このdllhost.exeプロセスは私のビデオファイルで何をしていますか?
Windows 10 Home x64マシンで、大量のCPUを使用しているdllhost.exeの不明なインスタンスに気づきました。さらに調べてみると、CPU時間のほとんどを使用しているスレッドが1つあることがわかりました。スレッドスタックは次のとおりです。
この特定の掘り下げに基づいてDLLはMicrosoftが署名したDLL「MediaFoundationMKV Media Source andSinkDLL」と呼ばれます。プロセスのファイルを見るとハンドル、それは私のユーザーディレクトリ内のビデオファイル、特に私の仮想マシンの1つの.webmビデオキャプチャへのオープンファイルハンドルを持っています。
これは、ある種のCOMインターフェイスを使用する正規のWindows DLLの背後に隠れているある種のマルウェアですか?それとも、これは正当なWindows関数ですか?もしそうなら、それは私のビデオファイルで何をしていますか?
これはCOMサロゲートです。おそらく、Windowsエクスプローラーがビデオのサムネイルやその他のプロパティを抽出しようとしましたか?
COMサロゲートの詳細については、こちらをご覧ください: https://devblogs.Microsoft.com/oldnewthing/20090212-00/?p=1917
基本的に:
エクスプローラーは、たとえばサムネイルを抽出するときにCOMサロゲートを使用します。サムネイルが有効になっているフォルダーに移動すると、エクスプローラーはCOMサロゲートを起動し、それを使用してフォルダー内のドキュメントのサムネイルを計算します。これは、Explorerがサムネイルエクストラクタを信頼しないことを学習したためです。安定性の実績が乏しい。 Explorerは、信頼性の向上と引き換えにパフォーマンスの低下を吸収することを決定しました。その結果、これらの危険なコードがExplorerのメインプロセスから移動します。サムネイル抽出機能がクラッシュすると、クラッシュによりエクスプローラーではなくCOMサロゲートプロセスが破壊されます。