Kas yra rundll32.exe ir kaip nustatyti, ar tai teisėta, ar užmaskuota kenkėjiška programa?

Paskutinis atnaujinimas: 2025-17-09
Autorius: Danielis Terrasa

  • „Rundll32.exe“ yra teisėtas: jis įkelia DLL funkcijas, skirtas „Windows“ ir programoms.
  • Jo tinkama vieta yra System32/SysWOW64; už jos ribų būkite įtarūs.
  • Kenkėjiška programa gali užmaskuoti save arba naudoti rundll32, kad paleistų DLL failus.
  • Neištrinkite: nustatykite pažeidžiančias užduotis / DLL ir naudokite kenkėjiškų programų apsaugą.
Kas yra rundll32.exe?

Jei susidūrėte. rundll32.exe „Task Manager“ ir svarstote, kas tai per velnias, jūs ne vienas: šis vykdomasis failas rodomas dažnai, kartais keliais egzemplioriais vienu metu. Toli gražu ne įsibrovėlis pagal nutylėjimą, yra pačios „Windows“ dalis, o jos paskirtis – įkelti ir vykdyti funkcijas, esančias „Windows“ DLL failai.

Vien tai, kad programa yra teisėta, dar nereiškia, kad jos negalima naudoti kenkėjiškai. Kai kurios potencialiai nepageidaujamos programos ir kenkėjiškos programos maskuojasi savo pavadinimu ar... Jie išnaudoja tikrąjį rundll32, kad paleistų kenkėjišką kodą.Šiose eilutėse tiksliai pasakysiu, kas tai yra, kur jis turėtų būti, kodėl jis gali rodyti klaidas arba sunaudoti procesoriaus energiją, kaip atskirti gerą nuo blogo ir kokių veiksmų imtis nesugadinant sistemos.

Kas yra rundll32.exe ir kam jis naudojamas?

Rundll32.exe procesas, vykdantis DLL

Failas rundll32.exe Tai yra vietinis „Windows“ komponentas, naudojamas iškviesti funkcijas, eksportuotas iš dinaminių saitų bibliotekų (DLL)Paprastai tariant: kai sistemai arba programai reikia vykdyti funkciją, esančią DLL faile, ji gali ją iškviesti per rundll32.

DLL apima daugkartinio naudojimo kodo blokus, kuriuos dalijasi daugelis programų, nuo tinklo, garso, vaizdo ar sąsajos užduotys su kuriais sąveikaujate. Štai kodėl tipinėse „Windows“ versijose (7, 10, 11 ir kt.) yra tūkstančiai DLL failų, o „rundll32“ yra labai svarbus jų valdymui.

Kur rasti ir kaip atpažinti teisėtą kopiją

Sveikoje sistemoje matysite teisėtas kopijas rundll32.exe tokiais maršrutais kaip C:\Windows\System32 (64 bitų aplinka) ir C:\Windows\SysWOW64 (32 bitų suderinamumas x64 sistemose). Taip pat gali būti MUI failai susijusių kalbos išteklių poaplankiuose, tokiuose kaip en-US o pl-PLPavyzdžiui C:\Windows\System32\en-US\rundll32.exe.mui.

Jei rasite jį bėgantį nuo aplankai už „Windows“ katalogo ribų (pvz., AppData, ProgramData arba laikiną katalogą), būkite atsargūs. Kenkėjiškos programos dažnai maskuojasi tuo pačiu pavadinimu, bet paleidžiamos iš kitos vietos, kad kištis į teisėtus procesus.

Ar tai virusas? Kaip kenkėjiška programa jį išnaudoja

Trumpas atsakymas: Ne. Rundll32.exe Tai ne virusas, tai „Windows“ nuosavas įrankisIlgalaikė perspektyva: yra du tipiniai spąstai. Pirma, kenkėjiška programa tuo pačiu pavadinimu yra kitame kelyje. Antra, Trojos arklys įkelia savo kenkėjišką DLL per autentišką rundll32, taigi matomas procesas yra „Microsoft“, bet... vykdo kenkėjišką biblioteką.

Išskirtinis turinys – spustelėkite čia  Kaip pašalinti virusus? Ar jūs esate tas, kuris matomas vaizdo įraše?

Grėsmių istorijoje minimos šeimos, kurios naudoja „rundll32“, pvz. Backdoor.W32.Ranky o W32.Miroot.WormIr labiau įprastuose, reklaminiuose įrenginiuose ar įkyriuose naršyklės plėtiniuose jis naudojamas užduotims, kurios galiausiai baigiasi... Iššokantys langai, peradresavimai ir procesoriaus naudojimasTai viena iš priežasčių, kodėl daugelis vartotojų mano, kad „rundll32“ yra „virusas“.

  • Jei pastebėsite reklamos perteklius arba tarpiniuose languose, gali būti reklaminių programų, kurios remiasi „rundll32“.
  • The nukreipia į keistas svetaines ir naršyklės sulėtėjimas taip pat tinka potencialiai nepageidaujamoms programoms / šnipinėjimo programoms.
  • Sistema gali tapti tinginiu procesai, kurie suaktyvina rundll32 su įtartinais DLL.

Kodėl matau kelis atvejus ir klaidų pranešimus?

Kad Užduočių tvarkyklė rodo kelis egzempliorius Tai normalu: skirtingi sistemos komponentai arba trečiųjų šalių programos gali jį iškviesti tuo pačiu metu. „Windows“ paskirsto užduotis ir matysite kelis lygiagrečiai veikiančius „rundll32“ failus, priklausomai nuo to, kas vyksta fone.

Kas nėra normalu, tai nuolatiniai procesoriaus įtampos šuoliai ar tokie pranešimai kaip „Klaidos kodas: rundll32.exe“ naršant „Chrome“, „Edge“, „Firefox“ arba „IE“. Tokiais atvejais patartina įtarti potencialiai nepageidaujamos programos (PUP), agresyvūs plėtiniai arba Trojos arklys, kuris išnaudoja vykdomąjį failą, kad įkeltų jo DLL.

Ko nedaryti: ištrinti rundll32.exe

Pašalinti rundll32.exe de System32/SysWOW64 Tai ne pasirinkimas: tai failas kritiškai svarbus „Windows“Jį ištrynus, gali sutrikti pagrindinės funkcijos, atsirasti gedimų arba sistema negalės įkelti būtinų komponentų.

Jei manote, kad „rundll32“ daro „kažką, ko neturėtų daryti“, protingiausia būtų tai padaryti išsiaiškinti, kuris procesas ar užduotis jį iškviečia ir ištrinkite: išjunkite arba ištrinkite užduotį, pašalinkite probleminę programą, išvalykite DLL ir sustiprinkite apsaugą gera kenkėjiškų programų šalinimo programa.

nematoma kenkėjiška programa

Kaip patikrinti, ar egzempliorius yra kenkėjiškas

Šie patikrinimai padeda atskirti teisėtą naudojimą nuo piktavališko naudojimo nesukeliant nerimo ir nepažeidžiant sistemos. Vis dėlto, Jei nesijaučiate patogiai, geriau paprašykite pagalbos. profesionaliai arba specializuotai bendruomenei.

  • Patikrinkite maršrutąUžduočių tvarkytuvėje pridėkite stulpelį „Komandų eilutė“ arba atidarykite proceso „Ypatybės“. Jei rundll32.exe Jo nėra C:\Windows\System32 o C:\Windows\SysWOW64, blogas ženklas.
  • Patikrinkite, ką Įkeliamas DLLPo rundll32 paprastai nurodomas kelias į DLL failą ir eksportuotą funkciją. Tokie keliai kaip C:\ProgramData\... o C:\Users\...\AppData\... reikia peržiūrėti. Pavyzdys cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue yra akivaizdžiai įtartinas.
  • Patikrinkite Užduočių planuoklė: Ieškokite neseniai atliktų užduočių arba užduočių su užmaskuotais pavadinimais, kurios iškviečia rundll32. Leistini keliai „Microsoft“ sistemoje gali būti naudojami kaip fasadas įkelti netinkamus DLL failus.
  • Atsitinka „Microsoft Defender“ arba patikima kenkėjiškų programų šalinimo programa: išsamus nuskaitymas su naujausiais parašais aptiks daugumą potencialiai nepageidaujamų programų, reklaminių programų, šnipinėjimo programų ir Trojos arklių, kurie prisijungia prie rundll32.
  • Auditas naršyklės plėtiniaiPašalinkite viską, kas nėra būtina, ypač VPN tarpinio serverio plėtinius, atsisiuntimo programas ar „atblokavimo“ programas, kuriose dažnai yra reklamų.
  • Naudokite diagnostikos įrankius, tokius kaip Procesų naršyklė pamatyti pirminis procesas (pirminis procesas), kuris iškviečia rundll32 ir vykdomojo failo skaitmeninį parašą. „Microsoft“ parašas „System32“ / „SysWOW64“ tai normalu; keistas dalykas yra lizdai už „Windows“ ribų.
Išskirtinis turinys – spustelėkite čia  Kaip sukalibruoti „Snort“ paėmimo laiką?

Valymo ir prevencinės priemonės

Pirmasis sluoksnis yra sveikas protas: Pašalinkite programinę įrangą, kurios nenaudojate arba kuri yra linkusi į reklamines programasKruopščiam valymui daugelis gidų rekomenduoja „Revo“ pašalinimo programa išplėstiniu režimu, kad pašalintumėte potencialiai nepageidaujamų programų, tokių kaip „DuvApp“ arba įkyrių „optimizavimo“ programų, likučius (aplankus, registro raktus).

Tada paleiskite pilnas nuskaitymas naudojant „Microsoft Defender“ ir, jei manote, kad tai tinkama, papildomą kenkėjiškų programų šalinimo programą su patikrinta reputacija. Tai padeda aptikti kenkėjiškus DLL failus ir suplanuotas užduotis, kurios priklauso nuo rundll32. išlikti tyliai.

Profesionalaus valymo srityje pamatysite paminėjimą apie registro atsargines kopijas (pvz., naudojant „DelFix“) ir jų naudojimą. pasirinktiniai scenarijai su FRST (Farbar), kad pataisytumėte strategijas, ištrintumėte užduotis, atblokuotumėte naudojamas DLL ir pan. Šie scenarijai yra pritaikyta kiekvienai komandaiNenaudokite pakartotinai kažkieno kito, nes galite sugadinti savo „Windows“.

Įprasti šių scenarijų veiksmai apima tinklo ir užkardos nustatymą iš naujo (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), uždarus procesus, ištrinti aplankus en ProgramData/AppData susietas su potencialiai nepageidaujamomis programomis ir išvalo suplanuotas užduotis, kurios įkelia DLL failus naudodami rundll32.exeDar kartą: geriau ekspertų rankose.

Norėdami sumažinti riziką ateityje, laikykite „Windows“ ir savo programas visada aktualus, atsisiųskite programinę įrangą iš oficialių svetainių, pašalinkite papildomų komponentų pašalinimą iš „greitųjų“ diegimų ir įtarkite bet kokį sistemos vykdomąjį failą, kuris yra už jo ribų. standartiniai maršrutai.

Daugiau užuominų apie vietas ir susijusius failus

Be „System32“ ir „SysWOW64“, matysite išteklių failus MUI rundll32 kalbos aplankuose, pvz. en-US o pl-PLJie nėra vykdomi, bet lokalizavimo ištekliaiŽr. „rundll32“ be .exe „Explorer“ programoje gali būti dėl to, kad paslėpti plėtinius iš žinomų failų.

Išskirtinis turinys – spustelėkite čia  Kaip nustatyti dviejų etapų patvirtinimą „Xbox“ konsolėje?

Jei įtartinas atvejis neberodomas ir jūsų problema (pvz., dviguba tildė klaviatūroje) dingsta, tai ženklas, kad probleminė dalis buvo kitur ir kaip paleidimo priemonę panaudojau „rundll32“. Kai ji vėl pasirodys, laikas peržiūrėti užduotis, plėtinius ir prijungtas DLL.

Kada prašyti pažengusios pagalbos

Jei išvalius plėtinius, pašalinus potencialiai nepageidaujamas programas ir paleidus kenkėjiškų programų šalinimo programas vis tiek matote, kad rundll32 paleidžiamas iš keisti maršrutaiarba pastebite tokius simptomus kaip sugadinta iškarpinė, kenkėjiški USB spartieji klavišai ir „sugadinta“ klaviatūra, nepalikite jos: konsultacija su specializuota pagalbaDažnai reikalingas taisymo scenarijus. paprotys už savo komandą, kuri žaidžia registracija, užduotys ir politika chirurginiu būdu.

Atminkite: kiekvienas kompiuteris yra atskiras pasaulis. Kitam kompiuteriui sukurtas scenarijus (su nuorodomis į aplankus, pvz. TreeCenter\BortValue arba konkrečius DLL), vykdomus jūsų kompiuteryje, gali palikti jį nestabilųIšplėstinis valymas nėra kopijavimas ir įklijavimas, tai yra individuali diagnozė.

Dažnai užduodami klausimai

  • Ar galiu pašalinti rundll32.exe? Ne. Tai esminis sistemos komponentas. Teisingas būdas yra pašalinti jį netinkamai naudojantį trigerį (užduotį, programą, DLL).
  • Kodėl yra keli atvejai? Nes skirtingos sistemos funkcijos ir trečiųjų šalių programos jį iškviečia lygiagrečiai. Keli egzemplioriai, sunaudojantys mažai energijos, yra normalu.
  • Kur tai turėtų būti? En C:\Windows\System32C:\Windows\SysWOW64, su MUI failais kalbos poaplankiuose. Už „Windows“ ribų būkite įtarūs.
  • Ar antivirusinė programa negali to aptikti? Tai gali nutikti, ypač naudojant potencialiai nepageidaujamas programas ir reklamines programas. Vis dėlto, „Microsoft Defender“ ir išsamus nuskaitymas paprastai nustato daugumą piktnaudžiavimo atvejų, todėl galite naudoti kitą patikimą sprendimą.
  • Kokie yra nedviprasmiški kažko keisto požymiai? DLL svetimi keliai (ProgramData, AppData), keistas eilutes iškarpinėje, kenkėjiškus sparčiuosius klavišus USB atmintinėje, blokuojančias tildes ir suplanuotas užduotis, kurios iškviečia rundll32.exe su užmaskuotais DLL failais.

Apibendrinant, rundll32.exe yra teisėta ir reikalinga priemonė kurį dėl savo pobūdžio gali išnaudoti reklaminės programos ir Trojos arkliai, norėdami paleisti nepageidaujamus DLL failus. Prieš kaltindami vykdomąjį failą arba jį ištrindami, peržiūrėkite egzemplioriaus kelias, kurie DLL failai yra įkelti ir kas juos iškviečia; pašalinkite potencialiai nepageidaujamas programas, išvalykite plėtinius, patikrinkite suplanuotas užduotis ir paleiskite gerą kenkėjiškų programų prevencijos programą. Naudodamiesi šiomis priemonėmis ir prireikus pasinaudodami išplėstine pagalba, galite kova su piktnaudžiavimu nepakenkiant stabilumui jūsų „Windows“.