百思不得其解，explorer.exe为何加载此不明dll-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 百思不得其解，explorer.exe为何加载此不明dll 0.00雪花

发表于: 2016-11-20 15:31 7384

[旧帖] 百思不得其解，explorer.exe为何加载此不明dll 0.00雪花

doBeauty

2016-11-20 15:31

7384

昨天打开电脑，弹出explorer.exe应用程序错误，点开详细信息，发现故障模块是wlanseo.dll，定位到这个文件，发现创建日期是 2016/11/18 21点多，近几天没安装没下载，这个文件是怎么进入我的电脑的？百度没有任何有用的信息。查看explorer.exe日期，sfc.exe验证，都表明explorer.exe 没有被修改，是正常的。注册表里，autorun工具里找不到任何wlanseo.dll的信息。
这类问题是我两年来碰到的第4,5起了，dll名字都以seo.dll结尾，折腾半天也找不出explorer.exe为何要加载这个dll。妥协方法是把c:\windows\explorer.exe复制到除c:\windows外任何地方，调出任务管理器，运行复制出的explorer.exe，就不会加载这个dll,桌面也出来，一切正常。每次启动都要手动去运行这个复制出的explorer.exe，最后都是格式化安装原版win7。过了大半年又会出现这个，感觉被人盯上了。。。
为何c:\windows下的explorer.exe 会加载这个dll，而复制到其他目录下的就一切正常，不会加载这个dll，求大牛解惑。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (18)
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 2 楼先procmon抓一下看看加载这个DLL的调用堆栈能不能获取到有用信息然后可以杀死explorer，在注册表Image File Execution Options下面去登记下调试器为WinDbg。然后用任务管理器启动explorer，在调试器下让其现出原形 2016-11-20 15:49 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 3 楼谢谢大牛，我去试试 2016-11-20 16:08 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 4 楼不会分析~~ 2016-11-20 16:34 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 5 楼用procmon 看，只知道c:\windows下的explorer.exe要加载wlanseo.dll,这个dll本身没做好，加载就出错。而复制到c:\根目录下的explorer.exe 不加载它，能正常启动 2016-11-20 16:52 0
killbr 雪币： 16441 活跃值： (1700) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1703 粉丝 4 关注私信	killbr 6 楼直接来个注册表大换血 2016-11-20 17:07 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 7 楼结贴！原因知道了，原来就是利用dll加载路径优先级放了一个被篡改的正常dll到windows目录下，正常文件位于system32目录下，然后被篡改的dll加载wlanseo.dll。看修改时间看出来的。第一次看修改时间没看出来，第二次看才发现。我竟然被入侵了，还是个人电脑，从不乱下东西也很久没下东西了，细思恐极！ 2016-11-20 17:24 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 8 楼发现思维太僵硬啦，也看过几篇dll劫持的帖子，但就是想不到这里去，一直在纠结“explorer.exe为什么会加载这个dll”，而没有早早想到是其他的dll要加载这个dll,思维发散不开 2016-11-20 17:33 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 9 楼所以这个dll到底是干什么的呢。。 2016-11-20 20:26 0
crackhack 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	crackhack 10 楼注册的com组建自动加载的dll么？ 2016-11-21 09:13 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 11 楼 wlanseo.dll 无线推广？这个dll哪个软件带入的呢 2016-11-22 14:18 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 12 楼要不然撸主发上来，你去调试下 2016-11-22 14:41 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 13 楼 dll没做好，explorer.exe加载就报错，不然我怎么发现呢 2016-11-22 17:40 0
beanjoy 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	beanjoy 14 楼楼主可以尝试下在任务管理器下杀掉explorer.exe，然后用任务管理器运行windbg，在windbg打开explorer.exe，并且输入命令sxe ld:wlanseo，在加载wlanseo.dll时调试器挂起进行调试，然后看下堆栈，应该就可以看出尝试加载wlanseo.dll的是哪个dll。 2016-11-22 18:03 0
sandogeek 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sandogeek 15 楼出现了同样的问题，期待后续！！！ 2016-11-23 06:24 0
luobonic 雪币： 31 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	luobonic 16 楼拷到其他路径就不加载，看来不是lpk usp10这些，应该是explore自己loaddll的，win7直接劫持系统dll需要改权限，麻烦，大概人家不愿意写这种代码还是我的xp64安全～ 2016-11-23 11:02 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 17 楼访问恶意网页也可能中招, 不一定非要下载 2016-11-23 11:11 0
Wings翅膀雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Wings翅膀 18 楼哪个dll被劫持了呢楼主 2017-1-19 12:18 0
gmhfyd 雪币： 44 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gmhfyd 19 楼感觉随便哪个只要有权限能改都可以啊 2017-1-26 09:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

doBeauty

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 2 楼先procmon抓一下看看加载这个DLL的调用堆栈能不能获取到有用信息然后可以杀死explorer，在注册表Image File Execution Options下面去登记下调试器为WinDbg。然后用任务管理器启动explorer，在调试器下让其现出原形 2016-11-20 15:49 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 3 楼谢谢大牛，我去试试 2016-11-20 16:08 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 4 楼不会分析~~ 2016-11-20 16:34 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 5 楼用procmon 看，只知道c:\windows下的explorer.exe要加载wlanseo.dll,这个dll本身没做好，加载就出错。而复制到c:\根目录下的explorer.exe 不加载它，能正常启动 2016-11-20 16:52 0
killbr 雪币： 16441 活跃值： (1700) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1703 粉丝 4 关注私信	killbr 6 楼直接来个注册表大换血 2016-11-20 17:07 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 7 楼结贴！原因知道了，原来就是利用dll加载路径优先级放了一个被篡改的正常dll到windows目录下，正常文件位于system32目录下，然后被篡改的dll加载wlanseo.dll。看修改时间看出来的。第一次看修改时间没看出来，第二次看才发现。我竟然被入侵了，还是个人电脑，从不乱下东西也很久没下东西了，细思恐极！ 2016-11-20 17:24 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 8 楼发现思维太僵硬啦，也看过几篇dll劫持的帖子，但就是想不到这里去，一直在纠结“explorer.exe为什么会加载这个dll”，而没有早早想到是其他的dll要加载这个dll,思维发散不开 2016-11-20 17:33 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 9 楼所以这个dll到底是干什么的呢。。 2016-11-20 20:26 0
crackhack 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	crackhack 10 楼注册的com组建自动加载的dll么？ 2016-11-21 09:13 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 11 楼 wlanseo.dll 无线推广？这个dll哪个软件带入的呢 2016-11-22 14:18 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 12 楼要不然撸主发上来，你去调试下 2016-11-22 14:41 0
doBeauty 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	doBeauty 13 楼 dll没做好，explorer.exe加载就报错，不然我怎么发现呢 2016-11-22 17:40 0
beanjoy 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	beanjoy 14 楼楼主可以尝试下在任务管理器下杀掉explorer.exe，然后用任务管理器运行windbg，在windbg打开explorer.exe，并且输入命令sxe ld:wlanseo，在加载wlanseo.dll时调试器挂起进行调试，然后看下堆栈，应该就可以看出尝试加载wlanseo.dll的是哪个dll。 2016-11-22 18:03 0
sandogeek 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sandogeek 15 楼出现了同样的问题，期待后续！！！ 2016-11-23 06:24 0
luobonic 雪币： 31 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	luobonic 16 楼拷到其他路径就不加载，看来不是lpk usp10这些，应该是explore自己loaddll的，win7直接劫持系统dll需要改权限，麻烦，大概人家不愿意写这种代码还是我的xp64安全～ 2016-11-23 11:02 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 17 楼访问恶意网页也可能中招, 不一定非要下载 2016-11-23 11:11 0
Wings翅膀雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Wings翅膀 18 楼哪个dll被劫持了呢楼主 2017-1-19 12:18 0
gmhfyd 雪币： 44 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gmhfyd 19 楼感觉随便哪个只要有权限能改都可以啊 2017-1-26 09:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复