Procesverkenner gebruiken om problemen op te lossen en te stellen

Inzicht in hoe de dialoogvensters en opties van Process Explorer werken, is prima en goed, maar hoe zit het met het gebruiken voor het oplossen van problemen of het diagnosticeren van een probleem? De huidige Geek School-les zal proberen je te helpen precies te leren hoe je dat moet doen.

SCHOOLNAVIGATIE

1. Wat zijn de SysInternals-hulpmiddelen en hoe gebruikt u ze??
2. Procesverkenner begrijpen
3. Procesverkenner gebruiken om problemen op te lossen en te stellen
4. Procesmonitor begrijpen
5. Procesmonitor gebruiken om registerhacks op te sporen en te vinden
6. Autoruns gebruiken om opstartprocessen en malware aan te pakken
7. BGInfo gebruiken om systeeminformatie op het bureaublad weer te geven
8. PsTools gebruiken om andere pc's vanaf de opdrachtregel te besturen
9. Analyse en beheer van uw bestanden, mappen en stations
10. Inpakken en de hulpmiddelen samen gebruiken

Nog niet zo lang geleden zijn we allerlei soorten malware en crapware gaan onderzoeken die automatisch worden geïnstalleerd wanneer je tijdens het installeren van software geen aandacht besteedt. Bijna alle freeware-producten op de markt, inclusief de "gerenommeerde" freeware, bundelen werkbalken, zoeken het kapen van vreselijkheid of adware, en sommige ervan zijn moeilijk om problemen op te lossen.

We hebben veel computers van mensen gezien waarvan we weten dat er zoveel spyware en adware is geïnstalleerd dat de pc nauwelijks meer laadt. Vooral het proberen laden van de webbrowser is bijna onmogelijk, omdat alle adware- en trackingsoftware concurreert om middelen om uw privégegevens te stelen en te verkopen aan de hoogste bieder.

Vanzelfsprekend wilden we een beetje onderzoeken hoe sommige van deze functies werken, en er is geen betere plaats om te beginnen dan de Conduit Search-malware die wereldwijd honderden miljoenen computers heeft geclaimd. Deze schandelijke vreselijkheid kaapt je zoekmachine in je browser, verandert je startpagina en vervelende, het neemt je nieuwe tabbladpagina over, ongeacht waar je browser is ingesteld.

We zullen beginnen met kijken, en dan zullen we je laten zien hoe je Process Explorer kunt gebruiken om fouten op te lossen die praten over vergrendelde bestanden en mappen die in gebruik zijn.

En dan zullen we het rond maken met een andere blik op hoe sommige adware zich tegenwoordig verbergen achter Microsoft-processen, zodat ze legitiem lijken in Process Explorer of Taakbeheer, ook al zijn ze dat echt niet.

Onderzoek naar de Conduit Search Malware

Zoals we al zeiden, is de Conduit-zoekkapper een van de meest hardnekkige, afschuwelijke en verschrikkelijke dingen die bijna al uw familieleden waarschijnlijk op hun computer hebben. Ze bundelen hun software op een schaduwrijke manier met alle freeware die ze kunnen, en in veel gevallen, zelfs als je ervoor kiest om af te melden, zal de kaper nog steeds worden geïnstalleerd.

Conduit installeert wat zij "Search Protect" noemen, wat volgens hen belet dat malware wijzigingen in uw browser aanbrengt. Wat ze niet vermelden, is dat het ook voorkomt dat je wijzigingen aanbrengt in hun browser tenzij je hun Zoekbeveiligingspaneel gebruikt om die wijzigingen aan te brengen, die de meeste mensen niet zullen weten omdat het begraven ligt in het systeemvak.

Niet alleen zal Conduit al je zoekopdrachten omleiden naar hun eigen aangepaste Bing-pagina, het zal dat instellen als je startpagina. Men zou moeten veronderstellen dat Microsoft ze voor al dit verkeer aan Bing betaalt, omdat ze er ook een aantal passeren ?PC = conduit type argumenten in de querystring.

Leuk weetje: het bedrijf achter dit afval heeft een waarde van 1,5 miljard dollar en JP Morgan heeft er $ 100 miljoen in geïnvesteerd. Kwaadaardig zijn is winstgevend.

Conduit kaapt de nieuwe tabbladpagina ... maar hoe?

Het kapen van uw zoek- en startpagina is triviaal voor elke malware - dit is waar Conduit het slechte opvoert en op de een of andere manier de pagina 'Nieuw tabblad' herschrijft om Conduit te laten zien, zelfs als u elke instelling wijzigt.

U kunt al uw browsers deïnstalleren of zelfs een browser installeren die u nog niet eerder had geïnstalleerd, zoals Firefox of Chrome, en Conduit slaagt er nog steeds in om de pagina 'Nieuw tabblad' te kapen..

Iemand moet in de gevangenis zitten, maar ze zijn waarschijnlijk op een jacht.

Er is niet veel nodig in termen van geekvaardigheden om uiteindelijk te concluderen dat het probleem de Search Protect-toepassing is die in het systeemvak wordt uitgevoerd. Dood dat proces en plotseling gaan je nieuwe tabbladen open zoals de browser-maker het bedoeld had.

Maar hoe, precies, doet het dit? Er zijn geen invoegtoepassingen of extensies geïnstalleerd in een van de browsers. Er zijn geen plug-ins. Het register is schoon. Hoe doen ze dat?

Dit is waar we ons wenden tot Process Explorer om wat onderzoek te doen. Eerst zullen we het Search Protect-proces in de lijst vinden, wat gemakkelijk genoeg is omdat het de juiste naam heeft, maar als je het niet zeker weet, kun je altijd het venster openen en het pictogram met de kleine bulls-eye naast de verrekijker om erachter te komen welk proces bij een raam hoort.

Nu kunt u eenvoudig het juiste proces selecteren, wat in dit geval een van de drie was die automatisch wordt uitgevoerd door de Windows-service die door Conduit wordt geïnstalleerd. Hoe wist ik dat het een Windows-service was die deze opnieuw opstartte? Omdat de kleur van die rij natuurlijk roze is. Gewapend met die kennis zou ik altijd kunnen stoppen of de dienst kunnen verwijderen (hoewel u in dit geval eenvoudigweg de installatie ongedaan kunt maken via Uninstall Programs in het Configuratiescherm).

Nu u het proces hebt geselecteerd, kunt u de sneltoetsen CTRL + H of CTRL + D gebruiken om de weergave Handles of de weergave van de DLL's te openen, of u kunt het menu Weergave -> Weergave onderste deelvenster gebruiken om dit te doen.

Notitie: in de Windows-wereld is een "handle" een geheel-getalwaarde die wordt gebruikt om een ​​resource in het geheugen op unieke wijze te identificeren, zoals een venster, een open bestand, een proces of vele andere dingen. Elk geopend toepassingsvenster op uw computer heeft bijvoorbeeld een unieke "vensteringang" die kan worden gebruikt om ernaar te verwijzen.

DLL's of dynamic link libraries zijn gedeelde stukjes gecompileerde code die in een apart bestand worden opgeslagen om te worden gedeeld tussen meerdere applicaties. In plaats van dat elke toepassing zijn eigen dialoogvenster Bestand openen / opslaan schrijft, kunnen alle toepassingen eenvoudigweg de algemene dialoogcode gebruiken die door Windows wordt geboden in het bestand comdlg32.dll.

Als we enkele minuten door de lijst met handles keken, kwamen we een beetje dichter bij wat er aan de hand was, omdat we handvatten voor Internet Explorer en Chrome hadden gevonden, die beide momenteel op het testsysteem staan. We hebben zeker bevestigd dat Search Protect iets doet met onze open browservensters, maar we zullen wat meer onderzoek moeten doen om erachter te komen wat.

Het volgende wat u moet doen, is dubbelklikken op het proces in de lijst om de detailweergave te openen en vervolgens om te keren naar het tabblad Afbeelding. Dit geeft u informatie over het volledige pad naar het uitvoerbare bestand, de opdrachtregel en zelfs de opdrachtregel. werkmap. We klikken op de knop Verkennen om de installatiemap te bekijken en te zien wat zich daar nog meer verbergt.

Interessant! We hebben hier een aantal DLL-bestanden gevonden, maar om de een of andere rare reden dat geen van deze DLL-bestanden in de DLL-view voor het Search Protect-proces werd vermeld toen we er eerder naar keken. Dit kan een probleem zijn.

Volgende pagina: Omgaan met vergrendelde bestanden en mappen