У меня dllhost.exeна компьютере с Windows 7 запущено несколько процессов:

В каждой командной строке этих изображений отсутствует (как я думаю, это) требуемая /ProcessID:{000000000-0000-0000-0000-0000000000000}опция командной строки:

Вопрос: Как я могу определить, что на самом деле работает в этом процессе?

Я уверен, что если я смогу определить, dllhost.exeкакое именно приложение выполняет работу внутри этих процессов, я смогу определить, заражена ли моя система (см. Ниже).

Почему я спрашиваю / что я пробовал:

Эти DLLHOST.EXEслучаи выглядят подозрительно для меня. Например, некоторые из них имеют много открытых соединений TCP / IP:

Process Monitor показывает и абсурдное количество активности. Только один из этих процессов сгенерировал 124 390 событий за 3 минуты. Что еще хуже, некоторые из этих dllhost.exeпроцессов записывают приблизительно 280 МБ данных в минуту для пользователя TEMPи Temporary Internet Filesпапок в виде папок и файлов со случайными четырехзначными именами. Некоторые из них используются и не могут быть удалены. Вот отфильтрованный образец:

Я знаю, что это, вероятно, злонамеренно. К сожалению, взрывать систему с орбиты нужно только после исчерпания всех других возможностей. К этому моменту я сделал:

1. Malwarebytes полное сканирование
2. Полное сканирование Microsoft Security Essentials
3. Тщательно проанализировал автозапуск и отправил файлы, которые я не узнаю на VirusTotal.com
4. Тщательно рассмотренный HijackThis
5. Сканирование TDSSKiller
6. Пересмотрел этот вопрос SuperUser
7. Выполните следующие инструкции: Как определить, какое приложение работает в пакете COM + или Transaction Server
8. Для каждого из DLLHOST.EXEпроцессов, я рассмотрел библиотеку DLL и Рукоятка просмотр в Process Explorer для любого .exe, .dllили других файлов приложений типа для чего - нибудь подозрительного. Все проверил, хотя.
9. Запустил ESET Online сканер
10. Запустил сканер безопасности Microsoft
11. Загрузился в безопасном режиме. dllhost.exeЭкземпляр команды без ключа все еще работает.

И кроме нескольких незначительных обнаружений рекламного ПО, ничего злонамеренного не появляется!

Обновление 1
<<Removed as irrelevant>>

Обновление 2
Результаты SFC /SCANNOW:

Я вижу, что на моем компьютере запущен dllhost.exe C:\Windows\System32, а у вас запущен C:\Windows\SysWOW64, что выглядит несколько подозрительно. Но проблема все еще может быть вызвана каким-то 32-битным продуктом, установленным на вашем компьютере.
Проверьте также Event Viewer и опубликуйте здесь любые подозрительные сообщения.

Я предполагаю, что вы заражены или что Windows стала очень нестабильной.

Первый шаг - увидеть, возникает ли проблема при загрузке в безопасном режиме. Если он не прибывает туда, то проблема (возможно) с каким-то установленным продуктом.

Если проблема появляется в безопасном режиме, то проблема с Windows. Попробуйте запустить sfc / scannow, чтобы проверить целостность системы.

Если проблем не обнаружено, выполните сканирование с помощью:

• AdwCleaner
• ComboFix

Если ничего не помогает, попробуйте антивирус при загрузке, такой как:

• Dr.Web
• F-Secure
• Панда

Чтобы не записывать настоящие компакт-диски, используйте Windows 7 USB DVD Download Tool, чтобы установить ISO- файлы один за другим на USB-ключ для загрузки.

Если все не удается и вы подозреваете заражение, самое безопасное решение - отформатировать диск и переустановить Windows, но сначала попробуйте все другие возможности.

Это безфайловый DLL-троян!

Благодарность за то, что вы указали мне правильное направление, принадлежит @harrymc, поэтому я наградил его флагом ответа и вознаграждением.

Насколько я могу судить, правильный экземпляр DLLHOST.EXEвсегда имеет /ProcessID:переключатель. Эти процессы не выполняются, потому что они выполняют .DLL, который был введен непосредственно в память трояном Poweliks .

Согласно этой записи :

... [Poweliks] хранится в зашифрованном значении реестра и загружается во время загрузки ключом RUN, вызывающим процесс rundll32, в зашифрованном виде с полезной нагрузкой JavaScript.

После загрузки полезной нагрузки в rundll32 он пытается выполнить встроенный сценарий PowerShell в интерактивном режиме (без пользовательского интерфейса). Эти сценарии PowerShell содержат полезную нагрузку в кодировке base64 (еще одну), которая будет внедрена в процесс dllhost (постоянный элемент), который будет зомбирован и будет действовать как троянский загрузчик для других инфекций.

Как отмечалось в начале вышеупомянутой статьи, последние варианты (включая мой) больше не начинаются с записи в HKEY_CURRENT_USER\...\RUNключе, а вместо этого скрываются в угнанном ключе CLSID. И еще труднее обнаружить, что на диск не записаны файлы , только эти записи реестра.

Действительно (благодаря предложению Гаррима) я нашел троянца, выполнив следующее:

1. Загрузка в безопасном режиме
2. Используйте Process Explorer, чтобы приостановить все dllhost.exeпроцессы румян
3. Запустите сканирование ComboFix

В моем случае троян Poweliks прятался в HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}ключе (что связано с кэшем миниатюр). Видимо, когда к этому ключу обращаются, он запускает троян. Поскольку эскизы часто используются, это приводит к тому, что троянец оживает почти так же быстро, как если бы он имел фактическую RUNзапись в реестре.

Дополнительные технические детали см. В этом блоге TrendMicro .

Если вы хотите провести такого рода судебную экспертизу запущенных процессов, служб, сетевых подключений, ... Я рекомендую вам также использовать ESET SysInspector. Это дает вам лучшее представление о запущенных файлах, также вы можете видеть не только dllhost.exe, но и файлы, связанные с аргументом для этого файла, путь для автозапуска программ ... Некоторые из них могут быть службами, они также принимают свои имена, Вы видите это в хорошем раскрашенном приложении.

Одним из важных преимуществ является то, что он также дает вам результаты AV для всех файлов, перечисленных в журнале, поэтому, если у вас есть зараженная система, есть большой шанс найти источник. Вы также можете опубликовать здесь xml log, и мы можем это проверить. Конечно, SysInspector является частью ESET AV на вкладке «Инструменты».