O que é dllhost.exe e por que está em execução?

Uma rápida leitura através do Gerenciador de Tarefas em qualquer sistema Windows revelará um processo conhecido como dllhost.exe sendo executado em segundo plano. Se você descobriu isso, provavelmente gostaria de saber o que ele e sua descrição de “COM Surrogate” estão fazendo e se é ou não um processo seguro para ser executado em seu computador. A coisa boa a considerar é que ele deveria estar lá. Este é um processo criado pela Microsoft e está empacotado em todas as versões do sistema operacional Windows.

Há uma pequena chance de que dllhost.exe pode ser infectado por um vírus. No entanto, se o seu computador estiver atualizado com todos os patches de segurança mais recentes do Windows Update e você tiver um antivírus instalado, como o Microsoft Security Essentials , é altamente improvável que você tenha problemas com infecção.

O que é COM+?

Para entender o que dllhost.exe faz, você precisa entender o que é o serviço COM+. COM+ é a abreviação de C omponent O bject M odel . Ao puxar o processo/serviço no Process Explorer, ele não revela muito. A descrição do processo diz:

Manages the configuration and tracking of Component Object Model (COM)+-based components. If the service is stopped, most COM+-based components will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Para realmente nos aprofundarmos no que o processo faz, teremos que dar uma olhada na biblioteca do Microsoft Dev Center . E revela que o COM+ é útil principalmente para o seguinte:

• Implantação de aplicativos de nível empresarial para uma rede inteira.
• Fornecer componentes pré-existentes para desenvolvimento de aplicativos porque COM+ é considerado uma arquitetura de programação orientada a objetos.
• Executar um registro de eventos que trata solicitações do sistema, aprimora a segurança, aciona manipulações de processos e cria filas de solicitações de serviço para aplicativos.

O COM+ consiste em componentes de blocos de construção que são autodefinidos e funcionam bem com os outros. A utilidade disso vem do design de componentes sendo compartilhados e reutilizados por vários aplicativos. Esse design não apenas reduz a demanda por recursos do sistema, mas também melhora a velocidade de inicialização. Os modelos de objetos componentes não são escritos em nenhuma linguagem de programação específica, entretanto, existem classes separadas para cada um dependendo da linguagem de programação pretendida. No nível corporativo, isso oferece a vantagem da implantação em massa com uma ferramenta GUI criada pela Microsoft chamada DCOM .

Dllhost.exe é um host para arquivos DLL e executáveis ​​binários.

Uma DLL (biblioteca de vínculo dinâmico) é essencialmente um bloco de código de tamanho não específico armazenado em um único arquivo. Esse código pode ser a composição de um aplicativo, serviço ou apenas um complemento para uma interface gráfica do usuário. Dllhost.exe, semelhante ao svchost.exe , é um serviço do Windows necessário para qualquer código de programação orientado a COM+. Um exemplo do que o dllhost.exe executa é mostrado abaixo usando o Process Monitor, que inclui os tipos de arquivo .dll e .exe.

Riscos

Dllhost.exe normalmente é seguro desde que o computador esteja atualizado em todos os patches de segurança e um antivírus confiável esteja instalado. Se você vê-lo nos seguintes lugares, você está seguro:

• O local do diretório oficial para este processo é C:\Windows\System32\dllhost.exe
• Dllhst3g também é um processo válido do Windows armazenado na mesma pasta System32.

Se dllhost.exe aparecer em qualquer outro lugar, provavelmente é um vírus. Alguns vírus de worm imitam o nome de dllhost e se armazenam na pasta System32. Aqui estão alguns exemplos:

• Worm/Loveelet-Y armazena-se em /Windows/System32/ como dllhost.com
• Worm/Loveelet-DR armazena-se em /Windows/System32/ como dllhost.dll

Alto uso da CPU

Uma possível falha de segurança no projeto do sistema COM+ é que ele permite que qualquer DLL armazenada no sistema seja executada, supondo que o gatilho que o iniciou tenha as permissões necessárias. Isso significa que, quando você vê um alto uso da CPU para dllhost.exe, provavelmente não é o processo do host que está causando o problema, mas sim uma DLL carregada em execução no host. Você pode usar um programa como o Process Explorer para investigar mais.

Resumo

Dllhost.exe é um processo seguro do Windows criado pela Microsoft. Ele é usado para iniciar outros aplicativos e serviços. Ele deve ser deixado em execução, pois é crítico para vários recursos do sistema.

Referências:

• COM+ (Serviços de Componentes)

• O que é COM?