dllhost.exeWindows 7 컴퓨터에서 여러 프로세스를 실행하고 있습니다.

이 이미지의 모든 명령 행에는 필수 /ProcessID:{000000000-0000-0000-0000-0000000000000}명령 행 옵션 이 없습니다 (내 생각에는) .

질문 : 이 프로세스에서 실제로 실행중인 것을 어떻게 확인할 수 있습니까?

이러한 dllhost.exe프로세스 내에서 작업을 수행하는 실제 응용 프로그램을 식별 할 수 있으면 시스템이 감염되었는지 여부를 확인할 수 있습니다 (아래 참조).

내가 묻는 이유 / 내가 한 것 :

이 DLLHOST.EXE사례 들은 나에게 의심스러워 보인다. 예를 들어, 그들 중 일부는 개방형 TCP / IP 연결이 많이 있습니다.

프로세스 모니터 는 활동량을 표시하고 부조리 합니다. 이러한 프로세스 중 하나만 3 분 이내에 124,390 개의 이벤트를 생성했습니다. 설상가상으로, 이러한 dllhost.exe프로세스 중 일부는 임의의 네 문자 이름을 가진 폴더 및 파일 형식으로 사용자 및 폴더에 분당 약 280MB의 데이터를 기록 합니다. 이 중 일부는 사용 중이며 삭제할 수 없습니다. 필터링 된 샘플은 다음과 같습니다.TEMPTemporary Internet Files

나는 이것이 악의적 일 것임을 알고있다. 불행히도 궤도에서 시스템을 폭파하는 것은 다른 모든 옵션을 다 사용한 후에 만 ​​수행해야합니다. 그 시점까지 나는 다음을 수행했습니다.

1. 멀웨어 바이트 전체 검사
2. Microsoft Security Essentials 전체 검사
3. 철저하게 검토 Autoruns를을 에게 내가 인식하지 않는 파일 및 제출 VirusTotal.com
4. HijackThis를 철저히 검토했습니다.
5. TDSSKiller 스캔
6. 이 수퍼 유저 질문을 검토 했습니다
7. 다음 지침을 따르십시오. COM + 또는 트랜잭션 서버 패키지 내에서 실행중인 응용 프로그램을 확인하는 방법
8. 의 각각에 대해 DLLHOST.EXE프로세스, 내가 검토 한 DLL을 하고 핸들은 어떤을위한 프로세스 탐색기에서 볼 수 .exe, .dll의심스러운 아무것도 다른 응용 형 파일이나. 모든 것이 체크 아웃되었습니다.
9. 란 ESET 온라인 스캐너
10. Microsoft 안전 스캐너 실행
11. 안전 모드로 부팅했습니다. 스위치리스 dllhost.exe인스턴스 명령 이 여전히 실행 중입니다.

그리고 몇 가지 사소한 애드웨어 탐지 외에도 악의적 인 것이 나타나지 않습니다!

업데이트 1
<<Removed as irrelevant>>

이 업데이트
의 결과 SFC /SCANNOW:

내 컴퓨터에서 dllhost.exe를 실행 C:\Windows\System32하는 동안을 (를) 실행하는 동안 C:\Windows\SysWOW64다소 의심스러운 것 같습니다. 그러나 문제는 여전히 컴퓨터에 설치된 일부 32 비트 제품으로 인해 발생할 수 있습니다.
이벤트 뷰어를 확인하고 의심스러운 메시지가 있으면 여기에 게시하십시오.

내 생각 엔 당신이 감염되었거나 Windows가 매우 불안정 해졌다는 것입니다.

첫 번째 단계는 안전 모드로 부팅 할 때 문제가 발생하는지 확인하는 것입니다. 도착하지 않으면 설치된 제품에 문제가있을 수 있습니다.

문제가 안전 모드에 도달하면 Windows에 문제가있는 것입니다. sfc / scannow 를 실행 하여 시스템 무결성을 확인하십시오.

문제가 없으면 다음을 사용하여 스캔하십시오.

• AdwCleaner
• 콤보 픽스

도움이되지 않으면 다음과 같은 부팅시 바이러스 백신을 사용해보십시오.

• 닥터 웹
• F- 시큐어
• 팬더

실제 CD를 굽지 않으려면 Windows 7 USB DVD 다운로드 도구 를 사용하여 부팅 할 USB 키에 ISO를 하나씩 설치하십시오.

모두 실패하고 감염이 의심되는 경우 가장 안전한 해결책은 디스크를 포맷하고 Windows를 다시 설치하는 것이지만 다른 모든 가능성을 먼저 시도하십시오.

파일이없고 메모리를 주입하는 DLL 트로이 목마입니다!

올바른 방향으로 나를 가리켜 준 것에 대한 크레딧은 @harrymc로 전달되므로 답변 플래그 및 현상금을 수여했습니다.

내가 알 수있는 한 적절한 인스턴스에는 DLLHOST.EXE항상 /ProcessID:스위치가 있습니다. 이러한 프로세스는 Poweliks 트로이 목마에 의해 메모리에 직접 주입 된 .DLL을 실행 하기 때문에 수행되지 않습니다 .

이 글 에 따르면 :

... [Poweliks]는 암호화 된 레지스트리 값에 저장되며 암호화 된 JavaScript 페이로드에서 rundll32 프로세스를 호출하는 RUN 키에 의해 부팅시로드됩니다.

[dll] 페이로드가 rundll32에로드되면 UI가없는 대화식 모드에서 포함 된 PowerShell 스크립트를 실행하려고합니다. 이 PowerShell 스크립트에는 dllhost 프로세스 (영구 항목)에 주입되는 base64로 인코딩 된 페이로드 (또 하나)가 포함되어 있으며, 이는 다른 감염의 트로이 목마 다운로더 역할을합니다.

위에서 언급 한 기사의 시작 부분에서 언급했듯이 최근 변형 (광산 포함)은 더 이상 HKEY_CURRENT_USER\...\RUN키 항목에서 시작되지 않고 대신 하이재킹 된 CLSID 키에 숨겨집니다. 디스크에 기록 된 파일 이 없고 이러한 레지스트리 항목 만 감지하기가 더 어려워집니다 .

실제로 (harrymc의 제안 덕분에) 다음을 수행하여 트로이 목마를 발견했습니다.

1. 안전 모드로 부팅
2. 프로세스 탐색기 를 사용 하여 모든 루즈 dllhost.exe프로세스 를 일시 중단
3. ComboFix 스캔 실행

필자의 경우 Poweliks 트로이 목마가 HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}키 에 숨어있었습니다 (축소판 캐시와 관련이 있음). 이 키에 액세스하면 트로이 목마가 실행됩니다. 썸네일이 많이 사용되기 때문에 RUN레지스트리에 실제 항목 이있는 것처럼 트로이 목마가 거의 빠르게 작동합니다 .

추가 기술 정보는이 TrendMicro 블로그 게시물을 참조하십시오 .

실행중인 프로세스, 서비스, 네트워크 연결에 대한 이러한 포렌식 분석가를 수행하려면 ... ESET SysInspector 도 사용하는 것이 좋습니다 . 그것은 당신에게 파일 실행에 대한 더 나은보기를 제공합니다. 또한 dllhost.exe뿐만 아니라이 파일에 대한 인수와 연결된 파일, 자동 시작 프로그램의 경로 등을 볼 수 있습니다. 당신은 좋은 착색 응용 프로그램에서 그것을 참조하십시오.

한 가지 큰 발전은 로그에 나열된 모든 파일에 대한 AV 결과도 제공하므로 시스템에 감염된 경우 소스를 찾을 가능성이 큽니다. 여기 xml 로그를 게시하여 확인할 수 있습니다. 물론 SysInspector는 도구 탭에서 ESET AV의 일부입니다.