首页
社区
课程
招聘
[旧帖] 百思不得其解,explorer.exe为何加载此不明dll 0.00雪花
发表于: 2016-11-20 15:31 7384

[旧帖] 百思不得其解,explorer.exe为何加载此不明dll 0.00雪花

2016-11-20 15:31
7384
昨天打开电脑,弹出explorer.exe应用程序错误,点开详细信息,发现故障模块是wlanseo.dll,定位到这个文件,发现创建日期是 2016/11/18 21点多,近几天没安装没下载,这个文件是怎么进入我的电脑的? 百度没有任何有用的信息。查看explorer.exe日期,sfc.exe验证,都表明explorer.exe 没有被修改,是正常的。注册表里,autorun工具里找不到任何wlanseo.dll的信息。
    这类问题是我两年来碰到的第4,5起了,dll名字都以seo.dll结尾,折腾半天也找不出explorer.exe为何要加载这个dll。妥协方法是把c:\windows\explorer.exe复制到除c:\windows外任何地方,调出任务管理器,运行复制出的explorer.exe,就不会加载这个dll,桌面也出来,一切正常。每次启动都要手动去运行这个复制出的explorer.exe,最后都是格式化安装原版win7。过了大半年又会出现这个,感觉被人盯上了。。。
   为何c:\windows下的explorer.exe 会加载这个dll,而复制到其他目录下的就一切正常,不会加载这个dll,求大牛解惑。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (18)
雪    币: 2291
活跃值: (938)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
先procmon抓一下看看加载这个DLL的调用堆栈能不能获取到有用信息
然后可以杀死explorer,在注册表Image File Execution Options下面去登记下调试器为WinDbg。然后用任务管理器启动explorer,在调试器下让其现出原形
2016-11-20 15:49
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢大牛,我去试试
2016-11-20 16:08
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不会分析~~
2016-11-20 16:34
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
用procmon 看,只知道c:\windows下的explorer.exe要加载wlanseo.dll,这个dll本身没做好,加载就出错。而复制到c:\根目录下的explorer.exe 不加载它,能正常启动
2016-11-20 16:52
0
雪    币: 16441
活跃值: (1700)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
直接来个注册表大换血
2016-11-20 17:07
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
结贴!
原因知道了 ,原来就是利用dll加载路径优先级放了一个被篡改的正常dll到windows目录下,正常文件位于system32目录下,然后被篡改的dll加载wlanseo.dll。看修改时间看出来的。第一次看修改时间没看出来,第二次看才发现。
我竟然被入侵了,还是个人电脑,从不乱下东西也很久没下东西了,细思恐极!
2016-11-20 17:24
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
发现思维太僵硬啦,也看过几篇dll劫持的帖子,但就是想不到这里去,一直在纠结“explorer.exe为什么会加载这个dll”,而没有早早想到是其他的dll要加载这个dll,思维发散不开
2016-11-20 17:33
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
9
所以这个dll到底是干什么的呢。。
2016-11-20 20:26
0
雪    币: 0
活跃值: (60)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
注册的com组建自动加载的dll么?
2016-11-21 09:13
0
雪    币: 2375
活跃值: (433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
wlanseo.dll 无线推广?
这个dll哪个软件带入的呢
2016-11-22 14:18
0
雪    币: 2375
活跃值: (433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
要不然撸主发上来,你去调试下
2016-11-22 14:41
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
dll没做好,explorer.exe加载就报错,不然我怎么发现呢
2016-11-22 17:40
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
楼主可以尝试下在任务管理器下杀掉explorer.exe,然后用任务管理器运行windbg,在windbg打开explorer.exe,并且输入命令sxe ld:wlanseo,在加载wlanseo.dll时调试器挂起进行调试,然后看下堆栈,应该就可以看出尝试加载wlanseo.dll的是哪个dll。
2016-11-22 18:03
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
出现了同样的问题,期待后续!!!
2016-11-23 06:24
0
雪    币: 31
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
拷到其他路径就不加载,看来不是lpk usp10这些,应该是explore自己loaddll的,win7直接劫持系统dll需要改权限,麻烦,大概人家不愿意写这种代码
还是我的xp64安全~
2016-11-23 11:02
0
雪    币: 47
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
访问恶意网页也可能中招, 不一定非要下载
2016-11-23 11:11
0
雪    币: 101
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
哪个dll被劫持了呢 楼主
2017-1-19 12:18
0
雪    币: 44
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
感觉随便哪个 只要有权限 能改 都可以啊
2017-1-26 09:40
0
游客
登录 | 注册 方可回帖
返回
//