dllhost.exeআমার উইন্ডোজ 7 কম্পিউটারে আমার একাধিক প্রক্রিয়া চলছে:

এই চিত্রটির প্রতিটি কমান্ড লাইন অনুপস্থিত (যা আমি ভাবছি তা) প্রয়োজনীয় /ProcessID:{000000000-0000-0000-0000-0000000000000}কমান্ড লাইন বিকল্পটি:

প্রশ্ন: এই প্রক্রিয়াটিতে আসলে কী চলছে তা আমি কীভাবে নির্ধারণ করতে পারি ?

এটি আমার বিশ্বাস যে আমি যদি এই dllhost.exeপ্রক্রিয়াগুলির মধ্যে কাজ করে প্রকৃত প্রয়োগটি সনাক্ত করতে পারি তবে আমি নির্ধারণ করতে সক্ষম হব যে আমার সিস্টেমে সংক্রামিত আছে কি না (নীচে দেখুন)।

আমি কেন জিজ্ঞাসা করছি / আমি কী চেষ্টা করেছি:

এই DLLHOST.EXEদৃষ্টান্তগুলি আমার কাছে সন্দেহজনক বলে মনে হচ্ছে। উদাহরণস্বরূপ, তাদের বেশিরভাগের প্রচুর ওপেন টিসিপি / আইপি সংযোগ রয়েছে:

প্রক্রিয়া মনিটরের শো এবং অযৌক্তিক পরিমাণ ক্রিয়াকলাপ। এর মধ্যে একটি মাত্র 3 মিনিটের মধ্যেই 124,390 টি ইভেন্ট তৈরি করেছে। বিষয়টিকে আরও খারাপ করার জন্য, এগুলির বেশ কয়েকটি dllhost.exeপ্রক্রিয়া ব্যবহারকারী এবং ফোল্ডারগুলিতে এলোমেলো চারটি অক্ষরের নাম সহ ফোল্ডার এবং ফাইল আকারে প্রতি মিনিটে প্রায় 280 এমবি ডেটা লিখছে । এর কয়েকটি ব্যবহারে রয়েছে এবং মোছা যাবে না। একটি ফিল্টার করা নমুনা এখানে:TEMPTemporary Internet Files

আমি জানি এটি সম্ভবত দূষিত। দুর্ভাগ্যক্রমে, কক্ষপথ থেকে সিস্টেমটি ব্লাস্টিং করা অবশ্যই অন্যান্য সমস্ত বিকল্প নিঃশেষ করার পরে করা উচিত। এই মুহুর্তে, আমি করেছি:

1. ম্যালওয়ারবিটস সম্পূর্ণ স্ক্যান
2. মাইক্রোসফ্ট সুরক্ষা প্রয়োজনীয় সম্পূর্ণ স্ক্যান
3. পুঙ্খানুপুঙ্খভাবে পর্যালোচনা Autoruns প্রয়োজন এবং পেশ ফাইল আমাকে চিনতে পারছেন না VirusTotal.com
4. পুরোপুরি হাইজ্যাকটি পর্যালোচনা করেছেন
5. টিডিএসএসকিলার স্ক্যান
6. এই সুপার ব্যবহারকারী প্রশ্ন পর্যালোচনা
7. এই নির্দেশাবলী অনুসরণ করেছেন: কোন অ্যাপ্লিকেশন কোনও COM + বা লেনদেন সার্ভার প্যাকেজের মধ্যে চলছে তা কীভাবে নির্ধারণ করা যায়
8. প্রতিটি DLLHOST.EXEপ্রক্রিয়াটির জন্য, আমি প্রসেস এক্সপ্লোরারে ডিএলএল এবং হ্যান্ডলস ভিউ .exe, .dllবা সন্দেহজনক যে কোনও কিছুর জন্য অন্যান্য অ্যাপ্লিকেশন-জাতীয় ফাইল পর্যালোচনা করেছি । যদিও সবকিছু চেক আউট হয়েছে।
9. রান ইএসইটি অনলাইন স্ক্যানার
10. মাইক্রোসফ্ট সুরক্ষা স্ক্যানার রান করুন
11. নিরাপদ মোডে বুট করা হয়েছে। কমান্ড স্যুইচ-কম dllhost.exeউদাহরণটি এখনও চলছে।

এবং কয়েকটি ছোট অ্যাডওয়্যার সনাক্তকরণ বাদে দূষিত কিছুই আপ পপ করছে না!

আপডেট 1
<<Removed as irrelevant>>

আপডেট 2 এর
ফলাফল SFC /SCANNOW:

আমি আমার কম্পিউটারে dllhost.exe দেখছি যেটা আপনার C:\Windows\System32কাছ থেকে চলছে C:\Windows\SysWOW64, যা কিছুটা সন্দেহজনক দেখাচ্ছে looks আপনার কম্পিউটারে কিছু 32-বিট পণ্য ইনস্টল হওয়ার পরেও সমস্যাটি দেখা দিতে পারে।
ইভেন্ট ভিউয়ারটিও দেখুন এবং কোনও সন্দেহজনক বার্তা এখানে পোস্ট করুন।

আমার অনুমান যে আপনি সংক্রামিত বা উইন্ডোজ খুব অস্থির হয়ে উঠেছে।

প্রথম পদক্ষেপটি সেফ মোডে বুট করার সময় সমস্যাটি উপস্থিত হয় কিনা তা দেখুন। যদি এটি সেখানে না পৌঁছে, তবে সমস্যাটি কিছু ইনস্টল করা পণ্য নিয়ে (সম্ভবত)।

যদি সমস্যাটি সেফ মোডে না আসে তবে সমস্যাটি উইন্ডোজ নিয়ে with সিস্টেমের সততা যাচাই করতে এসএফসি / স্ক্যানো চালানোর চেষ্টা করুন ।

যদি কোনও সমস্যা না পাওয়া যায় তবে স্ক্যান করুন:

• AdwCleaner
• ComboFix

যদি কিছু সাহায্য না করে তবে বুট-টাইম অ্যান্টিভাইরাস ব্যবহার করে দেখুন:

• Dr.Web
• এফ-সিকিউর
• পান্ডা

আসল সিডি জ্বালানো এড়াতে, বুট করার জন্য ইউএসবি কী-তে একের পর এক আইএসও ইনস্টল করতে উইন্ডোজ 7 ইউএসবি ডিভিডি ডাউনলোড সরঞ্জামটি ব্যবহার করুন।

যদি সমস্ত ব্যর্থ হয় এবং আপনার কোনও সংক্রমণের সন্দেহ হয়, তবে নিরাপদ সমাধানটি হ'ল ডিস্কটি ফর্ম্যাট করে উইন্ডোজ পুনরায় ইনস্টল করা, তবে অন্যান্য সমস্ত সম্ভাবনা প্রথমে চেষ্টা করুন।

এটি একটি ফাইলহীন, মেমরি-ইনজেকশন, ডিএলএল ট্রোজান!

আমাকে সঠিক দিকে ইশারা করার কৃতিত্ব @harrymc এর দিকে যায় তাই আমি তাকে উত্তর পতাকা এবং অনুগ্রহ দিয়েছি।

আমি যতদূর বলতে পারি, একটি যথাযথ উদাহরণের DLLHOST.EXEসর্বদা /ProcessID:স্যুইচ থাকে। এই প্রক্রিয়াগুলি হ'ল না কারণ তারা একটি .DLL সম্পাদন করছেন যা পাওলিক্স ট্রোজান দ্বারা সরাসরি মেমরিতে injুকিয়ে দেওয়া হয়েছিল ।

এই লিখনআপ অনুসারে :

... [পাভেলিকস] একটি এনক্রিপ্ট করা রেজিস্ট্রি মানতে সঞ্চয় করা থাকে এবং বুট করার সময় একটি এনআরপিড জাভাস্ক্রিপ্ট পেইলোডে একটি RUN কী কলিং rundll32 প্রক্রিয়া দ্বারা বুট করা হয়।

রেন্ডেল 32-এ একবার লোড হয়ে গেলে [এটি] পেইড লোড হয়ে যায়, এটি ইন্টারেক্টিভ মোডে (কোনও ইউআই নয়) একটি এম্বেডেড পাওয়ারশেল স্ক্রিপ্টটি চালানোর চেষ্টা করে। পাওয়ারশেল স্ক্রিপ্টগুলিতে একটি বেস 64-এনকোডেড পেওলড (অন্য একটি) রয়েছে যা একটি dllhost প্রক্রিয়াতে প্রবেশ করা হবে (অবিচ্ছিন্ন আইটেম), যা জম্বিফাইড হবে এবং অন্যান্য সংক্রমণের জন্য ট্রোজান ডাউনলোডার হিসাবে কাজ করবে।

উপরোক্ত রেফারেন্সযুক্ত নিবন্ধের শুরুতে উল্লিখিত হিসাবে, সাম্প্রতিক রূপগুলি (খনি অন্তর্ভুক্ত) HKEY_CURRENT_USER\...\RUNকী-তে প্রবেশ থেকে আর শুরু হয় না বরং পরিবর্তে হাইজ্যাক করা সিএলএসআইডি কীতে লুকানো থাকে। এবং এটি আরও শক্ত করে সনাক্ত করতে কোনও ডিস্কে কোনও ফাইল লিখিত নেই , কেবল এই রেজিস্ট্রি এন্ট্রি।

প্রকৃতপক্ষে (হ্যারিমিকের পরামর্শের জন্য ধন্যবাদ) আমি নিম্নলিখিতটি করে ট্রোজানটি পেয়েছি:

1. নিরাপদ মোডে বুট করুন
2. সমস্ত রুজ প্রক্রিয়া স্থগিত করতে প্রক্রিয়া এক্সপ্লোরার ব্যবহার করুনdllhost.exe
3. একটি কম্বোফিক্স স্ক্যান চালান

আমার ক্ষেত্রে পাভেলিক্স ট্রোজান HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}কী (যা থাম্বনেল ক্যাশে করা উচিত) এর মধ্যে লুকিয়ে ছিল । স্পষ্টতই যখন এই কীটি অ্যাক্সেস করা হয় তখন এটি ট্রোজান কার্যকর করে। যেহেতু থাম্বনেইলগুলি প্রচুর ব্যবহৃত হয় এটি ট্রোজানটির জীবনে প্রায় দ্রুত আসার সাথে প্রভাব ফেলেছিল যেমন RUNরেজিস্ট্রিতে এটির আসল প্রবেশ রয়েছে।

কিছু অতিরিক্ত প্রযুক্তিগত বিশদের জন্য, এই ট্রেন্ডমাইক্রো ব্লগ পোস্টটি দেখুন ।

আপনি যদি চলমান প্রক্রিয়া, পরিষেবাদি, নেটওয়ার্ক সংযোগ, এই জাতীয় ফরেনসিক বিশ্লেষক করতে চান ... আমি আপনাকে ইএসইটি সিসইনস্পেক্টর ব্যবহার করার পরামর্শ দিচ্ছি । এটি আপনাকে চলমান ফাইল সম্পর্কে আরও ভাল ধারণা দেয়, আপনি কেবলমাত্র dllhost.exe দেখতে পারবেন না, তবে এই ফাইলটির জন্য যুক্তিযুক্ত ফাইলগুলি, অটো স্টার্টআপ প্রোগ্রামগুলির পথ, ... তাদের মধ্যে কিছু পরিষেবা হতে পারে, এটি তাদের নামও নেয়, আপনি এটি সুন্দর বর্ণযুক্ত অ্যাপ্লিকেশনটিতে দেখেন।

একটি বড় অগ্রিম হ'ল এটি আপনাকে লগ তালিকাভুক্ত সমস্ত ফাইলের জন্য এভি ফলাফল দেয়, সুতরাং যদি আপনি সিস্টেমটি সংক্রামিত হন তবে উত্স খুঁজে পাওয়ার বড় সুযোগ রয়েছে। আপনি এখানে এক্সএমএল লগ পোস্ট করতে পারেন এবং আমরা এটি পরীক্ষা করতে পারি। অবশ্যই, সিসইনস্পেক্টর সরঞ্জাম ট্যাবে ইএসইটি এভি এর অংশ।