Когато влезете в компютъра си, може да се появи прозорец със съобщение за грешка с RunDll в заглавието, като се споменава име на DLL файл като следното:
Възникна проблем при стартиране на C:\Users\desktop\AppData\Local\Microsoft\Protect\protecthost.dll
Посоченият модул не можа да бъде намерен.
Въпреки че името на DLL и пътят на папката изглеждат законни в този пример, всъщност не е така. Зловреден софтуер е пуснал DLL файла там и е добавил запис за стартиране, така че DLL да се изпълнява при всяко стартиране. Съобщението „Посоченият модул не можа да бъде намерен.“ обикновено означава, че вашият антивирусен софтуер вече се е погрижил за проблемния модул, като го е изтрил или поставил под карантина. Сега всичко, което трябва да направите, е да премахнете записа от стартиране или планирана задача, откъдето и да се зарежда.
Диспечер на задачите – раздел Стартиране
Отворете диспечера на задачите и щракнете върху раздела Стартиране. Активирайте колоната на командния ред, като щракнете с десния бутон върху заглавката на колоната и активирате квадратчето за отметка „Команден ред“. Това показва пълния команден ред за всеки изброен стартов елемент. За да предотвратите показването на прозореца на съобщението за грешка при стартиране, щракнете с десния бутон върху съответния запис (rundll32) в списъка и щракнете върху Деактивиране.
Автоматично стартиране
Task Manager изброява записи за стартиране само от клавишите RunOnce/Run и папката Startup, но има няколко други точки за стартиране. По-добре е да се използва Автоматично стартиране за управление на стартиращи програми.
В Autoruns липсващите файлове са маркирани в жълто, което е лесен индикатор за намиране на записите rundll32. Можете да деактивирате или изтриете записите от там. Имайте предвид, че някои зловреден софтуер се зарежда като планирана задача вместо от стартиране. Може да се наложи допълнително да проверите записите в планировчика на задачи на трета страна. За да предотвратите случайно изтриване на вградени записи, добавени от Windows, уверете се, че сте активирали „Скриване на записи на Microsoft“ в менюто с опции за автоматично стартиране.
Какво е Rundll32.exe?
Rundll32.exe е валиден файл на Windows, който може да зареди DLL и да стартира определена функция за входна точка вътре в DLL файла. Проблемът не е rundll32.exe, а измамният DLL файл, който е изпуснат от злонамерен софтуер, и съответния запис при стартиране. За да научите повече за модула, можете да го потърсите в мрежата. В някои случаи имената на модули и местоположенията на папките съдържат произволни знаци и числа, какъвто е случаят с повечето записи при стартиране и планирани задачи, добавени от злонамерен софтуер.
След като премахнете записите, продължете със задълбочено сканиране с помощта на вашата антивирусна програма, както и с помощта на Malwarebytes Antimalware.
Една малка молба: Ако тази публикация ви е харесала, моля, споделете я?
Едно "малко" споделяне от вас сериозно би помогнало много за развитието на този блог. Някои страхотни предложения:- Закачете го!
- Споделете го с любимия си блог + Facebook, Reddit
- Twitter го!