Unsa ang rundll32.exe, mga lokasyon, ug mga timailhan sa malware

Ang Rundll32.exe lehitimo: kini nagkarga sa mga function sa DLL alang sa Windows ug mga app.
Ang balido nga lokasyon niini mao ang System32/SysWOW64; gawas niana, pagduda.
Ang malware mahimong magtakuban sa kaugalingon o mogamit sa rundll32 aron ilunsad ang mga DLL.
Ayaw kini pagtangtang: pag-ila sa mga makakasala nga buluhaton/DLL ug gamita ang antimalware.

Kung nakasugat ka rundll32.exe sa Task Manager ug naghunahuna kung unsa kini, wala ka nag-inusara: kini nga executable kanunay nga makita, usahay sa daghang mga higayon sa usa ka higayon. Layo sa pagka-intruder pinaagi sa default, kabahin sa Windows mismo ug ang katuyoan niini mao ang pagkarga ug pagpatuman sa mga gimbuhaton nga gi-host sa dll file.

Karon, tungod lang kay kini lehitimo wala magpasabot nga dili na kini magamit sa malisyoso. Ang uban nga posibleng dili gusto nga mga programa ug malware nagtakuban sa ilang kaugalingon sa ilang ngalan o Gipahimuslan nila ang tinuod nga rundll32 aron maglunsad og malisyoso nga code.Sa mosunud nga mga linya, isulti ko kanimo kung unsa kini, kung diin kini kinahanglan, kung ngano nga mahimo’g magpakita kini nga mga sayup o pagkonsumo sa CPU, kung giunsa ang pag-ila tali sa maayo ug daotan, ug unsa nga mga lakang ang buhaton nga dili makadaot sa imong sistema.

Unsa ang rundll32.exe ug alang sa unsa kini gigamit?

Ang proseso sa Rundll32.exe nga nagpatuman sa DLL

ang file rundll32.exe Kini usa ka lumad nga sangkap sa Windows nga gigamit sa pag-invoke sa mga function nga gi-eksport gikan sa dynamic link library (DLLs). Sa yano nga English: Kung ang sistema o usa ka app kinahanglan nga magpatuman sa usa ka function nga nagpuyo sa usa ka DLL, mahimo kini nga tawagan pinaagi sa rundll32.

Ang mga DLL naglangkob sa mga bloke sa magamit pag-usab nga code nga gipaambit sa daghang mga programa, gikan sa network, audio, video o mga buluhaton sa interface diin ikaw nakig-uban. Mao nga, sa kasagaran nga mga instalasyon sa Windows (7, 10, 11, ug uban pa) adunay liboan ka mga DLL, ug ang rundll32 mao ang yawe sa pag-orkestra niini.

Asa mangita ug unsaon pag-ila sa usa ka lehitimong kopya

Sa usa ka himsog nga sistema makita nimo ang mga lehitimong kopya sa rundll32.exe sa mga ruta sama sa C: \ Windows \ System32 (64-bit nga palibot) ug C: \ Windows \ SysWOW64 (32-bit compatibility sa x64 system). Mahimo usab nga adunay MUI files sa kaubang mga kapanguhaan sa pinulongan sa mga subfolder sama sa en-US o pl-PL, pananglitan C:\Windows\System32\en-US\rundll32.exe.mui.

Kung makit-an nimo siya nga nagdagan gikan mga folder sa gawas sa direktoryo sa Windows (pananglitan, sa AppData, ProgramData o temporaryo nga direktoryo), pagmatngon. Kasagaran alang sa malware nga magtakuban sa kaugalingon gamit ang parehas nga ngalan apan modagan gikan sa lain nga lokasyon hangtod pagpanghilabot sa mga lehitimong proseso.

Usa ba kini ka virus? Giunsa kini pagpahimulos sa malware

Ang mubu nga tubag: Dili. Rundll32.exe Dili kini usa ka virus, kini usa ka Ang kaugalingon nga himan sa WindowsAng kadugayon: adunay duha ka tipikal nga mga lit-ag. Usa, ang usa ka malisyoso nga programa nga adunay parehas nga ngalan nagpuyo sa lahi nga agianan. Duha, ang usa ka Trojan nagkarga sa iyang malisyosong DLL pinaagi sa tinuod nga rundll32, mao nga ang proseso nga imong nakita kay sa Microsoft, apan nagpadagan ug malisyoso nga librarya.

Eksklusibo nga sulud - Pag-klik Dinhi Giunsa pag-optimize ang seguridad sa mga resulta sa pagpangita sa Spotlight?

Sa kasaysayan sa hulga, ang mga pamilya nga naggamit sa rundll32 gihisgutan, sama sa Backdoor.W32.Ranky o W32.Miroot.Worm. Ug, ang labi ka kalibutanon, adware o masamok nga mga extension sa browser naggamit niini aron maglansad sa mga buluhaton nga natapos Mga pop-up, pag-redirect, ug paggamit sa CPU. Mao kana ang usa ka hinungdan ngano nga daghang mga tiggamit ang nagtuo nga ang rundll32 "usa ka virus."

Kung namatikdan nimo sobra sa mga ad o interstitial windows, mahimong adunay adware nga nagsalig sa rundll32.
ang nag-redirect sa katingad-an nga mga website ug ang paghinay sa browser mohaom usab sa mga PUP/spyware.
Ang sistema mahimo nga mahimong tapulan pinaagi sa mga proseso nga nag-trigger sa rundll32 nga adunay mga kadudahang DLL.

Ngano nga nakakita ako daghang mga higayon ug mga mensahe sa sayup?

Nga ang Ang Task Manager nagpakita sa daghang mga higayon Normal kini: ang lain-laing mga component sa system o ang mga third-party nga app mahimong maka-invoke niini sa samang higayon. Ang Windows nag-apod-apod sa mga buluhaton, ug imong makita ang daghang mga rundll32 nga nagdagan nga managsama depende sa kung unsa ang nahitabo sa background.

Ang dili normal mao ang pagtan-aw kanunay nga mga spike sa CPU o sama sa mga mensahe "Error code: rundll32.exe" samtang nag-browse sa Chrome, Edge, Firefox o IE. Niini nga mga senaryo, girekomenda nga magduda potensyal nga dili gusto nga mga programa (PUPs), agresibo nga mga extension o usa ka Trojan nga nagpahimulos sa executable aron makarga ang DLL niini.

Unsa ang dili buhaton: kuhaa ang rundll32.exe

Pagtangtang rundll32.exe de System32/SysWOW64 Dili kini kapilian: kini usa ka file kritikal alang sa WindowsAng pagtangtang niini mahimong makaguba sa mga batakang gimbuhaton, makapahinabog pagkahagsa, o makapugong sa sistema sa pagkarga sa gikinahanglan nga mga sangkap.

Kung sa imong hunahuna ang rundll32 nagbuhat "usa ka butang nga dili kinahanglan", ang makatarunganon nga butang nga buhaton mao Hibal-i kung unsang proseso o buluhaton ang nagsangpit niini ug putla kini: pag-disable o pagtangtang sa buluhaton, pag-uninstall sa problema nga programa, paglimpyo sa DLL, ug pagpalig-on sa proteksyon gamit ang maayong antimalware.

dili makita nga malware

Unsaon pagsusi kung malisyoso ba ang instance

Kini nga mga tseke makatabang kanimo sa pag-ila sa lehitimong paggamit gikan sa malisyosong paggamit nga walay hinungdan sa alarma o makadaot sa sistema. Sa gihapon, Kung dili ka komportable, mas maayo nga mangayo og tabang. sa usa ka propesyonal o usa ka espesyal nga komunidad.

Susiha ang rota: Sa Task Manager, idugang ang "Command Line" nga kolum o ablihi ang "Properties" sa proseso. Kung rundll32.exe wala sa C:\Windows\System32 o C:\Windows\SysWOW64, dili maayo nga timailhan.
Susiha kung unsa Ang DLL nagkarga: Ang rundll32 kasagaran gisundan sa dalan sa usa ka DLL ug usa ka gi-eksport nga function. Mga dalan sama sa C:\ProgramData\... o C:\Users\...\AppData\... nagkinahanglan og review. Ang ehemplo sa cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue klaro nga kadudahan.
Susiha ang Ang Task scheduler: Pangitaa ang bag-o nga mga buluhaton o mga buluhaton nga adunay mga obfuscated nga mga ngalan nga nagtawag sa rundll32. Ang mga lehitimong dalan ubos sa Microsoft mahimong gamiton isip panagway sa pag-load sa dili husto nga mga DLL.
Pasado Ang Microsoft Defender o usa ka kasaligan nga anti-malware: ang usa ka bug-os nga pag-scan nga adunay pinakabag-o nga mga pirma makamatikod sa kadaghanan sa mga PUP, adware, spyware, ug mga Trojan nga nagtapot sa ilang kaugalingon sa rundll32.
Pag-audit extension sa browser: I-uninstall ang bisan unsa nga dili kinahanglanon, labi na ang VPN proxy extensions, downloaders, o "unblockers" nga kanunay adunay mga ad.
Gamit ug diagnostic tools sama sa Process Explorer aron makita ang proseso sa ginikanan (proseso sa ginikanan) nga nagtawag sa rundll32 ug ang digital nga pirma sa executable. pirma sa Microsoft sa System32/SysWOW64 kini normal; ang katingad-an nga butang mao ang mga slot sa gawas sa Windows.

Eksklusibo nga sulud - Pag-klik Dinhi Giunsa makuha ang spyware »Mapuslanon nga Wiki

Paglimpyo ug paglikay nga mga lakang

Ang una nga layer mao ang sentido komon: I-uninstall ang software nga wala nimo gamita o nga prone sa adware. Alang sa bug-os nga pagpanglimpyo, girekomenda sa daghang mga giya Revo uninstaller sa advanced mode aron matangtang ang mga salin (folder, registry keys) sa mga PUP sama sa "DuvApp" o makasamok nga "optimization" suites.

Unya, dagan a bug-os nga pag-scan sa Microsoft Defender ug, kung sa imong hunahuna kini angay, usa ka dugang nga anti-malware nga adunay napamatud-an nga reputasyon. Nakatabang kini sa pagpangita sa mga makadaot nga DLL ug naka-iskedyul nga mga buluhaton nga nagsalig sa rundll32 sa magpadayon sa hilom.

Sa propesyonal nga pagpanglimpyo imong makita ang paghisgot sa registry backups (e.g. uban sa DelFix) ug ang paggamit sa batasan nga mga script uban sa FRST (Farbar) sa pag-ayo sa mga polisiya, pagtangtang sa mga buluhaton, pag-unblock sa mga DLL nga gigamit, ug uban pa. Kadtong mga script kay gipahaom sa matag team: Ayaw paggamit pag-usab sa uban tungod kay mahimo nimong maguba ang imong Windows.

Ang kasagarang mga aksyon alang niini nga mga script naglakip sa pag-reset sa network ug firewall (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), suod nga mga proseso, kuhaa ang mga folder en ProgramData/AppData nalambigit sa mga PUP ug paglimpyo sa mga naka-iskedyul nga mga buluhaton nga nag-load sa mga DLL gamit rundll32.exe. Pag-usab: mas maayo sa eksperto nga mga kamot.

Aron mamenosan ang umaabot nga mga risgo, hupti ang Windows ug ang imong mga app kanunay updated, pag-download sa software gikan sa opisyal nga mga site, i-uncheck ang dugang nga mga sangkap sa "express" nga mga instalasyon ug pagduda sa bisan unsang sistema nga ma-executable nga makita sa gawas sa standard nga mga rota.

Dugang nga mga timailhan bahin sa mga lokasyon ug may kalabutan nga mga file

Dugang sa System32 ug SysWOW64, imong makita ang mga resource files MUI sa rundll32 sa mga folder sa pinulongan sama sa en-US o pl-PL. Dili sila ma-executable, apan mga kapanguhaan sa lokalisasyon. Tan-awa ang "rundll32" nga wala .exe sa Explorer mahimong tungod sa itago ang mga extension gikan sa nailhan nga mga file.

Eksklusibo nga sulud - Pag-klik Dinhi Unsaon Paglikay sa Spam sa Gmail

Kung ang usa ka kadudahan nga higayon mohunong sa pagpakita ug ang imong problema (pananglitan, ang doble nga accent sa keyboard) mawala, kini usa ka timaan nga ang problema nga piraso sa ubang lugar ug gigamit ang rundll32 isip launcher. Kung kini makita pag-usab, panahon na nga tan-awon ang mga buluhaton, mga extension, ug konektado nga mga DLL.

Kanus-a mangayo alang sa abante nga tabang

Kung, pagkahuman sa paglimpyo sa mga extension, pag-uninstall sa mga PUP ug pagpadagan sa antimalware, makita gihapon nimo ang rundll32 nga gilunsad gikan sa talagsaon nga mga ruta, o namatikdan nimo ang mga simtomas sama sa usa ka tampered clipboard, malisyoso nga USB shortcut, ug usa ka "baldado" nga keyboard, ayaw kini ibilin: konsultasyon uban sa espesyal nga suporta. Kanunay nga gikinahanglan ang script sa pag-ayo batasan para sa imong team nga nagduwa pagparehistro, mga buluhaton ug mga palisiya surgically.

Hinumdomi: ang matag kompyuter usa ka kalibutan sa iyang kaugalingon. Usa ka script nga gidisenyo alang sa laing makina (nga adunay mga pakisayran sa mga folder sama sa TreeCenter\BortValue o piho nga mga DLL) nga gipatuman sa imong mahimo ibilin kini nga dili lig-on. Ang advanced nga pagpanglimpyo dili copy-paste, kini mao indibidwal nga diagnosis.

Kanunay nga gipangutana nga mga pangutana

Matangtang ba nako ang rundll32.exe? Dili. Kini usa ka hinungdanon nga bahin sa sistema. Ang husto nga paagi mao ang pagtangtang sa gatilyo (task, program, DLL) nga nag-abuso niini.
Ngano nga adunay daghang mga higayon? Tungod kay ang lainlaing mga function sa sistema ug ang mga third-party nga apps naghangyo niini nga managsama. Daghang mga higayon, nga adunay gamay nga konsumo sa kuryente, normal.
Asa man kini? En C:\Windows\System32 ug / o C:\Windows\SysWOW64, uban ang mga MUI file niini sa mga subfolder sa pinulongan. Sa gawas sa Windows, pagduda.
Dili ba kini makit-an sa usa ka antivirus? Mahimo kini mahitabo, labi na sa mga PUP ug adware. Bisan pa, ang Microsoft Defender ug usa ka bug-os nga pag-scan kasagarang nagpaila sa kadaghanan sa mga pag-abuso, ug mahimo nimong madugangan ang lain nga kasaligan nga solusyon.
Unsa ang klaro nga mga timailhan sa usa ka butang nga katingad-an? Mga langyaw nga agianan alang sa DLL (ProgramData, AppData), katingad-an nga mga string sa clipboard, malisyoso nga mga shortcut sa USB, pag-block sa mga tilde ug naka-iskedyul nga mga buluhaton nga nagtawag rundll32.exe uban sa obfuscated DLLs.

Sa kinatibuk-an, Ang rundll32.exe usa ka lehitimo ug kinahanglan nga himan nga, pinaagi sa kinaiya niini, mahimong mapahimuslan sa adware ug Trojans sa pagpadagan sa dili gusto nga mga DLL. Sa dili pa basolon ang executable o tangtangon kini, tan-awa ang pananglitan nga dalan, diin ang mga DLL gikarga ug kinsa ang nagsangpit niini; i-uninstall ang mga PUP, limpyo nga mga extension, susiha ang naka-iskedyul nga mga buluhaton, ug pagpadagan og maayong anti-malware nga programa. Uban niini nga mga lakang, ug pinaagi sa pag-access sa advanced nga suporta kung gikinahanglan, mahimo nimo pag-atubang sa mga pag-abuso nga walay pagkompromiso sa kalig-on sa imong Windows.

Daniel Terrace

Ang editor nga espesyalista sa teknolohiya ug mga isyu sa internet nga adunay labaw sa napulo ka tuig nga kasinatian sa lainlaing digital media. Nagtrabaho ko isip editor ug tiglalang sa sulod alang sa e-commerce, komunikasyon, online marketing ug mga kompanya sa advertising. Nakasulat usab ako sa mga website sa ekonomiya, pinansya ug uban pang mga sektor. Ang akong trabaho mao usab ang akong hilig. Karon, pinaagi sa akong mga artikulo sa Tecnobits, naningkamot ko nga tukion ang tanang balita ug bag-ong mga oportunidad nga gitanyag kanato sa kalibotan sa teknolohiya kada adlaw aron mapauswag ang atong kinabuhi.