新版灰鸽子dllhost.exe的一些特点及手工查杀流程

最新推荐文章于 2024-06-09 12:00:50 发布
最新推荐文章于 2024-06-09 12:00:50 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: 电脑病毒 文章标签: windows 引擎 c

作者:baohe

主体文件名:dllhost.exe
文件大小: 762368 bytes
MD5: 9825e84cab8476682e631403d1835981
SHA1: 3bf7713c184d75ae39dc7fbbef5a4b83ab910d6c
多引擎扫描结果:
AVG报:BackDoor.Hupigon.LK
卡巴斯基报:Backdoor.Win32.Hupigon.emv
F-Secure报:Backdoor.Win32.Hupigon.emv
一、特点:
1、文件释放:
(1)在WINDOWS目录下释放病毒文件:
dllhost.exe
setupss1.pif
(2)在硬盘各分区根目录下创建autorun.inf和隐藏文件夹runauto..
runauto..文件夹中包含病毒文件autorun.pif
autorun.inf文件内容:
[AutoRun]
open=RUNAUT~1/autorun.pif
shell/1=打开(&O)
shell/1/Command=RUNAUT~1/autorun.pif
shell/2/=浏览(&B)
shell/2/Command=RUNAUT~1/autorun.pif
shellexecute=RUNAUT~1/autorun.pif
(runauto..文件夹及其中的病毒文件autorun.pif需用IceSword才能删除)。
2、通过IFEO劫持将系统程序cmd.exe、msconfig.exe、regedit.exe、regedt32.exe导向病毒文件setuprs1.exe和xxxx.pif(X为随机数字)。
3、病毒会关闭autorans.exe窗口。但因其动作较慢,中招后,用户还是可以运行autorans.exe,发现这只鸽子的IFEO劫持项(图1)。dllhost.exe会反复写入这几个注册表项
4、IceSword进程列表中可见病毒进程%windows%/dllhost.exe(非隐藏)。但“禁止进程创建”前,此病毒进程无法结束(图2)。
5、这只鸽子感染U盘,且可通过U盘传播。U盘根目录下的病毒文件内容与硬盘各分区根目录下的病毒文件内容相同。


二、查杀流程(使用IceSword):

1、禁止进程创建。
2、结束病毒进程%windows%/dllhost.exe。
3、删除病毒文件:
%windows%/dllhost.exe
%windows%/setuprs1.exe
X:/runauto../autorun.pif(X代表各硬盘分区以及U盘盘符)
X:/runauto..文件夹
4、删除病毒服务项(SRENG日志中也可见此服务项;图3)
5、删除病毒添加的IFEO项(图1)。
6、取消IceSword的“禁止进程创建”。



图1

 
 图2

图3

飘的梦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dllhost.exe病毒清除办法
weihua1985的专栏
04-13 9609
现象描述:各个硬盘分区有一个文件夹runauto.. ,%windows%目录下有特征的病毒文件dllhost.exe 清除步骤:(以下所有操作在 IceSword 中进行)Iceword v1.20下载及简单介绍 1、禁止进程创建。 2、结束病毒进程%windows%\dllhost.exe。 3、删除病毒文件: %windows%\dllhost....
专用360专杀工具下载
07-28
360专杀SuperKiller.exe模块不需要更新 deepscan.dll模块不需要更新 ave.dll模块不需要更新 360wservice.dll模块不需要更新 AntiDllHiJack.dll模块不需要更新 AutorunFixer.dll模块不需要更新 AutorunKiller.dll模块不需要更新 spkill.dll模块不需要更新 SeclutionCallBack.dll模块不需要更新 sysfilerep.dll模块不需要更新 360verify.dll模块不需要更新 NetService.dll模块不需要更新 AntiWriteBack.dll模块不需要更新 sqlite3.dll模块不需要更新 avbef.dat模块不需要更新 avbe.dat模块不需要更新 avbek.dat模块不需要更新 syscheck.dat模块不需要更新 反查开始 反查结束 AutoRun 开始 AutoRun 结束 启动项扫描开始 服务器云安全查询开始 查询文件 :C:\WINDOWS\system32\rdpclip.exe 查询文件 :C:\WINDOWS\system32\mscoree.dll 查询文件 :C:\WINDOWS\inf\unregmp2.exe 查询文件 :C:\WINDOWS\system32\shmgrate.exe 查询文件 :C:\Program Files\Outlook Express\setup50.exe 查询文件 :C:\WINDOWS\system32\ie4uinit.exe 查询文件 :C:\WINDOWS\system32\mscories.dll 查询文件 :C:\Program Files\WinRAR\RarExt.dll CaclMD5 error: path is C:\WINDOWS\msagent\agentpsh.dll CaclMD5 error: PathFile no exit 查询文件 :C:\WINDOWS\system32\dfshim.dll 查询文件 :C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\xplayer.dll_1_work 查询文件 :C:\WINDOWS\system32\drivers\aeaudio.sys 查询文件 :C:\WINDOWS\system32\drivers\HSFHWICH.sys 查询文件 :C:\WINDOWS\system32\drivers\HSF_DPV.sys 查询文件 :C:\WINDOWS\system32\drivers\mdmxsdk.sys 查询文件 :C:\WINDOWS\system32\drivers\nvrd32.sys 查询文件 :C:\WINDOWS\system32\drivers\s24trans.sys 查询文件 :C:\WINDOWS\system32\drivers\siwinacc.sys 查询文件 :C:\WINDOWS\system32\drivers\smwdm.sys 查询文件 :C:\WINDOWS\system32\drivers\tcpip.sys 查询文件 :C:\WINDOWS\system32\drivers\viamraid.sys 查询文件 :C:\WINDOWS\system32\drivers\HSF_CNXT.sys 查询文件 :C:\Program Files\Wopti\WoptiHWDetect.sys 查询文件 :C:\WINDOWS\system32\alg.exe 查询文件 :C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe 查询文件 :C:\WINDOWS\system32\cisvc.exe 查询文件 :C:\WINDOWS\system32\clipsrv.exe 查询文件 :C:\WINDOWS\system32\dllhost.exe 查询文件 :C:\WINDOWS\system32\dmadmin.exe 查询文件 :C:\Program Files\Intel\WiFi\bin\EvtEng.exe CaclMD5 error: path is C:\WINDOWS\System32\hidserv.dll CaclMD5 error: PathFile no exit 查询文件 :C:\WINDOWS\system32\imapi.exe 查询文件 :C:\WINDOWS\system32\msdtc.exe 查询文件 :C:\WINDOWS\system32\msiexec.exe 查询文件 :C:\WINDOWS\system32\netdde.exe 查询文件 :C:\Program Files\Common Files\Microsoft Shared\Source Engine\ose.exe 查询文件 :C:\WINDOWS\system32\sessmgr.exe 查询文件 :C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe 查询文件 :C:\WINDOWS\system32\locator.exe 查询文件 :C:\WINDOWS\system32\rsvp.exe 查询文件 :C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 查询文件 :C:\WINDOWS\system32\scardsvr.exe 查询文件 :C:\WINDOWS\system32\smlogsvc.exe 查询文件 :C:\WINDOWS\system32\tlntsvr.exe 查询文件 :C:\WINDOWS\system32\wdfmgr.exe 查询文件 :C:\WINDOWS\system32\ups.exe 查询文件 :C:\WINDOWS\system32\vssvc.exe 查询文件 :C:\WINDOWS\system32\wbem\wmiapsrv.exe 查询文件 :C:\WINDOWS\system32\ntsd.exe 查询文件 :C:\Program Files\360\360se\360SE.exe 查询文件 :C:\WINDOWS\system32\logonui.exe 查询文件 :C:\WINDOWS\system32\logon.scr 查询文件 :C:\WINDOWS\system32\netprovcredman.dll
VB2005制作DllHost病毒专杀工具
12-13
VB2005制作DllHost病毒专杀工具.完全用VC++写的。从光盘上copy下来的。希望对大家有帮助。
启动应用程序出现dllhost.exe找不到问题解决
最新发布
wbcmbfy的博客
06-09 754
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个dllhost.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现dllhost.exe丢失要怎么解决?
dllhost.exe进程
ghevinn欢迎您光临
10-09 1276
dllhost.exe是微软Windows操作系统的一部分。dllhost.exe用于管理DLL应用。这个程序对你系统的正常运行是非常重要的。   2. dllhost.exe是什么?什么时候出现?   dllhost.exe是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。   运行COM+组件程序的时候就会出现。例如江民KV2004
灰鸽子手工检测
开拓者的工作学习日记
06-04 1122
    灰鸽子手工检测     由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。      但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在
dllhost.exe进程是什么.docx
09-26
dllhost.exe 进程是什么 dllhost.exe 进程是一个微软 Windows 操作系统的组件,用于管理 DLL 应用程序。该进程是 COM+ 组件,也被称为 COM 代理。在 Windows 系统中,dllhost.exe 进程扮演着非常重要的角色,对系统...
dllhost.exe
12-21
dllhost
DLLHOST.EXE-71214090.pf
01-12
DLLHOST.EXE-71214090
DLLHOST.EXE-C5C55E89.pf
01-12
DLLHOST.EXE-C5C55E89
DLLHOST.EXE-AD5E8771.pf
01-12
DLLHOST.EXE-AD5E8771
流氓软件卸载了又偷偷冒出来,dllhost.exe暗藏安装玄机
Scott0902的博客
11-02 9819
流氓软件卸载完又偷偷地冒出来,dllhost.exe进程看起来是正常的系统进程,但dllhost后面的参数隐藏着流氓软件的安装玄机。
dllhost.exe 解释
爱码农爱生活
12-30 1006
    dllhost.exe是什么?  dllhost.exe是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。    什么时候会出现dllhost.exe?  运行COM+组件程序的时候就会出现。例如江民KV2004    冲击波杀手又是怎么一回事?  冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文...
解决dllhost.exe快速异常检测失败的方法
weixin_46170562的博客
01-22 1898
总结:dllhost.exe快速异常检测失败的问题可能由多种原因导致,我们可以通过检查系统文件、杀毒软件全盘查杀、卸载可能冲突的软件和进行系统还原等方法来解决。同时,预防此类问题的发生,需要我们定期更新操作系统和软件,安装可靠的杀毒软件,避免安装不明来源的软件,并定期备份重要数据。(2)选择“打开或关闭Windows功能”,找到与dllhost.exe相关的功能,例如“Windows沙箱”,然后禁用该功能。3.软件冲突:安装的某些软件与dllhost.exe存在冲突,导致其无法正常运行。
U盘弹出显示被占用
weixin_64033212的博客
03-30 1096
关闭所有程序后,U盘显示占用,如何弹出U盘。4.弹出的对话框选择继续 ​​​。1.找到计算机此电脑。3.鼠标右键点击弹出。
Win7系统提示找不到dllhost.exe文件的解决办法
file
02-27 1027
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个dllhost.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现dllhost.exe丢失要怎么解决?
两种方法删除顽固的DLL文件。
热门推荐
奔跑的快乐的专栏
08-09 4万+
DLL文件是Windows系统中一种比较特殊的二进制文件,不少病毒、木马的生成的DLL文件可以具有无进程、不可删除、启动方式多样、隐蔽性高等特点。很多时候我们是通过杀毒软件的提示知道某个DLL文件感染了病毒,但不论是在杀毒软件中选择删除该文件还是手工删除该文件都始终提示出错(图1)。 图1 无法删除   我们之所以无法删除可恶的DLL文件,是因为它依附到了其他进程之中,而这些进
Windows有多少内核进程
03-27
- dllhost.exe - taskhostw.exe - spoolsv.exe - svchost.exe - dwm.exe - RuntimeBroker.exe - WmiPrvSE.exe - SearchIndexer.exe - dllhost.exe - SecurityHealthService.exe - Fontdrvhost.exe - conhost.exe - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值