Tôi có lý do để tin rằng tôi có thể có phần mềm độc hại trên hệ thống của mình dưới dạng tiện ích mở rộng Explorer. Tôi nghi ngờ điều này bởi vì Procmon cho thấy Explorer.exe tiếp tục viết lại một khóa Registry nhất định nhằm chạy một EXE nào đó khi khởi động.
Làm cách nào để tìm hiểu phần mở rộng Explorer nào được cài đặt và làm cách nào để xóa chúng?
Câu trả lời:
Sở thích cá nhân của tôi là Autorun từ Sysiternals (Microsoft). Nó vượt xa các phần mở rộng vỏ và bao gồm hàng tấn các khu vực nơi mã của bên thứ ba có thể chạy.
Giả sử bạn đã thực hiện quét vi-rút và không bắt được, bạn có thể muốn xem video tuyệt vời này từ Mark Russinovich về các kỹ thuật làm sạch phần mềm độc hại tiên tiến .
ShellMothyView là một tiện ích nhỏ hiển thị danh sách các mục menu tĩnh xuất hiện trong menu ngữ cảnh khi bạn bấm chuột phải vào tệp / thư mục trên Windows Explorer và cho phép bạn dễ dàng vô hiệu hóa các mục menu không mong muốn
Shell Extension là các đối tượng COM đang xử lý giúp mở rộng khả năng của hệ điều hành Windows. Hầu hết các phần mở rộng shell được hệ điều hành tự động cài đặt, nhưng cũng có nhiều ứng dụng khác cài đặt các thành phần mở rộng shell bổ sung. Ví dụ: Nếu bạn cài đặt WinZip trên máy tính của mình, bạn sẽ thấy menu WinZip đặc biệt khi bạn nhấp chuột phải vào tệp Zip. Menu này được tạo bằng cách thêm phần mở rộng shell vào hệ thống.
Các ShellExView hiển thị tiện ích mở rộng các chi tiết của vỏ được cài đặt trên máy tính của bạn, và cho phép bạn dễ dàng vô hiệu hóa và kích hoạt mỗi lần gia hạn vỏ.
CCleaner cũng có một tính năng để dọn sạch menu ngữ cảnh.
Nó được tìm thấy trong Công cụ -> Khởi động -> Trình đơn ngữ cảnh
1.Get Tự động chạy 2.Get Process Explorer.
Sử dụng trình thám hiểm quy trình để tạm dừng bất kỳ quy trình nghi ngờ nào để ngăn chặn chúng viết sang đăng ký. Việc sử dụng Autorun để xem xét mọi thứ được tải khi khởi động, vào trình thám hiểm và trình thám hiểm internet và tắt mọi dịch vụ nghi ngờ (không phải microsoft).
Tìm các quy trình Google Updater, Adobe Updater và Flash Utils và đổi tên và ngăn chúng chạy. Đó là điều tối thiểu tôi có thể nghĩ ra.
Cảm ơn Josh Einstein :)
Kiểm tra vị trí này trong sổ đăng ký và xem liệu có khóa phụ có tên 'Bị chặn' (có thể có hoặc không) ... Tôi thấy các tab chia sẻ của mình biến mất vì CLSID được đặt ở đó:
\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Shell Tiện ích mở rộng \ Bị chặn
Tôi cho rằng nếu bạn muốn chặn một phần mở rộng shell, đó là một nơi tốt để làm điều đó vì nó có vẻ khá hiệu quả và dường như không rõ. Chỉ một trong những máy của tôi có khóa phụ đó và tôi chưa bao giờ nghe về nó trước đây.