14Aug
Sicuramente stai leggendo questo articolo perché hai guardato in task manager e ti sei chiesto cosa mai fossero quei processi rundll32.exe e perché sono in esecuzione. .. Quindi cosa sono?
Questo articolo fa parte delle nostre serie in corso che illustrano vari processi trovati in Task Manager, come svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe e molti altri. Non sai quali sono questi servizi? Meglio iniziare a leggere!
Spiegazione
Se sei stato in giro per Windows per un certo periodo di tempo, hai visto milioni di file *. dll( Libreria di collegamento dinamico) in ogni cartella dell'applicazione, che sono usati per memorizzare parti comuni della logica dell'applicazione che possono essereaccesso da più applicazioni.
Poiché non è possibile avviare direttamente un file DLL, l'applicazione rundll32.exe viene semplicemente utilizzata per avviare la funzionalità memorizzata in file dll condivisi. Questo eseguibile è una parte valida di Windows e normalmente non dovrebbe essere una minaccia.
Nota: il processo valido si trova normalmente in \ Windows \ System32 \ rundll32.exe, ma a volte lo spyware utilizza lo stesso nome file e viene eseguito da una directory diversa per mascherarsi. Se pensi di avere un problema, devi sempre eseguire una scansione per essere sicuro, ma possiamo verificare esattamente cosa sta succedendo. .. quindi continua a leggere. Ricerca
utilizzando Process Explorer su Windows 10, 8, 7, Vista, ecc
Invece di usare Task Manager, possiamo usare l'utilità Process Explorer di Microsoft per capire cosa sta succedendo, che ha il vantaggio di funzionare in ogni versionedi Windows ed è la scelta migliore per qualsiasi lavoro di risoluzione dei problemi.
Avvia semplicemente Process Explorer e ti consigliamo di selezionare File \ Mostra dettagli per tutti i processi per assicurarti di vedere tutto.
Ora quando passi il mouse su rundll32.exe nell'elenco, vedrai un suggerimento con i dettagli di ciò che effettivamente è:
Oppure puoi fare clic con il pulsante destro del mouse, scegliere Proprietà, e quindi dare un'occhiata alla scheda Immagine pervedere il percorso completo che viene avviato e si può anche vedere il processo Parent, che in questo caso è la shell di Windows( explorer.exe), a indicare che è probabile che sia stato lanciato da un collegamento o da un elemento di avvio.
È possibile scorrere verso il basso e visualizzare i dettagli del file proprio come abbiamo fatto nella sezione del Task Manager sopra. Nel mio caso, fa parte del pannello di controllo di NVIDIA e quindi non ho intenzione di fare nulla al riguardo.
Disabilitazione del processo Rundll32( Windows 7)
A seconda del processo, non è necessario disabilitarlo necessariamente, ma se lo si desidera, è possibile digitare msconfig.exe nella ricerca del menu di avvio orun box e dovresti riuscire a trovarlo tramite la colonna Command, che dovrebbe essere uguale al campo "Command line" che abbiamo visto in Process Explorer. Deseleziona semplicemente la casella per impedirne l'avvio automatico.
A volte il processo in realtà non ha un elemento di avvio, nel qual caso è probabile che si debba fare qualche ricerca per capire da dove è stato avviato. Ad esempio, se apri Display Properties su XP vedrai un altro rundll32.exe nell'elenco, perché Windows utilizza internamente rundll32 per eseguire quella finestra di dialogo. Disabilitazione
in Windows 8 o 10
Se si utilizza Windows 8 o 10, è possibile utilizzare la sezione Avvio di Task Manager per disabilitarlo.
Utilizzo di Windows 7 o Vista Task Manager
Una delle grandi funzionalità di Windows 7 o Vista Task Manager è la possibilità di visualizzare l'intera riga di comando per qualsiasi applicazione in esecuzione. Ad esempio, vedrai che ho due processi rundll32.exe nel mio elenco qui:
Se vai a Visualizza \ Seleziona colonne, vedrai l'opzione per "Riga di comando" nella lista, che ti serviràcontrollare.
Ora puoi vedere il percorso completo per il file nell'elenco, che noterai come il percorso valido per rundll32.exe nella directory System32 e l'argomento è un'altra DLL che è in realtà ciò che viene eseguito.
Se scorri verso il basso per individuare quel file, che in questo esempio è nvmctray.dll, di solito vedrai cosa è effettivamente quando passi il mouse sopra il nome del file:
Altrimenti, puoi aprire le Proprietà e dare un'occhiataa Dettagli per vedere la descrizione del file, che di solito ti dirà lo scopo per quel file.
Una volta che sappiamo di cosa si tratta, possiamo capire se vogliamo disabilitarlo o meno, che tratteremo di seguito. Se non ci sono informazioni, dovresti fare una ricerca su Google o chiedere a qualcuno su un forum utile.
Quando tutto il resto fallisce, è necessario postare il percorso completo del comando su un forum utile e ottenere consigli da qualcun altro che potrebbe saperne di più su di esso.