Cad é rundll32.exe agus conas a rá an malware dlisteanach nó faoi cheilt atá ann?

Si te has topado con rundll32.exe i mBainisteoir Tascanna agus ag smaoineamh cad é atá ann, níl tú i d'aonar: feictear an inrite seo go minic, uaireanta i roinnt cásanna ag an am céanna. I bhfad ó bheith ina ionróir de réir réamhshocraithe, is cuid de Windows féin é agus is é an cuspóir atá leis feidhmeanna a luchtú agus a fhorghníomhú atá á óstáil i archivos DLL.

Anois, ní chiallaíonn sé nach féidir é a úsáid go mailíseach díreach toisc go bhfuil sé dlisteanach. Déanann roinnt clár agus malware nach dteastaíonn a gcamúlú orthu féin lena n-ainm nó lena n-ainm. Baineann siad leas as an fíor-rundll32 chun cód mailíseach a sheoladh.Sna línte seo a leanas, inseoidh mé duit go díreach cad é, cá háit ar cheart dó a bheith, cén fáth a bhféadfadh sé earráidí a thaispeáint nó an LAP a ídiú, conas idirdhealú a dhéanamh idir maith agus olc, agus cad iad na céimeanna atá le glacadh gan do chóras a mhilleadh.

Cad é rundll32.exe agus cad chuige a úsáidtear é?

An comhad rundll32.exe Is comhpháirt dhúchasach Windows í a úsáidtear chun feidhmeanna a thionóltar ó leabharlanna nasc dinimiciúla (DLLanna) a ghairmI mBéarla simplí: Nuair is gá don chóras nó d'aip feidhm atá i DLL a fhorghníomhú, is féidir leis glaoch uirthi trí rundll32.

Cuimsíonn DLLanna bloic de chód in-athúsáidte a roinneann go leor clár, ó tascanna líonra, fuaime, físe nó comhéadain a mbíonn tú ag idirghníomhú leo. Sin é an fáth, i suiteálacha tipiciúla Windows (7, 10, 11, srl.), go bhfuil na mílte DLLanna ann, agus is é rundll32 an eochair chun iad a eagrú.

Cá háit le cóip dhlisteanach a aimsiú agus conas í a aithint

I gcóras sláintiúil feicfidh tú cóipeanna dlisteanacha de rundll32.exe en rutas como C:\Windows\System32 (timpeallacht 64-giotán) agus C:\Windows\SysWOW64 (Comhoiriúnacht 32-giotán ar chórais x64). D’fhéadfadh go mbeadh Comhaid MUI acmhainní teanga gaolmhara i bhfo-fhillteáin amhail en-US o pl-PL, por ejemplo C:\Windows\System32\en-US\rundll32.exe.mui.

Má fhaigheann tú é ag rith ó fillteáin lasmuigh den eolaire Windows (m.sh., i AppData, ProgramData nó eolaire sealadach), bí cúramach. Is gnách go mbíonn malware ag baint úsáide as an ainm céanna ach ag rith ó shuíomh eile go cur isteach ar phróisis dhlisteanacha.

An víreas é? Conas a shaothraíonn malware é

La respuesta corta: Níl. Rundll32.exe Ní víreas é, is víreas é Uirlis Windows féinSan fhadtréimhse: tá dhá ghaiste tipiciúla ann. Ar an gcéad dul síos, bíonn clár mailíseach leis an ainm céanna i gcosán difriúil. Ar an dara dul síos, luchtóidh Tróianach a DLL mailíseach tríd an rundll32 barántúil, mar sin is próiseas Microsoft an próiseas a fheiceann tú, ach ag rith leabharlann mailíseach.

I stair na mbagairtí, luaitear teaghlaigh a úsáideann rundll32, amhail Backdoor.W32.Ranky o W32.Miroot.WormAgus, úsáideann earraí fógraíochta nó síntí brabhsálaí níos coitianta é chun tascanna a sheoladh a chríochnaíonn i Fuinneoga aníos, atreoruithe, agus úsáid LAPSin ceann de na cúiseanna a gcreideann go leor úsáideoirí gur “víreas” é rundll32.

• Má thugann tú faoi deara barraíocht fógraí nó fuinneoga idirmheánacha, d'fhéadfadh bogearraí fógraíochta a bheith ann atá ag brath ar rundll32.
• An atreoraíonn chuig suíomhanna gréasáin aisteacha agus moilliú brabhsálaí oireann sé freisin do PUPanna/spiaireachta.
• El sistema puede a bheith leisciúil trí phróisis a spreagann rundll32 le DLLanna amhrasacha.

Cén fáth a bhfeicim roinnt samplaí agus teachtaireachtaí earráide?

Que el Taispeánann Bainisteoir Tascanna ilchineálacha Is gnách é seo: is féidir le comhpháirteanna córais éagsúla nó le haipeanna tríú páirtí é a ghairm ag an am céanna. Dáileann Windows tascanna, agus feicfidh tú roinnt rundll32s ag rith go comhthreomhar ag brath ar a bhfuil ag tarlú sa chúlra.

Ní gnáthrud é spící LAP leanúnacha nó teachtaireachtaí cosúil leo a fheiceáil "Cód earráide: rundll32.exe" agus tú ag brabhsáil i Chrome, Edge, Firefox nó IE. Sna cásanna seo is inmholta amhras a bheith ort cláir nach dteastaíonn a d’fhéadfadh a bheith ann (PUPanna), síntí ionsaitheacha nó Tróiaigh atá ag saothrú an chomhaid inrite chun a DLL a luchtú.

Cad nach le déanamh: scrios rundll32.exe

Deireadh a chur leis rundll32.exe de Córas32/SysWOW64 Ní rogha é: is comhad é ríthábhachtach do WindowsMá scriostar é, d’fhéadfadh sé go gcuirfí isteach ar fheidhmeanna bunúsacha, go mbeadh tuairteanna mar thoradh air, nó go gcoiscfí an córas ó chomhpháirteanna riachtanacha a luchtú.

Más dóigh leat go bhfuil rundll32 ag déanamh “rud nach gceart dó”, is é an rud ciallmhar le déanamh ná faigh amach cén próiseas nó tasc atá á ghairm agus gearr amach é: díchumasaigh nó scrios an tasc, díshuiteáil an clár fadhbach, glan an DLL, agus neartaigh an chosaint le bogearraí frith-mhailíseacha maith.

Conas a sheiceáil an bhfuil an cás mailíseach

Cuidíonn na seiceálacha seo leat idirdhealú a dhéanamh idir úsáid dhlisteanach agus úsáid mhailíseach gan aláram a chur faoi deara ná damáiste a dhéanamh don chóras. Mar sin féin, Mura mbraitheann tú compordach, is fearr cabhair a iarraidh. chuig gairmí nó pobal speisialaithe.

• Verifica la rutaI mBainisteoir Tascanna, cuir an colún “Líne Ordú” leis nó oscail “Airíonna” an phróisis. Má rundll32.exe no está en C:\Windows\System32 o C:\Windows\SysWOW64, mala señal.
• Comprueba qué Tá an DLL ag luchtúDe ghnáth bíonn an cosán chuig DLL agus feidhm easpórtáilte i ndiaidh rundll32. Cosáin cosúil le C:\ProgramData\... o C:\Users\...\AppData\... athbhreithniú a dhéanamh air. An sampla de cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue tá amhras soiléir ann.
• Seiceáil an Sceidealóir tascannaCuardaigh tascanna le déanaí nó tascanna le hainmneacha doiléire a ghlaonn rundll32. Is féidir cosáin dhlisteanacha faoi Microsoft a úsáid mar fachada Chun DLLanna míchuí a luchtú.
• Tarlaíonn Cosantóir Microsoft nó frith-bhogearraí mailíseacha iontaofa: braithfidh scanadh iomlán le sínithe cothrom le dáta formhór na n-inneall neamhghníomhach, na mbogearraí fógraíochta, na mbogearraí spyware, agus na dTróiaigh a cheanglaíonn iad féin le rundll32.
• Audita síntí brabhsálaíDíshuiteáil aon rud nach bhfuil riachtanach, go háirithe síntí seachfhreastalaí VPN, íoslódálaithe, nó “díbhlocálaithe” a bhfuil fógraí iontu go minic.
• Utiliza herramientas de diagnóstico como Iniúchóir Próisis para ver el parent process (próiseas tuismitheora) a ghlaonn rundll32 agus síniú digiteach an chomhaid inrite. Síniú Microsoft i System32/SysWOW64 is gnách é; is é an rud aisteach ná sliotáin lasmuigh de Windows.

Bearta glantacháin agus coisctheacha

Is é an chéad chiseal ná ciall choiteann: Díshuiteáil bogearraí nach n-úsáideann tú nó atá seans maith go mbeidh earraí fógraíochta iontuChun glanadh críochnúil a dhéanamh, molann go leor treoracha Díshuiteálaí Revo i mód ardleibhéil chun iarsmaí (fillteáin, eochracha clárlainne) de PUPanna cosúil le “DuvApp” nó sraitheanna “optamaithe” ionracha a bhaint.

Ansin, rith scanadh iomlán le Microsoft Defender agus, más cuí leat é, frith-bhogearraí mailíseacha breise a bhfuil dea-cháil air. Cuidíonn sé seo le DLLanna mailíseacha agus tascanna sceidealaithe a bhraitheann ar rundll32 a fhiach. leanúint ar aghaidh go ciúin.

I nglanadh gairmiúil feicfidh tú trácht ar chúltacaí clárlainne (e.g. le DelFix) agus úsáid scripts personalizados le FRST (Farbar) chun polasaithe a dheisiú, tascanna a scriosadh, DLLanna atá in úsáid a dhíbhlocáil, srl. Is iad na scripteanna sin oiriúnaithe do gach foireannNá hathúsáid fuinneoga duine eile mar d’fhéadfá do Windows a bhriseadh.

I measc na ngníomhartha coitianta do na scripteanna seo tá athshocrú an líonra agus an bhalla dóiteáin (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), próisis dhúnta, scrios fillteáin en ProgramData/AppData nasctha le PUPanna agus glanadh suas tascanna sceidealaithe a luchtóidh DLLanna ag baint úsáide as rundll32.exeArís: is fearr i lámha saineolaithe.

Chun rioscaí amach anseo a íoslaghdú, coinnigh Windows agus d’aipeanna i gcónaí cothrom le dáta, bogearraí a íoslódáil ó shuíomhanna oifigiúla, comhpháirteanna breise a dhíthiceáil i suiteálacha “sainráite” agus a bheith amhrasach faoi aon chóras inrite a fheictear lasmuigh den bealaí caighdeánacha.

Tuilleadh leideanna faoi shuíomhanna agus comhaid ghaolmhara

Chomh maith le System32 agus SysWOW64, feicfidh tú comhaid acmhainní MUI de rundll32 i bhfillteáin teanga cosúil le en-US o pl-PLNí féidir iad a fhorghníomhú, ach acmhainní logánaitheFéach “rundll32” gan .exe san Explorer b'fhéidir gur mar gheall ar na síntí a cheilt ó chomhaid aitheanta.

Mura dtagann cás amhrasach chun solais agus má tá do fhadhb (e.g., an doble tilde ar an méarchlár) imíonn, is comhartha é gurbh é an píosa fadhbach a bhí ann en otro lugar agus d'úsáid sé rundll32 mar lainseálaí. Nuair a thaispeántar é arís, tá sé in am breathnú ar na tascanna, na síntí, agus na DLLanna nasctha.

Cathain is ceart cabhair ardleibhéil a iarraidh

Má fheiceann tú rundll32 fós seolta ó bealaí aisteacha, nó má thugann tú faoi deara comharthaí ar nós gearrthaisce atá curtha i bhfostú, aicearraí USB mailíseacha, agus méarchlár “craptha”, ná fág é: comhairliúchán le tacaíocht speisialaitheIs minic a bhíonn script deisiúcháin ag teastáil. custom do do fhoireann a imríonn clárú, tascanna agus beartais go máinliachta.

Cuimhnigh: is domhan ann féin gach ríomhaire. Script atá deartha do mheaisín eile (le tagairtí do fhillteáin cosúil le TreeCenter\BortValue nó DLLanna sonracha) a fhorghníomhaítear ar do cheann féin fág é éagobhsaíNí cóipeáil agus greamaigh atá i gceist le glanadh ardleibhéil, is ea diagnóstico individual.

Ceisteanna Coitianta

• An féidir liom rundll32.exe a bhaint? Ní hea. Is cuid riachtanach den chóras é. Is é an bealach ceart ná an spreagthóir (tasc, clár, DLL) a bhaineann mí-úsáid as a bhaint.
• Cén fáth go bhfuil roinnt cásanna ann? Toisc go n-iarrann feidhmeanna córais éagsúla agus aipeanna tríú páirtí é ag an am céanna. Is gnách go mbíonn ilchásanna ann, agus ídiú cumhachta íseal acu.
• Cá háit ar cheart dó a bheith? En C:\Windows\System32 Mise C:\Windows\SysWOW64, agus a chomhaid MUI i bhfo-fhillteáin teanga. Lasmuigh de Windows, bí amhrasach.
• Nach féidir le frithvíreas é a bhrath? Is féidir leis tarlú, go háirithe le PUPanna agus earraí fógraíochta. Mar sin féin, is gnách go n-aithníonn Microsoft Defender agus scanadh iomlán an chuid is mó de na mí-úsáidí, agus is féidir leat forlíonadh a dhéanamh le réiteach measúil eile.
• Cad iad na comharthaí soiléire go bhfuil rud éigin aisteach ann? Cosáin eachtracha don DLL (ProgramData, AppData), teaghráin aisteacha sa ghearrthaisce, aicearraí mailíseacha ar USB, tildí blocála agus tascanna sceidealaithe a ghlaonn rundll32.exe le DLLanna doiléire.

Mar achoimre, Is uirlis dhlisteanach agus riachtanach í rundll32.exe rud a d’fhéadfadh earraí fógraíochta agus Trojans a shaothrú de réir a nádúir chun DLLanna nach dteastaíonn a rith. Sula gcuireann tú an milleán ar an inrite nó sula scriostar é, féach ar an cosán sampla, cé na DLLanna atá luchtaithe agus cé atá á n-agair; díshuiteáil PUPanna, glan síntí, seiceáil tascanna sceidealaithe, agus rith clár frith-malware maith. Leis na bearta seo, agus trí rochtain a fháil ar thacaíocht ardleibhéil nuair is gá, is féidir leat dul i ngleic le mí-úsáid gan cur isteach ar chobhsaíocht de tu Windows.