Čo je rundll32.exe, umiestnenie a príznaky škodlivého softvéru

Súbor Rundll32.exe je legitímny: načítava funkcie DLL pre systém Windows a aplikácie.
Jeho platné umiestnenie je System32/SysWOW64; mimo neho buďte podozriví.
Škodlivý softvér sa môže maskovať alebo použiť rundll32 na spustenie DLL súborov.
Neodstraňujte ho: identifikujte problematické úlohy/knižnice DLL a použite antivírusový softvér.

Ak ste narazili Súbor rundll32.exe v Správcovi úloh a premýšľate, čo to do pekla je, nie ste sami: tento spustiteľný súbor sa zobrazuje často, niekedy vo viacerých inštanciách naraz. Zďaleka nie je votrelcom zo štandardného nastavenia, je súčasťou samotného systému Windows a jeho účelom je načítavať a vykonávať funkcie hostované v Súbory DLL.

Len preto, že je niečo legitímne, neznamená to, že sa to nedá použiť so zlým úmyslom. Niektoré potenciálne nechcené programy a malware sa maskujú svojím názvom alebo Zneužívajú skutočný rundll32 na spustenie škodlivého kódu.V nasledujúcich riadkoch vám presne poviem, čo to je, kde by to malo byť, prečo to môže zobrazovať chyby alebo spotrebovávať CPU, ako rozlíšiť dobré od zlého a aké kroky podniknúť bez toho, aby ste si zničili systém.

Čo je rundll32.exe a na čo sa používa?

Proces Rundll32.exe spúšťajúci knižnicu DLL

Súbor rundll32.exe Je to natívna súčasť systému Windows, ktorá sa používa na vyvolať funkcie exportované z dynamických knižníc (DLL)Jednoducho povedané: Keď systém alebo aplikácia potrebuje vykonať funkciu, ktorá sa nachádza v knižnici DLL, môže ju zavolať prostredníctvom funkcie rundll32.

Súbory DLL zapuzdrujú bloky opakovane použiteľného kódu, ktoré zdieľa mnoho programov, od sieťové, zvukové, obrazové alebo rozhraniové úlohy s ktorými interagujete. Preto sú v typických inštaláciách systému Windows (7, 10, 11 atď.) tisíce knižnic DLL a rundll32 je kľúčom k ich orchestrácii.

Kde nájsť a ako rozpoznať legitímnu kópiu

V zdravom systéme uvidíte legitímne kópie rundll32.exe na trasách ako C:\Windows\System32 (64-bitové prostredie) a C:\Windows\SysWOW64 (32-bitová kompatibilita na systémoch x64). Môže existovať aj Súbory MUI súvisiacich jazykových zdrojov v podpriečinkoch, ako napríklad en-US o pl-PLNapríklad C:\Windows\System32\en-US\rundll32.exe.mui.

Ak ho nájdete utekať pred priečinky mimo adresára systému Windows (napr. v AppData, ProgramData alebo dočasný adresár), buďte opatrní. Je bežné, že sa malvér maskuje pod rovnakým názvom, ale spúšťa sa z iného miesta zasahovanie do legitímnych procesov.

Je to vírus? Ako ho zneužíva malware

Stručná odpoveď: Nie. Rundll32.exe Nie je to vírus, je to Vlastný nástroj systému WindowsZ dlhodobého hľadiska: existujú dve typické pasce. Po prvé, škodlivý program s rovnakým názvom sa nachádza v inej ceste. Po druhé, trójsky kôň načíta svoju škodlivú knižnicu DLL prostredníctvom autentického súboru rundll32, takže proces, ktorý vidíte, je od spoločnosti Microsoft, ale prevádzkuje škodlivú knižnicu.

Exkluzívny obsah – kliknite sem Ako zistiť, či niekto otvorí vaše okno WhatsApp

V histórii hrozieb sú spomenuté rodiny, ktoré používajú rundll32, ako napríklad Backdoor.W32.Ranky o W32.Miroot.ČervA všednejšie, adware alebo rušivé rozšírenia prehliadača ho používajú na spúšťanie úloh, ktoré nakoniec... Vyskakovacie okná, presmerovania a využitie CPUTo je jeden z dôvodov, prečo si mnohí používatelia myslia, že rundll32 „je vírus“.

Ak si všimnete nadbytok reklám alebo vsunuté okná, môže sa v nich nachádzať adware závislý od rundll32.
Ten/Tá/To presmeruje na cudzie webové stránky a spomalenie prehliadača je tiež spôsobené potenciálne nežiaducimi programami/spyware.
Systém môže zlenivieť procesmi, ktoré spúšťajú rundll32 s podozrivými knižnicami DLL.

Prečo sa mi zobrazuje viacero inštancií a chybových hlásení?

Že Správca úloh zobrazuje viacero inštancií Toto je normálne: rôzne systémové komponenty alebo aplikácie tretích strán ho môžu spúšťať súčasne. Systém Windows rozdeľuje úlohy a v závislosti od toho, čo sa deje na pozadí, uvidíte niekoľko súborov rundll32 bežiacich paralelne.

Nie je normálne vidieť neustále výkyvy CPU alebo správy ako „Kód chyby: rundll32.exe“ počas prehliadania v prehliadačoch Chrome, Edge, Firefox alebo IE. V týchto scenároch je vhodné mať podozrenie potenciálne nechcené programy (PUP), agresívne rozšírenia alebo trójsky kôň, ktorý zneužíva spustiteľný súbor na načítanie svojej knižnice DLL.

Čo nerobiť: odstrániť súbor rundll32.exe

Eliminovať rundll32.exe de System32/SysWOW64 Nie je to možnosť: je to súbor kritické pre WindowsJeho odstránenie môže narušiť základné funkcie, spôsobiť zlyhania alebo zabrániť systému v načítaní potrebných komponentov.

Ak si myslíte, že rundll32 robí „niečo, čo by nemal“, rozumné je urobiť zistiť, ktorý proces alebo úloha ho vyvoláva a vynechajte ho: vypnite alebo odstráňte úlohu, odinštalujte problematický program, vyčistite knižnicu DLL a posilnite ochranu dobrým antivírusovým softvérom.

neviditeľný malware

Ako skontrolovať, či je inštancia škodlivá

Tieto kontroly vám pomôžu rozlíšiť legitímne použitie od škodlivého použitia bez toho, aby spôsobovali poplach alebo poškodzovali systém. Napriek tomu Ak sa necítite dobre, je lepšie požiadať o pomoc. profesionálnej alebo špecializovanej komunite.

Skontrolujte trasuV Správcovi úloh pridajte stĺpec „Príkazový riadok“ alebo otvorte „Vlastnosti“ procesu. Ak rundll32.exe Nie je to v C:\Windows\System32 o C:\Windows\SysWOW64, zlé znamenie.
Skontrolujte, čo Načítava sa knižnica DLLZa rundll32 zvyčajne nasleduje cesta k DLL a exportovanej funkcii. Cesty ako C:\ProgramData\... o C:\Users\...\AppData\... vyžadujú preskúmanie. Príklad Súbor cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue je to jednoznačne podozrivé.
Skontrolujte Plánovač úlohVyhľadávanie nedávnych úloh alebo úloh so zahalenými názvami, ktoré volajú rundll32. Legitímne cesty v rámci Microsoftu možno použiť ako fasáda načítať nesprávne DLL súbory.
Stáva sa Microsoft Defender alebo spoľahlivý antivírusový program: úplná kontrola s aktuálnymi podpismi odhalí väčšinu potenciálne nežiaducich programov (PUP), adwaru, spywaru a trójskych koní, ktoré sa pripájajú k súboru rundll32.
Audit rozšírenia prehliadačaOdinštalujte všetko, čo nie je nevyhnutné, najmä rozšírenia VPN proxy, sťahovacie programy alebo „odblokovače“, ktoré často obsahujú reklamy.
Používajte diagnostické nástroje, ako napr. Prieskumník procesov vidieť rodičovský proces (nadradený proces), ktorý vyvolá rundll32 a digitálny podpis spustiteľného súboru. Podpis spoločnosti Microsoft v System32/SysWOW64 je to normálne; zvláštne sú sloty mimo Windowsu.

Exkluzívny obsah – kliknite sem Ako upraviť nastavenia súkromia na Alexe

Čistiace a preventívne opatrenia

Prvou vrstvou je zdravý rozum: Odinštalujte softvér, ktorý nepoužívate alebo ktorý je náchylný na adwarePre dôkladné čistenie mnoho sprievodcov odporúča Odinštalačný program Revo v rozšírenom režime na odstránenie zvyškov (priečinkov, kľúčov databázy Registry) potenciálne nežiaducich programov, ako je „DuvApp“ alebo rušivých „optimalizačných“ balíkov.

Potom spustite úplná kontrola pomocou programu Microsoft Defender a ak si myslíte, že je to vhodné, aj ďalší antivírusový program s overenou reputáciou. To pomáha odhaliť škodlivé knižnice DLL a naplánované úlohy, ktoré sa spoliehajú na rundll32. mlčky zotrvávať.

Pri profesionálnom čistení uvidíte zmienku o zálohách registrov (napr. pomocou DelFixu) a použití vlastné skripty s FRST (Farbar) na opravu politík, odstraňovanie úloh, odblokovanie používaných DLL atď. Tieto skripty sú prispôsobené každému tímuNepoužívajte cudzie veci, pretože by ste si mohli poškodiť Windows.

Medzi bežné akcie pre tieto skripty patrí resetovanie siete a brány firewall (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), blízke procesy, odstrániť priečinky en ProgramData/AppData prepojené s potenciálne nežiaducimi programami a vyčistiť naplánované úlohy, ktoré načítavajú knižnice DLL pomocou rundll32.exeOpäť: lepšie v rukách odborníkov.

Ak chcete minimalizovať budúce riziká, ponechajte systém Windows a svoje aplikácie vždy aktuálne, sťahujte softvér z oficiálnych stránok, zrušte používanie ďalších komponentov v „expresných“ inštaláciách a buďte podozrievaví voči akémukoľvek spustiteľnému súboru systému, ktorý sa zobrazuje mimo štandardné trasy.

Ďalšie indície o miestach a súvisiacich súboroch

Okrem System32 a SysWOW64 uvidíte aj súbory zdrojov MUI rundll32 v jazykových priečinkoch ako napríklad en-US o pl-PLNie sú spustiteľné, ale lokalizačné zdrojePozri „rundll32“ bez .exe v Prieskumníkovi môže byť spôsobené skryť rozšírenia zo známych súborov.

Exkluzívny obsah – kliknite sem Prehliadajte anonymne bez zanechania stopy

Ak sa podozrivý výskyt prestane zobrazovať a váš problém (napr. dvojitá vlnovka na klávesnici) zmizne, je to znamenie, že problematický kus bol inde a ako spúšťač som použil rundll32. Keď sa znova objaví, je čas pozrieť sa na úlohy, rozšírenia a pripojené knižnice DLL.

Kedy požiadať o pokročilú pomoc

Ak sa po vyčistení rozšírení, odinštalovaní potenciálne nežiaducich programov a spustení antimalvéru stále zobrazuje spustenie súboru rundll32 z zvláštne trasy, alebo si všimnete príznaky, ako je napríklad poškodená schránka, škodlivé skratky USB a „zmrzačená“ klávesnica, nenechávajte to tak: konzultácia so špecializovanou podporouČasto je potrebný opravný skript. zvyk pre váš tím, ktorý hrá registrácia, úlohy a zásady chirurgicky.

Pamätajte: každý počítač je svet sám o sebe. Skript navrhnutý pre iný počítač (s odkazmi na priečinky ako TreeCenter\BortValue alebo špecifické DLL) spustené na vašom počítači nechajte to nestabilnéPokročilé čistenie nie je kopírovanie a vkladanie, je individuálna diagnóza.

Často kladené otázky

Môžem odstrániť súbor rundll32.exe? Nie. Je to základná súčasť systému. Správny spôsob je odstrániť spúšťač (úlohu, program, knižnicu DLL), ktorý ju zneužíva.
Prečo existuje viacero prípadov? Pretože ho rôzne systémové funkcie a aplikácie tretích strán vyvolávajú paralelne. Viacero inštancií s nízkou spotrebou energie je normálne.
Kde by to malo byť? En C:\Windows\System32 Ja C:\Windows\SysWOW64, so súbormi MUI v jazykových podpriečinkoch. Mimo systému Windows buďte podozrievaví.
Nemôže to antivírus zistiť? Môže sa to stať, najmä v prípade potenciálne nežiaducich programov a advéru. Napriek tomu program Microsoft Defender a úplná kontrola zvyčajne identifikujú väčšinu zneužití a môžete ich doplniť iným renomovaným riešením.
Aké sú jednoznačné znaky niečoho zvláštneho? Cudzie cesty pre DLL (ProgramData, AppData), zvláštne reťazce v schránke, škodlivé skratky na USB, blokujúce vlnovky a naplánované úlohy, ktoré volajú rundll32.exe s obfuskovanými knižnicami DLL.

Stručne povedané, rundll32.exe je legitímny a potrebný nástroj ktorý môže byť svojou povahou zneužitý adware a trójskymi koňmi na spúšťanie nechcených DLL súborov. Predtým, ako obviníte spustiteľný súbor alebo ho odstránite, pozrite sa na cesta k inštancii, ktoré knižnice DLL sú načítané a kto ich spúšťa; odinštalujte potenciálne nežiaduce programy (PUP), vyčistite rozšírenia, skontrolujte naplánované úlohy a spustite dobrý antivírusový program. S týmito opatreniami a v prípade potreby aj prístupom k pokročilej podpore môžete riešenie zneužívania bez ohrozenia stability vášho Windowsu.

Daniel Terrasa

Redaktor špecializovaný na problematiku technológií a internetu s viac ako desaťročnými skúsenosťami v rôznych digitálnych médiách. Pracoval som ako redaktor a tvorca obsahu pre e-commerce, komunikáciu, online marketing a reklamné spoločnosti. Písal som aj na ekonomické, finančné a iné sektorové weby. Moja práca je zároveň mojou vášňou. Teraz prostredníctvom mojich článkov v Tecnobits, snažím sa každý deň preskúmať všetky novinky a nové možnosti, ktoré nám svet technológií ponúka na zlepšenie nášho života.