¿Qué es rundll32.exe y por qué se está ejecutando?

¿Qué es rundll32.exe y por qué se está ejecutando?

Sin duda, está leyendo este artículo porque miró en el administrador de tareas y se preguntó qué son todos estos procesos rundll32.exe y por qué se están ejecutando … Entonces, ¿qué son?

Este artículo es parte de nuestra serie en curso que explica varios procesos que se encuentran en el Administrador de tareas como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe y muchos más. ¿No sabes cuáles son estos servicios? ¡Mejor empieza a leer!

Explicación

Si ha estado usando Windows durante algún tiempo, ha visto millones de archivos * .dll (Biblioteca de vínculos dinámicos) en cada carpeta de la aplicación, que se utilizan para almacenar piezas comunes de la lógica de la aplicación a las que se puede acceder desde múltiples aplicaciones.

Dado que no hay forma de iniciar directamente un archivo DLL, la aplicación rundll32.exe simplemente se usa para iniciar la funcionalidad almacenada en los archivos .dll compartidos. Este ejecutable es una parte válida de Windows y normalmente no debería ser una amenaza.

Nota: El proceso válido normalmente se encuentra en Windows System32 rundll32.exe, pero a veces el software espía usará el mismo nombre de archivo y se ejecutará desde un directorio diferente para disfrazarse. Si cree que tiene un problema, siempre debe ejecutar un escaneo para estar seguro, pero podemos verificar exactamente lo que está sucediendo … así que siga leyendo.

Busque usando Process Explorer en Windows 10, 8, 7, Vista, etc.

En lugar de usar el Administrador de tareas, podemos usar el software gratuito Utilidad Microsoft Process Explorer para comprender lo que está sucediendo, lo que tiene la ventaja de funcionar en todas las versiones de Windows y ser la mejor opción para cualquier trabajo de solución de problemas.

Simplemente inicie Process Explorer y querrá elegir Archivo Mostrar detalles para todos los procesos para asegurarse de ver todo.

Ahora, cuando pase el mouse sobre rundll32.exe en la lista, verá una información sobre herramientas con los detalles de lo que realmente es:

O puede hacer clic con el botón derecho, elegir Propiedades, luego echar un vistazo a la pestaña Imagen para ver la ruta completa que se inicia, e incluso puede ver el proceso principal, que en este caso es el shell de Windows (explorer.exe), lo que indica que probablemente se inició desde un acceso directo o un elemento de inicio.

Puede navegar y ver los detalles del archivo como lo hicimos en la sección del administrador de tareas anterior. En mi caso, es parte del Panel de control de NVIDIA, así que no voy a hacer nada al respecto.

Cómo deshabilitar el proceso Rundll32 (Windows 7)

Dependiendo del proceso, no necesariamente querrá deshabilitarlo, pero si lo desea, puede escribir msconfig.exe en el cuadro de búsqueda o ejecución del menú Inicio y debería poder encontrarlo en la columna Comando, que debería ser el mismo que el campo «Línea de comandos» que vimos en el Explorador de procesos. Simplemente desmarque la casilla para evitar que se inicie automáticamente.

A veces, el proceso en realidad no tiene un elemento de inicio, en cuyo caso es probable que deba investigar un poco para determinar dónde comenzó. Por ejemplo, si abre las propiedades de pantalla en XP, verá otro rundll32.exe en la lista, porque Windows usa internamente rundll32 para ejecutar este cuadro de diálogo.

Desactivación en Windows 8 o 10

Si está usando Windows 8 o 10, puede usar la sección Inicio del Administrador de tareas para apagarlo.

Usando el Administrador de tareas de Windows 7 o Vista

Una de las grandes características del Administrador de tareas de Windows 7 o Vista es la capacidad de ver la línea de comandos completa para cualquier aplicación en ejecución. Por ejemplo, verá que tengo dos procesos rundll32.exe en mi lista aquí:

Si va a Ver Seleccionar columnas, verá la opción «Línea de comandos» en la lista, que querrá comprobar.

Ahora puede ver la ruta completa del archivo en la lista, que notará que es la ruta válida para rundll32.exe en el directorio System32, y el argumento es otra DLL que en realidad se está ejecutando.

Si navega hacia abajo para ubicar este archivo, que en este ejemplo es nvmctray.dll, generalmente verá lo que es realmente cuando pase el mouse sobre el nombre del archivo:

Alternativamente, puede abrir las propiedades y echar un vistazo a los detalles para ver la descripción del archivo, que generalmente le indicará el propósito de ese archivo.

Una vez que sepamos qué es, podemos averiguar si queremos apagarlo o no, lo cual cubriremos a continuación. Si no hay información, debe buscarla en Google o preguntarle a alguien en un foro útil.

Cuando todo lo demás falla, debe publicar la ruta completa del comando en un foro útil y obtener consejos de alguien más que pueda saber más al respecto.

Experto Geek - Tu Guía en Tendencias Tecnológicas