rundll32.exe 프로세스

 

네이버 카페(http://cafe.naver.com/watclean)에 회원 중 한 분께서 아래와 같은 질문을 올려 주셨는데

답변용으로 정리한 내용입니다.

 

 

 

 

V3 365 클리닉 에서 발견된 건데     다음 프로그램의 접근을 차단했습니다. 접근을 허용하려면 자체 보호를 해제하십시오.     라고 떳구요.     프로그램 이름을 클릭하니까             자체 보호 상세보호     프로그램 이름: C:\Windows\Systen32\rundll32.exe     파일경로: HKLM\System\CurrentControlSet\Services\v3engine                     v3engine 이라고 적혀 있는거 보니까 제가 사용하는 V3 365 프로그램 폴더 에 있는 파일에서 발견된 거 같은데...어이없네요..이게 뭐죠?;;ㅠㅠㅠ [출처] 이게 무엇이고 어떻게 삭제해야되나요..ㅠㅠ? (WATclean (PC최적화),AVR128(마이컴) 카페)

 

 

 

 

rundll32.exe 프로세스

 

rundll32.exe 는 Microsoft Corporation 에서 제공하는 [필수] 프로세스 입니다.

rundll32.exe 는 주로 독립적으로 실행할 수 없는dll 등의 라이브러리를 실행시켜 줍니다.

절대 지워서는 안 되는 프로그램 입니다.

 

 

 

작업 관리자에서 살펴보면 언제나 rundll32.exe 라는 프로세스가 있을 겁니다.

 

 

 

WATclean 에서는 [윈도우 서비스,라이브러리 로더에 사용] 이라고 설명되어 있습니다.

 

 

 

 

 

rundll32.exe 왜 백신에서 접근을 차단했는가?

 

일단 2가지 경우로 추측해 볼 수 있습니다.

앞에서 설명 드린 대로 rundll32.exe 는 다른 라이브러리를 실행시켜 주는데 악성코드를 포함한 라이브러리가 실행되었거나 rundll32.exe 파일 자체가 바이러스에 감염된 경우 입니다.

 

 

첫 번째 경우는 ProcessExplorer 이라는 프로그램을 이용하여

실행되는 라이브러리 (모듈)로 확인할 수 있습니다.

 

http://technet.microsoft.com/en-us/sysinternals/bb896653 에서 다운로드 후 실행하면 아래처럼 rundll32.exe 프로세스의 정보를 보여줍니다.

 

 

 

 

더블클릭하면 좀더 자세한 정보를 보여주게 됩니다.

현재 그림에서는 rundll32.exe 는 bthprops.cpl ( 블루투스 관련), BluetoothAuthenticationAgent(블루투스 인증 관련) 모듈을 실행시키고 있습니다.

이 때는 아무런 문제가 없는 것입니다.

 

 

 

 

만약 감염된 라이브러리를 호출하고 있다면 해당 라이브러리를 삭제해야 해결할 수 있습니다.

 

 

 

 

 

두 번째 경우는 rundll32.exe 자체의 감염인데,

동일한 OS 버전의 rundll32.exe 파일을 복사하시면 됩니다.~