Was ist dllhost.exe und warum wird es ausgeführt?

Eine schnelle Durchsicht des Task-Managers auf jedem Windows-System zeigt einen Prozess namens dllhost.exe, der im Hintergrund läuft. Wenn Sie das gefunden haben, möchten Sie wahrscheinlich wissen, was es und seine Beschreibung von „COM Surrogate“ tun und ob es ein sicherer Prozess ist, auf Ihrem Computer ausgeführt zu werden oder nicht. Das Gute ist, dass es da sein soll. Dies ist ein von Microsoft erstellter Prozess, der in jeder Version des Windows-Betriebssystems enthalten ist.

Es besteht eine geringe Wahrscheinlichkeit, dass dllhost.exe von einem Virus infiziert wird. Wenn Ihr Computer jedoch mit den neuesten Sicherheitspatches von Windows Update auf dem neuesten Stand ist und Sie ein Antivirenprogramm wie Microsoft Security Essentials installiert haben, ist es sehr unwahrscheinlich, dass Sie Probleme mit einer Infektion haben.

Was ist COM+?

Um zu verstehen, was dllhost.exe tut, müssen Sie verstehen, was der COM+-Dienst ist. COM+ ist die Abkürzung für Component Object Model . Beim Aufrufen des Prozesses/Dienstes im Process Explorer wird nicht viel angezeigt. Die Prozessbeschreibung lautet:

Manages the configuration and tracking of Component Object Model (COM)+-based components. If the service is stopped, most COM+-based components will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Um wirklich in die Funktionsweise des Prozesses einzutauchen, müssen wir einen Blick auf die Microsoft Dev Center-Bibliothek werfen . Und es zeigt, dass COM+ hauptsächlich für Folgendes nützlich ist:

• Bereitstellung von Anwendungen auf Unternehmensebene für ein gesamtes Netzwerk.
• Bereitstellung bereits vorhandener Komponenten für die Anwendungsentwicklung, da COM+ als objektorientierte Programmierarchitektur gilt.
• Ausführen einer Ereignisregistrierung, die Systemanforderungen verarbeitet, die Sicherheit erhöht, Prozesshandles auslöst und Dienstanforderungswarteschlangen für Anwendungen erstellt.

COM+ besteht aus Bausteinkomponenten, die sich selbst definieren und gut mit anderen zusammenarbeiten. Der Nutzen dabei ergibt sich aus dem Design von Komponenten, die von mehreren Anwendungen gemeinsam genutzt und wiederverwendet werden. Dieses Design verringert nicht nur den Bedarf an Systemressourcen, sondern verbessert auch die Initialisierungsgeschwindigkeit. Die Objektmodelle der Komponenten sind nicht in einer bestimmten Programmiersprache geschrieben, es gibt jedoch separate Klassen für jedes, abhängig von der beabsichtigten Programmiersprache. Auf Unternehmensebene bietet dies den Vorteil der Massenbereitstellung mit einem von Microsoft erstellten GUI-Tool namens DCOM .

Dllhost.exe ist ein Host für DLL-Dateien und binäre ausführbare Dateien.

Eine DLL (Dynamic Link Library) ist im Wesentlichen ein größenunspezifischer Codeblock, der in einer einzigen Datei gespeichert ist. Dieser Code kann den Aufbau einer Anwendung, eines Dienstes oder einfach nur ein Add-On für eine grafische Benutzeroberfläche darstellen. Dllhost.exe ist ähnlich wie svchost.exe ein erforderlicher Windows-Dienst für jeden COM+-orientierten Programmiercode. Ein Beispiel dafür, was dllhost.exe ausführt, wird unten mit Process Monitor gezeigt, der sowohl .dll- als auch .exe-Dateitypen enthält.

Risiken

Dllhost.exe ist normalerweise sicher, solange der Computer mit allen Sicherheitspatches auf dem neuesten Stand ist und ein zuverlässiger Virenschutz installiert ist. Wenn Sie es an den folgenden Orten sehen, sind Sie sicher:

• Der offizielle Verzeichnisspeicherort für diesen Prozess ist C:\Windows\System32\dllhost.exe
• Dllhst3g ist auch ein gültiger Windows-Prozess, der im selben System32-Ordner gespeichert ist.

Wenn dllhost.exe irgendwo anders auftaucht, handelt es sich wahrscheinlich um einen Virus. Einige Wurmviren ahmen den Namen von dllhost nach und speichern sich selbst im System32-Ordner. Hier sind ein paar Beispiele:

• Worm/Loveelet-Y speichert sich in /Windows/System32/ als dllhost.com
• Worm/Loveelet-DR speichert sich selbst in /Windows/System32/ als dllhost.dll

Hohe CPU-Auslastung

Eine mögliche Sicherheitslücke im Design des COM+-Systems besteht darin, dass es die Ausführung jeder auf dem System gespeicherten DLL zulässt, vorausgesetzt, der auslösende Trigger verfügt über die erforderlichen Berechtigungen. Das bedeutet, wenn Sie eine hohe CPU-Auslastung für dllhost.exe sehen, ist es wahrscheinlich nicht der Host-Prozess, der das Problem verursacht, sondern eher eine geladene DLL, die durch den Host läuft. Sie können ein Programm wie Process Explorer verwenden , um weitere Untersuchungen durchzuführen.

Zusammenfassung

Dllhost.exe ist ein sicherer Windows-Prozess, der von Microsoft erstellt wurde. Es wird zum Starten anderer Anwendungen und Dienste verwendet. Es sollte ausgeführt werden, da es für mehrere Systemressourcen von entscheidender Bedeutung ist.

Verweise:

• COM+ (Komponentendienste)

• Was ist COM?