Laut jemandem, der bei MSDN vorbei ist, handelt es sich um einen Teil von Fenstern, der als "Performance-Profiling-Leistungsanalyseprogramm (Windows Performance Counter Program)" bezeichnet wird.
Was läuft diese RunDll32-Instanz?
1281
beppe9000
Ich bin über eine Instanz von rundll32 gestolpert, während ich die laufenden Prozesse in meiner Windows 10-Box überprüfte.
Dies ist die Befehlszeile, mit der es gemäß Process Explorer gestartet wurde:
C:\Windows\system32\rundll32.exe -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617
Was heißt das? Ich habe versucht, das zu recherchieren, aber nichts gefunden.
Ist es gut / normal? Soll ich es töten und weiter untersuchen?
22d8c27b-47a1-48d1-ad08-7da7abd79617 ist ein Clsid. Kannst du es in deiner Registry finden?
DavidPostill vor 7 Jahren
0
Ich habe sowohl Edit-> Find (alle Kontrollkästchen angekreuzt) als auch den gesamten HKEY_CLASSES_ROOT-Export durchgeführt und mit einem Texteditor gesucht. Ich habe keine Spur von dieser Klassen-ID gefunden ...
beppe9000 vor 7 Jahren
2
Ich habe auch diesen Rätselprozess ausgeführt. Lustigerweise habe ich genau die gleiche ID-Zeichenfolge in den Argumenten.
silverscania vor 6 Jahren
0
Auf meinem Computer stürzt dieser Prozess häufig ab. Ich kann feststellen, dass der übergeordnete Prozess ein DllHost für "Shell Create Object Task Server" von shell32.dll ist. Ich glaube, zumindest der Server selbst ist ein Windows-eingebauter; Ich habe noch keinen Einfluss von Dritten gefunden. https://superuser.com/posts/1279807
sourcejedi vor 6 Jahren
0
2 Antworten auf die Frage
2
Jack Hadley
0
sourcejedi
Ich habe diesen Prozess unter Windows 10 gesehen und dabei User Tiles verarbeitet, die allgemein als User Account Pictures bezeichnet werden. Möglicherweise werden andere Arten von nicht vertrauenswürdigen Benutzerdaten verarbeitet. Ich weiß es nicht.
Der Code ist Teil des Windows-Shell-Pakets (Desktop-Schnittstelle) und der Prozess läuft als Benutzer "NT Authority / SYSTEM". Ich denke, das bedeutet, dass es Teil der Login / "Fast User Switching" -Schnittstelle ist. Das Verhalten, das ich beobachtet habe, ist alles auf Windows zurückzuführen. Ich habe speziell nach (fehlerhaftem) Code von Drittanbietern gesucht und nichts Verdächtiges gefunden.
Szenario
Ich habe eine Stack-Ablaufverfolgung von Thread 0 erfasst, während eine eingehende COM-Anforderung verarbeitet wurde. Es zeigt eine Klasse Windows_UI_Immersive!CUserTileValidator. Ich zeichnete diese Spur auf, als der Prozess abstürzte, als das Bild verarbeitet wurde. In meinem mentalen Modell ist dies ein Sandkastenprozess, der das Benutzerbild dekomprimiert, aber ich gehe davon aus, dass eine genaue Beschreibung komplexer wäre.
Das Problem war spezifisch für einen Benutzer: Ich konnte den Absturz reproduzieren, indem ich meine Sitzung sperrte und mich als dieser bestimmte Benutzer anmeldete, aber nicht umgekehrt. Das Profilbild des Benutzers wurde als Standardsymbol angezeigt. Durch das Ändern des Profilbilds des Benutzers wurden die Abstürze abgebrochen.
Ich kann keine Dokumentation für die -localserverOption von Rundll32 finden. Wie bei anderen Kommentatoren kann der UUID-Wert nirgendwo in der Registrierung gefunden werden. Ich weiß nicht, wie Rundll32 diesen Wert ermittelt! Der Begriff LocalServer wird an anderer Stelle verwendet, wenn von einem Befehl zum Starten eines dedizierten COM-Serverprozesses gesprochen wird. (Oft DllHost.exe, wie unten erwähnt).
Technische Details
Der Rundll32-Prozess hatte einen übergeordneten Prozess, eine Instanz von DllHost.exe("COM Surrogate"). In der Befehlszeile des DllHost war der /ProcessIDParameter eine AppID, die in der Registrierung als "Shell Create Object Task Server" von shell32.dll aufgeführt ist. Beide Prozesse liefen als "NT Authority / SYSTEM".
In gewissem Sinne wurden die Abstürze, die ich sah, vorweggenommen. DllHost.exe wurde entwickelt, um unzuverlässige COM-Objekte auszuführen . Anscheinend war dies eine Benutzersitzung. Mein Link kommentiert nicht, weiß nicht, wie gut unsichere COM-Objekte geschützt werden. ein besonderes Problem, wenn als SYSTEM ausgeführt.
Verwandte Probleme
-
12
Warum wird der Ordner / winsxs so groß und kann er verkleinert werden?
-
2
Erhöhte Berechtigungen für Startanwendungen in Windows?
-
14
PDF Viewer unter Windows
-
7
Welche Windows-Dienste kann ich sicher deaktivieren?
-
8
Firefox PDF-Plugin zum Anzeigen von PDF-Dateien im Browser unter Windows
-
1
Windows verliert das Bildschirmlayout
-
1
Gibt es eine Möglichkeit, Installationen / Updates zu verhindern, die meine Festplatte mit kryptisch...
-
1
Wie kann ich von Ubuntu aus über das Netzwerk auf Windows Vista-Drucker zugreifen?
-
6
Log Viewer unter Windows
-
3
Windows-Hintergrundproblem mit zwei Bildschirmen