Ich habe Grund zu der Annahme, dass sich auf meinem System möglicherweise Malware in Form einer Explorer-Erweiterung befindet. Ich vermute dies, weil Procmon zeigt, dass Explorer.exe einen bestimmten Registrierungsschlüssel, der eine bestimmte EXE-Datei beim Start ausführen soll, immer wieder neu schreibt.
Wie finde ich heraus, welche Explorer-Erweiterungen installiert sind und wie entferne ich sie?
Mein persönlicher Favorit ist Autoruns von Sysinternals (Microsoft). Es geht weit über reine Shell-Erweiterungen hinaus und deckt Tonnen von Bereichen ab, in denen Code von Drittanbietern ausgeführt werden kann.
Angenommen, Sie haben einen Virenscan durchgeführt und dieser hat ihn nicht gefunden, möchten Sie dieses hervorragende Video von Mark Russinovich über fortgeschrittene Malware-Bereinigungstechniken ansehen .
ShellMenuView ist ein kleines Dienstprogramm, das die Liste der statischen Menüelemente anzeigt, die im Kontextmenü angezeigt werden, wenn Sie im Windows Explorer mit der rechten Maustaste auf eine Datei / einen Ordner klicken. Außerdem können Sie unerwünschte Menüelemente auf einfache Weise deaktivieren
Shell-Erweiterungen sind in Bearbeitung befindliche COM-Objekte, die die Fähigkeiten des Windows-Betriebssystems erweitern. Die meisten Shell-Erweiterungen werden automatisch vom Betriebssystem installiert, aber es gibt auch viele andere Anwendungen, die zusätzliche Shell-Erweiterungskomponenten installieren. Beispiel: Wenn Sie WinZip auf Ihrem Computer installieren, wird ein spezielles WinZip-Menü angezeigt, wenn Sie mit der rechten Maustaste auf eine Zip-Datei klicken. Dieses Menü wird durch Hinzufügen einer Shell-Erweiterung zum System erstellt.
Das ShellExView- Dienstprogramm zeigt die Details der auf Ihrem Computer installierten Shell-Erweiterungen an und ermöglicht Ihnen das einfache Deaktivieren und Aktivieren jeder Shell-Erweiterung.
CCleaner hat auch eine Funktion zum Aufräumen des Kontextmenüs.
Es ist unter Extras -> Start -> Kontextmenü zu finden
quelle
1.Get Auto Runs 2.Get Process Explorer.
Verwenden Sie den Prozess-Explorer, um alle verdächtigen Prozesse anzuhalten, damit sie nicht mehr in die Registrierung schreiben können. Mit den Autoruns können Sie alles, was beim Start geladen wird, in Explorer und Internet Explorer anzeigen und alle verdächtigen Dienste (nicht Microsoft) beenden.
Suchen Sie nach Google Updater-, Adobe Updater- und Flash Utils-Prozessen, benennen Sie sie um und beenden Sie ihre Ausführung. Das ist das Wenigste, woran ich denken kann.
Danke Josh Einstein :)
quelle
Überprüfen Sie diesen Speicherort in der Registrierung, und prüfen Sie, ob ein Unterschlüssel mit dem Namen "Blockiert" vorhanden ist (möglicherweise vorhanden oder nicht).
\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Shell Extensions \ Blocked
Ich nehme an, wenn Sie eine Shell-Erweiterung blockieren möchten, ist dies ein guter Ort, da sie verdammt effektiv ist und anscheinend ziemlich unbekannt ist. Nur eine meiner Maschinen hatte diesen Unterschlüssel und ich habe noch nie davon gehört.
quelle