Ce este rundll32.exe, locații și semne de malware

Rundll32.exe este legitim: încarcă funcții DLL pentru Windows și aplicații.
Locația sa validă este System32/SysWOW64; în afara acesteia, fiți suspicioși.
Programele malware se pot deghiza sau pot utiliza rundll32 pentru a lansa DLL-uri.
Nu îl ștergeți: identificați activitățile/DLL-urile care cauzează probleme și utilizați un antimalware.

Dacă ai întâlnit rundll32.exe în Managerul de activități și te întrebi ce naiba este, nu ești singurul: acest executabil apare frecvent, uneori în mai multe instanțe simultan. Departe de a fi un intrus în mod implicit, face parte din Windows în sine și scopul său este de a încărca și executa funcții găzduite în Fișiere DLL.

Acum, doar pentru că este legitim nu înseamnă că nu poate fi folosit cu rea intenție. Unele programe potențial nedorite și programe malware se camuflează cu numele lor sau Aceștia exploatează rundll32-ul real pentru a lansa cod malițios.În rândurile următoare, vă voi spune exact ce este, unde ar trebui să fie, de ce ar putea afișa erori sau consuma CPU, cum să distingeți între bine și rău și ce pași să faceți fără a vă strica sistemul.

Ce este rundll32.exe și la ce se folosește?

Procesul Rundll32.exe execută DLL-ul

Dosarul rundll32.exe Este o componentă nativă Windows utilizată pentru invocă funcții exportate din biblioteci de legături dinamice (DLL-uri)În termeni simpli: Când sistemul sau o aplicație trebuie să execute o funcție care se află într-un DLL, o poate apela prin rundll32.

DLL-urile încapsulează blocuri de cod reutilizabil pe care multe programe le partajează, de la sarcini de rețea, audio, video sau interfață cu care interacționezi. De aceea, în instalările tipice de Windows (7, 10, 11 etc.) există mii de DLL-uri, iar rundll32 este esențial pentru orchestrarea lor.

Unde se găsește și cum se recunoaște o copie legitimă

Într-un sistem sănătos veți vedea copii legitime ale rundll32.exe pe trasee ca C: \ Windows \ System32 (mediu pe 64 de biți) și C: \ Windows \ SysWOW64 (compatibilitate pe 32 de biți pe sisteme x64). De asemenea, pot exista Fișiere MUI a resurselor lingvistice asociate în subfoldere, cum ar fi en-US o pl-PLde exemplu C:\Windows\System32\en-US\rundll32.exe.mui.

Dacă îl găsești fugind de foldere în afara directorului Windows (de exemplu, în AppData, ProgramData sau un director temporar), fiți precauți. Este obișnuit ca programele malware să se deghizeze folosind același nume, dar să ruleze dintr-o altă locație către interferarea cu procesele legitime.

Este un virus? Cum îl exploatează malware-ul

Răspunsul scurt: Nu.. Rundll32.exe Nu este un virus, este un Instrumentul propriu al WindowsPe termen lung: există două capcane tipice. Una, un program rău intenționat cu același nume se află pe o cale diferită. A doua, un troian își încarcă DLL-ul rău intenționat prin intermediul rundll32 autentic, deci procesul pe care îl vedeți este cel al Microsoft, dar rulează o bibliotecă malițioasă.

Conținut exclusiv - Faceți clic aici Cum se înlocuiește Notepad cu VS Code sau Notepad++ pe toate sistemele de operare Windows

În istoricul amenințărilor, sunt menționate familiile care utilizează rundll32, cum ar fi Backdoor.W32.Ranky o W32.Miroot.WormȘi, extensiile de browser mai banale, de tip adware sau intruziv, îl folosesc pentru a lansa sarcini care ajung în Ferestre pop-up, redirecționări și utilizarea procesoruluiAcesta este unul dintre motivele pentru care mulți utilizatori cred că rundll32 „este un virus”.

Dacă observi exces de reclame sau ferestre interstițiale, ar putea exista adware care se bazează pe rundll32.
Las redirecționează către site-uri web ciudate și încetinirea browserului se potrivește, de asemenea, cu PUP-uri/spyware.
Sistemul poate a deveni leneș de procese care declanșează rundll32 cu DLL-uri suspecte.

De ce văd mai multe instanțe și mesaje de eroare?

Que el Managerul de activități afișează mai multe instanțe Acest lucru este normal: diferite componente de sistem sau aplicații terțe îl pot invoca simultan. Windows distribuie sarcinile și veți vedea mai multe rundll32-uri rulând în paralel, în funcție de ce se întâmplă în fundal.

Ceea ce nu este normal este să vezi vârfuri constante de solicitare a procesorului sau mesaje de genul „Cod de eroare: rundll32.exe” în timp ce navigați în Chrome, Edge, Firefox sau IE. În aceste scenarii este recomandabil să suspectați programe potențial nedorite (PUP-uri), extensii agresive sau un troian care exploatează executabilul pentru a-și încărca DLL-ul.

Ce să nu faci: șterge rundll32.exe

Scoate rundll32.exe de System32/SysWOW64 Nu este o opțiune: este un fișier critic pentru WindowsȘtergerea acestuia poate afecta funcțiile de bază, poate provoca blocări sau poate împiedica sistemul să încarce componentele necesare.

Dacă crezi că rundll32 face „ceva ce nu ar trebui”, lucrul logic de făcut este află ce proces sau sarcină o invocă și eliminați-l: dezactivați sau ștergeți sarcina, dezinstalați programul problematic, curățați DLL-ul și consolidați protecția cu un antimalware bun.

malware invizibil

Cum să verifici dacă instanța este rău intenționată

Aceste verificări vă ajută să diferențiați utilizarea legitimă de utilizarea rău intenționată fără a provoca alarmism sau a deteriora sistemul. Totuși, Dacă nu te simți confortabil, e mai bine să ceri ajutor. către o comunitate profesională sau specializată.

Verificați rutaÎn Managerul de activități, adăugați coloana „Linie de comandă” sau deschideți „Proprietățile” procesului. Dacă rundll32.exe nu este in C:\Windows\System32 o C:\Windows\SysWOW64, semn rău.
Verifica ce DLL-ul se încarcărundll32 este de obicei urmat de calea către o DLL și o funcție exportată. Căi precum C:\ProgramData\... o C:\Users\...\AppData\... necesită revizuire. Exemplul de cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue este în mod clar suspect.
Verificați Planificator de sarciniCăutați activități recente sau activități cu nume ascunse care apelează rundll32. Căile legitime din Microsoft pot fi utilizate ca fațadă pentru a încărca DLL-uri necorespunzătoare.
Se întâmplă microsoft defender sau un anti-malware fiabil: o scanare completă cu semnături actualizate va detecta majoritatea PUP-urilor, adware-ului, spyware-ului și troienilor care se atașează la rundll32.
Audita extensii de browserDezinstalați tot ce nu este esențial, în special extensiile proxy VPN, programele de descărcare sau „deblocarea” care conțin adesea reclame.
Folosește instrumente de diagnosticare precum Process Explorer pentru a vedea procesul părinte (procesul părinte) care invocă rundll32 și semnătura digitală a executabilului. Semnătura Microsoft În System32/SysWOW64 este normal; lucrul ciudat sunt sloturile din afara Windows-ului.

Conținut exclusiv - Faceți clic aici Cum se recuperează parolele Netflix

Măsuri de curățare și prevenire

Primul strat este bunul simț: Dezinstalați software-ul pe care nu îl utilizați sau care este predispus la adwarePentru o curățare temeinică, multe ghiduri recomandă Revo Uninstaller în modul avansat pentru a elimina rămășițele (foldere, chei de registry) ale PUP-urilor precum „DuvApp” sau suite de „optimizare” intruzive.

Apoi, rulați o scanare completă cu Microsoft Defender și, dacă considerați că este potrivit, un anti-malware suplimentar cu o reputație dovedită. Acest lucru ajută la identificarea DLL-urilor rău intenționate și a sarcinilor programate care se bazează pe rundll32 pentru persistă în tăcere.

În curățarea profesională veți vedea mențiuni despre copiile de rezervă ale registrului (de exemplu, cu DelFix) și utilizarea... scripturi personalizate cu FRST (Farbar) pentru a repara politici, a șterge sarcini, a debloca DLL-urile în uz etc. Aceste scripturi sunt adaptate fiecărei echipeNu reutilizați materialele altcuiva, deoarece vă puteți strica Windows-ul.

Acțiunile comune pentru aceste scripturi includ resetarea rețelei și a firewall-ului (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), închideți procesele, șterge folderele en ProgramData/AppData legate de PUP-uri și curățarea sarcinilor programate care încarcă DLL-uri folosind rundll32.exeDin nou: mai bine în mâini de experți.

Pentru a minimiza riscurile viitoare, păstrați Windows și aplicațiile dvs. mereu actualizat, descărcați software de pe site-uri oficiale, debifați componentele suplimentare din instalările „express” și fiți suspicioși față de orice fișier executabil de sistem care apare în afara rute standard.

Mai multe indicii despre locații și fișiere conexe

Pe lângă System32 și SysWOW64, veți vedea fișiere de resurse MUI a rundll32 în foldere de limbă, cum ar fi en-US o pl-PLNu sunt executabile, dar resurse de localizareVedeți „rundll32” fără .exe în Explorer se poate datora ascunde extensiile din fișiere cunoscute.

Conținut exclusiv - Faceți clic aici Cum să cumpăr Bitdefender Antivirus Plus?

Dacă o instanță suspectă nu mai apare și problema dvs. (de exemplu, accent dublu de pe tastatură) dispare, este un semn că piesa problematică a fost altundeva și a folosit rundll32 ca lansator. Când reapare, este timpul să ne uităm la sarcini, extensii și DLL-uri conectate.

Când să ceri ajutor avansat

Dacă, după curățarea extensiilor, dezinstalarea PUP-urilor și rularea antimalware-ului, vedeți în continuare rundll32 lansat din rute ciudatesau observați simptome precum un clipboard modificat, comenzi rapide USB rău intenționate și o tastatură „defectată”, nu o lăsați: consultanță cu asistență specializatăUn script de reparare este adesea necesar. personalizat pentru echipa ta care joacă înregistrare, sarcini și politici chirurgical.

Rețineți: fiecare computer este o lume în sine. Un script conceput pentru o altă mașină (cu referințe la foldere precum TreeCenter\BortValue sau DLL-uri specifice) executate pe al dvs. pot lasă-l instabilCurățarea avansată nu este o copiere, ci diagnostic individual.

Întrebări frecvente

Pot elimina rundll32.exe? Nu. Este o componentă esențială a sistemului. Calea corectă este de a elimina declanșatorul (sarcină, program, DLL) care îl folosește greșit.
De ce există mai multe instanțe? Deoarece diferite funcții de sistem și aplicații terțe îl invocă în paralel. Instanțe multiple, cu consum redus de energie, sunt normale.
Unde ar trebui să fie? En C:\Windows\System32 și / sau C:\Windows\SysWOW64, cu fișierele sale MUI în subfoldere de limbă. În afara Windows, fiți suspicioși.
Poate un antivirus să nu-l detecteze? Se poate întâmpla, mai ales cu PUP-uri și adware. Totuși, Microsoft Defender și o scanare completă identifică de obicei majoritatea abuzurilor și puteți suplimenta problema cu o altă soluție de încredere.
Care sunt semnele clare ale unui lucru ciudat? Căi străine pentru DLL (ProgramData, AppData), șiruri ciudate în clipboard, comenzi rapide rău intenționate pe USB, blocarea tildelor și a sarcinilor programate care apelează rundll32.exe cu DLL-uri ofuscate.

Pe scurt, rundll32.exe este un instrument legitim și necesar care, prin natura sa, poate fi exploatat de adware și troieni pentru a rula DLL-uri nedorite. Înainte de a da vina pe executabil sau de a-l șterge, uitați-vă la calea instanței, ce DLL-uri sunt încărcate și cine le invocă; dezinstalați PUP-urile, curățați extensiile, verificați sarcinile programate și rulați un program anti-malware bun. Cu aceste măsuri și accesând asistența avansată atunci când este necesar, puteți combaterea abuzurilor fără a compromite stabilitatea ale Windows-ului dvs.

Daniel Terrasa

Editor specializat în probleme de tehnologie și internet cu peste zece ani de experiență în diferite medii digitale. Am lucrat ca editor și creator de conținut pentru companii de comerț electronic, comunicare, marketing online și publicitate. Am scris și pe site-uri de economie, finanțe și alte sectoare. Munca mea este și pasiunea mea. Acum, prin articolele mele din Tecnobits, încerc să explorez toate știrile și noile oportunități pe care lumea tehnologiei ni le oferă zi de zi pentru a ne îmbunătăți viața.