מה זה rundll32.exe, מיקומים וסימנים של תוכנה זדונית

Rundll32.exe הוא לגיטימי: הוא טוען פונקציות DLL עבור Windows ואפליקציות.
המיקום התקין שלו הוא System32/SysWOW64; מחוץ למיקום זה, היה חשדן.
תוכנה זדונית יכולה להסוות את עצמה או להשתמש ב- rundll32 כדי להפעיל קבצי DLL.
אל תמחק אותו: זהה את המשימות/קבצי ה-DLL הפוגעים והשתמש בתוכנה נגד תוכנות זדוניות.

אם נתקלת rundll32.exe במנהל המשימות ותוהה מה לעזאזל זה, אתה לא לבד: קובץ ההפעלה הזה מופיע לעתים קרובות, לפעמים במספר מופעים בו זמנית. רחוק מלהיות פולש כברירת מחדל, הוא חלק מ-Windows עצמו ומטרתו לטעון ולבצע פונקציות המתארחות ב- קבצי DLL.

עכשיו, רק בגלל שזה לגיטימי, זה לא אומר שלא ניתן להשתמש בו באופן זדוני. חלק מהתוכנות והתוכנות הזדוניות שעלולות להיות לא רצויות מסתירות את עצמן עם שמן או... הם מנצלים את rundll32 האמיתי כדי להפעיל קוד זדוני.בשורות הבאות, אסביר לכם בדיוק מה זה, איפה זה אמור להיות, למה זה עשוי להציג שגיאות או לצרוך מעבד, איך להבחין בין טוב לרע, ואילו צעדים לנקוט מבלי להרוס את המערכת שלכם.

מה זה rundll32.exe ולמה הוא משמש?

תהליך Rundll32.exe מבצע הפעלה של DLL

הקובץ rundll32.exe זהו רכיב מקורי של Windows המשמש ל... הפעלת פונקציות שיוצאו מספריות קישורים דינמיות (DLLs)במילים פשוטות: כאשר המערכת או האפליקציה צריכים לבצע פונקציה שנמצאת בקובץ DLL, היא יכולה לקרוא לה דרך rundll32.

קבצי DLL עוטפים בלוקים של קוד לשימוש חוזר שתוכניות רבות חולקות, החל מ משימות רשת, אודיו, וידאו או ממשק שאיתם אתה מקיים אינטראקציה. זו הסיבה שבתקנות Windows טיפוסיות (7, 10, 11 וכו') ישנם אלפי קבצי DLL, ו- rundll32 הוא המפתח לתזמור שלהם.

היכן למצוא וכיצד לזהות עותק לגיטימי

במערכת בריאה תראו עותקים לגיטימיים של rundll32.exe במסלולים כמו C:\Windows\System32 (סביבת 64 סיביות) ו C:\Windows\SysWOW64 (תאימות של 32 סיביות במערכות x64). ייתכן גם קבצי MUI של משאבי שפה קשורים בתת-תיקיות כגון en-US o pl-PLלדוגמה C:\Windows\System32\en-US\rundll32.exe.mui.

אם תמצא אותו בורח מ תיקיות מחוץ לספריית Windows (למשל, ב AppData, ProgramData או ספרייה זמנית), היזהרו. תוכנות זדוניות מקובלות להסוות את עצמן תחת אותו שם אך פועלות ממיקום אחר אל הפרעה לתהליכים לגיטימיים.

האם זה וירוס? כיצד תוכנות זדוניות מנצלות אותו

התשובה הקצרה: לֹא. Rundll32.exe זה לא וירוס, זה הכלי של Windows עצמובטווח הארוך: ישנן שתי מלכודות אופייניות. אחת, תוכנית זדונית בעלת שם זהה נמצאת בנתיב אחר. שתיים, סוס טרויאני טוען את קובץ ה-DLL הזדוני שלו דרך rundll32 האותנטי, כך שהתהליך שאתם רואים הוא של מיקרוסופט, אבל מפעיל ספרייה זדונית.

תוכן בלעדי - לחץ כאן איך אני משתמש בתוכנת האנטי-וירוס של קספרסקי?

בהיסטוריית האיומים, מוזכרות משפחות המשתמשות ב- rundll32, כגון דלת אחורית.W32.רנקי o W32.Miroot.Wormותוכנות פרסום או הרחבות דפדפן פולשניות יותר משתמשות בו כדי להפעיל משימות שמגיעות בסופו של דבר ל... חלונות קופצים, הפניות מחדש וצריכת CPUזוהי אחת הסיבות לכך שמשתמשים רבים מאמינים ש- rundll32 "הוא וירוס".

אם אתה שם לב עודף פרסומות או חלונות ביניים, ייתכן שיש תוכנות פרסום שמסתמכות על rundll32.
ה מפנה לאתרים מוזרים והאטת הדפדפן מתאימות גם ל-PUPs/תוכנות ריגול.
המערכת יכולה להיות עצלן על ידי תהליכים שמפעילים rundll32 עם קבצי DLL חשודים.

למה אני רואה מספר מופעים והודעות שגיאה?

ש- מנהל המשימות מציג מספר מופעים זה נורמלי: רכיבי מערכת שונים או אפליקציות של צד שלישי יכולים להפעיל אותו בו זמנית. Windows מחלק משימות, ותראו מספר rundll32s פועלים במקביל בהתאם למה שקורה ברקע.

מה שלא נורמלי זה לראות קפיצות מתח קבועות במעבד או הודעות כמו קוד שגיאה: rundll32.exe בזמן גלישה ב-Chrome, Edge, Firefox או IE. בתרחישים אלה מומלץ לחשוד תוכניות פוטנציאליות לא רצויות (PUPs), הרחבות אגרסיביות או סוס טרויאני שמנצל את קובץ ההפעלה כדי לטעון את קובץ ה-DLL שלו.

מה לא לעשות: למחוק את rundll32.exe

לְחַסֵל rundll32.exe de System32/SysWOW64 זו לא אופציה: זה קובץ קריטי עבור Windowsמחיקתו עלולה לשבש פונקציות בסיסיות, לגרום לקריסות או למנוע מהמערכת לטעון רכיבים נחוצים.

אם אתה חושב ש-rundll32 עושה "משהו שהוא לא אמור לעשות", הדבר ההגיוני לעשות הוא... גלה איזה תהליך או משימה מפעילים אותו ולהפסיק את זה: להשבית או למחוק את המשימה, להסיר את התקנת התוכנית הבעייתית, לנקות את קובץ ה-DLL ולחזק את ההגנה באמצעות תוכנה טובה נגד תוכנות זדוניות.

תוכנות זדוניות בלתי נראות

כיצד לבדוק אם המופע זדוני

בדיקות אלו עוזרות לך להבדיל בין שימוש לגיטימי לשימוש זדוני מבלי לגרום לבהלה או לפגוע במערכת. ובכל זאת, אם את לא מרגישה בנוח, עדיף לבקש עזרה. לקהילה מקצועית או מתמחה.

בדוק את המסלולבמנהל המשימות, הוסף את העמודה "שורת פקודה" או פתח את "מאפיינים" של התהליך. אם rundll32.exe זה לא בפנים C:\Windows\System32 o C:\Windows\SysWOW64, סימן רע.
בדוק מה ה-DLL נטעןrundll32 בדרך כלל מלווה בנתיב לקובץ DLL ופונקציה מיוצאת. נתיבים כמו C:\ProgramData\... o C:\Users\...\AppData\... דורשים סקירה. הדוגמה של cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue חשוד בבירור.
בדוק את מתזמן משימותחיפוש משימות אחרונות או משימות עם שמות מעורפלים הקוראים ל- rundll32. ניתן להשתמש בנתיבים לגיטימיים תחת Microsoft כ... חֲזִית לטעון קבצי DLL לא תקינים.
קורה מיקרוסופט דיפנדר או תוכנת אנטי-וירוס אמינה: סריקה מלאה עם חתימות מעודכנות תזהה את רוב התוכנות הזרות, תוכנות פרסום, תוכנות ריגול וסוסים טרויאניים שמתחברים ל- rundll32.
בְּדִיקָה הרחבות דפדפןהסר כל דבר שאינו חיוני, במיוחד תוספי פרוקסי VPN, תוכנות הורדה או "פותחי חסימות" שלעתים קרובות מכילים פרסומות.
השתמשו בכלי אבחון כגון סייר תהליכים לראות את ה תהליך אב (תהליך אב) שמפעיל את rundll32 ואת החתימה הדיגיטלית של קובץ ההפעלה. החתימה של מיקרוסופט ב-System32/SysWOW64 זה נורמלי; הדבר המוזר הוא חריצים מחוץ ל-Windows.

תוכן בלעדי - לחץ כאן איך לשלוט בטלפון סלולרי מרחוק בחינם

אמצעי ניקוי ומניעה

השכבה הראשונה היא שכל ישר: הסר את ההתקנה של תוכנות שאינך משתמש בהן או שמועדות לתוכנות פרסוםלניקוי יסודי, מדריכים רבים ממליצים על תוכנת Revo Uninstaller במצב מתקדם כדי להסיר שאריות (תיקיות, מפתחות רישום) של תוכנות לא רצויות כמו "DuvApp" או חבילות "אופטימיזציה" פולשניות.

לאחר מכן, הפעל א סריקה מלאה עם Microsoft Defender ואם אתם חושבים שזה מתאים, תוכנת אנטי-וירוס נוספת בעלת מוניטין מוכח. זה עוזר לצוד קבצי DLL זדוניים ומשימות מתוזמנות שמסתמכות על rundll32 כדי להתמיד בשקט.

בניקוי מקצועי תראו אזכור של גיבויי רישום (למשל עם DelFix) ושימוש ב... סקריפטים מותאמים אישית עם FRST (Farbar) כדי לתקן מדיניות, למחוק משימות, לחסום קבצי DLL בשימוש וכו'. סקריפטים אלה הם מותאם לכל צוותאל תעשה שימוש חוזר בתוכנה של מישהו אחר מכיוון שאתה עלול לשבור את חלונותיך.

פעולות נפוצות עבור סקריפטים אלה כוללות איפוס הרשת וחומת האש (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), סגירת תהליכים, מחיקת תיקיות en ProgramData/AppData מקושרים לתוכנות לא רצויות ומנקים משימות מתוזמנות שטוענות קבצי DLL באמצעות rundll32.exeשוב: עדיף בידיים של מומחים.

כדי למזער סיכונים עתידיים, שמור את Windows ואת האפליקציות שלך תמיד מעודכן, להוריד תוכנה מאתרים רשמיים, לבטל את הסימון של רכיבים נוספים בהתקנות "אקספרס" ולהיות חשדני בכל קובץ הפעלה של המערכת שמופיע מחוץ לקובץ מסלולים סטנדרטיים.

רמזים נוספים לגבי מיקומים וקבצים קשורים

בנוסף ל-System32 ול-SysWOW64, תראו קבצי משאבים ממשק משתמש (MUI) של rundll32 בתיקיות שפה כמו en-US o pl-PLהם אינם ניתנים לביצוע, אך משאבי לוקליזציהראה "rundll32" ללא .exe ב-Explorer עשוי להיות בגלל הסתר את התוספים מקבצים ידועים.

תוכן בלעדי - לחץ כאן קישורים מסוכנים ב-WhatsApp Web: סיכונים, הונאות וכיצד להגן על עצמך

אם מקרה חשוד מפסיק להופיע והבעיה שלך (למשל, ה- טילדה כפולה במקלדת) נעלם, זהו סימן שהחלק הבעייתי היה בְּמָקוֹם אַחֵר והשתמשתי ב- rundll32 כמפעיל. כאשר הוא מופיע שוב, הגיע הזמן לבחון את המשימות, ההרחבות וקבצי ה- DLL המחוברים.

מתי לבקש עזרה מתקדמת

אם, לאחר ניקוי הרחבות, הסרת תוכנות לא רצויות והפעלת תוכנות אנטי-וירוס, עדיין תראה את rundll32 מופעל מ מסלולים מוזרים, או שאתם מבחינים בתסמינים כגון לוח כתיבה פגום, קיצורי דרך זדוניים ל-USB ומקלדת "משותקת", אל תותירו אותו: התייעצות עם תמיכה ייעודיתלעיתים קרובות נדרש סקריפט תיקון מִנְהָג לקבוצה שלך שמשחקת רישום, משימות ומדיניות באופן כירורגי.

זכרו: כל מחשב הוא עולם בפני עצמו. סקריפט שתוכנן עבור מכונה אחרת (עם הפניות לתיקיות כמו TreeCenter\BortValue או קבצי DLL ספציפיים) שבוצעו על שלך להשאיר את זה לא יציבניקוי מתקדם אינו העתקה-הדבקה, הוא אבחון אינדיבידואלי.

שאלות נפוצות

האם ניתן להסיר את rundll32.exe? לא. זהו רכיב חיוני במערכת. הדרך הנכונה היא להסיר את הגורם המפעיל (משימה, תוכנית, קובץ DLL) שמשתמש בו לרעה.
למה יש מספר מקרים? מכיוון שפונקציות מערכת שונות ואפליקציות צד שלישי מפעילות אותו במקביל. מופעים מרובים, עם צריכת חשמל נמוכה, הם נורמליים.
איפה זה צריך להיות? En C:\Windows\System32 אֲנִי C:\Windows\SysWOW64, עם קבצי ה-MUI שלו בתת-תיקיות השפה. מחוץ ל-Windows, היו חשדניים.
האם אנטי-וירוס לא יכול לזהות את זה? זה יכול לקרות, במיוחד עם תוכנות לא רצויות ותוכנות פרסום. ובכל זאת, Microsoft Defender וסריקה מלאה בדרך כלל מזהים את רוב ניצול לרעה, וניתן להשלים זאת עם פתרון אחר בעל מוניטין.
מהם הסימנים החד-משמעיים למשהו מוזר? נתיבים זרים עבור קובץ ה-DLL (ProgramData, AppData), מחרוזות מוזרות בלוח, קיצורי דרך זדוניים ב-USB, חסימת טילדות ומשימות מתוזמנות שקוראות rundll32.exe עם קבצי DLL מעורפלים.

לסיכום, rundll32.exe הוא כלי לגיטימי והכרחי אשר, מטבעו, יכול להיות מנוצל על ידי תוכנות פרסום וסוסים טרויאניים כדי להריץ קבצי DLL לא רצויים. לפני האשמת קובץ ההפעלה או מחיקתו, עיין ב- נתיב המופע, אילו קבצי DLL נטענים ומי מפעיל אותם; להסיר התקנת תוכנות לא רצויות, לנקות הרחבות, לבדוק משימות מתוזמנות ולהפעיל תוכנת אנטי-וירוס טובה. בעזרת אמצעים אלה, ועל ידי גישה לתמיכה מתקדמת בעת הצורך, תוכלו התמודדות עם התעללויות מבלי לפגוע ביציבות של החלונות שלך.

דניאל טרסה

עורך מתמחה בנושאי טכנולוגיה ואינטרנט עם יותר מעשר שנות ניסיון במדיה דיגיטלית שונים. עבדתי כעורכת ויוצרת תוכן בחברות מסחר אלקטרוני, תקשורת, שיווק מקוון ופרסום. כתבתי גם באתרי כלכלה, פיננסים ומגזרים אחרים. העבודה שלי היא גם התשוקה שלי. עכשיו, דרך המאמרים שלי ב Tecnobits, אני מנסה לחקור את כל החדשות וההזדמנויות החדשות שעולם הטכנולוגיה מציע לנו מדי יום כדי לשפר את חיינו.