rundll32挖矿

A. 电脑中有大量RUNDLL32.EXE运行，有二三十个，占用了大量资源，请问这是怎么回事，如何处理

相同的问题，已经弄了3天了还没完全搞定，首先可以确定是病毒或者是恶意软件，一直调用RUNDLL32。我这个还伴随着大量IEXPLORE。相当难杀。。继续奋斗

ps:经过奋斗问题已解决。两个问题共同解决来的，(貌似我这个是中了威金,千橡和熊猫这些东西之后留下的后遗症)你试下查杀你系统里有没3721等流氓软件，如果有，用360或者Windows清理助手等等软件先卸载了，然后进安全模式修改注册表键值，在CURRENT_USER和LOCAL_MACHINE里找到SOFTWARE,把有关CNS和3721等等的主键都删了,在RUN和其以下的RUN-等里面把相关的键值也删了.最后下一个木马杀客2007,在安全模式下再杀一遍,这样应该就好了.8知道你那行不行,反正我就是这样搞掉的.(在这之前我用威金,千橡和熊猫专杀都已经杀过机器上的东西,病毒文件也都手工删完了.拖拖拉拉断断续续弄了3天- -#)具体软件下载地址随便网络一下就有了.呵呵

B. rundll32.dll问题 高手进

怎么这么不小心，这个文件很重要，rundll32.dll是执行32位的DLL文件。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，这证明用Rundll32.exe启动了多少个的DLL文件，不必惊慌。
WINXP的rundll32.exe,请下载后，直接解压到c:\windows\system32目录下，重起电脑即可http://blog.soease.com/Files/andy/01.rar
WIN2000的rundll32.exe，请下载后，直接解压到c:\winnt\system32目录下，重起电脑即可
http://blog.soease.com/Files/andy/02.rar
WIN98/ME系统http://blog.soease.com/Files/andy/03.rar

C. RUNDLL32

动态链接库函数启动器——Rundll32

经常听到有些朋友说:呀！系统的注册表启动项目有rundll32.exe，系统进程也有rundll32.exe，是不是病毒呀？其实，这是对rundll32.exe接口不了解，它的原理非常简单，了解并掌握其原理对于我们平时的应用非常有用，如果能理解了原理，我们就能活学活用，自己挖掘DLL参数应用技巧。

Rundll32.exe和Rundll.exe的区别

所谓Rundll.exe，可以把它分成两部分，Run(运行)和DLL(动态链接库)，所以，此程序的功能是运行那些不能作为程序单独运行的DLL文件。而Rundll32.exe则用来运行32位DLL文件。Windows 2000/XP都是NT内核系统，其代码都是纯32位的，所以在这两个系统中，就没有rundll.exe这个程序。

相反，Windows 98代码夹杂着16位和32位，所以同时具有Rundll32.exe和Rundll.exe两个程序。这就是为什么Windows 98的System文件夹为主系统文件夹，而到了Windows 2000/XP时就变成System32为主系统文件夹(这时的System文件夹是为兼容16位代码设立的)。

Rundll.exe是病毒？

无论是Rundll32.exe或Rundll.exe，独立运行都是毫无作用的，要在程序后面指定加载DLL文件。在Windows的任务管理器中，我们只能看到rundll32.exe进程，而其实质是调用的DLL。我们可以利用进程管理器等软件来查看它具体运行了哪些DLL文件。

有些木马是利用Rundll32.exe加载DLL形式运行的，但大多数情况下Rundll32.exe都是加载系统的DLL文件，不用太担心。另外要提起的是，有些病毒木马利用名字与系统常见进程相似或相同特点，瞒骗用户。所以,要确定所运行的Rundll32.exe是在%systemroot%system32目录下的，注意文件名称也没有变化。

相信大家在论坛上很常看见那些高手给出的一些参数来简化操作，如rundll32.exe shell32.dll，Control_RunDLL，取代了冗长的“开始→设置→控制面板”，作为菜鸟的我们心里一定痒痒的。他们是怎么知道答案的？我们如何自己找到答案？分析上面命令可以知道，其实就是运行Rundll32.exe程序，指定它加载shell32.dll文件，而逗号后面的则是这个DLL的参数。了解了其原理，下面就可以自己挖掘出很多平时罕为人知的参数了。

第一步：运行eXeScope软件，打开一个某个DLL文件，例如shell32.dll。

第二步：选择“导出→SHELL32.DLL”，在右边窗口就可以看到此DLL文件的参数了。

第三步：这些参数的作用一般可以从字面上得知，所以不用专业知识。要注意的是，参数是区分大小写的，在运行时一定要正确输入，否则会出错。现在随便找一个参数，例如RestartDialog，从字面上理解应该是重启对话框。组合成一个命令，就是Rundll32.exe shell32.dll，RestartDialog ，运行后可以看见平时熟悉的Windows重启对话框。

现在，我们已经学会了利用反编译软件来获取DLL文件中的参数，所以以后看到别人的一个命令，可以从调用的DLL文件中获取更多的命令。自己摸索，你就能了解更多调用DLL文件的参数了。

小资料

常用的rundll32参数

命令: rundll32.exe shell32.dll,Control_RunDLL

功能: 显示控制面板

命令: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1

功能: 显示“控制面板→辅助选项→键盘”

命令: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1

功能: 执行“控制面板→添加新硬件”

命令: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter

功能: 执行“控制面板→添加新打印机”

命令：rundll32.exe DISKCOPY.DLL,DiskCopyRunDll

功能：启动软盘复制窗口
参考资料：http://news.iva.cn/n717c8.shtml

D. rundll32.exe病毒根除方法

rundll32.exe是Dll（应用程序扩展）文件运行的依托，需调用Dlls的Dll文件依赖它而运行，是系统的正常进程。
但是，W32.Miroot.Worm病毒也使用了这个名字，也就是说Rundll32.exe也有可能是W32.Miroot.Worm病毒。
在开始－－搜索中输入rundll32.exe并在所有文件和文件夹中搜索，Rundll32.exe只有一个并且只会在System32这个文件夹下，如果搜索到多个Rundll32.exe则除System32下的之外全是病毒，先在进程管理器中结束掉所有Rundll32.exe的进程再把刚才搜索到的病毒文件全部删除。

E. rundll32

GHOST系统以后打开盘符的时候别双击打开，右键点击然后点打开，再下个360顽固木马专杀杀毒杀完毒重启再杀，里面杀到的文件有路径找下，删除C:\Documents and Settings\Administrator\Local Settings\Temp，
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files这两个文件夹的文件，删除不掉的粉碎，然后在系统文件里面删除掉你中毒时间开始新创建的文件一般病毒都可以K掉的，注意打开别的盘的文件的时候都不要双击打开，要右键点打开。

F. 怎么查看rundll32.exe是谁调用的，是加载执行了什么才冒出来的占CPU的

开始运行，输入msconfig - 启动 里面查看 有没有 调用 rundll32.exe的
最近发现电脑开机冒出来 rundll32.exe，原来是HP打印机驱动造成的，启动里去掉勾，确定重启就OK了

G. rundll32是什么东西，进程都不能杀．

在处理一些系统问题的时候，大家可能会经常遇到RUNDLL32.EXE这个程序，并且它经常和一些病毒和恶意程序有关，所以大家可以会认为它不是个好东西，但其实这是大家对RUNDLL32.EXE的不了解，现在我来给大家简单地介绍一下RUNDLL32.EXE这个工具和它的性质，相信大家以后就不会这么想。

RUNDLL32.EXE，在WIN9X上还有另一个类似的工具RUNDLL.EXE，是WINDOWS操作系统自带的工具，它们本身并不提供给用户什么实质性的应用功能，要了解RUNDLL32.EXE的作用，就得先从DLL(动态连接库)说起。

大家一定都知道，我们的WINDOWS系统里面有很多DLL，这些DLL提供一些很多软件要用到的功能，这样系统中只要存在某一个DLL，所有调用这个DLL里面的功能的程序，就不用把这个功能包含在他们自己里面，这些程序只要调用这个DLL里面的功能就行了，这就是对DLL的简单解释。归纳起来，DLL就是一个包含了一个或多个功能模块，给其他应用程序调用的功能库。

一般来说，在WINDOWS中，可执行文件的扩展名是EXE，而DLL文件是不能直接执行的，这不仅仅是因为DLL文件的扩展名和可执行文件不一样，而且它们的结构也是不一样的。正常情况下，是由一个程序文件调用某个DLL里面的某个模块，来实现这个模块的功能，但有时候需要单独执行DLL中某个有用的模块，怎么办呢？于是MS就在WINDOWS中提供了RUNDLL工具，就是由它调用某个DLL里面的某个模块，来实现这个DLL里面的被调用模块的功能。MS给它们的说明是：Run a DLL as an App，就是把一个DLL当成是一个应用程序来运行。

所以，RUNDLL本身并不向用户提供什么功能，单独运行它并没有什么作用，所以在运行时要指定一个DLL作为参数，并且一般还要指定要运行的是DLL里面的哪一个模块。举个例子来说，在WIN9X里面，很多系统提供的重要功能是放在一个叫user.exe的动态连接库里面，虽然它的扩展名是exe，但它事实上是一个动态连接库。而我们关机的时候其实就是由EXPLORER.EXE去调用这个user.exe里面一关机模块。知道了这些之后，我们就可以在桌面上建立一个快速关机的快捷方式，只要在桌面上点右键-新建-快捷方式，命令行输入这样的内容：RUNDLL32.EXE user.exe,exitwindows，再给这个快捷方式定个名字如快速关机就行了。其实这样就是用RUNDLL32去调用USER.EXE里面的EXITWINDOWS模块，这样就达到了建立关机快捷方式的目的。其实这个命令行意思就是告诉RUNDLL32，把USER.EXE这个动态连接库里面的exitwindows这个模块，当成一个应用程序来运行，就这么简单。要注意的是，在RUNDLL32后面的参数，第一个是要调用的动态连接库的文件名，后面紧跟一个逗号，再紧接着是这个动态连接库里面的模块名称，两个参数和逗号之间不能有空格。

明白了上面我所说的之后，你就知道RUNDLL32是什么样的性质，其实它是MS随WINDOWS系统提供的一个工具，它不是病毒和恶意程序，只是由于它的性质的关系，经常被一些病毒或恶意程序所利用，例如3721就是利用RUNDLL32来加载它的helper.dll和cnsmin.dll，来达到它的目的。因此，在启动项里面看到RUNDLL32不要吃惊，并不是很奇怪，甚至WINDOWS自己也会在启动时用RUNDLL32来调用它的电源管理模块，一般在WIN9X系统中，启动项都有这么一项(或者两项)：
位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
键名：LoadPowerProfile
键值：Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

但另外要注意的是，正常情况下，RUNDLL32运行后是不会驻留的，例如上面说的这一项，虽然是在启动时运行了，但RUNDLL32运行后不会驻留在内存，另外象NVIDIA显卡的驱动，安装后也会在启动时用RUNDLL32调用它的驱动的一些DLL来实现某些功能，但它们都不会驻留。所以当按CTRL_ALT_DEL时，不会看到RUNDLL32这样的进程。包括WIN2K和WINXP，正常的系统，在启动完成后，在进程列表里面应该是看不到有RUNDLL32项的，如果平时在进程列表中有看到RUNDLL32这样的项，那么应该是一些其他的程序调用了RUNDLL32，而且就很有可能是一些恶意程序或恶意插件了，所以要引起注意。

另外，在WIN9X系统上，有一个RUNDLL.EXE和一个RUNDLL32.EXE，我个人的理解是，它们的作用是一样的，只是用于不同格式的DLL，RUNDLL是用于16位格式的DLL，RUNDLL32是用于32位格式的DLL，不知道我的理解有没错。
还有，关于某个DLL里面到底提供了哪些模块供其他软件调用，一般可以用RESSCOPE或EXESCOPE之类的资源编辑软件来打开这个DLL，看它里面的EXPORT项里面就是和外输出的模块的名称。但要注意的是，不是每一个DLL里面的每一个模块都能用RUNDLL32来调用执行的。

H. rundll32.exe无法访问等，追加30分

rundll32.exe丢失或者损坏，可以尝试使用以下方法进行修复。

“潜行者”病毒以感染Windows系统文件rundll32.exe作为跳板，绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存，便会加载各种流行网游盗号木马（特征是扩展名为drv），盗取《天龙八部》，《剑网三》，《QQ地下城勇士》，《CF》等流行网游的账号。同时，也会使游戏过程中频繁卡机。

“系统文件替换病毒”的出现，意味着网游盗号产业进一步细化分工，可以为了绕过安全软件和网游保护而制作一种独立病毒。在过去，木马为了侵入网游，必须在启动项中进行加载，所以安全软件可以通过启动项检查发现是否有木马进入系统。而像“rundll32.exe病毒”这种通过感染rundll32.exe文件，从而将木马加载进网游进程的形势，可以绕过大多数安全软件的检测。这也是“系统文件感染病毒” 至今没有被主流杀软查杀的原因。

多数杀毒软件对“潜行者”病毒无法查杀，或查杀后造成系统找不到rundll32.exe文件，导致运行网游时弹出系统文件丢失提示。

rundll32.exe修复方法：

1、使用可牛免费杀毒进行全盘扫描能够完美清除该病毒，修复系统文件。

2、如果因其他杀软查杀，导致电脑出现rundll32.exe文件丢失，可以使用可牛系统文件修复工具进行系统文件完美修复。

可修复系统文件列表：

explorer.exe,explorer.exe,D3d8.dll,rpcss.dll,olepro32.dll,d3d8thk.dll,wsock32.dll,comdlg32.dll,d3d9.dll,lpk.dll,kernel32.dll,ksuser.dll,urlmon.dll,npptools.dll,rundll32.exe,comres.dll,imm32.dll,usp10.dll,midimap.dll,dinput8.dll,userenv.dll,,explorer.exe,conime.exe,msvcrt.dll,dbghelp.dll,D3D8THK.DLL,NETBIOS.SYS,msvcr71.dll,msimg32.dll,Userinit.exe,Explorer.exe,sensapi.dll

网络搜索：可牛系统文件修复工具

I. Windows主进程（Rundll32)是什么

没事最多是一个意外 rundll32是调用DLL文件的程序如果DLL意外的被结束就出现了这个不是什么事故

J. 我的系统中有很多个rundll32.exe进程

大哥呀，我的和你的是一摸一样啊，也是2003server的，不过我的已经达到40多个了

虽然进程多，但电脑还是可以正常运行的，我一直没解决掉，所以想了个本方法

把下面的代码考到记事本里，然后保存为.bat文件，RUNDLL32.EXE进程多了就运行一次就行了- -！@@

cls
@echo off
echo 结束Rundll32.exe进程
echo.
taskkill /im rundll32.exe /f
echo.
echo 按任意键退出!
pause>nul