Beth yw rundll32.exe, lleoliadau, ac arwyddion meddalwedd faleisus

Mae Rundll32.exe yn gyfreithlon: mae'n llwytho swyddogaethau DLL ar gyfer Windows ac apiau.
Ei leoliad dilys yw System32/SysWOW64; y tu allan i hynny, byddwch yn amheus.
Gall meddalwedd faleisus guddio ei hun neu ddefnyddio rundll32 i lansio DLLs.
Peidiwch â'i ddileu: nodwch y tasgau/DLLs tramgwyddus a defnyddiwch feddalwedd gwrth-ddrwgwedd.

Os ydych chi wedi dod ar draws rundll32.exe yn y Rheolwr Tasgau ac yn pendroni beth ydyw, nid chi yw'r unig un: mae'r gweithredadwyedd hwn yn ymddangos yn aml, weithiau mewn sawl achos ar unwaith. Ymhell o fod yn dresmaswr yn ddiofyn, yn rhan o Windows ei hun a'i bwrpas yw llwytho a gweithredu swyddogaethau a gynhelir yn Ffeiliau DLL.

Nawr, dim ond oherwydd ei fod yn gyfreithlon nid yw'n golygu na ellir ei ddefnyddio'n faleisus. Mae rhai rhaglenni a meddalwedd faleisus a allai fod yn ddiangen yn cuddio eu hunain gyda'u henw neu Maen nhw'n manteisio ar y rundll32 go iawn i lansio cod maleisus.Yn y llinellau canlynol, byddaf yn dweud wrthych yn union beth ydyw, ble y dylai fod, pam y gallai arddangos gwallau neu ddefnyddio'r CPU, sut i wahaniaethu rhwng da a drwg, a pha gamau i'w cymryd heb ddifetha'ch system.

Beth yw rundll32.exe a beth yw ei ddefnydd?

Proses Rundll32.exe yn gweithredu DLL

Y ffeil rundll32.exe Mae'n gydran Windows frodorol a ddefnyddir i galw swyddogaethau a allforiwyd o lyfrgelloedd cyswllt deinamig (DLLs)Mewn Saesneg plaen: Pan fydd angen i'r system neu ap gyflawni swyddogaeth sydd mewn DLL, gall ei galw trwy rundll32.

Mae DLLs yn crynhoi blociau o god y gellir ei ailddefnyddio y mae llawer o raglenni'n ei rannu, o tasgau rhwydwaith, sain, fideo neu ryngwyneb rydych chi'n rhyngweithio â nhw. Dyna pam, mewn gosodiadau Windows nodweddiadol (7, 10, 11, ac ati) mae miloedd o DLLs, ac mae rundll32 yn allweddol i'w trefnu.

Ble i ddod o hyd i gopi cyfreithlon a sut i'w adnabod

Mewn system iach fe welwch gopïau cyfreithlon o rundll32.exe ar lwybrau fel C: \ Windows \ System32 (amgylchedd 64-bit) a C: \ Windows \ SysWOW64 (Cydnawsedd 32-bit ar systemau x64). Efallai y bydd hefyd Ffeiliau MUI o adnoddau iaith cysylltiedig mewn is-ffolderi fel en-US o pl-PL, er enghraifft C:\Windows\System32\en-US\rundll32.exe.mui.

Os byddwch chi'n ei weld yn rhedeg o ffolderi y tu allan i'r cyfeiriadur Windows (e.e., yn AppData, ProgramData neu gyfeiriadur dros dro), byddwch yn ofalus. Mae'n gyffredin i ddrwgwedd guddio ei hun gan ddefnyddio'r un enw ond rhedeg o leoliad arall i ymyrryd â phrosesau cyfreithlon.

Ai firws ydyw? Sut mae meddalwedd faleisus yn ei ecsbloetio

Yr ateb byr: dim. Rundll32.exe Nid firws mohono, mae'n Offeryn Windows ei hunY tymor hir: mae dau fagl nodweddiadol. Yn gyntaf, mae rhaglen faleisus gyda'r un enw yn byw mewn llwybr gwahanol. Yn ail, mae Trojan yn llwytho ei DLL maleisus trwy'r rundll32 dilys, felly'r broses a welwch yw proses Microsoft, ond yn rhedeg llyfrgell faleisus.

Cynnwys unigryw - Cliciwch Yma Sut i analluogi Avast Security ar gyfer wal dân Mac?

Yn hanes y bygythiadau, sonnir am deuluoedd sy'n defnyddio rundll32, fel Backdoor.W32.Ranky o W32.Miroot.WormAc, mae estyniadau porwr mwy cyffredin, meddalwedd hysbysebu neu ymwthiol yn ei ddefnyddio i lansio tasgau sy'n gorffen yn Ffenestri naid, ailgyfeiriadau, a defnydd CPUDyna un rheswm pam mae llawer o ddefnyddwyr yn credu bod rundll32 “yn firws”.

Os byddwch chi'n sylwi gormod o hysbysebion neu ffenestri rhyngrstitial, gallai fod meddalwedd hysbysebu yn dibynnu ar rundll32.
y yn ailgyfeirio i wefannau rhyfedd ac mae arafu porwr hefyd yn cyd-fynd â PUPs/ysbïwedd.
Gall y system dod yn ddiog gan brosesau sy'n sbarduno rundll32 gyda DLLs amheus.

Pam rydw i'n gweld sawl achos a negeseuon gwall?

Bod y Rheolwr Tasgau yn dangos sawl achos Mae hyn yn normal: gall gwahanol gydrannau system neu apiau trydydd parti ei alw ar yr un pryd. Mae Windows yn dosbarthu tasgau, a byddwch yn gweld sawl rundll32 yn rhedeg ochr yn ochr yn dibynnu ar yr hyn sy'n digwydd yn y cefndir.

Yr hyn nad yw'n normal yw gweld pigau CPU cyson neu negeseuon fel “Cod gwall: rundll32.exe” wrth bori yn Chrome, Edge, Firefox neu IE. Yn y sefyllfaoedd hyn, mae'n ddoeth amau rhaglenni a allai fod yn annymunol (PUPs), estyniadau ymosodol neu Trojan sy'n manteisio ar y ffeil weithredadwy i lwytho ei DLL.

Beth i beidio â'i wneud: dileu rundll32.exe

Dileu rundll32.exe de System32/SysWOW64 Nid yw'n opsiwn: mae'n ffeil hanfodol ar gyfer WindowsGall ei ddileu dorri swyddogaethau sylfaenol, achosi damweiniau, neu atal y system rhag llwytho cydrannau angenrheidiol.

Os ydych chi'n meddwl bod rundll32 yn gwneud "rhywbeth na ddylai", y peth synhwyrol i'w wneud yw darganfod pa broses neu dasg sy'n ei galw a'i dorri allan: analluogi neu ddileu'r dasg, dadosod y rhaglen broblemus, glanhau'r DLL, ac atgyfnerthu amddiffyniad gyda meddalwedd gwrth-ddrwgwedd da.

meddalwedd faleisus anweledig

Sut i wirio a yw'r achos yn faleisus

Mae'r gwiriadau hyn yn eich helpu i wahaniaethu rhwng defnydd cyfreithlon a defnydd maleisus heb achosi pryder na niweidio'r system. Serch hynny, Os nad ydych chi'n teimlo'n gyfforddus, mae'n well gofyn am help. i weithiwr proffesiynol neu gymuned arbenigol.

Gwiriwch y llwybrYn y Rheolwr Tasgau, ychwanegwch y golofn “Llinell Gorchymyn” neu agorwch “Priodweddau” y broses. Os rundll32.exe nid yw i mewn C:\Windows\System32 o C:\Windows\SysWOW64, arwydd drwg.
Gwiriwch beth Mae'r DLL yn llwythoFel arfer, mae rundll32 yn cael ei ddilyn gan y llwybr i DLL a swyddogaeth allforio. Llwybrau fel C:\ProgramData\... o C:\Users\...\AppData\... angen adolygiad. Enghraifft o cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue yn amlwg yn amheus.
Gwiriwch y Trefnwr TasgChwiliwch am dasgau diweddar neu dasgau gydag enwau wedi'u drysu sy'n galw rundll32. Gellir defnyddio llwybrau cyfreithlon o dan Microsoft fel ffasâd i lwytho DLLs amhriodol.
Yn digwydd Amddiffynwr Microsoft neu feddalwedd gwrth-ddrwgwedd ddibynadwy: bydd sgan llawn gyda llofnodion cyfredol yn canfod y rhan fwyaf o PUPs, meddalwedd hysbysebu, meddalwedd ysbïo, a Trojans sy'n glynu wrth rundll32.
Archwiliad estyniadau porwrDadosodwch unrhyw beth nad yw'n hanfodol, yn enwedig estyniadau dirprwy VPN, lawrlwythwyr, neu "ddadflocwyr" sy'n aml yn cynnwys hysbysebion.
Defnyddiwch offer diagnostig fel Proses Explorer i weld y proses rhiant (proses rhiant) sy'n galw rundll32 a llofnod digidol y ffeil weithredadwy. Llofnod Microsoft yn System32/SysWOW64 mae'n normal; y peth rhyfedd yw slotiau y tu allan i Windows.

Cynnwys unigryw - Cliciwch Yma Sut i osgoi waliau tân corfforaethol

Mesurau glanhau ac atal

Y haen gyntaf yw synnwyr cyffredin: Dadosodwch feddalwedd nad ydych chi'n ei defnyddio neu sy'n dueddol o gael meddalwedd hysbysebuAr gyfer glanhau trylwyr, mae llawer o ganllawiau'n argymell Uninstaller Revo mewn modd uwch i gael gwared ar weddillion (ffolderi, allweddi cofrestrfa) o PUPs fel “DuvApp” neu becynnau “optimeiddio” ymwthiol.

Yna, rhedeg a sgan llawn gyda Microsoft Defender ac, os ydych chi'n meddwl ei fod yn briodol, meddalwedd gwrth-ddrwgwedd ychwanegol gydag enw da profedig. Mae hyn yn helpu i hela DLLs maleisus a thasgau wedi'u hamserlennu sy'n dibynnu ar rundll32 i parhau'n dawel.

Mewn glanhau proffesiynol fe welwch sôn am gopïau wrth gefn o'r gofrestrfa (e.e. gyda DelFix) a'r defnydd o sgriptiau arfer gyda FRST (Farbar) i atgyweirio polisïau, dileu tasgau, dadflocio DLLs sydd mewn defnydd, ac ati. Y sgriptiau hynny yw wedi'i deilwra i bob tîmPeidiwch ag ailddefnyddio rhai rhywun arall oherwydd gallech dorri eich Windows.

Mae gweithredoedd cyffredin ar gyfer y sgriptiau hyn yn cynnwys ailosod y rhwydwaith a'r wal dân (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), prosesau cau, dileu ffolderi en ProgramData/AppData wedi'i gysylltu â PUPs a glanhau tasgau wedi'u hamserlennu sy'n llwytho DLLs gan ddefnyddio rundll32.exeUnwaith eto: yn well mewn dwylo arbenigol.

Er mwyn lleihau risgiau yn y dyfodol, cadwch Windows a'ch apiau diweddaru bob amser, lawrlwytho meddalwedd o safleoedd swyddogol, dad-dicio cydrannau ychwanegol mewn gosodiadau “cyflym” a bod yn amheus o unrhyw weithredadwy system sy'n ymddangos y tu allan i'r llwybrau safonol.

Mwy o gliwiau am leoliadau a ffeiliau cysylltiedig

Yn ogystal â System32 a SysWOW64, fe welwch ffeiliau adnoddau Mui o rundll32 mewn ffolderi iaith fel en-US o pl-PLNid ydynt yn weithredadwy, ond adnoddau lleoleiddioGweler “rundll32” heb .exe yn yr Archwiliwr efallai oherwydd cuddio'r estyniadau o ffeiliau hysbys.

Cynnwys unigryw - Cliciwch Yma Sut i rwystro YouTube ar Smart TV

Os bydd achos amheus yn peidio â ymddangos a bod eich problem (e.e., y acen ddwbl ar y bysellfwrdd) yn diflannu, mae'n arwydd bod y darn problemus wedi'i rhywle arall a defnyddio rundll32 fel lansiwr. Pan fydd yn ailymddangos, mae'n bryd edrych ar y tasgau, yr estyniadau, a'r DLLs cysylltiedig.

Pryd i ofyn am gymorth uwch

Os, ar ôl glanhau estyniadau, dadosod PUPs a rhedeg meddalwedd gwrth-ddrwgwedd, rydych chi'n dal i weld rundll32 wedi'i lansio o llwybrau rhyfedd, neu os ydych chi'n sylwi ar symptomau fel clipfwrdd wedi'i ymyrryd, llwybrau byr USB maleisus, a bysellfwrdd "anallus", peidiwch â'i adael: ymgynghoriad gyda chymorth arbenigolMae angen sgript atgyweirio yn aml. arfer i'ch tîm sy'n chwarae cofrestru, tasgau a pholisïau yn llawfeddygol.

Cofiwch: mae pob cyfrifiadur yn fyd ynddo'i hun. Sgript wedi'i gynllunio ar gyfer peiriant arall (gyda chyfeiriadau at ffolderi fel TreeCenter\BortValue neu DLLs penodol) a weithredwyd ar eich un chi ei adael yn ansefydlogNid copïo-gludo yw glanhau uwch, mae'n diagnosis unigol.

Cwestiynau cyffredin

A allaf gael gwared ar rundll32.exe? Na. Mae'n elfen hanfodol o'r system. Y ffordd gywir yw cael gwared ar y sbardun (tasg, rhaglen, DLL) sy'n ei gamddefnyddio.
Pam mae yna sawl achos? Oherwydd bod gwahanol swyddogaethau system ac apiau trydydd parti yn ei alw ar yr un pryd. Mae sawl achos, gyda defnydd pŵer isel, yn normal.
Ble ddylai fod? En C:\Windows\System32 y / o C:\Windows\SysWOW64, gyda'i ffeiliau MUI mewn is-ffolderi iaith. Y tu allan i Windows, byddwch yn amheus.
All gwrthfeirws ddim ei ganfod? Gall ddigwydd, yn enwedig gyda rhaglenni PUP a meddalwedd hysbysebu. Serch hynny, mae Microsoft Defender a sgan llawn fel arfer yn nodi'r rhan fwyaf o gamdriniaethau, a gallwch ategu hynny gyda datrysiad arall ag enw da.
Beth yw'r arwyddion diamwys o rywbeth rhyfedd? Llwybrau tramor ar gyfer y DLL (ProgramData, AppData), llinynnau rhyfedd yn y clipfwrdd, llwybrau byr maleisus ar USB, blocio tildau a thasgau wedi'u hamserlennu sy'n galw rundll32.exe gyda DLLs wedi'u drysu.

Yn gryno, Mae rundll32.exe yn offeryn cyfreithlon ac angenrheidiol sydd, yn ei natur, yn gallu cael ei gamddefnyddio gan feddalwedd hysbysebu a Trojans i redeg DLLs diangen. Cyn beio'r ffeil weithredadwy neu ei dileu, edrychwch ar y llwybr enghraifft, pa DLLs sy'n cael eu llwytho a phwy sy'n eu galw; dadosod PUPs, glanhau estyniadau, gwirio tasgau wedi'u hamserlennu, a rhedeg rhaglen gwrth-ddrwgwedd dda. Gyda'r mesurau hyn, a thrwy gael mynediad at gymorth uwch pan fo angen, gallwch mynd i'r afael â chamdriniaethau heb beryglu sefydlogrwydd o'ch Windows.

Daniel Terrace

Roedd golygydd yn arbenigo mewn technoleg a materion rhyngrwyd gyda mwy na deng mlynedd o brofiad mewn gwahanol gyfryngau digidol. Rwyf wedi gweithio fel golygydd a chrëwr cynnwys ar gyfer cwmnïau e-fasnach, cyfathrebu, marchnata ar-lein a hysbysebu. Rwyf hefyd wedi ysgrifennu ar wefannau economeg, cyllid a sectorau eraill. Fy ngwaith hefyd yw fy angerdd. Nawr, trwy fy erthyglau yn Tecnobits, Rwy'n ceisio archwilio'r holl newyddion a chyfleoedd newydd y mae byd technoleg yn eu cynnig i ni bob dydd i wella ein bywydau.