Здравствуйте!

Введение. Постоянно после запуска системы(Windows7) приблизительно через 13 минут и 30 секунд запускается процесс Rundll32.exe от имени "пользователя", висит он около минуты затем отключается.

Суть проблемы:
Иногда, непонятно по какой причине сразу после запуска(редко), либо в течение нескольких часов работы компьютера в Диспетчере задач обнаруживается rundll32.exe(43.5Кб) запущенный от пользователя "система". Поцессор не загружает, памяти ест согласно Диспетчеру задач всего 236Кб, а Process Explorer показывает что ест 2040Кб(Private Bytes) и 532Кб(Working Bytes). При этом он висит до перезагрузки и при следующем запуске включается снова через несколько часов работы компьютера.
Процесс не может быть завершен(Kill process) через Process Explorer, при этом без проблем завершается через Диспетчер задач.

Согласно Диспетчеру задач это файл Хост-процесс Windows, находится в C:\Windows\System32\rundll32.exe.
Согласно Process Explorer'у путь(Path) к файлу [Error opening process], а также строки Command line и Current directory пустые.

Помогите разобраться что запускает данный процесс и зачем?

Согласно Process Explorer'у путь(Path) к файлу [Error opening process], а также строки Command line и Current directory пустые.
Убедитесь, что Process Explorer запущен от имени Администратора (через меню правой кнопкой мыши).

Про запуск Process Explorer от имени Администратора я как раз забыл, за напоминание спасибо, если поймаю снова неопознаный rundll32.exe попробую узнать откуда ноги растут. А может есть еще варианты к примеру проверить rundll32.exe на достоверность, а то у него 2 часа разницы между созданием и изменением, создан он в 3:41, а изменен в 5:14, даты совпадают?

UPD: при поиске по компьютеру файла Rundll32.exe помимо C:\Windows\System32\rundll32.exe, он также обнаружился в C:\Windows\winsxs, если верно понимаю папка winsxs вроде как хранит в себе то ли копии, то ли какие-то другие компоненты обновлений Windows?

если верно понимаю папка winsxs вроде как хранит в себе то ли копии, »
Она хранит оригиналы, которые посредством жёстких ссылок отображаются на «%SystemRoot%\System32» и пр.

C:\Windows\System32\rundll32.exe »Начиная с Windows 7, в "Диспетчер задач" есть дополнительные столбцы для просмотра информации.
Один из них называется "Командная строка":
"Вид » Выбрать столбцы..."
Установить флажок напротив "Командная строка".
В "Диспетчер задач" появится дополнительный столбец "Командная строка" - где будет видно что именно выполняется процессом.
Например установка устройства:
rundll32.exe C:\Windows\System32\newdev.dll,pDiDeviceInstallNotification \\,\pipe\PNP_Device_Insall_pipe_1.{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} *(null)*
где "X" - набор состоящий из букв/цифр.

Начиная с Windows 7, в "Диспетчер задач" есть дополнительные столбцы для просмотра информации.
Один из них называется "Командная строка":
"Вид » Выбрать столбцы..."
Установить флажок напротив "Командная строка".
В "Диспетчер задач" появится дополнительный столбец "Командная строка" - где будет видно что именно выполняется процессом. »

Спасибо, сколько пользуюсь Win7, даже не догадывался что там, есть что-то подобное.

А теперь самое интересное, поймал этот неизвестный Rundll32.exe запущенный от пользователя "система", через чуть больше чем один час после запуска системы.

В Диспетчере задач в столбце Командная строка и в Process Explorer в строке Command line значится:
C:\Windows\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy правда не знаю что это и появилось откуда?

P.S.: Win7 Лицензия, после последнего сноса оси прошло больше двух лет, подобное появление Rundll32.exe замечено только в течение последних одной-двух недель.

aepdu.dll »Смотрите в "Планировщике заданий"
"Пуск » Панель управления » Администрирование » Планировщик заданий"
Или на клавиатуре нажмите комбинацию клавиш Win+R
В появившемся окне "Выполнить", напротив "Открыть:" введите:
taskschd.msc /s
и на клавиатуре нажмите клавишу Enter.

В планировщике заданий переходите: Библиотека планировщика заданий » Microsoft » Windows » Application Experience
Далее смотрите задание "ProgramDataUpdater"
Описание задания: Сбор телеметрических данных программы при участии в программе улучшения качества ПО

Также смотрите: Проблема с приложением aepdu.dll (http://answers.microsoft.com/ru-ru/windows/forum/windows_8-update/проблема/f072fe4c-d14d-4502-af3e-83af9a22aab2)

Смотрите в "Планировщике заданий »

Посмотрел Планировщик заданий, данное задание действительно есть, вопрос откуда оно там появилось? 2-3 недели назад запущенный Rundll32.exe отсутствовал в процессах. Может он избирательный, года два сидел не показывался и вдруг вылез пособирать телеметрические данные?

вопрос откуда оно там появилось? »"ProgramDataUpdater" - Это инструмент Microsoft. Т.е в только что установленной системе с оригинального дистрибутива, задание "ProgramDataUpdater" уже имеется.

года два сидел не показывался »Возможно вы его не замечали.
Например установлена операционная система 21/01/2016 в 16:14. Быть точнее 21/01/2016 в 16:18 т.е использование начинается после создания первого профиля пользователя, то задание будет выполнено днём позже:
AitAgent 22/01/2016 2:30:00 - Время запуска запланировано: В 2:30 каждый день
ProgramDataUpdater 22/01/2016 0:30:00 - Время запуска запланировано: В 0:30 каждый день

Возможно вы его не замечали. »

Не согласен, если компьютер работает обычно около восьми часов почти каждые сутки, то не заметить непривычный для глаз exe-шник (rundll32.exe) на протяжении нескольких лет просто не возможно, т.к. с момента установки системы при включении первое, что открываю это Диспетчер задач. Одно дело, если он(rundll32.exe) бы запустился, поработал какой-то период времени(5-10 минут, а не 8 часов) и отключился, а он как запустится, так и висит в процессах пока компьютер не выключишь\перезагрузишь. При этом, если в момент его запуска по расписанию(2:30-3:00 ночи) компьютер был выключен, то он вылезит прям при запуске Windows, так что если открыть Диспетчер задач его трудно будет не заметить.

Например установлена операционная система 21/01/2016 в 16:14. Быть точнее 21/01/2016 в 16:18 т.е использование начинается после создания первого профиля пользователя, то задание будет выполнено днём позже »

У меня там три строки, помимо:
AitAgent 22/01/2016 2:30:00 - Время запуска запланировано: В 2:30 каждый день
ProgramDataUpdater 22/01/2016 0:30:00 - Время запуска запланировано: В 0:30 каждый день »

есть еще
Microsoft Compatibility Appraiser - Время запуска запланировано: В 3:00 каждый день.

К слову у AitAgent автор Microsoft Corp., а вот у Microsoft Compatibility Appraiser и ProgramDataUpdater автор aepdu.dll. При этом вот эта строка:
Запуск программы %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy именно у Microsoft Compatibility Appraiser, получается что это он запускает "неотключающийся самостоятельно" rundll32.exe, который висит пока компьютер работает, а не ProgramDataUpdater. Может есть еще какие-то варианты?

UPD: Чтобы еще одну тему не создавать вот еще один RunDll32.exe(причем именно так, а не rundll32.exe как у первого), это тот самый что на 13 минуте при каждом запуске системы появляется висит 30-60 секунд и отключается сам.
Путь к нему такой: %windir%\system32\WerConCpl.dll, LaunchErcApp -queuereporting не подскажите что это за приложение или компонент или еще что-то?

именно у Microsoft Compatibility Appraiser »Была добавлена в ходе обновления Windows.
В чистой системе, в Application Experience только две "AitAgent" и "ProgramDataUpdater".
Чтобы еще одну тему не создавать вот еще один RunDll32.exe(причем именно так, а не rundll32.exe как у первого) »От перемены мест слагаемых - сумма не меняется.
%windir%\system32\WerConCpl.dll, LaunchErcApp -queuereporting»Отправка отчётов в службу отчётов об ошибках.

Была добавлена в ходе обновления Windows.
В чистой системе, в Application Experience только две "AitAgent" и "ProgramDataUpdater". »
Может по этой причине этот процесс два с лишним года не попадался в Диспетчере задач, т.к. оказывается он пришел с каким-то январским обновлением?! А например в Вашей системе есть Microsoft Compatibility Appraiser и кто автор ProgramDataUpdater и Microsoft Compatibility Appraiser(если он вообще есть)?

От перемены мест слагаемых - сумма не меняется. »
А я то думал "родные" файлы Windows имеют названия со строгой привязкой к регистру.

UPD: Оказывается есть еще один процесс с тем же путем и поведением. Процесс taskhost.exe включается от пользователя "система" и висит какое-то время потом отключается сам. Видимо напрямую от планировщика и теперь это уже как раз ProgramDataUpdater, т.к.
Command line процесса: taskhost.exe %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate
Path: %windir%\System32\taskhost.exe

А например в Вашей системе есть Microsoft Compatibility Appraiser »Нет.
кто автор ProgramDataUpdater »
В "Планировщике заданий" автор: Корпорация Майкрософт (Microsoft Corp.)

Я вам сразу предоставлю информацию о файле aepdu.dll
Файл: aepdu.dll
Версия файла: 6.1.7601.17514
Описание: Program Compatibility Data Updater
Авторские права: © Microsoft Corporation. All rights reserved.

Версия продукта: 6.1.7601.17514
Версия файла: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Название продукта: Microsoft® Windows® Operating System
Производитель: Microsoft Corporation
Язык: Английский (США)

Контролльные суммы:
CRC32: 5675E7D1
MD5: 27A81A5FEB2ACF01D406EFE153E95D4C
SHA-1: DF81A4F65735BACA6537EAAC4A9C86E566BF7D20
SHA-256: 8A6E22F1B3970F55DA3430263F433AA22BAB798B3BF501E359CA3C6EAF5B414D
Arns, У меня, в чистой системе всего 77 заданий.

В "Планировщике заданий" автор: Корпорация Майкрософт (Microsoft Corp.) »

Интересно! В моем случае столбец автор выглядит так:

AitAgent - автор: Корпорация Майкрософт(Microsoft Corp.)
Microsoft Compatibility Appraiser - автор: $(@%SystemRoot%\system32\aepdu.dll,-701)
ProgramDataUpdater - автор: $(@%SystemRoot%\system32\aepdu.dll,-701)

Я вам сразу предоставлю информацию о файле aepdu.dll »

То что файл системный, нужен Windows и что он в системе с момента установки - это понятно.

Вопрос сколько файлов aepdu.dll должно быть в системе? Спрашиваю потому, что у меня их целых три: июль 2009(создан 3:20, изменен 5:14), август 2013(создан 4:35, изменен интересно как это ноябрь 2010 время 15:18), апрель 2015(создан 23:58, изменен тоже невероятным способом в марте 2015 время 6:06). По-моему это как-то не нормально.

Заранее извините за даблпостинг, но в теме нет ответа уже больше недели.

Microsoft Compatibility Appraiser »
Была добавлена в ходе обновления Windows.
В чистой системе, в Application Experience только две "AitAgent" и "ProgramDataUpdater". »

Поискав информацию на эту тему обнаружил пару статей, где виновиками появления Microsoft Compatibility Appraiser были следующие обновления KB 2952664, KB 2990214 и KB 3035583, причем связаны они все с переходом на Win10 на который переходить не собирался.

Еще одна нестыковка между системой(Win7) поставленной более, чем два года назад и системой(Win7), которой всего несколько месяцев. На обеих системах присутствует Microsoft Compatibility Appraiser, только задачи выполняет разные.

Соответственно на первой системе Microsoft Compatibility Appraiser имеет автора $(@%SystemRoot%\system32\aepdu.dll,-701) и почти не отличимое описание $(@%SystemRoot%\system32\aepdu.dll,-702).

Действия:
запуск программы: %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy
запуск программы: %windir%\system32\rundll32.exe apraiser.dll,DoScheduledTelemetryRun
причем всегда запускает %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy

На второй системе автором Microsoft Compatibility Appraiser является пользователь компьютера, а описания нет. К слову на втором компьютере проблем не возникает и rundll32.exe не висит в процессах вообще.

Действия:
запуск программы: %windir%\system32\compattel\DiagTrackRunner.exe/UploadEtlFilesOnly
запуск программы: %windir%\system32\CompatTelRunner.exe

Суть нестыковки: на втором компе есть файл aepdu.dll, но он всего один(см. предидущее сообщение) и как видно не связан с Microsoft Compatibility Appraiser.

ProgramDataUpdater также:

1 комп.:
запуск программы: %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate
запуск программы: %windir%\system32\rundll32.exe invagent.dll,RunUpdate

2 комп.:
запуск программы: %windir%\system32\compattelrunner.exe -maintenance

Есть какие-нибудь соображения на этот счет?

Заранее извините за даблпостинг, но в теме снова нет ответа уже больше недели.

Решение проблемы пришло само сабой.

Сверив даты появления одного из трёх aepdu.dll на компьютере с датами обновлений оказалось, что виной всему пара-тройка обновлений за апрель 2015 года.

Удалил их, как результат Microsoft Compatibility Appraiser и ProgramDataUpdater с их странными триггерами(странность описана в предидущем посте) пропали из Планировщика заданий, заодно прихватив с собой один из трех aepdu.dll(тот что датирован апрелем 2015), который и запускал Rundll32.exe висящий в системе до перезагрузки\выключения.