Šta je rundll32.exe, lokacije i znakovi zlonamjernog softvera

Rundll32.exe je legitiman: učitava DLL funkcije za Windows i aplikacije.
Njegova važeća lokacija je System32/SysWOW64; izvan toga, budite sumnjičavi.
Zlonamjerni softver se može prikriti ili koristiti rundll32 za pokretanje DLL-ova.
Nemojte ga brisati: identificirajte problematične zadatke/DLL-ove i koristite antivirusni program.

Ako ste naišli rundll32.exe u Upravitelju zadataka i pitate se šta je to, niste sami: ova izvršna datoteka se često pojavljuje, ponekad u više instanci odjednom. Daleko od toga da bude uljez po defaultu, dio je samog Windowsa i njegova svrha je učitavanje i izvršavanje funkcija smještenih u DLL datoteke.

Sada, samo zato što je nešto legitimno ne znači da se ne može zlonamjerno koristiti. Neki potencijalno neželjeni programi i zlonamjerni softver se kamufliraju svojim imenom ili Oni iskorištavaju pravi rundll32 za pokretanje zlonamjernog koda.U narednim redovima, objasniću vam tačno šta je to, gdje bi trebalo da se nalazi, zašto bi moglo da prikazuje greške ili troši CPU, kako da razlikujete dobro od lošeg i koje korake da preduzmete bez uništavanja sistema.

Šta je rundll32.exe i za šta se koristi?

Proces Rundll32.exe koji izvršava DLL datoteku

Datoteka rundll32.exe To je izvorna Windows komponenta koja se koristi za pozivanje funkcija izvezenih iz dinamičkih biblioteka veza (DLL)Jednostavno rečeno: Kada sistem ili aplikacija treba da izvrši funkciju koja se nalazi u DLL-u, može je pozvati putem rundll32.

DLL-ovi enkapsuliraju blokove koda za višekratnu upotrebu koji mnogi programi dijele, od mrežni, audio, video ili interfejs zadaci s kojima komunicirate. Zato u tipičnim Windows instalacijama (7, 10, 11, itd.) postoje hiljade DLL-ova, a rundll32 je ključan za njihovo orkestriranje.

Gdje pronaći i kako prepoznati legitimnu kopiju

U zdravom sistemu vidjet ćete legitimne kopije rundll32.exe na rutama kao što su C:\Windows\System32 (64-bitno okruženje) i C:\Windows\SysWOW64 (32-bitna kompatibilnost na x64 sistemima). Može postojati i MUI datoteke povezanih jezičkih resursa u podfolderima kao što su en-US o pl-PLNa primjer C:\Windows\System32\en-US\rundll32.exe.mui.

Ako ga nađete kako bježi od mape izvan Windows direktorija (npr. u AppData, ProgramData ili privremeni direktorij), budite oprezni. Uobičajeno je da se zlonamjerni softver prikrije koristeći isto ime, ali se pokreće s druge lokacije miješanje u legitimne procese.

Je li to virus? Kako ga zlonamjerni softver iskorištava

Kratak odgovor: Ne. Rundll32.exe To nije virus, to je Windowsov vlastiti alatDugoročno gledano: postoje dvije tipične zamke. Prvo, zlonamjerni program s istim imenom nalazi se na drugoj putanji. Drugo, trojanac učitava svoj zlonamjerni DLL putem autentičnog rundll32, tako da je proces koji vidite Microsoftov, ali pokreće zlonamjernu biblioteku.

Ekskluzivni sadržaj - kliknite ovdje Kako ukloniti viruse? Jesi li ti onaj u videu?

U historiji prijetnji spominju se porodice koje koriste rundll32, kao što su Backdoor.W32.Ranky o W32.Miroot.CrvA običnija, reklamna ili nametljiva proširenja preglednika koriste ga za pokretanje zadataka koji završe u Iskačući prozori, preusmjeravanja i korištenje CPU-aTo je jedan od razloga zašto mnogi korisnici vjeruju da je rundll32 „virus“.

Ako primijetite višak oglasa ili međuprostornih prozora, moguće je da postoji adware koji se oslanja na rundll32.
The preusmjerava na čudne web stranice i usporavanje preglednika također odgovara potencijalno neželjenim programima/špijunskom softveru.
Sistem može postati lijen od strane procesa koji pokreću rundll32 sa sumnjivim DLL-ovima.

Zašto vidim više instanci i poruka o grešci?

Da Upravitelj zadataka prikazuje više instanci Ovo je normalno: različite sistemske komponente ili aplikacije trećih strana mogu ga pozvati istovremeno. Windows distribuira zadatke i vidjet ćete nekoliko rundll32 datoteka koje rade paralelno, ovisno o tome šta se dešava u pozadini.

Ono što nije normalno jeste vidjeti stalne skokove u opterećenju procesora ili poruke poput "Kod greške: rundll32.exe" tokom pregledavanja u Chromeu, Edgeu, Firefoxu ili IE-u. U ovim scenarijima preporučljivo je posumnjati potencijalno neželjeni programi (PUP-ovi), agresivne ekstenzije ili trojanac koji iskorištava izvršnu datoteku za učitavanje svoje DLL datoteke.

Šta ne treba raditi: izbrisati rundll32.exe

Eliminisati rundll32.exe de System32/SysWOW64 To nije opcija: to je datoteka kritično za WindowsBrisanje može poremetiti osnovne funkcije, uzrokovati pad sistema ili spriječiti sistem da učita potrebne komponente.

Ako mislite da rundll32 radi „nešto što ne bi trebao“, razumno je da uradite saznati koji proces ili zadatak ga poziva i uklonite ga: onemogućite ili izbrišite zadatak, deinstalirajte problematični program, očistite DLL i pojačajte zaštitu dobrim antimalwareom.

nevidljivi zlonamjerni softver

Kako provjeriti da li je instanca zlonamjerna

Ove provjere vam pomažu da razlikujete legitimnu upotrebu od zlonamjerne upotrebe bez izazivanja uzbune ili oštećenja sistema. Ipak, Ako se ne osjećate ugodno, bolje je zatražiti pomoć. profesionalnoj ili specijaliziranoj zajednici.

Provjerite rutuU Upravitelju zadataka dodajte kolonu "Komandna linija" ili otvorite "Svojstva" procesa. Ako rundll32.exe Nije unutra C:\Windows\System32 o C:\Windows\SysWOW64, loš znak.
Provjeri šta DLL se učitavaNakon rundll32 obično slijedi putanja do DLL-a i izvezene funkcije. Putanje poput C:\ProgramData\... o C:\Users\...\AppData\... zahtijevaju pregled. Primjer Datoteka cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue je očigledno sumnjivo.
Provjerite Planer zadataka: Pretražite nedavne zadatke ili zadatke sa zamagljenim imenima koji pozivaju rundll32. Legitimne putanje pod Microsoftom mogu se koristiti kao fasada za učitavanje neispravnih DLL-ova.
Dešava se Microsoft Defender ili pouzdan anti-malware: potpuno skeniranje s ažuriranim potpisima otkrit će većinu potencijalno neželjenih programa (PUP), adwarea, špijunskog softvera i trojanaca koji se prikače za rundll32.
Revizija ekstenzije preglednikaDeinstalirajte sve što nije neophodno, posebno VPN proxy ekstenzije, programe za preuzimanje ili "deblokiranje" koji često sadrže oglase.
Koristite dijagnostičke alate kao što su Istraživač procesa vidjeti roditeljski proces (roditeljski proces) koji poziva rundll32 i digitalni potpis izvršne datoteke. Microsoftov potpis U System32/SysWOW64 je to normalno; čudna stvar su slotovi izvan Windowsa.

Ekskluzivni sadržaj - kliknite ovdje Kako kalibrirati vrijeme uzimanja Snorta?

Mjere čišćenja i prevencije

Prvi sloj je zdrav razum: Deinstalirajte softver koji ne koristite ili koji je sklon adwareuZa temeljito čišćenje, mnogi vodiči preporučuju Revo deinstalator u naprednom načinu rada za uklanjanje ostataka (mapa, ključeva registra) potencijalno neželjenih programa poput „DuvApp“ ili nametljivih paketa za „optimizaciju“.

Zatim, pokrenite potpuno skeniranje pomoću Microsoft Defendera i, ako smatrate da je prikladno, dodatni anti-malware program s dokazanom reputacijom. Ovo pomaže u pronalaženju zlonamjernih DLL-ova i zakazanih zadataka koji se oslanjaju na rundll32 za tiho istrajati.

U profesionalnom čišćenju vidjet ćete spominjanje sigurnosnih kopija registra (npr. s DelFixom) i korištenje prilagođene skripte sa FRST-om (Farbar) za popravak pravila, brisanje zadataka, deblokiranje DLL-ova koji se koriste itd. Ti skripti su prilagođeno svakom timuNe koristite ponovo tuđe jer možete oštetiti svoj Windows.

Uobičajene radnje za ove skripte uključuju resetiranje mreže i zaštitnog zida (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), zatvorite procese, obriši mape en ProgramData/AppData povezani s potencijalno neželjenim programima i čiste zakazane zadatke koji učitavaju DLL-ove pomoću rundll32.exeOpet: bolje u stručnim rukama.

Da biste smanjili buduće rizike, zadržite Windows i svoje aplikacije uvijek ažuran, preuzimajte softver sa službenih stranica, isključite dodatne komponente u "ekspresnim" instalacijama i budite sumnjičavi prema bilo kojoj izvršnoj datoteci sistema koja se pojavljuje izvan standardne rute.

Više tragova o lokacijama i povezanim datotekama

Pored System32 i SysWOW64, vidjet ćete i datoteke resursa Višekorisnički interfejs (MUI) rundll32 u jezičkim folderima kao što je en-US o pl-PLNisu izvršni, ali resursi za lokalizacijuPogledajte "rundll32" bez .exe u Exploreru može biti zbog sakrij ekstenzije iz poznatih datoteka.

Ekskluzivni sadržaj - kliknite ovdje Kako da postavim dvostepenu verifikaciju na svom Xboxu?

Ako se sumnjiva instanca prestane pojavljivati i vaš problem (npr. dvostruka tilda na tastaturi) nestaje, to je znak da je problematični dio bio negdje drugdje i koristio rundll32 kao pokretač. Kada se ponovo pojavi, vrijeme je da pogledamo zadatke, ekstenzije i povezane DLL-ove.

Kada tražiti naprednu pomoć

Ako nakon čišćenja ekstenzija, deinstaliranja potencijalno neželjenih programa i pokretanja antimalware-a, i dalje vidite da je rundll32 pokrenut iz čudne rute, ili primijetite simptome poput neovlaštenog prijenosnog računala, zlonamjernih USB prečica i „oštećene“ tipkovnice, nemojte ga ostavljati: konsultacije sa specijalizovanom podrškomČesto je potreban skript za popravak prilagođeno za vaš tim koji igra registracija, zadaci i politike hirurški.

Zapamtite: svaki računar je svijet za sebe. Skripta dizajnirana za drugu mašinu (s referencama na mape poput TreeCenter\BortValue ili specifične DLL-ove) izvršavane na vašoj mašini ostavite ga nestabilnimNapredno čišćenje nije kopiranje i lijepljenje, već individualna dijagnoza.

Često postavljana pitanja

Mogu li ukloniti rundll32.exe? Ne. To je bitna komponenta sistema. Ispravan način je ukloniti okidač (zadatak, program, DLL) koji ga zloupotrebljava.
Zašto postoji više instanci? Zato što ga različite sistemske funkcije i aplikacije trećih strana pozivaju paralelno. Višestruki instanci, sa niskom potrošnjom energije, su normalni.
Gdje bi trebalo biti? En C:\Windows\System32 Ja C:\Windows\SysWOW64, sa svojim MUI datotekama u jezičkim podfolderima. Izvan Windowsa, budite sumnjičavi.
Može li antivirus da ga ne otkrije? To se može dogoditi, posebno s potencijalno neželjenim programima (PUP) i adwareom. Ipak, Microsoft Defender i potpuno skeniranje obično identificiraju većinu zloupotreba, a možete ih nadopuniti nekim drugim pouzdanim rješenjem.
Koji su nedvosmisleni znaci nečega čudnog? Strane putanje za DLL (ProgramData, AppData), čudni nizovi znakova u međuspremniku, zlonamjerne prečice na USB-u, blokiranje tildi i zakazani zadaci koji pozivaju rundll32.exe sa obfusciranim DLL-ovima.

Ukratko, rundll32.exe je legitiman i neophodan alat koji, po svojoj prirodi, mogu iskoristiti adware i trojanci za pokretanje neželjenih DLL-ova. Prije nego što okrivite izvršnu datoteku ili je izbrišete, pogledajte putanja instance, koje DLL datoteke su učitane i ko ih poziva; deinstalirajte potencijalno neželjene programe (PUP), očistite ekstenzije, provjerite zakazane zadatke i pokrenite dobar program protiv zlonamjernog softvera. S ovim mjerama i pristupom naprednoj podršci kada je to potrebno, možete rješavanje zloupotreba bez ugrožavanja stabilnosti vašeg Windowsa.

Daniel Terrasa

Urednik specijaliziran za tehnologiju i internet pitanja s više od deset godina iskustva u različitim digitalnim medijima. Radio sam kao urednik i kreator sadržaja za kompanije za e-trgovinu, komunikaciju, online marketing i oglašavanje. Također sam pisao na web stranicama ekonomije, finansija i drugih sektora. Moj posao je i moja strast. Sada, kroz moje članke u Tecnobits, pokušavam istražiti sve novosti i nove mogućnosti koje nam svijet tehnologije nudi svaki dan da poboljšamo svoje živote.