Es una práctica muy habitual en él malware utilizar procesos del sistema para esconder librerías DLL dañinas. Normalmente esta técnica es empleada por programas de spyware.

Para descubrir estas librerías DLL se puede utilizar la consola de comandos de Windows (cmd) y el comando “tasklist /m”, que muestra todas las librerías DLL cargadas por los procesos del sistema y con la página ProcessLibrary.com se puede obtener información sobre librerías DLL sospechosas.

Existe una herramienta llamada SpyDLLRemover que simplifica este proceso y permite desactivar las librerías perjudiciales. Esta herramienta escanea los procesos y marca las librerías peligrosas con colores: las peligrosas en rojo, las menos dañinas en naranja y las dudosas en amarillo.

En el caso de las marcadas en amarillo es necesario investigar si son dañinas o no, para este fin, se puede utilizar ProcessLibrary.com para obtener información.

Esta herramienta está disponible para: Windows Vista, XP y 2003. Para un correcto uso de SpyDLLRemover, es preciso ejecutarlo con una cuenta de administrador del sistema.

Más información y descarga de SpyDLLRemover:
http://www.rootkitanalytics.com/tools/spy-dll-remover.php

ProcessLibrary.com (Ingles):
http://www.processlibrary.com/

FUENTE