rundll32.exe คืออะไรและทำไมจึงทำงาน

คุณเปิดตัวจัดการงานเพื่อค้นหาอินสแตนซ์ของ rundll32.exe จำนวนนับไม่ถ้วนที่ทำงานพร้อมกันทั้งหมด แต่ rundll32.exe คืออะไร? มันทำอะไร และคุณจะรู้ได้อย่างไรว่าอินสแตนซ์ใด ๆ ของมันกำลังทำอะไรบนพีซีของคุณ นี่คือทุกสิ่งที่คุณจำเป็นต้องรู้

Rundll32 คืออะไร?

Rundll32.exe ใช้เพื่อเรียกใช้ Dynamic Link Library (DLLs) บนระบบปฏิบัติการ Windows รหัสจัดเก็บ DLLs เพื่อมอบฟังก์ชันให้กับกระบวนการของ Windows และแอปพลิเคชันของบริษัทอื่น และสามารถเข้าถึงได้โดยหลายโปรแกรมพร้อมกัน

มี DLL หลายพันรายการ (หากไม่มาก) ที่รวมอยู่ในการติดตั้ง Windows ปกติของคุณ ซึ่งเกี่ยวข้องกับทุกอย่างตั้งแต่ระบบเครือข่ายไปจนถึง UI ที่คุณโต้ตอบด้วยทุกวัน โปรแกรมส่วนใหญ่ที่คุณติดตั้งยังใช้ DLL ความแพร่หลายนี้ทำให้ rundll32.exe เป็นส่วนสำคัญของ Windows ไม่ว่าคุณจะใช้ Windows 10, Windows 11 หรือ Windows รุ่นเก่าอย่าง Windows 7

Rundll32.exe เป็นไวรัสหรือไม่

Rundll32.exe เป็นส่วนปกติของ Windows อย่างไรก็ตาม มัลแวร์สามารถหลอกว่าเป็นสำเนาถูกต้องของ rundll32.exe หรือ ใช้ rundll32.exe จริงเพื่อรันโค้ดที่เป็นอันตรายบนพีซีของคุณ

มีสำเนาของไฟล์ปฏิบัติการ rundll32 สองสามชุดที่มีอยู่ในการติดตั้ง Windows โดยทั่วไปคุณจะเห็นสองรายการอยู่ใน “C:\Windows\System32\” และ “C:\Windows\SysWOW64” แต่ถ้าคุณทำการค้นหา คุณจะพบรายการเพิ่มเติมในโฟลเดอร์ Windows

บางครั้งมัลแวร์จะใช้ชื่อปฏิบัติการเดียวกันและเรียกใช้จากไดเร็กทอรีอื่นเพื่อปลอมตัว คุณควรสงสัยไฟล์ปฏิบัติการ rundll32 ใดๆ ที่ไม่ได้อยู่ในโฟลเดอร์ Windows หรือโฟลเดอร์ย่อยของ Windows ในทันที

โดยทั่วไปแล้ว สิ่งที่ดีที่สุดที่ควรทำหากคุณสงสัยว่าคุณมีสำเนา rundll32.exe ที่เป็นอันตรายบนพีซีของคุณคือการเรียกใช้การสแกนไวรัสด้วย Microsoft Defender หรือโปรแกรมป้องกันไวรัสที่คุณต้องการ Malwarebytes เป็นตัวเลือกที่ยอดเยี่ยมและจะดูแลมัลแวร์ส่วนใหญ่ แม้ว่าจะมีแพ็คเกจซอฟต์แวร์ป้องกันไวรัสที่ยอดเยี่ยมอื่นๆ

อย่างไรก็ตาม โปรแกรมป้องกันไวรัสไม่ได้สมบูรณ์แบบ และบางครั้งมัลแวร์ที่ทำงานด้วย rundll32 จะหลีกเลี่ยงการตรวจจับ หากเป็นกรณีนี้ คุณจะต้องเจาะลึกลงไปว่า rundll32.exe กำลังทำอะไรด้วยตนเอง และวิธีปิดการใช้งานหากคุณพบสิ่งที่คุณไม่ต้องการ

ที่เกี่ยวข้อง: ไฟล์ DLL คืออะไรและเหตุใดจึงหายไปจากพีซีของฉัน

ค้นคว้า Rundll32.exe โดยใช้ Process Explorer บน Windows 10 หรือ Windows 11

Process Explorer ซึ่งเป็นโปรแกรมอรรถประโยชน์ฟรีจาก Microsoft ให้ข้อมูลเฉพาะเจาะจงมากขึ้นซึ่งเป็นประโยชน์หากคุณกำลังพยายามระบุว่าแอปพลิเคชันกำลังทำอะไรอยู่ มีขนาดเล็ก ไม่ต้องติดตั้ง และใช้งานได้กับ Windows ทุกรุ่น ที่นี่ เราจะใช้เพื่อตรวจสอบกิจกรรมของ rundll32.exe

เปิดใช้ Process Explorer ในฐานะผู้ดูแลระบบ จากนั้นไปที่ File > Show Details for All Processes เพื่อให้แน่ใจว่าคุณเห็นทุกอย่าง อาจมีสิ่งต่างๆ มากมายอยู่ในรายการ และคุณอาจไม่รู้จักทั้งหมดหากคุณไม่เคยดูอย่างละเอียดว่า Windows ทำงานอย่างไรมาก่อน ไม่ได้หมายความว่าคุณมีไวรัส

หมายเหตุ: คุณไม่จำเป็นต้องเปิดใช้ Process Explorer ในฐานะผู้ดูแลระบบ แต่จะเป็นการดีกว่าถ้าคุณเปิดใช้ บางกระบวนการอาจไม่แสดงข้อมูลทั้งหมดหากไม่มีสิทธิ์ของผู้ดูแลระบบ

ตอนนี้เมื่อคุณวางเมาส์เหนือ rundll32.exe ในรายการ คุณจะเห็นคำแนะนำเครื่องมือพร้อมรายละเอียดของสิ่งที่กำลังทำอยู่ ยังดีกว่า คุณสามารถคลิกขวา เลือก "คุณสมบัติ" เพื่อรับข้อมูลรายละเอียดเพิ่มเติม

มีข้อมูลมากมายในหน้าต่างคุณสมบัติ แต่คุณควรเริ่มต้นด้วยแท็บ "รูปภาพ" มันจะแสดงชื่อพาธแบบเต็ม กระบวนการพาเรนต์ ผู้ใช้ และอื่นๆ ในกรณีนี้ rundll32.exe ของเราเชื่อมโยงกับชื่อ “localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”

ดังนั้น "-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617" คืออะไรกันแน่ เราไม่แน่ใจทั้งหมด แต่เรายืนยันว่ามีอยู่ในการติดตั้ง Windows 10 แบบสะอาดหมดจด ดังนั้นจึงเป็นเรื่องปกติของ Windows ดูเหมือนว่าจะเกี่ยวข้องกับการนำเสนอรูปภาพในส่วนต่อประสานผู้ใช้ หากคุณระงับหรือหยุดกระบวนการ ไอคอนที่อยู่ถัดจากส่วนควบคุมสื่อของคุณจะไม่ปรากฏอีกต่อไป และผู้ใช้บางคนรายงานว่ามีการโต้ตอบกับไอคอนบัญชีผู้ใช้

คำเตือน: คุณควรระวังสิ่งแปลก ๆ ที่คุณพบว่าทำงานผ่าน rundll32 -localserver แม้ว่าไฟล์ปฏิบัติการจะเป็นไฟล์ที่ถูกต้องซึ่งมาพร้อมกับ windows ก็ตาม สามารถใช้เพื่อดำเนินการที่เป็นอันตรายได้

คุณสามารถลบ Rundll32.exe?

คุณไม่สามารถลบ rundll32.exe ได้อย่างปลอดภัยหากคุณต้องการให้ Windows ทำงานได้อย่างถูกต้อง เป็นเรื่องปกติและเป็นส่วนสำคัญของระบบปฏิบัติการ Windows เหมือนกับการถามว่าคุณสามารถเปิดไมโครเวฟและเริ่มถอดส่วนประกอบต่างๆ ออกได้หรือไม่ แน่นอนว่าเป็นไปได้ทางกายภาพ แต่คุณไม่สามารถทำได้หากคุณต้องการให้ไมโครเวฟทำงานต่อไปอย่างถูกต้อง

ใช่แล้ว คุณสามารถลบ rundll32.exe ในทางเทคนิคได้ หากคุณเต็มใจที่จะทำมันอย่างยาวนาน แต่คุณ ไม่ควรทำอย่างนั้นจริงๆ โอกาสที่การลบ rundll32.exe จะทำลายสิ่งต่าง ๆ มากมายและทำให้การใช้งานพีซีของคุณเป็นเรื่องน่าปวดหัว

คำเตือน: อย่าลบ rundll32.exe จากคอมพิวเตอร์ของคุณ

อย่างไรก็ตาม หากคุณต้องการทำด้วยเหตุผลบางอย่างจริงๆ วิธีที่ง่ายที่สุดคือการบู๊ตเป็น Linux ตรวจสอบให้แน่ใจว่าได้ติดตั้งไดรฟ์ Windows แล้ว และลบออกจากที่นั่น Windows ปกป้อง rundll32.exe ค่อนข้างรุนแรง และคุณคงยากที่จะกำจัดมันออกจากภายใน Windows เอง การลบออกจากภายใน Linux เป็นการข้ามมาตรการป้องกันเหล่านั้นโดยสิ้นเชิง หากคุณสามารถทำเช่นนี้ได้ คุณอาจมีการติดตั้ง Windows ที่เสียหาย คุณจะต้องซ่อมแซมด้วยคำสั่ง SFC

หากคุณไม่ชอบสิ่งที่ rundll32.exe กำลังทำอยู่ คุณควรค้นหาว่ากระบวนการ rundll32.exe เกี่ยวข้องกับกระบวนการใด และเพียงแค่ปิดใช้งานทริกเกอร์ที่เกี่ยวข้องกับกระบวนการนั้นแทน

วิธีปิดการใช้งาน Rundll32.exe

คำเตือน: อย่าปิดใช้งานสิ่งนี้และสิ่งนั้นมากเกินไปโดยไม่ยืนยันว่าคุณกำลังทำอะไรอยู่ คุณอาจทำบางอย่างพังโดยไม่ตั้งใจ

คุณไม่สามารถปิดใช้งาน rundll32.exe ได้โดยตรงเนื่องจากมันไม่ได้ทำอะไรด้วยตัวเอง แต่คุณ สามารถ ปิดใช้งานแอปพลิเคชันและบริการที่ใช้ rundll32.exe เพื่อดำเนินการได้ บางครั้งสิ่งนี้อาจซับซ้อนเล็กน้อย ขึ้นอยู่กับว่าคุณต้องการอะไร เรามีอีกอินสแตนซ์ของ rundll32.exe ที่ทำงานอยู่บนระบบของเราซึ่งกำลังโหลดสิ่งที่เรียกว่า “rxdiag.dll” ที่เราจะใช้สำหรับตัวอย่างต่อไปนี้

วิธีแก้ปัญหาที่ง่ายที่สุดคือการคลิกขวาที่อินสแตนซ์ของ rundll32.exe ใน Process Manager แล้วคลิก “Kill Process” เพื่อสิ้นสุดทันที

อย่างไรก็ตาม การแก้ไขนั้นจะไม่หยุด rundll32 ไม่ให้ถูกเรียกและเริ่มต้นใหม่ทันทีที่จำเป็น หากคุณต้องการทำเช่นนั้น คุณต้องพิจารณาว่าอะไรเป็นสาเหตุให้ rundll32.exe เปิดใช้งานหรือถอนการติดตั้งโปรแกรมที่เรียกใช้อย่างสมบูรณ์ นี่คือวิธีที่คุณสามารถทำได้โดยเริ่มจากพื้นฐาน

คลิกขวาที่อินสแตนซ์ของ rundll32.exe แล้วคลิก “Properties” จากนั้นตรวจสอบให้แน่ใจว่าคุณอยู่ในแท็บ “Image” โปรดทราบว่า rundll32.exe เป็นสำเนาที่ถูกต้องซึ่งอยู่ในโฟลเดอร์ Windows กระบวนการหลักคือสิ่งที่เรียกว่า “nvcontainer.exe” และ DLL นั้นจัดเก็บไว้ในโฟลเดอร์ “C:\Program Files\Nvidia Corporation\nvstreamsrv”

นั่นบอกเรามากมาย เรามั่นใจได้เลยว่ามันไม่ใช่มัลแวร์ และเรารู้ว่ามันเชื่อมโยงกับไดรเวอร์กราฟิกของเรา (เรามี NVIDIA GPU) เนื่องจากโฟลเดอร์นั้นอยู่ในนั้น หากคุณจำชื่อโฟลเดอร์ไม่ได้ ให้ลอง ค้นหาบนอินเทอร์เน็ต โดยปกติ คุณจะพบผลลัพธ์หลายรายการที่อธิบายว่าโปรแกรมใดสร้างโฟลเดอร์

ตอนนี้คุณรู้แล้วว่าโปรแกรม NVIDIA มีหน้าที่รับผิดชอบ แต่คุณมีโปรแกรม NVIDIA ที่แตกต่างกันสองสามโปรแกรมบนพีซีของคุณ คุณจะรู้ได้อย่างไรว่าเป็นตัวไหน?

ชื่อโฟลเดอร์ย่อย — nvstreamsrv — ให้ข้อมูลเชิงลึกที่เป็นประโยชน์ GeForce Experience ยูทิลิตี้ที่เน้นการเล่นเกมที่ผลิตโดย NVIDIA ช่วยให้คุณสามารถสตรีมและบันทึกวิดีโอผ่านคุณสมบัติที่เรียกว่า Shadowplay ชื่อโฟลเดอร์ “nvstreamsrv” อาจเป็นชวเลขสำหรับ “ NV IDIA Stream S e rv er” และนั่นชี้ให้เราเห็นว่า GeForce Experience รับผิดชอบการเรียกใช้ rundll32.exe นี้ แทนที่จะเป็นซอฟต์แวร์ NVIDIA ชิ้นอื่น เช่น NVIDIA Control Panel .

อีกครั้ง หากคุณไม่สามารถสร้างการเชื่อมต่อระหว่างชื่อโฟลเดอร์ (หรืออาร์กิวเมนต์อื่น ๆ ที่แนบมากับ rundll32) ให้ลองค้นหาบนอินเทอร์เน็ต สิ่งที่คุณจะพบส่วนใหญ่จะมีการจัดทำเป็นเอกสารไว้อย่างดี

ตอนนี้เราสามารถเดาได้อย่างสมเหตุสมผลแล้วว่า GeForce Experience มีส่วนรับผิดชอบสำหรับอินสแตนซ์ของ rundll32.exe นี้มากที่สุด ตอนนี้คุณต้องปิดจริง ๆ เพื่อที่ rundll32 จะไม่ทำงานอีกครั้ง ข้อมูลเฉพาะจะแตกต่างกันไปตามสถานการณ์ของคุณ แต่ควรคำนึงถึงโครงร่างทั่วไปของขั้นตอนเหล่านี้:

1. เนื่องจากเราสงสัยว่าเกี่ยวข้องกับ Shadowplay ให้ปิดการใช้งาน Shadowplay ใน GeForce Experience
2. ลบ GeForce Experience ออกจากรายการโปรแกรมเริ่มต้น
3. ปิดใช้งานบริการที่เกี่ยวข้องในยูทิลิตี้บริการ
4. ปิดใช้งานงานตามกำหนดเวลาที่อาจทำให้ GeForce Experience ทำงานอัตโนมัติ (การอัปเดตอัตโนมัติเป็นตัวการทั่วไป) ใน Task Scheduler
5. ถอนการติดตั้งโปรแกรมทั้งหมด

หมายเหตุ: ในกรณีนี้ การปิดใช้งานคุณลักษณะการสตรีมของ ShadowPlay และ GeForce Experience ไม่ได้เป็นการรบกวน เราต้องปิดการใช้งาน GeForce Experience ทั้งหมด

โดยปกติคุณควรพยายามกำหนดเป้าหมายให้ได้มากที่สุดเมื่อปิดใช้งานสิ่งต่างๆ ขั้นแรก เราลองปิดใช้งานคุณลักษณะเฉพาะที่เราคิดว่ามีส่วนรับผิดชอบ จากนั้นจึงปิดใช้งานการเริ่มต้นระบบหรือบริการ จากนั้นจึงลบกิจกรรมตามกำหนดการที่สำคัญ (การอัปเดตอัตโนมัติ) จากนั้นเราจึงลบแอปพลิเคชันออกเท่านั้น วิธีนี้ช่วยลดความเป็นไปได้ที่จะทำลายฟีเจอร์สำคัญอื่นๆ ที่คุณอาจใช้หรืออาจมีความสำคัญอยู่เบื้องหลังโดยไม่ได้ตั้งใจในแบบที่คุณไม่รู้ตัว

แน่นอน ถ้าคุณรู้ว่าคุณไม่ต้องการแอปพลิเคชันนี้เลย ให้ข้ามขั้นตอนอื่นๆ แล้วไปถอนการติดตั้งเลย โปรดระวัง — คุณคงไม่อยากถอนการติดตั้งหรือลบบางสิ่งที่สำคัญโดยไม่ตั้งใจ

เคล็ดลับ: บทความนี้เป็นส่วนหนึ่งของชุดต่อเนื่องของเราที่อธิบายกระบวนการต่างๆ ที่พบในตัวจัดการงาน เช่น svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe และอื่นๆ อีกมากมาย