rundll32.exe とは何ですか? なぜ実行されているのですか?

タスク マネージャーを開くと、rundll32.exe の無数のインスタンスが同時に実行されていることがわかります。 しかし、rundll32.exe とは何ですか? それは何をしますか?また、特定のインスタンスが PC で実際に何をしているのかをどのように判断しますか? 知っておくべきことはすべてここにあります。

Rundll32 とは何ですか?

Rundll32.exe は、Windows オペレーティング システムでダイナミック リンク ライブラリ (DLL) を実行するために使用されます。 DLL は、Windows プロセスおよびサードパーティ アプリケーションに機能を提供するコードを格納し、複数のプログラムから同時にアクセスできます。

通常の Windows インストールには、ネットワーキングから日常的に使用する UI に至るまで、すべてに関連する DLL が (それ以上ではないにしても) 数千個含まれています。 インストールするほとんどのプログラムも DLL を使用します。 この遍在性により、Windows 10、Windows 11、または Windows 7 のような古いバージョンの Windows を使用しているかどうかにかかわらず、rundll32.exe は Windows の重要な部分になります。

Rundll32.exe はウイルスですか?

Rundll32.exe は Windows の通常の部分です。 ただし、マルウェアは rundll32.exe の正当なコピーであるかのように見せかけたり、実際の rundll32.exe を使用して PC 上で悪意のあるコードを実行したりする可能性があります。

Windows インストールに含まれる rundll32 実行可能ファイルの正当なコピーがいくつかあります。 一般的に表示される 2 つは「C:\Windows\System32\」と「C:\Windows\SysWOW64」にありますが、検索を実行すると、Windows フォルダーに別のフォルダーが見つかります。

マルウェアは、同じ実行可能ファイル名を使用し、別のディレクトリから実行して自身を偽装することがあります。 Windows フォルダーまたは Windows サブフォルダーにない rundll32 実行可能ファイルをすぐに疑う必要があります。

通常、PC に rundll32.exe の悪意のあるコピーがあると思われる場合の最善の方法は、Microsoft Defender または任意のウイルス対策プログラムを使用してウイルス スキャンを実行することです。 Malwarebytes は優れた選択肢であり、ほとんどのマルウェアを処理しますが、他にも優れたウイルス対策ソフトウェア パッケージがあります。

ただし、ウイルス対策プログラムは完璧ではなく、rundll32 で実行されるマルウェアが検出されないことがあります。 その場合は、rundll32.exe が手動で行っていることと、不要なものを見つけた場合にそれを無効にする方法を掘り下げる必要があります。

関連: DLL ファイルとは何ですか? PC に DLL ファイルがないのはなぜですか?

Windows 10 または Windows 11 で Process Explorer を使用して Rundll32.exe を調査する

Microsoft の無料ユーティリティである Process Explorer は、アプリケーションが何を行っているかを正確に判断しようとする場合に役立つ、より具体的な情報を提供します。 小さく、インストールする必要がなく、Windows のどのバージョンでも動作します。 ここでは、それを使用して rundll32.exe のアクティビティを調査します。

Process Explorer を管理者として起動し、[ファイル] > [すべてのプロセスの詳細を表示] に移動して、すべてが表示されていることを確認します。 Windows がどのように動作するかを詳しく調べたことがない場合は、おそらく多くのものがリストされているので、そのすべてに気付かないかもしれません。 ウイルスに感染しているわけではありません。

注:管理者として Process Explorer を起動する必要はありませんが、起動した方がよいでしょう。 一部のプロセスでは、管理者権限がないとすべての情報が表示されない場合があります。

リスト内の rundll32.exe にカーソルを合わせると、実行内容の詳細を示すツールチップが表示されます。 さらに良いことに、右クリックして「プロパティ」を選択すると、より詳細な情報を取得できます。

[プロパティ] ウィンドウには多くの情報が表示されますが、[画像] タブから始める必要があります。 フルパス名、親プロセス、ユーザーなどが表示されます。 この場合、rundll32.exe は「localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617」という名前のものに関連付けられています。

では、「-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617」とは正確には何ですか? 完全にはわかりませんが、Windows 10 の完全なクリーン インストールに存在することが確認されているため、Windows の正常な部分であることは間違いありません。 なんとなくユーザーインターフェースに画像を表示することに関わっているようです。 プロセスを一時停止または強制終了すると、メディア コントロールの横にあるアイコンが表示されなくなり、一部のユーザーから、ユーザー アカウント アイコンと相互作用することが報告されています。

警告:実行可能ファイルが Windows に含まれている正当なものであっても、rundll32 -localserver を介して実行されている奇妙なものには少し警戒する必要があります。 悪意のある操作を実行するために使用できます。

Rundll32.exe を削除できますか?

Windows を正常に機能させたい場合は、rundll32.exe を安全に削除することはできません。 これは、Windows オペレーティング システムの通常の重要な部分です。 それは、電子レンジを開けて、さまざまな部品を取り出せるかどうかを尋ねるようなものです。 確かに物理的には可能ですが、電子レンジを正常に動作させたい場合はできません。

そうです、技術的には rundll32.exe を削除することができます。 おそらく、rundll32.exe を削除すると、さまざまな問題が発生し、PC の通常の実行が頭痛の種になります。

警告:コンピュータから rundll32.exe を削除しないでください。

ただし、何らかの理由で本当にやりたい場合は、Linux ディストリビューションを起動し、Windows ドライブがマウントされていることを確認して、そこから削除するのが最も簡単な方法です。 Windows は rundll32.exe を非常に積極的に保護しており、Windows 自体からそれを取り除くのは難しいでしょう。 Linux 内から削除すると、これらの保護手段が完全にバイパスされます。 これができた場合、Windows のインストールが壊れている可能性があり、SFC コマンドなどで修復する必要があります。

rundll32.exe の動作が気に入らない場合は、rundll32.exe が関連付けられているプロセスを見つけて、代わりにそのプロセスに関連するトリガーを無効にすることをお勧めします。

Rundll32.exe を無効にする方法

警告:何をしているのかを確認せずに、あれこれを無効にすることに熱中しないでください。 うっかり何かを壊してしまうかもしれません。

rundll32.exe 自体は何もしないため、rundll32.exe を直接無効にすることはできませんが、rundll32.exe を使用して動作するアプリケーションやサービスを無効にすることはできます。 これは、正確に何が必要かによって、少し複雑になる場合があります。 システムで実行中の rundll32.exe の別のインスタンスがあり、次の例で使用する「rxdiag.dll」と呼ばれるものをロードしています。

最も簡単な解決策は、Process Manager で rundll32.exe のインスタンスを右クリックし、[Kill Process] をクリックしてすぐに終了することです。

ただし、この修正を行っても、rundll32 が呼び出され、必要に応じてすぐに再起動するのを止めることはできません。 そのためには、rundll32.exe をアクティブにする原因を特定するか、それを呼び出すプログラムを完全にアンインストールする必要があります。 ゼロから始めて、これを行う方法を次に示します。

rundll32.exe のインスタンスを右クリックし、[プロパティ] をクリックして、[イメージ] タブにいることを確認します。 rundll32.exe は Windows フォルダにある正当なコピーであり、親プロセスは「nvcontainer.exe」と呼ばれるものであり、DLL は「C:\Program Files\Nvidia Corporation\nvstreamsrv」フォルダに格納されていることに注意してください。

それは私たちに多くのことを教えてくれます。 マルウェアではないことは非常に確信できます。また、それが配置されているフォルダーから、グラフィック ドライバー (NVIDIA GPU を使用) に関連付けられていることもわかっています。フォルダー名がわからない場合は、次を試してください。インターネットで検索。 通常、フォルダを作成したプログラムを説明するいくつかの結果を見つけることができます。

これで、NVIDIA プログラムが原因であることがわかりましたが、PC にはいくつかの異なる NVIDIA プログラムがあります。 それがどれであるかどうやってわかりますか？

サブフォルダー名 — nvstreamsrv — は、役立つ洞察を提供します。 NVIDIA が開発したゲームに特化したユーティリティである GeForce Experience を使用すると、Shadowplay と呼ばれる機能を介してビデオをストリーミングおよび録画できます。 フォルダ名「nvstreamsrv」は、おそらく「 NV IDIA Stream Server 」の省略形であり、これは、NVIDIA コントロール パネルのような別の NVIDIA ソフトウェアではなく、GeForce Experienceが rundll32.exe へのこの呼び出しを担当していることを示しています。 .

繰り返しますが、フォルダー名 (または rundll32 に付加された他の引数) の間の接続を簡単に形成できない場合は、インターネットで検索してみてください。 あなたが遭遇することのほとんどは、十分に文書化されています。

GeForce Experience がこの rundll32.exe のインスタンスの原因である可能性が最も高いと推測できます。 rundll32 が再起動しないように、実際にオフにする必要があります。 詳細は状況によって異なりますが、これらの手順の概要を念頭に置いてください。

1. Shadowplay に関連していると思われるため、GeForce Experience で Shadowplay を無効にします
2. スタートアップ プログラム リストから GeForce Experience を削除する
3. サービスユーティリティで関連するサービスを無効にします
4. タスク スケジューラで、GeForce Experience の自動実行をトリガーする可能性のあるスケジュールされたタスクを無効にします (自動更新は一般的な原因です)。
5. プログラムを完全にアンインストールする

注:この場合、ShadowPlay と GeForce Experience のストリーミング機能を無効にしても問題は解決しませんでした。 GeForce Experience を完全に無効にする必要がありました。

物事を無効にするときは、通常、できるだけ対象を絞るようにしてください。 最初に、責任があると思われる特定の機能を無効にしてから、スタートアップまたはサービスを無効にし、次に重要なスケジュールされたアクティビティ (自動更新) を削除してから、アプリケーションを削除しました. これにより、別の重要な機能を誤って壊してしまう可能性を最小限に抑えることができます。

もちろん、アプリケーションがまったく不要であることがわかっている場合は、他の手順をスキップして、直接アンインストールに進んでください。 重要なものを誤ってアンインストールしたり削除したりしないように注意してください。

ヒント:この記事は、svchost.exe、dwm.exe、ctfmon.exe、mDNSResponder.exe、conhost.exe、Adobe_Updater.exe など、タスク マネージャーにあるさまざまなプロセスを説明する進行中のシリーズの一部です。