Quel est Rundll32.exe processus? Est-ce un malware?

Lorsque vous ouvrez le Gestionnaire des tâches, vous pouvez voir l'entrée Rundll32.exe dans l'onglet Processus. Ou, vous pouvez également rencontrer une erreur rundll32.exe à chaque démarrage ou pendant l'arrêt. De nombreux utilisateurs se demandent si rundll32.exe est un virus. Sinon, que fait exactement rundll32.exe dans le système?

Qu'est-ce que Rundll32.exe? Est-ce un virus?

Rundll32.exe, celui situé dans le dossier Windows\System32 est un fichier système Windows légitime. Ce n'est pas un virus!

Mais, si vous avez le fichier dans un dossier en dehors de votre répertoire Windows\System32, il peut s'agir d'un faux fichier ou même d'un malware.

Que fait rundll32.exe?

Rundll32.exe est un fichier système qui exécute une DLL. Une DLL peut éventuellement spécifier une fonction de point d'entrée. Pour exécuter la DLL qui spécifie un point d'entrée, rundll32.exe est utilisé. La syntaxe de ligne de commande pour Rundll32 est la suivante:

 rundll32.exe, 

Pourquoi plusieurs entrées rundll32.exe apparaissent-elles dans le Gestionnaire des tâches?

Chaque entrée rundll32.exe que vous voyez dans le Gestionnaire des tâches peut exécuter un programme différent (DLL).

Disons que vous ouvrez une applet du Panneau de configuration - par exemple, les options d'indexation. Lorsque vous ouvrez l'applet du Panneau de configuration Options d'indexation classique, Windows exécute en fait cette commande derrière le capot:

 rundll32.exe C: \ WINDOWS \ system32 \ shell32.dll, Control_RunDLL C: \ WINDOWS \ System32 \ srchadmin.dll 

De même, il peut y avoir d'autres applets en cours d'exécution, qui utilisent rundll32.exe.

Un autre exemple serait l'applet Sound dans le Panneau de configuration. La ligne de commande complète pour ouvrir l'applet Sound est:

 rundll32.exe C: \ WINDOWS \ System32 \ shell32.dll, Control_RunDLL C: \ WINDOWS \ System32 \ mmsys.cpl 

Pour l'applet du panneau de configuration de l'heure et de la date, voici la ligne de commande rundll32.exe utilisée:

 rundll32.exe Shell32.dll, Control_RunDLL "C: \ WINDOWS \ system32 \ timedate.cpl" 

Comment savoir quel fichier le processus Rundll32.exe est en cours d'exécution?

Vous pouvez voir la ligne de commande complète de chaque processus Rundll32.exe à l'aide du Gestionnaire des tâches. Vous pouvez configurer le Gestionnaire des tâches pour afficher les colonnes de ligne de commande et de nom de chemin d’image dans les processus ainsi que dans la vue Détails.

Remarque: Le Gestionnaire des tâches, avec ses paramètres par défaut, affiche uniquement les noms de processus, leur ID et d'autres éléments, mais pas les arguments de ligne de commande complets de chaque processus.

Vous pouvez voir une entrée comme ci-dessous, sans nom de fichier DLL dans les arguments. Certains utilisateurs ont indiqué qu'il était lié à Groove Music dans Windows 10.

 "C: \ Windows \ system32 \ rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617 

Utilisation de la ligne de commande

Pour afficher la liste des processus rundll32.exe ainsi que la ligne de commande et l'ID de processus, exécutez cette commande dans une fenêtre d'invite de commandes:

 WMIC PROCESS WHERE Name = "rundll32.exe" get Caption, Commandline, Processid / format: list 

Pour afficher les processus exécutés sous le jeton administrateur, exécutez la commande ci-dessus à partir de l'invite de commandes admin.

$config[ads_text6] not found

Exemple de sortie

 Caption = rundll32.exe CommandLine = "C: \ WINDOWS \ system32 \ rundll32.exe" C: \ WINDOWS \ system32 \ shell32.dll, Control_RunDLL C: \ WINDOWS \ System32 \ srchadmin.dll, ProcessId = 11404 Caption = rundll32.exe CommandLine = "C: \ WINDOWS \ system32 \ rundll32.exe" Shell32.dll, Control_RunDLL "C: \ WINDOWS \ system32 \ timedate.cpl" ProcessId = 10580 

Liste des modules utilisés par le processus RunDll32.exe

Pour afficher la liste des modules utilisés par chaque instance de rundll32.exe, ouvrez une fenêtre d'invite de commandes et exécutez cette commande:

 liste des tâches / m / fi "IMAGENAME eq rundll32.exe" 

Vous verrez une sortie comme celle-ci:

Avertissements concernant Rundll32.exe

Vous devez vous méfier des éléments suivants sur votre système:

  • Si le fichier Rundll32.exe, le nom du fichier se trouve dans un autre emplacement en dehors du répertoire Windows, il peut s'agir d'un virus.
  • Soyez conscient de l'exécution d'un processus Rundll32.exe en inspectant le Gestionnaire des tâches. Dans les systèmes compromis, vous verrez très probablement un ou plusieurs processus Rundll32.exe exécutant des fichiers DLL malveillants malveillants, probablement lancés comme entrées de démarrage.

    En bref, notez les arguments de ligne de commande des entrées Rundll32.exe dans le Gestionnaire des tâches, c'est-à-dire la DLL qui est exécutée par Rundll32.exe.

CONNEXES: Comment corriger les erreurs Rundll32 ou RunDll au démarrage?

Articles Connexes