dllhost.exe winring0x64.sys病毒
本帖最后由 guyuanGS 于 2023-4-15 17:49 编辑“上次在一个兄弟的帖子里发过中了这个病毒,没想到啊,今天病毒又出现了。
这次安装的是Win10了,就正常的03k.org激活,安装了一个IDM下载。今天中午CPU突然100%,风扇狂转,一看进程,COM Surrogate 100% CPU,还是关联到那个目录里的dllhost,打开目录一看,dll和这个winring0x64.sy又来了。
后面用symantec全盘扫描,又扫出一个Vscan.exe 病毒来。
求助各位,是被人盯上埋挖矿病毒吗?怎么样彻底解决啊。。”
朋友碰到的问题,来请教一下大佬们 本帖最后由 IBinary 于 2023-4-15 16:11 编辑
Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。gpu相关。 winring064大概率就是恶意作者拿来用的。winring0可能不是恶意程序,这个是个开源的项目。 恶意作者拿来用,这样可以不用自己写驱动。又用来利用做坏事的。
还是分析下dllhost把。 dllhost看看是不是微软的签名,是的话大概率就是你没找到 真正的恶意程序。 真正的恶意程序可能注入自己代码到 dllhost之中。 典型的利用了白程序来做黑程序的事情。
如果找不到正主(恶意程序本身)那要么重装电脑。要么自己挂 process mointer + 火绒剑 一条一条日志去分析。
提个建议,帖子改一下。字体都变成黑的了。发帖后看一下。 没人能看到你的贴子里面的字。 问问题就要有问问题的规范。这样才能让别人看的舒心,自然也就会回答你问题。 IBinary 发表于 2023-4-15 16:09
Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。gpu相关。 winri ...
谢谢大佬,我这就告诉我朋友{:1_893:}
字体那个我真的没注意到{:1_889:}我网页开了dark reader,所以看着以为没啥问题 挖矿病毒吧https://github.com/xmrig/xmrig wyp123 发表于 2023-4-15 17:49
挖矿病毒吧https://github.com/xmrig/xmrig
谢谢!我去和朋友说一下 winio winring0 一样的东西
主要提供io功能 赛门铁克好用吗 兄弟,你朋友IDM在哪里下载的?我好像也是近期下载了IDM破解包,就出现这个病毒。我是在https://www.crackingcity.com/ 下载的 读取硬件信息的 这不是dL1host吗?我曾经回答过这个问题,没想到又出现了,这就是挖坑,杀掉就行。
页:
[1]
2