RS232 book cover

Centrum Outlook Express Centrum Outlook Express

OE PowerTool 4.5.5


Twój adres IP to: 18.97.9.168
Przeglądarka: CCBot/2.0 (https://commoncrawl.org/faq/)

Czy plik rundll32.exe może być wirusem?

   Plik rundll32.exe może być zarażony wirusem i wtedy trzeba go odtworzyć z kopii zapasowej lub płytki instalacyjnej. Przyjrzyjmy się jednak przypadkowi, gdy rundll32.exe jest nienaruszony a mimo to istnieje podejrzenie, że jest wykorzystywany przez wirusa. Ponieważ rundll32.exe potrafi uruchamiać inne programy (a właściwie funkcje z bibliotek), często jest wykorzystywany przez wirusy. Np. można spotkać w autostarcie plik rundll32.exe wywoływany z dwoma parametrami: biblioteką zawierającą wirusa i nazwą funkcji uruchamiającej wirusa. Tak uruchomiony wirus jest widoczny na liście procesów jako rundll32.exe co uspokaja użytkownika, który jest przeświadczony, że proces ten jako systemowy jest bezpieczny. Co więc zrobić, gdy widzimy rundll32.exe na liście procesów? Należy najpierw sprawdzić, czy rzeczywiście mamy do czynienia z plikiem systemowym Windows. Standardowo jest on w podkatalogu system32 w Windows z linii NT albo w System w starych Windows. Jeśli uruchomiony plik rundll32.exe pochodzi z innej ścieżki, należy podejrzewać, że jest to wirus. Jak sprawdzić ścieżkę? Najlepiej programem Process Explorer. Program ten pokaże też inną ważną rzecz: parametry uruchomienia. Dzięki temu możemy się dowiedzieć jaka biblioteka została załadowana i jaka funkcja uruchomiona. Jeśli dana biblioteka nie jest biblioteką systemową ani nie należy do zainstalowanego przez nas programu, prawdopodobnie jest to wirus. W celu upewnienia się należy skorzystać z Google. Jeśli stwierdzimy, że program rundll32.exe uruchomił wirusa, należy zabić jego proces a następnie skasować bibliotekę (DLL, CPL itp). Po usunięciu wirusa można skasować jego ewentualny wpis z autostartu.