Запуск ProcessMonitor неожиданно выполнит еще один неактуальный exe

Question

Запуск ProcessMonitor неожиданно выполнит еще один неактуальный exe

Ну, я недавно столкнулся со странной проблемой.

Всякий раз, когда я пытаюсь запустить ProcessMonitor, вместо этого запускается другая нерелевантная программа (действительно, программное обеспечение для обмена мгновенными сообщениями).

В конце концов, единственный способ запустить ProcessMonitor - это удалить это программное обеспечение IM. Я пробовал ProcessMonitor на компьютерах моих коллег, но никто из них не видел того же.

Итак, вы, ребята, знаете, как решить эту проблему? Заранее спасибо.

0

windows process-monitor

Источник

zaexage 13 ноя '12 в 04:47

2 ответа

Другие вопросы по тегам windows process-monitor

Bryan Huang 17 фев '13 в 06:18 2013-02-17 06:18 · Answer 1 · 2013-02-17 06:18

Была идентичная проблема с программой бизнес-чата Tencent RTX.

Решается удалением некоторых записей reg в typelib. Так что просто попробуйте избавиться от некоторых подозрительных записей reg, связанных с программой IM.

@Mxx: я не был расплывчатым вообще. Ключ заключается в том, чтобы убрать typelibs/apis, ссылающиеся на руководителей IM-программ. Но он мог использовать любую программу обмена мгновенными сообщениями, кроме моей, и записи могут быть непоследовательными Так что я не думал, что есть смысл указывать мои записи. Здесь необходимо найти записи typelibs/apis, ссылающиеся на руководителей IM-программ, и удалить их.

Поскольку они являются записями typelib/interface, как я указал, они находятся в ROOT/Typelib и ROOT/Interface. Конкретные имена могут быть специфичными для программы IM. В моем случае они были в typelib в {1512291F-F2F2-4E52-9F6A-5F0756F3B9CB} в ROOT/TypeLib, на который ссылался интерфейс типа 'IClientApi' в {561A4CFD-9878-4022-AD1E-499FDBB0D72F} в интерфейсе R.

Однако нет гарантии, что он использовал ту же IM-программу, что и моя (то есть RTX), или его IM-программа использовала ту же библиотеку типов / интерфейс, что и мне не удалось воспроизвести проблему с другой IM-программой. Кстати, простое удаление этих записей может решить проблему только временно, так как программа IM может восстановить их позже, но это выходит за рамки этого вопроса.

Таким образом, мой ответ должен содержать указатель на конкретное решение для конкретной IM-программы, вызывающей проблему - именно так он мог начать с поиска записей в ROOT/TypeLib и / или ROOT / Interface, содержащих ссылки на руководителей конкретной IM-программы вызывая проблему.

metadings 13 ноя '12 в 10:18 2012-11-13 10:18 · Answer 2 · 2012-11-13 10:18

Проверьте следующий раздел реестра:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Самый простой способ перехватить выполнение программы - создать подраздел с именем exe,

\notepad.exe

и строку "отладчик", использующую путь exe в качестве значения, угонщик хочет выполнить:

"debugger"="c:\windows\system32\cmd.exe"

Теперь вместо блокнота будет выполняться cmd. Вероятно, фальшивый IM создал такой восторг.

Кстати, если угонщик использует фальшивый отладчик, такой как svchost, автозапуск скрывает перехват по умолчанию, потому что это исполняемый файл MS.