Диагностика червя, запускающего браузер, по случайным URL

391
gmuhammad

На моем компьютере работает червь, который фактически запускает мой браузер с произвольным URL. Я думаю, что он находится в каком-то скрипте запуска или реестре. Может кто-нибудь подсказать, как я могу обнаружить и удалить эту вредоносную программу?

ОС: Windows 7 Pro

0
@DavidPostill С уважением не согласен. Предмет этого вопроса: Как отследить процесс X, который запускает процесс Y. 7 лет назад 0
@FleetCommand Вопрос прямо говорит: «Может ли кто-нибудь подсказать, как я могу обнаружить и удалить эту вредоносную программу?» На что точно отвечает дубликат. Если ОП хочет задать другой вопрос, ему нужно [править]. DavidPostill 7 лет назад 0
@DavidPostill Точно. И это было ** НЕ ** предметом оригинального вопроса. Эти два вопроса относятся к одной категории, но не являются дубликатами. 7 лет назад 0
Пользователям необходимо удалить вирус, более или менее независимо от того, как они формулируют проблему. Они могут уточнить (пожалуйста, сделайте), если они больше заинтересованы в механике процесса. music2myear 7 лет назад 0

3 ответа на вопрос

2
simlev

Есть, как правило, в трех местах, чтобы проверить: Startup папки меню, реестр запуска ключ и MSconfig услуги вкладка. Вкладка msconfig Startup должна отражать записи реестра, но рекомендуется проверить оба варианта. Во всех этих местах удалите или отключите все, что не заслуживает доверия или которое вы не хотите запускать при запуске.

  1. Папка автозагрузки:

    C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 
  2. Реестр: запустите ( CTRL+ R) regedit, ищите ( F3) для ключа run(соответствует только всей строке), и через несколько вы должны в конечном итоге HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runи HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run. Таким образом, вы должны встретить клавиши запуска для других пользователей, а также для пользователя по умолчанию: лучше проверить их тоже.
  3. Msconfig: запустить ( CTRL+ R) msconfigи увидеть вкладки Servicesи Startup.

ОБНОВЛЕНИЕ: Также проверьте Планировщик задач согласно комментарию Алекса: он может содержать задачи, которые должны быть выполнены при запуске.

Помимо этого, вы должны запустить полную антивирусную проверку, прежде чем снова доверять своей системе.

Как быть, если вредоносная программа активирована из планировщика заданий;)? Alex 7 лет назад 1
Я бы сказал, что это не так часто, но да, это другое место, чтобы посмотреть. simlev 7 лет назад 0
2

Есть несколько вещей, которые вы можете попробовать:

ОДИН: Process Explorer и Process Hacker могут показать вам родителей каждого процесса. На скриншоте ниже Process Hacker показывает, что MultiCommander запустил Firefox.

enter image description here

Конечно, это возможно только тогда, когда Firefox закрыт и запущен с нуля, но я думаю, что вы можете справиться. Затем вы можете использовать Process Explorer или Process Hacker, чтобы найти присоску, которая запустила браузер, и удалить ее.

Твист: Что если процесс, который вы хотите удалить, запускает ваш браузер, а затем завершается? Здесь Process Explorer имеет преимущество перед Process Hacker. Process Explorer запоминает имя этого процесса даже после его завершения, при условии, что Process Explorer запускается до завершения этого процесса. (Вы можете щелкнуть правой кнопкой мыши на Firefox.exe или любом другом браузере, который вы используете, и выбрать «Свойства», чтобы увидеть это.) Таким образом, вы можете искать файл с таким именем.

ДВА: Autoruns может показать вам все закоулки Windows, которые запускают приложения для запуска. На первый взгляд это может быть ошеломляющим. Могу поспорить, вы не знали, что существует так много мест, откуда может начаться вредоносное ПО!

enter image description here

Но есть способы отфильтровать результаты:

  1. Выберите « Параметры»> «Параметры сканирования» и установите флажок «Проверить подписи кода». ( Самый важный шаг )
  2. Убедитесь Функции> Скрыть Microsoft записи проверяется
  3. Убедитесь Функции> Hide Windows Записи проверяется

Скорее всего, вы найдете свою вредоносную программу на вкладке «Вход в систему» ​​или «Запланированные задачи». Вероятно, он не имеет цифровой подписи, поэтому будет отображаться красным цветом.

Хорошая вещь об Autoruns:

  1. Вы можете сохранить результаты и отправить их кому-нибудь для анализа.
  2. Вы можете анализировать операционную систему в автономном режиме. Таким образом, если вы подозреваете, что заражены руткитом, который избегает обнаружения путем подрывания ядра Windows, вы можете загрузиться с установочного диска Windows, запустить автозапуск оттуда, подключиться к теперь не работающей ОС и поймать эту вредоносную программу во время сна!
0
Bilfred

AdwCleaner от Malwarebytes - довольно хороший инструмент для удаления таких вредоносных программ, как эта. Он автоматически обнаруживает мошеннические ключи или настройки реестра, а также сканирует множество других файлов и настроек. У меня был хороший успех с множеством различных угонщиков браузера и различными вредоносными программами. Удачи!