Diagnosticar um navegador de inicialização de worm com alguns URLs aleatórios [duplicado]

Meu PC é afetado por um worm que, na verdade, inicia meu navegador com uma URL aleatória. Meu pensamento é que está residindo em algum script de inicialização ou registro. Alguém pode sugerir como posso detectar e remover este malware?

SO: Windows 7 Pro

Existem várias coisas que você pode tentar:

ONE: Process Explorer e Process Hacker podem mostrar a você os pais de cada processo. Na captura de tela abaixo, o Process Hacker revela que o MultiCommander lançou o Firefox.

Claro, isso só é possível quando o Firefox é fechado e iniciado do zero, mas acho que você pode gerenciar. Você pode então usar o Process Explorer ou o Process Hacker para localizar o otário que iniciou o navegador e excluí-lo.

Twist: E se o processo que você deseja excluir iniciar o seu navegador e terminar? Aqui, o Process Explorer tem uma vantagem sobre o Process Hacker. O Process Explorer lembra o nome desse processo mesmo depois que ele é finalizado, desde que o Process Explorer seja iniciado antes do término desse processo. (Você pode clicar com o botão direito do mouse em Firefox.exe ou em qualquer navegador usado e selecionar Propriedades para ver isso.) Dessa forma, você pode procurar um arquivo com esse nome.

DOIS: O Autoruns pode mostrar a você todos os cantos e recantos do Windows que iniciam aplicativos de inicialização. Pode ser esmagador à primeira vista. Aposto que você não sabia que existem muitos lugares dos quais um malware pode começar!

Mas existem maneiras de filtrar os resultados:

1. Vá para Opções> Opções de verificação ... e marque "Verificar assinaturas de código". ( Passo mais importante )
2. Certifique-se de que Opções> Ocultar Entradas da Microsoft esteja marcado
3. Certifique-se de que Opções> Ocultar Entradas do Windows esteja marcado

Você provavelmente encontrará seu malware na guia Logon ou Tarefas agendadas. Provavelmente não é assinado digitalmente, por isso aparecerá em vermelho.

A coisa boa sobre o Autoruns é:

1. Você pode salvar os resultados e enviá-los para alguém para análise.
2. Você pode analisar um sistema operacional enquanto estiver off-line. Portanto, se você suspeitar que está infectado por um rootkit que está evitando a detecção subvertendo o kernel do Windows, pode inicializar a partir de um disco de instalação do Windows, executar o Autoruns a partir dele, conectar-se ao SO agora off-line e capturar esse malware durante o sono!

Geralmente, há três locais a serem verificados: a pasta do menu Iniciar , a chave de execução do registro e a guia Serviços do msconfig . A guia Inicialização msconfig deve refletir as entradas do registro, mas é uma boa idéia verificar ambas. Em todos esses lugares, exclua ou desative tudo que não seja confiável ou que você não queira executar na inicialização.

1. Pasta de inicialização:

   C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
   

2. Registro: execute ( CTRL+ R) regedit, search ( F3) para key run(somente string inteira de correspondência), e depois de alguns você deve terminar em HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Rune HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run. Dessa forma, você deve encontrar as chaves de execução para outros usuários, bem como para o usuário padrão: é melhor também verificá-las.
3. Msconfig: execute ( CTRL+ R) msconfige veja abas Servicese Startup.

ATUALIZAÇÃO: Verifique também o Agendador de Tarefas de acordo com o comentário de Alex: ele pode conter tarefas que devem ser executadas na inicialização.

Além de fazer isso, você deve executar uma verificação antivírus completa antes de confiar em seu sistema novamente.

AdwCleaner , da Malwarebytes, é uma boa ferramenta para remover malware como este. Ele detecta automaticamente chaves ou configurações de registro desonestos, além de varrer outros arquivos e configurações. Eu tive um bom sucesso com muitos diferentes seqüestradores de navegador e malwares diferentes. Boa sorte!