Què és rundll32.exe i com saber si és legítim o malware camuflat?

Si t'has topat amb rundll32.exe a l'Administrador de tasques i et preguntes què dimonis és, no estàs sol: aquest executable apareix sovint i de vegades en diverses instàncies alhora. Lluny de ser un intrús per defecte, forma part del propi Windows i la seva comesa és carregar i executar funcions allotjades a arxius DLL.

Ara bé, que sigui legítim no vol dir que no pugui ser usat amb mala intenció. Alguns programes potencialment no desitjats i malware es camuflen amb el seu nom o aprofiten el rundll32 real per llançar codi maliciós. En les properes línies t'explico què és exactament, on hauria d'estar, per què pot mostrar errors o consumir CPU, com distingir el que és bo del que és dolent i quins passos fer sense carregar-te el sistema.

Què és rundll32.exe i per a què serveix

El fitxer rundll32.exe és un component nadiu de Windows que serveix per invocar funcions exportades de biblioteques d'enllaç dinàmic (DLL). En cristià: quan el sistema o una app necessita executar una funció que resideix en una DLL, pot trucar a través de rundll32.

Les DLL encapsulen blocs de codi reutilitzable que molts programes comparteixen, des de tasques de xarxa, àudio, vídeo o la pròpia interfície amb què interactues. Per això, en instal·lacions típiques de Windows (7, 10, 11, etc.) hi ha milers de DLL i rundll32 és peça clau per orquestrar-les.

On es troba i com reconèixer la còpia legítima

En un sistema sa veuràs còpies legítimes de rundll32.exe en rutes com C:\Windows\System32 (entorn de 64 bits) i C:\Windows\SysWOW64 (compatibilitat de 32 bits en sistemes x64). També poden existir arxius MUI de recursos d'idioma associats a subcarpetes com en-US o pl-PL, per exemple C:\Windows\System32\en-US\rundll32.exe.mui.

Si ho trobes corrent des de carpetes alienes al directori de Windows (p. ex., a AppData, ProgramData o un directori temporal), desconfia. És comú que el malware es disfressi usant el mateix nom però s'executi des d'una altra ubicació per a barrejar-se entre processos legítims.

És un virus? Com ho aprofita el codi maliciós (malware)

La resposta curta: no. Rundll32.exe no és un virus, és una eina del propi Windows. La llarga: hi ha dues trampes típiques. Una, que un programa maliciós s'anomeni igual i s'allotgi en una altra ruta. Dos, que un troià carregui el seu DLL nociva passant pel rundll32 autèntic, de manera que el procés que veus és el de Microsoft, però està executant una biblioteca maliciosa.

A l'històric d'amenaces se citen famílies que estiren rundll32, com Backdoor.W32.Ranky o W32.Miroot.Worm. I, més mundà, adwares o extensions intrusives del navegador el fan servir per llançar tasques que acaben a pop‑ups, redireccions i consum de CPU. Aquesta és una raó per la qual molts usuaris creuen que rundll32 “és un virus”.

• Si notes excés d'anuncis o finestres intersticials, podria haver adware recolzant-se en rundll32.
• Les redireccions a webs rares i l'alentiment del navegador també encaixen amb PUPs/spyware.
• El sistema pot anar-se tornant mandrós per processos que disparen rundll32 amb DLL sospitoses.

Per què veig diverses instàncies i missatges d'error?

Que el Administrador de tasques mostri diverses instàncies de rundll32 és normal: diferents components del sistema o apps de tercers poden invocar-lo alhora. Windows reparteix tasques i veuràs diversos rundll32 en paral·lel segons el que estigui passant en segon pla.

El que no és normal és veure pics constants de CPU o missatges com “Error code: rundll32.exe” mentre navegues a Chrome, Edge, Firefox o IE. En aquests escenaris convé sospitar de programes potencialment no desitjats (PUP), extensions agressives o un troià que estigui explotant lexecutable per carregar el seu DLL.

Què no has de fer: esborrar rundll32.exe

Eliminar rundll32.exe de System32/SysWOW64 no és una opció: és un fitxer crític per a Windows. Esborrar-lo pot trencar funcions bàsiques, provocar pantalles o impedir que el sistema carregui components necessaris.

Si creus que rundll32 està fent “alguna cosa que no deu”, el que és sensat és trobar quin procés o tasca ho invoca i tallar-hi: deshabilitar o eliminar la tasca, desinstal·lar el programa problemàtic, netejar la DLL i reforçar la protecció amb un bon antimalware.

Com comprovar si la instància és maliciosa

Aquestes comprovacions us ajuden a diferenciar un ús legítim d'un maliciós sense caure en alarmismes ni danyar el sistema. Tot i així, si no et veus còmode, millor demana ajuda un professional o una comunitat especialitzada.

• Verifica la ruta: a l'Administrador de tasques, afegeix la columna “Línia d'ordres” o obre les “Propietats” del procés. Si rundll32.exe no és a C:\Windows\System32 o C:\Windows\SysWOW64, mal senyal.
• Comprova què DLL està carregant: rundll32 sol anar seguit del path a una DLL i una funció exportada. Rutes com C:\ProgramData\... o C:\Users\...\AppData\... requereixen revisió. L'exemple de cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue és clarament sospitós.
• Revisa el Programador de tasques: cerca tasques recents o amb noms ofuscats que anomenin rundll32. Les rutes legítimes sota Microsoft poden ser usades com façana per carregar DLLs indegudes.
• Passa Microsoft Defensar o un antimalware fiable: una anàlisi completa amb firmes al dia detectarà la majoria de PUPs, adware, spyware i troians que s'enganxen a rundll32.
• Audita extensions del navegador: desinstal·la el que no sigui imprescindible, especialment extensions de VPN proxy, descarregadors o “desbloquejadors” que solen introduir publicitat.
• Utilitza eines de diagnòstic com Process Explorer per veure el parent process (procés pare) que invoca rundll32 i la signatura digital de lexecutable. La signatura de Microsoft a System32/SysWOW64 és normal; el que és estrany és ranures fora de Windows.

Mesures de neteja i prevenció

La primera capa és de sentit comú: desinstal·la programari que no facis servir o que sigui propens a adware. Per netejar a fons, moltes guies recomanen Revo Uninstaller en mode avançat per eliminar restes (carpetes, claus de registre) de PUPs com DuvApp o suites d'optimització intrusives.

Després, executa un anàlisi completa amb Microsoft Defender i, si ho creus convenient, un antimalware addicional de reputació contrastada. Això ajuda a caçar DLLs i tasques programades malicioses que es recolzen en rundll32 per persistir de manera silenciosa.

En neteges professionals veuràs esment a còpies de seguretat del registre (p. ex., amb DelFix) ia ús de scripts personalitzats amb FRST (Farbar) per reparar polítiques, esborrar tasques, desbloquejar DLLs en ús, etc. Aquests scripts són a mida per a cada equip: no reutilitzis el d'una altra persona perquè pots trencar el teu Windows.

Entre les accions habituals d'aquests scripts figuren restablir xarxa i tallafocs (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), tancar processos, eliminar carpetes en ProgramData/AppData vinculades a PUPs i netejar tasques programades que carreguen DLLs mitjançant rundll32.exe. Un altre cop: millor en mans expertes.

Per minimitzar riscos a futur, mantingues Windows i les teves apps sempre actualitzats, descarrega programari de llocs oficials, desmarca components extra en instal·lacions “ràpides” i dubte de qualsevol executable de sistema que aparegui fora de les rutes estàndard.

Més pistes sobre ubicacions i fitxers relacionats

A més de System32 i SysWOW64, veuràs fitxers de recursos MUI de rundll32 en carpetes d'idioma com en-US o pl-PL. No són executables, sinó recursos de localització. Veure “rundll32” sense .exe a l'Explorador pot ser perquè ocultes les extensions de fitxers coneguts.

Si una instància sospitosa deixa d'aparèixer i el teu problema (per exemple, el doble titlla al teclat) desapareix, és un senyal que la peça problemàtica estava en un altre lloc i feia servir rundll32 com a llançadora. En reaparèixer, toca mirar tasques, extensions i DLL connectades.

Quan demanar ajuda avançada

Si, després de netejar extensions, desinstal·lar PUPs i passar antimalware, segueixes veient rundll32 llançat des de rutes rares, o notes símptomes com portapapers manipulats, dreceres malicioses en USB i teclat “capat”, no ho deixis: consulta amb suport especialitzat. Sovint cal un script de reparació custom per al teu equip que toqui registre, tasques i polítiques de manera quirúrgica.

Recordeu: cada equip és un món. Un script dissenyat per a una altra màquina (amb referències a carpetes com TreeCenter\BortValue o DLLs concretes) executat a la teva pot deixar-la inestable. La neteja avançada no és copiar‑enganxar, és diagnòstic individual.

Preguntes freqüents

• Puc suprimir rundll32.exe? No. És un component essencial del sistema. La via correcta és eliminar el disparador (tasca, programa, DLL) que l'usa de manera indeguda.
• Per què hi ha diverses instàncies? Perquè diferents funcions del sistema i apps de tercers ho invoquen en paral·lel. Diverses instàncies, amb consum baix, és normal.
• On ha de ser? En C:\Windows\System32 i/o C:\Windows\SysWOW64, amb els fitxers MUI en subcarpetes d'idioma. Fora de Windows, sospita.
• Un antivirus pot no detectar-lo? Pot passar, sobretot amb PUPs i adware. Tot i així, Microsoft Defender i un escaneig complet solen identificar la majoria d'abusos, i pots complementar amb una altra solució reconeguda.
• Quins senyals són inequívocs d'una cosa rara? Rutes alienes per a la DLL (ProgramData, AppData), cadenes estranyes en portapapers, accessos directes maliciosos en USB, bloqueig de titlles i tasques programades que criden a rundll32.exe amb DLLs ofuscades.

En resum, rundll32.exe és una eina legítima i necessària que, per la seva naturalesa, pot ser aprofitada per adware i troians per executar DLLs no desitjades. Abans de culpar l'executable o esborrar-lo, fixa't a la ruta de la instància, quin DLL carrega i qui ho invoca; desinstal·la PUPs, neteja extensions, revisa tasques programades i passa un bon antimalware. Amb aquestes mesures, i acudint a suport avançat quan calgui, podràs aturar abusos sense comprometre l'estabilitat del teu Windows.