HomePtNotíciaO que é rundll32.exe e por que ele é executado?

O que é rundll32.exe e por que ele é executado?

- Advertisement -
- Advertisement -
- Advertisement -
- Advertisement -

[ad_1]

Jason Fitzpatrick / geek instrucional

Rundll32.exe é uma parte padrão do Windows usada para executar arquivos de biblioteca de vínculo dinâmico (DLL). As DLLs contêm código para várias funções de um programa e são comumente usadas por processos do Windows e aplicativos de terceiros. Rundll32.exe normalmente não é malware, mas pode ser usado para executar códigos maliciosos.

Você abre o Gerenciador de Tarefas apenas para encontrar inúmeras instâncias de rundll32.exe em execução ao mesmo tempo. Mas o que é rundll32.exe? O que ele faz e como determina o que uma determinada instância em seu PC está realmente fazendo? Aqui está tudo o que você precisa saber.

O que é Rundll32?

Rundll32.exe é usado para executar a biblioteca de vínculo dinâmico (DLL) no sistema operacional Windows. As DLLs armazenam código para fornecer funções aos processos do Windows e aplicativos de terceiros e podem ser acessadas simultaneamente por vários programas.

Existem milhares (se não mais) de arquivos DLL incluídos na instalação normal do Windows relacionados a tudo, desde a rede até a interface do usuário com a qual você interage diariamente. A maioria dos programas que você instala também usa arquivos DLL. Essa onipresença torna o rundll32.exe uma parte essencial do Windows, esteja você usando o Windows 10, o Windows 11 ou uma versão anterior do Windows, como o Windows 7.

Rundll32.exe é um vírus?

Rundll32.exe é uma parte normal do Windows. No entanto, o malware pode se passar por uma cópia legítima do rundll32.exe. qualquer use o rundll32.exe real para executar código malicioso em seu PC.

Existem algumas cópias legítimas do executável rundll32 contidas em uma instalação do Windows. Os dois que você normalmente verá estão em “C:WindowsSystem32” e “C:WindowsSysWOW64”, mas se você fizer uma pesquisa, encontrará outros na pasta do Windows.

Às vezes, o malware usa o mesmo nome executável e é executado a partir de um diretório diferente para se disfarçar. Você deve suspeitar imediatamente de qualquer executável rundll32 que não esteja na sua pasta do Windows ou em uma subpasta do Windows.

Geralmente, a melhor coisa a fazer se você suspeitar que tem uma cópia maliciosa do rundll32.exe em seu PC é executar uma verificação de vírus com o Microsoft Defender ou seu programa antivírus preferido. Malwarebytes é uma excelente opção e cuidará da maioria dos malwares, embora existam outros excelentes pacotes de software antivírus por aí.

No entanto, os programas antivírus não são perfeitos e, às vezes, o malware executado com rundll32 evita a detecção. Se for esse o caso, você precisará se aprofundar no que o rundll32.exe está fazendo manualmente e como desativá-lo se encontrar algo que não deseja.

RELACIONADO: O que são arquivos DLL e por que falta um no meu PC?

Investigue Rundll32.exe usando o Process Explorer no Windows 10 ou Windows 11

O Process Explorer, um utilitário gratuito da Microsoft, fornece informações mais específicas que são úteis se você estiver tentando determinar exatamente o que um aplicativo está fazendo. É pequeno, não precisa ser instalado e funciona com qualquer versão do Windows. Aqui, vamos usá-lo para investigar a atividade de rundll32.exe.

Inicie o Process Explorer como administrador e vá para Arquivo > Mostrar detalhes de todos os processos para garantir que você esteja vendo tudo. Provavelmente haverá muitas coisas na lista, e você pode não reconhecê-las todas se nunca tiver olhado de perto como o Windows funciona antes. Isso não significa que você tem um vírus.

Observação: Você não precisa iniciar o Process Explorer como administrador, mas é melhor fazê-lo. Alguns processos podem não exibir todas as suas informações sem privilégios de administrador.

Agora, quando você passar o mouse sobre rundll32.exe na lista, verá uma dica de ferramenta com detalhes do que está fazendo. Melhor ainda, você pode clicar com o botão direito do mouse e escolher “Propriedades” para obter informações mais detalhadas.

Há muitas informações disponíveis na janela Propriedades, mas você precisa começar com a guia “Imagem”. Ele mostrará o caminho completo, processo pai, usuário e muito mais. Nesse caso, nosso rundll32.exe está associado a algo chamado “servidor local 22d8c27b-47a1-48d1-ad08-7da7abd79617”.

A janela "Propriedades" na aba "Imagem".

Então, o que exatamente é “-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617”? Não temos certeza, mas confirmamos que está presente em uma instalação completamente limpa do Windows 10, então é definitivamente uma parte normal do Windows. Parece estar envolvido na apresentação de imagens na IU de alguma forma. Se você suspender ou cancelar o processo, o ícone ao lado dos controles de mídia não aparecerá mais e alguns usuários relataram que ele interage com os ícones da conta do usuário.

A imagem abaixo mostra o que acontece quando o processo do servidor local mencionado acima é suspenso ou encerrado. Observe a miniatura ausente.

Avisos: Você deve ter um pouco de cuidado com as coisas estranhas que encontra executando via rundll32 -localserver, mesmo que o executável seja o legítimo incluído no Windows. Ele pode ser usado para executar operações maliciosas.

Rundll32.exe pode ser removido?

Você não pode remover rundll32.exe com segurança se quiser que o Windows funcione corretamente. É uma parte normal e crítica do sistema operacional Windows. É como perguntar se você pode abrir o micro-ondas e começar a remover vários componentes. Claro, é fisicamente possível, mas você não pode fazer isso se quiser que o micro-ondas continue funcionando corretamente.

Então, sim, você pode remover tecnicamente rundll32.exe se estiver disposto a fazer tudo, mas realmente não deveria. Muito provavelmente, a remoção do rundll32.exe quebra muitas coisas e torna a operação do seu PC um pé no saco.

Avisos: Não remova rundll32.exe do seu computador.

No entanto, se você realmente deseja fazer isso por algum motivo, a maneira mais fácil é inicializar em uma distribuição Linux, verifique se a unidade do Windows está montada e exclua-a de lá. O Windows protege rundll32.exe de forma bastante agressiva e seria difícil se livrar dele de dentro do próprio Windows. Removê-lo do Linux ignora totalmente essas medidas de proteção. Se você conseguir fazer isso, provavelmente tem uma instalação do Windows quebrada que precisará reparar com algo como o comando SFC.

Se você não gosta de algo que o rundll32.exe está fazendo, é muito melhor descobrir a qual processo o rundll32.exe está associado e simplesmente desabilitar os gatilhos associados a esse processo.

Como desativar Rundll32.exe

Avisos: Não seja muito zeloso desabilitando isso e aquilo sem confirmar o que está fazendo. Você pode acidentalmente quebrar alguma coisa.

Você não pode desativar diretamente o rundll32.exe, pois ele não faz nada sozinho, mas pode desativar aplicativos e serviços que usam rundll32.exe para funcionar. Às vezes, isso pode ser um pouco complicado, dependendo do que exatamente você deseja. Temos outra instância de rundll32.exe em execução em nosso sistema que está carregando algo chamado “rxdiag.dll” que usaremos no próximo exemplo.

A solução mais simples é clicar com o botão direito do mouse na instância rundll32.exe no Gerenciador de processos e clicar em “Kill Process” para encerrá-lo imediatamente.

No entanto, essa solução alternativa não impedirá que o rundll32 seja chamado e iniciado novamente assim que necessário. Se você quiser fazer isso, você precisa determinar o que está causando rundll32.exe para ativar ou desinstalar completamente o programa que o chama. Veja como você pode fazer isso, começando do zero.

Clique com o botão direito do mouse na instância rundll32.exe e clique em “Propriedades” e verifique se você está na guia “Imagem”. Observe que rundll32.exe é a cópia legítima localizada na pasta Windows, o processo pai é algo chamado “nvcontainer.exe” e que a DLL está armazenada na pasta “C:Program FilesNvidia Corporationnvstreamsrv”.

A guia Imagem, com vários atributos da instância rundll32 realçados.

Isso nos diz muito. Podemos ter certeza de que não é malware e sabemos que está associado ao nosso driver gráfico (temos uma GPU NVIDIA) por causa da pasta em que está. Se você não reconhecer o nome da pasta, tente pesquisar na Internet. Normalmente, você poderá encontrar vários resultados que explicam qual programa criou a pasta.

Então agora você sabe que um programa NVIDIA é responsável por isso, mas você tem alguns programas NVIDIA diferentes em seu PC. Como você sabe qual é?

O nome da subpasta, nvstreamsrv, fornece informações úteis. O GeForce Experience, um utilitário focado em jogos produzido pela NVIDIA, permite transmitir e gravar vídeo por meio de um recurso chamado Shadowplay. O nome da pasta “nvstreamsrv” é provavelmente uma abreviação de “arquivo NVIDIA fluxos RuaEcasa móveler”, e isso nos diz que a GeForce Experience é responsável por essa chamada para rundll32.exe, em vez de outro software da NVIDIA, como o Painel de controle da NVIDIA.

Novamente, se você não conseguir fazer uma conexão fácil entre o nome da pasta (ou outro argumento anexado a rundll32), tente procurá-lo na Internet. A maioria das coisas que você encontrará estará bem documentada.

Agora podemos presumir razoavelmente que o GeForce Experience é provavelmente responsável por esta instância do rundll32.exe. Agora você precisa desligá-lo para que rundll32 não ligue novamente. Os detalhes variam dependendo das circunstâncias, mas lembre-se do esboço geral dessas etapas:

  1. Como suspeitamos que esteja relacionado ao Shadowplay, desative o Shadowplay no GeForce Experience
  2. Remova o GeForce Experience da lista de programas de inicialização
  3. Desative todos os serviços associados no utilitário Serviços
  4. Desative todas as tarefas agendadas que possam acionar o GeForce Experience para execução automática (atualizações automáticas são um culpado comum) no Agendador de Tarefas
  5. Desinstale o programa completamente

Observação: Nesse caso, desabilitar os recursos de streaming do ShadowPlay e GeForce Experience não foi suficiente. Tivemos que desativar totalmente o GeForce Experience.

Uma atualização automática programada do GeForce Experience.

Em geral, você deve tentar ser o mais específico possível ao desativar as coisas. Primeiro, tentamos desabilitar um recurso específico que pensávamos ser o responsável, depois desabilitamos a inicialização ou um serviço, depois matamos uma atividade agendada importante (uma atualização automática) e só então matamos o aplicativo. Isso minimiza a chance de quebrar acidentalmente outro recurso importante que você pode usar ou pode ser importante nos bastidores de uma forma que você não percebeu.

Claro, se você sabe que não quer o aplicativo, apenas pule as outras etapas e vá direto para desinstalá-lo. Apenas tome cuidado: você não deseja desinstalar ou excluir algo importante por acidente.

Conselho: Este artigo faz parte de nossa série contínua que explica vários processos encontrados no Gerenciador de Tarefas, como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe e muitos outros.

[ad_2]

- Advertisement -
- Advertisement -
Stay Connected
[td_block_social_counter facebook="#" manual_count_facebook="16985" manual_count_twitter="2458" twitter="#" youtube="#" manual_count_youtube="61453" style="style3 td-social-colored" f_counters_font_family="450" f_network_font_family="450" f_network_font_weight="700" f_btn_font_family="450" f_btn_font_weight="700" tdc_css="eyJhbGwiOnsibWFyZ2luLWJvdHRvbSI6IjMwIiwiZGlzcGxheSI6IiJ9fQ=="]
Must Read
- Advertisement -
Related News
- Advertisement -