Sin duda estás leyendo este artículo porque has buscado en el administrador de tareas y te has preguntado qué demonios son todos esos procesos rundll32.exe y por qué se están ejecutando … Entonces, ¿qué son?
Este artículo es parte de nuestra serie en curso que explica varios procesos que se encuentran en el Administrador de tareas, como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe y muchos otros. ¿No sabes cuáles son esos servicios? ¡Mejor empieza a leer!
¿De qué vamos a hablar?
Explicación
Si ha estado en Windows durante algún tiempo, ha visto los millones de archivos *.dll (Biblioteca de vínculos dinámicos) en cada carpeta de aplicaciones, que se utilizan para almacenar piezas comunes de lógica de aplicaciones a las que se puede acceder desde múltiples aplicaciones.
Dado que no hay forma de iniciar directamente un archivo DLL, la aplicación rundll32.exe se usa simplemente para iniciar la funcionalidad almacenada en archivos .dll compartidos. Este ejecutable es una parte válida de Windows y, normalmente, no debería ser una amenaza.
Nota: el proceso válido normalmente se encuentra en /Windows/System32/rundll32.exe, pero a veces el spyware utiliza el mismo nombre de archivo y se ejecuta desde un directorio diferente para disfrazarse. Si cree que tiene un problema, siempre debe ejecutar un escaneo para estar seguro, pero podemos verificar exactamente lo que está sucediendo … así que sigue leyendo.
Investigación con Process Explorer en Windows 10, 8, 7, Vista, etc.
En lugar de usar el Administrador de tareas, podemos usar el software gratuito Utilidad Process Explorer de Microsoft para averiguar qué está pasando, lo que tiene la ventaja de trabajar en todas las versiones de Windows y ser la mejor opción para cualquier trabajo de solución de problemas.
Simplemente inicie Process Explorer y querrá elegir Archivo / Mostrar detalles para todos los procesos para asegurarse de que está viendo todo.
Ahora, cuando pase el cursor sobre el rundll32.exe en la lista, verá una información sobre herramientas con los detalles de lo que realmente es:
O puede hacer clic con el botón secundario, elegir Propiedades y luego echar un vistazo a la pestaña Imagen para ver el nombre de ruta completo que se está iniciando, e incluso puede ver el proceso Padre, que en este caso es el shell de Windows (explorador.exe), lo que indica que probablemente se lanzó desde un acceso directo o elemento de inicio.
Puede navegar hacia abajo y ver los detalles del archivo tal como lo hicimos en la sección del administrador de tareas anterior. En mi caso, es parte del panel de control de NVIDIA, por lo que no voy a hacer nada al respecto.
Cómo deshabilitar el proceso Rundll32 (Windows 7)
Dependiendo de cuál sea el proceso, no querrá deshabilitarlo necesariamente, pero si lo desea, puede escribir msconfig.exe en el cuadro de búsqueda o ejecución del menú de inicio y debería poder encontrarlo en la columna Comando, que debería ser el mismo que el campo “Línea de comandos” que vimos en Process Explorer. Simplemente desmarque la casilla para evitar que se inicie automáticamente.
A veces, el proceso en realidad no tiene un elemento de inicio, en cuyo caso es probable que tenga que investigar un poco para averiguar de dónde se inició. Por ejemplo, si abre Propiedades de pantalla en XP, verá otro rundll32.exe en la lista, porque Windows internamente usa rundll32 para ejecutar ese cuadro de diálogo.
Desactivación en Windows 8 o 10
Si usas Windows 8 o 10, puedes usar la sección Inicio del Administrador de tareas para deshabilitarlo.
Uso del Administrador de tareas de Windows 7 o Vista
Una de las excelentes características de Windows 7 o Vista Task Manager es la capacidad de ver la línea de comandos completa para cualquier aplicación en ejecución. Por ejemplo, verá que tengo dos procesos rundll32.exe en mi lista aquí:
Si va a Ver / Seleccionar columnas, verá la opción “Línea de comandos” en la lista, que querrá verificar.
Ahora puede ver la ruta completa para el archivo en la lista, que notará que es la ruta válida para rundll32.exe en el directorio System32, y el argumento es otra DLL que es realmente lo que se está ejecutando.
Si navega hacia abajo para localizar ese archivo, que en este ejemplo es nvmctray.dll, generalmente verá lo que realmente es cuando pasa el mouse sobre el nombre del archivo:
De lo contrario, puede abrir las Propiedades y echar un vistazo a los Detalles para ver la descripción del archivo, que generalmente le indicará el propósito de ese archivo.
Una vez que sepamos de qué se trata, podemos averiguar si queremos desactivarlo o no, lo que cubriremos a continuación. Si no hay ninguna información en absoluto, debe buscarla en Google, o pregúntale a alguien en un foro útil.
Cuando todo lo demás falla, debe publicar la ruta de comando completa en un foro útil y obtener consejos de otra persona que pueda saber más al respecto.