Τι είναι το rundll32.exe και πώς μπορώ να καταλάβω εάν πρόκειται για νόμιμο ή συγκαλυμμένο κακόβουλο λογισμικό;

Αν έχετε συναντήσει rundll32.exe στη Διαχείριση Εργασιών και αναρωτιέστε τι στο καλό είναι, δεν είστε οι μόνοι: αυτό το εκτελέσιμο αρχείο εμφανίζεται συχνά, μερικές φορές σε πολλές περιπτώσεις ταυτόχρονα. Μακριά από το να είναι κάποιος εισβολέας εξ ορισμού, είναι μέρος των ίδιων των Windows και ο σκοπός του είναι να φορτώνει και να εκτελεί συναρτήσεις που φιλοξενούνται στο Αρχεία DLL.

Τώρα, το γεγονός ότι είναι νόμιμο δεν σημαίνει ότι δεν μπορεί να χρησιμοποιηθεί κακόβουλα. Ορισμένα πιθανώς ανεπιθύμητα προγράμματα και κακόβουλο λογισμικό καμουφλάρονται με το όνομά τους ή Εκμεταλλεύονται το πραγματικό rundll32 για να εκτοξεύσουν κακόβουλο κώδικα.Στις επόμενες γραμμές, θα σας πω ακριβώς τι είναι, πού πρέπει να βρίσκεται, γιατί μπορεί να εμφανίζει σφάλματα ή να καταναλώνει CPU, πώς να διακρίνετε μεταξύ καλού και κακού και ποια βήματα πρέπει να κάνετε χωρίς να καταστρέψετε το σύστημά σας.

Τι είναι το rundll32.exe και σε τι χρησιμεύει;

Το αρχείο rundll32.exe Είναι ένα εγγενές στοιχείο των Windows που χρησιμοποιείται για να κλήση συναρτήσεων που εξάγονται από βιβλιοθήκες δυναμικών συνδέσμων (DLL)Με απλά λόγια: Όταν το σύστημα ή μια εφαρμογή χρειάζεται να εκτελέσει μια συνάρτηση που βρίσκεται σε ένα αρχείο DLL, μπορεί να την καλέσει μέσω του rundll32.

Τα DLL ενσωματώνουν μπλοκ επαναχρησιμοποιήσιμου κώδικα που πολλά προγράμματα μοιράζονται, από εργασίες δικτύου, ήχου, βίντεο ή διεπαφής με το οποίο αλληλεπιδράτε. Γι' αυτό, σε τυπικές εγκαταστάσεις των Windows (7, 10, 11, κ.λπ.) υπάρχουν χιλιάδες αρχεία DLL και το rundll32 είναι το κλειδί για την ενορχήστρωσή τους.

Πού να βρείτε και πώς να αναγνωρίσετε ένα νόμιμο αντίγραφο

Σε ένα υγιές σύστημα θα δείτε νόμιμα αντίγραφα του rundll32.exe σε διαδρομές όπως C:\Windows\System32 (περιβάλλον 64-bit) και C:\Windows\SysWOW64 (συμβατότητα 32-bit σε συστήματα x64). Ενδέχεται επίσης να υπάρχουν Αρχεία MUI των σχετικών γλωσσικών πόρων σε υποφακέλους όπως en-US o pl-PL, Για παράδειγμα C:\Windows\System32\en-US\rundll32.exe.mui.

Αν τον βρείτε να τρέχει μακριά φακέλους εκτός του καταλόγου των Windows (π.χ., σε AppData, ProgramData ή έναν προσωρινό κατάλογο), να είστε προσεκτικοί. Είναι σύνηθες το κακόβουλο λογισμικό να μεταμφιέζεται χρησιμοποιώντας το ίδιο όνομα αλλά να εκτελείται από άλλη τοποθεσία σε παρεμβαίνοντας σε νόμιμες διαδικασίες.

Είναι ιός; Πώς τον εκμεταλλεύεται το κακόβουλο λογισμικό

Η σύντομη απάντηση: Οχι. Rundll32.exe Δεν είναι ιός, είναι Εργαλείο των WindowsΜακροπρόθεσμα: υπάρχουν δύο τυπικές παγίδες. Πρώτον, ένα κακόβουλο πρόγραμμα με το ίδιο όνομα βρίσκεται σε διαφορετική διαδρομή. Δεύτερον, ένα Trojan φορτώνει το κακόβουλο DLL του μέσω του αυθεντικού rundll32, επομένως η διαδικασία που βλέπετε είναι της Microsoft, αλλά εκτελεί μια κακόβουλη βιβλιοθήκη.

Στο ιστορικό απειλών, αναφέρονται οικογένειες που χρησιμοποιούν το rundll32, όπως π.χ. Backdoor.W32.Ranky o W32.Miroot.WormΚαι, πιο συνηθισμένα, adware ή ενοχλητικές επεκτάσεις προγράμματος περιήγησης το χρησιμοποιούν για να ξεκινήσουν εργασίες που καταλήγουν σε Αναδυόμενα παράθυρα, ανακατευθύνσεις και χρήση CPUΑυτός είναι ένας λόγος για τον οποίο πολλοί χρήστες πιστεύουν ότι το rundll32 «είναι ιός».

• Αν παρατηρήσετε υπερβολικές διαφημίσεις ή ενδιάμεσα παράθυρα, ενδέχεται να υπάρχει adware που βασίζεται στο rundll32.
• Ο ανακατευθύνει σε παράξενους ιστότοπους και η επιβράδυνση του προγράμματος περιήγησης ταιριάζουν επίσης με τα PUP/spyware.
• Το σύστημα μπορεί να γίνεις τεμπέλης από διεργασίες που ενεργοποιούν το rundll32 με ύποπτα DLL.

Γιατί βλέπω πολλαπλές παρουσίες και μηνύματα σφάλματος;

Ότι το Η Διαχείριση Εργασιών εμφανίζει πολλαπλές παρουσίες Αυτό είναι φυσιολογικό: διαφορετικά στοιχεία του συστήματος ή εφαρμογές τρίτων μπορούν να το καλέσουν ταυτόχρονα. Τα Windows κατανέμουν εργασίες και θα δείτε πολλά rundll32s να εκτελούνται παράλληλα ανάλογα με το τι συμβαίνει στο παρασκήνιο.

Αυτό που δεν είναι φυσιολογικό είναι να βλέπετε συνεχείς αιχμές της CPU ή μηνύματα όπως "Κωδικός σφάλματος: rundll32.exe" κατά την περιήγηση σε Chrome, Edge, Firefox ή IE. Σε αυτά τα σενάρια, συνιστάται να υποψιάζεστε πιθανώς ανεπιθύμητα προγράμματα (PUPs), επιθετικές επεκτάσεις ή ένα Trojan που εκμεταλλεύεται το εκτελέσιμο αρχείο για να φορτώσει το DLL του.

Τι δεν πρέπει να κάνετε: διαγράψτε το rundll32.exe

Εξαλείφω rundll32.exe de System32/SysWOW64 Δεν είναι επιλογή: είναι ένα αρχείο κρίσιμο για τα WindowsΗ διαγραφή του ενδέχεται να προκαλέσει προβλήματα σε βασικές λειτουργίες, να προκαλέσει σφάλματα ή να εμποδίσει το σύστημα να φορτώσει τα απαραίτητα στοιχεία.

Αν νομίζετε ότι το runll32 κάνει «κάτι που δεν θα έπρεπε», το λογικό είναι να να μάθετε ποια διεργασία ή εργασία το καλεί και διακόψτε το: απενεργοποιήστε ή διαγράψτε την εργασία, απεγκαταστήστε το προβληματικό πρόγραμμα, καθαρίστε το DLL και ενισχύστε την προστασία με ένα καλό antimalware.

Πώς να ελέγξετε εάν η παρουσία είναι κακόβουλη

Αυτοί οι έλεγχοι σάς βοηθούν να διαφοροποιήσετε τη νόμιμη χρήση από την κακόβουλη χρήση χωρίς να προκαλέσετε συναγερμό ή να προκαλέσετε ζημιά στο σύστημα. Παρόλα αυτά, Αν δεν νιώθετε άνετα, είναι καλύτερο να ζητήσετε βοήθεια. σε μια επαγγελματική ή εξειδικευμένη κοινότητα.

• Ελέγξτε τη διαδρομήΣτη Διαχείριση Εργασιών, προσθέστε τη στήλη "Γραμμή Εντολών" ή ανοίξτε τις "Ιδιότητες" της διεργασίας. Εάν rundll32.exe Δεν είναι μέσα C:\Windows\System32 o C:\Windows\SysWOW64, ένα κακό σημάδι.
• Ελέγξτε τι Φόρτωση DLL: το rundll32 συνήθως ακολουθείται από τη διαδρομή προς ένα αρχείο DLL και μια εξαγόμενη συνάρτηση. Διαδρομές όπως C:\ProgramData\... o C:\Users\...\AppData\... απαιτούν αναθεώρηση. Το παράδειγμα του cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue είναι σαφώς ύποπτο.
• Ελέγξτε το Χρονοδιάγραμμα εργασιών: Αναζήτηση για πρόσφατες εργασίες ή εργασίες με ασαφή ονόματα που καλούν το rundll32. Οι νόμιμες διαδρομές στη Microsoft μπορούν να χρησιμοποιηθούν ως πρόσοψη για να φορτώσετε ακατάλληλα DLL.
• Συμβαίνει Microsoft Defender ή ένα αξιόπιστο anti-malware: μια πλήρης σάρωση με ενημερωμένες υπογραφές θα εντοπίσει τα περισσότερα PUP, adware, spyware και Trojans που συνδέονται με το rundll32.
• Ελεγχος επεκτάσεις προγράμματος περιήγησηςΑπεγκαταστήστε οτιδήποτε δεν είναι απαραίτητο, ειδικά επεκτάσεις διακομιστή μεσολάβησης VPN, προγράμματα λήψης ή "unblockers" που συχνά περιέχουν διαφημίσεις.
• Χρησιμοποιήστε διαγνωστικά εργαλεία όπως Εξερεύνηση διεργασιών να δω το γονική διεργασία (γονική διεργασία) που καλεί το rundll32 και την ψηφιακή υπογραφή του εκτελέσιμου αρχείου. Η υπογραφή της Microsoft Στο System32/SysWOW64 είναι φυσιολογικό. Το περίεργο είναι οι υποδοχές εκτός των Windows.

Μέτρα καθαρισμού και πρόληψης

Το πρώτο επίπεδο είναι η κοινή λογική: Απεγκαταστήστε λογισμικό που δεν χρησιμοποιείτε ή είναι επιρρεπές σε adwareΓια έναν σχολαστικό καθαρισμό, πολλοί οδηγοί συνιστούν Πρόγραμμα απεγκατάστασης Revo σε προηγμένη λειτουργία για την αφαίρεση υπολειμμάτων (φακέλων, κλειδιών μητρώου) PUP όπως το "DuvApp" ή παρεμβατικών σουιτών "βελτιστοποίησης".

Στη συνέχεια, εκτελέστε ένα πλήρης σάρωση με το Microsoft Defender και, αν το θεωρείτε σκόπιμο, ένα επιπλέον anti-malware με αποδεδειγμένη φήμη. Αυτό βοηθά στον εντοπισμό κακόβουλων DLL και προγραμματισμένων εργασιών που βασίζονται στο rundll32 για να επιμένουν σιωπηλά.

Στον επαγγελματικό καθαρισμό θα δείτε αναφορά σε αντίγραφα ασφαλείας μητρώου (π.χ. με DelFix) και στη χρήση του προσαρμοσμένα σενάρια με FRST (Farbar) για την επιδιόρθωση πολιτικών, τη διαγραφή εργασιών, την κατάργηση αποκλεισμού DLL που χρησιμοποιούνται, κ.λπ. Αυτά τα σενάρια είναι προσαρμοσμένο σε κάθε ομάδαΜην επαναχρησιμοποιείτε τα Windows κάποιου άλλου, γιατί μπορεί να προκαλέσετε ζημιά στα Windows σας.

Συνήθεις ενέργειες για αυτά τα σενάρια περιλαμβάνουν την επαναφορά του δικτύου και του τείχους προστασίας (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), κλείσιμο διαδικασιών, διαγραφή φακέλων en ProgramData/AppData συνδεδεμένο με PUP και καθαρισμό προγραμματισμένων εργασιών που φορτώνουν DLL χρησιμοποιώντας rundll32.exeΚαι πάλι: καλύτερα σε χέρια ειδικών.

Για να ελαχιστοποιήσετε μελλοντικούς κινδύνους, διατηρήστε τα Windows και τις εφαρμογές σας πάντα ενημερωμένο, κατεβάστε λογισμικό από επίσημους ιστότοπους, καταργήστε την επιλογή επιπλέον στοιχείων σε «γρήγορες» εγκαταστάσεις και να είστε καχύποπτοι με οποιοδήποτε εκτελέσιμο σύστημα που εμφανίζεται εκτός του τυπικές διαδρομές.

Περισσότερες ενδείξεις σχετικά με τοποθεσίες και σχετικά αρχεία

Εκτός από τα System32 και SysWOW64, θα δείτε αρχεία πόρων MUI του rundll32 σε φακέλους γλωσσών όπως en-US o pl-PLΔεν είναι εκτελέσιμα, αλλά πόροι τοπικής προσαρμογήςΔείτε το "rundll32" χωρίς .exe στον Explorer μπορεί να οφείλεται σε απόκρυψη των επεκτάσεων από γνωστά αρχεία.

Εάν σταματήσει να εμφανίζεται μια ύποπτη περίπτωση και το πρόβλημά σας (π.χ., το διπλή περισπωμένη στο πληκτρολόγιο) εξαφανίζεται, είναι ένα σημάδι ότι το προβληματικό κομμάτι ήταν αλλού και χρησιμοποίησε το rundll32 ως πρόγραμμα εκκίνησης. Όταν εμφανιστεί ξανά, ήρθε η ώρα να εξετάσουμε τις εργασίες, τις επεκτάσεις και τα συνδεδεμένα DLL.

Πότε να ζητήσετε προηγμένη βοήθεια

Εάν, μετά τον καθαρισμό των επεκτάσεων, την απεγκατάσταση των PUP και την εκτέλεση λογισμικού προστασίας από κακόβουλο λογισμικό, εξακολουθείτε να βλέπετε το runll32 να εκκινείται από παράξενες διαδρομές, ή αν παρατηρήσετε συμπτώματα όπως παραβιασμένο πρόχειρο, κακόβουλες συντομεύσεις USB και ένα «κατεστραμμένο» πληκτρολόγιο, μην το αφήσετε: διαβούλευση με εξειδικευμένη υποστήριξηΣυχνά απαιτείται ένα σενάριο επιδιόρθωσης έθιμο για την ομάδα σου που παίζει εγγραφή, καθήκοντα και πολιτικές χειρουργικά.

Να θυμάστε: κάθε υπολογιστής είναι ένας κόσμος από μόνος του. Ένα σενάριο σχεδιασμένο για ένα άλλο μηχάνημα (με αναφορές σε φακέλους όπως TreeCenter\BortValue ή συγκεκριμένα DLL) που εκτελούνται στο δικό σας μπορούν άφησέ το ασταθέςΟ προηγμένος καθαρισμός δεν είναι αντιγραφή-επικόλληση, είναι ατομική διάγνωση.

Συχνές ερωτήσεις

• Μπορώ να καταργήσω το rundll32.exe; Όχι. Είναι ένα ουσιαστικό στοιχείο του συστήματος. Ο σωστός τρόπος είναι να καταργήσετε την ενεργοποίηση (εργασία, πρόγραμμα, αρχείο DLL) που το χρησιμοποιεί λανθασμένα.
• Γιατί υπάρχουν πολλαπλές περιπτώσεις; Επειδή διαφορετικές λειτουργίες συστήματος και εφαρμογές τρίτων το ενεργοποιούν παράλληλα. Η ύπαρξη πολλαπλών παρουσιών, με χαμηλή κατανάλωση ενέργειας, είναι φυσιολογική.
• Πού θα έπρεπε να είναι; En C:\Windows\System32 εγώ C:\Windows\SysWOW64, με τα αρχεία MUI του σε υποφακέλους γλώσσας. Εκτός των Windows, να είστε καχύποπτοι.
• Μπορεί ένα antivirus να μην το εντοπίσει; Μπορεί να συμβεί, ειδικά με PUP και adware. Παρόλα αυτά, το Microsoft Defender και μια πλήρης σάρωση συνήθως εντοπίζουν τις περισσότερες καταχρήσεις και μπορείτε να συμπληρώσετε με μια άλλη αξιόπιστη λύση.
• Ποια είναι τα σαφή σημάδια για κάτι παράξενο; Ξένες διαδρομές για το DLL (ProgramData, AppData), παράξενες συμβολοσειρές στο πρόχειρο, κακόβουλες συντομεύσεις σε USB, μπλοκάρισμα περισπωμένων και προγραμματισμένες εργασίες που καλούν rundll32.exe με ασαφή DLL.

Συνοψίζοντας, Το runll32.exe είναι ένα νόμιμο και απαραίτητο εργαλείο το οποίο, εκ φύσεως, μπορεί να αξιοποιηθεί από adware και Trojans για την εκτέλεση ανεπιθύμητων DLL. Πριν κατηγορήσετε το εκτελέσιμο αρχείο ή το διαγράψετε, δείτε το διαδρομή παρουσίας, ποια DLL έχουν φορτωθεί και ποιος τα καλεί· απεγκαταστήστε τα PUP, καθαρίστε τις επεκτάσεις, ελέγξτε τις προγραμματισμένες εργασίες και εκτελέστε ένα καλό πρόγραμμα προστασίας από κακόβουλο λογισμικό. Με αυτά τα μέτρα και αποκτώντας πρόσβαση σε προηγμένη υποστήριξη όταν είναι απαραίτητο, μπορείτε αντιμετώπιση των καταχρήσεων χωρίς να διακυβεύεται η σταθερότητα των Windows σας.