一.Rundll32介绍和使用方法

动态链接库函数启动器——Rundll32　

　 　经常听到有些朋友说:呀！系统的注册表启动项目有rundll32.exe，系统进程也有rundll32.exe，是不是病毒呀？其实，这是对 rundll32.exe接口不了解，它的原理非常简单，了解并掌握其原理对于我们平时的应用非常有用，如果能理解了原理，我们就能活学活用，自己挖掘 DLL参数应用技巧。

Rundll32.exe和Rundll.exe的区别

所谓 Rundll.exe，可以把它分成两部分，Run(运行)和DLL(动态数据库)，所以，此程序的功能是运行那些不能作为程序单独运行的DLL文件。而 Rundll32.exe则用来运行32位DLL文件。Windows 2000/XP都是NT内核系统，其代码都是纯32位的，所以在这两个系统中，就没有rundll.exe这个程序。

相反， Windows 98代码夹杂着16位和32位，所以同时具有Rundll32.exe和Rundll.exe两个程序。这就是为什么Windows 98的System文件夹为主系统文件夹，而到了Windows 2000/XP时就变成System32为主系统文件夹(这时的System文件夹是为兼容16位代码设立的)。

Rundll.exe是病毒？

无论是Rundll32.exe或Rundll.exe，独立运行都是毫无作用的，要在程序后面指定加载DLL文件。在Windows的任务管理器 中，我们只能看到rundll32.exe进程，而其实质是调用的DLL。我们可以利用进程管理器等软件（本刊2004年21期有介绍）来查看它具体运行 了哪些DLL文件。

有些木马是利用Rundll32.exe加载DLL形式运行的，但大多数情况下Rundll32.exe 都是加载系统的DLL文件，不用太担心。另外要提起的是，有些病毒木马利用名字与系统常见进程相似或相同特点，瞒骗用户。所以,要确定所运行的 Rundll32.exe是在%systemroot%system32目录下的，注意文件名称也没有变化。

“rundll32.exe”的原文件在C:\\WINNT\\system32\\dllcache中有备份，你可以从这里复制出来。

1，

手工清除Trojan.Killonce病毒
日期：2003:8:4 ·来源：蔫老虎在线 作者：平生一笑 查看:[大字体 中字体 小字体]

(1) 在WINDOWS目录中查找run32.exe文件，如果发现则证明病毒存在，则将同目录下的rundll32.exe文件删除，将run32.exe文件改名为：rundll32.exe。

　　(2) 在WINDOWS目录中查找regedit.exe.sys 文件，如果找到则证明病毒存在，将同目录下的regedit.exe文件删除，将regedit.exe.sys文件改名为regedit.exe。

　　如果无法删除这些文件，可以用启动盘进入DOS模式下，将这些病毒文件删除。然后，进入注册表编辑器，查看注册表的 HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run项，看其中是否有 上面提到的文件，如果有，则将这些键值删除即可清除病毒注册的键值；查看注册表的HKEY_CLASSES_ROOT\Exefile\shell\ open\command的键值，正确的“默认”项的内容为：“"%1"%*”，如果不是，则修改；查看注册表的HKEY_CLASSES_ROOT\ Txtfile\shell\open\command的键值，正确的“默认”项的内容为：“%SystemRoot%\system32\ NOTEPAD.EXE %1”，如果不是，则修改。此时，病毒被清除。

　　另外rundll32.exe是系统文件，必须改名或者在dos下才能删除，也就是说不能隔离。
另外请卸掉3721