پروسه rundll32.exe چیست؟ آیا rundll32 یک ویروس است؟

تصویر متحرک فایل rundll32.exe به همراه شیوه گرفتن پراپرتیز فایل

زمانی که پنجره مدیر وظیفه ویندوز را باز می کنیم، با شماری از پروسه ها مواجهه می شویم که یکی از آنها rundll32.exe است. آیا می دانید rundll32.exe چیست؟ پروسه rundll32.exe چه کاری انجام می دهد؟ فایل rundll32.exe کجا قرار دارد؟ آیا rundll32.exe یک ویروس است؟ چگونه rundll32.exe سالم را از rundll32.exe آلوده تشخیص دهیم؟ اینها سئوالاتی است که در این راهنما پاسخ داده می شود و پروسه rundll32.exe بطور مفصل بحث و بررسی می شود.

اگر کاربر قدیمی تر ویندوز باشید، با تریلیون ها فایل DLL در پوشه هر یک از برنامه های خود مواجه شده اید که به عنوان یک فایل ذخیره اطلاعات منطقی اجرای برنامه استفاده شده و می توانند در دسترس برنامه های مختلف قرار گیرند.

از آنجایی که امکان اجرا و راه اندازی مستقیم فایل های DLL وجود ندارد، اپلیکیشن rundll32.exe برای راه اندازی آسان این فایلها که ذخایر کد اجرایی برنامه ها هستند، معرفی شده است. این فایل اجرایی بخش معتبری از ویندوز است و به طور نرمال تهدید محسوب نمی شود.

در این مقاله می خوانیم:

معرفی پروسه rundll32.exe

شمار زیادی از کاربران ویندوز وقتی پروسه rundll32.exe را در مدیر وظیفه (Task Manager) سیستم خود می بینند، شک دارند که آیا این یک پروسه عادی و سالم است یا یک ویروس. علت این سردرگمی کلاهبرداری هایی است که شرکت های فنی و پشتیبانی با سوء استفاده از rundll32 برای ایجاد پروسه های مخرب و بدافزار ایجاد کرده اند.

زمانی که مدیر وظیفه ویندوز 10 را باز می کنید ممکن است آیتم rundll32.exe را در برگه Processes ببینید یا هر بار که سیستم را روشن یا خاموش می کنید با خطای rundll32.exe error مواجه می شوید. کاربران از خود این سئوال را می پرسند که آیا rundll32.exe ویروس است و اگر ویروس نیست دقیقا چه کاری در سیستم انجام می دهد؟

تصویر پروسه rundll32.exe در مدیر وظیفه ویندوز 10

فایل rundll32.exe چیست؟ آیا یک ویروس است؟

فایل rundll32.exe که در پوشه System32 به آدرس Windows\System32 قرار دارد، یک فایل مشروع و قانونی سیستم عامل ویندوز است. این فایل سیستمی سالم بوده و ویروس نیست. اما اگر با فایل rundll32.exe برخورد کردید که خارج از این پوشه و جای دیگری از دایرکتوری سیستم عامل است، می تواند یک فایل تقلبی و یا حتی بدافزار باشد.

مشخصات اورجینال فایل rundll32.exe

تصویر مشخصات فایل rundll32.exe در مدیر وظیفه ویندوز 10

پروسه rundll32.exe تحت عنوان Windows host process (Rundll32) شناخته می شود و به عنوان یک اپلیکیشن به اجرای DLLهای ویندوز می پردازد. فایل rundll32.exe اورجینال یکی از بخش های مهم ویندوز است و در پوشه C:\Windows\System32 قرار دارد. در ویندوزهای 10، ویندوز 8، ویندوز 7 و ویندوز XP سایز این فایل در 47% موارد 33280 بایت و یا 44544 بایت است و دارای 30 نسخه مختلف است.

این پروسه یک سرویس ویندوز است و نام این سرویس bff42538 است. فایل دارای امضای الکترونیک میکروسافت است. برنامه نباید مرئی باشد و بایستی در پس زمینه ویندوز فعال باشد. عیار امنیت فنی آن برای ایجاد خطر 9% است اما بایستی مراقب آلوده شدن آن بود.

پروسه rundll32.exe چه وظیفه ای دارد؟

فایل rundll32.exe یک فایل سیستمی است که DLL ها را در ویندوز اجرا می کند. در فایل DLL می توان به طور اختیاری یک نقطه ورود عملکردی برای آن مشخص کرد. برای اجرای فایل DLL که دارای نقطه ورود مشخص شده ای است، از rundll32.exe استفاده می شود. دستور خط فرمان برای اجرای rundll32.exe به صورت زیر است:

rundll32.exe , <dllname> , <entrypoint> <optional arguments>

در این دستور dllname نام برنامه DLL ای است که اجرا می شود و entrypoint نقطه فعال سازی فایل rundll32.exe است و optional arguments شامل آرگومان های اختیاری است که ممکن است زمان اجرای یک برنامه به آن ارجاع شود.

چرا چندین rundll32.exe ممکن است در مدیر وظیفه ظاهر شود؟

هر یک از پروسه های rundll32.exe که در مدیر وظیفه ویندوز (Task Manager) مشاهده می کنید ممکن است در حال اجرای یک برنامه مختلف (DLL) باشد.

عکس دو پروسه rundll32.exe در مدیر وظیفه تسک منیجر ویندوز 10

مثلا زمانی که یکی از گزینه های کنترل پنل ویندوز 10 مثل Indexing Options را اجرا می کنید، ویندوز در واقع دستور زیر را در پس زمینه اجرا می کند:

rundll32.exe C:\WINDOWS\system32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\srchadmin.dll

همزمان ممکن است برنامه های DLL دیگری در حال اجرا باشد که از rundll32.exe استفاده کنند. مثلا فرمان کامل اجرای اپلت صدا در کنترل پنل ویندوز به صورت زیر است:

rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\mmsys.cpl

همچنین برای گزینه یا اپلت تاریخ و زمان نیز از rundll32.exe با دستور خط فرمان زیر استفاده می شود:

rundll32.exe Shell32.dll,Control_RunDLL "C:\WINDOWS\system32\timedate.cpl"

بدین ترتیب وقتی این سه ویژگی ویندوز یعنی ایندکس کردن، صدا، تاریخ و زمان همزمان اجرایی شوند، سه ورودی rundll32.exe در مدیر وظیفه ویندوز خواهید دید.

چگونه بفهمیم rundll32.exe مشغول اجرای کدام فایل است؟

می توان با استفاده از مدیر وظیفه ویندوز (Windows Task Manager)، خط فرمان کامل هر یک از پروسه های rundll32.exe را مشاهده نمود. می توان مدیر وظیفه را طوری پیکربندی کرد که ستون های دستور خط فرمان و نام مسیر ایمیج فایل را علاوه بر نمای جزئیات پروسه ها نمایش دهد.

عکس فعال کردن خط فرمان command line در تسک منیجر ویندوز 10

توجه: اگر پیکربندی مدیر وظیفه ویندوز شما در حالت تنظیمات پیش فرض باشد، تنها ستون نام پروسه ها، ID و .. را نمایش می دهد و آرگومان خط فرمان هر پروسه را نمایش نمی دهد و بایستی به صورت دستی این ستون را اضافه کنید.

پروسه rundll32.exe چیست و rundll32.exe چه نقشی در ویندوز دارد؟

عکس دیالوگ مشخصات فایل rundll32.exe در پنجره پراپرتیز فایل

کاربران سیستم عامل ویندوز ممکن است با فایل های DLLفراوانی در لپتاپ یا کامپیوتر خود برخورد کنند. این فایل های DLL کلیت های منطقی اجرای برنامه های مختلف را در خود ذخیره دارند و این کلیت ها برای اجرای این برنامه ها در سیستم عامل نیاز می باشند. بسیاری از اپلیکیشن ها اگر نتوانند به فایل های DLL ای که فراخوانی کرده اند، دسترسی داشته باشند اجرا نمی شوند.

پروسه rundll32.exe فرآیندی است که برای اجرای DLLها لازم است و کتابخانه اجرای برنامه ها را در حافظه ویندوز بارگذاری می کند تا این برنامه ها بتوانند بطور اثربخش تری کار کنند. این برنامه برای ثبات و اجرای ایمن کامپیوتر لازم است و نبایستی خاتمه داده شود.

بطور خلاصه، rundll32.exe اجرای فایل های DLLرا ماشه می کند. از آنجایی که اجرای مستقیم فایل DLL همانند فایل اجرایی exe امکانپذیر نیست، rundll32.exe موجب شده است که اجرای DLLها عملی باشد و نقش حیاتی در اجرای این برنامه های غیراجرایی دارد.

آیا می توان پروسه rundll32.exe را خاتمه داد؟

بله می توان در مدیر وظیفه ویندوز این پروسه را خاتمه (End Task) داد اما تعدادی از برنامه ها و اپلیکیشن های سیستم عامل ویندوز ناپایدار می شوند. حتی ممکن است ویندوز ناپایدار شده و ریستارت شود. بنابراین اگر اطمینان دارید که rundll32.exe فایل سیستمی مشروع ویندوز است نباید آن را خاتمه دهید و اگر این فایل سیستمی معیوب شده است، بهتر است آن را ترمیم کنید.

کدام rundll32.exe را می توان خاتمه داد؟

اگر یکی از موارد زیر را مشاهده کردید، بایستی شک کرده و این پروسه را End Task کنید.

  • فایل rundll32.exe در جایی غیر از دایرکتوری ویندوز پوشه System32 باشد. فایل های rundll32.exe خارج از این پوشه می توانند ویروس یا بدافزار باشند.
  • پروسه rundll32.exe در حال اجرا را در مدیر وظیفه ویندوز مشاهده و بررسی کنید. اگر سیستم بمخاطره افتاده باشد و فایل در حال اجرا ویروسی باشد، چندین مورد از rundll32.exe را مشاهده می کنید که فایل های DLLویروس یا بدافزار را اجرا می کنند و احتمالا در استارت آپ ویندوز بالا آمده اند.
  • بهتر است آرگومان خط فرمان ورودی های rundll32.exe موجود در مدیر وظیفه ویندوز را بررسی کنید و مشخص کنید هر یک از این ورودی ها چه فایل یا برنامه ای را اجرا می کند.

آیا rundll32.exe ویروس است؟

هر فایلی که پسوند exe داشته باشد یک فایل قابل اجرا است. فایل های اجرایی (Executable files) مستعد آلودگی هستند و بدافزارها هم نام این فایل ها ارائه می شوند و یا این فایل ها را آلوده می کنند. بنابراین وقتی به آلودگی rundll32.exe مشکوک هستید، اولین کاری که باید انجام دهید، جستجوی سیستم خود برای فایل های rundll32.exe است.

بنابراین در سرچ باکس سیستم خود عبارت rundll32.exe را تایپ کرده و این فایل را جستجو کنید و محل قرارگیری این فایل را مشخص کنید. اگر این فایل در یکی از پوشه های WinSxS، System32 یا SysWOW64 (با توجه به نسخه ویندوز شما) قرار داشت، دارای امضای الکترونیک میکروسافت بود و در properties آن مشخص شد که یک فایل سیستم عامل میکروسافت ویندوز با نام Windows Host Process است، یک پروسه مشروع و سالم میکروسافت است. اما اگر محل آن جایی دیگر بود به احتمال زیاد بدافزار است.

پروسه rundll32.exe بخودی خود یک ویروس نیست. هرچند ضرورتا پروسه ای که ما در مدیر وظیفه ویندوز مشاهده می کنیم، یک پروسه اروجینال ویندوز نیست. گاهی ویروس یا بدافزاری با همین نام وارد سیستم شما شده و آن را رونویسی می کند.

بنابراین اگر rundll32.exe را در مدیر وظیفه (Windows Task Manager) ویندوز خود مشاهده کردید، روی آن کلیک راست کرده و Open file location را بزنید و بعد از فایل Properties بگیرید و مشخصات آن را چک کنید.

تصویر متحرک طریقه پیدا کردن محل فایل ها در هارد دیسک لپتاپ

اگر به اصالت پروسه شک داشتید، سیستم خود را با یک آنتی ویروس اسکن کنید. می توانید برنامه چک سیستم یعنی برنامه ReimageRepair را دانلود کرده و پروسه های سیستم خود را چک کنید.

چگونه پروسه rundll32.exe را اسکن و بررسی کنیم

بجای استفاده از مدیر وظیفه ویندوز (Windows Task Manager)، می توان از نرم افزار رایگان کاوشگر پروسه (Process explorer) که توسط میکروسافت عرضه شده است استفاده کرده و پروسه های سیستم خود و بخصوص rundll32.exe را مورد بررسی قرار داد. این برنامه در تمامی نسخه های ویندوز از جمله ویندوز 10 کار می کند و بهترین گزینه برای کار مشکل زدایی ویندوز است.

براحتی می توانید برنامه کاوشگر پروسه (Process Explorer) را اجرا کرده و از منوی فایل گزینه Show Details for All Processes انتخاب کنید تا همه چیز در دسترس قرار گرفته و اطلاعات کامل پروسه ها را مشاهده کنید.

تصویر متحرک طریقه فعال کردن جزئیات همه پروسه ها در کاوشگر پروسه پراسس اکسپلورر ویندوز 10

حالا زمانیکه مکان نمای ماوس را روی نام پروسه rundll32.exe در لیست قرار می دهید، جزئیات کامل پروسه به صورت نکته حبابی ظاهر می شود.

تصویر مشخصات حبابی فایل rundll32.exe در پنجره process explorer ویندوز 10

می توان روی نام پروسه کلیک راست کرده و گزینه Properties را انتخاب کرد. بدین ترتیب می توان در برگه های مختلف دیالوگ Properties نگاه کرده و جزئیات فایل را بررسی نمود. حتی می توان پروسه های والد آن را شناسایی کرد و مشخص کرد که پروسه به صورت میانبر اجرا شده است یا در استارت آپ ویندوز است.

عکس دیالوگ Properties فایل rundll32.exe در ویندوز ده

چگونه پروسه rundll32.exe را غیرفعال کنیم؟

اگر کاربر ویندوز 10 یا ویندوز 8 هستید می توانید از بخش Startup مدیر وظیفه ویندوز برای غیرفعال کردن این پروسه استفاده کنید.

تصویر متحرک انیمیشن غیرفعال کردن یک برنامه و پروگرام در برگه استارت آپ تسک منیجر ویندوز 10

بدین ترتیب که ابتدا نام برنامه اجرا کننده فایل را پیدا کرده و سپس در مدیر وظیفه گزینه Enabled در ستون Status را کلیک راست کرده و گزینه Disable را انتخاب کنید. بدین ترتیب برنامه غیرفعال شده و دفعه بعدی که ویندوز بالا بیاید، این برنامه در استارت آپ ویندوز اجرا نخواهد شد.

ویروس هایی با نام مشابه rundll32.exe

فایل rundll32.exe به خودی خود یک ویروس نیست. یکی از پروسه های میکروسافت ویندوز است که برای اجرای فایل های DLLاستفاده می شود. هرچند برنامه های بدافزاری از قبیل ویروس، کرم ها، تروجان ها به صورت عمدی به پروسه های خود همین نام را می دهند تا براحتی شناسایی نشوند. نمونه ای از ویروس های هم نام آن عبارتست از:

  • Trojan.Gen
  • WS.Reputation.1
  • TROJ_AGENT.NET
  • TROJ_DROPPER.VJG

چگونه فایل های rundll32.exe مشکوک را شناسایی کنیم

  • اگر فایل rundll32.exe در پوشه ای غیر از ساب فلدرهای C:\Windows باشد.
  • اگر فایل rundll32.exe در پوشه ای از پوشه های پروفایل کاربر باشد.
  • اگر سایز فایل 24576 بایت، 120992 بایت و 19 گونه دیگر باشد.
  • فایل rundll32.exe یک فایل سیستمی ویندوز نباشد.
  • اگر فایل rundll32.exe در پوشه temp ویندوز یا سایر پوشه های ذخیره موقت باشد
  • اگر فایل rundll32.exe در یکی از ساب فلدرهای پوشه C:\Program Files باشد و سایر فایل بالای 359 کیلوبایت باشد

فایل های زیر rundll32.exe نبوده و فایلی با نام مشابه می باشد:

  • فایل BatInfEx در استارت آپ ویندوز اجرا می شود. اطلاعات وضعیت باتری لپتاپ های IBM Thinkpad را نمایش می دهد.
  • فایل LoadPowerProfile ضرورتا لازم نیست. توسط کرم MIROOT به سیستم اضافه می شود و نباید آنرا با نسخه اصلی فایل به نام powrprof.dll که در خط داده فرمان پروسه دیده می شود اشتباه گرفت
  • فایل rundll32.exe که در پوشه فونت دایرکتوری ویندوز یافت می شود یک تروجان DVLDR است و rundll32.exe اورجینال میکروسافت نیست.
  • یک فایل rundll32.exe توسط کرم SANKER به پوشه System32 اضافه می شود و فایل اورجینال در پوشه C:\Windows دیده می شود.
  • پروسه TaskMan توسط تروجان DVLDR اضافه می شود و یک rundll32.exe معتبر نیست و در پوشه فونت قرار می گیرد.

تعدادی از بدافزارها خود را به شکل rundll32.exe نمایش می دهند بخصوص وقتی در پوشه System32 نیستند. بهتر است پروسه های ویندوز خود را با استفاده از نرم افزار مدیر وظیفه امنیتی (Security Task Manager) چک و اسکن کنید و امنیت سیستم خود را مشخص کنید.

اقدامات عملکرد برتر برای رفع مشکل rundll32.exe

داشتن کامپیوتر تمیز و مرتب یکی از ملزومات کلیدی برای اجتناب از مشکلات مربوط به rundll32.exe است. این بدین معنی است که سیستم و هارد دیسک خود را از نظر بدافزارها اسکن کرده و تمیز کنیم. به طور منظم دستورات زیر را اجرا کرده، فایل های سیستمی معیوب را ترمیم کرده و فایل های اضافی و برنامه هایی که دیگر احتیاج نداریم را حذف کنیم:

1- دستور cleanmgr که همان Disk Cleaner ویندوز است و درایوهای سیستم را اسکن و پاکسازی می کند. کافی است شورت کات یا کلید ترکیبی Win + R را بزنید تا دیالوگ Run باز شود و این دستور را تایپ کرده و دکمه Ok را بزنید تا اپلیکیشن باز شده و سیستم را اسکن و فایل های اضافی را برای حذف شدن به شما معرفی کند.

عکس متحرک دستور دیسک کلینر (Disk Cleaner) ویندوز 10

2- دستور sfc /scannow که همان Scan file system است و هارد درایو شما را اسکن کرده و هر گونه خطای احتمالی را برطرف می کند. کافی است شورت کات یا کلید ترکیبی Win + R را بزنید تا دیالوگ Run باز شود و این دستور را تایپ کرده و دکمه Ok را بزنید تا اپلیکیشن باز شده و سیستم را اسکن و خطاهای احتمالی را رفع کند.

تصویر اپلیکیشن اسکن دیسک ویندوز 10

3- حذف کردن برنامه های اضافی و بدون استفاده. برای اینکار کنترل پنل یا اپلیکیشن Settings ویندوز 10 را باز کرده و گزینه program features را بزنید. بدین ترتیب پنجره حذف و اضافه برنامه ها باز می شود و می توانید برنامه های اضافی را حذف کنید.

4- اجرای دستور msconfig برای چک برنامه هایی که بطور خودکار اجرا می شوند و فعال یا غیرفعال کردن آنها

عکس پنجره پیکربندی سیستم (msconfig) برای چک برنامه های استارت آپ ویندوز 10

5- به روزرسانی خودکار ویندوز: می توانید ویندوز خود را به صورت خودکار به روزرسانی کنید و اگر آپدیت ویندوز برای شما مشکل ساز شده است، آپدیت خودکار ویندوز 10 را غیر فعال کرده و به طور دوره ای دستی ویندوز خود را به روزرسانی کنید.

6- پشتیبان گیری دوره ای و تعیین نقطه ریستور منظم برای مواردی که سیستم به مشکل برخورد می کند تا بتوانید سیستم را ریست کرده و ویندوز خود را ترمیم کنید.

7- استفاده از دستور resmon برای شناسایی پروسه هایی که مشکل ساز شده اند. حتی در صورت مشکل جدی می توان بجای نصب مجدد ویندوز، ابتدا به ترمیم ویندوز اقدام کرد. این دستور موجب باز شدن برنامه پایش منابع (Resource Monitor) ویندوز 10 می شود که بار زمان حقیقی CPU، مموری، هارد دیسک و شبکه سیستم شما را نمایش می دهد. نتیجه این ستون را با میانگین یا کل مصرف در ستون آخر مقایسه کنید تا پروسه پر مصرف و مشکل ساز را شناسایی کنید.

تصویر مدیر پایش منابع ویندوز 10 - Resource Monitor

8- اجرای دستور DISM.exe /Online /Cleanup-image /Restorehealth در ویندوز 8 و ویندوز 10 تا امکان ترمیم ویندوز 10 بدون از دست دادن داده فراهم شود.

در مجموع بهتر است به طور دوره ای با استفاده از یک برنامه آنتی ویروس به روز سیستم خود را اسکن کنید و هر گونه تهدید و بدافزار بالقوه را شناسایی و حذف کنید.

کاربران حرفه ای معمولا به طور منظم مدیر وظیفه ویندوز 10 یا کاوشگر پروسه (Process explorer) ارائه شده توسط میکروسافت ویندوز را باز کرده و پروسه های فعال را بررسی می کنند. از این پروسه ها Properties گرفته و سایز و امضای دیجیتال آنها را چک می کنند. پروسه های سیستم خود را می شناسند و هر گونه پروسه نا آشنا را End task کرده و بررسی و حذف می کنند.

اگر در اجرای این راهنما به مشکل برخورد کردید و سایر سئوالات و پیشنهادات خود را در بخش سئوالات عمومی انجمن پلکسا مطرح نمایید. گروه توسعه وب پلکسا به سئوالات شما پاسخ خواهند داد.

با ما شریک شوید

با ما باشید

قابل توجه وبمسترها

وبمستر گرامی

در صورتی که به دنبال جذب بازدید کننده یا ارتقای رنکینگ سایت خود هستید، پیشنهاد می کنیم پلکسا را یک پست یا مطلب مهمان کنید. همانطور که برای سایت خود مطلب می نویسید، مطلب خود را آماده و کد نویسی کرده و در پلکسا منتشر کنید. پلکسا هیچگونه دخل یا تصرفی در پست شما نخواهد داشت.

سئوالات، نظرات، پیشنهادات و مطالب خود را با ما و کاربران پلکسا در میان بگذارید - انجمن پلکسا