Tenho motivos para acreditar que posso ter malware no meu sistema na forma de uma extensão do Explorer. Suspeito disso porque o Procmon mostra que o Explorer.exe continua reescrevendo uma certa chave do Registro que se destina a executar um determinado EXE na inicialização.
Como descubro quais extensões do Explorer estão instaladas e como as removo?
Meu favorito pessoal é Autoruns da Sysinternals (Microsoft). Ele vai muito além das extensões de shell e abrange várias áreas nas quais o código de terceiros pode ser executado.
Supondo que você tenha feito uma verificação de vírus e não a tenha detectado, convém assistir a este excelente vídeo de Mark Russinovich sobre técnicas avançadas de limpeza de malware .
O ShellMenuView é um pequeno utilitário que exibe a lista de itens de menu estáticos que aparecem no menu de contexto quando você clica com o botão direito do mouse em um arquivo / pasta no Windows Explorer e permite desabilitar facilmente itens de menu indesejados
As extensões de shell são objetos COM em processo que ampliam as habilidades do sistema operacional Windows. A maioria das extensões de shell é instalada automaticamente pelo sistema operacional, mas também existem muitos outros aplicativos que instalam componentes adicionais de extensão de shell. Por exemplo: Se você instalar o WinZip no seu computador, verá um menu especial do WinZip ao clicar com o botão direito do mouse em um arquivo Zip. Este menu é criado adicionando uma extensão de shell ao sistema.
O utilitário ShellExView exibe os detalhes das extensões de shell instaladas no seu computador e permite desabilitar e habilitar facilmente cada extensão de shell.
O CCleaner também possui um recurso para limpar o menu de contexto.
Pode ser encontrado em Ferramentas -> Inicialização -> Menu de contexto
fonte
1.Get Auto Runs 2.Get Process Explorer.
Use o Process Explorer para suspender qualquer processo suspeito para impedi-lo de gravar no registro. Use o Autoruns para examinar tudo o que é carregado na inicialização, no explorer e no internet explorer e desligar todos os serviços suspeitos (que não sejam da microsoft).
Encontre os processos do Google Updater, Adobe Updater e Flash Utils, renomeie e interrompa a execução. Isso é o mínimo do que consigo pensar.
Obrigado Josh Einstein :)
fonte
Verifique este local no registro e veja se existe uma subchave chamada 'Bloqueado' (pode ou não) ... Encontrei minhas guias de compartilhamento desaparecidas porque o CLSID estava localizado lá:
Extensões \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Shell \ Bloqueadas
Suponho que, se você deseja bloquear uma extensão de shell, esse é um bom lugar para fazê-lo, pois é bastante eficaz e bastante desconhecido. Apenas uma das minhas máquinas tinha essa subchave e eu nunca tinha ouvido falar antes.
fonte