¿Cómo determinar qué se está ejecutando en DLLHOST.EXE que falta / ProcessID switch?

11

Tengo múltiples dllhost.exeprocesos ejecutándose en mi computadora con Windows 7: ingrese la descripción de la imagen aquí

Falta la línea de comando de cada una de estas imágenes (lo que estoy pensando es) la /ProcessID:{000000000-0000-0000-0000-0000000000000}opción de línea de comando requerida : ingrese la descripción de la imagen aquí

Pregunta: ¿Cómo puedo determinar qué se está ejecutando realmente en este proceso?

Creo que si puedo identificar la aplicación real que hace el trabajo dentro de estos dllhost.exeprocesos, podré determinar si mi sistema está infectado o no (ver más abajo).

Por qué estoy preguntando / lo que he intentado:

Estas DLLHOST.EXEinstancias me parecen sospechosas. Por ejemplo, varios de ellos tienen muchas conexiones TCP / IP abiertas:

ingrese la descripción de la imagen aquí

Process Monitor muestra una cantidad absurda de actividad. Solo uno de estos procesos generó 124,390 eventos en menos de 3 minutos. Para empeorar las cosas, varios de estos dllhost.exeprocesos están escribiendo aproximadamente 280 MB de datos por minuto a las carpetas TEMPy al usuario Temporary Internet Filesen forma de carpetas y archivos con nombres aleatorios de cuatro caracteres. Algunos de estos están en uso y no se pueden eliminar. Aquí hay una muestra filtrada:

ingrese la descripción de la imagen aquí

Sé que esto es probablemente malicioso. Desafortunadamente, la explosión del sistema desde la órbita solo debe hacerse después de agotar todas las demás opciones. Hasta ese punto, he hecho:

  1. Escaneo completo de Malwarebytes
  2. Análisis completo de Microsoft Security Essentials
  3. Revisé minuciosamente Autoruns y archivos enviados que no reconozco a VirusTotal.com
  4. Revisado a fondo HijackThis
  5. Exploración TDSSKiller
  6. Revisado esta cuestión superusuario
  7. Siguió estas instrucciones: Cómo determinar qué aplicación se está ejecutando dentro de un paquete COM + o Transaction Server
  8. Para cada uno de los DLLHOST.EXEprocesos, he revisado los archivos DLL y manijas de vista en Process Explorer para cualquier .exe, .dllu otros tipos de archivo de solicitud de cualquier cosa sospechosa. Sin embargo, todo se verificó.
  9. Ran análisis de ESET Online
  10. Ran Microsoft Safety Scanner
  11. Arrancado en modo seguro. La dllhost.exeinstancia de comando sin conmutador todavía se está ejecutando.

Y aparte de algunas detecciones menores de adware, ¡no aparece nada malicioso!

Actualización 1
<<Removed as irrelevant>>

Actualización 2
Resultados de SFC /SCANNOW: ingrese la descripción de la imagen aquí

windows  command-line  security  virus  process 
Yo digo reinstalar a Mónica
fuente
1
pregúntele al Gobernador Maharaj de Microsoft a través del correo electrónico publicado, para que pueda responder esto en su programa: channel9.msdn.com/Shows/The-Defrag-Show
magicandre1981
@harrymc Mine muestra 13/07/2009 y 7168 bytes. Versión del archivo 6.1.7600.16385.
Digo reinstalar a Mónica el
Si su Windows es de 64 bits, supongo que el problema proviene de un producto instalado de 32 bits.
harrymc
¿Qué hay en la pestaña de cadenas? ¿Cualquier cosa interesante?
Jon Kloske
¿Podría valer la pena saber qué serviciosdllhost.exe utiliza el proceso? Comience desde la línea de comandowmic path Win32_Service Where "ProcessId = 28420"
JosefZ

Respuestas:

2

Veo que en mi computadora se ejecuta dllhost.exe C:\Windows\System32, mientras que la suya se está ejecutando C:\Windows\SysWOW64, lo que parece algo sospechoso. Pero el problema aún puede ser causado por algún producto de 32 bits instalado en su computadora.
Consulte también el Visor de eventos y publique aquí cualquier mensaje sospechoso.

Supongo que está infectado o que Windows se ha vuelto muy inestable.

El primer paso es ver si el problema llega al arrancar en modo seguro. Si no llega allí, entonces el problema es (quizás) con algún producto instalado.

Si el problema llega en modo seguro, entonces el problema es con Windows. Intente ejecutar sfc / scannow para verificar la integridad del sistema.

Si no se encuentran problemas, escanee con:

Si nada ayuda, intente un antivirus en el momento del arranque como:

Para evitar quemar CD reales, use la herramienta de descarga de DVD con USB de Windows 7 para instalar los ISO uno por uno en una llave USB para arrancar.

Si todo falla y sospecha una infección, la solución más segura es formatear el disco y reinstalar Windows, pero primero intente todas las demás posibilidades.

harrymc
fuente
Aquí hay algunos pasos que comenzaré a intentar. La máquina está bien mantenida y se ha mantenido estable hasta que apareció este comportamiento (10 GB de archivos temporales escritos en unos días nos alertaron sobre el problema). Creo que el archivo \SysWOW64está bien, ya que he confirmado que existe el mismo archivo en otras máquinas Win7.
Digo reinstalar a Mónica el
1
Si sospecha que hay un producto de inicio instalado, Autoruns es una práctica utilidad para apagarlos en grupos y volver a encenderlos, reiniciando cada vez.
harrymc
He examinado repetidamente y exhaustivamente las entradas de Autoruns y no he encontrado nada sospechoso. Lo que me sorprende es que este comportamiento apareció de la nada.
Digo reinstalar a Mónica el
¿Qué encontraste en la carpeta Temp de 10GB?
harrymc
1
@kinokijuf: Gracias por dejar un comentario que justifica el voto negativo. En mi defensa, observo que esta es la respuesta aceptada, ya que un antivirus que recomendé encontró la infección cuando muchos otros fallaron.
harrymc
6

¡Es un troyano DLL sin archivos, con inyección de memoria!

El crédito por señalarme en la dirección correcta va a @harrymc, así que le he otorgado la bandera de respuesta y la recompensa.

Por lo que puedo decir, una instancia adecuada de DLLHOST.EXEsiempre tiene el /ProcessID:interruptor. Estos procesos no lo hacen porque están ejecutando un .DLL que ha sido inyectado directamente en la memoria por el troyano Poweliks .

De acuerdo con este artículo :

... [Poweliks] se almacena en un valor de registro cifrado y se carga en el momento del arranque mediante una clave RUN que llama al proceso rundll32 en una carga útil cifrada de JavaScript.

Una vez que [la] carga útil [está] cargada en rundll32, intenta ejecutar un script PowerShell incrustado en modo interactivo (sin interfaz de usuario). Los scripts de PowerShell contienen una carga útil codificada en base64 (otra) que se inyectará en un proceso dllhost (el elemento persistente), que se zombificará y actuará como un descargador de troyanos para otras infecciones.

Como se señaló al comienzo del artículo mencionado anteriormente, las variantes recientes (incluida la mía) ya no comienzan desde una entrada en la HKEY_CURRENT_USER\...\RUNclave, sino que están ocultas en una clave CLSID secuestrada. Y para dificultar aún más la detección, no hay archivos escritos en el disco , solo estas entradas del Registro.

De hecho (gracias a la sugerencia de harrymc) encontré el troyano haciendo lo siguiente:

  1. Arrancar en modo seguro
  2. Use Process Explorer para suspender todos los dllhost.exeprocesos de rouge
  3. Ejecute un escaneo ComboFix

En mi caso, el troyano Poweliks estaba escondido en la HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}clave (que tiene que ver con el Caché de miniaturas). Aparentemente, cuando se accede a esta clave, ejecuta el troyano. Dado que las miniaturas se usan mucho, esto tuvo el efecto de que el troyano cobrara vida casi tan rápido como si tuviera una RUNentrada real en el Registro.

Para algunos detalles técnicos adicionales, vea esta publicación de blog de TrendMicro .

Yo digo reinstalar a Mónica
fuente
-1

Si desea hacer este tipo de analista forense de procesos en ejecución, servicios, conexión de red, ... Le recomiendo que también use ESET SysInspector. Le da una mejor vista sobre la ejecución de archivos, también puede ver no solo dllhost.exe, sino también archivos vinculados con argumentos para este archivo, ruta para programas de inicio automático, ... Algunos de ellos pueden ser servicios, también toman sus nombres, Lo ves en una bonita aplicación coloreada.

Un gran avance es que también le brinda resultados AV para todos los archivos enumerados en el registro, por lo que si tiene un sistema infectado, existe una gran posibilidad de encontrar una fuente. También puede publicar aquí el registro xml y podemos verificarlo. Por supuesto, SysInspector es parte de ESET AV en la pestaña Herramientas.

Dolmayan
fuente
Instalé y ejecuté ESET SysInspector, pero no me dice nada. Process Explorer y Process Monitor no me lo han dicho hasta ahora, aunque me gusta cómo SysInspector facilita el acceso a parte de esta información.
Digo reinstalar a Mónica el
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.