Перехват системных сообщений браузера Windows

364
Adam Davis

Похоже, у меня есть процесс или приложение, которое отправляет сообщения в ОС, которые вызывают всплывающее окно браузера со страницей по умолчанию. Это может происходить десятки раз за несколько секунд, но в остальном кажется редким. Это происходит даже тогда, когда теперь запущены браузеры, например, при чистой загрузке.

Я выполнил обычные проверки безопасности / рекламного / вредоносного ПО, а также удаленные надстройки и расширения плагинов. Я удалил выбранный браузер, только чтобы эти сообщения приводили к загрузке IE.

Я удалил все программы, которые я установил после появления этой проблемы. Я также просмотрел список процессов, чтобы узнать, запущены ли какие-либо подозрительные процессы.

На данный момент я подозреваю, что единственный способ определить источник этих системных вызовов - перехватить само сообщение.

Есть простой способ сделать это? Мне нужно выяснить, какой процесс отправляет сообщения.

Это на установке Windows 7x64.

0
Вы пытались использовать [ComboFix] (http://www.bleepingcomputer.com/download/combofix/) для удаления нежелательных программ? Konrad Gadzina 11 лет назад 1
@KonradGadzina Нет, я использовал Spybot Search and Destroy. Возможно ли, что ComboFix найдет что-то, что пропустит Spybot? Adam Davis 11 лет назад 0
Я давно пользовался Spybot, поэтому не могу сравнить, но ComboFix отлично помог мне очистить при необходимости. ^^ Просто попробуй, кто знает. Konrad Gadzina 11 лет назад 1
@AdamDavis * Определенно *, что ComboFix найдет то, что пропустил Spybot. Aaron Miller 11 лет назад 0
Combofix не решил проблему. Adam Davis 11 лет назад 0
Попробуйте также MBAM (MalwareBytes). Karan 11 лет назад 0

1 ответ на вопрос

0
Adam Davis

Решение:

По-видимому, к этому компьютеру была подключена дополнительная клавиатура с мультимедийными клавишами, одна из которых нажималась настолько, чтобы вибрация рабочего стола могла соприкасаться.

Так что, если это происходит с вами, удалите все ваши USB-устройства на тот случай, если какой-нибудь джокер подключил USB-концентратор или длинный USB-кабель и спрятал разыгранную клавиатуру под столом.


Я закончил тем, что использовал Process Monitor и просматривал журнал непосредственно перед запуском браузера по умолчанию. Я заметил, что Explorer.exe просматривал ключи в реестре, связанные с кнопками на мультимедийных клавиатурах (например, у вас может быть клавиатура с кнопкой Интернета).

Таким образом, ключ, похожий на " HKLM/software/microsoft/windows/currenversion/explorer/appkey/7обычно", имеет " association" установлен на " http". Установка этого значения в «» отключает мультимедийный ключ Интернета.

У меня нет клавиатуры с этой клавишей, но я все равно внес изменение, так как кажется, что какой-то процесс отправляет это нажатие в систему.

Случайные окна больше не появляются, хотя я собираюсь позволить системе работать на ночь на всякий случай.

Все еще означает, что я не нашел основную причину (кто посылает это нажатие клавиши?), Но я нашел обходной путь.

На * совершенно не связанной * заметке, кто-нибудь знает какие-нибудь хорошие шутки, чтобы потянуть коллег? Мне нужно что-то действительно очень хорошее ... Adam Davis 11 лет назад 0