Mi az a rundll32.exe, és hogyan állapítható meg, hogy legitim vagy álcázott kártevőről van-e szó?

Si te has topado con rundll32.exe fájl a Feladatkezelőben, és azon tűnődsz, hogy mi a csuda lehet ez, nem vagy egyedül: ez a futtatható fájl gyakran megjelenik, néha egyszerre több példányban is. Messze attól, hogy alapértelmezés szerint betolakodó legyek, a Windows része, és célja a benne található függvények betöltése és végrehajtása DLL fájlok.

Attól, hogy valami legitim, még nem következik, hogy nem lehet rosszindulatúan használni. Néhány potenciálisan nemkívánatos program és rosszindulatú program a nevével vagy... A valódi rundll32-t kihasználva indítanak el rosszindulatú kódot.A következő sorokban pontosan elmondom, hogy mi is ez, hol kellene lennie, miért jeleníthet meg hibákat vagy fogyaszthatja a CPU-t, hogyan lehet megkülönböztetni a jót a rossztól, és milyen lépéseket kell tenni a rendszer tönkretétele nélkül.

Mi az a rundll32.exe és mire használják?

A fájl rundll32.exe Ez egy natív Windows komponens, amely a következőkre szolgál: dinamikus csatolású könyvtárakból (DLL) exportált függvények meghívásaEgyszerűen fogalmazva: Amikor a rendszernek vagy egy alkalmazásnak egy DLL-ben található függvényt kell végrehajtania, azt az rundll32-n keresztül hívhatja meg.

A DLL-ek olyan újrafelhasználható kódblokkokat tartalmaznak, amelyeket sok program megoszt, például hálózati, hang-, videó- ​​vagy interfészfeladatok amellyel kapcsolatba lépsz. Ezért van az, hogy a tipikus Windows telepítésekben (7, 10, 11 stb.) több ezer DLL található, és az rundll32 kulcsfontosságú ezek összehangolásához.

Hol találhatok és hogyan ismerhetem fel a legitim másolatot?

Egy egészséges rendszerben a következők legitim másolatait fogja látni: rundll32.exe en rutas como C:\Windows\System32 (64 bites környezet) és C:\Windows\SysWOW64 (32 bites kompatibilitás x64 rendszereken). Előfordulhat az is, hogy MUI-fájlok a kapcsolódó nyelvi erőforrások almappákban, például en-US o pl-PLPéldául C:\Windows\System32\en-US\rundll32.exe.mui.

Ha rajtakapod, hogy menekül előle a Windows könyvtáron kívüli mappák (pl. a AppData, ProgramData (vagy egy ideiglenes könyvtár), legyen óvatos. Gyakori, hogy a rosszindulatú programok ugyanazzal a névvel álcázzák magukat, de egy másik helyről futnak, hogy... jogos folyamatokba való beavatkozás.

Vírusról van szó? Hogyan használja ki a rosszindulatú programok?

La respuesta corta: Nem. Rundll32.exe Ez nem vírus, hanem egy A Windows saját eszközeHosszú távon: két tipikus csapda van. Egyrészt egy azonos nevű rosszindulatú program egy másik útvonalon található. Másrészt egy trójai a rosszindulatú DLL-jét az eredeti rundll32-n keresztül tölti be, tehát a folyamat, amit látunk, a Microsofté, de... rosszindulatú könyvtárat futtat.

A fenyegetések előzményeiben szerepelnek a rundll32-t használó családok, például a Backdoor.W32.Ranky o W32.Miroot.WormÉs a hétköznapibb, reklámprogramok vagy tolakodó böngészőbővítmények olyan feladatok elindítására használják, amelyek végül... Felugró ablakok, átirányítások és CPU-használatEz az egyik oka annak, hogy sok felhasználó úgy gondolja, hogy az rundll32 „egy vírus”.

• Ha észreveszed túl sok hirdetés vagy közbeeső ablakokban előfordulhat, hogy a rundll32-re támaszkodó kéretlen reklámprogramok vannak.
• A átirányítások furcsa weboldalakra és a böngésző lassulása is illeszkedik a potenciálisan nemkívánatos programokhoz/kémprogramokhoz.
• A rendszer képes lustává válni olyan folyamatok által, amelyek gyanús DLL-eket tartalmazó rundll32 parancsot indítanak el.

Miért látok több példányt és hibaüzenetet?

Que el A Feladatkezelő több példányt is megjelenít Ez normális: különböző rendszerösszetevők vagy harmadik féltől származó alkalmazások egyszerre hívhatják meg. A Windows elosztja a feladatokat, és több rundll32 fut párhuzamosan attól függően, hogy mi történik a háttérben.

Ami nem normális, az az állandó CPU-tüskék vagy olyan üzenetek látványa, mint például „Hibakód: rundll32.exe” miközben Chrome-ban, Edge-ben, Firefoxban vagy IE-ben böngész. Ilyen esetekben tanácsos gyanakodni potenciálisan nemkívánatos programok (PUP-ok), agresszív kiterjesztések vagy egy trójai, amely a végrehajtható fájlt kihasználva betölti a DLL-jét.

Mit ne tegyünk: töröljük a rundll32.exe fájlt

Megszüntetni rundll32.exe de System32/SysWOW64 Ez nem egy opció: ez egy fájl kritikus fontosságú a Windows számáraA törlés alapvető funkciókat sérthet, összeomlásokat okozhat, vagy megakadályozhatja a rendszert a szükséges összetevők betöltésében.

Ha úgy gondolod, hogy a rundll32 „valamit csinál, amit nem kellene”, akkor az ésszerű dolog az, hogy derítse ki, melyik folyamat vagy feladat hívja meg és vágd ki: tiltsd le vagy töröld a feladatot, távolítsd el a problémás programot, tisztítsd meg a DLL-t, és erősítsd meg a védelmet egy jó kártevőirtóval.

Hogyan ellenőrizhető, hogy a példány rosszindulatú-e

Ezek az ellenőrzések segítenek megkülönböztetni a jogos használatot a rosszindulatú használattól anélkül, hogy riadalmat keltenének, vagy károsítanák a rendszert. Ha nem érzed jól magad, jobb, ha segítséget kérsz. egy szakemberhez vagy egy speciális közösséghez.

• Verifica la ruta: A Feladatkezelőben adja hozzá a „Parancssor” oszlopot, vagy nyissa meg a folyamat „Tulajdonságai” ablakát. Ha rundll32.exe no está en C:\Windows\System32 o C:\Windows\SysWOW64, mala señal.
• Comprueba qué DLL betöltés alattAz rundll32 parancsot általában egy DLL és egy exportált függvény elérési útja követi. Az olyan elérési utak, mint a C:\ProgramData\... o C:\Users\...\AppData\... felülvizsgálatot igényel. A példa cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue egyértelműen gyanús.
• Ellenőrizze a Feladatütemező: Keresés a legutóbbi feladatokra vagy a rundll32 függvényt meghívó, elmosódott nevű feladatokra. A Microsoft alatti legitim elérési utak használhatók fachada nem megfelelő DLL-ek betöltésére.
• Megtörténik Microsoft Defender vagy egy megbízható kártevőirtó: egy teljes vizsgálat naprakész vírusazonosítókkal észleli a legtöbb potenciálisan nemkívánatos programot, kéretlen reklámprogramot, kémprogramot és trójai programot, amelyek az rundll32-höz kapcsolódnak.
• Audita böngészőbővítményekTávolítson el mindent, ami nem elengedhetetlen, különösen a VPN proxy kiterjesztéseket, letöltőket vagy „blokkolófeloldókat”, amelyek gyakran tartalmaznak hirdetéseket.
• Utiliza herramientas de diagnóstico como Folyamatkezelő látni a parent process (szülő folyamat), amely meghívja az rundll32-t és a végrehajtható fájl digitális aláírását. A Microsoft aláírása A System32/SysWOW64 rendszerben ez normális; a furcsa dolog a Windowson kívüli slotok.

Tisztítási és megelőző intézkedések

Az első réteg a józan ész: Távolítson el olyan szoftvereket, amelyeket nem használ, vagy amelyek hajlamosak a reklámprogramokraAlapos tisztításhoz számos útmutató ajánlja Revo eltávolító haladó módban a potenciálisan nemkívánatos programok, például a „DuvApp” vagy a tolakodó „optimalizáló” csomagok maradványainak (mappák, rendszerleíró kulcsok) eltávolításához.

Ezután futtasson egy teljes vizsgálat a Microsoft Defenderrel és ha úgy gondolja, hogy helyénvaló, egy további, bizonyított hírnévvel rendelkező kártevőirtó programot. Ez segít felkutatni a rosszindulatú DLL-eket és az rundll32-re támaszkodó ütemezett feladatokat. csendben kitartanak.

A professzionális tisztítás során említést találhat a rendszerleíró adatbázis biztonsági mentéseiről (pl. DelFix segítségével) és a következők használatáról: egyéni szkriptek az FRST (Farbar) segítségével a szabályzatok javításához, feladatok törléséhez, használatban lévő DLL-ek feloldásához stb. Ezek a szkriptek minden csapatra szabvaNe használd fel másét, mert tönkreteheted a Windows ablakaidat.

Ezeknek a szkripteknek a gyakori műveletei közé tartozik a hálózat és a tűzfal alaphelyzetbe állítása (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), zárja be a folyamatokat, mappák törlése en ProgramData/AppData potenciálisan nemkívánatos programokhoz kapcsolódik, és megtisztítja azokat az ütemezett feladatokat, amelyek DLL-eket töltenek be a következő használatával: rundll32.exeIsmétlem: szakértő kezekben jobb.

A jövőbeli kockázatok minimalizálása érdekében tartsa távol a Windows rendszert és az alkalmazásait mindig naprakész, tölts le szoftvereket hivatalos oldalakról, távolítsa el a felesleges összetevők eltávolítását az „expressz” telepítésekből, és legyen gyanakvó minden olyan rendszerindító fájlra, amely a szabványos útvonalak.

További információk a helyszínekről és a kapcsolódó fájlokról

A System32 és a SysWOW64 mellett erőforrásfájlokat is látni fog MUI a rundll32 fájlból olyan nyelvi mappákban, mint például en-US o pl-PLNem végrehajthatók, de lokalizációs forrásokLásd a „rundll32” parancsot anélkül. .exe az Explorerben a következő okok miatt lehet elrejteni a bővítményeket ismert fájlokból.

Ha egy gyanús eset megszűnik megjelenni, és a probléma (pl. a doble tilde a billentyűzeten) eltűnik, az annak a jele, hogy a problémás darab en otro lugar és az rundll32-t használta indítóként. Amikor újra megjelenik, itt az ideje, hogy átnézzük a feladatokat, bővítményeket és a csatlakoztatott DLL-eket.

Mikor kérjünk haladó segítséget

Ha a bővítmények tisztítása, a potenciálisan nemkívánatos programok eltávolítása és a kártevőirtó futtatása után is az rundll32 programot látja elindulni a következő helyről: furcsa útvonalak, vagy olyan tüneteket észlel, mint például a manipulált vágólap, a rosszindulatú USB-parancsikonok és a „megrongálódott” billentyűzet, ne hagyja ott: konzultáció szaktanácsadássalGyakran szükség van egy javító szkriptre. custom a csapatodért, amelyik játszik regisztráció, feladatok és szabályzatok sebészeti úton.

Ne feledd: minden számítógép egy külön világ. Egy másik géphez tervezett szkript (hivatkozásokkal olyan mappákra, mint például TreeCenter\BortValue vagy specifikus DLL-ek), amelyeket a tiéden futtathatsz instabillá tenniA speciális tisztítás nem másolás-beillesztés, hanem diagnóstico individual.

Gyakran ismételt kérdések

• Eltávolíthatom a rundll32.exe fájlt? Nem. Ez a rendszer alapvető eleme. A helyes módszer az, ha eltávolítjuk azt a triggert (feladat, program, DLL), amely helytelenül használja.
• Miért van több példány? Mivel a különböző rendszerfunkciók és harmadik féltől származó alkalmazások párhuzamosan hívják meg. Több példány, alacsony energiafogyasztással, normális.
• Hol kellene lennie? En C:\Windows\System32 én C:\Windows\SysWOW64, a MUI fájljaival a nyelvi almappákban. Windows rendszeren kívül legyen gyanakvó.
• Egy vírusirtó nem észleli? Előfordulhat, különösen a potenciálisan nemkívánatos programok és a kéretlen reklámprogramok esetében. A Microsoft Defender és egy teljes vizsgálat azonban általában a legtöbb visszaélést azonosítja, és kiegészítheti ezt egy másik, megbízható megoldással.
• Mik a furcsa dolgok egyértelmű jelei? A DLL idegen elérési útjai (ProgramData, AppData), furcsa karakterláncok a vágólapon, rosszindulatú parancsikonok USB-n, tiltott hullámjelek és ütemezett feladatok, amelyek meghívó rundll32.exe obfuszkált DLL-ekkel.

Összefoglalva, A rundll32.exe egy legitim és szükséges eszköz amelyet természeténél fogva a kéretlen reklámprogramok és trójai programok kihasználhatnak nem kívánt DLL-ek futtatására. Mielőtt a futtatható fájlt hibáztatná vagy törölné, nézze meg a példány elérési útja, mely DLL-ek vannak betöltve és ki hívja meg őket; távolítson el potenciálisan nemkívánatos programokat (PUP-okat), tisztítsa meg a bővítményeket, ellenőrizze az ütemezett feladatokat, és futtasson egy jó kártevőirtó programot. Ezekkel az intézkedésekkel, és szükség esetén igénybe véve a speciális támogatást, a következőket teheti: a visszaélések kezelése a stabilitás veszélyeztetése nélkül de tu Windows.