dllhost.exeWindows 7コンピューターで複数のプロセスを実行しています：

これらの画像のコマンドラインにはすべて、必要な/ProcessID:{000000000-0000-0000-0000-0000000000000}コマンドラインオプションがありません（私が考えていることです）。

質問：このプロセスで実際に実行されているものを確認するにはどうすればよいですか？

これらのdllhost.exeプロセス内で作業を行っている実際のアプリケーションを特定できれば、システムが感染しているかどうかを判断できると信じています（以下を参照）。

質問する理由/試したこと：

これらのDLLHOST.EXEインスタンスは私には疑わしいようです。たとえば、それらのいくつかには、多くのオープンTCP / IP接続があります。

モニター・プロセスショーや不条理な活動量を。これらのプロセスの1つだけで、3分以内に124,390個のイベントが生成されました。さらに悪いことに、これらのdllhost.exeプロセスのいくつかは、ランダムな4文字の名前を持つフォルダーおよびファイルの形式で、ユーザーおよびフォルダーに毎分約280 MBのデータを書き込みます。これらの一部は使用中であり、削除できません。これがフィルター処理されたサンプルです。TEMPTemporary Internet Files

これはおそらく悪意があることを知っています。残念ながら、軌道からシステムを爆破するのは、他のすべてのオプションを使い果たした後にのみ行う必要があります。その時点で、私はやった：

1. Malwarebytesフルスキャン
2. Microsoft Security Essentialsフルスキャン
3. VirusTotal.comに認識されない自動実行と送信されたファイルを徹底的に確認しました
4. HijackThisを徹底的にレビューしました
5. TDSSKillerスキャン
6. 投稿このスーパーユーザの質問を
7. 次の指示に従いました。COM+またはTransaction Serverパッケージ内で実行されているアプリケーションを特定する方法
8. 各DLLHOST.EXEプロセスについて、Process ExplorerのDLLおよびHandlesビューを調べ.exe、.dll疑わしいものがないか他のアプリケーションタイプのファイルを調べました。しかし、すべてがチェックアウトされました。
9. 蘭ESETオンラインスキャナ
10. Microsoft Safety Scannerを実行しました
11. セーフモードで起動します。コマンドスイッチレスdllhost.exeインスタンスはまだ実行中です。

そして、いくつかのマイナーなアドウェアの検出を除いて、悪意のあるものは何も現れません！

アップデート1
<<Removed as irrelevant>>

更新2の
結果SFC /SCANNOW：

私のコンピューターではC:\Windows\System32、から実行されているdllhost.exeがから実行されてC:\Windows\SysWOW64いますが、から実行されているが 、やや疑わしいようです。ただし、コンピューターにインストールされている32ビット製品が原因で問題が引き続き発生する可能性があります。
イベントビューアも確認し、疑わしいメッセージがあればここに投稿してください。

私の推測では、あなたは感染しているか、Windowsは非常に不安定になっていると思います。

最初の手順は、セーフモードで起動したときに問題が発生するかどうかを確認することです。そこに届かない場合は、インストールされている製品に問題がある可能性があります。

問題がセーフモードで発生した場合、問題はWindowsにあります。sfc / scannowを実行して、システムの整合性を確認してください。

問題が見つからない場合は、次を使用してスキャンします。

• AdwCleaner
• ComboFix

何も解決しない場合は、次のような起動時のウイルス対策を試してください。

• Dr.Web
• エフセキュア
• パンダ

実際のCDの書き込みを回避するには、Windows 7 USB DVDダウンロードツールを使用して、起動するUSB​​キーにISOを1つずつインストールします。

すべてが失敗し、感染の疑いがある場合、最も安全な解決策はディスクをフォーマットし、Windowsを再インストールすることですが、他のすべての可能性を最初に試してください。

ファイルレス、メモリ注入型DLLトロイの木馬です！

私を正しい方向に向けた功績は@harrymcにあるので、私は彼に返事フラグと賞金を授与しました。

私が知る限り、の適切なインスタンスにはDLLHOST.EXE常に/ProcessID:スイッチがあります。これらのプロセスは、Poweliksトロイの木馬によってメモリに直接注入された.DLLを実行しているため、そうではありません。

この記事によると：

... [Poweliks]は暗号化されたレジストリ値に格納され、暗号化されたJavaScriptペイロードでrundll32プロセスを呼び出すRUNキーによって起動時にロードされます。

rundll32にペイロードが読み込まれると、埋め込まれたPowerShellスクリプトを対話モード（UIなし）で実行しようとします。このPowerShellスクリプトには、dllhostプロセス（永続アイテム）に注入されるbase64エンコードペイロード（別のペイロード）が含まれています。

上記の記事の冒頭で述べたように、最近の亜種（私のものを含む）はHKEY_CURRENT_USER\...\RUNキーのエントリから開始するのではなく、ハイジャックされたCLSIDキーに隠されています。また、ディスクに書き込まれたファイルがなく、これらのレジストリエントリのみを検出することをさらに困難にします。

確かに（harrymcの提案のおかげで）次の操作を行ってトロイの木馬を見つけました。

1. セーフモードで起動する
2. プロセスエクスプローラーを使用するを、すべての不正なdllhost.exeプロセスを一時停止します
3. ComboFixスキャンを実行する

私の場合、Poweliksトロイの木馬はHKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}キーに隠れていました（これはサムネイルキャッシュに関係しています）。このキーにアクセスすると、明らかにトロイの木馬を実行します。サムネイルは頻繁に使用されるため、これはトロイの木馬が実際のRUNレジストリにエントリました。

その他の技術的な詳細については、このTrendMicro ブログ投稿を参照してください。

実行中のプロセス、サービス、ネットワーク接続などのフォレンジックアナリストを行いたい場合は、ESET SysInspectorも使用することをお勧めします。 実行中のファイルに関するより良いビューを提供します。また、dllhost.exeだけでなく、このファイルの引数、自動起動プログラムのパスにリンクされたファイルも表示できます。あなたは素敵な色付けされたアプリケーションでそれを見る。

1つの大きな進歩は、ログにリストされているすべてのファイルのAV結果も提供することです。そのため、システムに感染している場合、ソースを見つける大きなチャンスがあります。ここにxmlログを投稿して、確認することもできます。もちろん、SysInspectorは[ツール]タブのESET AVの一部です。