У мене є підстави вважати, що у мене може бути зловмисне програмне забезпечення у моїй системі у вигляді розширення Explorer. Я підозрюю це, оскільки Procmon показує, що Explorer.exe продовжує переписувати певний ключ реєстру, який призначений для запуску певного EXE при запуску.
Як дізнатись, які встановлені розширення Explorer і як їх видалити?
Відповіді:
Мій особистий фаворит - Autoruns від Sysinternals (Microsoft). Він виходить за рамки лише розширень оболонки та охоплює багато областей, де може працювати код сторонніх розробників.
Якщо припустити, що ви зробили сканування вірусів, і це не застало, можливо, ви захочете переглянути це чудове відео від Марка Русиновича про передові методи очищення від зловмисних програм .
ShellMenuView - це невелика утиліта, яка відображає список статичних пунктів меню, що з’явилися у контекстному меню, коли ви клацніть правою кнопкою миші файл / папку в Провіднику Windows, і дозволяє легко відключити небажані елементи меню
Розширення оболонки - це COM-об'єкти, що розширюють можливості операційної системи Windows. Більшість розширень оболонок автоматично встановлюється операційною системою, але є також багато інших програм, які встановлюють додаткові компоненти розширення оболонки. Наприклад: Якщо ви встановите WinZip на свій комп’ютер, ви побачите спеціальне меню WinZip при натисканні правою кнопкою миші на файл Zip. Це меню створюється додаванням розширення оболонки до системи.
ShellExView утиліта відображає детальну інформацію про розширення оболонки , встановлених на вашому комп'ютері, і дозволяє легко відключити і включити кожне розширення оболонки.
CCleaner також має можливість очищення контекстного меню.
Він знаходиться в розділі Інструменти -> Запуск -> Меню контексту
1.Отримати автоматичний запуск 2.Запустити провідник процесів.
Використовуйте Провідник процесів, щоб призупинити будь-які підозрілі процеси, щоб не допустити їх запису до реєстрації. Використовуйте Autoruns, щоб переглянути все, що завантажується під час запуску, на провідник та Інтернет-провідник та закрити будь-які підозрювані служби (не для мікрософт).
Знайдіть процеси Google Updater, Adobe Updater та Flash Utils та перейменуйте їх та зупиніть їх на роботі. Це найменше, що я можу придумати.
Дякую Джошу Ейнштейну :)
Перевірте це місце в реєстрі та перевірте, чи є під ключ під назвою "Заблоковано" (може бути, а може і не бути) ... Я виявив, що мої вкладки обміну зникли, оскільки CLSID був там:
\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Розширення оболонки \ Заблоковано
Я гадаю, що якщо ви хочете заблокувати розширення оболонки, це хороше місце для цього, оскільки це досить ефектно і досить невідомо, як здається. Тільки на одній з моїх машин був цей під ключ, і я раніше про нього не чув.