Hvad er rundll32.exe, placeringer og tegn på malware

Rundll32.exe er legitim: den indlæser DLL-funktioner til Windows og apps.
Dens gyldige placering er System32/SysWOW64; vær mistænksom uden for det.
Malware kan skjule sig selv eller bruge rundll32 til at starte DLL'er.
Slet det ikke: identificer de problematiske opgaver/DLL'er og brug antimalware.

Hvis du er stødt på rundll32.exe i Jobliste og undrer dig over, hvad det er, er du ikke alene: denne eksekverbare fil vises ofte, nogle gange i flere forekomster på én gang. Langt fra at være en ubuden gæst som standard, er en del af selve Windows, og dens formål er at indlæse og udføre funktioner, der er hostet i DLL-filer.

Bare fordi det er legitimt, betyder det ikke, at det ikke kan bruges ondsindet. Nogle potentielt uønskede programmer og malware camouflerer sig med deres navn eller De udnytter den rigtige rundll32 til at starte ondsindet kode.I de følgende linjer vil jeg fortælle dig præcis, hvad det er, hvor det skal være, hvorfor det kan vise fejl eller bruge CPU, hvordan man skelner mellem godt og dårligt, og hvilke skridt man skal tage uden at ødelægge dit system.

Hvad er rundll32.exe, og hvad bruges det til?

Rundll32.exe-proces, der udfører DLL

Filen rundll32.exe Det er en indbygget Windows-komponent, der bruges til at aktivere funktioner eksporteret fra dynamiske linkbiblioteker (DLL'er)Kort sagt: Når systemet eller en app skal udføre en funktion, der findes i en DLL, kan den kalde den via rundll32.

DLL'er indkapsler blokke af genanvendelig kode, som mange programmer deler, fra netværks-, lyd-, video- eller grænsefladeopgaver som du interagerer med. Derfor er der i typiske Windows-installationer (7, 10, 11 osv.) tusindvis af DLL'er, og rundll32 er nøglen til at orkestrere dem.

Hvor finder man og hvordan genkender man en legitim kopi

I et sundt system vil du se legitime kopier af rundll32.exe på ruter som C:\Windows\System32 (64-bit miljø) og C:\Windows\SysWOW64 (32-bit kompatibilitet på x64-systemer). Der kan også være MUI-filer af tilknyttede sprogressourcer i undermapper som f.eks. en-US o pl-PL, For eksempel C:\Windows\System32\en-US\rundll32.exe.mui.

Hvis du finder ham løbende fra mapper uden for Windows-mappen (f.eks. i AppData, ProgramData eller en midlertidig mappe), vær forsigtig. Det er almindeligt, at malware skjuler sig med det samme navn, men kører fra en anden placering til indblanding i legitime processer.

Er det en virus? Hvordan malware udnytter den

Det korte svar: Ingen. Rundll32.exe Det er ikke en virus, det er en Windows' eget værktøjDet lange løb: der er to typiske fælder. For det første befinder et ondsindet program med samme navn sig i en anden sti. For det andet indlæser en trojansk hest sin ondsindede DLL via den autentiske rundll32, så den proces, du ser, er Microsofts, men kører et ondsindet bibliotek.

Eksklusivt indhold - Klik her Sådan finder du ud af, hvem der står bag en falsk profil

I trusselshistorikken nævnes familier, der bruger rundll32, såsom Bagdør.W32.Ranky o W32.Miroot.OrmOg mere almindelige adware- eller påtrængende browserudvidelser bruger det til at starte opgaver, der ender i Pop op-vinduer, omdirigeringer og CPU-forbrugDet er én af grundene til, at mange brugere mener, at rundll32 “er en virus”.

Hvis du bemærker overskud af annoncer eller interstitielle vinduer, kan der være adware, der er afhængig af rundll32.
De omdirigerer til mærkelige hjemmesider og browserens langsommere browser passer også sammen med PUP'er/spyware.
Systemet kan at blive doven af processer, der udløser rundll32 med mistænkelige DLL'er.

Hvorfor ser jeg flere forekomster og fejlmeddelelser?

At den Jobliste viser flere forekomster Dette er normalt: forskellige systemkomponenter eller tredjepartsapps kan aktivere det på samme tid. Windows distribuerer opgaver, og du vil se flere rundll32'er køre parallelt afhængigt af hvad der sker i baggrunden.

Det, der ikke er normalt, er at se konstante CPU-stigninger eller meddelelser som "Fejlkode: rundll32.exe" mens du browser i Chrome, Edge, Firefox eller IE. I disse scenarier er det tilrådeligt at have mistanke om potentielt uønskede programmer (PUP'er), aggressive udvidelser eller en trojansk hest, der udnytter den eksekverbare fil til at indlæse dens DLL.

Hvad man ikke skal gøre: slet rundll32.exe

Eliminer rundll32.exe de System32/SysWOW64 Det er ikke en mulighed: det er en fil kritisk for WindowsSletning kan afbryde grundlæggende funktioner, forårsage nedbrud eller forhindre systemet i at indlæse nødvendige komponenter.

Hvis du mener, at rundll32 gør "noget, det ikke burde", er det fornuftige at gøre det. find ud af hvilken proces eller opgave der aktiverer den og slip det: deaktiver eller slet opgaven, afinstaller det problematiske program, rens DLL'en, og forstærk beskyttelsen med et godt antimalware-program.

usynlig malware

Sådan kontrollerer du, om instansen er skadelig

Disse kontroller hjælper dig med at skelne legitim brug fra ondsindet brug uden at forårsage alarm eller beskadige systemet. Alligevel, Hvis du ikke føler dig tryg, er det bedre at bede om hjælp. til et professionelt eller et specialiseret fællesskab.

Tjek rutenI Jobliste skal du tilføje kolonnen "Kommandolinje" eller åbne processens "Egenskaber". Hvis rundll32.exe Det er ikke i C:\Windows\System32 o C:\Windows\SysWOW64, et dårligt tegn.
Tjek hvad DLL'en indlæsesrundll32 efterfølges normalt af stien til en DLL og en eksporteret funktion. Stier som C:\ProgramData\... o C:\Users\...\AppData\... kræver gennemgang. Eksemplet på cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue er tydeligvis mistænkelig.
Tjek OpgaveplanlæggerSøg efter nylige opgaver eller opgaver med forvirrede navne, der kalder rundll32. Legitime stier under Microsoft kan bruges som facade at indlæse forkerte DLL'er.
Sker Microsoft Defender eller et pålideligt anti-malware-program: en fuld scanning med opdaterede signaturer vil opdage de fleste PUP'er, adware, spyware og trojanske heste, der knytter sig til rundll32.
Revidere browserudvidelserAfinstaller alt, der ikke er essentielt, især VPN-proxyudvidelser, downloadprogrammer eller "afblokeringsprogrammer", der ofte indeholder annoncer.
Brug diagnostiske værktøjer som f.eks. Process Explorer at se overordnet proces (forældreproces), der kalder rundll32 og den eksekverbare fils digitale signatur. Microsofts underskrift I System32/SysWOW64 er det normalt; det mærkelige er slots uden for Windows.

Eksklusivt indhold - Klik her AdGuard DNS vs NextDNS: Komplet sammenligning og valgguide

Rengørings- og forebyggelsesforanstaltninger

Det første lag er sund fornuft: Afinstaller software, som du ikke bruger, eller som er tilbøjelig til adwareFor en grundig rengøring anbefaler mange vejledninger Revo Uninstaller i avanceret tilstand for at fjerne rester (mapper, registreringsnøgler) af PUP'er som "DuvApp" eller påtrængende "optimerings"-pakker.

Kør derefter en fuld scanning med Microsoft Defender og, hvis du mener det er passende, et ekstra anti-malware-program med et dokumenteret ry. Dette hjælper med at opspore ondsindede DLL'er og planlagte opgaver, der er afhængige af rundll32 for at fortsætte stille.

I forbindelse med professionel rengøring vil man se omtale af sikkerhedskopier af registreringsdatabasen (f.eks. med DelFix) og brugen af brugerdefinerede scripts med FRST (Farbar) til at reparere politikker, slette opgaver, blokere DLL'er i brug osv. Disse scripts er skræddersyet til hvert holdGenbrug ikke andres, da du kan ødelægge dine Windows.

Almindelige handlinger for disse scripts inkluderer nulstilling af netværket og firewallen (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), lukke processer, slet mapper en ProgramData/AppData knyttet til PUP'er og rydde op i planlagte opgaver, der indlæser DLL'er ved hjælp af rundll32.exeIgen: bedre i kyndige hænder.

For at minimere fremtidige risici, behold Windows og dine apps altid opdateret, download software fra officielle websteder, fjern markeringen af ekstra komponenter i "ekspres"-installationer og vær mistænksom over for enhver systemeksekverbar fil, der vises uden for standardruter.

Flere spor om placeringer og relaterede filer

Udover System32 og SysWOW64 vil du se ressourcefiler MUI af rundll32 i sprogmapper som en-US o pl-PLDe er ikke eksekverbare, men lokaliseringsressourcerSe “rundll32” uden .exe i Explorer kan det skyldes skjul udvidelserne fra kendte filer.

Eksklusivt indhold - Klik her Lær hvordan du opdager malware og beskytter dig selv

Hvis en mistænkelig forekomst holder op med at dukke op, og dit problem (f.eks. dobbelt tilde på tastaturet) forsvinder, er det et tegn på, at det problematiske stykke var andre steder og brugte rundll32 som launcher. Når den dukker op igen, er det tid til at se på opgaverne, udvidelserne og de tilknyttede DLL'er.

Hvornår skal man bede om avanceret hjælp

Hvis du stadig ser rundll32 startet fra efter at have renset udvidelser, afinstalleret PUP'er og kørt antimalware mærkelige ruter, eller du bemærker symptomer såsom et manipuleret udklipsholder, ondsindede USB-genveje og et "forvrænget" tastatur, så lad det ikke ligge: konsultation med specialiseret støtteEt reparationsscript er ofte påkrævet skik for dit hold, der spiller registrering, opgaver og politikker kirurgisk.

Husk: Enhver computer er en verden i sig selv. Et script designet til en anden maskine (med referencer til mapper som TreeCenter\BortValue eller specifikke DLL'er) udført på din kan lad det være ustabiltAvanceret rengøring er ikke kopier-indsæt, det er individuel diagnose.

Ofte stillede spørgsmål

Kan jeg fjerne rundll32.exe? Nej. Det er en essentiel del af systemet. Den korrekte måde er at fjerne den udløser (opgave, program, DLL), der misbruger den.
Hvorfor er der flere tilfælde? Fordi forskellige systemfunktioner og tredjepartsapps aktiverer det parallelt. Flere instanser med lavt strømforbrug er normalt.
Hvor skal det være? En C:\Windows\System32 jeg C:\Windows\SysWOW64, med dens MUI-filer i sprogundermapper. Uden for Windows skal du være mistænksom.
Kan et antivirusprogram ikke finde det? Det kan ske, især med PUP'er og adware. Alligevel identificerer Microsoft Defender og en fuld scanning normalt de fleste misbrug, og du kan supplere med en anden pålidelig løsning.
Hvad er de utvetydige tegn på noget mærkeligt? Fremmede stier til DLL'en (ProgramData, AppData), mærkelige strenge i udklipsholderen, ondsindede genveje på USB, blokering af tilder og planlagte opgaver, der kalder rundll32.exe med obfuskerede DLL'er.

Kort sagt, rundll32.exe er et legitimt og nødvendigt værktøj som i sagens natur kan udnyttes af adware og trojanske heste til at køre uønskede DLL'er. Før du bebrejder den eksekverbare fil eller sletter den, bør du se på instanssti, hvilke DLL'er der indlæses, og hvem der aktiverer dem; afinstaller PUP'er, rens udvidelser, tjek planlagte opgaver og kør et godt anti-malware-program. Med disse foranstaltninger, og ved at få adgang til avanceret support, når det er nødvendigt, kan du bekæmpelse af misbrug uden at gå på kompromis med stabiliteten af dine Windows.

Daniel Terrasa

Redaktør med speciale i teknologi og internetspørgsmål med mere end ti års erfaring i forskellige digitale medier. Jeg har arbejdet som redaktør og indholdsskaber for e-handel, kommunikation, online marketing og annoncevirksomheder. Jeg har også skrevet på økonomi, finans og andre sektorers hjemmesider. Mit arbejde er også min passion. Nu gennem mine artikler i Tecnobits, Jeg forsøger at udforske alle de nyheder og nye muligheder, som teknologiens verden tilbyder os hver dag for at forbedre vores liv.