Wenn Sie sich entscheiden, Ihren Task-Manager1 zu überprüfen, besteht eine große Wahrscheinlichkeit, dass Sie auf einen oder mehrere “COM Surrogate” -Prozesse stoßen, die auf einer Windows-Workstation aktiv sind. Solche Prozesse haben den Dateinamen “dllhost.exe” und sind Komponenten des Windows-Betriebssystems. Sie werden sie unter Windows 10, Windows 8, Windows 7 und sogar früheren Windows-Versionen bemerken.
Dieses Tutorial ist Bestandteil unserer regelmäßigen Abfolge von Richtlinien, die verschiedene Prozesse im Task-Manager beschreiben, z. B. Runtime Broker, svchost.exe, dwm.exe, AMTEmu und viele andere. Wissen Sie nicht, wofür diese Dienste stehen? Lesen Sie weiter unsere Artikel!
Was ist COM Surrogate (dllhost.exe)?
COM wird alternativ als Komponentenobjektmodell2 bezeichnet. Dies ist eine Schnittstelle, die Microsoft bereits 1993 veröffentlicht hat und mit der Entwickler mithilfe verschiedener Programmiersprachen „COM-Objekte“ erstellen können. Ihr wesentliches Merkmal ist die Möglichkeit, andere Programme anzuschließen und zu erweitern.
Beispielsweise wendet der Windows-Dateimanager COM-Objekte an, um Miniaturansichten für Bilder und andere Dateien zu generieren, wenn ein bestimmter Ordner geöffnet wird. Das COM-Objekt ist für die Verarbeitung von Bildern, Videos und anderen Dateien zum Generieren der Miniaturansichten verantwortlich. Auf diese Weise kann der Datei-Explorer beispielsweise um Unterstützung für neue Video-Codecs erweitert werden.
Dies kann jedoch zu Problemen führen. Wenn ein COM-Objekt abstürzt, wirkt sich dies negativ auf den Hostprozess aus. Zu einem bestimmten Zeitpunkt war es typisch, dass diese COM-Objekte, die Miniaturansichten generieren, abstürzten und somit den gesamten Windows Explorer-Prozess mit sich brachten.
Um dieses Problem zu beheben, hat Microsoft den COM-Ersatzprozess ausgearbeitet. Der COM-Ersatzprozess betreibt ein COM-Objekt über den ursprünglichen Prozess hinaus, der danach gefragt hat. Wenn das COM-Objekt abstürzt, führt dies nur zu einem Absturz des COM-Ersatzprozesses, und der ursprüngliche Hostprozess wird nicht beschädigt. Beispielsweise startet Windows Explorer (jetzt als Datei-Explorer bezeichnet) einen COM-Ersatzprozess, wenn Miniaturbilder erstellt werden sollen. Der COM-Ersatzprozess hostet das COM-Objekt, das alle wichtigen Arbeiten für diesen Zweck ausführt. Falls das COM-Objekt nicht funktioniert, stürzt nur die Datei dllhost.exe ab und der ursprüngliche Datei-Explorer-Prozess funktioniert weiterhin.
“Mit anderen Worten”, wie im offiziellen Microsoft-Blog “The Old New Thing”3 angegeben, “impliziert der COM-Ersatz, dass ich mich mit diesem Code nicht wohl fühle, daher werde ich COM bitten, ihn in einem anderen Prozess zu hosten.” Auf diese Weise stürzt der COM-Ersatzopferprozess ab, wenn er abstürzt, anstatt ich. “
Wie Sie vielleicht gedacht haben, wird COM Surrogate außerdem als “dllhost.exe” bezeichnet, da es sich bei den von ihm gehosteten COM-Objekten um DLL-Dateien handelt.
Wie kann ich definieren, welches COM-Objekt ein COM-Ersatz hostet?
Der allgemeine Windows Task-Manager liefert Ihnen keine weiteren Daten darüber, welches COM-Objekt oder welche DLL-Datei ein COM-Ersatzprozess hostet. Wenn Sie weitere Informationen dazu erhalten möchten, empfehlen wir das Dienstprogramm Process Explorer von Microsoft4. Laden Sie es herunter und Sie können einfach mit der Maus über einen Prozess dllhost.exe im Prozess-Explorer fahren, um herauszufinden, welches COM-Objekt oder welche DLL-Datei es hostet.
Wie wir im folgenden Screenshot sehen können, hostet dieser spezielle Prozess dllhost.exe das CortanaMapiHelper.dll-Objekt.
Kann ich es deaktivieren?
Sie können den COM-Ersatzprozess nicht deaktivieren, da er eine wesentliche Komponente von Windows ist. Es ist in der Tat einfach ein Containerprozess zum Ausführen von COM-Objekten, die andere Prozesse ausführen möchten. Beispielsweise erstellt Windows Explorer (oder Datei-Explorer) permanent einen Prozess dllhost.exe, um Miniaturansichten zu generieren, wenn Sie einen Ordner öffnen. Andere Anwendungen, die Sie ausführen, generieren möglicherweise auch eigene COM-Ersatzprozesse. Alle dllhost.exe-Prozesse auf Ihrem Computer wurden von einer anderen Anwendung gestartet, um etwas auszuführen, das das Programm ausführen möchte.
Ist es eine Malware?
Der COM-Ersatzprozess selbst ist keine Malware und eine häufige Komponente von Windows. Es gibt jedoch Fälle, in denen es von Malware verwendet werden kann. Beispielsweise bezieht sich die Malware Trojan.Poweliks auf dllhost.exe-Prozesse, um ihre böswilligen Aktivitäten auszuführen. Wenn eine große Anzahl von dllhost.exe-Prozessen aktiv ist und sie einen erheblichen Teil der CPU verbrauchen, kann dies der Beweis dafür sein, dass der COM-Ersatzprozess von Malware oder einem anderen gefährlichen Programm missbraucht wird.
Wenn Sie sich Sorgen machen, ob diese Malware den Prozess dllhost.exe oder COM Surrogate missbraucht, müssen Sie einen Scan mit Ihrer bevorzugten Antiviren-Anwendung durchführen, um auf Ihrem System verfügbare Malware zu finden und zu löschen. Wenn Ihre Antiviren-Anwendung anzeigt, dass alles in Ordnung ist, Sie aber dennoch Zweifel haben, sollten Sie einen Scan mit einem anderen Antivirenprogramm starten, um eine zweite Meinung einzuholen.
User Review
( votes)References
- Taskmanager: https://de.wikipedia.org/wiki/Taskmanager
- Komponentenobjektmodell: https://msdn.microsoft.com/en-us/library/windows/desktop/ms694363(v=vs.85).aspx
- Das alte neue Ding: https://blogs.msdn.microsoft.com/oldnewthing/20090212-00/?p=19173
- Process Explorer: https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer