O que é rundll32.exe e por que está em execução?

Publicados: 2023-04-10
gestor de tarefas do Windows
Jason Fitzpatrick / How-to Geek
Rundll32.exe é uma parte padrão do Windows usada para executar arquivos Dynamic Link Library (DLLs). As DLLs contêm código para várias funções de um programa e são comumente usadas por processos do Windows e aplicativos de terceiros. Rundll32.exe normalmente não é malware, mas pode ser usado para executar códigos maliciosos.

Você abre o Gerenciador de Tarefas apenas para encontrar inúmeras instâncias de rundll32.exe em execução ao mesmo tempo. Mas o que é rundll32.exe? O que ele faz e como você determina o que qualquer instância está realmente fazendo no seu PC? Aqui está tudo o que você precisa saber.

Índice

O que é Rundll32?
Rundll32.exe é um vírus?
Pesquise Rundll32.exe usando o Process Explorer no Windows 10 ou Windows 11
Você pode excluir Rundll32.exe?
Como desativar Rundll32.exe

O que é Rundll32?

Rundll32.exe é usado para executar Dynamic Link Library (DLLs) no sistema operacional Windows. As DLLs armazenam código para fornecer funções aos processos do Windows e aplicativos de terceiros e podem ser acessadas por vários programas simultaneamente.

Existem milhares (se não mais) de DLLs incluídas na instalação regular do Windows relacionadas a tudo, desde a rede até a interface do usuário com a qual você interage diariamente. A maioria dos programas que você instala também usa DLLs. Essa onipresença torna o rundll32.exe uma parte essencial do Windows, esteja você usando o Windows 10, o Windows 11 ou uma versão mais antiga do Windows, como o Windows 7.

Rundll32.exe é um vírus?

Rundll32.exe é uma parte normal do Windows. No entanto, o malware pode fingir ser uma cópia legítima do rundll32.exe ou usar o rundll32.exe real para executar código malicioso no seu PC.

Existem algumas cópias legítimas do executável rundll32 contidas em uma instalação do Windows. Os dois que você verá normalmente estão localizados em “C:\Windows\System32\” e “C:\Windows\SysWOW64”, mas se você fizer uma pesquisa, encontrará outros adicionais na pasta do Windows.

Às vezes, o malware usará o mesmo nome executável e será executado a partir de um diretório diferente para se disfarçar. Você deve suspeitar imediatamente de qualquer executável rundll32 que não esteja localizado na sua pasta do Windows ou em uma subpasta do Windows.

Normalmente, a melhor coisa a fazer se você suspeitar que tem uma cópia maliciosa do rundll32.exe em seu PC é executar uma verificação de vírus com o Microsoft Defender ou o programa antivírus de sua preferência. O Malwarebytes é uma excelente escolha e cuidará da maioria dos malwares, embora existam outros ótimos pacotes de software antivírus por aí.

No entanto, os programas antivírus não são perfeitos e, ocasionalmente, o malware executado com rundll32 evita a detecção. Se for esse o caso, você precisará se aprofundar no que o rundll32.exe está fazendo manualmente e como desativá-lo se encontrar algo que não deseja.

RELACIONADO: O que são arquivos DLL e por que está faltando um no meu PC?

Pesquise Rundll32.exe usando o Process Explorer no Windows 10 ou Windows 11

O Process Explorer, um utilitário gratuito da Microsoft, fornece informações mais específicas que são úteis se você estiver tentando determinar exatamente o que um aplicativo está fazendo. É pequeno, não precisa ser instalado e funciona com qualquer versão do Windows. Aqui, vamos usá-lo para investigar a atividade de rundll32.exe.

Inicie o Process Explorer como administrador e vá para Arquivo > Mostrar detalhes de todos os processos para garantir que você esteja vendo tudo. Provavelmente haverá um monte de coisas listadas, e você pode não reconhecer tudo isso se nunca examinou de perto como o Windows opera antes. Isso não significa que você tem um vírus.

Observação: você não precisa iniciar o Process Explorer como administrador, mas é melhor fazê-lo. Alguns processos podem não exibir todas as suas informações sem privilégios de administrador.

Agora, quando você passar o mouse sobre rundll32.exe na lista, verá uma dica de ferramenta com os detalhes do que está fazendo. Melhor ainda, você pode clicar com o botão direito, escolher “Propriedades” para obter informações mais detalhadas.

Há muitas informações disponíveis na janela Propriedades, mas você deve começar com a guia “Imagem”. Ele mostrará o nome do caminho completo, o processo pai, o usuário e muito mais. Nesse caso, nosso rundll32.exe está associado a algo chamado “localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”.

A janela "Propriedades" na guia "Imagem".

Então, o que exatamente é “-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”? Não temos certeza, mas confirmamos que ele está presente em uma instalação completamente limpa do Windows 10, portanto, é definitivamente uma parte normal do Windows. Parece estar envolvido na apresentação de imagens na interface do usuário de alguma forma. Se você suspender ou interromper o processo, o ícone ao lado dos controles de mídia não aparecerá mais e alguns usuários relataram que ele interage com os ícones da conta do usuário.

A imagem inferior é o que acontece quando o processo localserver mencionado anteriormente é suspenso ou eliminado. Observe a miniatura ausente.
Aviso: você deve ficar um pouco desconfiado de coisas estranhas que encontra em execução via rundll32 -localserver, mesmo que o executável seja o legítimo incluído no Windows. Ele pode ser usado para executar operações maliciosas.

Você pode excluir Rundll32.exe?

Você não pode excluir rundll32.exe com segurança se quiser que o Windows funcione corretamente. É uma parte normal e crítica do sistema operacional Windows. É como perguntar se você pode abrir o micro-ondas e começar a remover vários componentes. Claro, é fisicamente possível, mas você não pode fazer isso se quiser que o micro-ondas continue funcionando corretamente.

Então, sim, você pode excluir tecnicamente o rundll32.exe se estiver disposto a fazer grandes esforços, mas realmente não deveria . As probabilidades são de excluir rundll32.exe irá quebrar toneladas de coisas e tornar a execução do seu PC normalmente uma dor de cabeça.

Aviso: Não exclua rundll32.exe do seu computador.

No entanto, se você realmente quiser fazer isso por algum motivo, a maneira mais fácil é inicializar em uma distribuição Linux, verifique se a unidade do Windows está montada e exclua-a de lá. O Windows protege rundll32.exe de forma bastante agressiva, e seria difícil se livrar dele de dentro do próprio Windows. Excluí-lo do Linux ignora completamente essas medidas de proteção. Se você conseguir fazer isso, provavelmente terá uma instalação do Windows quebrada que precisará reparar com algo como o comando SFC.

Se você não gosta de algo que o rundll32.exe está fazendo, é muito melhor descobrir a qual processo o rundll32.exe está associado e apenas desabilitar os gatilhos relacionados a esse processo.

Como desativar Rundll32.exe

Aviso: não exagere desabilitando isso e aquilo sem confirmar o que está fazendo. Você pode quebrar algo acidentalmente.

Você não pode desativar diretamente o rundll32.exe, pois ele não faz nada sozinho, mas pode desativar os aplicativos e serviços que usam o rundll32.exe para operar. Às vezes, isso pode ser um pouco complicado, dependendo do que exatamente você deseja. Temos outra instância de rundll32.exe em execução em nosso sistema que está carregando algo chamado “rxdiag.dll” que usaremos no exemplo a seguir.

A solução mais simples é clicar com o botão direito do mouse na instância de rundll32.exe no Gerenciador de processos e clicar em “Kill Process” para encerrá-lo imediatamente.

No entanto, essa correção não impedirá que rundll32 seja chamado e inicializado novamente assim que for necessário. Se você quiser fazer isso, você deve determinar o que está causando rundll32.exe para ativar ou desinstalar completamente o programa que o chama. Aqui está como você pode fazer isso, começando do zero.

Clique com o botão direito do mouse na instância de rundll32.exe e clique em “Propriedades” e verifique se você está na guia “Imagem”. Observe que o rundll32.exe é a cópia legítima localizada na pasta Windows, o processo pai é algo chamado “nvcontainer.exe” e que a DLL está armazenada na pasta “C:\Arquivos de programas\Nvidia Corporation\nvstreamsrv”.

A guia Imagem, com vários atributos da instância rundll32 realçados.

Isso nos diz muito. Podemos ter certeza de que não é malware e sabemos que está associado ao nosso driver gráfico (temos uma GPU NVIDIA) por causa da pasta em que está localizado. Se você não reconhecer o nome da pasta, tente pesquisando na internet. Normalmente, você encontrará vários resultados que explicam qual programa criou a pasta.

Então, agora você sabe que um programa NVIDIA é responsável por isso, mas você tem alguns programas NVIDIA diferentes em seu PC. Como você sabe qual é?

O nome da subpasta — nvstreamsrv — fornece algumas informações úteis. O GeForce Experience, um utilitário focado em jogos produzido pela NVIDIA, permite transmitir e gravar vídeo por meio de um recurso chamado Shadowplay. O nome da pasta “nvstreamsrv” é provavelmente uma abreviação de “ NV IDIA Stream Server ,” e isso nos aponta para GeForce Experience sendo responsável por esta chamada para rundll32.exe, em vez de outro software NVIDIA, como o Painel de Controle NVIDIA .

Novamente, se você não conseguir estabelecer uma conexão prontamente entre o nome da pasta (ou outro argumento anexado ao rundll32), tente pesquisá-lo na Internet. A maioria das coisas que você encontrará estará bem documentada.

Agora podemos adivinhar razoavelmente que o GeForce Experience é provavelmente o responsável por esta instância do rundll32.exe. Agora você precisa desligá-lo para que o rundll32 não seja iniciado novamente. Os detalhes variam dependendo das circunstâncias, mas lembre-se do esboço geral dessas etapas:

  1. Como suspeitamos que esteja relacionado ao Shadowplay, desative o Shadowplay no GeForce Experience
  2. Remova o GeForce Experience da lista de programas de inicialização
  3. Desative todos os serviços associados no utilitário Serviços
  4. Desative todas as tarefas agendadas que possam acionar o GeForce Experience para execução automática (atualizações automáticas são um culpado comum) no Agendador de Tarefas
  5. Desinstale o programa completamente
Observação: nesse caso, desabilitar os recursos de streaming do ShadowPlay e do GeForce Experience não resolveu. Tivemos que desativar totalmente o GeForce Experience.

Uma atualização automática agendada do GeForce Experience.

Normalmente, você deve tentar ser o mais direcionado possível ao desativar as coisas. Primeiro tentamos desabilitar um recurso específico que pensávamos ser o responsável, depois desabilitar a inicialização ou um serviço, depois remover uma atividade agendada importante (uma atualização automática) e só então removemos o aplicativo. Isso minimiza a possibilidade de quebrar acidentalmente outro recurso importante que você pode usar ou pode ser importante nos bastidores de uma forma que você não percebeu.

Obviamente, se você sabe que não deseja o aplicativo, pule as outras etapas e vá direto para a desinstalação. Apenas tome cuidado - você não deseja desinstalar ou excluir algo importante por acidente.

Dica: este artigo faz parte de nossa série contínua que explica vários processos encontrados no Gerenciador de Tarefas, como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe e muitos outros.