Ce este rundll32.exe și de ce rulează?

Publicat: 2023-04-10
Manager de activități Windows
Jason Fitzpatrick / How-to Geek
Rundll32.exe este o parte standard a Windows folosită pentru a rula fișiere Dynamic Link Library (DLL). DLL-urile conțin cod pentru diferite funcții ale unui program și sunt utilizate în mod obișnuit de procesele Windows și de aplicațiile terțe. Rundll32.exe nu este în mod normal malware, dar poate fi folosit pentru a executa cod rău intenționat.

Deschideți Managerul de activități doar pentru a găsi nenumărate instanțe ale rundll32.exe care rulează simultan. Dar ce este rundll32.exe? Ce face și cum determinați ce face de fapt orice instanță a acesteia pe computerul dvs.? Iată tot ce trebuie să știi.

Cuprins

Ce este Rundll32?
Este Rundll32.exe un virus?
Căutați Rundll32.exe utilizând Process Explorer pe Windows 10 sau Windows 11
Puteți șterge Rundll32.exe?
Cum se dezactivează Rundll32.exe

Ce este Rundll32?

Rundll32.exe este folosit pentru a rula Dynamic Link Library (DLL) pe sistemul de operare Windows. DLL-urile stochează cod pentru a oferi funcții proceselor Windows și aplicațiilor terțe și pot fi accesate de mai multe programe simultan.

Există mii (dacă nu mai multe) de DLL-uri incluse în instalarea Windows obișnuită care sunt legate de orice, de la rețea la interfața de utilizare cu care interacționați zilnic. Majoritatea programelor pe care le instalați folosesc și DLL-uri. Această omniprezentare face din rundll32.exe o parte esențială a Windows, indiferent dacă utilizați Windows 10, Windows 11 sau o versiune mai veche de Windows, cum ar fi Windows 7.

Este Rundll32.exe un virus?

Rundll32.exe este o parte normală a Windows. Cu toate acestea, malware-ul poate pretinde a fi o copie legitimă a rundll32.exe sau poate utiliza rundll32.exe real pentru a executa cod rău intenționat pe computer.

Există câteva copii legitime ale executabilului rundll32 conținute într-o instalare Windows. Cele două pe care le veți vedea de obicei se află în „C:\Windows\System32\” și „C:\Windows\SysWOW64”, dar dacă efectuați o căutare, veți găsi altele suplimentare în folderul Windows.

Uneori, malware-ul va folosi același nume de executabil și va rula dintr-un director diferit pentru a se deghiza. Ar trebui să vă suspectați imediat orice executabil rundll32 care nu se află în folderul Windows sau într-un subfolder Windows.

De obicei, cel mai bun lucru de făcut dacă bănuiți că aveți o copie rău intenționată a rundll32.exe pe computer este să rulați o scanare antivirus cu Microsoft Defender sau cu programul antivirus pe care îl preferați. Malwarebytes este o alegere excelentă și se va ocupa de majoritatea programelor malware, deși există și alte pachete excelente de software antivirus.

Cu toate acestea, programele antivirus nu sunt perfecte și, ocazional, malware-ul care rulează cu rundll32 va evita detectarea. Dacă acesta este cazul, va trebui să cercetați ce face rundll32.exe manual și cum să îl dezactivați dacă găsiți ceva ce nu doriți.

RELATE: Ce sunt fișierele DLL și de ce lipsește unul de pe computerul meu?

Căutați Rundll32.exe utilizând Process Explorer pe Windows 10 sau Windows 11

Process Explorer, un utilitar gratuit de la Microsoft, oferă informații mai specifice care sunt utile dacă încercați să determinați exact ce face o aplicație. Este mic, nu trebuie instalat și funcționează cu orice versiune de Windows. Aici, îl vom folosi pentru a investiga activitatea rundll32.exe.

Lansați Process Explorer ca administrator, apoi accesați Fișier > Afișați detaliile pentru toate procesele pentru a vă asigura că vedeți totul. Probabil că vor fi listate o mulțime de lucruri și s-ar putea să nu le recunoașteți pe toate dacă nu v-ați uitat niciodată îndeaproape la modul în care funcționează Windows înainte. Nu înseamnă că ai un virus.

Notă: nu trebuie să lansați Process Explorer ca administrator, dar este mai bine dacă o faceți. Este posibil ca unele procese să nu afișeze toate informațiile lor fără privilegii de administrator.

Acum, când treceți cu mouse-ul peste rundll32.exe în listă, veți vedea un tooltip cu detalii despre ceea ce face. Mai bine, puteți face clic dreapta, alege „Proprietăți” pentru a obține informații mai detaliate.

Există o mulțime de informații disponibile în fereastra Proprietăți, dar ar trebui să începeți cu fila „Imagine”. Vă va afișa calea completă, procesul părinte, utilizatorul și multe altele. În acest caz, rundll32.exe este asociat cu ceva numit „localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”.

Fereastra „Proprietăți” din fila „Imagine”.

Deci, ce este exact „-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”? Nu suntem pe deplin siguri, dar am confirmat că este prezent pe o instalare complet curată a Windows 10, deci este cu siguranță o parte normală a Windows. Se pare că este implicat în prezentarea imaginilor în interfața cu utilizatorul cumva. Dacă suspendați sau opriți procesul, pictograma de lângă comenzile dvs. media nu va mai apărea, iar unii utilizatori au raportat că interacționează cu pictogramele Contului de utilizator.

Imaginea de jos este ceea ce se întâmplă atunci când procesul serverului local menționat anterior este suspendat sau oprit. Observați miniatura lipsă.
Avertisment: ar trebui să fii un pic nedumerit față de lucrurile ciudate pe care le găsești rulând prin rundll32 -localserver, chiar dacă executabilul este cel legitim inclus în Windows. Poate fi folosit pentru a efectua operațiuni rău intenționate.

Puteți șterge Rundll32.exe?

Nu puteți șterge în siguranță rundll32.exe dacă doriți ca Windows să funcționeze corect. Este o parte normală, critică a sistemului de operare Windows. Este ca și cum ai întreba dacă poți deschide cuptorul cu microunde și începe să scoți diverse componente. Ei bine, sigur, este posibil din punct de vedere fizic, dar nu o poți face dacă vrei ca cuptorul cu microunde să continue să funcționeze corect.

Deci, da, puteți șterge din punct de vedere tehnic rundll32.exe dacă sunteți dispus să faceți eforturi mari, dar chiar nu ar trebui . Şansele sunt că ştergerea rundll32.exe va sparge tone de lucruri şi va face ca rularea computerului să fie o durere de cap.

Avertisment: nu ștergeți rundll32.exe de pe computer.

Cu toate acestea, dacă într-adevăr doriți să o faceți dintr-un anumit motiv, cel mai simplu mod este să porniți într-o distribuție Linux, să vă asigurați că unitatea Windows este montată și să o ștergeți de acolo. Windows protejează rundll32.exe destul de agresiv și ți-ar fi greu să scapi de el chiar din interiorul Windows. Ștergerea acestuia din interiorul Linux ocolește complet aceste măsuri de protecție. Dacă reușiți să faceți acest lucru, probabil că veți avea o instalare Windows defectă pe care va trebui să o reparați cu ceva precum comanda SFC.

Dacă nu vă place ceva ce face rundll32.exe, este mult mai bine să aflați cu ce proces este asociat rundll32.exe și să dezactivați în schimb declanșatoarele legate de acel proces.

Cum se dezactivează Rundll32.exe

Avertisment: nu dezactivați prea mult acest lucru și asta fără a confirma ceea ce faceți. S-ar putea să spargi ceva accidental.

Nu puteți dezactiva direct rundll32.exe, deoarece nu face nimic de la sine, dar puteți dezactiva aplicațiile și serviciile care utilizează rundll32.exe pentru a funcționa. Acest lucru poate fi uneori puțin complicat, în funcție de ceea ce doriți exact. Avem o altă instanță de rundll32.exe care rulează pe sistemul nostru și care încarcă ceva numit „rxdiag.dll” pe care îl vom folosi pentru următorul exemplu.

Cea mai simplă soluție este să faceți clic dreapta pe instanța rundll32.exe în Process Manager și să faceți clic pe „Kill Process” pentru a-l încheia imediat.

Cu toate acestea, această remediere nu va împiedica apelarea rundll32 și pornirea din nou de îndată ce este nevoie. Dacă doriți să faceți asta, trebuie să determinați ce cauzează rundll32.exe să activeze sau să dezinstaleze complet programul care îl apelează. Iată cum ați putea face asta, pornind de la zero.

Faceți clic dreapta pe instanța rundll32.exe și faceți clic pe „Proprietăți”, apoi asigurați-vă că vă aflați în fila „Imagine”. Rețineți că rundll32.exe este copia legitimă aflată în folderul Windows, procesul părinte este ceva numit „nvcontainer.exe” și că DLL-ul este stocat în folderul „C:\Program Files\Nvidia Corporation\nvstreamsrv”.

Fila Imagine, cu diferite atribute ale instanței rundll32 evidențiate.

Asta ne spune multe. Putem fi foarte încrezători că nu este malware și știm că este asociat cu driverul nostru grafic (avem un GPU NVIDIA) din cauza folderului în care se află. Dacă nu recunoașteți numele folderului, încercați cautand pe internet. De obicei, veți putea găsi mai multe rezultate care explică ce program a creat folderul.

Deci, acum știți că un program NVIDIA este responsabil pentru acesta, dar aveți câteva programe NVIDIA diferite pe computer. De unde știi care este?

Numele subdosarului — nvstreamsrv — oferă câteva informații utile. GeForce Experience, un utilitar axat pe jocuri, produs de NVIDIA, vă permite să transmiteți și să înregistrați videoclipuri prin intermediul unei funcții numite Shadowplay. Numele folderului „nvstreamsrv” este probabil prescurtarea pentru „ NV IDIA Stream S e rv er” și asta ne indică faptul că GeForce Experience este responsabilă pentru acest apel la rundll32.exe, mai degrabă decât o altă bucată de software NVIDIA, cum ar fi panoul de control NVIDIA .

Din nou, dacă nu puteți forma cu ușurință o conexiune între numele folderului (sau alt argument atașat rundll32), încercați să îl căutați pe internet. Majoritatea lucrurilor pe care le vei întâlni vor fi bine documentate.

Acum putem ghici în mod rezonabil că GeForce Experience este cel mai probabil responsabil pentru această instanță a rundll32.exe. Acum trebuie să-l dezactivați, astfel încât rundll32 să nu se declanșeze din nou. Specificațiile vor varia în funcție de circumstanțele dvs., dar țineți cont de schema generală a acestor pași:

  1. Deoarece bănuim că este legat de Shadowplay, dezactivați Shadowplay în GeForce Experience
  2. Eliminați GeForce Experience din Lista de programe de pornire
  3. Dezactivați orice servicii asociate din utilitarul Servicii
  4. Dezactivați toate sarcinile programate care ar putea declanșa rularea automată a GeForce Experience (actualizările automate sunt un vinovat comun) în Task Scheduler
  5. Dezinstalați complet programul
Notă: În acest caz, dezactivarea funcțiilor de streaming ShadowPlay și GeForce Experience nu a întrerupt-o. A trebuit să dezactivăm complet GeForce Experience.

O actualizare automată programată GeForce Experience.

De obicei, ar trebui să încercați să fiți cât mai vizați posibil atunci când dezactivați lucrurile. Am încercat mai întâi să dezactivăm o funcție specifică despre care credeam că este responsabilă, apoi dezactivăm pornirea sau un serviciu, apoi eliminăm o activitate programată importantă (o actualizare automată) și abia apoi am eliminat aplicația. Acest lucru minimizează posibilitatea de a întrerupe accidental o altă caracteristică importantă pe care o puteți utiliza sau care ar putea fi importantă în culise într-un mod de care nu ți-ai dat seama.

Desigur, dacă știți că nu doriți deloc aplicația, atunci sări peste ceilalți pași și treceți direct la dezinstalarea ei. Fiți atenți – nu doriți să dezinstalați sau să ștergeți ceva important din întâmplare.

Sfat: Acest articol face parte din seria noastră în desfășurare care explică diferite procese găsite în Managerul de activități, cum ar fi svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe și multe altele.