Windows a de nombreux processus en cours d’exécution en arrière-plan. Cette fois, nous allons jeter un oeil à dllhost.exe pour couvrir ses fonctions et risques.
Une lecture rapide du Gestionnaire des tâches sur n’importe quel système Windows révélera un processus appelé dllhost.exe en cours d’exécution en arrière-plan. Si vous l’avez trouvé, vous aimeriez probablement savoir ce qu’il fait et sa description de « COM Surrogate » et si c’est un processus sûr de fonctionner sur votre ordinateur. La bonne chose à considérer est qu’il est censé être là. Il s’agit d’un processus créé par Microsoft et est emballé dans chaque version du système d’exploitation Windows.
Il y a une petite chance que dllhost.exe pourrait être infecté par un virus. Cependant, si votre ordinateur est à jour avec tous les derniers correctifs de sécurité de Windows Update et que vous avez installé un antivirus tel que Microsoft Security Essentials, il est très peu probable que vous ayez des problèmes d’infection.
Qu’est-ce que COM+?
Pour comprendre ce que dllhost.exe fait, vous devez comprendre ce qu’est le service COM +. COM+ est l’abréviation de Component Object Model. Lorsque vous extrayez le processus / service dans Process Explorer, cela ne révèle pas grand-chose. La description du processus se lit comme suit:
Gère la configuration et le suivi des composants basés sur Component Object Model (COM)+. Si le service est arrêté, la plupart des composants basés sur COM+ ne fonctionneront pas correctement. Si ce service est désactivé, tous les services qui en dépendent explicitement ne démarreront pas.
Pour vraiment approfondir ce que fait le processus, nous devrons jeter un coup d’œil à la bibliothèque du centre de développement Microsoft. Et il révèle que COM+ est principalement utile pour les éléments suivants:
- Déploiement d’applications au niveau de l’entreprise pour l’ensemble d’un réseau.
- Fournir des composants préexistants pour le développement d’applications car COM+ est considéré comme une architecture de programmation orientée objet.
- Exécution d’un registre d’événements qui gère les demandes système, améliore la sécurité, déclenche des poignées de processus et crée des files d’attente de demandes de service pour les applications.
COM+ se compose de composants de blocs de construction qui se définissent eux-mêmes et qui jouent bien avec les autres. L’utilité en cela vient de la conception de composants partagés et réutilisés par de multiples applications. Non seulement cette conception réduit la demande de ressources système, mais elle améliore également la vitesse d’initialisation. Les modèles d’objets composants ne sont écrits dans aucun langage de programmation spécifique, cependant, il existe des classes distinctes pour chacun en fonction du langage de programmation prévu. Au niveau de l’entreprise, cela offre l’avantage d’un déploiement en masse avec un outil graphique créé par Microsoft appelé DCOM.
Dllhost.exe est un hôte pour les fichiers DLL et les exécutables binaires.
Une DLL (bibliothèque de liens dynamiques) est essentiellement un bloc de code de taille non spécifique stocké dans un seul fichier. Ce code peut être la composition d’une application, d’un service ou simplement un add-on pour une interface utilisateur graphique. Dllhost.exe, similaire à svchost.exe, est un service Windows requis pour tout code de programmation orienté COM +. Un exemple de ce que dllhost.les exécutions exe sont affichées ci-dessous à l’aide de Process Monitor, qui comprend les deux.dll et.types de fichiers exe.
Risques
Dllhost.exe est généralement sûr tant que l’ordinateur est à jour sur tous les correctifs de sécurité et qu’un antivirus fiable est installé. Si vous le voyez aux endroits suivants, vous êtes en sécurité:
- L’emplacement officiel du répertoire pour ce processus est C:\Windows\System32\dllhost .exe
- Dllhst3g est également un processus Windows valide stocké dans le même dossier System32.
Si dllhost.exe apparaît partout ailleurs, il s’agit probablement d’un virus. Certains virus de ver imitent le nom de dllhost et se stockent dans le dossier System32. Voici quelques exemples:
- Worm/Loveelet-Y se stocke dans /Windows/System32/as dllhost.com
- Worm/Loveelet-DR se stocke dans /Windows/System32/ en tant que dllhost.dll
Utilisation élevée du processeur
Une faille de sécurité possible dans la conception du système COM+ est qu’elle permet à toute DLL stockée sur le système de s’exécuter, en supposant que le déclencheur l’initie les autorisations requises. Cela signifie que lorsque vous voyez une utilisation élevée du processeur pour dllhost.exe ce n’est probablement pas le processus hôte à l’origine du problème, mais plutôt une DLL chargée s’exécutant sur l’hôte. Vous pouvez utiliser un programme tel que Process Explorer pour approfondir vos recherches.
