Como determinar o que está sendo executado em DLLHOST.EXE que está faltando / ProcessID switch?

10

Tenho vários processos dllhost.exe em execução no meu computador com Windows 7:

Cadalinhadecomandodestaimagemestáfaltando(oqueeuestoupensandoé)aopçãodelinhadecomando/ProcessID:{000000000-0000-0000-0000-0000000000000}requerida:

Pergunta: Como posso determinar o que é realmente executado neste processo?

Acredito que, se eu conseguir identificar o aplicativo real que realiza o trabalho dentro desses processos dllhost.exe , poderei determinar se meu sistema está infectado ou não (veja abaixo).

Por que estou perguntando / o que tentei:

Estas instâncias DLLHOST.EXE parecem suspeitas para mim. Por exemplo, vários deles têm muitas conexões TCP / IP abertas:

Monitor de processo mostra uma quantidade de atividade absurda . Apenas um desses processos gerou 124.390 eventos em menos de 3 minutos. Para piorar, vários desses dllhost.exe processos estão escrevendo aproximadamente 280 MB de dados por minuto para as pastas TEMP e Temporary Internet Files do usuário na forma de pastas e arquivos com quatro caracteres aleatórios nomes. Algumas delas estão em uso e não podem ser excluídas. Aqui está um exemplo filtrado:

Euseiqueissoéprovavelmentemalicioso.Infelizmente,explodirosistemadeórbitasódeveserfeitodepoisdeesgotartodasasoutrasopções.Atéesseponto,eufiz:

  1. Malwarebytes varredura completa
  2. Análise completa do Microsoft Security Essentials
  3. Analisamos cuidadosamente Autoruns e enviamos arquivos que não reconheci para VirusTotal.com
  4. Completamente revisado HijackThis
  5. TDSSKiller digitalizar
  6. Comentado esta pergunta do SuperUser
  7. Siga estas instruções: Como determinar qual aplicativo está sendo executado em um COM + ou servidor de transações Pacote
  8. Para cada um dos processos DLLHOST.EXE , examinei a exibição DLLs e Handles no Process Explorer para qualquer .exe , .dll ou outro aplicativo arquivos do tipo para qualquer coisa suspeita. Tudo verificado embora.
  9. Ran scanner ESET Online
  10. Executou o Scanner de segurança da Microsoft
  11. Iniciado no modo de segurança. O comando switch-less dllhost.exe instance ainda está em execução.

E, além de algumas pequenas detecções de adware, nada de malicioso está aparecendo!

Atualização 1 em <<Removed as irrelevant>>

Atualização 2
Resultados de SFC /SCANNOW :

    
por Twisty Impersonator 30.10.2014 / 19:02

3 respostas

2

Eu vejo no meu computador o dllhost.exe sendo executado em C:\Windows\System32 , enquanto o seu está em execução C:\Windows\SysWOW64 , que parece um pouco suspeito. Mas o problema ainda pode ser causado por algum produto de 32 bits instalado no seu computador.
Verifique também o Event Viewer e poste aqui quaisquer mensagens suspeitas.

Meu palpite é que você está infectado ou que o Windows se tornou muito instável.

O primeiro passo é verificar se o problema chega ao inicializar no modo de segurança. Se não chegar lá, então o problema é (talvez) com algum produto instalado.

Se o problema chegar no modo de segurança, o problema é com o Windows. Tente executar sfc / scannow para verificar a integridade do sistema.

Se nenhum problema for encontrado, faça uma varredura usando:

Se nada ajudar, tente um antivírus na inicialização, como:

Para evitar a gravação de CDs reais, use a Ferramenta de Download de DVD USB do Windows 7 para instalar as ISOs um a um em uma chave USB para inicializar a partir de.

Se tudo falhar e você suspeitar de uma infecção, a solução mais segura é formatar o disco e reinstalar o Windows, mas tente todas as outras possibilidades primeiro.

    
por 05.11.2014 / 21:02
5

É um Trojan DLL sem memória, injetável e sem filtro!

O crédito por apontar-me na direção certa vai para @harrymc, então eu concordei com ele o sinalizador de resposta & recompensa.

Até onde eu sei, uma instância apropriada de DLLHOST.EXE sempre tem a opção /ProcessID: . Esses processos não são porque eles estão executando um .DLL que foi injetado diretamente na memória pela memória. resides-only-in-system-registry.html "> Trojan Poweliks .

De acordo com este writeup :

...[Poweliks] is stored in an encrypted registry value, and loaded at boot time by a RUN key calling rundll32 process on an encrypted JavaScript payload.

Once [the] payload [is] loaded in rundll32, it tries to execute an embedded PowerShell script in interactive mode (no UI). That PowerShell scripts contains a base64-encoded payload (another one) which will be injected into a dllhost process (the persistent item), which will be zombified and act as a trojan downloader for other infections.

Como mencionado no início do artigo mencionado acima, as variantes recentes (incluídas as minhas) não são mais iniciadas a partir de uma entrada na chave HKEY_CURRENT_USER\...\RUN , mas ficam ocultas em uma chave CLSID sequestrada. E para tornar ainda mais difícil detectar, existem sem arquivos escrito no disco , apenas estas entradas do Registro.

De fato (graças à sugestão de harrymc) eu encontrei o trojan fazendo o seguinte:

  1. Inicialize no modo de segurança
  2. Use o Process Explorer para suspender todos os processos do rouge dllhost.exe
  3. Execute uma verificação ComboFix

No meu caso, o trojan Poweliks estava escondido na chave HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5} (que tem a ver com o Cache de Miniaturas). Aparentemente, quando esta chave é acessada, ele executa o trojan. Como as miniaturas são muito usadas, isso criava o efeito do cavalo de Tróia quase tão rápido quanto se tivesse uma entrada RUN real no registro.

Para obter alguns detalhes técnicos adicionais, consulte esta postagem no blog .

    
por 11.11.2014 / 23:14
-1

Se você quiser fazer esse tipo de analista forense de processos em execução, serviços, conexão de rede, ... Eu recomendo que você use também ESET SysInspector. Ele oferece uma visão melhor sobre a execução de arquivos, além de poder ver não apenas dllhost.exe, mas arquivos vinculados ao argumento para esse arquivo, caminho para programas de inicialização automática , ... Alguns deles podem ser serviços, também levam seus nomes, você vê isso em uma boa aplicação colorida.

Um grande avanço é que ele também fornece resultados AV para todos os arquivos listados no log, portanto, se você tiver um sistema infectado, há uma grande chance de encontrar uma fonte. Você também pode postar aqui xml log e podemos verificar isso. Naturalmente, o SysInspector faz parte do ESET AV na guia Ferramentas.

    
por 30.10.2014 / 19:21