论坛 › 经典ThinkPad专区 › 【求助】到底是什么病毒啊，dllhost.exe winring0x64.sys又来了

Qlvaro 发表于 2023-4-15 03:04

【求助】到底是什么病毒啊，dllhost.exe winring0x64.sys又来了

本帖最后由 Qlvaro 于 2023-4-15 03:06 编辑



上次在一个兄弟的帖子里发过中了这个病毒，没想到啊，今天病毒又出现了。


这次安装的是Win10了，就正常的03k.org激活，安装了一个IDM下载。今天中午CPU突然100%，风扇狂转，一看进程，COM Surrogate 100% CPU，还是关联到那个目录里的dllhost，打开目录一看，dll和这个winring0x64.sy又来了。


后面用symantec全盘扫描，又扫出一个Vscan.exe 病毒来。

求助各位，是被人盯上埋挖矿病毒吗？怎么样彻底解决啊。。

chao_hl 发表于 2023-4-15 10:02

可能是某个监控软件，https://openlibsys.org/manual/
自己检查下。如果找不到，就用冰刃(现在叫PChunter)查一下进程注入，具体百度。

故渊-GS 发表于 2023-4-15 13:31

我拿去吾爱破解问问^,^

Qlvaro 发表于 2023-4-15 16:08

故渊-GS 发表于 2023-4-15 13:31
我拿去吾爱破解问问

好呀好呀，去发了么，发在哪个板块，我去看看

sldzbb 发表于 2023-4-15 16:26

Coin Miner Trojan

https://howtofix.guide/winring0x64-sys-virus/

故渊-GS 发表于 2023-4-15 17:50

本帖最后由 故渊-GS 于 2023-4-15 17:55 编辑

Qlvaro 发表于 2023-4-15 16:08
好呀好呀，去发了么，发在哪个板块，我去看看一位大佬说的：
Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。gpu相关。 winring064大概率就是恶意作者拿来用的。winring0可能不是恶意程序，这个是个开源的项目。 恶意作者拿来用，这样可以不用自己写驱动。又用来利用做坏事的。
还是分析下dllhost把。 dllhost看看是不是微软的签名，是的话大概率就是你没找到 真正的恶意程序。 真正的恶意程序可能注入自己代码到 dllhost之中。 典型的利用了白程序来做黑程序的事情。
如果找不到正主（恶意程序本身）那要么重装电脑。要么自己挂 process mointer + 火绒剑 一条一条日志去分析。

还有人说是挖矿软件：
xmrig/xmrig：RandomX、KawPow、CryptoNight 和 GhostRider 统一 CPU/GPU 矿工和 RandomX 基准测试 (github.com)

chao_hl 发表于 2023-4-15 18:04

本帖最后由 chao_hl 于 2023-4-15 18:06 编辑

故渊-GS 发表于 2023-4-15 17:50
一位大佬说的：
Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。 ...
也可能是激活程序本身，查一下激活程序的信息和进程，强制关闭（包括关闭相应的服务），然后观察下看还发作不。
如果还发作，那就是进程注入，用冰刃查看进程，字体红色的逐一排查，很简单的。
楼主安装的杀软SEP也可以查，只是它可能清楚不彻底。也可以使用它的上报功能，然后等回复。

Qlvaro 发表于 2023-4-15 20:56

故渊-GS 发表于 2023-4-15 17:50
一位大佬说的：
Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。 ...

多谢多谢。
dllhost我看了签名，是微软的。

系统我都是全新安装的呢。上次的win11，和win10，都是一样，安装到msata盘里。

我一会再安装一下试试。下个你说的process monitor看看。

Qlvaro 发表于 2023-4-15 20:58

chao_hl 发表于 2023-4-15 18:04
也可能是激活程序本身，查一下激活程序的信息和进程，强制关闭（包括关闭相应的服务），然后观察下看还发 ...

是的，我今天在想，难道通过kms.03k.org那个激活或者idm的破解有什么问题？
03k激活一直在用，以前也在用，没有用什么激活工具，就是设03k的服务器地址。

格式化全新安装的win10，只激活了03k.org和安装了idm.

我晚点再试试，还是这两个操作。再安装你们说的软件，一定要找出原因来。

chao_hl 发表于 2023-4-15 22:29

Qlvaro 发表于 2023-4-15 20:58
是的，我今天在想，难道通过kms.03k.org那个激活或者idm的破解有什么问题？
03k激活一直在用，以前也在用 ...

dllhost要是微软签名的话，那就是被注入了进程或线程啥的（具体我页不懂），一般的进程监控工具是查不出来的，据我所知只有冰刃。
其实，你只要SEP开着，就没什么大事——我用了近20年了，从没中过招；唯一一次在宾馆被其它客房配的电脑持续攻击，导致上不了网。

peter_onion 发表于 2023-4-16 07:50

TB买个序列号，几块钱而已。


这种所谓免费的激活我早在几年前就放弃。看似白嫖，实际更费时费力。




免费才是最贵的。

luoyang55 发表于 2023-4-16 08:37

一直用的kms激活，挺稳定的，需要的话留言，我上百度网盘地址

倍哥也是哥 发表于 2023-6-30 13:35

楼主要检查自己的系统是通过什么方式安装的

iloveu1234 发表于 2023-6-30 16:54

那你安装的idm是破解的，可能带有。上传idm去杀毒吧

Huyh 发表于 2023-7-4 13:24

哪来的idm，破解的吗

查看完整版本: 【求助】到底是什么病毒啊，dllhost.exe winring0x64.sys又来了