Eu vejo no meu computador o dllhost.exe sendo executado em C:\Windows\System32 , enquanto o seu está em execução C:\Windows\SysWOW64 , que parece um pouco suspeito. Mas o problema ainda pode ser causado por algum produto de 32 bits instalado no seu computador.
Verifique também o Event Viewer e poste aqui quaisquer mensagens suspeitas.

Meu palpite é que você está infectado ou que o Windows se tornou muito instável.

O primeiro passo é verificar se o problema chega ao inicializar no modo de segurança. Se não chegar lá, então o problema é (talvez) com algum produto instalado.

Se o problema chegar no modo de segurança, o problema é com o Windows. Tente executar sfc / scannow para verificar a integridade do sistema.

Se nenhum problema for encontrado, faça uma varredura usando:

• AdwCleaner
• ComboFix

Se nada ajudar, tente um antivírus na inicialização, como:

• Dr.Web
• F-Secure
• Panda

Para evitar a gravação de CDs reais, use a Ferramenta de Download de DVD USB do Windows 7 para instalar as ISOs um a um em uma chave USB para inicializar a partir de.

Se tudo falhar e você suspeitar de uma infecção, a solução mais segura é formatar o disco e reinstalar o Windows, mas tente todas as outras possibilidades primeiro.

É um Trojan DLL sem memória, injetável e sem filtro!

O crédito por apontar-me na direção certa vai para @harrymc, então eu concordei com ele o sinalizador de resposta & recompensa.

Até onde eu sei, uma instância apropriada de DLLHOST.EXE sempre tem a opção /ProcessID: . Esses processos não são porque eles estão executando um .DLL que foi injetado diretamente na memória pela memória. resides-only-in-system-registry.html "> Trojan Poweliks .

De acordo com este writeup :

...[Poweliks] is stored in an encrypted registry value, and loaded at boot time by a RUN key calling rundll32 process on an encrypted JavaScript payload.

Once [the] payload [is] loaded in rundll32, it tries to execute an embedded PowerShell script in interactive mode (no UI). That PowerShell scripts contains a base64-encoded payload (another one) which will be injected into a dllhost process (the persistent item), which will be zombified and act as a trojan downloader for other infections.

Como mencionado no início do artigo mencionado acima, as variantes recentes (incluídas as minhas) não são mais iniciadas a partir de uma entrada na chave HKEY_CURRENT_USER\...\RUN , mas ficam ocultas em uma chave CLSID sequestrada. E para tornar ainda mais difícil detectar, existem sem arquivos escrito no disco , apenas estas entradas do Registro.

De fato (graças à sugestão de harrymc) eu encontrei o trojan fazendo o seguinte:

1. Inicialize no modo de segurança
2. Use o Process Explorer para suspender todos os processos do rouge dllhost.exe
3. Execute uma verificação ComboFix

No meu caso, o trojan Poweliks estava escondido na chave HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5} (que tem a ver com o Cache de Miniaturas). Aparentemente, quando esta chave é acessada, ele executa o trojan. Como as miniaturas são muito usadas, isso criava o efeito do cavalo de Tróia quase tão rápido quanto se tivesse uma entrada RUN real no registro.

Para obter alguns detalhes técnicos adicionais, consulte esta postagem no blog .

Se você quiser fazer esse tipo de analista forense de processos em execução, serviços, conexão de rede, ... Eu recomendo que você use também ESET SysInspector. Ele oferece uma visão melhor sobre a execução de arquivos, além de poder ver não apenas dllhost.exe, mas arquivos vinculados ao argumento para esse arquivo, caminho para programas de inicialização automática , ... Alguns deles podem ser serviços, também levam seus nomes, você vê isso em uma boa aplicação colorida.

Um grande avanço é que ele também fornece resultados AV para todos os arquivos listados no log, portanto, se você tiver um sistema infectado, há uma grande chance de encontrar uma fonte. Você também pode postar aqui xml log e podemos verificar isso. Naturalmente, o SysInspector faz parte do ESET AV na guia Ferramentas.