Что такое «COM Surrogate» (dllhost.exe) и почему он работает на моем компьютере?

Если вы поковыряетесь в диспетчере задач, вполне вероятно, что вы увидите один или несколько процессов «COM Surrogate», запущенных на ПК с Windows. Эти процессы имеют имя файла «dllhost.exe» и являются частью операционной системы Windows. Вы увидите их в Windows 10, Windows 8, Windows 7 и даже в более ранних версиях Windows.

Эта статья является частью нашей продолжающейся серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за услуги? Лучше начать читать!

Что такое COM суррогат (dllhost.exe)?

COM обозначает Компонентная Объектная Модель. Это интерфейс, представленный Microsoft еще в 1993 году, который позволяет разработчикам создавать «COM-объекты» с использованием различных языков программирования. По сути, эти COM-объекты подключаются к другим приложениям и расширяют их.

Например, файловый менеджер Windows использует COM-объекты для создания миниатюрных изображений и других файлов при открытии папки. COM-объект обрабатывает изображения, видео и другие файлы для создания миниатюр. Это позволяет расширять проводник, например, с помощью новых видеокодеков..

Однако это может привести к проблемам. Если COM-объект аварийно завершает работу, он останавливает свой хост-процесс. В какой-то момент эти COM-объекты, генерирующие миниатюры, часто выходили из строя и закрывали весь процесс Windows Explorer вместе с ними..

Чтобы решить эту проблему, Microsoft создала процесс COM Surrogate. Процесс COM Surrogate запускает объект COM вне исходного процесса, который его запросил. Если происходит сбой COM-объекта, он отключит только процесс COM-суррогата, а исходный хост-процесс не будет аварийно завершен. Например, Windows Explorer (теперь известный как File Explorer) запускает процесс COM Surrogate всякий раз, когда ему нужно сгенерировать миниатюрные изображения. Процесс COM Surrogate содержит COM-объект, который выполняет эту работу. Если происходит сбой COM-объекта, происходит сбой только COM-суррогата, и исходный процесс проводника продолжит работу..

«Другими словами», как гласит официальный блог Microsoft The Old New Thing, «суррогат COM - это Мне не нравится этот код, поэтому я собираюсь попросить COM разместить его в другом процессе. Таким образом, в случае сбоя, вместо меня происходит сбой COM-суррогатного жертвенного процесса. процесс."

И, как вы уже могли догадаться, COM Surrogate называется dllhost.exe, потому что COM-объекты, которые он размещает, являются DLL-файлами..

Как я могу сказать, какой COM-объект размещает COM-суррогат??

Стандартный диспетчер задач Windows не дает больше информации о том, какой COM-объект или файл DLL размещает процесс COM-суррогат. Если вы хотите увидеть эту информацию, мы рекомендуем инструмент Microsoft Process Explorer. Загрузите его, и вы можете просто навести курсор мыши на процесс dllhost.exe в Process Explorer, чтобы увидеть, какой COM-объект или DLL-файл он размещает.

Как мы видим на скриншоте ниже, этот конкретный процесс dllhost.exe содержит объект CortanaMapiHelper.dll.

Могу ли я отключить это?

Вы не можете отключить процесс COM Surrogate, так как это необходимая часть Windows. На самом деле это просто контейнерный процесс, который используется для запуска COM-объектов, которые хотят запускать другие процессы. Например, проводник Windows (или File Explorer) регулярно создает процесс COM Surrogate для создания миниатюр при открытии папки. Другие программы, которые вы используете, могут также создавать свои собственные процессы суррогата COM. Все процессы dllhost.exe в вашей системе были запущены другой программой, чтобы сделать то, что программа хочет сделать.

Это вирус??

Сам процесс COM-суррогата не является вирусом и является нормальной частью Windows. Тем не менее, он может быть использован вредоносными программами. Например, вредоносная программа Trojan.Poweliks использует процессы dllhost.exe для своей грязной работы. Если вы видите, что запущено большое количество процессов dllhost.exe и они используют значительный объем ЦП, это может указывать на то, что процесс COM-суррогата злоупотребляет вирусом или другим вредоносным приложением..

Если вы обеспокоены тем, что вредоносное ПО злоупотребляет процессом dllhost.exe или COM Surrogate, вам следует запустить сканирование с использованием предпочитаемой антивирусной программы, чтобы найти и удалить любое вредоносное ПО, присутствующее в вашей системе. Если выбранная вами антивирусная программа говорит, что все в порядке, но вы подозрительны, запустите сканирование с помощью другого антивирусного инструмента, чтобы получить второе мнение..