Mis on rundll32.exe ja kuidas teha kindlaks, kas tegemist on õigustatud või varjatud pahavaraga?

Kui olete kohanud rundll32.exe Kui sa oled tegumihalduris ja mõtled, mis see küll on, siis sa pole üksi: see käivitatav fail ilmub sageli, mõnikord mitmel korral korraga. Kaugel sellest, et oleks vaikimisi sissetungija, on osa Windowsist endast ja selle eesmärk on laadida ja käivitada funktsioone, mis on majutatud DLL-failid.

See, et midagi on seaduslik, ei tähenda, et seda ei saaks pahatahtlikult kasutada. Mõned potentsiaalselt soovimatud programmid ja pahavara varjavad end oma nime või... Nad kasutavad pahatahtliku koodi käivitamiseks ära päris rundll32.Järgmistes ridades räägin teile täpselt, mis see on, kus see peaks asuma, miks see võib kuvada vigu või tarbida protsessori ressursse, kuidas eristada head ja halba ning milliseid samme astuda ilma oma süsteemi rikkumata.

Mis on rundll32.exe ja milleks seda kasutatakse?

Fail rundll32.exe See on Windowsi natiivne komponent, mida kasutatakse dünaamiliselt linkitavatest teekidest (DLL-idest) eksporditud funktsioonide käivitamineLihtsamalt öeldes: kui süsteem või rakendus peab käivitama DLL-is asuva funktsiooni, saab ta seda kutsuda rundll32 kaudu.

DLL-id kapseldavad korduvkasutatava koodi plokke, mida paljud programmid jagavad, alates võrgu-, heli-, video- või liideseülesanded millega te suhtlete. Seetõttu on tüüpilistes Windowsi installides (7, 10, 11 jne) tuhandeid DLL-e ja rundll32 on nende haldamiseks võtmetähtsusega.

Kust leida ja kuidas ära tunda seaduslikku koopiat

Terves süsteemis näete legitiimseid koopiaid rundll32.exe sellistel marsruutidel nagu C:\Windows\System32 (64-bitine keskkond) ja C:\Windows\SysWOW64 (32-bitine ühilduvus x64-süsteemidega). Võib esineda ka MUI-failid seotud keeleressursside alamkaustadest, näiteks en-US o pl-PLNäiteks C:\Windows\System32\en-US\rundll32.exe.mui.

Kui leiad ta jooksmas kaustad väljaspool Windowsi kataloogi (nt. sisse AppData, ProgramData (või ajutine kataloog), olge ettevaatlikud. Pahavara puhul on tavaline, et see varjab end sama nime abil, kuid käivitub teisest asukohast, et seaduslike protsesside sekkumine.

Kas see on viirus? Kuidas pahavara seda ära kasutab

Lühike vastus: Ei. Rundll32.exe See pole viirus, see on Windowsi enda tööriistPikemas perspektiivis on kaks tüüpilist lõksu. Esiteks, sama nimega pahatahtlik programm asub teisel teel. Teiseks, troojalane laadib oma pahatahtliku DLL-i autentse rundll32 kaudu, seega on protsess, mida näete, Microsofti oma, aga... käitab pahatahtlikku teeki.

Ohu ajaloos mainitakse perekondi, mis kasutavad rundll32-d, näiteks Tagauks.W32.Ranky o W32.Miroot.WormJa tavalisemad reklaamvara või pealetükkivad brauserilaiendused kasutavad seda ülesannete käivitamiseks, mis lõpuks Hüpikaknad, ümbersuunamised ja protsessori kasutusSee on üks põhjus, miks paljud kasutajad usuvad, et rundll32 on „viirus”.

• Kui märkad liigne reklaamide hulk või vaheakendes võib olla rundll32-l põhinev reklaamvara.
• See suunab ümber kummalistele veebisaitidele ja brauseri aeglustumine sobivad ka potentsiaalselt ...
• Süsteem saab laiskaks muutuma protsesside poolt, mis käivitavad rundll32 kahtlaste DLL-idega.

Miks ma näen mitut eksemplari ja veateadet?

See, et Tegumihaldur kuvab mitu eksemplari See on normaalne: erinevad süsteemikomponendid või kolmandate osapoolte rakendused saavad seda korraga käivitada. Windows jaotab ülesandeid ja näete mitut rundll32-d paralleelselt töötamas, olenevalt sellest, mis taustal toimub.

Normaalne pole aga pideva protsessori koormuse nägemine või sellised teated nagu „Veakood: rundll32.exe” Chrome'is, Edge'is, Firefoxis või IE-s sirvides. Sellistel juhtudel on soovitatav kahtlustada potentsiaalselt soovimatud programmid (PUP-id), agressiivsed laiendused või troojalane, mis kasutab käivitatavat faili selle DLL-i laadimiseks.

Mida mitte teha: kustutage rundll32.exe

Kõrvaldada rundll32.exe de System32/SysWOW64 See pole valikuvõimalus: see on fail Windowsi jaoks kriitilineSelle kustutamine võib rikkuda põhifunktsioonid, põhjustada krahhe või takistada süsteemil vajalike komponentide laadimist.

Kui arvate, et rundll32 teeb "midagi, mida ta ei peaks tegema", on mõistlik tegu välja selgitada, milline protsess või ülesanne seda kutsub ja lõpeta see: keelake või kustutage ülesanne, desinstallige problemaatiline programm, puhastage DLL ja tugevdage kaitset hea pahavaratõrjega.

Kuidas kontrollida, kas eksemplar on pahatahtlik

Need kontrollid aitavad teil eristada seaduslikku kasutamist pahatahtlikust kasutamisest ilma paanikat tekitamata või süsteemi kahjustamata. Sellegipoolest Kui sa ei tunne end mugavalt, on parem abi küsida. professionaalile või spetsialiseeritud kogukonnale.

• Kontrollige marsruuti: Lisage tegumihalduris veerg „Käsurida” või avage protsessi „Atribuudid”. Kui rundll32.exe See pole sees C:\Windows\System32 o C:\Windows\SysWOW64, halb märk.
• Kontrolli, mida DLL laadib: rundll32-le järgneb tavaliselt DLL-faili tee ja eksporditud funktsioon. Teed nagu C:\ProgramData\... o C:\Users\...\AppData\... vajavad ülevaatamist. Näide cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue on selgelt kahtlane.
• Kontrollige Ülesannete ajakava: Otsi hiljutisi ülesandeid või ülesandeid segase nimega, mis kutsuvad rundll32. Microsofti all olevaid õigustatud teid saab kasutada järgmiselt fassaad valede DLL-ide laadimiseks.
• Juhtub Microsoft Defender või usaldusväärne pahavaratõrje: täielik skannimine ajakohaste signatuuridega tuvastab enamiku potentsiaalselt ...
• Audit brauserilaiendusedDesinstallige kõik ebavajalik, eriti VPN-i puhverserveri laiendused, allalaadijad või blokeeringute avajad, mis sageli reklaame sisaldavad.
• Kasutage diagnostikavahendeid, näiteks Protsesside uurija et näha vanemprotsess (vanemprotsess), mis käivitab rundll32 ja käivitatava faili digitaalallkirja. Microsofti allkiri System32/SysWOW64 puhul on see normaalne; kummaline on see, et pesad on väljaspool Windowsi.

Puhastus- ja ennetusmeetmed

Esimene kiht on terve mõistus: Desinstallige tarkvara, mida te ei kasuta või mis on altid reklaamvaralePõhjalikuks puhastamiseks soovitavad paljud juhendid Revo desinstaller täiustatud režiimis PUP-ide, näiteks „DuvApp” või pealetükkivate „optimeerimis” komplektide jäänuste (kaustade, registrivõtmete) eemaldamiseks.

Seejärel käivitage a täielik skannimine Microsoft Defenderiga ja kui arvate, et see on asjakohane, siis täiendava pahavaratõrje, millel on tõestatud maine. See aitab leida pahatahtlikke DLL-e ja ajastatud ülesandeid, mis tuginevad rundll32-le vaikides püsima.

Professionaalse puhastuse puhul mainitakse registri varukoopiaid (nt DelFixi abil) ja nende kasutamist. kohandatud skriptid FRST-ga (Farbar) poliitikate parandamiseks, ülesannete kustutamiseks, kasutusel olevate DLL-ide blokeeringu tühistamiseks jne. Need skriptid on iga meeskonna jaoks kohandatudÄrge kasutage kellegi teise oma, sest nii võite oma aknad lõhkuda.

Nende skriptide tavaliste toimingute hulka kuuluvad võrgu ja tulemüüri lähtestamine (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), sulgege protsessid, kaustade kustutamine en ProgramData/AppData lingitud potentsiaalselt potentsiaalsete programmidega (PUP-idega) ja puhastada ajastatud ülesandeid, mis laadivad DLL-faile, kasutades rundll32.exeJällegi: parem asjatundjate kätes.

Tulevaste riskide minimeerimiseks hoidke Windowsi ja oma rakendusi alati ajakohane, laadige tarkvara alla ametlikelt saitidelt, eemaldage kiirinstallatsioonides lisakomponentide eemaldamine ja olge kahtlustav iga süsteemi käivitatava faili suhtes, mis asub väljaspool standardsed marsruudid.

Rohkem vihjeid asukohtade ja seotud failide kohta

Lisaks System32 ja SysWOW64 failidele näete ka ressursifaile MUI rundll32 kohta keelekaustades, näiteks en-US o pl-PLNeed ei ole käivitatavad, aga lokaliseerimisressursidVaadake „rundll32” ilma .exe Exploreris võib olla tingitud peida laiendused teadaolevatest failidest.

Kui kahtlane juhtum lakkab ilmumast ja teie probleem (nt topelttilde klaviatuuril) kaob, on see märk sellest, et probleemne osa oli mujal ja kasutasin käivitajana rundll32. Kui see uuesti ilmub, on aeg vaadata ülesandeid, laiendusi ja ühendatud DLL-e.

Millal küsida edasijõudnute abi

Kui pärast laienduste puhastamist, potentsiaalselt potentsiaalselt potentsiaalsete programmide desinstallimist ja pahavaratõrje käivitamist näete ikka veel, et rundll32 käivitatakse saidilt kummalised marsruudidvõi kui märkate selliseid sümptomeid nagu manipuleeritud lõikelaud, pahatahtlikud USB-otseteed ja „vigane“ klaviatuur, ärge jätke seda sinnapaika: konsultatsioon spetsialiseeritud toegaSageli on vaja parandusskripti. kohandatud oma meeskonnale, kes mängib registreerimine, ülesanded ja eeskirjad kirurgiliselt.

Pea meeles: iga arvuti on omaette maailm. Teise masina jaoks loodud skript (viidetega kaustadele nagu TreeCenter\BortValue või konkreetsed DLL-id), mis teie arvutis käivitatakse, saavad jäta see ebastabiilseksTäiustatud puhastus ei ole kopeerimine ja kleepimine, see on individuaalne diagnoos.

Korduma kippuvad küsimused

• Kas ma saan rundll32.exe eemaldada? Ei. See on süsteemi oluline komponent. Õige viis on eemaldada päästik (ülesanne, programm, DLL), mis seda valesti kasutab.
• Miks on mitu juhtumit? Kuna erinevad süsteemifunktsioonid ja kolmandate osapoolte rakendused käivitavad selle paralleelselt, on mitme eksemplari olemasolu ja väike energiatarve normaalne.
• Kus see peaks olema? En C:\Windows\System32 Mina C:\Windows\SysWOW64, mille MUI-failid asuvad keele alamkaustades. Väljaspool Windowsi olge kahtlustav.
• Kas viirusetõrje ei suuda seda tuvastada? See võib juhtuda, eriti potentsiaalselt ...
• Millised on ühemõttelised märgid millestki kummalisest? DLL-i võõrad teed (ProgramData, AppData), kummalised stringid lõikelaual, pahatahtlikud otseteed USB-l, tildede ja ajastatud ülesannete blokeerimine, mis kutsuvad rundll32.exe hägustatud DLL-idega.

Kokkuvõttes rundll32.exe on legitiimne ja vajalik tööriist mida oma olemuselt saavad reklaamvara ja troojalased ära kasutada soovimatute DLL-ide käivitamiseks. Enne käivitatava faili süüdistamist või kustutamist vaadake eksemplari tee, millised DLL-id on laaditud ja kes neid käivitab; desinstallige potentsiaalselt potentsiaalselt potentsiaalsed programmid (NPU-d), puhastage laiendusi, kontrollige ajastatud ülesandeid ja käivitage hea pahavaratõrje programm. Nende meetmete ja vajadusel täiustatud toe abil saate kuritarvituste vastu võitlemine stabiilsust kahjustamata teie Windowsi.