Co to jest rundll32.exe i dlaczego działa?

Opublikowany: 2023-04-10
Menedżer zadań systemu Windows
Jason Fitzpatrick / Jak to zrobić
Rundll32.exe to standardowa część systemu Windows używana do uruchamiania plików Dynamic Link Library (DLL). Biblioteki DLL zawierają kod dla różnych funkcji programu i są powszechnie używane przez procesy systemu Windows i aplikacje innych firm. Rundll32.exe zwykle nie jest złośliwym oprogramowaniem, ale można go użyć do wykonania złośliwego kodu.

Otwierasz Menedżera zadań tylko po to, aby znaleźć niezliczone wystąpienia rundll32.exe działające jednocześnie. Ale co to jest rundll32.exe? Co to robi i jak określić, co dana instancja faktycznie robi na twoim komputerze? Oto wszystko, co musisz wiedzieć.

Spis treści

Co to jest Rundll32?
Czy Rundll32.exe to wirus?
Zbadaj plik Rundll32.exe za pomocą Process Explorer w systemie Windows 10 lub Windows 11
Czy możesz usunąć Rundll32.exe?
Jak wyłączyć Rundll32.exe

Co to jest Rundll32?

Rundll32.exe służy do uruchamiania bibliotek dołączanych dynamicznie (DLL) w systemie operacyjnym Windows. Biblioteki DLL przechowują kod w celu zapewnienia funkcji procesom systemu Windows i aplikacjom innych firm i mogą być dostępne dla wielu programów jednocześnie.

Istnieją tysiące (jeśli nie więcej) bibliotek DLL dołączonych do zwykłej instalacji systemu Windows, które są związane ze wszystkim, od sieci po interfejs użytkownika, z którym codziennie korzystasz. Większość instalowanych programów również korzysta z bibliotek DLL. Ta wszechobecność sprawia, że ​​rundll32.exe jest istotną częścią systemu Windows, niezależnie od tego, czy używasz systemu Windows 10, Windows 11, czy starszej wersji systemu Windows, takiej jak Windows 7.

Czy Rundll32.exe to wirus?

Rundll32.exe jest normalną częścią systemu Windows. Jednak złośliwe oprogramowanie może udawać legalną kopię rundll32.exe lub użyć prawdziwego rundll32.exe do wykonania złośliwego kodu na twoim komputerze.

Istnieje kilka legalnych kopii pliku wykonywalnego rundll32 zawartego w instalacji systemu Windows. Dwa, które zwykle widzisz, znajdują się w „C:\Windows\System32\” i „C:\Windows\SysWOW64”, ale jeśli przeprowadzisz wyszukiwanie, znajdziesz dodatkowe w folderze Windows.

Czasami złośliwe oprogramowanie używa tej samej nazwy pliku wykonywalnego i uruchamia się z innego katalogu, aby się ukryć. Powinieneś natychmiast podejrzewać każdy plik wykonywalny rundll32, który nie znajduje się w twoim folderze Windows lub podfolderze Windows.

Zazwyczaj najlepszą rzeczą do zrobienia, jeśli podejrzewasz, że masz złośliwą kopię rundll32.exe na swoim komputerze, jest uruchomienie skanowania antywirusowego za pomocą programu Microsoft Defender lub preferowanego programu antywirusowego. Malwarebytes to doskonały wybór i poradzi sobie z większością złośliwego oprogramowania, chociaż istnieją inne świetne pakiety oprogramowania antywirusowego.

Jednak programy antywirusowe nie są doskonałe i czasami złośliwe oprogramowanie działające z rundll32 uniknie wykrycia. W takim przypadku musisz zagłębić się w to, co program rundll32.exe robi ręcznie i jak go wyłączyć, jeśli znajdziesz coś, czego nie chcesz.

POWIĄZANE: Co to są pliki DLL i dlaczego brakuje jednego z mojego komputera?

Zbadaj plik Rundll32.exe za pomocą Process Explorer w systemie Windows 10 lub Windows 11

Process Explorer, bezpłatne narzędzie firmy Microsoft, dostarcza bardziej szczegółowych informacji, które są przydatne, jeśli próbujesz dokładnie określić, co robi aplikacja. Jest mały, nie wymaga instalacji i działa z każdą wersją systemu Windows. Tutaj użyjemy go do zbadania aktywności rundll32.exe.

Uruchom Process Explorer jako administrator, a następnie przejdź do Plik > Pokaż szczegóły wszystkich procesów, aby upewnić się, że widzisz wszystko. Prawdopodobnie będzie na liście wiele rzeczy i możesz nie rozpoznać ich wszystkich, jeśli nigdy wcześniej nie przyjrzałeś się bliżej działaniu systemu Windows. To nie znaczy, że masz wirusa.

Uwaga: Nie musisz uruchamiać Process Explorer jako administrator, ale lepiej, jeśli to zrobisz. Niektóre procesy mogą nie wyświetlać wszystkich swoich informacji bez uprawnień administratora.

Teraz, gdy najedziesz kursorem na rundll32.exe na liście, zobaczysz podpowiedź ze szczegółami tego, co robi. Co więcej, możesz kliknąć prawym przyciskiem myszy, wybrać „Właściwości”, aby uzyskać bardziej szczegółowe informacje.

W oknie Właściwości dostępnych jest wiele informacji, ale należy zacząć od zakładki „Obraz”. Pokaże ci pełną nazwę ścieżki, proces nadrzędny, użytkownika i więcej. W tym przypadku nasz rundll32.exe jest powiązany z czymś o nazwie „localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”.

Okno „Właściwości” w zakładce „Obraz”.

Czym dokładnie jest „-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”? Nie jesteśmy do końca pewni, ale potwierdziliśmy, że jest obecny w całkowicie czystej instalacji systemu Windows 10, więc zdecydowanie jest to normalna część systemu Windows. Wydaje się być w jakiś sposób zaangażowany w prezentowanie obrazów w interfejsie użytkownika. Jeśli zawiesisz lub zabijesz ten proces, ikona obok kontrolek multimediów nie będzie już wyświetlana, a niektórzy użytkownicy zgłosili, że wchodzi w interakcje z ikonami konta użytkownika.

Dolny obraz pokazuje, co dzieje się, gdy wspomniany wcześniej proces serwera lokalnego zostanie zawieszony lub zabity. Zwróć uwagę na brakującą miniaturę.
Ostrzeżenie: Powinieneś być trochę nieufny wobec dziwnych rzeczy, które znajdziesz uruchamianych przez rundll32 -localserver, nawet jeśli plik wykonywalny jest legalnym plikiem dołączonym do systemu Windows. Może być używany do wykonywania złośliwych operacji.

Czy możesz usunąć Rundll32.exe?

Nie możesz bezpiecznie usunąć rundll32.exe, jeśli chcesz, aby system Windows działał poprawnie. Jest to normalna, krytyczna część systemu operacyjnego Windows. To tak, jakby zapytać, czy możesz otworzyć kuchenkę mikrofalową i zacząć wyjmować różne elementy. Jasne, jest to fizycznie możliwe, ale nie możesz tego zrobić, jeśli chcesz, aby kuchenka mikrofalowa nadal działała poprawnie.

Więc tak, możesz technicznie usunąć rundll32.exe, jeśli chcesz się bardzo postarać, ale naprawdę nie powinieneś . Szanse są takie, że usunięcie rundll32.exe zepsuje mnóstwo rzeczy i sprawi, że normalne działanie komputera będzie sprawiać ból głowy.

Ostrzeżenie: nie usuwaj pliku rundll32.exe ze swojego komputera.

Jeśli jednak naprawdę chcesz to zrobić z jakiegoś powodu, najłatwiejszym sposobem jest uruchomienie dystrybucji Linuksa, upewnienie się, że dysk Windows jest zamontowany i usunięcie go stamtąd. System Windows chroni rundll32.exe dość agresywnie i trudno byłoby się go pozbyć z poziomu samego systemu Windows. Usunięcie go z poziomu Linuksa całkowicie omija te środki ochronne. Jeśli uda ci się to zrobić, prawdopodobnie będziesz mieć zepsutą instalację systemu Windows, którą będziesz musiał naprawić za pomocą polecenia SFC.

Jeśli nie podoba ci się coś, co robi rundll32.exe, znacznie lepiej jest dowiedzieć się, z którym procesem jest powiązany rundll32.exe, i po prostu wyłączyć wyzwalacze związane z tym procesem.

Jak wyłączyć Rundll32.exe

Ostrzeżenie: nie bądź nadgorliwy, wyłączając to i tamto bez potwierdzenia tego, co robisz. Możesz przypadkowo coś zepsuć.

Nie można bezpośrednio wyłączyć programu rundll32.exe, ponieważ tak naprawdę on sam nic nie robi, ale można wyłączyć aplikacje i usługi korzystające z programu rundll32.exe do działania. Czasami może to być nieco skomplikowane, w zależności od tego, czego dokładnie chcesz. Mamy inną instancję rundll32.exe uruchomioną w naszym systemie, która ładuje coś o nazwie „rxdiag.dll”, którego użyjemy w poniższym przykładzie.

Najprostszym rozwiązaniem jest kliknięcie prawym przyciskiem myszy wystąpienia rundll32.exe w Menedżerze procesów i kliknięcie „Zabij proces”, aby natychmiast go zakończyć.

Jednak ta poprawka nie zatrzyma wywoływania rundll32 i ponownego uruchamiania, gdy tylko będzie to potrzebne. Jeśli chcesz to zrobić, musisz ustalić, co powoduje, że rundll32.exe aktywuje lub całkowicie odinstalowuje program, który go wywołuje. Oto jak możesz to zrobić, zaczynając od podstaw.

Kliknij prawym przyciskiem myszy instancję rundll32.exe i kliknij „Właściwości”, a następnie upewnij się, że jesteś na karcie „Obraz”. Zwróć uwagę, że rundll32.exe jest legalną kopią znajdującą się w folderze Windows, procesem nadrzędnym jest coś, co nazywa się „nvcontainer.exe”, a biblioteka DLL jest przechowywana w folderze „C:\Program Files\Nvidia Corporation\nvstreamsrv”.

Karta Obraz z wyróżnionymi różnymi atrybutami instancji rundll32.

To wiele nam mówi. Możemy być pewni, że nie jest to złośliwe oprogramowanie i wiemy, że jest ono powiązane z naszym sterownikiem graficznym (mamy procesor graficzny NVIDIA) ze względu na folder, w którym się znajduje. Jeśli nie rozpoznajesz nazwy folderu, spróbuj szukanie w internecie. Zwykle można znaleźć kilka wyników, które wyjaśniają, jaki program utworzył folder.

Więc teraz wiesz, że program NVIDIA jest za to odpowiedzialny, ale masz kilka różnych programów NVIDIA na swoim komputerze. Skąd wiesz, który to jest?

Nazwa podfolderu — nvstreamsrv — zawiera przydatne informacje. GeForce Experience, narzędzie przeznaczone dla graczy stworzone przez firmę NVIDIA, umożliwia strumieniowe przesyłanie i nagrywanie wideo za pośrednictwem funkcji o nazwie Shadowplay. Nazwa folderu „nvstreamsrv” jest prawdopodobnie skrótem od „ NV IDIA Stream S e rv er”, co wskazuje nam, że GeForce Experience jest odpowiedzialne za to wywołanie rundll32.exe, a nie inny element oprogramowania NVIDIA, taki jak Panel sterowania NVIDIA .

Ponownie, jeśli nie możesz łatwo utworzyć połączenia między nazwą folderu (lub innym argumentem dołączonym do rundll32), spróbuj wyszukać go w Internecie. Większość rzeczy, które napotkasz, będzie dobrze udokumentowana.

Możemy teraz rozsądnie zgadywać, że oprogramowanie GeForce Experience jest najprawdopodobniej odpowiedzialne za tę instancję rundll32.exe. Teraz musisz go faktycznie wyłączyć, aby rundll32 nie uruchomił się ponownie. Szczegóły będą się różnić w zależności od okoliczności, ale pamiętaj o ogólnym zarysie tych kroków:

  1. Ponieważ podejrzewamy, że jest to związane z Shadowplay, wyłącz Shadowplay w GeForce Experience
  2. Usuń GeForce Experience z listy programów startowych
  3. Wyłącz wszelkie powiązane usługi w narzędziu Usługi
  4. Wyłącz wszystkie zaplanowane zadania, które mogą powodować automatyczne uruchamianie oprogramowania GeForce Experience (częstym powodem są automatyczne aktualizacje) w Harmonogramie zadań
  5. Całkowicie odinstaluj program
Uwaga: w tym przypadku wyłączenie funkcji strumieniowania ShadowPlay i GeForce Experience nie pomogło. Musieliśmy całkowicie wyłączyć GeForce Experience.

Zaplanowana automatyczna aktualizacja oprogramowania GeForce Experience.

Zwykle powinieneś starać się być jak najbardziej ukierunkowany podczas wyłączania rzeczy. Najpierw próbowaliśmy wyłączyć określoną funkcję, która naszym zdaniem była odpowiedzialna, następnie wyłączenie uruchamiania lub usługi, następnie usunięcie ważnej zaplanowanej czynności (automatyczna aktualizacja) i dopiero wtedy usunęliśmy aplikację. Minimalizuje to możliwość przypadkowego uszkodzenia innej ważnej funkcji, z której możesz korzystać lub która może być ważna za kulisami, w sposób, z którego nie zdawałeś sobie sprawy.

Oczywiście, jeśli wiesz, że w ogóle nie chcesz aplikacji, po prostu pomiń pozostałe kroki i przejdź od razu do jej odinstalowania. Po prostu bądź ostrożny — nie chcesz przypadkowo odinstalować lub usunąć czegoś ważnego.

Wskazówka: ten artykuł jest częścią naszej ciągłej serii wyjaśniającej różne procesy występujące w Menedżerze zadań, takie jak svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe i wiele innych.