天下网吧 >> 网吧系统 >> 系统介绍 >> 正文

活用2个小工具,查找网吧广告是谁创建的

老实说,现在的网吧软件不带点广告 ,还真不是网吧软件。不过有些软件带的广告太恶劣了,天地难容的广告,咱们就得找出来,并且想办法屏蔽掉,这才是一个网吧维护人员应该做的。下面就推荐一个手动查找广告元凶的工具和使用教程吧:

首先用到的文件有:


我的电脑在安装了某个软件之后,感觉被捆绑了,结果,桌面老是会被创建一个快捷方式:美女在线直播-全民TV

 

删除了很多次,还是会自动跳出来,任务管理器查看进程,无不良进程,估计是系统进程被注入模块了。那就把它揪出来吧。首先,我个打开火绒剑,监控桌面的文件创建,步骤如下:

过滤--动作过滤:只勾选:创建文件和写入文件,路径填:C:\Users\Administrator\Desktop   包含  开始监控:开始监控之后,我们首先删除桌面已生成的       美女在线直播-全民TV.lnk,不一会,桌面再次生成了该快捷方式,而且火绒剑也捕捉到了,看图:

 

是c:\windows\syswow64\svchost.exe的进程创建的,进程PID为:6004    右键查看该文件,显示是Microsoft的系统文件,应该是被注入了DLL,怎么看呢,这时需要PCHunter64.exe,打开它,找到PID   6004的进程:svchost.exe,然后下方显示模块,果然,有一个DESKTOP.dll的DLL注入到了该进程,在该模块上右键,定位到DLL文件,没什么好说的,卸载模块并删除该文件即可,至此,元凶已找到,同样的方法还可以做很多事,举一反三,最后还是把PCHunter64的图挂上,这个图是我卸载了之后补的,你可能找不到PID 6004的进程,只是贴出来帮助使用PCHunter64.exe而已。

 

第二则:360安全浏览器的收藏夹老是自动收藏乱七八槽的网站,删除了之后会再次出现。

经查,需要360的收藏夹是在一个DB的数据库里边,位置:C:\Users\Administrator\AppData\Roaming\360se6\apps\data\users\default\360sefav.db

那我们就用火绒剑监控该文件的写操作吧。

 

查看是哪个进程创建的,同样的方法,PCHunter64.exe查看该进程的加载模块,看看是不是进程被注入DLL了。

本文来源:天下网吧论坛 作者:天下网吧

相关文章
没有相关文章
声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行