进程档案： rundll32 或者 rundll32.exe

正常位置：X:（当前系统分区)\windows\system32

描述：test for netguide..----Caiger2008

属于：Microsoft Windows Operating System

后台程式： 是

使用网路： 否

硬体相关： 否

常见错误： 未知N/A

记忆体使用： 未知N/A

安全等级 (0-5): 0

间谍软体： 否

Adware: 否

广告软体： 否

木马: 否

动态程式库函式启动器——Rundll32

经常听到有些朋友说:系统的注册表启动项目有rundll32.exe，系统进程也有rundll32.exe，是不是病毒呀？其实，这是对 rundll32.exe接口不了解，它的原理非常简单，了解并掌握其原理对于我们平时的套用非常有用，如果能理解了原理，我们就能活学活用，自己挖掘 DLL参数套用技巧。

与Rundll.exe的区别

所谓 Rundll.exe，可以把它分成两部分，Run(运行)和DLL(动态资料库)，所以，此程式的功能是运行那些不能作为程式单独运行的DLL档案。而 Rundll32.exe则用来运行32位DLL档案。Windows 2000/XP都是NT核心系统，其代码都是纯32位的，所以在这两个系统中，就没有rundll.exe这个程式。

相反， Windows 98代码夹杂着16位和32位，所以同时具有Rundll32.exe和Rundll.exe两个程式。这就是为什幺Windows 98的System资料夹为主系统资料夹，而到了Windows 2000/XP时就变成System32为主系统资料夹(这时的System资料夹是为兼容16位代码设立的)。

rundll32的正常位置：c:\windows\system32

如果不是这个位置，则肯定是病毒

Rundll32.exe是什幺？顾名思义，“执行32位或者64位的DLL档案”。它的作用是执行DLL档案中的内部函式，这样在进程当中，只会有 Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用 Rundll32.exe启动了多少个的DLL档案。当然，这些Rundll32.exe执行的DLL档案是什幺，我们都可以从系统自动载入的地方找到。

对于Rundll32.exe这个档案，意思上边已经说过，功能就是以命令行的方式调用动态连结程式库。系统中还有一个 Rundll.exe档案，他的意思是“执行16位的DLL档案”，这里要注意一下。在来看看Rundll32.exe使用的函式原型：

Void CALLBACK FunctionName (

HWND hwnd,

HINSTANCE hinst,

LPTSTR lpCmdLine,

Int nCmdShow

);

其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments]

DLLname为需要执行的DLL档案名称；Functionname为前边需要执行的DLL档案的具体引出函式；[Arguments]为引出函式的具体参数。

1.　它分析命令行。

2.　它通过 LoadLibrary() 载入指定的 DLL。

3.　它通过 GetProcAddress() 获取 <entrypoint> 函式的地址。

4.　它调用 <entrypoint> 函式，并传递作为 <optional arguments> 的命令行尾。

5.　当 <entrypoint> 函式返回时，Rundll.exe 将卸载 DLL 并退出。

常用Windows9x的朋友一定对Rundll32.exe和Rundll.exe这两个档案不会陌生吧，不过,由于这两个程式的功能原先只限于在微软内部使用，因而真正知道如何使用它们的朋友想必不多。那幺好，如果你还不清楚的话，那幺就让我来告诉你吧。

首先，请你做个小实验（请事先保存好你正在执行的程式的结果，否则...）：点击“开始－程式－Ms－Dos方式”，进入Dos视窗，然后键入 rundll32.exe user.exe,restartwindows，再按下回车键，这时你将看到，机器被重启了！怎幺样，是不是很有趣？

当然，Rundll的功能绝不仅仅是重启你的机器。其实，Rundll者，顾名思义，执行Dll也，它的功能就是以命令列的方式呼叫Windows的动态链结库，Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库，而后者是运用于16位的链结库，它们的命令格式是：

RUNDLL.EXE ，，

这里要注意三点：1.Dll档案名中不能含有空格，比如该档案位于c:\ ProgramFiles\目录，你要把这个路径改成c:\Progra～1\；2.Dll档案名与Dll入口点间的逗号不能少，否则程式将出错并且不会给出任何资讯！3.这是最重要的一点：Rundll不能用来呼叫含返回值参数的Dll，例如Win32API中的GetUserName(), GetTextFace()等。在Visual Basic中，提供了一条执行外部程式的指令Shell,格式为：

相信大家在论坛上很常看见那些高手给出的一些参数来简化操作，如rundll32.exe shell32.dll，Control_RunDLL，取代了冗长的“开始→设定→控制台”，作为菜鸟的我们心里一定痒痒的。他们是怎幺知道答案的？我们如何自己找到答案？分析上面命令可以知道，其实就是运行Rundll32.exe程式，指定它载入shell32.dll档案，而逗号后面的则是这个 DLL的参数。了解了其原理，下面就可以自己挖掘出很多平时罕为人知的参数了。

第一步：运行eXeScope软体，打开一个某个DLL档案，例如shell32.dll。

第二步：选择“导出→SHELL32.DLL”，在右边视窗就可以看到此DLL档案的参数了。

第三步：这些参数的作用一般可以从字面上得知，所以不用专业知识。要注意的是，参数是区分大小写的，在运行时一定要正确输入，否则会出错。随意选择一个参数，例如RestartDialog，从字面上理解应该是重启对话框。组合成一个命令，就是Rundll32.exe shell32.dll，RestartDialog ，运行后可以看见平时熟悉的Windows重启对话框。

此时，我们已经学会了利用反编译软体来获取DLL档案中的参数，所以以后看到别人的一个命令，可以从调用的DLL档案中获取更多的命令。自己摸索，你就能了解更多调用DLL档案的参数了。

命令: rundll32.exe shell32.dll,Control_RunDLL

功能: 显示控制台

命令: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1

功能: 显示“控制台→辅助选项→键盘”

命令: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1

功能: 执行“控制台→添加新硬体”

命令: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter

功能: 执行“控制台→添加新印表机”

命令：rundll32.exe DISKCOPY.DLL,DiskCopyRunDll

功能：启动软碟複製视窗

如果能配合Rundll32.exe用好Shell指令，会使您的VB程式拥有用其他方法难以甚至无法实现的效果：仍以重启为例，传统的方法需要你在VB工程中先建立一个模组，然后写入WinAPI的声明，最后才能在程式中呼叫。而此刻只需一句:

命令列: rundll32.exe shell32.dll,Control_RunDLL 功能: 显示控制台

更简便的方法: Shell "shutdown -s -t 0"

无论是Rundll32.exe或Rundll.exe，独立运行都是毫无作用的，要在程式后面指定载入DLL档案。在Windows的任务管理器中，我们只能看到rundll32.exe进程，而其实质是调用的DLL。我们可以利用进程管理器等软体来查看它具体运行了哪些DLL档案。

有些木马是利用Rundll32.exe载入DLL形式运行的，但大多数情况下Rundll32.exe 都是载入系统的DLL档案，不用太担心。另外要提起的是，有些病毒木马利用名字与系统常见进程相似或相同特点，瞒骗用户。所以,要确定所运行的 Rundll32.exe是在%systemroot%system32目录下的，注意档案名称称也没有变化。

一般情况 出现该档案或者相类似的档案时,大都是因为病毒原因,建议下载防毒软体查杀一下电脑安全：

rundll32一般不是病毒，它是系统必须的组件之一，不可以删除，强烈建议你打开防毒软体的监控，以便及时发现病毒

rundl132.exe才是病毒 是阿拉伯数字1而不是字母l

你直接在C:\WINDOWS\system32 下删除

并在注册表启动项里去除rundl132.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

===========

C:\\WINDOWS\\uninstall 这个目录下的是威金变种了。。

用专杀清除！手动难以清除其他被感染的执行档（EXE等）

建议打开任务管理器，检查RUNDLL32.exe进程所属的用户名，如果是属于系统，那中毒的机率就很小，如果显示的是当前用户，哪情况就不妙了。

1.最新版防毒软体都可以查杀

2.一些修复工具，比如金山急救箱，360急救箱......(测试过，可以查杀该木马病毒，并修复rundll32.exe档案)

可在任务管理器中先结束该进程后，利用防毒软体彻底查杀，或进而转为安全模式查杀。

(1) 在WINDOWS目录中查找run32.exe档案，如果发现则证明病毒存在，则将同目录下的rundll32.exe档案删除，将run32.exe档案改名为：rundll32.exe。

(2) 在WINDOWS目录中查找regedit.exe.sys档案，如果找到则证明病毒存在，将同目录下的regedit.exe档案删除，将regedit.exe.sys档案改名为regedit.exe。

如果无法删除这些档案，可以用启动盘进入DOS模式下，将这些病毒档案删除。然后，进入注册表编辑器，查看注册表的HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run项，看其中是否有上面提到的档案，如果有，则将这些键值删除即可清除病毒注册的键值；查看注册表的HKEY_CLASSES_ROOT\Exefile\shell\open\command的键值，正确的“默认”项的内容为：“"%1"%*”，如果不是，则修改；查看注册表的HKEY_CLASSES_ROOT\Txtfile\shell\open\command的键值，正确的“默认”项的内容为：“%SystemRoot%\system32\NOTEPAD.EXE %1”，如果不是，则修改。此时，病毒被清除。

1、打开360防毒，电脑修复--电脑门诊--输入“控制”根据自动提示点击；

2、找到对应的rundll32.exe应用程式错误并进行修复。