सार - मैं एक "आपराधिक" प्रक्रिया का पता लगाने की कोशिश कर रहा हूं जो मेरे विंडोज 10 पीसी का उपयोग नहीं करने पर स्वचालित रूप से विज्ञापन खोलता है। मैंने प्रोसेस मॉनिटर की कोशिश की, लेकिन प्रोसेस ट्रेस नामक एक सिस्टम सेवा पर समाप्त हो गया पृष्ठभूमि कार्य इन्फ्रास्ट्रक्चर सेवा । मैं यह पता लगाने के लिए अगले कदम पर मदद मांग रहा हूं कि इस सेवा के माध्यम से किसने विज्ञापन शुरू किया।
कहानी संक्षिप्त में। मैंने कुछ वायरस पकड़े (100% यकीन है कि यह एक वायरस था) और मैन्युअल रूप से विंडोज डिफेंडर (11/13/2016 देर रात) दोनों का उपयोग करके कुछ क्लीन-अप किया। ऐसा लगता है, हालांकि, वायरस पूरी तरह से साफ नहीं किया गया था।
कुछ (तो निश्चित नहीं हो सकता है कि यह वायरस था) मोज़िला फ़ायरफ़ॉक्स (मेरा डिफ़ॉल्ट ब्राउज़र) दिन में एक बार बस उसी वेब विज्ञापन को दिखाने के लिए, जो यहाँ है - विज्ञापन पृष्ठ, तब से न खोलें क्योंकि मुझे यकीन नहीं है कि यह पेज सुरक्षित है: http://qaafa.com/7fKEs582d18c5aebf7euplsX1eWReAj?r=L2Rhb2xud29kL3p5eC5zcHBhc3dvZG5pd3phZC8vOnB0dGg= । यह पहली बार 11/14/2016 को हुआ। आज 11/16 है, और यह वास्तव में तीसरी बार हुआ था।
चूंकि उस फ़ायरफ़ॉक्स की मूल प्रक्रिया आईडी कुछ भी नहीं होने की ओर इशारा करती है (यह मेरे अनुभव से दूसरी बार हुआ था जो कल हुआ था), मैंने उपयोग किया प्रक्रिया की निगरानी प्रक्रिया निर्माण की घटनाओं को देखने के लिए। फ़िल्टरिंग के बिना, मॉनिटर प्रत्येक सेकंड में हजारों घटनाओं को कैप्चर करता है, इसलिए मैंने "फायरफॉक्स। Exe" स्पॉन की केवल प्रक्रिया निर्माण घटनाओं को शामिल करने के लिए फ़िल्टर किया।
अच्छी खबर थी, यह काम किया। इस आयोजन पर कब्जा कर लिया गया था
High Resolution Date & Time: 11/16/2016 6:41:00.6482030 PM
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
TID: 8528
Duration: 0.0000000
PID: 904
Command line: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "http://dazwindowsapps.xyz/download/index.php?mn=9995"
और फ़ायरफ़ॉक्स शुरू करने वाली मूल प्रक्रिया का विवरण था
Description: Windows Explorer
Company: Microsoft Corporation
Name: explorer.exe
Version: 10.0.14393.0 (rs1_release.160715-1616)
Path: C:\WINDOWS\explorer.exe
Command Line: C:\WINDOWS\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
PID: 7000
Parent PID: 812
Session ID: 1
User: <hostname>\<username> (Personal user I am using)
Auth ID: 00000000:0008e4e4
Architecture: 64-bit
Virtualized: False
Integrity: Medium
Started: 11/16/2016 6:41:00 PM
Ended: 11/16/2016 6:42:00 PM
Modules:
...
बुरी खबर, जो स्पष्ट थी, यह थी कि मूल प्रक्रिया "explorer.exe" थी और जिस मार्ग ने संकेत दिया वह वास्तव में वास्तविक था विन्डोज़ एक्सप्लोरर कार्यक्रम और प्रक्रिया।
द यूयूआईडी {75dff2b7-6936-4c06-a8bb-676a7b00b24b} इशारा करना HKLM\SOFTWARE\Classes\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b}, जिसका "लोकलसर्वर 32" उप-कुंजी "(डिफ़ॉल्ट)" मान है %SystemRoot%\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b}।
हालाँकि, इस प्रक्रिया की जानकारी यह भी दी गई कि "explorer.exe" के इस विशिष्ट उदाहरण की मूल आईडी 812 थी, जो अभी भी उस समय चल रही है जब मैं अपने पीसी पर वापस आ रहा हूं - ब्रोकरइन्फ्रास्ट्रक्चर (बैकग्राउंड टास्क इन्फ्रास्ट्रक्चर सर्विस) ।
अब मैं जो देख रहा हूं, यह सेवा स्पष्ट रूप से एक दलाल है जैसा कि इसके नाम से पता चलता है। "कुछ एक" (एक प्रक्रिया, उदाहरण के लिए) होना चाहिए, इस ब्रोकर के माध्यम से कुछ घटना प्रकाशित की, और ब्रोकर ने फ़ायरफ़ॉक्स शुरू करने के लिए कमांड लाइन के साथ स्वयं विंडोज एक्सप्लोरर को जन्म दिया। यह घटना होने की संभावना थी (अनुमान लगाते हुए) "मैं इस URL को खोलना चाहता हूं", और वास्तविक विंडोज सेवा ने इसके लिए सिर्फ अपने डिफ़ॉल्ट ब्रोकर को चुना।
ठीक है... अगला कदम क्या है मुझे वास्तविक "आपराधिक" प्रक्रिया का पता लगाना चाहिए?
अतिरिक्त जानकारी
मेरे पास वास्तव में न सिर्फ प्रोसेस मॉनिटर चल रहा था, बल्कि "ऑडिट प्रोसेस ट्रैकिंग" भी चालू था स्थानीय समूह नीति । ऑडिटिंग उस समय हुई "प्रोसेस क्रिएशन" घटनाओं को दिखाती है (शाम 6:41:00 बजे):
1 -
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: <hostname>$
Account Domain: HOME
Logon ID: 0x3E7
Target Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Process Information:
New Process ID: 0x27b0
New Process Name: C:\Windows\explorer.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x504
Creator Process Name: C:\Windows\System32\svchost.exe
Process Command Line:
2 -
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: <hostname>$
Account Domain: HOME
Logon ID: 0x3E7
Target Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Process Information:
New Process ID: 0x1b58
New Process Name: C:\Windows\explorer.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x32c
Creator Process Name: C:\Windows\System32\svchost.exe
Process Command Line:
3 -
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Target Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Process Information:
New Process ID: 0x388
New Process Name: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x1b58
Creator Process Name: C:\Windows\explorer.exe
Process Command Line: