Эта статья является частью нашей текущей серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за услуги? Лучше начните читать!
Что такое COM Surrogate (dllhost.exe)?
COM означает Component Object Model. Это интерфейс Microsoft, представленный еще в 1993 году, который позволяет разработчикам создавать «COM-объекты» с использованием различных языков программирования. По сути, эти COM-объекты подключаются к другим приложениям и расширяют их.
Например, диспетчер файлов Windows использует COM-объекты для создания уменьшенных изображений изображений и других файлов при открытии папки. COM-объект обрабатывает изображения, видео и другие файлы для создания эскизов. Это позволяет, например, расширять File Explorer с поддержкой новых видеокодеков.
Однако это может привести к проблемам. Если COM-объект выйдет из строя, он отключит хост-процесс. В какой-то момент для этих объектов COM, генерирующих эскизы, было обычным делом обрушение и удаление с него всего процесса проводника Windows.
Чтобы устранить эту проблему, Microsoft создала процесс COM Surrogate. Процесс COM Surrogate запускает COM-объект вне исходного процесса, который его запросил. Если COM-объект выйдет из строя, это приведет к сбою только процесса COM-суррогата, и исходный процесс хоста не будет аварийно завершен. Например, проводник Windows (теперь известный как File Explorer) запускает процесс COM Surrogate всякий раз, когда ему нужно генерировать миниатюрные изображения. Процесс COM Surrogate содержит COM-объект, который выполняет эту работу. Если COM-объект выйдет из строя, произойдет сбой только COM-суррогата, и исходный процесс File Explorer продолжит работу с грузовиком.
«Другими словами», как утверждает официальный блог Microsoft The Old New Thing, «COM Surrogate - этоМне не очень нравится этот код, поэтому я собираюсь попросить COM разместить его в другом процессе. Таким образом, если он сработает, это жертвой жертвоприношения COM-суррогата, который падает вместо меня процесс."
И, как вы могли догадаться, COM Surrogate называется «dllhost.exe», потому что COM-объекты, на которых он размещается, являются DLL-файлами.
Как я могу сообщить, какой COM-объект является COM-суррогатом?
Стандартный диспетчер задач Windows не дает вам больше информации о том, какой объект COM или DLL-файл обрабатывается COM-суррогатом. Если вы хотите увидеть эту информацию, мы рекомендуем Microsoft Process Explorer. Загрузите его, и вы можете просто перейти к процессу dllhost.exe в Process Explorer, чтобы увидеть, какой COM-объект или DLL-файл он размещает.
Как мы видим на скриншоте ниже, в этом конкретном процессе dllhost.exe находится объект CortanaMapiHelper.dll.
Могу ли я отключить его?
Вы не можете отключить процесс COM Surrogate, так как это необходимая часть Windows. Это действительно просто контейнерный процесс, который используется для запуска COM-объектов, которые другие процессы хотят запускать. Например, проводник Windows (или проводник файлов) регулярно создает процесс COM Surrogate для создания эскизов при открытии папки. Другие программы, которые вы используете, также могут создавать собственные процессы COM-суррогата. Все процессы dllhost.exe в вашей системе были запущены другой программой, чтобы сделать что-то, что хочет сделать программа.
Это вирус?
Сам процесс COM Surrogate не является вирусом и является нормальной частью Windows. Однако он может быть использован вредоносными программами. Например, вредоносное ПО Trojan.Poweliks использует процессы dllhost.exe для выполнения своей грязной работы. Если вы видите большое количество процессов dllhost.exe, и они используют заметное количество CPU, это может указывать на то, что процесс COM Surrogate подвергается насилию со стороны вируса или другого вредоносного приложения.
Если вы обеспокоены тем, что вредоносное ПО злоупотребляет процессом dllhost.exe или COM Surrogate, вы должны запустить проверку с помощью вашей предпочтительной антивирусной программы, чтобы найти и удалить любую вредоносную программу, присутствующую в вашей системе. Если ваша антивирусная программа по выбору говорит, что все в порядке, но вы подозрительны, запустите сканирование с помощью другого антивирусного инструмента, чтобы получить второе мнение.
