Diagnose eines Wurmstartbrowsers mit einigen zufälligen URLs

371
gmuhammad

Mein PC ist von einem Wurm betroffen, der meinen Browser mit einer zufälligen URL startet. Ich denke, es befindet sich in einem Start-Skript oder einer Registry. Kann jemand vorschlagen, wie ich diese Malware erkennen und entfernen kann?

Betriebssystem: Windows 7 Pro

0
@DavidPostill Respektieren Sie nicht respektvoll. Das Thema dieser Frage lautet: Wie kann der Prozess X, der den Prozess Y startet, ermittelt werden? vor 7 Jahren 0
@FleetCommand Question sagt ausdrücklich: "Kann jemand vorschlagen, wie ich diese Malware erkennen und entfernen kann?" Das wird genau durch das Duplikat beantwortet. Wenn das OP eine andere Frage stellen möchte, muss er [bearbeiten]. DavidPostill vor 7 Jahren 0
@DavidPostill Genau. Und das war ** NICHT ** das Thema der ursprünglichen Frage. Diese beiden Fragen gehören zu derselben Kategorie, sind jedoch keine Duplikate. vor 7 Jahren 0
Das Bedürfnis der Benutzer besteht darin, den Virus zu entfernen, unabhängig davon, wie sie das Problem formulieren. Sie können klären (bitte tun), ob sie sich mehr für die Mechanik des Prozesses interessieren. music2myear vor 7 Jahren 0

3 Antworten auf die Frage

2
simlev

Es gibt in der Regel drei Standorten zu überprüfen: das Startmenü - Ordner, die Registrierungslaufschlüssel und msconfig Dienste Registerkarte. Die Registerkarte " msconfig- Start" sollte die Registrierungseinträge enthalten. Es empfiehlt sich jedoch, beide zu überprüfen. Löschen oder deaktivieren Sie an allen diesen Stellen alles, was nicht vertrauenswürdig ist oder das Sie beim Start nicht ausführen möchten.

  1. Startordner:

    C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  2. Registry: run ( CTRL+ R) regedit, search ( F3) nach key run(nur ganze Zeichenfolge abgleichen) und nach einigen sollten Sie bei HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runund landen HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run. Auf diese Weise sollten Sie sowohl für andere als auch für den Standardbenutzer auf die Laufschlüssel stoßen: Überprüfen Sie sie auch.
  3. Msconfig: run ( CTRL+ R) msconfigund siehe Tabs Servicesund Startup.

UPDATE: Überprüfen Sie auch den Taskplaner gemäß dem Kommentar von Alex: Er kann Tasks enthalten, die beim Start ausgeführt werden sollen.

Abgesehen davon sollten Sie eine vollständige Virenprüfung durchführen, bevor Sie Ihrem System wieder vertrauen.

Wie wäre es, wenn Malware vom Taskplaner aus aktiviert würde;)? Alex vor 7 Jahren 1
Ich würde sagen, dass es weniger üblich ist, aber ja, das ist ein anderer Ort, um nachzusehen. simlev vor 7 Jahren 0
2

Es gibt verschiedene Dinge, die Sie ausprobieren können:

ONE: Process Explorer und Process Hacker können Ihnen die Eltern jedes Prozesses anzeigen. In der Abbildung unten zeigt Process Hacker, dass MultiCommander Firefox gestartet hat.

Natürlich ist dies nur möglich, wenn Firefox geschlossen und von Grund auf neu gestartet wird, aber ich denke, Sie können das schaffen. Anschließend können Sie Process Explorer oder Process Hacker verwenden, um den Sauger zu suchen, der den Browser gestartet hat, und ihn zu löschen.

Twist: Was ist, wenn der zu löschende Vorgang Ihren Browser startet und dann beendet wird? Hier hat Process Explorer einen Vorteil gegenüber Process Hacker. Process Explorer merkt sich den Namen dieses Prozesses auch nach dem Beenden, vorausgesetzt der Process Explorer wird gestartet, bevor der Prozess beendet wird. (Sie können mit der rechten Maustaste auf Firefox.exe oder den von Ihnen verwendeten Browser klicken und Eigenschaften auswählen, um das anzuzeigen.) Auf diese Weise können Sie nach einer Datei mit diesem Namen suchen.

ZWEI: Autoruns können Ihnen alle Ecken und Winkel von Windows zeigen, die Start-Apps starten. Es kann auf den ersten Blick überwältigend sein. Ich wette, Sie wussten nicht, dass es so viele Orte gibt, an denen eine Malware beginnen kann!

Es gibt jedoch Möglichkeiten, die Ergebnisse zu filtern:

  1. Gehen Sie zu Optionen> Scan-Optionen ... und markieren Sie "Code-Signaturen überprüfen". ( Wichtigster Schritt )
  2. Stellen Sie sicher, dass Optionen> Microsoft-Einträge ausblenden aktiviert ist
  3. Stellen Sie sicher, dass Optionen> Windows-Einträge ausblenden aktiviert ist

Sie finden Ihre Malware höchstwahrscheinlich auf der Registerkarte Anmelden oder Geplante Tasks. Es ist wahrscheinlich nicht digital signiert und wird daher rot angezeigt.

Das Gute an Autoruns ist:

  1. Sie können die Ergebnisse speichern und zur Analyse an jemanden senden.
  2. Sie können ein Betriebssystem offline analysieren. Wenn Sie den Verdacht haben, dass Sie von einem Rootkit infiziert sind, das die Erkennung durch Unterwerfen des Windows-Kernels verhindert, können Sie von einer Windows-Installationsdiskette booten, Autoruns von dort ausführen, eine Verbindung zum Now-Offline-Betriebssystem herstellen und diese Malware im Schlaf einfangen!
0
Bilfred

AdwCleaner von Malwarebytes ist ein sehr gutes Werkzeug zum Entfernen von Malware wie dieser. Es erkennt automatisch unerwünschte Registrierungsschlüssel oder -einstellungen sowie das Scannen eines Hosts nach anderen Dateien und Einstellungen. Ich hatte guten Erfolg mit vielen verschiedenen Browser-Hijackern und verschiedenen Malware-Programmen. Viel Glück!

Verwandte Probleme