dllhost，一个进程文件名，用于盗取游戏的账号及密码

dllhost概述

dllhost.exe是什么

冲击波杀手又是怎么一回事？

Dllhost.exe占用CPU100%处理方法

dllhost概述

进程文件: dllhost32.exe英文描述: N/A

进程分析:

进程位置:

系统目录

程序用途: 盗取游戏的账号及密码。

作者: unknown

属于: unknown

安全等级 (0-5): 5(N/A无危险 5最危险)

间谍软件: 是

广告软件: 是

病毒: 是

木马: 是

系统进程: 否

应用程序: 否

后台程序: 是

使用访问: 是

访问互联网: 否

dllhost.exe是什么

dllhost.exe是运行COM+的组件，即COM代理，运行Windows中的Web和FTP服务器必须有这个东西。什么时候会出现dllhost.exe？运行COM+组件程序的时候就会出现。例如江民KV2004 ，刚安装完VB6重启后也会出现

注意，运行有道词典的时候，也会激发该进程

冲击波杀手又是怎么一回事？

冲击波杀手借用了dllhost.exe作为进程名，但是由于Windows不允许同一个目录下有同名文件的存在，因此，冲击波杀手把病毒体：dllhost.exe放到了C:\\Windows\\System32\\Wins目录里面（Windows 2000是C:\\WINNT\\System32\\Wins，全部假设系统安装在C盘），但是真正的dllhost.exe应该放 在C:\\Windows\\System32（Windows 2000是C:\\WINNT\\System32）

换句话说就是：冲击波（Worm.WelChia）为了迷惑用户，避免病毒的执行体被进程管理器终止，采用了dllhost.exe这个和Windows组件一样的名字，但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchia

再看看这里的FAQ吧

第一个误区————进程出现Dllhost.exe就等于中了病毒

Dllhost.exe是系统文件，但是进程里面出现Dllhost.exe进程不等于中了病毒

第二个误区————一见Dllhost.exe进程就杀死

其实这样做是不好的。很多程序都需要Dllhost.exe，例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候，进程中都会出现Dllhost.exe，还有运行有道词典的时候也会激发该进程

之所以大家恐惧Dllhost.exe进程，恐怕是由于冲击波（杀手）的问题。

其实冲击波（杀手）只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径，所以让大家在分析问题 的时候出现一些偏差。感染冲击波（杀手）的典型特征不是进程中出现Dllhost.exe，而是RPC服务出现问题（冲击波）和System32\\w ins目录里面出现svchost.exe和dllhost.exe文件（冲击波杀手）。注意路径！！

那么，Dllhost.exe是什么呢？Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32\\dllcache目录里面。而system32\\win s目录里面是不会有dllhost.exe文件的。在C:\\Program Files\\Microsoft Office\\media\\dllhost.exe中该文件为病毒。

F8,使用计算机最后一次正确的配置，试一试。

注意：ＤＬＬＨＯＳＴ也可能是木马病毒，该病毒修改注册表创建系统服务dllhost32实现自启动，该木马会试图偷游戏的密码,发送到指定的信箱中。

Dllhost.exe占用CPU100%处理方法

dllhost.exe进程占用CPU使用率100%，IIS服务器不能正常工作。通常都是IIS遭遇死循环所致。

解决的方法如下：

1) 建立一个关闭IIS服务进程的BAT文件，遇到情况后可以及时解决。文件内容：net stop iisadmin /y

2) 建立一个启动服务进程的BAT文件，关闭服务后可以及时启动文件内容：Net Start W3svcbbs

3) 遇到的问题：因为DLLHOST进程占用CPU过高，可能有时候操作系统不能完全关闭WWW服务，所以如果发现仍有进程CPU占用率为100%的时候，可以再进行一次关闭进程的操作，然后再启动WWW服务。

4) 有一点我没有尝试，如果将这两个程序放到某一个服务中，然后在遇到情况的时候运行一下，是不是就可以远程解决这个问题了，但服务中WWW是不可能了，因为只能进行关闭，或者把关闭放到这里然后将文件设定密码，到时候再用3389开启是个办法。