24Aug
Wenn Sie in Ihrem Task-Manager herumstöbern, besteht eine gute Chance, dass auf einem Windows-PC ein oder mehrere "COM Surrogate" -Prozesse laufen. Diese Prozesse haben den Dateinamen "dllhost.exe" und sind Teil des Windows-Betriebssystems. Sie sehen sie unter Windows 10, Windows 8, Windows 7 und sogar früheren Windows-Versionen.
Dieser Artikel ist Teil unserer fortlaufenden Serie, in der verschiedene im Task-Manager gefundene Prozesse wie Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe und viele andere erläutert werden. Weiß nicht, was diese Dienste sind? Besser anfangen zu lesen!
Was ist COM-Surrogat( dllhost.exe)?
COM steht für Component Object Model. Dies ist eine Schnittstelle, die Microsoft 1993 eingeführt hat und die es Entwicklern ermöglicht, "COM-Objekte" mit verschiedenen Programmiersprachen zu erstellen. Im Wesentlichen schließen sich diese COM-Objekte an andere Anwendungen an und erweitern sie.
Der Windows-Dateimanager verwendet beispielsweise COM-Objekte, um beim Öffnen eines Ordners Miniaturbilder von Bildern und anderen Dateien zu erstellen. Das COM-Objekt verarbeitet die Verarbeitung von Bildern, Videos und anderen Dateien, um die Miniaturansichten zu generieren. Dadurch kann der Datei-Explorer beispielsweise um neue Video-Codecs erweitert werden.
Dies kann jedoch zu Problemen führen. Wenn ein COM-Objekt abstürzt, wird es seinen Host-Prozess herunterfahren. An einem Punkt war es üblich, dass diese thumbnailerzeugenden COM-Objekte abstürzten und den gesamten Windows Explorer-Prozess mit ihnen abbrachen.
Um dieses Problem zu beheben, hat Microsoft den COM-Surrogate-Prozess erstellt. Der COM-Surrogate-Prozess führt ein COM-Objekt außerhalb des ursprünglichen Prozesses, der es angefordert hat, aus. Wenn das COM-Objekt abstürzt, wird nur der COM-Surrogate-Prozess ausgeführt und der ursprüngliche Hostprozess wird nicht abstürzen. Beispielsweise startet Windows Explorer( jetzt bekannt als Datei-Explorer) einen COM-Ersatzvorgang, wann immer es Miniaturbilder generieren muss. Der COM-Surrogate-Prozess hostet das COM-Objekt, das die Arbeit ausführt. Wenn das COM-Objekt abstürzt, stürzt nur das COM-Surrogate ab, und der ursprüngliche Datei-Explorer-Prozess wird weitertransportiert.
"Mit anderen Worten", wie der offizielle Microsoft-Blog The Old New Thing es ausdrückt, "das COM-Surrogat ist das . Ich fühle mich nicht wohl in diesem Code, also werde ich COM bitten, es in einem anderen Prozess zu hosten. Wenn es abstürzt, ist es der Opferprozess von COM Surrogate, der anstelle meines -Prozesses abstürzt. "
Und, wie Sie vielleicht vermutet haben, wird COM Surrogate" dllhost.exe "genannt, weil die gehosteten COM-Objekte. dll-Dateien sind.
Wie kann ich feststellen, welches COM-Objekt ein COM-Surrogate hostet?
Der Standard-Windows-Task-Manager gibt Ihnen keine weiteren Informationen darüber, welches COM-Objekt oder welche DLL-Datei ein COM-Surrogate-Prozess hostet. Wenn Sie diese Informationen sehen möchten, empfehlen wir das Microsoft Process Explorer-Tool. Laden Sie es herunter und Sie können mit der Maus über einen dllhost.exe-Prozess im Process Explorer gehen, um zu sehen, welches COM-Objekt oder welche DLL-Datei es hostet.
Wie wir im folgenden Screenshot sehen können, hostet dieser bestimmte dllhost.exe-Prozess das CortanaMapiHelper.dll-Objekt.
Kann ich es deaktivieren?
Sie können den COM-Ersatzvorgang nicht deaktivieren, da dies ein notwendiger Bestandteil von Windows ist. Es ist wirklich nur ein Container-Prozess, der verwendet wird, um COM-Objekte auszuführen, die andere Prozesse ausführen möchten. Beispielsweise erstellt Windows Explorer( oder Datei-Explorer) regelmäßig einen COM-Ersatzvorgang, um Miniaturansichten zu generieren, wenn Sie einen Ordner öffnen. Andere Programme, die Sie verwenden, können auch ihre eigenen COM Surrogate-Prozesse erstellen. Alle dllhost.exe-Prozesse auf Ihrem System wurden von einem anderen Programm gestartet, um etwas zu tun, das das Programm erledigen möchte.
Ist es ein Virus?
Der COM-Surrogate-Prozess selbst ist kein Virus und ist ein normaler Teil von Windows. Es kann jedoch von Malware verwendet werden. Zum Beispiel verwendet die Trojan. Poweliks-Malware dllhost.exe-Prozesse, um ihre schmutzige Arbeit zu erledigen. Wenn eine große Anzahl von dllhost.exe-Prozessen ausgeführt wird und sie eine merkliche Menge an CPU verwenden, könnte dies darauf hindeuten, dass der COM-Surrogate-Prozess von einem Virus oder einer anderen bösartigen Anwendung missbraucht wird.
Wenn Sie befürchten, dass Malware den Prozess "dllhost.exe" oder "COM Surrogate" missbraucht, sollten Sie eine Überprüfung mit Ihrem bevorzugten Antivirenprogramm durchführen, um auf Ihrem System vorhandene Malware zu finden und zu entfernen. Wenn Ihr Antivirenprogramm Ihrer Wahl sagt, dass alles in Ordnung ist, aber Sie misstrauisch sind, führen Sie einen Scan mit einem anderen Antivirentool aus, um eine zweite Meinung zu erhalten.