Czym jest plik rundll32.exe i jak rozpoznać, czy jest to legalne, czy zamaskowane złośliwe oprogramowanie?

Jeśli natknąłeś się na rundll32.exe w Menedżerze zadań i zastanawiasz się, co to do cholery jest, nie jesteś sam: ten plik wykonywalny pojawia się często, czasami w wielu instancjach naraz. Daleko mu do bycia intruzem z założenia, jest częścią samego systemu Windows i jego celem jest ładowanie i wykonywanie funkcji hostowanych w pliki dll.

To, że coś jest legalne, nie oznacza, że ​​nie można tego wykorzystać w celach złośliwych. Niektóre potencjalnie niechciane programy i złośliwe oprogramowanie maskują się swoją nazwą lub Wykorzystują prawdziwy rundll32 do uruchamiania złośliwego kodu.Poniżej dokładnie opiszę, co to jest, gdzie powinno się znajdować, dlaczego może wyświetlać błędy lub obciążać procesor, jak odróżnić dobry błąd od złego oraz jakie kroki podjąć, aby nie uszkodzić systemu.

Czym jest rundll32.exe i do czego służy?

plik rundll32.exe Jest to natywny komponent systemu Windows, który służy do wywoływanie funkcji eksportowanych z bibliotek dołączanych dynamicznie (DLL)Mówiąc prościej: gdy system lub aplikacja musi wykonać funkcję znajdującą się w bibliotece DLL, może ją wywołać za pomocą rundll32.

Biblioteki DLL zawierają bloki wielokrotnego użytku kodu, z których korzystają liczne programy, zadania sieciowe, audio, wideo lub interfejsu Z którymi wchodzisz w interakcję. Dlatego w typowych instalacjach systemu Windows (7, 10, 11 itd.) znajdują się tysiące bibliotek DLL, a rundll32 jest kluczem do ich organizacji.

Gdzie znaleźć i jak rozpoznać legalną kopię

W zdrowym systemie zobaczysz legalne kopie rundll32.exe na trasach takich jak C: \ Windows \ System32 (środowisko 64-bitowe) i C: \ Windows \ SysWOW64 (zgodność 32-bitowa w systemach x64). Mogą również występować Pliki MUI powiązanych zasobów językowych w podfolderach, takich jak en-US o pl-PL, na przykład C:\Windows\System32\en-US\rundll32.exe.mui.

Jeśli znajdziesz go uciekającego foldery poza katalogiem Windows (np. w AppData, ProgramData lub katalogu tymczasowym), zachowaj ostrożność. Złośliwe oprogramowanie często maskuje się pod tą samą nazwą, ale uruchamia się z innej lokalizacji. zakłócanie legalnych procesów.

Czy to wirus? Jak złośliwe oprogramowanie go wykorzystuje?

Krótka odpowiedź: Nie. Rundll32.exe To nie wirus, to Własne narzędzie systemu WindowsW dłuższej perspektywie: istnieją dwie typowe pułapki. Po pierwsze, złośliwy program o tej samej nazwie znajduje się w innej ścieżce. Po drugie, trojan ładuje swoją złośliwą bibliotekę DLL za pośrednictwem autentycznego pliku rundll32, więc proces, który widzisz, jest procesem Microsoftu, ale uruchamia złośliwą bibliotekę.

W historii zagrożeń wymienione są rodziny korzystające z rundll32, takie jak: Backdoor.W32.Ranky o W32.Miroot.Worm. A bardziej przyziemne, adware lub natrętne rozszerzenia przeglądarki wykorzystują go do uruchamiania zadań, które kończą się Okienka pop-up, przekierowania i użycie procesoraTo jeden z powodów, dla których wielu użytkowników uważa, że ​​rundll32 „jest wirusem”.

• Jeśli zauważysz nadmiar reklam lub okien śródmiąższowych, może tam być adware bazujący na rundll32.
• Te przekierowuje do dziwnych stron internetowych a spowolnienie przeglądarki jest również związane z potencjalnie niechcianymi programami/oprogramowaniem szpiegującym.
• System może stać się leniwym przez procesy, które uruchamiają rundll32 za pomocą podejrzanych bibliotek DLL.

Dlaczego widzę wiele wystąpień i komunikatów o błędach?

Que el Menedżer zadań pokazuje wiele wystąpień To normalne: różne komponenty systemu lub aplikacje innych firm mogą go wywoływać jednocześnie. System Windows rozdziela zadania i zobaczysz kilka uruchomień rundll32 działających równolegle, w zależności od tego, co dzieje się w tle.

Nienormalne jest obserwowanie ciągłych skoków obciążenia procesora lub komunikatów takich jak „Kod błędu: rundll32.exe” podczas przeglądania w Chrome, Edge, Firefox lub IE. W takich sytuacjach zaleca się podejrzenie potencjalnie niechciane programy (PUP), agresywne rozszerzenia lub koń trojański wykorzystujący plik wykonywalny do załadowania jego biblioteki DLL.

Czego nie robić: usuwać pliku rundll32.exe

usunąć rundll32.exe de System32/SysWOW64 To nie jest opcja: to plik krytyczne dla systemu WindowsJego usunięcie może spowodować uszkodzenie podstawowych funkcji, awarie systemu lub uniemożliwić załadowanie niezbędnych komponentów.

Jeśli uważasz, że rundll32 robi „coś, czego nie powinien”, rozsądnym rozwiązaniem jest dowiedz się, który proces lub zadanie go wywołuje i koniec: wyłącz lub usuń zadanie, odinstaluj program powodujący problem, wyczyść bibliotekę DLL i wzmocnij ochronę dobrym oprogramowaniem antywirusowym.

Jak sprawdzić, czy instancja jest złośliwa

Te kontrole pomagają odróżnić legalne użycie od złośliwego, bez wywoływania paniki i uszkadzania systemu. Mimo to, Jeśli nie czujesz się komfortowo, lepiej poproś o pomoc. do społeczności zawodowej lub specjalistycznej.

• Sprawdź trasę: W Menedżerze zadań dodaj kolumnę „Wiersz poleceń” lub otwórz „Właściwości” procesu. Jeśli rundll32.exe nie jest w C:\Windows\System32 o C:\Windows\SysWOW64, zły znak.
• Sprawdź co Ładowanie biblioteki DLL: po rundll32 zwykle następuje ścieżka do biblioteki DLL i eksportowanej funkcji. Ścieżki takie jak C:\ProgramData\... o C:\Users\...\AppData\... wymagają przeglądu. Przykład cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue jest ewidentnie podejrzane.
• Sprawdź Harmonogram zadań: Wyszukaj ostatnie zadania lub zadania o zaciemnionych nazwach, które wywołują rundll32. Prawidłowe ścieżki w systemie Microsoft mogą być używane jako fasada aby załadować nieprawidłowe biblioteki DLL.
• Pasza Microsoft Defender lub niezawodny program antywirusowy: pełne skanowanie przy użyciu aktualnych sygnatur wykryje większość potencjalnie niechcianych programów, adware, spyware i trojanów, które dołączają się do rundll32.
• Rewizja rozszerzenia przeglądarki: Odinstaluj wszystko, co nie jest niezbędne, zwłaszcza rozszerzenia proxy VPN, programy do pobierania lub „odblokowywania”, które często zawierają reklamy.
• Użyj narzędzi diagnostycznych, takich jak: Process Explorer zobaczyć proces nadrzędny (proces nadrzędny), który wywołuje rundll32 i podpis cyfrowy pliku wykonywalnego. Podpis Microsoftu w System32/SysWOW64 jest to normalne; dziwną rzeczą są sloty poza Windows.

Czyszczenie i środki zapobiegawcze

Pierwsza warstwa to zdrowy rozsądek: Odinstaluj oprogramowanie, którego nie używasz lub które jest podatne na adware. Do dokładnego czyszczenia wiele poradników zaleca Revo Uninstaller w trybie zaawansowanym, aby usunąć pozostałości (foldery, klucze rejestru) potencjalnie niechcianych programów, takich jak „DuvApp” lub natrętne pakiety „optymalizacyjne”.

Następnie uruchom pełne skanowanie za pomocą programu Microsoft Defender I, jeśli uważasz to za stosowne, dodatkowy program antywirusowy o sprawdzonej reputacji. Pomaga to w wykrywaniu złośliwych bibliotek DLL i zaplanowanych zadań, które wykorzystują rundll32 do… trwać w milczeniu.

W profesjonalnym czyszczeniu zobaczysz wzmiankę o kopiach zapasowych rejestru (np. za pomocą DelFix) i użyciu niestandardowe skrypty z FRST (Farbar) do naprawy zasad, usuwania zadań, odblokowywania używanych bibliotek DLL itp. Te skrypty są dostosowane do każdego zespołu: Nie wykorzystuj cudzych danych, bo możesz uszkodzić swój system Windows.

Do typowych działań tych skryptów zalicza się resetowanie sieci i zapory sieciowej (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), zamknij procesy, usuń foldery en ProgramData/AppData powiązane z programami typu PUP i czyszczące zadania zaplanowane, które ładują biblioteki DLL za pomocą rundll32.exe. Powtórzę: lepiej w rękach ekspertów.

Aby zminimalizować przyszłe ryzyko, zachowaj system Windows i swoje aplikacje zawsze aktualne, pobieraj oprogramowanie z oficjalnych stron, odznacz dodatkowe komponenty w instalacjach „ekspresowych” i bądź podejrzliwy wobec każdego pliku wykonywalnego systemu, który pojawia się poza standardowe trasy.

Więcej wskazówek dotyczących lokalizacji i powiązanych plików

Oprócz System32 i SysWOW64 zobaczysz pliki zasobów MUI rundll32 w folderach językowych, takich jak en-US o pl-PL. Nie są one wykonywalne, ale zasoby lokalizacyjne. Zobacz „rundll32” bez .exe w Eksploratorze może być spowodowane ukryj rozszerzenia ze znanych plików.

Jeśli podejrzany przypadek przestanie się pojawiać, a Twój problem (np. podwójny akcent (na klawiaturze) znika, to znak, że problematyczny utwór został gdzie indziej i użyłem rundll32 jako programu uruchamiającego. Gdy się pojawi, czas przyjrzeć się zadaniom, rozszerzeniom i powiązanym bibliotekom DLL.

Kiedy poprosić o pomoc zaawansowaną

Jeśli po wyczyszczeniu rozszerzeń, odinstalowaniu potencjalnie niechcianych programów i uruchomieniu oprogramowania antywirusowego nadal widzisz uruchomionego rundll32 z dziwne trasylub zauważysz takie objawy, jak uszkodzony schowek, złośliwe skróty USB i „uszkodzoną” klawiaturę, nie zostawiaj tego: konsultacja ze specjalistycznym wsparciem. Często wymagany jest skrypt naprawczy zwyczaj dla twojej drużyny, która gra rejestracja, zadania i zasady chirurgicznie.

Pamiętaj: każdy komputer to odrębny świat. Skrypt zaprojektowany dla innej maszyny (z odniesieniami do folderów, takich jak TreeCenter\BortValue lub określone biblioteki DLL) wykonywane na Twoim komputerze mogą zostawić to niestabilnym. Zaawansowane czyszczenie nie polega na kopiowaniu i wklejaniu, to diagnoza indywidualna.

Najczęściej zadawane pytania

• Czy mogę usunąć rundll32.exe? Nie. To niezbędny element systemu. Prawidłowym sposobem jest usunięcie wyzwalacza (zadania, programu, biblioteki DLL), który go niewłaściwie wykorzystuje.
• Dlaczego jest wiele wystąpień? Ponieważ różne funkcje systemowe i aplikacje innych firm wywołują go równolegle. Wiele instancji, przy niskim zużyciu energii, jest normalne.
• Gdzie to powinno być? En C:\Windows\System32 i / lub C:\Windows\SysWOW64, z plikami MUI w podfolderach językowych. Poza systemem Windows zachowaj ostrożność.
• Czy program antywirusowy może tego nie wykryć? Może się to zdarzyć, zwłaszcza w przypadku potencjalnie niechcianych programów (PUP) i adware. Mimo to, Microsoft Defender i pełne skanowanie zazwyczaj identyfikują większość nadużyć, a dodatkowo można zastosować inne, sprawdzone rozwiązanie.
• Jakie są jednoznaczne oznaki czegoś dziwnego? Ścieżki obce dla biblioteki DLL (ProgramData, AppData), dziwne ciągi znaków w schowku, złośliwe skróty na USB, blokowanie tyld i zaplanowane zadania wywołujące rundll32.exe z zaciemnionymi bibliotekami DLL.

Podsumowując, rundll32.exe to legalne i niezbędne narzędzie który ze swojej natury może być wykorzystywany przez adware i trojany do uruchamiania niechcianych bibliotek DLL. Zanim obwinisz plik wykonywalny lub go usuniesz, sprawdź… ścieżka instancji, które biblioteki DLL są ładowane i kto je wywołuje; odinstaluj potencjalnie niechciane programy, wyczyść rozszerzenia, sprawdź zaplanowane zadania i uruchom dobry program antywirusowy. Dzięki tym środkom i dostępowi do zaawansowanej pomocy technicznej w razie potrzeby możesz zwalczanie nadużyć bez narażania stabilności swojego systemu Windows.