Che cos'è rundll32.exe e perché è in esecuzione?
Stai senza dubbio leggendo questo articolo perché hai guardato nel task manager e ti sei chiesto cosa mai fossero quei processi rundll32.exe, e perché sono in esecuzione ... Quindi cosa sono?
Questo articolo fa parte delle nostre serie in corso che illustrano vari processi trovati in Task Manager, come svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe e molti altri. Non so quali siano questi servizi? Meglio iniziare a leggere!
Spiegazione
Se sei stato in giro per Windows per un certo periodo di tempo, hai visto milioni di file * .dll (Libreria di collegamento dinamico) in ogni cartella di applicazione, che vengono utilizzati per memorizzare parti comuni della logica dell'applicazione a cui è possibile accedere da più applicazioni.
Poiché non è possibile avviare direttamente un file DLL, l'applicazione rundll32.exe viene semplicemente utilizzata per avviare la funzionalità memorizzata in file dll condivisi. Questo eseguibile è una parte valida di Windows e normalmente non dovrebbe essere una minaccia.
Nota: il processo valido si trova normalmente in \ Windows \ System32 \ rundll32.exe, ma a volte lo spyware utilizza lo stesso nome file e viene eseguito da una directory diversa per mascherarsi. Se pensi di avere un problema, devi sempre eseguire una scansione per essere sicuro, ma possiamo verificare esattamente cosa sta succedendo ... quindi continua a leggere.
Ricerca utilizzando Process Explorer su Windows 10, 8, 7, Vista, ecc
Invece di usare Task Manager, possiamo usare l'utilità Process Explorer di Microsoft per capire cosa sta succedendo, che ha il vantaggio di funzionare in ogni versione di Windows e di essere la scelta migliore per qualsiasi lavoro di risoluzione dei problemi.
È sufficiente avviare Process Explorer e scegliere File \ Mostra dettagli per tutti i processi per assicurarsi di vedere tutto.
Ora quando passi il mouse sopra il file rundll32.exe nell'elenco, vedrai un suggerimento con i dettagli di ciò che effettivamente è:
Oppure puoi fare clic con il tasto destro del mouse, scegliere Proprietà, quindi dare un'occhiata alla scheda Immagine per vedere il percorso completo che viene avviato, e puoi anche vedere il processo Genitore, che in questo caso è la shell di Windows (explorer.exe ), a indicare che è probabile che sia stato lanciato da un collegamento o da un elemento di avvio.
Puoi sfogliare e visualizzare i dettagli del file proprio come abbiamo fatto nella sezione del Task Manager sopra. Nel mio caso, fa parte del pannello di controllo NVIDIA e quindi non ho intenzione di fare nulla al riguardo.
Come disabilitare il processo Rundll32 (Windows 7)
A seconda di quale sia il processo, non si vorrà necessariamente disabilitarlo, ma se lo si desidera, è possibile digitare msconfig.exe nella ricerca del menu di avvio o nella casella di esecuzione e dovresti riuscire a trovarlo tramite la colonna Comando, che dovrebbe essere uguale al campo "Riga di comando" che abbiamo visto in Process Explorer. Deseleziona semplicemente la casella per impedirne l'avvio automatico.
A volte il processo in realtà non ha un elemento di avvio, nel qual caso è probabile che tu debba fare qualche ricerca per capire da dove è stato avviato. Ad esempio, se apri Display Properties su XP vedrai un altro rundll32.exe nell'elenco, perché Windows utilizza internamente rundll32 per eseguire quella finestra di dialogo.
Disabilitazione in Windows 8 o 10
Se si utilizza Windows 8 o 10, è possibile utilizzare la sezione Avvio di Task Manager per disabilitarlo.
Utilizzando Windows 7 o Vista Task Manager
Una delle grandi funzionalità di Windows 7 o Vista Task Manager è la possibilità di visualizzare la riga di comando completa per qualsiasi applicazione in esecuzione. Ad esempio, vedrai che ho due processi rundll32.exe nel mio elenco qui:
Se vai su Visualizza \ Seleziona colonne, vedrai l'opzione per "Riga di comando" nell'elenco, che dovrai controllare.
Ora puoi vedere il percorso completo per il file nell'elenco, che noterai essere il percorso valido per rundll32.exe nella directory System32 e l'argomento è un'altra DLL che è in realtà ciò che viene eseguito.
Se scorri verso il basso per individuare quel file, che in questo esempio è nvmctray.dll, di solito vedrai cosa è effettivamente quando passi il mouse sopra il nome del file:
Altrimenti, puoi aprire le Proprietà e dare un'occhiata ai Dettagli per vedere la descrizione del file, che di solito ti dirà lo scopo di quel file.
Una volta che sappiamo di cosa si tratta, possiamo capire se vogliamo disabilitarlo o meno, che tratteremo di seguito. Se non ci sono informazioni, dovresti fare una ricerca su Google o chiedere a qualcuno su un forum utile.
Quando tutto il resto fallisce, devi pubblicare il percorso completo del comando su un forum utile e ottenere consigli da qualcun altro che potrebbe saperne di più.