Kas ir rundll32.exe, atrašanās vietas un ļaunprogrammatūras pazīmes

Rundll32.exe ir likumīgs: tas ielādē DLL funkcijas operētājsistēmai Windows un lietotnēm.
Tās derīgā atrašanās vieta ir System32/SysWOW64; ārpus tās esiet aizdomīgi.
Ļaunprogrammatūra var sevi maskēt vai izmantot rundll32, lai palaistu DLL failus.
Nedzēsiet to: identificējiet kaitīgos uzdevumus/DLL un izmantojiet pretļaunatūras programmatūru.

Ja esat saskāries rundll32.exe uzdevumu pārvaldniekā un domājat, kas tas ir, jūs neesat viens: šis izpildāmais fails parādās bieži, dažreiz vairākos gadījumos vienlaikus. Tālu no tā, ka pēc noklusējuma būtu iebrucējs, ir daļa no pašas Windows, un tās mērķis ir ielādēt un izpildīt funkcijas, kas ir mitinātas DLL faili.

Tas, ka kaut kas ir likumīgs, nenozīmē, ka to nevar izmantot ļaunprātīgi. Dažas potenciāli nevēlamas programmas un ļaunprogrammatūra maskējas ar savu nosaukumu vai Viņi izmanto īsto rundll32, lai palaistu ļaunprātīgu kodu.Turpmākajās rindās es jums pastāstīšu, kas tas ir, kur tam vajadzētu atrasties, kāpēc tas varētu parādīt kļūdas vai patērēt procesora resursus, kā atšķirt labo no sliktā un kādus pasākumus veikt, nesabojājot sistēmu.

Kas ir rundll32.exe un kam tas paredzēts?

Rundll32.exe process, kas izpilda DLL failu

Fails rundll32.exe Tā ir vietēja Windows sastāvdaļa, kas tiek izmantota, lai izsaukt funkcijas, kas eksportētas no dinamisko saišu bibliotēkām (DLL)Vienkāršoti sakot: Kad sistēmai vai lietotnei ir jāizpilda funkcija, kas atrodas DLL failā, to var izsaukt, izmantojot rundll32.

DLL ietver atkārtoti izmantojama koda blokus, ko koplieto daudzas programmas, sākot no tīkla, audio, video vai saskarnes uzdevumi ar kuru jūs mijiedarbojaties. Tāpēc tipiskās Windows instalācijās (7, 10, 11 utt.) ir tūkstošiem DLL failu, un rundll32 ir galvenais to vadīšanas elements.

Kur atrast un kā atpazīt likumīgu kopiju

Veselīgā sistēmā jūs redzēsiet likumīgas kopijas rundll32.exe tādos maršrutos kā C:\Windows\System32 (64 bitu vide) un C:\Windows\SysWOW64 (32 bitu saderība x64 sistēmās). Var būt arī MUI faili saistīto valodu resursu apakšmapēs, piemēram, en-US o pl-PLPiemēram, C:\Windows\System32\en-US\rundll32.exe.mui.

Ja jūs viņu atrodat bēgam no mapes ārpus Windows direktorija (piemēram, iekš AppData, ProgramData (vai pagaidu direktoriju), esiet uzmanīgi. Ļaunprogrammatūra bieži maskējas, izmantojot to pašu nosaukumu, bet darbojas no citas atrašanās vietas, lai iejaukšanās likumīgos procesos.

Vai tas ir vīruss? Kā ļaunprogrammatūra to izmanto

Īsā atbilde: Nē. Rundll32.exe Tas nav vīruss, tas ir Windows pašu rīksIlgtermiņā: pastāv divi tipiski slazdi. Pirmkārt, ļaunprātīga programma ar tādu pašu nosaukumu atrodas citā ceļā. Otrkārt, Trojas zirgs ielādē savu ļaunprātīgo DLL, izmantojot autentisko rundll32, tātad process, ko redzat, ir Microsoft, bet... darbojas ļaunprātīga bibliotēka.

Ekskluzīvs saturs — noklikšķiniet šeit Kā zināt, kas slēpjas aiz viltota profila

Apdraudējumu vēsturē ir minētas saimes, kas izmanto rundll32, piemēram, Backdoor.W32.Ranky o W32.Miroot.WormUn ikdienišķākas, reklāmprogrammatūras vai uzmācīgi pārlūkprogrammas paplašinājumi to izmanto, lai palaistu uzdevumus, kas galu galā Uznirstošie logi, pāradresācijas un centrālā procesora noslodzeTas ir viens no iemesliem, kāpēc daudzi lietotāji uzskata, ka rundll32 "ir vīruss".

Ja pamanāt pārmērīgs reklāmu daudzums vai starpposma logos, var būt reklāmprogrammatūra, kas paļaujas uz rundll32.
The novirza uz dīvainām tīmekļa vietnēm Un pārlūkprogrammas palēnināšanās arī atbilst potenciāli nevēlamām programmām/spiegprogrammatūrām.
Sistēma var kļūt slinkam ar procesiem, kas aktivizē rundll32 ar aizdomīgiem DLL.

Kāpēc es redzu vairākus gadījumus un kļūdu ziņojumus?

Ka Uzdevumu pārvaldnieks rāda vairākus gadījumus Tas ir normāli: dažādi sistēmas komponenti vai trešo pušu lietotnes var to izsaukt vienlaikus. Windows sadala uzdevumus, un jūs redzēsiet vairākus rundll32, kas darbojas paralēli atkarībā no tā, kas notiek fonā.

Nav normāli redzēt pastāvīgus CPU pieaugumus vai ziņojumus, piemēram, Kļūdas kods: rundll32.exe pārlūkojot pārlūkprogrammas Chrome, Edge, Firefox vai IE. Šādos gadījumos ieteicams aizdomāties par potenciāli nevēlamas programmas (PUP), agresīvi paplašinājumi vai Trojas zirgs, kas izmanto izpildāmo failu, lai ielādētu tā DLL.

Ko nedrīkst darīt: izdzēsiet rundll32.exe

Likvidēt rundll32.exe de System32/SysWOW64 Tā nav izvēles iespēja: tas ir fails kritiski svarīgi operētājsistēmai WindowsTā dzēšana var sabojāt pamatfunkcijas, izraisīt avārijas vai neļaut sistēmai ielādēt nepieciešamos komponentus.

Ja domājat, ka rundll32 dara "kaut ko tādu, ko tam nevajadzētu darīt", saprātīgākā rīcība ir šāda: noskaidrot, kurš process vai uzdevums to izsauc un izgrieziet to: atspējojiet vai izdzēsiet uzdevumu, atinstalējiet problemātisko programmu, notīriet DLL un pastipriniet aizsardzību ar labu pretļaunatūras programmatūru.

neredzama ļaunprogrammatūra

Kā pārbaudīt, vai instance ir ļaunprātīga

Šīs pārbaudes palīdz atšķirt likumīgu lietošanu no ļaunprātīgas lietošanas, neradot trauksmi vai nebojājot sistēmu. Tomēr Ja nejūtaties ērti, labāk ir lūgt palīdzību. profesionālim vai specializētai kopienai.

Pārbaudiet maršrutuUzdevumu pārvaldniekā pievienojiet kolonnu “Komandrinda” vai atveriet procesa “Rekvizītus”. Ja rundll32.exe Tas nav iekšā C:\Windows\System32 o C:\Windows\SysWOW64, slikta zīme.
Pārbaudiet, ko DLL tiek ielādēts: rundll32 parasti seko ceļš uz DLL failu un eksportētu funkciju. Ceļi, piemēram, C:\ProgramData\... o C:\Users\...\AppData\... nepieciešama pārskatīšana. Piemērs cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue ir acīmredzami aizdomīgs.
Pārbaudiet Uzdevumu plānotājs: Meklējiet nesen veiktus uzdevumus vai uzdevumus ar apmulsinātiem nosaukumiem, kas izsauc rundll32. Kā var izmantot likumīgus ceļus Microsoft vidē fasāde lai ielādētu nepareizus DLL failus.
Notiek Microsoft Defender vai uzticams pretļaunatūras rīks: pilna skenēšana ar atjauninātiem signatūru sarakstiem atklās lielāko daļu potenciāli nevēlamu programmu, reklāmprogrammatūru, spiegprogrammatūru un Trojas zirgu, kas pievienojas rundll32.
Audits pārlūkprogrammas paplašinājumiAtinstalējiet visu, kas nav nepieciešams, jo īpaši VPN starpniekservera paplašinājumus, lejupielādētājus vai “atbloķētājus”, kas bieži satur reklāmas.
Izmantojiet diagnostikas rīkus, piemēram, Procesu pārlūks lai redzētu vecāku process (vecākprocess), kas izsauc rundll32 un izpildāmā faila digitālo parakstu. Microsoft paraksts System32/SysWOW64 tas ir normāli; dīvainā lieta ir sloti ārpus Windows.

Ekskluzīvs saturs — noklikšķiniet šeit AdGuard DNS salīdzinājumā ar NextDNS: pilnīgs salīdzināšanas un izvēles ceļvedis

Tīrīšanas un profilakses pasākumi

Pirmais slānis ir veselais saprāts: Atinstalējiet programmatūru, kuru neizmantojat vai kurai ir tendence uz reklāmprogrammatūruRūpīgai tīrīšanai daudzi ceļveži iesaka Revo atinstalētājs uzlabotajā režīmā, lai noņemtu tādu potenciāli nevēlamu programmu kā “DuvApp” vai uzmācīgu “optimizācijas” komplektu paliekas (mapes, reģistra atslēgas).

Pēc tam palaidiet pilna skenēšana ar Microsoft Defender un, ja uzskatāt to par piemērotu, papildu ļaunprogrammatūras apkarošanas programmu ar pārbaudītu reputāciju. Tas palīdz atrast ļaunprātīgas DLL failus un ieplānotos uzdevumus, kas balstās uz rundll32, lai klusībā turpināt.

Profesionālās tīrīšanas laikā jūs redzēsiet pieminētas reģistra dublējumkopijas (piemēram, ar DelFix) un to izmantošanu. pielāgoti skripti ar FRST (Farbar), lai labotu politikas, dzēstu uzdevumus, atbloķētu izmantotās DLL utt. Šie skripti ir pielāgots katrai komandaiNeizmantojiet atkārtoti kāda cita logus, jo jūs varat sabojāt savus Windows logus.

Šo skriptu bieži veiktās darbības ietver tīkla un ugunsmūra atiestatīšanu (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), slēgt procesus, dzēst mapes en ProgramData/AppData saistīti ar potenciāli nevēlamām programmām un attīra plānotos uzdevumus, kas ielādē DLL, izmantojot rundll32.exeVēlreiz: labāk ekspertu rokās.

Lai mazinātu turpmākos riskus, saglabājiet Windows un savas lietotnes vienmēr aktuāls, lejupielādējiet programmatūru no oficiālajām vietnēm, noņemiet atzīmi no papildu komponentiem “ekspresinstalācijās” un esiet aizdomīgi pret jebkuru sistēmas izpildfailu, kas parādās ārpus standarta maršruti.

Vairāk norāžu par atrašanās vietām un saistītajiem failiem

Papildus System32 un SysWOW64 jūs redzēsiet resursu failus MUI rundll32 valodu mapēs, piemēram, en-US o pl-PLTie nav izpildāmi, bet lokalizācijas resursiSkatiet “rundll32” bez .exe programmā Explorer var būt saistīts ar paslēpt paplašinājumus no zināmiem failiem.

Ekskluzīvs saturs — noklikšķiniet šeit Uzziniet, kā atklāt ļaunprogrammatūru un pasargāt sevi

Ja aizdomīgs gadījums vairs nepastāv un jūsu problēma (piemēram, dubultā tilde uz klaviatūras) pazūd, tā ir zīme, ka problemātiskā daļa bija citur un kā palaišanas programmu izmantoju rundll32. Kad tas atkal parādās, ir pienācis laiks aplūkot uzdevumus, paplašinājumus un pievienotās DLL.

Kad lūgt padziļinātu palīdzību

Ja pēc paplašinājumu tīrīšanas, potenciāli nevēlamu programmu atinstalēšanas un ļaunprogrammatūras novēršanas palaišanas joprojām redzat, ka rundll32 tiek palaists no dīvaini maršrutivai arī pamanāt tādus simptomus kā viltota starpliktuve, ļaunprātīgas USB saīsnes un “bojāta” tastatūra, neatstājiet to: konsultācija ar specializētu atbalstuBieži vien ir nepieciešams labošanas skripts. pielāgots savai komandai, kas spēlē reģistrācija, uzdevumi un politikas ķirurģiski.

Atcerieties: katrs dators ir atsevišķa pasaule. Skripts, kas paredzēts citai mašīnai (ar atsaucēm uz mapēm, piemēram, TreeCenter\BortValue vai specifiskas DLL), kas izpildītas jūsu datorā, var atstāt to nestabiluPaplašinātā tīrīšana nav kopēšana un ielīmēšana, tā ir individuāla diagnoze.

Bieži uzdotie jautājumi

Vai es varu noņemt rundll32.exe? Nē. Tā ir būtiska sistēmas sastāvdaļa. Pareizais veids ir noņemt aktivizētāju (uzdevumu, programmu, DLL), kas to ļaunprātīgi izmanto.
Kāpēc ir vairāki gadījumi? Jo dažādas sistēmas funkcijas un trešo pušu lietotnes to izsauc paralēli. Vairākas instances ar zemu enerģijas patēriņu ir normāla parādība.
Kur tam vajadzētu būt? En C:\Windows\System32 Es C:\Windows\SysWOW64, ar tā MUI failiem valodu apakšmapēs. Ārpus Windows esiet aizdomīgi.
Vai antivīruss to nevar atklāt? Tas var notikt, īpaši ar potenciāli nevēlamām programmām un reklāmprogrammatūru. Tomēr Microsoft Defender un pilna skenēšana parasti identificē lielāko daļu pārkāpumu, un jūs varat papildināt to ar citu uzticamu risinājumu.
Kādas ir nepārprotamas pazīmes, kas liecina par kaut ko dīvainu? DLL svešceļi (ProgramData, AppData), dīvainas virknes starpliktuvē, ļaunprātīgas saīsnes USB diskdzinī, tildes un ieplānoto uzdevumu bloķēšana, kas izsauc rundll32.exe ar apmulsinātām DLL failām.

Rezumējot, rundll32.exe ir likumīgs un nepieciešams rīks ko pēc savas būtības var izmantot reklāmprogrammatūra un Trojas zirgi, lai palaistu nevēlamus DLL failus. Pirms vainot izpildāmo failu vai to dzēst, apskatiet instances ceļš, kuri DLL faili ir ielādēti un kas tos izsauc; atinstalējiet potenciāli nevēlamas programmas, notīriet paplašinājumus, pārbaudiet ieplānotos uzdevumus un palaidiet labu pretļaunatūras programmu. Ar šiem pasākumiem un nepieciešamības gadījumā piekļūstot papildu atbalstam, jūs varat apkarot ļaunprātīgu izmantošanu, neapdraudot stabilitāti jūsu Windows.

Daniels Terasa

Redaktors specializējas tehnoloģiju un interneta jautājumos ar vairāk nekā desmit gadu pieredzi dažādos digitālajos medijos. Esmu strādājis par redaktoru un satura veidotāju e-komercijas, komunikācijas, tiešsaistes mārketinga un reklāmas uzņēmumos. Esmu rakstījis arī ekonomikas, finanšu un citu nozaru tīmekļa vietnēs. Mans darbs ir arī mana aizraušanās. Tagad, izmantojot manus rakstus Tecnobits, es cenšos izpētīt visus jaunumus un jaunas iespējas, ko tehnoloģiju pasaule mums piedāvā katru dienu, lai uzlabotu mūsu dzīvi.