Bagaimana cara menentukan apa yang berjalan di DLLHOST.EXE yang hilang / ProcessID switch?

11

Saya memiliki beberapa dllhost.exeproses yang berjalan di komputer Windows 7 saya: masukkan deskripsi gambar di sini

Setiap baris perintah gambar ini tidak ada (apa yang saya pikirkan) /ProcessID:{000000000-0000-0000-0000-0000000000000}opsi baris perintah yang diperlukan : masukkan deskripsi gambar di sini

Pertanyaan: Bagaimana saya bisa menentukan apa yang sebenarnya berjalan dalam proses ini?

Ini keyakinan saya bahwa jika saya dapat mengidentifikasi aplikasi yang sebenarnya melakukan pekerjaan di dalam dllhost.exeproses ini saya akan dapat menentukan apakah sistem saya terinfeksi atau tidak (lihat di bawah).


Mengapa Saya Bertanya / Apa yang Sudah Saya Coba:

DLLHOST.EXEContoh - contoh ini terlihat mencurigakan bagi saya. Sebagai contoh, beberapa dari mereka memiliki banyak koneksi TCP / IP terbuka:

masukkan deskripsi gambar di sini

Proses Monitor menunjukkan dan jumlah kegiatan yang absurd . Hanya satu dari proses ini yang menghasilkan 124.390 acara dalam waktu kurang dari 3 menit. Lebih buruk lagi, beberapa dllhost.exeproses ini menulis sekitar 280 MB data per menit untuk pengguna TEMPdan Temporary Internet Filesfolder dalam bentuk folder dan file dengan empat nama karakter acak. Beberapa di antaranya sedang digunakan dan tidak dapat dihapus. Berikut contoh yang difilter:

masukkan deskripsi gambar di sini

Saya tahu ini mungkin berbahaya. Sayangnya, peledakan sistem dari orbit hanya harus dilakukan setelah menghabiskan semua opsi lainnya. Untuk itu, saya sudah melakukan:

  1. Malwarebytes pemindaian penuh
  2. Pemindaian lengkap Microsoft Security Essentials
  3. Tinjau Autorun dan file yang dikirimkan dengan seksama yang saya tidak kenal ke VirusTotal.com
  4. Tinjau HijackThis sepenuhnya
  5. Pemindaian TDSSKiller
  6. Ulasan ini pertanyaan SuperUser
  7. Ikuti petunjuk ini: Cara Menentukan Aplikasi Yang Sedang Berjalan dalam Paket COM + atau Server Transaksi
  8. Untuk setiap DLLHOST.EXEproses, saya telah meninjau tampilan DLL dan Pegangan di Process Explorer untuk apa pun .exe, .dllatau file jenis aplikasi lainnya untuk segala sesuatu yang mencurigakan. Semuanya sudah diperiksa.
  9. Ran scanner ESET online
  10. Jalankan Pemindai Keamanan Microsoft
  11. Boot ke Safe Mode. Perintah switch-less dllhost.exeinstance masih berjalan.

Dan selain dari beberapa deteksi adware kecil, tidak ada yang jahat bermunculan!


Perbarui 1
<<Removed as irrelevant>>

Perbarui 2
Hasil dari SFC /SCANNOW: masukkan deskripsi gambar di sini

Saya katakan Reinstate Monica
sumber
1
tanyakan kepada Gov Maharaj ini dari Microsoft melalui emai yang diposting, sehingga dia dapat menjawab ini di acaranya: channel9.msdn.com/Shows/The-Defrag-Show
magicandre1981
@harrymc Mine menunjukkan 7/13/2009 dan 7168 byte. Versi file 6.1.7600.16385.
Saya katakan Reinstate Monica
Jika Windows Anda 64-bit maka saya akan menebak bahwa masalahnya berasal dari produk yang diinstal 32-bit.
harrymc
Apa yang ada di tab string? Ada yang menarik?
Jon Kloske
Mungkin bermanfaat untuk mengetahui layanan apa yang digunakan dllhost.exeproses itu? Mulai dari baris perintahwmic path Win32_Service Where "ProcessId = 28420"
JosefZ

Jawaban:

2

Saya melihat di komputer saya dllhost.exe berjalan dari C:\Windows\System32, sedangkan Anda berjalan dari C:\Windows\SysWOW64, yang terlihat agak mencurigakan. Tetapi masalahnya masih bisa disebabkan oleh beberapa produk 32-bit yang diinstal pada komputer Anda.
Periksa juga Peraga Peristiwa dan posting di sini pesan mencurigakan.

Dugaan saya adalah Anda terinfeksi atau Windows menjadi sangat tidak stabil.

Langkah pertama adalah untuk melihat apakah masalah tiba ketika boot ke mode Aman. Jika tidak sampai di sana, maka masalahnya adalah (mungkin) dengan beberapa produk yang diinstal.

Jika masalahnya tiba dalam mode Aman, maka masalahnya adalah pada Windows. Coba jalankan sfc / scannow untuk memverifikasi integritas sistem.

Jika tidak ada masalah yang ditemukan, pindai menggunakan:

Jika tidak ada yang membantu, coba antivirus saat boot seperti:

Untuk menghindari pembakaran CD asli, gunakan Windows 7 USB DVD Download Tool untuk menginstal ISO satu per satu pada kunci USB untuk boot dari.

Jika semua gagal dan Anda mencurigai adanya infeksi, solusi teraman adalah memformat disk dan menginstal ulang Windows, tetapi coba semua kemungkinan lain terlebih dahulu.

harrymc
sumber
Ada beberapa langkah di sini saya akan mulai mencoba. Mesin ini dirawat dengan baik dan telah stabil sampai perilaku ini muncul (kami diberitahu tentang masalah dengan 10 GB file temp yang ditulis dalam waktu beberapa hari). Saya pikir file sedang \SysWOW64OK karena saya sudah mengkonfirmasi file yang sama ada di mesin Win7 lainnya.
Saya katakan Reinstate Monica
1
Jika Anda mencurigai produk startup yang diinstal, Autoruns adalah utilitas praktis untuk mematikannya secara berkelompok dan menyalakannya lagi, me-reboot setiap kali.
harrymc
Saya telah berulang kali dan ekstensif memeriksa entri Autoruns dan tidak menemukan yang mencurigakan. Apa yang membuat saya adalah perilaku ini muncul tiba-tiba.
Saya katakan Reinstate Monica
Apa yang Anda temukan di folder Temp 10GB?
harrymc
1
@kinokijuf: Terima kasih telah meninggalkan komentar yang membenarkan downvote. Untuk membela saya, saya perhatikan bahwa ini adalah jawaban yang diterima, karena antivirus yang saya rekomendasikan menemukan infeksi ketika banyak orang lain gagal.
harrymc
6

Ini adalah DLL Fileless, Memory-Injecting, Trojan!

Penghargaan untuk mengarahkan saya ke arah yang benar adalah @harrymc, jadi saya telah memberinya bendera jawaban & karunia.

Sejauh yang saya tahu, contoh yang tepat dari DLLHOST.EXEselalu memiliki /ProcessID:saklar. Proses ini tidak karena mereka sedang mengeksekusi .DLL yang telah disuntikkan langsung ke memori oleh trojan Poweliks .

Menurut artikel ini :

... [Poweliks] disimpan dalam nilai registri terenkripsi, dan dimuat saat boot oleh proses RUN memanggil proses rundll32 pada muatan JavaScript terenkripsi.

Setelah muatan dimuat dalam rundll32, ia mencoba mengeksekusi skrip PowerShell yang tertanam dalam mode interaktif (tanpa UI). Skrip PowerShell itu berisi payload yang disandikan base64 (yang lain) yang akan disuntikkan ke proses dllhost (item persisten), yang akan di-zombifikasi dan bertindak sebagai pengunduh trojan untuk infeksi lain.

Sebagaimana dicatat di awal artikel yang direferensikan di atas, varian terbaru (termasuk saya) tidak lagi dimulai dari entri di HKEY_CURRENT_USER\...\RUNkunci tetapi sebaliknya disembunyikan di kunci CLSID yang dibajak. Dan untuk membuatnya lebih sulit untuk mendeteksi tidak ada file yang ditulis ke disk , hanya entri Registry ini.

Memang (berkat saran harrymc) saya menemukan trojan dengan melakukan hal berikut:

  1. Boot ke Safe Mode
  2. Gunakan Process Explorer untuk menangguhkan semua dllhost.exeproses pemerah pipi
  3. Jalankan pemindaian ComboFix

Dalam kasus saya, trojan Poweliks bersembunyi di HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}kunci (yang ada hubungannya dengan Cache Thumbnail). Rupanya ketika kunci ini diakses itu mengeksekusi trojan. Karena thumbnail banyak digunakan, efek trojan ini menjadi hidup hampir secepat seolah-olah RUNentri yang sebenarnya ada di Registry.

Untuk beberapa detail teknis tambahan, lihat posting blog TrendMicro ini .

Saya katakan Reinstate Monica
sumber
-1

Jika Anda ingin melakukan analis forensik semacam ini untuk menjalankan proses, layanan, koneksi jaringan, ... Saya sarankan Anda untuk menggunakan ESET SysInspector juga . Ini memberi Anda pandangan yang lebih baik tentang menjalankan file, juga Anda dapat melihat tidak hanya dllhost.exe, tetapi file yang terkait dengan argumen untuk file ini, jalur untuk program startup otomatis, ... Beberapa dari mereka mungkin layanan, itu juga mengambil nama mereka, Anda melihatnya dalam aplikasi berwarna yang bagus.

Satu kemajuan besar adalah ia juga memberi Anda hasil AV untuk semua file yang terdaftar dalam log, jadi jika Anda memiliki sistem yang terinfeksi, ada peluang besar untuk menemukan sumbernya. Anda juga dapat memposting di sini log xml dan kami dapat memeriksanya. Tentu saja, SysInspector adalah bagian dari ESET AV di tab Tools.

Dolmayan
sumber
Saya menginstal dan menjalankan ESET SysInspector tetapi tidak memberi tahu saya apa pun. Proses Explorer dan Monitor Proses belum memberi tahu saya sejauh ini, meskipun saya suka bagaimana SysInspector membuat beberapa informasi ini lebih mudah diakses.
Saya katakan Reinstate Monica