Rundll32.exe nima va u qonuniy yoki yashirin zararli dastur ekanligini qanday aniqlash mumkin?

Agar duch kelgan bo'lsangiz rundll32.exe Vazifa menejerida va bu nima ekanligini bilmoqchi bo'lsangiz, siz yolg'iz emassiz: bu bajariladigan fayl tez-tez, ba'zan bir vaqtning o'zida bir nechta hollarda paydo bo'ladi. Odatiy ravishda buzg'unchi bo'lishdan yiroq, Windows tizimining bir qismi bo'lib, uning maqsadi joylashtirilgan funktsiyalarni yuklash va bajarishdir DLL fayllari.

Endi, bu qonuniy bo'lgani uchun, uni yomon maqsadda ishlatish mumkin emas degani emas. Ba'zi potentsial kiruvchi dasturlar va zararli dasturlar o'zlarining nomlari yoki Ular zararli kodni ishga tushirish uchun haqiqiy rundll32 dan foydalanadilar.Quyidagi satrlarda men sizga aynan nima ekanligini, qaerda bo'lishi kerakligini, nima uchun xatoliklarni ko'rsatishi yoki protsessorni iste'mol qilishi, yaxshi va yomonni qanday ajratish va tizimingizni buzmasdan qanday choralar ko'rish kerakligini aytib beraman.

Rundll32.exe nima va u nima uchun ishlatiladi?

Fayl rundll32.exe Bu odatiy Windows komponentidir dinamik havola kutubxonalaridan (DLL) eksport qilingan funksiyalarni chaqirish. Oddiy ingliz tilida: Tizim yoki ilova DLL-da joylashgan funktsiyani bajarishi kerak bo'lganda, uni rundll32 orqali chaqirishi mumkin.

DLL-lar ko'plab dasturlar baham ko'radigan qayta ishlatiladigan kod bloklarini qamrab oladi tarmoq, audio, video yoki interfeys vazifalari qaysi bilan o'zaro aloqadasiz. Shuning uchun odatiy Windows o'rnatishlarida (7, 10, 11 va boshqalar) minglab DLL-lar mavjud va rundll32 ularni tartibga solish uchun kalit hisoblanadi.

Qaerda topish va qonuniy nusxasini qanday tanib olish mumkin

Sog'lom tizimda siz qonuniy nusxalarini ko'rasiz rundll32.exe kabi yo'nalishlarda C:\Windows\System32 (64-bitli muhit) va C:\Windows\SysWOW64 (x32 tizimlarida 64-bitli moslik). Bo'lishi ham mumkin MUI fayllari kabi pastki jildlardagi bog'langan til resurslarining en-US o pl-PLMasalan, C:\Windows\System32\en-US\rundll32.exe.mui.

Agar siz uni qochib ketayotganini ko'rsangiz Windows katalogidan tashqaridagi papkalar (masalan, in AppData, ProgramData yoki vaqtinchalik katalog), ehtiyot bo'ling. Zararli dastur bir xil nom yordamida o'zini yashirishi, lekin boshqa joydan ishga tushishi odatiy holdir qonuniy jarayonlarga aralashish.

Bu virusmi? Zararli dastur undan qanday foydalanadi

Qisqa javob: Yo'q. Rundll32.exe Bu virus emas, bu Windows-ning o'ziga xos vositasiUzoq muddatli: ikkita odatiy tuzoq mavjud. Birinchisi, xuddi shu nomdagi zararli dastur boshqa yo'lda joylashgan. Ikkinchidan, troyan o'zining zararli DLL-ni haqiqiy rundll32 orqali yuklaydi, shuning uchun siz ko'rib turgan jarayon Microsoftniki, lekin zararli kutubxona ishlamoqda.

Tahdidlar tarixida rundll32 dan foydalanadigan oilalar qayd etilgan, masalan Orqa eshik.W32.Ranky o W32.Miroot.Worm. Va oddiyroq, reklama dasturlari yoki intruziv brauzer kengaytmalari undan yakuniy vazifalarni boshlash uchun foydalanadi Qalqib chiquvchi oynalar, qayta yo'naltirishlar va protsessordan foydalanish. Ko'p foydalanuvchilar rundll32 "virus" deb hisoblashining sabablaridan biri shu.

• Agar sezsangiz ortiqcha reklama yoki interstitsial oynalarda, rundll32-ga tayanadigan reklama dasturlari bo'lishi mumkin.
• The g'alati veb-saytlarga yo'naltiradi va brauzerning sekinlashishi PUP/josus dasturlarga ham mos keladi.
• Tizim mumkin dangasa bo'lmoq shubhali DLL fayllari bilan rundll32 ni ishga tushiradigan jarayonlar orqali.

Nega men bir nechta misollar va xato xabarlarini ko'raman?

Bu Vazifa menejeri bir nechta misollarni ko'rsatadi Bu normal holat: turli tizim komponentlari yoki uchinchi tomon ilovalari uni bir vaqtning o'zida chaqirishi mumkin. Windows vazifalarni taqsimlaydi va siz fonda nima sodir bo'layotganiga qarab parallel ravishda ishlaydigan bir nechta rundll32-ni ko'rasiz.

Oddiy bo'lmagan narsa protsessorning doimiy ko'tarilishi yoki shunga o'xshash xabarlarni ko'rishdir “Xato kodi: rundll32.exe” Chrome, Edge, Firefox yoki IE-ni ko'rayotganda. Bunday stsenariylarda shubha qilish tavsiya etiladi potentsial kiruvchi dasturlar (PUP), agressiv kengaytmalar yoki DLL-ni yuklash uchun bajariladigan fayldan foydalanadigan troyan.

Nima qilmaslik kerak: rundll32.exe faylini o'chirib tashlang

Yo'q qilish rundll32.exe de System32/SysWOW64 Bu variant emas: bu fayl Windows uchun juda muhimUni o'chirish asosiy funktsiyalarni buzishi, ishdan chiqishiga olib kelishi yoki tizimga kerakli komponentlarni yuklashning oldini olishi mumkin.

Agar siz rundll32 "qilishi kerak bo'lmagan ishni" qilyapti deb o'ylasangiz, mantiqiy narsa qilish kerak. qaysi jarayon yoki vazifa uni chaqirayotganini aniqlang va uni kesib tashlang: vazifani o'chiring yoki o'chiring, muammoli dasturni o'chiring, DLL-ni tozalang va yaxshi antimalware bilan himoyani kuchaytiring.

Misolning zararli ekanligini qanday tekshirish mumkin

Ushbu tekshiruvlar sizni tashvishga solmasdan yoki tizimga zarar yetkazmasdan qonuniy foydalanishni zararli foydalanishdan farqlashga yordam beradi. Shunga qaramay, Agar o'zingizni qulay his qilmasangiz, yordam so'rash yaxshidir. professional yoki ixtisoslashgan jamoaga.

• Yo'nalishni tekshiring: Vazifa menejerida "Buyruqlar qatori" ustunini qo'shing yoki jarayonning "Xususiyatlar" ni oching. Agar rundll32.exe Bu ichkarida emas C:\Windows\System32 o C:\Windows\SysWOW64, yomon belgi.
• Nimani tekshiring DLL yuklanmoqda: rundll32 dan keyin odatda DLL va eksport funksiyasiga yo'l keladi. Yo'llar kabi C:\ProgramData\... o C:\Users\...\AppData\... ko'rib chiqishni talab qiladi. ning misoli cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue shubhali ekanligi aniq.
• Tekshiring Vazifa rejalashtiruvchisi: rundll32 deb nomlanuvchi so'nggi vazifalarni yoki nomlari tushunarsiz bo'lgan vazifalarni qidiring. Microsoft ostida qonuniy yo'llar sifatida foydalanish mumkin fasad noto'g'ri DLL-larni yuklash uchun.
• Sodir bo'ladi Microsoft himoyachisi yoki ishonchli anti-malware: eng yangi imzolar bilan to'liq skanerlash ko'pchilik PUP, reklama dasturlari, josuslik dasturlari va rundll32-ga biriktirilgan troyanlarni aniqlaydi.
• Audit brauzer kengaytmalari: Muhim boʻlmagan barcha narsalarni, ayniqsa VPN proksi kengaytmalarini, yuklab oluvchilarni yoki koʻpincha reklamalarni oʻz ichiga olgan “blokdan chiqaruvchilarni” oʻchirib tashlang.
• Diagnostika vositalaridan foydalaning, masalan Jarayonlar tadqiqotchisi ko'rish uchun ota-ona jarayoni rundll32 va bajariladigan faylning raqamli imzosini chaqiradigan (ota-ona jarayoni). Microsoft imzosi System32/SysWOW64 da bu normal; g'alati narsa Windows tashqari uyalar.

Tozalash va oldini olish choralari

Birinchi qatlam sog'lom fikrdir: Siz foydalanmaydigan yoki reklama dasturlariga moyil bo'lgan dasturlarni o'chirib tashlang. To'liq tozalash uchun ko'plab qo'llanmalar tavsiya qiladi Revo o'chiruvchisi "DuvApp" yoki intruziv "optimallashtirish" to'plamlari kabi PUP qoldiqlarini (papkalar, ro'yxatga olish kitobi kalitlari) olib tashlash uchun rivojlangan rejimda.

Keyin a.ni ishga tushiring Microsoft Defender bilan to'liq skanerlash va agar siz buni o'rinli deb hisoblasangiz, tasdiqlangan obro'ga ega qo'shimcha anti-malware. Bu zararli DLL-larni va rundll32-ga tayanadigan rejalashtirilgan vazifalarni qidirishga yordam beradi jimgina davom eting.

Professional tozalashda siz ro'yxatga olish kitobining zaxira nusxalari (masalan, DelFix bilan) va ulardan foydalanish haqida eslatib o'tasiz. maxsus skriptlar FRST (Farbar) bilan siyosatlarni tuzatish, vazifalarni o'chirish, foydalanilayotgan DLL-larni blokdan chiqarish va hokazo. Bu skriptlar har bir jamoaga moslashtirilgan: Birovnikini qayta ishlatmang, chunki siz Windows-ni buzishingiz mumkin.

Ushbu skriptlar uchun umumiy harakatlar tarmoq va xavfsizlik devorini qayta o'rnatishni o'z ichiga oladi (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), jarayonlarni yopish, papkalarni o'chirish en ProgramData/AppData PUP-larga bog'langan va DLL-larni yuklaydigan rejalashtirilgan vazifalarni tozalash rundll32.exe. Yana: mutaxassislar qo'lida yaxshiroq.

Kelajakdagi xavflarni minimallashtirish uchun Windows va ilovalaringizni saqlang har doim yangilangan, rasmiy saytlardan dasturiy ta'minotni yuklab oling, "ekspress" o'rnatishlarda qo'shimcha komponentlar belgisini olib tashlang va tizimdan tashqarida paydo bo'ladigan har qanday bajariladigan tizimga shubha bilan qaramang. standart yo'nalishlar.

Joylar va tegishli fayllar haqida ko'proq ma'lumot

System32 va SysWOW64 ga qo'shimcha ravishda siz manba fayllarini ko'rasiz MUI kabi til papkalarida rundll32 en-US o pl-PL. Ular bajarilmaydi, lekin mahalliylashtirish resurslari. "Rundll32" ga qarang .exe Explorerda tufayli bo'lishi mumkin kengaytmalarni yashirish ma'lum fayllardan.

Agar shubhali misol paydo bo'lishi to'xtasa va muammoingiz (masalan, qo'shaloq tilda klaviaturada) yo'qoladi, bu muammoli qism bo'lganligining belgisidir boshqa joyda ishga tushirgich sifatida rundll32 dan foydalanilgan. U yana paydo bo'lganda, vazifalar, kengaytmalar va ulangan DLL-larni ko'rib chiqish vaqti keldi.

Ilg'or yordam so'rash qachon

Agar kengaytmalarni tozalash, PUP-larni o'chirish va antimalware-ni ishga tushirishdan so'ng, siz hali ham rundll32-ni ishga tushirganingizni ko'rasiz. g'alati yo'llar, yoki o‘zgartirilgan almashish xotirasi, zararli USB yorliqlari va “cho‘loq” klaviatura kabi alomatlarni sezsangiz, uni qoldirmang: ixtisoslashgan yordam bilan maslahatlashish. Ko'pincha ta'mirlash skripti talab qilinadi maxsus o'ynaydigan jamoangiz uchun ro'yxatga olish, vazifalar va siyosatlar jarrohlik yo'li bilan.

Esingizda bo'lsin: har bir kompyuter o'ziga xos dunyo. Boshqa mashina uchun mo'ljallangan skript (kabi papkalarga havolalar bilan TreeCenter\BortValue yoki o'zingizda bajarilgan maxsus DLL) mumkin uni beqaror qoldiring. Kengaytirilgan tozalash nusxa ko'chirish-joylashtirish emas, balki shunday individual tashxis.

Tez-tez so'raladigan savollar

• rundll32.exe ni o'chirib tashlasam bo'ladimi? Yo'q. Bu tizimning muhim komponenti. To'g'ri yo'l - uni noto'g'ri ishlatadigan triggerni (vazifa, dastur, DLL) olib tashlash.
• Nima uchun bir nechta holatlar mavjud? Chunki turli xil tizim funktsiyalari va uchinchi tomon ilovalari uni parallel ravishda chaqiradi. Kam quvvat sarfi bilan bir nechta misollar normaldir.
• Qayerda bo'lishi kerak? En C:\Windows\System32 Men C:\Windows\SysWOW64, til pastki papkalarida MUI fayllari bilan. Windows tashqarisida, shubhali bo'ling.
• Antivirus uni aniqlay olmaydimi? Bu, ayniqsa, PUP va reklama dasturlari bilan sodir bo'lishi mumkin. Shunga qaramay, Microsoft Defender va to'liq skanerlash odatda ko'pchilik suiiste'mollarni aniqlaydi va siz boshqa nufuzli yechim bilan to'ldirishingiz mumkin.
• G'alati narsaning aniq belgilari qanday? DLL uchun xorijiy yo'llar (ProgramData, AppData), almashish buferidagi g'alati satrlar, USB-dagi zararli yorliqlar, tildalarni bloklash va qo'ng'iroq qiluvchi rejalashtirilgan vazifalar rundll32.exe noaniq DLL bilan.

Qisqa bayoni; yakunida, rundll32.exe qonuniy va zarur vositadir Bu o'z tabiatiga ko'ra, kiruvchi DLL-larni ishga tushirish uchun reklama dasturlari va troyanlar tomonidan ishlatilishi mumkin. Bajariladigan faylni ayblash yoki uni o'chirishdan oldin, ga qarang misol yo'li, qaysi DLL-lar yuklangan va ularni kim chaqirmoqda; PUP-larni o'chiring, kengaytmalarni tozalang, rejalashtirilgan vazifalarni tekshiring va zararli dasturlarga qarshi yaxshi dasturni ishga tushiring. Ushbu chora-tadbirlar bilan va kerak bo'lganda ilg'or yordamga kirishingiz mumkin barqarorlikni buzmasdan suiiste'mollarga qarshi kurashish Windows-ning.