Lorsque vous vous connectez à votre ordinateur, une fenêtre de message d'erreur avec RunDll dans le titre peut apparaître, mentionnant un nom de fichier DLL tel que le suivant :
Un problème est survenu lors du démarrage de C:\Users\desktop\AppData\Local\Microsoft\Protect\protecthost.dll
Le module spécifié n'a pas été trouvé.
Bien que le nom de la DLL et le chemin du dossier semblent légitimes dans cet exemple, ce n'est pas vraiment le cas. Un malware y avait déposé le fichier DLL et ajouté une entrée de démarrage afin que la DLL soit exécutée à chaque démarrage. Le message "Le module spécifié n'a pas été trouvé." indique généralement que votre logiciel antivirus a déjà pris en charge le module problématique en le supprimant ou en le mettant en quarantaine. Maintenant, tout ce que vous avez à faire est de supprimer l'entrée de la tâche de démarrage ou planifiée, d'où qu'elle soit chargée.
Gestionnaire des tâches – onglet Démarrage
Ouvrez le Gestionnaire des tâches et cliquez sur l'onglet Démarrage. Activez la colonne Ligne de commande en cliquant avec le bouton droit sur l'en-tête de colonne et en cochant la case "Ligne de commande". Cela montre la ligne de commande complète pour chaque élément de démarrage répertorié. Pour empêcher la fenêtre de message d'erreur d'apparaître au démarrage, cliquez avec le bouton droit sur l'entrée appropriée (rundll32) dans la liste et cliquez sur Désactiver.
Autoruns
Le Gestionnaire des tâches répertorie les entrées de démarrage uniquement à partir des clés RunOnce/Run et du dossier de démarrage, mais il existe plusieurs autres points de lancement de démarrage. il vaut mieux utiliser Autoruns pour gérer les programmes de démarrage.
Dans Autoruns, les fichiers manquants sont surlignés en jaune, ce qui est un indicateur facile pour localiser les entrées rundll32. Vous pouvez désactiver ou supprimer les entrées à partir de là. Notez que certains logiciels malveillants se chargent comme tâche planifiée au lieu de du démarrage. Vous devrez peut-être également inspecter les entrées du planificateur de tâches tiers. Pour éviter la suppression accidentelle des entrées intégrées ajoutées par Windows, assurez-vous d'activer « Masquer les entrées Microsoft » dans le menu Options d'exécution automatique.
Qu'est-ce que Rundll32.exe ?
Rundll32.exe est un fichier Windows valide, qui peut charger une DLL et exécuter une fonction de point d'entrée spécifiée à l'intérieur du fichier DLL. Le problème n'est pas rundll32.exe, mais le fichier DLL non autorisé qui a été supprimé par un logiciel malveillant et l'entrée de démarrage correspondante. Pour en savoir plus sur un module, vous pouvez le rechercher sur le Web. Dans certains cas, les noms des modules et les emplacements des dossiers contiennent des caractères et des nombres aléatoires, comme c'est le cas de la plupart des entrées de démarrage et des tâches planifiées ajoutées par les logiciels malveillants.
Après avoir supprimé les entrées, effectuez une analyse approfondie à l'aide de votre programme antivirus, ainsi qu'à l'aide de Malwarebytes Anti-Malware.
Une petite demande: si vous avez aimé ce post, merci de le partager ?
Un "minuscule" partage de votre part aiderait beaucoup à la croissance de ce blog. Quelques bonnes suggestions :- Épinglez-le !
- Partagez-le sur votre blog préféré + Facebook, Reddit
- Tweetez-le !