我发现我的电脑上有 dllhost.exe 从 运行C:\Windows\System32，而您的电脑是从 运行 C:\Windows\SysWOW64，这看起来有些可疑。但问题仍然可能是由您电脑上安装的某些 32 位产品引起的。
还请检查事件查看器并在此处发布任何可疑消息。

我猜测你已被感染或者 Windows 变得非常不稳定。

第一步是查看问题是否在启动安全模式时出现。如果没有，那么问题（可能）出在某些已安装的产品上。

如果问题在安全模式下出现，则问题出在 Windows 上。尝试运行证监会/扫描验证系统完整性。

如果没有发现问题，请使用以下方法扫描：

• AdwCleaner
• 组合修复

如果没有任何帮助，请尝试启动时防病毒软件，例如：

• 大蜘蛛
• F-安全
• 熊猫

为了避免刻录真正的 CD，请使用Windows 7 USB DVD 下载工具将 ISO 逐个安装到 USB 密钥上以便启动。

如果一切都失败并且您确实怀疑感染了，最安全的解决方案是格式化磁盘并重新安装 Windows，但请先尝试所有其他可能性。

它是一个无文件、内存注入的 DLL 木马！

为我指明正确方向的功劳归功于@harrymc，因此我授予他答案标志和赏金。

据我所知，正确的实例DLLHOST.EXE总是有/ProcessID:开关。这些过程没有，因为他们正在执行一个被直接注入内存的 .DLLPoweliks 木马。

根据这篇文章：

...[Poweliks] 存储在加密的注册表值中，并在启动时通过调用加密的 JavaScript 有效负载上的 rundll32 进程的 RUN 键加载。

一旦有效载荷被加载到 rundll32 中，它就会尝试以交互模式（无 UI）执行嵌入式 PowerShell 脚本。该 PowerShell 脚本包含一个 base64 编码的有效载荷（另一个），它将被注入 dllhost 进程（持久项），该进程将被僵尸化并充当其他感染的木马下载器。

如上述文章开头所述，最近的变种（包括我的）不再从HKEY_CURRENT_USER\...\RUN密钥中的条目开始，而是隐藏在被劫持的 CLSID 密钥中。为了使其更难检测，还有没有文件写入磁盘，只有这些注册表项。

确实（感谢 harrymc 的建议）我通过执行以下操作找到了该木马：

1. 启动到安全模式
2. 使用进程探索器暂停所有流氓dllhost.exe进程
3. 运行组合修复扫描

在我的案例中，Poweliks 木马隐藏在HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}密钥中（与缩略图缓存有关）。显然，当访问此密钥时，它会执行木马。由于缩略图使用频繁，因此木马的激活速度几乎与RUN注册表中实际有条目一样快。

有关其他技术细节，请参阅 TrendMicro博客文章。

如果你想对正在运行的进程、服务、网络连接等进行取证分析，我建议你也使用ESET SysInspector。 它可以让您更好地查看正在运行的文件，您不仅可以看到 dllhost.exe，还可以看到与此文件的参数链接的文件、自动启动程序的路径等等。其中一些可能是服务，它也会采用它们的名称，您可以在漂亮的彩色应用程序中看到它。

一个很大的进步是它还为您提供日志中列出的所有文件的 AV 结果，因此如果您的系统受到感染，则有很大的机会找到源头。您也可以在此处发布 xml 日志，我们可以检查它。当然，SysInspector 是“工具”选项卡中 ESET AV 的一部分。