dllhost.exe winring0x64.sys病毒

guyuanGS

“上次在一个兄弟的帖子里发过中了这个病毒，没想到啊，今天病毒又出现了。


这次安装的是Win10了，就正常的03k.org激活，安装了一个IDM下载。今天中午CPU突然100%，风扇狂转，一看进程，COM Surrogate 100% CPU，还是关联到那个目录里的dllhost，打开目录一看，dll和这个winring0x64.sy又来了。


后面用symantec全盘扫描，又扫出一个Vscan.exe 病毒来。

求助各位，是被人盯上埋挖矿病毒吗？怎么样彻底解决啊。。”


朋友碰到的问题，来请教一下大佬们

IBinary

Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。gpu相关。 winring064大概率就是恶意作者拿来用的。winring0可能不是恶意程序，这个是个开源的项目。 恶意作者拿来用，这样可以不用自己写驱动。又用来利用做坏事的。
还是分析下dllhost把。 dllhost看看是不是微软的签名，是的话大概率就是你没找到 真正的恶意程序。 真正的恶意程序可能注入自己代码到 dllhost之中。 典型的利用了白程序来做黑程序的事情。
如果找不到正主（恶意程序本身）那要么重装电脑。要么自己挂 process mointer + 火绒剑 一条一条日志去分析。

提个建议，帖子改一下。字体都变成黑的了。发帖后看一下。 没人能看到你的贴子里面的字。 问问题就要有问问题的规范。这样才能让别人看的舒心，自然也就会回答你问题。

guyuanGS

IBinary 发表于 2023-4-15 16:09
Winring0看下数字签名。 这个是开源项目。 里面是支持读取一些硬件信息的。 比如 cpu相关。gpu相关。 winri ...

谢谢大佬，我这就告诉我朋友
字体那个我真的没注意到我网页开了dark reader，所以看着以为没啥问题

wyp123

挖矿病毒吧https://github.com/xmrig/xmrig

guyuanGS

wyp123 发表于 2023-4-15 17:49
挖矿病毒吧https://github.com/xmrig/xmrig

谢谢！我去和朋友说一下

JuncoJet

winio winring0 一样的东西

主要提供io功能

yao111222

赛门铁克好用吗

xiewangdong

兄弟，你朋友IDM在哪里下载的？我好像也是近期下载了IDM破解包，就出现这个病毒。我是在https://www.crackingcity.com/ 下载的

52iiikn

读取硬件信息的

luliucheng

这不是dL1host吗？我曾经回答过这个问题，没想到又出现了，这就是挖坑，杀掉就行。