rundll32.exe는 무엇이고, 합법적인 맬웨어인지 위장된 맬웨어인지 어떻게 구별하나요?

마주쳤다면 rundll32.exe 작업 관리자에서 이게 뭔지 궁금해하는 사람은 당신뿐이 아닙니다. 이 실행 파일은 자주 나타나며, 때로는 여러 번 동시에 나타납니다. 기본적으로 침입자가 아닙니다, Windows 자체의 일부이며 그 목적은 Windows에서 호스팅되는 함수를 로드하고 실행하는 것입니다. dll 파일.

합법적이라고 해서 악의적으로 사용될 수 없다는 뜻은 아닙니다. 일부 잠재적으로 원치 않는 프로그램과 악성코드는 이름이나 그들은 악성 코드를 실행하기 위해 실제 rundll32를 악용합니다.다음 글에서는 그것이 정확히 무엇인지, 어디에 있어야 하는지, 왜 오류가 발생하거나 CPU를 소모하는지, 좋은 것과 나쁜 것을 구별하는 방법, 그리고 시스템을 망치지 않고 취해야 할 조치에 대해 자세히 설명하겠습니다.

rundll32.exe는 무엇이고, 어떤 용도로 사용되나요?

파일 rundll32.exe 이는 Windows의 기본 구성 요소로 사용됩니다. 동적 연결 라이브러리(DLL)에서 내보낸 함수 호출간단히 말해서, 시스템이나 앱이 DLL에 있는 함수를 실행해야 할 때 rundll32를 통해 해당 함수를 호출할 수 있습니다.

DLL은 많은 프로그램이 공유하는 재사용 가능한 코드 블록을 캡슐화합니다. 네트워크, 오디오, 비디오 또는 인터페이스 작업 사용자가 상호 작용하는 대상입니다. 일반적인 Windows 설치 환경(7, 10, 11 등)에는 수천 개의 DLL이 존재하며, rundll32는 이러한 DLL을 조정하는 데 핵심적인 역할을 합니다.

합법적인 사본을 찾는 방법과 인식하는 방법

건강한 시스템에서는 합법적인 사본을 볼 수 있습니다. rundll32.exe 다음과 같은 노선에서 C : \ WINDOWS \ System32 (64비트 환경) 및 C : \ Windows \ SysWOW64 (x32 시스템에서 64비트 호환성). 또한 다음이 있을 수 있습니다. MUI 파일 하위 폴더의 관련 언어 리소스 en-US o pl-PL예를 들어 C:\Windows\System32\en-US\rundll32.exe.mui.

그가 도망가는 것을 발견하면 Windows 디렉터리 외부의 폴더 (예를 들어, AppData, ProgramData 또는 임시 디렉터리)에 주의하십시오. 맬웨어는 동일한 이름을 사용하여 자신을 위장하지만 다른 위치에서 실행되는 경우가 많습니다. 합법적인 절차를 방해하다.

바이러스인가요? 맬웨어가 이를 어떻게 악용하나요?

짧은 대답 : 아니. Rundll32.exe 바이러스가 아니라 Windows 자체 도구장기적으로 보면, 두 가지 전형적인 함정이 있습니다. 첫째, 같은 이름의 악성 프로그램이 다른 경로에 존재합니다. 둘째, 트로이 목마는 진짜 rundll32를 통해 악성 DLL을 로드합니다. 따라서 보이는 프로세스는 Microsoft의 프로세스이지만, 악성 라이브러리를 실행 중입니다.

위협 기록에는 rundll32를 사용하는 패밀리가 언급되어 있습니다. 백도어.W32.랭키 o W32.미루트.웜. 그리고 더 평범한 애드웨어나 침입형 브라우저 확장 프로그램은 이를 사용하여 작업을 시작합니다. 팝업, 리디렉션 및 CPU 사용량이것이 많은 사용자가 rundll32를 "바이러스"라고 믿는 이유 중 하나입니다.

• 눈치 채면 과도한 광고 또는 중간 창에 rundll32에 의존하는 애드웨어가 있을 수 있습니다.
• 라스 이상한 웹사이트로 리디렉션됨 브라우저 속도 저하도 PUP/스파이웨어와 관련이 있습니다.
• 시스템은 게으르게 되다 의심스러운 DLL을 사용하여 rundll32를 트리거하는 프로세스에 의해 발생합니다.

여러 인스턴스와 오류 메시지가 나타나는 이유는 무엇입니까?

그 작업 관리자에 여러 인스턴스가 표시됩니다. 이는 정상적인 현상입니다. 여러 시스템 구성 요소나 타사 앱이 동시에 이 기능을 실행할 수 있습니다. Windows는 작업을 분산시키기 때문에 백그라운드에서 진행되는 작업에 따라 여러 개의 rundll32가 병렬로 실행되는 것을 볼 수 있습니다.

정상적이지 않은 것은 지속적인 CPU 스파이크나 다음과 같은 메시지를 보는 것입니다. “오류 코드: rundll32.exe” Chrome, Edge, Firefox 또는 IE에서 웹 브라우징하는 동안. 이러한 시나리오에서는 다음을 의심하는 것이 좋습니다. 잠재적으로 원치 않는 프로그램(PUP)실행 파일을 악용하여 DLL을 로드하는 공격적인 확장 프로그램이나 트로이 목마.

하지 말아야 할 일: rundll32.exe를 삭제하세요

제거 rundll32.exe de 시스템32/SysWOW64 선택 사항이 아닙니다. 파일입니다. Windows에 중요함삭제하면 기본 기능이 손상되거나 충돌이 발생하거나 시스템이 필요한 구성 요소를 로드하지 못할 수 있습니다.

rundll32가 "해서는 안 될 일"을 하고 있다고 생각한다면 현명한 대처 방법은 다음과 같습니다. 어떤 프로세스나 작업이 호출하는지 알아보세요 해결 방법: 작업을 비활성화하거나 삭제하고, 문제가 있는 프로그램을 제거하고, DLL을 정리하고, 우수한 맬웨어 방지 프로그램으로 보호 기능을 강화하세요.

인스턴스가 악성인지 확인하는 방법

이러한 검사는 불필요한 우려를 불러일으키거나 시스템을 손상시키지 않고도 합법적인 사용과 악의적인 사용을 구별하는 데 도움이 됩니다. 그럼에도 불구하고, 만약 불편하다면, 도움을 요청하는 것이 좋습니다. 전문가 또는 특수 커뮤니티에.

• 경로를 확인하세요: 작업 관리자에서 "명령줄" 열을 추가하거나 프로세스의 "속성"을 엽니다. rundll32.exe 안에 없다 C:\Windows\System32 o C:\Windows\SysWOW64, 나쁜 징조.
• 무엇을 확인 DLL이 로딩 중입니다: rundll32 뒤에는 일반적으로 DLL 경로와 내보낸 함수 경로가 옵니다. 다음과 같은 경로가 있습니다. C:\ProgramData\... o C:\Users\...\AppData\... 검토가 필요합니다. 예: cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue 분명 의심스럽다.
• 체크 작업 스케줄러: rundll32를 호출하는 최근 작업이나 난독화된 이름을 가진 작업을 검색합니다. Microsoft에서 허용하는 합법적인 경로는 다음과 같이 사용할 수 있습니다. 정면 부적절한 DLL을 로드합니다.
• 파사 마이크로 소프트 수비수 또는 신뢰할 수 있는 맬웨어 방지 프로그램을 사용하세요. 최신 서명을 사용한 전체 검사를 통해 rundll32에 첨부되는 대부분의 PUP, 애드웨어, 스파이웨어 및 트로이 목마를 감지할 수 있습니다.
• 심사 브라우저 확장: 필수적이지 않은 모든 것을 제거하세요. 특히 광고가 포함된 VPN 프록시 확장 프로그램, 다운로더 또는 "차단 해제 프로그램"을 제거하세요.
• 다음과 같은 진단 도구를 사용하세요. 프로세스 탐색기 볼 상위 프로세스 (부모 프로세스) rundll32와 실행 파일의 디지털 서명을 호출합니다. Microsoft의 서명 System32/SysWOW64에서는 정상입니다. 이상한 점은 Windows 외부에서 슬롯이 실행된다는 것입니다.

청소 및 예방 조치

첫 번째 계층은 상식입니다. 사용하지 않거나 애드웨어가 설치되기 쉬운 소프트웨어를 제거하세요.. 철저한 세척을 위해 많은 가이드가 권장합니다. 레보 설치 제거 고급 모드에서 "DuvApp"과 같은 PUP나 방해가 되는 "최적화" 제품군의 잔여물(폴더, 레지스트리 키)을 제거합니다.

그런 다음 다음을 실행합니다. Microsoft Defender로 전체 검사 그리고 적절하다고 생각된다면, 검증된 평판을 가진 추가 맬웨어 방지 프로그램을 사용하세요. 이는 rundll32에 의존하는 악성 DLL과 예약된 작업을 찾아내는 데 도움이 됩니다. 조용히 지속하다.

전문적인 청소에서는 레지스트리 백업(예: DelFix 사용)과 사용에 대한 언급을 볼 수 있습니다. 사용자 정의 스크립트 FRST(Farbar)를 사용하여 정책 복구, 작업 삭제, 사용 중인 DLL 차단 해제 등을 수행합니다. 해당 스크립트는 다음과 같습니다. 각 팀에 맞게 맞춤화: 다른 사람의 컴퓨터를 재사용하지 마세요. 자신의 컴퓨터 Windows가 망가질 수 있습니다.

이러한 스크립트에 대한 일반적인 작업에는 네트워크 및 방화벽 재설정이 포함됩니다.ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), 프로세스를 닫습니다. 폴더 삭제 en ProgramData/AppData PUP에 연결하고 DLL을 로드하는 예약된 작업을 정리합니다. rundll32.exe. 다시 말해, 전문가의 손에 맡기면 더 좋습니다.

향후 위험을 최소화하려면 Windows와 앱을 유지하세요. 항상 업데이트공식 사이트에서 소프트웨어를 다운로드하고 "빠른" 설치에서 추가 구성 요소를 선택 취소하고 시스템 실행 파일 외부에 나타나는 모든 시스템 실행 파일을 의심하십시오. 표준 경로.

위치 및 관련 파일에 대한 추가 단서

System32 및 SysWOW64 외에도 리소스 파일이 표시됩니다. MUI 언어 폴더의 rundll32와 같은 en-US o pl-PL. 실행 가능하지 않지만 현지화 리소스. "rundll32"를 참조하십시오. .exe Explorer에서 다음과 같은 문제가 발생할 수 있습니다. 확장 프로그램 숨기기 알려진 파일에서.

의심스러운 인스턴스가 더 이상 나타나지 않고 문제가 해결되지 않으면(예: 이중 악센트 키보드에서)가 사라지면 문제가 있는 부분이 사라졌다는 신호입니다. 다른 곳 rundll32를 런처로 사용했습니다. 다시 나타나면 작업, 확장 프로그램, 그리고 연결된 DLL을 살펴볼 차례입니다.

사전 도움을 요청해야 할 때

확장 프로그램을 정리하고 PUP를 제거하고 맬웨어 방지 프로그램을 실행한 후에도 여전히 rundll32가 실행 중인 것으로 표시되는 경우 이상한 경로또는 변조된 클립보드, 악성 USB 바로 가기 및 "불구가 된" 키보드와 같은 증상이 나타나면 그대로 두지 마십시오. 전문 지원과의 상담. 수리 스크립트가 종종 필요합니다. 관습 당신의 팀을 위해 등록, 작업 및 정책 수술적으로.

기억하세요: 모든 컴퓨터는 그 자체로 하나의 세계입니다. 다른 컴퓨터를 위해 설계된 스크립트(예: 폴더에 대한 참조 포함) TreeCenter\BortValue 또는 특정 DLL)이 귀하의 시스템에서 실행될 수 있습니다. 불안정하게 두다. 고급 청소는 복사-붙여넣기가 아닙니다. 개별 진단.

Preguntas frecuentes

• rundll32.exe를 제거할 수 있나요? 아니요. 시스템의 필수 구성 요소입니다. 올바른 방법은 이를 악용하는 트리거(작업, 프로그램, DLL)를 제거하는 것입니다.
• 왜 여러 개의 인스턴스가 있나요? 다양한 시스템 기능과 타사 앱이 병렬로 호출하기 때문입니다. 전력 소모가 적고 여러 인스턴스가 동시에 실행되는 것은 정상입니다.
• 어디에 있어야 할까요? En C:\Windows\System32 및 / 또는 C:\Windows\SysWOW64, 언어 하위 폴더에 MUI 파일이 있습니다. Windows 외부에서는 의심하세요.
• 바이러스 백신이 이를 감지하지 못할 수 있나요? 특히 PUP와 애드웨어의 경우 발생할 수 있습니다. 하지만 Microsoft Defender와 전체 검사를 통해 대부분의 악용 사례를 파악할 수 있으며, 다른 신뢰할 수 있는 솔루션으로 보완할 수 있습니다.
• 뭔가 이상한 일이 일어났다는 확실한 징후는 무엇인가? DLL에 대한 외부 경로(ProgramData, AppData), 클립보드의 이상한 문자열, USB의 악성 바로가기, 틸드 차단 및 호출하는 예약된 작업 rundll32.exe 난독화된 DLL을 사용하여.

요약하면, rundll32.exe는 합법적이고 필요한 도구입니다 이 파일은 본질적으로 애드웨어와 트로이 목마에 의해 악용되어 원치 않는 DLL을 실행할 수 있습니다. 실행 파일을 비난하거나 삭제하기 전에 다음을 확인하세요. 인스턴스 경로어떤 DLL이 로드되고 누가 호출하는지 파악하고, PUP를 제거하고, 확장 프로그램을 정리하고, 예약된 작업을 확인하고, 효과적인 맬웨어 방지 프로그램을 실행하세요. 이러한 조치를 취하고 필요한 경우 고급 지원을 활용하면 다음과 같은 이점을 얻을 수 있습니다. 안정성을 해치지 않고 남용 문제 해결 당신의 Windows.