Rundll32.exe nedir, konumları ve kötü amaçlı yazılım belirtileri

Rundll32.exe meşrudur: Windows ve uygulamalar için DLL işlevlerini yükler.
Geçerli konumu System32/SysWOW64'tür; bunun dışında şüphelenin.
Kötü amaçlı yazılımlar kendilerini gizleyebilir veya DLL'leri başlatmak için rundll32'yi kullanabilir.
Silmeyin: Sorunlu görevleri/DLL'leri belirleyin ve kötü amaçlı yazılımdan koruma yazılımı kullanın.

Eğer karşılaştıysanız rundll32.exe Görev Yöneticisi'nde bunun ne olduğunu merak ediyorsanız, yalnız değilsiniz: bu yürütülebilir dosya sıklıkla, hatta bazen aynı anda birden fazla örnekte beliriyor. Varsayılan olarak bir davetsiz misafir olmaktan uzak, Windows'un bir parçasıdır ve amacı, Windows'ta barındırılan işlevleri yüklemek ve yürütmektir. DLL dosyaları.

Şimdi, meşru olması kötü amaçlı kullanılamayacağı anlamına gelmez. Bazı potansiyel olarak istenmeyen programlar ve kötü amaçlı yazılımlar, adları veya Gerçek rundll32'yi kullanarak kötü amaçlı kod çalıştırırlar.Aşağıdaki satırlarda tam olarak ne olduğunu, nerede olması gerektiğini, neden hata verebileceğini veya CPU'yu neden tüketebileceğini, iyi ile kötüyü nasıl ayırt edeceğinizi ve sisteminizi mahvetmeden hangi adımları atmanız gerektiğini anlatacağım.

Rundll32.exe nedir ve ne için kullanılır?

Rundll32.exe işlemi DLL'yi çalıştırıyor

Dosya rundll32.exe Bu, Windows'un yerel bir bileşenidir ve şu amaçlarla kullanılır: dinamik bağlantı kitaplıklarından (DLL'ler) dışa aktarılan işlevleri çağırınBasitçe söylemek gerekirse: Sistem veya bir uygulama bir DLL'de bulunan bir fonksiyonu çalıştırması gerektiğinde, bunu rundll32 aracılığıyla çağırabilir.

DLL'ler, birçok programın paylaştığı yeniden kullanılabilir kod bloklarını kapsüller; ağ, ses, video veya arayüz görevleri etkileşimde bulunduğunuz şeydir. Bu nedenle, tipik Windows kurulumlarında (7, 10, 11 vb.) binlerce DLL bulunur ve rundll32 bunları düzenlemenin anahtarıdır.

Yasal bir kopyanın nerede bulunacağı ve nasıl tanınacağı

Sağlıklı bir sistemde meşru kopyalarını göreceksiniz rundll32.exe güzergahlarda gibi C:\Windows\System32 (64 bit ortam) ve C:\Windows\SysWOW64 (x32 sistemlerde 64 bit uyumluluğu). Ayrıca şunlar da olabilir: MUI dosyaları alt klasörlerdeki ilişkili dil kaynaklarının en-US o pl-PL, Örneğin C:\Windows\System32\en-US\rundll32.exe.mui.

Eğer onu kaçarken bulursanız Windows dizini dışındaki klasörler (örneğin, içinde AppData, ProgramData (veya geçici bir dizin) dikkatli olun. Kötü amaçlı yazılımların aynı adı kullanarak kendini gizlemesi ancak başka bir konumdan çalışması yaygındır. meşru süreçlere müdahale etmek.

Bu bir virüs mü? Kötü amaçlı yazılımlar bunu nasıl kullanıyor?

Kısa cevap: HAYIR. Rundll32.exe Bu bir virüs değil, bir Windows'un kendi aracıUzun vadede iki tipik tuzak vardır. Birincisi, aynı ada sahip kötü amaçlı bir program farklı bir yolda bulunur. İkincisi, bir Truva atı, kötü amaçlı DLL'sini gerçek rundll32 aracılığıyla yükler, yani gördüğünüz işlem Microsoft'a aittir, ancak kötü amaçlı bir kütüphane çalıştırıyor.

Özel içerik - Buraya Tıklayın Signal Houseparty'de mesajların otomatik olarak silinmesi seçeneği var mı?

Tehdit geçmişinde, rundll32 kullanan aileler belirtiliyor, örneğin: Arka kapı.W32.Ranky o W32.Miroot.WormVe daha sıradan, reklam yazılımları veya müdahaleci tarayıcı uzantıları, bunu, Açılır pencereler, yönlendirmeler ve CPU kullanımıİşte bu yüzden birçok kullanıcı rundll32'nin "bir virüs" olduğuna inanıyor.

Eğer fark ederseniz aşırı reklam veya ara pencerelerde rundll32'ye güvenen bir reklam yazılımı olabilir.
O garip web sitelerine yönlendiriyor ve tarayıcının yavaşlaması PUP'lar/casus yazılımlarla da örtüşüyor.
Sistem yapabilir tembelleşmek şüpheli DLL'lerle rundll32'yi tetikleyen işlemler tarafından.

Neden birden fazla örnek ve hata mesajı görüyorum?

O Görev Yöneticisi birden fazla örneği gösterir Bu normaldir: Farklı sistem bileşenleri veya üçüncü taraf uygulamalar aynı anda bunu başlatabilir. Windows görevleri dağıtır ve arka planda neler olup bittiğine bağlı olarak paralel olarak çalışan birkaç rundll32 dosyası görürsünüz.

Normal olmayan şey, CPU'da sürekli artışlar veya şu tür mesajlar görmektir: "Hata kodu: rundll32.exe" Chrome, Edge, Firefox veya IE'de gezinirken. Bu senaryolarda şüphelenmek tavsiye edilir. potansiyel olarak istenmeyen programlar (PUP'lar), saldırgan uzantılar veya çalıştırılabilir dosyayı DLL'sini yüklemek için kullanan bir Truva atı.

Yapılmaması gerekenler: rundll32.exe'yi silin

Elemek rundll32.exe de System32/SysWOW64 Bu bir seçenek değil: bu bir dosya Windows için kritikSilinmesi temel işlevlerin bozulmasına, çökmelere neden olabilir veya sistemin gerekli bileşenleri yüklemesini engelleyebilir.

Eğer rundll32'nin "yapmaması gereken bir şey" yaptığını düşünüyorsanız, yapmanız gereken mantıklı şey şudur: hangi sürecin veya görevin onu çağırdığını bulun ve kesin: görevi devre dışı bırakın veya silin, sorunlu programı kaldırın, DLL'yi temizleyin ve iyi bir kötü amaçlı yazılım önleme yazılımıyla korumayı güçlendirin.

görünmez kötü amaçlı yazılım

Örneğin kötü amaçlı olup olmadığı nasıl kontrol edilir

Bu kontroller, alarm zilleri çalmadan veya sisteme zarar vermeden meşru kullanımı kötü amaçlı kullanımdan ayırt etmenize yardımcı olur. Kendinizi rahat hissetmiyorsanız yardım istemeniz daha iyi olur. profesyonel veya uzmanlaşmış bir topluluğa.

Rotayı kontrol edinGörev Yöneticisi'nde "Komut Satırı" sütununu ekleyin veya işlemin "Özellikler"ini açın. rundll32.exe Bu, içinde değil. C:\Windows\System32 o C:\Windows\SysWOW64Bu kötü bir işaret.
Neleri kontrol et DLL yükleniyor: rundll32'yi genellikle bir DLL'ye giden yol ve dışa aktarılan bir fonksiyon izler. C:\ProgramData\... o C:\Users\...\AppData\... inceleme gerektirir. Örnek olarak cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue açıkça şüphelidir.
Kontrol edin Görev zamanlayıcı: Rundll32'yi çağıran son görevleri veya belirsiz adlara sahip görevleri arayın. Microsoft'taki meşru yollar şu şekilde kullanılabilir: cephe uygunsuz DLL'leri yüklemek için.
Oluyor Microsoft Defender veya güvenilir bir anti-malware: güncel imzalarla yapılan tam bir tarama, rundll32'ye bağlanan çoğu PUP, reklam yazılımı, casus yazılım ve Truva atını tespit edecektir.
Denetim tarayıcı uzantıları: Özellikle VPN proxy uzantıları, indiriciler veya genellikle reklam içeren "engel kaldırıcılar" olmak üzere, gerekli olmayan her şeyi kaldırın.
Teşhis araçlarını kullanın, örneğin: Süreç Gezgini görmek için ebeveyn süreci (üst işlem) rundll32'yi ve yürütülebilir dosyanın dijital imzasını çağırır. Microsoft'un imzası System32/SysWOW64'te bu normaldir; garip olan şey Windows dışındaki yuvalardır.

Özel içerik - Buraya Tıklayın Kaspersky Antivirus tüm işletim sistemleriyle uyumlu mu?

Temizlik ve önleme tedbirleri

Birinci katman sağduyudur: Kullanmadığınız veya reklam yazılımına eğilimli yazılımları kaldırınKapsamlı bir temizlik için birçok rehber şunu öneriyor: Revo Kaldırıcı “DuvApp” veya müdahaleci “optimizasyon” paketleri gibi PUP'ların kalıntılarını (klasörler, kayıt defteri anahtarları) kaldırmak için gelişmiş modda.

Daha sonra bir Microsoft Defender ile tam tarama ve uygun olduğunu düşünüyorsanız, kanıtlanmış bir itibara sahip ek bir kötü amaçlı yazılım önleme yazılımı. Bu, rundll32'ye dayanan kötü amaçlı DLL'leri ve zamanlanmış görevleri avlamaya yardımcı olur. sessizce ısrar etmek.

Profesyonel temizlikte kayıt defteri yedeklerinden (örneğin DelFix ile) ve kullanımından bahsedildiğini göreceksiniz. özel komut dosyaları FRST (Farbar) ile politikaları onarmak, görevleri silmek, kullanımda olan DLL'lerin engelini kaldırmak vb. için. Bu betikler her takıma özel:Başkasının camlarını tekrar kullanmayın, camlarınız kırılabilir.

Bu betikler için yaygın eylemler arasında ağın ve güvenlik duvarının sıfırlanması yer alır (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), yakın süreçler, klasörleri sil en ProgramData/AppData PUP'lara bağlanın ve DLL'leri yükleyen zamanlanmış görevleri temizleyin rundll32.exeTekrar ediyorum: Uzman ellerde daha iyi.

Gelecekteki riskleri en aza indirmek için Windows'u ve uygulamalarınızı açık tutun her zaman güncel, resmi sitelerden yazılım indirin, "hızlı" kurulumlardaki ekstra bileşenlerin işaretini kaldırın ve sistem dışında görünen herhangi bir sistem yürütülebilir dosyasından şüphelenin standart rotalar.

Konumlar ve ilgili dosyalar hakkında daha fazla ipucu

System32 ve SysWOW64'e ek olarak kaynak dosyalarını da göreceksiniz MUI rundll32'nin dil klasörlerinde olduğu gibi en-US o pl-PLBunlar çalıştırılabilir değil, ancak yerelleştirme kaynakları. “rundll32”yi görün .exe Explorer'da bunun nedeni şu olabilir: uzantıları gizle bilinen dosyalardan.

Özel içerik - Buraya Tıklayın Teknik bilgiye sahip olmadan AdGuard Home nasıl kurulur?

Şüpheli bir örnek artık görünmüyorsa ve sorununuz (örn. çift tilde klavyede) kaybolursa, sorunlu parçanın kaybolduğunun bir işaretidir. başka yerlerde ve başlatıcı olarak rundll32'yi kullandım. Tekrar göründüğünde, görevlere, uzantılara ve bağlı DLL'lere bakmanın zamanı geldi.

Gelişmiş yardım istemenin zamanı

Uzantıları temizledikten, PUP'ları kaldırdıktan ve kötü amaçlı yazılımdan koruma yazılımını çalıştırdıktan sonra, rundll32'nin hala başlatıldığını görüyorsanız garip rotalar, veya bozulmuş bir pano, kötü amaçlı USB kısayolları ve "sakatlanmış" bir klavye gibi belirtiler fark ederseniz, bırakmayın: uzman desteğiyle danışmanlık. Bir onarım betiği genellikle gereklidir gelenek oynayan takımınız için kayıt, görevler ve politikalar cerrahi olarak.

Unutmayın: Her bilgisayar kendi başına bir dünyadır. Başka bir makine için tasarlanmış bir betik (örneğin klasörlere referanslarla) TreeCenter\BortValue veya sizinkinde çalıştırılan belirli DLL'ler) dengesiz bırakınGelişmiş temizlik kopyala-yapıştır değildir, bireysel teşhis.

Sıkça Sorulan Sorular

Rundll32.exe'yi kaldırabilir miyim? Hayır. Sistemin temel bir bileşenidir. Doğru yol, onu kötüye kullanan tetikleyiciyi (görev, program, DLL) kaldırmaktır.
Neden birden fazla örnek var? Çünkü farklı sistem fonksiyonları ve üçüncü taraf uygulamalar bunu paralel olarak çağırır. Düşük güç tüketimiyle birden fazla örnek normaldir.
Nerede olmalı? En C:\Windows\System32 BEN C:\Windows\SysWOW64, dil alt klasörlerindeki MUI dosyalarıyla birlikte. Windows dışında şüpheci olun.
Bir antivirüs bunu tespit edemez mi? Özellikle PUP'lar ve reklam yazılımları söz konusu olduğunda bu durum yaşanabilir. Yine de, Microsoft Defender ve kapsamlı bir tarama genellikle çoğu kötüye kullanımı tespit eder ve güvenilir başka bir çözümle destekleyebilirsiniz.
Garip bir şeyin açık belirtileri nelerdir? DLL için yabancı yollar (ProgramData, AppData), panodaki garip dizeler, USB'deki kötü amaçlı kısayollar, engellenen tildalar ve zamanlanmış görevler rundll32.exe gizlenmiş DLL'lerle.

Özetle, rundll32.exe meşru ve gerekli bir araçtır Yapısı gereği, istenmeyen DLL'leri çalıştırmak için reklam yazılımları ve Truva atları tarafından kullanılabilir. Yürütülebilir dosyayı suçlamadan veya silmeden önce, örnek yoluHangi DLL'lerin yüklendiğini ve bunları kimin çağırdığını kontrol edin; PUP'ları kaldırın, uzantıları temizleyin, zamanlanmış görevleri kontrol edin ve iyi bir kötü amaçlı yazılım önleme programı çalıştırın. Bu önlemlerle ve gerektiğinde gelişmiş desteğe erişerek, istikrarı tehlikeye atmadan suistimallerle mücadele etmek Windows'unuzun.

Daniel Terrasa

Farklı dijital mecralarda on yıldan fazla deneyime sahip, teknoloji ve internet konularında uzmanlaşmış editör. E-ticaret, iletişim, online pazarlama ve reklam şirketlerinde editör ve içerik yaratıcısı olarak çalıştım. Ekonomi, finans ve diğer sektörlerin internet sitelerinde de yazılar yazdım. İşim aynı zamanda tutkumdur. Artık makalelerim aracılığıyla Tecnobits, Hayatlarımızı iyileştirmek için teknoloji dünyasının bize her gün sunduğu tüm haberleri ve yeni fırsatları keşfetmeye çalışıyorum.