Página principal » cómo » ¿Qué es rundll32.exe y por qué se está ejecutando?

    ¿Qué es rundll32.exe y por qué se está ejecutando?

    Sin duda estás leyendo este artículo porque has mirado en el administrador de tareas y te has preguntado qué demonios son todos esos procesos rundll32.exe y por qué se están ejecutando ... Entonces, ¿qué son??

    Este artículo es parte de nuestra serie en curso que explica varios procesos que se encuentran en el Administrador de tareas, como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe y muchos otros. ¿No sabes qué son esos servicios? Mejor empieza a leer!

    Explicación

    Si ha estado alrededor de Windows durante un período de tiempo, ha visto los millones de archivos * .dll (Dynamic Link Library) en cada carpeta de aplicaciones, que se utilizan para almacenar piezas comunes de lógica de aplicaciones a las que se puede acceder desde múltiples aplicaciones.

    Como no hay forma de iniciar directamente un archivo DLL, la aplicación rundll32.exe se usa simplemente para iniciar la funcionalidad almacenada en archivos .dll compartidos. Este ejecutable es una parte válida de Windows, y normalmente no debería ser una amenaza.

    Nota: el proceso válido normalmente se encuentra en \ Windows \ System32 \ rundll32.exe, pero a veces el spyware usa el mismo nombre de archivo y se ejecuta desde un directorio diferente para disfrazarse. Si cree que tiene un problema, siempre debe realizar un análisis para estar seguro, pero podemos verificar exactamente qué está pasando ... así que siga leyendo..

    Investigue usando Process Explorer en Windows 10, 8, 7, Vista, etc.

    En lugar de usar el Administrador de tareas, podemos usar la utilidad Free Explorer de Microsoft para descubrir qué está sucediendo, lo que tiene la ventaja de funcionar en todas las versiones de Windows y ser la mejor opción para cualquier trabajo de solución de problemas.

    Simplemente inicie Process Explorer, y querrá elegir Archivo \ Mostrar detalles para todos los procesos para asegurarse de que está viendo todo.

    Ahora, cuando se desplaza sobre el rundll32.exe en la lista, verá una información sobre herramientas con los detalles de lo que realmente es:

    O puede hacer clic con el botón derecho, elegir Propiedades y luego ver la pestaña Imagen para ver la ruta de acceso completa que se está iniciando, e incluso puede ver el proceso principal, que en este caso es el shell de Windows (explorer.exe ), lo que indica que probablemente se inició desde un acceso directo o elemento de inicio.

    Puede navegar hacia abajo y ver los detalles del archivo tal como lo hicimos en la sección anterior del administrador de tareas. En mi caso, es parte del panel de control de NVIDIA, por lo que no voy a hacer nada al respecto.

    Cómo deshabilitar el proceso Rundll32 (Windows 7)

    Dependiendo de cuál sea el proceso, no querrá deshabilitarlo necesariamente, pero si lo desea, puede escribir msconfig.exe en el cuadro de inicio o en el cuadro de inicio y debería poder encontrarlo en la columna Comando, que debería ser el mismo que el campo "Línea de comando" que vimos en Process Explorer. Simplemente desmarque la casilla para evitar que se inicie automáticamente.

    A veces, el proceso no tiene realmente un elemento de inicio, en cuyo caso es probable que tenga que hacer una investigación para averiguar de dónde se inició. Por ejemplo, si abre Propiedades de pantalla en XP verá otro rundll32.exe en la lista, porque Windows usa internamente rundll32 para ejecutar ese cuadro de diálogo.

    Deshabilitar en Windows 8 o 10

    Si está utilizando Windows 8 o 10, puede usar la sección de Inicio del Administrador de tareas para deshabilitarlo.

    Utilizando Windows 7 o Vista Task Manager

    Una de las excelentes características de Windows 7 o Vista Task Manager es la capacidad de ver la línea de comandos completa para cualquier aplicación en ejecución. Por ejemplo, verás que tengo dos procesos rundll32.exe en mi lista aquí:

    Si va a Ver \ Seleccionar columnas, verá la opción para "Línea de comando" en la lista, que querrá verificar.

    Ahora puede ver la ruta completa del archivo en la lista, que notará que es la ruta válida para rundll32.exe en el directorio System32, y el argumento es otra DLL que en realidad es lo que se está ejecutando.

    Si navega hacia abajo para localizar ese archivo, que en este ejemplo es nvmctray.dll, generalmente verá lo que realmente es cuando pasa el mouse sobre el nombre del archivo:

    De lo contrario, puede abrir las Propiedades y echar un vistazo a los Detalles para ver la descripción del archivo, que generalmente le indicará el propósito de ese archivo..

    Una vez que sepamos qué es, podemos averiguar si queremos deshabilitarlo o no, que veremos a continuación. Si no hay ninguna información, debe buscarla en Google o preguntar a alguien en un foro útil..

    Cuando todo lo demás falle, deberías publicar la ruta de comando completa en un foro útil y recibir consejos de alguien que pueda saber más sobre él.