Што такое rundll32.exe і як вызначыць, ці з'яўляецца ён законным, ці замаскіраваным шкоднасным праграмным забеспячэннем?

Калі вы сутыкнуліся rundll32.exe у дыспетчары задач і задаецеся пытаннем, што гэта такое, вы не самотныя: гэты выканальны файл з'яўляецца часта, часам у некалькіх экзэмплярах адначасова. Далёка не быць парушальнікам па змаўчанні, з'яўляецца часткай самой Windows, і яго мэтай з'яўляецца загрузка і выкананне функцый, размешчаных у DLL-файлы.

Цяпер, толькі таму, што нешта законнае, не азначае, што гэта нельга выкарыстоўваць са шкодным кібератак. Некаторыя патэнцыйна непажаданыя праграмы і шкоднасныя праграмы маскіруюцца пад сваёй назвай або Яны выкарыстоўваюць сапраўдны rundll32 для запуску шкоднаснага кода.У наступных радках я раскажу вам, што гэта такое, дзе яно павінна знаходзіцца, чаму яно можа паказваць памылкі або спажываць рэсурсы працэсара, як адрозніць добрае ад дрэннага і якія крокі трэба зрабіць, каб не пашкодзіць вашу сістэму.

Што такое rundll32.exe і для чаго ён выкарыстоўваецца?

файл rundll32.exe Гэта ўбудаваны кампанент Windows, які выкарыстоўваецца для выклікаць функцыі, экспартаваныя з дынамічных бібліятэк (DLL)Простай мовай: калі сістэме або праграме трэба выканаць функцыю, якая знаходзіцца ў DLL, яна можа выклікаць яе праз rundll32.

DLL-бібліяграфіі інкапсулююць блокі паўторна выкарыстоўванага кода, які выкарыстоўваецца многімі праграмамі, пачынаючы з сеткавыя, аўдыё-, відэа- або інтэрфейсныя задачы з якім вы ўзаемадзейнічаеце. Вось чаму ў тыповых устаноўках Windows (7, 10, 11 і г.д.) ёсць тысячы DLL-файлаў, і rundll32 з'яўляецца ключом да іх аркестроўкі.

Дзе знайсці і як распазнаць легітымную копію

У здаровай сістэме вы ўбачыце легітымныя копіі rundll32.exe на такіх маршрутах, як C: \ Windows \ System32 (64-бітнае асяроддзе) і C: \ Windows \ SysWOW64 (32-бітная сумяшчальнасць на сістэмах x64). Таксама можа быць MUI-файлы звязаных моўных рэсурсаў у падтэчках, такіх як en-US o pl-PL, напрыклад C:\Windows\System32\en-US\rundll32.exe.mui.

Калі вы ўбачыце, як ён уцякае ад тэчкі па-за каталогам Windows (напрыклад, у AppData, ProgramData або часовы каталог), будзьце асцярожныя. Шкоднасныя праграмы часта маскіруюцца пад тым жа імем, але запускаюцца з іншага месца умяшанне ў законныя працэсы.

Ці гэта вірус? Як шкоднаснае праграмнае забеспячэнне яго выкарыстоўвае

Кароткі адказ: Няма.. Rundll32.exe Гэта не вірус, гэта Уласны інструмент WindowsУ доўгатэрміновай перспектыве: ёсць дзве тыповыя пасткі. Па-першае, шкоднасная праграма з такой жа назвай знаходзіцца па іншым шляху. Па-другое, траян загружае сваю шкоднасную DLL-бібліятэку праз сапраўдную rundll32, таму працэс, які вы бачыце, ад Microsoft, але... запускае шкоднасную бібліятэку.

У гісторыі пагроз згадваюцца сямействы, якія выкарыстоўваюць rundll32, такія як Backdoor.W32.Ranky o W32.Miroot.ЧарвякА больш звычайныя рэкламныя або назойлівыя пашырэнні браўзера выкарыстоўваюць яго для запуску задач, якія ў выніку прыводзяць да Усплывальныя вокны, перанакіраванні і выкарыстанне працэсараГэта адна з прычын, чаму многія карыстальнікі лічаць rundll32 «вірусам».

• Калі вы заўважыце лішак рэкламы або ў міжпрамежкавых вокнах, магчыма, ёсць рэкламнае ПЗ, якое залежыць ад rundll32.
• Лас- перанакіроўвае на дзіўныя вэб-сайты і запаволенне браўзера таксама супадае з патэнцыйна непажаданымі праграмамі/шпіёнскімі праграмамі.
• Сістэма можа стаць лянівым працэсамі, якія запускаюць rundll32 з падазронымі DLL-файламі.

Чаму я бачу некалькі экзэмпляраў і паведамленняў пра памылкі?

Тое, што Дыспетчар задач паказвае некалькі экзэмпляраў Гэта нармальна: розныя кампаненты сістэмы або праграмы іншых вытворцаў могуць выклікаць яго адначасова. Windows размяркоўвае задачы, і вы ўбачыце некалькі rundll32, якія працуюць паралельна ў залежнасці ад таго, што адбываецца ў фонавым рэжыме.

Ненармальным з'яўляецца пастаянныя скокі нагрузкі на працэсар або паведамленні, падобныя на «Код памылкі: rundll32.exe» падчас прагляду вэб-старонак у Chrome, Edge, Firefox або IE. У такіх выпадках рэкамендуецца падазраваць патэнцыйна непажаданыя праграмы (ПНП), агрэсіўныя пашырэнні або траян, які выкарыстоўвае выканальны файл для загрузкі сваёй DLL-бібліятэкі.

Чаго не рабіць: выдаляць rundll32.exe

Выдаленне rundll32.exe de System32/SysWOW64 Гэта не варыянт: гэта файл крытычна для WindowsВыдаленне можа парушыць асноўныя функцыі, выклікаць збоі або перашкодзіць сістэме загрузіць неабходныя кампаненты.

Калі вы лічыце, што rundll32 робіць «нешта, чаго не павінен», разумным рашэннем будзе высветліць, які працэс або задача яго выклікае і спыніце гэта: адключыце або выдаліце ​​задачу, выдаліце ​​праблемную праграму, ачысціце DLL-бібліятэку і ўзмацніце абарону з дапамогай добрага антывіруснага ПЗ.

Як праверыць, ці з'яўляецца экзэмпляр шкоднасным

Гэтыя праверкі дапамагаюць адрозніць законнае выкарыстанне ад шкоднаснага, не выклікаючы панікі і не пашкоджваючы сістэму. Тым не менш Калі вы адчуваеце сябе няёмка, лепш звярнуцца па дапамогу. прафесійнай або спецыялізаванай супольнасці.

• Праверце маршрутУ дыспетчары задач дадайце слупок «Камандны радок» або адкрыйце «Уласцівасці» працэсу. Калі rundll32.exe не ў C:\Windows\System32 o C:\Windows\SysWOW64, дрэнны знак.
• Праверце, што DLL загружаеццаЗвычайна пасля rundll32 ідзе шлях да DLL і экспартаванай функцыі. Шляхі тыпу C:\ProgramData\... o C:\Users\...\AppData\... патрабуюць перагляду. Прыклад Файл cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue відавочна падазрона.
• праверце Планавальнік заданняўПошук нядаўніх задач або задач з заблытанымі назвамі, якія выклікаюць rundll32. Законныя шляхі ў Microsoft можна выкарыстоўваць у якасці фасад загружаць няправільныя DLL-файлы.
• Бывае Абаронца Microsoft або надзейны антывірус: поўнае сканаванне з актуальнымі сігнатурамі выявіць большасць патэнцыйна непажаданых праграм, рэкламнага ПЗ, шпіёнскіх праграм і траянаў, якія прымацоўваюцца да rundll32.
• Аўдыт пашырэння браўзэраВыдаліце ​​ўсё непатрэбнае, асабліва пашырэнні проксі-сервера VPN, загрузнікі або «разблакіроўкі», якія часта ўтрымліваюць рэкламу.
• Выкарыстоўвайце дыягнастычныя інструменты, такія як Process Explorer бачыць бацькоўскі працэс (бацькоўскі працэс), які выклікае rundll32 і лічбавы подпіс выканальнага файла. Подпіс Microsoft у System32/SysWOW64 гэта нармальна; дзіўна тое, што слоты знаходзяцца па-за Windows.

Меры па ачыстцы і прафілактыцы

Першы ўзровень — гэта здаровы сэнс: Выдаліце ​​праграмнае забеспячэнне, якім вы не карыстаецеся або якое ўтрымлівае рэкламнае ПЗДля дбайнай уборкі многія кіраўніцтвы рэкамендуюць Revo Uninstaller у пашыраным рэжыме, каб выдаліць рэшткі (папкі, ключы рэестра) патэнцыйна непажаданых праграм, такіх як «DuvApp» або назойлівыя пакеты «аптымізацыі».

Затым запусціце поўнае сканаванне з дапамогай Microsoft Defender і, калі вы лічыце гэта мэтазгодным, дадатковае антывіруснае праграмнае забеспячэнне з праверанай рэпутацыяй. Гэта дапамагае выяўляць шкоднасныя DLL-файлы і запланаваныя задачы, якія абапіраюцца на rundll32 для моўчкі трымаць.

У прафесійнай ачыстцы вы ўбачыце згадкі пра рэзервовыя копіі рэестра (напрыклад, з дапамогай DelFix) і выкарыстанне карыстацкія сцэнарыі з FRST (Farbar) для аднаўлення палітык, выдалення задач, разблакіроўкі выкарыстоўваных DLL-бібліятэк і г.д. Гэтыя скрыпты... адаптаваны да кожнай камандыНе выкарыстоўвайце паўторна чужыя прылады, бо вы можаце пашкодзіць свой Windows.

Звычайныя дзеянні для гэтых скрыптоў ўключаюць скід налад сеткі і брандмаўэра (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), блізкія працэсы, выдаліць тэчкі en ProgramData/AppData звязаныя з патэнцыйна нежаданымі праграмамі і ачышчаюць запланаваныя задачы, якія загружаюць DLL-бібліятэкі з дапамогай rundll32.exeЗноў жа: лепш у руках прафесіянала.

Каб мінімізаваць рызыкі ў будучыні, захавайце Windows і свае праграмы заўсёды абнаўляецца, спампоўвайце праграмнае забеспячэнне з афіцыйных сайтаў, адключайце лішнія кампаненты ў «экспрэс-» ўстаноўках і з падазрэннем ставіцеся да любых сістэмных выканальных файлаў, якія з'яўляюцца па-за стандартныя маршруты.

Больш падказак пра месцазнаходжанне і звязаныя файлы

Акрамя System32 і SysWOW64, вы ўбачыце файлы рэсурсаў MUI rundll32 у моўных тэчках, такіх як en-US o pl-PLЯны не выканальныя, але рэсурсы лакалізацыіГлядзіце «rundll32» без .exe у Правадыру можа быць звязана з схаваць пашырэнні з вядомых файлаў.

Калі падазроны экзэмпляр перастане з'яўляцца, і ваша праблема (напрыклад, падвойны акцэнт на клавіятуры) знікае, гэта прыкмета таго, што праблемны фрагмент быў дзесьці яшчэ і выкарыстоўваў rundll32 як праграму запуску. Калі яна зноў з'явіцца, пара паглядзець на задачы, пашырэнні і падлучаныя DLL-бібліятэкі.

Калі звяртацца па дадатковую дапамогу

Калі пасля ачысткі пашырэнняў, выдалення патэнцыйна нежаданых праграм і запуску антывіруснага праграмнага забеспячэння вы ўсё яшчэ бачыце, што rundll32 запускаецца з дзіўныя маршруты, або вы заўважылі такія сімптомы, як падроблены буфер абмену, шкоднасныя спалучэнні клавіш USB і «пашкоджаная» клавіятура, не пакідайце яго: кансультацыя са спецыялізаванай падтрымкайЧаста патрабуецца сцэнар рамонту звычай для вашай каманды, якая гуляе рэгістрацыя, задачы і палітыка хірургічным шляхам.

Памятайце: кожны камп'ютар — гэта асобны свет. Скрыпт, распрацаваны для іншай машыны (са спасылкамі на тэчкі, такія як TreeCenter\BortValue або пэўныя DLL-бібліятэкі), якія выконваюцца на вашай канфігурацыі пакінуць яго нестабільнымПашыраная ўборка — гэта не капіяванне і ўстаўка, а індывідуальны дыягназ.

Часта задаюць пытанні

• Ці магу я выдаліць rundll32.exe? Не. Гэта важны кампанент сістэмы. Правільны спосаб — выдаліць трыгер (задачу, праграму, DLL), які яго няправільна выкарыстоўвае.
• Чаму ёсць некалькі экзэмпляраў? Таму што розныя сістэмныя функцыі і праграмы іншых вытворцаў выклікаюць яго паралельна. Некалькі экземпляраў з нізкім спажываннем энергіі — гэта нармальна.
• Дзе гэта павінна быць? En C:\Windows\System32 і / або C:\Windows\SysWOW64, з файламі MUI ў моўных падпапках. Па-за Windows будзьце падазронымі.
• Ці можа антывірус яго не выявіць? Гэта можа здарыцца, асабліва з патэнцыйна непажаданымі праграмамі і рэкламным ПЗ. Тым не менш, Microsoft Defender і поўнае сканаванне звычайна выяўляюць большасць злоўжыванняў, і вы можаце дапоўніць яго іншым надзейным рашэннем.
• Якія ж недвухсэнсоўныя прыкметы чагосьці дзіўнага? Знешнія шляхі для DLL (ProgramData, AppData), дзіўныя радкі ў буферы абмену, шкоднасныя цэтлікі на USB, блакіруючыя тыльды і запланаваныя задачы, якія выклікаюць rundll32.exe з абфускаванымі DLL-файламі.

У цэлым, rundll32.exe — гэта законны і неабходны інструмент. які па сваёй прыродзе можа быць выкарыстаны рэкламным ПЗ і траянамі для запуску непажаданых DLL-файлаў. Перш чым вінаваціць выканальны файл або выдаляць яго, паглядзіце на шлях да экзэмпляра, якія DLL-бібліятэкі загружаюцца і хто іх выклікае; выдаляйце патэнцыйна непажаданыя праграмы, ачышчайце пашырэнні, правярайце запланаваныя задачы і запускайце добрую антывірусную праграму. З дапамогай гэтых мер і звяртаючыся да пашыранай падтрымкі пры неабходнасці, вы можаце барацьба са злоўжываннямі без шкоды для стабільнасці вашай Windows.