Uno de los problemas cuando intenta diagnosticar cualquier problema en Windows es que mucha información sobre qué archivos y programas se cargan en segundo plano está oculta y no es fácilmente visible. Uno de estos programas de Windows es el proceso svchost.exe, que se ve como un solo proceso en el Administrador de tareas, pero de hecho puede contener varios servicios cargados de dll que no conocerá a menos que sepa cómo identificar qué hay dentro del proceso svchost.
Otro proceso que podría aparecer en su Lista de tareas de Windows, pero que nunca puede saber cuál es, probablemente será el proceso rundll32. Rundll32.exe es una parte de Windows que se encuentra en \ Windows \ System32 y se utiliza para ejecutar el código del programa en un archivo dll como si fuera un programa real. El archivo dll no se puede ejecutar directamente, por eso se requiere el rundll32.exe para ejecutarlo. Una gran cantidad de software malicioso también puede usar este nombre o nombres similares para engañarlo haciéndole creer que el virus es realmente un archivo legítimo de Windows. Nombres como rundII32.exe (en realidad usando 2 letras i mayúsculas) o rundll.32.exe no son infrecuentes y siempre debe estudiar los nombres de archivo rundll32 (y svchost) en el Administrador de tareas si sospecha que tiene malware en su sistema. Rundll32 también es comúnmente utilizado por el spyware para lanzar su propio código. Como puede ver si abre el Administrador de tareas y tiene un Rundll32.exe presente, en realidad no puede ver de manera predeterminada qué dll está iniciando.
Aquí se explica cómo identificar qué archivos DLL se cargan en rundll32.exe en Windows XP, Vista y 7.
Use el Administrador de tareas para identificar el comando Rundll32.exe en uso
Esta función solo está disponible en Vista y superior, y lo que hace es mostrar una columna adicional en el Administrador de tareas que le indica cuál es la línea de comando utilizada actualmente por el proceso. Abra el Administrador de tareas -> Ver menú -> Seleccionar columnas ..., haga clic en el cuadro Línea de comando y luego en Aceptar.
Ahora habrá una nueva columna disponible y debería poder identificar qué dll se está ejecutando.
Identificar archivos DLL cargados con Process Explorer
Process Explorer es un excelente reemplazo del Administrador de tareas hecho por SysInternals que puede mostrar información mucho más detallada sobre lo que se está cargando el proceso Rundll32. Simplemente ejecute la herramienta Explorador de procesos y se le presentará una lista de procesos del tipo Administrador de tareas.
Todo lo que tiene que hacer es pasar el mouse sobre la entrada Rundll32.exe y le mostrará en una sugerencia de herramienta qué comando se está ejecutando y qué dll se está ejecutando. Como puede ver en la imagen, este rundll32.exe está ejecutando el icono de la bandeja nVidia.
Descargar Process Explorer
Identificar archivos DLL cargados a través del símbolo del sistema
Aquí hay una forma manual de identificar archivos DLL en rundll32.exe. Abra un símbolo del sistema presionando WinKey + R y escriba cmd. Luego escriba o pegue el siguiente comando en el indicador y presione Entrar.
lista de tareas / m / fi "IMAGENAME eq rundll32.exe"
Tenga en cuenta que, de manera predeterminada, Windows XP Home Edition no tiene la utilidad tasklist.exe, solo Professional. Está integrado en todas las versiones de Windows Vista y 7. Si desea la herramienta Lista de tareas para XP Home, puede descargarla desde este enlace:
Descargar Tasklist.exe
Los módulos dll se muestran en el lado derecho del resultado de la lista de tareas. Probablemente verá que se muestran muchos módulos que son dll internos de Windows y se necesita un poco de conocimiento por parte de un usuario experimentado para identificar cualquier dll peligroso en la lista. Si no está seguro, siempre puede buscar en Google el nombre del archivo dll.
Falsos archivos Rundll32
Ahora ya sabe cómo identificar las DLL cargadas en rundll32.exe, pero también hay casos de spyware y virus que reemplazan el rundll32.exe original de Windows por uno falso. Cuando tenga un rundll32.exe dañado o dañado, tendrá problemas para abrir el Panel de control, etc.
Para verificar si su rundll32.exe ha sido modificado o reemplazado, puede abrirlo con el Bloc de notas, Wordpad o un editor Hex. Una vez que haya abierto rundll32.exe, busque la palabra "relleno". Si esta palabra está dentro del rundll32.exe, significa que está usando un archivo falso y necesita ser reemplazado.
La forma más sencilla de reemplazar el archivo es usar el Comprobador de archivos del sistema (SFC) del símbolo del sistema.
1. Presione la tecla Win + R y escriba cmd en el cuadro de diálogo Ejecutar, presione Entrar.
2. Escriba el siguiente comando en el símbolo del sistema y presione Entrar. Windows ahora debería reemplazar el rundll32.exe dañado y cualquier otro archivo del sistema dañado por un virus u otros problemas.
sfc / Scannow
Si sabe que solo el archivo rundll32.exe está dañado y está utilizando Vista o 7, puede evitar una verificación completa del archivo del sistema y simplemente ejecutar SFC en ese archivo 1.
sfc /scanfile=c:\windows\system32\rundll32.exe
Los usuarios de Windows XP pueden necesitar el CD de instalación de Windows para restaurar un archivo original. Un consejo muy útil y que ahorra tiempo para evitar necesitar el CD en el futuro cuando se ejecuta SFC es copiar la carpeta i386 en su disco duro.