Was ist der Rundll32.exe-Prozess? Ist es eine Malware?

Wenn Sie den Task-Manager öffnen, sehen Sie möglicherweise den Eintrag Rundll32.exe auf der Registerkarte Prozesse. Oder Sie treffen möglicherweise auch auf a rundll32.exe-Fehler bei jedem Start oder während des Herunterfahrens. Viele Benutzer fragen sich, ob rundll32.exe ein Virus ist. Wenn nicht, was genau macht rundll32.exe im System?

rundll32-Eintrag im Task-Manager

Was ist rundll32.exe? Ist es ein Virus?

Rundll32.exe, die sich im Windows\System32 Ordner ist eine legitime Windows-Systemdatei. Es ist kein Virus!

Wenn sich die Datei jedoch in einem Ordner außerhalb Ihres Windows\System32 Verzeichnis, dann kann es sich um eine gefälschte Datei oder sogar um Malware handeln.

Was macht rundll32.exe?

Rundll32.exe ist eine Systemdatei, die eine DLL ausführt. Eine DLL kann optional eine Einstiegspunktfunktion angeben. Um die DLL auszuführen, die einen Einstiegspunkt angibt, wird rundll32.exe verwendet. Die Befehlszeilensyntax für Rundll32 lautet wie folgt:

rundll32.exe ,

Warum werden mehrere rundll32.exe-Einträge im Task-Manager angezeigt?

Jeder rundll32.exe-Eintrag, den Sie im Task-Manager sehen, führt möglicherweise ein anderes Programm (DLL) aus.

rundll32 mehrere Einträge im Task-Manager

Angenommen, Sie öffnen ein Systemsteuerungs-Applet – z. B. Indizierungsoptionen. Wenn Sie das klassische Systemsteuerungs-Applet "Indizierungsoptionen" öffnen, führt Windows diesen Befehl tatsächlich hinter der Haube aus:

rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll

Ebenso können andere Applets laufen, die rundll32.exe verwenden.

Ein weiteres Beispiel wäre das Sound-Applet in der Systemsteuerung. Die vollständige Befehlszeile zum Öffnen des Sound-Applets lautet:

rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

Für das Applet der Systemsteuerung für Uhrzeit und Datum wird hier die Befehlszeile rundll32.exe verwendet:

rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Wie kann man wissen, welche Datei der Rundll32.exe-Prozess ausgeführt wird?

Sie können die vollständige Befehlszeile jedes Rundll32.exe-Prozesses mit dem Task-Manager anzeigen. Sie können den Task-Manager so konfigurieren, dass er angezeigt wird Spalten für Befehlszeilen- und Bildpfadnamen sowohl in der Prozesse als auch in der Detailansicht.

Task-Manager Befehlszeile anzeigen

Notiz: Der Task-Manager zeigt mit seinen Standardeinstellungen nur die Prozessnamen, ihre ID und andere Dinge an, aber nicht die vollständigen Befehlszeilenargumente jedes Prozesses.

Möglicherweise sehen Sie einen Eintrag wie unten, ohne einen DLL-Dateinamen in den Argumenten. Einige Benutzer haben angegeben, dass es mit. zusammenhängt Groove-Musik unter Windows10.

"C:\Windows\system32\rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

Verwenden der Befehlszeile

Um die Liste der rundll32.exe-Prozesse zusammen mit der Befehlszeile und der Prozess-ID anzuzeigen, führen Sie diesen Befehl in einem Eingabeaufforderungsfenster aus:

WMIC PROCESS WHERE Name="rundll32.exe" Get Caption, Commandline, Processid /format: list

Um Prozesse anzuzeigen, die unter dem Administrator-Token ausgeführt werden, führen Sie den obigen Befehl aus von Admin-Eingabeaufforderung.

Beispielausgabe

Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll, ProcessId=11404 Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" ProcessId=10580

Liste der Module, die vom RunDll32.exe-Prozess verwendet werden

Um die Liste der Module anzuzeigen, die von jeder Instanz von verwendet werden rundll32.exe, öffnen Sie ein Eingabeaufforderungsfenster und führen Sie diesen Befehl aus:

Aufgabenliste /m /fi "IMAGENAME eq rundll32.exe"

Sie sehen eine Ausgabe wie diese:

Rundll32 Module Liste Aufgabenliste

Vorbehalte bezüglich Rundll32.exe

Sie sollten bei folgenden Dingen auf Ihrem System misstrauisch sein:

  • Wenn die Datei Rundll32.exe mit dem Dateinamen an einem anderen Ort außerhalb des Windows-Verzeichnisses gefunden wird, könnte es sich um einen Virus handeln.
  • Machen Sie sich bewusst, was ein Rundll32.exe-Prozess ausführt, indem Sie den Task-Manager überprüfen. In kompromittierten Systemen werden Sie höchstwahrscheinlich einen oder mehrere Rundll32.exe-Prozesse sehen, die betrügerische Malware-DLL-Dateien ausführen, wahrscheinlich gestartet als Startup-Einträge.

    Kurz gesagt, notieren Sie sich die Befehlszeilenargumente der Rundll32.exe-Einträge im Task-Manager – d. h. die DLL, die von Rundll32.exe ausgeführt wird.

VERBUNDEN:Wie behebt man Rundll32- oder RunDll-Fehler beim Start?


Eine kleine Bitte: Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte?

Eine "kleine" Aktie von Ihnen würde dem Wachstum dieses Blogs sehr helfen. Einige tolle Vorschläge:
  • Pin es!
  • Teilen Sie es mit Ihrem Lieblingsblog + Facebook, Reddit
  • Tweete es!
Also vielen Dank für Ihre Unterstützung, mein Leser. Es dauert nicht länger als 10 Sekunden Ihrer Zeit. Die Share-Buttons befinden sich direkt darunter. :)