web-dev-qa-db-ja.com

/ ProcessIDスイッチのないDLLHOST.EXEで何が実行されているかを確認する方法

Windows 7コンピューターで複数の_dllhost.exe_プロセスを実行しています。 enter image description here

これらのイメージのコマンドラインのすべてが欠落しています(私が考えていること)、必須の_/ProcessID:{000000000-0000-0000-0000-0000000000000}_コマンドラインオプション: enter image description here

質問:このプロセスで実際に何が実行されているかを判断するにはどうすればよいですか

これらの_dllhost.exe_プロセス内で作業を行っている実際のアプリケーションを識別できれば、システムが感染しているかどうかを判断できると信じています(以下を参照)。

なぜ私が尋ねているのか/私が何を試したか:

これらの_DLLHOST.EXE_インスタンスは私には疑わしく見えます。たとえば、それらのいくつかには、多くのオープンTCP/IP接続があります。

enter image description here

Process Monitor は、absurdアクティビティの量を示します。これらのプロセスの1つだけが、3分間で124,390のイベントを生成しました。さらに悪いことに、これらの_dllhost.exe_プロセスのいくつかは、ユーザーのTEMPおよび_Temporary Internet Files_に約280 MBのデータ/分を書き込んでいますランダムな4文字の名前を持つフォルダーおよびファイルの形式のフォルダー。これらの一部は使用中であり、削除できません。これがフィルタリングされたサンプルです。

enter image description here

これはおそらく悪意があると思います。残念ながら、軌道からのシステムの爆破は、他のすべてのオプションを使い果たした後にのみ実行する必要があります。その時点までに、私は次のことを行いました:

  1. Malwarebytes フルスキャン
  2. Microsoft Security Essentials フルスキャン
  3. 徹底的に見直し Autoruns および私が認識しない提出ファイル VirusTotal.com
  4. 徹底的に見直し HijackThis
  5. TDSSKiller スキャン
  6. レビュー済み これ スーパーユーザーの質問
  7. 次の手順に従ってください: COM +またはトランザクションサーバーパッケージ内で実行されているアプリケーションを特定する方法
  8. _DLLHOST.EXE_プロセスのそれぞれについて、プロセスエクスプローラーのDLLsおよびHandlesビューを確認して_.exe_、_.dll_またはその他の疑わしいアプリケーションタイプのファイル。すべてがチェックアウトされました。
  9. ラン ESETオンラインスキャナー
  10. Microsoftを実行 Safety Scanner
  11. セーフモードで起動。コマンドスイッチレス_dllhost.exe_インスタンスはまだ実行中です。

そして、いくつかのマイナーなアドウェア検出を除いて、悪意のあるものは何もポップアップしていません!

更新1
_<<Removed as irrelevant>>_

更新2
_SFC /SCANNOW_の結果: enter image description here

windowscommand-linesecurityvirusprocess
11
I say Reinstate Monica

私のコンピューターでdllhost.exeがC:\Windows\System32、あなたのはC:\Windows\SysWOW64、これはやや疑わしく見えます。ただし、コンピューターにインストールされている一部の32ビット製品が原因で問題が発生する可能性があります。
イベントビューアも確認し、不審なメッセージをここに投稿してください。

私の推測では、感染しているか、Windowsが非常に不安定になっています。

最初の手順は、セーフモードで起動したときに問題が発生するかどうかを確認することです。そこに届かない場合は、インストールされている製品に問題がある可能性があります。

問題がセーフモードで発生する場合、問題はWindowsにあります。 sfc/scannow を実行して、システムの整合性を確認してください。

問題が見つからない場合は、次を使用してスキャンします。

問題が解決しない場合は、次のような起動時のウイルス対策を試してください。

実際のCDへの書き込みを回避するには、 Windows 7 USB DVDダウンロードツール を使用して、起動するUSB​​キーにISOを1つずつインストールします。

すべてが失敗し、感染が疑われる場合、最も安全な解決策は、ディスクをフォーマットしてWindowsを再インストールすることですが、他のすべての可能性を最初に試します。

2
harrymc

それはファイルレスでメモリを注入する、DLLトロイの木馬です!

私を正しい方向に向けた功績は@harrymcにあるため、彼に回答フラグと賞金を授与しました。

私の知る限り、DLLHOST.EXEの適切なインスタンスには常に/ProcessID:スイッチがあります。これらのプロセスは、それらが Poweliksトロイの木馬 によってメモリに直接注入された.DLLを実行しているため、そうではありません。

this writeup によると:

... [Poweliks]は暗号化されたレジストリ値に格納され、暗号化されたJavaScriptペイロードでrundll32プロセスを呼び出すRUNキーによって起動時にロードされます。

ペイロードがrundll32にロードされると、インタラクティブモード(UIなし)で埋め込みPowerShellスクリプトを実行しようとします。そのPowerShellスクリプトには、base64でエンコードされたペイロード(別のペイロード)が含まれています。このペイロードは、dllhostプロセス(永続アイテム)に挿入され、ゾンビ化され、他の感染のトロイの木馬ダウンローダーとして機能します。

上記の記事の冒頭で述べたように、最近の亜種(鉱山を含む)は、HKEY_CURRENT_USER\...\RUNキーのエントリから始まるのではなく、ハイジャックされたCLSIDキーに隠されています。また、 disk に書き込まれたファイルがなく、これらのレジストリエントリのみを検出することをさらに困難にします。

確かに(harrymcの提案のおかげで)次のようにしてトロイの木馬を見つけました。

  1. セーフモードで起動
  2. Process Explorer を使用して、すべての不正なdllhost.exeプロセスを一時停止します
  3. ComboFix スキャンを実行します

私の場合、Poweliksトロイの木馬はHKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}キーに隠れていました(これはサムネイルキャッシュに関係しています)。どうやらこのキーにアクセスすると、トロイの木馬を実行します。サムネイルが頻繁に使用されるため、これはトロイの木馬がレジストリに実際のRUNエントリを持っている場合と同じくらい早く生き返るという効果がありました。

その他の技術的な詳細については、このTrendMicro blog post を参照してください。

6
I say Reinstate Monica