processus rundl32.exe

Dans le message news:A18B0CE2-3BEF-4106-B938-3DC7A69D8096@microsoft.com ,
LaurentF <LaurentF@discussions.microsoft.com> s'est ainsi exprimé:

bonjour
depuis qqes jours mon PC rame.... en regardant ds la liste des
processus, je me suis aperçu que "rundl32.exe" prenais 80% de mon
utlisation UC... donc je suis obligé de l'arrêter pour libérer de la
charge UC. Quelqu'un pourrait il m'en dire plus et me conseiller ?

Ce n'est pas évident !
Car "rundll32" est, comme son nom le suggère, un outil qui permet d'exécuter
certaines DLL (32 bits, car il a existé - sosu Windows 16 bits - un rundll
pour les DLL 16 bits). En particulier les différentes "applets" du panneau
de configuration (les fichiers .CPL, qui sont tous des DLL).

Mais "rundll32" peut servir à des tas d'autres choses, par exemple :

- affichage du panneau
"Supprimer le périphérique en toute sécurité"
(USB et/ou PCMCIA)
rundll32.exe shell32.dll,Control_RunDLL hotplug.dll

- aspect du menu Démarrer :
rundll32.exe shell32.dll,Options_RunDLL 1

- affichage d'un raccourci Internet :
rundll32.exe shdocvw.dll,OpenURL "nom-du-raccourci"

- ouvrir un fichier zip et présenter le résultat du
dézippage sous la forme d'un dossier :
rundll32.exe zipfldr.dll,RouteTheCall "nom-du fichier-zip"

- installation d'un fichier .INF :
rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 "nom-du
fichier-inf"

- quitter Windows rapidement :
rundll32.exe user32.dll,ExitWindowsEx

- définition d'une imprimante réseau comme imprimante par défaut :
rundll32.exe printui.dll,PrintUIEntry /n \serveurimp_partagée /y

- création d'un raccourci dans un dossier :
rundll32.exe appwiz.cpl,NewLinkHere "nom-du-dossier"

- verrouiller une station :
rundll32 user32.dll,LockWorkStation

...

Donc tu vois que le processus "rundll32" est très fréquemment lancé sous
Windows !!!

Il faudrait donc que tu découvres où il a été lancé, et surtout avec quels
paramètres.
Donc il faut aller à la recherche de "rundll32"
- dans les raccourcis du menu démarrer (et toute l'arborescence)
- dans les branches
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
...

Et ce n'est qu'après cette recherche que l'on pourrait essayer de deviner ce
qui provoque la surcharge de rundll32, qui n'est qu'un simple lanceur.
En effet, ce n'est pas rundll32 en tant que tel qui se bloque, mais
uniquement la DLL qu'il lance.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr

Jean-Claude BELLAMY wrote:

Dans le message
news:A18B0CE2-3BEF-4106-B938-3DC7A69D8096@microsoft.com , LaurentF
<LaurentF@discussions.microsoft.com> s'est ainsi exprimé:

bonjour
depuis qqes jours mon PC rame.... en regardant ds la liste des
processus, je me suis aperçu que "rundl32.exe" prenais 80% de mon
utlisation UC... donc je suis obligé de l'arrêter pour libérer de la
charge UC. Quelqu'un pourrait il m'en dire plus et me conseiller ?

Ce n'est pas évident !
Car "rundll32" est, comme son nom le suggère, un outil qui permet
d'exécuter certaines DLL (32 bits, car il a existé - sosu Windows 16
bits - un rundll pour les DLL 16 bits). En particulier les
différentes "applets" du panneau de configuration (les fichiers .CPL,
qui sont tous des DLL).

Mais "rundll32" peut servir à des tas d'autres choses, par exemple :

- affichage du panneau
"Supprimer le périphérique en toute sécurité"
(USB et/ou PCMCIA)
rundll32.exe shell32.dll,Control_RunDLL hotplug.dll

- aspect du menu Démarrer :
rundll32.exe shell32.dll,Options_RunDLL 1

- affichage d'un raccourci Internet :
rundll32.exe shdocvw.dll,OpenURL "nom-du-raccourci"

- ouvrir un fichier zip et présenter le résultat du
dézippage sous la forme d'un dossier :
rundll32.exe zipfldr.dll,RouteTheCall "nom-du fichier-zip"

- installation d'un fichier .INF :
rundll32.exe setupapi,InstallHinfSection DefaultInstall 132
"nom-du fichier-inf"

- quitter Windows rapidement :
rundll32.exe user32.dll,ExitWindowsEx

- définition d'une imprimante réseau comme imprimante par défaut :
rundll32.exe printui.dll,PrintUIEntry /n \serveurimp_partagée /y

- création d'un raccourci dans un dossier :
rundll32.exe appwiz.cpl,NewLinkHere "nom-du-dossier"

- verrouiller une station :
rundll32 user32.dll,LockWorkStation

...

Donc tu vois que le processus "rundll32" est très fréquemment lancé
sous Windows !!!

Il faudrait donc que tu découvres où il a été lancé, et surtout avec
quels paramètres.
Donc il faut aller à la recherche de "rundll32"
- dans les raccourcis du menu démarrer (et toute l'arborescence)
- dans les branches
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
...

Et ce n'est qu'après cette recherche que l'on pourrait essayer de
deviner ce qui provoque la surcharge de rundll32, qui n'est qu'un
simple lanceur.
En effet, ce n'est pas rundll32 en tant que tel qui se bloque, mais
uniquement la DLL qu'il lance.

Comme d'habitude JCB fournit une réponse claire et detaillé. Bravo !
Mais un petit raccourci...
Si on soupçonne qu'on est infecté par un spyware/adware (lop par exemple),
regarder dans la liste des processus pour voir s'il n'y a pas aussi de(s)
tâche(s) IEXPLORE en plus de rundll. Si oui, et s'il n'ya pas de fenêtre IE
d'ouvert, tuer les tâches. Si elles reviennent, alors c'est quasi certain
que vous avez été infecté.

Nettoyer (plutôt 3 fois qu'une) avec Spybot S&D, Microsoft anti-spyware rtc.
Attention: avec spybot télécharger et installer les dernières définitions
manuellement depuis le site (pas par le MAJ integré) car certains spyware
savent "tromper" le téléchargeur de Spybot pour lui dire que ses défintions
sont à jour.

Bon courage
Clive