Comment déterminer ce qui se produit dans DLLHOST.EXE qui manque / ProcessID switch?

J'ai plusieurs processus dllhost.exe fonctionnant sur mon ordinateur Windows 7: Entrez la description de l'image ici

Toutes les lignes de commande de cette image manquent (ce que je pense) l'option de ligne de commande requise /ProcessID:{000000000-0000-0000-0000-0000000000000} : Entrez la description de l'image ici

Question: Comment puis-je déterminer ce qui se passe réellement dans ce processus?

Je crois que si je peux identifier l'application réelle faisant le travail à l'intérieur de ces processus dllhost.exe , je pourrai déterminer si mon système est infecté ou non (voir ci-dessous).


Pourquoi je demande / Ce que j'ai essayé:

Ces instances DLLHOST.EXE me paraissent méfiant. Par exemple, plusieurs d'entre eux ont beaucoup de connexions TCP / IP ouvertes:

Entrez la description de l'image ici

Le moniteur de processus affiche et la quantité d'activité absurde . Juste un de ces processus a généré 124 390 événements en moins de 3 minutes. Pour aggraver les choses, plusieurs de ces processus dllhost.exe écrivent environ 280 Mo de données par minute dans les dossiers TEMP et Temporary Internet Files utilisateur sous forme de dossiers et de fichiers avec quatre noms de caractères aléatoires. Certains d'entre eux sont utilisés et ne peuvent pas être supprimés. Voici un échantillon filtré:

Entrez la description de l'image ici

Je sais que c'est probablement malveillant. Malheureusement, le dynamitage du système à partir de l'orbite ne doit être effectué qu'après avoir épuisé toutes les autres options. À ce point, j'ai fait:

  1. Malwarebytes scan complet
  2. Analyse complète de Microsoft Security Essentials
  3. Autoruns révisés et fichiers soumis je ne reconnais pas à VirusTotal.com
  4. Révisé complètement HijackThis
  5. TDSSKiller scan
  6. A commenté cette question SuperUser
  7. Suivi ces instructions: Procédure pour déterminer quelle application s'exécute dans un package COM + ou Transaction Server
  8. Pour chacun des processus DLLHOST.EXE , j'ai examiné la vue DLL et Handles dans Process Explorer pour n'importe quel .exe , .dll ou d'autres fichiers de type application pour tout ce qui est suspect. Tout a été vérifié.
  9. Ran ESET scanner en ligne
  10. Ran Microsoft Safety Scanner
  11. Booté en mode sans échec. L'instance de commande sans dllhost.exe est toujours en cours d'exécution.

Et à part quelques détections mineures d'adware, rien de malicieux n'apparait!


Mise à jour 1
<<Removed as irrelevant>>

Mise à jour 2
Résultats de SFC /SCANNOW : Entrez la description de l'image ici

Je vois sur mon ordinateur dllhost.exe en cours d'exécution de C:\Windows\System32 , tandis que le vôtre fonctionne à partir de C:\Windows\SysWOW64 , qui semble quelque peu méfiant. Mais le problème peut encore être causé par un produit 32 bits installé sur votre ordinateur.
Vérifiez également l'Observateur d'événements et affichez ici les messages suspects.

Je suppose que vous êtes infecté ou que Windows est devenu très instable.

La première étape consiste à voir si le problème arrive lors du démarrage en mode sans échec. S'il n'y arrive pas, le problème est (peut-être) avec un produit installé.

Si le problème arrive en mode sans échec, le problème est avec Windows. Essayez d'exécuter sfc / scannow pour vérifier l'intégrité du système.

Si aucun problème n'est trouvé, numérisez en utilisant:

  • AdwCleaner
  • ComboFix

Si rien ne vous aide, essayez un antivirus de démarrage tel que:

  • Dr.Web
  • F-Secure
  • Panda

Pour éviter de graver des CD réels, utilisez l' outil de téléchargement de DVD USB de Windows 7 pour installer les ISO un par tête sur une clé USB à démarrer.

Si tout échoue et que vous soupçonnez une infection, la solution la plus sûre est de formater le disque et de réinstaller Windows, mais essayez d'abord toutes les autres possibilités.

C'est un déchirement sans fil, sans mémoire, DLL!

Le crédit pour me montrer dans la bonne direction va à @harrymc donc je lui ai attribué le drapeau de réponse et la générosité.

Pour autant que je puisse le savoir, une instance appropriée de DLLHOST.EXE toujours le /ProcessID: switch. Ces processus ne sont pas parce qu'ils exécutent un .DLL injecté directement dans la mémoire par le trojan Poweliks .

Selon cette écriture :

… [Poweliks] est stocké dans une valeur de registre cryptée et chargé au démarrage par une touche RUN appelant le processus rundll32 sur une charge utile JavaScript cryptée.

Une fois que [la] charge utile est chargée dans rundll32, elle essaie d'exécuter un script PowerShell intégré en mode interactif (sans UI). Les scripts PowerShell contiennent une charge utile codée en base 64 (une autre) qui sera injectée dans un processus dllhost (l'élément persistant), qui sera zombié et agissant comme un téléchargement de trojan pour d'autres infections.

Comme indiqué au début de l'article mentionné ci-dessus, les variantes récentes (mine incluses) ne commencent plus à partir d'une entrée dans la HKEY_CURRENT_USER\...\RUN mais sont plutôt cachées dans une clé CLSID détournée. Et pour rendre encore plus difficile la détection, il n'y a pas de fichiers écrits sur le disque , uniquement ces entrées du Registre.

En effet (grâce à la suggestion de harrymc), j'ai trouvé le cheval de Troie en procédant comme suit:

  1. Démarrage en mode sans échec
  2. Utilisez Process Explorer pour suspendre tous les processus rouge dllhost.exe
  3. Exécuter une analyse ComboFix

Dans mon cas, le trojan de Poweliks se cachait dans la HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5} (ce qui est HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5} au cache de vignette). Apparemment, lorsque cette touche est accessible, elle exécute le cheval de Troie. Puisque les vignettes sont utilisées beaucoup, cela a eu pour effet que le cheval de Troie survienne presque aussi rapidement que s'il avait une entrée RUN réelle dans le Registre.

Pour des détails techniques supplémentaires, consultez cette publication du blog TrendMicro.

Si vous souhaitez effectuer ce type d'analyste judiciaire des processus, des services, des connexions réseau, … Je vous recommande d'utiliser également SysEsecteur ESET. Il vous donne une meilleure vue sur l'exécution des fichiers, vous pouvez également voir non seulement dllhost.exe, mais les fichiers liés à l'argument pour ce fichier, le chemin d'accès aux programmes de démarrage automatique … Certains d'entre eux peuvent être des services, ils prennent également leur nom, Vous le voyez dans une belle application colorisée.

Une grosse avance est qu'il vous donne également des résultats AV pour tous les fichiers répertoriés dans le journal, donc si vous avez un système infecté, il existe une grande chance de trouver une source. Vous pouvez également poster ici le journal xml et nous pouvons le vérifier. Bien sûr, SysInspector fait partie de ESET AV dans l'onglet Outils.