У мене dllhost.exeна комп’ютері Windows 7 працює кілька процесів:

У кожному командному рядку цього зображення відсутній (що я думаю, це) необхідний /ProcessID:{000000000-0000-0000-0000-0000000000000}варіант командного рядка:

Питання: Як я можу визначити, що насправді працює в цьому процесі?

Вважаю, що якщо я можу визначити фактичну програму, яка виконує роботу в цих dllhost.exeпроцесах, я зможу визначити, заражена чи ні моя система (див. Нижче).

Чому я прошу / що я пробував:

Ці DLLHOST.EXEвипадки мені виглядають підозріло. Наприклад, декілька з них мають багато відкритих TCP / IP-з'єднань:

Монітор процесів показує і абсурдні обсяги активності. Тільки один із цих процесів генерував 124 390 подій за 3 хвилини. Що ще гірше, деякі з цих dllhost.exeпроцесів записують приблизно 280 Мб даних на хвилину в користувач TEMPта Temporary Internet Filesпапки у вигляді папок та файлів із випадковими чотирма іменами символів. Деякі з них використовуються, і їх неможливо видалити. Ось відфільтрований зразок:

Я знаю, що це, мабуть, шкідливо. На жаль, підривання системи з орбіти потрібно проводити лише після вичерпання всіх інших параметрів. До цього моменту я зробив:

1. Повне сканування зловмисних програм
2. Повне сканування Microsoft Security Essentials
3. Ретельно переглянув Autoruns та надіслані файли, які я не впізнаю на VirusTotal.com
4. Ретельно переглянув HijackThis
5. Сканування TDSSKiller
6. Переглянули це питання щодо SuperUser
7. Дотримуйтесь цих інструкцій: Як визначити, яка програма запускається в пакеті COM + або сервера транзакцій
8. Для кожного з DLLHOST.EXEпроцесів, я розглянув бібліотеку DLL і Рукоятка перегляд в Process Explorer для будь-якого .exe, .dllабо інших файлів додатків типу для чого - небудь підозрілого. Все перевірено, хоча.
9. Ran ESET Інтернет-сканер
10. Побіг сканер безпеки Microsoft
11. Завантажений у безпечний режим. dllhost.exeЕкземпляр без комутаційних команд все ще працює.

І окрім кількох незначних виявлень рекламного ПЗ, нічого шкідливого не з’являється!

Оновлення 1
<<Removed as irrelevant>>

Оновити 2
результати SFC /SCANNOW:

Я бачу на своєму комп’ютері dllhost.exe, з якого працює C:\Windows\System32, поки працює ваш C:\Windows\SysWOW64, що виглядає дещо підозріло. Але проблему все-таки може викликати якийсь 32-розрядний продукт, встановлений на вашому комп’ютері.
Перевірте також переглядач подій і опублікуйте тут будь-які підозрілі повідомлення.

Я здогадуюсь, що ви заражені або що Windows стала дуже нестабільною.

Перший крок - з’ясувати, чи виникає проблема під час завантаження в безпечний режим. Якщо він не приїде туди, то проблема (можливо) в деяких встановлених продуктах.

Якщо проблема надходить у безпечному режимі, проблема з Windows. Спробуйте запустити sfc / scannow, щоб перевірити цілісність системи.

Якщо проблем не виявлено, скануйте за допомогою:

• AdwCleaner
• ComboFix

Якщо нічого не допомагає, спробуйте антивірус завантаження, наприклад:

• Dr.Web
• F-Secure
• Панда

Щоб уникнути запису реальних компакт-дисків, використовуйте інструмент завантаження DVD- дисків Windows 7 для встановлення ISO-код один на один на клавіші USB для завантаження.

Якщо все не вдалося, і ви підозрюєте про інфекцію, найбезпечнішим рішенням є відформатувати диск і перевстановити Windows, але спершу спробуйте всі інші можливості.

Це драйвер DLL без файлів, впорскування пам'яті!

Аккаунт за вказівку мене в правильному напрямку належить @harrymc, тому я нагородив його прапором відповіді та щедротою.

Наскільки я можу сказати, належний екземпляр DLLHOST.EXEзавжди має /ProcessID:комутатор. Ці процеси відбуваються не тому, що вони виконують .DLL, який був введений безпосередньо в пам'ять трояном Poweliks .

Відповідно до цього запису :

... [Poweliks] зберігається у зашифрованому значенні реєстру та завантажується під час завантаження ключем RUN, що викликає rundll32 процес на зашифрованому корисному коді JavaScript.

Після завантаження [the] корисного навантаження в rundll32, він намагається виконати вбудований скрипт PowerShell в інтерактивному режимі (без інтерфейсу користувача). Цей скрипт PowerShell містить кодований базовий навантаження64 (ще один), який буде введений в процес dllhost (постійний елемент), який буде зомфікований і діятиме як завантажувач троянів для інших інфекцій.

Як зазначалося на початку вищезгаданої статті, останні варіанти (включені у мене) більше не починаються з запису в HKEY_CURRENT_USER\...\RUNключі, а натомість приховані у викраденому ключі CLSID. І щоб зробити його ще складніше виявити, на диску не записані файли , лише ці записи в Реєстрі.

Дійсно (завдяки пропозиції Harrymc) я знайшов трояна, зробивши наступне:

1. Завантаження в безпечний режим
2. Використовуйте Провідник процесів, щоб призупинити всі dllhost.exeпроцеси маршрутизації
3. Запустіть сканування ComboFix

У моєму випадку троян Poweliks ховався в HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}ключі (що стосується кешу мініатюр). Мабуть, коли цей ключ доступний, він виконує троян. Оскільки ескізи використовуються дуже багато, це призвело до того, що троянин ожив майже так само швидко, як ніби він фактично RUNзаписався до Реєстру.

Для отримання додаткових технічних подробиць дивіться цю публікацію в блозі TrendMicro .

Якщо ви хочете зробити такий вид криміналістичного аналітика запущених процесів, послуг, підключення до мережі, я рекомендую вам також використовувати ESET SysInspector. Це дає вам кращий огляд запущених файлів, ви також можете побачити не тільки dllhost.exe, але й файли, пов'язані з аргументом для цього файлу, шлях для автоматичних програм запуску, ... Деякі з них можуть бути службами, вони також приймають свої назви, ви бачите це в приємному кольоровому застосуванні.

Одним з великих успіхів є те, що він також дає вам AV-результати для всіх файлів, перелічених у журналі, тож якщо у вас заражена система, є великий шанс знайти джерело. Ви також можете розмістити тут файл xml, і ми можемо перевірити його. Звичайно, SysInspector є частиною ESET AV на вкладці Інструменти.