Ho motivo di credere che potrei avere malware sul mio sistema sotto forma di estensione Explorer. Lo sospetto perché Procmon mostra che Explorer.exe continua a riscrivere una determinata chiave del Registro di sistema che intende eseguire un determinato EXE all'avvio.
Come faccio a sapere quali estensioni di Explorer sono installate e come le rimuovo?
Risposte:
Il mio preferito è Autoruns di Sysinternals (Microsoft). Va ben oltre le sole estensioni della shell e copre tonnellate di aree in cui è possibile eseguire codice di terze parti.
Supponendo che tu abbia fatto una scansione antivirus e che non sia stata rilevata, potresti voler guardare questo eccellente video di Mark Russinovich sulle tecniche avanzate di pulizia del malware .
ShellMenuView è una piccola utility che visualizza l'elenco di voci di menu statiche che sono apparse nel menu di scelta rapida quando si fa clic con il pulsante destro del mouse su un file / cartella in Esplora risorse e consente di disabilitare facilmente le voci di menu indesiderate
Le estensioni della shell sono oggetti COM in-process che estendono le capacità del sistema operativo Windows. La maggior parte delle estensioni della shell vengono installate automaticamente dal sistema operativo, ma ci sono anche molte altre applicazioni che installano componenti aggiuntivi delle estensioni della shell. Ad esempio: se installi WinZip sul tuo computer, vedrai un menu WinZip speciale quando fai clic con il tasto destro su un file Zip. Questo menu viene creato aggiungendo un'estensione shell al sistema.
L' utilità ShellExView visualizza i dettagli delle estensioni della shell installate sul computer e consente di disabilitare e abilitare facilmente ciascuna estensione della shell.
CCleaner ha anche una funzione per ripulire il menu di scelta rapida.
Si trova in Strumenti -> Avvio -> Menu contestuale
1. Ottieni corse automatiche 2. Ottieni Process Explorer.
Utilizzare Process Explorer per sospendere eventuali processi sospetti per impedire loro di scrivere nel registro. Utilizzare i Autoruns per esaminare tutto ciò che viene caricato all'avvio, in Explorer e Internet Explorer e chiudere tutti i servizi sospetti (non Microsoft).
Trova i processi di Google Updater, Adobe Updater e Flash Utils, rinomina e interromperne l'esecuzione. Questo è il minimo di ciò che mi viene in mente.
Grazie Josh Einstein :)
Controlla questa posizione nel registro e verifica se esiste una sottochiave denominata "Bloccata" (potrebbe esserci o meno) ... Ho scoperto che le mie schede di condivisione sono scomparse perché il CLSID si trovava lì:
\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Shell Extensions \ Blocked
Suppongo che se vuoi bloccare un'estensione della shell, è un buon posto per farlo poiché è dannatamente efficace e abbastanza sconosciuto. Solo una delle mie macchine aveva quella sottochiave e non ne avevo mai sentito parlare prima.