11

У меня на компьютере под управлением Windows 7 запущено несколько процессов dllhost.exe :

В каждой из командных строк этих образов отсутствует (как я думаю) реквизит /ProcessID:{000000000-0000-0000-0000-0000000000000} командной строки:

Вопрос: Как я могу определить, что на самом деле работает в этом процессе?

Я уверен, что если я смогу определить, какое именно приложение выполняет работу внутри этих процессов dllhost.exe я смогу определить, заражена ли моя система (см. Ниже).


Почему я спрашиваю / что я пробовал:

Эти экземпляры DLLHOST.EXE кажутся мне подозрительными. Например, некоторые из них имеют много открытых соединений TCP/IP:

Process Monitor показывает и абсурдное количество активности. Только один из этих процессов сгенерировал 124 390 событий за 3 минуты. Что еще хуже, некоторые из этих процессов dllhost.exe записывают приблизительно 280 МБ данных в минуту в папки пользователя TEMP и Temporary Internet Files в виде папок и файлов со случайными четырехзначными именами. Некоторые из них используются и не могут быть удалены. Вот отфильтрованный образец:

Я знаю, что это, вероятно, злонамеренно. К сожалению, взрывать систему с орбиты нужно только после исчерпания всех других возможностей. К этому моменту я сделал:

  1. Malwarebytes полное сканирование
  2. Полное сканирование Microsoft Security Essentials
  3. Тщательно проанализировал автозапуск и отправил файлы, которые я не узнаю на VirusTotal.com
  4. Тщательно рассмотренный HijackThis
  5. Сканирование TDSSKiller
  6. Отзыв на этот вопрос SuperUser
  7. Выполните следующие инструкции: Как определить, какое приложение работает в пакете COM+ или Transaction Server
  8. Для каждого из процессов DLLHOST.EXE я проверил представление DLLs и дескрипторов в Process Explorer на наличие любых файлов .exe , .dll или других типов приложений для любых подозрительных действий. Все проверено, хотя.
  9. Запустил ESET Online сканер
  10. Запустил сканер безопасности Microsoft
  11. Загрузился в безопасном режиме. Экземпляр команды dllhost.exe ключа все еще работает.

И, кроме нескольких незначительных обнаружений рекламного ПО, ничего вредоносного не появляется!


Обновление 1
<<Removed as irrelevant>>

Обновление 2
Результаты SFC /SCANNOW:

3 ответа3

5

Это безфайловый, внедряющий память, DLL-троян!

Благодарность за то, что вы указали меня в правильном направлении, принадлежит @harrymc, поэтому я наградил его флагом ответа и вознаграждением.

Насколько я могу судить, правильный экземпляр DLLHOST.EXE всегда имеет ключ /ProcessID: . Эти процессы не потому, что они выполняют.DLL, которая была введена непосредственно в память трояном Poweliks .

Согласно этой записи:

... [Poweliks] хранится в зашифрованном значении реестра и загружается во время загрузки ключом RUN, вызывающим процесс rundll32 для зашифрованной полезной нагрузки JavaScript.

После того, как [the] полезная нагрузка [загружена] в rundll32, он пытается выполнить встроенный скрипт PowerShell в интерактивном режиме (без пользовательского интерфейса). Эти сценарии PowerShell содержат полезную нагрузку в кодировке base64 (еще одну), которая будет внедрена в процесс dllhost (постоянный элемент), который будет зомбирован и будет действовать как троянский загрузчик для других инфекций.

Как отмечалось в начале вышеупомянутой статьи, последние варианты (включая мой) больше не начинаются с записи в HKEY_CURRENT_USER\...\RUN но вместо этого они скрыты в угнанном ключе CLSID. И еще труднее обнаружить, что на диск не записаны файлы, только эти записи реестра.

Действительно (благодаря предложению Харримца) я нашел троянца, выполнив следующее:

  1. Загрузиться в безопасном режиме
  2. Используйте Process Explorer, чтобы приостановить все процессы dllhost.exe
  3. Запустите сканирование ComboFix

В моем случае троян Poweliks скрывался в ключе HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5} (что связано с кэшем миниатюр). Видимо, когда к этому ключу обращаются, он запускает троян. Поскольку эскизы часто используются, это приводит к тому, что троянец оживает почти так же быстро, как если бы у него была действительная запись RUN в реестре.

Дополнительные технические детали см. В этом сообщении в блоге TrendMicro.

2

Я вижу, что на моем компьютере dllhost.exe работает из C:\Windows\System32 , а ваш - из C:\Windows\SysWOW64 , что выглядит несколько подозрительно. Но проблема все еще может быть вызвана каким-то 32-битным продуктом, установленным на вашем компьютере.
Проверьте также Event Viewer и опубликуйте здесь любые подозрительные сообщения.

Я предполагаю, что вы заражены или что Windows стала очень нестабильной.

Первый шаг - проверить, возникает ли проблема при загрузке в безопасном режиме. Если он не прибывает туда, то проблема (возможно) с некоторым установленным продуктом.

Если проблема появляется в безопасном режиме, значит, проблема в Windows. Попробуйте запустить sfc /scannow, чтобы проверить целостность системы.

Если проблем не обнаружено, выполните сканирование с помощью:

Если ничего не помогает, попробуйте антивирус при загрузке, такой как:

Чтобы избежать записи настоящих компакт-дисков, используйте Windows 7 USB DVD Download Tool, чтобы установить ISO-образы по одному на USB-ключ для загрузки.

Если все не удается и вы подозреваете заражение, самое безопасное решение - отформатировать диск и переустановить Windows, но сначала попробуйте все другие возможности.

-1

Если вы хотите сделать этот вид судебного аналитика запущенных процессов, служб, сетевых подключений, ... Я рекомендую вам также использовать ESET SysInspector. Это дает вам лучшее представление о запущенных файлах, также вы можете видеть не только dllhost.exe, но и файлы, связанные с аргументом для этого файла, путь для автозапуска программ, ... Некоторые из них могут быть сервисами, они также берут свои имена, вы видите это в хорошем раскрашенном приложении.

Одним из больших преимуществ является то, что он также дает вам результаты AV для всех файлов, перечисленных в журнале, поэтому, если у вас есть зараженная система, есть большой шанс найти источник. Вы также можете разместить здесь xml log, и мы можем это проверить. Конечно, SysInspector является частью ESET AV на вкладке «Инструменты».

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .