Diagnosticar um navegador de inicialização de worm com alguns URLs aleatórios [duplicados]

Existem várias coisas que você pode experimentar:

UM: Process Explorer e Process Hacker pode mostrar a você os pais de cada processo. Na captura de tela abaixo, o Process Hacker revela que o MultiCommander lançou o Firefox.

Claro,issosóépossívelquandooFirefoxéfechadoeiniciadodozero,masachoquevocêpodegerenciar.VocêpodeusaroProcessExplorerouoProcessHackerparalocalizarootárioqueiniciouonavegadoreexcluí-lo.

Twist:Eseoprocessoquevocêdesejaexcluiriniciarseunavegadoreterminar?Aqui,oProcessExplorertemumavantagemsobreoProcessHacker.OProcessExplorerlembraonomedesseprocessomesmodepoisqueeleéfinalizado,desdequeoProcessExplorersejainiciadoantesdotérminodesseprocesso.(VocêpodeclicarcomobotãodireitodomousenoFirefox.exeouemqualquernavegadorquevocêusareselecionarPropriedadesparaverisso.)Dessaforma,vocêpodeprocurarumarquivocomessenome.

DOIS: Autoruns podem mostrar todos os cantos e recantos de Janelas que iniciam aplicativos de inicialização. Pode ser esmagador à primeira vista. Aposto que você não sabia que existem muitos lugares dos quais um malware pode começar!

Masexistemmaneirasdefiltrarosresultados:

1. VáparaOpções>Opçõesdedigitalização...emarque"Verificar assinaturas de código". ( Passo mais importante )
2. Certifique-se de que Opções > Hide Microsoft Entries está marcado
3. Certifique-se de que Opções > Ocultar Entradas do Windows está marcada

Você provavelmente encontrará seu malware na guia Logon ou Tarefas agendadas. Provavelmente não é assinado digitalmente, por isso aparecerá em vermelho.

O bom do Autoruns é:

1. Você pode salvar os resultados e enviá-los a alguém para análise.
2. Você pode analisar um sistema operacional enquanto estiver off-line. Então, se você suspeitar que está infectado por um rootkit que está evitando a detecção subvertendo o kernel do Windows, você pode inicializar a partir de um disco de instalação do Windows, executar o Autoruns a partir daí, conectar-se ao SO agora desconectado e pegar esse malware!

Geralmente, há três locais a serem verificados: a pasta de menu Startup , a chave run do registro e a guia Services do msconfig. A guia msconfig Startup deve refletir as entradas do registro, mas é uma boa idéia verificar ambas. Em todos esses lugares, exclua ou desative tudo o que não é confiável ou que você não deseja executar na inicialização.

1. Pasta de inicialização:

   C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
   

2. Registro: run ( CTRL + R ) regedit , pesquisa ( F3 ) para a chave run (corresponde apenas à string inteira ), e depois de alguns você deve acabar em HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run . Dessa forma, você deve encontrar as chaves de execução para outros usuários, assim como para o usuário padrão: é melhor verificar também elas.
3. Msconfig: execute ( CTRL + R ) msconfig e veja as guias Services e Startup .

UPDATE: Verifique também o Agendador de Tarefas como no comentário de Alex: ele pode conter tarefas que devem ser executadas na inicialização.

Além de fazer isso, você deve executar uma verificação antivírus completa antes de confiar em seu sistema novamente.

O AdwCleaner , da Malwarebytes, é uma boa ferramenta para remover malware como este. Ele detecta automaticamente chaves ou configurações de registro desonestos, além de varrer outros arquivos e configurações. Eu tive um bom sucesso com muitos diferentes seqüestradores de navegador e malwares diferentes. Boa sorte!