Rundll32.exeプロセスとは何ですか? マルウェアですか?

タスクマネージャーを開くと、[プロセス]タブにRundll32.exeエントリが表示される場合があります。 または、起動時またはシャットダウン時にrundll32.exeエラーが発生する場合もあります。 多くのユーザーはrundll32.exeがウイルスかどうか疑問に思っています。 そうでない場合、rundll32.exeはシステムで正確に何をしますか?

rundll32.exeとは何ですか? ウイルスですか?

Windows\System32フォルダーにあるRundll32.exeは、正規のWindowsシステムファイルです。 ウイルスではありません!

ただし、ファイルがWindows\System32ディレクトリ以外のフォルダーにある場合、それは偽のファイルであるか、マルウェアである可能性さえあります。

rundll32.exeは何をしますか?

Rundll32.exeはDLLを実行するシステムファイルです。 DLLは、オプションでエントリポイント関数を指定できます。 エントリポイントを指定するDLLを実行するには、rundll32.exeを使用します。 Rundll32のコマンドライン構文は次のとおりです。

 rundll32.exe、 

タスクマネージャに複数のrundll32.exeエントリが表示されるのはなぜですか?

タスクマネージャに表示される各rundll32.exeエントリは、異なるプログラム(DLL)を実行している可能性があります。

たとえば、インデックス作成オプションなどのコントロールパネルアプレットを開いたとします。 インデックス作成オプションのクラシックコントロールパネルアプレットを開くと、Windowsは実際にはこのコマンドを内部で実行しています。

 rundll32.exe C:\ WINDOWS \ system32 \ shell32.dll、Control_RunDLL C:\ WINDOWS \ System32 \ srchadmin.dll 

同様に、rundll32.exeを使用する他のアプレットが実行されている可能性があります。

別の例は、コントロールパネルのサウンドアプレットです。 Soundアプレットを開くための完全なコマンドラインは次のとおりです。

 rundll32.exe C:\ WINDOWS \ System32 \ shell32.dll、Control_RunDLL C:\ WINDOWS \ System32 \ mmsys.cpl 

時刻と日付のコントロールパネルアプレットで使用されるrundll32.exeコマンドラインは次のとおりです。

 rundll32.exe Shell32.dll、Control_RunDLL "C:\ WINDOWS \ system32 \ timedate.cpl" 

Rundll32.exeプロセスが実行しているファイルを知る方法は?

タスクマネージャを使用して、各Rundll32.exeプロセスの完全なコマンドラインを確認できます。 [プロセス]と[詳細]ビューにコマンドラインとイメージパス名の列を表示するようにタスクマネージャーを構成できます。

注:タスクマネージャは、デフォルト設定では、プロセス名、そのID、およびその他のもののみを表示しますが、各プロセスの完全なコマンドライン引数は表示しません。

引数にDLLファイル名がない、以下のようなエントリが表示される場合があります。 一部のユーザーは、Windows 10のGroove Musicに関連していると述べています。

 "C:\ Windows \ system32 \ rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617 

コマンドラインを使用する

コマンドラインとプロセスIDとともにrundll32.exeプロセスのリストを表示するには、コマンドプロンプトウィンドウで次のコマンドを実行します。

 WMIC PROCESS WHERE Name = "rundll32.exe" get Caption、Commandline、Processid / format:list 

管理者トークンで実行されているプロセスを表示するには、adminコマンドプロンプトから上記のコマンドを実行します。

出力例

 Caption = rundll32.exe CommandLine = "C:\ WINDOWS \ system32 \ rundll32.exe" C:\ WINDOWS \ system32 \ shell32.dll、Control_RunDLL C:\ WINDOWS \ System32 \ srchadmin.dll、ProcessId = 11404 Caption = rundll32.exe CommandLine = "C:\ WINDOWS \ system32 \ rundll32.exe" Shell32.dll、Control_RunDLL "C:\ WINDOWS \ system32 \ timedate.cpl" ProcessId = 10580 

RunDll32.exeプロセスで使用されるモジュールのリスト

rundll32.exe各インスタンスで使用されているモジュールのリストを表示するには、コマンドプロンプトウィンドウを開いて次のコマンドを実行します。

 tasklist / m / fi "IMAGENAME eq rundll32.exe" 

次のような出力が表示されます。

Rundll32.exeに関する警告

システムの次の点に注意する必要があります。

  • ファイルRundll32.exeファイル名がWindowsディレクトリ以外の場所にある場合、それはウイルスである可能性があります。
  • タスクマネージャを調べて、Rundll32.exeプロセスが実行しているものに注意してください。 侵害されたシステムでは、おそらくスタートアップエントリとして起動された、不正なマルウェアDLLファイルを実行している1つまたは複数のRundll32.exeプロセスが表示されます。

    つまり、タスクマネージャーのRundll32.exeエントリのコマンドライン引数(つまり、Rundll32.exeによって実行されているDLL)をメモします。

関連:起動時のRundll32またはRunDllエラーを修正する方法

関連記事