dllhost.exeWindows 7 bilgisayarımda çalışan birden çok işlemim var :

Bu görüntünün komut satırının her biri gerekli (düşündüğüm) gerekli /ProcessID:{000000000-0000-0000-0000-0000000000000}komut satırı seçeneği eksik :

Soru: Bu süreçte gerçekten neyin çalıştığını nasıl belirleyebilirim ?

Benim inancım, eğer bu dllhost.exesüreçler içindeki işi yapan gerçek uygulamayı tanımlayabilirsem, sistemime virüs bulaşıp bulaşmadığını belirleyebileceğim (aşağıya bakınız).

Neden Sordum / Ne Denedim:

Bu DLLHOST.EXEörnekler bana şüpheli geliyor. Örneğin, birçoğunun çok sayıda açık TCP / IP bağlantısı var:

Process Monitor aktivite miktarını gösterir ve saçmadır . Bu süreçlerden sadece biri 3 dakikadan kısa sürede 124.390 olay üretti. Daha da kötüsü, bu dllhost.exeişlemlerin birçoğu kullanıcı ve klasörlere rastgele dört karakter adı olan klasör ve dosyalar şeklinde dakikada yaklaşık 280 MB veri yazıyor . Bunlardan bazıları kullanımda ve silinemiyor. Filtrelenmiş bir örnek:TEMPTemporary Internet Files

Bunun muhtemelen kötü amaçlı olduğunu biliyorum. Ne yazık ki, sistemi yörüngeden patlatmak sadece diğer tüm seçenekleri tükettikten sonra yapılmalıdır. Bu noktaya kadar yaptım:

1. Malwarebytes tam tarama
2. Microsoft Security Essentials tam tarama
3. Otomatik Çalışmaları dikkatle inceledim ve tanımadığım dosyaları VirusTotal.com'a gönderdim
4. HijackThis'i iyice inceledik
5. TDSSKiller taraması
6. Yorum Bu Süper Kullanıcı soruyu
7. Bu yönergeleri izleyin: COM + veya İşlem Sunucusu Paketi İçinde Hangi Uygulamanın Çalıştığını Belirleme
8. Her biri için DLLHOST.EXEsüreçler, ben inceledim DLL'leri ve Kolları herhangi biri için Process Explorer görüntülemek .exe, .dllşüpheli bir şey için diğer uygulama tipi dosyaları veya. Her şey olsa teslim.
9. Ran ESET Çevrimiçi Tarayıcı
10. Microsoft Güvenlik Tarayıcısı
11. Güvenli Moda Önyüklendi. Anahtarsız komut dllhost.exeörneği hala çalışıyor.

Ve birkaç küçük adware tespitinin yanı sıra, kötü amaçlı bir şey ortaya çıkmıyor!

Güncelleme 1
<<Removed as irrelevant>>

Güncelleme 2
Sonuçları SFC /SCANNOW:

C:\Windows\System32Seninki çalışırken C:\Windows\SysWOW64, biraz şüpheli görünüyor benim bilgisayar dllhost.exe çalışan görüyorum . Ancak sorun, bilgisayarınızda yüklü olan bazı 32 bit ürünlerden kaynaklanabilir.
Ayrıca Olay Görüntüleyicisi'ni kontrol edin ve şüpheli iletileri buraya gönderin.

Benim tahminim virüs bulaşmış olması ya da Windows'un çok kararsız hale gelmesi.

İlk adım Güvenli modda önyükleme yaparken sorunun gelip gelmediğini görmektir. Oraya ulaşmazsa, sorun bazı yüklü ürünlerde (belki).

Sorun Güvenli modda gelirse, sorun Windows ile ilgilidir. Sistem bütünlüğünü doğrulamak için sfc / scannow komutunu çalıştırmayı deneyin .

Sorun bulunmazsa aşağıdakileri kullanarak tarayın:

• AdwCleaner
• ComboFix

Hiçbir şey yardımcı olmazsa, aşağıdaki gibi bir önyükleme zamanı antivirüsünü deneyin:

• Dr.Web
• F-Secure
• Panda

Gerçek CD yazmaktan kaçınmak için, önyükleme yapmak üzere bir USB anahtarına ISO'ları tek tek yüklemek için Windows 7 USB DVD İndirme Aracı'nı kullanın.

Her şey başarısız olursa ve bir enfeksiyondan şüpheleniyorsanız, en güvenli çözüm diski biçimlendirmek ve Windows'u yeniden yüklemektir, ancak önce diğer tüm olasılıkları deneyin.

Bu bir Fileless, Bellek-enjekte, DLL Truva!

Beni doğru yönde gösterme kredisi @harrymc'ye gidiyor, bu yüzden ona cevap bayrağını ve ödülünü verdim.

Anlayabildiğim kadarıyla, uygun bir örnek DLLHOST.EXEher zaman geçişe sahiptir /ProcessID:. Bu işlemler , Poweliks truva atı tarafından doğrudan belleğe enjekte edilen bir .DLL yürüttükleri için değil .

Bu yazıya göre :

... [Poweliks] şifreli bir kayıt defteri değerinde saklanır ve önyükleme sırasında şifreli bir JavaScript yükünde rundll32 işlemi çağıran bir RUN anahtarı tarafından yüklenir.

Rundll32'ye [the] yükü [yüklendiğinde], etkileşimli modda (UI yok) gömülü bir PowerShell betiği yürütmeye çalışır. Bu PowerShell komut dosyaları, zombileştirilecek ve diğer enfeksiyonlar için truva atı indirici olarak işlev görecek olan bir dllhost işlemine (kalıcı öğe) enjekte edilecek base64 kodlu bir yük (başka bir tane) içerir.

Yukarıda atıfta bulunulan makalenin başında belirtildiği gibi, son varyantlar (benimki dahil) artık HKEY_CURRENT_USER\...\RUNanahtardaki bir girişten başlamamakta , bunun yerine çalınmış bir CLSID anahtarında gizlenmektedir. Ve diske yazılan hiçbir dosya olmadığını , yalnızca bu Kayıt Defteri girdilerini algılamayı daha da zorlaştırmak için .

Gerçekten (harrymc'in önerisi sayesinde) Truva atını aşağıdakileri yaparak buldum:

1. Güvenli Moda Önyükleme
2. Kullanım Process Explorer allık tüm askıya dllhost.exesüreçler
3. Bir Run ComboFix tarama

Benim durumumda Poweliks Truva Atı, HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}(Küçük Resim Önbelleği ile ilgili olan) anahtarda saklıyordu . Görünüşe göre bu anahtara erişildiğinde truva atı çalıştırır. Küçük resimler çok kullanıldığından, bu, Truva Atının neredeyse RUNKayıt Defterine gerçek bir girişi olduğu gibi hayata dönüşmesinin etkisine sahipti .

Bazı ek teknik ayrıntılar için bu TrendMicro blog yayınına bakın .

Çalışan bu tür adli tıp analisti işlemleri, hizmetler, ağ bağlantısı yapmak istiyorsanız ... Ayrıca ESET SysInspector uygulamasını kullanmanızı öneririm . Size çalışan dosyaları hakkında daha iyi görünüm verir, ayrıca sadece dllhost.exe dosyasını değil, aynı zamanda bu dosya için argümanla bağlantılı dosyaları, otomatik başlatma programlarının yolunu da görebilirsiniz ... Bazıları hizmetler olabilir, ayrıca adlarını alabilir, güzel renklendirilmiş uygulamada görüyorsunuz.

Büyük bir ilerleme, günlükte listelenen tüm dosyalar için AV sonuçları vermesidir, bu nedenle sisteme virüs bulaştıysanız, bir kaynak bulmak için büyük bir şans vardır. Ayrıca burada xml günlüğü gönderebilir ve kontrol edebiliriz. Elbette SysInspector, Araçlar sekmesindeki ESET AV'nin bir parçasıdır.