rundll32.exe とは何ですか? また、それが正規のマルウェアか偽装されたマルウェアかを見分けるにはどうすればよいでしょうか?

もしあなたが遭遇したなら ランDLL32.exe タスク マネージャーでこの実行ファイルが見つかり、一体何なのか疑問に思っている人は、あなただけではありません。この実行ファイルは頻繁に表示され、時には一度に複数のインスタンスとして表示されます。 デフォルトで侵入者になるどころかはWindows自体の一部であり、その目的は、Windowsにホストされている関数をロードして実行することです。 DLLファイル.

正規のプログラムだからといって、悪意ある目的で利用されないというわけではありません。潜在的に迷惑なプログラムやマルウェアの中には、名前や 彼らは実際の rundll32 を悪用して悪意のあるコードを起動します。次の行では、それが何であるか、それがどこにあるのか、なぜエラーが表示されたり CPU を消費したりするのか、良いものと悪いものを区別する方法、システムを壊さずに実行すべき手順について正確に説明します。

rundll32.exe とは何ですか? 何のために使用されますか?

ファイル rundll32.exe これはWindowsのネイティブコンポーネントであり、 ダイナミック リンク ライブラリ (DLL) からエクスポートされた関数を呼び出す簡単に言うと、システムまたはアプリが DLL 内にある関数を実行する必要がある場合、rundll32 を介してその関数を呼び出すことができます。

DLLは、多くのプログラムが共有する再利用可能なコードのブロックをカプセル化します。 ネットワーク、オーディオ、ビデオ、またはインターフェースのタスク ユーザーが操作するDLLです。そのため、一般的なWindowsインストール（7、10、11など）には数千ものDLLが存在し、rundll32はそれらを管理する上で重要な役割を果たします。

正規のコピーを見つける場所と見分ける方法

健全なシステムでは、 rundll32.exe 次のようなルートで C:\Windows\System32 （64ビット環境）および C:\Windows\SysWOW64 （x32システムでは64ビット互換性があります）。また、 MUIファイル サブフォルダ内の関連言語リソースの例： en-US o pl-PL、 例えば C:\Windows\System32\en-US\rundll32.exe.mui.

彼が逃げているのを見つけたら Windowsディレクトリ外のフォルダ （例えば、 AppData, ProgramData （または一時ディレクトリ）にマルウェアが紛れ込んでいる場合、注意が必要です。マルウェアは、同じ名前を使って偽装しながらも、別の場所から実行されてしまうことがよくあります。 正当な手続きを妨害する.

それはウイルスか？マルウェアはそれをどのように悪用するのか

短い答え: いいえ. Rundll32.exe それはウイルスではなく、 Windows独自のツール長期的には、典型的な落とし穴が32つあります。XNUMXつは、同じ名前の悪意あるプログラムが異なるパスに存在することです。XNUMXつ目は、トロイの木馬が正規のrundllXNUMX経由で悪意あるD​​LLをロードするため、表示されるプロセスはMicrosoftのものですが、 悪意のあるライブラリを実行している.

脅威の歴史では、rundll32を使用するファミリーが次のように言及されています。 バックドア.W32.Ranky o W32.Miroot.Wormそして、もっと平凡なアドウェアや侵入的なブラウザ拡張機能は、最終的に次のようなタスクを起動するためにこれを使用します。 ポップアップ、リダイレクト、CPU使用率これが、多くのユーザーが rundll32 を「ウイルス」だと信じている理由の XNUMX つです。

• 気づいたら 広告の過剰 またはインタースティシャル ウィンドウの場合、rundll32 に依存するアドウェアが存在する可能性があります。
• その 奇妙なウェブサイトへのリダイレクト ブラウザの速度低下も PUP/スパイウェアに当てはまります。
• このシステムは 怠惰になる 疑わしい DLL を使用して rundll32 をトリガーするプロセスによって。

複数のインスタンスとエラー メッセージが表示されるのはなぜですか?

それは タスクマネージャーに複数のインスタンスが表示される これは正常な動作です。異なるシステムコンポーネントやサードパーティ製アプリが同時に呼び出す可能性があります。Windowsはタスクを分散するため、バックグラウンドで何が起こっているかに応じて複数のrundll32が並行して実行されます。

異常なのは、CPUの使用率が常に上昇したり、次のようなメッセージが表示されたりすることです。 「エラーコード: rundll32.exe」 Chrome、Edge、Firefox、またはIEでブラウジング中に、次のようなエラーが表示されることがあります。このような場合は、 潜在的に望ましくないプログラム（PUP）、攻撃的な拡張機能、または実行可能ファイルを悪用して DLL をロードするトロイの木馬です。

やってはいけないこと：rundll32.exeを削除する

なくす rundll32.exe de システム32/SysWOW64 それはオプションではありません。ファイルです Windowsにとって重要削除すると、基本機能が壊れたり、クラッシュが発生したり、システムが必要なコンポーネントを読み込めなくなったりする可能性があります。

rundll32が「すべきでない」ことをしていると思われる場合、賢明な対応は どのプロセスまたはタスクがそれを呼び出しているか調べる それを排除するには、タスクを無効にするか削除し、問題のあるプログラムをアンインストールし、DLL をクリーンアップし、優れたマルウェア対策で保護を強化します。

インスタンスが悪意のあるものであるかどうかを確認する方法

これらのチェックは、不安を抱かせたりシステムに損害を与えたりすることなく、正当な使用と悪意のある使用を区別するのに役立ちます。しかし、 不安な場合は、助けを求めた方が良いでしょう。 専門家または専門コミュニティへ。

• ルートを確認する: タスクマネージャーで「コマンドライン」列を追加するか、プロセスの「プロパティ」を開きます。 rundll32.exe それはない C:\Windows\System32 o C:\Windows\SysWOW64、悪い兆候です。
• 何をチェックするか DLLを読み込んでいます: rundll32 の後には通常、DLLとエクスポートされた関数へのパスが続きます。 C:\ProgramData\... o C:\Users\...\AppData\... 審査が必要です。 cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue 明らかに怪しい。
• チェックしてください タスクスケジューラ: 最近実行したタスク、または難読化された名前でrundll32を呼び出すタスクを検索します。Microsoftの正規のパスは次のように使用できます。 ファサード 不適切な DLL をロードします。
• 起こる マイクロソフトディフェンダー または信頼できるマルウェア対策: 最新の署名を使用した完全スキャンにより、rundll32 に付随するほとんどの PUP、アドウェア、スパイウェア、トロイの木馬が検出されます。
• 監査 ブラウザ拡張機能: 必須でないものはアンインストールします。特に、VPN プロキシ拡張機能、ダウンローダー、広告が含まれることが多い「アンブロッカー」などです。
• 次のような診断ツールを使用する プロセスエクスプローラー を見るために 親プロセス (親プロセス) は、rundll32 と実行可能ファイルのデジタル署名を呼び出します。 マイクロソフトの署名 System32/SysWOW64 では正常ですが、Windows 外部のスロットでは奇妙なことになります。

清掃と予防対策

最初の層は常識です。 使用していないソフトウェアやアドウェアに感染しやすいソフトウェアをアンインストールする徹底的な掃除のために、多くのガイドでは Revoアンインストーラー 詳細モードでは、「DuvApp」や侵入的な「最適化」スイートなどの PUP の残り (フォルダー、レジストリ キー) を削除します。

次に、 Microsoft Defenderによるフルスキャン また、適切と思われる場合は、実績のあるマルウェア対策ソフトを追加してください。これにより、rundll32に依存する悪質なDLLやスケジュールされたタスクを見つけることができます。 黙って粘り強く.

プロのクリーニングでは、レジストリのバックアップ（DelFixなど）や カスタムスクリプト FRST（Farbar）を使用してポリシーを修復したり、タスクを削除したり、使用中のDLLのブロックを解除したりします。これらのスクリプトは 各チームに合わせて: 自分の Windows が壊れる可能性があるため、他の人の Windows を再利用しないでください。

これらのスクリプトの一般的なアクションには、ネットワークとファイアウォールのリセット（ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset）、プロセスを閉じる、 フォルダを削除する en ProgramData/AppData PUPにリンクされ、DLLをロードするスケジュールされたタスクをクリーンアップします。 rundll32.exeもう一度言いますが、専門家の手に委ねたほうがより良いのです。

将来のリスクを最小限に抑えるには、Windowsとアプリを 常に最新公式サイトからソフトウェアをダウンロードし、「高速」インストールで追加コンポーネントのチェックを外し、システム実行ファイルには注意しましょう。 標準ルート.

場所と関連ファイルに関するさらなる手がかり

System32とSysWOW64に加えて、リソースファイルも表示されます。 ムイ 言語フォルダ内のrundll32の en-US o pl-PL実行可能ではありませんが、 ローカリゼーションリソース. 「rundll32」を参照 .exe エクスプローラーでは、 拡張機能を非表示にする 既知のファイルから。

疑わしいインスタンスが表示されなくなり、問題（例： 二重チルダ キーボード上の）が消えたら、問題のある部分が 他の場所 ランチャーとしてrundll32を使用しました。再び表示されたら、タスク、拡張機能、接続されたDLLを確認します。

高度な支援を求めるべきタイミング

拡張機能をクリーンアップし、PUPをアンインストールし、マルウェア対策ソフトを実行した後でも、rundll32が起動しているのがわかる場合は、 奇妙なルート、またはクリップボードの改ざん、悪意のある USB ショートカット、キーボードの「不具合」などの症状に気付いた場合は、そのまま放置しないでください。 専門的なサポートによる相談修復スクリプトが必要になることが多い カスタム プレイするチームのために 登録、タスク、ポリシー 外科的に。

覚えておいてください：すべてのコンピュータはそれ自体が世界です。別のマシン用に設計されたスクリプト（例えば、 TreeCenter\BortValue または特定のDLL）を実行すると、 不安定なままにしておく高度なクリーニングはコピー＆ペーストではなく、 個別診断.

よくある質問

• rundll32.exe を削除できますか? いいえ。これはシステムの必須コンポーネントです。正しい方法は、それを悪用するトリガー（タスク、プログラム、DLL）を削除することです。
• なぜ複数のインスタンスが存在するのでしょうか? 異なるシステム機能やサードパーティ製アプリが並行して起動するためです。低消費電力で複数のインスタンスが動作するのは正常です。
• それはどこにあるべきでしょうか? En C:\Windows\System32 私 C:\Windows\SysWOW64、言語サブフォルダにMUIファイルがあります。Windows以外では、注意が必要です。
• ウイルス対策ソフトでは検出できないのでしょうか？ 特にPUPやアドウェアの場合、このような事態が発生することがあります。しかし、Microsoft Defenderとフルスキャンでほとんどの不正行為を検出できる場合が多く、信頼できる別のソリューションで補完することも可能です。
• 何か異常なことが起きていることを示す明白な兆候は何でしょうか? DLLの外部パス（ProgramData, AppData）、クリップボードの奇妙な文字列、USB上の悪意のあるショートカット、ブロックするチルダ、およびスケジュールされたタスク rundll32.exe 難読化された DLL を使用します。

要約すれば、 rundll32.exeは合法かつ必要なツールです これは、その性質上、アドウェアやトロイの木馬によって悪用され、不要なDLLを実行する可能性があります。実行ファイルを非難したり削除したりする前に、 インスタンスパス読み込まれているDLLとそれを実行しているDLLを特定し、PUPをアンインストールし、拡張機能をクリーンアップし、スケジュールされたタスクを確認し、優れたマルウェア対策プログラムを実行してください。これらの対策と、必要に応じて高度なサポートを受けることで、 安定性を損なうことなく虐待に対処する Windows の。