Есть несколько вещей, которые вы можете попробовать:
ОДИН: Process Explorer и Process Hacker могут показать вам родителей каждого процесса. На снимке экрана ниже Process Hacker показывает, что MultiCommander запустил Firefox.
Конечно, это возможно только тогда, когда Firefox закрыт и запущен с нуля, но я думаю, что вы можете справиться. Затем вы можете использовать Process Explorer или Process Hacker, чтобы найти присоску, которая запустила браузер, и удалить ее.
Твист: Что если процесс, который вы хотите удалить, запускает ваш браузер, а затем завершается? Здесь Process Explorer имеет преимущество перед Process Hacker. Process Explorer запоминает имя этого процесса даже после его завершения, при условии, что Process Explorer запускается до завершения этого процесса. (Вы можете щелкнуть правой кнопкой мыши на Firefox.exe или любом другом браузере, который вы используете, и выбрать Свойства, чтобы увидеть это.) Таким образом, вы можете искать файл с таким именем.
ДВА: Autoruns может показать вам все закоулки Windows, которые запускают приложения для запуска. На первый взгляд это может быть ошеломляющим. Могу поспорить, вы не знали, что существует так много мест, откуда может начаться вредоносное ПО!
Но есть способы отфильтровать результаты:
- Выберите « Параметры»> "Параметры сканирования" и установите флажок "Проверить подписи кода". (Самый важный шаг)
- Убедитесь, что Параметры> Скрыть записи Microsoft отмечены
- Убедитесь, что Настройки> Скрыть записи Windows отмечены
Скорее всего, вы найдете свою вредоносную программу на вкладке «Вход в систему» или «Запланированные задачи». Вероятно, он не имеет цифровой подписи, поэтому будет отображаться красным цветом.
Хорошая вещь об Autoruns:
- Вы можете сохранить результаты и отправить их кому-нибудь для анализа.
- Вы можете анализировать операционную систему в автономном режиме. Таким образом, если вы подозреваете, что заражены руткитом, который избегает обнаружения путем подрывания ядра Windows, вы можете загрузиться с установочного диска Windows, запустить автозапуск оттуда, подключиться к теперь отключенной ОС и поймать эту вредоносную программу во время сна!