Apakah rundll32.exe, lokasi dan tanda-tanda perisian hasad

Rundll32.exe adalah sah: ia memuatkan fungsi DLL untuk Windows dan aplikasi.
Lokasi sahnya ialah System32/SysWOW64; di luar itu, curiga.
Perisian hasad boleh menyamar atau menggunakan rundll32 untuk melancarkan DLL.
Jangan padamkannya: kenal pasti tugas/DLL yang menyinggung perasaan dan gunakan antimalware.

Jika anda terjumpa rundll32.exe dalam Pengurus Tugas dan tertanya-tanya apa sebenarnya, anda tidak bersendirian: eksekusi ini kerap muncul, kadangkala dalam beberapa keadaan sekaligus. Jauh daripada menjadi penceroboh secara lalai, adalah sebahagian daripada Windows itu sendiri dan tujuannya adalah untuk memuatkan dan melaksanakan fungsi yang dihoskan dalam Fail DLL.

Sekarang, hanya kerana ia sah tidak bermakna ia tidak boleh digunakan dengan niat jahat. Beberapa program yang mungkin tidak diingini dan perisian hasad menyamar dengan nama atau Mereka mengeksploitasi rundll32 sebenar untuk melancarkan kod berniat jahat.Dalam baris berikut, saya akan memberitahu anda dengan tepat apa itu, di mana ia sepatutnya, mengapa ia mungkin memaparkan ralat atau menggunakan CPU, cara membezakan antara yang baik dan buruk, dan langkah yang perlu diambil tanpa merosakkan sistem anda.

Apakah rundll32.exe dan untuk apa ia digunakan?

Proses Rundll32.exe melaksanakan DLL

Fail ini rundll32.exe Ia adalah komponen Windows asli yang digunakan untuk gunakan fungsi yang dieksport daripada perpustakaan pautan dinamik (DLL). Dalam bahasa Inggeris biasa: Apabila sistem atau apl perlu melaksanakan fungsi yang berada dalam DLL, ia boleh memanggilnya melalui rundll32.

DLL merangkum blok kod boleh guna semula yang dikongsi oleh banyak program, daripada tugas rangkaian, audio, video atau antara muka yang anda berinteraksi. Itulah sebabnya, dalam pemasangan Windows biasa (7, 10, 11, dsb.) terdapat beribu-ribu DLL, dan rundll32 adalah kunci untuk mengaturnya.

Di mana untuk mencari dan cara mengenali salinan yang sah

Dalam sistem yang sihat anda akan melihat salinan yang sah rundll32.exe pada laluan seperti C: \ Windows \ System32 (persekitaran 64-bit) dan C: \ Windows \ SysWOW64 (keserasian 32-bit pada sistem x64). Mungkin juga ada fail MUI sumber bahasa yang berkaitan dalam subfolder seperti en-US o pl-PL, sebagai contoh C:\Windows\System32\en-US\rundll32.exe.mui.

Jika anda mendapati dia lari dari folder di luar direktori Windows (cth., dalam AppData, ProgramData atau direktori sementara), berhati-hati. Adalah perkara biasa bagi perisian hasad untuk menyamar menggunakan nama yang sama tetapi dijalankan dari lokasi lain ke mengganggu proses yang sah.

Adakah ia virus? Bagaimana perisian hasad mengeksploitasinya

Jawapan ringkas: tidak. Rundll32.exe Ia bukan virus, ia adalah Alat Windows sendiriJangka panjang: terdapat dua perangkap biasa. Satu, program berniat jahat dengan nama yang sama berada di laluan yang berbeza. Kedua, Trojan memuatkan DLL berniat jahatnya melalui rundll32 yang tulen, jadi proses yang anda lihat adalah milik Microsoft, tetapi sedang menjalankan perpustakaan berniat jahat.

Kandungan eksklusif - Klik Di Sini virus makro

Dalam sejarah ancaman, keluarga yang menggunakan rundll32 disebut, seperti Pintu Belakang.W32.Ranky o W32.Miroot.Worm. Dan, pelanjutan penyemak imbas yang lebih biasa, perisian iklan atau mengganggu menggunakannya untuk melancarkan tugas yang berakhir Pop timbul, ubah hala dan penggunaan CPU. Itulah satu sebab mengapa ramai pengguna percaya rundll32 "adalah virus."

Sekiranya anda perasan lebihan iklan atau tetingkap interstisial, mungkin terdapat adware yang bergantung pada rundll32.
yang ubah hala ke tapak web pelik dan kelembapan penyemak imbas juga sesuai dengan PUP/perisian pengintip.
Sistem boleh menjadi malas oleh proses yang mencetuskan rundll32 dengan DLL yang mencurigakan.

Mengapa saya melihat berbilang kejadian dan mesej ralat?

Bahawa Pengurus Tugas menunjukkan berbilang kejadian Ini adalah perkara biasa: komponen sistem yang berbeza atau apl pihak ketiga boleh memanggilnya pada masa yang sama. Windows mengedarkan tugas, dan anda akan melihat beberapa rundll32 berjalan selari bergantung pada apa yang berlaku di latar belakang.

Apa yang tidak normal ialah melihat lonjakan CPU yang berterusan atau mesej seperti "Kod ralat: rundll32.exe" semasa menyemak imbas dalam Chrome, Edge, Firefox atau IE. Dalam senario ini adalah dinasihatkan untuk mengesyaki program yang mungkin tidak diingini (PUP), sambungan agresif atau Trojan yang mengeksploitasikan boleh laku untuk memuatkan DLLnya.

Perkara yang tidak boleh dilakukan: padam rundll32.exe

Membuang rundll32.exe de System32/SysWOW64 Ia bukan pilihan: ia adalah fail kritikal untuk WindowsMemadamkannya mungkin memecahkan fungsi asas, menyebabkan ranap atau menghalang sistem daripada memuatkan komponen yang diperlukan.

Jika anda fikir rundll32 melakukan "sesuatu yang tidak sepatutnya", perkara yang wajar untuk dilakukan ialah ketahui proses atau tugas mana yang menggunakannya dan potong: lumpuhkan atau padamkan tugas, nyahpasang program yang bermasalah, bersihkan DLL dan perkukuhkan perlindungan dengan antimalware yang baik.

perisian hasad yang tidak kelihatan

Cara menyemak sama ada kejadian itu berniat jahat

Pemeriksaan ini membantu anda membezakan penggunaan yang sah daripada penggunaan berniat jahat tanpa menyebabkan kebimbangan atau merosakkan sistem. masih, Kalau rasa tak selesa, lebih baik minta tolong. kepada profesional atau komuniti khusus.

Semak laluan: Dalam Pengurus Tugas, tambah lajur "Barisan Perintah" atau buka "Properties" proses. Jika rundll32.exe tidak masuk C:\Windows\System32 o C:\Windows\SysWOW64, petanda buruk.
Semak apa DLL sedang dimuatkan: rundll32 biasanya diikuti oleh laluan ke DLL dan fungsi yang dieksport. Laluan seperti C:\ProgramData\... o C:\Users\...\AppData\... memerlukan semakan. Contoh daripada cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue jelas mencurigakan.
Semak Penjadual Tugas: Cari tugas atau tugas terbaharu dengan nama yang dikelirukan yang memanggil rundll32. Laluan yang sah di bawah Microsoft boleh digunakan sebagai fasad untuk memuatkan DLL yang tidak betul.
Berlaku Defender Microsoft atau anti-perisian hasad yang boleh dipercayai: imbasan penuh dengan tandatangan terkini akan mengesan kebanyakan PUP, perisian iklan, perisian pengintip dan Trojan yang melekat pada rundll32.
Audit sambungan penyemak imbas: Nyahpasang apa-apa yang tidak penting, terutamanya sambungan proksi VPN, pemuat turun atau "penyahsekat" yang sering mengandungi iklan.
Gunakan alat diagnostik seperti Proses Explorer untuk melihat proses induk (proses induk) yang memanggil rundll32 dan tandatangan digital boleh laku. tandatangan Microsoft dalam System32/SysWOW64 ia adalah perkara biasa; yang peliknya ialah slot di luar Windows.

Kandungan eksklusif - Klik Di Sini Bagaimana untuk menyulitkan data pada peranti mudah alih?

Langkah-langkah pembersihan dan pencegahan

Lapisan pertama adalah akal sehat: Nyahpasang perisian yang anda tidak gunakan atau yang terdedah kepada perisian iklan. Untuk pembersihan menyeluruh, banyak panduan mengesyorkan Revo Uninstaller dalam mod lanjutan untuk mengalih keluar saki-baki (folder, kunci pendaftaran) PUP seperti "DuvApp" atau suite "pengoptimuman" yang mengganggu.

Kemudian, jalankan a imbasan penuh dengan Microsoft Defender dan, jika anda fikir ia sesuai, anti-perisian hasad tambahan dengan reputasi yang terbukti. Ini membantu memburu DLL berniat jahat dan tugas berjadual yang bergantung pada rundll32 to berterusan senyap.

Dalam pembersihan profesional anda akan melihat sebutan tentang sandaran pendaftaran (cth. dengan DelFix) dan penggunaan skrip tersuai dengan FRST (Farbar) untuk membaiki dasar, memadam tugas, menyahsekat DLL yang sedang digunakan, dll. Skrip tersebut adalah disesuaikan dengan setiap pasukan: Jangan gunakan semula milik orang lain kerana anda mungkin memecahkan Windows anda.

Tindakan biasa untuk skrip ini termasuk menetapkan semula rangkaian dan tembok api (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), proses rapat, padam folder en ProgramData/AppData dipautkan kepada PUP dan bersihkan tugas berjadual yang memuatkan DLL menggunakan rundll32.exe. Sekali lagi: lebih baik di tangan pakar.

Untuk meminimumkan risiko masa hadapan, simpan Windows dan apl anda sentiasa dikemas kini, muat turun perisian dari tapak rasmi, nyahtanda komponen tambahan dalam pemasangan "ekspres" dan curiga dengan mana-mana sistem boleh laku yang muncul di luar laluan standard.

Lebih banyak petunjuk tentang lokasi dan fail berkaitan

Selain System32 dan SysWOW64, anda akan melihat fail sumber MUI daripada rundll32 dalam folder bahasa seperti en-US o pl-PL. Mereka tidak boleh dilaksanakan, tetapi sumber penyetempatan. Lihat "rundll32" tanpa .exe dalam Explorer mungkin disebabkan oleh sembunyikan sambungan daripada fail yang diketahui.

Kandungan eksklusif - Klik Di Sini Apakah itu RIFT dan cara ia melindungi data anda daripada perisian hasad tercanggih

Jika kejadian yang mencurigakan berhenti muncul dan masalah anda (mis loghat berganda pada papan kekunci) hilang, ia adalah tanda bahawa bahagian yang bermasalah itu di tempat lain dan menggunakan rundll32 sebagai pelancar. Apabila ia muncul semula, sudah tiba masanya untuk melihat tugas, sambungan dan DLL yang disambungkan.

Bila hendak meminta bantuan lanjutan

Jika, selepas membersihkan sambungan, menyahpasang PUP dan menjalankan antimalware, anda masih melihat rundll32 dilancarkan daripada laluan pelik, atau anda melihat gejala seperti papan keratan yang diusik, pintasan USB berniat jahat dan papan kekunci "lumpuh", jangan tinggalkannya: perundingan dengan sokongan khusus. Skrip pembaikan selalunya diperlukan adat untuk pasukan anda yang bermain pendaftaran, tugas dan dasar secara pembedahan.

Ingat: setiap komputer adalah dunia itu sendiri. Skrip yang direka untuk mesin lain (dengan rujukan kepada folder seperti TreeCenter\BortValue atau DLL tertentu) yang dilaksanakan pada tin anda biarkan ia tidak stabil. Pembersihan lanjutan bukan salin-tampal, ia diagnosis individu.

Soalan yang kerap ditanya

Bolehkah saya mengalih keluar rundll32.exe? Tidak. Ia adalah komponen penting dalam sistem. Cara yang betul ialah mengalih keluar pencetus (tugas, program, DLL) yang menyalahgunakannya.
Mengapa terdapat beberapa contoh? Kerana fungsi sistem yang berbeza dan apl pihak ketiga memanggilnya secara selari. Berbilang contoh, dengan penggunaan kuasa yang rendah, adalah perkara biasa.
Di manakah ia sepatutnya? En C:\Windows\System32 dan / atau C:\Windows\SysWOW64, dengan fail MUInya dalam subfolder bahasa. Di luar Windows, curiga.
Bolehkah antivirus tidak mengesannya? Ia boleh berlaku, terutamanya dengan PUP dan perisian iklan. Namun, Microsoft Defender dan imbasan penuh biasanya mengenal pasti kebanyakan penyalahgunaan, dan anda boleh menambah penyelesaian lain yang bereputasi.
Apakah tanda-tanda yang jelas tentang sesuatu yang aneh? Laluan asing untuk DLL (ProgramData, AppData), rentetan aneh dalam papan keratan, pintasan berniat jahat pada USB, menyekat tilde dan tugas berjadual yang memanggil rundll32.exe dengan DLL yang dikelirukan.

Pendek kata, rundll32.exe ialah alat yang sah dan perlu yang, mengikut sifatnya, boleh dieksploitasi oleh adware dan Trojan untuk menjalankan DLL yang tidak diingini. Sebelum menyalahkan boleh laku atau memadamnya, lihat pada laluan contoh, DLL mana yang dimuatkan dan siapa yang memanggilnya; nyahpasang PUP, bersihkan sambungan, semak tugasan yang dijadualkan dan jalankan program anti-malware yang baik. Dengan langkah-langkah ini, dan dengan mengakses sokongan lanjutan apabila perlu, anda boleh menangani penyalahgunaan tanpa menjejaskan kestabilan Windows anda.

Daniel Terrasa

Editor khusus dalam isu teknologi dan internet dengan lebih daripada sepuluh tahun pengalaman dalam media digital yang berbeza. Saya telah bekerja sebagai editor dan pencipta kandungan untuk e-dagang, komunikasi, pemasaran dalam talian dan syarikat pengiklanan. Saya juga telah menulis di laman web ekonomi, kewangan dan sektor lain. Kerja saya juga minat saya. Sekarang, melalui artikel saya dalam Tecnobits, saya cuba meneroka semua berita dan peluang baharu yang dunia teknologi tawarkan kepada kita setiap hari untuk memperbaiki kehidupan kita.