什么是 rundll32.exe 以及如何判断它是合法的还是伪装的恶意软件?

最后更新: 17/09/2025
作者: 丹尼尔·特拉萨(Daniel Terrasa)

  • Rundll32.exe 是合法的:它为 Windows 和应用程序加载 DLL 函数。
  • 其有效位置是 System32/SysWOW64;除此之外,请保持警惕。
  • 恶意软件可以伪装自己或使用 rundll32 来启动 DLL。
  • 不要删除它:识别有问题的任务/DLL并使用反恶意软件。
什么是rundll32.exe

如果你遇到过 rundll32.exe 在任务管理器中,你想知道它到底是什么,你并不孤单:这个可执行文件经常出现,有时同时出现多个实例。 远非默认的入侵者,是 Windows 本身的一部分,其目的是加载和执行托管在 DLL 文件.

现在,合法并不意味着它不会被恶意利用。一些潜在有害程序和恶意软件会利用其名称或 他们利用真正的 rundll32 来启动恶意代码。在下面的几行中,我将告诉您它到底是什么、它应该在哪里、为什么它会显示错误或消耗 CPU、如何区分好与坏,以及在不破坏系统的情况下采取哪些步骤。

什么是 rundll32.exe 以及它有什么用途?

Rundll32.exe进程执行DLL

文件 rundll32.exe 它是一个原生 Windows 组件,用于 调用从动态链接库(DLL)导出的函数. 用简单的英语来说:当系统或应用程序需要执行驻留在 DLL 中的函数时,它可以通过 rundll32 调用它。

DLL 封装了许多程序共享的可重用代码块,从 网络、音频、视频或接口任务 与您交互。因此,在典型的 Windows 安装(7、10、11 等)中,存在数千个 DLL,而 rundll32 是协调它们的关键。

在哪里可以找到以及如何识别合法副本

在健康的系统中,您将看到 rundll32.exe 在类似的路线上 C:\ WINDOWS \ System32 (64 位环境)和 C:\ Windows \ SysWOW64 (x32 系统上兼容 64 位)。也可能有 MUI 文件 相关语言资源的子文件夹如下 en-US o pl-PL, 例如 C:\Windows\System32\en-US\rundll32.exe.mui.

如果你发现他正在逃避 Windows 目录之外的文件夹 (例如,在 AppData, ProgramData 或临时目录),请保持警惕。恶意软件通常会使用相同的名称进行伪装,但从另一个位置运行,以 干扰合法程序.

它是病毒吗?恶意软件如何利用它

简短的答案: 没有. Rundll32.exe 这不是病毒,而是 Windows自带的工具长期来看:有两个典型的陷阱。一是同名的恶意程序驻留在不同的路径中。二是木马通过真实的 rundll32 加载其恶意 DLL,因此您看到的进程是 Microsoft 的,但 正在运行恶意库.

独家内容 - 点击这里  如何阻止网站

在威胁历史中,提到了使用 rundll32 的家族,例如 兰基后门 o W32.Miroot.Worm。更常见的情况是,广告软件或侵入性浏览器扩展程序会利用它来启动最终导致 弹出窗口、重定向和 CPU 使用率这也是许多用户认为 rundll32“是病毒”的原因之一。

  • 如果你注意到 过多的广告 或插页窗口,可能存在依赖 rundll32 的广告软件。
  • 重定向到陌生网站 浏览器速度变慢也与 PUP/间谍软件有关。
  • 系统可以 变得懒惰 通过使用可疑 DLL 触发 rundll32 的进程。

为什么我会看到多个实例和错误消息?

任务管理器显示多个实例 这是正常的:不同的系统组件或第三方应用程序可以同时调用它。Windows 会分配任务,您会看到多个 rundll32 进程根据后台发生的情况并行运行。

不正常的是看到持续的 CPU 峰值或类似这样的消息 “错误代码:rundll32.exe” 在 Chrome、Edge、Firefox 或 IE 中浏览时。在这些情况下,建议怀疑 潜在有害程序 (PUP)、攻击性扩展或利用可执行文件加载其 DLL 的木马。

不要做的事情:删除 rundll32.exe

清除 rundll32.exe de System32/SysWOW64 这不是一个选项:这是一个文件 对于 Windows 来说至关重要删除它可能会破坏基本功能、导致崩溃或阻止系统加载必要的组件。

如果你认为 rundll32 正在做一些“不该做的事情”,那么明智的做法是 找出哪个进程或任务正在调用它 并将其切断:禁用或删除任务,卸载有问题的程序,清理 DLL,并使用良好的反恶意软件加强保护。

隐形恶意软件

如何检查实例是否是恶意的

这些检查可以帮助您区分合法使用和恶意使用,而不会引起恐慌或损坏系统。不过, 如果您感到不舒服,最好寻求帮助。 面向专业或专门社区。

  • 检查路线:在任务管理器中,添加“命令行”栏或打开进程的“属性”。如果 rundll32.exe 它不在 C:\Windows\System32 o C:\Windows\SysWOW64,不好的迹象。
  • 检查什么 DLL 正在加载: rundll32 后面通常跟着 DLL 的路径和导出函数。类似这样的路径 C:\ProgramData\... o C:\Users\...\AppData\... 需要审查。例如 cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue 显然是可疑的。
  • 检查一下 任务计划程序:搜索最近执行的任务或调用 rundll32 的混淆名称的任务。Microsoft 下的合法路径可以用作 正面 加载不正确的 DLL。
  • 帕萨 微软后卫 或可靠的反恶意软件:使用最新签名进行全面扫描将检测到大多数附加到 rundll32 的 PUP、广告软件、间谍软件和木马。
  • 审计塔 浏览器扩展:卸载所有不必要的程序,尤其是 VPN 代理扩展、下载程序或通常包含广告的“解锁程序”。
  • 使用诊断工具,例如 Process Explorer的 看到 父进程 (父进程)调用 rundll32 和可执行文件的数字签名。 微软的签名 在 System32/SysWOW64 中是正常的;奇怪的是 Windows 之外的插槽。
独家内容 - 点击这里  高通 X85 5G:利用 AI 重新定义移动连接的调制解调器

清洁和预防措施

第一层是常识: 卸载不使用的软件或容易受到广告软件影响的软件。为了彻底清洁,许多指南建议 雷沃卸载 在高级模式下删除“DuvApp”或侵入性“优化”套件等 PUP 的残余(文件夹、注册表项)。

然后,运行 使用 Microsoft Defender 进行全面扫描 如果您认为合适,还可以安装一个信誉良好的反恶意软件。这有助于追踪依赖 rundll32 的恶意 DLL 和计划任务 默默坚持.

在专业清理中,你会看到提到注册表备份(例如使用 DelFix)和使用 自定义脚本 使用 FRST (Farbar) 来修复策略、删除任务、解锁正在使用的 DLL 等。这些脚本 为每个团队量身定制:不要重复使用其他人的,因为这可能会损坏您的 Windows。

这些脚本的常见操作包括重置网络和防火墙(ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), 关闭流程, 删除文件夹 en ProgramData/AppData 链接到 PUP 并清理使用以下方式加载 DLL 的计划任务 rundll32.exe. 再次强调:专家之手效果更佳。

为了最大程度地降低未来的风险,请保留 Windows 和您的应用程序 随时更新,从官方网站下载软件,取消选中“快速”安装中的额外组件,并对出现在 标准路线.

有关地点和相关文件的更多线索

除了 System32 和 SysWOW64 之外,您还将看到资源文件 MUI 在语言文件夹中的 rundll32 en-US o pl-PL。它们不可执行,但是 本地化资源. 请参阅“rundll32”而不 .exe 在资源管理器中可能是由于 隐藏扩展 来自已知文件。

独家内容 - 点击这里  最好的在线防病毒软件

如果可疑实例不再出现,并且您的问题(例如 双重重音 在键盘上)消失,这表明有问题的乐曲 别的地方 并使用 rundll32 作为启动器。当它再次出现时,就该查看任务、扩展和连接的 DLL 了。

何时寻求高级帮助

如果在清理扩展程序、卸载 PUP 并运行反恶意软件后,仍然看到 rundll32 从 奇怪的路线,或者您注意到诸如剪贴板被篡改、恶意 USB 快捷方式和“瘫痪”的键盘等症状,请不要置之不理: 提供专业支持的咨询. 通常需要修复脚本 定制 对于你的球队来说 注册、任务和政策 通过手术。

记住:每台计算机本身都是一个世界。为另一台机器设计的脚本(引用了类似这样的文件夹) TreeCenter\BortValue 或特定的 DLL)在你的计算机上执行 让它不稳定。高级清洁不是复制粘贴,而是 个体诊断.

常见问题

  • 我可以删除 rundll32.exe 吗? 不可以。它是系统必不可少的组件。正确的做法是删除滥用它的触发器(任务、程序、DLL)。
  • 为什么会有多个实例? 因为不同的系统函数和第三方应用会并行调用它。多实例,低功耗,很正常。
  • 它应该在哪里? En C:\Windows\System32 和/或 C:\Windows\SysWOW64,其 MUI 文件位于语言子文件夹中。在 Windows 之外,请保持警惕。
  • 防病毒软件无法检测到它吗? 这种情况可能会发生,尤其是在使用 PUP 和广告软件时。不过,Microsoft Defender 和完整扫描通常可以识别大多数滥用行为,您也可以选择其他可靠的解决方案。
  • 有哪些明显的迹象表明发生了奇怪的事情? DLL 的外部路径(ProgramData, AppData)、剪贴板中的奇怪字符串、USB 上的恶意快捷方式、阻止波浪号和调用的计划任务 rundll32.exe 使用混淆的 DLL。

综上所述, rundll32.exe 是一个合法且必要的工具 就其本质而言,广告软件和木马可以利用它来运行不需要的 DLL。在指责可执行文件或删除它之前,请查看 实例路径了解哪些 DLL 被加载以及谁在调用它们;卸载 PUP、清理扩展程序、检查计划任务,并运行可靠的反恶意软件程序。通过这些措施,并在必要时获得高级支持,您可以 在不损害稳定的前提下解决侵权问题 您的 Windows 的。