Wat is rundll32.exe, liggings en tekens van wanware

Rundll32.exe is wettig: dit laai DLL-funksies vir Windows en toepassings.
Die geldige ligging is System32/SysWOW64; wees agterdogtig daarbuite.
Kwaadwillige sagteware kan hulself vermom of rundll32 gebruik om DLL'e te begin.
Moenie dit uitvee nie: identifiseer die aanstootlike take/DLL's en gebruik antimalware.

As jy teëgekom het rundll32.exe in Taakbestuurder en wonder wat dit is, is jy nie alleen nie: hierdie uitvoerbare lêer verskyn gereeld, soms in verskeie gevalle gelyktydig. Ver van om by verstek 'n indringer te wees, is deel van Windows self en die doel daarvan is om funksies wat in aangebied word, te laai en uit te voer DLL-lêers.

Nou, net omdat dit wettig is, beteken dit nie dat dit nie kwaadwillig gebruik kan word nie. Sommige potensieel ongewenste programme en wanware kamoefleer hulself met hul naam of Hulle misbruik die regte rundll32 om kwaadwillige kode te loods.In die volgende reëls sal ek jou presies vertel wat dit is, waar dit moet wees, hoekom dit foute kan vertoon of die SVE kan verbruik, hoe om tussen goed en sleg te onderskei, en watter stappe om te neem sonder om jou stelsel te ruïneer.

Wat is rundll32.exe en waarvoor word dit gebruik?

Rundll32.exe-proses wat DLL uitvoer

Die lêer rundll32.exe Dit is 'n inheemse Windows-komponent wat gebruik word om roep funksies aan wat vanaf dinamiese skakelbiblioteke (DLL's) uitgevoer wordIn gewone Afrikaans: Wanneer die stelsel of 'n toepassing 'n funksie moet uitvoer wat in 'n DLL geleë is, kan dit dit deur rundll32 aanroep.

DLL'e bevat blokke herbruikbare kode wat baie programme deel, van netwerk-, oudio-, video- of koppelvlaktake waarmee jy interaksie het. Daarom is daar in tipiese Windows-installasies (7, 10, 11, ens.) duisende DLL'e, en rundll32 is die sleutel tot die orkestrering daarvan.

Waar om 'n wettige kopie te vind en hoe om dit te herken

In 'n gesonde stelsel sal jy wettige kopieë sien van rundll32.exe op roetes soos C:\Windows\System32 (64-bis omgewing) en C:\Windows\SysWOW64 (32-bis-versoenbaarheid op x64-stelsels). Daar mag ook wees MUI-lêers van geassosieerde taalbronne in subgidse soos en-US o pl-PL, Byvoorbeeld C:\Windows\System32\en-US\rundll32.exe.mui.

As jy hom sien weghardloop gidse buite die Windows-gids (bv. in AppData, ProgramData of 'n tydelike gids), wees versigtig. Dit is algemeen dat wanware hulself met dieselfde naam vermom, maar vanaf 'n ander plek loop om inmenging met wettige prosesse.

Is dit 'n virus? Hoe wanware dit uitbuit

Die kort antwoord: Nee. Rundll32.exe Dis nie 'n virus nie, dis 'n Windows se eie hulpmiddelDie langtermyn: daar is twee tipiese lokvalle. Een, 'n kwaadwillige program met dieselfde naam is in 'n ander pad geleë. Twee, 'n Trojaan laai sy kwaadwillige DLL via die outentieke rundll32, so die proses wat jy sien is Microsoft s'n, maar loop 'n kwaadwillige biblioteek.

Eksklusiewe inhoud - Klik hier Hoe om te weet wie agter 'n vals profiel is

In die bedreigingsgeskiedenis word families wat rundll32 gebruik, genoem, soos Agterdeur.W32.Ranky o W32.Miroot.WurmEn meer alledaagse, adware of indringende blaaieruitbreidings gebruik dit om take te begin wat uiteindelik in Opspringvensters, aansture en SVE-gebruikDit is een rede waarom baie gebruikers glo rundll32 “is ’n virus”.

As jy opmerk oormaat advertensies of interstisiële vensters, daar kan advertensieprogrammatuur wees wat staatmaak op rundll32.
Die herlei na vreemde webwerwe en blaaiervertraging pas ook by PUP's/spioenware.
Die stelsel kan om lui te word deur prosesse wat rundll32 met verdagte DLL's aktiveer.

Waarom sien ek verskeie gevalle en foutboodskappe?

Dat die Taakbestuurder wys verskeie gevalle Dit is normaal: verskillende stelselkomponente of derdeparty-programme kan dit gelyktydig aanroep. Windows versprei take, en jy sal verskeie rundll32's parallel sien loop, afhangende van wat in die agtergrond gebeur.

Wat nie normaal is nie, is om konstante CPU-spykers of boodskappe soos te sien "Foutkode: rundll32.exe" terwyl jy in Chrome, Edge, Firefox of IE blaai. In hierdie scenario's is dit raadsaam om te vermoed potensieel ongewenste programme (PUP's), aggressiewe uitbreidings of 'n Trojaan wat die uitvoerbare lêer uitbuit om sy DLL te laai.

Wat om nie te doen nie: verwyder rundll32.exe

Elimineer rundll32.exe de Stelsel32/SysWOW64 Dis nie 'n opsie nie: dis 'n lêer krities vir WindowsAs jy dit verwyder, kan dit basiese funksies breek, ineenstortings veroorsaak, of verhoed dat die stelsel nodige komponente laai.

As jy dink rundll32 doen "iets wat dit nie behoort te doen nie", is die verstandige ding om te doen vind uit watter proses of taak dit aanroep en sny dit uit: deaktiveer of verwyder die taak, deïnstalleer die problematiese program, maak die DLL skoon en versterk beskerming met 'n goeie antimalware.

onsigbare wanware

Hoe om te kyk of die instansie kwaadwillig is

Hierdie kontroles help jou om wettige gebruik van kwaadwillige gebruik te onderskei sonder om alarmisme te veroorsaak of die stelsel te beskadig. Tog, As jy nie gemaklik voel nie, is dit beter om hulp te vra. aan 'n professionele of 'n gespesialiseerde gemeenskap.

Kontroleer die roeteVoeg die "Opdragreël"-kolom by of maak die "Eienskappe" van die proses oop in Taakbestuurder. Indien rundll32.exe Dit is nie in nie C:\Windows\System32 o C:\Windows\SysWOW64, 'n slegte teken.
Gaan na wat DLL laai tansrundll32 word gewoonlik gevolg deur die pad na 'n DLL en 'n uitgevoerde funksie. Paaie soos C:\ProgramData\... o C:\Users\...\AppData\... vereis hersiening. Die voorbeeld van cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue is duidelik verdag.
Gaan die TaakskeduleerderSoek vir onlangse take of take met verduisterde name wat rundll32 aanroep. Wettige paaie onder Microsoft kan gebruik word as fasade om onbehoorlike DLL'e te laai.
Gebeur Microsoft Defender of 'n betroubare anti-wanware: 'n volledige skandering met opgedateerde handtekeninge sal die meeste PUP's, adware, spioenasieware en Trojane opspoor wat hulself aan rundll32 heg.
Oudit blaaieruitbreidingsDeïnstalleer enigiets wat nie noodsaaklik is nie, veral VPN-instaanbediener-uitbreidings, aflaaiprogramme of "ontblokkeerders" wat dikwels advertensies bevat.
Gebruik diagnostiese gereedskap soos Prosesverkenner om die te sien ouerproses (ouerproses) wat rundll32 en die digitale handtekening van die uitvoerbare lêer aanroep. Microsoft se handtekening In System32/SysWOW64 is dit normaal; die vreemde ding is gleuwe buite Windows.

Eksklusiewe inhoud - Klik hier AdGuard DNS vs NextDNS: Volledige vergelyking en keusegids

Skoonmaak- en voorkomingsmaatreëls

Die eerste laag is gesonde verstand: Deïnstalleer sagteware wat jy nie gebruik nie of wat geneig is tot advertensiewareVir 'n deeglike skoonmaak beveel baie gidse aan Revo-verwyderaar in gevorderde modus om oorblyfsels (vouers, registersleutels) van PUP's soos "DuvApp" of indringende "optimalisering"-suites te verwyder.

Dan, voer 'n volledige skandering met Microsoft Defender en, indien u dink dit is gepas, 'n bykomende anti-wanware met 'n bewese reputasie. Dit help om kwaadwillige DLL's en geskeduleerde take op te spoor wat op rundll32 staatmaak om stilweg volhard.

In professionele skoonmaak sal jy melding maak van registerrugsteun (bv. met DelFix) en die gebruik van persoonlike skrifte met FRST (Farbar) om beleide te herstel, take te verwyder, DLL'e in gebruik te deblokkeer, ens. Daardie skrifte is op maat gemaak vir elke spanMoenie iemand anders s'n hergebruik nie, want jy kan jou Windows breek.

Algemene aksies vir hierdie skrifte sluit in die herstel van die netwerk en firewall (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), sluit prosesse, verwyder lêers en ProgramData/AppData gekoppel aan PUP's en maak geskeduleerde take skoon wat DLL's laai met behulp van rundll32.exeWeereens: beter in kundige hande.

Om toekomstige risiko's te verminder, hou Windows en jou programme altyd op datum, laai sagteware van amptelike webwerwe af, ontmerk ekstra komponente in "ekspres"-installasies en wees agterdogtig teenoor enige stelseluitvoerbare program wat buite die program verskyn. standaardroetes.

Meer leidrade oor liggings en verwante lêers

Benewens System32 en SysWOW64, sal jy hulpbronlêers sien MUI van rundll32 in taalvouers soos en-US o pl-PLHulle is nie uitvoerbaar nie, maar lokaliseringshulpbronneSien “rundll32” sonder .exe in die Explorer kan wees as gevolg van versteek die uitbreidings uit bekende lêers.

Eksklusiewe inhoud - Klik hier Leer hoe om wanware op te spoor en jouself te beskerm

Indien 'n verdagte geval ophou verskyn en jou probleem (bv. die dubbele tilde op die sleutelbord) verdwyn, is dit 'n teken dat die problematiese stuk was elders en het rundll32 as 'n lanseerder gebruik. Wanneer dit weer verskyn, is dit tyd om na die take, uitbreidings en gekoppelde DLL'e te kyk.

Wanneer om gevorderde hulp te vra

Indien jy, na die skoonmaak van uitbreidings, die deïnstallering van moontlike newe-programme en die uitvoer van anti-wanware, steeds rundll32 sien wat van begin af geloods is vreemde roetes, of jy sien simptome soos 'n geknoeide knipbord, kwaadwillige USB-kortpaaie en 'n "gestremde" sleutelbord, moenie dit los nie: konsultasie met gespesialiseerde ondersteuning'n Herstelskript word dikwels benodig persoonlike vir jou span wat speel registrasie, take en beleide chirurgies.

Onthou: elke rekenaar is 'n wêreld op sy eie. 'n Skrip wat vir 'n ander masjien ontwerp is (met verwysings na lêers soos TreeCenter\BortValue of spesifieke DLL'e) wat op joune uitgevoer word laat dit onstabielGevorderde skoonmaak is nie kopieer-plak nie, dit is individuele diagnose.

Gereelde vrae

Kan ek rundll32.exe verwyder? Nee. Dit is 'n noodsaaklike komponent van die stelsel. Die korrekte manier is om die sneller (taak, program, DLL) wat dit misbruik, te verwyder.
Waarom is daar verskeie gevalle? Omdat verskillende stelselfunksies en derdeparty-programme dit parallel aanroep. Verskeie gevalle, met lae kragverbruik, is normaal.
Waar moet dit wees? En C:\Windows\System32 Ek C:\Windows\SysWOW64, met sy MUI-lêers in taal-submappe. Wees buite Windows agterdogtig.
Kan 'n antivirus dit nie opspoor nie? Dit kan gebeur, veral met PUP's en adware. Tog identifiseer Microsoft Defender en 'n volledige skandering gewoonlik die meeste misbruik, en jy kan dit aanvul met 'n ander betroubare oplossing.
Wat is die ondubbelsinnige tekens van iets vreemds? Buitelandse paaie vir die DLL (ProgramData, AppData), vreemde stringe in die knipbord, kwaadwillige kortpaaie op USB, blokkerende tildes en geskeduleerde take wat oproepe rundll32.exe met verduisterde DLL's.

In opsomming, rundll32.exe is 'n wettige en noodsaaklike hulpmiddel wat, vanweë sy aard, deur advertensieware en Trojane uitgebuit kan word om ongewenste DLL's uit te voer. Voordat jy die uitvoerbare program blameer of dit verwyder, kyk na die instansiepad, watter DLL'e gelaai word en wie hulle aanroep; deïnstalleer PUP's, maak uitbreidings skoon, kontroleer geskeduleerde take en voer 'n goeie anti-wanware program uit. Met hierdie maatreëls, en deur toegang tot gevorderde ondersteuning te verkry wanneer nodig, kan jy die aanpak van misbruik sonder om stabiliteit in die gedrang te bring van jou Windows.

Daniel Terrasa

Redakteur spesialiseer in tegnologie en internetkwessies met meer as tien jaar ondervinding in verskillende digitale media. Ek het gewerk as 'n redakteur en inhoudskepper vir e-handel, kommunikasie, aanlyn bemarking en advertensiemaatskappye. Ek het ook op ekonomie, finansies en ander sektore se webwerwe geskryf. My werk is ook my passie. Nou, deur my artikels in Tecnobits, Ek probeer om al die nuus en nuwe geleenthede te verken wat die wêreld van tegnologie ons elke dag bied om ons lewens te verbeter.