Hvað er rundll32.exe og hvernig er hægt að vita hvort það er lögmætt eða dulbúið spilliforrit?

Ef þú hefur rekist á Rundll32.exe í Verkefnastjóranum og veltir fyrir þér hvað í ósköpunum þetta er, þá ert þú ekki einn: þessi keyrslukóði birtist oft, stundum í mörgum tilfellum í einu. Langt frá því að vera innbrotsþjófur sjálfkrafa, er hluti af Windows sjálfu og tilgangur þess er að hlaða og framkvæma aðgerðir sem hýstar eru í DLL skrár.

Nú, þótt það sé lögmætt þýðir það ekki að ekki sé hægt að nota það í illgjörnum tilgangi. Sum hugsanlega óæskileg forrit og spilliforrit fela sig með nafni sínu eða ... Þeir nýta sér raunverulega rundll32 skrána til að keyra illgjarnan kóða.Í eftirfarandi línum mun ég segja þér nákvæmlega hvað það er, hvar það ætti að vera, hvers vegna það gæti sýnt villur eða notað örgjörvann, hvernig á að greina á milli góðs og slæms og hvaða skref þarf að taka án þess að eyðileggja kerfið þitt.

Hvað er rundll32.exe og til hvers er það notað?

Skráin rundll32.exe Þetta er innbyggður Windows-íhlutur sem notaður er til að kalla á föll sem eru flutt út úr DLL-skrám (dynamic link libraries)Einfaldlega sagt: Þegar kerfið eða forrit þarf að framkvæma aðgerð sem er í DLL skrá getur það kallað á hana í gegnum rundll32.

DLL-skrár innihalda blokkir af endurnýtanlegum kóða sem mörg forrit deila, allt frá net-, hljóð-, mynd- eða tengiverkefni sem þú hefur samskipti við. Þess vegna eru þúsundir DLL-skráa í venjulegum Windows-uppsetningum (7, 10, 11, o.s.frv.) og rundll32 er lykillinn að því að skipuleggja þær.

Hvar á að finna og hvernig á að þekkja lögmætt eintak

Í heilbrigðu kerfi sérðu lögmæt eintök af rundll32.exe á leiðum eins og C: \ Windows \ System32 (64-bita umhverfi) og C: \ Windows \ SysWOW64 (32-bita samhæfni á x64 kerfum). Það gæti einnig verið til staðar MUI skrár af tengdum tungumálaauðlindum í undirmöppum eins og en-US o pl-PL, til dæmis C:\Windows\System32\en-US\rundll32.exe.mui.

Ef þú finnur hann hlaupandi frá möppur utan Windows möppunnar (t.d. í AppData, ProgramData eða tímabundna möppu), vertu varkár. Það er algengt að spilliforrit dulbúi sig með sama nafni en keyri frá öðrum stað til að trufla lögmæt ferli.

Er þetta vírus? Hvernig spilliforrit nýta sér það

Stutta svarið: nr. Rundll32.exe Þetta er ekki vírus, þetta er Eigin tól WindowsTil lengri tíma litið: það eru tvær dæmigerðar gildrur. Í fyrsta lagi er illgjarn forrit með sama nafni staðsett í annarri slóð. Í öðru lagi hleður Tróverji illgjarnri DLL skrá sinni í gegnum ekta rundll32 skrána, þannig að ferlið sem þú sérð er frá Microsoft, en keyrir skaðlegt bókasafn.

Í ógnarsögunni eru fjölskyldur sem nota rundll32 nefndar, eins og til dæmis Bakdyr.W32.Ranky o W32.Miroot.WormOg hversdagslegri auglýsingaforrit eða ágengar vafraviðbætur nota það til að ræsa verkefni sem enda í Sprettigluggar, tilvísanir og örgjörvanotkunÞetta er ein ástæða þess að margir notendur telja að rundll32 „sé vírus“.

• Ef þú tekur eftir því of mikið af auglýsingum eða milliglugga, gæti verið auglýsingahugbúnaður sem treystir á rundll32.
• sem vísar á undarlegar vefsíður og hægagangur á vafra passar einnig við óæskileg forrit/njósnahugbúnað.
• Kerfið getur að verða latur með ferlum sem virkja rundll32 með grunsamlegum DLL-skrám.

Af hverju sé ég mörg tilvik og villuboð?

Að Verkefnastjóri sýnir mörg tilvik Þetta er eðlilegt: mismunandi kerfisþættir eða forrit frá þriðja aðila geta kallað á það samtímis. Windows dreifir verkefnum og þú munt sjá nokkrar rundll32 keyra samhliða eftir því hvað er að gerast í bakgrunni.

Það sem er ekki eðlilegt er að sjá stöðuga toppa á örgjörvanum eða skilaboð eins og „Villukóði: rundll32.exe“ þegar þú vafrar í Chrome, Edge, Firefox eða IE. Í þessum tilfellum er ráðlegt að gruna hugsanlega óæskileg forrit (PUP), árásargjarnar viðbætur eða Tróverji sem nýtir sér keyrsluskrána til að hlaða DLL skránni sinni.

Hvað á ekki að gera: eyða rundll32.exe

fjarlægja rundll32.exe de System32/SysWOW64 Þetta er ekki valkostur: þetta er skrá mikilvægt fyrir WindowsAð eyða því gæti truflað grunnvirkni, valdið hrunum eða komið í veg fyrir að kerfið hleðji nauðsynlega íhluti.

Ef þú heldur að rundll32 sé að gera „eitthvað sem það ætti ekki að gera“, þá er skynsamlegast að gera það. finna út hvaða ferli eða verkefni kallar á það og hætta við það: slökkva á eða eyða verkefninu, fjarlægja vandamálaríka forritið, hreinsa DLL skrána og styrkja vörnina með góðri spilliforritavörn.

Hvernig á að athuga hvort tilvikið sé skaðlegt

Þessar athuganir hjálpa þér að greina á milli lögmætrar notkunar og illgjarnrar notkunar án þess að valda ótta eða skaða kerfið. Samt sem áður, Ef þér líður ekki vel með það er betra að biðja um hjálp. til fagaðila eða sérhæfðs samfélags.

• Athugaðu leiðinaÍ Verkefnastjóranum skaltu bæta við dálknum „Skipanalína“ eða opna „Eiginleika“ ferlisins. Ef rundll32.exe er ekki í C:\Windows\System32 o C:\Windows\SysWOW64, slæmt teikn.
• Athugaðu hvað DLL-skráin er að hlaðast inn: rundll32 er venjulega fylgt eftir af slóðinni að DLL skrá og útfluttu falli. Slóðir eins og C:\ProgramData\... o C:\Users\...\AppData\... þarfnast endurskoðunar. Dæmið um cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue er greinilega grunsamlegt.
• Athugaðu VerkefnisáætlunLeita að nýlegum verkefnum eða verkefnum með dulbúnum nöfnum sem kalla á rundll32. Lögmætar slóðir undir Microsoft má nota sem framhlið að hlaða inn óviðeigandi DLL skrám.
• Gerist microsoft varnarmaður eða áreiðanleg spilliforritavörn: full skönnun með uppfærðum undirskriftum mun greina flestar óæskilegar hugbúnaðarlausnir (PUPs), auglýsingahugbúnað, njósnaforrit og Trójuhesta sem festast við rundll32.
• Endurskoðun vafraviðbæturFjarlægðu allt sem er ekki nauðsynlegt, sérstaklega VPN proxy viðbætur, niðurhal eða „afblokkara“ sem innihalda oft auglýsingar.
• Notið greiningartæki eins og Process Explorer að sjá foreldraferli (foreldriferli) sem kallar á rundll32 og stafræna undirskrift keyrsluskráarinnar. Undirskrift Microsoft Í System32/SysWOW64 er þetta eðlilegt; það skrýtna eru raufar utan Windows.

Þrif og fyrirbyggjandi aðgerðir

Fyrsta lagið er heilbrigð skynsemi: Fjarlægðu hugbúnað sem þú notar ekki eða sem er viðkvæmur fyrir auglýsingaforritumFyrir ítarlega þrif mæla margir leiðbeiningar með Afturkalla Uninstaller í ítarlegri stillingu til að fjarlægja leifar (möppur, skrásetningarlykla) af óæskilegum forritum eins og „DuvApp“ eða ágengum „bestunar“-svítum.

Keyrðu síðan heildarskönnun með Microsoft Defender og, ef þú telur það viðeigandi, viðbótar spilliforrit með sannað orðspor. Þetta hjálpar til við að elta uppi illgjarnar DLL-skrár og áætluð verkefni sem reiða sig á rundll32 til að halda áfram hljóðlega.

Í faglegri þrifum sérðu getið um afrit af skrásetningunni (t.d. með DelFix) og notkun á ... sérsniðin smáforrit með FRST (Farbar) til að gera við stefnur, eyða verkefnum, opna fyrir DLL-skrár sem eru í notkun o.s.frv. Þessi forskrift eru sniðið að hverju liði fyrir sigEkki endurnýta gögn annarra því þá gætuð þið eyðilagt Windows-kerfið ykkar.

Algengar aðgerðir fyrir þessi forskriftir eru meðal annars að endurstilla netið og eldvegginn (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), loka ferlum, eyða möppum en ProgramData/AppData tengt við óæskileg forrit og hreinsa upp áætluð verkefni sem hlaða inn DLL skrám með rundll32.exe. Aftur: betra í höndum sérfræðings.

Til að lágmarka áhættu í framtíðinni skaltu halda Windows og forritunum þínum alltaf uppfært, hlaða niður hugbúnaði af opinberum síðum, hakaðu við aukahluti í „hraðuppsetningum“ og vertu tortrygginn gagnvart öllum keyrsluskrám kerfisins sem birtast utan staðlaðar leiðir.

Fleiri vísbendingar um staðsetningar og tengdar skrár

Auk System32 og SysWOW64 muntu sjá auðlindaskrár Mui af rundll32 í tungumálamöppum eins og en-US o pl-PLÞau eru ekki keyranleg, en staðfæringarauðlindirSjá „rundll32“ án .exe í Explorer gæti verið vegna þess að fela viðbæturnar úr þekktum skrám.

Ef grunsamlegt tilvik hættir að birtast og vandamálið þitt (t.d. tvöfaldur hreim á lyklaborðinu) hverfur, þá er það merki um að vandræðalega verkið var einhvers staðar annars staðar og notaði rundll32 sem ræsiforrit. Þegar það birtist aftur er kominn tími til að skoða verkefnin, viðbæturnar og tengdu DLL-skrárnar.

Hvenær á að biðja um aðstoð ítarlega

Ef þú sérð samt rundll32 ræst frá eftir að þú hefur hreinsað viðbætur, fjarlægt hugsanlega óæskileg forrit og keyrt spilliforrit. undarlegar leiðir, eða ef þú tekur eftir einkennum eins og óvirku klippiborði, illgjörnum USB flýtileiðum og „biluðu“ lyklaborði, skaltu ekki skilja það eftir: ráðgjöf með sérhæfðum stuðningiViðgerðarhandrit er oft krafist sérsniðin fyrir liðið þitt sem spilar skráning, verkefni og stefnur skurðaðgerð.

Mundu: hver tölva er heimur út af fyrir sig. Handrit hannað fyrir aðra vél (með tilvísunum í möppur eins og TreeCenter\BortValue eða tilteknar DLL-skrár) keyrðar á þinni dós láta það óstöðugtÍtarleg hreinsun er ekki afritun og líming, hún er einstaklingsbundin greining.

Algengar spurningar

• Get ég fjarlægt rundll32.exe? Nei. Þetta er nauðsynlegur þáttur kerfisins. Rétta leiðin er að fjarlægja kveikjuna (verkefni, forrit, DLL) sem misnotar það.
• Af hverju eru til mörg dæmi? Vegna þess að mismunandi kerfisvirkni og forrit frá þriðja aðila virkja það samtímis. Það er eðlilegt að nota það ítrekað með lágri orkunotkun.
• Hvar ætti það að vera? En C:\Windows\System32 og / eða C:\Windows\SysWOW64, með MUI skrám sínum í undirmöppum fyrir tungumál. Utan Windows skaltu vera tortrygginn.
• Getur vírusvarnarforrit ekki fundið það? Þetta getur gerst, sérstaklega með óæskilegum forritum og auglýsingahugbúnaði. Samt sem áður greinir Microsoft Defender og full skönnun yfirleitt flest misnotkun og þú getur bætt við með annarri virtri lausn.
• Hver eru ótvíræð merki um eitthvað undarlegt? Erlendar slóðir fyrir DLL skrána (ProgramData, AppData), undarlegir strengir á klippiborði, illgjarnir flýtileiðir á USB, blokkeringar á tildum og áætluð verkefni sem kalla á rundll32.exe með dulbúnum DLL-skrám.

Í stuttu máli, rundll32.exe er lögmætt og nauðsynlegt tól sem, eðli sínu samkvæmt, getur verið nýtt af auglýsingaforritum og Tróverjum til að keyra óæskileg DLL-skrár. Áður en þú kennir keyrsluskránni um eða eyðir henni skaltu skoða tilviksslóð, hvaða DLL-skrár eru hlaðnar inn og hver kallar á þær; fjarlægja hugsanlega óæskileg forrit, hreinsa viðbætur, athuga áætluð verkefni og keyra gott vírusvarnarforrit. Með þessum ráðstöfunum, og með því að fá aðgang að ítarlegri aðstoð þegar þörf krefur, geturðu að takast á við misnotkun án þess að skerða stöðugleika af Windows þínum.