VietNetwork.Vn

Rundll32.exe là một phần tiêu chuẩn của Windows được sử dụng để chạy các tệp Thư viện liên kết động (DLL). DLL chứa mã cho các chức năng khác nhau của chương trình và thường được sử dụng bởi các quy trình Windows và ứng dụng của bên thứ ba. Rundll32.exe thường không phải là phần mềm độc hại, nhưng nó có thể được sử dụng để thực thi mã độc hại.


Bạn chỉ mở Trình quản lý tác vụ để tìm thấy vô số phiên bản rundll32.exe đang chạy cùng một lúc. Nhưng rundll32.exe là gì? Nó làm gì và làm thế nào để bạn xác định bất kỳ phiên bản cụ thể nào của nó thực sự đang làm gì trên PC của bạn? Đây là tất cả mọi thứ bạn cần biết.

1. Rundll32 là gì?

Rundll32.exe được sử dụng để chạy  Thư viện liên kết động (DLL)  trên hệ điều hành Windows. DLL lưu trữ mã để cung cấp các chức năng cho các quy trình Windows và ứng dụng của bên thứ ba, đồng thời có thể được nhiều chương trình truy cập đồng thời.

Có hàng nghìn (nếu không muốn nói là nhiều hơn) các tệp DLL đi kèm với bản cài đặt Windows thông thường của bạn có liên quan đến mọi thứ từ kết nối mạng đến giao diện người dùng mà bạn tương tác hàng ngày. Hầu hết các chương trình bạn cài đặt cũng sử dụng DLL. Tính phổ biến này làm cho rundll32.exe trở thành một phần thiết yếu của Windows, cho dù bạn đang sử dụng Windows 10, Windows 11 hay phiên bản Windows cũ hơn như Windows 7.

2. Rundll32.exe có phải là virus không?

Rundll32.exe là một phần bình thường của Windows. Tuy nhiên, phần mềm độc hại có thể giả vờ là bản sao hợp pháp của rundll32.exe hoặc sử dụng rundll32.exe thực để thực thi mã độc hại trên PC của bạn.

Có một vài bản sao hợp pháp của tệp thực thi rundll32 có trong bản cài đặt Windows. Hai cái bạn thường thấy nằm trong "C:\Windows\System32\" và "C:\Windows\SysWOW64", nhưng nếu thực hiện tìm kiếm, bạn sẽ tìm thấy những cái khác trong thư mục Windows.

Đôi khi phần mềm độc hại sẽ sử dụng cùng một tên thực thi và chạy từ một thư mục khác để ngụy trang. Bạn nên nghi ngờ ngay lập tức về bất kỳ tệp thực thi rundll32 nào không nằm trong thư mục Windows của bạn hoặc thư mục con Windows.

Thông thường, điều tốt nhất nên làm nếu bạn nghi ngờ mình có một bản sao độc hại của rundll32.exe trên PC là chạy quét vi-rút bằng Bộ bảo vệ Microsoft hoặc chương trình chống vi-rút mà bạn thích. Malwarebytes là một lựa chọn tuyệt vời và sẽ xử lý hầu hết các phần mềm độc hại, mặc dù có những gói phần mềm chống vi-rút tuyệt vời khác.

Tuy nhiên, các chương trình chống vi-rút không hoàn hảo và đôi khi phần mềm độc hại chạy bằng rundll32 sẽ tránh bị phát hiện. Nếu đúng như vậy, bạn sẽ cần tìm hiểu xem rundll32.exe đang làm gì theo cách thủ công và cách tắt nó nếu bạn tìm thấy thứ gì đó mà mình không muốn.

3. Nghiên cứu Rundll32.exe bằng Process Explorer trên Windows 10 hoặc Windows 11

Process Explorer, một tiện ích miễn phí của Microsoft, cung cấp thông tin cụ thể hơn, hữu ích nếu bạn đang cố gắng xác định chính xác ứng dụng đang làm gì. Nó nhỏ, không cần cài đặt và hoạt động với mọi phiên bản Windows. Ở đây, chúng ta sẽ sử dụng nó để điều tra hoạt động của rundll32.exe.

Khởi chạy Process Explorer với tư cách quản trị viên, sau đó đi tới Tệp > Hiển thị chi tiết cho tất cả các quy trình để đảm bảo rằng bạn đang nhìn thấy mọi thứ. Có thể sẽ có rất nhiều nội dung được liệt kê và bạn có thể không nhận ra tất cả nếu bạn chưa bao giờ xem xét kỹ cách hoạt động của Windows trước đây. Nó không có nghĩa là bạn có một loại virus.

Lưu ý: Bạn không cần phải khởi chạy Process Explorer với tư cách quản trị viên, nhưng sẽ tốt hơn nếu bạn làm như vậy. Một số quy trình có thể không hiển thị tất cả thông tin của chúng nếu không có đặc quyền của quản trị viên.


Bây giờ, khi bạn di chuột qua rundll32.exe trong danh sách, bạn sẽ thấy một chú giải công cụ với các chi tiết về những gì nó đang làm. Tốt hơn nữa, bạn có thể nhấp chuột phải, chọn "Properties" để biết thêm thông tin chi tiết.


Có rất nhiều thông tin có sẵn trong cửa sổ Thuộc tính, nhưng bạn nên bắt đầu với tab "Hình ảnh". Nó sẽ hiển thị cho bạn tên đường dẫn đầy đủ, quy trình gốc, người dùng, v.v. Trong trường hợp này, rundll32.exe của chúng tôi được liên kết với một thứ có tên "máy chủ cục bộ 22d8c27b-47a1-48d1-ad08-7da7abd79617."


Vậy chính xác "-localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617" là gì? Chúng tôi không hoàn toàn chắc chắn, nhưng chúng tôi đã xác nhận rằng nó có trên bản cài đặt hoàn toàn sạch của Windows 10, vì vậy đây chắc chắn là một phần bình thường của Windows. Nó dường như liên quan đến việc trình bày hình ảnh trong giao diện người dùng bằng cách nào đó. Nếu bạn tạm dừng hoặc hủy quy trình, biểu tượng bên cạnh các điều khiển phương tiện của bạn sẽ không còn xuất hiện nữa và một số người dùng đã báo cáo rằng nó tương tác với các biểu tượng Tài khoản người dùng.


Cảnh báo: Bạn nên cẩn thận một chút với những thứ kỳ lạ mà bạn tìm thấy đang chạy qua rundll32 -localserver, ngay cả khi tệp thực thi là tệp hợp pháp có trong windows. Nó có thể được sử dụng để thực hiện các hoạt động độc hại.

4. Bạn có thể xóa Rundll32.exe không?

Bạn không thể xóa rundll32.exe một cách an toàn nếu muốn Windows hoạt động bình thường. Đó là một phần bình thường, quan trọng của hệ điều hành Windows. Nó giống như hỏi liệu bạn có thể mở lò vi sóng của mình và bắt đầu tháo các bộ phận khác nhau không. Chắc chắn, điều đó là có thể, nhưng bạn không thể làm điều đó nếu muốn lò vi sóng của mình tiếp tục hoạt động bình thường.

Vì vậy, có, về mặt kỹ thuật, bạn có thể xóa rundll32.exe nếu bạn sẵn sàng thực hiện một thời gian dài, nhưng bạn  thực sự không nên. Rất có thể việc xóa rundll32.exe sẽ làm hỏng rất nhiều thứ và khiến việc chạy PC bình thường của bạn trở nên đau đầu.

Cảnh báo: Không xóa rundll32.exe khỏi máy tính của bạn.

Tuy nhiên, nếu bạn thực sự muốn làm điều đó vì một lý do nào đó, cách dễ nhất là khởi động vào một bản phân phối Linux, đảm bảo rằng ổ đĩa Windows của bạn đã được gắn kết và xóa nó khỏi đó. Windows bảo vệ rundll32.exe khá tích cực và bạn sẽ khó có thể loại bỏ nó ngay trong chính Windows. Xóa nó khỏi bên trong Linux sẽ bỏ qua hoàn toàn các biện pháp bảo vệ đó. Nếu bạn quản lý để làm điều này, có thể bạn đã cài đặt Windows bị hỏng, bạn cần sửa chữa bằng thứ gì đó như lệnh SFC.

Nếu bạn không thích điều gì đó mà rundll32.exe đang làm, thì tốt hơn hết là bạn nên tìm ra quy trình nào rundll32.exe được liên kết với và thay vào đó, chỉ cần vô hiệu hóa các trình kích hoạt liên quan đến quy trình đó.

5. Cách vô hiệu hóa Rundll32.exe

Cảnh báo: Đừng quá hăng hái vô hiệu hóa cái này và cái kia mà không xác nhận bạn đang làm gì. Bạn có thể vô tình phá vỡ một cái gì đó.

Bạn không thể vô hiệu hóa trực tiếp rundll32.exe vì bản thân nó không thực sự làm bất cứ điều gì, nhưng bạn có thể vô hiệu hóa các ứng dụng và dịch vụ sử dụng rundll32.exe để vận hành. Điều này đôi khi có thể hơi phức tạp, tùy thuộc vào chính xác những gì bạn muốn. Chúng tôi có một phiên bản rundll32.exe khác đang chạy trên hệ thống của chúng tôi đang tải một thứ gọi là "rxdiag.dll" mà chúng tôi sẽ sử dụng cho ví dụ sau.

Giải pháp đơn giản nhất là nhấp chuột phải vào phiên bản rundll32.exe trong Trình quản lý quy trình và nhấp vào "Giết quy trình" để kết thúc ngay lập tức.


Tuy nhiên, bản sửa lỗi đó sẽ không ngăn rundll32 được gọi và khởi động lại ngay khi cần. Nếu bạn muốn làm điều đó, bạn phải xác định nguyên nhân khiến rundll32.exe kích hoạt hoặc gỡ cài đặt hoàn toàn chương trình gọi nó. Đây là cách bạn có thể làm điều đó, bắt đầu từ đầu.

Nhấp chuột phải vào phiên bản rundll32.exe và nhấp vào "Thuộc tính", sau đó đảm bảo rằng bạn đang ở trên tab "Hình ảnh". Lưu ý rằng rundll32.exe là bản sao hợp pháp nằm trong thư mục Windows, quy trình gốc có tên là "nvcontainer.exe" và DLL được lưu trữ trong thư mục "C:\Program Files\Nvidia Corporation\nvstreamsrv".


Điều đó cho chúng ta biết rất nhiều. Chúng tôi có thể rất tự tin rằng đó không phải là phần mềm độc hại và chúng tôi biết rằng phần mềm này được liên kết với trình điều khiển đồ họa của chúng tôi (chúng tôi có GPU NVIDIA) do thư mục chứa phần mềm độc hại. Nếu bạn không nhận ra tên thư mục, hãy thử tìm kiếm trên internet. Thông thường, bạn sẽ có thể tìm thấy một số kết quả giải thích chương trình nào đã tạo thư mục.

Vì vậy, bây giờ bạn biết rằng một chương trình NVIDIA chịu trách nhiệm về nó, nhưng bạn có một vài chương trình NVIDIA khác nhau trên PC của mình. Làm thế nào để bạn biết nó là cái nào?

Tên thư mục con - nvstreamsrv - cung cấp một số thông tin chi tiết hữu ích. GeForce Experience, một tiện ích tập trung vào trò chơi do NVIDIA sản xuất, cho phép bạn truyền phát và quay video qua một tính năng có tên là Shadowplay. Tên thư mục "nvstreamsrv" có lẽ là viết tắt của " NV IDIA Stream S e rv er," và điều đó cho chúng ta thấy GeForce Experience chịu trách nhiệm về lệnh gọi rundll32.exe này, chứ không phải một phần mềm NVIDIA khác, như Bảng điều khiển NVIDIA.

Một lần nữa, nếu bạn không thể dễ dàng hình thành kết nối giữa tên thư mục (hoặc đối số khác được đính kèm với rundll32), hãy thử tìm kiếm nó trên internet. Hầu hết những điều bạn gặp phải sẽ được ghi lại đầy đủ.

Giờ đây, chúng tôi có thể đoán một cách hợp lý rằng GeForce Experience rất có thể chịu trách nhiệm cho phiên bản rundll32.exe này. Bây giờ bạn cần thực sự tắt nó đi để rundll32 không kích hoạt lại. Các chi tiết cụ thể sẽ khác nhau tùy thuộc vào hoàn cảnh của bạn, nhưng hãy ghi nhớ các phác thảo chung của các bước sau:

• Vì chúng tôi nghi ngờ nó có liên quan đến Shadowplay, hãy tắt Shadowplay trong GeForce Experience
• Xóa Trải nghiệm GeForce khỏi Danh sách Chương trình Khởi động
• Vô hiệu hóa mọi dịch vụ liên quan trong tiện ích Dịch vụ
• Vô hiệu hóa mọi tác vụ đã lên lịch có thể kích hoạt GeForce Experience tự động chạy (Tự động cập nhật là thủ phạm phổ biến) trong Trình lập lịch tác vụ
• Gỡ cài đặt chương trình hoàn toàn

Lưu ý: Trong trường hợp này, việc tắt các tính năng phát trực tuyến của ShadowPlay và GeForce Experience không có tác dụng. Chúng tôi đã phải tắt hoàn toàn GeForce Experience.


Bạn thường nên cố gắng trở thành mục tiêu nhất có thể khi vô hiệu hóa mọi thứ. Trước tiên, chúng tôi thử tắt một tính năng cụ thể mà chúng tôi cho là chịu trách nhiệm, sau đó tắt tính năng khởi động hoặc một dịch vụ, sau đó xóa một hoạt động quan trọng đã lên lịch (cập nhật tự động) và chỉ sau đó chúng tôi mới xóa ứng dụng. Điều này giảm thiểu khả năng vô tình làm hỏng một tính năng quan trọng khác mà bạn có thể sử dụng hoặc có thể quan trọng đằng sau hậu trường theo cách mà bạn không nhận ra.

Tất nhiên, nếu bạn biết mình không muốn ứng dụng này chút nào, thì chỉ cần bỏ qua các bước khác và tiến hành gỡ cài đặt ứng dụng đó. Chỉ cần cẩn thận — bạn không muốn vô tình gỡ cài đặt hoặc xóa thứ gì đó quan trọng.

Mẹo: Bài viết này là một phần trong loạt bài đang diễn ra của chúng tôi giải thích các quy trình khác nhau được tìm thấy trong Trình quản lý tác vụ, như  svchost.exe,  dwm.exe, ctfmon.exe,  mDNSResponder.exe, conhost.exe,  Adobe_Updater.exe và nhiều quy trình khác.