Bem, encontrei um problema estranho recentemente.
Sempre que tento iniciar o ProcessMonitor, outro programa irrelevante (na verdade, um software de mensagens instantâneas) é iniciado.
No final, a única maneira de iniciar o ProcessMonitor é desinstalar o software de mensagens instantâneas. Eu tentei o ProcessMonitor nos computadores dos meus colegas, mas nenhum deles viu as mesmas coisas.
Então, vocês têm alguma ideia de como resolver isso? Desde já, obrigado.
Responder1
Confira a seguinte chave de registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
A maneira mais simples de sequestrar a execução de um programa é criar uma subchave chamada exe,
\notepad.exe
e uma string "debugger" usando o caminho exe como valor, o sequestrador deseja executar:
"debugger"="c:\windows\system32\cmd.exe"
Agora, em vez do bloco de notas, o cmd será executado. Provavelmente o IM falso criou essa chave de registro.
A propósito, se o sequestrador usar um depurador falso como o svchost, o autoruns ocultará o sequestro por opção padrão, porque é um exe assinado pela MS.
Responder2
Teve problema idêntico com um programa de mensagens instantâneas de negócios Tencent RTX.
Resolvido excluindo algumas entradas de registro no typelib. Portanto, tente se livrar de algumas entradas de registro suspeitas associadas ao programa de mensagens instantâneas.
@Mxx: Não fui nada vago. A chave é tirar do caminho os typelibs/apis que fazem referência aos executivos do programa de mensagens instantâneas. Mas ele poderia ter usado qualquer programa de mensagens instantâneas diferente do meu e as entradas poderiam não ser consistentes. Portanto, não achei que fizesse sentido especificar minhas entradas. O ponto essencial aqui é localizar as entradas typelibs/apis que fazem referência aos executivos do programa de mensagens instantâneas e removê-las.
Porque são entradas typelib/interface como apontei, elas estão em ROOT/Typelib e ROOT/Interface. Os nomes específicos podem ser específicos do programa de mensagens instantâneas. No meu caso, eles estavam em typelib em {1512291F-F2F2-4E52-9F6A-5F0756F3B9CB} em ROOT/TypeLib que foi referenciado pela interface de tipo 'IClientApi' em {561A4CFD-9878-4022-AD1E-499FDBB0D72F} em ROOT/Interface.
No entanto, não há garantia de que ele estava usando o mesmo programa de mensagens instantâneas que o meu (que é RTX) ou que seu programa de mensagens instantâneas usou o mesmo tipo de biblioteca/interface, pois não consegui duplicar o problema com outro programa de mensagens instantâneas. A propósito, simplesmente excluir essas entradas pode resolver o problema apenas temporariamente, pois o programa de mensagens instantâneas pode restaurá-las mais tarde, mas isso está fora do escopo desta questão.
Assim, minha resposta servirá como um ponteiro para a solução específica para o programa de IM específico que está causando o problema - apenas para que ele possa começar a procurar entradas no ROOT/TypeLib e/ou ROOT/Interface contendo referências aos executivos do programa de IM específico causando o problema.