什麼是 rundll32.exe 及其運行原因?

已發表: 2023-04-10
Windows 任務管理器
傑森·菲茨帕特里克 / How-to Geek
Rundll32.exe 是 Windows 的標準部分,用於運行動態鏈接庫 (DLL) 文件。 DLL 包含程序各種功能的代碼,通常由 Windows 進程和第三方應用程序使用。 Rundll32.exe 通常不是惡意軟件,但可用於執行惡意代碼。

你打開任務管理器卻發現無數的 rundll32.exe 實例同時運行。 但什麼是 rundll32.exe? 它有什麼作用,您如何確定它的任何給定實例在您的 PC 上實際執行的操作? 這裡有你需要知道的一切。

目錄

什麼是 Rundll32?
Rundll32.exe 是病毒嗎?
在 Windows 10 或 Windows 11 上使用 Process Explorer 研究 Rundll32.exe
你能刪除Rundll32.exe嗎?
如何禁用 Rundll32.exe

什麼是 Rundll32?

Rundll32.exe 用於在 Windows 操作系統上運行動態鏈接庫 (DLL)。 DLL 存儲代碼以向 Windows 進程和第三方應用程序提供功能,並且可以被多個程序同時訪問。

常規 Windows 安裝中包含數以千計(如果不是更多的話)DLL,它們與從網絡到您日常交互的 UI 的所有內容相關。 您安裝的大多數程序也使用 DLL。 這種普遍存在使得 rundll32.exe 成為 Windows 的重要組成部分,無論您使用的是 Windows 10、Windows 11 還是舊版本的 Windows(如 Windows 7)。

Rundll32.exe 是病毒嗎?

Rundll32.exe 是 Windows 的正常組成部分。 但是,惡意軟件可以偽裝成 rundll32.exe 的合法副本使用真正的 rundll32.exe 在您的 PC 上執行惡意代碼。

Windows 安裝中包含一些 rundll32 可執行文件的合法副本。 您通常會看到的兩個位於“C:\Windows\System32\”和“C:\Windows\SysWOW64”,但如果您執行搜索,您會在 Windows 文件夾中找到其他的。

有時,惡意軟件會使用相同的可執行文件名稱並從不同的目錄運行以偽裝自己。 您應該立即懷疑任何不在您的 Windows 文件夾或 Windows 子文件夾中的 rundll32 可執行文件。

通常,如果您懷疑自己的 PC 上有 rundll32.exe 的惡意副本,最好的辦法是使用 Microsoft Defender 或您喜歡的防病毒程序運行病毒掃描。 Malwarebytes 是一個很好的選擇,可以處理大多數惡意軟件,儘管那裡還有其他很棒的防病毒軟件包。

然而,防病毒程序並不完美,偶爾使用 rundll32 運行的惡意軟件會逃避檢測。 如果是這種情況,您將需要深入研究 rundll32.exe 手動執行的操作,以及如果發現不需要的內容如何禁用它。

相關:什麼是 DLL 文件,為什麼我的 PC 中缺少一個文件?

在 Windows 10 或 Windows 11 上使用 Process Explorer 研究 Rundll32.exe

Process Explorer 是 Microsoft 的一個免費實用程序,它提供了更具體的信息,如果您試圖準確確定應用程序正在做什麼,這些信息會很有用。 它很小,不需要安裝,並且適用於任何版本的 Windows。 在這裡,我們將使用它來調查 rundll32.exe 的活動。

以管理員身份啟動 Process Explorer,然後轉到“文件”>“顯示所有進程的詳細信息”以確保您看到所有內容。 可能會列出很多東西,如果您以前從未仔細研究過 Windows 的運行方式,您可能不會認出所有的東西。 這並不意味著您感染了病毒。

注意:您不必以管理員身份啟動 Process Explorer,但最好以管理員身份啟動。 如果沒有管理員權限,某些進程可能不會顯示所有信息。

現在,當您將鼠標懸停在列表中的 rundll32.exe 上時,您將看到一個工具提示,其中包含其正在執行的操作的詳細信息。 更好的是,您可以右鍵單擊,選擇“屬性”以獲得更詳細的信息。

“屬性”窗口中有很多可用信息,但您應該從“圖像”選項卡開始。 它將向您顯示完整路徑名、父進程、用戶等。 在這種情況下,我們的 rundll32.exe 與名為“localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”的東西相關聯。

“圖像”選項卡上的“屬性”窗口。

那麼,“-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”到底是什麼? 我們不完全確定,但我們已經確認它存在於完全乾淨的 Windows 10 安裝中,因此它絕對是 Windows 的正常部分。 它似乎以某種方式參與在用戶界面中呈現圖像。 如果您暫停或終止該進程,您的媒體控件旁邊的圖標將不再出現,一些用戶報告說它與用戶帳戶圖標交互。

底部圖像是前面提到的 localserver 進程掛起或終止時發生的情況。 注意丟失的縮略圖。
警告:您應該對通過 rundll32 -localserver 運行的奇怪東西保持警惕,即使可執行文件是 Windows 中包含的合法文件。 它可用於執行惡意操作。

你能刪除Rundll32.exe嗎?

如果您希望 Windows 正常運行,則不能安全地刪除 rundll32.exe。 它是 Windows 操作系統的一個正常的關鍵部分。 這就像詢問您是否可以打開微波爐並開始移除各種組件。 當然,這在物理上是可行的,但如果您希望微波爐繼續正常工作,就不能這樣做。

所以是的,如果您願意竭盡全力,您可以從技術上刪除 rundll32.exe,但您真的不應該這樣做。 很有可能刪除 rundll32.exe 會破壞很多東西並讓您的 PC 正常運行很頭疼。

警告:不要從您的計算機中刪除 rundll32.exe。

但是,如果出於某種原因你真的想這樣做,最簡單的方法是啟動到 Linux 發行版,確保你的 Windows 驅動器已安裝,然後從那裡刪除它。 Windows 非常積極地保護 rundll32.exe,您很難從 Windows 本身中刪除它。 從 Linux 中刪除它會完全繞過這些保護措施。 如果您設法做到這一點,您的 Windows 安裝可能會損壞,您需要使用 SFC 命令之類的東西進行修復。

如果您不喜歡 rundll32.exe 正在做的事情,您最好找出 rundll32.exe 與哪個進程相關聯,然後禁用與該進程相關的觸發器。

如何禁用 Rundll32.exe

警告:不要過分熱心地禁用這個和那個而不確認你在做什麼。 你可能會不小心弄壞東西。

您不能直接禁用 rundll32.exe,因為它本身並沒有真正執行任何操作,但您可以禁用使用 rundll32.exe 運行的應用程序和服務。 這有時會有點複雜,具體取決於您的具體需求。 我們的系統上運行了另一個 rundll32.exe 實例,它正在加載我們將在以下示例中使用的名為“rxdiag.dll”的東西。

最簡單的解決方法是在進程管理器中右擊rundll32.exe實例,點擊“Kill Process”立即結束。

但是,該修復不會阻止 rundll32 在需要時被調用並再次啟動。 如果你想這樣做,你必須確定是什麼導致 rundll32.exe 激活或完全卸載調用它的程序。 從頭開始,您可以按照以下方式做到這一點。

右鍵單擊 rundll32.exe 實例並單擊“屬性”,然後確保您位於“圖像”選項卡上。 請注意,rundll32.exe 是位於 Windows 文件夾中的合法副本,父進程稱為“nvcontainer.exe”,DLL 存儲在“C:\Program Files\Nvidia Corporation\nvstreamsrv”文件夾中。

圖像選項卡,其中突出顯示了 rundll32 實例的各種屬性。

這告訴了我們很多。 我們可以非常確信它不是惡意軟件,並且我們知道它與我們的圖形驅動程序(我們有 NVIDIA GPU)相關聯,因為它位於文件夾中。如果您不認識文件夾名稱,請嘗試在互聯網上搜索。 通常,您會找到多個結果來解釋是什麼程序創建了該文件夾。

所以,您現在知道 NVIDIA 程序對此負責,但您的 PC 上有幾個不同的 NVIDIA 程序。 你怎麼知道是哪一個?

子文件夾名稱 — nvstreamsrv — 提供了一些有用的見解。 GeForce Experience 是 NVIDIA 開發的一款專注於遊戲的實用程序,可讓您通過名為 Shadowplay 的功能流式傳輸和錄製視頻。 文件夾名稱“nvstreamsrv”可能是“ NV IDIA Stream S e rv er”的簡寫,這表明 GeForce Experience 負責調用 rundll32.exe,而不是另一個 NVIDIA 軟件,如 NVIDIA 控制面板.

同樣,如果您不能輕鬆地在文件夾名稱(或附加到 rundll32 的其他參數)之間建立聯繫,請嘗試在 Internet 上搜索它。 您將遇到的大多數事情都將得到詳細記錄。

我們現在可以合理地猜測 GeForce Experience 很可能是這個 rundll32.exe 實例的罪魁禍首。 現在你需要真正關閉它,這樣 rundll32 就不會再次啟動。 具體細節將根據您的情況而有所不同,但請記住這些步驟的大綱:

  1. 由於我們懷疑它與 Shadowplay 有關,因此在 GeForce Experience 中禁用 Shadowplay
  2. 從啟動程序列表中刪除 GeForce Experience
  3. 禁用服務實用程序中的任何關聯服務
  4. 在任務計劃程序中禁用任何可能觸發 GeForce Experience 自動運行的計劃任務(自動更新是常見的罪魁禍首)
  5. 完全卸載程序
注意:在這種情況下,禁用 ShadowPlay 和 GeForce Experience 的流媒體功能並沒有解決問題。 我們不得不完全禁用 GeForce Experience。

預定的 GeForce Experience 自動更新。

在禁用事物時,您通常應該盡可能有針對性。 我們首先嘗試禁用我們認為負責的特定功能,然後禁用啟動或服務,然後刪除重要的計劃活動(自動更新),然後才刪除應用程序。 這最大限度地減少了意外破壞您可能使用的或可能在幕後以您沒有意識到的方式重要的另一個重要功能的可能性。

當然,如果您知道自己根本不需要該應用程序,則可以跳過其他步驟直接卸載它。 請小心——您不想意外卸載或刪除一些重要的東西。

提示:本文是我們正在進行的系列文章的一部分,該系列文章解釋了任務管理器中的各種進程,例如 svchost.exe、dwm.exe、ctfmon.exe、mDNSResponder.exe、conhost.exe、Adobe_Updater.exe 等等。