Tenho vários dllhost.exeprocessos em execução no meu computador com Windows 7:

Está faltando cada uma das linhas de comando dessa imagem (o que eu acho que é) a /ProcessID:{000000000-0000-0000-0000-0000000000000}opção de linha de comando necessária :

Pergunta: Como posso determinar o que realmente está em execução neste processo?

É minha convicção que, se conseguir identificar o aplicativo real que está fazendo o trabalho dentro desses dllhost.exeprocessos, poderei determinar se meu sistema está infectado ou não (veja abaixo).

Por que estou perguntando / o que tentei:

Essas DLLHOST.EXEinstâncias parecem suspeitas para mim. Por exemplo, vários deles têm muitas conexões TCP / IP abertas:

Process Monitor mostra e quantidade absurda de atividade. Apenas um desses processos gerou 124.390 eventos em menos de 3 minutos. Para piorar a situação, vários desses dllhost.exeprocessos estão gravando aproximadamente 280 MB de dados por minuto no usuário TEMPe Temporary Internet Filesnas pastas na forma de pastas e arquivos com nomes aleatórios de quatro caracteres. Alguns deles estão em uso e não podem ser excluídos. Aqui está uma amostra filtrada:

Eu sei que isso provavelmente é malicioso. Infelizmente, explodir o sistema da órbita só deve ser feito depois de esgotar todas as outras opções. Até esse ponto, eu fiz:

1. Verificação completa do Malwarebytes
2. Verificação completa do Microsoft Security Essentials
3. Revisou completamente as Autoruns e enviou os arquivos que não reconheço ao VirusTotal.com
4. HijackThis completamente revisado
5. Varredura assassina
6. Avaliado esta questão SuperUser
7. Siga estas instruções: Como determinar qual aplicativo está sendo executado em um pacote COM + ou Transaction Server
8. Para cada um dos DLLHOST.EXEprocessos, eu revi as DLLs e alças ver em Process Explorer para qualquer .exe, .dllou outros arquivos do tipo pedido de qualquer coisa suspeita. Tudo saiu embora.
9. Executou o scanner ESET Online
10. Ran Microsoft Security Scanner
11. Inicializado no modo de segurança. A dllhost.exeinstância sem opção de comando ainda está em execução.

Além de algumas pequenas detecções de adware, nada de malicioso está aparecendo!

Atualização 1
<<Removed as irrelevant>>

Atualização 2
Resultados de SFC /SCANNOW:

Eu vejo no meu computador o dllhost.exe sendo executado C:\Windows\System32, enquanto o seu está sendo executado C:\Windows\SysWOW64, o que parece um pouco suspeito. Mas o problema ainda pode ser causado por algum produto de 32 bits instalado no seu computador.
Verifique também o Visualizador de Eventos e poste aqui todas as mensagens suspeitas.

Meu palpite é que você está infectado ou que o Windows se tornou muito instável.

O primeiro passo é verificar se o problema chega ao inicializar no modo de segurança. Se ele não chegar lá, o problema é (talvez) com algum produto instalado.

Se o problema chegar no modo de segurança, o problema será no Windows. Tente executar o sfc / scannow para verificar a integridade do sistema.

Se nenhum problema for encontrado, digitalize usando:

• AdwCleaner
• ComboFix

Se nada ajudar, tente um antivírus no momento da inicialização, como:

• Dr.Web
• F-Secure
• Panda

Para evitar a gravação de CDs reais, use a Ferramenta de Download de DVD USB do Windows 7 para instalar os ISOs um a um em uma chave USB para inicializar.

Se tudo falhar e você suspeitar de uma infecção, a solução mais segura é formatar o disco e reinstalar o Windows, mas tente todas as outras possibilidades primeiro.

É um Trojan DLL sem arquivo e que injeta memória!

O crédito por me apontar na direção certa vai para @harrymc, por isso concordei com ele com a resposta & recompensa.

Tanto quanto eu posso dizer, uma instância adequada de DLLHOST.EXEsempre tem a /ProcessID:opção. Esses processos não acontecem porque eles estão executando um .DLL que foi injetado diretamente na memória pelo cavalo de Troia Poweliks .

De acordo com este artigo :

... [Poweliks] é armazenado em um valor de registro criptografado e carregado no momento da inicialização por uma chave RUN que chama o processo rundll32 em uma carga de JavaScript criptografada.

Depois que a carga útil é carregada no rundll32, ele tenta executar um script incorporado do PowerShell no modo interativo (sem interface do usuário). Esses scripts do PowerShell contêm uma carga útil codificada em base64 (outra) que será injetada em um processo dllhost (o item persistente), que será zombificado e agirá como um downloader de trojan para outras infecções.

Conforme observado no início do artigo mencionado acima, as variantes recentes (incluindo a minha) não são mais iniciadas a partir de uma entrada na HKEY_CURRENT_USER\...\RUNchave, mas são ocultadas em uma chave CLSID seqüestrada. E para tornar ainda mais difícil detectar que não há arquivos gravados no disco , apenas essas entradas do Registro.

De fato (graças à sugestão de harrymc), encontrei o Trojan, fazendo o seguinte:

1. Inicialize no modo de segurança
2. Use o Process Explorer para suspender todos os dllhost.exeprocessos de rouge
3. Execute uma varredura ComboFix

No meu caso, o trojan Poweliks estava escondido na HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}chave (que tem a ver com o cache de miniaturas). Aparentemente, quando essa chave é acessada, ela executa o Trojan. Como as miniaturas são muito usadas, isso fez com que o cavalo de Tróia ganhasse vida quase tão rapidamente como se tivesse uma RUNentrada real no Registro.

Para alguns detalhes técnicos adicionais, consulte esta postagem no blog TrendMicro .

Se você deseja fazer esse tipo de analista forense de processos, serviços, conexão de rede em execução, ... recomendo que você use também o ESET SysInspector. Ele oferece uma melhor visão sobre a execução de arquivos, além de você não apenas ver o dllhost.exe, mas também arquivos vinculados a argumentos para esse arquivo, caminho para programas de inicialização automática, ... Alguns deles podem ser serviços, mas também levam nomes, você vê isso em uma boa aplicação colorida.

Um grande avanço é que ele também fornece resultados de AV para todos os arquivos listados no log; portanto, se você infectou o sistema, há uma grande chance de encontrar uma fonte. Você também pode postar aqui xml log e podemos verificá-lo. Obviamente, o SysInspector faz parte do ESET AV na guia Ferramentas.