Malware: como remover argumentos extras irritantes quando os processos do Firefox e do Chrome são iniciados

Navegue suas respostas
1

Estou no meio de uma limpeza de malware, como resultado do erro inicial de testar um arquivo .exe de uma fonte não confiável. De qualquer forma, o malware aparentemente acabou por ser algum tipo de adware, o tipo que incorpora anúncios irritantes nas páginas enquanto você está navegando. Agora eu estou cuidando disso (pelo menos espero, desde que eu tenho usado intensamente o ProcessExplorer, Autoruns, Malwarebytes Anti-Malware e Spy Hunter 4 nas últimas horas). No entanto, ainda permanece uma modificação complicada realizada pelo malware que ainda não sei como corrigir. Sempre que eu executo o Chrome ou o Firefox, esses processos são executados com um argumento adicional que aponta para um site russo irritante, da seguinte forma: 

firefox.exe "http://typhirosapile.ru"
chrome.exe "http://typhirosapile.ru"

EDIT: " link " redireciona para " link "que parece estar ligado a malwares de acordo com a pesquisa do google.

(Eu sei disso porque é assim que os processos estão sendo chamados de acordo com a coluna "linha de comando" no Gerenciador de Tarefas, Windows 7)

Meu palpite é que deve haver algum tipo de arquivo ou registro que diga ao Windows como executar processos do Firefox / Chrome por padrão, e de alguma forma o malware modificou esses arquivos adicionando o irritante site russo como um argumento extra.

Meu palpite é correto? E como posso consertar isso?

Obrigado antecipadamente.

    
por Pablo Messina 14.07.2016 / 10:27

4 respostas

1

Ok, então resolvi meu próprio problema.

O problema não foi encontrado no registro. Não houve necessidade de reinstalar nem o Chrome nem o Firefox.

A solução acabou sendo muito mais fácil do que eu esperava. O malware basicamente modificou os atalhos do Firefox e do Chrome para fazê-los apontar para um lançador malicioso chamado SalterLauncher.exe com argumentos 1 0 e 2 0, respectivamente. Este .exe estava localizado em C: \ Users \ {meu usuário} \ AppData \ Roaming \ HPSalter. Então, basicamente eu matei um processo que estava tendo controle sobre arquivos dentro dessa pasta, desmarcando o processo no Autoruns para evitar que ele fosse executado novamente no futuro, mudei + excluí a pasta inteira e finalmente recriou os atalhos para Firefox e Chrome na minha área de trabalho . E agora o problema está resolvido!

Obrigado a vocês por seu conselho.

    
por 14.07.2016 / 17:43
0

Tente usar o RevoUninstaller (ele também faz uma restauração sys para que você possa voltar se você alterar alguma coisa) para excluir completamente todos os arquivos associados ao Chrome / Firefox e depois fazer uma reinstalação.

    
por 14.07.2016 / 10:41
0

Faça o download dessas ferramentas gratuitas e execute ambas (como admin), elas limpam os adwares que não podem ser identificados ou excluídos pelo usuário médio (por exemplo, oculto no registro, no taskscheduler etc.).

Eles também mostram e salvam um relatório de arquivos (JRT), processos e chaves de registro que foram considerados culpados / suspeitosos e removidos.

1: Ferramenta de remoção de lixo (JRT) da Malwarebytes.

2: AdwCleaner .

    
por 14.07.2016 / 10:52
0

Se você acredita que é uma entrada no registro, então seria bastante fácil usar o "RegEdit" ou um programa de pesquisa de registro mais rápido. Procure por "typhirosapile" e procure e destrua. Basta remover o parâmetro de URL. Pode ser útil ou nessisário para o administrador do Run_As regedit ter acesso a todos os itens de registro.

    
por 14.07.2016 / 11:12

Tags

Ocultar ou remover ícones do menu de contexto no Windows 10 Como atualizar o chip AMD BIOS na máquina automatizada de produção de cateter na fábrica?