Wat is rundll32.exe, locaties en tekenen van malware

Rundll32.exe is legitiem: het laadt DLL-functies voor Windows en apps.
De geldige locatie is System32/SysWOW64. Buiten deze locatie moet u op uw hoede zijn.
Malware kan zichzelf vermommen of rundll32 gebruiken om DLL's te starten.
Verwijder het niet: identificeer de schadelijke taken/DLL's en gebruik antimalware.

Als je het bent tegengekomen rundll32.exe in Taakbeheer en u vraagt zich af wat het is? U bent niet de enige: dit uitvoerbare bestand verschijnt regelmatig, soms in meerdere instanties tegelijk. Verre van een standaard indringer te zijn, is onderdeel van Windows zelf en heeft als doel om functies te laden en uit te voeren die gehost worden in DLL-bestanden.

Maar alleen omdat het legitiem is, wil nog niet zeggen dat het niet kwaadaardig gebruikt kan worden. Sommige potentieel ongewenste programma's en malware camoufleren zichzelf met hun naam of Ze misbruiken de echte rundll32 om schadelijke code te lanceren.In de volgende regels leg ik u precies uit wat het is, waar het zou moeten zijn, waarom het fouten kan geven of CPU-gebruik kan veroorzaken, hoe u onderscheid kunt maken tussen goed en slecht en welke stappen u kunt nemen zonder uw systeem te beschadigen.

Wat is rundll32.exe en waarvoor wordt het gebruikt?

Rundll32.exe-proces voert DLL uit

Het bestand rundll32.exe Het is een native Windows-component die wordt gebruikt om functies aanroepen die zijn geëxporteerd uit dynamische koppelingsbibliotheken (DLL's)In gewoon Nederlands: wanneer het systeem of een app een functie moet uitvoeren die zich in een DLL bevindt, kan deze via rundll32 worden aangeroepen.

DLL's kapselen blokken herbruikbare code in die veel programma's delen, van netwerk-, audio-, video- of interfacetaken waarmee u communiceert. Daarom zijn er in typische Windows-installaties (7, 10, 11, enz.) duizenden DLL's, en rundll32 is essentieel voor de orkestratie ervan.

Waar u een legitieme kopie kunt vinden en herkennen

In een gezond systeem zul je legitieme kopieën van rundll32.exe op routes zoals C:\Windows\System32 (64-bitsomgeving) en C:\Windows\SysWOW64 (32-bits compatibiliteit op x64-systemen). Er kan ook MUI-bestanden van bijbehorende taalbronnen in submappen zoals en-US o pl-PL, Bijvoorbeeld C:\Windows\System32\en-US\rundll32.exe.mui.

Als je hem ziet wegrennen mappen buiten de Windows-map (bijvoorbeeld in AppData, ProgramData of een tijdelijke map), wees voorzichtig. Het komt vaak voor dat malware zich vermomt met dezelfde naam, maar vanaf een andere locatie wordt uitgevoerd om inmenging in legitieme processen.

Is het een virus? Hoe malware het misbruikt

Het korte antwoord: Nee. Rundll32.exe Het is geen virus, het is een Windows' eigen toolOp de lange termijn: er zijn twee typische valkuilen. Ten eerste bevindt een kwaadaardig programma met dezelfde naam zich in een ander pad. Ten tweede laadt een Trojaans paard zijn schadelijke DLL via de authentieke rundll32, dus het proces dat u ziet is van Microsoft, maar draait een kwaadaardige bibliotheek.

Exclusieve inhoud - Klik hier Hoe weet je wie er achter een nepprofiel zit?

In de geschiedenis van de bedreigingen worden families genoemd die rundll32 gebruiken, zoals Achterdeur.W32.Ranky o W32.Miroot.WormEn, meer alledaags, adware of opdringerige browserextensies gebruiken het om taken te starten die eindigen in Pop-ups, omleidingen en CPU-gebruikDat is een van de redenen waarom veel gebruikers denken dat rundll32 "een virus" is.

Als je merkt overmaat aan advertenties of tussenliggende vensters, kan er adware zijn die afhankelijk is van rundll32.
De doorverwijzingen naar vreemde websites en vertraging van de browser kan ook te maken hebben met PUP's/spyware.
Het systeem kan lui worden door processen die rundll32 activeren met verdachte DLL's.

Waarom zie ik meerdere instanties en foutmeldingen?

Dat de Taakbeheer toont meerdere instanties Dit is normaal: verschillende systeemcomponenten of apps van derden kunnen het tegelijkertijd aanroepen. Windows verdeelt taken en u zult meerdere rundll32's parallel zien draaien, afhankelijk van wat er op de achtergrond gebeurt.

Wat niet normaal is, is het zien van constante CPU-pieken of berichten zoals “Foutcode: rundll32.exe” tijdens het browsen in Chrome, Edge, Firefox of IE. In deze scenario's is het raadzaam om te vermoeden potentieel ongewenste programma's (PUP's), agressieve extensies of een Trojaans paard dat het uitvoerbare bestand misbruikt om zijn eigen DLL te laden.

Wat u niet moet doen: rundll32.exe verwijderen

Elimineren rundll32.exe de Systeem32/SysWOW64 Het is geen optie: het is een bestand cruciaal voor WindowsAls u deze verwijdert, kunnen basisfuncties niet meer werken, kunnen er crashes optreden of kan het systeem de benodigde componenten niet meer laden.

Als je denkt dat rundll32 “iets doet wat het niet zou moeten doen”, is het verstandig om te doen: ontdek welk proces of welke taak het aanroept en stop ermee: schakel de taak uit of verwijder deze, verwijder het problematische programma, maak de DLL schoon en versterk de bescherming met een goede anti-malwareoplossing.

onzichtbare malware

Hoe u kunt controleren of het exemplaar schadelijk is

Deze controles helpen u om legitiem gebruik te onderscheiden van kwaadaardig gebruik zonder paniek te veroorzaken of het systeem te beschadigen. Als je je er niet prettig bij voelt, kun je beter om hulp vragen. aan een professionele of gespecialiseerde gemeenschap.

Controleer de route: Voeg in Taakbeheer de kolom 'Opdrachtregel' toe of open de 'Eigenschappen' van het proces. Als rundll32.exe Het zit er niet in C:\Windows\System32 o C:\Windows\SysWOW64, een slecht teken.
Controleer wat DLL wordt geladen: rundll32 wordt meestal gevolgd door het pad naar een DLL en een geëxporteerde functie. Paden zoals C:\ProgramData\... o C:\Users\...\AppData\... vereisen herziening. Het voorbeeld van cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue is duidelijk verdacht.
Controleer de Taakplanner: Zoek naar recente taken of taken met verhulde namen die rundll32 aanroepen. Legitieme paden onder Microsoft kunnen worden gebruikt als facade om onjuiste DLL's te laden.
Gebeurt Microsoft Defender of een betrouwbare anti-malware: een volledige scan met actuele virusdefinities detecteert de meeste PUP's, adware, spyware en Trojaanse paarden die zich aan rundll32 hechten.
Audit browserextensies: Verwijder alles wat niet essentieel is, vooral VPN-proxy-extensies, downloaders of 'unblockers' die vaak advertenties bevatten.
Gebruik diagnostische hulpmiddelen zoals Process Explorer om te zien ouderproces (bovenliggend proces) dat rundll32 en de digitale handtekening van het uitvoerbare bestand aanroept. De handtekening van Microsoft in System32/SysWOW64 is dit normaal; het vreemde is dat er slots buiten Windows zijn.

Exclusieve inhoud - Klik hier AdGuard DNS vs NextDNS: volledige vergelijking en keuzegids

Reinigings- en preventiemaatregelen

De eerste laag is gezond verstand: Verwijder software die u niet gebruikt of die gevoelig is voor adwareVoor een grondige reiniging raden veel gidsen aan Revo Uninstaller in de geavanceerde modus om restanten (mappen, registersleutels) van PUP's zoals "DuvApp" of opdringerige "optimalisatie"-suites te verwijderen.

Voer dan een volledige scan met Microsoft Defender en, indien u dat gepast acht, een extra anti-malwareprogramma met een bewezen reputatie. Dit helpt bij het opsporen van kwaadaardige DLL's en geplande taken die afhankelijk zijn van rundll32. stilzwijgend volharden.

Bij professionele reiniging zie je vaak dat er sprake is van registerback-ups (bijvoorbeeld met DelFix) en het gebruik van aangepaste scripts met FRST (Farbar) om beleid te repareren, taken te verwijderen, DLL's in gebruik te deblokkeren, enz. Deze scripts zijn op maat van elk team: Gebruik geen bestanden van anderen opnieuw, want hierdoor kan uw Windows kapotgaan.

Veelvoorkomende acties voor deze scripts zijn onder meer het opnieuw instellen van het netwerk en de firewall (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), sluit processen, mappen verwijderen en ProgramData/AppData gekoppeld aan PUP's en het opruimen van geplande taken die DLL's laden met behulp van rundll32.exeNogmaals: beter in deskundige handen.

Om toekomstige risico's te minimaliseren, moet u Windows en uw apps behouden altijd actueel, download software van officiële sites, schakel extra componenten uit in 'express'-installaties en wees achterdochtig over elk uitvoerbaar systeembestand dat buiten de standaardroutes.

Meer aanwijzingen over locaties en gerelateerde bestanden

Naast System32 en SysWOW64 ziet u resourcebestanden MUI van rundll32 in taalmappen zoals en-US o pl-PLZe zijn niet uitvoerbaar, maar lokalisatiebronnenZie “rundll32” zonder .exe in de Explorer kan te wijten zijn aan verberg de extensies van bekende bestanden.

Exclusieve inhoud - Klik hier Leer hoe je malware kunt detecteren en jezelf kunt beschermen.

Als een verdacht exemplaar niet meer verschijnt en uw probleem (bijvoorbeeld de dubbele tilde (op het toetsenbord) verdwijnt, is het een teken dat het problematische stuk is elders en gebruikte rundll32 als launcher. Wanneer het weer verschijnt, is het tijd om de taken, extensies en verbonden DLL's te bekijken.

Wanneer u om geavanceerde hulp moet vragen

Als u na het opschonen van extensies, het verwijderen van PUP's en het uitvoeren van antimalware nog steeds ziet dat rundll32 wordt gestart vanuit vreemde routes, of als u symptomen opmerkt zoals een geknoeid klembord, kwaadaardige USB-snelkoppelingen en een "kreupel" toetsenbord, laat het dan niet liggen: overleg met gespecialiseerde ondersteuning. Vaak is een reparatiescript vereist aangepast voor je team dat speelt registratie, taken en beleid operatief.

Onthoud: elke computer is een wereld op zich. Een script dat ontworpen is voor een andere machine (met verwijzingen naar mappen zoals TreeCenter\BortValue of specifieke DLL's) die op de uwe worden uitgevoerd, kunnen laat het onstabielGeavanceerde reiniging is geen kopiëren en plakken, het is individuele diagnose.

Veelgestelde vragen

Kan ik rundll32.exe verwijderen? Nee. Het is een essentieel onderdeel van het systeem. De juiste manier is om de trigger (taak, programma, DLL) die er misbruik van maakt, te verwijderen.
Waarom zijn er meerdere instanties? Omdat verschillende systeemfuncties en apps van derden het parallel aanroepen. Meerdere instanties, met een laag stroomverbruik, zijn normaal.
Waar zou het moeten zijn? En C:\Windows\System32 I C:\Windows\SysWOW64, met zijn MUI-bestanden in taal-submappen. Buiten Windows is het oppassen geblazen.
Kan een antivirusprogramma dit niet detecteren? Het kan gebeuren, vooral met PUP's en adware. Toch identificeren Microsoft Defender en een volledige scan meestal de meeste vormen van misbruik, en je kunt dit aanvullen met een andere betrouwbare oplossing.
Wat zijn de ondubbelzinnige tekenen van iets vreemds? Buitenlandse paden voor de DLL (ProgramData, AppData), vreemde strings in het klembord, kwaadaardige snelkoppelingen op USB, blokkerende tildes en geplande taken die rundll32.exe met verduisterde DLL's.

Samenvattend, rundll32.exe is een legitiem en noodzakelijk hulpmiddel die van nature kan worden misbruikt door adware en Trojaanse paarden om ongewenste DLL's uit te voeren. Voordat u het uitvoerbare bestand de schuld geeft of verwijdert, bekijk dan eerst de instantie pad, welke DLL's er geladen zijn en wie ze aanroept; verwijder PUP's, maak extensies schoon, controleer geplande taken en voer een goed anti-malwareprogramma uit. Met deze maatregelen en door indien nodig toegang te krijgen tot geavanceerde ondersteuning, kunt u het aanpakken van misstanden zonder de stabiliteit in gevaar te brengen van uw Windows-systeem.

Daniel Terrasa

Redacteur gespecialiseerd in technologie- en internetvraagstukken met ruim tien jaar ervaring in verschillende digitale media. Ik heb gewerkt als redacteur en contentmaker voor e-commerce-, communicatie-, online marketing- en reclamebedrijven. Ik heb ook geschreven op websites over economie, financiën en andere sectoren. Mijn werk is ook mijn passie. Nu, via mijn artikelen in Tecnobits, probeer ik al het nieuws en de nieuwe kansen te verkennen die de wereld van de technologie ons elke dag biedt om ons leven te verbeteren.