Τι είναι η διαδικασία Rundll32.exe; Είναι κακόβουλο λογισμικό;

MiscellaneaDec 20, 2021
click fraud protection

Όταν ανοίγετε τη Διαχείριση εργασιών, ενδέχεται να δείτε την καταχώρηση Rundll32.exe στην καρτέλα Διεργασίες. Ή, μπορεί επίσης να συναντήσετε ένα Σφάλμα rundll32.exe σε κάθε εκκίνηση ή κατά τη διάρκεια της διακοπής λειτουργίας. Πολλοί χρήστες αναρωτιούνται εάν το rundll32.exe είναι ιός. Εάν όχι, τι ακριβώς κάνει το rundll32.exe στο σύστημα;

καταχώρηση rundll32 στη διαχείριση εργασιών

Τι είναι το rundll32.exe; Είναι ιός;

Rundll32.exe, αυτό που βρίσκεται στο Windows\System32 φάκελος είναι ένα νόμιμο αρχείο συστήματος των Windows. Δεν είναι ιός!

Αλλά, εάν έχετε το αρχείο που βρίσκεται σε οποιονδήποτε φάκελο έξω από το δικό σας Windows\System32 καταλόγου, τότε μπορεί να είναι ψεύτικο αρχείο ή ακόμη και κακόβουλο λογισμικό.

Τι κάνει το rundll32.exe;

Το Rundll32.exe είναι ένα αρχείο συστήματος που εκτελεί ένα DLL. Ένα DLL μπορεί προαιρετικά να καθορίσει μια συνάρτηση σημείου εισόδου. Για την εκτέλεση του DLL που καθορίζει ένα σημείο εισόδου, χρησιμοποιείται το rundll32.exe. Η σύνταξη της γραμμής εντολών για το Rundll32 είναι η εξής:

rundll32.exe ,

Γιατί εμφανίζονται πολλές καταχωρήσεις rundll32.exe στη Διαχείριση εργασιών;

Κάθε καταχώρηση rundll32.exe που βλέπετε στη Διαχείριση εργασιών μπορεί να εκτελεί διαφορετικό πρόγραμμα (DLL).

rundll32 πολλαπλές καταχωρήσεις στη διαχείριση εργασιών

Ας υποθέσουμε ότι ανοίγετε μια μικροεφαρμογή του Πίνακα Ελέγχου - π.χ. Επιλογές ευρετηρίου. Όταν ανοίγετε την κλασική μικροεφαρμογή "Επιλογές ευρετηρίου" του Πίνακα Ελέγχου, τα Windows στην πραγματικότητα εκτελούν αυτήν την εντολή πίσω από την κουκούλα:

rundll32.exe C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll

Ομοίως, ενδέχεται να εκτελούνται άλλες μικροεφαρμογές, οι οποίες χρησιμοποιούν το rundll32.exe.

Ένα άλλο παράδειγμα θα ήταν η μικροεφαρμογή Ήχος στον Πίνακα Ελέγχου. Η πλήρης γραμμή εντολών για το άνοιγμα της μικροεφαρμογής ήχου είναι:

rundll32.exe C:\WINDOWS\System32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

Για τη μικροεφαρμογή του πίνακα ελέγχου ώρας και ημερομηνίας, ακολουθεί η γραμμή εντολών rundll32.exe που χρησιμοποιείται:

rundll32.exe Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

Πώς να μάθετε ποιο αρχείο εκτελείται η διαδικασία Rundll32.exe;

Μπορείτε να δείτε την πλήρη γραμμή εντολών κάθε διαδικασίας Rundll32.exe χρησιμοποιώντας τη Διαχείριση εργασιών. Μπορείτε να διαμορφώσετε τη Διαχείριση εργασιών για εμφάνιση Στήλες ονόματος γραμμής εντολών και διαδρομής εικόνας στην προβολή Διαδικασίες καθώς και στην προβολή Λεπτομέρειες.

ο διαχειριστής εργασιών εμφανίζει τη γραμμή εντολών

Σημείωση: Η Διαχείριση Εργασιών, με τις προεπιλεγμένες ρυθμίσεις της, εμφανίζει μόνο τα ονόματα διεργασιών, το αναγνωριστικό τους και άλλα στοιχεία, αλλά όχι τα πλήρη ορίσματα της γραμμής εντολών κάθε διεργασίας.

Μπορεί να δείτε μια καταχώρηση όπως παρακάτω, χωρίς όνομα αρχείου DLL στα ορίσματα. Ορισμένοι χρήστες έχουν υποδείξει ότι σχετίζεται με Groove Music στα Windows 10.

"C:\Windows\system32\rundll32.exe" -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

Χρήση γραμμής εντολών

Για να προβάλετε τη λίστα των διεργασιών rundll32.exe μαζί με τη γραμμή εντολών και το αναγνωριστικό διαδικασίας, εκτελέστε αυτήν την εντολή σε ένα παράθυρο γραμμής εντολών:

WMIC PROCESS WHERE Όπου Όνομα="rundll32.exe" λάβετε λεζάντα, γραμμή εντολών, επεξεργασία /μορφή: λίστα

Για να προβάλετε διεργασίες που εκτελούνται με διακριτικό διαχειριστή, εκτελέστε την παραπάνω εντολή από Γραμμή εντολών διαχειριστή.

Δείγμα εξόδου

Caption=rundll32.exe. CommandLine="C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll, Control_RunDLL C:\WINDOWS\System32\srchadmin.dll, ProcessId=11404 Caption=rundll3. CommandLine="C:\WINDOWS\system32\rundll32.exe" Shell32.dll, Control_RunDLL "C:\WINDOWS\system32\timedate.cpl" ProcessId=10580

Λίστα λειτουργικών μονάδων που χρησιμοποιούνται από τη διαδικασία RunDll32.exe

Για να δείτε τη λίστα των λειτουργικών μονάδων που χρησιμοποιούνται από κάθε παρουσία του rundll32.exe, ανοίξτε ένα παράθυρο γραμμής εντολών και εκτελέστε αυτήν την εντολή:

λίστα εργασιών /m /fi "IMAGENAME eq rundll32.exe"

Θα δείτε μια έξοδο όπως αυτή:

λίστα εργασιών rundll32 modules

Προειδοποιήσεις σχετικά με το Rundll32.exe

Θα πρέπει να είστε καχύποπτοι για τα ακόλουθα πράγματα στο σύστημά σας:

  • Εάν το αρχείο Rundll32.exe το όνομα του αρχείου βρίσκεται σε οποιαδήποτε άλλη θέση εκτός του καταλόγου των Windows, μπορεί να είναι ιός.
  • Έχετε υπόψη σας τι εκτελεί μια διαδικασία Rundll32.exe, επιθεωρώντας τη Διαχείριση εργασιών. Σε παραβιασμένα συστήματα, πιθανότατα θα δείτε μία ή πολλές διεργασίες Rundll32.exe να εκτελούν αρχεία DLL απατεώνων κακόβουλου λογισμικού, που πιθανώς να εκκινούνται ως εγγραφές εκκίνησης.

    Εν συντομία, σημειώστε τα ορίσματα της γραμμής εντολών των καταχωρήσεων Rundll32.exe στη Διαχείριση εργασιών — δηλαδή το DLL που εκτελείται από το Rundll32.exe.

ΣΧΕΤΙΖΕΤΑΙ ΜΕ:Πώς να διορθώσετε τα σφάλματα Rundll32 ή RunDll κατά την εκκίνηση;

Ένα μικρό αίτημα: Αν σας άρεσε αυτή η ανάρτηση, κοινοποιήστε την;

Μια "μικροσκοπική" κοινοποίηση από εσάς θα βοηθούσε σοβαρά πολύ στην ανάπτυξη αυτού του ιστολογίου. Μερικές υπέροχες προτάσεις:
  • Καρφιτσώστε το!
  • Μοιραστείτε το στο αγαπημένο σας blog + Facebook, Reddit
  • Tweet το!
Σας ευχαριστώ πολύ λοιπόν για την υποστήριξή σας, αναγνώστη μου. Δεν θα πάρει περισσότερα από 10 δευτερόλεπτα από τον χρόνο σας. Τα κουμπιά κοινής χρήσης βρίσκονται ακριβώς από κάτω. :)