dllhost

進程文件:dllhost32.exe英文描述: N/A

進程分析:

進程位置:

系統目錄

程序用途: 盜取遊戲的賬號及密碼。

作者: unknown

屬於: unknown

安全等級 (0-5): 5(N/A無危險 5最危險)

間諜軟件: 是

廣告軟件: 是

病毒: 是

木馬: 是

系統進程: 否

應用程序: 否

後台程序: 是

使用訪問: 是

訪問互聯網: 是 ^[1] 

dllhost.exe是運行COM+的組件，即COM代理，運行Windows中的Web和FTP服務器必須有這個東西。什麼時候會出現dllhost.exe？運行COM+組件程序的時候就會出現。例如江民KV2004 ，剛安裝完VB6重啓後也會出現

注意，運行有道詞典的時候，也會激發該進程

衝擊波殺手借用了dllhost.exe作為進程名，但是由於Windows不允許同一個目錄下有同名文件的存在，因此，衝擊波殺手把病毒體：dllhost.exe放到了C:\Windows\System32\Wins目錄裏面（Windows 2000是C:\WINNT\System32\Wins，全部假設系統安裝在C盤），但是真正的dllhost.exe應該放 在C:\Windows\System32（Windows 2000是C:\WINNT\System32）

換句話説就是：衝擊波（Worm.WelChia）為了迷惑用户，避免病毒的執行體被進程管理器終止，採用了dllhost.exe這個和Windows組件一樣的名字，但是並不是説進程裏面出現dllhost.exe就等於感染了worm.welchia

再看看這裏的FAQ吧

第一個誤區————進程出現Dllhost.exe就等於中了病毒

Dllhost.exe是系統文件，但是進程裏面出現Dllhost.exe進程不等於中了病毒

第二個誤區————一見Dllhost.exe進程就殺死

其實這樣做是不好的。很多程序都需要Dllhost.exe，例如KV2004實時監控運行的時候或IIS在解析一些ASP文件 的時候，進程中都會出現Dllhost.exe，還有運行有道詞典的時候也會激發該進程

之所以大家恐懼Dllhost.exe進程，恐怕是由於衝擊波（殺手）的問題。

其實衝擊波（殺手）只不過採取了一個偷樑換柱的方法。因為任務管理器裏面無法看出進程中exe文件的路徑，所以讓大家在分析問題 的時候出現一些偏差。感染衝擊波（殺手）的典型特徵不是進程中出現Dllhost.exe，而是RPC服務出現問題（衝擊波）和System32\w ins目錄裏面出現svchost.exe和dllhost.exe文件（衝擊波殺手）。注意路徑！！

那麼，Dllhost.exe是什麼呢？Dllhost.exe是 COM+ 的主進程。正常下應該位於system32目錄裏面和system32\dllcache目錄裏面。而system32\win s目錄裏面是不會有dllhost.exe文件的。在C:\Program Files\Microsoft Office\media\dllhost.exe中該文件為病毒。

F8,使用計算機最後一次正確的配置，試一試。

注意：DLLHOST也可能是木馬病毒，該病毒修改註冊表創建系統服務dllhost32實現自啓動，該木馬會試圖偷遊戲的密碼,發送到指定的信箱中。

dllhost.exe進程佔用CPU使用率100%，IIS服務器不能正常工作。通常都是IIS遭遇死循環所致。

解決的方法如下：

(1) 建立一個關閉IIS服務進程的BAT文件，遇到情況後可以及時解決。文件內容：net stop iisadmin /y

(2) 建立一個啓動服務進程的BAT文件，關閉服務後可以及時啓動文件內容：Net Start W3svcbbs

(3) 遇到的問題：因為DLLHOST進程佔用CPU過高，可能有時候操作系統不能完全關閉WWW服務，所以如果發現仍有進程CPU佔用率為100%的時候，可以再進行一次關閉進程的操作，然後再啓動WWW服務。

(4) 有一點我沒有嘗試，如果將這兩個程序放到某一個服務中，然後在遇到情況的時候運行一下，是不是就可以遠程解決這個問題了，但服務中WWW是不可能了，因為只能進行關閉，或者把關閉放到這裏然後將文件設定密碼，到時候再用3389開啓是個辦法。