Problème récurrent avec rundll32

Adam 22
Adam 22
in Security Research Team

Bonjour

Je ne comprend pas à chaque démarrage. Bit Defender m'envoie ce message

Advanced Threat Defense

L'application rundll32.exe a été détectée comme étant potentiellement malveillante et bloquée. Chemin de l'application : C:\Windows\SysWOW64\rundll32.exe Paramètres de ligne de commande : C:\WINDOWS\SysWOW64\rundll32.exe Identifiant de détection : SuspiciousBehavior.29AED8CA73DC0EE2

Rundlle32.exe est désinfecté puis tout va bien.

Cela fait plus de 15 jours que j'ai ce message et cette action. Comment faire pour arréter cela définitivement ?

Comments

  • Flexx
    Flexx mod
    https://community.bitdefender.com/en/discussion/96713/probleme-recurrent-avec-rundll32

    Rundll32.exe is a legitimate Windows process that is used to run Dynamic Link Library (DLL) files. However, it can also be used to execute malicious code. Bitdefender is detecting rundll32.exe as potentially malicious because it is seeing it making suspicious calls to other processes.

    There are a few things you can do to try to stop this message from appearing:

    1) Check the publisher of rundll32.exe. If it is not signed by Microsoft, then it is likely malware.

    2) Run a full scan of your pc/laptop with bitdefender. This will help to identify and remove any malware that may be present.

    3) Temporarily disable Bitdefender Protection: https://www.bitdefender.com/consumer/support/answer/28557/

    4) Upload the file rundll32.exe on virustotal.com and check if it is detected by any other vendor.

    5) If file is safe, set file exclusion in Bitdefender Advanced Threat Defense: https://www.bitdefender.com/consumer/support/answer/2393/

    6) Re-enable real time protection in Bitdefender.

    Regards

    Life happens, Coffee helps!

    Show your Attitude, when you reach that Altitude!

    Bitdefender Ultimate Security Plus (user)

  • Adam 22
    Adam 22

    Merci

    le problème est que j'ai beaucoup de fichiers rundll32.exe sur mon pc. Voici un extrait

    :\>dir rundll32.exe /S /a

    Le volume dans le lecteur C s'appelle Système

    Le numéro de série du volume est XXXX-XXXX

    Répertoire de C:\Windows\servicing\LCU\Package_for_RollupFix~31bf3856ad364e35~amd64~~19041.3086.1.9\wow64_microsoft-windows-run

    0.0.19041.746_none_c05346ae3e1a99a4\f

    5/06/2023 18:45        876 rundll32.exe

           1 fichier(s)       876 octets

    Répertoire de C:\Windows\servicing\LCU\Package_for_RollupFix~31bf3856ad364e35~amd64~~19041.3208.1.10\wow64_microsoft-windows-ru

    10.0.19041.746_none_c05346ae3e1a99a4\r

    7/07/2023 09:57        791 rundll32.exe

           1 fichier(s)       791 octets

    Répertoire de C:\Windows\System32

    3/01/2021 10:29      71 680 rundll32.exe

           1 fichier(s)      71 680 octets

    Répertoire de C:\Windows\SysWOW64

    3/01/2021 10:29      61 440 rundll32.exe

           1 fichier(s)      61 440 octets

    Répertoire de C:\Windows\WinSxS\amd64_microsoft-windows-rundll32_31bf3856ad364e35_10.0.19041.746_none_b5fe9c5c09b9d7a9\r

    9/01/2021 01:57       1 033 rundll32.exe

           1 fichier(s)      1 033 octets

    Répertoire de C:\Windows\WinSxS\wow64_microsoft-windows-rundll32_31bf3856ad364e35_10.0.19041.746_none_c05346ae3e1a99a4\f

    9/01/2021 02:03        876 rundll32.exe

           1 fichier(s)       876 octets

    Répertoire de C:\Windows\WinSxS\wow64_microsoft-windows-rundll32_31bf3856ad364e35_10.0.19041.746_none_c05346ae3e1a99a4\r

    9/01/2021 02:03        791 rundll32.exe

           1 fichier(s)       791 octets

      Total des fichiers listés :

           16 fichier(s)     277 733 octets

           0 Rép(s) 12 574 822 400 octets libres

    Normalement c'est le fichier dans le dossier Windows/SySWow64 qui pose problème.

    j'ai fait ces 2 lignes de commande la premiére m'a éliminé 4 fichiers rundll32 et je vous donne les propriétés de ce fichier

    C:\>Dism.exe /online /Cleanup-Image /StartComponentCleanup

    Outil Gestion et maintenance des images de déploiement

    Version : 10.0.19041.844

    Version de l'image : 10.0.19045.3208

    [==========================100.0%==========================]

    L'opération a réussi.

    C:\>sfc /scannow

    Début de l'analyse du système. Cette opération peut nécessiter un certain temps.

    Démarrage de la phase de vérification de l'analyse du système.

    La vérification est à 100% terminée.

    Le programme de protection des ressources Windows n'a trouvé aucune violation d'intégrité.

    CaptureRundll.PNG


  • Flexx
    Flexx mod
    https://community.bitdefender.com/en/discussion/comment/327114#Comment_327114

    If you are still getting the file detected by bitdefeder,

    1) Temporarily disable Bitdefender Protection: https://www.bitdefender.com/consumer/support/answer/28557/

    2) Set exclusion in Bitdefender Antivirus: https://www.bitdefender.com/consumer/support/answer/13427/

    3) Set exclusion in Bitdefender Advanced Threat Defense: https://www.bitdefender.com/consumer/support/answer/2393/

    4) Re-enable real time protection in Bitdefender.

    Regards

    Life happens, Coffee helps!

    Show your Attitude, when you reach that Altitude!

    Bitdefender Ultimate Security Plus (user)

  • Adam 22
    Adam 22

    Merci

    En fin de compte j'ai trouvé la raison de ce problème. C'est une application au démarrage de mon PC qui produit cela.

    L'application est "Auslogics Duplicate File Finder". il faut passer par les menus de cet appli pour la désactiver car elle n'apparait pas dans le gestionnaire de tâches.

    A vous de trouver Pourquoi.

    Salutations

All Time Leaders

Categories

Defenders of the month