Saya memiliki beberapa dllhost.exeproses yang berjalan di komputer Windows 7 saya:

Setiap baris perintah gambar ini tidak ada (apa yang saya pikirkan) /ProcessID:{000000000-0000-0000-0000-0000000000000}opsi baris perintah yang diperlukan :

Pertanyaan: Bagaimana saya bisa menentukan apa yang sebenarnya berjalan dalam proses ini?

Ini keyakinan saya bahwa jika saya dapat mengidentifikasi aplikasi yang sebenarnya melakukan pekerjaan di dalam dllhost.exeproses ini saya akan dapat menentukan apakah sistem saya terinfeksi atau tidak (lihat di bawah).

Mengapa Saya Bertanya / Apa yang Sudah Saya Coba:

DLLHOST.EXEContoh - contoh ini terlihat mencurigakan bagi saya. Sebagai contoh, beberapa dari mereka memiliki banyak koneksi TCP / IP terbuka:

Proses Monitor menunjukkan dan jumlah kegiatan yang absurd . Hanya satu dari proses ini yang menghasilkan 124.390 acara dalam waktu kurang dari 3 menit. Lebih buruk lagi, beberapa dllhost.exeproses ini menulis sekitar 280 MB data per menit untuk pengguna TEMPdan Temporary Internet Filesfolder dalam bentuk folder dan file dengan empat nama karakter acak. Beberapa di antaranya sedang digunakan dan tidak dapat dihapus. Berikut contoh yang difilter:

Saya tahu ini mungkin berbahaya. Sayangnya, peledakan sistem dari orbit hanya harus dilakukan setelah menghabiskan semua opsi lainnya. Untuk itu, saya sudah melakukan:

1. Malwarebytes pemindaian penuh
2. Pemindaian lengkap Microsoft Security Essentials
3. Tinjau Autorun dan file yang dikirimkan dengan seksama yang saya tidak kenal ke VirusTotal.com
4. Tinjau HijackThis sepenuhnya
5. Pemindaian TDSSKiller
6. Ulasan ini pertanyaan SuperUser
7. Ikuti petunjuk ini: Cara Menentukan Aplikasi Yang Sedang Berjalan dalam Paket COM + atau Server Transaksi
8. Untuk setiap DLLHOST.EXEproses, saya telah meninjau tampilan DLL dan Pegangan di Process Explorer untuk apa pun .exe, .dllatau file jenis aplikasi lainnya untuk segala sesuatu yang mencurigakan. Semuanya sudah diperiksa.
9. Ran scanner ESET online
10. Jalankan Pemindai Keamanan Microsoft
11. Boot ke Safe Mode. Perintah switch-less dllhost.exeinstance masih berjalan.

Dan selain dari beberapa deteksi adware kecil, tidak ada yang jahat bermunculan!

Perbarui 1
<<Removed as irrelevant>>

Perbarui 2
Hasil dari SFC /SCANNOW:

Saya melihat di komputer saya dllhost.exe berjalan dari C:\Windows\System32, sedangkan Anda berjalan dari C:\Windows\SysWOW64, yang terlihat agak mencurigakan. Tetapi masalahnya masih bisa disebabkan oleh beberapa produk 32-bit yang diinstal pada komputer Anda.
Periksa juga Peraga Peristiwa dan posting di sini pesan mencurigakan.

Dugaan saya adalah Anda terinfeksi atau Windows menjadi sangat tidak stabil.

Langkah pertama adalah untuk melihat apakah masalah tiba ketika boot ke mode Aman. Jika tidak sampai di sana, maka masalahnya adalah (mungkin) dengan beberapa produk yang diinstal.

Jika masalahnya tiba dalam mode Aman, maka masalahnya adalah pada Windows. Coba jalankan sfc / scannow untuk memverifikasi integritas sistem.

Jika tidak ada masalah yang ditemukan, pindai menggunakan:

• AdwCleaner
• ComboFix

Jika tidak ada yang membantu, coba antivirus saat boot seperti:

• Dr.Web
• F-Secure
• Panda

Untuk menghindari pembakaran CD asli, gunakan Windows 7 USB DVD Download Tool untuk menginstal ISO satu per satu pada kunci USB untuk boot dari.

Jika semua gagal dan Anda mencurigai adanya infeksi, solusi teraman adalah memformat disk dan menginstal ulang Windows, tetapi coba semua kemungkinan lain terlebih dahulu.

Ini adalah DLL Fileless, Memory-Injecting, Trojan!

Penghargaan untuk mengarahkan saya ke arah yang benar adalah @harrymc, jadi saya telah memberinya bendera jawaban & karunia.

Sejauh yang saya tahu, contoh yang tepat dari DLLHOST.EXEselalu memiliki /ProcessID:saklar. Proses ini tidak karena mereka sedang mengeksekusi .DLL yang telah disuntikkan langsung ke memori oleh trojan Poweliks .

Menurut artikel ini :

... [Poweliks] disimpan dalam nilai registri terenkripsi, dan dimuat saat boot oleh proses RUN memanggil proses rundll32 pada muatan JavaScript terenkripsi.

Setelah muatan dimuat dalam rundll32, ia mencoba mengeksekusi skrip PowerShell yang tertanam dalam mode interaktif (tanpa UI). Skrip PowerShell itu berisi payload yang disandikan base64 (yang lain) yang akan disuntikkan ke proses dllhost (item persisten), yang akan di-zombifikasi dan bertindak sebagai pengunduh trojan untuk infeksi lain.

Sebagaimana dicatat di awal artikel yang direferensikan di atas, varian terbaru (termasuk saya) tidak lagi dimulai dari entri di HKEY_CURRENT_USER\...\RUNkunci tetapi sebaliknya disembunyikan di kunci CLSID yang dibajak. Dan untuk membuatnya lebih sulit untuk mendeteksi tidak ada file yang ditulis ke disk , hanya entri Registry ini.

Memang (berkat saran harrymc) saya menemukan trojan dengan melakukan hal berikut:

1. Boot ke Safe Mode
2. Gunakan Process Explorer untuk menangguhkan semua dllhost.exeproses pemerah pipi
3. Jalankan pemindaian ComboFix

Dalam kasus saya, trojan Poweliks bersembunyi di HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}kunci (yang ada hubungannya dengan Cache Thumbnail). Rupanya ketika kunci ini diakses itu mengeksekusi trojan. Karena thumbnail banyak digunakan, efek trojan ini menjadi hidup hampir secepat seolah-olah RUNentri yang sebenarnya ada di Registry.

Untuk beberapa detail teknis tambahan, lihat posting blog TrendMicro ini .

Jika Anda ingin melakukan analis forensik semacam ini untuk menjalankan proses, layanan, koneksi jaringan, ... Saya sarankan Anda untuk menggunakan ESET SysInspector juga . Ini memberi Anda pandangan yang lebih baik tentang menjalankan file, juga Anda dapat melihat tidak hanya dllhost.exe, tetapi file yang terkait dengan argumen untuk file ini, jalur untuk program startup otomatis, ... Beberapa dari mereka mungkin layanan, itu juga mengambil nama mereka, Anda melihatnya dalam aplikasi berwarna yang bagus.

Satu kemajuan besar adalah ia juga memberi Anda hasil AV untuk semua file yang terdaftar dalam log, jadi jika Anda memiliki sistem yang terinfeksi, ada peluang besar untuk menemukan sumbernya. Anda juga dapat memposting di sini log xml dan kami dapat memeriksanya. Tentu saja, SysInspector adalah bagian dari ESET AV di tab Tools.