dllhost.exeमेरे विंडोज 7 कंप्यूटर पर कई प्रक्रियाएँ चल रही हैं:

इन छवि कमांड लाइन में से हर एक गायब है (मैं जो सोच रहा हूं) अपेक्षित /ProcessID:{000000000-0000-0000-0000-0000000000000}कमांड लाइन विकल्प है:

प्रश्न: मैं कैसे निर्धारित कर सकता हूं कि वास्तव में इस प्रक्रिया में क्या चल रहा है?

यह मेरा विश्वास है कि अगर मैं इन dllhost.exeप्रक्रियाओं के अंदर काम करने वाले वास्तविक अनुप्रयोग की पहचान कर सकता हूं तो मैं यह निर्धारित कर पाऊंगा कि मेरा सिस्टम संक्रमित है या नहीं (नीचे देखें)।

मैं क्यों पूछ रहा हूँ / मैंने क्या कोशिश की है:

ये DLLHOST.EXEउदाहरण मुझे संदेहास्पद लगते हैं। उदाहरण के लिए, उनमें से बहुत से खुले टीसीपी / आईपी कनेक्शन हैं:

प्रक्रिया मॉनिटर शो और गतिविधि की बेतुकी राशि। इन प्रक्रियाओं में से केवल 3 मिनट में 124,390 घटनाएं उत्पन्न हुईं। मामलों को बदतर बनाने के लिए, इनमें से कई dllhost.exeप्रक्रियाएं उपयोगकर्ता के लिए प्रति मिनट 280 एमबी डेटा TEMPऔर Temporary Internet Filesफ़ोल्डर और फ़ाइलों के रूप में रैंडम चार चरित्र नामों के साथ लिख रही हैं । इनमें से कुछ उपयोग में हैं और इन्हें हटाया नहीं जा सकता है। यहाँ एक फ़िल्टर किया गया नमूना है:

मुझे पता है कि यह शायद दुर्भावनापूर्ण है। दुर्भाग्य से, कक्षा से सिस्टम को नष्ट करना अन्य सभी विकल्पों को समाप्त करने के बाद ही किया जाना चाहिए। उस बिंदु पर, मैंने किया है:

1. मालवेयरबाइट पूर्ण स्कैन
2. Microsoft सुरक्षा अनिवार्य पूर्ण स्कैन
3. पूरी तरह से Autoruns की समीक्षा की और फ़ाइलों को मैं VirusTotal.com को नहीं पहचानता हूं
4. पूरी तरह से हाईजैक की समीक्षा की
5. TDSSKiller स्कैन
6. इस सुपरयूजर प्रश्न की समीक्षा की
7. इन निर्देशों का पालन किया: एक COM + या लेनदेन सर्वर पैकेज के भीतर कौन सा अनुप्रयोग चल रहा है, यह निर्धारित करने के लिए
8. प्रत्येक DLLHOST.EXEप्रक्रिया के लिए, मैंने किसी भी संदिग्ध के लिए प्रक्रिया एक्सप्लोरर में DLL और हैंडल दृश्य की समीक्षा की है .exe, .dllया कुछ भी संदिग्ध के लिए अन्य एप्लिकेशन-प्रकार की फाइलें। सब कुछ हालांकि बाहर की जाँच की।
9. रैन ESET ऑनलाइन स्कैनर
10. Ran Microsoft सुरक्षा स्कैनर
11. सुरक्षित मोड में बूट किया गया। कमांड स्विच-कम dllhost.exeइंस्टेंस अभी भी चल रहा है।

और एक तरफ कुछ मामूली adware से अलग, दुर्भावनापूर्ण कुछ भी नहीं है!

अपडेट १
<<Removed as irrelevant>>

अद्यतन 2 के
परिणाम SFC /SCANNOW:

मैं अपने कंप्यूटर से चल रहा Dllhost.exe पर देखते हैं C:\Windows\System32, जबकि तुम्हारा से चल रहा है C:\Windows\SysWOW64जो कुछ हद तक संदिग्ध लग रहा है,। लेकिन समस्या अभी भी आपके कंप्यूटर पर स्थापित कुछ 32-बिट उत्पाद के कारण हो सकती है।
ईवेंट व्यूअर की भी जांच करें और यहां कोई भी संदिग्ध संदेश पोस्ट करें।

मेरा अनुमान है कि आप संक्रमित हैं या विंडोज बहुत अस्थिर हो गया है।

पहला चरण यह देखना है कि सुरक्षित मोड में बूट करने पर समस्या आती है या नहीं। यदि यह वहां नहीं पहुंचता है, तो समस्या कुछ स्थापित उत्पाद के साथ (शायद) है।

यदि समस्या सेफ मोड में आती है, तो समस्या विंडोज के साथ है। सिस्टम की अखंडता को सत्यापित करने के लिए sfc / scannow चलाने का प्रयास करें।

यदि कोई समस्या नहीं मिलती है, तो स्कैन का उपयोग करें:

• ADW क्लीनर
• ComboFix

यदि कुछ भी मदद नहीं करता है, तो बूट-टाइम एंटीवायरस आज़माएं:

• Dr.Web
• F-Secure
• पांडा

असली सीडी को जलाने से बचने के लिए, विंडोज 7 यूएसबी डीवीडी डाउनलोड टूल का उपयोग करें ताकि बूट करने के लिए यूएसबी कुंजी पर आईएसओ एक-एक करके स्थापित किया जा सके।

यदि सभी विफल हो जाते हैं और आपको किसी संक्रमण का संदेह है, तो सबसे सुरक्षित समाधान डिस्क को प्रारूपित करना और विंडोज को पुनर्स्थापित करना है, लेकिन पहले अन्य सभी संभावनाओं को आज़माएं।

यह एक फिल्हाल, मेमोरी-इंजेक्शन, डीएलएल ट्रोजन है!

मुझे सही दिशा में इंगित करने का श्रेय @harrymc को जाता है इसलिए मैंने उसे उत्तर ध्वज और इनाम दिया है।

जहां तक ​​मैं बता सकता हूं, DLLHOST.EXEहमेशा एक उचित उदाहरण में /ProcessID:स्विच होता है। ये प्रक्रियाएँ इसलिए नहीं होतीं क्योंकि वे एक .DLL को क्रियान्वित कर रहे हैं जिसे पावेलिक्स ट्रोजन द्वारा सीधे मेमोरी में इंजेक्ट किया गया है ।

इस लिखावट के अनुसार :

... [Poweliks] एक एन्क्रिप्टेड रजिस्ट्री मान में संग्रहीत किया जाता है, और एक एन्क्रिप्टेड जावास्क्रिप्ट पेलोड पर एक RUN कुंजी कॉलिंग rundll32 प्रक्रिया द्वारा बूट समय पर लोड किया जाता है।

एक बार [] पेलोड [है] rundll32 में लोड किया गया है, यह इंटरैक्टिव मोड (कोई UI) में एक एम्बेडेड PowerShell स्क्रिप्ट को निष्पादित करने का प्रयास करता है। उस PowerShell स्क्रिप्ट में एक बेस 64-एन्कोडेड पेलोड (एक अन्य) होता है जिसे एक dllhost प्रक्रिया (लगातार आइटम) में इंजेक्ट किया जाएगा, जो कि ज़ोम्बीफाइड होगा और अन्य संक्रमणों के लिए ट्रोजन डाउनलोडर के रूप में कार्य करेगा।

जैसा कि उपर्युक्त लेख की शुरुआत में उल्लेख किया गया था, हाल के संस्करण (मेरा शामिल) अब HKEY_CURRENT_USER\...\RUNकुंजी में एक प्रविष्टि से शुरू नहीं होते हैं, बल्कि एक अपहृत सीएलएसआईडी कुंजी में छिपे होते हैं। और यह पता लगाने के लिए भी मुश्किल है कि डिस्क पर कोई फाइल नहीं लिखी गई है , केवल ये रजिस्ट्री प्रविष्टियां हैं।

वास्तव में (हार्दिक के सुझाव के लिए धन्यवाद) मैंने निम्न कार्य करके ट्रोजन पाया:

1. बूट टू सेफ मोड
2. सभी राउजी प्रक्रियाओं को स्थगित करने के लिए प्रोसेस एक्सप्लोरर का उपयोग करेंdllhost.exe
3. कॉम्बोफिक्स स्कैन चलाएं

मेरे मामले में पावेलिक्स ट्रोजन HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}कुंजी में छिपा हुआ था (जिसे थम्बनेल कैशे के साथ क्या करना है)। जाहिरा तौर पर जब यह कुंजी एक्सेस की जाती है तो ट्रोजन को निष्पादित करती है। चूंकि थंबनेल का उपयोग किया जाता है, इससे ट्रोजन के जीवन में आने का असर लगभग उतनी ही तेजी से होता था, जितना RUNकि रजिस्ट्री में वास्तविक प्रविष्टि का।

कुछ अतिरिक्त तकनीकी जानकारी के लिए, इस ट्रेंडमाइक्रो ब्लॉग पोस्ट को देखें ।

यदि आप इस प्रकार की फोरेंसिक विश्लेषक चलाने की प्रक्रियाओं, सेवाओं, नेटवर्क कनेक्शन के लिए करना चाहते हैं, ... मैं आपको ESET SysInspector का उपयोग करने की सलाह देता हूं । यह आपको फ़ाइलों को चलाने के बारे में बेहतर दृष्टिकोण देता है, साथ ही आप न केवल dllhost.exe देख सकते हैं, बल्कि इस फ़ाइल के लिए तर्क से जुड़ी फाइलें, ऑटो स्टार्टअप कार्यक्रमों के लिए पथ, ... उनमें से कुछ सेवाएं हो सकती हैं, यह उनके नाम भी लेती हैं, आप इसे अच्छे रंगीन एप्लीकेशन में देखते हैं।

एक बड़ी अग्रिम यह है कि यह आपको लॉग में सूचीबद्ध सभी फाइलों के लिए एवी परिणाम भी देता है, इसलिए यदि आपके पास संक्रमित सिस्टम है, तो स्रोत खोजने का एक बड़ा मौका है। आप यहाँ xml लॉग भी पोस्ट कर सकते हैं और हम इसे जाँच सकते हैं। बेशक, SysInspector उपकरण टैब में ESET AV का हिस्सा है।