Saya memiliki beberapa dllhost.exe
proses yang berjalan di komputer Windows 7 saya:
Setiap baris perintah gambar ini tidak ada (apa yang saya pikirkan) /ProcessID:{000000000-0000-0000-0000-0000000000000}
opsi baris perintah yang diperlukan :
Pertanyaan: Bagaimana saya bisa menentukan apa yang sebenarnya berjalan dalam proses ini?
Ini keyakinan saya bahwa jika saya dapat mengidentifikasi aplikasi yang sebenarnya melakukan pekerjaan di dalam dllhost.exe
proses ini saya akan dapat menentukan apakah sistem saya terinfeksi atau tidak (lihat di bawah).
Mengapa Saya Bertanya / Apa yang Sudah Saya Coba:
DLLHOST.EXE
Contoh - contoh ini terlihat mencurigakan bagi saya. Sebagai contoh, beberapa dari mereka memiliki banyak koneksi TCP / IP terbuka:
Proses Monitor menunjukkan dan jumlah kegiatan yang absurd . Hanya satu dari proses ini yang menghasilkan 124.390 acara dalam waktu kurang dari 3 menit. Lebih buruk lagi, beberapa dllhost.exe
proses ini menulis sekitar 280 MB data per menit untuk pengguna TEMP
dan Temporary Internet Files
folder dalam bentuk folder dan file dengan empat nama karakter acak. Beberapa di antaranya sedang digunakan dan tidak dapat dihapus. Berikut contoh yang difilter:
Saya tahu ini mungkin berbahaya. Sayangnya, peledakan sistem dari orbit hanya harus dilakukan setelah menghabiskan semua opsi lainnya. Untuk itu, saya sudah melakukan:
- Malwarebytes pemindaian penuh
- Pemindaian lengkap Microsoft Security Essentials
- Tinjau Autorun dan file yang dikirimkan dengan seksama yang saya tidak kenal ke VirusTotal.com
- Tinjau HijackThis sepenuhnya
- Pemindaian TDSSKiller
- Ulasan ini pertanyaan SuperUser
- Ikuti petunjuk ini: Cara Menentukan Aplikasi Yang Sedang Berjalan dalam Paket COM + atau Server Transaksi
- Untuk setiap
DLLHOST.EXE
proses, saya telah meninjau tampilan DLL dan Pegangan di Process Explorer untuk apa pun.exe
,.dll
atau file jenis aplikasi lainnya untuk segala sesuatu yang mencurigakan. Semuanya sudah diperiksa. - Ran scanner ESET online
- Jalankan Pemindai Keamanan Microsoft
- Boot ke Safe Mode. Perintah switch-less
dllhost.exe
instance masih berjalan.
Dan selain dari beberapa deteksi adware kecil, tidak ada yang jahat bermunculan!
Perbarui 1
<<Removed as irrelevant>>
Perbarui 2
Hasil dari SFC /SCANNOW
:
dllhost.exe
proses itu? Mulai dari baris perintahwmic path Win32_Service Where "ProcessId = 28420"
Jawaban:
Saya melihat di komputer saya dllhost.exe berjalan dari
C:\Windows\System32
, sedangkan Anda berjalan dariC:\Windows\SysWOW64
, yang terlihat agak mencurigakan. Tetapi masalahnya masih bisa disebabkan oleh beberapa produk 32-bit yang diinstal pada komputer Anda.Periksa juga Peraga Peristiwa dan posting di sini pesan mencurigakan.
Dugaan saya adalah Anda terinfeksi atau Windows menjadi sangat tidak stabil.
Langkah pertama adalah untuk melihat apakah masalah tiba ketika boot ke mode Aman. Jika tidak sampai di sana, maka masalahnya adalah (mungkin) dengan beberapa produk yang diinstal.
Jika masalahnya tiba dalam mode Aman, maka masalahnya adalah pada Windows. Coba jalankan sfc / scannow untuk memverifikasi integritas sistem.
Jika tidak ada masalah yang ditemukan, pindai menggunakan:
Jika tidak ada yang membantu, coba antivirus saat boot seperti:
Untuk menghindari pembakaran CD asli, gunakan Windows 7 USB DVD Download Tool untuk menginstal ISO satu per satu pada kunci USB untuk boot dari.
Jika semua gagal dan Anda mencurigai adanya infeksi, solusi teraman adalah memformat disk dan menginstal ulang Windows, tetapi coba semua kemungkinan lain terlebih dahulu.
sumber
\SysWOW64
OK karena saya sudah mengkonfirmasi file yang sama ada di mesin Win7 lainnya.Ini adalah DLL Fileless, Memory-Injecting, Trojan!
Penghargaan untuk mengarahkan saya ke arah yang benar adalah @harrymc, jadi saya telah memberinya bendera jawaban & karunia.
Sejauh yang saya tahu, contoh yang tepat dari
DLLHOST.EXE
selalu memiliki/ProcessID:
saklar. Proses ini tidak karena mereka sedang mengeksekusi .DLL yang telah disuntikkan langsung ke memori oleh trojan Poweliks .Menurut artikel ini :
Sebagaimana dicatat di awal artikel yang direferensikan di atas, varian terbaru (termasuk saya) tidak lagi dimulai dari entri di
HKEY_CURRENT_USER\...\RUN
kunci tetapi sebaliknya disembunyikan di kunci CLSID yang dibajak. Dan untuk membuatnya lebih sulit untuk mendeteksi tidak ada file yang ditulis ke disk , hanya entri Registry ini.Memang (berkat saran harrymc) saya menemukan trojan dengan melakukan hal berikut:
dllhost.exe
proses pemerah pipiDalam kasus saya, trojan Poweliks bersembunyi di
HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}
kunci (yang ada hubungannya dengan Cache Thumbnail). Rupanya ketika kunci ini diakses itu mengeksekusi trojan. Karena thumbnail banyak digunakan, efek trojan ini menjadi hidup hampir secepat seolah-olahRUN
entri yang sebenarnya ada di Registry.Untuk beberapa detail teknis tambahan, lihat posting blog TrendMicro ini .
sumber
Jika Anda ingin melakukan analis forensik semacam ini untuk menjalankan proses, layanan, koneksi jaringan, ... Saya sarankan Anda untuk menggunakan ESET SysInspector juga . Ini memberi Anda pandangan yang lebih baik tentang menjalankan file, juga Anda dapat melihat tidak hanya dllhost.exe, tetapi file yang terkait dengan argumen untuk file ini, jalur untuk program startup otomatis, ... Beberapa dari mereka mungkin layanan, itu juga mengambil nama mereka, Anda melihatnya dalam aplikasi berwarna yang bagus.
Satu kemajuan besar adalah ia juga memberi Anda hasil AV untuk semua file yang terdaftar dalam log, jadi jika Anda memiliki sistem yang terinfeksi, ada peluang besar untuk menemukan sumbernya. Anda juga dapat memposting di sini log xml dan kami dapat memeriksanya. Tentu saja, SysInspector adalah bagian dari ESET AV di tab Tools.
sumber