关机或重起时怎么老会显示正在结束RUNDLL.32程序

正常的rundll32.exe是系统文件,它的功能是:以命令列方式呼叫32位的Windows动态链结库,即用它来运行32位DLL文件.换句话说,rundll32.exe是不会独立运行的,一定要在程序后面指定加载的DLL文件.
在Windows的任务管理器中,我们看到的rundll32.exe进程,其实质是调用了大量的dll文件.我们可以通过进程管理器查看软件(例如:瑞星卡卡上网助手)来得到它具体运行了哪些dll文件.

上面谈到了正常的rundll32.exe进程,它是针对有些木马来说的,这些木马会利用rundll32.exe加载dll的形式运行.鉴别是否木马调用了rundll32.exe进程,其主要方法是:
1.确定正在运行的rundll32.exe是否在%systemroot%system32目录下(%systemroot%是你的系统安装文件夹,一般为"C:\Windows").
2.要注意文件名称的变化,有些病毒木马会伪装成系统文件来运行,达到欺骗用户的目的.比如:rundll32.exe和rundl132.exe文件,他们用小写英文几乎看不到任何区别.这里我换成了大写字母,原来是RUNDLL32.EXE和RUNDL132.EXE文件,你是否一目了然呢(前面的是英文L,后面的是个数字1)!
3.用工具软件查看rundll32.exe具体调用了哪些dll文件,以此来判断是否中了病毒木马.这里以瑞星卡卡为例做一说明,下载并安装卡卡,然后打开主程序,在程序界面做如下操作:
1).点击""高级功能"选项卡下面的"进程管理",在"进程名称"中找到rundll32.exe后选中它;
2).你会在下方窗格中看到rundll32.exe调用模块的情况,点击"发行者",按"发行者"顺序排列(主要是便于查看);
3).发行者为"Microsoft Corporation(或Microsoft Corp.)"的是微软公司,一般可以忽略不计.主要查看排在"Microsoft Corporation"上方的&quo