设为首页收藏本站
切换到窄版

 找回密码
 注册
快捷导航
专门网»论坛 笔记本技术 经典ThinkPad专区 【求助】到底是什么病毒啊,dllhost.exe winring0x64.sy ...
返回列表 发新帖
查看: 980|回复: 14

[系统] 【求助】到底是什么病毒啊,dllhost.exe winring0x64.sys又来了

[复制链接] |自动提醒
阅读字号:
Qlvaro

131

回帖

2

积分

5447

资产值

中级会员 Rank: 2Rank: 2

注册时间
2022-12-23
发表于 2023-4-15 03:04:47| 字数 255| - 广东省广州市 联通 | 显示全部楼层 |阅读模式
本帖最后由 Qlvaro 于 2023-4-15 03:06 编辑



上次在一个兄弟的帖子里发过中了这个病毒,没想到啊,今天病毒又出现了。


这次安装的是Win10了,就正常的03k.org激活,安装了一个IDM下载。今天中午CPU突然100%,风扇狂转,一看进程,COM Surrogate 100% CPU,还是关联到那个目录里的dllhost,打开目录一看,dll和这个winring0x64.sy又来了。


后面用symantec全盘扫描,又扫出一个Vscan.exe 病毒来。

求助各位,是被人盯上埋挖矿病毒吗?怎么样彻底解决啊。。











本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
回复 支持 反对

使用道具 举报

chao_hl

1445

回帖

17

积分

3687

资产值

白金会员 Rank: 3Rank: 3Rank: 3

注册时间
2010-5-26
发表于 2023-4-15 10:02:42| 字数 82| - 陕西省 移动/全省通用 来自iOS客户端 | 显示全部楼层
可能是某个监控软件,https://openlibsys.org/manual/
自己检查下。如果找不到,就用冰刃(现在叫PChunter)查一下进程注入,具体百度。
T410s,一代i5+4G*2,经典键盘+16:10屏,Excel算盘机
丐版Air M2,看片不如iPad,干活眼睛受不了,半吃灰中…
回复 支持 反对

使用道具 举报

故渊-GS

1878

回帖

20

积分

2万

资产值

白金会员 Rank: 3Rank: 3Rank: 3

注册时间
2023-1-23
月全勤勋章
发表于 2023-4-15 13:31:38| 字数 9| - 河南省洛阳市 联通 | 显示全部楼层
我拿去吾爱破解问问
主力:Y9000K 2021H 48G+4T i7 11800H RTX3080
备选:X13 GEN1 R7 4750;(三代以前的机器纯收藏)
送人:T480S i5 8350 16:10;X230 i5 3320;L480 i5 8250;
回复 支持 反对

使用道具 举报

Qlvaro

131

回帖

2

积分

5447

资产值

中级会员 Rank: 2Rank: 2

注册时间
2022-12-23
 楼主| 发表于 2023-4-15 16:08:44| 字数 58| - 广东省广州市 联通 | 显示全部楼层
QUOTE:
故渊-GS 发表于 2023-4-15 13:31
我拿去吾爱破解问问

好呀好呀,去发了么,发在哪个板块,我去看看
回复 支持 反对

使用道具 举报

sldzbb

72

回帖

1

积分

465

资产值

初级会员 Rank: 1

注册时间
2023-1-5
发表于 2023-4-15 16:26:44| 字数 60| - 江苏省无锡市 电信 | 显示全部楼层
Coin Miner Trojan

https://howtofix.guide/winring0x64-sys-virus/
回复 支持 1 反对

使用道具 举报

故渊-GS

1878

回帖

20

积分

2万

资产值

白金会员 Rank: 3Rank: 3Rank: 3

注册时间
2023-1-23
月全勤勋章
发表于 2023-4-15 17:50:05| 字数 463| - 河南省洛阳市 联通 | 显示全部楼层
本帖最后由 故渊-GS 于 2023-4-15 17:55 编辑
QUOTE:
Qlvaro 发表于 2023-4-15 16:08
好呀好呀,去发了么,发在哪个板块,我去看看
一位大佬说的:
Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。gpu相关。 winring064大概率就是恶意作者拿来用的。winring0可能不是恶意程序,这个是个开源的项目。 恶意作者拿来用,这样可以不用自己写驱动。又用来利用做坏事的。
还是分析下dllhost把。 dllhost看看是不是微软的签名,是的话大概率就是你没找到 真正的恶意程序。 真正的恶意程序可能注入自己代码到 dllhost之中。 典型的利用了白程序来做黑程序的事情。
如果找不到正主(恶意程序本身)那要么重装电脑。要么自己挂 process mointer + 火绒剑 一条一条日志去分析。

还有人说是挖矿软件:
xmrig/xmrig:RandomX、KawPow、CryptoNight 和 GhostRider 统一 CPU/GPU 矿工和 RandomX 基准测试 (github.com)

主力:Y9000K 2021H 48G+4T i7 11800H RTX3080
备选:X13 GEN1 R7 4750;(三代以前的机器纯收藏)
送人:T480S i5 8350 16:10;X230 i5 3320;L480 i5 8250;
回复 支持 1 反对

使用道具 举报

chao_hl

1445

回帖

17

积分

3687

资产值

白金会员 Rank: 3Rank: 3Rank: 3

注册时间
2010-5-26
发表于 2023-4-15 18:04:39| 字数 246| - 陕西省 移动/全省通用 来自iOS客户端 | 显示全部楼层
本帖最后由 chao_hl 于 2023-4-15 18:06 编辑
QUOTE:
故渊-GS 发表于 2023-4-15 17:50
一位大佬说的:
Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。 ...

也可能是激活程序本身,查一下激活程序的信息和进程,强制关闭(包括关闭相应的服务),然后观察下看还发作不。
如果还发作,那就是进程注入,用冰刃查看进程,字体红色的逐一排查,很简单的。
楼主安装的杀软SEP也可以查,只是它可能清楚不彻底。也可以使用它的上报功能,然后等回复。
T410s,一代i5+4G*2,经典键盘+16:10屏,Excel算盘机
丐版Air M2,看片不如iPad,干活眼睛受不了,半吃灰中…
回复 支持 反对

使用道具 举报

Qlvaro

131

回帖

2

积分

5447

资产值

中级会员 Rank: 2Rank: 2

注册时间
2022-12-23
 楼主| 发表于 2023-4-15 20:56:08| 字数 184| - 广东省广州市 电信 | 显示全部楼层
QUOTE:
故渊-GS 发表于 2023-4-15 17:50
一位大佬说的:
Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。 ...

多谢多谢。
dllhost我看了签名,是微软的。

系统我都是全新安装的呢。上次的win11,和win10,都是一样,安装到msata盘里。

我一会再安装一下试试。下个你说的process monitor看看。
回复 支持 反对

使用道具 举报

Qlvaro

131

回帖

2

积分

5447

资产值

中级会员 Rank: 2Rank: 2

注册时间
2022-12-23
 楼主| 发表于 2023-4-15 20:58:52| 字数 230| - 广东省广州市 电信 | 显示全部楼层
QUOTE:
chao_hl 发表于 2023-4-15 18:04
也可能是激活程序本身,查一下激活程序的信息和进程,强制关闭(包括关闭相应的服务),然后观察下看还发 ...

是的,我今天在想,难道通过kms.03k.org那个激活或者idm的破解有什么问题?
03k激活一直在用,以前也在用,没有用什么激活工具,就是设03k的服务器地址。

格式化全新安装的win10,只激活了03k.org和安装了idm.

我晚点再试试,还是这两个操作。再安装你们说的软件,一定要找出原因来。
回复 支持 反对

使用道具 举报

chao_hl

1445

回帖

17

积分

3687

资产值

白金会员 Rank: 3Rank: 3Rank: 3

注册时间
2010-5-26
发表于 2023-4-15 22:29:48| 字数 216| - 陕西省 移动/全省通用 来自iOS客户端 | 显示全部楼层
QUOTE:
Qlvaro 发表于 2023-4-15 20:58
是的,我今天在想,难道通过kms.03k.org那个激活或者idm的破解有什么问题?
03k激活一直在用,以前也在用 ...

dllhost要是微软签名的话,那就是被注入了进程或线程啥的(具体我页不懂),一般的进程监控工具是查不出来的,据我所知只有冰刃。
其实,你只要SEP开着,就没什么大事——我用了近20年了,从没中过招;唯一一次在宾馆被其它客房配的电脑持续攻击,导致上不了网。
T410s,一代i5+4G*2,经典键盘+16:10屏,Excel算盘机
丐版Air M2,看片不如iPad,干活眼睛受不了,半吃灰中…
回复 支持 反对

使用道具 举报

peter_onion - NB贤森

554

回帖

18

积分

2万

资产值

白金会员 Rank: 3Rank: 3Rank: 3

注册时间
2009-5-29
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)月全勤勋章年全勤勋章2023
发表于 2023-4-16 07:50:14| 字数 54| - 北京市 移动 | 显示全部楼层
TB买个序列号,几块钱而已。


这种所谓免费的激活我早在几年前就放弃。看似白嫖,实际更费时费力。




免费才是最贵的。
在用:X1 nano;X230
已出:X1C2017,X395,X61
回复 支持 反对

使用道具 举报

luoyang55

244

回帖

3

积分

1725

资产值

中级会员 Rank: 2Rank: 2

注册时间
2017-1-7
发表于 2023-4-16 08:37:18| 字数 30| - 重庆市 联通 来自手机版 | 显示全部楼层
一直用的kms激活,挺稳定的,需要的话留言,我上百度网盘地址
回复 支持 反对

使用道具 举报

倍哥也是哥 - web3password

6975

回帖

72

积分

4万

资产值

至尊会员I Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2018-11-12
月全勤勋章年全勤勋章2022年全勤勋章2023
发表于 2023-6-30 13:35:36| 字数 20| - 广东省深圳市 电信 | 显示全部楼层
楼主要检查自己的系统是通过什么方式安装的
x40 T40P X60s X61/s T61 X110e X200s/T X201s/T X220/T X230i X240 X210
回复 支持 反对

使用道具 举报

iloveu1234

24

回帖

8

积分

3968

资产值

黄金会员 Rank: 3Rank: 3Rank: 3

注册时间
2021-2-7
发表于 2023-6-30 16:54:33| 字数 27| - 广东省深圳市 电信 来自手机版 | 显示全部楼层
那你安装的idm是破解的,可能带有。上传idm去杀毒吧
回复 支持 反对

使用道具 举报

Huyh

182

回帖

2

积分

3168

资产值

中级会员 Rank: 2Rank: 2

注册时间
2023-7-4
发表于 2023-7-4 13:24:20| 字数 11| - 江西省南昌市 移动 来自安卓客户端 | 显示全部楼层
哪来的idm,破解的吗
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Powered by Discuz! X3.5 © 2001-2023 Comsenz Inc

GMT+8, 2024-5-19 14:32 , Processed in 0.130382 second(s), 48 queries , Gzip On, OPcache On.

手机版|小黑屋|安卓客户端|iOS客户端|Archiver|备用网址1|备用网址2|联系我们|专门网

返回顶部