[Arns]

Про запуск Process Explorer от имени Администратора я как раз забыл, за напоминание спасибо, если поймаю снова неопознаный rundll32.exe попробую узнать откуда ноги растут. А может есть еще варианты к примеру проверить rundll32.exe на достоверность, а то у него 2 часа разницы между созданием и изменением, создан он в 3:41, а изменен в 5:14, даты совпадают?

UPD: при поиске по компьютеру файла Rundll32.exe помимо C:\Windows\System32\rundll32.exe, он также обнаружился в C:\Windows\winsxs, если верно понимаю папка winsxs вроде как хранит в себе то ли копии, то ли какие-то другие компоненты обновлений Windows?