rundl32.exe는 악성 코드일까? 실행 이유와 제거 방법

rundl32.exe는 악성 코드일까? 실행 이유와 제거 방법

Rundll32.exe는 DLL(Dynamic Link Library) 파일을 

실행하기 위해 사용되는 Windows의 표준 부분입니다.

 

DLL에는 프로그램의 다양한 기능에 대한 

코드가 포함되어 있으며 Windows 프로세스 및 

타사 앱에서 일반적으로 사용됩니다.

 

Rundl32.exe는 일반적으로 멀웨어가 아니지만

악성 코드를 실행하는 데 사용할 수 있습니다.

태스크 매니저를 열면 rundl32.exe 

인스턴스가 동시에 실행되고 있는 것만 표시됩니다.

 

그런데 rundll32.exe란 무엇일까요?

 

PC에서 실제로 어떤 인스턴스가 실행되고 있는지 어떻게 판단할 수 있을지

이번 포스팅에서는 rundl32.exe 에 대해 알아보겠습니다.

 

 

---

Rundll32란?

Rundl32.exe는 Windows 운영 체제에서

DLL(Dynamic Link Library)을 실행하기 위해 사용됩니다.

 

DLL은 Windows 프로세스 및 타사 응용 프로그램에

기능을 제공하는 코드를 저장하며

여러 프로그램에서 동시에 액세스할 수 있습니다.

일반 Windows 설치에는 네트워킹에서 

매일 대화하는 UI에 이르기까지 모든 것과 관련된

수천 개의 DLL이 포함되어 있습니다.

 

설치하는 대부분의 프로그램도 DLL을 사용합니다.

 

Windows 10, Windows 11 또는 Windows 7과 같은

이전 버전의 Windows를 사용하는 경우에도

rundll32.exe는 Windows의 필수 요소가 됩니다.

Rundll32.exe는 바이러스입니까?

Rundl32.exe는 Windows의 일반적인 부분입니다.

 

단, 악성코드는 rundl32.exe의 정규 복사인 것처럼 가장하거나 

실제 rundl32.exe를 사용하여 PC에서 악성코드를 실행할 수 있습니다.

Windows 설치에는 rundll32 실행 파일의 

정규 복사본이 몇 개 포함되어 있습니다.

일반적으로 볼 수 있는 2개는 "C:"에 있습니다.

 

\Windows\System32\" 및 "C:\Windows\SysWOW64"를 선택합니다.

단, 검색을 실행하면 Windows 폴더에 추가 파일이 있습니다.

일반적으로 PC에 rundll32.exe의 

악의적인 복사가 있다고 생각되는 경우 

Microsoft Defender 또는 원하는 

안티바이러스 프로그램을 사용하여 

바이러스 검사를 실행하는 것이 가장 좋습니다.

그러나 안티바이러스 프로그램은 완벽하지 않으며 

경우에 따라서는 rundll32에서 실행되는

멀웨어가 검출되지 않을 수 있습니다.

 

이 경우 rundl32.exe가 수동으로 수행하는 작업을

자세히 살펴보고 불필요한 작업을 발견한 경우

비활성화하는 방법을 확인해야 합니다.

Windows 10 또는 Windows 11에서 프로세스 탐색기를 사용하여 Rundll32.exe를 조사

Microsoft의 무료 유틸리티인 프로세스 탐색기는

응용 프로그램이 정확히 무엇을 수행하는지 확인할 때

유용한 보다 구체적인 정보를 제공합니다.

 

크기가 작고 설치할 필요가 없으며 모든 버전의 Windows에서 작동합니다.

여기서는 rundl32.exe의 액티비티를 조사하기 위해 사용합니다.

관리자 권한으로 프로세스 탐색기를 실행하고

[File]> [ Show Details for All Processes ]순서로 이동하여

모든 프로세스가 표시되는지 확인합니다.

 

Windows 의 동작에 대해 자세히 조사해 본 적이 없는 경우는,

많은 정보가 리스트 되어 있을 가능성이 있습니다.

 

이는 바이러스가 있다는 뜻은 아닙니다.


참고: 프로세스 탐색기를 admin으로 시작할 필요는 없지만 

실행하는 것이 좋습니다.

 

일부 프로세스에서는 관리자 권한이 없으면 

일부 정보가 표시되지 않을 수 있습니다.

 

목록에서 rundll32.exe 위에 마우스를 올리면

동작에 대한 자세한 내용이 포함된 툴팁이 표시됩니다.

 

오른쪽 버튼을 클릭하여 [Properties](속성)을

선택하여 자세한 정보를 얻을 수 있습니다.

[ Properties ](속성) 창에는 많은 정보가 있지만

 [Image](이미지) 탭부터 시작해야 합니다.

 

전체 경로 이름, 상위 프로세스, 사용자 등이 표시됩니다.

 

이 경우 rundll32.exe는 localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617이라는 

이름의 것과 관련되어 있습니다.

 

그럼 "localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617"은 

정확히 무엇일까요?

 

확실히는 알 수 없지만, Windows 10 의 완전 클린 인스톨에

있는 것을 확인했습니다.

 

따라서, 이것은 Windows 의 정상적인 부분입니다.

 

유저 인터페이스로 이미지를 표시하는 것에

어떻게든 관여하고 있는 것 같습니다.

 

프로세스를 일시 중단하거나 종료하면

미디어 컨트롤 옆에 아이콘이 표시되지 않으며

일부 사용자는 이 아이콘이 사용자 계정 아이콘과

상호 작용한다고 보고했습니다.

경고 : rundll32 - localserver를 통해 실행되는

이상한 것에 대해 주의해 주세요.

 

실행 파일이 윈도에 포함된 정규 파일일 경우에도 마찬가지입니다.

악의적인 작업을 수행하는 데 사용할 수 있습니다.

Rundll32.exe를 삭제할 수 있습니까?

윈도우즈가 제대로 작동하도록 하려면 rundll32.exe를

 안전하게 삭제할 수 없습니다.

 

Windows operating system의 정상적인 중요한 부분입니다.

 

전자레인지를 열고 여러 가지 성분을 

제거할 수 있는지 물어보는 것과 같습니다.

 

물론, 물리적으로도 가능하지만, 

전자레인지가 제대로 작동하기를 원한다면 그렇게 할 수 없습니다.

따라서 rundll32.exe는 기술적으로 삭제할 수 있지만 

삭제하지 않는 것이 좋습니다.

 

rundl32.exe를 삭제하면 많은 것이 파손되어 

PC를 정상적으로 가동하는 것에 애로사항이 꽃필 수 있습니다.

 

경고 : 컴퓨터에서 rundll32.exe를 삭제하지 마십시오.

그러나 어떤 이유로든 이 작업을 수행하려면

Linux 디스트리뷰션으로 부팅하여 Windows 드라이브가 마운트되었는지

확인한 후 삭제하는 것이 가장 쉬운 방법입니다.

 

Windows 에서는 rundll32.exe 를 

매우 적극적으로 보호하고 있기 때문에 

Windows 자체에서 삭제해야 하는 번거로움이 있습니다.

 

Linux 내에서 삭제하면 이러한 보호 조치가 완전히 무시됩니다.

이렇게 하면 Windows 설치가 고장나기 때문에 

SFC 명령과 같은 방법으로 복구해야 합니다.

rundl32.exe가 실행 중인 것이 마음에 들지 않는 경우 

rundl32.exe와 관련된 프로세스를 확인하고 

대신 해당 프로세스와 관련된 트리거를 비활성화하는 것이 좋습니다.

Rundll32.exe를 비활성화하는 방법

경고: 작업 확인 없이 이것저것 비활성화 시키지 마십시오.

 

rundl32.exe는 그 자체로는 아무것도 할 수 없기 때문에

직접 비활성화할 수 없지만 rundl32.exe를 사용하여

작동하는 응용 프로그램과 서비스를 비활성화할 수 있습니다.

 

원하는 것이 정확히 무엇인지에 따라 이것은 때때로 조금 복잡할 수 있습니다.

다음 예에서 사용하는 "rxdiag.dll"이라는 것을

로드하는 rundl32.exe 인스턴스가 시스템에서 실행되고 있습니다.

가장 간단한 해결책은 프로세스 관리자에서 

rundll32.exe 인스턴스를 마우스 오른쪽 버튼으로 누르고 

"프로세스 중지"를 눌러 프로세스를 즉시 종료하는 것입니다.

 

그러나 이 수정으로 rundll32가 호출되어 필요한 즉시 

다시 부팅되는 것을 막을 수 없습니다.

 

이를 수행하려면 rundll32.exe를 호출하는 프로그램을 활성화하거나

 완전히 제거해야 합니다.

 

처음부터 이렇게 하는 것이 좋습니다.

 

rundll32.exe 인스턴스를 오른쪽 클릭하고 

"Properties"를 클릭한 후 "Image" 탭으로 이동합니다.

 

rundll32.exe는 Windows 폴더에 있는 정규 복사이며 

부모 프로세스는 "nvcontainer.exe"라고 불리는 것 

및 "C:"에 저장된 DLL에 유의하십시오.

 

\Program Files\Nvidia Corporation\nvstreamsrv" 폴더.

 

GeForce Experience가 이 rundl32.exe 인스턴스의 원인일 

가능성이 높다고 추측할 수 있습니다.

 

이제 rundl32가 다시 시작되지 않도록 실제로 꺼야 합니다.

 

상세한 것에 대하여 상황에 따라서 다릅니다만,

다음의 순서의 개요에 따라주세요.

1. Shadowplay와 관련된 것으로 의심되므로

GeForce Experience에서 Shadowplay를 비활성화합니다.

2. 스타트업 프로그램 목록에서 GeForce Experience 삭제

3. 서비스 유틸리티에서 연결된 서비스를 모두 사용하지 않도록 설정합니다.

4. 작업 스케줄러에서 GeForce Experience에서

자동 실행을 트리거할 수 있는 예약된 작업 비활성화(자동 업데이트가 일반적인 원인임)
프로그램을 완전히 제거합니다.

 

 

2022.10.19 - 설계 부품 표(EBOM)과 제조 부품 표(MBOM)의 사용법에 대하여

설계 부품 표(EBOM)과 제조 부품 표(MBOM)의 사용법에 대하여

2022.12.26 - 색상의 16진수 코드란? 16진수의 색상 코드에 대해 알아보자

2023.03.08 - Windows에서 DMG 파일을 여는 방법

Windows에서 DMG 파일을 여는 방법

2023.05.06 - 컴퓨터의 블루스크린(BSOD) 해결 방법에 대한 모든 것

 

 

-