วิธีการตรวจสอบสิ่งที่กำลังทำงานใน DLLHOST.EXE ที่ขาดหายไป / สวิตช์หมายเลขกระบวนการ

11

ฉันมีหลายdllhost.exeกระบวนการที่ทำงานบนคอมพิวเตอร์ Windows 7 ของฉัน: ป้อนคำอธิบายรูปภาพที่นี่

ทุกบรรทัดคำสั่งของรูปภาพเหล่านี้หายไป (สิ่งที่ฉันกำลังคิด) /ProcessID:{000000000-0000-0000-0000-0000000000000}ตัวเลือกบรรทัดคำสั่งที่จำเป็น: ป้อนคำอธิบายรูปภาพที่นี่

คำถาม: ฉันสามารถกำหนดสิ่งที่เป็นจริงการทำงานในขั้นตอนนี้?

ฉันเชื่อว่าถ้าฉันสามารถระบุแอปพลิเคชันจริงที่ทำงานในdllhost.exeกระบวนการเหล่านี้ฉันจะสามารถระบุได้ว่าระบบของฉันติดไวรัสหรือไม่ (ดูด้านล่าง)

ทำไมฉันถึงถาม / สิ่งที่ฉันได้ลอง:

DLLHOST.EXEอินสแตนซ์เหล่านี้ดูน่าสงสัยสำหรับฉัน ตัวอย่างเช่นหลายคนมีการเชื่อมต่อ TCP / IP แบบเปิดจำนวนมาก:

ป้อนคำอธิบายรูปภาพที่นี่

การตรวจสอบกระบวนการแสดงและจำนวนกิจกรรมที่ไร้สาระ หนึ่งในกระบวนการเหล่านี้สร้างกิจกรรม 124,390 เหตุการณ์ในเวลาไม่ถึง 3 นาที เพื่อทำให้เรื่องแย่ลงdllhost.exeกระบวนการเหล่านี้หลายแห่งกำลังเขียนข้อมูลประมาณ 280 MB ต่อนาทีไปยังผู้ใช้TEMPและTemporary Internet Filesโฟลเดอร์ในรูปแบบของโฟลเดอร์และไฟล์ที่มีชื่ออักขระสี่ตัวแบบสุ่ม มีการใช้งานบางส่วนและไม่สามารถลบได้ นี่คือตัวอย่างที่ถูกกรอง:

ป้อนคำอธิบายรูปภาพที่นี่

ฉันรู้ว่านี่อาจเป็นอันตราย น่าเสียดายที่การระเบิดระบบจากวงโคจรนั้นจะต้องกระทำหลังจากที่ตัวเลือกอื่นหมดไปเท่านั้น ฉันได้ทำไปแล้ว:

  1. Malwarebytesสแกนเต็ม
  2. การสแกนทั้งหมดของ Microsoft Security Essentials
  3. การตรวจสอบอย่างละเอียดAutorunsและไฟล์ฉันไม่รู้จักส่งไปVirusTotal.com
  4. ตรวจสอบอย่างละเอียดHijackThis
  5. สแกนTDSSKiller
  6. สอบทานคำถามผู้ใช้ SuperUser นี้
  7. ทำตามคำแนะนำเหล่านี้: วิธีการตรวจสอบแอปพลิเคชันที่ทำงานอยู่ภายในแพ็คเกจ COM + หรือเซิร์ฟเวอร์ธุรกรรม
  8. สำหรับแต่ละDLLHOST.EXEกระบวนการผมได้ตรวจสอบกำลังและจับดูใน Process Explorer สำหรับการใด ๆ.exe, .dllหรือไฟล์โปรแกรมประเภทอื่น ๆ สำหรับสิ่งที่น่าสงสัย ทุกอย่างตรวจสอบว่า
  9. สแกนเนอร์ Ran ESET ออนไลน์
  10. Ran Microsoft Safety Scanner
  11. บูทไปที่ Safe Mode ตัวอย่างคำสั่ง switch-less dllhost.exeยังคงทำงานอยู่

และนอกเหนือจากการตรวจจับแอดแวร์เล็กน้อยไม่กี่สิ่งที่เป็นอันตรายโผล่ขึ้นมา!

อัปเดต 1
<<Removed as irrelevant>>

อัปเดต 2
ผลลัพธ์ของSFC /SCANNOW: ป้อนคำอธิบายรูปภาพที่นี่

windows  command-line  security  virus  process 
ฉันพูดว่า Reinstate Monica
แหล่งที่มา
1
ถาม Gov Maharaj จาก Microsoft ผ่านทาง emai ที่โพสต์เพื่อที่เขาจะได้ตอบคำถามนี้ในรายการของเขา: channel9.msdn.com/Shows/The-Defrag-Show
magicandre1981
@harrymc เหมืองแร่แสดง2009/07/13และ 7168 ไบต์ ไฟล์เวอร์ชัน 6.1.7600.16385
ฉันพูดว่า Reinstate Monica
หาก Windows ของคุณเป็นแบบ 64 บิตฉันจะเดาว่าปัญหามาจากผลิตภัณฑ์ที่ติดตั้งแบบ 32 บิต
harrymc
แท็บสตริงคืออะไร สิ่งที่น่าสนใจ?
Jon Kloske
คุ้มค่าที่จะทราบว่าบริการใดบ้างที่dllhost.exeกระบวนการใช้ เริ่มต้นจากบรรทัดคำสั่งwmic path Win32_Service Where "ProcessId = 28420"
JosefZ

คำตอบ:

2

ฉันเห็นในคอมพิวเตอร์ของฉัน dllhost.exe ทำงานจากC:\Windows\System32ในขณะที่คุณกำลังทำงานจาก C:\Windows\SysWOW64ซึ่งค่อนข้างน่าสงสัย แต่ปัญหายังอาจเกิดจากผลิตภัณฑ์ 32 บิตบางตัวติดตั้งอยู่ในคอมพิวเตอร์ของคุณ
ตรวจสอบ Event Viewer และโพสต์ข้อความที่น่าสงสัยที่นี่

ฉันเดาว่าคุณติดไวรัสหรือ Windows กลายเป็นไม่เสถียรมาก

ขั้นตอนแรกคือดูว่าปัญหามาถึงหรือไม่เมื่อเริ่มระบบในเซฟโหมด หากยังไม่ถึงที่หมายแสดงว่ามีปัญหา (อาจ) กับผลิตภัณฑ์ที่ติดตั้งบางส่วน

หากปัญหามาถึงในเซฟโหมดแสดงว่าปัญหาเกิดขึ้นกับ Windows ลองใช้sfc / scannowเพื่อตรวจสอบความถูกต้องของระบบ

หากไม่พบปัญหาให้สแกนโดยใช้:

หากไม่มีสิ่งใดช่วยลองใช้โปรแกรมป้องกันไวรัสขณะบู๊ตเช่น:

เพื่อหลีกเลี่ยงการเบิร์นซีดีจริงให้ใช้Windows 7 USB DVD Download Toolเพื่อติดตั้ง ISO ทีละตัวบนคีย์ USB เพื่อบูต

หากทุกอย่างล้มเหลวและคุณสงสัยว่าติดเชื้อทางออกที่ปลอดภัยที่สุดคือการฟอร์แมตดิสก์และติดตั้ง Windows ใหม่ แต่ลองใช้ความเป็นไปได้อื่น ๆ ทั้งหมดก่อน

harrymc
แหล่งที่มา
มีบางขั้นตอนที่นี่ฉันจะเริ่มลอง เครื่องได้รับการดูแลอย่างดีและมีความเสถียรจนกระทั่งเกิดพฤติกรรมดังกล่าวขึ้น (เราได้รับการแจ้งเตือนถึงปัญหาด้วยไฟล์อุณหภูมิ 10 GB ที่เขียนในเวลาไม่กี่วัน) ฉันคิดว่าไฟล์ดัง\SysWOW64กล่าวนั้นโอเคเพราะฉันยืนยันว่าไฟล์เดียวกันนั้นมีอยู่ในเครื่อง Win7 เครื่องอื่น
ฉันพูดว่า Reinstate Monica
1
หากคุณสงสัยว่าเป็นผลิตภัณฑ์ที่เริ่มต้นติดตั้งAutorunsเป็นสาธารณูปโภคที่มีประโยชน์สำหรับการปิดในที่อัดแน่นแล้วกลับอีกครั้งรีบูตเครื่องในแต่ละครั้ง
harrymc
ฉันได้ตรวจสอบรายการ Autoruns ซ้ำ ๆ และครอบคลุมและพบว่าไม่มีอะไรน่าสงสัย สิ่งที่ทำให้ฉันได้คือพฤติกรรมนี้ปรากฏขึ้นจากสีน้ำเงิน
ฉันพูดว่า Reinstate Monica
คุณพบอะไรในโฟลเดอร์ 10GB Temp
harrymc
1
@kinokijuf: ขอบคุณสำหรับการแสดงความคิดเห็นที่แสดงให้เห็นถึง downvote เพื่อป้องกันของฉันฉันทราบว่านี่เป็นคำตอบที่ยอมรับได้เนื่องจากโปรแกรมป้องกันไวรัสที่ฉันแนะนำพบการติดเชื้อเมื่อคนอื่น ๆ ล้มเหลว
harrymc
6

มันเป็น Fileless, Memory-Injecting, DLL Trojan!

เครดิตที่ชี้ให้ฉันในทิศทางที่ถูกต้องจะไปที่ @harrymc ดังนั้นฉันจึงให้รางวัลเขากับคำตอบ & ค่าหัว

เท่าที่ฉันสามารถบอกได้อินสแตนซ์ที่ถูกต้องของสวิตช์DLLHOST.EXEจะมีอยู่เสมอ /ProcessID:กระบวนการเหล่านี้ทำไม่ได้เพราะพวกเขากำลังดำเนินการ .DLL ที่ได้รับการฉีดโดยตรงลงในหน่วยความจำโดยเป็นโทรจัน Poweliks

ตามที่เขียนนี้ :

... [Poweliks] ถูกเก็บไว้ในค่ารีจิสตรี้ที่เข้ารหัสและโหลดในเวลาบูตโดย RUN คีย์ที่เรียกกระบวนการ rundll32 บนเพย์โหลด JavaScript ที่เข้ารหัส

เมื่อโหลด [[]] โหลดใน rundll32 จะพยายามเรียกใช้สคริปต์ PowerShell แบบฝังในโหมดโต้ตอบ (ไม่มี UI) สคริปต์ PowerShell นั้นมีส่วนบรรจุที่เข้ารหัสด้วย base64 (อีกอันหนึ่ง) ซึ่งจะถูกฉีดเข้าสู่กระบวนการ dllhost (รายการถาวร) ซึ่งจะถูกทำให้เป็นซอมบี้และทำหน้าที่เป็นโทรจันดาวน์โหลดสำหรับการติดเชื้ออื่น ๆ

ดังที่ระบุไว้ในตอนต้นของบทความที่อ้างถึงข้างต้นตัวแปรล่าสุด (รวมของฉัน) จะไม่เริ่มต้นจากรายการในHKEY_CURRENT_USER\...\RUNคีย์อีกต่อไปแต่ถูกซ่อนอยู่ในคีย์ CLSID ที่ถูกแย่งชิงแทน และเพื่อให้ยากยิ่งขึ้นในการตรวจสอบว่าไม่มีไฟล์ที่เขียนลงดิสก์เพียงรายการรีจิสตรีเหล่านี้

แน่นอน (ขอบคุณคำแนะนำของ harrymc) ฉันพบโทรจันโดยทำสิ่งต่อไปนี้:

  1. บูตไปที่ Safe Mode
  2. ใช้Process Explorerเพื่อหยุดdllhost.exeกระบวนการrouge ทั้งหมด
  3. เรียกใช้การสแกนComboFix

ในกรณีของฉันโทรจัน Poweliks ซ่อนอยู่ในHKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}กุญแจ (ซึ่งเกี่ยวกับแคช Thumbnail) เห็นได้ชัดว่าเมื่อมีการเข้าถึงคีย์นี้มันจะเรียกใช้งานโทรจัน เนื่องจากรูปขนาดย่อมีการใช้งานจำนวนมากสิ่งนี้ส่งผลให้โทรจันมีชีวิตขึ้นมาเกือบจะเร็วเท่ากับว่ามีRUNรายการจริงใน Registry

สำหรับรายละเอียดทางเทคนิคเพิ่มเติมดูโพสต์บล็อก TrendMicro นี้

ฉันพูดว่า Reinstate Monica
แหล่งที่มา
-1

ถ้าคุณต้องการที่จะทำการวิเคราะห์ทางนิติวิทยาศาสตร์ประเภทนี้สำหรับกระบวนการทำงาน, บริการ, การเชื่อมต่อเครือข่าย, ... ฉันขอแนะนำให้คุณใช้ESET SysInspector ด้วย มันให้มุมมองที่ดีขึ้นเกี่ยวกับการเรียกใช้ไฟล์นอกจากนี้คุณยังสามารถมองเห็นไม่เพียง แต่ dllhost.exe แต่ไฟล์ที่เชื่อมโยงกับอาร์กิวเมนต์สำหรับไฟล์นี้เส้นทางสำหรับโปรแกรมเริ่มต้นอัตโนมัติ ... บางคนอาจเป็นบริการ คุณเห็นมันในแอปพลิเคชัน colorized ที่ดี

หนึ่งความก้าวหน้าที่ยิ่งใหญ่คือมันยังให้ผลลัพธ์ AV แก่คุณสำหรับไฟล์ทั้งหมดที่อยู่ในบันทึกดังนั้นหากคุณมีระบบที่ติดเชื้อมีโอกาสที่จะค้นหาแหล่งที่มา คุณสามารถโพสต์บันทึก xml ที่นี่และเราสามารถตรวจสอบได้ แน่นอน SysInspector เป็นส่วนหนึ่งของ ESET AV ในแท็บเครื่องมือ

Dolmayan
แหล่งที่มา
ฉันติดตั้งและรัน ESET SysInspector แต่มันไม่ได้บอกอะไรเลยว่า Process Explorer และ Process Monitor ยังไม่ได้บอกฉันถึงแม้ว่าฉันจะชอบวิธีที่ SysInspector ทำให้การเข้าถึงข้อมูลบางอย่างง่ายขึ้น
ฉันพูดว่า Reinstate Monica
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.