Wat is rundll32.exe, lokaasjes, en tekens fan malware

Rundll32.exe is legitiem: it laadt DLL-funksjes foar Windows en apps.
De jildige lokaasje is System32/SysWOW64; bûten dat, wês fertocht.
Malware kin himsels ferklaaie of rundll32 brûke om DLL's te starten.
Wiskje it net: identifisearje de oanstjitlike taken/DLL's en brûk antimalware.

As jo tsjinkaam binne rundll32.exe yn Taakbehearder en jo ôffreegje wat it yn 'e wrâld is, binne jo net allinich: dizze útfierbere ferskynt faak, soms yn meardere gefallen tagelyk. Fier fan standert in yndringer te wêzen, is ûnderdiel fan Windows sels en it doel is om funksjes te laden en út te fieren dy't host wurde yn DLL-bestannen.

No, allinich om't it legitiem is, betsjuttet net dat it net kwea-aardich brûkt wurde kin. Guon potinsjeel net winske programma's en malware kamouflearje harsels mei har namme of Se eksploitearje de echte rundll32 om kweade koade te starten.Yn 'e folgjende rigels sil ik jo krekt fertelle wat it is, wêr't it wêze moat, wêrom't it flaters werjaan kin of CPU-ferbrûke kin, hoe't jo ûnderskied meitsje kinne tusken goed en min, en hokker stappen jo moatte nimme sûnder jo systeem te ferneatigjen.

Wat is rundll32.exe en wêrfoar wurdt it brûkt?

Rundll32.exe-proses dat DLL útfiert

It bestân rundll32.exe It is in native Windows-komponint dy't brûkt wurdt om funksjes oproppe dy't eksportearre binne út dynamyske keppelingsbiblioteken (DLL's)Yn gewoan Ingelsk: As it systeem of in app in funksje útfiere moat dy't yn in DLL sit, kin it it oanroppe fia rundll32.

DLL's befetsje blokken fan werbrûkbere koade dy't in protte programma's diele, fan netwurk-, audio-, fideo- of ynterfacetaken wêrmei jo ynteraksje hawwe. Dêrom binne der yn typyske Windows-ynstallaasjes (7, 10, 11, ensfh.) tûzenen DLL's, en rundll32 is de kaai foar it orkestrearjen dêrfan.

Wêr te finen en hoe't jo in legitime kopy werkenne kinne

Yn in sûn systeem sille jo legitime kopyen sjen fan rundll32.exe op rûtes lykas C:\Windows\System32 (64-bit omjouwing) en C:\Windows\SysWOW64 (32-bit kompatibiliteit op x64-systemen). Der kin ek wêze MUI-bestannen fan assosjearre taalboarnen yn submappen lykas en-US o pl-PL, Bygelyks C:\Windows\System32\en-US\rundll32.exe.mui.

As jo him fine rinnen fan mappen bûten de Windows-map (bygelyks, yn AppData, ProgramData of in tydlike map), wês foarsichtich. It is gewoan dat malware himsels ferklaait mei deselde namme, mar fan in oare lokaasje rint nei bemuoienis mei legitime prosessen.

Is it in firus? Hoe malware it eksploitearret

It koarte antwurd: Nee. Rundll32.exe It is gjin firus, it is in Windows syn eigen arkOp lange termyn: der binne twa typyske fallen. Ien, in kwea-aardich programma mei deselde namme sit yn in oar paad. Twa, in Trojaanske Trojan laadt syn kwea-aardich DLL fia de autentike rundll32, dus it proses dat jo sjogge is fan Microsoft, mar rint in kweade bibleteek.

Eksklusive ynhâld - Klik hjir Hoe witte jo wa't efter in falsk profyl sit

Yn 'e bedrigingshistoarje wurde famyljes neamd dy't rundll32 brûke, lykas Efterdoar.W32.Ranky o W32.Miroot.WjirmEn, mear gewoane, adware of yndringende browserútwreidings brûke it om taken te starten dy't úteinlik yn Pop-ups, trochferwizings en CPU-gebrûkDat is ien reden wêrom't in protte brûkers leauwe dat rundll32 "in firus is".

As jo fernimme oerskot oan advertinsjes of tuskenlizzende finsters, kin der adware wêze dy't fertrout op rundll32.
De trochferwiist nei frjemde websiden en browserfertraging passe ek by PUP's/spyware.
It systeem kin lui wurde troch prosessen dy't rundll32 triggerje mei fertochte DLL's.

Wêrom sjoch ik meardere gefallen en flaterberjochten?

Dat de Taakbehearder lit meardere eksimplaren sjen Dit is normaal: ferskate systeemkomponinten of apps fan tredden kinne it tagelyk oanroppe. Windows ferdielt taken, en jo sille ferskate rundll32's parallel sjen rinnen, ôfhinklik fan wat der op 'e eftergrûn bart.

Wat net normaal is, is om konstante CPU-pieken of berjochten te sjen lykas "Foutkoade: rundll32.exe" by it blêdzjen yn Chrome, Edge, Firefox of IE. Yn dizze senario's is it oan te rieden om te fermoedzjen potinsjeel net winske programma's (PUP's), agressive útwreidings of in Trojaanske Trojan dy't it útfierbere bestân misbrûkt om syn DLL te laden.

Wat net te dwaan: rundll32.exe wiskje

Eliminearje rundll32.exe de Systeem32/SysWOW64 It is gjin opsje: it is in bestân kritysk foar WindowsIt wiskjen kin basisfunksjes fersteure, crashes feroarsaakje, of foarkomme dat it systeem needsaaklike komponinten laadt.

As jo tinke dat rundll32 "iets docht dat it net dwaan moat", is it ferstannich om te dwaan útfine hokker proses of taak it oanropt en snij it út: útskeakelje of wiskje de taak, deynstallearje it problematyske programma, meitsje de DLL skjin, en fersterkje beskerming mei in goede antimalware.

ûnsichtbere malware

Hoe kinne jo kontrolearje oft it eksimplaar kwea-aardich is

Dizze kontrôles helpe jo om legitime gebrûk te ûnderskieden fan kwea-aardich gebrûk sûnder alarmisme te feroarsaakjen of it systeem te beskeadigjen. Dochs, As jo jo net noflik fiele, is it better om help te freegjen. oan in profesjonele of in spesjalisearre mienskip.

Kontrolearje de rûteYn Taakbehearder, foegje de kolom "Kommandoregel" ta of iepenje de "Eigenskippen" fan it proses. As rundll32.exe It is net yn C:\Windows\System32 o C:\Windows\SysWOW64, in min teken.
Kontrolearje wat DLL wurdt ladenrundll32 wurdt meastentiids folge troch it paad nei in DLL en in eksportearre funksje. Paden lykas C:\ProgramData\... o C:\Users\...\AppData\... fereaskje resinsje. It foarbyld fan cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue is dúdlik fertocht.
Kontrolearje de TaakplannerSykje nei resinte taken of taken mei fertsjustere nammen dy't rundll32 oanroppe. Legitime paden ûnder Microsoft kinne brûkt wurde as gevel om ûnfatsoenlike DLL's te laden.
Bart Microsoft Defender of in betroubere anti-malware: in folsleine scan mei aktuele hantekeningen sil de measte PUP's, adware, spyware en Trojans detektearje dy't harsels oan rundll32 hechtsje.
Kontrôle browserútwreidingsDeynstallearje alles dat net essensjeel is, foaral VPN-proxy-útwreidings, downloaders of "ûntblokkers" dy't faak advertinsjes befetsje.
Brûk diagnostyske ark lykas Prosesferkenner om de te sjen âlderproses (âlderproses) dat rundll32 en de digitale hântekening fan it útfierbere bestân oanropt. De hantekening fan Microsoft yn System32/SysWOW64 is it normaal; it frjemde is slots bûten Windows.

Eksklusive ynhâld - Klik hjir AdGuard DNS vs NextDNS: Folsleine ferliking en kargids

Reinigings- en previntyfmaatregels

De earste laach is sûn ferstân: Ferwiderje software dy't jo net brûke of dy't gefoelich is foar adwareFoar in yngeande skjinmeitsjen advisearje in protte hantliedingen Revo Uninstaller yn avansearre modus om oerbliuwsels (mappen, registersleutels) fan PUP's lykas "DuvApp" of yndringende "optimalisaasje"-suites te ferwiderjen.

Fier dan in folsleine scan mei Microsoft Defender en, as jo tinke dat it passend is, in ekstra anti-malware mei in bewezen reputaasje. Dit helpt by it opspoaren fan kweade DLL's en plande taken dy't ôfhinklik binne fan rundll32 om stil oanhâlde.

By profesjonele skjinmeitsjen sille jo fermelding sjen fan registerbackups (bygelyks mei DelFix) en it gebrûk fan oanpaste skripts mei FRST (Farbar) om belied te reparearjen, taken te wiskjen, DLL's yn gebrûk te deblokkearjen, ensfh. Dy skripts binne oanpast oan elk teamBrûk dy fan in oar net opnij, om't jo jo Windows dan ferneatigje kinne.

Algemiene aksjes foar dizze skripts omfetsje it weromsette fan it netwurk en de firewall (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), slút prosessen, mappen wiskje en ProgramData/AppData keppele oan PUP's en plande taken opromje dy't DLL's lade mei rundll32.exeWer: better yn saakkundige hannen.

Om takomstige risiko's te minimalisearjen, hâld Windows en jo apps altyd by de tiid, download software fan offisjele siden, ûntselektearje ekstra komponinten yn "ekspres" ynstallaasjes en wês achterdochtich oer elke systeemútfierbere dy't bûten de ferskynt standertrûtes.

Mear oanwizings oer lokaasjes en relatearre bestannen

Neist System32 en SysWOW64 sille jo boarnebestannen sjen MUI fan rundll32 yn taalmappen lykas en-US o pl-PLSe binne net útfierber, mar lokalisaasjeboarnenSjoch "rundll32" sûnder .exe yn 'e Explorer kin wêze fanwegen ferbergje de útwreidings út bekende bestannen.

Eksklusive ynhâld - Klik hjir Learje hoe't jo malware kinne detektearje en josels beskermje

As in fertocht eksimplaar net mear ferskynt en jo probleem (bygelyks de dûbele tilde op it toetseboerd) ferdwynt, is it in teken dat it problematyske stik wie earne oars en brûkte rundll32 as in launcher. As it wer ferskynt, is it tiid om te sjen nei de taken, útwreidings en ferbûne DLL's.

Wannear't jo om avansearre help freegje moatte

As jo, nei it skjinmeitsjen fan útwreidings, it deynstallearjen fan PUP's en it útfieren fan antimalware, noch altyd rundll32 sjogge dy't starte is fanút frjemde rûtes, of jo fernimme symptomen lykas in manipulearre klamboerd, kweade USB-koartkoppelings en in "fermindere" toetseboerd, lit it dan net: oerlis mei spesjalisearre stipeIn reparaasjeskript is faak fereaske oanpast foar dyn team dat spilet registraasje, taken en belied sjirurgysk.

Tink derom: elke kompjûter is in wrâld op himsels. In skript ûntworpen foar in oare masine (mei ferwizings nei mappen lykas TreeCenter\BortValue of spesifike DLL's) útfierd op jo blik lit it ynstabylAvansearre skjinmeitsjen is net kopiearje-plakke, it is yndividuele diagnoaze.

Faak stelde fragen

Kin ik rundll32.exe fuortsmite? Nee. It is in essinsjeel ûnderdiel fan it systeem. De juste manier is om de trigger (taak, programma, DLL) te ferwiderjen dy't it misbrûkt.
Wêrom binne der meardere gefallen? Omdat ferskate systeemfunksjes en apps fan tredden it parallel oanroppe. Meardere ynstânsjes, mei leech enerzjyferbrûk, is normaal.
Wêr moat it wêze? En C:\Windows\System32 ik C:\Windows\SysWOW64, mei syn MUI-bestannen yn taalsubmappen. Bûten Windows, wês fertocht.
Kin in antivirus it net detektearje? It kin barre, foaral mei PUP's en adware. Dochs identifisearje Microsoft Defender en in folsleine scan meastentiids de measte misbrûken, en jo kinne oanfolje mei in oare betroubere oplossing.
Wat binne de ûndûbelsinnige tekens fan wat nuvers? Frjemde paden foar de DLL (ProgramData, AppData), frjemde tekenrige yn it klamboerd, kweade fluchtoetsen op USB, blokkearjende tildes en plande taken dy't oproppe rundll32.exe mei ferburgen DLL's.

Gearfetsjend, rundll32.exe is in legitime en needsaaklike ark dat, troch syn aard, eksploitearre wurde kin troch adware en Trojanen om net winske DLL's út te fieren. Foardat jo de útfierbere de skuld jouwe of it wiskje, sjoch nei de eksimplaarpad, hokker DLL's laden binne en wa't se oanropt; PUP's deynstallearje, útwreidings skjinmeitsje, plande taken kontrolearje en in goed anti-malwareprogramma útfiere. Mei dizze maatregels, en troch tagong te krijen ta avansearre stipe as it nedich is, kinne jo misbrûk oanpakke sûnder stabiliteit yn gefaar te bringen fan jo Windows.

Daniel Terrasa

Redakteur spesjalisearre yn technology en ynternetproblemen mei mear as tsien jier ûnderfining yn ferskate digitale media. Ik haw wurke as redakteur en ynhâldmakker foar e-commerce, kommunikaasje, online marketing en reklamebedriuwen. Ik haw ek skreaun op ekonomy, finânsjes en oare sektoaren websiden. Myn wurk is ek myn passy. No, troch myn artikels yn Tecnobits, Ik besykje alle nijs en nije kânsen te ferkennen dy't de wrâld fan technology ús elke dei biedt om ús libben te ferbetterjen.