Вредоносные программы: как убрать раздражающий лишний аргумент при запуске процессов Firefox и Chrome
Я нахожусь в центре процесса очистки от вредоносных программ, в результате чего новичок совершил ошибку, попробовав файл.exe из ненадежного источника. Как бы то ни было, вредоносная программа, по-видимому, оказалась своего рода рекламным ПО, которое встраивает раздражающую рекламу на страницы во время просмотра. Сейчас я об этом позабочусь (я меньше всего надеюсь на это, поскольку последние несколько часов интенсивно использую ProcessExplorer, Autoruns, Malwarebytes Anti-Malware и Spy Hunter 4). Тем не менее, вредоносная модификация, которую я до сих пор не знаю, как исправить, все еще остается хитрой модификацией. Всякий раз, когда я запускаю Chrome или Firefox, эти процессы выполняются с дополнительным аргументом, указывающим на надоедливый русский сайт, например:
firefox.exe "http://typhirosapile.ru"
chrome.exe "http://typhirosapile.ru"
РЕДАКТИРОВАТЬ: " http://typhirosapile.ru/" перенаправляет на " http://traffic-media.co/", который, по-видимому, связан с вредоносными программами в соответствии с поиском Google.
(Я знаю это, потому что так процессы вызываются в соответствии со столбцом "командная строка" в диспетчере задач Windows 7)
Мое обоснованное предположение состоит в том, что должен быть какой-то файл или реестр, который сообщает Windows, как выполнять процессы Firefox / Chrome по умолчанию, и каким-то образом вредоносное ПО изменило эти файлы, добавив раздражающий русский веб-сайт в качестве дополнительного аргумента.
Правильно ли мое предположение? И как я могу это исправить?
Заранее спасибо.
4 ответа
Итак, я исправил свою проблему.
Проблема не была найдена в реестре. Не было необходимости переустанавливать ни Chrome, ни Firefox.
Решение оказалось намного проще, чем я ожидал. Вредоносные программы в основном модифицировали ярлыки Firefox и Chrome, чтобы они указывали на вредоносный лаунчер SalterLauncher.exe с аргументами 1 0 и 2 0 соответственно. Этот.exe-файл находился в C:\Users\ {мой пользователь}\AppData\Roaming\HPSalter. Таким образом, в основном я убил процесс, у которого был дескриптор файлов в этой папке, снял флажок с процесса в автозапуске, чтобы предотвратить его повторный запуск в будущем, shift+ удалил всю папку и, наконец, воссоздал ярлыки для Firefox и Chrome на моем рабочем столе, И теперь проблема решена!
Спасибо, ребята, за ваши советы, хотя.
Попробуйте использовать RevoUninstaller (он также выполняет восстановление системы, чтобы вы могли вернуться, если вы что-то напутали), чтобы полностью удалить все файлы, связанные с Chrome/Firefox, а затем выполнить переустановку.
Если вы считаете, что это запись в реестре, тогда будет достаточно просто использовать "RegEdit" или более быструю программу поиска в реестре. Ищите там "тифиросапилу", ищите и уничтожайте. Просто удалите параметр URL.
Для администратора Run_As может быть полезным или необходимым иметь доступ ко всем элементам реестра.
Скачайте эти бесплатные инструменты и запустите обе (от имени администратора), они очищают рекламное ПО, которое не может быть идентифицировано или удалено обычным пользователем (например, скрыто в реестре, taskcheduler и т. Д.).
Они также показывают и сохраняют отчет (только для JRT) о файлах, процессах и разделах реестра, которые были признаны виновными / подозрительными и удалены.
1: Средство удаления нежелательной почты (JRT) от Malwarebytes.
2: AdwCleaner.