Tengo múltiples dllhost.exeprocesos ejecutándose en mi computadora con Windows 7:

Falta la línea de comando de cada una de estas imágenes (lo que estoy pensando es) la /ProcessID:{000000000-0000-0000-0000-0000000000000}opción de línea de comando requerida :

Pregunta: ¿Cómo puedo determinar qué se está ejecutando realmente en este proceso?

Creo que si puedo identificar la aplicación real que hace el trabajo dentro de estos dllhost.exeprocesos, podré determinar si mi sistema está infectado o no (ver más abajo).

Por qué estoy preguntando / lo que he intentado:

Estas DLLHOST.EXEinstancias me parecen sospechosas. Por ejemplo, varios de ellos tienen muchas conexiones TCP / IP abiertas:

Process Monitor muestra una cantidad absurda de actividad. Solo uno de estos procesos generó 124,390 eventos en menos de 3 minutos. Para empeorar las cosas, varios de estos dllhost.exeprocesos están escribiendo aproximadamente 280 MB de datos por minuto a las carpetas TEMPy al usuario Temporary Internet Filesen forma de carpetas y archivos con nombres aleatorios de cuatro caracteres. Algunos de estos están en uso y no se pueden eliminar. Aquí hay una muestra filtrada:

Sé que esto es probablemente malicioso. Desafortunadamente, la explosión del sistema desde la órbita solo debe hacerse después de agotar todas las demás opciones. Hasta ese punto, he hecho:

1. Escaneo completo de Malwarebytes
2. Análisis completo de Microsoft Security Essentials
3. Revisé minuciosamente Autoruns y archivos enviados que no reconozco a VirusTotal.com
4. Revisado a fondo HijackThis
5. Exploración TDSSKiller
6. Revisado esta cuestión superusuario
7. Siguió estas instrucciones: Cómo determinar qué aplicación se está ejecutando dentro de un paquete COM + o Transaction Server
8. Para cada uno de los DLLHOST.EXEprocesos, he revisado los archivos DLL y manijas de vista en Process Explorer para cualquier .exe, .dllu otros tipos de archivo de solicitud de cualquier cosa sospechosa. Sin embargo, todo se verificó.
9. Ran análisis de ESET Online
10. Ran Microsoft Safety Scanner
11. Arrancado en modo seguro. La dllhost.exeinstancia de comando sin conmutador todavía se está ejecutando.

Y aparte de algunas detecciones menores de adware, ¡no aparece nada malicioso!

Actualización 1
<<Removed as irrelevant>>

Actualización 2
Resultados de SFC /SCANNOW:

Veo que en mi computadora se ejecuta dllhost.exe C:\Windows\System32, mientras que la suya se está ejecutando C:\Windows\SysWOW64, lo que parece algo sospechoso. Pero el problema aún puede ser causado por algún producto de 32 bits instalado en su computadora.
Consulte también el Visor de eventos y publique aquí cualquier mensaje sospechoso.

Supongo que está infectado o que Windows se ha vuelto muy inestable.

El primer paso es ver si el problema llega al arrancar en modo seguro. Si no llega allí, entonces el problema es (quizás) con algún producto instalado.

Si el problema llega en modo seguro, entonces el problema es con Windows. Intente ejecutar sfc / scannow para verificar la integridad del sistema.

Si no se encuentran problemas, escanee con:

• AdwCleaner
• ComboFix

Si nada ayuda, intente un antivirus en el momento del arranque como:

• Dr.Web
• F-Secure
• Panda

Para evitar quemar CD reales, use la herramienta de descarga de DVD con USB de Windows 7 para instalar los ISO uno por uno en una llave USB para arrancar.

Si todo falla y sospecha una infección, la solución más segura es formatear el disco y reinstalar Windows, pero primero intente todas las demás posibilidades.

¡Es un troyano DLL sin archivos, con inyección de memoria!

El crédito por señalarme en la dirección correcta va a @harrymc, así que le he otorgado la bandera de respuesta y la recompensa.

Por lo que puedo decir, una instancia adecuada de DLLHOST.EXEsiempre tiene el /ProcessID:interruptor. Estos procesos no lo hacen porque están ejecutando un .DLL que ha sido inyectado directamente en la memoria por el troyano Poweliks .

De acuerdo con este artículo :

... [Poweliks] se almacena en un valor de registro cifrado y se carga en el momento del arranque mediante una clave RUN que llama al proceso rundll32 en una carga útil cifrada de JavaScript.

Una vez que [la] carga útil [está] cargada en rundll32, intenta ejecutar un script PowerShell incrustado en modo interactivo (sin interfaz de usuario). Los scripts de PowerShell contienen una carga útil codificada en base64 (otra) que se inyectará en un proceso dllhost (el elemento persistente), que se zombificará y actuará como un descargador de troyanos para otras infecciones.

Como se señaló al comienzo del artículo mencionado anteriormente, las variantes recientes (incluida la mía) ya no comienzan desde una entrada en la HKEY_CURRENT_USER\...\RUNclave, sino que están ocultas en una clave CLSID secuestrada. Y para dificultar aún más la detección, no hay archivos escritos en el disco , solo estas entradas del Registro.

De hecho (gracias a la sugerencia de harrymc) encontré el troyano haciendo lo siguiente:

1. Arrancar en modo seguro
2. Use Process Explorer para suspender todos los dllhost.exeprocesos de rouge
3. Ejecute un escaneo ComboFix

En mi caso, el troyano Poweliks estaba escondido en la HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}clave (que tiene que ver con el Caché de miniaturas). Aparentemente, cuando se accede a esta clave, ejecuta el troyano. Dado que las miniaturas se usan mucho, esto tuvo el efecto de que el troyano cobrara vida casi tan rápido como si tuviera una RUNentrada real en el Registro.

Para algunos detalles técnicos adicionales, vea esta publicación de blog de TrendMicro .

Si desea hacer este tipo de analista forense de procesos en ejecución, servicios, conexión de red, ... Le recomiendo que también use ESET SysInspector. Le da una mejor vista sobre la ejecución de archivos, también puede ver no solo dllhost.exe, sino también archivos vinculados con argumentos para este archivo, ruta para programas de inicio automático, ... Algunos de ellos pueden ser servicios, también toman sus nombres, Lo ves en una bonita aplicación coloreada.

Un gran avance es que también le brinda resultados AV para todos los archivos enumerados en el registro, por lo que si tiene un sistema infectado, existe una gran posibilidad de encontrar una fuente. También puede publicar aquí el registro xml y podemos verificarlo. Por supuesto, SysInspector es parte de ESET AV en la pestaña Herramientas.