Вредоносные программы: как убрать раздражающий лишний аргумент при запуске процессов Firefox и Chrome

524
Pablo Messina

Я нахожусь в центре процесса очистки от вредоносных программ, в результате ошибки новичка, пытавшегося проверить файл .exe из ненадежного источника. Как бы то ни было, вредоносная программа, похоже, оказалась своего рода рекламным ПО, которое встраивает раздражающую рекламу на страницы во время просмотра. Сейчас я об этом позабочусь (я меньше всего надеюсь на это, поскольку последние несколько часов интенсивно использую ProcessExplorer, Autoruns, Malwarebytes Anti-Malware и Spy Hunter 4). Тем не менее, вредоносная модификация, которую я до сих пор не знаю, как исправить, все еще остается хитрой модификацией. Всякий раз, когда я запускаю Chrome или Firefox, эти процессы выполняются с дополнительным аргументом, указывающим на надоедливый русский сайт, например:

firefox.exe "http://typhirosapile.ru" chrome.exe "http://typhirosapile.ru"

РЕДАКТИРОВАТЬ: " http://typhirosapile.ru " перенаправляет на " http://traffic-media.co ", который, по-видимому, связан с вредоносными программами в соответствии с поиском Google.

(Я знаю это, потому что так процессы вызываются в соответствии со столбцом «командная строка» в диспетчере задач Windows 7)

Мое обоснованное предположение состоит в том, что должен быть какой-то файл или реестр, который говорит Windows, как выполнять процессы Firefox / Chrome по умолчанию, и каким-то образом вредоносная программа изменила эти файлы, добавив раздражающий русский веб-сайт в качестве дополнительного аргумента.

Правильно ли мое предположение? И как я могу это исправить?

Заранее спасибо.

1

4 ответа на вопрос

1
Pablo Messina

Итак, я исправил свою проблему.

Проблема не была найдена в реестре. Не было необходимости переустанавливать ни Chrome, ни Firefox.

Решение оказалось намного проще, чем я ожидал. Вредоносные программы в основном модифицировали ярлыки Firefox и Chrome, чтобы они указывали на вредоносный лаунчер SalterLauncher.exe с аргументами 1 0 и 2 0 соответственно. Этот .exe-файл был расположен в C: \ Users \ \ AppData \ Roaming \ HPSalter. Таким образом, в основном я убил процесс, у которого был дескриптор файлов в этой папке, снял флажок с процесса в автозапуске, чтобы предотвратить его повторный запуск в будущем, shift + удалил всю папку и, наконец, воссоздал ярлыки для Firefox и Chrome на моем рабочем столе, И теперь проблема решена!

Спасибо, ребята, за ваши советы, хотя.

Рад, что вы разобрались, но, пожалуйста, не думайте, что проблема решена - я настоятельно рекомендую запустить сканирование на наличие вредоносных программ или что-то еще, чтобы убрать любые возможные оставшиеся гадости. seagull 7 лет назад 0
Я запустил сканирование Spy Hunter 4, сканирование Malwarebytes, сканирование AdwCleaner, теперь я запускаю JRT и Malwarebytes, и я уже проверил все процессы в ProcessExplorer и Autoruns. Должен ли я сделать что-то еще? Pablo Messina 7 лет назад 0
0
Paulo Bernardo

Попробуйте использовать RevoUninstaller (он также выполняет восстановление системы, чтобы вы могли вернуться, если вы что-то напутали), чтобы полностью удалить все файлы, связанные с Chrome / Firefox, а затем выполнить переустановку.

0
NetwOrchestration

Скачайте эти бесплатные инструменты и запустите обе (от имени администратора), они очищают рекламное ПО, которое не может быть идентифицировано или удалено обычным пользователем (например, скрыто в реестре, планировщике заданий и т. Д.).

Они также показывают и сохраняют отчет (только JRT) о файлах, процессах и разделах реестра, которые были признаны виновными / подозрительными и удалены.

1: Средство удаления нежелательной почты (JRT) от Malwarebytes.

2: AdwCleaner .

0
Psycogeek

Если вы считаете, что это запись в реестре, тогда будет достаточно просто использовать «RegEdit» или более быструю программу поиска в реестре. Ищите там "тифиросапилу", ищите и уничтожайте. Просто удалите параметр URL.
Для администратора Run_As может быть полезным или необходимым иметь доступ ко всем элементам реестра.

Похожие вопросы