mardi, novembre 19, 2024

Qu’est-ce que rundll32.exe et pourquoi est-il en cours d’exécution ?

Jason Fitzpatrick / Comment Geek

Rundll32.exe est une partie standard de Windows utilisée pour exécuter les fichiers Dynamic Link Library (DLL). Les DLL contiennent du code pour diverses fonctions d’un programme et sont couramment utilisées par les processus Windows et les applications tierces. Rundll32.exe n’est normalement pas un logiciel malveillant, mais il peut être utilisé pour exécuter du code malveillant.

Vous ouvrez le Gestionnaire des tâches uniquement pour trouver d’innombrables instances de rundll32.exe en cours d’exécution en même temps. Mais qu’est-ce que rundll32.exe ? Que fait-il et comment déterminez-vous ce qu’une instance donnée fait réellement sur votre PC ? Voici tout ce que vous devez savoir.

Qu’est-ce que Rundll32 ?

Rundll32.exe est utilisé pour exécuter Dynamic Link Library (DLL) sur le système d’exploitation Windows. Les DLL stockent du code pour fournir des fonctions aux processus Windows et aux applications tierces, et sont accessibles simultanément par plusieurs programmes.

Il existe des milliers (sinon plus) de DLL incluses dans votre installation Windows habituelle qui sont liées à tout, de la mise en réseau à l’interface utilisateur avec laquelle vous interagissez quotidiennement. La plupart des programmes que vous installez utilisent également des DLL. Cette ubiquité fait de rundll32.exe une partie essentielle de Windows, que vous utilisiez Windows 10, Windows 11 ou une ancienne version de Windows comme Windows 7.

Rundll32.exe est-il un virus ?

Rundll32.exe est une partie normale de Windows. Cependant, les logiciels malveillants peuvent prétendre être une copie légitime de rundll32.exe ou utilisez le vrai rundll32.exe pour exécuter du code malveillant sur votre PC.

Il existe quelques copies légitimes de l’exécutable rundll32 contenues dans une installation Windows. Les deux que vous verrez généralement se trouvent dans « C:WindowsSystem32 » et « C:WindowsSysWOW64 », mais si vous effectuez une recherche, vous en trouverez d’autres dans le dossier Windows.

Parfois, les logiciels malveillants utilisent le même nom d’exécutable et s’exécutent à partir d’un répertoire différent pour se déguiser. Vous devez immédiatement vous méfier de tout exécutable rundll32 qui ne se trouve pas dans votre dossier Windows ou dans un sous-dossier Windows.

Généralement, la meilleure chose à faire si vous pensez avoir une copie malveillante de rundll32.exe sur votre PC est d’exécuter une analyse antivirus avec Microsoft Defender ou le programme antivirus que vous préférez. Malwarebytes est un excellent choix et s’occupera de la plupart des logiciels malveillants, bien qu’il existe d’autres excellents logiciels antivirus.

Cependant, les programmes antivirus ne sont pas parfaits et, parfois, les logiciels malveillants qui s’exécutent avec rundll32 évitent d’être détectés. Si tel est le cas, vous devrez creuser ce que rundll32.exe fait manuellement et comment le désactiver si vous trouvez quelque chose que vous ne voulez pas.

EN RAPPORT: Que sont les fichiers DLL et pourquoi en manque-t-il un sur mon PC ?

Recherchez Rundll32.exe à l’aide de Process Explorer sous Windows 10 ou Windows 11

Process Explorer, un utilitaire gratuit de Microsoft, fournit des informations plus spécifiques qui sont utiles si vous essayez de déterminer exactement ce que fait une application. Il est petit, n’a pas besoin d’être installé et fonctionne avec n’importe quelle version de Windows. Ici, nous allons l’utiliser pour enquêter sur l’activité de rundll32.exe.

Lancez Process Explorer en tant qu’administrateur, puis accédez à Fichier> Afficher les détails de tous les processus pour vous assurer que vous voyez tout. Il y aura probablement beaucoup de choses répertoriées, et vous ne les reconnaîtrez peut-être pas toutes si vous n’avez jamais examiné de près le fonctionnement de Windows auparavant. Cela ne signifie pas que vous avez un virus.

Note: Vous n’êtes pas obligé de lancer Process Explorer en tant qu’administrateur, mais c’est mieux si vous le faites. Certains processus peuvent ne pas afficher toutes leurs informations sans privilèges d’administrateur.

Maintenant, lorsque vous survolez rundll32.exe dans la liste, vous verrez une info-bulle avec les détails de ce qu’il fait. Mieux encore, vous pouvez cliquer avec le bouton droit de la souris, choisir « Propriétés » pour obtenir des informations plus détaillées.

Il y a beaucoup d’informations disponibles dans la fenêtre Propriétés, mais vous devriez commencer par l’onglet « Image ». Il vous montrera le chemin d’accès complet, le processus parent, l’utilisateur, etc. Dans ce cas, notre rundll32.exe est associé à quelque chose nommé « localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617 ».

Le "Propriétés" fenêtre sur la "Image" languette.

Alors, qu’est-ce que « -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617 » ? Nous ne sommes pas tout à fait sûrs, mais nous avons confirmé qu’il est présent sur une installation complètement propre de Windows 10, donc c’est définitivement une partie normale de Windows. Il semble être impliqué dans la présentation d’images dans l’interface utilisateur d’une manière ou d’une autre. Si vous suspendez ou tuez le processus, l’icône à côté de vos commandes multimédias n’apparaîtra plus et certains utilisateurs ont signalé qu’elle interagit avec les icônes de compte d’utilisateur.

L’image du bas montre ce qui se passe lorsque le processus localserver mentionné précédemment est suspendu ou tué. Notez la vignette manquante.

Avertissement: Vous devriez vous méfier un peu des choses étranges que vous trouvez en cours d’exécution via rundll32 -localserver, même si l’exécutable est celui légitime inclus avec Windows. Il peut être utilisé pour effectuer des opérations malveillantes.

Pouvez-vous supprimer Rundll32.exe ?

Vous ne pouvez pas supprimer en toute sécurité rundll32.exe si vous voulez que Windows fonctionne correctement. C’est une partie normale et critique du système d’exploitation Windows. C’est comme demander si vous pouvez ouvrir votre micro-ondes et commencer à retirer divers composants. Bien sûr, c’est physiquement possible, mais vous ne pouvez pas le faire si vous voulez que votre micro-ondes continue de fonctionner correctement.

Alors oui, vous pouvez techniquement supprimer rundll32.exe si vous êtes prêt à aller très loin, mais vous ne devrait vraiment pas. Il y a de fortes chances que la suppression de rundll32.exe casse des tonnes de choses et rende le fonctionnement normal de votre PC un casse-tête.

Avertissement: Ne supprimez pas rundll32.exe de votre ordinateur.

Cependant, si vous voulez vraiment le faire pour une raison quelconque, le moyen le plus simple consiste à démarrer dans une distribution Linux, à vous assurer que votre lecteur Windows est monté et à le supprimer à partir de là. Windows protège rundll32.exe de manière assez agressive, et vous auriez du mal à vous en débarrasser depuis Windows lui-même. Le supprimer depuis Linux contourne complètement ces mesures de protection. Si vous parvenez à le faire, vous aurez probablement une installation Windows cassée que vous devrez réparer avec quelque chose comme la commande SFC.

Si vous n’aimez pas quelque chose que rundll32.exe fait, vous feriez mieux de découvrir à quel processus rundll32.exe est associé et de simplement désactiver les déclencheurs liés à ce processus à la place.

Comment désactiver Rundll32.exe

Avertissement: Ne soyez pas trop zélé en désactivant ceci et cela sans confirmer ce que vous faites. Vous pourriez casser quelque chose accidentellement.

Vous ne pouvez pas désactiver directement rundll32.exe car il ne fait rien par lui-même, mais vous peut désactiver les applications et les services qui utilisent rundll32.exe pour fonctionner. Cela peut parfois être un peu compliqué, selon ce que vous voulez exactement. Nous avons une autre instance de rundll32.exe en cours d’exécution sur notre système qui charge quelque chose appelé « rxdiag.dll » que nous utiliserons pour l’exemple suivant.

La solution la plus simple consiste à cliquer avec le bouton droit sur l’instance de rundll32.exe dans Process Manager et à cliquer sur « Tuer le processus » pour le terminer immédiatement.

Cependant, ce correctif n’empêchera pas rundll32 d’être appelé et de redémarrer dès que nécessaire. Si vous voulez faire cela, vous devez déterminer la cause de l’activation ou de la désinstallation complète du programme qui l’appelle par rundll32.exe. Voici comment vous pourriez le faire, en partant de zéro.

Faites un clic droit sur l’instance de rundll32.exe et cliquez sur « Propriétés », puis assurez-vous que vous êtes sur l’onglet « Image ». Notez que rundll32.exe est la copie légitime située dans le dossier Windows, le processus parent s’appelle « nvcontainer.exe » et que la DLL est stockée dans le dossier « C:Program FilesNvidia Corporationnvstreamsrv ».

L'onglet Image, avec divers attributs de l'instance rundll32 en surbrillance.

Cela nous en dit long. Nous pouvons être sûrs qu’il ne s’agit pas d’un logiciel malveillant et nous savons qu’il est associé à notre pilote graphique (nous avons un GPU NVIDIA) en raison du dossier dans lequel il se trouve. Si vous ne reconnaissez pas le nom du dossier, essayez recherche sur internet. Habituellement, vous pourrez trouver plusieurs résultats qui expliquent quel programme a créé le dossier.

Donc, vous savez maintenant qu’un programme NVIDIA en est responsable, mais vous avez quelques programmes NVIDIA différents sur votre PC. Comment savez-vous lequel c’est?

Le nom du sous-dossier – nvstreamsrv – fournit des informations utiles. GeForce Experience, un utilitaire axé sur les jeux produit par NVIDIA, vous permet de diffuser et d’enregistrer des vidéos via une fonctionnalité appelée Shadowplay. Le nom du dossier « nvstreamsrv » est probablement un raccourci pour « VNIDIA Flux Secamping-careuh », et cela nous indique que GeForce Experience est responsable de cet appel à rundll32.exe, plutôt qu’un autre logiciel NVIDIA, comme le panneau de configuration NVIDIA.

Encore une fois, si vous ne pouvez pas facilement établir une connexion entre le nom du dossier (ou un autre argument attaché à rundll32), essayez de le rechercher sur Internet. La plupart des choses que vous rencontrerez seront bien documentées.

Nous pouvons maintenant raisonnablement deviner que GeForce Experience est probablement responsable de cette instance de rundll32.exe. Maintenant, vous devez l’éteindre pour que rundll32 ne se relance pas. Les détails varieront en fonction de votre situation, mais gardez à l’esprit les grandes lignes de ces étapes :

  1. Puisque nous soupçonnons qu’il est lié à Shadowplay, désactivez Shadowplay dans GeForce Experience
  2. Supprimer GeForce Experience de la liste des programmes de démarrage
  3. Désactivez tous les services associés dans l’utilitaire Services
  4. Désactivez toutes les tâches planifiées qui pourraient déclencher l’exécution automatique de GeForce Experience (les mises à jour automatiques sont un coupable courant) dans le planificateur de tâches
  5. Désinstaller entièrement le programme

Note: Dans ce cas, la désactivation des fonctionnalités de streaming de ShadowPlay et GeForce Experience ne l’a pas coupé. Nous avons dû désactiver complètement GeForce Experience.

Une mise à jour automatique planifiée de GeForce Experience.

Vous devriez généralement essayer d’être aussi ciblé que possible lorsque vous désactivez des choses. Nous avons d’abord essayé de désactiver une fonctionnalité spécifique que nous pensions être responsable, puis de désactiver le démarrage ou un service, puis de supprimer une activité planifiée importante (une mise à jour automatique), et ce n’est qu’ensuite que nous avons supprimé l’application. Cela minimise la possibilité de casser accidentellement une autre fonctionnalité importante que vous pouvez utiliser ou qui pourrait être importante dans les coulisses d’une manière que vous ne saviez pas.

Bien sûr, si vous savez que vous ne voulez pas du tout de l’application, ignorez simplement les autres étapes et passez directement à la désinstallation. Soyez juste prudent – vous ne voulez pas désinstaller ou supprimer quelque chose d’important par accident.

Conseil: Cet article fait partie de notre série en cours expliquant divers processus trouvés dans le Gestionnaire des tâches, comme svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, Adobe_Updater.exe et bien d’autres.

Source-135

- Advertisement -

Latest