What is the “DLLHOST.EXE” Process Actually Running
If you’ve been reading my recent blog posts, you’ll notice that I’ve taken an interest in windows processes. If you haven’t yet check my two recent posts on “svchost.exe” and “rundll32.exe”. Please do.
A Deep Dive Into RUNDLL32.EXE
Understanding “rundll32.exe” command line arguments
Continuing with the same theme, today we’ll be taking a look at “dllhost.exe” and answering the simple question.
“What is the DLLHOST.EXE process actually running”
Before we can answer this question, let’s first take a little detour and understand a little bit about COM.
Component Object Model (COM)
Let’s start with a definition from MSDN about COM.
The Microsoft Component Object Model (COM) is a platform-independent, distributed, object-oriented system for creating binary software components that can interact. COM is the foundation technology for Microsoft’s OLE (compound documents), ActiveX (Internet-enabled components), as well as others. — MSDN
In other words, COM provides a mechanism for developers to create and control objects (components) that can be used by and from applications, frameworks and the OS itself (I.e Code Reusability). It also allows inter-process communication even across machines and networks with (DCOM) and all of this while being language agnostic.
At the basic level, COM defines a COM Component that can contain multiple COM objects which they contain one or multiple interfaces.
COM objects and interfaces are registered in the windows registry under the following registry key.
“All users” and “Users” specific settings are stored in the following keys respectively
Inside these CLSID keys you’ll see sub keys containing the word “Server” that’s because COM communication is modeled after a Client/Server architecture.
The client is any application requesting a COM Object (CLSID) from the system, the server requests are handled by the Service Control Manager (SCM). (See figure below)
- Client request a COM Object
- The SCM locates the COM object on the registry via its CLSID
- The SCM then makes a request to the server (be it local or remote) and grab a reference to the COM class.
- The SCM passes the reference back to the client, which he can use to create the object.
For more information about COM and its technical details, please refer to MSDN.
COM Technical Overview — Win32 apps
This topic provides an overview of the Microsoft Component Object Model (COM): The Microsoft Component Object Model…
COM Registry Keys (CLSID / ProgID / AppID)
Now with that little introduction into COM is out of the way, let’s talk about some important registry keys that are related to COM.
CLSID
As mentioned before the CLSID is a globally unique identifier that identifies a COM object. It contains a reference to the “server” (file on disk) that’ll implement the requested class.
Its “InProcServer32” in the case of a DLL object, and “LocalServer32” in the case of an executable object.
ProgID
Is another way to identify a COM object but with less precision as it’s not guaranteed to be unique. (Note that this is an optional key)
AppId
The AppID is a key that groups the configuration of one or more (D)COM objects.
Let’s illustrate all of this with an example and let’s take the “Thumbnail Cache Class Factory”
The COM factory is registered and can be found in the registry via its CLSID and since this object is designed to run as a DLL you’ll notice the “InprocServer32” key that contain a reference to the DLL that will get loaded when this object is requested.
You’ll also notice that this object contains an AppID key which contain the configuration and permissions in which this object will get run.
And that’s how a typical object is laid out in the registry in the general case.
DLL Surrogate
Now that we understand a little bit more about how things work in COM. Let’s ask the following question.
What if we used a COM Object that’s running inside our process as a DLL and it crashes? Well the short answer is, the whole process will crash. That’s exactly what was happening to our poor friend explorer back in the day.
“explorer.exe” was using a COM object to compute folder thumbnails, but as the COM object crashed for whatever reason, it took the parent process down with it.
To solve this issue, Microsoft created the COM SURROGATE process.
COM Surrogate (DLLHOST.EXE)
Here is a description of the COM Surrogate process from the official Microsoft blog “The Old New Thing”
The COM Surrogate is the I don’t feel good about this code, so I’m going to ask COM to host it in another process — Old New Thing
In short we can host COM Objects in a standalone process called “dllhost.exe” that runs, as the name suggest DLL’s.
All you need is a value of type “REG_SZ” in the AppId key called “DllSurrogate” set to an empty string or NULL.
And when the system requests the DLL it’ll launch the default surrogate process (which is “dllhost.exe”) and you’ll see something like the following in your process tree or logs.
Where the “Processid” flag represents the CLSID / AppId of a COM object.
DLLHOST & Malware
As one may suspect, the “dllhost.exe” process has been used by malware in the past (especially trickbot).
One of the use cases is the usage of the CMSTP COM Interfaces such as CMSTPLUA and CMLUAUTIL to bypass UAC (User Account Control).
So always monitor what’s being passed to a “DLLHOST.EXE” process and make sure that the COM interface is not hijacked or being used maliciously.
Conclusion
This conclude our discussion on “dllhost.exe”. I hope you enjoyed reading and that you learned something along the way.
Please if you have any feedback or suggestions regarding this topic or any other send them my way on twitter @nas_bench
dllhost.exe процесс что делает?
Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.
Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе, например:
* W32/Lovelet-Y (%SystemRoot%\dllhost.com, %SystemRoot%\System32\dllhost.com) — этот червь копирует себя в 22 различных директории на вашем жестком диске, что усложняет его удаление.
* W32/Nachi-A (%SystemRoot%\Wins) — Этот червь распространяется через RPC DCOM уязвимость в Windows XP.
* W32/Rungbu-B (%SystemRoot%\setup\dllhost.com, %SystemRoot%\System32\dllhost.com) — жтот червь заражет .DOC файлы и распространяется по почтовым адресам в вашей адресной книге.
* Troj/Sivion-A (%SystemRoot%\System32\System\dllhost.exe)
* W32/Lovelet-DR (%SystemRoot%\System32\dllhost.dll)
В системе может быть запущено любое количество процессов с таким именем, это не означает что ваш компьютер заражен. Оданко dllhost позволяет запускать COM+ DLL файлы, в результате злонамеренные DLL могут быть запущены внутри легитимного dllhost.exe процесса. Если процесс ведет себя необычно, необходимо более глубоко исследовать его повидение.
Часто встречающиеся проблемы:
Dllhost.exe использует всю доступную память с IIS — это может быть связана с некорректным скриптом, у которого существует утечка памяти. Перезапустите IIS и попытайтесь найти проблемный скрипт.
Dllhost.exe использует 100% ресурсов CPU — проскольку dllhost.exe позволяет запускать COM+ DLL, такая проблема может быть связана с COM+ DLL. Удалите проблемный dllhost.exe процесс и попробуйте определить источник проблемы.
«Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. «
Обалденно, сейчас все обладатели 64 битных ОС завалят свою систему удалив этот файл из C:\Windows\sysWOW64\
Вот ответ всезнайки Гугля :
1) Это ЧЕРВЬ ( троянец )
2) НЕПОСРЕДСТВЕННО ПО ВОПРОСУ :
Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.
Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе, например:
* W32/Lovelet-Y (%SystemRoot%\dllhost.com, %SystemRoot%\System32\dllhost.com) — этот червь копирует себя в 22 различных директории на вашем жестком диске, что усложняет его удаление.
* W32/Nachi-A (%SystemRoot%\Wins) — Этот червь распространяется через RPC DCOM уязвимость в Windows XP.
* W32/Rungbu-B (%SystemRoot%\setup\dllhost.com, %SystemRoot%\System32\dllhost.com) — жтот червь заражет .DOC файлы и распространяется по почтовым адресам в вашей адресной книге.
* Troj/Sivion-A (%SystemRoot%\System32\System\dllhost.exe)
* W32/Lovelet-DR (%SystemRoot%\System32\dllhost.dll)
В системе может быть запущено любое количество процессов с таким именем, это не означает что ваш компьютер заражен. Оданко dllhost позволяет запускать COM+ DLL файлы, в результате злонамеренные DLL могут быть запущены внутри легитимного dllhost.exe процесса. Если процесс ведет себя необычно, необходимо более глубоко исследовать его повидение.
Часто встречающиеся проблемы:
Dllhost.exe использует всю доступную память с IIS — это может быть связана с некорректным скриптом, у которого существует утечка памяти. Перезапустите IIS и попытайтесь найти проблемный скрипт.
Dllhost.exe использует 100% ресурсов CPU — проскольку dllhost.exe позволяет запускать COM+ DLL, такая проблема может быть связана с COM+ DLL. Удалите проблемный dllhost.exe процесс и попробуйте определить источник проблемы.
Хм, этот суррогат ком уже много кому попортил нервы и прикол в том, что у каждого решение в итоге нашлось свое. Что делать конкретно вам не могу сказать но посоветую прочесть эту статью вполне может быть что поможет:
Имелась такая же проблема, используй mwfix
Исправлено: высокая загрузка ЦП и ОЗУ из-за dllhost.exe.
Многие пользователи сообщают о проблемах частого использования, связанных с процессом dllhost.exe . Хотя большинство проблем с частым использованием, вызванных dllhost.exe , связаны с поврежденным профилем пользователя Windows, проблема также может быть признаком заражения системы.
Что такое dllhost.exe ?
Dllhost.exe (хост-процесс DCOM DLL) – это законный процесс Windows, созданный Microsoft. Он отвечает за управление процессами, сгруппированными в Internet Information Services (IIS). Помимо загрузки среды выполнения .NET, она обычно используется множеством других программ. Вот почему вы можете встретить несколько экземпляров процесса DLLhost.exe внутри Диспетчера задач .
Думайте о dllhost.exe как о хосте для некоторых двоичных исполняемых файлов и файлов DLL. Большинство пользователей ошибочно винят dllhost.exe в высокой загрузке ЦП или ОЗУ. В большинстве случаев проблему вызывает не хост-процесс, а загруженный файл DLL, который в настоящее время использует dllhost.exe.
По умолчанию dllhost.exe находится в C: Windows System32 . Давайте посмотрим, находится ли процесс DLLhost.exe , который потребляет много системных ресурсов, в правильном месте, открыв Диспетчер задач (Ctrl + Shift + Esc) . Но сначала в Диспетчере задач перейдите на вкладку Процессы и обратите внимание на имя DLLhost.exe . Если после имени стоит «* 32» и вы видите более 4 процессов с одним и тем же именем, скорее всего, вы имеете дело с вирусом.
Вы можете подтвердить, что это вирус, с помощью просмотр его местоположения. Сделайте это, щелкнув его правой кнопкой мыши и выбрав Открыть расположение файла . Если dllhost.exe находится не в C: Windows System32 или c: winnt system32 , Вы наверняка имеете дело с каким-то вирусом или рекламным ПО. В этом случае сразу переходите к методу 1 , чтобы избавиться от инфекции.
Как исправить высокую загрузку ЦП или ОЗУ, вызванную dllhost .exe
Если вы в настоящее время боретесь с высокой загрузкой ЦП и ОЗУ, вызванной процессом dllhost.exe , вам помогут следующие методы. Нам удалось определить набор методов, которые позволили пользователям в аналогичной ситуации полностью решить проблему. Выполняйте каждое исправление по порядку, пока не встретите то, которое поможет решить вашу проблему.
Примечание. Если вы абсолютно уверены, что не имеете дело вирусная инфекция, вы можете сразу перейти к способу 2 .
Метод 1. Сканирование системы на наличие инфекций
Даже если вы не подозреваете, что ваша система борется с заражение вредоносным ПО (или у вас нет никаких симптомов), все равно стоит просканировать его с помощью мощного сканера безопасности.
Существует приличное количество вирусов, которые будут использовать dllhost.exe для распространения инфекции по системе. Как правило, большое количество файлов dllhost.exe с окончанием «* 32», которые все используют заметные ресурсы ЦП, является явным индикатором того, что процесс COM Surrogate используется вредоносным приложением. .
Вот краткий список вирусов, которые, как известно, делают свою грязную работу через процесс COM Surrogate :
- Artemis! 895C95A0B930
- Win64: вредоносное ПО -gen
- Червь/Nachi.A.1
- Червь /Loveelet-Y
- Червь/Loveelet-DR
Примечание. Некоторые из этих заражений заставят ваши системные ресурсы работать путем майнинга различных криптовалют.
Чтобы справиться с заражением, мы рекомендуем сканировать вашу систему с помощью мощный сканер безопасности. Для достижения наилучших результатов рассмотрите возможность использования сканера безопасности или Malwarebytes и обязательно выполните полное сканирование (глубокое сканирование) . Если вам нужны дальнейшие инструкции, воспользуйтесь нашей подробной статьей ( здесь ) об установке и запуске полного сканирования с помощью Malwarebytes.
После завершения сканирования перезагрузите компьютер. ваша система независимо от результата. Если сканер безопасности не смог снизить потребление ресурсов, перейдите к методу 2 .
Метод 2: Использование t Инструмент проверки системных файлов
Высокое использование ресурсов dllhost.exe вполне может быть вызвано повреждением системы. Некоторые пользователи сообщают, что им удалось успешно решить проблему после запуска проверки системных файлов в своей системе.
Проверка системных файлов ( SFC) – это служебная программа Windows, которая сканирует и автоматически устраняет повреждения в системных файлах Windows. Это достигается путем замены каждого поврежденного файла файлом из локальной резервной копии.
Вот краткое руководство по запуску сканирования SFC , чтобы решить проблему с высоким использованием ресурсов, вызванную dllhost.exe :
- Нажмите клавишу Win , чтобы получить доступ на панели запуска Windows и введите « cmd «. Затем щелкните правой кнопкой мыши командную строку и выберите Запуск от имени администратора , чтобы открыть командную строку с повышенными привилегиями.
- В расширенной командной строке введите следующую команду и нажмите Enter. Это запустит сканирование DISM, которое использует Центр обновления Windows для извлечения файлов, необходимых для замены поврежденных. Перед запуском процесса убедитесь, что у вас стабильное подключение к Интернету.
DISM.exe/Online/Cleanup-image/Restorehealth - процесс завершен, введите « sfc/scannow» и нажмите Enter , чтобы просканировать защищенные системные файлы и заменить поврежденные файлы новой копией из локальной резервной копии.
sfc/scannow - Не закрывайте командную строку с повышенными привилегиями, пока сканирование не достигнет 100%. После завершения процесса закройте его и перезагрузите систему.
Метод 3. Создание новой учетной записи пользователя Windows
Некоторым пользователям удалось подтвердить, что проблема связана с поврежденным профилем учетной записи Windows. В их случаях проблема была решена после того, как они успешно создали новую учетную запись пользователя с административными привилегиями и начали использовать ее вместо своей обычной учетной записи.
Вот как вы можете это сделать:
Примечание. Имейте в виду, что процесс создания новой учетной записи пользователя Windows будет отличаться в зависимости от вашей версии Windows. Если у вас более старая версия Windows, следуйте второму руководству.
Для пользователей Windows 10
- Нажмите клавишу Windows + R , чтобы открыть окно «Выполнить». Затем введите « ms-settings: otherusers » и нажмите Enter , чтобы открыть вкладку Семья и другие люди в Настройки учетной записи .
- В Семья и другие люди нажмите Добавить кого-нибудь на этот компьютер (в разделе Другие люди ).
- Затем введите имя, пароль и подсказку для пароля, следуя подсказкам на экране. Затем нажмите Далее , чтобы завершить процесс создания нового пользователя.
- После создания нового пользователя перезагрузите компьютер, войдите в свою новую учетную запись и посмотрите, улучшилось ли использование ресурсов dllhost.exe . Если вы по-прежнему испытываете то же поведение, перейдите к последнему методу.
Для пользователей Windows 7
- Нажмите кнопку «Пуск» (или нажмите клавишу Win ) и введите « mmc », чтобы найти Консоль управления Microsoft . Затем щелкните правой кнопкой мыши Консоль управления Microsoft и выберите Запуск от имени администратора .
- В консоли управления Microsoft перейдите на ленту вверху, нажмите Файл и затем выберите Добавить/удалить ремешок …
- В окне Добавить или удалить оснастки нажмите Локальные пользователи и группы , чтобы выбрать его, затем нажмите Добавить .
- В Выбрать целевую машину выберите Локальный компьютер и нажмите кнопку Готово .
- Как только запись Локальные пользователи и группы (локальные) появится в разделе Выбранные оснастки, нажмите кнопку OK , чтобы закрыть окно.
- Затем дважды щелкните Локальные пользователи и группы (локальные) , затем дважды щелкните Пользователи . Затем используйте меню действий с правой стороны и нажмите Новый пользователь .
- В окне Новый пользователь введите Имя пользователя и другие необязательные учетные данные и нажмите Кнопка “Создать” .
- Как только новый пользователь был создан, вы можете закрыть консоль управления Microsoft и перезагрузить компьютер.
- При следующем перезапуске войдите в систему, используя только что созданную учетную запись пользователя, и посмотрите, Снижена высокая загрузка ЦП и ОЗУ dllhost.exe . В случае успеха вы можете вернуться в Microsoft Management Console и удалить поврежденный профиль пользователя, который вы больше не используете.
Метод 4. Выполнение восстановления системы
Если все вышеперечисленные методы оказались неэффективными в снижении использования ресурсов dllhost.exe, у вас есть последний шанс решить проблему перед выполнением сброса.
Некоторым пользователям удалось успешно решить проблему после использования предыдущей точки восстановления системы, чтобы вернуть машину в состояние, в котором она работала должным образом.
Следуйте приведенным ниже инструкциям для шагов по возврату вашего компьютера к предыдущей точке восстановления системы:
- Нажмите Клавиша Windows + R , чтобы открыть команду «Выполнить». В открывшемся окне «Выполнить» введите « rstrui » и нажмите Enter , чтобы открыть мастер восстановления системы .
- На следующем экране выберите Выбрать другую точку восстановления и нажмите кнопку Далее .
- Выберите точку восстановления, которая датирована до того, как вы начали сильно использовать ресурсы, и снова нажмите кнопку Далее .
- Затем нажмите кнопку Finish , чтобы начать процесс восстановления, и дождитесь компьютер для перезагрузки. При следующем запуске вы больше не должны испытывать чрезмерное использование ресурсов, вызванное процессом dllhost.exe .
Почему COM Surrogate (dllhost.exe) грузит процессор – что делать?
При значительном снижении производительности системы в Диспетчере задач замечаем процесс dllhost.exe, который чрезмерно грузит процессор и оперативную память. Во многих случаях проблема указывает на поврежденную учетную запись пользователя, а также является признаком заражения системы.
Dllhost.exe – что это за процесс?
Dllhost.exe – это системный процесс Windows, предназначенный для обработки COM объектов. Кроме этого, отвечает за управление процессами, сгруппированными в Internet Information Services (IIS), участвует в загрузке среды выполнения «.NET», а также управляет программами, использующими библиотеки DLL. Вот почему можно столкнуться с несколькими одновременно выполняющимися процессами COM Surrogate (dllhost.exe) в Диспетчере задач.
В общем dllhost.exe -это хост для некоторых исполняемых файлов и библиотек DLL. Многие ошибочно считают его источником высокой нагрузки на процессор и оперативную память. Причиной проблемы является не хост-процесс, а загруженный файл DLL, который ее использует в текущий момент.
По умолчанию dllhost.exe находится в папке C:\Windows\System32. Поэтому когда процесс начинает чрезмерно грузить ресурсы системы, в первую очередь проверьте, находится ли он в этой папке с помощью Диспетчера задач. Откройте последний нажатием на Ctrl + Shift + Esc и на вкладке Процессы найдите COM Surrogate. Если запущено более 4 процессов и в конце присутствует «*32», скорее всего, имеете дело с вирусом.
Чтобы проверить, посмотрите, где находится файл. Щелкните правой кнопкой мыши на процессе и выберите пункт «Открыть расположение файла». Если он расположен в другом месте, то, скорее всего, сталкиваетесь с вредоносным или рекламным программным обеспечением.
Проверка компьютера на вирусы
Существует много вирусов, которые могут маскироваться под системные процессы для распространения вредоносного кода. Если видите много запущенных dllhost.exe с окончанием «*32», которые сильно грузят процессор, то это указывает на то, что под процессом COM Surrogate работает вредоносное приложение.
Вот список вирусов, которые скрываются под COM Surrogate: Artemis!895C95A0B930, Worm/Loveelet-DR, Win64:Malware-gen, Worm/Nachi.A1.
Некоторые из них заставляют работать системные ресурсы путем майнинга для различных криптовалют. Поэтому проверьте Windows мощным сканером безопасности. Среди бесплатных антивирусов рекомендуется использование Malwarebytes, которым можно выполнить полное сканирование.
После завершения сканирования перезагрузите компьютера независимо от результата. Если COM Surrogate продолжает грузить ресурсы процессора и ОЗУ, перейдите к следующему способу.
Запуск средства проверки системных файлов
Высокая нагрузка на процессор, создаваемая процессом dllhost.exe, может произойти в результате повреждения системных файлов. Для этого проверим целостность ОС командами SFC и DISM. Первая в случае обнаружения поврежденных компонентов перезаписывает их рабочими копиями из локального хранилища.
Откройте командную путем введения «cmd» в поле поиска Windows и последующим запуском найденного результата с правами администратора.
В консоли выполните команду:
Сканирование может занять продолжительное время, не прерываете его и дождитесь завершения. После запустите утилиту DISM, которая использует внешние сервера Майкрософта для загрузки копий, требуемых для замены поврежденных. Поэтому перед запуском подключитесь к интернету и выполните команду:
DISM.exe /Online /Cleanup-image /Restorehealth
Не закрывайте командную строку, пока сканирование не достигнет 100%.
Создание новой учетной записи
Во многих случаях нагрузка, создаваемая процессом COM Surrogate, связана с поврежденным профилем пользователя. Поэтому попробуйте создать новую учетную запись и проверьте, грузит ли процесс COM Surrogate ресурсы оперативной памяти и процессора.
Если используете Windows 10, перейдите на вкладку «Семья и другие пользователи» командой ms-settings:otherusers из диалогового окна Win + R.
Нажмите на плюс, чтобы добавить пользователя для этого компьютера и следуйте инструкциям мастера создания учетной записи. В следующем окне кликните на ссылку «У меня нет данных для входа этого человека». Затем добавьте пользователя без данных Майкрософт, введите логин и пароль и подтвердите создание новой учетной записи.
После перезагрузите компьютер и войдите в систему под вновь созданным профилем. Проверьте в Диспетчере задач, грузит ли dllhost.exe системные ресурсы, в частности, процессор и память.
Если используете Windows 7, введите в строке системного поиска mmc и перейдите в консоль управления Microsoft с правами администратора.
Перейдите в меню Файл – Добавить/удалить оснастку.
В окне «Оснастка» выберите пункт «Локальные группы и пользователи», затем щелкните на «Добавить».
В открывшемся окне укажите локальный компьютер и нажмите на «Готово».
Если под выбранными оснастками появилась добавленная запись кликните на «ОК», чтобы закрыть окно. В левой панели кликните на «Локальные пользователи и группы», затем на «Пользователи». Затем перейдите в верхнее меню «Действие» и выберите пункт «Новый пользователь».
Введите данные для нового профиля и нажмите на «Создать». После перезагрузите компьютер и войдите в новую учетную запись. Если нагрузка на процессор снизилась до нормальной, перенесите личные данные в новый профиль.
Восстановление системы
Если dllhost.exe продолжает грузить процессор, попробуйте вернуть систему в предыдущее состояние до точки, которая была создана до возникновения высокой нагрузки на ресурсы.
Откройте мастера восстановления командой rstrui из окна Win + R.
На втором экране выберите снимок системы, который был создан до начала интенсивного использования процессора и оперативной памяти.
В следующем окне нажмите на «Готово», чтобы запустить процесс восстановления. После автоматической перезагрузки ОС будет возвращена в предыдущее состояние. Если не удалось восстановить, повторите процесс и выберите другую точку. После проверьте, вернулась ли нагрузка на ЦП, создаваемая COM Surrogate, в нормальное состояние.