Wenn Sie in Ihrem Task-Manager herumstöbern, werden Sie wahrscheinlich einen oder mehrere „COM Surrogate“-Prozesse sehen, die auf einem Windows-PC ausgeführt werden.
Wenn Sie in Ihrem Task-Manager herumstöbern , werden Sie wahrscheinlich einen oder mehrere „COM Surrogate“-Prozesse sehen, die auf einem Windows-PC ausgeführt werden. Diese Prozesse haben den Dateinamen „dllhost.exe“ und sind Teil des Windows-Betriebssystems. Sie werden sie unter Windows 10, Windows 8, Windows 7 und sogar früheren Windows-Versionen sehen.
Dieser Artikel ist Teil unserer fortlaufenden Serie , in der verschiedene Prozesse im Task-Manager erklärt werden, wie Runtime Broker , svchost.exe , dwm.exe , ctfmon.exe , rundll32.exe , Adobe_Updater.exe und viele andere . Sie wissen nicht, um welche Dienste es sich handelt? Dann fangen Sie besser an zu lesen!
Was ist COM Surrogates (dllhost.exe)?
COM steht für Component Object Model . Dabei handelt es sich um eine von Microsoft 1993 eingeführte Schnittstelle, die es Entwicklern ermöglicht, „COM-Objekte“ mithilfe verschiedener Programmiersprachen zu erstellen. Im Wesentlichen werden diese COM-Objekte in andere Anwendungen eingebunden und erweitern diese.
Beispielsweise verwendet der Windows-Dateimanager COM-Objekte, um beim Öffnen eines Ordners Miniaturbilder von Bildern und anderen Dateien zu erstellen. Das COM-Objekt übernimmt die Verarbeitung von Bildern, Videos und anderen Dateien zur Generierung der Miniaturbilder. Dadurch kann der Datei-Explorer beispielsweise um die Unterstützung neuer Video-Codecs erweitert werden.
Dies kann jedoch zu Problemen führen. Wenn ein COM-Objekt abstürzt, wird sein Hostprozess heruntergefahren. Früher kam es häufig vor, dass diese Miniaturbild-generierenden COM-Objekte abstürzten und dabei den gesamten Windows Explorer-Prozess mit sich rissen.
Um diese Art von Problem zu beheben, hat Microsoft den COM-Surrogate-Prozess entwickelt. Der COM-Surrogate-Prozess führt ein COM-Objekt außerhalb des ursprünglichen Prozesses aus, der es angefordert hat. Wenn das COM-Objekt abstürzt, wird nur der COM-Surrogate-Prozess beendet und der ursprüngliche Hostprozess stürzt nicht ab. Beispielsweise startet der Windows Explorer (jetzt als Datei-Explorer bekannt) einen COM-Surrogates-Prozess, wenn er Miniaturbilder erstellen muss. Der COM-Surrogates-Prozess hostet das COM-Objekt, das die Arbeit erledigt. Wenn das COM-Objekt abstürzt, stürzt nur der COM-Surrogates-Prozess ab und der ursprüngliche Datei-Explorer-Prozess läuft weiter.
„Mit anderen Worten“, wie es im offiziellen Microsoft-Blog „The Old New Thing“ heißt, „ist der COM-Surrogate-Prozess der … Ich habe kein gutes Gefühl bei diesem Code, also werde ich COM bitten, ihn in einem anderen Prozess zu hosten. Auf diese Weise stürzt, wenn er abstürzt, der Opferprozess des COM-Surrogates ab und nicht mein Prozess.“
Und wie Sie vielleicht schon vermutet haben, heißt COM Surrogates „dllhost.exe“, weil die von ihm gehosteten COM-Objekte DLL-Dateien sind .
Wie kann ich feststellen, welches COM-Objekt ein COM-Surrogate hostet?
Der standardmäßige Windows-Task-Manager gibt Ihnen keine weiteren Informationen darüber, welches COM-Objekt oder welche DLL-Datei ein COM-Surrogate-Prozess hostet. Wenn Sie diese Informationen sehen möchten, empfehlen wir das Tool Process Explorer von Microsoft . Laden Sie es herunter und bewegen Sie einfach die Maus über einen dllhost.exe-Prozess im Process Explorer, um zu sehen, welches COM-Objekt oder welche DLL-Datei dieser hostet.
Wie wir im Screenshot unten sehen können, hostet dieser bestimmte dllhost.exe-Prozess das CortanaMapiHelper.dll-Objekt.
Kann ich es deaktivieren?
Sie können den COM-Surrogate-Prozess nicht deaktivieren, da er ein notwendiger Bestandteil von Windows ist. Eigentlich ist es nur ein Containerprozess, der zum Ausführen von COM-Objekten verwendet wird, die von anderen Prozessen ausgeführt werden sollen. Beispielsweise erstellt der Windows Explorer (oder Datei-Explorer) regelmäßig einen COM-Surrogate-Prozess, um beim Öffnen eines Ordners Miniaturansichten zu generieren. Andere von Ihnen verwendete Programme erstellen möglicherweise auch ihre eigenen COM-Surrogate-Prozesse. Alle dllhost.exe-Prozesse auf Ihrem System wurden von einem anderen Programm gestartet, um etwas zu tun, was dieses Programm tun möchte leetspeak.
Ist es ein Virus?
Der COM-Surrogate-Prozess selbst ist kein Virus und ein normaler Bestandteil von Windows. Er kann jedoch von Malware missbraucht werden. Die Malware Trojan.Poweliks beispielsweise verwendet dllhost.exe-Prozesse für ihre schmutzige Arbeit. Wenn Sie eine große Anzahl laufender dllhost.exe-Prozesse sehen und diese eine merkliche Menge an CPU-Leistung verbrauchen, könnte dies darauf hinweisen, dass der COM-Surrogate-Prozess von einem Virus oder einer anderen bösartigen Anwendung missbraucht wird.
Wenn Sie befürchten, dass Malware den dllhost.exe- oder COM-Surrogate-Prozess missbraucht, sollten Sie einen Scan mit Ihrem bevorzugten Antivirenprogramm ausführen , um auf Ihrem System vorhandene Malware zu finden und zu entfernen. Wenn Ihr bevorzugtes Antivirenprogramm anzeigt, dass alles in Ordnung ist, Sie jedoch misstrauisch sind, führen Sie einen Scan mit einem anderen Antivirentool durch, um eine zweite Meinung einzuholen.