Bueno, recientemente me encontré con un problema extraño.
Cada vez que intento iniciar ProcessMonitor, se inicia otro programa irrelevante (un software de mensajería instantánea, de hecho).
Al final, la única forma de iniciar ProcessMonitor es desinstalar ese software de mensajería instantánea. Probé ProcessMonitor en las computadoras de mis colegas pero ninguno ve lo mismo.
Entonces, ¿tienen alguna idea de cómo resolver esto? Gracias de antemano.
Respuesta1
Consulte la siguiente clave de registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
La forma más sencilla de secuestrar la ejecución de un programa es crear una subclave denominada exe,
\notepad.exe
y una cadena "depurador" usando la ruta exe como valor, el secuestrador quiere ejecutar:
"debugger"="c:\windows\system32\cmd.exe"
Ahora, en lugar del bloc de notas, se ejecutará cmd. Probablemente el IM falso creó dicha clave de registro.
Por cierto, si el secuestrador utiliza un depurador falso como svchost, las ejecuciones automáticas ocultan la opción de secuestro por defecto, porque es un exe firmado por MS.
Respuesta2
Tuve el mismo problema con un programa de mensajería instantánea empresarial Tencent RTX.
Resuelto eliminando algunas entradas de registro en typelib. Así que intenta deshacerte de algunas entradas de registro sospechosas asociadas con el programa de mensajería instantánea.
@Mxx: No fui nada vago. La clave es eliminar las bibliotecas de tipos/apis que hacen referencia a los ejecutivos del programa de mensajería instantánea. Pero podría haber usado cualquier programa de mensajería instantánea distinto al mío y las entradas podrían no ser consistentes. Así que no pensé que tuviera sentido especificar mis entradas. El punto esencial aquí es localizar las entradas de typelibs/apis que hacen referencia a los ejecutivos del programa IM y eliminarlas.
Debido a que son entradas de Typelib/interfaz, como señalé, están en ROOT/Typelib y ROOT/Interface. Los nombres específicos podrían ser específicos del programa de mensajería instantánea. En mi caso, estaban en typelib en {1512291F-F2F2-4E52-9F6A-5F0756F3B9CB} en ROOT/TypeLib a la que se hace referencia mediante la interfaz de tipo 'IClientApi' en {561A4CFD-9878-4022-AD1E-499FDBB0D72F} en ROOT/Interface.
Sin embargo, no hay garantía de que estuviera usando el mismo programa de mensajería instantánea que el mío (que es RTX) o que su programa de mensajería instantánea usara el mismo tipo de biblioteca/interfaz, ya que no logré duplicar el problema con otro programa de mensajería instantánea. Por cierto, simplemente eliminar esas entradas solo podría resolver el problema temporalmente, ya que el programa de mensajería instantánea podría restaurarlas más adelante, pero eso está fuera del alcance de esta pregunta.
Por lo tanto, mi respuesta proporcionará un indicador de la solución específica para el programa de mensajería instantánea específico que causa el problema, solo para que pueda comenzar a buscar entradas en ROOT/TypeLib y/o ROOT/Interface que contengan referencias a los ejecutivos del programa de mensajería instantánea específico. causando el problema.