我的电脑感染了一种蠕虫,它会通过一些随机 URL 启动我的浏览器。我认为它驻留在一些启动脚本或注册表中。有人能建议我如何检测和删除这种恶意软件吗?
操作系统:Windows 7 Pro
答案1
您可以尝试以下几种方法:
一: 进程探索器和进程黑客可以显示每个进程的父进程。在下面的屏幕截图中,Process Hacker 显示 MultiCommander 已启动 Firefox。
当然,这只有在关闭 Firefox 并从头启动时才有可能,但我认为你可以做到。然后,你可以使用 Process Explorer 或 Process Hacker 找到启动浏览器的吸盘并将其删除。
捻:如果您要删除的进程启动了浏览器然后结束,该怎么办?在这方面,Process Explorer 比 Process Hacker 更有优势。即使在进程结束后,Process Explorer 也会记住该进程的名称,前提是 Process Explorer 在该进程结束之前启动。(您可以右键单击 Firefox.exe 或您使用的任何浏览器,然后选择“属性”来查看。)这样,您就可以搜索具有该名称的文件。
二: 自动运行可以向您展示启动启动应用程序的 Windows 的所有角落。乍一看可能会让人不知所措。我敢打赌你不知道恶意软件可以从这么多地方启动!
但有一些方法可以过滤结果:
- 去选项 > 扫描选项...并选中“验证代码签名”。(最重要的一步)
- 确保选项 > 隐藏 Microsoft 条目已检查
- 确保选项 > 隐藏 Windows 条目已检查
您很可能会在“登录”或“计划任务”选项卡中找到您的恶意软件。它可能没有经过数字签名,因此会显示为红色。
Autoruns 的优点在于:
- 您可以保存结果并将其发送给某人进行分析。
- 您可以在离线状态下分析操作系统。因此,如果您怀疑自己感染了通过破坏 Windows 内核来逃避检测的 rootkit,则可以从 Windows 安装光盘启动,从那里运行 Autoruns,连接到现在处于离线状态的操作系统并在休眠状态下捕获该恶意软件!
答案2
通常有三个位置需要检查:启动菜单文件夹,注册表跑步密钥和 msconfig服务msconfig启动选项卡应该反映注册表项,但最好同时检查两者。在所有这些位置,删除或禁用所有不值得信任或您不想在启动时运行的项。
启动文件夹:
C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- 注册表:运行(CTRL+ R)
regedit
,搜索(F3)键run
(仅匹配整个字符串),经过几次之后,您应该会找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
和HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
。这样,您应该会遇到其他用户以及默认用户的运行键:最好也检查一下它们。 - Msconfig:运行(CTRL+ R)
msconfig
并查看选项卡Services
和Startup
。
更新:还请检查任务计划程序按照 Alex 的评论:它可以包含要在启动时执行的任务。
除此之外,您还应该在再次信任系统之前运行完整的防病毒扫描。
答案3
AdwCleaner,来自 Malwarebytes,是一款非常好的恶意软件清除工具。它会自动检测恶意注册表项或设置,并扫描大量其他文件和设置。我使用它成功清除了许多不同的浏览器劫持程序和不同的恶意软件。祝你好运!