Malware: So entfernen Sie lästige zusätzliche Argumente, wenn Firefox- und Chrome-Prozesse gestartet werden

678
Pablo Messina

Ich befinde mich mitten in einer Bereinigung von Malware, weil ich den Anfängerfehler gemacht habe, eine .exe-Datei aus einer unzuverlässigen Quelle auszuprobieren. Wie auch immer, es hat sich herausgestellt, dass es sich bei der Malware um eine Art Adware handelt, die während des Surfens störende Anzeigen in die Seiten einbettet. Im Moment kümmere ich mich darum (ich hoffe es zumindest, da ich in den letzten Stunden intensiv mit ProcessExplorer, Autoruns, Malwarebytes Anti-Malware und Spy Hunter 4 gearbeitet habe). Es gibt jedoch immer noch eine knifflige Änderung, die von der Malware ausgeführt wird, die ich immer noch nicht beheben kann. Wenn ich Chrome oder Firefox starte, werden diese Prozesse mit einem zusätzlichen Argument ausgeführt, das auf eine nervige russische Website verweist, wie z.

firefox.exe "http://typhirosapile.ru" chrome.exe "http://typhirosapile.ru" 

EDIT: " http://typhirosapile.ru " leitet auf " http://traffic-media.co " um, das gemäß der Google-Suche mit Malware verbunden zu sein scheint.

(Ich weiß das, weil so die Prozesse entsprechend der Spalte "Befehlszeile" im Task-Manager von Windows 7 aufgerufen werden.)

Ich habe die Vermutung, dass es eine Art Datei oder Registry geben muss, die Windows darüber informiert, wie Firefox / Chrome-Prozesse standardmäßig ausgeführt werden, und dass die Malware diese Dateien irgendwie modifizierte, indem sie die ärgerliche russische Website als zusätzliches Argument hinzufügte.

Ist meine Vermutung richtig? Und wie kann ich das beheben?

Danke im Voraus.

1

4 Antworten auf die Frage

1
Pablo Messina

Ok, also habe ich mein eigenes Problem behoben.

Das Problem wurde nicht in der Registry gefunden. Weder Chrome noch Firefox mussten neu installiert werden.

Die Lösung erwies sich als viel einfacher als ich erwartet hatte. Die Malware hat die Verknüpfungen von Firefox und Chrome grundlegend geändert, sodass sie auf einen böswilligen Starter namens SalterLauncher.exe mit den Argumenten 1 0 bzw. 2 0 verweisen. Diese EXE-Datei befand sich unter C: \ Users \ \ AppData \ Roaming \ HPSalter. Im Grunde habe ich einen Prozess beendet, der die Dateien in diesem Ordner im Griff hatte, das Kontrollkästchen in Autoruns deaktiviert, um zu verhindern, dass es in Zukunft erneut ausgeführt wird. Shift + löschte den gesamten Ordner und erstellte schließlich die Verknüpfungen für Firefox und Chrome in meinem Desktop . Und jetzt ist das Problem gelöst!

Vielen Dank für Ihre Ratschläge.

Ich bin froh, dass Sie das Problem gelöst haben, aber bitte gehen Sie nicht davon aus, dass das Problem gelöst wird. Ich würde dringend empfehlen, einen Malware-Scan durchzuführen oder etwas anderes, um eventuell verbleibende Unannehmlichkeiten zu beseitigen. seagull vor 8 Jahren 0
Ich habe den Scan von Spy Hunter 4, den Scan von Malwarebytes und den Scan von AdwCleaner ausgeführt. Jetzt führe ich JRT von Malwarebytes aus und habe bereits jeden Prozess in ProcessExplorer und Autoruns geprüft. Soll ich noch etwas tun? Pablo Messina vor 8 Jahren 0
0
Paulo Bernardo

Versuchen Sie es mit RevoUninstaller (es führt auch zur Wiederherstellung des Systems durch, damit Sie es zurücksetzen können, wenn Sie etwas durcheinander bringen), um alle mit Chrome / Firefox verknüpften Dateien vollständig zu löschen und eine Neuinstallation durchzuführen.

0
NetwOrchestration

Laden Sie diese kostenlosen Tools herunter und führen Sie beide aus (als Administrator). Sie bereinigen Adware, die von durchschnittlichen Benutzern nicht identifiziert oder gelöscht werden kann (z. B. in der Registrierung versteckt, Taskscheduler usw.).

Sie zeigen Ihnen auch und speichern einen Bericht von (nur JRT) Dateien, Prozessen und Registrierungsschlüsseln, bei denen Täter / verdächtige und entfernt wurden.

1: Junk Removal Tool (JRT) von Malwarebytes.

2: AdwCleaner .

0
Psycogeek

Wenn Sie glauben, dass es sich um einen Eintrag in der Registrierung handelt, können Sie "RegEdit" oder ein schnelleres Registrierungssuchprogramm verwenden. Suchen Sie dort nach "Typhirosapile" und suchen und zerstören Sie. Entfernen Sie einfach den URL-Parameter.
Es kann hilfreich oder notwendig für Run_As Administrator regedit sein, um Zugriff auf alle Registrierungselemente zu haben.