Wie kann festgestellt werden, was in DLLHOST.EXE ausgeführt wird, das fehlt / ProcessID-Schalter?

11

dllhost.exeAuf meinem Windows 7-Computer werden mehrere Prozesse ausgeführt: Geben Sie hier die Bildbeschreibung ein

In jeder Befehlszeile dieses Bildes fehlt (was ich denke) die erforderliche /ProcessID:{000000000-0000-0000-0000-0000000000000}Befehlszeilenoption: Geben Sie hier die Bildbeschreibung ein

Frage: Wie kann ich feststellen, was in diesem Prozess tatsächlich ausgeführt wird?

dllhost.exeIch bin davon überzeugt, dass ich feststellen kann, ob mein System infiziert ist oder nicht (siehe unten) , wenn ich die tatsächliche Anwendung identifizieren kann, die die Arbeit innerhalb dieser Prozesse ausführt.


Warum ich frage / Was ich versucht habe:

Diese DLLHOST.EXEFälle sehen für mich verdächtig aus. Einige von ihnen haben beispielsweise viele offene TCP / IP-Verbindungen:

Geben Sie hier die Bildbeschreibung ein

Prozessmonitor zeigt und absurde Menge an Aktivität. Nur einer dieser Prozesse erzeugte 124.390 Ereignisse in weniger als 3 Minuten. Um die Sache noch schlimmer zu machen, dllhost.exeschreiben einige dieser Prozesse ungefähr 280 MB Daten pro Minute in Form von Ordnern und Dateien mit zufälligen vierstelligen Namen in die Benutzer TEMPund Temporary Internet FilesOrdner. Einige davon werden verwendet und können nicht gelöscht werden. Hier ist ein gefiltertes Beispiel:

Geben Sie hier die Bildbeschreibung ein

Ich weiß, dass dies wahrscheinlich bösartig ist. Leider muss das System erst aus dem Orbit gesprengt werden, nachdem alle anderen Optionen ausgeschöpft wurden. Bis zu diesem Punkt habe ich getan:

  1. Malwarebytes vollständiger Scan
  2. Microsoft Security Essentials- Vollscan
  3. Gründlich überprüfte Autoruns und eingereichte Dateien, die ich bei VirusTotal.com nicht erkenne
  4. Gründlich überprüft HijackThis
  5. TDSSKiller- Scan
  6. Überprüfte diese SuperUser-Frage
  7. Befolgen Sie diese Anweisungen: So ermitteln Sie, welche Anwendung in einem COM + - oder Transaction Server-Paket ausgeführt wird
  8. Für jeden der DLLHOST.EXEProzesse habe ich die Bewertung DLLs und Griffe sehen in Process Explorer für jede .exe, .dlloder eine andere Anwendung Dateien vom Typ für etwas Verdächtiges. Alles aber ausgecheckt.
  9. Ran ESET Online-Scanner
  10. Microsoft Sicherheitsscanner ausgeführt
  11. Im abgesicherten Modus gestartet. Die dllhost.exeInstanz ohne Befehlsschalter wird noch ausgeführt.

Und abgesehen von ein paar kleineren Adware-Erkennungen taucht nichts Bösartiges auf!


Update 1
<<Removed as irrelevant>>

Update 2
Ergebnisse von SFC /SCANNOW: Geben Sie hier die Bildbeschreibung ein

Ich sage Reinstate Monica
quelle
1
Fragen Sie diesen Gov Maharaj von Microsoft über das gepostete Emai, damit er dies in seiner Show beantworten kann: channel9.msdn.com/Shows/The-Defrag-Show
magicandre1981
@harrymc Mine zeigt 13.07.2009 und 7168 Bytes. Dateiversion 6.1.7600.16385.
Ich sage Reinstate Monica
Wenn Ihr Windows 64-Bit ist, würde ich vermuten, dass das Problem von einem 32-Bit-installierten Produkt herrührt.
Harrymc
Was ist auf der Registerkarte "Zeichenfolgen"? Irgendetwas Interessantes?
Jon Kloske
Könnte es sich lohnen zu wissen, welche Dienste der dllhost.exeProzess nutzt? Starten Sie von der Kommandozeilewmic path Win32_Service Where "ProcessId = 28420"
JosefZ

Antworten:

2

Ich sehe auf meinem Computer, dass dllhost.exe ausgeführt wird C:\Windows\System32, während Ihre ausgeführt wird C:\Windows\SysWOW64, was etwas verdächtig aussieht. Das Problem kann jedoch weiterhin durch ein auf Ihrem Computer installiertes 32-Bit-Produkt verursacht werden.
Überprüfen Sie auch die Ereignisanzeige und veröffentlichen Sie hier verdächtige Nachrichten.

Ich vermute, dass Sie infiziert sind oder dass Windows sehr instabil geworden ist.

Der erste Schritt besteht darin, festzustellen, ob das Problem beim Booten im abgesicherten Modus auftritt. Wenn es dort nicht ankommt, liegt das Problem (möglicherweise) bei einem installierten Produkt.

Wenn das Problem im abgesicherten Modus auftritt, liegt das Problem bei Windows. Versuchen Sie, sfc / scannow auszuführen , um die Systemintegrität zu überprüfen.

Wenn keine Probleme gefunden werden, scannen Sie mit:

Wenn nichts hilft, versuchen Sie es mit einem Antivirenprogramm zum Booten wie:

Verwenden Sie das Windows 7 USB DVD Download Tool , um das Brennen echter CDs zu vermeiden , und installieren Sie die ISOs einzeln auf einem USB-Stick, von dem aus Sie starten können.

Wenn alles fehlschlägt und Sie eine Infektion vermuten, besteht die sicherste Lösung darin, die Festplatte zu formatieren und Windows neu zu installieren. Probieren Sie jedoch zuerst alle anderen Möglichkeiten aus.

harrymc
quelle
Hier gibt es einige Schritte, die ich versuchen werde. Die Maschine ist gut gewartet und stabil, bis dieses Verhalten auftrat (wir wurden durch 10 GB temporäre Dateien, die in wenigen Tagen geschrieben wurden, auf das Problem aufmerksam gemacht). Ich denke, die Datei ist in \SysWOW64Ordnung, da ich bestätigt habe, dass dieselbe Datei auf anderen Win7-Computern vorhanden ist.
Ich sage Reinstate Monica
1
Wenn Sie einen Verdacht auf ein installiertes Startprodukt haben, ist Autoruns ein praktisches Dienstprogramm, mit dem Sie diese in Gruppen aus- und wieder einschalten und jedes Mal neu starten können.
Harrymc
Ich habe die Autoruns-Einträge wiederholt und ausführlich untersucht und nichts Verdächtiges festgestellt. Was mich dazu bringt, ist, dass dieses Verhalten aus heiterem Himmel auftauchte.
Ich sage Reinstate Monica
Was haben Sie im 10 GB Temp-Ordner gefunden?
Harrymc
1
@kinokijuf: Danke, dass du einen Kommentar hinterlassen hast, der die Ablehnung rechtfertigt. Zu meiner Verteidigung stelle ich fest, dass dies die akzeptierte Antwort ist, da ein von mir empfohlenes Antivirus die Infektion gefunden hat, als viele andere fehlgeschlagen sind.
Harrymc
6

Es ist ein fileless, speicherinjektierender DLL-Trojaner!

Der Verdienst, mich in die richtige Richtung gelenkt zu haben, geht an @harrymc, also habe ich ihm die Antwortflagge und das Kopfgeld verliehen.

Soweit ich das beurteilen kann, hat eine richtige Instanz von DLLHOST.EXEimmer den /ProcessID:Schalter. Diese Prozesse funktionieren nicht, weil sie eine DLL ausführen, die vom Poweliks-Trojaner direkt in den Speicher eingefügt wurde .

Nach diesem Bericht :

... [Poweliks] wird in einem verschlüsselten Registrierungswert gespeichert und beim Booten von einem RUN-Schlüssel geladen, der den rundll32-Prozess auf einer verschlüsselten JavaScript-Nutzlast aufruft.

Sobald [die] Nutzdaten in rundll32 geladen sind, wird versucht, ein eingebettetes PowerShell-Skript im interaktiven Modus (keine Benutzeroberfläche) auszuführen. Dieses PowerShell-Skript enthält eine Base64-codierte Nutzlast (eine andere), die in einen DLLHost-Prozess (das persistente Element) eingefügt wird, der zombifiziert wird und als Trojaner-Downloader für andere Infektionen fungiert.

Wie am Anfang des oben genannten Artikels erwähnt, beginnen neuere Varianten (meine eingeschlossen) nicht mehr mit einem Eintrag im HKEY_CURRENT_USER\...\RUNSchlüssel, sondern sind in einem entführten CLSID-Schlüssel versteckt. Und um es noch schwieriger zu machen, zu erkennen, dass keine Dateien auf die Festplatte geschrieben wurden, sondern nur diese Registrierungseinträge.

In der Tat (dank des Vorschlags von harrymc) habe ich den Trojaner folgendermaßen gefunden:

  1. Booten Sie im abgesicherten Modus
  2. Verwenden Sie den Prozess-Explorer , um alle Rouge- dllhost.exeProzesse anzuhalten
  3. Führen Sie einen ComboFix- Scan aus

In meinem Fall hat sich der Poweliks-Trojaner im HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}Schlüssel versteckt (was mit dem Thumbnail-Cache zu tun hat). Anscheinend führt der Zugriff auf diesen Schlüssel den Trojaner aus. Da Thumbnails häufig verwendet werden, wurde der Trojaner fast so schnell zum Leben erweckt, als hätte er einen tatsächlichen RUNEintrag in der Registrierung.

Weitere technische Details finden Sie in diesem TrendMicro- Blogbeitrag .

Ich sage Reinstate Monica
quelle
-1

Wenn Sie diese Art von forensischen Analysten zum Ausführen von Prozessen, Diensten, Netzwerkverbindungen usw. durchführen möchten, empfehlen wir Ihnen, auch ESET SysInspector zu verwenden. Es gibt Ihnen eine bessere Übersicht über das Ausführen von Dateien, außerdem können Sie nicht nur dllhost.exe sehen, sondern auch Dateien, die mit Argumenten für diese Datei verknüpft sind, Pfad für Autostartprogramme, ... Einige von ihnen können Dienste sein, es hat auch ihre Namen, Sie sehen es in einer schönen kolorierten Anwendung.

Ein großer Fortschritt ist, dass Sie auch AV-Ergebnisse für alle im Protokoll aufgeführten Dateien erhalten. Wenn Sie also ein infiziertes System haben, besteht eine große Chance, eine Quelle zu finden. Sie können hier auch ein XML-Protokoll veröffentlichen und wir können es überprüfen. Natürlich ist SysInspector Teil von ESET AV auf der Registerkarte Extras.

Dolmayan
quelle
Ich habe ESET SysInspector installiert und ausgeführt, aber es sagt mir nichts, was Process Explorer und Process Monitor mir bisher noch nicht gesagt haben, obwohl mir gefällt, wie SysInspector den Zugriff auf einige dieser Informationen erleichtert.
Ich sage Reinstate Monica