows. Методика позволит с высокой точностью определить принадлежит ли подозрительный процесс системе, или это вирус.

Одна из основных проблем для тех, кто только начинает знакомиться с Windows, это попытка диагностировать какую-то неисправность. Отправляясь при этом в Диспетчер задач, пользователь нередко натыкается на множественные и при этом одноимённые процессы. Возникает резонный вопрос – это один и тот же процесс? Тогда почему их куча? И нет ли среди них зловреда, под реальный процесс маскирующегося? Один из таких процессов (их на самом деле можно сосчитать по пальцам) – rundll32.exe. Наряду с процессом svchost его в Диспетчере может быть с десяток и более. Но речь не только о них.

Что за Rundll32.exe?

Rundll32.exe – это, напомню, часть системы, которая прячется в директории \Windows\System32 и используется Windows для запуска программного кода в каком-нибудь dll-файле, словно бы этот файл самая что ни на есть настоящая программа. Вся проблема в том, что сама dll-ка напрямую исполнить сама себя просто не способна. И, чтобы это сделать, Rundll32.exe и запускается.

Конечно, для многих зловредов такая ситуация – лакомый кусочек. Некоторые из них называют себя похожими именами, чтобы одурачить пользователя, особо в названия процессов не всматривающегося. Мне попадались вирусы типа rundII32.exe (где две последние буквы не l (эЛь) латинские маленькие , а i большие – особенность написания в латинице). Или, скажем, rundll.32.exe – обратите внимание на две точки, разделяющие имя. Нередко настоящая Rundll32 используется для запуска зловредного кода. А Диспетчер задач Windows долгое время потакал такому развитию событий: из списка запущенных процессов понять что и куда до сих пор почти невозможно.

На самом деле ситуацию с распознаванием Rundll32 легко (пусть и частично) поправить. Так, поддельный rundll легко выцепить с помощью того же Диспетчера. Запускаем Диспетчер задач:

Ctrl + Shift + Esc

И выбираем в меню действий ВидВыбрать столбы…

выбрать столбцы в диспетчере задач

Выставляем чек-бокс напротив пункта Командная строка:

что скрывается за процессом rundll.exe

Теперь Диспетчер задач вам показывает не только имя, но и место, откуда процесс произошёл и регулярно запускается. Для облегчения обзора разверните Диспетчер во весь экран. Щёлкните правой мышкой по процессу и выберите Открыть место хранения… Проводник перенесёт вас в папку с файлом. Такая возможность характерна для практически любого процесса, видимого Диспетчером. Кроме единичных; их мы обсудим отдельной статьёй.

Как узнать природу процесса rundll.exe из командной строки?

Откуда растут ноги у процесса можно определить с помощью командной утилиты tasklist. Она поможет раскрыть список библиотек и файлов, сопровождающих запуск и работу процесса. Запустите консоль команд от имени администратора и наберите команду

tasklist /m /fi "IMAGENAME eq rundll32.exe"

 

tasklist для rundll_exe

 

Модули dll покажутся в правой части консоли. Однако их имена неопытному пользователю мало что могут сообщить, так что Google вам в помощь.

Проверьте rundll … ремонтной утилитой

Самый простой и, наверное, оригинальный способ проверки предположительно принадлежащего системе файла на вшивость, это просто проверить его утилитой целостности. Да, та самая sfc /scannow, которая призвана проверять системные файлы на соответствие изначально установленным или обновлённым. Итак, если по поводу процесса rundll.exe или любого другого у вас появились сомнения, наберите в консоли команду по типу:

sfc /scanfile=c:\windows\system32\rundll32.exe

как проверить процесс на вирус

Обратите внимание: команда сможет проверить конкретный файл по конкретному адресу. И этот файл должен быть известен системе.

За сим закончу. В любом случае позволю себе напомнить, что большинство системных файлов, в том числе исполнительных утилит типа rundll.exe можно благополучно скопировать с установочного диска Windows или виртуальной машины. Так что если опасения подтвердились, замену файлам найти легко.
Успехов.