Неизвестный Rundll32.exe!!!
 

Здравствуйте!

Введение. Постоянно после запуска системы(Windows7) приблизительно через 13 минут и 30 секунд запускается процесс Rundll32.exe от имени "пользователя", висит он около минуты затем отключается.

Суть проблемы:
Иногда, непонятно по какой причине сразу после запуска(редко), либо в течение нескольких часов работы компьютера в Диспетчере задач обнаруживается rundll32.exe(43.5Кб) запущенный от пользователя "система". Поцессор не загружает, памяти ест согласно Диспетчеру задач всего 236Кб, а Process Explorer показывает что ест 2040Кб(Private Bytes) и 532Кб(Working Bytes). При этом он висит до перезагрузки и при следующем запуске включается снова через несколько часов работы компьютера.
Процесс не может быть завершен(Kill process) через Process Explorer, при этом без проблем завершается через Диспетчер задач.

Согласно Диспетчеру задач это файл Хост-процесс Windows, находится в C:\Windows\System32\rundll32.exe.
Согласно Process Explorer'у путь(Path) к файлу [Error opening process], а также строки Command line и Current directory пустые.

Помогите разобраться что запускает данный процесс и зачем?

Убедитесь, что Process Explorer запущен от имени Администратора (через меню правой кнопкой мыши).

Про запуск Process Explorer от имени Администратора я как раз забыл, за напоминание спасибо, если поймаю снова неопознаный rundll32.exe попробую узнать откуда ноги растут. А может есть еще варианты к примеру проверить rundll32.exe на достоверность, а то у него 2 часа разницы между созданием и изменением, создан он в 3:41, а изменен в 5:14, даты совпадают?

UPD: при поиске по компьютеру файла Rundll32.exe помимо C:\Windows\System32\rundll32.exe, он также обнаружился в C:\Windows\winsxs, если верно понимаю папка winsxs вроде как хранит в себе то ли копии, то ли какие-то другие компоненты обновлений Windows?

Начиная с Windows 7, в "Диспетчер задач" есть дополнительные столбцы для просмотра информации.
Один из них называется "Командная строка":
"Вид » Выбрать столбцы..."
Установить флажок напротив "Командная строка".
В "Диспетчер задач" появится дополнительный столбец "Командная строка" - где будет видно что именно выполняется процессом.
Например установка устройства:
где "X" - набор состоящий из букв/цифр.

Спасибо, сколько пользуюсь Win7, даже не догадывался что там, есть что-то подобное.

А теперь самое интересное, поймал этот неизвестный Rundll32.exe запущенный от пользователя "система", через чуть больше чем один час после запуска системы.

В Диспетчере задач в столбце Командная строка и в Process Explorer в строке Command line значится:
C:\Windows\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy правда не знаю что это и появилось откуда?

P.S.: Win7 Лицензия, после последнего сноса оси прошло больше двух лет, подобное появление Rundll32.exe замечено только в течение последних одной-двух недель.

Смотрите в "Планировщике заданий"
"Пуск » Панель управления » Администрирование » Планировщик заданий"
Или на клавиатуре нажмите комбинацию клавиш Win+R
В появившемся окне "Выполнить", напротив "Открыть:" введите:
и на клавиатуре нажмите клавишу Enter.

В планировщике заданий переходите: Библиотека планировщика заданий » Microsoft » Windows » Application Experience
Далее смотрите задание "ProgramDataUpdater"
Описание задания: Сбор телеметрических данных программы при участии в программе улучшения качества ПО

Также смотрите: Проблема с приложением aepdu.dll

Посмотрел Планировщик заданий, данное задание действительно есть, вопрос откуда оно там появилось? 2-3 недели назад запущенный Rundll32.exe отсутствовал в процессах. Может он избирательный, года два сидел не показывался и вдруг вылез пособирать телеметрические данные?

"ProgramDataUpdater" - Это инструмент Microsoft. Т.е в только что установленной системе с оригинального дистрибутива, задание "ProgramDataUpdater" уже имеется.

Возможно вы его не замечали.
Например установлена операционная система 21/01/2016 в 16:14. Быть точнее 21/01/2016 в 16:18 т.е использование начинается после создания первого профиля пользователя, то задание будет выполнено днём позже:

Не согласен, если компьютер работает обычно около восьми часов почти каждые сутки, то не заметить непривычный для глаз exe-шник (rundll32.exe) на протяжении нескольких лет просто не возможно, т.к. с момента установки системы при включении первое, что открываю это Диспетчер задач. Одно дело, если он(rundll32.exe) бы запустился, поработал какой-то период времени(5-10 минут, а не 8 часов) и отключился, а он как запустится, так и висит в процессах пока компьютер не выключишь\перезагрузишь. При этом, если в момент его запуска по расписанию(2:30-3:00 ночи) компьютер был выключен, то он вылезит прям при запуске Windows, так что если открыть Диспетчер задач его трудно будет не заметить.

У меня там три строки, помимо:
есть еще
Microsoft Compatibility Appraiser - Время запуска запланировано: В 3:00 каждый день.

К слову у AitAgent автор Microsoft Corp., а вот у Microsoft Compatibility Appraiser и ProgramDataUpdater автор aepdu.dll. При этом вот эта строка:
Запуск программы %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy именно у Microsoft Compatibility Appraiser, получается что это он запускает "неотключающийся самостоятельно" rundll32.exe, который висит пока компьютер работает, а не ProgramDataUpdater. Может есть еще какие-то варианты?

UPD: Чтобы еще одну тему не создавать вот еще один RunDll32.exe(причем именно так, а не rundll32.exe как у первого), это тот самый что на 13 минуте при каждом запуске системы появляется висит 30-60 секунд и отключается сам.
Путь к нему такой: %windir%\system32\WerConCpl.dll, LaunchErcApp -queuereporting не подскажите что это за приложение или компонент или еще что-то?

Была добавлена в ходе обновления Windows.
В чистой системе, в Application Experience только две "AitAgent" и "ProgramDataUpdater".
От перемены мест слагаемых - сумма не меняется.
Отправка отчётов в службу отчётов об ошибках.

Может по этой причине этот процесс два с лишним года не попадался в Диспетчере задач, т.к. оказывается он пришел с каким-то январским обновлением?! А например в Вашей системе есть Microsoft Compatibility Appraiser и кто автор ProgramDataUpdater и Microsoft Compatibility Appraiser(если он вообще есть)?

А я то думал "родные" файлы Windows имеют названия со строгой привязкой к регистру.

UPD: Оказывается есть еще один процесс с тем же путем и поведением. Процесс taskhost.exe включается от пользователя "система" и висит какое-то время потом отключается сам. Видимо напрямую от планировщика и теперь это уже как раз ProgramDataUpdater, т.к.
Command line процесса: taskhost.exe %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate
Path: %windir%\System32\taskhost.exe

Нет.
В "Планировщике заданий" автор: Корпорация Майкрософт (Microsoft Corp.)

Я вам сразу предоставлю информацию о файле aepdu.dll

Arns, У меня, в чистой системе всего 77 заданий.

Интересно! В моем случае столбец автор выглядит так:

AitAgent - автор: Корпорация Майкрософт(Microsoft Corp.)
Microsoft Compatibility Appraiser - автор: $(@%SystemRoot%\system32\aepdu.dll,-701)
ProgramDataUpdater - автор: $(@%SystemRoot%\system32\aepdu.dll,-701)

То что файл системный, нужен Windows и что он в системе с момента установки - это понятно.

Вопрос сколько файлов aepdu.dll должно быть в системе? Спрашиваю потому, что у меня их целых три: июль 2009(создан 3:20, изменен 5:14), август 2013(создан 4:35, изменен интересно как это ноябрь 2010 время 15:18), апрель 2015(создан 23:58, изменен тоже невероятным способом в марте 2015 время 6:06). По-моему это как-то не нормально.

Заранее извините за даблпостинг, но в теме нет ответа уже больше недели.

Поискав информацию на эту тему обнаружил пару статей, где виновиками появления Microsoft Compatibility Appraiser были следующие обновления KB 2952664, KB 2990214 и KB 3035583, причем связаны они все с переходом на Win10 на который переходить не собирался.

Еще одна нестыковка между системой(Win7) поставленной более, чем два года назад и системой(Win7), которой всего несколько месяцев. На обеих системах присутствует Microsoft Compatibility Appraiser, только задачи выполняет разные.

Соответственно на первой системе Microsoft Compatibility Appraiser имеет автора $(@%SystemRoot%\system32\aepdu.dll,-701) и почти не отличимое описание $(@%SystemRoot%\system32\aepdu.dll,-702).

Действия:
запуск программы: %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy
запуск программы: %windir%\system32\rundll32.exe apraiser.dll,DoScheduledTelemetryRun
причем всегда запускает %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy

На второй системе автором Microsoft Compatibility Appraiser является пользователь компьютера, а описания нет. К слову на втором компьютере проблем не возникает и rundll32.exe не висит в процессах вообще.

Действия:
запуск программы: %windir%\system32\compattel\DiagTrackRunner.exe/UploadEtlFilesOnly
запуск программы: %windir%\system32\CompatTelRunner.exe

Суть нестыковки: на втором компе есть файл aepdu.dll, но он всего один(см. предидущее сообщение) и как видно не связан с Microsoft Compatibility Appraiser.

ProgramDataUpdater также:

1 комп.:
запуск программы: %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate
запуск программы: %windir%\system32\rundll32.exe invagent.dll,RunUpdate

2 комп.:
запуск программы: %windir%\system32\compattelrunner.exe -maintenance

Есть какие-нибудь соображения на этот счет?

Заранее извините за даблпостинг, но в теме снова нет ответа уже больше недели.

Решение проблемы пришло само сабой.

Сверив даты появления одного из трёх aepdu.dll на компьютере с датами обновлений оказалось, что виной всему пара-тройка обновлений за апрель 2015 года.

Удалил их, как результат Microsoft Compatibility Appraiser и ProgramDataUpdater с их странными триггерами(странность описана в предидущем посте) пропали из Планировщика заданий, заодно прихватив с собой один из трех aepdu.dll(тот что датирован апрелем 2015), который и запускал Rundll32.exe висящий в системе до перезагрузки\выключения.