Диагностируйте браузер, запускающий червя, по случайным URL
На моем компьютере работает червь, который фактически запускает мой браузер с произвольным URL. Я думаю, что он находится в каком-то скрипте запуска или реестре. Может кто-нибудь подсказать, как я могу обнаружить и удалить эту вредоносную программу?
ОС: Windows 7 Pro
3 ответа
Есть несколько вещей, которые вы можете попробовать:
ОДИН: Process Explorer и Process Hacker могут показать вам родителей каждого процесса. На скриншоте ниже Process Hacker показывает, что MultiCommander запустил Firefox.
Конечно, это возможно только тогда, когда Firefox закрыт и запущен с нуля, но я думаю, что вы можете справиться. Затем вы можете использовать Process Explorer или Process Hacker, чтобы найти присоску, которая запустила браузер, и удалить ее.
Твист: Что если процесс, который вы хотите удалить, запускает ваш браузер, а затем завершается? Здесь Process Explorer имеет преимущество перед Process Hacker. Process Explorer запоминает имя этого процесса даже после его завершения, при условии, что Process Explorer запускается до завершения этого процесса. (Вы можете щелкнуть правой кнопкой мыши на Firefox.exe или любом другом браузере и выбрать "Свойства", чтобы увидеть это.) Таким образом, вы можете искать файл с таким именем.
ДВА: Autoruns может показать вам все закоулки Windows, которые запускают приложения для запуска. На первый взгляд это может быть ошеломляющим. Могу поспорить, вы не знали, что существует так много мест, откуда может начаться вредоносное ПО!
Но есть способы отфильтровать результаты:
- Выберите " Параметры"> "Параметры сканирования" и установите флажок "Проверить подписи кода". (Самый важный шаг)
- Убедитесь, что Параметры> Скрыть записи Microsoft отмечены
- Убедитесь, что Настройки> Скрыть записи Windows отмечены
Скорее всего, вы найдете свою вредоносную программу на вкладке "Вход в систему" или "Запланированные задачи". Вероятно, он не имеет цифровой подписи, поэтому будет отображаться красным цветом.
Хорошая вещь об Autoruns:
- Вы можете сохранить результаты и отправить их кому-нибудь для анализа.
- Вы можете анализировать операционную систему в автономном режиме. Таким образом, если вы подозреваете, что заражены руткитом, который избегает обнаружения путем подрывания ядра Windows, вы можете загрузиться с установочного диска Windows, запустить автозапуск оттуда, подключиться к отключенной ОС и поймать эту вредоносную программу во время сна!
Обычно есть три места для проверки: папка меню " Автозагрузка ", ключ запуска реестра и вкладка msconfig Services . Вкладка msconfig Startup должна отражать записи реестра, но рекомендуется проверить оба варианта. Во всех этих местах удалите или отключите все, что не заслуживает доверия или которое вы не хотите запускать при запуске.
Папка автозагрузки:
C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup- Реестр: запустить ( CTRL + R )
regedit, поиск ( F3 ) для ключаrun(соответствует только целой строке), и через несколько вы должны в конечном итоге вHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runа такжеHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run, Таким образом, вы должны встретить клавиши запуска для других пользователей, а также для пользователя по умолчанию: лучше проверить их тоже. - Msconfig: запустить ( CTRL + R )
msconfigи увидеть вкладкиServicesа такжеStartup,
ОБНОВЛЕНИЕ: Также проверьте Планировщик задач согласно комментарию Алекса: он может содержать задачи, которые должны быть выполнены при запуске.
Помимо этого, вы должны запустить полную антивирусную проверку, прежде чем снова доверять своей системе.
AdwCleaner от Malwarebytes - довольно хороший инструмент для удаления таких вредоносных программ, как этот. Он автоматически обнаруживает мошеннические ключи реестра или настройки, а также сканирует множество других файлов и настроек. У меня был хороший успех с множеством различных угонщиков браузера и различными вредоносными программами. Удачи!