Security Lab

dllhost.exe

dllhost.exe

Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах.

Программа отвечает  за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.

Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален.  В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе, например:
 

    * W32/Lovelet-Y (%SystemRoot%\dllhost.com, %SystemRoot%\System32\dllhost.com) - этот червь копирует себя в 22 различных директории на вашем жестком диске, что усложняет его удаление.
    * W32/Nachi-A (%SystemRoot%\Wins) - Этот червь распространяется через RPC DCOM уязвимость в Windows XP.
    * W32/Rungbu-B (%SystemRoot%\setup\dllhost.com, %SystemRoot%\System32\dllhost.com) - жтот червь заражет .DOC файлы и распространяется по почтовым адресам в вашей адресной книге.
    * Troj/Sivion-A (%SystemRoot%\System32\System\dllhost.exe)
    * W32/Lovelet-DR (%SystemRoot%\System32\dllhost.dll)

В системе может быть запущено любое количество процессов с таким именем, это не означает что ваш компьютер заражен. Оданко dllhost  позволяет запускать COM+ DLL файлы, в результате злонамеренные DLL могут быть запущены внутри легитимного dllhost.exe процесса. Если процесс ведет себя необычно, необходимо более глубоко исследовать его повидение.

Часто встречающиеся проблемы:
 
  •             Dllhost.exe  использует всю доступную память с IIS - это может быть связана с некорректным скриптом, у которого существует утечка памяти. Перезапустите IIS и попытайтесь найти проблемный скрипт.
  •             Dllhost.exe использует 100% ресурсов CPU - проскольку dllhost.exe позволяет запускать COM+ DLL, такая проблема может быть связана с COM+ DLL. Удалите проблемный dllhost.exe  процесс и попробуйте определить источник проблемы.