Ho più dllhost.exeprocessi in esecuzione sul mio computer Windows 7:

Ognuna di queste righe di comando dell'immagine manca (quello che sto pensando è) l' /ProcessID:{000000000-0000-0000-0000-0000000000000}opzione della riga di comando richiesta :

Domanda: Come posso determinare cosa è effettivamente in esecuzione in questo processo?

Sono convinto che se riesco a identificare l'applicazione effettiva che fa il lavoro all'interno di questi dllhost.exeprocessi, sarò in grado di determinare se il mio sistema è infetto o meno (vedi sotto).

Perché sto chiedendo / cosa ho provato:

Questi DLLHOST.EXEcasi mi sembrano sospetti. Ad esempio, molti di loro hanno molte connessioni TCP / IP aperte:

Process Monitor mostra e assurda quantità di attività. Solo uno di questi processi ha generato 124.390 eventi in meno di 3 minuti. A peggiorare le cose, molti di questi dllhost.exeprocessi stanno scrivendo circa 280 MB di dati al minuto per l'utente TEMPe le Temporary Internet Filescartelle sotto forma di cartelle e file con nomi casuali di quattro caratteri. Alcuni di questi sono in uso e non possono essere eliminati. Ecco un esempio filtrato:

So che questo è probabilmente dannoso. Sfortunatamente, far saltare il sistema dall'orbita deve essere fatto solo dopo aver esaurito tutte le altre opzioni. A quel punto, ho fatto:

1. Scansione completa di Malwarebytes
2. Scansione completa di Microsoft Security Essentials
3. Autorun attentamente esaminati e file inviati che non riconosco su VirusTotal.com
4. Hijack accuratamente rivisto
5. Scansione TDSSKiller
6. Inviato questa domanda SuperUser
7. Seguite queste istruzioni: Come determinare quale applicazione è in esecuzione all'interno di un pacchetto COM + o Transaction Server
8. Per ciascuno dei DLLHOST.EXEprocessi, ho esaminato la vista DLL e handle in Process Explorer per qualsiasi .exe, .dllo altri file di tipo applicazione per qualcosa di sospetto. Tutto è andato a buon fine però.
9. Ho eseguito lo scanner online ESET
10. Ho funzionato con Microsoft Safety Scanner
11. Avviato in modalità provvisoria. L' dllhost.exeistanza senza switch del comando è ancora in esecuzione.

E a parte alcuni rilevamenti di adware minori, non sta spuntando nulla di dannoso!

Aggiornamento 1
<<Removed as irrelevant>>

Aggiornamento 2
Risultati di SFC /SCANNOW:

Vedo sul mio computer dllhost.exe in esecuzione da C:\Windows\System32, mentre il tuo è in esecuzione da C:\Windows\SysWOW64, che sembra un po 'sospetto. Ma il problema può ancora essere causato da un prodotto a 32 bit installato sul tuo computer.
Controlla anche il Visualizzatore eventi e pubblica qui eventuali messaggi sospetti.

Suppongo che tu sia infetto o che Windows sia diventato molto instabile.

Il primo passo è vedere se il problema arriva quando si avvia in modalità provvisoria. Se non arriva lì, il problema è (forse) con alcuni prodotti installati.

Se il problema arriva in modalità provvisoria, il problema riguarda Windows. Prova a eseguire sfc / scannow per verificare l'integrità del sistema.

Se non si riscontrano problemi, scansionare usando:

• AdwCleaner
• ComboFix

Se nulla aiuta, prova un antivirus all'avvio come:

• Dr.Web
• F-Secure
• Panda

Per evitare la masterizzazione di CD reali, utilizzare lo strumento di download di DVD USB di Windows 7 per installare gli ISO uno a uno su una chiave USB da cui eseguire l'avvio.

Se tutto fallisce e si sospetta un'infezione, la soluzione più sicura è formattare il disco e reinstallare Windows, ma prima provare tutte le altre possibilità.

È un Trojan DLL senza file, a iniezione di memoria!

Il merito di avermi indicato nella giusta direzione va a @harrymc, quindi gli ho assegnato la bandiera della risposta e la generosità.

Per quanto ne so, un'istanza corretta DLLHOST.EXEha sempre l' /ProcessID:interruttore. Questi processi non lo fanno perché stanno eseguendo un .DLL che è stato iniettato direttamente in memoria dal trojan Poweliks .

Secondo questo articolo :

... [Poweliks] è archiviato in un valore di registro crittografato e caricato all'avvio da una chiave RUN che chiama il processo rundll32 su un payload JavaScript crittografato.

Una volta che [il] payload [è] caricato in rundll32, tenta di eseguire uno script PowerShell incorporato in modalità interattiva (no UI). Gli script di PowerShell contengono un payload codificato in base64 (un altro) che verrà iniettato in un processo dllhost (l'elemento persistente), che verrà zombificato e fungerà da downloader di trojan per altre infezioni.

Come notato all'inizio dell'articolo sopra citato, le recenti varianti (la mia inclusa) non iniziano più da una voce nella HKEY_CURRENT_USER\...\RUNchiave ma sono invece nascoste in una chiave CLSID dirottata. E per rendere ancora più difficile rilevare non ci sono file scritti sul disco , solo queste voci del Registro di sistema.

Infatti (grazie al suggerimento di harrymc) ho trovato il trojan nel modo seguente:

1. Avvia in modalità provvisoria
2. Utilizzare Process Explorer per sospendere tutti i dllhost.exeprocessi rouge
3. Esegui una scansione ComboFix

Nel mio caso il trojan Poweliks si nascondeva nella HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}chiave (che ha a che fare con la cache delle miniature). Apparentemente quando si accede a questa chiave, esegue il trojan. Poiché le anteprime vengono utilizzate molto, questo ha avuto l'effetto di prendere vita il trojan quasi con la stessa rapidità di una RUNvoce effettiva nel registro.

Per ulteriori dettagli tecnici, consultare questo post sul blog TrendMicro .

Se vuoi fare questo tipo di analista forense di processi in esecuzione, servizi, connessione di rete, ... ti consiglio di usare anche ESET SysInspector. Ti dà una visione migliore dei file in esecuzione, inoltre puoi vedere non solo dllhost.exe, ma i file collegati con argomento per questo file, percorso per i programmi di avvio automatico, ... Alcuni di essi possono essere servizi, prendono anche il loro nome, lo vedi in una bella applicazione colorata.

Un grande progresso è che ti dà anche risultati AV per tutti i file elencati nel registro, quindi se hai un sistema infetto, c'è una grande possibilità di trovare una fonte. Puoi anche pubblicare qui il registro xml e possiamo controllarlo. Naturalmente, SysInspector fa parte di ESET AV nella scheda Strumenti.