Вредоносные программы: как убрать раздражающий лишний аргумент при запуске процессов Firefox и Chrome

Question

Я нахожусь в центре процесса очистки от вредоносных программ, в результате ошибки новичка при попытке испробовать файл .exe из ненадежного источника. Как бы то ни было, вредоносная программа, похоже, оказалась своего рода рекламным ПО, которое встраивает на страницы раздражающую рекламу во время просмотра. Сейчас я об этом позабочусь (я меньше всего надеюсь на это, поскольку последние несколько часов интенсивно использую ProcessExplorer, Autoruns, Malwarebytes Anti-Malware и Spy Hunter 4). Тем не менее, все еще остается хитрая модификация, выполненная вредоносной программой, которую я до сих пор не знаю, как исправить. Всякий раз, когда я запускаю Chrome или Firefox, эти процессы выполняются с дополнительным аргументом, указывающим на надоедливый русский сайт, например:

firefox.exe "http://typhirosapile.ru"
chrome.exe "http://typhirosapile.ru"

РЕДАКТИРОВАТЬ: " http://typhirosapile.ru " перенаправляет на " http://traffic-media.co ", который, по-видимому, связан с вредоносными программами в соответствии с поиском Google.

(Я знаю это, потому что так процессы вызываются в соответствии со столбцом "командная строка" в диспетчере задач Windows 7)

Мое обоснованное предположение состоит в том, что должен быть какой-то файл или реестр, который говорит Windows, как выполнять процессы Firefox / Chrome по умолчанию, и каким-то образом вредоносная программа изменила эти файлы, добавив раздражающий русский веб-сайт в качестве дополнительного аргумента.

Правильно ли мое предположение? И как я могу это исправить?

Заранее спасибо.

Answer 1

Итак, я исправил свою проблему.

Проблема не была найдена в реестре. Не было необходимости переустанавливать ни Chrome, ни Firefox.

Решение оказалось намного проще, чем я ожидал. Вредоносные программы в основном модифицировали ярлыки Firefox и Chrome, чтобы они указывали на вредоносный лаунчер SalterLauncher.exe с аргументами 1 0 и 2 0 соответственно. Этот .exe-файл был расположен в C:\Users\ {my user}\ AppData\ Roaming\ HPSalter. Таким образом, в основном я убил процесс, у которого был дескриптор файлов в этой папке, снял флажок с процесса в автозапуске, чтобы предотвратить его повторный запуск в будущем, shift+ удалил всю папку и, наконец, воссоздал ярлыки для Firefox и Chrome на моем рабочем столе , И теперь проблема решена!

Спасибо, ребята, за ваши советы, хотя.

Answer 2

Попробуйте использовать RevoUninstaller (он также выполняет восстановление системы, чтобы вы могли вернуться, если вы что-то напутали), чтобы полностью удалить все файлы, связанные с Chrome/Firefox, а затем выполнить переустановку.

Answer 3

Скачайте эти бесплатные инструменты и запустите обе (от имени администратора), они очищают рекламное ПО, которое не может быть идентифицировано или удалено обычным пользователем (например, скрыто в реестре, планировщике заданий и т.д.).

Они также показывают и сохраняют отчет (только JRT) о файлах, процессах и разделах реестра, которые были признаны виновными / подозрительными и удалены.

1: Средство удаления нежелательной почты (JRT) от Malwarebytes.

2: AdwCleaner.

Answer 4

Если вы считаете, что это запись в реестре, тогда будет достаточно просто использовать "RegEdit" или более быструю программу поиска в реестре. Ищите там "тифиросапилу", ищите и уничтожайте. Просто удалите параметр URL.
Для администратора Run_As может быть полезным или необходимым иметь доступ ко всем элементам реестра.