Was ist der Rundll32.exe-Prozess? Ist es eine Malware?

Wenn Sie den Task-Manager öffnen, wird möglicherweise der Eintrag Rundll32.exe auf der Registerkarte Prozesse angezeigt. Möglicherweise tritt bei jedem Start oder beim Herunterfahren auch ein rundll32.exe-Fehler auf. Viele Benutzer fragen sich, ob rundll32.exe ein Virus ist. Wenn nicht, was genau macht rundll32.exe im System?

Was ist rundll32.exe? Ist es ein Virus?

Rundll32.exe, die sich im Ordner Windows\System32 befindet, ist eine legitime Windows-Systemdatei. Es ist kein Virus!

Wenn sich die Datei jedoch in einem Ordner außerhalb Ihres Windows\System32 Verzeichnisses befindet, handelt es sich möglicherweise um eine gefälschte Datei oder sogar um Malware.

Was macht rundll32.exe?

Rundll32.exe ist eine Systemdatei, die eine DLL ausführt. Eine DLL kann optional eine Einstiegspunktfunktion angeben. Um die DLL auszuführen, die einen Einstiegspunkt angibt, wird rundll32.exe verwendet. Die Befehlszeilensyntax für Rundll32 lautet wie folgt:

 rundll32.exe, 

Warum werden im Task-Manager mehrere rundll32.exe-Einträge angezeigt?

Für jeden im Task-Manager angezeigten Eintrag rundll32.exe wird möglicherweise ein anderes Programm (DLL) ausgeführt.

Angenommen, Sie öffnen ein Applet in der Systemsteuerung, z. B. Indizierungsoptionen. Wenn Sie das klassische Applet "Indizierungsoptionen" in der Systemsteuerung öffnen, führt Windows diesen Befehl tatsächlich hinter der Haube aus:

 rundll32.exe C: \ WINDOWS \ system32 \ shell32.dll, Control_RunDLL C: \ WINDOWS \ System32 \ srchadmin.dll 

Ebenso können andere Applets ausgeführt werden, die rundll32.exe verwenden.

Ein weiteres Beispiel wäre das Sound-Applet in der Systemsteuerung. Die vollständige Befehlszeile zum Öffnen des Sound-Applets lautet:

 rundll32.exe C: \ WINDOWS \ System32 \ shell32.dll, Control_RunDLL C: \ WINDOWS \ System32 \ mmsys.cpl 

Für das Applet "Systemsteuerung für Uhrzeit und Datum" wird die Befehlszeile "rundll32.exe" verwendet:

 rundll32.exe Shell32.dll, Control_RunDLL "C: \ WINDOWS \ system32 \ timedate.cpl" 

Woher wissen Sie, welche Datei der Rundll32.exe-Prozess ausführt?

Mit dem Task-Manager können Sie die vollständige Befehlszeile jedes Rundll32.exe-Prozesses anzeigen. Sie können den Task-Manager so konfigurieren, dass Befehlsspalten- und Bildpfadnamensspalten in den Prozessen sowie in der Detailansicht angezeigt werden.

Hinweis: Der Task-Manager mit seinen Standardeinstellungen zeigt nur die Prozessnamen, ihre ID und andere Elemente an, nicht jedoch die vollständigen Befehlszeilenargumente der einzelnen Prozesse.

Möglicherweise wird in den Argumenten ein Eintrag wie unten ohne DLL-Dateinamen angezeigt. Einige Benutzer haben angegeben, dass es sich um Groove Music in Windows 10 handelt.

 "C: \ Windows \ system32 \ rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617 

Befehlszeile verwenden

Führen Sie diesen Befehl in einem Eingabeaufforderungsfenster aus, um die Liste der rundll32.exe-Prozesse zusammen mit der Befehlszeile und der Prozess-ID anzuzeigen:

 WMIC PROCESS WHERE Name = "rundll32.exe" Untertitel, Befehlszeile, Prozess-ID / Format: Liste abrufen 

Führen Sie den obigen Befehl an der Eingabeaufforderung admin aus, um Prozesse anzuzeigen, die unter dem Administrator-Token ausgeführt werden.

Beispielausgabe

 Caption = rundll32.exe CommandLine = "C: \ WINDOWS \ system32 \ rundll32.exe" C: \ WINDOWS \ system32 \ shell32.dll, Control_RunDLL C: \ WINDOWS \ System32 \ srchadmin.dll, ProcessId = 11404 Caption = rundll32.exe CommandLine = "C: \ WINDOWS \ system32 \ rundll32.exe" Shell32.dll, Control_RunDLL "C: \ WINDOWS \ system32 \ timedate.cpl" ProcessId = 10580 

Liste der vom RunDll32.exe-Prozess verwendeten Module

Öffnen Sie ein Eingabeaufforderungsfenster und führen Sie den folgenden Befehl aus, um die Liste der Module anzuzeigen, die von jeder Instanz von rundll32.exe verwendet werden:

 Aufgabenliste / m / fi "IMAGENAME eq rundll32.exe" 

Sie sehen eine Ausgabe wie folgt:

Vorsichtsmaßnahmen bezüglich Rundll32.exe

Sie sollten in Bezug auf die folgenden Dinge auf Ihrem System misstrauisch sein:

  • Wenn sich der Dateiname der Datei Rundll32.exe an einem anderen Ort außerhalb des Windows-Verzeichnisses befindet, kann es sich um einen Virus handeln.
  • Überprüfen Sie den Task-Manager, was ein Rundll32.exe-Prozess ausführt. In kompromittierten Systemen werden höchstwahrscheinlich ein oder mehrere Rundll32.exe-Prozesse angezeigt, auf denen unerwünschte Malware-DLL-Dateien ausgeführt werden, die wahrscheinlich als Starteinträge gestartet wurden.

    Kurz gesagt, notieren Sie sich die Befehlszeilenargumente der Rundll32.exe-Einträge im Task-Manager, dh die DLL, die von Rundll32.exe ausgeführt wird.

VERBINDUNG: Wie behebe ich Rundll32- oder RunDll-Fehler beim Start?

Ähnlicher Artikel