文章大纲：

• 1、一个叫SysWoWa8.dll的文件无法删除``好像是木马``高手进
• 2、SysWoWa8.dll是木马吧??
• 3、刚用杀毒软件查木马，怎么所有DLL都是病毒啊？连WOW的DLL都是毒。怎么回事？
• 4、WIN7 WmiPrvSE.exe在sysWOW64里的wbem
• 5、c:\windows\system32\msdll.dll这个程序一开机就运行而且显示是木马病毒请问应该怎么删除啊，谢谢回答。
• 6、急!这个木马怎么杀啊?

一个叫SysWoWa8.dll的文件无法删除``好像是木马``高手进

用unlocker解除调用删除 看看会不会再出现,如果还会出现的话,那一定还有一个在监视他的存在,你这个比较麻烦,更好是扫描一个报告分析一下

想要手工删除的话,那要先得到一个报告才行

SysWoWa8.dll是木马吧??

yeugwq.dll 感染病毒，你的杀毒软件把它给删除了。它是和数据库文件，是你的机器被病毒入侵了。

有几种解决办法：1，你重新装系统，这样会比较麻烦。2，如果你系统做个备份的话，恢复一下。

3，你用U盘把别人机器里的那个文件拷贝过来，直接覆盖原来的yeugwq.dll。这样也可以。

4.开始--运行-输入msconfig 。查看启动项。。

把不相关的开机运行软件都给关了。。

只留ctfmon（输入法）。。显卡。。杀毒软件。。

还不行的话。。

在开始--运行--输入

regsvr32 /u C:\WINDOWS\system32\yeugwq.dll

刚用杀毒软件查木马，怎么所有DLL都是病毒啊？连WOW的DLL都是毒。怎么回事？

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的 *** 。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。

病毒进程隐藏三法

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.以假乱真

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下（Windows2000则是C:WINNTsystem32目录），如果病毒将自身复制到“C:WINDOWS”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

3.借尸还魂

除了上文中的两种 *** 外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

系统进程解惑

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

svchost.exe

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测 *** 也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:WINDOWSsystem32”目录外，那么就可以判定是病毒了。

explorer.exe

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:Windows”目录，除此之外则为病毒。

iexplore.exe

常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。

iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

rundll32.exe

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”，在别的目录则可以判定是病毒。

spoolsv.exe

常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和 *** 打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。

限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：

1.仔细检查进程的文件名；

2.检查其路径。

通过这两点，一般的病毒进程肯定会露出马脚。

找个管理进程的好帮手

系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具，例如Procexp。Procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让假冒系统进程的病毒进程无处可藏。

运行Procexp后，进程会被分为两大块，“System Idle Process”下属的进程属于系统进程，

explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是病毒冒充的。

WIN7 WmiPrvSE.exe在sysWOW64里的wbem

只能说在sysWOW的文件夹里不容易有病毒，因为它是X64系统下的一个系统核心文件夹，等同于32位系统的SYSTEM32，但如果感觉真中毒了更好重新安装系统得了！

c:\windows\system32\msdll.dll这个程序一开机就运行而且显示是木马病毒请问应该怎么删除啊，谢谢回答。

msdll.dll

进程文件： msdll 或 msdll.dll

进程位置： WINDOWS\system32\msdll.dll

程序名称： Troj.Lineage.im或Win32.Troj.WOW.a.43008

程序用途： 木马病毒，用于窃密。

程序作者：

系统进程： 否

后台程序： 是

使用 *** ： 是

硬件相关： 否

安全等级：

进程分析： “天堂木马变种im”(Troj.Lineage.im)相关程序，这是一个窃取天堂游戏帐号和密码的木马病毒。

：这个病毒是以偷取天堂游戏账号和密码的病毒，当电脑感染了这种病毒时，系统会要求重启（这是病毒的目的），重启后病毒就开始运行了，一旦在启动里发现“天堂”就立即把帐号和密码发送到指定邮箱。

分析msdll.dll及删除 ***

删除 *** ：

首先建议在安全模式下全盘杀毒

开机按F8即可选择进入安全模式！

这是一个盗取魔兽游戏帐号和密码的木马程序．

该病毒能释放病毒文件，修改注册表项，关闭大量安全软件；能自动查找魔兽的窗口，安装消息钩子，截获用户输入的信息，然后通过自带的 *** tp引擎发送到指定邮箱．该病毒还能从指定网地址下载病毒文件，并运行．该病毒有一个特点，必须重新启动机器后才能盗取魔兽密码，而且盗号功能只针对xp以上的系统．

1,释放文件到以下目录:

%system%\msdll.dll

%windows%\

%root%\Program Files\svhost32.exe

2,增加注册表项:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\

"load" = "%root%\Program Files\svhost32.exe"

达到自启动的目的

3,关闭下列进程:

'RavMon.exe'

'天网防火墙个人版'

'天网防火墙企业版'

'TfLockDownMain'

'ZoneAlarm'

'噬菌体'

'ZAFrameWnd'

'EGHOST.EXE'

'MAILMON.EXE'

'KAVPFW.EXE'

'IPARMOR.EXE'

'Ravmon.EXE'

5,修改wininit.ini文件，把病毒释放的dll以重命名的方式，替换掉一个系统文件．导致每次这个系统文件被掉用的时候，该带病的dll被调用．要利用这种方式，需要重新启动用户机器．

6,病毒释放的%system%\msdll.dll文件，是一个专门盗取魔兽游戏帐号和密码的病毒．该病毒能够安装消息钩子，自动查找魔兽游戏的窗口，记录用户输入的帐号和密码等信息，然后把病毒信息发送到指定的邮箱．

rundll32 - rundll32.exe - 进程信息

进程文件： rundll32 或者 rundll32.exe

进程名称： Microsoft Rundll32

描述：

rundll32.exe用于在内存中运行DLL文件，用于需要调用DLLs的程序。它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意：rundll32.exe也可能是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者： Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程： 是

后台程序： 是

使用 *** ： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

Adware: 否

广告软件： 否

木马: 否

Rundll32.exe是什么？顾名思意，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部

函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。

如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。当然，

这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动

态链接程序库。系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意

一下。在来看看Rundll32.exe使用的函数原型：

Void CALLBACK FunctionName (

HWND hwnd,

HINSTANCE hinst,

LPTSTR lpCmdLine,

Int nCmdShow

);

其命令行下的使用 *** 为：Rundll32.exe DLLname,Functionname [Arguments]

DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；

[Arguments]为引出函数的具体参数。

略谈Rundll32.exe的作用 (我是菜鸟)

常用Windows9x的朋友一定对Rundll32.exe和Rundll.exe这两个档案不会陌生吧，不过,由於这两个程式

的功能原先只限於在微软内部使用，因而真正知道如何使用它们的朋友想必不多。那么好，如果你还不

清楚的话，那么就让我来告诉你吧。

首先，请你做个小实验（请事先保存好你正在执行的程式的结果，否则...）：点击“开始－程式－Ms

－Dos方式”，进入Dos视窗，然后键入rundll32.exe user.exe,restartwindows，再按下回车键，这时

你将看到，机器被重启了！怎么样，是不是很有趣？

当然，Rundll的功能绝不仅仅是重启你的机器。其实，Rundll者，顾名思义，执行Dll也，它的功能就

是以命令列的方式呼叫Windows的动态链结库，Rundll32.exe与Rundll.exe的区别就在於前者是呼叫32

位的链结库，而后者是运用於16位的链结库，它们的命令格式是：

RUNDLL.EXE ，，

这里要注意三点：1.Dll档案名中不能含有空格，比如该档案位於c:\ProgramFiles\目录，你要把这个

路径改成c:\Progra～1\；2.Dll档案名与Dll入口点间的逗号不能少，否则程式将出错并且不会给出任

何资讯！3.这是最重要的一点：Rundll不能用来呼叫含返回值参数的Dll，例如Win32API中的

GetUserName(),GetTextFace()等。在Visual Basic中，提供了一条执行外部程式的指令Shell,格式为：

Shell “命令列”

如果能配合Rundll32.exe用好Shell指令，会使您的VB程式拥有用其他 *** 难以甚至无法实现的效果：仍

以重启为例，传统的 *** 需要你在VB工程中先建立一个模组，然后写入WinAPI的声明，最后才能在程式

中呼叫。而现在只需一句:

Shell “rundll32.exe user.exe,restartwindows”就搞定了！是不是方便多了？

实际上，Rundll32.exe在呼叫各种Windows控制面板和系统选项方面有著独特的优势。下面，我就将本人

在因特网上收集的有关Rundll的指令列举如下（很有用的，能省去你很多呼叫Windows API的时间！！）

，供大家在程式设计中引用：

命令列: rundll32.exe shell32.dll,Control_RunDLL

功能: 显示控制面板

命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1

功能: 显示“控制面板－辅助选项－键盘”选项视窗

命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2

功能: 显示“控制面板－辅助选项－声音”选项视窗

命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,3

功能: 显示“控制面板－辅助选项－显示”选项视窗

命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,4

功能: 显示“控制面板－辅助选项－滑鼠”选项视窗

命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,5

功能: 显示“控制面板－辅助选项－传统”选项视窗

命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1

功能: 执行“控制面板－添加新硬体”向导。

命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter

功能: 执行“控制面板－添加新印表机”向导。

命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,1

功能: 显示 “控制面板－添加/删除程式－安装/卸载” 面板。

命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,2

功能: 显示 “控制面板－添加/删除程式－安装Windows” 面板。

命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,3

功能: 显示 “控制面板－添加/删除程式－启动盘” 面板。

命令列: rundll32.exe syncui.dll,Briefcase_Create

功能: 在桌面上建立一个新的“我的公文包”。

命令列: rundll32.exe diskcopy.dll,DiskCopyRunDll

功能: 显示复制软碟视窗

命令列: rundll32.exe apwiz.cpl,NewLinkHere ％1

功能: 显示“建立快捷方式”的对话框，所建立的快捷方式的位置由％1参数决定。

命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,0

功能: 显示“日期与时间”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,1

功能: 显示“时区”选项视窗。

命令列: rundll32.exe rnaui.dll,RnaDial [某个拨号连接的名称]

功能: 显示某个拨号连接的拨号视窗。如果已经拨号连接，则显示目前的连接状态的视窗。

命令列: rundll32.exe rnaui.dll,RnaWizard

功能: 显示“新建拨号连接”向导的视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0

功能: 显示“显示属性－背景”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1

功能: 显示“显示属性－萤屏保护”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,2

功能: 显示“显示属性－外观”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,3

功能: 显示显示“显示属性－属性”选项视窗。

命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL FontsFolder

功能: 显示Windows的“字体”档案夹。

命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3

功能: 同样是显示Windows的“字体”档案夹。

命令列: rundll32.exe shell32.dll,SHformatDrive

功能: 显示格式化软碟对话框。

命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,0

功能: 显示“控制面板－游戏控制器－一般”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,1

功能: 显示“控制面板－游戏控制器－进阶”选项视窗。

命令列: rundll32.exe mshtml.dll,PrintHTML (HTML文档)

功能: 列印HTML文档。

命令列: rundll32.exe shell32.dll,Control_RunDLL mlcfg32.cpl

功能: 显示Microsoft Exchange一般选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @0

功能: 显示“控制面板－滑鼠” 选项 。

命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1

功能: 显示 “控制面板－键盘属性－速度”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1,,1

功能: 显示 “控制面板－键盘属性－语言”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @2

功能: 显示Windows“印表机”档案夹。

命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3

功能: 显示Windows“字体”档案夹。

命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @4

功能: 显示“控制面板－输入法属性－输入法”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL modem.cpl,,add

功能: 执行“添加新调制解调器”向导。

命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,0

功能: 显示“控制面板－多媒体属性－音频”属性页。

命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,1

功能: 显示“控制面板－多媒体属性－视频”属性页。

命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,2

功能: 显示“控制面板－多媒体属性－MIDI”属性页。

命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,3

功能: 显示“控制面板－多媒体属性－CD音乐”属性页。

命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,4

功能: 显示“控制面板－多媒体属性－设备”属性页。

命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl @1

功能: 显示“控制面板－声音”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL netcpl.cpl

功能: 显示“控制面板－网路”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL odbccp32.cpl

功能: 显示ODBC32资料管理选项视窗。

命令列: rundll32.exe shell32.dll,OpenAs_RunDLL {drive:\path\filename}

功能: 显示指定档案(drive:\path\filename)的“打开方式”对话框。

命令列: rundll32.exe shell32.dll,Control_RunDLL password.cpl

功能: 显示“控制面板－密码”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL powercfg.cpl

功能: 显示“控制面板－电源管理属性”选项视窗。

命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL PrintersFolder

功能: 显示Windows“印表机”档案夹。

(同rundll32.exe shell32.dll,Control_RunDLL main.cpl @2)

命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,0

功能: 显示“控制面板－区域设置属性－区域设置”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,1

功能: 显示“控制面板－区域设置属性－数字”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,2

功能: 显示“控制面板－区域设置属性－货币”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,3

功能: 显示“控制面板－区域设置属性－时间”选项视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,4

功能: 显示“控制面板－区域设置属性－日期”选项视窗。

命令列: rundll32.exe desk.cpl,InstallScreenSaver [萤屏保护档案名]

功能: 将指定的萤屏保护档案设置为Windows的屏保，并显示萤屏保护属性视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,0

功能: 显示“控制面板－系统属性－传统”属性视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,1

功能: 显示“控制面板－系统属性－设备管理器”属性视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,2

功能: 显示“控制面板－系统属性－硬体配置档案”属性视窗。

命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3

功能: 显示“控制面板－系统属性－性能”属性视窗。

命令列: rundll32.exe user.exe,restartwindows

功能: 强行关闭所有程式并重启机器。

命令列: rundll32.exe user.exe,exitwindows

功能: 强行关闭所有程式并关机。

命令列: rundll32.exe shell32.dll,Control_RunDLL telephon.cpl

功能: 显示“拨号属性”选项视窗

命令列: rundll32.exe shell32.dll,Control_RunDLL themes.cpl

功能: 显示“桌面主旨”选项面板

当然，不止是VisualBasic，象Delphi.VisualC＋＋等其他程式设计语言也可以

通过呼叫外部命令的 *** 来使用Rundll的这些功能，具体 *** 这里就不再详细叙述了。

灵活的使用Rundll,一定会使你的程式设计轻轻松松，达到事半功倍的效果

急!这个木马怎么杀啊?

手工删除

1.我的电脑-工具--文件夹选项--查看-除去使用简单文件共享前的勾。

2.右击comresdk.dll，点击属性,会多出一个安全选项-（中间的）添加--选择用户或组，点高级--立即查找-双击你目前的管理员用户名-确定。

（我电脑里没comresdk.dll这个木马

不知道这样后有没有中间的安全选项）

3.返回到选择用户或组

，点确定--在comresdk.dll属性下组或用户名称中就有了你所设定的管理员用户。--点窗口下的高级--在弹出的comresdk.dll的高级安全设置窗口中选中过去的用户（不一定是SYSTEM，如果不是要先删除那个，才会出来SYSTEM，再来删除SYSTEM。下面两项如勾选过，把勾去掉）--编辑--全部清除--确定。

4.返回到comresdk.dll的高级安全设置窗口，点确定--回到comresdk.dll属性，把下面的完全控制勾选上--确定。这就完成了对此文件夹的控制权。

5.删除comresdk.dll