Che cos'è rundll32.exe, posizioni e segni di malware

Rundll32.exe è legittimo: carica funzioni DLL per Windows e app.
La sua posizione valida è System32/SysWOW64; al di fuori di questa posizione, siate sospettosi.
Il malware può camuffarsi o utilizzare rundll32 per avviare le DLL.
Non eliminarlo: identifica le attività/DLL incriminate e utilizza un antimalware.

Se ti sei imbattuto in rundll32.exe nel Task Manager e ti stai chiedendo che diavolo sia, non sei il solo: questo eseguibile appare frequentemente, a volte in più istanze contemporaneamente. Lungi dall'essere un intruso per impostazione predefinita, fa parte di Windows stesso e il suo scopo è caricare ed eseguire funzioni ospitate in File DLL.

Ora, solo perché è legittimo non significa che non possa essere utilizzato in modo dannoso. Alcuni programmi potenzialmente indesiderati e malware si camuffano con il loro nome o Sfruttano il vero rundll32 per lanciare codice dannoso.Nelle righe seguenti ti spiegherò esattamente di cosa si tratta, dove dovrebbe trovarsi, perché potrebbe visualizzare errori o consumare CPU, come distinguere tra buono e cattivo e quali misure adottare senza rovinare il tuo sistema.

Che cos'è rundll32.exe e a cosa serve?

Processo Rundll32.exe che esegue la DLL

Il file rundll32.exe È un componente nativo di Windows che viene utilizzato per richiamare funzioni esportate da librerie a collegamento dinamico (DLL)In parole povere: quando il sistema o un'app ha bisogno di eseguire una funzione che risiede in una DLL, può chiamarla tramite rundll32.

Le DLL incapsulano blocchi di codice riutilizzabile che molti programmi condividono, da attività di rete, audio, video o interfaccia con cui interagisci. Ecco perché, nelle tipiche installazioni di Windows (7, 10, 11, ecc.) ci sono migliaia di DLL e rundll32 è fondamentale per gestirle.

Dove trovare e come riconoscere una copia legittima

In un sistema sano vedrai copie legittime di rundll32.exe su percorsi come C:\Windows\System32 (ambiente a 64 bit) e C:\Windows\SysWOW64 (compatibilità a 32 bit su sistemi x64). Potrebbero esserci anche File MUI delle risorse linguistiche associate in sottocartelle come en-US o pl-PL, Per esempio C:\Windows\System32\en-US\rundll32.exe.mui.

Se lo trovi scappare da cartelle esterne alla directory di Windows (ad esempio, in AppData, ProgramData o una directory temporanea), fai attenzione. È comune che il malware si mascheri usando lo stesso nome ma venga eseguito da un'altra posizione per interferenza con processi legittimi.

È un virus? Come lo sfrutta il malware

La risposta breve: NO. Rundll32.exe Non è un virus, è un Strumento proprietario di WindowsA lungo termine: ci sono due trappole tipiche. La prima è che un programma dannoso con lo stesso nome risiede in un percorso diverso. La seconda è che un trojan carica la sua DLL dannosa tramite l'autentico rundll32, quindi il processo che vedete è di Microsoft, ma sta eseguendo una libreria dannosa.

Contenuti esclusivi: clicca qui Come scoprire chi si nasconde dietro un profilo falso

Nella cronologia delle minacce vengono menzionate famiglie che utilizzano rundll32, come Backdoor.W32.Ranky o W32.Miroot.WormE, più banalmente, gli adware o le estensioni intrusive del browser lo usano per avviare attività che finiscono in Pop-up, reindirizzamenti e utilizzo della CPUQuesto è uno dei motivi per cui molti utenti credono che rundll32 "sia un virus".

Se noti eccesso di pubblicità o finestre interstiziali, potrebbe esserci un adware che si basa su rundll32.
IL reindirizza a siti web strani e il rallentamento del browser sono compatibili anche con i PUP/spyware.
Il sistema può diventare pigro da processi che attivano rundll32 con DLL sospette.

Perché vedo più istanze e messaggi di errore?

Che il Task Manager mostra più istanze Questo è normale: diversi componenti di sistema o app di terze parti possono richiamarlo contemporaneamente. Windows distribuisce le attività e vedrai diverse rundll32 in esecuzione in parallelo, a seconda di cosa accade in background.

Ciò che non è normale è vedere picchi costanti della CPU o messaggi come “Codice di errore: rundll32.exe” durante la navigazione in Chrome, Edge, Firefox o IE. In questi scenari è consigliabile sospettare programmi potenzialmente indesiderati (PUP), estensioni aggressive o un Trojan che sfrutta l'eseguibile per caricare la sua DLL.

Cosa non fare: eliminare rundll32.exe

Eliminare rundll32.exe de System32/SysWOW64 Non è un'opzione: è un file critico per WindowsLa sua eliminazione potrebbe compromettere le funzioni di base, causare arresti anomali o impedire al sistema di caricare i componenti necessari.

Se pensi che rundll32 stia facendo "qualcosa che non dovrebbe", la cosa sensata da fare è scoprire quale processo o attività lo sta invocando e taglialo fuori: disattiva o elimina l'attività, disinstalla il programma problematico, pulisci la DLL e rafforza la protezione con un buon antimalware.

malware invisibile

Come verificare se l'istanza è dannosa

Questi controlli aiutano a distinguere l'uso legittimo da quello dannoso senza creare allarmismo o danneggiare il sistema. Tuttavia, Se non ti senti a tuo agio, è meglio chiedere aiuto. a una comunità professionale o specializzata.

Controlla il percorso: In Task Manager, aggiungi la colonna "Riga di comando" o apri le "Proprietà" del processo. Se rundll32.exe Non è dentro C:\Windows\System32 o C:\Windows\SysWOW64, un brutto segno.
Controlla cosa La DLL si sta caricando: rundll32 è solitamente seguito dal percorso di una DLL e di una funzione esportata. Percorsi come C:\ProgramData\... o C:\Users\...\AppData\... richiedono una revisione. L'esempio di cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue è chiaramente sospetto.
Controlla il Pianificatore attività: Cerca attività recenti o attività con nomi offuscati che chiamano rundll32. I percorsi legittimi in Microsoft possono essere utilizzati come facciata per caricare DLL non appropriate.
Succede Microsoft Defender o un anti-malware affidabile: una scansione completa con firme aggiornate rileverà la maggior parte dei PUP, adware, spyware e trojan che si collegano a rundll32.
Revisione contabile estensioni del browser: Disinstalla tutto ciò che non è essenziale, in particolare le estensioni proxy VPN, i downloader o gli "unblocker" che spesso contengono annunci pubblicitari.
Utilizzare strumenti diagnostici come Esploratore di processi per vedere il processo padre (processo padre) che richiama rundll32 e la firma digitale dell'eseguibile. La firma di Microsoft in System32/SysWOW64 è normale; la cosa strana sono gli slot esterni a Windows.

Contenuti esclusivi: clicca qui AdGuard DNS vs NextDNS: guida completa al confronto e alla scelta

Misure di pulizia e prevenzione

Il primo livello è il buon senso: Disinstallare il software che non si utilizza o che è soggetto ad adwarePer una pulizia accurata, molte guide consigliano Revo Uninstaller in modalità avanzata per rimuovere i resti (cartelle, chiavi di registro) di PUP come "DuvApp" o suite di "ottimizzazione" intrusive.

Quindi, esegui un scansione completa con Microsoft Defender e, se lo ritieni opportuno, un ulteriore anti-malware con una comprovata reputazione. Questo aiuta a scovare DLL dannose e attività pianificate che si basano su rundll32 per persistere silenziosamente.

Nella pulizia professionale vedrai menzionati i backup del registro (ad esempio con DelFix) e l'uso di script personalizzati con FRST (Farbar) per riparare le policy, eliminare attività, sbloccare DLL in uso, ecc. Questi script sono su misura per ogni squadra: Non riutilizzare le finestre di qualcun altro perché potresti rompere le tue.

Le azioni comuni per questi script includono il ripristino della rete e del firewall (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), chiudere i processi, eliminare cartelle en ProgramData/AppData collegato ai PUP e pulisce le attività pianificate che caricano le DLL utilizzando rundll32.exe. Ancora una volta: meglio in mani esperte.

Per ridurre al minimo i rischi futuri, mantieni Windows e le tue app sempre aggiornato, scaricare software dai siti ufficiali, deselezionare i componenti extra nelle installazioni "express" e diffidare di qualsiasi eseguibile di sistema che appare al di fuori del percorsi standard.

Ulteriori indizi sulle posizioni e sui file correlati

Oltre a System32 e SysWOW64, vedrai i file di risorse MUI di rundll32 nelle cartelle della lingua come en-US o pl-PLNon sono eseguibili, ma risorse di localizzazione. Vedi “rundll32” senza .exe nell'Explorer potrebbe essere dovuto a nascondere le estensioni da file noti.

Contenuti esclusivi: clicca qui Scopri come rilevare il malware e proteggerti

Se un'istanza sospetta smette di apparire e il problema (ad esempio, il doppia tilde sulla tastiera) scompare, è segno che il pezzo problematico era altrove e ha utilizzato rundll32 come launcher. Quando riappare, è il momento di controllare le attività, le estensioni e le DLL collegate.

Quando chiedere aiuto avanzato

Se, dopo aver pulito le estensioni, disinstallato i PUP ed eseguito l'antimalware, vedi ancora rundll32 avviato da percorsi stranio noti sintomi come appunti manomessi, collegamenti USB dannosi e una tastiera "paralizzata", non lasciarlo: consulenza con supporto specializzatoSpesso è necessario uno script di riparazione costume per la tua squadra che gioca registrazione, compiti e politiche chirurgicamente.

Ricorda: ogni computer è un mondo a sé stante. Uno script progettato per un'altra macchina (con riferimenti a cartelle come TreeCenter\BortValue o DLL specifiche) eseguite sul tuo possono lasciarlo instabileLa pulizia avanzata non è un copia-incolla, è diagnosi individuale.

Domande frequenti

Posso rimuovere rundll32.exe? No. È un componente essenziale del sistema. Il modo corretto è rimuovere il trigger (attività, programma, DLL) che ne fa un uso improprio.
Perché ci sono più istanze? Poiché diverse funzioni di sistema e app di terze parti lo invocano in parallelo, è normale che si verifichino più istanze, con un basso consumo energetico.
Dove dovrebbe essere? En C:\Windows\System32 IO C:\Windows\SysWOW64, con i suoi file MUI nelle sottocartelle della lingua. Fuori da Windows, siate sospettosi.
Un antivirus non può rilevarlo? Può succedere, soprattutto con i PUP e gli adware. Tuttavia, Microsoft Defender e una scansione completa di solito identificano la maggior parte degli abusi, e puoi integrare con un'altra soluzione affidabile.
Quali sono i segnali inequivocabili di qualcosa di strano? Percorsi esterni per la DLL (ProgramData, AppData), stringhe strane negli appunti, scorciatoie dannose su USB, tilde bloccanti e attività pianificate che chiamano rundll32.exe con DLL offuscate.

In sintesi, rundll32.exe è uno strumento legittimo e necessario che, per sua natura, può essere sfruttato da adware e trojan per eseguire DLL indesiderate. Prima di incolpare l'eseguibile o eliminarlo, controlla percorso dell'istanza, quali DLL vengono caricate e chi le richiama; disinstallare i PUP, pulire le estensioni, controllare le attività pianificate ed eseguire un buon programma anti-malware. Con queste misure e accedendo al supporto avanzato quando necessario, è possibile contrastare gli abusi senza compromettere la stabilità delle tue finestre.

Daniele Terrasa

Editor specializzato in questioni tecnologiche e Internet con più di dieci anni di esperienza in diversi media digitali. Ho lavorato come redattore e creatore di contenuti per aziende di e-commerce, comunicazione, marketing online e pubblicità. Ho scritto anche su siti web di economia, finanza e altri settori. Il mio lavoro è anche la mia passione. Ora, attraverso i miei articoli in Tecnobits, cerco di esplorare tutte le novità e le nuove opportunità che il mondo della tecnologia ci offre ogni giorno per migliorare la nostra vita.