Chì ghjè rundll32.exe, locu è segni di malware

Rundll32.exe hè legittimu: carica funzioni DLL per Windows è l'applicazioni.
A so situazione valida hè System32/SysWOW64; fora di questu, siate suspettosi.
U malware pò dissimulà si o aduprà rundll32 per lancià DLL.
Ùn la sguassate micca: identificate i travaglii/DLL incriminati è aduprate un antimalware.

Sì avete scontru rundll32.exe in Task Manager è vi dumandate ciò chì hè, ùn site micca solu: questu eseguibile appare spessu, qualchì volta in parechje istanze à tempu. Luntanu da esse un intrusu per difettu, face parte di Windows stessu è u so scopu hè di caricà è eseguisce funzioni ospitate in I fugliali DLL.

Avà, solu perchè hè legittimu ùn significa micca chì ùn pò esse adupratu maliziosamente. Certi prugrammi è malware potenzialmente indesiderati si camuflanu cù u so nome o Sfruttanu u veru rundll32 per lancià codice maliziosu.In e seguenti righe, vi diceraghju esattamente ciò chì hè, induve duveria esse, perchè puderia mustrà errori o cunsumà CPU, cumu distingue trà u bè è u male, è chì passi fà senza arruvinà u vostru sistema.

Chì ghjè rundll32.exe è à chì serve?

U prucessu Rundll32.exe esegue a DLL

u schedariu rundll32.exe Hè un cumpunente nativu di Windows chì hè adupratu per invucà funzioni esportate da biblioteche di ligami dinamici (DLL)In poche parole: Quandu u sistema o una applicazione hà bisognu di eseguisce una funzione chì si trova in una DLL, pò chjamalla per mezu di rundll32.

I DLL incapsulanu blocchi di codice riutilizzabile chì parechji prugrammi spartenu, da attività di rete, audio, video o interfaccia cù quale interagite. Hè per quessa chì, in l'installazioni tipiche di Windows (7, 10, 11, ecc.) ci sò migliaia di DLL, è rundll32 hè a chjave per orchestrali.

Induve truvà è cumu ricunnosce una copia legittima

In un sistema sanu viderete copie legittime di rundll32.exe nantu à percorsi cum'è C: \ Windows \ System32 (ambiente 64-bit) è C: \ Windows \ SysWOW64 (Compatibilità 32-bit nantu à i sistemi x64). Ci pò ancu esse File MUI di risorse linguistiche assuciate in sottocartelle cum'è en-US o pl-PL, per esempiu C:\Windows\System32\en-US\rundll32.exe.mui.

Sè u truvate à scappà cartulari fora di u cartulare Windows (per esempiu, in AppData, ProgramData o un cartulare tempurale), fate attenzione. Hè cumunu chì i malware si mascheranu aduprendu u listessu nome ma funzionanu da un altru locu per interferisce cù i prucessi legittimi.

Hè un virus ? Cumu u malware u sfrutta

A risposta corta: innò. Rundll32.exe Ùn hè micca un virus, hè un U strumentu propiu di WindowsÀ longu andà: ci sò duie trappule tipiche. Prima, un prugramma maliziosu cù u listessu nome si trova in un percorsu diversu. Seconda, un Trojan carica a so DLL maliziosa via u rundll32 autenticu, dunque u prucessu chì vede hè quellu di Microsoft, ma esegue una biblioteca maligna.

Cuntinutu esclusivu - Cliccate quì Cumu bluccà un situ web

In a storia di e minacce, sò mintuvate e famiglie chì utilizanu rundll32, cum'è Backdoor.W32.Ranky o W32.Miroot.WormÈ, più mundane, estensioni di navigatore adware o intrusive l'utilizanu per lancià attività chì finiscenu in Pop-up, reindirizzamenti è usu di a CPUHè una di e ragioni per chì parechji utilizatori credenu chì rundll32 "hè un virus".

Sì avete rimarcatu eccessu di publicità o finestre interstiziali, ci puderebbe esse un adware chì si basa nantu à rundll32.
l redirige à siti web strani è u rallentamentu di u navigatore hè ancu adattatu à i PUP / spyware.
U sistema pò diventà pigru da prucessi chì attivanu rundll32 cù DLL suspettosi.

Perchè vecu parechje istanze è missaghji d'errore ?

Chì u U Manager di attività mostra parechje istanze Questu hè nurmale: diversi cumpunenti di sistema o applicazioni di terze parti ponu invucallu à u listessu tempu. Windows distribuisce i travaglii, è viderete parechji rundll32 in esecuzione in parallelu secondu ciò chì accade in u sfondate.

Ciò chì ùn hè micca nurmale hè di vede picchi di CPU custanti o missaghji cum'è "Codice d'errore: rundll32.exe" mentre navigate in Chrome, Edge, Firefox o IE. In questi scenarii hè cunsigliatu di suspettà prugrammi potenzialmente indesiderati (PUP), estensioni aggressive o un Trojan chì sfrutta l'eseguibile per caricà a so DLL.

Ciò chì ùn si deve fà: sguassà rundll32.exe

Delete rundll32.exe de System32/SysWOW64 Ùn hè micca una opzione: hè un schedariu criticu per WindowsSguassallu pò rompe e funzioni basiche, causà crash, o impedisce à u sistema di caricà i cumpunenti necessarii.

Sè pensate chì rundll32 face "qualcosa chì ùn deve micca", a cosa sensata da fà hè scopre quale prucessu o attività l'invoca è tagliallu fora: disattivate o cancellate l'attività, disinstallate u prugramma problematicu, pulite a DLL è rinforzate a prutezzione cù un bon antimalware.

malware invisibile

Cumu verificà se l'istanza hè maliziosa

Queste verifiche vi aiutanu à distingue l'usu legittimu da l'usu maliziosu senza causà allarmismu o dannà u sistema. Eppuru, Sè ùn vi sentite micca à l'aise, hè megliu dumandà aiutu. à una cumunità prufessiunale o spezializata.

Verificate a stradaIn u Task Manager, aghjunghjite a colonna "Linea di cummandu" o aprite e "Pruprietà" di u prucessu. Sè rundll32.exe ùn hè micca in C:\Windows\System32 o C:\Windows\SysWOW64, cattivu segnu.
Verificate ciò chì DLL hè in caricamentu: rundll32 hè generalmente seguitatu da u percorsu versu una DLL è una funzione esportata. Percorsi cum'è C:\ProgramData\... o C:\Users\...\AppData\... richiedenu una revisione. L'esempiu di cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue hè chjaramente suspettu.
Verificate a Task schedulerCerca attività recenti o attività cù nomi offuscati chì chjamanu rundll32. I percorsi legittimi sottu Microsoft ponu esse aduprati cum'è facciata per caricà DLL improprie.
Accade Difensore Microsoft o un anti-malware affidabile: una scansione cumpleta cù firme aggiornate rileverà a maiò parte di i PUP, adware, spyware è Trojan chì si attaccanu à rundll32.
Audit estensioni di navigatoreDisinstallate tuttu ciò chì ùn hè micca essenziale, in particulare l'estensioni di proxy VPN, i scaricatori o i "sbloccanti" chì spessu cuntenenu publicità.
Aduprate strumenti di diagnostica cum'è Process Explorer per vede u prucessu parentale (prucessu parente) chì invoca rundll32 è a firma digitale di l'eseguibile. A firma di Microsoft In System32/SysWOW64 hè nurmale; a cosa strana hè i slot fora di Windows.

Cuntinutu esclusivu - Cliccate quì Qualcomm X85 5G: u modem chì redefine a cunnessione mobile cù AI

Misure di pulizia è di prevenzione

U primu stratu hè u sensu cumunu: Disinstallate u software chì ùn aduprate micca o chì hè propensu à l'adwarePer una pulizia accurata, parechje guide cunsiglianu Revo Uninstaller in modu avanzatu per rimuovere i resti (cartelle, chjavi di registru) di PUP cum'è "DuvApp" o suite di "ottimizazione" intrusive.

Dopu, eseguite un scansione cumpleta cù Microsoft Defender è, sè pensate chì sia apprupriatu, un anti-malware supplementu cù una reputazione pruvata. Questu aiuta à caccià e DLL maliziose è i travaglii pianificati chì si basanu nantu à rundll32 per persiste in silenziu.

In a pulizia prufessiunale viderete menzione di copie di salvezza di u registru (per esempiu cù DelFix) è l'usu di script persunalizati cù FRST (Farbar) per riparà e pulitiche, sguassà i travaglii, sbloccare e DLL in usu, ecc. Quessi scripts sò adattatu à ogni squadraÙn riutilizate micca quellu di qualcunu altru perchè pudete rompe u vostru Windows.

L'azzioni cumuni per questi script includenu u reset di a rete è di u firewall (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), chjude i prucessi, sguassate cartulare en ProgramData/AppData culligati à i PUP è puliscenu i travaglii pianificati chì caricanu DLL aduprendu rundll32.exeDi novu: megliu in mani esperte.

Per minimizà i risichi futuri, mantene Windows è e vostre app sempre aghjurnatu, scaricate u software da i siti ufficiali, deselezziunate i cumpunenti supplementari in l'installazioni "express" è suspettate qualsiasi eseguibile di sistema chì appare fora di u percorsi standard.

Più indizii nantu à i lochi è i fugliali cunnessi

In più di System32 è SysWOW64, viderete i fugliali di risorse MUI di rundll32 in cartulari di lingua cum'è en-US o pl-PLÙn sò micca eseguibili, ma risorse di lucalizazioneVede "rundll32" senza .exe in l'Explorer pò esse duvutu à piattà l'estensioni da i schedari cunnisciuti.

Cuntinutu esclusivu - Cliccate quì U megliu antivirus in linea

Sè una istanza suspetta smette di cumparisce è u vostru prublema (per esempiu, u doppiu accentu nant'à a tastiera) sparisce, hè un segnu chì u pezzu problematicu era in altrò è hà utilizatu rundll32 cum'è un lanciatore. Quandu riapparisce, hè ora di fighjà i travaglii, l'estensioni è e DLL cunnesse.

Quandu dumandà aiutu avanzatu

Sè, dopu avè pulitu l'estensioni, disinstallatu i PUP è eseguitu l'antimalware, vedete sempre rundll32 lanciatu da percorsi strani, o s'è vo avete nutatu sintomi cum'è un clipboard manomessu, scorciatoie USB maliziose è una tastiera "difettosa", ùn a lasciate micca: cunsultazione cù un supportu specializatuUn script di riparazione hè spessu necessariu. abitùdine per a vostra squadra chì ghjoca iscrizzione, compiti è pulitiche chirurgicamente.

Ricurdatevi: ogni urdinatore hè un mondu in sè stessu. Un script cuncipitu per un'altra macchina (cù riferimenti à cartulari cum'è TreeCenter\BortValue o DLL specifiche) eseguite nantu à u vostru ponu lasciallu instabileA pulizia avanzata ùn hè micca copia-incolla, hè diagnosi individuale.

E dumande frequenti

Possu caccià rundll32.exe ? Innò. Hè un cumpunente essenziale di u sistema. U modu currettu hè di caccià u trigger (compitu, prugramma, DLL) chì l'utiliza male.
Perchè ci sò parechji casi? Perchè diverse funzioni di sistema è applicazioni di terze parti l'invucanu in parallelu. Parechje istanze, cù un cunsumu energeticu bassu, sò nurmali.
Induve duverebbe esse ? En C:\Windows\System32 è / o C:\Windows\SysWOW64, cù i so fugliali MUI in sottocartelle di lingua. Fora di Windows, siate suspettosi.
Un antivirus ùn pò micca rilevallu? Pò accade, soprattuttu cù i PUP è l'adware. Eppuru, Microsoft Defender è una scansione cumpleta identificanu di solitu a maiò parte di l'abusi, è pudete cumplementà cù un'altra suluzione affidabile.
Chì sò i segni inequivocabili di qualcosa di stranu? Percorsi stranieri per a DLL (ProgramData, AppData), stringhe strane in u clipboard, scorciatoie maliziose nantu à USB, tilde chì bloccanu è attività pianificate chì chjamanu rundll32.exe cù DLL offuscate.

In resume, rundll32.exe hè un strumentu legittimu è necessariu chì, per a so natura, pò esse sfruttatu da l'adware è i Trojani per eseguisce DLL indesiderate. Prima di culpà l'eseguibile o di cancellallu, fighjate u percorsu di l'istanza, quali DLL sò caricate è quale l'invoca; disinstallate i PUP, pulite l'estensioni, verificate i travagli pianificati è eseguite un bon prugramma anti-malware. Cù queste misure, è accedendu à u supportu avanzatu quandu hè necessariu, pudete Affruntà l'abusi senza compromettere a stabilità di u vostru Windows.

Terrazza Daniele

Editore specializatu in prublemi di tecnulugia è Internet cù più di deci anni di sperienza in diversi media digitale. Aghju travagliatu cum'è editore è creatore di cuntenutu per e-commerce, cumunicazione, marketing online è cumpagnie di publicità. Aghju scrittu ancu nantu à ecunumia, finanza è altri siti web di settori. U mo travagliu hè ancu a mo passione. Avà, attraversu i mo articuli in Tecnobits, Pruvate di scopra tutte e nutizie è novi opportunità chì u mondu di a tecnulugia ci offre ogni ghjornu per migliurà a nostra vita.