Como listar extensões do Explorer e desativá-las?

40

Tenho motivos para acreditar que posso ter malware no meu sistema na forma de uma extensão do Explorer. Suspeito disso porque o Procmon mostra que o Explorer.exe continua reescrevendo uma certa chave do Registro que se destina a executar um determinado EXE na inicialização.

Como descubro quais extensões do Explorer estão instaladas e como as removo?

Timwi
fonte

Respostas:

50

Meu favorito pessoal é Autoruns da Sysinternals (Microsoft). Ele vai muito além das extensões de shell e abrange várias áreas nas quais o código de terceiros pode ser executado.

Supondo que você tenha feito uma verificação de vírus e não a tenha detectado, convém assistir a este excelente vídeo de Mark Russinovich sobre técnicas avançadas de limpeza de malware .

Josh
fonte
13

O ShellMenuView é um pequeno utilitário que exibe a lista de itens de menu estáticos que aparecem no menu de contexto quando você clica com o botão direito do mouse em um arquivo / pasta no Windows Explorer e permite desabilitar facilmente itens de menu indesejados

2

As extensões de shell são objetos COM em processo que ampliam as habilidades do sistema operacional Windows. A maioria das extensões de shell é instalada automaticamente pelo sistema operacional, mas também existem muitos outros aplicativos que instalam componentes adicionais de extensão de shell. Por exemplo: Se você instalar o WinZip no seu computador, verá um menu especial do WinZip ao clicar com o botão direito do mouse em um arquivo Zip. Este menu é criado adicionando uma extensão de shell ao sistema.

O utilitário ShellExView exibe os detalhes das extensões de shell instaladas no seu computador e permite desabilitar e habilitar facilmente cada extensão de shell.

4

therube
fonte
2
Curiosamente, essas ferramentas encontra um monte de coisas que Autoruns não ...
Zero3
5

O CCleaner também possui um recurso para limpar o menu de contexto.

Pode ser encontrado em Ferramentas -> Inicialização -> Menu de contexto

David d C e Freitas
fonte
+1 para uma excelente ferramenta gratuita para fazer isso. Encontrei e removi um item de menu de contexto indesejado (no menu do botão direito) que não encontrei usando o ShellMenuView e o ShellExView.
Morten Jensen
1

1.Get Auto Runs 2.Get Process Explorer.

Use o Process Explorer para suspender qualquer processo suspeito para impedi-lo de gravar no registro. Use o Autoruns para examinar tudo o que é carregado na inicialização, no explorer e no internet explorer e desligar todos os serviços suspeitos (que não sejam da microsoft).

Encontre os processos do Google Updater, Adobe Updater e Flash Utils, renomeie e interrompa a execução. Isso é o mínimo do que consigo pensar.

Obrigado Josh Einstein :)

Arjang
fonte
4
Suspenda o processo em vez de matá-lo. Impede que "amigos" de malware se reiniciem.
2028 Josh
@ Josh: Mas não de Reativando o outro ... :)
Timwi
-1

Verifique este local no registro e veja se existe uma subchave chamada 'Bloqueado' (pode ou não) ... Encontrei minhas guias de compartilhamento desaparecidas porque o CLSID estava localizado lá:

Extensões \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Shell \ Bloqueadas

Suponho que, se você deseja bloquear uma extensão de shell, esse é um bom lugar para fazê-lo, pois é bastante eficaz e bastante desconhecido. Apenas uma das minhas máquinas tinha essa subchave e eu nunca tinha ouvido falar antes.

Steve Sybesma
fonte