如何确定缺少/ ProcessID开关的DLLHOST.EXE中正在运行什么?

11

dllhost.exe我的Windows 7计算机上运行多个进程: 在此处输入图片说明

这些映像的命令行中的每一个都缺少(我在想的是)必需的/ProcessID:{000000000-0000-0000-0000-0000000000000}命令行选项: 在此处输入图片说明

问题:如何确定此过程中实际正在运行什么?

我相信,如果我能确定在这些dllhost.exe进程中执行工作的实际应用程序,则可以确定我的系统是否被感染(请参阅下文)。

我为什么要问/我曾尝试过什么:

这些DLLHOST.EXE实例对我来说可疑。例如,其中一些具有大量开放的TCP / IP连接:

在此处输入图片说明

过程监视器显示和荒谬的活动量。这些过程中只有一个在3分钟内生成了124,390个事件。更糟糕的是,这些dllhost.exe过程中的几个正在以每分钟 280 MB的数据以随机带有四个字符名称的文件夹和文件的形式写入用户TEMPTemporary Internet Files文件夹。其中一些正在使用中,无法删除。这是一个经过过滤的示例:

在此处输入图片说明

我知道这可能是恶意的。不幸的是,只有在用尽所有其他选择之后,才能将系统炸毁。至此,我已经完成:

  1. 恶意软件完全扫描
  2. Microsoft Security Essentials全面扫描
  3. 彻底审查自动运行,并提交我不认识的文件VirusTotal.com
  4. 全面审查HijackThis
  5. TDSSKiller扫描
  6. 审查了这个超级用户问题
  7. 请按照下列说明操作:如何确定COM +或事务服务器包中正在运行哪个应用程序
  8. 对于每一个的DLLHOST.EXE过程中,我回顾了的DLL句柄在处理资源管理器查看任何.exe.dll或其他应用程序类型的文件进行任何可疑。一切都退房了。
  9. ESET在线扫描仪
  10. 跑了微软安全扫描仪
  11. 引导到安全模式。无开关命令dllhost.exe实例仍在运行。

除了检测到一些小的广告软件外,没有任何恶意软件在弹出!

更新1
<<Removed as irrelevant>>

更新2
结果SFC /SCANNOW在此处输入图片说明

windows  command-line  security  virus  process 
我说恢复莫妮卡
source
1
向Microsoft的Gov Maharaj通过发帖的emai询问,以便他可以在自己的节目中回答:channel9.msdn.com/Shows/The-Defrag-Show
magicandre1981
@harrymc Mine显示7/13/2009和7168个字节。文件版本6.1.7600.16385。
我说恢复莫妮卡
如果您的Windows是64位,那么我猜问题可能出在32位安装的产品上。
harrymc 2014年
字符串选项卡上有什么?有意思吗
乔恩·克洛斯凯
可能值得知道该流程使用了哪些服务dllhost.exe?从命令行开始wmic path Win32_Service Where "ProcessId = 28420"
JosefZ 2014年

Answers:

2

我在计算机上看到dllhost.exe从运行C:\Windows\System32,而您的dllhost.exe从运行 C:\Windows\SysWOW64,这似乎有些可疑。但是问题仍然可能是由计算机上安装的某些32位产品引起的。
还要检查事件查看器,并在此处发布任何可疑消息。

我的猜测是您已被感染或Windows变得非常不稳定。

第一步是查看启动到安全模式时问题是否到来。如果没有到达那里,那么问题可能出在某些已安装的产品上。

如果问题确实以安全模式出现,则问题出在Windows。尝试运行sfc / scannow来验证系统完整性。

如果未发现问题,请使用进行扫描:

如果没有帮助,请尝试启动时防病毒,例如:

为避免刻录真实的CD,请使用Windows 7 USB DVD下载工具在USB密钥上一张一张地安装ISO,然后从中启动。

如果所有操作都失败并且您确实怀疑感染了病毒,那么最安全的解决方案是格式化磁盘并重新安装Windows,但是请首先尝试其他所有方法。

哈里奇
source
我将在此处尝试一些步骤。机器维护良好,并且一直保持稳定,直到出现此现象为止(几天后写入的10 GB临时文件使我们警觉到了该问题)。我认为该文件\SysWOW64还可以,因为我已经确认其他Win7机器上存在相同的文件。
我说恢复莫妮卡2014年
1
如果您怀疑安装的启动产品,自动运行是在束将其关闭,然后再次打开,每次重新启动一个方便的工具。
harrymc 2014年
我已经反复并广泛地检查了“自动运行”条目,发现没有可疑之处。让我感到惊讶的是,这种行为突然出现了。
我说恢复莫妮卡
您在10GB的Temp文件夹中找到了什么?
harrymc 2014年
1
@kinokijuf:感谢您发表评论以证明不赞成投票。为了我的辩护,我注意到这是可以接受的答案,因为我建议使用一种防病毒软件,当许多其他病毒失败时,它会感染病毒。
harrymc
6

这是一个无文件,注入内存的DLL木马!

为我指出正确方向的功劳归功于@harrymc,因此我授予了他答案标志和赏金。

据我所知,DLLHOST.EXE总是有一个适当的实例具有/ProcessID:开关。这些进程不是因为它们执行的是由Poweliks特洛伊木马直接注入内存的.DLL

根据这篇文章

... [Poweliks]存储在加密的注册表值中,并在启动时通过RUN密钥在加密的JavaScript有效负载上调用rundll32进程来加载。

一旦将有效负载加载到rundll32中,它将尝试以交互方式(无UI)执行嵌入式PowerShell脚本。该PowerShell脚本包含一个base64编码的有效负载(另一个),该有效负载将被注入dllhost进程(持久项),该进程将被僵化并充当其他感染的特洛伊木马下载程序。

如上述文章开头所述,最近的变体(包括我的变体)不再从HKEY_CURRENT_USER\...\RUN密钥中的条目开始,而是隐藏在被劫持的CLSID密钥中。为了更难检测没有文件写入磁盘,只有这些注册表项。

确实(由于harrymc的建议),我通过执行以下操作找到了该木马:

  1. 引导到安全模式
  2. 使用Process Explorer暂停所有胭脂dllhost.exe过程
  3. 运行ComboFix扫描

在我的情况下,Poweliks木马隐藏在HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}密钥中(这与缩略图缓存有关)。显然,当访问此密钥时,它将执行木马。由于使用了很多缩略图,因此特洛伊木马的生效几乎就像RUN在注册表中的实际条目一样快。

有关其他一些技术细节,请参阅此TrendMicro 博客文章

我说恢复莫妮卡
source
-1

如果您想对正在运行的进程,服务,网络连接进行此类法医分析,...我建议您也使用ESET SysInspector。 它使您可以更好地了解正在运行的文件,不仅可以看到dllhost.exe,还可以看到与该文件的参数链接的文件,自动启动程序的路径……其中有些可能是服务,也带有它们的名称,您会在漂亮的彩色应用程序中看到它。

一个重大进步是,它还为您提供了日志中列出的所有文件的AV结果,因此,如果您感染了系统,则很有可能找到源。您也可以在此处发布xml日志,我们可以对其进行检查。当然,SysInspector是“工具”选项卡中ESET AV的一部分。

多尔马扬
source
我安装并运行了ESET SysInspector,但是到目前为止,Process Explorer和Process Monitor并没有告诉我任何事情,尽管我很喜欢SysInspector如何使其中的一些信息更易于访问。
我说恢复莫妮卡2014年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.