那些遇到过的问题

如何确定缺少 /ProcessID 开关的 DLLHOST.EXE 中正在运行的内容?

I s*_*ica 11 windows security virus command-line process

dllhost.exe我的 Windows 7 计算机上运行了多个进程: 在此处输入图片说明

这些图像的命令行中的每一个都缺少(我在想的是)必需的/ProcessID:{000000000-0000-0000-0000-0000000000000}命令行选项: 在此处输入图片说明

问题:我如何确定这个过程中实际运行的什么?

我相信,如果我能识别在这些dllhost.exe进程中执行工作的实际应用程序,我将能够确定我的系统是否被感染(见下文)。

为什么我要问/我尝试了什么:

这些DLLHOST.EXE实例对我来说看起来很可疑。例如,其中一些有很多打开的 TCP/IP 连接:

在此处输入图片说明

进程监视器显示和荒谬的活动量。其中一个过程在不到 3 分钟的时间内生成了 124,390 个事件。更糟糕的是,其中一些dllhost.exe进程每分钟将大约 280 MB 的数据以具有随机四个字符名称的文件夹和文件的形式写入用户TEMPTemporary Internet Files文件夹。其中一些正在使用中,无法删除。这是一个过滤后的样本:

在此处输入图片说明

我知道这可能是恶意的。不幸的是,必须在用尽所有其他选项后才能从轨道上炸毁系统。到那时,我已经完成了:

  1. 恶意软件字节全扫描
  2. Microsoft Security Essentials完整扫描
  3. 彻底审查自动运行,并提交我不认识的文件VirusTotal.com
  4. 彻底审查HijackThis
  5. TDSSKiller扫描
  6. 审查了这个超级用户问题
  7. 遵循以下说明:如何确定哪个应用程序在 COM+ 或事务服务器包中运行
  8. 对于每一个的DLLHOST.EXE过程中,我回顾了的DLL句柄在处理资源管理器查看任何.exe.dll或其他应用程序类型的文件进行任何可疑。不过一切都检查出来了。
  9. 运行ESET 在线扫描仪
  10. 运行 Microsoft安全扫描程序
  11. 启动到安全模式。命令无开关dllhost.exe实例仍在运行。

除了一些小的广告软件检测外,没有任何恶意软件弹出!

更新 1
<<Removed as irrelevant>>

更新 2
结果SFC /SCANNOW在此处输入图片说明

I s*_*ica 6

这是一个无文件、内存注入、DLL 木马!

将我指向正确方向的功劳归功于@harrymc,所以我已经授予他答案标志和赏金。

据我所知,一个适当的实例DLLHOST.EXE总是有/ProcessID:开关。这些进程不会这样做,因为它们正在执行Poweliks 木马直接注入内存的.DLL

根据这篇文章

...[Poweliks] 存储在加密的注册表值中,并在启动时由 RUN 键在加密的 JavaScript 负载上调用 rundll32 进程加载。

一旦 [the] payload [is] 在 rundll32 中加载,它会尝试以交互模式(无 UI)执行嵌入式 PowerShell 脚本。该 PowerShell 脚本包含一个 base64 编码的有效负载(另一个),它将被注入到 dllhost 进程(持久项)中,该进程将被僵尸化并充当其他感染的木马下载程序。

如上述文章开头所述,最近的变体(包括我的)不再从HKEY_CURRENT_USER\...\RUN密钥中的条目开始,而是隐藏在被劫持的 CLSID 密钥中。并且更难检测没有文件写入磁盘,只有这些注册表项。

确实(感谢harrymc的建议)我通过执行以下操作找到了木马:

  1. 启动到安全模式
  2. 使用Process Explorer挂起所有 rougedllhost.exe进程
  3. 运行ComboFix扫描

就我而言,Poweliks 木马隐藏在HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}密钥中(这与缩略图缓存有关)。显然,当访问此密钥时,它会执行木马。由于缩略图被大量使用,这使得木马程序几乎与RUN在注册表中具有实际条目一样快地活跃起来。

有关其他一些技术细节,请参阅此 TrendMicro博客文章

har*_*ymc 5

我在我的计算机上看到 dllhost.exe 从 运行C:\Windows\System32,而你的计算机从 运行 C:\Windows\SysWOW64,这看起来有些可疑。但问题仍然可能是由计算机上安装的某些 32 位产品引起的。
另请检查事件查看器并在此处发布任何可疑消息。

我的猜测是您已被感染或者 Windows 变得非常不稳定。

第一步是查看启动进入安全模式时是否出现问题。如果它没有到达那里,那么问题(可能)出在某些已安装的产品上。

如果问题确实出现在安全模式下,则问题出在 Windows 上。尝试运行sfc /scannow来验证系统完整性。

如果没有发现问题,请使用以下命令进行扫描:

如果没有帮助,请尝试启动时防病毒软件,例如:

为了避免刻录真正的 CD,请使用Windows 7 USB DVD 下载工具将 ISO 逐一安装在 USB 闪存盘上以进行启动。

如果一切都失败并且您确实怀疑感染,最安全的解决方案是格式化磁盘并重新安装 Windows,但首先尝试所有其他可能性。

归档时间:

查看次数:

37591 次

最近记录:

6 年,11 月 前
如何处理行为不端的 dllhost.exe? 5
更多相关链接
相关归档
当我使用 Linux 的“mail”命令时,邮件实际上是如何发送的? 21
如何判断哪个程序正在使用我的磁盘? 16
可以将“系统映像”还原到具有不同存储容量的驱动器吗? 15
Windows 备份和还原:从 AppData 中保留什么? 11
如何删除“可移动磁盘”列表? 9
通过耳机播放的神秘电台。如何找到所有的声音来源? 6
如何在不影响目录的情况下使用find递归地使所有文件不可执行? 5
在 WSL 中的当前目录中打开 Atom 5
我可以从 Windows 中删除 System32 和 winsxs 文件夹吗? 0
如何在 VirtualBox VM 来宾中发送 Alt+Ctrl+Del 键序列 0
难疑归档
如何在 tmux 中重命名会话? 410
Ping 比光还快 385
如何知道我的电脑是什么主板? 174
rsync 删除选项之间有什么区别? 156
7Zip - 命令行:通过通配符模式排除文件夹? 136
4K、UHD 和 QHD 之间有什么区别?我们是否就一项正式决议达成一致? 133
如何判断您在 Windows 7 上有多少 CPU(核心) 130
VirtualBox 中没有可用的 USB 设备 119
如何在高 DPI 显示器上运行放大的 Java 应用程序? 100
WSL中的C盘在哪里? 100