Uso de Process Explorer para solucionar problemas y diagnosticar

Comprender cómo funcionan los diálogos y las opciones de Process Explorer es bueno y está bien, pero ¿qué hay de usarlo para solucionar problemas o diagnosticar un problema? La lección de Geek de hoy tratará de ayudarte a aprender cómo hacerlo..

NAVEGACION ESCOLAR

1. ¿Qué son las herramientas de SysInternals y cómo las usa??
2. Entendiendo el Explorador de Procesos
3. Uso de Process Explorer para solucionar problemas y diagnosticar
4. Comprensión del monitor de proceso
5. Uso de Process Monitor para solucionar problemas y encontrar trucos de registro
6. Uso de Autoruns para lidiar con procesos de inicio y Malware
7. Uso de BgInfo para mostrar información del sistema en el escritorio
8. Uso de PsTools para controlar otras PC desde la línea de comandos
9. Analizar y administrar sus archivos, carpetas y unidades
10. Envolviendo y usando las herramientas juntas

No hace mucho tiempo, comenzamos a investigar todo tipo de malware y crapware que se instala automáticamente cada vez que no prestas atención al instalar el software. Casi todas las piezas de software gratuito en el mercado, incluidas las de "buena reputación", están agrupando barras de herramientas, buscando piratería o adware, y algunas de ellas son difíciles de solucionar..

Hemos visto muchas computadoras de personas que sabemos que tienen tanto spyware y adware instalado que la PC apenas se carga. Tratar de cargar el navegador web, especialmente, es casi imposible, ya que todo el software de seguimiento y adware compite por los recursos para robar su información privada y venderla al mejor postor..

Así que, naturalmente, queríamos investigar un poco cómo funcionan algunos de estos, y no hay un lugar mejor para comenzar que el malware de Conduit Search, que ha reclamado cientos de millones de computadoras en todo el mundo. Esta tristeza nefasta secuestra su motor de búsqueda en su navegador, cambia su página de inicio y, lo que es más molesto, se apodera de su página Nueva pestaña, sin importar en qué esté configurado su navegador..

Comenzaremos observando eso, y luego le mostraremos cómo usar Process Explorer para solucionar errores que hablan de archivos bloqueados y carpetas que están en uso..

Y luego lo resumiremos con otra mirada de cómo algunos programas publicitarios se están ocultando detrás de los procesos de Microsoft para que parezcan legítimos en Process Explorer o Task Manager, aunque en realidad no lo están..

Investigando el Malware de Búsqueda de Conductos

Como mencionamos, el secuestrador de búsqueda de Conduit es una de las cosas más persistentes, terribles y terribles que probablemente cada uno de sus parientes tenga en su computadora. Combinan su software de manera no intencional con cualquier programa gratuito que puedan y, en muchos casos, incluso si selecciona la opción de exclusión voluntaria, el secuestrador seguirá instalado..

Conduit instala lo que ellos llaman "Protección de búsqueda", lo que, según afirman, evita que el malware realice cambios en su navegador. Lo que no mencionan es que también le impide realizar cambios en su navegador a menos que use el panel de Protección de búsqueda para realizar esos cambios, que la mayoría de las personas no conocerán ya que están enterrados en la bandeja del sistema..

Conduit no solo redirigirá todas sus búsquedas a su propia página de Bing personalizada, sino que la configurará como su página de inicio. Habría que asumir que Microsoft les está pagando por todo este tráfico a Bing, ya que también están pasando algo ?pc = conducto tipo de argumentos en la cadena de consulta.

Dato curioso: la compañía detrás de este pedazo de basura vale 1.5 billones de dólares y JP Morgan invirtió $ 100 millones en ellos. Ser malvado es rentable.

Conduit secuestra la página de la nueva pestaña ... pero cómo?

El secuestro de su búsqueda y página de inicio es trivial para cualquier malware: aquí es donde Conduit intensifica el mal y de alguna manera vuelve a escribir la página Nueva pestaña para forzarla a mostrar Conduit, incluso si cambia cada configuración..

Puedes desinstalar todos tus navegadores, o incluso instalar un navegador que no tenías instalado antes, como Firefox o Chrome, y Conduit todavía se las arreglará para secuestrar la página Nueva pestaña..

Alguien debería estar en la cárcel, pero probablemente estén en un yate..

No hace falta mucho en términos de habilidades geek para deducir que el problema es la aplicación Search Protect que se ejecuta en la bandeja del sistema. Elimine ese proceso y, de repente, las nuevas pestañas se abren de la forma que pretendía el creador del navegador..

Pero, ¿cómo, exactamente, hace esto? No hay complementos o extensiones instaladas en ninguno de los navegadores. No hay complementos. El registro está limpio. Cómo lo hicieron?

Aquí es donde nos dirigimos a Process Explorer para hacer una investigación. Primero, encontraremos el proceso de Protección de búsqueda en la lista, que es bastante fácil porque está correctamente nombrado, pero si no estuviera seguro, siempre puede abrir la ventana y usar el pequeño icono de ojo de buey al lado de binoculares para averiguar qué proceso pertenece a una ventana.

Ahora simplemente puede seleccionar el proceso apropiado, que en este caso fue uno de los tres que se ejecutan automáticamente por el Servicio de Windows que Conduit instala. ¿Cómo supe que era un servicio de Windows que lo reinicia? Porque el color de esa fila es rosa, por supuesto. Con ese conocimiento, siempre podré detener o eliminar el servicio (aunque en este caso particular, simplemente puede desinstalar desde Desinstalar programas en el Panel de control).

Ahora que ha seleccionado el proceso, puede usar las teclas de acceso directo CTRL + H o CTRL + D para abrir la vista de Manijas o la vista de DLL, o puede usar el menú Ver -> Panel inferior Ver para hacerlo.

Nota: en el mundo de Windows, un "identificador" es un valor entero que se utiliza para identificar de forma única un recurso en la memoria como una ventana, un archivo abierto, un proceso o muchas otras cosas. Cada ventana de aplicación abierta en su computadora tiene un "identificador de ventana" único, por ejemplo, que puede usarse para referenciarlo.

Las DLL, o bibliotecas de enlaces dinámicos, son piezas compartidas de código compilado que se almacenan en un archivo separado para ser compartido entre múltiples aplicaciones. Por ejemplo, en lugar de hacer que cada aplicación escriba sus propios cuadros de diálogo Abrir / Guardar archivo, todas las aplicaciones pueden simplemente usar el código de diálogo común proporcionado por Windows en el archivo comdlg32.dll.

Revisar la lista de manejadores durante unos minutos nos acercó un poco más a lo que estaba sucediendo, porque encontramos manejadores para Internet Explorer y Chrome, los cuales están actualmente abiertos en el sistema de prueba. Definitivamente hemos confirmado que Search Protect está haciendo algo con nuestras ventanas abiertas del navegador, pero tendremos que hacer un poco más de investigación para averiguar exactamente qué.

Lo siguiente que debe hacer es hacer doble clic en el proceso en la lista para abrir la vista de detalles, y luego pasar a la pestaña Imagen, que le dará información sobre la ruta completa al ejecutable, la línea de comandos e incluso la carpeta de trabajo. Haremos clic en el botón Explorar para ver la carpeta de instalación y ver qué más se esconde allí..

¡Interesante! Hemos encontrado un número de archivos DLL aquí, pero por alguna extraña razón, ninguno de estos archivos DLL se enumeró en la vista DLL para el proceso de Protección de búsqueda cuando lo vimos anteriormente. Esto podría ser un problema.

Página siguiente: Cómo lidiar con archivos y carpetas bloqueados