Tôi có nhiều dllhost.exequy trình đang chạy trên máy tính Windows 7 của mình:

Mỗi một dòng lệnh của hình ảnh này đều bị thiếu (điều tôi nghĩ là) /ProcessID:{000000000-0000-0000-0000-0000000000000}tùy chọn dòng lệnh cần thiết :

Câu hỏi: Làm thế nào tôi có thể xác định những gì thực sự chạy trong quá trình này?

Tôi tin rằng nếu tôi có thể xác định ứng dụng thực tế thực hiện công việc bên trong các dllhost.exequy trình này, tôi sẽ có thể xác định xem hệ thống của mình có bị nhiễm hay không (xem bên dưới).

Tại sao tôi hỏi / Những gì tôi đã thử:

Những DLLHOST.EXEtrường hợp này có vẻ đáng ngờ đối với tôi. Ví dụ: một vài trong số chúng có rất nhiều kết nối TCP / IP mở:

Giám sát quá trình cho thấy và số lượng hoạt động vô lý . Chỉ một trong những quy trình này đã tạo ra 124.390 sự kiện trong vòng dưới 3 phút. Để làm cho vấn đề tồi tệ hơn, một vài trong số các dllhost.exequy trình này đang ghi khoảng 280 MB dữ liệu mỗi phút cho người dùng TEMPvà Temporary Internet Filescác thư mục dưới dạng các thư mục và tệp có bốn tên ký tự ngẫu nhiên. Một số trong số này đang được sử dụng và không thể xóa. Đây là một mẫu được lọc:

Tôi biết điều này có lẽ là độc hại. Thật không may, nổ mìn hệ thống từ quỹ đạo chỉ phải được thực hiện sau khi cạn kiệt tất cả các tùy chọn khác. Đến thời điểm đó, tôi đã thực hiện:

1. Malwarebytes quét toàn bộ
2. Microsoft Security Essentials quét toàn bộ
3. Đã xem xét kỹ các Autorun và các tệp đã gửi mà tôi không nhận ra VirusTotal.com
4. Xem xét kỹ lưỡng Hijack This
5. Quét TDSSKiller
6. Đã đánh giá câu hỏi SuperUser này
7. Thực hiện theo các hướng dẫn sau: Cách xác định ứng dụng nào đang chạy trong gói COM + hoặc máy chủ giao dịch
8. Đối với mỗi DLLHOST.EXEquy trình, tôi đã xem xét các DLL và Handles xem trong Process Explorer cho bất kỳ .exe, .dllhoặc các tập tin ứng dụng kiểu khác cho bất cứ điều gì đáng ngờ. Tất cả mọi thứ kiểm tra mặc dù.
9. Máy quét Ran ESET trực tuyến
10. Máy quét an toàn của Microsoft
11. Đã khởi động ở Chế độ an toàn. dllhost.exeVí dụ chuyển đổi lệnh vẫn đang chạy.

Và ngoài một vài phát hiện phần mềm quảng cáo nhỏ, không có gì độc hại xuất hiện!

Cập nhật 1
<<Removed as irrelevant>>

Cập nhật 2
kết quả của SFC /SCANNOW:

Tôi thấy trên máy tính của mình dllhost.exe đang chạy C:\Windows\System32, trong khi máy tính của bạn đang chạy từ C:\Windows\SysWOW64đó, có vẻ hơi đáng ngờ. Nhưng vấn đề vẫn có thể do một số sản phẩm 32 bit được cài đặt trên máy tính của bạn.
Kiểm tra Trình xem sự kiện và đăng ở đây bất kỳ tin nhắn đáng ngờ nào.

Tôi đoán là bạn bị nhiễm bệnh hoặc Windows đã trở nên rất không ổn định.

Bước đầu tiên là xem liệu sự cố có xảy ra khi khởi động vào chế độ An toàn hay không. Nếu nó không đến đó, thì vấn đề là (có thể) với một số sản phẩm được cài đặt.

Nếu sự cố xảy ra ở chế độ An toàn, thì sự cố xảy ra với Windows. Hãy thử chạy sfc / scannow để xác minh tính toàn vẹn của hệ thống.

Nếu không có vấn đề gì được tìm thấy, hãy quét bằng cách sử dụng:

• AdwCleaner
• ComboFix

Nếu không có gì giúp được, hãy thử một chương trình chống vi-rút thời gian khởi động, chẳng hạn như:

• Dr.Web
• An toàn
• gấu trúc

Để tránh ghi đĩa CD thật, hãy sử dụng Công cụ tải xuống USB DVD của Windows 7 để cài đặt từng ISO một trên khóa USB để khởi động.

Nếu tất cả đều thất bại và bạn nghi ngờ có sự lây nhiễm, giải pháp an toàn nhất là định dạng đĩa và cài đặt lại Windows, nhưng trước tiên hãy thử tất cả các khả năng khác.

Đó là một Trojan không tên, tiêm bộ nhớ, DLL!

Tín dụng đã chỉ cho tôi đi đúng hướng đến @harrymc vì vậy tôi đã trao cho anh ta cờ trả lời & tiền thưởng.

Theo như tôi có thể nói, một ví dụ thích hợp DLLHOST.EXEluôn có công /ProcessID:tắc. Các quy trình này không phải vì chúng đang thực thi một .DLL đã được trojan Poweliks đưa trực tiếp vào bộ nhớ .

Theo bài viết này :

... [Poweliks] được lưu trữ trong một giá trị đăng ký được mã hóa và được tải khi khởi động bằng khóa RUN gọi quy trình rundll32 trên một tải trọng JavaScript được mã hóa.

Khi [tải] [được] tải trong rundll32, nó sẽ cố thực thi tập lệnh PowerShell được nhúng trong chế độ tương tác (không có UI). Các tập lệnh PowerShell chứa một tải trọng được mã hóa cơ sở64 (một tập lệnh khác) sẽ được đưa vào một quy trình dllhost (mục liên tục), sẽ được zombified và hoạt động như một trình tải xuống trojan cho các nhiễm trùng khác.

Như đã lưu ý ở phần đầu của bài viết được tham chiếu ở trên, các biến thể gần đây (bao gồm cả tôi) không còn bắt đầu từ một mục trong HKEY_CURRENT_USER\...\RUNkhóa mà thay vào đó được ẩn trong khóa CLSID bị tấn công. Và để làm cho nó khó khăn hơn để phát hiện không có tệp nào được ghi vào đĩa , chỉ có các mục đăng ký này.

Thật vậy (nhờ gợi ý của harrymc) Tôi đã tìm thấy trojan bằng cách làm như sau:

1. Khởi động về chế độ an toàn
2. Sử dụng Process Explorer để tạm dừng tất cả các dllhost.exequy trình sắp xếp lại
3. Chạy quét ComboFix

Trong trường hợp của tôi, trojan Poweliks đã ẩn trong HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}khóa (điều này phải làm với Cache Thumbnail). Rõ ràng khi khóa này được truy cập, nó thực thi trojan. Vì hình thu nhỏ được sử dụng rất nhiều, điều này có tác dụng của trojan xuất hiện gần như nhanh chóng như thể nó có một RUNmục thực sự trong Registry.

Để biết thêm chi tiết kỹ thuật, hãy xem bài đăng trên blog TrendMicro này .

Nếu bạn muốn thực hiện các loại phân tích pháp y về các quy trình, dịch vụ, kết nối mạng, ... tôi khuyên bạn cũng nên sử dụng ESET SysInspector. Nó cung cấp cho bạn cái nhìn tốt hơn về việc chạy các tệp, bạn cũng có thể thấy không chỉ dllhost.exe, mà các tệp được liên kết với đối số cho tệp này, đường dẫn cho các chương trình khởi động tự động, ... Một số trong số chúng có thể là dịch vụ, nó cũng có tên của chúng, bạn nhìn thấy nó trong ứng dụng tô màu đẹp.

Một tiến bộ lớn là nó cũng cung cấp cho bạn kết quả AV cho tất cả các tệp được liệt kê trong nhật ký, vì vậy nếu bạn bị nhiễm hệ thống, có một cơ hội lớn để tìm nguồn. Bạn cũng có thể đăng ở đây xml log và chúng tôi có thể kiểm tra nó. Tất nhiên, SysInspector là một phần của ESET AV trong tab Công cụ.