Mam wiele dllhost.exeprocesów uruchomionych na moim komputerze z systemem Windows 7:

Brakuje każdego wiersza poleceń tego obrazu (o czym myślę) wymaganej /ProcessID:{000000000-0000-0000-0000-0000000000000}opcji wiersza poleceń:

Pytanie: Jak mogę ustalić, co faktycznie działa w tym procesie?

Wierzę, że jeśli uda mi się zidentyfikować faktyczną aplikację wykonującą pracę w ramach tych dllhost.exeprocesów, będę w stanie ustalić, czy mój system jest zainfekowany, czy nie (patrz poniżej).

Dlaczego pytam / Co próbowałem:

Te DLLHOST.EXEprzypadki wydają mi się podejrzane. Na przykład kilka z nich ma wiele otwartych połączeń TCP / IP:

Monitor procesu pokazuje absurdalną ilość aktywności. Tylko jeden z tych procesów wygenerował 123 349 zdarzeń w mniej niż 3 minuty. Co gorsza, kilka z tych dllhost.exeprocesów zapisuje około 280 MB danych na minutę do użytkownika TEMPi Temporary Internet Filesfolderów w postaci folderów i plików o losowych czterech znakach. Niektóre z nich są w użyciu i nie można ich usunąć. Oto filtrowana próbka:

Wiem, że to prawdopodobnie złośliwe. Niestety, wysadzenie systemu z orbity musi nastąpić dopiero po wyczerpaniu wszystkich innych opcji. Do tego momentu zrobiłem:

1. Malwarebytes pełne skanowanie
2. Pełne skanowanie programu Microsoft Security Essentials
3. Dokładnie przejrzał Autoruns i przesłał pliki, których nie rozpoznaję na VirusTotal.com
4. Dokładnie przejrzał HijackThis
5. Skanowanie TDSSKiller
6. Przeglądowi to pytanie SUPERUŻYTKOWNIK
7. Postępowano zgodnie z tymi instrukcjami: Jak ustalić, która aplikacja działa w pakiecie COM + lub pakiecie serwera transakcji
8. Dla każdego z DLLHOST.EXEprocesów, mam przeglądu DLL i uchwyty zobaczyć w Process Explorer dla każdego .exe, .dlllub inne pliki aplikacji typu do niczego podejrzanego. Wszystko się jednak sprawdzało.
9. Skaner Ran ESET Online
10. Ran Microsoft Safety Scanner
11. Uruchomiono w trybie awaryjnym. dllhost.exeInstancja bez przełączania poleceń nadal działa.

Poza kilkoma drobnymi wykryciami adware nic szkodliwego się nie pojawia!

Aktualizacja 1
<<Removed as irrelevant>>

Zaktualizuj 2
wyniki SFC /SCANNOW:

Widzę na moim komputerze uruchomiony dllhost.exe C:\Windows\System32, podczas gdy twój jest uruchomiony z C:\Windows\SysWOW64, co wygląda nieco podejrzanie. Ale problem może być nadal powodowany przez jakiś 32-bitowy produkt zainstalowany na twoim komputerze.
Sprawdź także Podgląd zdarzeń i opublikuj tutaj podejrzane wiadomości.

Domyślam się, że jesteś zainfekowany lub że system Windows stał się bardzo niestabilny.

Pierwszym krokiem jest sprawdzenie, czy problem pojawia się podczas uruchamiania w trybie awaryjnym. Jeśli nie dotrze tam, oznacza to (być może) problem z zainstalowanym produktem.

Jeśli problem pojawia się w trybie awaryjnym, oznacza to, że problem dotyczy systemu Windows. Spróbuj uruchomić sfc / scannow, aby sprawdzić integralność systemu.

Jeśli nie zostaną znalezione żadne problemy, skanuj za pomocą:

• AdwCleaner
• ComboFix

Jeśli nic nie pomoże, wypróbuj program antywirusowy podczas uruchamiania, taki jak:

• Dr.Web
• F-Secure
• Panda

Aby uniknąć nagrywania prawdziwych płyt CD, użyj narzędzia Windows 7 USB DVD Download Tool, aby zainstalować ISO jeden po drugim na kluczu USB, z którego chcesz uruchomić komputer.

Jeśli wszystko zawiedzie i podejrzewasz infekcję, najbezpieczniejszym rozwiązaniem jest sformatowanie dysku i ponowna instalacja systemu Windows, ale najpierw wypróbuj wszystkie inne możliwości.

To trojan DLL bez plików, z iniekcją pamięci!

Uznanie za skierowanie mnie w dobrym kierunku należy do @harrymc, więc przyznałem mu flagę odpowiedzi i nagrodę.

O ile mogę stwierdzić, właściwa instancja DLLHOST.EXEzawsze ma /ProcessID:przełącznik. Te procesy nie działają, ponieważ wykonują plik .DLL, który został wstrzyknięty bezpośrednio do pamięci przez trojana Poweliks .

Zgodnie z tym opisem :

... [Poweliks] jest przechowywany w zaszyfrowanej wartości rejestru i ładowany w czasie rozruchu przez klucz RUN wywołujący proces rundll32 na zaszyfrowanym ładunku JavaScript.

Po załadowaniu [ładunku] do rundll32 próbuje wykonać osadzony skrypt PowerShell w trybie interaktywnym (bez interfejsu użytkownika). Skrypty PowerShell zawierają ładunek zakodowany w standardzie base64 (inny), który zostanie wstrzyknięty do procesu dllhost (trwały element), który zostanie zombie i będzie działał jako trojan downloader dla innych infekcji.

Jak zauważono na początku wyżej wymienionego artykułu, ostatnie warianty (w tym moje) już nie zaczynają się od wpisu w HKEY_CURRENT_USER\...\RUNkluczu, ale są ukryte w przejętym kluczu CLSID. Aby jeszcze trudniej było wykryć, że na dysku nie zapisano żadnych plików , tylko te wpisy rejestru.

Rzeczywiście (dzięki sugestii Harrymca) znalazłem trojana, wykonując następujące czynności:

1. Uruchom system w trybie awaryjnym
2. Użyj Process Explorer, aby zawiesić wszystkie dllhost.exeprocesy rouge
3. Uruchom skanowanie ComboFix

W moim przypadku trojan Poweliks ukrywał się w HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}kluczu (co ma związek z pamięcią podręczną miniatur). Najwyraźniej po uzyskaniu dostępu do tego klucza uruchamia trojana. Ponieważ miniatury są często używane, spowodowało to, że trojan pojawił się prawie tak szybko, jak gdyby miał rzeczywisty RUNwpis w rejestrze.

Dodatkowe informacje techniczne można znaleźć w tym blogu TrendMicro .

Jeśli chcesz zrobić tego rodzaju analityka kryminalistycznego z uruchomionymi procesami, usługami, połączeniem sieciowym ... Polecam również użycie ESET SysInspector. Daje to lepszy widok na uruchamianie plików, możesz także zobaczyć nie tylko dllhost.exe, ale także pliki powiązane z argumentem dla tego pliku, ścieżką do programów autostartu, ... Niektóre z nich mogą być usługami, mogą również przyjmować ich nazwy, widać to w ładnej kolorowej aplikacji.

Dużym postępem jest to, że daje również wyniki AV dla wszystkich plików wymienionych w logu, więc jeśli zainfekowałeś system, istnieje duża szansa na znalezienie źródła. Możesz także opublikować tutaj dziennik xml, a my możemy to sprawdzić. Oczywiście SysInspector jest częścią ESET AV w zakładce Narzędzia.