וואָס איז rundll32.exe און ווי אַזוי קען מען וויסן צי עס איז לעגיטימאַט אָדער אַ באַהאַלטענע מאַלוואַרע?

לעצטע דערהייַנטיקונג: 17/09/2025
מחבר: דניאל טעראַסאַ

  • Rundll32.exe איז לעגיטים: עס לאָודט DLL פונקציעס פֿאַר ווינדאָוז און אַפּפּס.
  • איר גילטיגע לאקאציע איז System32/SysWOW64; חוץ דעם, זייט פארדעכטיג.
  • מאַלווער קען זיך באַהאַלטן אָדער נוצן rundll32 צו עפֿענען DLLs.
  • ויסמעקט עס נישט: אידענטיפיצירט די שטערנדיקע אויפגאַבעס/DLLs און ניצט אַנטי-מאַלווער.
וואָס איז rundll32.exe

אויב איר האָט זיך געטראָפן rundll32.exe אין טאַסק מאַנאַדזשער און וואַנדערינג וואָס דאָס איז, זענט איר נישט אַליין: ​​דער עקסעקוטאַבאַל דערשיינט אָפט, מאל אין קייפל ינסטאַנסיז אין דער זעלביקער צייט. ווייט פון זיין אן איינדרינגלער דורך דיפאלט, איז טייל פון ווינדאָוס אַליין און זײַן צוועק איז צו לאָדן און אויספֿירן פֿונקציעס וואָס זענען געהאָוסטעט אין די-על-על טעקעס.

איצט, נאָר ווײַל עס איז לעגיטימאַט מיינט עס נישט אַז עס קען נישט גענוצט ווערן בייזוויליק. עטלעכע פּאָטענציעל אַנוואָנטעד פּראָגראַמען און מאַלוואַרע קאַמאַפלאַזשירן זיך מיט זייער נאָמען אָדער זיי נוצן אויס דעם עכטן rundll32 צו לאָנטשן בייזוויליקן קאָד.אין די פאלגנדע שורות, וועל איך אייך זאגן פונקטליך וואס עס איז, וואו עס זאל זיין, פארוואס עס קען ווייזן ערראָרס אדער פארנוצן די CPU, ווי אזוי צו אונטערשיידן צווישן גוט און שלעכט, און וואספארא טריט צו נעמען אן צו פארניכטן אייער סיסטעם.

וואָס איז rundll32.exe און וואָס ווערט עס גענוצט פֿאַר?

Rundll32.exe פּראָצעס וואָס עקסעקוטירט DLL

די טעקע rundll32.exe עס איז אַ געבוירענער ווינדאָוז קאָמפּאָנענט וואָס ווערט גענוצט צו רופן פונקציעס ארויס עקספארטירט פון דינאמישע לינק לייברעריז (DLLs)אין פּשוטן ענגליש: ווען די סיסטעם אָדער אַן אַפּ דאַרף אויספֿירן אַ פֿונקציע וואָס געפֿינט זיך אין אַ DLL, קען עס עס אָנרופֿן דורך rundll32.

DLLs פארשליסן בלאקס פון ווידער-ניצלעכן קאוד וואס אסאך פראגראמען טיילן, פון נעץ, אַודיאָ, ווידעאָ אָדער צובינד אויפֿגאַבן מיט וואָס איר אינטעראַקטירט. דעריבער, אין טיפּישע ווינדאָוס אינסטאַלאַציעס (7, 10, 11, אאז"וו) זענען דאָ טויזנטער DLLs, און rundll32 איז דער שליסל צו זיי אָרקעסטרירן.

וואו צו געפינען און ווי צו דערקענען א לעגיטימע קאפיע

אין אַ געזונטער סיסטעם וועט איר זען לעגיטימע קאָפּיעס פון rundll32.exe אויף רוטעס ווי C:\Windows\System32 (64-ביט סביבה) און C:\Windows\SysWOW64 (32-ביט קאָמפּאַטאַביליטי אויף x64 סיסטעמען). עס קען אויך זיין MUI טעקעס פון פֿאַרבונדענע שפּראַך רעסורסן אין סובפאָלדערס ווי en-US o pl-PL, למשל C:\Windows\System32\en-US\rundll32.exe.mui.

אויב איר טרעפט אים לויפן פון טעקעס אינדרויסן פון די ווינדאָוס דירעקטאָרי (למשל, אין AppData, ProgramData אדער א צייטווייליגע דירעקטארי), זייט פארזיכטיג. עס איז געוויינטלעך פאר מאלווער זיך צו באהאלטן מיטן זעלבן נאמען אבער לויפן פון אן אנדער לאקאציע צו אריינמישן זיך אין לעגיטימע פראצעדורן.

איז עס אַ ווירוס? ווי מאַלוואַרע נוצט עס אויס

די קורצע ענטפער: ניין. Rundll32.exe עס איז נישט קיין ווירוס, עס איז אַ ווינדאָוס' אייגענע געצייַגדער לאַנגער טערמין: עס זענען דאָ צוויי טיפּישע טראַפּס. ערשטנס, אַ בייזוויליקע פּראָגראַם מיטן זעלבן נאָמען געפינט זיך אין אַן אַנדערן דרך. צווייטנס, אַ טראָיאַן לאָודט זיין בייזוויליקע DLL דורך די עכטע rundll32, אַזוי דער פּראָצעס וואָס איר זעט איז מייקראָסאָפֿטס, אָבער לויפט אַ בייזוויליקע ביבליאָטעק.

ויסשליסיק אינהאַלט - דריקט דאָ  ווי אזוי צו וויסן אויב עמעצער שפּיאָנירט אויף מיין וואַטסאַפּ

אין דער געשיכטע פון ​​סכנות ווערן דערמאנט משפחות וואס ניצן rundll32, ווי צום ביישפיל באַקדאָר.W32.ראַנקי o W32.Miroot.Wormאון, מער וועלטלעכע, אדווער אדער אריינדרינגלעכע בלעטערער עקסטענשאַנז נוצן עס צו לאָנטשן טאַסקס וואָס ענדיגן אין פּאָפּ-אַפּס, רידערעקץ, און CPU באַניץדאָס איז איין סיבה פאַרוואָס פילע באַניצער גלויבן אַז rundll32 "איז אַ ווירוס."

  • אויב איר באַמערקט איבערפלוס פון אדווערטייזמענטס אדער אינטערסטיציעלע פֿענצטער, קען זײַן אַדווער וואָס פֿאַרלאָזט זיך אויף rundll32.
  • די רידערעקטס צו מאָדנע וועבסייטס און בראַוזער פאַרלאַנגזאַמונג פּאַסט אויך מיט PUPs/ספּיווער.
  • די סיסטעם קען צו ווערן פויל דורך פּראָצעסן וואָס טריגערן rundll32 מיט פארדעכטיקע DLLs.

פארוואס זע איך קייפל אינסטאַנצן און טעות מעלדונגען?

אז די טאַסק מאַנאַדזשער ווײַזט קייפל אינסטאַנסן דאָס איז נאָרמאַל: פֿאַרשידענע סיסטעם קאָמפּאָנענטן אָדער דריט-פּאַרטיי אַפּפּס קענען עס רופן אין דער זעלבער צייט. ווינדאָוז פֿאַרטיילט טאַסקס, און איר וועט זען עטלעכע rundll32s לויפן אין פּאַראַלעל דיפּענדינג אויף וואָס טוט זיך אין הינטערגרונט.

וואָס איז נישט נאָרמאַל איז צו זען קעסיידערדיקע CPU ספּייקס אָדער מעסעדזשעס ווי "טעות קאָד: rundll32.exe" בשעתן בלעטערן אין כראָום, עדזש, פייערפאָקס אדער אינטערנעט עקספלארער. אין די סצענאַרן איז ראַטזאַם צו כאָשעדיגן פּאָטענציעל אַנוואָנטעד פּראָגראַמען (PUPs), אַגרעסיווע עקסטענשאַנז אדער אַ טראָדזשאַן וואָס נוצט אויס דעם עקסעקוטאַבאַל צו לאָדן זיין DLL.

וואָס נישט צו טאָן: ויסמעקן rundll32.exe

עלימינירן rundll32.exe de סיסטעם32/סיסטעםוואו64 עס איז נישט קיין אָפּציע: עס איז אַ טעקע קריטיש פֿאַר ווינדאָוזעס אויסמעקן קען צעשטערן גרונטלעכע פונקציעס, פאראורזאכן קראכן, אדער פארמיידן די סיסטעם פון לאודן נויטיגע קאמפאנענטן.

אויב איר טראַכט אַז rundll32 טוט "עפּעס וואָס עס זאָל נישט טאָן," איז די קלוגע זאַך צו טאָן געפינט אויס וועלכער פּראָצעס אָדער אויפגאַבע רופט עס אָן און עס אויסשניידן: דיאַקטיווירן אָדער אויסמעקן די אויפגאַבע, אַראָפּנעמען די פּראָבלעמאַטישע פּראָגראַם, רייניקן די DLL, און פארשטארקן שוץ מיט אַ גוטן אַנטימאַלווער.

אומזעיקבארע מאַלוואַרע

ווי אזוי צו קאָנטראָלירן צי די אינסטאַנץ איז שלעכט

די טשעקס העלפן אייך אונטערשיידן לעגיטימע באנוץ פון בייזוויליקע באנוץ אָן צו פאַרשאַפן אַלאַרמיזם אָדער שעדיקן די סיסטעם. נאָך אַלץ, אויב איר פילט זיך נישט באַקוועם, איז בעסער צו בעטן הילף. צו אַ פּראָפעסיאָנעל אָדער אַ ספּעציאַליזירטע קהילה.

  • קאָנטראָליר די מאַרשרוטאין טאַסק מענעדזשער, לייג צו די "קאָמאַנד ליניע" קאָלום אָדער עפֿנט די "אייגנשאַפֿטן" פֿון דעם פּראָצעס. אויב rundll32.exe עס איז נישט אין C:\Windows\System32 o C:\Windows\SysWOW64, אַ שלעכט סימן.
  • טשעק וואָס די.על.על. לאָודט זיךrundll32 ווערט געווענליך נאכגעפאלגט דורך דעם דרך צו א DLL און אן עקספארטירטע פונקציע. וועגן ווי C:\ProgramData\... o C:\Users\...\AppData\... פארלאנגען איבערבליק. דער ביישפיל פון cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue איז קלאר פארדעכטיגט.
  • טשעק די אויפגאַבע סקעדזשולערזוכן פֿאַר לעצטע אויפֿגאַבעס אָדער אויפֿגאַבעס מיט פֿאַרשטעלטע נעמען וואָס רופֿן rundll32. לעגיטימע וועגן אונטער Microsoft קענען געניצט ווערן ווי פאַסאַדע צו לאָדן נישט ריכטיקע DLLs.
  • געשעט מייקראָסאָפֿט דיפענדער אדער א פארלעסלעכע אנטי-מאַלווער: א פולער סקען מיט אפ-טו-דייט חתימות וועט דעטעקטירן רוב PUPs, עדווער, ספייווער און טראָדזשאַנס וואָס זיך צובינדן צו rundll32.
  • אוידיט בראַוזער עקסטענשאַנזאַראָפּנעמען אַלץ וואָס איז נישט וויכטיק, ספּעציעל VPN פּראָקסי עקסטענשאַנז, דאַונלאָודערז, אָדער "אַנבלאָקערז" וואָס אָפט אַנטהאַלטן אַדס.
  • ניצן דיאַגנאָסטישע מכשירים ווי פּראָצעס עקספּלאָרער צו זען די עלטערן פּראָצעס (עלטערן פּראָצעס) וואָס רופט אָן rundll32 און די דיגיטאַלע אונטערשריפט פון דער עקסעקוטאַבאַל. מייקראָסאָפֿט'ס אונטערשרריפט אין System32/SysWOW64 איז עס נאָרמאַל; די מאָדנע זאַך איז סלאָץ אַרויס פון ווינדאָוז.
ויסשליסיק אינהאַלט - דריקט דאָ  ווי אזוי צו וויסן ווער עס האט צוטריט צו מיין פייסבוק פּראָפיל

רייניקונג און פאַרהיטונג מיטלען

דער ערשטער שיכט איז געזונטן שכל: אַראָפּנעמען ווייכווארג וואָס איר ניצט נישט אָדער וואָס איז פּראָנע צו אַדווערפֿאַר אַ גרינטלעכע רייניקונג, רעקאָמענדירן פילע גיידס רעוואָ אַנינסטאָלער אין אַוואַנסירטע מאָדע צו באַזייַטיקן רעשטלעך (פאָלדערס, רעגיסטרי שליסלען) פון PUPs ווי "DuvApp" אָדער אַרײַנדרינגלעכע "אָפּטימיזאַציע" סוויטס.

דערנאך, לויפט א פולער סקען מיט מייקראָסאָפֿט דיפענדער און, אויב איר מיינט אז ס'איז פאסיג, אן צוגאב אנטי-מאלווער מיט א באוויזענע רעפוטאציע. דאס העלפט אויפכאפן שלעכטע DLL'ס און געפלאנטע אויפגאבן וואס פארלאזן זיך אויף rundll32 צו שטילערהייט אָנהאַלטן.

אין פראפעסיאנעלע רייניקונג וועט איר זען דערמאָנונג פון רעגיסטרי באַקאַפּס (למשל מיט דעלפיקס) און די נוצן פון אייגענע סקריפּטן מיט FRST (Farbar) צו פאררעכטן פאליסיס, אויסמעקן אויפגאבעס, אויסבלאקן DLLs אין באנוץ, א.א.וו. יענע סקריפטן זענען צוגעפאסט צו יעדער מאַנשאַפֿטניצט נישט ווידער עמעצן אנדערש'ס ווייל איר קענט צוברעכן אייער ווינדאוס.

געוויינטלעכע אַקציעס פֿאַר די סקריפּטן אַרייַננעמען ריסעטינג די נעץ און פיירוואַל (ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), שליסן פּראָצעסן, אויסמעקן טעקעס en ProgramData/AppData פארבונדן צו PUPs און רייניקן אויס סקעדזשולד טאַסקס וואָס לאָדן DLLs ניצנדיק rundll32.exeנאכאמאל: בעסער אין עקספּערט הענט.

כדי צו מינימיזירן צוקונפטיגע ריזיקעס, האַלט Windows און אייערע אַפּפּס שטענדיק אַרויף-צו-דאַטע, אראָפּלאָדן ווייכווארג פֿון אָפֿיציעלע זייטלעך, אַראָפּנעמען דעם טשעק פֿון עקסטרע קאָמפּאָנענטן אין "עקספּרעס" אינסטאַלאַציעס און זײַן פֿאַרדעכטיק מיט יעדן סיסטעם עקסעקוטאַבאַל וואָס דערשיינט אַרויס פֿון נאָרמאַלע רוטעס.

מער אנווייזונגען וועגן לאקאציעס און פארבונדענע טעקעס

אין צוגאב צו System32 און SysWOW64, וועט איר זען רעסורס טעקעס MUI פון rundll32 אין שפּראַך טעקעס ווי en-US o pl-PLזיי זענען נישט אויספירבאר, אבער לאָקאַליזאַציע רעסורסןזעה "rundll32" אָן .exe אין דעם עקספּלאָרער קען זיין צוליב באַהאַלטן די עקסטענשאַנז פון באַקאַנטע טעקעס.

ויסשליסיק אינהאַלט - דריקט דאָ  באַטאַלפילד 6 סקאַם אַלערט: פאַלשע שפּילטעסטן אויף רעדדיט

אויב אַ פֿאַרדעכטיקע אינצידענט הערט אויף צו דערשייַנען און אייער פּראָבלעם (למשל, די טאָפּל טילדע אויף דער קלאַוויאַטור) פֿאַרשווינדט, איז עס אַ סימן אַז די פּראָבלעמאַטישע שטיק איז געווען אַנדערשוואו און גענוצט rundll32 אלס א לאָנטשער. ווען עס דערשיינט זיך ווידער, איז עס צייט צו קוקן אויף די טאַסקס, עקסטענשאַנז, און פארבונדענע DLLs.

ווען צו בעטן פאר פארגעשריטענע הילף

אויב, נאך רייניגן עקסטענשאַנז, אנינסטאלירן PUPs און לויפן אַנטימאַלווער, זעט איר נאך אלץ rundll32 געלאפן פון מאָדנע רוטעס, אדער איר באַמערקט סימפּטאָמען ווי אַ צעבראָכענע קליפּבאָרד, בייזע USB שאָרטקאַץ, און אַ "פאַרקריפּלטע" קלאַוויאַטור, לאָזט עס נישט: קאָנסולטאַציע מיט ספּעציאַליזירטער שטיצעא רעפּאַראַטור סקריפּט איז אָפט פארלאנגט מנהג פֿאַר דיין מאַנשאַפֿט וואָס שפּילט רעגיסטראַציע, אויפֿגאַבן און פּאָליטיקס כירורגיש.

געדענקט: יעדער קאָמפּיוטער איז אַ וועלט פֿאַר זיך. אַ סקריפּט וואָס איז דיזיינד פֿאַר אַן אַנדער מאַשין (מיט רעפֿערענצן צו טעקעס ווי TreeCenter\BortValue אדער ספעציפישע DLLs) אויסגעפירט אויף אייערער קען לאָז עס נישט סטאַביל. פארגעשריטענע רייניקונג איז נישט קאפירן-פייסטן, עס איז יחיד דיאַגנאָז.

אָפט געשטעלטע פֿראַגעס

  • קען איך אַראָפּנעמען rundll32.exe? ניין. עס איז א וויכטיגע קאמפאנענט פון די סיסטעם. דער ריכטיגער וועג איז צו באזייטיגן דעם טריגער (אויפגאבע, פראגראם, DLL) וואס ניצט עס נישט ריכטיק.
  • פארוואס זענען דא פארשידענע אקציעס? ווייל פארשידענע סיסטעם פונקציעס און דריט-פארטיי אפליקאציעס רופן עס אן אין פאראלעל. קייפל אינסטאַנצן, מיט נידריגן ענערגיע פארברויך, איז נארמאל.
  • וואו זאָל עס זײַן? En C:\Windows\System32 איך C:\Windows\SysWOW64, מיט זיינע MUI טעקעס אין שפּראַך אונטערפאָלדערס. אַרויס פון ווינדאָוז, זייט פארדעכטיגט.
  • קען אן אנטי-ווירוס עס נישט דעטעקטירן? דאָס קען פּאַסירן, ספּעציעל מיט PUPs און עדווער. נאָך אַלץ, מייקראָסאָפֿט דיפענדער און אַ פולער סקען ידענטיפיצירן געוויינטלעך רובֿ מיסברוכן, און איר קענט צולייגן אַן אַנדערער רעספּעקטירטער לייזונג.
  • וואָס זענען די אומבאַדינגטע סימנים פון עפּעס מאָדנע? פרעמדע וועגן פֿאַר די DLL (ProgramData, AppData), מאָדנע סטרינגס אין קליפּבאָרד, בייזע שאָרטקאַץ אויף USB, בלאָקירן טילדעס און סקעדזשולד טאַסקס וואָס רופן rundll32.exe מיט פארשוואַרצטע DLLs.

אין קורצן, rundll32.exe איז אַ לעגיטימע און נייטיקע געצייַג וואָס, לויט זײַן נאַטור, קען אויסגענוצט ווערן דורך אַדווער און טראָדזשאַנס צו לויפן אַנוואָנטעד DLLs. איידער איר באַשולדיקן דעם עקסעקוטאַבאַל אָדער עס אויסמעקן, קוקט אויף די אינסטאַנץ דרך, וועלכע DLLs ווערן געלאָדן און ווער רופט זיי אָן; אַראָפּנעמען PUPs, רייניקן עקסטענשאַנז, קאָנטראָלירן סקעדזשולד טאַסקס, און לויפן אַ גוטע אַנטי-מאַלווער פּראָגראַם. מיט די מיטלען, און דורך צוטריט צו אַוואַנסירטע שטיצע ווען נייטיק, קענט איר באַקעמפן זידלען אָן קאָמפּראָמיטירן סטאַביליטעט פון אייער ווינדאָוס.