Apa itu rundll32.exe, lokasi, dan tanda-tanda malware

Rundll32.exe sah: ia memuat fungsi DLL untuk Windows dan aplikasi.
Lokasinya yang valid adalah System32/SysWOW64; di luar itu, bersikaplah curiga.
Malware dapat menyamarkan atau menggunakan rundll32 untuk meluncurkan DLL.
Jangan menghapusnya: identifikasi tugas/DLL yang bermasalah dan gunakan antimalware.

Jika Anda telah menemukan rundll32.exe di Task Manager dan bertanya-tanya apa itu, Anda tidak sendirian: file yang dapat dieksekusi ini sering muncul, terkadang dalam beberapa contoh sekaligus. Jauh dari menjadi penyusup secara default, adalah bagian dari Windows itu sendiri dan tujuannya adalah untuk memuat dan menjalankan fungsi yang dihosting di file dll.

Namun, meskipun sah, bukan berarti tidak bisa digunakan secara jahat. Beberapa program dan malware yang mungkin tidak diinginkan menyamarkan diri dengan nama atau Mereka mengeksploitasi rundll32 asli untuk meluncurkan kode berbahaya.Pada baris-baris berikut, saya akan memberi tahu Anda secara pasti apa itu, di mana seharusnya berada, mengapa ia mungkin menampilkan kesalahan atau menghabiskan CPU, bagaimana membedakan mana yang baik dan mana yang buruk, dan apa saja langkah yang harus diambil tanpa merusak sistem Anda.

Apa itu rundll32.exe dan apa kegunaannya?

Proses Rundll32.exe mengeksekusi DLL

file rundll32.exe Ini adalah komponen Windows asli yang digunakan untuk memanggil fungsi yang diekspor dari pustaka tautan dinamis (DLL)Sederhananya: Ketika sistem atau aplikasi perlu menjalankan fungsi yang berada dalam DLL, sistem atau aplikasi dapat memanggilnya melalui rundll32.

DLL merangkum blok kode yang dapat digunakan kembali yang digunakan oleh banyak program, dari tugas jaringan, audio, video atau antarmuka yang berinteraksi dengan Anda. Itulah sebabnya, dalam instalasi Windows pada umumnya (7, 10, 11, dst.) terdapat ribuan DLL, dan rundll32 adalah kunci untuk mengaturnya.

Di mana menemukan dan bagaimana mengenali salinan yang sah

Dalam sistem yang sehat Anda akan melihat salinan sah dari rundll32.exe pada rute seperti C: \ Windows \ System32 (lingkungan 64-bit) dan C: \ Windows \ SysWOW64 (kompatibilitas 32-bit pada sistem x64). Mungkin juga ada berkas MUI sumber daya bahasa terkait dalam subfolder seperti en-US o pl-PL, sebagai contoh C:\Windows\System32\en-US\rundll32.exe.mui.

Jika Anda menemukannya berlari dari folder di luar direktori Windows (misalnya, di AppData, ProgramData atau direktori sementara), berhati-hatilah. Malware biasanya menyamarkan dirinya dengan menggunakan nama yang sama tetapi berjalan dari lokasi lain untuk mengganggu proses yang sah.

Apakah ini virus? Bagaimana malware mengeksploitasinya

Jawaban singkatnya: tidak. Rundll32.exe Ini bukan virus, tapi Alat milik Windows sendiriJangka panjangnya: ada dua jebakan umum. Pertama, program jahat dengan nama yang sama berada di jalur yang berbeda. Kedua, Trojan memuat DLL jahatnya melalui rundll32 asli, jadi proses yang Anda lihat adalah milik Microsoft, tetapi sedang menjalankan perpustakaan berbahaya.

Konten eksklusif - Klik Disini Inisiatif keamanan di Roblox

Dalam riwayat ancaman, keluarga yang menggunakan rundll32 disebutkan, seperti Pintu Belakang.W32.Ranky o W32.Miroot.Worm. Dan, lebih banyak lagi adware atau ekstensi browser yang mengganggu menggunakannya untuk meluncurkan tugas yang berakhir di Pop-up, pengalihan, dan penggunaan CPUItulah salah satu alasan mengapa banyak pengguna percaya bahwa rundll32 "adalah virus".

Jika Anda memperhatikan kelebihan iklan atau jendela interstisial, mungkin ada adware yang mengandalkan rundll32.
itu pengalihan ke situs web aneh dan perlambatan browser juga sesuai dengan PUP/spyware.
Sistem dapat menjadi malas oleh proses yang memicu rundll32 dengan DLL yang mencurigakan.

Mengapa saya melihat banyak kejadian dan pesan kesalahan?

itu Pengelola Tugas menampilkan beberapa contoh Hal ini normal: berbagai komponen sistem atau aplikasi pihak ketiga dapat menjalankannya secara bersamaan. Windows mendistribusikan tugas, dan Anda akan melihat beberapa rundll32 berjalan secara paralel, tergantung pada apa yang terjadi di latar belakang.

Yang tidak normal adalah melihat lonjakan CPU yang konstan atau pesan seperti “Kode kesalahan: rundll32.exe” saat menjelajah di Chrome, Edge, Firefox, atau IE. Dalam skenario ini, disarankan untuk mencurigai program yang mungkin tidak diinginkan (PUP), ekstensi agresif atau Trojan yang mengeksploitasi executable untuk memuat DLL-nya.

Yang tidak boleh dilakukan: hapus rundll32.exe

menghapus rundll32.exe de Sistem32/SysWOW64 Ini bukan pilihan: ini adalah sebuah file penting untuk WindowsMenghapusnya dapat merusak fungsi dasar, menyebabkan kerusakan, atau mencegah sistem memuat komponen yang diperlukan.

Jika Anda berpikir rundll32 melakukan “sesuatu yang tidak seharusnya”, hal yang masuk akal untuk dilakukan adalah cari tahu proses atau tugas mana yang memanggilnya dan hentikan: nonaktifkan atau hapus tugas, copot program yang bermasalah, bersihkan DLL, dan perkuat perlindungan dengan antimalware yang bagus.

malware tak terlihat

Cara memeriksa apakah instance tersebut berbahaya

Pemeriksaan ini membantu Anda membedakan penggunaan yang sah dari penggunaan yang berbahaya tanpa menimbulkan kekhawatiran atau merusak sistem. Namun, Jika Anda merasa tidak nyaman, lebih baik meminta bantuan. ke komunitas profesional atau komunitas khusus.

Periksa rutenya: Di Pengelola Tugas, tambahkan kolom “Baris Perintah” atau buka “Properti” proses. Jika rundll32.exe tidak ada di C:\Windows\System32 o C:\Windows\SysWOW64, pertanda buruk.
Periksa apa DLL sedang dimuat: rundll32 biasanya diikuti oleh jalur ke DLL dan fungsi yang diekspor. Jalur seperti C:\ProgramData\... o C:\Users\...\AppData\... memerlukan peninjauan. Contoh dari cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue jelas mencurigakan.
Periksa Penjadwal Tugas: Cari tugas terbaru atau tugas dengan nama yang dikaburkan yang memanggil rundll32. Jalur yang sah di Microsoft dapat digunakan sebagai fasad untuk memuat DLL yang tidak tepat.
Terjadi Microsoft Defender atau anti-malware yang andal: pemindaian penuh dengan tanda tangan terkini akan mendeteksi sebagian besar PUP, adware, spyware, dan Trojan yang menempel pada rundll32.
Pemeriksaan ekstensi browser:Copot pemasangan apa pun yang tidak penting, terutama ekstensi proksi VPN, pengunduh, atau "pembuka blokir" yang sering kali berisi iklan.
Gunakan alat diagnostik seperti Process Explorer untuk melihat proses induk (proses induk) yang memanggil rundll32 dan tanda tangan digital yang dapat dieksekusi. Tanda tangan Microsoft di System32/SysWOW64 itu normal; yang aneh adalah slot di luar Windows.

Konten eksklusif - Klik Disini Cara mendeteksi malware tanpa file berbahaya di Windows 11

Tindakan pembersihan dan pencegahan

Lapisan pertama adalah akal sehat: Copot pemasangan perangkat lunak yang tidak Anda gunakan atau yang rentan terhadap adwareUntuk pembersihan menyeluruh, banyak panduan merekomendasikan Revo Uninstaller dalam mode lanjutan untuk menghapus sisa-sisa (folder, kunci registri) PUP seperti “DuvApp” atau rangkaian “optimasi” yang mengganggu.

Kemudian, jalankan pemindaian penuh dengan Microsoft Defender dan, jika menurut Anda sesuai, anti-malware tambahan dengan reputasi yang terbukti. Ini membantu memburu DLL berbahaya dan tugas terjadwal yang bergantung pada rundll32 untuk bertahan diam-diam.

Dalam pembersihan profesional Anda akan melihat penyebutan pencadangan registri (misalnya dengan DelFix) dan penggunaan skrip kustom dengan FRST (Farbar) untuk memperbaiki kebijakan, menghapus tugas, membuka blokir DLL yang digunakan, dll. Skrip tersebut adalah disesuaikan dengan masing-masing tim:Jangan menggunakan kembali milik orang lain karena dapat merusak jendela Anda.

Tindakan umum untuk skrip ini termasuk mengatur ulang jaringan dan firewall (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), proses tertutup, menghapus folder en ProgramData/AppData terhubung ke PUP dan membersihkan tugas terjadwal yang memuat DLL menggunakan rundll32.exeSekali lagi: lebih baik di tangan ahli.

Untuk meminimalkan risiko di masa mendatang, pertahankan Windows dan aplikasi Anda selalu diperbarui, unduh perangkat lunak dari situs resmi, hapus centang komponen tambahan dalam instalasi “ekspres” dan curigai setiap sistem yang dapat dieksekusi yang muncul di luar rute standar.

Petunjuk lebih lanjut tentang lokasi dan file terkait

Selain System32 dan SysWOW64, Anda akan melihat file sumber daya MUI dari rundll32 di folder bahasa seperti en-US o pl-PLMereka tidak dapat dieksekusi, tetapi sumber daya lokalisasiLihat “rundll32” tanpa .exe di Explorer mungkin disebabkan oleh sembunyikan ekstensi dari file yang diketahui.

Konten eksklusif - Klik Disini Ini adalah tanda-tanda halus yang akan Anda lihat di ponsel Anda jika Anda memiliki stalkerware.

Jika kejadian mencurigakan berhenti muncul dan masalah Anda (misalnya, aksen ganda pada keyboard) menghilang, itu adalah tanda bahwa bagian yang bermasalah itu di tempat lain dan menggunakan rundll32 sebagai peluncur. Ketika muncul kembali, saatnya untuk memeriksa tugas, ekstensi, dan DLL yang terhubung.

Kapan harus meminta bantuan lanjutan

Jika, setelah membersihkan ekstensi, menghapus PUP dan menjalankan antimalware, Anda masih melihat rundll32 diluncurkan dari rute aneh, atau Anda melihat gejala seperti clipboard yang dirusak, pintasan USB berbahaya, dan keyboard yang “lumpuh”, jangan tinggalkan: konsultasi dengan dukungan khususSkrip perbaikan seringkali diperlukan adat untuk tim Anda yang bermain pendaftaran, tugas dan kebijakan secara bedah.

Ingat: setiap komputer adalah dunianya sendiri. Sebuah skrip yang dirancang untuk mesin lain (dengan referensi ke folder seperti TreeCenter\BortValue atau DLL tertentu) yang dijalankan pada Anda dapat biarkan tidak stabilPembersihan tingkat lanjut bukan copy-paste, melainkan diagnosis individu.

Pertanyaan yang sering diajukan

Bisakah saya menghapus rundll32.exe? Tidak. Itu komponen penting sistem. Cara yang benar adalah menghapus pemicu (tugas, program, DLL) yang menyalahgunakannya.
Mengapa ada banyak kejadian? Karena berbagai fungsi sistem dan aplikasi pihak ketiga menjalankannya secara paralel. Beberapa instance, dengan konsumsi daya rendah, adalah hal yang normal.
Di mana seharusnya? En C:\Windows\System32 dan / atau C:\Windows\SysWOW64, dengan berkas MUI-nya di subfolder bahasa. Di luar Windows, waspadalah.
Apakah antivirus tidak dapat mendeteksinya? Hal ini bisa terjadi, terutama dengan PUP dan adware. Namun, Microsoft Defender dan pemindaian penuh biasanya dapat mengidentifikasi sebagian besar penyalahgunaan, dan Anda dapat melengkapinya dengan solusi tepercaya lainnya.
Apa saja tanda-tanda yang jelas dari sesuatu yang aneh? Jalur asing untuk DLL (ProgramData, AppData), string aneh di clipboard, pintasan berbahaya di USB, tilde pemblokiran dan tugas terjadwal yang memanggil rundll32.exe dengan DLL yang dikaburkan.

Singkatnya, rundll32.exe adalah alat yang sah dan diperlukan yang, berdasarkan sifatnya, dapat dieksploitasi oleh adware dan Trojan untuk menjalankan DLL yang tidak diinginkan. Sebelum menyalahkan atau menghapus file yang dapat dieksekusi, perhatikan jalur instans, DLL mana yang dimuat dan siapa yang memanggilnya; hapus instalasi PUP, bersihkan ekstensi, periksa tugas terjadwal, dan jalankan program anti-malware yang baik. Dengan langkah-langkah ini, dan dengan mengakses dukungan lanjutan bila diperlukan, Anda dapat mengatasi pelanggaran tanpa mengorbankan stabilitas dari Windows Anda.

Daniel Terasa

Editor yang berspesialisasi dalam isu-isu teknologi dan internet dengan pengalaman lebih dari sepuluh tahun di berbagai media digital. Saya telah bekerja sebagai editor dan pembuat konten untuk perusahaan e-commerce, komunikasi, pemasaran online, dan periklanan. Saya juga menulis di situs web ekonomi, keuangan dan sektor lainnya. Pekerjaanku juga merupakan passionku. Sekarang, melalui artikel saya di Tecnobits, Saya mencoba mengeksplorasi semua berita dan peluang baru yang ditawarkan dunia teknologi kepada kita setiap hari untuk meningkatkan kehidupan kita.