2

В своей работе я ежедневно использую Wireshark x64. Неожиданно сегодня он отказывается открываться.

  • Когда я дважды щелкаю файл pcap (или pcapng), Windows сообщает, что файл, который я пытался щелкнуть, не найден.
  • Когда я пытаюсь запустить Wireshark через стартовый экран, ничего не происходит.
  • Когда я пытаюсь запустить Wireshark через Launchy, ничего не происходит.
  • Когда я пытаюсь дважды щелкните Wireshark.exe в папке Program Files\Wireshark он утверждает , что файл не может быть найден ... (!)
  • Когда я открываю приглашение cmd, захожу в ту же папку и набираю wireshark или Wireshark.exe, я получаю это:

    D:\Program Files\Wireshark> wireshark Системе не удается найти файл D:\Program Files\Wireshark\Wireshark.exe.

Я попытался запустить монитор процесса, чтобы увидеть, происходит ли что-нибудь связанное, но я ничего не смог увидеть. По крайней мере, ничего, что содержит путь Wireshark, имя процесса и т.д.

Я проверил реестр в соответствии с несколькими статьями KB - нет ничего, что по умолчанию обрабатывает файлы .exe.

Другие .exe-файлы в той же папке работают как положено.

Я попытался удалить и переустановить Wireshark (последняя версия) в системе - это ничего не изменило.

Я пытался "работать от имени администратора" - те же результаты, что и раньше.

Это меня пугает, и я начинаю беспокоиться о вирусах и т.д. Я сделал обновление Защитника Windows и затем провел полную проверку. Ничего не нашел, так что по идее я чист.

У кого-нибудь есть идеи как решить эту проблему? Я немного использую Wireshark, так что было бы здорово разобраться - он отлично работал в течение прошлого года или около того, прежде чем это начало происходить внезапно сегодня.

РЕДАКТИРОВАТЬ: После тонны установки и удаления (в то же место, в разные места), я сделал простое, но странное открытие:

Если я переименую или сделаю копию Wireshark.exe, называемую как-нибудь кроме Wireshark, он запустится!

Так что нет никаких оснований думать, что с самой Wireshark что-то не так.

Так что-то сидит в мах 'Windows и смотрит на имена файлов исполняемых файлов, которые должны быть запущены, и вызывает ошибку? Мне нравится, что я могу начать Wireshark, но я в ужасе от того, что это может на самом деле означать.

РЕДАКТИРОВАТЬ 2: В соответствии с предложением Ramhound я пытался работать в безопасном режиме. Затем происходит то же самое - когда я пытаюсь запустить файл .exe, дважды щелкнув по нему, он утверждает, что его не удается найти. Если я копирую его на другое имя и запускаю, это работает.

Кроме того, я получил обновленные версии SpyBot и Kaspersky online для полного сканирования системы, и они ничего не обнаружили.

1 ответ1

3

Я нашел конкретную причину, по которой Wireshark.exe не запускается, в то время как, например, Wireshark2.exe (копия, которую я сделал в той же папке) работает нормально. Должно быть установлено какое-то вредоносное ПО, которого упомянутые убийцы не нашли.

Моя детективная работа в конечном итоге привела меня к инструменту под названием RogueKiller. Он обнаружил несколько интересных вещей, таких как раздел реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ Параметры выполнения файла изображения \ wireshark.exe

В частности, под этим ключом была настройка отладчика, ссылающаяся на «nqij.exe», а не файл, который есть в моей системе. Когда Wireshark попытался запустить, Windows, по-видимому, пыталась "отладить" его с помощью nqij.exe, который не смог найти, и процесс остановился.

Так что это решает мою проблему. Конечно, теперь я должен выяснить, как это попало на мой компьютер и избавиться от него.

Кстати, это была очевидная попытка избежать обнаружения - были кучки этих ключей, не только для Wireshark, но и для других файлов .exe, что заставляет меня думать, что это были антивирусные / антивирусные программы. Неисчерпывающий список примеров:

spybotsd.exe zlclient.exe hijackthis.exe keyscrambler.exe SDFiles.exe SDMain.exe SDWinSec.exe avscan.exe avp.exe avgwdsvc.exe AvastSvc.exe AvastUI.exe avcenter.exe

и тд и тд и тп

Итак, сегодня я узнал об этих ключах реестра, которые могут остановить запуск файла .exe. Это было ядром моего вопроса. Надеюсь, что это может помочь кому-то еще.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .