什麼是 rundll32.exe 以及如何判斷它是合法的還是偽裝的惡意軟體?

最後更新: 17/09/2025
作者: 丹尼爾·特拉薩(Daniel Terrasa)

  • Rundll32.exe 是合法的:它為 Windows 和應用程式載入 DLL 函數。
  • 其有效位置為 System32/SysWOW64;除此之外,請保持警覺。
  • 惡意軟體可以偽裝自己或使用 rundll32 來啟動 DLL。
  • 不要刪除它:識別有問題的任務/DLL並使用反惡意軟體。
什麼是rundll32.exe

如果你遇到過 rundll32.exe 在任務管理器中,你會想知道它到底是什麼,你並不孤單:這個可執行檔經常出現,有時同時出現多個實例。 遠非預設的入侵者,是 Windows 本身的一部分,其目的是載入和執行託管在 DLL 文件.

現在,合法並不意味著它不會被惡意利用。一些潛在有害程式和惡意軟體會利用其名稱或 他們利用真正的 rundll32 來啟動惡意程式碼。在下面的幾行中,我將告訴您它到底是什麼、它應該在哪裡、為什麼它會顯示錯誤或消耗 CPU、如何區分好與壞,以及在不破壞系統的情況下採取哪些步驟。

什麼是 rundll32.exe 以及它有什麼用途?

Rundll32.exe進程執行DLL

文件 rundll32.exe 它是一個原生 Windows 元件,用於 呼叫從動態連結庫(DLL)導出的函數. 用簡單的英語來說:當系統或應用程式需要執行駐留在 DLL 中的函數時,它可以透過 rundll32 呼叫它。

DLL 封裝了許多程式共享的可重複使用程式碼區塊,從 網路、音訊、視訊或介面任務 與您互動。因此,在典型的 Windows 安裝(7、10、11 等)中,有數千個 DLL,而 rundll32 是協調它們的關鍵。

在哪裡可以找到以及如何識別合法副本

在健康的系統中,您將看到 rundll32.exe 在類似的路線上 C:\ WINDOWS \ System32 (64 位元環境)和 C:\ Windows \ SysWOW64 (x32 系統上相容於 64 位元)。也可能有 MUI 檔案 相關語言資源的子資料夾如下 en-US o pl-PL例如 C:\Windows\System32\en-US\rundll32.exe.mui.

如果你發現他正在逃避 Windows 目錄以外的資料夾 (例如,在 AppData, ProgramData 或暫存目錄),請保持警覺。惡意軟體通常會使用相同的名稱進行偽裝,但從另一個位置運行,以 幹擾合法程序.

它是病毒嗎?惡意軟體如何利用它

簡短的答案: 沒有. Rundll32.exe 這不是病毒,而是 Windows自備的工具長期來看:有兩個典型的陷阱。一是同名的惡意程式駐留在不同的路徑中。二是木馬透過真實的 rundll32 載入其惡意 DLL,因此您看到的進程是 Microsoft 的,但 正在運行惡意庫.

獨家內容 - 點擊這裡  如何阻止網站

在威脅歷史中,提到了使用 rundll32 的家族,例如 蘭基後門 o W32.Miroot.Worm。更常見的情況是,廣告軟體或侵入性瀏覽器擴充功能會利用它來啟動最終導致 彈出視窗、重新導向和 CPU 使用率這也是許多用戶認為 rundll32「是病毒」的原因之一。

  • 如果你注意到 過多的廣告 或插頁窗口,可能存在依賴 rundll32 的廣告軟體。
  • 重定向到陌生網站 瀏覽器速度變慢也與 PUP/間諜軟體有關。
  • 系統可以 變得懶惰 透過使用可疑 DLL 觸發 rundll32 的進程。

為什麼我會看到多個實例和錯誤訊息?

工作管理員顯示多個實例 這是正常的:不同的系統元件或第三方應用程式可以同時呼叫它。 Windows 會指派任務,您會看到多個 rundll32 進程會根據背景發生的情況並行執行。

不正常的是看到持續的 CPU 峰值或類似這樣的訊息 “錯誤代碼:rundll32.exe” 在 Chrome、Edge、Firefox 或 IE 中瀏覽時。在這些情況下,建議懷疑 潛在有害程序 (PUP)、攻擊性擴充功能或利用可執行檔載入其 DLL 的木馬。

不要做的事情:刪除 rundll32.exe

清除 rundll32.exe de System32/SysWOW64 這不是一個選項:這是一個文件 對 Windows 來說至關重要刪除它可能會破壞基本功能、導致崩潰或阻止系統載入必要的元件。

如果你認為 rundll32 正在做一些“不該做的事情”,那麼明智的做法是 找出哪個進程或任務正在呼叫它 並將其切斷:停用或刪除任務,卸載有問題的程序,清理 DLL,並使用良好的反惡意軟體加強保護。

隱形惡意軟體

如何檢查實例是否是惡意的

這些檢查可以幫助您區分合法使用和惡意使用,而不會引起恐慌或損壞系統。不過, 如果您感到不舒服,最好尋求協助。 面向專業或專門社區。

  • 檢查路線:在工作管理員中,新增「命令列」列或開啟進程的「屬性」。如果 rundll32.exe 不在 C:\Windows\System32 o C:\Windows\SysWOW64,不好的跡象。
  • 檢查什麼 DLL 正在載入: rundll32 後面通常跟著 DLL 的路徑和導出函數。類似這樣的路徑 C:\ProgramData\... o C:\Users\...\AppData\... 需要審查。例如 cnbsofcVIdcorsn.dll en ProgramData\TreeCenter\BortValue 顯然是可疑的。
  • 檢查一下 任務計劃程序:搜尋最近執行的任務或呼叫 rundll32 的混淆名稱的任務。 Microsoft 下的合法路徑可用作 正面 載入不正確的 DLL。
  • 帕薩 微軟Defender 或可靠的反惡意軟體:使用最新簽名進行全面掃描將偵測到大多數附加到 rundll32 的 PUP、廣告軟體、間諜軟體和木馬。
  • 審計 瀏覽器擴展:卸載所有不必要的程序,尤其是 VPN 代理擴充功能、下載程式或通常包含廣告的「解鎖程序」。
  • 使用診斷工具,例如 Process Explorer的 看到 父親行程 (父進程)呼叫 rundll32 和可執行檔的數位簽章。 微軟的簽名 在 System32/SysWOW64 中是正常的;奇怪的是 Windows 以外的插槽。
獨家內容 - 點擊這裡  高通 X85 5G:利用 AI 重新定義行動連線的數據機

清潔和預防措施

第一層是常識: 卸載不使用的軟體或容易受到廣告軟體影響的軟體。為了徹底清潔,許多指南建議 Revo Uninstaller 在進階模式下刪除「DuvApp」或侵入性「最佳化」套件等 PUP 的殘餘(資料夾、登錄項目)。

然後,運行 使用 Microsoft Defender 進行全面掃描 如果您認為合適,您也可以安裝一個信譽良好的反惡意軟體。這有助於追蹤依賴 rundll32 的惡意 DLL 和排程任務 默默堅持.

在專業清理中,你會看到提到註冊表備份(例如使用 DelFix)和使用 自定義腳本 使用 FRST (Farbar) 來修復策略、刪除任務、解鎖正在使用的 DLL 等。這些腳本 為每個團隊量身定制:不要重複使用其他人的,因為這可能會損壞您的 Windows。

這些腳本的常見操作包括重置網路和防火牆(ipconfig /flushdns, netsh winsock reset, netsh advfirewall reset), 關閉流程, 刪除資料夾 en ProgramData/AppData 連結到 PUP 並清理使用以下方式載入 DLL 的排程任務 rundll32.exe. 再次強調:專家之手效果更佳。

為了最大程度地降低未來的風險,請保留 Windows 和您的應用程式 隨時更新,從官方網站下載軟體,取消選取「快速」安裝中的額外元件,並對出現在 標準路線.

有關地點和相關文件的更多線索

除了 System32 和 SysWOW64 之外,您還將看到資源文件 MUI 在語言資料夾中的 rundll32 en-US o pl-PL。它們不可執行,但是 在地化資源. 請參閱“rundll32”而不 .exe 在資源管理器中可能是由於 隱藏擴充 來自已知文件。

獨家內容 - 點擊這裡  最好的在線防病毒軟件

如果可疑實例不再出現,並且您的問題(例如 雙重重音 在鍵盤上)消失,這表示有問題的樂曲 別的地方 並使用 rundll32 作為啟動器。當它再次出現時,就該查看任務、擴充和連接的 DLL 了。

何時尋求高級協助

如果在清理擴充功能、卸載 PUP 並執行反惡意軟體後,仍然看到 rundll32 從 奇怪的路線,或者您注意到諸如剪貼簿被篡改、惡意 USB 快捷方式和「癱瘓」的鍵盤等症狀,請不要置之不理: 提供專業支援的諮詢. 通常需要修復腳本 習俗 對你的球隊來說 註冊、任務和政策 透過手術。

記住:每台電腦本身都是一個世界。為另一台機器設計的腳本(引用了類似這樣的資料夾) TreeCenter\BortValue 或特定的 DLL)在你的電腦上執行 讓它不穩定。高級清潔不是複製貼上,而是 個別診斷.

Preguntas frecuentes

  • 我可以刪除 rundll32.exe 嗎? 不可以。它是系統必不可少的組件。正確的做法是刪除濫用它的觸發器(任務、程式、DLL)。
  • 為什麼會有多個實例? 因為不同的系統函數和第三方應用程式會並行呼叫它。多實例,低功耗,很正常。
  • 它應該在哪裡? En C:\Windows\System32 和/或 C:\Windows\SysWOW64,其 MUI 檔案位於語言子資料夾中。在 Windows 之外,請保持警覺。
  • 防毒軟體無法偵測到它嗎? 這種情況可能會發生,尤其是在使用 PUP 和廣告軟體時。不過,Microsoft Defender 和完整掃描通常可以識別大多數濫用行為,您也可以選擇其他可靠的解決方案。
  • 有哪些明顯的跡象顯示發生了奇怪的事情? DLL 的外部路徑(ProgramData, AppData)、剪貼簿中的奇怪字串、USB 上的惡意捷徑、阻止波浪號和呼叫的計劃任務 rundll32.exe 使用混淆的 DLL。

簡而言之, rundll32.exe 是合法且必要的工具 就其本質而言,廣告軟體和木馬可以利用它來運行不需要的 DLL。在指責可執行檔或刪除它之前,請查看 實例路徑了解哪些 DLL 被載入以及誰在呼叫它們;卸載 PUP、清理擴充功能、檢查排程任務,並執行可靠的反惡意軟體程式。透過這些措施,並在必要時獲得高級支持,您可以 在不損害穩定的前提下解決侵權問題 您的 Windows 的。