Varias instancias en ejecución de rundll32.exe

1

He notado que en el Administrador de tareas de Windows 7, tengo varias instancias en ejecución (2) de rundll32.exe. ¿Significa esto necesariamente que mi máquina está infectada por un malware como se indica aquí: enlace

Note que hice una restauración a la imagen de fábrica que reside en una partición separada. ¿Este tipo de particiones también podrían verse afectadas por virus?

Además, incluso después de la restauración de fábrica, siempre aparece un mensaje de error que indica que rundll32.exe dejó de funcionar en el inicio de Windows 7, lo que parece muy sospechoso para una instalación limpia (?).

    
pregunta jilt3d 28.12.2012 - 16:03
fuente

3 respuestas

3

Puede ser un virus o simplemente un programa que debe ejecutarse dentro de un rundll32. Puede tener más información sobre lo que se está ejecutando utilizando Explorador de procesos de Sysinternal : haga clic en cada rundll32, y vea sus propiedades, o qué manejadores de archivos está usando (podría ser difícil determinar qué es legítimo y qué no es ...)

    
respondido por el Olivier Dulac 28.12.2012 - 16:16
fuente
3

rundll32 es una parte de Windows que se usa para invocar funciones en archivos dll y que están destinados a ser llamados explícitamente por ellos (lo que significa que puede ejecutarlos desde una línea de comandos / secuencia de comandos de línea de comandos, o desde un ejecutable sin vincularlos con la dll que la función requerida está contenida en). Para obtener una explicación más detallada, consulte MS Knowledge Base.

También busque aquí para una descripción de cómo puede ajustar la tabla en su administrador de tareas para ver la línea de comandos completa, y por lo tanto qué funciones está ejecutando realmente su rundll32. Esto también le dirá qué rundll32.exe se está ejecutando (si uno de ellos está en una carpeta extraña, diga C: \ Archivos de programa \ cualquiera \ rundll32.exe, que probablemente sea un problema. Ambas instancias deberían tener la misma ruta (esto puede ser diferente en los sistemas de 64 bits que pueden tener una versión separada de 32 bits, no estoy seguro de eso).

El artículo al que se vincula no es un buen consejo. Si bien un símbolo de cambio para rundll32 es un signo que le dice que algo está mal, no es seguro de que una modificación de este se muestre de esta manera.

Tener varias instancias de rundll32 ejecutándose al mismo tiempo no es muy sospechoso por sí mismo.

Según el formato utilizado, las imágenes de fábrica pueden ser editadas por malware, aunque no soy un experto en esto y no puedo recordar ningún malware de este tipo recientemente.

En términos de consejos: primero verifique las rutas de los archivos de rundll32 en ejecución, luego verifique qué dll / funciones están ejecutando. Si aún tiene medios de recuperación originales (de lo contrario, podría obtener algunos de su proveedor de hardware), recupere su sistema desde allí en lugar de la imagen del disco duro si está preocupado por eso.

    
respondido por el us2012 28.12.2012 - 16:17
fuente
1

OK, aquí está el trato. Después de algunas investigaciones, descubrí que tener múltiples instancias de rundll32.exe en ejecución no significa necesariamente que estoy infectado por un malware. Al verificar los parámetros de cada instancia, puede identificar qué dll está cargado por la instancia rundll32 en cuestión. En el sistema operativo Windows, puede ver esta información desde el Administrador de tareas - > Pestaña Procesos - > Ver menú - > Seleccionar columnas - > Línea de comando. Haga una investigación para cada parámetro para cada instancia rundll32.

En cuanto al problema con rundll32, dejó de funcionar en Windows 7: era un problema de controlador relacionado con las tecnologías de Creative. Muchos usuarios de algunas computadoras portátiles Dell XPS tuvieron este problema, especialmente después de un restablecimiento de fábrica, como en mi caso (lo que me hace pensar que la imagen predeterminada de fábrica puede no estar infectada, está dañada). Resolví el problema invocando Creative Software AutoUpdate y dejé que la herramienta actualizara todo lo que ya está instalado.

    
respondido por el jilt3d 06.01.2013 - 16:20
fuente

Lea otras preguntas en las etiquetas