Zer da rundll32.exe, kokapenak eta malwarearen zantzuak

Rundll32.exe zilegia da: Windows eta aplikazioetarako DLL funtzioak kargatzen ditu.
Bere kokapen baliozkoa System32/SysWOW64 da; hortik kanpo, susmagarri izan.
Malwareak bere burua mozorrotu dezake edo rundll32 erabil dezake DLLak abiarazteko.
Ez ezabatu: identifikatu arau-hausleak diren zereginak/DLLak eta erabili antimalwarea.

Topatu bazara rundll32.exe Zereginen kudeatzailean eta zer demontre den galdetzen ari bazara, ez zaude bakarrik: exekutagarri hau maiz agertzen da, batzuetan hainbat instantziatan aldi berean. Berez intruso bat izatetik urrun, Windows-en beraren parte da eta bere helburua bertan ostatatutako funtzioak kargatzea eta exekutatzea da DLL fitxategiak.

Orain, zilegi izateak ez du esan nahi gaiztakeriaz erabili ezin daitekeenik. Nahi ez diren programa eta malware batzuek beren izena edo Benetako rundll32a ustiatzen dute kode gaiztoa abiarazteko.Hurrengo lerroetan, zehazki zer den, non egon behar duen, zergatik erakuts ditzakeen erroreak edo CPUa kontsumitzen duen, nola bereizi ona eta txarra, eta zer urrats eman behar diren zure sistema hondatu gabe esango dizuet.

Zer da rundll32.exe eta zertarako erabiltzen da?

Rundll32.exe prozesua DLL exekutatzen

Fitxategia rundll32.exe Windows-eko osagai natiboa da, eta horretarako erabiltzen da Esteka dinamikoen liburutegietatik (DLL) esportatutako funtzioak deitu. Hizkuntza arruntean esanda: Sistemak edo aplikazio batek DLL batean dagoen funtzio bat exekutatu behar duenean, rundll32 bidez deitu dezake.

DLLek programa askok partekatzen dituzten kode berrerabilgarrien blokeak kapsulatzen dituzte, sareko, audioko, bideoko edo interfazeko zereginak zeinekin elkarreragiten duzun. Horregatik, Windows instalazio tipikoetan (7, 10, 11, etab.) milaka DLL daude, eta rundll32 funtsezkoa da horiek antolatzeko.

Non aurkitu eta nola ezagutu kopia legitimo bat

Sistema osasuntsu batean kopia legitimoak ikusiko dituzu rundll32.exe bezalako ibilbideetan. C:\Windows\System32 (64 biteko ingurunea) eta C:\Windows\SysWOW64 (32 biteko bateragarritasuna x64 sistemetan). Baliteke ere egotea MUI fitxategiak lotutako hizkuntza baliabideen azpikarpetetan, hala nola en-US o pl-PLAdibidez, C:\Windows\System32\en-US\rundll32.exe.mui.

Korrika aurkitzen baduzu Windows direktoriotik kanpoko karpetak (adibidez, AppData, ProgramData edo aldi baterako direktorio bat), kontuz ibili. Ohikoa da malwareak bere burua izen bera erabiliz mozorrotzea, baina beste kokapen batetik exekutatzea prozesu legitimoetan oztopatzea.

Birusa al da? Nola ustiatzen du malwareak?

Erantzun laburra: Ez. Rundll32.exe Ez da birus bat, baizik eta Windows-en tresna propioaEpe luzera: bi tranpa tipiko daude. Bat, izen bereko programa gaizto bat bide desberdin batean dago. Bigarren, troiar batek bere DLL gaiztoa rundll32 autentikoan kargatzen du, beraz, ikusten duzun prozesua Microsoftena da, baina liburutegi gaizto bat exekutatzen ari da.

Eduki esklusiboa - Egin klik hemen Hodeia erabiltzean aurkitzen dituzun eta kontrolatu behar dituzun mehatxuak

Mehatxuen historian, rundll32 erabiltzen duten familiak aipatzen dira, adibidez Atzeko atea.W32.Ranky o W32.Miroot.HarraEta, ohikoago diren adware edo arakatzailearen luzapen intrusiboek erabiltzen dute hemen amaitzen diren zereginak abiarazteko Pop-up-ak, birbideratzeak eta CPUaren erabileraHori da erabiltzaile askok rundll32 “birusa” dela uste izatearen arrazoietako bat.

Ohartzen bazara iragarki gehiegizkoak. edo leiho interstizialak badira, rundll32-n oinarritzen den adwarea egon liteke.
The webgune arraroetara birbideratzen ditu eta nabigatzailearen moteltzea PUP/spywarearekin ere bat dator.
Sistemak ahal du alfer bihurtu rundll32 DLL susmagarriekin abiarazten duten prozesuek.

Zergatik ikusten ditut hainbat instantzia eta errore-mezuak?

Hori Zereginen kudeatzaileak hainbat instantzia erakusten ditu Hau normala da: sistemaren osagai desberdinek edo hirugarrenen aplikazioek aldi berean dei dezakete. Windowsek zereginak banatzen ditu, eta hainbat rundll32 paraleloan exekutatzen ikusiko dituzu, atzeko planoan gertatzen ari denaren arabera.

Ez da normala CPUaren etengabeko igoerak edo mezuak ikustea, adibidez: "Errore kodea: rundll32.exe" Chrome, Edge, Firefox edo IE-n nabigatzen ari zaren bitartean. Egoera hauetan komenigarria da susmatzea nahi ez diren programa potentzialak (PUP), luzapen oldarkorrak edo bere DLL kargatzeko exekutagarria ustiatzen ari den troiar bat.

Zer ez egin: ezabatu rundll32.exe

Ezabatu rundll32.exe de System32/SysWOW64 Ez da aukera bat: fitxategi bat da funtsezkoa WindowsentzatEzabatzeak oinarrizko funtzioak hautsi, kraskatzea eragin edo sistemak beharrezko osagaiak kargatzea eragotzi dezake.

Rundll32-k "ez lukeen zerbait" egiten ari dela uste baduzu, zentzuzkoena hau da: zein prozesu edo zereginek deitzen duen jakin eta moztu: desgaitu edo ezabatu zeregina, desinstalatu arazoa duen programa, garbitu DLLa eta indartu babesa antimalware on batekin.

malware ikusezin

Nola egiaztatu instantzia gaiztoa den

Egiaztapen hauek erabilera zilegia erabilera gaiztotik bereizten laguntzen dizute, alarma eragin edo sistema kaltetu gabe. Hala ere, Eroso sentitzen ez bazara, hobe da laguntza eskatzea. profesional edo komunitate espezializatu bati.

Ibilbidea egiaztatu.Zereginen kudeatzailean, gehitu prozesuaren "Komando-lerroa" zutabea edo ireki "Ezaugarriak". Baldin eta rundll32.exe Ez dago barruan. C:\Windows\System32 o C:\Windows\SysWOW64, seinale txarra.
Begiratu zer DLL kargatzen ari da: rundll32-ren ondoren DLL baterako bidea eta esportatutako funtzio bat agertzen dira normalean. Honelako bideak C:\ProgramData\... o C:\Users\...\AppData\... berrikuspena behar du. Adibidea cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue susmagarria da argi eta garbi.
Egiaztatu Zereginen antolatzaileaBilatu azken zereginak edo rundll32 deitzen duten izen nahasiak dituzten zereginak. Microsoft-en bidezko bide legitimoak erabil daitezke fatxada DLL desegokiak kargatzeko.
Gertatzen da Microsoft Defender edo antimalware fidagarri bat: sinadura eguneratuekin egindako eskaneatze oso batek rundll32-ri atxikitzen zaizkion PUP, adware, spyware eta troiar gehienak detektatuko ditu.
Auditoria arakatzailearen luzapenakDesinstalatu ezinbestekoa ez den edozer, batez ere VPN proxy luzapenak, deskargatzaileak edo iragarkiak izaten dituzten "desblokeatzaileak".
Erabili diagnostiko tresnak, hala nola Prozesu-arakatzailea ikusteko guraso-prozesua rundll32 eta exekutagarriaren sinadura digitala deitzen dituena (guraso-prozesua). Microsoften sinadura. System32/SysWOW64-n normala da; gauza arraroa Windows-etik kanpoko zirrikituak dira.

Eduki esklusiboa - Egin klik hemen OpenAI-k Sora 2 indartu du Bryan Cranstonen kritikaren ondoren: deepfake-en aurkako oztopo berriak

Garbiketa eta prebentzio neurriak

Lehenengo geruza zentzumen komuna da: Desinstalatu erabiltzen ez duzun edo adwarea izateko joera duen softwareaGarbiketa sakon bat egiteko, gida askok gomendatzen dute Revo Desinstalatzailea Modu aurreratuan, "DuvApp" bezalako PUPen edo "optimizazio" suite intrusiboen aztarnak (karpetak, erregistroko gakoak) kentzeko.

Ondoren, exekutatu eskaneatu osoa Microsoft Defender-ekin eta, egokia iruditzen bazaizu, ospe frogatua duen antimalware gehigarri bat. Honek rundll32-n oinarritzen diren DLL gaiztoak eta programatutako zereginak aurkitzen laguntzen du. isilpean iraun.

Garbiketa profesionalean erregistroko babeskopiak aipatuko dituzu (adibidez, DelFix-ekin) eta honen erabilera... gidoi pertsonalizatuak FRST (Farbar)-ekin politikak konpontzeko, zereginak ezabatzeko, erabiltzen ari diren DLLak desblokeatzeko, etab. Script horiek dira talde bakoitzarentzat egokitutakoEz berrerabili beste inorenak, zure Windows-a apurtu dezakezulako.

Script hauen ekintza ohikoenen artean sarea eta suebakia berrezartzea dago (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), prozesuak itxi, ezabatu karpetak en ProgramData/AppData PUPekin lotuta eta DLLak kargatzen dituzten programatutako zereginak garbitu rundll32.exeBerriz ere: hobeto adituen eskuetan.

Etorkizuneko arriskuak gutxitzeko, mantendu Windows eta zure aplikazioak beti eguneratuta, deskargatu softwarea gune ofizialetatik, desmarkatu osagai gehigarriak "express" instalazioetan eta susmatu kanpo agertzen den edozein sistema exekutagarri ibilbide estandarrak.

Kokapenei eta erlazionatutako fitxategiei buruzko pista gehiago

System32 eta SysWOW64-ez gain, baliabide fitxategiak ikusiko dituzu MUI rundll32-ren hizkuntza-karpetetan, adibidez en-US o pl-PLEz dira exekutagarriak, baina lokalizazio baliabideakIkusi “rundll32” gabe .exe Explorer-en honengatik izan daiteke luzapenak ezkutatu. fitxategi ezagunetatik.

Eduki esklusiboa - Egin klik hemen Nola konfiguratu dezaket behin betiko arau bat Little Snitch-en?

Susmagarri den instantzia bat agertzeari uzten badio eta zure arazoa (adibidez, tilde bikoitza teklatuan) desagertzen bada, arazoa zuen pieza izan zela adierazten du beste nonbait eta rundll32 erabili dut abiarazle gisa. Berriro agertzen denean, zereginak, luzapenak eta konektatutako DLLak aztertzeko garaia da.

Noiz eskatu laguntza aurreratua

Luzapenak garbitu, PUPak desinstalatu eta antimalwarea exekutatu ondoren, oraindik rundll32 abiarazita ikusten baduzu... ibilbide arraroak, edo arbelean manipulatutako sintomak, USB lasterbide gaiztoak eta teklatu "matxuratua" bezalako sintomak nabaritzen badituzu, ez utzi: laguntza espezializatuarekin kontsultatzeaKonponketa-gidoi bat behar izaten da askotan. pertsonalizatua jokatzen duen zure taldearentzat erregistroa, zereginak eta politikak kirurgikoki.

Gogoratu: ordenagailu bakoitza mundu bat da berez. Beste makina baterako diseinatutako script bat (karpeten erreferentziekin, adibidez) TreeCenter\BortValue edo DLL espezifikoak) zurean exekutatuta egon daitezke ezegonkorra utzi.Garbiketa aurreratua ez da kopiatu eta itsatsi, baizik eta banakako diagnostiko.

Maiz egiten diren galderak

rundll32.exe kendu al dezaket? Ez. Sistemaren osagai ezinbestekoa da. Modu zuzena gaizki erabiltzen duen abiarazlea (zeregina, programa, DLL) kentzea da.
Zergatik daude hainbat kasu? Sistemaren funtzio ezberdinek eta hirugarrenen aplikazioek paraleloan deitzen dutelako. Instantzia anitz, energia-kontsumo txikiarekin, normala da.
Non egon beharko luke? En C:\Windows\System32 Ni C:\Windows\SysWOW64, bere MUI fitxategiekin hizkuntza azpikarpetetan. Windows-etik kanpo, susmagarri izan.
Antibirus batek ezin al du detektatu? Gerta daiteke, batez ere PUPekin eta adwarearekin. Hala ere, Microsoft Defenderrek eta eskaneatze oso batek normalean gehiegikeria gehienak identifikatzen dituzte, eta beste irtenbide fidagarri batekin osatu dezakezu.
Zeintzuk dira zerbait arraroaren seinale zalantzarik gabekoak? DLLrako bide arrotzak (ProgramData, AppData), arbelean kate arraroak, USBko lasterbide gaiztoak, tilde blokeatzaileak eta deitzen duten programatutako zereginak rundll32.exe DLL nahasiekin.

Laburbilduz, rundll32.exe tresna zilegi eta beharrezkoa da berez, adwareak eta troiarrek erabil dezakete nahi ez diren DLLak exekutatzeko. Exekutagarriari errua bota edo ezabatu aurretik, begiratu instantziaren bidea, zein DLL kargatzen diren eta nork erabiltzen dituen; desinstalatu PUPak, garbitu luzapenak, egiaztatu programatutako zereginak eta exekutatu malwarearen aurkako programa ona. Neurri hauekin, eta beharrezkoa denean laguntza aurreratura sartuz, egin dezakezu egonkortasuna arriskuan jarri gabe gehiegikeriei aurre egitea zure Windows-en.

Daniel Terrasa

Teknologia eta Interneteko gaietan espezializatutako editorea, hamar urte baino gehiagoko esperientziarekin euskarri digital ezberdinetan. Merkataritza elektroniko, komunikazio, online marketin eta publizitate enpresetarako editore eta eduki sortzaile gisa lan egin dut. Ekonomia, finantza eta beste sektore batzuetako webguneetan ere idatzi dut. Nire lana ere nire pasioa da. Orain, nire artikuluen bidez Tecnobits, teknologiaren munduak egunero gure bizitza hobetzeko eskaintzen dizkigun albiste eta aukera berri guztiak arakatzen saiatzen naiz.