Qu'est-ce que rundll32.exe et pourquoi est-il en cours d'exécution?
Vous êtes sans doute en train de lire cet article parce que vous avez consulté le gestionnaire de tâches et vous êtes demandé à quoi servent tous ces processus rundll32.exe et pourquoi ils sont en cours d'exécution.?
Cet article fait partie de notre série en cours d'explications sur divers processus trouvés dans le Gestionnaire des tâches, tels que svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe et bien d'autres. Je ne sais pas ce que sont ces services? Mieux commencer à lire!
Explication
Si vous utilisez Windows depuis un certain temps, vous avez observé des zillions de fichiers * .dll (bibliothèque de liens dynamiques) dans chaque dossier d’application, qui sont utilisés pour stocker des éléments communs de la logique d’application accessibles depuis plusieurs applications.
Puisqu'il n'y a aucun moyen de lancer directement un fichier DLL, l'application rundll32.exe est simplement utilisée pour lancer une fonctionnalité stockée dans des fichiers .dll partagés. Cet exécutable est une partie valide de Windows et ne devrait normalement pas être une menace.
Remarque: le processus valide se trouve normalement dans \ Windows \ System32 \ rundll32.exe, mais des logiciels espions utilisent parfois le même nom de fichier et s'exécutent à partir d'un répertoire différent afin de se dissimuler. Si vous pensez avoir un problème, vous devez toujours effectuer une analyse pour en être sûr, mais nous pouvons vérifier exactement ce qui se passe… alors continuez à lire.
Recherche à l'aide de Process Explorer sur Windows 10, 8, 7, Vista, etc.
Au lieu d’utiliser Task Manager, nous pouvons utiliser l’utilitaire gratuit Process Explorer de Microsoft pour comprendre ce qui se passe, ce qui présente l’avantage de fonctionner dans toutes les versions de Windows et d’être le meilleur choix pour tout travail de dépannage..
Lancez simplement Process Explorer et choisissez Fichier \ Afficher les détails de tous les processus pour vous assurer de tout visualiser..
Maintenant, lorsque vous survolez le fichier rundll32.exe dans la liste, vous verrez une info-bulle avec les détails de ce qu’elle est réellement:
Vous pouvez également cliquer avec le bouton droit de la souris sur Propriétés, puis consulter l'onglet Image pour voir le chemin d'accès complet en cours de lancement. Vous pouvez même voir le processus parent, qui est dans ce cas le shell Windows (explorer.exe ), indiquant qu'il a probablement été lancé à partir d'un raccourci ou d'un élément de démarrage.
Vous pouvez parcourir et afficher les détails du fichier comme dans la section ci-dessus du gestionnaire de tâches. Dans mon cas, cela fait partie du panneau de configuration de NVIDIA et je ne vais donc rien faire à ce sujet..
Comment désactiver le processus Rundll32 (Windows 7)
En fonction du processus, vous ne voudrez pas nécessairement le désactiver, mais si vous le souhaitez, vous pouvez taper msconfig.exe dans la zone de recherche ou d'exécution du menu Démarrer et vous devriez pouvoir le trouver à l'aide de la colonne Commande, qui devrait être identique au champ «Ligne de commande» que nous avons vu dans Process Explorer. Décochez simplement la case pour l'empêcher de démarrer automatiquement.
Parfois, le processus ne comporte pas réellement d’élément de démarrage, auquel cas vous devrez probablement effectuer des recherches pour déterminer le point de départ. Par exemple, si vous ouvrez les propriétés d'affichage sur XP, vous verrez un autre rundll32.exe dans la liste, car Windows utilise en interne rundll32 pour exécuter cette boîte de dialogue..
Désactivation sous Windows 8 ou 10
Si vous utilisez Windows 8 ou 10, vous pouvez utiliser la section Démarrage du gestionnaire de tâches pour le désactiver..
Utilisation du gestionnaire de tâches Windows 7 ou Vista
L'une des fonctionnalités intéressantes de Windows 7 ou du gestionnaire de tâches de Vista est la possibilité de voir la ligne de commande complète pour toute application en cours d'exécution. Par exemple, vous verrez que ma liste contient deux processus rundll32.exe:
Si vous allez dans View \ Select Columns, vous verrez l’option «Ligne de commande» dans la liste, que vous voudrez vérifier.
Vous pouvez maintenant voir le chemin complet du fichier dans la liste, que vous remarquerez être le chemin valide pour rundll32.exe dans le répertoire System32, et l'argument est une autre DLL qui correspond à ce qui est en cours d'exécution..
Si vous naviguez vers le bas pour localiser ce fichier, qui dans cet exemple est nvmctray.dll, vous verrez généralement ce qu'il en est réellement lorsque vous survolez le nom du fichier avec la souris:
Sinon, vous pouvez ouvrir les propriétés et consulter les détails pour voir la description du fichier, qui vous indiquera généralement le but de ce fichier..
Une fois que nous savons ce que c'est, nous pouvons déterminer si nous voulons le désactiver ou non, ce que nous verrons plus bas. S'il n'y a aucune information, vous devriez soit la chercher sur Google, soit demander à quelqu'un sur un forum utile..
Lorsque tout le reste échoue, vous devez publier le chemin de commande complet sur un forum utile et obtenir les conseils de quelqu'un d'autre qui en saura davantage..