ITcollider.Ru - Показать сообщение отдельно

MiraMaX166 · 15.01.2010, 21:43

Беда не ходит одна. Пошла вторая волна вируса маскирующегося под dllhost.exe

Подробнее

Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.

Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе, например:

* W32/Lovelet-Y (%SystemRoot%\dllhost.com, %SystemRoot%\System32\dllhost.com) - этот червь копирует себя в 22 различных директории на вашем жестком диске, что усложняет его удаление.
* W32/Nachi-A (%SystemRoot%\Wins) - Этот червь распространяется через RPC DCOM уязвимость в Windows XP.
* W32/Rungbu-B (%SystemRoot%\setup\dllhost.com, %SystemRoot%\System32\dllhost.com) - жтот червь заражет .DOC файлы и распространяется по почтовым адресам в вашей адресной книге.
* Troj/Sivion-A (%SystemRoot%\System32\System\dllhost.exe)
* W32/Lovelet-DR (%SystemRoot%\System32\dllhost.dll)

В системе может быть запущено любое количество процессов с таким именем, это не означает что ваш компьютер заражен. Оданко dllhost позволяет запускать COM+ DLL файлы, в результате злонамеренные DLL могут быть запущены внутри легитимного dllhost.exe процесса. Если процесс ведет себя необычно, необходимо более глубоко исследовать его повидение.

Часто встречающиеся проблемы:

> Dllhost.exe использует всю доступную память с IIS - это может быть связана с некорректным скриптом, у которого существует утечка памяти. Перезапустите IIS и попытайтесь найти проблемный скрипт.
> Dllhost.exe использует 100% ресурсов CPU - проскольку dllhost.exe позволяет запускать COM+ DLL, такая проблема может быть связана с COM+ DLL. Удалите проблемный dllhost.exe процесс и попробуйте определить источник проблемы.

На работе сервак вцепил следующее:

hostdll.exe (Spyware, Trojan-Spy.Win32.Small.cg, троянская программа-шпион, предназначена для кражи конфиденциальной финансовой информации).