Create Hidden Process (CHP) что это такое?
Привет ребята! Create Hidden Process (CHP) — относится к фирменной программе от Билайна для подключения интернета (предположительно мобильного). Программа называется Мастер настройки.
Работает под процессом chp.exe, данная информация подтверждается официальным представителем Билайна ВКонтакте:
Ссылка на Мастер настройки:
Судя по офф сайту — приложение Мастер настройки необходимо для настройки VPN-подключения, Wi-Fi-роутера, а также для диагностики сетевых неисправностей ПК.
Поддерживаются следующие роутеры:
Внешний вид ПО Мастер настройки:
Полную информацию о функционале программы читайте на представленном выше офф сайте.
Как убрать из автозагрузки?
Чтобы убрать из автозагрузки — зажмите Win + R, введите команду:
Далее на вкладке автозагрузка — снимите галочку с Create Hidden Process. Однако после перезагрузки галочка может восстановиться. Для полного контроля автозагрузки используйте инструмент AnVir Task Manager или CCleaner (раздел Сервис > Автозагрузка).
Как удалить с ПК?
Для удаления программы Мастер настройки (Create Hidden Process) штатными средствами зажмите Win + R, введите команду:
Откроется окно с установленным софтом. Найдите приложение > нажмите правой кнопкой > выберите удалить. Следуйте инструкциям на экране.
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Program в автозагрузке Windows 10 — что это, как удалить? (Abcde)
Приветствую. Разбираемся с непонятным элементом в автозагрузке — Program, название конечно банальное, под ним может скрываться что угодно: от вируса до системного компонента от Microsoft. На заметку: старайтесь не качать софт с сомнительных сайтов, торрентов — легко подцепить рекламный вирус, удалить который не всегда просто.
Program в автозагрузке — что это такое?
Недействительная запись запуска программы после включения ПК. Причина — какая-то программа была некорректно удалена. В теории это может быть дело рук вирусов.
На форуме Microsoft советуют скачать утилиту AutoRuns — будет идти в виде архива zip. Нужно распаковать, желательно в папку AutoRuns > запустить внутри файл AutoRuns.exe от имени администратора. Строчка Program будет выделена желтым, нужно снять галочку, после этого Program должна в автозагрузке диспетчера исчезнуть. Потом можно в AutoRuns удалить строчку — правой кнопкой > Delete. Данный совет размещен на офф сайте Microsoft, помог многим людям.
Стало интересно что за запись такая. Нашел такую картинку — здесь в колонке Командная строка видим — приложение запускается процессом Abcde.exe (само название странное):
Если нет колонки Командная строка — нажмите правой кнопкой по названию любой колонки > появится менюшка — выберите самый нижний пункт:
Удивительно — оказывается название Abcde является официальным для случаев, когда запись есть, а программы по факту нет. Ведь запись что должна делать? Должна запускать указанную программу после включения ПК. Однако программа отсутствует, поэтому вместо нее отображается название Abcde. Почему так случилось? Скорее всего была удалена программа, создатели которой не позаботились о корректном удалении, в итоге запись в автозагрузке осталась. Поэтому Windows заменила название отсутствующей проги на Abcde (просто состоит из первых букв английского алфавита). Почему так делает Windows — вопросы к разработчикам операционки Windows.
Строчек Program может быть вообще несколько.
Что еще сделать стоит?
Чтобы сделал на вашем месте:
При отсутствии антивируса — можете установить например Avast (неплохой). Но я лично советую Kaspersky Free — бесплатная версия, не тормозит (если конечно проверка не запущена), обновляет антивирусные базы, защищает отлично.
Чистка автозагрузки
Чистка автозагрузки, инструкция, объяснения, советы и комментарии. Таблица с конкретными записями автозагрузки, например, program program.
Зачем нужно чистить автозагрузку?
Множество программ при установке добавляют себя в автозагрузку, что бы вместе с рабочим столом включались и функционировали некоторые функции, модули, программы. Например, установили драйвер для принтера, а он в автозагрузку поставил программу, которая будет следить за процессом печати. Может получится ситуация, что у вас в автозагрузке будет очень много лишнего, и компьютер из-за этого будет долго думать.
Как почистить автозагрузку?
В открывшееся окно пишем «msconfig» и нажимаем enter или OK.
Откроется следующее окно, переходим во вкладку Автозагрузка.
Красным обвел пункт, который свидетельствует о активации пункта. Если стоит галочка, то программа включается вместе с компьютером, если нет, то программа не запускается автоматически. Синим обведено название пункта. Черным обвел путь, от куда запускается программа. Если вам не видно название или путь полностью, то нужно растянуть нужным вам столбец. Обратите внимание на разделители, на разделитель у названия я выделил желтым. Наводим указатель, он измениться со стрелочки на палку с двумя стрелками в бока. Зажимаем левую кнопку мыши и ведем вправо до тех пор, пока не растяните до нужного размера.
В Windows 10 достаточно нажать правой кнопкой мыши по пункту и выбрать «Отключить».
Как понять какую программу можно отключить?
Трудно описать любую программу, которая может вас там встретиться. Рассмотрим то, что запускается на моем компьютере. Вообще программы должны запускаться из Program Files или из Windows — всё, что загружается из других папок под подозрением. Первый пункт Диспетчер Realtek, второй пункт HD Audio — это компоненты звукового драйвера, не отключайте. Следующий пункт 2гис, он нужен для поиска обновлений базы дубльгиса и самой программы. Вы вполне можете вручную запускать обновления, хотя по большому счету много ресурсов на себя он не возьмет. В общем, если хотите, можете отключить. Следующие два пункта Notifer и BNM Updater, загружаются из другой папки, это сомнительные пункты. Это компоненты от специальной программы от билайна, у меня компьютер подключен по Wi-Fi к роутеру, и в общем мне эти компоненты не нужны. Если у вас нет роутера, и кабель входящий в квартиру сразу входит в компьютер, то в случаи если у вас билайн не отключайте, в любом другом случаи конкретно эти два пункта можно отключить. Следующая программа mobilegeni daemon, она служит для синхронизации данных между компьютером и устройством на базе Android. Однозначно данную программу стоит отключить. Следующая Google Update, обновление программ от гугла, например, гугл хром. Можете отключить. Далее майл агент, но тут момент, при следующем включении агента он опять добавит себя в автозагрузку, это в нем самом отключать надо. Следующие два пункта это антивирус — Amiti Antivirus.
Далее у меня 4 пункта, которые уже отключены. Уже ранее отключенный Google Update, видимо после отключения еще раз прописался. Java Platform нужна для работы программ построенных на базе языка Java, в общем, в большинстве случаев требуется для онлайн банкинга. Если вы не пользуетесь онлайн банками, и не используете специальные банковские или бухгалтерские программы. SymphonyPreLoad это еще один бесплатный аналог Word, в общем можно спокойно отключить, даже если вы его используете. Последнее Create virtual drive, это денвер, программа специальная для локального веб сервера, если вы не понимаете, что это такое, то его точно можно отключить.
Если «daemon» это полное название файла в автозагрузке, то это скорее всего вирус, если нет, то стоит искать по полному названию файла \ программы.
Стоит убрать из автозагрузки, и если она снова в ней появится, то можно установить другую программу для чтения pdf файлов, на нашем сайте их представлено достаточно много.
Если такой программы у вас нет и не было, то это может быть вирус.
Dr.web cureit можно использовать только для дома, и только для личный \ некоммерческих целей.
Если вы сомневаетесь в каких-то файлах в автозагрузке, то всегда можно проверить их при помощи VirusTotal (Наберите в поиске и первая же ссылка будет на их сайт).
Скрываем процесс в диспетчере задач Windows
Intro
Часто анонимность и скрытность играют ключевую роль в успешном выполнении каких-либо действий как в реальности, так и в виртуальности, в частности в операционных системах. В данной статье речь пойдет о том, как стать анонимным в OS Windows. Вся информация предоставлена лишь для цели ознакомления.
Итак, мы попробуем скрыться от глаз пользователя в диспетчере задач Windows. Способ, с помощью которого мы будем этого добиваться является чрезвычайно простым по отношению к тем, которые основаны на перехвате ядерных( часто недокументированных ) функций и на создании собственных драйверов.
Как видно, что с нашим процессом никаких манипуляций производиться не будет: он как работал, так и будет себе работать. Так как стандартный рядовой пользователь Windows, как правило, не использует никаких других тулз для просмотра запущенных процессов на его компьютере, то это лишь сыграет нам «на руку». Процесс в большинстве случаев обнаружен не будет.
Что использовалось для исследования:
1) Spy++ от Microsoft ( для изучения иерархии дочерних окон Диспетчера задач )
2) OllyDBG для просмотра функций, используемых диспетчером для получения снэпшота процессов.
3) Собственно, сам taskmng.exe( Диспетчер задач )
Для написания кода будем использовать среду Delphi. Скорее, Delphi будет удобнее в нашем случае, нежели C++. Но это лишь мое скромное мнение.
Что ж, первым делом попытаемся выяснить, что из себя представляет список процессов и как он работает. С полувзора понятно, что это обычное окно класса «SysListView32»( список ), которое обновляется с частотой 2 кадра в секунду( раз в 0.5 секунд ). Смотрим иерархию окон:
Как видим, список процессов, в самом деле, есть обычное окно класса «SysListView32», которое является дочерним по отношению к окну(вкладке) «Процессы», которое также является дочерним по отношению к главному окну Диспетчера задач. Имеем лишь двойной уровень вложенности. Кроме того у списка имеется одно дочернее окно класса «SysHeader32», которое, как не трудно догадаться является заголовком( маркером полей ) для списка процессов.
Так как перед нами обычный список, то в нашем распоряжении целый набор макрокоманд для управления его содержимым. Их разнообразие, на первый взгляд, восхищает. Но многие из них работают лишь из родительского процесса, т.е чтобы их нам использовать, необходимо будет сымитировать, будто они выполняются в родительском процессе. Но таковым свойством обладают не все, в частности, макрокоманда ListView_DeleteItem, которая удаляет элемент из окна-списка( класс «SysListView32» ).
Её мы и будем использовать в процессе нашего приложения. Данная функция вторым параметром получает индекс удаляемого элемента.
Теперь нам надо как-то выяснить, каким же индексом обладает элемент с лэйблом скрываемого процесса в диспетчере задач. Для этого нам нужно как-то вытащить из списка процессов в диспетчере задач все элементы( лэйблы с именами процессов ) и последовательно их сравнивать с именем того процесса, который мы желаем скрыть.
Используя макрокоманды типа ListView_GetItemText наши действия были бы примерно следующими:
1) Выделение участка памяти в процессе диспетчера задач ( VirtualAllocEx )
2) Посылка дочернему окну-списку Диспетчера задач сообщения LVM_GETITEMTEXT ( SendMessage )
3) Запись в выделенную область памяти Диспетчера задач информации об элементе списка ( WriteProcessMemory )
4) Чтение из памяти диспетчера той информации, которая нас интересует о процессе ( ReadProcessMemory )
Используя этот способ можно легко «выстрелить себе в ногу», считая байты смещения от начала различных используемых в коде структур. Так же этот способ будет достаточно тяжел для тех, кто не особо углублен в WinAPI, так что его мы сразу уберем в сторонку. В прочем, найти реализацию данного способа на просторах интернета не составит особого труда. Вместо этого, я предложу вам сформировать свой список процессов, и уже ориентируясь в нем, искать заветный индекс процесса в списке процессов Диспетчера задач.
В Microsoft решили особо не парится по поводу тулзы, именуемой «Диспетчер Задач», и использовали обычные функции WinAPI для получения всех процессов в системе. Поверхностно смотрим taskmng.exe под отладчиком:
Видим использование WinAPI функции CreateToolHelp32SnapShot.
Всем известно, что ‘эту функцию можно использовать не только для получения снэпшота процессов, но и потоков процесса или модулей, например. Но в данном случае это маловероятно. Вряд ли здесь будут использовать что- то в роде енумератора процессов ( EnumProcesses ).
Мы остановились на том, что хотим сформировать свой список процессов и искать наш процесс в нем. Для этого воспользуемся той функцией, что обнаружили в отладчике. Если откроем диспетчер задач на вкладке «Процессы», то заметим, что все процессы отсортированы по алфавиту для удобства поиска. Следовательно, нам нужно получить список имен всех процессов в системе и отсортировать их по возрастанию в алфавитном порядке. Приступим к написанию кода в Delphi.
Для начала создадим демонстрационное оконное приложение с двумя таймерами: первый будет переформировывать список с процессами с той же частотой, с которой это делает Диспетчер задач Windows( раз в две секунды ); второй будет срабатывать 1000 раз в секунду и будет служить для отслеживания обновления списка процессов в диспетчере и, следовательно, появления нашего скрываемого процесса. Также добавим на форму кнопку.
Вот, собственно, и весь код.
Скроем, например, в Диспетчере задач процесс самого Диспетчера задач:
И по нажатию на кнопку «Скрыть процесс» процесс исчезает из списка:
Все следы присутствия в системе стерты, а сам он спокойно выполняется в обычном режиме где-то в глубинах процессора:)
Outro
Что ж, думаю, такой способ заслуживает существовать, правда он требует небольших доработок. Да, конечно же с его помощью нельзя скрыть процесс от самой системы, но сокрытие в стандартной тулзе Windows, которой пользуется львиная доля всех пользователей, это тоже неплохо.
Надеюсь, мне удалось вас хоть немножечко заинтересовать данной темой.
До скорого! И да пребудет с вами сила анонимности…
Содержание:
↑ Автозагрузка в Windows 10
↑ Как очистить автозагрузку в Windows 10
С точностью до наоборот вы можете включить автозапуск программы. Здесь необходимо заметить, что ненужный софт, находящийся в автозапуске можно ещё и удалить. Например удалим программу Download Master. Сделать это можно обычным способом в панели «Удалить или изменить программу» или щёлкните на программе правой кнопкой мыши и выберите «Открыть расположение файла»,
откроется личная папка приложения. За удаление любой программы обычно отвечает файл unins000.exe, двойным щелчком левой мыши запускаем его и удаляем приложение.
В некоторых случаях файла unins000.exe не будет, например, щёлкнем правой кнопкой мыши на ярлыке « www.rvulkan » и выберем «Открыть расположение файла», откроется папка «Автозагрузка» по адресу:
C:\Users\Ваше имя_пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup,
в которой будет находится ярлык, автоматически открывающий вредоносный сайт при старте системы, в этом случае нужно удалить ярлык.
Здесь важным будет заметить, что папок с именем «Автозагрузка» в Windows 10 находится две.
Для определённого пользователя папка находится по адресу:
C:\Users\Ваше имя_пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Открыть её можно очень простым способом.
Пуск—>Выполнить, вводим в поле ввода команду: shell:startup
Папка автозагрузки для всех пользователей находится по другому адресу:
Почему начинающие пользователи не могут найти в проводнике папку «Автозагрузка»
↑ Как добавить программу в автозагрузку
↑ Что делать, если файлов какой-либо программы нет в автозагрузке, но она всё равно запускается вместе с системой
↑ Автоматически запускаемые программы в реестре
Для редактирования раздела реестра, принадлежащего всем пользователям перейдите в раздел:
сделать это можно прямо отсюда. Щёлкните правой мышью на разделе Run и выберите пункт «Перейти в раздел HKEY_LOCAL_MACHINE».
↑ Планировщик заданий Windows 10
В открывшемся окне щёлкаем левой мышью на пункте «Библиотека планировщика заданий» и в правой части окна видим все записи планировщика.
Рассмотрим имеющиеся записи и попытаемся найти вредоносные.
Друзья, в основном здесь находятся записи, принадлежащие нормальным разработчикам программ, таким как: Acer, Google и так далее, но одна подозрительная запись всё же есть. Двойным щелчком левой мыши щёлкаем на подозрительной записи с именем «internet»,
Как видим у задачи нет никакого описания. Переходим на вкладку «Действия».
На вкладке «Действия» всегда есть информация о том, какой файл запускает именно это задание планировщика.
В нашем случае задача запускает вредоносный браузер «Амиго».
Удаляем эту запись в планировщике. Щёлкаем правой мышью на записи с именем «internet» и выбираем «Удалить».
↑ Отключение автоматически запускаемых служб
«Система и безопасность»
Находим Службу поддержки Bluetooth и щёлкаем на ней двойным щелчком левой мыши.
