Есть , как правило , в трех местах , чтобы проверить: папка меню загрузки, вкладка ключ запуска реестра и MSconfig услуги. Вкладка msconfig Startup должна отражать записи реестра, но рекомендуется проверить оба варианта. Во всех этих местах удалите или отключите все, что не заслуживает доверия или которое вы не хотите запускать при запуске.
Папка автозагрузки:
C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
regedit , run поиск (F3) для запуска ключа (соответствует только целой строке), и через несколько вы должны оказаться в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run . Таким образом, вы должны встретить клавиши запуска для других пользователей, а также для пользователя по умолчанию: лучше проверить их тоже.msconfig и посмотреть вкладки Services и Startup .ОБНОВЛЕНИЕ: также проверьте Планировщик задач согласно комментарию Алекса: он может содержать задачи, которые должны быть выполнены при запуске.
Помимо этого, вы должны запустить полную антивирусную проверку, прежде чем снова доверять своей системе.
Есть несколько вещей, которые вы можете попробовать:
ОДИН: Process Explorer и Process Hacker могут показать вам родителей каждого процесса. На снимке экрана ниже Process Hacker показывает, что MultiCommander запустил Firefox.
Конечно, это возможно только тогда, когда Firefox закрыт и запущен с нуля, но я думаю, что вы можете справиться. Затем вы можете использовать Process Explorer или Process Hacker, чтобы найти присоску, которая запустила браузер, и удалить ее.
Твист: Что если процесс, который вы хотите удалить, запускает ваш браузер, а затем завершается? Здесь Process Explorer имеет преимущество перед Process Hacker. Process Explorer запоминает имя этого процесса даже после его завершения, при условии, что Process Explorer запускается до завершения этого процесса. (Вы можете щелкнуть правой кнопкой мыши на Firefox.exe или любом другом браузере, который вы используете, и выбрать Свойства, чтобы увидеть это.) Таким образом, вы можете искать файл с таким именем.
ДВА: Autoruns может показать вам все закоулки Windows, которые запускают приложения для запуска. На первый взгляд это может быть ошеломляющим. Могу поспорить, вы не знали, что существует так много мест, откуда может начаться вредоносное ПО!
Но есть способы отфильтровать результаты:
Скорее всего, вы найдете свою вредоносную программу на вкладке «Вход в систему» или «Запланированные задачи». Вероятно, он не имеет цифровой подписи, поэтому будет отображаться красным цветом.
Хорошая вещь об Autoruns:
AdwCleaner от Malwarebytes - довольно хороший инструмент для удаления таких вредоносных программ, как этот. Он автоматически обнаруживает мошеннические ключи или настройки реестра, а также сканирует множество других файлов и настроек. У меня был хороший успех с множеством различных угонщиков браузера и различными вредоносными программами. Удачи!