Kaj je rundll32.exe, lokacije in znaki zlonamerne programske opreme

Rundll32.exe je legitimna datoteka: nalaga funkcije DLL za Windows in aplikacije.
Njegova veljavna lokacija je System32/SysWOW64; zunaj te lokacije bodite sumljivi.
Zlonamerna programska oprema se lahko prikrije ali uporabi rundll32 za zagon DLL-jev.
Ne izbrišite ga: poiščite sporne naloge/DLL-je in uporabite zaščito pred zlonamerno programsko opremo.

Če ste naleteli rundll32.exe v upravitelju opravil in se sprašujete, kaj za vraga je to, niste sami: ta izvedljiva datoteka se pogosto pojavlja, včasih v več primerih hkrati. Daleč od tega, da bi bil vsiljivec po privzetku, je del samega sistema Windows in njegov namen je nalaganje in izvajanje funkcij, ki se nahajajo v Datoteke DLL.

Samo zato, ker je nekaj legitimno, še ne pomeni, da ga ni mogoče zlonamerno uporabiti. Nekateri potencialno neželeni programi in zlonamerna programska oprema se prikrivajo s svojim imenom ali Izkoriščajo pravi rundll32 za zagon zlonamerne kode.V naslednjih vrsticah vam bom natančno povedal, kaj to je, kje bi moralo biti, zakaj lahko prikazuje napake ali porablja procesor, kako ločiti med dobrim in slabim ter katere korake morate sprejeti, ne da bi pri tem uničili svoj sistem.

Kaj je rundll32.exe in za kaj se uporablja?

Proces Rundll32.exe izvaja DLL

Datoteka rundll32.exe Gre za izvorno komponento sistema Windows, ki se uporablja za klicanje funkcij, izvoženih iz dinamičnih knjižnic povezav (DLL)Povedano preprosto: Ko mora sistem ali aplikacija izvesti funkcijo, ki se nahaja v DLL-ju, jo lahko pokliče prek rundll32.

Datoteke DLL vsebujejo bloke kode za večkratno uporabo, ki si jih delijo številni programi, od omrežne, avdio, video ali vmesniške naloge s katerim komunicirate. Zato je v tipičnih namestitvah sistema Windows (7, 10, 11 itd.) na tisoče DLL-jev, rundll32 pa je ključnega pomena za njihovo orkestriranje.

Kje najti in kako prepoznati legitimno kopijo

V zdravem sistemu boste videli legitimne kopije rundll32.exe na progah, kot so C:\Windows\System32 (64-bitno okolje) in C:\Windows\SysWOW64 (32-bitna združljivost v sistemih x64). Morda obstaja tudi Datoteke MUI povezanih jezikovnih virov v podmapah, kot so en-US o pl-PLNa primer C:\Windows\System32\en-US\rundll32.exe.mui.

Če ga najdete, kako beži od mape zunaj imenika Windows (npr. v AppData, ProgramData ali začasni imenik), bodite previdni. Zlonamerna programska oprema se pogosto prikrije z istim imenom, vendar se zažene z druge lokacije vmešavanje v legitimne procese.

Je to virus? Kako ga zlonamerna programska oprema izkorišča

Kratek odgovor: Ne. Rundll32.exe To ni virus, to je Windowsovo lastno orodjeDolgoročno gledano: obstajata dve tipični pasti. Prvič, zlonamerni program z istim imenom se nahaja na drugi poti. Drugič, trojanski konj naloži svojo zlonamerno knjižnico DLL prek pristne datoteke rundll32, zato je postopek, ki ga vidite, Microsoftov, vendar izvaja zlonamerno knjižnico.

Ekskluzivna vsebina - Kliknite tukaj Italija prepoveduje DeepSeek zaradi pomislekov glede zakonodaje o zasebnosti in podatkih

V zgodovini groženj so omenjene družine, ki uporabljajo rundll32, kot na primer Backdoor.W32.Ranky o W32.Miroot.ČrvIn bolj vsakdanje, oglaševalske ali vsiljive razširitve brskalnika ga uporabljajo za zagon opravil, ki končajo v Pojavna okna, preusmeritve in poraba procesorjaTo je eden od razlogov, zakaj mnogi uporabniki verjamejo, da je rundll32 »virus«.

Če opazite presežek oglasov ali vmesnih oknih, lahko pride do oglasne programske opreme, ki se zanaša na rundll32.
The preusmerja na čudne spletne strani in upočasnitev brskalnika se ujema tudi s potencialno neželenimi programi/vohunsko programsko opremo.
Sistem lahko postati len s procesi, ki sprožijo rundll32 s sumljivimi DLL-ji.

Zakaj vidim več primerkov in sporočil o napakah?

Da Upravitelj opravil prikazuje več primerkov To je normalno: različne sistemske komponente ali aplikacije drugih ponudnikov ga lahko hkrati pokličejo. Windows porazdeli naloge in videli boste več rundll32, ki se izvajajo vzporedno, odvisno od tega, kaj se dogaja v ozadju.

Kar ni normalno, so nenehni skoki v obremenitvi procesorja ali sporočila, kot so »Koda napake: rundll32.exe« med brskanjem v brskalnikih Chrome, Edge, Firefox ali IE. V teh primerih je priporočljivo sumiti potencialno neželeni programi (PUP), agresivne razširitve ali trojanski konj, ki izkorišča izvedljivo datoteko za nalaganje svoje DLL-datoteke.

Česa ne smete storiti: izbrišite datoteko rundll32.exe

Odpraviti rundll32.exe de System32/SysWOW64 To ni možnost: to je datoteka kritično za WindowsČe ga izbrišete, lahko pride do motenj osnovnih funkcij, zrušitev ali pa sistemu preprečite nalaganje potrebnih komponent.

Če menite, da rundll32 počne »nekaj, česar ne bi smel«, je smiselno, da to storite ugotovite, kateri proces ali naloga ga kliče in ga odpravite: onemogočite ali izbrišite nalogo, odstranite problematični program, očistite DLL in okrepite zaščito z dobro zaščito pred zlonamerno programsko opremo.

nevidna zlonamerna programska oprema

Kako preveriti, ali je primerek zlonameren

Ta preverjanja vam pomagajo ločiti legitimno uporabo od zlonamerne uporabe, ne da bi pri tem povzročali paniko ali poškodovali sistem. Kljub temu Če se ne počutite udobno, je bolje, da prosite za pomoč. strokovni ali specializirani skupnosti.

Preverite potV upravitelju opravil dodajte stolpec »Ukazna vrstica« ali odprite »Lastnosti« procesa. Če rundll32.exe Ni v C:\Windows\System32 o C:\Windows\SysWOW64, slab znak.
Preverite, kaj DLL se nalaga: rundll32 običajno sledi pot do DLL-ja in izvožene funkcije. Poti, kot so C:\ProgramData\... o C:\Users\...\AppData\... zahtevajo pregled. Primer cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue je očitno sumljivo.
Preverite Razporejevalnik opravil: Iskanje nedavnih opravil ali opravil z zakritimi imeni, ki kličejo rundll32. Legitimne poti v Microsoftu se lahko uporabijo kot fasada naložiti nepravilne DLL-je.
Zgodi se Microsoftov zaščitnik ali zanesljivo zaščito pred zlonamerno programsko opremo: popolno skeniranje z najnovejšimi podpisi bo zaznalo večino neželenih programov, oglaševalske programske opreme, vohunske programske opreme in trojanskih konjev, ki se pritrdijo na rundll32.
Revizija razširitve brskalnikaOdstranite vse, kar ni nujno, zlasti razširitve proxyja VPN, programe za prenos ali »odblokiranje«, ki pogosto vsebujejo oglase.
Uporabite diagnostična orodja, kot so Raziskovalec procesov videti nadrejeni proces (nadrejeni proces), ki pokliče rundll32 in digitalni podpis izvedljive datoteke. Microsoftov podpis V System32/SysWOW64 je to normalno; čudno je, da so reže zunaj sistema Windows.

Ekskluzivna vsebina - Kliknite tukaj Gesla za Telegram: Kaj so in kako aktivirati to novo metodo prijave

Čistilni in preventivni ukrepi

Prva plast je zdrav razum: Odstranite programsko opremo, ki je ne uporabljate ali je nagnjena k oglaševalski programski opremiZa temeljito čiščenje mnogi vodniki priporočajo Odstranjevalnik Revo v naprednem načinu za odstranitev ostankov (map, ključev registra) potencialno nevarnih programov, kot je »DuvApp« ali vsiljivih paketov »optimizacije«.

Nato zaženite popolno skeniranje z Microsoft Defenderjem in, če se vam zdi primerno, dodatno protizlonamerno programsko opremo z dokazanim ugledom. To pomaga pri iskanju zlonamernih DLL-jev in načrtovanih opravil, ki se zanašajo na rundll32. vztrajati tiho.

Pri profesionalnem čiščenju boste videli omembo varnostnih kopij registra (npr. z DelFixom) in uporabo skripti po meri s FRST (Farbar) za popravilo pravilnikov, brisanje opravil, odblokiranje uporabljenih DLL-jev itd. Te skripte so prilagojeno vsaki ekipiNe uporabljajte ponovno tujega materiala, ker lahko poškodujete svoj Windows.

Pogosta dejanja za te skripte vključujejo ponastavitev omrežja in požarnega zidu (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), zaprite procese, izbriši mape en ProgramData/AppData povezani s potencialno neželenimi programi in čiščenje načrtovanih opravil, ki nalagajo DLL-je z uporabo rundll32.exeŠe enkrat: bolje v rokah strokovnjaka.

Da bi zmanjšali prihodnja tveganja, ohranite sistem Windows in svoje aplikacije vedno posodobljeno, prenašajte programsko opremo z uradnih spletnih mest, odstranjujte dodatne komponente v »hitrih« namestitvah in bodite sumničavi do vseh izvedljivih sistemskih datotek, ki se pojavijo zunaj standardne poti.

Več namigov o lokacijah in povezanih datotekah

Poleg System32 in SysWOW64 boste videli tudi datoteke virov Večfunkcijski uporabniški vmesnik rundll32 v jezikovnih mapah, kot je en-US o pl-PLNiso izvršljivi, ampak viri za lokalizacijoGlejte »rundll32« brez .exe v Raziskovalcu je lahko posledica skrij razširitve iz znanih datotek.

Ekskluzivna vsebina - Kliknite tukaj Kako odkleniti Apple Watch, ki ga je zaklenil iCloud?

Če se sumljiv primerek neha pojavljati in je vaša težava (npr. dvojna tilda na tipkovnici) izgine, je to znak, da je bil problematični del drugje in uporabil rundll32 kot zaganjalnik. Ko se ponovno pojavi, je čas, da si ogledate naloge, razširitve in povezane DLL-je.

Kdaj prositi za napredno pomoč

Če po čiščenju razširitev, odstranitvi morebitnih programov in zagonu protizlonamerne programske opreme še vedno vidite, da se rundll32 zažene iz čudne poti, ali če opazite simptome, kot so spremenjeno odložišče, zlonamerne bližnjice na USB-ju in »pohabljena« tipkovnica, ga ne puščajte: posvetovanje s specializirano podporoPogosto je potreben skript za popravilo. po meri za vašo ekipo, ki igra registracija, naloge in pravilniki kirurško.

Ne pozabite: vsak računalnik je svet zase. Skript, zasnovan za drug računalnik (s sklici na mape, kot so TreeCenter\BortValue ali določene DLL-je), ki se izvajajo na vaši napravi pusti nestabilnoNapredno čiščenje ni kopiranje in lepljenje, ampak individualna diagnoza.

Pogosto zastavljena vprašanja

Ali lahko odstranim datoteko rundll32.exe? Ne. Je bistvena komponenta sistema. Pravilen način je odstraniti sprožilec (nalogo, program, DLL), ki jo zlorablja.
Zakaj obstaja več primerov? Ker ga različne sistemske funkcije in aplikacije tretjih oseb vzporedno zaprosijo. Več primerkov z nizko porabo energije je normalno.
Kje bi moralo biti? En C:\Windows\System32 Jaz C:\Windows\SysWOW64, z datotekami MUI v jezikovnih podmapah. Zunaj sistema Windows bodite sumničavi.
Ali ga antivirus ne more zaznati? To se lahko zgodi, zlasti pri morebitnih programih, ki povzročajo neželene programe, in oglaševalski programski opremi. Kljub temu Microsoft Defender in popolno skeniranje običajno odkrijeta večino zlorab, zato lahko program dopolnite z drugo ugledno rešitvijo.
Kateri so nedvoumni znaki nečesa nenavadnega? Tuje poti za DLL (ProgramData, AppData), čudni nizi v odložišču, zlonamerne bližnjice na USB-ju, blokiranje tild in načrtovana opravila, ki kličejo rundll32.exe z zakritimi DLL-ji.

Skratka, rundll32.exe je legitimno in potrebno orodje ki ga lahko po svoji naravi izkoristijo oglaševalska programska oprema in trojanski konji za zagon neželenih DLL-jev. Preden za to okrivite izvedljivo datoteko ali jo izbrišete, si oglejte pot primerka, katere DLL-je so naložene in kdo jih kliče; odstranite morebitne programske opreme, očistite razširitve, preverite načrtovana opravila in zaženite dober program proti zlonamerni programski opremi. S temi ukrepi in z dostopom do napredne podpore, kadar je to potrebno, lahko odpravljanje zlorab brez ogrožanja stabilnosti vašega sistema Windows.

Daniel Terrasa

Urednik, specializiran za tehnološka in internetna vprašanja, z več kot desetletnimi izkušnjami v različnih digitalnih medijih. Delal sem kot urednik in ustvarjalec vsebin za podjetja za e-trgovino, komunikacije, spletni marketing in oglaševanje. Pisal sem tudi na spletnih straneh s področja ekonomije, financ in drugih sektorjev. Moje delo je tudi moja strast. Zdaj pa skozi moje članke v Tecnobits, poskušam raziskati vse novosti in nove priložnosti, ki nam jih svet tehnologije ponuja vsak dan za izboljšanje našega življenja.