¿Cómo enumerar las extensiones de Explorer y deshabilitarlas?

38

Tengo razones para creer que puedo tener malware en mi sistema en forma de extensión Explorer. Sospecho que esto se debe a que Procmon muestra que Explorer.exe sigue reescribiendo una determinada clave del Registro que está destinada a ejecutar un determinado EXE al inicio.

¿Cómo averiguo qué extensiones de Explorer están instaladas y cómo las elimino?

Timwi
fuente

Respuestas:

49

Mi favorito personal es Autoruns de Sysinternals (Microsoft). Va mucho más allá de las extensiones de shell y cubre toneladas de áreas donde se puede ejecutar código de terceros.

Suponiendo que ha realizado un análisis de virus y no lo detectó, es posible que desee ver este excelente video de Mark Russinovich sobre técnicas avanzadas de limpieza de malware .

Josh
fuente
12

ShellMenuView es una pequeña utilidad que muestra la lista de elementos de menú estáticos que aparecieron en el menú contextual al hacer clic con el botón derecho en un archivo / carpeta en el Explorador de Windows, y le permite desactivar fácilmente elementos de menú no deseados

2

Las Extensiones de Shell son objetos COM en proceso que amplían las capacidades del sistema operativo Windows. El sistema operativo instala automáticamente la mayoría de las extensiones de shell, pero también hay muchas otras aplicaciones que instalan componentes adicionales de extensión de shell. Por ejemplo: si instala WinZip en su computadora, verá un menú especial de WinZip cuando haga clic derecho en un archivo Zip. Este menú se crea agregando una extensión de shell al sistema.

La utilidad ShellExView muestra los detalles de las extensiones de shell instaladas en su computadora y le permite deshabilitar y habilitar fácilmente cada extensión de shell.

4 4

Therube
fuente
2
Curiosamente, estas herramientas encuentran muchas cosas que Autoruns no ...
Zero3
5

CCleaner también tiene una función para limpiar el menú contextual.

Se encuentra en Herramientas -> Inicio -> Menú contextual

David d C e Freitas
fuente
+1 para una excelente herramienta gratuita para hacer esto. Encontré y eliminé un elemento de menú contextual no deseado (en el menú contextual) que no pude encontrar usando ShellMenuView y ShellExView.
Morten Jensen
1

1.Get Auto Runs 2.Get Process Explorer.

Use el explorador de procesos para suspender cualquier proceso sospechoso para evitar que escriban en el registro. El uso de las ejecuciones automáticas para ver todo lo que se carga al inicio, en el explorador y el explorador de Internet y cierra cualquier servicio sospechoso (no microsoft).

Encuentre los procesos de Google Updater, Adobe Updater y Flash Utils y cambie el nombre y evite que se ejecuten. Eso es lo menos que puedo pensar.

Gracias Josh Einstein :)

Arjang
fuente
3
Suspenda el proceso en lugar de matarlo. Evita que los "amigos" del malware se reinicien entre sí.
Josh
@ Josh: Pero no por desconfiar el uno del otro ... :)
Timwi
-1

Verifique esta ubicación en el registro y vea si hay una subclave llamada 'Bloqueada' (puede o no existir) ... Encontré que mis pestañas para compartir desaparecieron porque el CLSID estaba ubicado allí:

\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Extensiones de Shell \ Bloqueado

Supongo que si quieres bloquear una extensión de shell, es un buen lugar para hacerlo, ya que es bastante efectivo y bastante desconocido. Solo una de mis máquinas tenía esa subclave y nunca antes había oído hablar de ella.

Steve Sybesma
fuente