【求助】到底是什么病毒啊，dllhost.exe winring0x64.sys又来了

Qlvaro

本帖最后由 Qlvaro 于 2023-4-15 03:06 编辑

上次在一个兄弟的帖子里发过中了这个病毒，没想到啊，今天病毒又出现了。

这次安装的是Win10了，就正常的03k.org激活，安装了一个IDM下载。今天中午CPU突然100%，风扇狂转，一看进程，COM Surrogate 100% CPU，还是关联到那个目录里的dllhost，打开目录一看，dll和这个winring0x64.sy又来了。

后面用symantec全盘扫描，又扫出一个Vscan.exe 病毒来。

求助各位，是被人盯上埋挖矿病毒吗？怎么样彻底解决啊。。

chao_hl

可能是某个监控软件，https://openlibsys.org/manual/
自己检查下。如果找不到，就用冰刃(现在叫PChunter)查一下进程注入，具体百度。

故渊-GS

我拿去吾爱破解问问

Qlvaro

QUOTE:

故渊-GS 发表于 2023-4-15 13:31
我拿去吾爱破解问问

好呀好呀，去发了么，发在哪个板块，我去看看

sldzbb

Coin Miner Trojan

https://howtofix.guide/winring0x64-sys-virus/

故渊-GS

本帖最后由故渊-GS 于 2023-4-15 17:55 编辑

QUOTE:

Qlvaro 发表于 2023-4-15 16:08
好呀好呀，去发了么，发在哪个板块，我去看看

一位大佬说的：
Winring0看下数字签名。这个是开源项目。里面是支持读取一些硬件信息的。比如 cpu相关。gpu相关。 winring064大概率就是恶意作者拿来用的。winring0可能不是恶意程序，这个是个开源的项目。恶意作者拿来用，这样可以不用自己写驱动。又用来利用做坏事的。
还是分析下dllhost把。 dllhost看看是不是微软的签名，是的话大概率就是你没找到真正的恶意程序。真正的恶意程序可能注入自己代码到 dllhost之中。典型的利用了白程序来做黑程序的事情。
如果找不到正主（恶意程序本身）那要么重装电脑。要么自己挂 process mointer + 火绒剑一条一条日志去分析。

还有人说是挖矿软件：
xmrig/xmrig：RandomX、KawPow、CryptoNight 和 GhostRider 统一 CPU/GPU 矿工和 RandomX 基准测试 (github.com)

chao_hl

本帖最后由 chao_hl 于 2023-4-15 18:06 编辑

QUOTE:

故渊-GS 发表于 2023-4-15 17:50
一位大佬说的：
Winring0看下数字签名。这个是开源项目。里面是支持读取一些硬件信息的。比如 cpu相关。 ...

也可能是激活程序本身，查一下激活程序的信息和进程，强制关闭（包括关闭相应的服务），然后观察下看还发作不。
如果还发作，那就是进程注入，用冰刃查看进程，字体红色的逐一排查，很简单的。
楼主安装的杀软SEP也可以查，只是它可能清楚不彻底。也可以使用它的上报功能，然后等回复。

Qlvaro

QUOTE:

故渊-GS 发表于 2023-4-15 17:50
一位大佬说的：
Winring0看下数字签名。这个是开源项目。里面是支持读取一些硬件信息的。比如 cpu相关。 ...

多谢多谢。
dllhost我看了签名，是微软的。

系统我都是全新安装的呢。上次的win11，和win10，都是一样，安装到msata盘里。

我一会再安装一下试试。下个你说的process monitor看看。

Qlvaro

QUOTE:

chao_hl 发表于 2023-4-15 18:04
也可能是激活程序本身，查一下激活程序的信息和进程，强制关闭（包括关闭相应的服务），然后观察下看还发 ...

是的，我今天在想，难道通过kms.03k.org那个激活或者idm的破解有什么问题？
03k激活一直在用，以前也在用，没有用什么激活工具，就是设03k的服务器地址。

格式化全新安装的win10，只激活了03k.org和安装了idm.

我晚点再试试，还是这两个操作。再安装你们说的软件，一定要找出原因来。