На моем компьютере работает червь, который фактически запускает мой браузер с произвольным URL. Я думаю, что он находится в каком-то скрипте запуска или реестре. Может кто-нибудь подсказать, как я могу обнаружить и удалить эту вредоносную программу?

ОС: Windows 7 Pro

3 ответа3

2

Есть , как правило , в трех местах , чтобы проверить: папка меню загрузки, вкладка ключ запуска реестра и MSconfig услуги. Вкладка msconfig Startup должна отражать записи реестра, но рекомендуется проверить оба варианта. Во всех этих местах удалите или отключите все, что не заслуживает доверия или которое вы не хотите запускать при запуске.

  1. Папка автозагрузки:

    C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    
  2. Реестр: запустите (CTRL+R) regedit , run поиск (F3) для запуска ключа (соответствует только целой строке), и через несколько вы должны оказаться в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run . Таким образом, вы должны встретить клавиши запуска для других пользователей, а также для пользователя по умолчанию: лучше проверить их тоже.
  3. Msconfig: запустить (CTRL+R) msconfig и посмотреть вкладки Services и Startup .

ОБНОВЛЕНИЕ: также проверьте Планировщик задач согласно комментарию Алекса: он может содержать задачи, которые должны быть выполнены при запуске.

Помимо этого, вы должны запустить полную антивирусную проверку, прежде чем снова доверять своей системе.

2

Есть несколько вещей, которые вы можете попробовать:

ОДИН: Process Explorer и Process Hacker могут показать вам родителей каждого процесса. На снимке экрана ниже Process Hacker показывает, что MultiCommander запустил Firefox.

Конечно, это возможно только тогда, когда Firefox закрыт и запущен с нуля, но я думаю, что вы можете справиться. Затем вы можете использовать Process Explorer или Process Hacker, чтобы найти присоску, которая запустила браузер, и удалить ее.

Твист: Что если процесс, который вы хотите удалить, запускает ваш браузер, а затем завершается? Здесь Process Explorer имеет преимущество перед Process Hacker. Process Explorer запоминает имя этого процесса даже после его завершения, при условии, что Process Explorer запускается до завершения этого процесса. (Вы можете щелкнуть правой кнопкой мыши на Firefox.exe или любом другом браузере, который вы используете, и выбрать Свойства, чтобы увидеть это.) Таким образом, вы можете искать файл с таким именем.

ДВА: Autoruns может показать вам все закоулки Windows, которые запускают приложения для запуска. На первый взгляд это может быть ошеломляющим. Могу поспорить, вы не знали, что существует так много мест, откуда может начаться вредоносное ПО!

Но есть способы отфильтровать результаты:

  1. Выберите « Параметры»> "Параметры сканирования" и установите флажок "Проверить подписи кода". (Самый важный шаг)
  2. Убедитесь, что Параметры> Скрыть записи Microsoft отмечены
  3. Убедитесь, что Настройки> Скрыть записи Windows отмечены

Скорее всего, вы найдете свою вредоносную программу на вкладке «Вход в систему» или «Запланированные задачи». Вероятно, он не имеет цифровой подписи, поэтому будет отображаться красным цветом.

Хорошая вещь об Autoruns:

  1. Вы можете сохранить результаты и отправить их кому-нибудь для анализа.
  2. Вы можете анализировать операционную систему в автономном режиме. Таким образом, если вы подозреваете, что заражены руткитом, который избегает обнаружения путем подрывания ядра Windows, вы можете загрузиться с установочного диска Windows, запустить автозапуск оттуда, подключиться к теперь отключенной ОС и поймать эту вредоносную программу во время сна!
0

AdwCleaner от Malwarebytes - довольно хороший инструмент для удаления таких вредоносных программ, как этот. Он автоматически обнаруживает мошеннические ключи или настройки реестра, а также сканирует множество других файлов и настроек. У меня был хороший успех с множеством различных угонщиков браузера и различными вредоносными программами. Удачи!

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .