什么是 rundll32.exe 及其运行原因?

已发表: 2023-04-10
Windows 任务管理器
杰森·菲茨帕特里克 / How-to Geek
Rundll32.exe 是 Windows 的标准部分,用于运行动态链接库 (DLL) 文件。 DLL 包含程序各种功能的代码,通常由 Windows 进程和第三方应用程序使用。 Rundll32.exe 通常不是恶意软件,但可用于执行恶意代码。

你打开任务管理器却发现无数的 rundll32.exe 实例同时运行。 但什么是 rundll32.exe? 它有什么作用,您如何确定它的任何给定实例在您的 PC 上实际执行的操作? 这里有你需要知道的一切。

目录

什么是 Rundll32?
Rundll32.exe 是病毒吗?
在 Windows 10 或 Windows 11 上使用 Process Explorer 研究 Rundll32.exe
你能删除Rundll32.exe吗?
如何禁用 Rundll32.exe

什么是 Rundll32?

Rundll32.exe 用于在 Windows 操作系统上运行动态链接库 (DLL)。 DLL 存储代码以向 Windows 进程和第三方应用程序提供功能,并且可以被多个程序同时访问。

常规 Windows 安装中包含数以千计(如果不是更多的话)DLL,它们与从网络到您日常交互的 UI 的所有内容相关。 您安装的大多数程序也使用 DLL。 这种普遍存在使得 rundll32.exe 成为 Windows 的重要组成部分,无论您使用的是 Windows 10、Windows 11 还是旧版本的 Windows(如 Windows 7)。

Rundll32.exe 是病毒吗?

Rundll32.exe 是 Windows 的正常组成部分。 但是,恶意软件可以伪装成 rundll32.exe 的合法副本使用真正的 rundll32.exe 在您的 PC 上执行恶意代码。

Windows 安装中包含一些 rundll32 可执行文件的合法副本。 您通常会看到的两个位于“C:\Windows\System32\”和“C:\Windows\SysWOW64”,但如果您执行搜索,您会在 Windows 文件夹中找到其他的。

有时,恶意软件会使用相同的可执行文件名称并从不同的目录运行以伪装自己。 您应该立即怀疑任何不在您的 Windows 文件夹或 Windows 子文件夹中的 rundll32 可执行文件。

通常,如果您怀疑自己的 PC 上有 rundll32.exe 的恶意副本,最好的办法是使用 Microsoft Defender 或您喜欢的防病毒程序运行病毒扫描。 Malwarebytes 是一个很好的选择,可以处理大多数恶意软件,尽管那里还有其他很棒的防病毒软件包。

然而,防病毒程序并不完美,偶尔使用 rundll32 运行的恶意软件会逃避检测。 如果是这种情况,您将需要深入研究 rundll32.exe 手动执行的操作,以及如果发现不需要的内容如何禁用它。

相关:什么是 DLL 文件,为什么我的 PC 中缺少一个文件?

在 Windows 10 或 Windows 11 上使用 Process Explorer 研究 Rundll32.exe

Process Explorer 是 Microsoft 的一个免费实用程序,它提供了更具体的信息,如果您试图准确确定应用程序正在做什么,这些信息会很有用。 它很小,不需要安装,并且适用于任何版本的 Windows。 在这里,我们将使用它来调查 rundll32.exe 的活动。

以管理员身份启动 Process Explorer,然后转到“文件”>“显示所有进程的详细信息”以确保您看到所有内容。 可能会列出很多东西,如果您以前从未仔细研究过 Windows 的运行方式,您可能不会认出所有的东西。 这并不意味着您感染了病毒。

注意:您不必以管理员身份启动 Process Explorer,但最好以管理员身份启动。 如果没有管理员权限,某些进程可能不会显示所有信息。

现在,当您将鼠标悬停在列表中的 rundll32.exe 上时,您将看到一个工具提示,其中包含其正在执行的操作的详细信息。 更好的是,您可以右键单击,选择“属性”以获得更详细的信息。

“属性”窗口中有很多可用信息,但您应该从“图像”选项卡开始。 它将向您显示完整路径名、父进程、用户等。 在这种情况下,我们的 rundll32.exe 与名为“localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”的东西相关联。

“图像”选项卡上的“属性”窗口。

那么,“-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”到底是什么? 我们不完全确定,但我们已经确认它存在于完全干净的 Windows 10 安装中,因此它绝对是 Windows 的正常部分。 它似乎以某种方式参与在用户界面中呈现图像。 如果您暂停或终止该进程,您的媒体控件旁边的图标将不再出现,一些用户报告说它与用户帐户图标交互。

底部图像是前面提到的 localserver 进程挂起或终止时发生的情况。 注意丢失的缩略图。
警告:您应该对通过 rundll32 -localserver 运行的奇怪东西保持警惕,即使可执行文件是 Windows 中包含的合法文件。 它可用于执行恶意操作。

你能删除Rundll32.exe吗?

如果您希望 Windows 正常运行,则不能安全地删除 rundll32.exe。 它是 Windows 操作系统的一个正常的关键部分。 这就像询问您是否可以打开微波炉并开始移除各种组件。 当然,这在物理上是可行的,但如果您希望微波炉继续正常工作,就不能这样做。

所以是的,如果您愿意竭尽全力,您可以从技术上删除 rundll32.exe,但您真的不应该这样做。 很有可能删除 rundll32.exe 会破坏很多东西并让您的 PC 正常运行很头疼。

警告:不要从您的计算机中删除 rundll32.exe。

但是,如果出于某种原因你真的想这样做,最简单的方法是启动到 Linux 发行版,确保你的 Windows 驱动器已安装,然后从那里删除它。 Windows 非常积极地保护 rundll32.exe,您很难从 Windows 本身中删除它。 从 Linux 中删除它会完全绕过这些保护措施。 如果您设法做到这一点,您的 Windows 安装可能会损坏,您需要使用 SFC 命令之类的东西进行修复。

如果您不喜欢 rundll32.exe 正在做的事情,您最好找出 rundll32.exe 与哪个进程相关联,然后禁用与该进程相关的触发器。

如何禁用 Rundll32.exe

警告:不要过分热心地禁用这个和那个而不确认你在做什么。 你可能会不小心弄坏东西。

您不能直接禁用 rundll32.exe,因为它本身并没有真正执行任何操作,但您可以禁用使用 rundll32.exe 运行的应用程序和服务。 这有时会有点复杂,具体取决于您的具体需求。 我们的系统上运行了另一个 rundll32.exe 实例,它正在加载我们将在以下示例中使用的名为“rxdiag.dll”的东西。

最简单的解决方法是在进程管理器中右击rundll32.exe实例,点击“Kill Process”立即结束。

但是,该修复不会阻止 rundll32 在需要时被调用并再次启动。 如果你想这样做,你必须确定是什么导致 rundll32.exe 激活或完全卸载调用它的程序。 从头开始,您可以按照以下方式做到这一点。

右键单击 rundll32.exe 实例并单击“属性”,然后确保您位于“图像”选项卡上。 请注意,rundll32.exe 是位于 Windows 文件夹中的合法副本,父进程称为“nvcontainer.exe”,DLL 存储在“C:\Program Files\Nvidia Corporation\nvstreamsrv”文件夹中。

图像选项卡,其中突出显示了 rundll32 实例的各种属性。

这告诉了我们很多。 我们可以非常确信它不是恶意软件,并且我们知道它与我们的图形驱动程序(我们有 NVIDIA GPU)相关联,因为它位于文件夹中。如果您不认识文件夹名称,请尝试在互联网上搜索。 通常,您会找到多个结果来解释是什么程序创建了该文件夹。

所以,您现在知道 NVIDIA 程序对此负责,但您的 PC 上有几个不同的 NVIDIA 程序。 你怎么知道是哪一个?

子文件夹名称 — nvstreamsrv — 提供了一些有用的见解。 GeForce Experience 是 NVIDIA 开发的一款专注于游戏的实用程序,可让您通过名为 Shadowplay 的功能流式传输和录制视频。 文件夹名称“nvstreamsrv”可能是“ NV IDIA Stream S e rv er”的简写,这表明 GeForce Experience 负责调用 rundll32.exe,而不是另一个 NVIDIA 软件,如 NVIDIA 控制面板.

同样,如果您不能轻松地在文件夹名称(或附加到 rundll32 的其他参数)之间建立联系,请尝试在 Internet 上搜索它。 您将遇到的大多数事情都将得到详细记录。

我们现在可以合理地猜测 GeForce Experience 很可能是这个 rundll32.exe 实例的罪魁祸首。 现在你需要真正关闭它,这样 rundll32 就不会再次启动。 具体细节将根据您的情况而有所不同,但请记住这些步骤的大纲:

  1. 由于我们怀疑它与 Shadowplay 有关,因此在 GeForce Experience 中禁用 Shadowplay
  2. 从启动程序列表中删除 GeForce Experience
  3. 禁用服务实用程序中的任何关联服务
  4. 在任务计划程序中禁用任何可能触发 GeForce Experience 自动运行的计划任务(自动更新是常见的罪魁祸首)
  5. 完全卸载程序
注意:在这种情况下,禁用 ShadowPlay 和 GeForce Experience 的流媒体功能并没有解决问题。 我们不得不完全禁用 GeForce Experience。

预定的 GeForce Experience 自动更新。

在禁用事物时,您通常应该尽可能有针对性。 我们首先尝试禁用我们认为负责的特定功能,然后禁用启动或服务,然后删除重要的计划活动(自动更新),然后才删除应用程序。 这最大限度地减少了意外破坏您可能使用的或可能在幕后以您没有意识到的方式重要的另一个重要功能的可能性。

当然,如果您知道自己根本不需要该应用程序,则可以跳过其他步骤直接卸载它。 请小心——您不想意外卸载或删除一些重要的东西。

提示:本文是我们正在进行的系列文章的一部分,该系列文章解释了任务管理器中的各种进程,例如 svchost.exe、dwm.exe、ctfmon.exe、mDNSResponder.exe、conhost.exe、Adobe_Updater.exe 等等。