Mikä on rundll32.exe ja miten selvittää, onko se laillinen vai naamioitu haittaohjelma?

Viimeisin päivitys: 17/09/2025
Kirjoittaja: Daniel Terrasa

  • Rundll32.exe on laillinen: se lataa DLL-funktioita Windowsille ja sovelluksille.
  • Sen kelvollinen sijainti on System32/SysWOW64; sen ulkopuolella kannattaa olla epäileväinen.
  • Haittaohjelma voi naamioida itsensä tai käyttää rundll32:ta DLL-tiedostojen käynnistämiseen.
  • Älä poista sitä: tunnista loukkaavat tehtävät/DLL-tiedostot ja käytä haittaohjelmien torjuntaohjelmaa.
Mikä on rundll32.exe

Jos olet törmännyt rundll32.exe Tehtävienhallinnassa ja mietit, mistä ihmeestä on kyse, et ole yksin: tämä suoritettava tiedosto ilmestyy usein, joskus useissa tapauksissa kerralla. Kaukana tunkeilijasta oletuksena, on osa itse Windowsia ja sen tarkoitus on ladata ja suorittaa funktioita, jotka sijaitsevat Windowsissa DLL-tiedostot.

Se, että jokin on laillista, ei tarkoita, etteikö sitä voisi käyttää haitallisesti. Jotkin mahdollisesti ei-toivotut ohjelmat ja haittaohjelmat naamioivat itsensä nimellään tai... He hyödyntävät aitoa rundll32-tiedostoa haitallisen koodin käynnistämiseen.Seuraavilla riveillä kerron tarkalleen, mitä se on, missä sen pitäisi olla, miksi se saattaa näyttää virheitä tai kuluttaa prosessoritehoa, miten erottaa hyvä pahasta ja mitä toimia kannattaa tehdä pilaamatta järjestelmääsi.

Mikä on rundll32.exe ja mihin sitä käytetään?

Rundll32.exe-prosessi suorittaa DLL-tiedostoa

Tiedosto rundll32.exe Se on Windowsin natiivikomponentti, jota käytetään mm. dynaamisesti linkitettyjen kirjastojen (DLL) viemien funktioiden kutsuminenYksinkertaisesti sanottuna: Kun järjestelmän tai sovelluksen on suoritettava DLL-tiedostossa oleva funktio, se voi kutsua sitä rundll32:n kautta.

DLL-tiedostot kapseloivat uudelleenkäytettävän koodin lohkoja, joita monet ohjelmat jakavat, alkaen verkko-, ääni-, video- tai liitäntätehtävät joiden kanssa olet vuorovaikutuksessa. Siksi tyypillisissä Windows-asennuksissa (7, 10, 11 jne.) on tuhansia DLL-tiedostoja, ja rundll32 on avainasemassa niiden hallinnassa.

Mistä löytää ja miten tunnistaa laillinen kopio

Terveessä järjestelmässä näet laillisia kopioita rundll32.exe reiteillä kuten C: \ Windows \ System32 (64-bittinen ympäristö) ja C: \ Windows \ SysWOW64 (32-bittinen yhteensopivuus x64-järjestelmissä). Saattaa myös olla MUI-tiedostot niihin liittyvistä kieliresursseista alikansioissa, kuten en-US o pl-PL, esimerkiksi C:\Windows\System32\en-US\rundll32.exe.mui.

Jos löydät hänet juoksemasta pois Windows-hakemiston ulkopuoliset kansiot (esim. kohdassa AppData, ProgramData (tai väliaikainen hakemisto), ole varovainen. On yleistä, että haittaohjelmat naamioituvat samalla nimellä, mutta toimivat toisesta sijainnista laillisten prosessien häiritseminen.

Onko se virus? Miten haittaohjelmat hyödyntävät sitä

Lyhyt vastaus: Nro. Rundll32.exe Se ei ole virus, se on Windowsin oma työkaluPitkällä aikavälillä: tyypillisiä ansaan liittyy kaksi vaihtoehtoa. Ensinnäkin samanniminen haittaohjelma voi sijaita eri polulla. Toiseksi troijalainen lataa haitallisen DLL-tiedostonsa aidon rundll32-tiedoston kautta, joten näkemäsi prosessi on Microsoftin, mutta... suorittaa haitallista kirjastoa.

Ainutlaatuinen sisältö - Napsauta tästä  Kuinka salata asiakirja tai laittaa salasana, kun se tallennetaan LibreOfficeen?

Uhkahistoriassa mainitaan rundll32:ta käyttävät perheet, kuten Backdoor.W32.Ranky o W32.Miroot.WormJa arkipäiväisemmät, mainosohjelmat tai tunkeilevat selainlaajennukset käyttävät sitä käynnistääkseen tehtäviä, jotka päätyvät Ponnahdusikkunat, uudelleenohjaukset ja suorittimen käyttöTämä on yksi syy siihen, miksi monet käyttäjät uskovat rundll32:n olevan "virus".

  • Jos huomaat liikaa mainoksia tai väliikkunoissa, rundll32:een perustuvat mainosohjelmat voivat olla olemassa.
  • Las ohjaa oudoille verkkosivustoille ja selaimen hidastuminen sopivat myös PUPien/vakoiluohjelmien kanssa.
  • Järjestelmä voi laiskotella prosessien toimesta, jotka käynnistävät rundll32:n epäilyttävien DLL-tiedostojen kanssa.

Miksi näen useita esiintymiä ja virheilmoituksia?

Que el Tehtävienhallinta näyttää useita esiintymiä Tämä on normaalia: eri järjestelmäkomponentit tai kolmannen osapuolen sovellukset voivat käynnistää sen samanaikaisesti. Windows jakaa tehtäviä, ja näet useita rundll32-komentoja käynnissä rinnakkain riippuen siitä, mitä taustalla tapahtuu.

Normaalia ei ole nähdä jatkuvia prosessorin tehopiikkejä tai viestejä, kuten "Virhekoodi: rundll32.exe" selatessasi Chromea, Edgeä, Firefoxia tai IE:tä. Näissä tilanteissa on suositeltavaa epäillä mahdollisesti ei-toivotut ohjelmat (PUP), aggressiivisia laajennuksia tai troijalainen, joka hyödyntää suoritettavaa tiedostoa sen DLL-tiedoston lataamiseen.

Mitä ei kannata tehdä: poista rundll32.exe

Poistaa rundll32.exe de System32/SysWOW64 Se ei ole vaihtoehto: se on tiedosto kriittinen WindowsilleSen poistaminen voi rikkoa perustoimintoja, aiheuttaa kaatumisia tai estää järjestelmää lataamasta tarvittavia komponentteja.

Jos mielestäsi rundll32 tekee "jotain, mitä sen ei pitäisi", järkevää on selvittää, mikä prosessi tai tehtävä sitä kutsuu ja lopeta se: poista tehtävä käytöstä tai poista se, poista ongelmallinen ohjelma, puhdista DLL ja vahvista suojausta hyvällä haittaohjelmien torjuntaohjelmalla.

näkymätön haittaohjelma

Kuinka tarkistaa, onko instanssi haitallinen

Nämä tarkistukset auttavat erottamaan laillisen käytön haitallisesta käytöstä aiheuttamatta hälytyskelloja tai vahingoittamatta järjestelmää. Silti, Jos et tunne oloasi mukavaksi, on parempi pyytää apua. ammattilaiselle tai erikoistuneelle yhteisölle.

  • Tarkista reittiLisää Tehtävienhallinnassa ”Komentorivi”-sarake tai avaa prosessin ”Ominaisuudet”. Jos rundll32.exe ei ole sisällä C:\Windows\System32 o C:\Windows\SysWOW64, huono merkki.
  • Tarkista mitä DLL latautuu: rundll32-käskyä seuraa yleensä polku DLL-tiedostoon ja vietyyn funktioon. Polut, kuten C:\ProgramData\... o C:\Users\...\AppData\... vaativat tarkistusta. Esimerkki cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue on selvästi epäilyttävä.
  • Tarkista Tehtävien aikataulu: Hae viimeisimpiä tehtäviä tai tehtäviä, joiden nimet ovat hämärrettyjä ja jotka kutsuvat rundll32-funktiota. Microsoftin alaisuudessa olevia laillisia polkuja voidaan käyttää julkisivu ladata virheellisiä DLL-tiedostoja.
  • Pasa microsoft puolustaja tai luotettava haittaohjelmien torjuntaohjelma: täysi tarkistus ajantasaisilla tunnisteilla havaitsee useimmat rundll32:een kiinnittyneet mahdollisesti ei-toivotut ohjelmat, mainosohjelmat, vakoiluohjelmat ja troijalaiset.
  • Tarkastaa selaimen laajennuksetPoista kaikki tarpeeton, erityisesti VPN-välityspalvelinlaajennukset, latausohjelmat tai "estojen poistotyökalut", jotka usein sisältävät mainoksia.
  • Käytä diagnostisia työkaluja, kuten Process Explorer nähdä pääprosessi (pääprosessi), joka käynnistää rundll32:n ja suoritettavan tiedoston digitaalisen allekirjoituksen. Microsoftin allekirjoitus System32/SysWOW64:ssä se on normaalia; outoa on, että korttipaikat ovat Windowsin ulkopuolella.
Ainutlaatuinen sisältö - Napsauta tästä  Kuinka jakaa salasanat turvallisesti Google Chromessa

Puhdistus- ja ennaltaehkäisevät toimenpiteet

Ensimmäinen kerros on maalaisjärkeä: Poista ohjelmistot, joita et käytä tai jotka ovat alttiita mainosohjelmillePerusteelliseen puhdistukseen monet oppaat suosittelevat Revo Uninstaller edistyneessä tilassa poistaaksesi mahdollisesti mahdollisesti haittaohjelmien, kuten “DuvApp”, tai tunkeilevien “optimointiohjelmien” jäänteet (kansiot, rekisteriavaimet).

Suorita sitten täysi skannaus Microsoft Defenderillä ja jos pidät sitä sopivana, lisähaittaohjelmien torjuntaohjelman, jolla on todistettu maine. Tämä auttaa metsästämään haitallisia DLL-tiedostoja ja ajoitettuja tehtäviä, jotka ovat riippuvaisia ​​rundll32:sta pysy hiljaa.

Ammattimaisessa siivouksessa mainitaan rekisterin varmuuskopiot (esim. DelFixillä) ja niiden käyttö mukautetut komentosarjat FRST:n (Farbar) avulla korjataksesi käytäntöjä, poistaaksesi tehtäviä, poistaaksesi käytössä olevien DLL-tiedostojen eston jne. Nämä komentosarjat ovat räätälöitynä kullekin joukkueelleÄlä käytä uudelleen jonkun toisen ikkunoita, koska saatat rikkoa omat Windowsisi.

Näiden skriptien yleisiä toimintoja ovat verkon ja palomuurin nollaaminen (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), sulje prosessit, poistaa kansioita en ProgramData/AppData linkitetty PUP-ohjelmiin ja puhdistaa ajoitetut tehtävät, jotka lataavat DLL-tiedostoja käyttämällä rundll32.exeJälleen kerran: parempi asiantuntevissa käsissä.

Minimoi tulevat riskit pitämällä Windows ja sovelluksesi aina päivitetty, lataa ohjelmistoja virallisilta sivustoilta, poista ylimääräisten komponenttien poistot "pika"asennuksista ja epäile kaikkia järjestelmän suoritettavia tiedostoja, jotka näkyvät sen ulkopuolella vakioreitit.

Lisää vihjeitä sijainneista ja niihin liittyvistä tiedostoista

System32:n ja SysWOW64:n lisäksi näet resurssitiedostot MUI rundll32:sta kielikansioissa, kuten en-US o pl-PLNe eivät ole suoritettavia, mutta lokalisointiresurssitKatso ”rundll32” ilman .exe Explorerissa saattaa johtua piilota laajennukset tunnetuista tiedostoista.

Ainutlaatuinen sisältö - Napsauta tästä  Kuinka avata iOS-laitteen lukitus salasanalla?

Jos epäilyttävä tapaus lakkaa näkymästä ja ongelmasi (esim. kaksoisaksentti näppäimistöllä) katoaa, se on merkki siitä, että ongelmallinen osa oli jossain muualla ja käytin käynnistysohjelmana rundll32:ta. Kun se ilmestyy uudelleen, on aika tarkastella tehtäviä, laajennuksia ja yhdistettyjä DLL-tiedostoja.

Milloin pyytää edistynyttä apua

Jos näet edelleen rundll32:n käynnistyvän laajennusten puhdistamisen, mahdollisesti ei-toivottujen ohjelmien poistamisen ja haittaohjelmien torjunnan suorittamisen jälkeen outoja reittejätai huomaat oireita, kuten leikepöydän peukalointia, haitallisia USB-pikakuvakkeita ja "vaurioitunutta" näppäimistöä, älä jätä sitä: konsultointi erikoistuneen tuen kanssaKorjausskriptiä tarvitaan usein. asiakassuhde joukkueellesi, joka pelaa rekisteröinti, tehtävät ja käytännöt kirurgisesti.

Muista: jokainen tietokone on oma maailmansa. Toiselle koneelle suunniteltu skripti (viittauksineen kansioihin, kuten TreeCenter\BortValue tai tietyt DLL-tiedostot), jotka suoritetaan sinun tietokoneellasi, voivat jätä se epävakaaksiTehostettu puhdistus ei ole kopiointia ja liittämistä, se on yksilöllinen diagnoosi.

Usein kysytyt kysymykset

  • Voinko poistaa rundll32.exe-tiedoston? Ei. Se on järjestelmän olennainen osa. Oikea tapa on poistaa liipaisin (tehtävä, ohjelma, DLL), joka käyttää sitä väärin.
  • Miksi tapauksia on useita? Koska eri järjestelmätoiminnot ja kolmannen osapuolen sovellukset käynnistävät sitä rinnakkain. Useiden instanssien käyttö alhaisella virrankulutuksella on normaalia.
  • Missä sen pitäisi olla? En C:\Windows\System32 ja / tai C:\Windows\SysWOW64, jonka MUI-tiedostot ovat kielikansioissa. Windowsin ulkopuolella kannattaa olla epäilevä.
  • Eikö virustorjuntaohjelma voi tunnistaa sitä? Näin voi käydä, etenkin PUP-ohjelmien ja mainosohjelmien kanssa. Silti Microsoft Defender ja täysi tarkistus yleensä tunnistavat useimmat väärinkäytökset, ja voit täydentää sitä toisella hyvämaineisella ratkaisulla.
  • Mitkä ovat yksiselitteiset merkit jostakin oudosta? DLL-tiedoston vieraat polut (ProgramData, AppData), outoja merkkijonoja leikepöydällä, haitallisia pikakuvakkeita USB:llä, estäviä tildejä ja ajoitettuja tehtäviä, jotka kutsuvat rundll32.exe hämärrettyjen DLL-tiedostojen kanssa.

Lyhyesti sanottuna Rundll32.exe on laillinen ja välttämätön työkalu jota mainosohjelmat ja troijalaiset voivat luonteensa vuoksi hyödyntää ei-toivottujen DLL-tiedostojen suorittamiseen. Ennen kuin syytät suoritettavaa tiedostoa tai poistat sen, tutustu instanssipolku, mitkä DLL-tiedostot ladataan ja kuka niitä kutsuu; poista mahdollisesti ei-toivotut ohjelmat, puhdista laajennukset, tarkista ajoitetut tehtävät ja suorita hyvä haittaohjelmien torjuntaohjelma. Näillä toimenpiteillä ja tarvittaessa edistyneen tuen avulla voit väärinkäytösten torjuminen vakautta vaarantamatta Windowsistasi.