Vous êtes sans doute en train de lire cet article parce que vous avez regardé dans le gestionnaire de tâches et vous vous êtes demandé ce que sont tous ces processus rundll32.exe, et pourquoi ils sont en cours d’exécution… Alors, quels sont-ils?
Cet article fait partie de notre série en cours expliquant divers processus trouvés dans le Gestionnaire des tâches, comme svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe et bien d’autres. Vous ne savez pas quels sont ces services? Mieux vaut commencer à lire!
Explication
Si vous êtes dans Windows depuis un certain temps, vous avez vu des millions de fichiers * .dll (Dynamic Link Library) dans chaque dossier d’application, qui sont utilisés pour stocker des éléments communs de logique d’application accessibles à partir de plusieurs applications.
Puisqu’il n’y a aucun moyen de lancer directement un fichier DLL, l’application rundll32.exe est simplement utilisée pour lancer des fonctionnalités stockées dans des fichiers .dll partagés. Cet exécutable est une partie valide de Windows et ne devrait normalement pas être une menace.
Remarque: le processus valide se trouve normalement dans Windows System32 rundll32.exe, mais parfois les logiciels espions utilisent le même nom de fichier et s’exécutent à partir d’un répertoire différent afin de se déguiser. Si vous pensez avoir un problème, vous devriez toujours lancer une analyse pour être sûr, mais nous pouvons vérifier exactement ce qui se passe… alors continuez à lire.
Recherche à l’aide de Process Explorer sur Windows 10, 8, 7, Vista, etc.
Au lieu d’utiliser le gestionnaire de tâches, nous pouvons utiliser le logiciel gratuit Utilitaire Process Explorer de Microsoft pour comprendre ce qui se passe, ce qui a l’avantage de fonctionner dans toutes les versions de Windows et d’être le meilleur choix pour tout travail de dépannage.
Lancez simplement Process Explorer et vous voudrez choisir Fichier Afficher les détails pour tous les processus pour vous assurer que vous voyez tout.
Maintenant, lorsque vous passez la souris sur rundll32.exe dans la liste, vous verrez une info-bulle avec les détails de ce qu’il est réellement:
Vous pouvez également cliquer avec le bouton droit de la souris, choisir Propriétés, puis consulter l’onglet Image pour voir le chemin complet en cours de lancement, et vous pouvez même voir le processus Parent, qui dans ce cas est le shell Windows (explorer.exe ), indiquant qu’il a probablement été lancé à partir d’un raccourci ou d’un élément de démarrage.
Vous pouvez parcourir et afficher les détails du fichier comme nous l’avons fait dans la section du gestionnaire de tâches ci-dessus. Dans mon cas, cela fait partie du panneau de configuration NVIDIA, et je ne vais donc rien y faire.
Comment désactiver le processus Rundll32 (Windows 7)
En fonction du processus, vous ne voudrez pas nécessairement le désactiver, mais si vous le souhaitez, vous pouvez taper dans la zone de recherche ou d’exécution du menu Démarrer et vous devriez pouvoir le trouver par la colonne Commande, qui devrait être le même que le champ «Ligne de commande» que nous avons vu dans Process Explorer. Décochez simplement la case pour l’empêcher de démarrer automatiquement.
Parfois, le processus n’a pas réellement d’élément de démarrage, auquel cas vous devrez probablement faire des recherches pour savoir d’où il a été lancé. Par exemple, si vous ouvrez les propriétés d’affichage sur XP, vous verrez un autre rundll32.exe dans la liste, car Windows utilise en interne rundll32 pour exécuter cette boîte de dialogue.
Désactivation sous Windows 8 ou 10
Si vous utilisez Windows 8 ou 10, vous pouvez utiliser la section Démarrage du Gestionnaire des tâches pour le désactiver.
Utilisation du gestionnaire de tâches Windows 7 ou Vista
L’une des fonctionnalités intéressantes de Windows 7 ou Vista Task Manager est la possibilité de voir la ligne de commande complète de toute application en cours d’exécution. Par exemple, vous verrez que j’ai deux processus rundll32.exe dans ma liste ici:
Si vous allez dans Afficher Sélectionner les colonnes, vous verrez l’option «Ligne de commande» dans la liste, que vous voudrez vérifier.
Vous pouvez maintenant voir le chemin d’accès complet du fichier dans la liste, que vous remarquerez est le chemin d’accès valide pour rundll32.exe dans le répertoire System32, et l’argument est une autre DLL qui est en fait ce qui est en cours d’exécution.
Si vous naviguez vers le bas pour localiser ce fichier, qui dans cet exemple est nvmctray.dll, vous verrez généralement ce qu’il est réellement lorsque vous passez votre souris sur le nom du fichier:
Sinon, vous pouvez ouvrir les propriétés et consulter les détails pour voir la description du fichier, qui vous indiquera généralement le but de ce fichier.
Une fois que nous savons de quoi il s’agit, nous pouvons déterminer si nous voulons le désactiver ou non, ce que nous aborderons ci-dessous. S’il n’y a aucune information du tout, vous devez soit Google, soit demander à quelqu’un sur un forum utile.
Lorsque tout le reste échoue, vous devriez publier le chemin complet de la commande sur un forum utile et obtenir des conseils de quelqu’un d’autre qui pourrait en savoir plus à ce sujet.
