Como determinar o que está executando o DLLHOST.EXE que está faltando / opção ProcessID?


11

Tenho vários dllhost.exeprocessos em execução no meu computador com Windows 7: insira a descrição da imagem aqui

Está faltando cada uma das linhas de comando dessa imagem (o que eu acho que é) a /ProcessID:{000000000-0000-0000-0000-0000000000000}opção de linha de comando necessária : insira a descrição da imagem aqui

Pergunta: Como posso determinar o que realmente está em execução neste processo?

É minha convicção que, se conseguir identificar o aplicativo real que está fazendo o trabalho dentro desses dllhost.exeprocessos, poderei determinar se meu sistema está infectado ou não (veja abaixo).


Por que estou perguntando / o que tentei:

Essas DLLHOST.EXEinstâncias parecem suspeitas para mim. Por exemplo, vários deles têm muitas conexões TCP / IP abertas:

insira a descrição da imagem aqui

Process Monitor mostra e quantidade absurda de atividade. Apenas um desses processos gerou 124.390 eventos em menos de 3 minutos. Para piorar a situação, vários desses dllhost.exeprocessos estão gravando aproximadamente 280 MB de dados por minuto no usuário TEMPe Temporary Internet Filesnas pastas na forma de pastas e arquivos com nomes aleatórios de quatro caracteres. Alguns deles estão em uso e não podem ser excluídos. Aqui está uma amostra filtrada:

insira a descrição da imagem aqui

Eu sei que isso provavelmente é malicioso. Infelizmente, explodir o sistema da órbita só deve ser feito depois de esgotar todas as outras opções. Até esse ponto, eu fiz:

  1. Verificação completa do Malwarebytes
  2. Verificação completa do Microsoft Security Essentials
  3. Revisou completamente as Autoruns e enviou os arquivos que não reconheço ao VirusTotal.com
  4. HijackThis completamente revisado
  5. Varredura assassina
  6. Avaliado esta questão SuperUser
  7. Siga estas instruções: Como determinar qual aplicativo está sendo executado em um pacote COM + ou Transaction Server
  8. Para cada um dos DLLHOST.EXEprocessos, eu revi as DLLs e alças ver em Process Explorer para qualquer .exe, .dllou outros arquivos do tipo pedido de qualquer coisa suspeita. Tudo saiu embora.
  9. Executou o scanner ESET Online
  10. Ran Microsoft Security Scanner
  11. Inicializado no modo de segurança. A dllhost.exeinstância sem opção de comando ainda está em execução.

Além de algumas pequenas detecções de adware, nada de malicioso está aparecendo!


Atualização 1
<<Removed as irrelevant>>

Atualização 2
Resultados de SFC /SCANNOW: insira a descrição da imagem aqui


1
Pergunto isso Maharaj Gov da Microsoft através do emai publicado, para que ele possa responder a esta em seu show: channel9.msdn.com/Shows/The-Defrag-Show
magicandre1981

A mina @harrymc mostra 13/7/2009 e 7168 bytes. Versão do arquivo 6.1.7600.16385.
Eu digo Reinstate Monica

Se o seu Windows for de 64 bits, acho que o problema vem de um produto instalado de 32 bits.
harrymc

O que há na guia seqüências de caracteres? Alguma coisa interessante?
Jon Kloske

Pode valer a pena saber quais serviços o dllhost.exeprocesso utiliza? Comece pela linha de comandowmic path Win32_Service Where "ProcessId = 28420"
JosefZ 10/11

Respostas:


2

Eu vejo no meu computador o dllhost.exe sendo executado C:\Windows\System32, enquanto o seu está sendo executado C:\Windows\SysWOW64, o que parece um pouco suspeito. Mas o problema ainda pode ser causado por algum produto de 32 bits instalado no seu computador.
Verifique também o Visualizador de Eventos e poste aqui todas as mensagens suspeitas.

Meu palpite é que você está infectado ou que o Windows se tornou muito instável.

O primeiro passo é verificar se o problema chega ao inicializar no modo de segurança. Se ele não chegar lá, o problema é (talvez) com algum produto instalado.

Se o problema chegar no modo de segurança, o problema será no Windows. Tente executar o sfc / scannow para verificar a integridade do sistema.

Se nenhum problema for encontrado, digitalize usando:

Se nada ajudar, tente um antivírus no momento da inicialização, como:

Para evitar a gravação de CDs reais, use a Ferramenta de Download de DVD USB do Windows 7 para instalar os ISOs um a um em uma chave USB para inicializar.

Se tudo falhar e você suspeitar de uma infecção, a solução mais segura é formatar o disco e reinstalar o Windows, mas tente todas as outras possibilidades primeiro.


Existem algumas etapas aqui, vou começar a tentar. A máquina é bem mantida e permanece estável até que esse comportamento apareça (fomos alertados sobre o problema com 10 GB de arquivos temporários gravados em alguns dias). Eu acho que o arquivo está em \SysWOW64bom estado, como eu confirmei o mesmo arquivo existe em outras máquinas Win7.
Eu digo Reinstate Monica

1
Se você suspeitar de um produto de inicialização instalado, o Autoruns é um utilitário útil para desativá-los em grupos e depois ligá-los novamente, reiniciando cada vez.
harrymc

Examinei repetidamente e extensivamente as entradas de Autoruns e não achei nada suspeito. O que me impressiona é que esse comportamento apareceu do nada.
Eu digo Restabelecer Monica

O que você encontrou na pasta Temp de 10 GB?
harrymc

1
@kinokijuf: Obrigado por deixar um comentário justificando o voto negativo. Para minha defesa, observo que esta é a resposta aceita, pois um antivírus que eu recomendei encontrou a infecção quando muitos outros falharam.
harrymc

6

É um Trojan DLL sem arquivo e que injeta memória!

O crédito por me apontar na direção certa vai para @harrymc, por isso concordei com ele com a resposta & recompensa.

Tanto quanto eu posso dizer, uma instância adequada de DLLHOST.EXEsempre tem a /ProcessID:opção. Esses processos não acontecem porque eles estão executando um .DLL que foi injetado diretamente na memória pelo cavalo de Troia Poweliks .

De acordo com este artigo :

... [Poweliks] é armazenado em um valor de registro criptografado e carregado no momento da inicialização por uma chave RUN que chama o processo rundll32 em uma carga de JavaScript criptografada.

Depois que a carga útil é carregada no rundll32, ele tenta executar um script incorporado do PowerShell no modo interativo (sem interface do usuário). Esses scripts do PowerShell contêm uma carga útil codificada em base64 (outra) que será injetada em um processo dllhost (o item persistente), que será zombificado e agirá como um downloader de trojan para outras infecções.

Conforme observado no início do artigo mencionado acima, as variantes recentes (incluindo a minha) não são mais iniciadas a partir de uma entrada na HKEY_CURRENT_USER\...\RUNchave, mas são ocultadas em uma chave CLSID seqüestrada. E para tornar ainda mais difícil detectar que não há arquivos gravados no disco , apenas essas entradas do Registro.

De fato (graças à sugestão de harrymc), encontrei o Trojan, fazendo o seguinte:

  1. Inicialize no modo de segurança
  2. Use o Process Explorer para suspender todos os dllhost.exeprocessos de rouge
  3. Execute uma varredura ComboFix

No meu caso, o trojan Poweliks estava escondido na HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}chave (que tem a ver com o cache de miniaturas). Aparentemente, quando essa chave é acessada, ela executa o Trojan. Como as miniaturas são muito usadas, isso fez com que o cavalo de Tróia ganhasse vida quase tão rapidamente como se tivesse uma RUNentrada real no Registro.

Para alguns detalhes técnicos adicionais, consulte esta postagem no blog TrendMicro .


-1

Se você deseja fazer esse tipo de analista forense de processos, serviços, conexão de rede em execução, ... recomendo que você use também o ESET SysInspector. Ele oferece uma melhor visão sobre a execução de arquivos, além de você não apenas ver o dllhost.exe, mas também arquivos vinculados a argumentos para esse arquivo, caminho para programas de inicialização automática, ... Alguns deles podem ser serviços, mas também levam nomes, você vê isso em uma boa aplicação colorida.

Um grande avanço é que ele também fornece resultados de AV para todos os arquivos listados no log; portanto, se você infectou o sistema, há uma grande chance de encontrar uma fonte. Você também pode postar aqui xml log e podemos verificá-lo. Obviamente, o SysInspector faz parte do ESET AV na guia Ferramentas.


Eu instalei e executei o ESET SysInspector, mas não está me dizendo nada que o Process Explorer e o Process Monitor não me disseram até agora, embora eu goste de como o SysInspector facilita o acesso a algumas dessas informações.
Eu digo Restabelecer Monica
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.