Che cos'è rundll32.exe e perché è in esecuzione?

Pubblicato: 2023-04-10
Gestore dei processi di Windows
Jason Fitzpatrick / How-to Geek
Rundll32.exe è una parte standard di Windows utilizzata per eseguire file DLL (Dynamic Link Library). Le DLL contengono codice per varie funzioni di un programma e sono comunemente utilizzate dai processi di Windows e dalle app di terze parti. Rundll32.exe normalmente non è un malware, ma può essere utilizzato per eseguire codice dannoso.

Apri Task Manager solo per trovare innumerevoli istanze di rundll32.exe in esecuzione tutte in una volta. Ma cos'è rundll32.exe? Cosa fa e come si determina cosa sta effettivamente facendo una determinata istanza sul tuo PC? Ecco tutto ciò che devi sapere.

Sommario

Cos'è Rundll32?
Rundll32.exe è un virus?
Ricerca Rundll32.exe utilizzando Process Explorer su Windows 10 o Windows 11
Puoi eliminare Rundll32.exe?
Come disattivare Rundll32.exe

Cos'è Rundll32?

Rundll32.exe viene utilizzato per eseguire Dynamic Link Library (DLL) sul sistema operativo Windows. Le DLL memorizzano il codice per fornire funzioni ai processi Windows e alle applicazioni di terze parti e sono accessibili da più programmi contemporaneamente.

Ci sono migliaia (se non di più) di DLL incluse nella normale installazione di Windows che sono correlate a tutto, dalla rete all'interfaccia utente con cui interagisci quotidianamente. La maggior parte dei programmi installati utilizza anche DLL. Questa ubiquità rende rundll32.exe una parte essenziale di Windows, sia che tu stia utilizzando Windows 10, Windows 11 o una versione precedente di Windows come Windows 7.

Rundll32.exe è un virus?

Rundll32.exe è una parte normale di Windows. Tuttavia, il malware può fingere di essere una copia legittima di rundll32.exe o utilizzare il vero rundll32.exe per eseguire codice dannoso sul tuo PC.

Esistono alcune copie legittime dell'eseguibile rundll32 contenute in un'installazione di Windows. I due che vedrai comunemente si trovano in "C:\Windows\System32\" e "C:\Windows\SysWOW64", ma se esegui una ricerca, ne troverai altri nella cartella Windows.

A volte il malware utilizza lo stesso nome eseguibile e viene eseguito da una directory diversa per camuffarsi. Dovresti essere immediatamente sospettoso di qualsiasi eseguibile rundll32 che non si trova nella cartella di Windows o in una sottocartella di Windows.

In genere, la cosa migliore da fare se sospetti di avere una copia dannosa di rundll32.exe sul tuo PC è eseguire una scansione antivirus con Microsoft Defender o il programma antivirus che preferisci. Malwarebytes è una scelta eccellente e si prenderà cura della maggior parte dei malware, anche se esistono altri fantastici pacchetti software antivirus.

Tuttavia, i programmi antivirus non sono perfetti e occasionalmente il malware eseguito con rundll32 eviterà il rilevamento. Se questo è il caso, dovrai scavare in ciò che rundll32.exe sta facendo manualmente e come disabilitarlo se trovi qualcosa che non vuoi.

CORRELATO: Cosa sono i file DLL e perché ne manca uno dal mio PC?

Ricerca Rundll32.exe utilizzando Process Explorer su Windows 10 o Windows 11

Process Explorer, un'utilità gratuita di Microsoft, fornisce informazioni più specifiche utili se stai cercando di determinare esattamente cosa sta facendo un'applicazione. È piccolo, non ha bisogno di essere installato e funziona con qualsiasi versione di Windows. Qui lo useremo per indagare sull'attività di rundll32.exe.

Avvia Process Explorer come amministratore, quindi vai su File> Mostra dettagli per tutti i processi per assicurarti di vedere tutto. Probabilmente ci saranno molte cose elencate e potresti non riconoscerle tutte se non hai mai esaminato da vicino come funziona Windows prima. Non significa che hai un virus.

Nota: non è necessario avviare Process Explorer come amministratore, ma è meglio se lo fai. Alcuni processi potrebbero non visualizzare tutte le informazioni senza i privilegi di amministratore.

Ora quando passi con il mouse su rundll32.exe nell'elenco, vedrai un suggerimento con i dettagli di ciò che sta facendo. Meglio ancora, puoi fare clic con il tasto destro, scegliere "Proprietà" per ottenere informazioni più dettagliate.

Ci sono molte informazioni disponibili nella finestra Proprietà, ma dovresti iniziare con la scheda "Immagine". Ti mostrerà il percorso completo, il processo genitore, l'utente e altro. In questo caso, il nostro rundll32.exe è associato a qualcosa chiamato "localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617".

La finestra "Proprietà" nella scheda "Immagine".

Quindi, cos'è esattamente "-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617"? Non ne siamo del tutto sicuri, ma abbiamo confermato che è presente su un'installazione completamente pulita di Windows 10, quindi è sicuramente una parte normale di Windows. Sembra essere coinvolto in qualche modo nella presentazione delle immagini nell'interfaccia utente. Se sospendi o interrompi il processo, l'icona accanto ai controlli multimediali non verrà più visualizzata e alcuni utenti hanno segnalato che interagisce con le icone dell'account utente.

L'immagine in basso è ciò che accade quando il processo del server locale menzionato in precedenza viene sospeso o terminato. Nota la miniatura mancante.
Avvertenza: dovresti essere un po 'diffidente nei confronti delle cose strane che trovi in ​​​​esecuzione tramite rundll32 -localserver, anche se l'eseguibile è quello legittimo incluso in Windows. Può essere utilizzato per eseguire operazioni dannose.

Puoi eliminare Rundll32.exe?

Non è possibile eliminare in modo sicuro rundll32.exe se si desidera che Windows funzioni correttamente. È una parte normale e critica del sistema operativo Windows. È come chiedere se puoi aprire il tuo forno a microonde e iniziare a rimuovere vari componenti. Certo, è fisicamente possibile, ma non puoi farlo se vuoi che il tuo forno a microonde continui a funzionare correttamente.

Quindi sì, puoi eliminare tecnicamente rundll32.exe se sei disposto a fare di tutto, ma in realtà non dovresti . Le probabilità sono che l'eliminazione di rundll32.exe romperà un sacco di cose e renderà l'esecuzione del tuo PC normalmente un mal di testa.

Avviso: non eliminare rundll32.exe dal computer.

Tuttavia, se vuoi davvero farlo per qualche motivo, il modo più semplice è avviare una distribuzione Linux, assicurarti che l'unità Windows sia montata ed eliminarla da lì. Windows protegge rundll32.exe in modo abbastanza aggressivo e sarebbe difficile sbarazzarsene dall'interno di Windows stesso. Eliminarlo dall'interno di Linux aggira completamente queste misure protettive. Se riesci a farlo, probabilmente avrai un'installazione di Windows non funzionante che dovrai riparare con qualcosa come il comando SFC.

Se non ti piace qualcosa che rundll32.exe sta facendo, è molto meglio scoprire a quale processo è associato rundll32.exe e disabilitare invece i trigger relativi a quel processo.

Come disattivare Rundll32.exe

Avvertenza: non diventare troppo zelante disabilitando questo e quello senza confermare quello che stai facendo. Potresti rompere qualcosa accidentalmente.

Non puoi disabilitare direttamente rundll32.exe poiché in realtà non fa nulla da solo, ma puoi disabilitare le applicazioni e i servizi che utilizzano rundll32.exe per funzionare. Questo a volte può essere un po' complicato, a seconda di quello che vuoi esattamente. Abbiamo un'altra istanza di rundll32.exe in esecuzione sul nostro sistema che sta caricando qualcosa chiamato "rxdiag.dll" che useremo per il seguente esempio.

La soluzione più semplice è fare clic con il pulsante destro del mouse sull'istanza di rundll32.exe in Process Manager e fare clic su "Chiudi processo" per terminarlo immediatamente.

Tuttavia, tale correzione non impedirà a rundll32 di essere richiamato e riavviato non appena necessario. Se vuoi farlo, devi determinare cosa sta causando l'attivazione di rundll32.exe o disinstallare completamente il programma che lo chiama. Ecco come potresti farlo, partendo da zero.

Fai clic con il pulsante destro del mouse sull'istanza di rundll32.exe e fai clic su "Proprietà", quindi assicurati di essere nella scheda "Immagine". Nota che rundll32.exe è la copia legittima che si trova nella cartella Windows, il processo principale è chiamato "nvcontainer.exe" e che la DLL è archiviata nella cartella "C:\Program Files\Nvidia Corporation\nvstreamsrv".

La scheda Immagine, con vari attributi dell'istanza rundll32 evidenziati.

Questo ci dice molto. Possiamo essere molto sicuri che non si tratti di malware e sappiamo che è associato al nostro driver grafico (abbiamo una GPU NVIDIA) a causa della cartella in cui si trova. Se non riconosci il nome della cartella, prova ricerca su internet. Di solito, sarai in grado di trovare diversi risultati che spiegano quale programma ha creato la cartella.

Quindi, ora sai che un programma NVIDIA ne è responsabile, ma hai alcuni programmi NVIDIA diversi sul tuo PC. Come fai a sapere qual è?

Il nome della sottocartella, nvstreamsrv, fornisce alcune informazioni utili. GeForce Experience, un'utilità focalizzata sui giochi prodotta da NVIDIA, ti consente di trasmettere e registrare video tramite una funzione chiamata Shadowplay. Il nome della cartella "nvstreamsrv" è probabilmente l'abbreviazione di " NV IDIA Stream S e rv er" e questo ci indica che GeForce Experience è responsabile di questa chiamata a rundll32.exe, piuttosto che un altro pezzo di software NVIDIA, come il pannello di controllo NVIDIA .

Ancora una volta, se non riesci a formare prontamente una connessione tra il nome della cartella (o un altro argomento allegato a rundll32), prova a cercarlo su Internet. La maggior parte delle cose che incontrerai saranno ben documentate.

Ora possiamo ragionevolmente supporre che GeForce Experience sia molto probabilmente responsabile di questa istanza di rundll32.exe. Ora devi effettivamente spegnerlo in modo che rundll32 non si riaccenda di nuovo. Le specifiche variano a seconda delle circostanze, ma tieni a mente lo schema generale di questi passaggi:

  1. Poiché sospettiamo che sia correlato a Shadowplay, disabilita Shadowplay in GeForce Experience
  2. Rimuovi GeForce Experience dall'elenco dei programmi di avvio
  3. Disattiva tutti i servizi associati nell'utilità Servizi
  4. Disattiva tutte le attività pianificate che potrebbero attivare l'esecuzione automatica di GeForce Experience (gli aggiornamenti automatici sono un colpevole comune) nell'Utilità di pianificazione
  5. Disinstallare completamente il programma
Nota: in questo caso, la disabilitazione delle funzionalità di streaming di ShadowPlay e GeForce Experience non ha funzionato. Abbiamo dovuto disabilitare completamente GeForce Experience.

Un aggiornamento automatico pianificato di GeForce Experience.

Di solito dovresti cercare di essere il più mirato possibile quando disabiliti le cose. Per prima cosa abbiamo provato a disabilitare una funzione specifica che ritenevamo responsabile, quindi a disabilitare l'avvio o un servizio, quindi a rimuovere un'importante attività pianificata (un aggiornamento automatico) e solo successivamente abbiamo rimosso l'applicazione. Ciò riduce al minimo la possibilità di interrompere accidentalmente un'altra importante funzionalità che potresti utilizzare o che potrebbe essere importante dietro le quinte in un modo che non ti sei reso conto.

Ovviamente, se sai che non vuoi affatto l'applicazione, salta semplicemente gli altri passaggi e vai direttamente alla disinstallazione. Fai solo attenzione: non vuoi disinstallare o eliminare qualcosa di importante per sbaglio.

Suggerimento: questo articolo fa parte della nostra serie in corso che spiega vari processi presenti in Task Manager, come svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe e molti altri.