Che cos'è rundll32.exe e perché è in esecuzione?

Stai senza dubbio leggendo questo articolo perché hai guardato in Task Manager e ti sei chiesto cosa diavolo sono tutti quei processi rundll32.exe, e perché sono in esecuzione ... Allora cosa sono?

CORRELATO: Cos'è questo processo e perché è in esecuzione sul mio PC?

Questo articolo fa parte della nostra serie in corso che spiega i vari processi presenti in Task Manager, come svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe e molti altri. Non sai cosa sono questi servizi? Meglio iniziare a leggere!

Spiegazione

Se sei stato in giro per Windows per un po 'di tempo, hai visto un'infinità di file * .dll (Dynamic Link Library) in ogni cartella dell'applicazione, che vengono utilizzati per memorizzare parti comuni della logica dell'applicazione a cui è possibile accedere da applicazioni.

Poiché non è possibile avviare direttamente un file DLL, l'applicazione rundll32.exe viene semplicemente utilizzata per avviare la funzionalità memorizzata nei file .dll condivisi. Questo eseguibile è una parte valida di Windows e normalmente non dovrebbe essere una minaccia.

Nota: il processo valido si trova normalmente in \ Windows \ System32 \ rundll32.exe, ma a volte lo spyware utilizza lo stesso nome file e viene eseguito da una directory diversa per camuffarsi. Se pensi di avere un problema, dovresti sempre eseguire una scansione per essere sicuro, ma possiamo verificare esattamente cosa sta succedendo ... quindi continua a leggere.

Ricerca utilizzando Process Explorer su Windows 10, 8, 7, Vista, ecc

Invece di utilizzare Task Manager, possiamo utilizzare l'utility freeware Process Explorer di Microsoft per capire cosa sta succedendo, il che ha il vantaggio di funzionare in ogni versione di Windows ed essere la scelta migliore per qualsiasi lavoro di risoluzione dei problemi.

Avvia semplicemente Process Explorer e ti consigliamo di scegliere File \ Mostra dettagli per tutti i processi per assicurarti di vedere tutto.

Ora, quando passi il mouse su rundll32.exe nell'elenco, vedrai un suggerimento con i dettagli di ciò che è effettivamente:

Oppure puoi fare clic con il pulsante destro del mouse, scegliere Proprietà, quindi dare un'occhiata alla scheda Immagine per vedere il percorso completo che viene avviato e puoi persino vedere il processo padre, che in questo caso è la shell di Windows (explorer.exe ), a indicare che è stato probabilmente avviato da un collegamento o da un elemento di avvio.

Puoi scorrere verso il basso e visualizzare i dettagli del file proprio come abbiamo fatto nella sezione del task manager sopra. Nel mio caso, fa parte del pannello di controllo NVIDIA, quindi non ho intenzione di fare nulla al riguardo.

Come disabilitare il processo Rundll32 (Windows 7)

A seconda di quale sia il processo, non vorrai necessariamente disabilitarlo, ma se lo desideri, puoi digitare msconfig.exe nella casella di ricerca o esecuzione del menu di avvio e dovresti essere in grado di trovarlo dalla colonna Comando , che dovrebbe essere lo stesso del campo "Riga di comando" che abbiamo visto in Process Explorer. Deseleziona semplicemente la casella per evitare che si avvii automaticamente.

A volte il processo non ha effettivamente un elemento di avvio, nel qual caso dovrai probabilmente fare qualche ricerca per capire da dove è stato avviato. Ad esempio, se apri Proprietà dello schermo su XP, vedrai un altro rundll32.exe nell'elenco, perché Windows utilizza internamente rundll32 per eseguire quella finestra di dialogo.

Disattivazione in Windows 8 o 10

Se utilizzi Windows 8 o 10, puoi utilizzare la sezione Avvio di Task Manager per disabilitarlo.

Utilizzando Windows 7 o Vista Task Manager

Una delle grandi caratteristiche di Windows 7 o Vista Task Manager è la possibilità di vedere la riga di comando completa per qualsiasi applicazione in esecuzione. Ad esempio, vedrai che ho due processi rundll32.exe nella mia lista qui:

Se vai a Visualizza \ Seleziona colonne, vedrai l'opzione "Riga di comando" nell'elenco, che vorrai controllare.

Ora puoi vedere il percorso completo del file nell'elenco, che noterai è il percorso valido per rundll32.exe nella directory System32 e l'argomento è un'altra DLL che è effettivamente ciò che viene eseguito.

Se scorri verso il basso per individuare quel file, che in questo esempio è nvmctray.dll, di solito vedrai cosa è effettivamente quando passi il mouse sul nome del file:

Altrimenti, puoi aprire le Proprietà e dare un'occhiata ai Dettagli per vedere la descrizione del file, che di solito ti dirà lo scopo di quel file.

Una volta che sappiamo di cosa si tratta, possiamo capire se vogliamo disabilitarlo o meno, cosa che tratteremo di seguito. Se non ci sono informazioni, dovresti cercarle su Google o chiedere a qualcuno su un forum utile.

Quando tutto il resto fallisce, dovresti pubblicare il percorso completo dei comandi su un forum utile e ricevere consigli da qualcun altro che potrebbe saperne di più.