Diagnosticar um navegador de inicialização de worm com alguns URLs aleatórios [duplicado]

0

Esta questão já tem uma resposta aqui:

Meu PC é afetado por um worm que, na verdade, inicia meu navegador com uma URL aleatória. Meu pensamento é que está residindo em algum script de inicialização ou registro. Alguém pode sugerir como posso detectar e remover este malware?

SO: Windows 7 Pro

windows-7  virus  malware  worm 
gmuhammad
fonte
@DavidPostill Discorda respeitosamente. O assunto desta questão é: Como rastrear o processo X que inicia o processo Y.
@FleetCommand Pergunta explicitamente diz "Alguém pode sugerir como posso detectar e remover este malware?" Isso é respondido exatamente pela duplicata. Se o OP quiser fazer uma pergunta diferente, ele precisa editar .
DavidPostill
@DavidPostill Exatamente. E esse não foi o assunto da pergunta original. Essas duas perguntas pertencem à mesma categoria, mas não são duplicadas.
A necessidade dos usuários é remover o vírus, mais ou menos, independentemente de como eles expressam o problema. Eles podem esclarecer (por favor, faça) se eles estão mais interessados ​​na mecânica do processo.
music2myear

Respostas:

2

Existem várias coisas que você pode tentar:

ONE: Process Explorer e Process Hacker podem mostrar a você os pais de cada processo. Na captura de tela abaixo, o Process Hacker revela que o MultiCommander lançou o Firefox.

insira a descrição da imagem aqui

Claro, isso só é possível quando o Firefox é fechado e iniciado do zero, mas acho que você pode gerenciar. Você pode então usar o Process Explorer ou o Process Hacker para localizar o otário que iniciou o navegador e excluí-lo.

Twist: E se o processo que você deseja excluir iniciar o seu navegador e terminar? Aqui, o Process Explorer tem uma vantagem sobre o Process Hacker. O Process Explorer lembra o nome desse processo mesmo depois que ele é finalizado, desde que o Process Explorer seja iniciado antes do término desse processo. (Você pode clicar com o botão direito do mouse em Firefox.exe ou em qualquer navegador usado e selecionar Propriedades para ver isso.) Dessa forma, você pode procurar um arquivo com esse nome.

DOIS: O Autoruns pode mostrar a você todos os cantos e recantos do Windows que iniciam aplicativos de inicialização. Pode ser esmagador à primeira vista. Aposto que você não sabia que existem muitos lugares dos quais um malware pode começar!

insira a descrição da imagem aqui

Mas existem maneiras de filtrar os resultados:

  1. Vá para Opções> Opções de verificação ... e marque "Verificar assinaturas de código". ( Passo mais importante )
  2. Certifique-se de que Opções> Ocultar Entradas da Microsoft esteja marcado
  3. Certifique-se de que Opções> Ocultar Entradas do Windows esteja marcado

Você provavelmente encontrará seu malware na guia Logon ou Tarefas agendadas. Provavelmente não é assinado digitalmente, por isso aparecerá em vermelho.

A coisa boa sobre o Autoruns é:

  1. Você pode salvar os resultados e enviá-los para alguém para análise.
  2. Você pode analisar um sistema operacional enquanto estiver off-line. Portanto, se você suspeitar que está infectado por um rootkit que está evitando a detecção subvertendo o kernel do Windows, pode inicializar a partir de um disco de instalação do Windows, executar o Autoruns a partir dele, conectar-se ao SO agora off-line e capturar esse malware durante o sono!
2

Geralmente, há três locais a serem verificados: a pasta do menu Iniciar , a chave de execução do registro e a guia Serviços do msconfig . A guia Inicialização msconfig deve refletir as entradas do registro, mas é uma boa idéia verificar ambas. Em todos esses lugares, exclua ou desative tudo que não seja confiável ou que você não queira executar na inicialização.

  1. Pasta de inicialização:

    C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  2. Registro: execute ( CTRL+ R) regedit, search ( F3) para key run(somente string inteira de correspondência), e depois de alguns você deve terminar em HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Rune HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run. Dessa forma, você deve encontrar as chaves de execução para outros usuários, bem como para o usuário padrão: é melhor também verificá-las.
  3. Msconfig: execute ( CTRL+ R) msconfige veja abas Servicese Startup.

ATUALIZAÇÃO: Verifique também o Agendador de Tarefas de acordo com o comentário de Alex: ele pode conter tarefas que devem ser executadas na inicialização.

Além de fazer isso, você deve executar uma verificação antivírus completa antes de confiar em seu sistema novamente.

simlev
fonte
1
Que tal se o malware fosse ativado a partir do agendador de tarefas;)?
Alex
Eu diria que é menos comum, mas sim, esse é outro lugar para procurar.
simlev
0

AdwCleaner , da Malwarebytes, é uma boa ferramenta para remover malware como este. Ele detecta automaticamente chaves ou configurações de registro desonestos, além de varrer outros arquivos e configurações. Eu tive um bom sucesso com muitos diferentes seqüestradores de navegador e malwares diferentes. Boa sorte!

Bilfred
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.