ما هو rundll32.exe وكيف تعرف إذا كان برنامجًا ضارًا حقيقيًا أم مقنعًا؟

آخر تحديث: 17/09/2025
نبذة عن الكاتب: دانيال تيراسا

  • يعد Rundll32.exe مشروعًا: فهو يقوم بتحميل وظائف DLL لنظام Windows والتطبيقات.
  • الموقع الصحيح له هو System32/SysWOW64؛ خارج ذلك، كن حذرًا.
  • يمكن للبرامج الضارة إخفاء نفسها أو استخدام rundll32 لتشغيل ملفات DLL.
  • لا تحذفه: حدد المهام/ملفات DLL المخالفة واستخدم برامج مكافحة البرامج الضارة.
ما هو rundll32.exe

إذا كنت قد جئت عبر rundll32.exe في "إدارة المهام" وتتساءل ما هذا الأمر، فأنت لست وحدك: يظهر هذا الملف القابل للتنفيذ بشكل متكرر، وفي بعض الأحيان في حالات متعددة في وقت واحد. بعيدًا عن كونه متطفلًا افتراضيًا، هو جزء من Windows نفسه والغرض منه هو تحميل وتنفيذ الوظائف المستضافة في ملفات DLL.

الآن، مجرد كونها مشروعة لا يعني أنها غير قابلة للاستخدام الضار. بعض البرامج غير المرغوب فيها والبرمجيات الخبيثة تخفي نفسها باسمها أو إنهم يستغلون rundll32 الحقيقي لإطلاق تعليمات برمجية ضارة.في السطور التالية، سأخبرك بالضبط ما هو، وأين يجب أن يكون، ولماذا قد يعرض أخطاء أو يستهلك وحدة المعالجة المركزية، وكيفية التمييز بين الجيد والسيئ، وما هي الخطوات التي يجب اتخاذها دون إتلاف نظامك.

ما هو rundll32.exe وما هي استخداماته؟

عملية Rundll32.exe تنفذ DLL

الملف rundll32.exe إنه أحد مكونات Windows الأصلية التي يتم استخدامها لـ استدعاء الوظائف المُصدَّرة من مكتبات الارتباط الديناميكي (DLLs)ببساطة: عندما يحتاج النظام أو التطبيق إلى تنفيذ وظيفة موجودة في DLL، فيمكنه استدعاؤها من خلال rundll32.

تغلف ملفات DLL كتلًا من التعليمات البرمجية القابلة لإعادة الاستخدام والتي تشترك فيها العديد من البرامج، من مهام الشبكة أو الصوت أو الفيديو أو الواجهة التي تتفاعل معها. لهذا السبب، في أنظمة Windows التقليدية (7، 10، 11، إلخ) توجد آلاف ملفات DLL، وrundll32 هو المفتاح لتنظيمها.

أين تجد نسخة أصلية وكيف تتعرف عليها

في نظام صحي سوف ترى نسخًا شرعية من rundll32.exe على طرق مثل C: \ WINDOWS \ System32 (بيئة 64 بت) و C: \ ويندوز \ سيسوشنومك (توافق 32 بت مع أنظمة x64). قد يكون هناك أيضًا ملفات MUI من الموارد اللغوية المرتبطة في المجلدات الفرعية مثل en-US o pl-PLعلى سبيل المثال C:\Windows\System32\en-US\rundll32.exe.mui.

إذا وجدته يركض من المجلدات خارج دليل Windows (على سبيل المثال، في AppData, ProgramData أو دليل مؤقت)، كن حذرًا. من الشائع أن تُخفي البرامج الضارة نفسها باستخدام نفس الاسم، ولكنها تعمل من موقع آخر إلى التدخل في العمليات المشروعة.

هل هو فيروس؟ كيف يستغله البرامج الضارة؟

الجواب القصير: لا. Rundll32.exe إنه ليس فيروسًا، إنه أداة خاصة بنظام Windowsعلى المدى البعيد: هناك فخّان شائعان. الأول، وجود برنامج ضار يحمل الاسم نفسه في مسار مختلف. والثاني، قيام حصان طروادة بتحميل ملف DLL الضار عبر ملف rundll32 الأصلي، لذا فإن العملية التي تراها هي من مايكروسوفت، ولكن يقوم بتشغيل مكتبة ضارة.

محتوى حصري - اضغط هنا  ما الجديد في Norton AntiVirus لنظام Mac؟

في تاريخ التهديدات، تم ذكر العائلات التي تستخدم rundll32، مثل مستتر.W32.رانكي o W32.Miroot.Worm. والأكثر شيوعًا هو استخدام ملحقات المتصفحات الضارة أو البرامج الإعلانية لتشغيل المهام التي تنتهي بـ النوافذ المنبثقة وعمليات إعادة التوجيه واستخدام وحدة المعالجة المركزيةهذا أحد الأسباب التي تجعل العديد من المستخدمين يعتقدون أن rundll32 "فيروس".

  • إذا لاحظت فائض من الإعلانات أو النوافذ البينية، قد يكون هناك برامج إعلانية تعتمد على rundll32.
  • ال إعادة التوجيه إلى مواقع ويب غريبة يتناسب تباطؤ المتصفح أيضًا مع برامج الجراء غير المرغوب فيها/برامج التجسس.
  • يمكن للنظام أن تصبح كسولًا من خلال العمليات التي تقوم بتشغيل rundll32 باستخدام ملفات DLL المشبوهة.

لماذا أرى حالات ورسائل خطأ متعددة؟

أن يعرض مدير المهام حالات متعددة هذا أمر طبيعي: يمكن لمكونات نظام مختلفة أو تطبيقات خارجية تشغيله في الوقت نفسه. يوزع ويندوز المهام، وسترى عدة ملفات rundll32 تعمل بالتوازي، وذلك حسب ما يحدث في الخلفية.

ما ليس طبيعيًا هو رؤية ارتفاعات مستمرة في وحدة المعالجة المركزية أو رسائل مثل رمز الخطأ: rundll32.exe أثناء تصفحك لمتصفحات Chrome أو Edge أو Firefox أو IE. في هذه الحالات، يُنصح بالتأكد من البرامج غير المرغوب فيها المحتملة (PUPs)، ملحقات عدوانية أو حصان طروادة يستغل الملف القابل للتنفيذ لتحميل ملف DLL الخاص به.

ما لا يجب فعله: حذف rundll32.exe

نقل rundll32.exe de نظام 32/SysWOW64 إنه ليس خيارًا: إنه ملف مهم لنظام التشغيل Windowsقد يؤدي حذفه إلى تعطيل الوظائف الأساسية، أو التسبب في الأعطال، أو منع النظام من تحميل المكونات الضرورية.

إذا كنت تعتقد أن rundll32 يقوم "بشيء لا ينبغي له القيام به"، فإن الشيء المعقول الذي يجب عليك فعله هو اكتشف أي عملية أو مهمة تستدعيها وقطعها: قم بتعطيل المهمة أو حذفها، وإلغاء تثبيت البرنامج المسبب للمشكلة، وتنظيف ملف DLL، وتعزيز الحماية باستخدام برنامج جيد لمكافحة البرامج الضارة.

برامج ضارة غير مرئية

كيفية التحقق مما إذا كانت الحالة ضارة

تساعدك هذه الفحوصات على التمييز بين الاستخدام المشروع والاستخدام الضار دون إثارة الذعر أو الإضرار بالنظام. إذا كنت لا تشعر بالراحة، فمن الأفضل أن تطلب المساعدة. إلى مجتمع مهني أو متخصص.

  • التحقق من الطريقفي إدارة المهام، أضف عمود "سطر الأوامر" أو افتح "خصائص" العملية. إذا rundll32.exe ليس في C:\Windows\System32 o C:\Windows\SysWOW64، علامة سيئة.
  • تحقق مما يتم تحميل DLLعادةً ما يتبع rundll32 مسار ملف DLL ودالة مُصدَّرة. مسارات مثل C:\ProgramData\... o C:\Users\...\AppData\... تتطلب المراجعة. مثال على cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue من الواضح أنه مشبوه.
  • تحقق من جدولة المهام: ابحث عن المهام الحديثة أو المهام ذات الأسماء غير الواضحة التي تستدعي rundll32. يمكن استخدام المسارات الشرعية في Microsoft كـ مظهر زائف لتحميل ملفات DLL غير الصحيحة.
  • باشا مايكروسوفت ديفندر أو برنامج مكافحة البرامج الضارة موثوق به: سيعمل الفحص الكامل باستخدام التوقيعات المحدثة على اكتشاف معظم برامج الجراء غير المرغوب فيها، والبرامج الإعلانية، وبرامج التجسس، وأحصنة طروادة التي تلتصق بـ rundll32.
  • مراجعة ملحقات المتصفح:قم بإلغاء تثبيت أي شيء غير ضروري، وخاصة ملحقات بروكسي VPN، أو برامج التنزيل، أو "برامج إلغاء الحظر" التي تحتوي غالبًا على إعلانات.
  • استخدم أدوات التشخيص مثل عملية إكسبلورر لرؤية العملية الأم (عملية الأصل) التي تستدعي rundll32 والتوقيع الرقمي للملف القابل للتنفيذ. توقيع مايكروسوفت في System32/SysWOW64 يكون الأمر طبيعيًا؛ الشيء الغريب هو وجود فتحات خارج Windows.
محتوى حصري - اضغط هنا  كيفية إدخال ملف تعريف Instagram دون أن يتم اكتشافه

إجراءات التنظيف والوقاية

الطبقة الأولى هي الفطرة السليمة: قم بإلغاء تثبيت البرامج التي لا تستخدمها أو التي تكون عرضة للبرامج الإعلانية. للحصول على تنظيف شامل، يوصي العديد من المرشدين بما يلي: ريفو إلغاء التثبيت في الوضع المتقدم لإزالة بقايا (المجلدات ومفاتيح التسجيل) من البرامج غير المرغوب فيها مثل "DuvApp" أو مجموعات "التحسين" المتطفلة.

ثم قم بتشغيل فحص كامل باستخدام Microsoft Defender وإذا كنت تعتقد أنه مناسب، فبرنامج إضافي لمكافحة البرامج الضارة ذو سمعة جيدة. يساعد هذا في تعقب ملفات DLL الضارة والمهام المجدولة التي تعتمد على rundll32 استمر بصمت.

في التنظيف الاحترافي، سترى ذكرًا لنسخ احتياطية للسجل (على سبيل المثال باستخدام DelFix) واستخدام نصوص مخصصة مع FRST (Farbar) لإصلاح السياسات وحذف المهام وإلغاء حظر ملفات DLL قيد الاستخدام وما إلى ذلك. هذه البرامج النصية هي مصممة خصيصًا لكل فريق:لا تقم بإعادة استخدام برنامج شخص آخر لأنه قد يؤدي إلى إتلاف نظام التشغيل Windows الخاص بك.

تتضمن الإجراءات الشائعة لهذه البرامج النصية إعادة تعيين الشبكة وجدار الحماية (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), إغلاق العمليات، حذف المجلدات en ProgramData/AppData مرتبط بـ PUPs وتنظيف المهام المجدولة التي تقوم بتحميل ملفات DLL باستخدام rundll32.exeمرة أخرى: أفضل في أيدي الخبراء.

لتقليل المخاطر المستقبلية، احتفظ بنظام Windows وتطبيقاتك دائما محدثقم بتنزيل البرامج من المواقع الرسمية، وقم بإلغاء تحديد المكونات الإضافية في التثبيتات "السريعة" وكن حذرًا من أي ملف قابل للتنفيذ للنظام يظهر خارج الطرق القياسية.

مزيد من الأدلة حول المواقع والملفات ذات الصلة

بالإضافة إلى System32 وSysWOW64، ستشاهد ملفات الموارد MUI من rundll32 في مجلدات اللغة مثل en-US o pl-PL. إنها غير قابلة للتنفيذ، ولكن موارد التوطين. انظر "rundll32" بدون .exe في المستكشف قد يكون بسبب إخفاء الامتدادات من الملفات المعروفة.

محتوى حصري - اضغط هنا  فشل Microsoft CrowdStrike: الأسباب والتأثير والحلول

إذا توقفت الحالة المشبوهة عن الظهور وتم حل مشكلتك (على سبيل المثال، لهجة مزدوجة إذا اختفت (على لوحة المفاتيح) فهذه علامة على أن القطعة التي بها مشكلة كانت مكان آخر واستخدمت rundll32 كمُشغِّل. عند ظهوره مجددًا، حان الوقت لمراجعة المهام والملحقات وملفات DLL المتصلة.

متى تطلب المساعدة المتقدمة

إذا، بعد تنظيف الإضافات وإلغاء تثبيت برامج الجراء غير المرغوب فيها وتشغيل برامج مكافحة البرامج الضارة، لا تزال ترى تشغيل rundll32 من طرق غريبةإذا لاحظت أعراضًا مثل الحافظة المعطلة، أو اختصارات USB الضارة، أو لوحة المفاتيح "المعطلة"، فلا تتركها: الاستشارة مع الدعم المتخصص. غالبًا ما يكون هناك حاجة إلى نص إصلاح على لفريقك الذي يلعب التسجيل والمهام والسياسات جراحيًا.

تذكر: كل جهاز كمبيوتر هو عالم بحد ذاته. نص برمجي مصمم لجهاز آخر (مع إشارات إلى مجلدات مثل TreeCenter\BortValue أو ملفات DLL محددة) يتم تنفيذها على جهازك اتركه غير مستقر. التنظيف المتقدم ليس نسخًا ولصقًا، بل هو التشخيص الفردي.

الأسئلة الشائعة

  • هل يمكنني إزالة rundll32.exe؟ لا، إنه مُكوّن أساسي للنظام. الطريقة الصحيحة هي إزالة المُحفّز (المهمة، البرنامج، ملف DLL) الذي يُسيء استخدامه.
  • لماذا هناك حالات متعددة؟ لأن وظائف النظام المختلفة وتطبيقات الجهات الخارجية تستدعيها بالتوازي. وجود نسخ متعددة، مع استهلاك منخفض للطاقة، أمر طبيعي.
  • أين يجب أن يكون؟ En C:\Windows\System32 و / أو C:\Windows\SysWOW64مع ملفات MUI الخاصة به في مجلدات فرعية للغات. خارج نظام ويندوز، كن حذرًا.
  • هل لا يستطيع برنامج مكافحة الفيروسات اكتشافه؟ قد يحدث هذا، خاصةً مع البرامج غير المرغوب فيها (PUPs) والبرامج الإعلانية. مع ذلك، عادةً ما يكشف Microsoft Defender والفحص الشامل عن معظم حالات الاختراق، ويمكنك استكمال ذلك بحل موثوق آخر.
  • ما هي العلامات الواضحة لشيء غريب؟ المسارات الأجنبية لـ DLL (ProgramData, AppData)، سلاسل غريبة في الحافظة، واختصارات ضارة على USB، وعلامات التلدة المحظورة والمهام المجدولة التي تستدعي rundll32.exe مع مكتبات DLL المشوشة.

وخلاصة القول، rundll32.exe هي أداة شرعية وضرورية والتي، بطبيعتها، يمكن استغلالها بواسطة برامج الإعلانات وأحصنة طروادة لتشغيل ملفات DLL غير المرغوب فيها. قبل إلقاء اللوم على الملف التنفيذي أو حذفه، انظر إلى مسار المثيل، أي ملفات DLL مُحمّلة ومن يستدعيها؛ إلغاء تثبيت البرامج غير المرغوب فيها، وتنظيف الإضافات، والتحقق من المهام المجدولة، وتشغيل برنامج جيد لمكافحة البرامج الضارة. بهذه الإجراءات، وبالوصول إلى الدعم المتقدم عند الضرورة، يمكنك معالجة الانتهاكات دون المساس بالاستقرار من ويندوز الخاص بك.