Comment déterminer ce qui est en cours d'exécution dans DLLHOST.EXE qui manque / commutateur ProcessID?

11

J'ai plusieurs dllhost.exeprocessus en cours d'exécution sur mon ordinateur Windows 7: entrez la description de l'image ici

Il manque à chacune des lignes de commande de ces images (ce que je pense) l' /ProcessID:{000000000-0000-0000-0000-0000000000000}option de ligne de commande requise : entrez la description de l'image ici

Question: Comment puis-je déterminer ce qui fonctionne réellement dans ce processus?

Je pense que si je peux identifier l'application réelle qui fait le travail à l'intérieur de ces dllhost.exeprocessus, je serai en mesure de déterminer si mon système est infecté ou non (voir ci-dessous).

Pourquoi je demande / ce que j'ai essayé:

Ces DLLHOST.EXEcas me semblent suspects. Par exemple, plusieurs d'entre eux ont beaucoup de connexions TCP / IP ouvertes:

entrez la description de l'image ici

Process Monitor montre une quantité d'activité absurde . Un seul de ces processus a généré 124 390 événements en moins de 3 minutes. Pour aggraver les choses, plusieurs de ces dllhost.exeprocessus écrivent environ 280 Mo de données par minute à l'utilisateur TEMPet aux Temporary Internet Filesdossiers sous forme de dossiers et de fichiers avec des noms de quatre caractères aléatoires. Certains d'entre eux sont en cours d'utilisation et ne peuvent pas être supprimés. Voici un échantillon filtré:

entrez la description de l'image ici

Je sais que c'est probablement malveillant. Malheureusement, le dynamitage du système depuis l'orbite ne doit être effectué qu'après avoir épuisé toutes les autres options. À ce point, j'ai fait:

  1. Analyse complète de Malwarebytes
  2. Analyse complète de Microsoft Security Essentials
  3. Autoruns soigneusement examiné et fichiers soumis que je ne reconnais pas à VirusTotal.com
  4. HijackThis soigneusement examiné
  5. Analyse TDSSKiller
  6. A évalué cette question SuperUser
  7. Suivez ces instructions: Comment déterminer quelle application s'exécute dans un package COM + ou Transaction Server
  8. Pour chacun des DLLHOST.EXEprocessus, je l' ai passé en revue les DLLs et poignées La vue dans Process Explorer pour tout .exe, .dllou d' autres fichiers de type d'application pour quelque chose de suspect. Mais tout a été vérifié.
  9. Scanner Ran ESET Online
  10. Scanner de sécurité Microsoft Ran
  11. Démarré en mode sans échec. L' dllhost.exeinstance sans commutateur de commande est toujours en cours d'exécution.

Et à part quelques détections mineures d'adware, rien de malveillant n'apparaît!

Mise à jour 1
<<Removed as irrelevant>>

Mise à jour 2
Résultats de SFC /SCANNOW: entrez la description de l'image ici

windows command-line security virus process Je dis Rétablir Monica
la source
1
demandez à ce Gov Maharaj de Microsoft via l'emai publié, afin qu'il puisse répondre à cela dans son émission: channel9.msdn.com/Shows/The-Defrag-Show
magicandre1981
@harrymc Mine affiche le 13/07/2009 et 7168 octets. Version du fichier 6.1.7600.16385.
Je dis Réintégrer Monica
Si votre Windows est en 64 bits, je suppose que le problème vient d'un produit installé en 32 bits.
harrymc
Qu'y a-t-il dans l'onglet chaînes? Quelque chose d'intéressant?
Jon Kloske
Serait-il utile de savoir à quels services le dllhost.exeprocessus fait appel? Commencer à partir de la ligne de commandewmic path Win32_Service Where "ProcessId = 28420"
JosefZ

Réponses:

2

Je vois sur mon ordinateur dllhost.exe s'exécuter à partir de C:\Windows\System32, tandis que le vôtre s'exécute C:\Windows\SysWOW64, ce qui semble quelque peu suspect. Mais le problème peut toujours être causé par un produit 32 bits installé sur votre ordinateur.
Consultez également l'Observateur d'événements et postez ici tous les messages suspects.

Je suppose que vous êtes infecté ou que Windows est devenu très instable.

La première étape consiste à voir si le problème survient lors du démarrage en mode sans échec. S'il n'y arrive pas, le problème est (peut-être) avec un produit installé.

Si le problème arrive en mode sans échec, le problème vient de Windows. Essayez d'exécuter sfc / scannow pour vérifier l'intégrité du système.

Si aucun problème n'est détecté, numérisez en utilisant:

Si rien n'y fait, essayez un antivirus au démarrage tel que:

Pour éviter de graver de vrais CD, utilisez l' outil de téléchargement de DVD USB de Windows 7 pour installer les ISO un par un sur une clé USB à partir de laquelle démarrer.

Si tout échoue et que vous soupçonnez une infection, la solution la plus sûre consiste à formater le disque et à réinstaller Windows, mais essayez d'abord toutes les autres possibilités.

harrymc
la source
Il y a quelques étapes ici, je vais commencer à essayer. La machine est bien entretenue et a été stable jusqu'à ce que ce comportement apparaisse (nous avons été alertés du problème par 10 Go de fichiers temporaires écrits en quelques jours). Je pense que le fichier en cours \SysWOW64est OK car j'ai confirmé que le même fichier existe sur d'autres machines Win7.
Je dis Reinstate Monica
1
Si vous suspectez un produit de démarrage installé, Autoruns est un utilitaire pratique pour les désactiver par lots , puis les réactiver , en redémarrant à chaque fois.
harrymc
J'ai examiné à plusieurs reprises et en profondeur les entrées Autoruns et je n'ai rien trouvé de suspect. Ce qui m'attire, c'est que ce comportement est apparu à l'improviste.
Je dis Rétablir Monica
Qu'avez-vous trouvé dans le dossier Temp de 10 Go?
harrymc
1
@kinokijuf: Merci d'avoir laissé un commentaire justifiant le downvote. Pour ma défense, je note que c'est la réponse acceptée, car un antivirus que j'ai recommandé a trouvé l'infection alors que de nombreux autres ont échoué.
harrymc
6

Il s'agit d'un cheval de Troie DLL sans fichier et à injection de mémoire!

Le mérite de m'avoir pointé dans la bonne direction va à @harrymc, je lui ai donc attribué le drapeau de réponse et la prime.

Pour autant que je sache, une instance appropriée DLLHOST.EXEa toujours le /ProcessID:commutateur. Ces processus ne le font pas car ils exécutent un .DLL qui a été injecté directement en mémoire par le cheval de Troie Poweliks .

Selon ce texte :

... [Poweliks] est stocké dans une valeur de registre chiffrée et chargé au démarrage par une clé RUN appelant le processus rundll32 sur une charge utile JavaScript chiffrée.

Une fois que [la] charge utile [est] chargée dans rundll32, elle essaie d'exécuter un script PowerShell intégré en mode interactif (pas d'interface utilisateur). Ces scripts PowerShell contiennent une charge utile encodée en base64 (une autre) qui sera injectée dans un processus dllhost (l'élément persistant), qui sera zombifié et fera office de téléchargeur de chevaux de Troie pour d'autres infections.

Comme indiqué au début de l'article référencé ci-dessus, les variantes récentes (la mienne incluse) ne commencent plus à partir d'une entrée dans la HKEY_CURRENT_USER\...\RUNclé mais sont plutôt cachées dans une clé CLSID détournée. Et pour le rendre encore plus difficile à détecter, il n'y a aucun fichier écrit sur le disque , seulement ces entrées de registre.

En effet (grâce à la suggestion de harrymc) j'ai trouvé le cheval de Troie en faisant ce qui suit:

  1. Démarrer en mode sans échec
  2. Utilisez Process Explorer pour suspendre tous les dllhost.exeprocessus rouges
  3. Exécutez une analyse ComboFix

Dans mon cas, le cheval de Troie Poweliks se cachait dans la HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}clé (ce qui a à voir avec le cache des vignettes). Apparemment, lorsque cette clé est accessible, elle exécute le cheval de Troie. Étant donné que les miniatures sont beaucoup utilisées, cela a eu pour effet que le cheval de Troie prend vie presque aussi rapidement que s'il avait une RUNentrée réelle dans le Registre.

Pour quelques détails techniques supplémentaires, consultez cet article de blog TrendMicro .

Je dis Rétablir Monica
la source
-1

Si vous voulez faire ce genre d'analyste judiciaire des processus en cours, des services, de la connexion réseau, ... je vous recommande d'utiliser également ESET SysInspector. Il vous donne une meilleure vue sur les fichiers en cours d'exécution, vous pouvez également voir non seulement dllhost.exe, mais les fichiers liés à l'argument pour ce fichier, le chemin d'accès aux programmes de démarrage automatique, ... Certains d'entre eux peuvent être des services, ils prennent également leurs noms, vous le voyez dans une belle application colorisée.

Une grande avancée est qu'il vous donne également des résultats AV pour tous les fichiers répertoriés dans le journal, donc si vous avez un système infecté, il y a une grande chance de trouver une source. Vous pouvez également publier ici le journal xml et nous pouvons le vérifier. Bien sûr, SysInspector fait partie d'ESET AV dans l'onglet Outils.

Dolmayan
la source
J'ai installé et exécuté ESET SysInspector mais cela ne me dit rien de Process Explorer et Process Monitor ne me l'ont pas dit jusqu'à présent, bien que j'aime la façon dont SysInspector facilite l'accès à certaines de ces informations.
Je dis Réintégrer Monica