rundll32挖礦

A. 電腦中有大量RUNDLL32.EXE運行，有二三十個，佔用了大量資源，請問這是怎麼回事，如何處理

相同的問題，已經弄了3天了還沒完全搞定，首先可以確定是病毒或者是惡意軟體，一直調用RUNDLL32。我這個還伴隨著大量IEXPLORE。相當難殺。。繼續奮斗

ps:經過奮斗問題已解決。兩個問題共同解決來的，(貌似我這個是中了威金,千橡和熊貓這些東西之後留下的後遺症)你試下查殺你系統里有沒3721等流氓軟體，如果有，用360或者Windows清理助手等等軟體先卸載了，然後進安全模式修改注冊表鍵值，在CURRENT_USER和LOCAL_MACHINE里找到SOFTWARE,把有關CNS和3721等等的主鍵都刪了,在RUN和其以下的RUN-等裡面把相關的鍵值也刪了.最後下一個木馬殺客2007,在安全模式下再殺一遍,這樣應該就好了.8知道你那行不行,反正我就是這樣搞掉的.(在這之前我用威金,千橡和熊貓專殺都已經殺過機器上的東西,病毒文件也都手工刪完了.拖拖拉拉斷斷續續弄了3天- -#)具體軟體下載地址隨便網路一下就有了.呵呵

B. rundll32.dll問題 高手進

怎麼這么不小心，這個文件很重要，rundll32.dll是執行32位的DLL文件。它的作用是執行DLL文件中的內部函數，這樣在進程當中，只會有Rundll32.exe，而不會有DLL後門的進程，這樣，就實現了進程上的隱藏。如果看到系統中有多個Rundll32.exe，這證明用Rundll32.exe啟動了多少個的DLL文件，不必驚慌。
WINXP的rundll32.exe,請下載後，直接解壓到c:\windows\system32目錄下，重起電腦即可http://blog.soease.com/Files/andy/01.rar
WIN2000的rundll32.exe，請下載後，直接解壓到c:\winnt\system32目錄下，重起電腦即可
http://blog.soease.com/Files/andy/02.rar
WIN98/ME系統http://blog.soease.com/Files/andy/03.rar

C. RUNDLL32

動態鏈接庫函數啟動器——Rundll32

經常聽到有些朋友說:呀！系統的注冊表啟動項目有rundll32.exe，系統進程也有rundll32.exe，是不是病毒呀？其實，這是對rundll32.exe介面不了解，它的原理非常簡單，了解並掌握其原理對於我們平時的應用非常有用，如果能理解了原理，我們就能活學活用，自己挖掘DLL參數應用技巧。

Rundll32.exe和Rundll.exe的區別

所謂Rundll.exe，可以把它分成兩部分，Run(運行)和DLL(動態鏈接庫)，所以，此程序的功能是運行那些不能作為程序單獨運行的DLL文件。而Rundll32.exe則用來運行32位DLL文件。Windows 2000/XP都是NT內核系統，其代碼都是純32位的，所以在這兩個系統中，就沒有rundll.exe這個程序。

相反，Windows 98代碼夾雜著16位和32位，所以同時具有Rundll32.exe和Rundll.exe兩個程序。這就是為什麼Windows 98的System文件夾為主系統文件夾，而到了Windows 2000/XP時就變成System32為主系統文件夾(這時的System文件夾是為兼容16位代碼設立的)。

Rundll.exe是病毒？

無論是Rundll32.exe或Rundll.exe，獨立運行都是毫無作用的，要在程序後面指定載入DLL文件。在Windows的任務管理器中，我們只能看到rundll32.exe進程，而其實質是調用的DLL。我們可以利用進程管理器等軟體來查看它具體運行了哪些DLL文件。

有些木馬是利用Rundll32.exe載入DLL形式運行的，但大多數情況下Rundll32.exe都是載入系統的DLL文件，不用太擔心。另外要提起的是，有些病毒木馬利用名字與系統常見進程相似或相同特點，瞞騙用戶。所以,要確定所運行的Rundll32.exe是在%systemroot%system32目錄下的，注意文件名稱也沒有變化。

相信大家在論壇上很常看見那些高手給出的一些參數來簡化操作，如rundll32.exe shell32.dll，Control_RunDLL，取代了冗長的「開始→設置→控制面板」，作為菜鳥的我們心裡一定癢癢的。他們是怎麼知道答案的？我們如何自己找到答案？分析上面命令可以知道，其實就是運行Rundll32.exe程序，指定它載入shell32.dll文件，而逗號後面的則是這個DLL的參數。了解了其原理，下面就可以自己挖掘出很多平時罕為人知的參數了。

第一步：運行eXeScope軟體，打開一個某個DLL文件，例如shell32.dll。

第二步：選擇「導出→SHELL32.DLL」，在右邊窗口就可以看到此DLL文件的參數了。

第三步：這些參數的作用一般可以從字面上得知，所以不用專業知識。要注意的是，參數是區分大小寫的，在運行時一定要正確輸入，否則會出錯。現在隨便找一個參數，例如RestartDialog，從字面上理解應該是重啟對話框。組合成一個命令，就是Rundll32.exe shell32.dll，RestartDialog ，運行後可以看見平時熟悉的Windows重啟對話框。

現在，我們已經學會了利用反編譯軟體來獲取DLL文件中的參數，所以以後看到別人的一個命令，可以從調用的DLL文件中獲取更多的命令。自己摸索，你就能了解更多調用DLL文件的參數了。

小資料

常用的rundll32參數

命令: rundll32.exe shell32.dll,Control_RunDLL

功能: 顯示控制面板

命令: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1

功能: 顯示「控制面板→輔助選項→鍵盤」

命令: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1

功能: 執行「控制面板→添加新硬體」

命令: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter

功能: 執行「控制面板→添加新列印機」

命令：rundll32.exe DISKCOPY.DLL,DiskCopyRunDll

功能：啟動軟盤復制窗口
參考資料：http://news.iva.cn/n717c8.shtml

D. rundll32.exe病毒根除方法

rundll32.exe是Dll（應用程序擴展）文件運行的依託，需調用Dlls的Dll文件依賴它而運行，是系統的正常進程。
但是，W32.Miroot.Worm病毒也使用了這個名字，也就是說Rundll32.exe也有可能是W32.Miroot.Worm病毒。
在開始－－搜索中輸入rundll32.exe並在所有文件和文件夾中搜索，Rundll32.exe只有一個並且只會在System32這個文件夾下，如果搜索到多個Rundll32.exe則除System32下的之外全是病毒，先在進程管理器中結束掉所有Rundll32.exe的進程再把剛才搜索到的病毒文件全部刪除。

E. rundll32

GHOST系統以後打開盤符的時候別雙擊打開，右鍵點擊然後點打開，再下個360頑固木馬專殺殺毒殺完毒重啟再殺，裡面殺到的文件有路徑找下，刪除C:\Documents and Settings\Administrator\Local Settings\Temp，
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files這兩個文件夾的文件，刪除不掉的粉碎，然後在系統文件裡面刪除掉你中毒時間開始新創建的文件一般病毒都可以K掉的，注意打開別的盤的文件的時候都不要雙擊打開，要右鍵點打開。

F. 怎麼查看rundll32.exe是誰調用的，是載入執行了什麼才冒出來的佔CPU的

開始運行，輸入msconfig - 啟動 裡面查看 有沒有 調用 rundll32.exe的
最近發現電腦開機冒出來 rundll32.exe，原來是HP列印機驅動造成的，啟動里去掉勾，確定重啟就OK了

G. rundll32是什麼東西，進程都不能殺．

在處理一些系統問題的時候，大家可能會經常遇到RUNDLL32.EXE這個程序，並且它經常和一些病毒和惡意程序有關，所以大家可以會認為它不是個好東西，但其實這是大家對RUNDLL32.EXE的不了解，現在我來給大家簡單地介紹一下RUNDLL32.EXE這個工具和它的性質，相信大家以後就不會這么想。

RUNDLL32.EXE，在WIN9X上還有另一個類似的工具RUNDLL.EXE，是WINDOWS操作系統自帶的工具，它們本身並不提供給用戶什麼實質性的應用功能，要了解RUNDLL32.EXE的作用，就得先從DLL(動態連接庫)說起。

大家一定都知道，我們的WINDOWS系統裡面有很多DLL，這些DLL提供一些很多軟體要用到的功能，這樣系統中只要存在某一個DLL，所有調用這個DLL裡面的功能的程序，就不用把這個功能包含在他們自己裡面，這些程序只要調用這個DLL裡面的功能就行了，這就是對DLL的簡單解釋。歸納起來，DLL就是一個包含了一個或多個功能模塊，給其他應用程序調用的功能庫。

一般來說，在WINDOWS中，可執行文件的擴展名是EXE，而DLL文件是不能直接執行的，這不僅僅是因為DLL文件的擴展名和可執行文件不一樣，而且它們的結構也是不一樣的。正常情況下，是由一個程序文件調用某個DLL裡面的某個模塊，來實現這個模塊的功能，但有時候需要單獨執行DLL中某個有用的模塊，怎麼辦呢？於是MS就在WINDOWS中提供了RUNDLL工具，就是由它調用某個DLL裡面的某個模塊，來實現這個DLL裡面的被調用模塊的功能。MS給它們的說明是：Run a DLL as an App，就是把一個DLL當成是一個應用程序來運行。

所以，RUNDLL本身並不向用戶提供什麼功能，單獨運行它並沒有什麼作用，所以在運行時要指定一個DLL作為參數，並且一般還要指定要運行的是DLL裡面的哪一個模塊。舉個例子來說，在WIN9X裡面，很多系統提供的重要功能是放在一個叫user.exe的動態連接庫裡面，雖然它的擴展名是exe，但它事實上是一個動態連接庫。而我們關機的時候其實就是由EXPLORER.EXE去調用這個user.exe裡面一關機模塊。知道了這些之後，我們就可以在桌面上建立一個快速關機的快捷方式，只要在桌面上點右鍵-新建-快捷方式，命令行輸入這樣的內容：RUNDLL32.EXE user.exe,exitwindows，再給這個快捷方式定個名字如快速關機就行了。其實這樣就是用RUNDLL32去調用USER.EXE裡面的EXITWINDOWS模塊，這樣就達到了建立關機快捷方式的目的。其實這個命令行意思就是告訴RUNDLL32，把USER.EXE這個動態連接庫裡面的exitwindows這個模塊，當成一個應用程序來運行，就這么簡單。要注意的是，在RUNDLL32後面的參數，第一個是要調用的動態連接庫的文件名，後面緊跟一個逗號，再緊接著是這個動態連接庫裡面的模塊名稱，兩個參數和逗號之間不能有空格。

明白了上面我所說的之後，你就知道RUNDLL32是什麼樣的性質，其實它是MS隨WINDOWS系統提供的一個工具，它不是病毒和惡意程序，只是由於它的性質的關系，經常被一些病毒或惡意程序所利用，例如3721就是利用RUNDLL32來載入它的helper.dll和cnsmin.dll，來達到它的目的。因此，在啟動項裡面看到RUNDLL32不要吃驚，並不是很奇怪，甚至WINDOWS自己也會在啟動時用RUNDLL32來調用它的電源管理模塊，一般在WIN9X系統中，啟動項都有這么一項(或者兩項)：
位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
鍵名：LoadPowerProfile
鍵值：Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

但另外要注意的是，正常情況下，RUNDLL32運行後是不會駐留的，例如上面說的這一項，雖然是在啟動時運行了，但RUNDLL32運行後不會駐留在內存，另外象NVIDIA顯卡的驅動，安裝後也會在啟動時用RUNDLL32調用它的驅動的一些DLL來實現某些功能，但它們都不會駐留。所以當按CTRL_ALT_DEL時，不會看到RUNDLL32這樣的進程。包括WIN2K和WINXP，正常的系統，在啟動完成後，在進程列表裡面應該是看不到有RUNDLL32項的，如果平時在進程列表中有看到RUNDLL32這樣的項，那麼應該是一些其他的程序調用了RUNDLL32，而且就很有可能是一些惡意程序或惡意插件了，所以要引起注意。

另外，在WIN9X系統上，有一個RUNDLL.EXE和一個RUNDLL32.EXE，我個人的理解是，它們的作用是一樣的，只是用於不同格式的DLL，RUNDLL是用於16位格式的DLL，RUNDLL32是用於32位格式的DLL，不知道我的理解有沒錯。
還有，關於某個DLL裡面到底提供了哪些模塊供其他軟體調用，一般可以用RESSCOPE或EXESCOPE之類的資源編輯軟體來打開這個DLL，看它裡面的EXPORT項裡面就是和外輸出的模塊的名稱。但要注意的是，不是每一個DLL裡面的每一個模塊都能用RUNDLL32來調用執行的。

H. rundll32.exe無法訪問等，追加30分

rundll32.exe丟失或者損壞，可以嘗試使用以下方法進行修復。

「潛行者」病毒以感染Windows系統文件rundll32.exe作為跳板，繞過殺毒軟體及網游保護系統。一旦受感染的系統文件被網路游戲載入到內存，便會載入各種流行網游盜號木馬（特徵是擴展名為drv），盜取《天龍八部》，《劍網三》，《QQ地下城勇士》，《CF》等流行網游的賬號。同時，也會使游戲過程中頻繁卡機。

「系統文件替換病毒」的出現，意味著網游盜號產業進一步細化分工，可以為了繞過安全軟體和網游保護而製作一種獨立病毒。在過去，木馬為了侵入網游，必須在啟動項中進行載入，所以安全軟體可以通過啟動項檢查發現是否有木馬進入系統。而像「rundll32.exe病毒」這種通過感染rundll32.exe文件，從而將木馬載入進網游進程的形勢，可以繞過大多數安全軟體的檢測。這也是「系統文件感染病毒」 至今沒有被主流殺軟查殺的原因。

多數殺毒軟體對「潛行者」病毒無法查殺，或查殺後造成系統找不到rundll32.exe文件，導致運行網游時彈出系統文件丟失提示。

rundll32.exe修復方法：

1、使用可牛免費殺毒進行全盤掃描能夠完美清除該病毒，修復系統文件。

2、如果因其他殺軟查殺，導致電腦出現rundll32.exe文件丟失，可以使用可牛系統文件修復工具進行系統文件完美修復。

可修復系統文件列表：

explorer.exe,explorer.exe,D3d8.dll,rpcss.dll,olepro32.dll,d3d8thk.dll,wsock32.dll,comdlg32.dll,d3d9.dll,lpk.dll,kernel32.dll,ksuser.dll,urlmon.dll,npptools.dll,rundll32.exe,comres.dll,imm32.dll,usp10.dll,midimap.dll,dinput8.dll,userenv.dll,,explorer.exe,conime.exe,msvcrt.dll,dbghelp.dll,D3D8THK.DLL,NETBIOS.SYS,msvcr71.dll,msimg32.dll,Userinit.exe,Explorer.exe,sensapi.dll

網路搜索：可牛系統文件修復工具

I. Windows主進程（Rundll32)是什麼

沒事最多是一個意外 rundll32是調用DLL文件的程序如果DLL意外的被結束就出現了這個不是什麼事故

J. 我的系統中有很多個rundll32.exe進程

大哥呀，我的和你的是一摸一樣啊，也是2003server的，不過我的已經達到40多個了

雖然進程多，但電腦還是可以正常運行的，我一直沒解決掉，所以想了個本方法

把下面的代碼考到記事本里，然後保存為.bat文件，RUNDLL32.EXE進程多了就運行一次就行了- -！@@

cls
@echo off
echo 結束Rundll32.exe進程
echo.
taskkill /im rundll32.exe /f
echo.
echo 按任意鍵退出!
pause>nul