Què és rundll32.exe i per què s’executa?

Sens dubte, esteu llegint aquest article perquè heu mirat el gestor de tasques i us heu preguntat què diables són tots aquests processos rundll32.exe i per què s’executen ... Què són?

RELACIONATS:Què és aquest procés i per què s’executa al meu PC?

Aquest article forma part de la nostra sèrie en curs que explica diversos processos trobats al gestor de tasques, com svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe i molts altres. No sabeu quins són aquests serveis? Millor començar a llegir!

Explicació

Si heu estat al voltant de Windows durant molt de temps, heu vist els milions de fitxers * .dll (Biblioteca d’enllaços dinàmics) a totes les carpetes d’aplicacions, que s’utilitzen per emmagatzemar les parts més comunes de la lògica d’aplicacions a les quals es pot accedir des de múltiples aplicacions.

Com que no hi ha cap manera d’iniciar directament un fitxer DLL, l’aplicació rundll32.exe s’utilitza simplement per iniciar la funcionalitat emmagatzemada en fitxers .dll compartits. Aquest executable és una part vàlida de Windows i normalment no hauria de ser una amenaça.

Nota: el procés vàlid normalment es troba a \ Windows \ System32 \ rundll32.exe, però de vegades el programari espia utilitza el mateix nom de fitxer i s’executa des d’un directori diferent per dissimular-se. Si creieu que teniu un problema, heu de fer sempre un escaneig per estar segur, però podem verificar exactament el que està passant ... així que continueu llegint.

Investigueu amb Process Explorer a Windows 10, 8, 7, Vista, etc.

En lloc d’utilitzar el Gestor de tasques, podem utilitzar la utilitat de Process Explorer de Microsoft per esbrinar què passa, que té l’avantatge de treballar en totes les versions de Windows i de ser la millor opció per a qualsevol tasca de resolució de problemes.

Simplement inicieu l'Explorador de processos i voldreu triar Fitxer \ Mostra detalls de tots els processos per assegurar-vos que ho veieu tot.

Ara, quan passeu el cursor per sobre del rundll32.exe de la llista, veureu una descripció emergent amb els detalls del que és realment:

També podeu fer clic amb el botó dret del ratolí, triar Propietats i fer una ullada a la pestanya Imatge per veure la ruta completa que s’inicia i fins i tot podeu veure el procés principal, que en aquest cas és l’intèrpret d’ordres de Windows (explorer.exe ), que indica que probablement es va iniciar des d'una drecera o un element d'inici.

Podeu navegar cap avall i veure els detalls del fitxer tal com vam fer a la secció anterior del gestor de tasques. En el meu cas, forma part del tauler de control de NVIDIA i, per tant, no hi faré res.

Com desactivar el procés Rundll32 (Windows 7)

Segons quin sigui el procés, no voldreu desactivar-lo necessàriament, però si voleu, podeu escriure msconfig.exe al quadre d'inici de cerca o d'execució del menú d'inici i hauríeu de trobar-lo a la columna Ordre, que hauria de ser la mateixa que el camp "Línia d'ordres" que vam veure a l'Explorador de processos. Simplement desmarqueu la casella per evitar que s'iniciï automàticament.

De vegades, el procés no té cap element d’inici, en aquest cas és probable que hàgiu d’investigar per esbrinar d’on es va iniciar. Per exemple, si obriu Propietats de visualització a XP, veureu un altre rundll32.exe a la llista, perquè Windows utilitza internament rundll32 per executar aquest diàleg.

Desactivació a Windows 8 o 10

Si feu servir Windows 8 o 10, podeu utilitzar la secció d’inici del Gestor de tasques per desactivar-lo.

Utilitzant Windows 7 o Vista Task Manager

Una de les grans funcions del Windows 7 o Vista Task Manager és la possibilitat de veure la línia d’ordres completa de qualsevol aplicació en execució. Per exemple, veureu que tinc dos processos rundll32.exe a la llista aquí:

Si aneu a Visualitza \ Selecciona columnes, veureu l'opció "Línia d'ordres" a la llista, que voldreu comprovar.

Ara podeu veure el camí complet del fitxer a la llista, que notareu que és el camí vàlid per a rundll32.exe al directori System32 i l’argument és una altra DLL que realment s’executa.

Si navegueu cap avall per localitzar aquest fitxer, que en aquest exemple és nvmctray.dll, normalment veureu què és realment quan passeu el ratolí sobre el nom del fitxer:

En cas contrari, podeu obrir les propietats i fer una ullada als detalls per veure la descripció del fitxer, que normalment us indicarà el propòsit d’aquest fitxer.

Un cop sabem què és, podem esbrinar si el volem desactivar o no, que tractarem a continuació. Si no hi ha cap informació, cal que la feu servir a Google o bé que pregunteu a algú en un fòrum útil.

Quan tota la resta falla, haureu de publicar el camí complet de l'ordre en un fòrum útil i rebre consells d'algú que en pugui saber més.