რა არის rundll32.exe და როგორ გავიგოთ, ეს ლეგიტიმურია თუ შენიღბული მავნე პროგრამა?

თუ შეგხვედრიათ rundll32.exe დავალებების მენეჯერში თუ გაინტერესებთ, რა ჯანდაბაა ეს, მარტო არ ხართ: ეს შესრულებადი ფაილი ხშირად ჩნდება, ზოგჯერ ერთდროულად რამდენიმე შემთხვევაში. ნაგულისხმევად შემოჭრილისგან შორს არის, თავად Windows-ის ნაწილია და მისი დანიშნულებაა მასში განთავსებული ფუნქციების ჩატვირთვა და შესრულება. DLL ფაილები.

ახლა, მხოლოდ იმიტომ, რომ ის ლეგიტიმურია, არ ნიშნავს, რომ მისი ბოროტად გამოყენება არ შეიძლება. ზოგიერთი პოტენციურად არასასურველი პროგრამა და მავნე პროგრამა შენიღბავს თავს საკუთარი სახელით ან ისინი იყენებენ ნამდვილ rundll32-ს მავნე კოდის გასაშვებად.შემდეგ სტრიქონებში ზუსტად გეტყვით, რა არის ეს, სად უნდა იყოს, რატომ შეიძლება აჩვენოს შეცდომები ან მოიხმაროს პროცესორი, როგორ განასხვავოთ კარგი და ცუდი და რა ნაბიჯები უნდა გადადგათ სისტემის დაზიანების გარეშე.

რა არის rundll32.exe და რისთვის გამოიყენება?

ფაილი rundll32.exe ეს არის Windows-ის მშობლიური კომპონენტი, რომელიც გამოიყენება დინამიური ბმულების ბიბლიოთეკებიდან (DLL) ექსპორტირებული ფუნქციების გამოძახებამარტივად რომ ვთქვათ: როდესაც სისტემას ან აპლიკაციას სჭირდება DLL ფაილში არსებული ფუნქციის შესრულება, მას შეუძლია მისი გამოძახება rundll32-ის მეშვეობით.

DLL ფაილები შეიცავს მრავალჯერადი გამოყენების კოდის ბლოკებს, რომლებსაც ბევრი პროგრამა იყენებს, მაგალითად: ქსელის, აუდიოს, ვიდეოს ან ინტერფეისის ამოცანები რომელთანაც ურთიერთქმედებთ. სწორედ ამიტომ, ტიპურ Windows-ის ინსტალაციებში (7, 10, 11 და ა.შ.) ათასობით DLL ფაილია და rundll32 მათი ორკესტრირებისთვის გასაღებია.

სად ვიპოვოთ და როგორ ამოვიცნოთ ლეგიტიმური ასლი

ჯანსაღ სისტემაში თქვენ ნახავთ ლეგიტიმურ ასლებს rundll32.exe ისეთ მარშრუტებზე, როგორიცაა C:\Windows\System32 (64-ბიტიანი გარემო) და C:\Windows\SysWOW64 (32-ბიტიანი თავსებადობა x64 სისტემებთან). ასევე შეიძლება არსებობდეს MUI ფაილები დაკავშირებული ენობრივი რესურსების ქვესაქაღალდეებში, როგორიცაა en-US o pl-PLმაგალითად, C:\Windows\System32\en-US\rundll32.exe.mui.

თუ მას გარბის, Windows დირექტორიის გარეთ არსებული საქაღალდეები (მაგ., ში AppData, ProgramData ან დროებითი დირექტორია), იყავით ფრთხილად. მავნე პროგრამებისთვის ხშირია შენიღბვა იმავე სახელის გამოყენებით, მაგრამ სხვა ადგილიდან გაშვება ლეგიტიმურ პროცესებში ჩარევა.

ვირუსია ეს? როგორ იყენებს მას მავნე პროგრამა

მოკლე პასუხი: არა. Rundll32.exe ეს ვირუსი არ არის, ეს არის Windows-ის საკუთარი ინსტრუმენტიგრძელვადიან პერსპექტივაში: არსებობს ორი ტიპიური ხაფანგი. პირველი, იგივე სახელის მქონე მავნე პროგრამა სხვადასხვა გზაზეა. მეორე, ტროიანი ატვირთავს თავის მავნე DLL ფაილს ავთენტური rundll32-ის მეშვეობით, ამიტომ პროცესი, რომელსაც ხედავთ, Microsoft-ისაა, მაგრამ მავნე ბიბლიოთეკას მართავს.

საფრთხის ისტორიაში ნახსენებია ოჯახები, რომლებიც იყენებენ rundll32-ს, მაგალითად Backdoor.W32.Ranky o W32.Miroot.Wormდა უფრო ჩვეულებრივი, სარეკლამო პროგრამები ან ბრაუზერის ინტრუზიული გაფართოებები იყენებენ მას ამოცანების გასაშვებად, რომლებიც საბოლოოდ ამომხტარი ფანჯრები, გადამისამართებები და CPU-ს გამოყენებაეს არის ერთ-ერთი მიზეზი, რის გამოც ბევრი მომხმარებელი თვლის, რომ rundll32 „ვირუსია“.

• თუ შეამჩნევთ რეკლამების სიჭარბე ან ინტერსტიციული ფანჯრები, შესაძლოა, rundll32-ზე დამოკიდებული სარეკლამო პროგრამა იყოს.
• ის გადამისამართება უცნაურ ვებსაიტებზე და ბრაუზერის შენელება ასევე შეესაბამება PUP-ებს/ჯაშუშურ პროგრამებს.
• სისტემას შეუძლია ზარმაცი გახდომა პროცესებით, რომლებიც იწვევენ rundll32-ს საეჭვო DLL ფაილებით.

რატომ ვხედავ მრავალ ეგზემპლარს და შეცდომის შეტყობინებებს?

რომ დავალებების მენეჯერი აჩვენებს მრავალ ინსტანციას ეს ნორმალურია: სხვადასხვა სისტემის კომპონენტს ან მესამე მხარის აპლიკაციებს შეუძლიათ მისი ერთდროულად გამოძახება. Windows ანაწილებს დავალებებს და თქვენ დაინახავთ რამდენიმე rundll32-ის პარალელურად მუშაობას, რაც დამოკიდებულია ფონურ რეჟიმში მიმდინარე მოვლენებზე.

რაც არ არის ნორმალური, არის მუდმივი CPU-ს პიკების ან შეტყობინებების ნახვა, როგორიცაა „შეცდომის კოდი: rundll32.exe“ Chrome-ში, Edge-ში, Firefox-ში ან IE-ში დათვალიერებისას. ასეთ შემთხვევებში სასურველია ეჭვი შეიტანოთ პოტენციურად არასასურველი პროგრამები (PUPs), აგრესიული გაფართოებები ან ტროიანი ფაილი, რომელიც იყენებს შესრულებად ფაილს მისი DLL-ის ჩასატვირთად.

რა არ უნდა გააკეთოთ: წაშალეთ rundll32.exe ფაილი

აღმოფხვრა rundll32.exe de System32/SysWOW64 ეს ვარიანტი არ არის: ეს ფაილია კრიტიკულია Windows-ისთვისმისმა წაშლამ შეიძლება დაარღვიოს ძირითადი ფუნქციები, გამოიწვიოს ავარიები ან ხელი შეუშალოს სისტემას საჭირო კომპონენტების ჩატვირთვაში.

თუ ფიქრობთ, რომ rundll32 აკეთებს „ისეთ რამეს, რაც არ უნდა გააკეთოს“, გონივრული იქნება ამის გაკეთება. გაარკვიეთ, რომელი პროცესი ან დავალება იწვევს მას და გამორთეთ: გამორთეთ ან წაშალეთ დავალება, წაშალეთ პრობლემური პროგრამა, გაწმინდეთ DLL ფაილი და გააძლიერეთ დაცვა კარგი ანტიმავნე პროგრამული უზრუნველყოფით.

როგორ შევამოწმოთ, არის თუ არა ეგზემპლარი მავნე

ეს შემოწმებები დაგეხმარებათ განასხვავოთ ლეგიტიმური გამოყენება მავნე გამოყენებისგან განგაშის გამოწვევის ან სისტემის დაზიანების გარეშე. მიუხედავად ამისა, თუ თავს კომფორტულად არ გრძნობთ, უმჯობესია დახმარება ითხოვოთ. პროფესიონალური ან სპეციალიზებული საზოგადოებისთვის.

• შეამოწმეთ მარშრუტიდავალებების მენეჯერში დაამატეთ სვეტი „ბრძანების ხაზი“ ან გახსენით პროცესის „თვისებები“. თუ rundll32.exe ეს არ არის C:\Windows\System32 o C:\Windows\SysWOW64, ცუდი ნიშანი.
• შეამოწმეთ რა DLL იტვირთებაrundll32-ს, როგორც წესი, მოსდევს DLL ფაილისკენ მიმავალი გზა და ექსპორტირებული ფუნქცია. გზები, როგორიცაა C:\ProgramData\... o C:\Users\...\AppData\... საჭიროებს განხილვას. მაგალითი cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue აშკარად საეჭვოა.
• შეამოწმეთ დავალებების დამგეგმავი: მოძებნეთ ბოლოდროინდელი დავალებები ან დავალებები ბუნდოვანი სახელებით, რომლებიც rundll32-ს გამოიძახებენ. Microsoft-ის ლეგიტიმური ბილიკები შეიძლება გამოყენებულ იქნას როგორც ფასადი არასათანადო DLL ფაილების ჩასატვირთად.
• ხდება Microsoft Defender ან საიმედო ანტი-მავნე პროგრამა: განახლებული ხელმოწერებით სრული სკანირება აღმოაჩენს PUP-ების, სარეკლამო პროგრამების, ჯაშუშური პროგრამების და ტროიანების უმეტესობას, რომლებიც rundll32-ს უერთდებიან.
• აუდიტი ბრაუზერის გაფართოებებიდეინსტალაცია: წაშალეთ ყველაფერი, რაც არ არის აუცილებელი, განსაკუთრებით VPN პროქსი გაფართოებები, ჩამოსატვირთი პროგრამები ან „განბლოკვის პროგრამები“, რომლებიც ხშირად შეიცავს რეკლამებს.
• გამოიყენეთ დიაგნოსტიკური საშუალებები, როგორიცაა პროცესის მკვლევარი სანახავად მშობელი პროცესი (მშობელი პროცესი), რომელიც იწვევს rundll32-ს და შესრულებადი ფაილის ციფრულ ხელმოწერას. Microsoft-ის ხელმოწერა System32/SysWOW64-ში ეს ნორმალურია; უცნაური ის არის, რომ Windows-ის გარეთ არსებული სლოტებია.

დასუფთავებისა და პრევენციის ზომები

პირველი ფენა საღი აზრია: წაშალეთ პროგრამული უზრუნველყოფა, რომელსაც არ იყენებთ ან რომელიც მიდრეკილია რეკლამებისკენსაფუძვლიანი გაწმენდისთვის, ბევრი სახელმძღვანელო გირჩევთ Revo-ს დეინსტალატორი გაფართოებულ რეჟიმში, ისეთი PUP-ების ნარჩენების (საქაღალდეების, რეესტრის გასაღებების) მოსაშორებლად, როგორიცაა „DuvApp“ ან ინტრუზიული „ოპტიმიზაციის“ პაკეტები.

შემდეგ, გაუშვით სრული სკანირება Microsoft Defender-ით და, თუ მიზანშეწონილად მიგაჩნიათ, დამატებითი ანტი-მავნე პროგრამა დადასტურებული რეპუტაციით. ეს დაგეხმარებათ მავნე DLL-ების და დაგეგმილი დავალებების აღმოჩენაში, რომლებიც rundll32-ზეა დამოკიდებული. ჩუმად გააგრძელე.

პროფესიონალურ დასუფთავებაში თქვენ ნახავთ რეესტრის სარეზერვო ასლების შექმნას (მაგ. DelFix-ის გამოყენებით) და მის გამოყენებას. მორგებული სკრიპტები FRST-ის (Farbar) გამოყენებით პოლიტიკის შესაკეთებლად, დავალებების წასაშლელად, გამოყენებული DLL ფაილების განბლოკვისთვის და ა.შ. ეს სკრიპტებია თითოეულ გუნდზე მორგებულიარ გამოიყენოთ სხვისი Windows-ი ხელახლა, რადგან შეიძლება თქვენი Windows გატეხოთ.

ამ სკრიპტების საერთო მოქმედებები მოიცავს ქსელისა და firewall-ის გადატვირთვას (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), პროცესების დახურვა, საქაღალდეების წაშლა en ProgramData/AppData დაკავშირებულია PUP-ებთან და ასუფთავებს დაგეგმილ დავალებებს, რომლებიც DLL-ებს იტვირთავენ rundll32.exeკიდევ ერთხელ: ექსპერტების ხელში უკეთესია.

მომავალი რისკების მინიმიზაციისთვის, შეინახეთ Windows და თქვენი აპლიკაციები ყოველთვის განახლებული, ჩამოტვირთეთ პროგრამული უზრუნველყოფა ოფიციალური საიტებიდან, მოხსენით მონიშვნა დამატებით კომპონენტებს „ექსპრესი“ ინსტალაციებში და ეჭვი შეიტანეთ ნებისმიერ სისტემურ შესრულებად ფაილში, რომელიც გამოჩნდება სტანდარტული მარშრუტები.

მეტი მინიშნება მდებარეობებისა და მასთან დაკავშირებული ფაილების შესახებ

System32-ისა და SysWOW64-ის გარდა, თქვენ ნახავთ რესურსების ფაილებს MUI rundll32-ის ენის საქაღალდეებში, როგორიცაა en-US o pl-PLისინი შესრულებადი არ არის, მაგრამ ლოკალიზაციის რესურსებიიხილეთ „rundll32“ გარეშე .exe Explorer-ში შეიძლება გამოწვეული იყოს გაფართოებების დამალვა ცნობილი ფაილებიდან.

თუ საეჭვო შემთხვევა აღარ გამოჩნდება და თქვენი პრობლემა (მაგ. ორმაგი ტილდა კლავიატურაზე) ქრება, ეს იმის ნიშანია, რომ პრობლემური ნაწილი იყო სხვაგან და rundll32 გამოიყენა როგორც გამშვები. როდესაც ის ხელახლა გამოჩნდება, დროა გადახედოთ დავალებებს, გაფართოებებს და დაკავშირებულ DLL-ებს.

როდის უნდა მიმართოთ მოწინავე დახმარებას

თუ გაფართოებების გაწმენდის, PUP-ების დეინსტალაციისა და ანტიმავნე პროგრამების გაშვების შემდეგ, runll32 მაინც გაშვებულია უცნაური მარშრუტებიან შეამჩნევთ ისეთ სიმპტომებს, როგორიცაა გაფუჭებული ბუფერი, მავნე USB მალსახმობები და „დაზიანებული“ კლავიატურა, არ მიატოვოთ ეს: სპეციალიზებული მხარდაჭერის სპეციალისტთან კონსულტაციახშირად საჭიროა შეკეთების სკრიპტი საბაჟო თქვენი გუნდისთვის, რომელიც თამაშობს რეგისტრაცია, ამოცანები და პოლიტიკა ქირურგიულად.

გახსოვდეთ: ყველა კომპიუტერი თავისთავად სამყაროა. სკრიპტი, რომელიც შექმნილია სხვა მანქანისთვის (მაგალითად, საქაღალდეების მითითებით) TreeCenter\BortValue ან კონკრეტული DLL ფაილები), რომლებიც შესრულებულია თქვენს კომპიუტერზე. დატოვეთ ის არასტაბილურიგაფართოებული წმენდა არ არის კოპირება-ჩასმა, ეს არის ინდივიდუალური დიაგნოზი.

ხშირად დასმული კითხვები

• შემიძლია rundll32.exe-ს წაშლა? არა. ეს სისტემის აუცილებელი კომპონენტია. სწორი გზაა იმ ტრიგერის (დავალება, პროგრამა, DLL) ამოღება, რომელიც მას არასწორად იყენებს.
• რატომ არის მრავალი შემთხვევა? რადგან მას პარალელურად სხვადასხვა სისტემის ფუნქციები და მესამე მხარის აპლიკაციები იძახებენ. მრავალჯერადი ინსტანცია, დაბალი ენერგომოხმარებით, ნორმალურია.
• სად უნდა იყოს? En C:\Windows\System32 მე C:\Windows\SysWOW64, მისი MUI ფაილებით ენის ქვესაქაღალდეებში. Windows-ის გარეთ, იყავით ეჭვის თვალით.
• ანტივირუსს არ შეუძლია მისი აღმოჩენა? ეს შეიძლება მოხდეს, განსაკუთრებით PUP-ებისა და სარეკლამო პროგრამების შემთხვევაში. მიუხედავად ამისა, Microsoft Defender-ი და სრული სკანირება, როგორც წესი, ავლენს დარღვევების უმეტესობას და თქვენ შეგიძლიათ დაამატოთ სხვა სანდო გადაწყვეტა.
• რა არის რაღაც უცნაურის ცალსახა ნიშნები? DLL ფაილის უცხოური გზები (ProgramData, AppData), უცნაური სტრიქონები ბუფერში, მავნე მალსახმობები USB-ზე, ტილდების დაბლოკვა და დაგეგმილი დავალებები, რომლებიც გამოიძახებენ rundll32.exe დაბნეული DLL-ებით.

შეჯამების სახით, rundll32.exe არის ლეგიტიმური და აუცილებელი ინსტრუმენტი რომელიც, თავისი ბუნებიდან გამომდინარე, შეიძლება გამოყენებულ იქნას სარეკლამო პროგრამებისა და ტროიანების მიერ არასასურველი DLL ფაილების გასაშვებად. შესრულებადი ფაილის დადანაშაულებამდე ან წაშლამდე, გადახედეთ ეგზემპლარის გზა, რომელი DLL ფაილებია ჩატვირთული და ვინ იძახებს მათ; წაშალოთ PUP-ები, გაასუფთაოთ გაფართოებები, შეამოწმოთ დაგეგმილი დავალებები და გაუშვათ კარგი ანტი-მავნე პროგრამა. ამ ზომების გამოყენებით და საჭიროების შემთხვევაში გაფართოებულ მხარდაჭერაზე წვდომით, შეგიძლიათ დარღვევების წინააღმდეგ ბრძოლა სტაბილურობის კომპრომისის გარეშე თქვენი Windows-ის.