¿Qué es rundll32.exe y por qué se ejecuta?

Publicado: 2023-04-10
Administrador de tareas de Windows
Jason Fitzpatrick / Geek de instrucciones
Rundll32.exe es una parte estándar de Windows que se utiliza para ejecutar archivos de biblioteca de vínculos dinámicos (DLL). Las DLL contienen código para varias funciones de un programa y son comúnmente utilizadas por procesos de Windows y aplicaciones de terceros. Rundll32.exe normalmente no es malware, pero puede usarse para ejecutar código malicioso.

Abre el Administrador de tareas solo para encontrar innumerables instancias de rundll32.exe ejecutándose todas a la vez. Pero, ¿qué es rundll32.exe? ¿Qué hace y cómo determina lo que realmente está haciendo cualquier instancia dada en su PC? Aquí está todo lo que necesitas saber.

Tabla de contenido

¿Qué es Rundll32?
¿Es Rundll32.exe un virus?
Investigue Rundll32.exe usando Process Explorer en Windows 10 o Windows 11
¿Se puede eliminar Rundll32.exe?
Cómo deshabilitar Rundll32.exe

¿Qué es Rundll32?

Rundll32.exe se utiliza para ejecutar Dynamic Link Library (DLL) en el sistema operativo Windows. Las DLL almacenan código para proporcionar funciones a los procesos de Windows y aplicaciones de terceros, y varios programas pueden acceder a ellas simultáneamente.

Hay miles (si no más) de archivos DLL incluidos con su instalación regular de Windows que están relacionados con todo, desde redes hasta la interfaz de usuario con la que interactúa a diario. La mayoría de los programas que instala también usan archivos DLL. Esta ubicuidad hace que rundll32.exe sea una parte esencial de Windows, ya sea que esté usando Windows 10, Windows 11 o una versión anterior de Windows como Windows 7.

¿Es Rundll32.exe un virus?

Rundll32.exe es una parte normal de Windows. Sin embargo, el malware puede pretender ser una copia legítima de rundll32.exe o usar el rundll32.exe real para ejecutar código malicioso en su PC.

Hay algunas copias legítimas del ejecutable rundll32 contenidas en una instalación de Windows. Los dos que verá comúnmente se encuentran en "C:\Windows\System32\" y "C:\Windows\SysWOW64", pero si realiza una búsqueda, encontrará otros en la carpeta de Windows.

A veces, el malware usa el mismo nombre ejecutable y se ejecuta desde un directorio diferente para disfrazarse. Inmediatamente debe sospechar de cualquier ejecutable rundll32 que no se encuentre en su carpeta de Windows o en una subcarpeta de Windows.

Por lo general, lo mejor que puede hacer si sospecha que tiene una copia maliciosa de rundll32.exe en su PC es ejecutar un análisis de virus con Microsoft Defender o el programa antivirus que prefiera. Malwarebytes es una excelente opción y se encargará de la mayoría de los programas maliciosos, aunque existen otros excelentes paquetes de software antivirus.

Sin embargo, los programas antivirus no son perfectos y, en ocasiones, el malware que se ejecuta con rundll32 evitará la detección. Si ese es el caso, deberá profundizar en lo que está haciendo rundll32.exe manualmente y cómo deshabilitarlo si encuentra algo que no desea.

RELACIONADO: ¿ Qué son los archivos DLL y por qué falta uno en mi PC?

Investigue Rundll32.exe usando Process Explorer en Windows 10 o Windows 11

Process Explorer, una utilidad gratuita de Microsoft, brinda información más específica que es útil si intenta determinar exactamente qué está haciendo una aplicación. Es pequeño, no necesita ser instalado y funciona con cualquier versión de Windows. Aquí, lo usaremos para investigar la actividad de rundll32.exe.

Inicie Process Explorer como administrador, luego vaya a Archivo > Mostrar detalles de todos los procesos para asegurarse de que está viendo todo. Probablemente habrá muchas cosas en la lista, y es posible que no las reconozca todas si nunca ha mirado de cerca cómo funciona Windows antes. No significa que tengas un virus.

Nota: no es necesario que inicie Process Explorer como administrador, pero es mejor que lo haga. Es posible que algunos procesos no muestren toda su información sin privilegios de administrador.

Ahora, cuando pasa el cursor sobre rundll32.exe en la lista, verá una información sobre herramientas con los detalles de lo que está haciendo. Mejor aún, puede hacer clic derecho, elegir "Propiedades" para obtener información más detallada.

Hay mucha información disponible en la ventana Propiedades, pero debe comenzar con la pestaña "Imagen". Le mostrará la ruta completa, el proceso principal, el usuario y más. En este caso, nuestro rundll32.exe está asociado con algo llamado "servidor local 22d8c27b-47a1-48d1-ad08-7da7abd79617".

La ventana "Propiedades" en la pestaña "Imagen".

Entonces, ¿qué es exactamente "-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617"? No estamos del todo seguros, pero hemos confirmado que está presente en una instalación completamente limpia de Windows 10, por lo que definitivamente es una parte normal de Windows. Parece estar involucrado en la presentación de imágenes en la interfaz de usuario de alguna manera. Si suspende o cancela el proceso, el ícono junto a los controles de medios ya no aparecerá, y algunos usuarios informaron que interactúa con los íconos de la cuenta de usuario.

La imagen inferior es lo que sucede cuando el proceso del servidor local mencionado anteriormente se suspende o elimina. Tenga en cuenta la miniatura que falta.
Advertencia: debe desconfiar un poco de las cosas extrañas que encuentre ejecutándose a través de rundll32 -localserver, incluso si el ejecutable es el legítimo incluido con Windows. Se puede utilizar para realizar operaciones maliciosas.

¿Se puede eliminar Rundll32.exe?

No puede eliminar con seguridad rundll32.exe si desea que Windows funcione correctamente. Es una parte normal y crítica del sistema operativo Windows. Es como preguntar si puede abrir su microondas y comenzar a quitar varios componentes. Pues claro, es físicamente posible, pero no puedes hacerlo si quieres que tu microondas siga funcionando correctamente.

Entonces, sí, técnicamente puede eliminar rundll32.exe si está dispuesto a hacer todo lo posible, pero realmente no debería hacerlo . Lo más probable es que eliminar rundll32.exe rompa muchas cosas y haga que el funcionamiento de su PC sea un dolor de cabeza.

Advertencia: no elimine rundll32.exe de su computadora.

Sin embargo, si realmente desea hacerlo por alguna razón, la forma más fácil es iniciar una distribución de Linux, asegurarse de que su unidad de Windows esté montada y eliminarla desde allí. Windows protege rundll32.exe de manera bastante agresiva, y sería difícil deshacerse de él desde el mismo Windows. Eliminarlo desde Linux pasa por alto esas medidas de protección por completo. Si logra hacer esto, probablemente tendrá una instalación de Windows rota que deberá reparar con algo como el comando SFC.

Si no le gusta algo que está haciendo rundll32.exe, es mucho mejor que averigüe con qué proceso está asociado rundll32.exe y simplemente deshabilite los disparadores relacionados con ese proceso.

Cómo deshabilitar Rundll32.exe

Advertencia: no se ponga demasiado entusiasta al deshabilitar esto y aquello sin confirmar lo que está haciendo. Podrías romper algo accidentalmente.

No puede deshabilitar directamente rundll32.exe ya que en realidad no hace nada por sí mismo, pero puede deshabilitar las aplicaciones y servicios que usan rundll32.exe para funcionar. Esto a veces puede ser un poco complicado, dependiendo de lo que quieras exactamente. Tenemos otra instancia de rundll32.exe ejecutándose en nuestro sistema que está cargando algo llamado "rxdiag.dll" que usaremos para el siguiente ejemplo.

La solución más simple es hacer clic con el botón derecho en la instancia de rundll32.exe en el Administrador de procesos y hacer clic en "Eliminar proceso" para finalizarlo de inmediato.

Sin embargo, esa solución no impedirá que se llame a rundll32 y se inicie de nuevo tan pronto como sea necesario. Si desea hacer eso, debe determinar qué está causando que rundll32.exe active o desinstale completamente el programa que lo llama. Así es como puede hacerlo, comenzando desde cero.

Haga clic derecho en la instancia de rundll32.exe y haga clic en "Propiedades", luego asegúrese de estar en la pestaña "Imagen". Tenga en cuenta que rundll32.exe es la copia legítima ubicada en la carpeta de Windows, el proceso principal es algo llamado "nvcontainer.exe" y que la DLL se almacena en la carpeta "C:\Program Files\Nvidia Corporation\nvstreamsrv".

La pestaña Imagen, con varios atributos de la instancia rundll32 resaltados.

Eso nos dice mucho. Podemos estar seguros de que no es malware y sabemos que está asociado con nuestro controlador de gráficos (tenemos una GPU NVIDIA) debido a la carpeta en la que se encuentra. Si no reconoce el nombre de la carpeta, intente buscando en internet. Por lo general, podrá encontrar varios resultados que explican qué programa creó la carpeta.

Entonces, ahora sabe que un programa NVIDIA es responsable de ello, pero tiene algunos programas NVIDIA diferentes en su PC. ¿Cómo sabes cuál es?

El nombre de la subcarpeta, nvstreamsrv, proporciona información útil. GeForce Experience, una utilidad enfocada en juegos producida por NVIDIA, le permite transmitir y grabar video a través de una función llamada Shadowplay. El nombre de la carpeta "nvstreamsrv" probablemente sea una abreviatura de " NV IDIA Stream S e rv er", y eso nos indica que GeForce Experience es responsable de esta llamada a rundll32.exe, en lugar de otra pieza de software de NVIDIA, como el Panel de control de NVIDIA. .

Nuevamente, si no puede establecer fácilmente una conexión entre el nombre de la carpeta (u otro argumento adjunto a rundll32), intente buscarlo en Internet. La mayoría de las cosas que encontrarás estarán bien documentadas.

Ahora podemos suponer razonablemente que GeForce Experience es probablemente el responsable de esta instancia de rundll32.exe. Ahora necesita apagarlo para que rundll32 no vuelva a encenderse. Los detalles variarán según sus circunstancias, pero tenga en cuenta el esquema general de estos pasos:

  1. Dado que sospechamos que está relacionado con Shadowplay, deshabilite Shadowplay en GeForce Experience
  2. Eliminar GeForce Experience de la lista de programas de inicio
  3. Deshabilite cualquier servicio asociado en la utilidad Servicios
  4. Deshabilite cualquier tarea programada que pueda activar la ejecución automática de GeForce Experience (las actualizaciones automáticas son un culpable común) en el Programador de tareas
  5. Desinstalar el programa por completo
Nota: En este caso, deshabilitar las funciones de transmisión de ShadowPlay y GeForce Experience no fue suficiente. Tuvimos que deshabilitar por completo GeForce Experience.

Una actualización automática programada de GeForce Experience.

Por lo general, debe intentar ser lo más específico posible al deshabilitar cosas. Primero intentamos deshabilitar una función específica que pensamos que era responsable, luego deshabilitamos el inicio o un servicio, luego eliminamos una actividad programada importante (una actualización automática), y solo luego eliminamos la aplicación. Esto minimiza la posibilidad de romper accidentalmente otra característica importante que puede usar o que podría ser importante detrás de escena de una manera que no se dio cuenta.

Por supuesto, si sabe que no desea la aplicación en absoluto, simplemente omita los otros pasos y vaya directamente a desinstalarla. Solo tenga cuidado: no desea desinstalar o eliminar algo importante por accidente.

Sugerencia: este artículo es parte de nuestra serie continua que explica varios procesos que se encuentran en el Administrador de tareas, como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe y muchos otros.