Verwenden von Process Explorer zur Fehlerbehebung und Diagnose

Die Funktionsweise der Dialoge und Optionen von Process Explorer ist gut und gut, aber wie sieht es mit der tatsächlichen Fehlersuche oder der Diagnose eines Problems aus? In der heutigen Geek School-Lektion lernen Sie, wie Sie genau das tun.

SCHULNAVIGATION

1. Was sind die SysInternals-Tools und wie verwenden Sie sie??
2. Prozess-Explorer verstehen
3. Verwenden von Process Explorer zur Fehlerbehebung und Diagnose
4. Prozessmonitor verstehen
5. Verwenden von Process Monitor zur Problembehandlung und zum Suchen von Registrierungs-Hacks
6. Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware
7. Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
8. Verwenden von PsTools zur Steuerung anderer PCs über die Befehlszeile
9. Analysieren und Verwalten von Dateien, Ordnern und Laufwerken
10. Zusammenfassen und Verwenden der Tools

Vor nicht allzu langer Zeit haben wir begonnen, alle Arten von Malware und Crapware zu untersuchen, die automatisch installiert werden, wenn Sie bei der Installation der Software keine Beachtung finden. Nahezu jede auf dem Markt erhältliche Freeware, einschließlich der "seriösen", besteht aus Werkzeugbündeln, Suchmaschinen-Entführungen oder Adware. Einige davon sind schwer zu beheben.

Wir haben viele Computer von Leuten gesehen, von denen wir wissen, dass sie so viel Spyware und Adware installiert haben, dass der PC kaum noch geladen wird. Insbesondere das Laden des Webbrowsers ist nahezu unmöglich, da alle Adware- und Tracking-Software um Ressourcen konkurrieren, um Ihre privaten Daten zu stehlen und an den Höchstbietenden zu verkaufen.

Daher wollten wir natürlich ein wenig untersuchen, wie einige davon funktionieren, und es gibt keinen besseren Ort als die Conduit Search-Malware, von der Hunderte Millionen Computer weltweit behauptet wurden. Diese schändliche Schrecklichkeit entführt Ihre Suchmaschine in Ihrem Browser, ändert Ihre Startseite, und am ärgerlichsten ist es, dass Ihre neue Tab-Seite übernommen wird, unabhängig davon, wie Ihr Browser eingestellt ist.

Wir schauen uns das an, und dann zeigen wir Ihnen, wie Sie mit Process Explorer Fehler beheben können, die sich auf gesperrte Dateien und Ordner beziehen.

Abschließend möchten wir noch einen Blick darauf werfen, wie sich Adware heutzutage hinter Microsoft-Prozessen versteckt, so dass sie im Process Explorer oder im Task-Manager legitim erscheinen, auch wenn sie es wirklich nicht sind.

Untersuchung der Conduit Search-Malware

Wie bereits erwähnt, ist der Suchentführer von Conduit eines der hartnäckigsten, schrecklichsten und schrecklichsten Dinge, die fast jeder Ihrer Verwandten auf ihrem Computer hat. Sie bündeln ihre Software auf zwielichtige Art und Weise mit jeder möglichen Freeware, und in vielen Fällen wird der Entführer auch dann installiert, wenn Sie sich für eine Ablehnung entscheiden.

Conduit installiert das, was sie "Search Protect" nennen, und behauptet, dass Malware keine Änderungen an Ihrem Browser vornimmt. Was sie nicht erwähnen, ist, dass Sie auch daran gehindert werden, Änderungen an ihrem Browser vorzunehmen, es sei denn, Sie verwenden ihr Suchschutzfenster, um diese Änderungen vorzunehmen, von denen die meisten Benutzer nichts wissen, da sie sich in der Taskleiste befinden.

Conduit leitet nicht nur alle Suchanfragen auf eine eigene Bing-Seite um, sondern legt diese auch als Startseite fest. Man müsste davon ausgehen, dass Microsoft sie für den gesamten Datenverkehr an Bing bezahlt, da sie auch etwas weiterleiten ?pc = Leitung Typ der Argumente in der Abfragezeichenfolge.

Interessante Tatsache: Das Unternehmen hinter diesem Müll hat einen Wert von 1,5 Milliarden Dollar, und JP Morgan investierte 100 Millionen US-Dollar in sie. Böse zu sein ist profitabel.

Conduit entführt die neue Registerkarte… Aber wie?

Die Entführung Ihrer Such- und Homepage ist für jede Malware trivial - hier setzt Conduit das Übel auf und schreibt die Seite "Neuer Tab" irgendwie neu, um die Anzeige von Conduit zu erzwingen, selbst wenn Sie jede einzelne Einstellung ändern.

Sie können alle Ihre Browser deinstallieren oder sogar einen Browser wie Firefox oder Chrome installieren, den Sie zuvor noch nicht installiert haben. Conduit wird es trotzdem schaffen, die Seite "Neuer Tab" zu entführen.

Jemand sollte im Gefängnis sein, aber wahrscheinlich auf einer Yacht.

Was Geek-Fähigkeiten angeht, ist nicht viel davon zu verstehen, dass das Problem die in der Taskleiste ausgeführte Search Protect-Anwendung ist. Beenden Sie den Vorgang, und plötzlich werden Ihre neuen Registerkarten genau so geöffnet, wie es der Browser-Hersteller beabsichtigt hat.

Aber wie genau macht es das? In keinem der Browser sind Add-Ons oder Erweiterungen installiert. Es gibt keine Plugins. Die Registry ist sauber. Wie machen Sie das?

Hier wenden wir uns an Process Explorer, um eine Untersuchung durchzuführen. Zuerst finden wir den Suchschutz in der Liste, was leicht genug ist, weil er richtig benannt ist. Wenn Sie sich jedoch nicht sicher sind, können Sie immer das Fenster öffnen und das kleine Bulle-Eye-Symbol neben dem Symbol verwenden Ferngläser, um herauszufinden, welcher Prozess zu einem Fenster gehört.

Jetzt können Sie einfach den entsprechenden Prozess auswählen, der in diesem Fall einer der drei Prozesse war, die automatisch von dem von Conduit installierten Windows-Dienst ausgeführt werden. Woher wusste ich, dass es ein Windows-Dienst war, der es neu startet? Weil die Farbe dieser Reihe natürlich pink ist. Mit diesem Wissen ausgestattet, könnte ich den Dienst immer anhalten oder löschen (in diesem speziellen Fall können Sie ihn einfach deinstallieren, indem Sie Deinstallationsprogramme in der Systemsteuerung deinstallieren.).

Nachdem Sie den Prozess ausgewählt haben, können Sie die Tastenkombination STRG + H oder STRG + D verwenden, um die Sicht "Handles" oder die DLL-Ansicht zu öffnen, oder Sie können dies über das Menü "Ansicht"> "Ansicht unterer Bereich" tun.

Hinweis: In der Welt von Windows ist ein „Handle“ ein ganzzahliger Wert, der verwendet wird, um eine Ressource im Speicher eindeutig zu identifizieren, z. B. ein Fenster, eine offene Datei, ein Prozess oder viele andere Dinge. Jedes geöffnete Anwendungsfenster auf Ihrem Computer verfügt beispielsweise über ein eindeutiges „Fensterhandle“, mit dem Sie darauf verweisen können.

DLLs oder Dynamic Link Libraries sind gemeinsam genutzte Teile kompilierten Codes, die in einer separaten Datei gespeichert werden und von mehreren Anwendungen gemeinsam genutzt werden können. Anstatt dass jede Anwendung ihre eigenen Dialoge zum Öffnen / Speichern von Dateien erstellt, können alle Anwendungen einfach den von Windows in der Datei comdlg32.dll bereitgestellten allgemeinen Dialogcode verwenden.

Ein paar Minuten Durchsuchen der Liste der Griffe brachte uns ein wenig näher an das Geschehene, da wir Griffe für Internet Explorer und Chrome gefunden haben, die beide derzeit auf dem Testsystem geöffnet sind. Wir haben definitiv bestätigt, dass Search Protect etwas zu unseren offenen Browserfenstern unternimmt, aber wir müssen ein wenig mehr recherchieren, um herauszufinden, was genau ist.

Als Nächstes doppelklicken Sie auf den Prozess in der Liste, um die Detailansicht zu öffnen. Wechseln Sie dann zur Registerkarte Image, auf der Sie Informationen zum vollständigen Pfad der ausführbaren Datei, zur Befehlszeile und sogar zur Registerkarte finden Arbeitsordner. Wir klicken auf die Schaltfläche "Durchsuchen", um einen Blick auf den Installationsordner zu werfen und zu sehen, was sich dort sonst noch versteckt.

Interessant! Wir haben hier eine Reihe von DLL-Dateien gefunden, aber aus einem seltsamen Grund waren keine dieser DLL-Dateien in der DLL-Ansicht für den Suchschutzprozess aufgeführt, als wir uns das zuvor angesehen haben. Das könnte ein Problem sein.

Nächste Seite: Umgang mit gesperrten Dateien und Ordnern