Hkey local machine software microsoft windows currentversion explorer browser helper objects
Слишком часто стал возникать этот вопрос, а т.к. самому было лень писать все это, то воспользовавшись инетом нарыл достаточно хороший мануал на эту тему:
Эта проблема в последнее время стала настолько распространена, что заслуживает отдельного рассмотрения. Если вам не повезло, то сносить под корень операционную систему не спешите — вот самая подробная инструкция по решению этой проблемы.
Запустите ПК в режиме защиты от сбоев и выгрузите из памяти все запущенные программы от сторонних разработчиков (то есть не от Microsoft — автора файла можно узнать в его свойствах), если таковые оказались — для этого используйте не только комбинацию клавиш Ctrl+Alt+Del, но ОБЯЗАТЕЛЬНО и утилиту типа TaskInfo (www.iarsn.com ) или аналогичную программу — только с ее помощью можно увидеть, что в действительности находится в памяти ПК.
Затем, с помощью утилиты msconfig.exe проверьте всю автозагрузку и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название — набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из автозагрузки — для ОС это абсолютно безопасно.
Разумеется, сразу после этого просканируйте систему свежим антивирусом и утилитой Ad-aware www.lavasoft.de/aaw/index.html, удаляющей с диска более-менее известные рекламно-шпионские программные модули, формально вирусами не являющиеся.
Можно так же просканировать компютер другими программами из этого списка http://virusinfo.info/index.php?boar. ay;threadid=24
Далее обнулите в свойствах обозревателя домашнюю страницу и перегрузите ПК.
Если ваши установки на этот раз не изменились и проблема исчезла, то была виновата одна из автоматически загружаемых программ — по очереди возвращая автозагрузку каждой программы и перегружая ПК, можно выяснить конкретного виновника — после включения его автозагрузки (или после ручного запуска) страница опять окажется подменена.
В редких случаях программа, меняющая домашнюю страницу, не прописывает себя в автозагрузку и вносит изменения в настройки системы не при каждой загрузке Windows, а при своем обычном запуске — попробуйте в таком случае запускать каждую из установленных программ и смотрите, после загрузки которой из них изменились настройки обозревателя.
Определить вредоносную программу можно и по URL-адресу, прописывающемуся в качестве домашней страницы, а также по названию исполнимого файла — поиск в интернете поможет определить назначение каждой программы из автозагрузки.
Если же вы полностью отключили автозагрузку (вплоть до ручной проверки файлов win.ini, autoexec.bat, winstart.bat), но проблема не исчезла, то следующим этапом удалите все временные интернет-файлы (Temporary интернет Files), очистите Журнал (History), очистите папку C:\Windows\Cookies и посмотрите, какие плагины установлены для Internet Explorer — возможно страницу изменяет какой-то из них.
Файлы подключаемых модулей-плагинов находятся в папке C:\Program Files\Internet Explorer\Plugins — по свойствам каждого файла можно выяснить его предназначение. Временно удалите все файлы из этой папки и посмотрите результат — если проблема исчезла, значит, виноват один из плагинов.
Если нет, то откройте на этот раз в Блокноте файл Windows\hosts (без расширения, в Windows XP он находится в папке Winnt\System32\Drivers\Etc) и просмотрите его содержание — строки с упоминанием IP-адреса сайта вредоносной программы следует удалить.
Если же вы не используете файл hosts или первый раз о нем слышите (учтите только, что его мог создать администратор вашей локальной сети), можно удалить (или временно переместить в другую папку) и его.
Следующим этапом, даже если вы нашли виновника, запустите поиск этого зловредного URL-адреса (или IP) в редакторе реестра — везде, где встретите его упоминание — удаляйте.
Обычно в Windows поражены чужеродным URL следующие параметры реестра (параметры, значение которых не указано, можно удалить):
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer
«SearchURL»=
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Main
«Default_Search_URL»=
«Search Page»=»www.microsoft.com/
isapi/redir.dll?prd=ie&ar=
iesearch»
«Search Bar»=
«SearchURL»=
«Window Title»=
«Window_Placement»=
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Search
«SearchAssistant»=
HKEY_CURRENT_USER\Software\
Micrsoft\Internet Explorer\Toolbar\WebBrowser
«ITBarLayout»=
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Internet Explorer\Search
«SearchAssistant»=»ie.search.msn.com/
srchasst/srchasst.htm»
«CustomizeSearch»=»ie.search.
msn.com/
srchasst/srchcust.htm»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
«NavigationFailure»=»res://
shdoclc.dll/navcancl.htm»
«DesktopItemNavigationFailure»
=»res://shdoclc.dll/
navcancl.htm»
«NavigationCanceled»=»res://shdoclc.dll/navcancl.htm»
«OfflineInformation»=»res://shdoclc.dll/offcancl.htm»
«blank»=»res://mshtml.dll/
blank.htm»
«PostNotCached»=»res://
mshtml.dll/repost.htm»
«mozilla»=»res://mshtml.dll/about.moz»
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Internet Explorer\Main
«Default_Page_URL»=
«www.microsoft.com/isapi/
redir.dll?prd=ie&pver=6&ar=
msnhome»
«Default_Search_URL»=
«www.microsoft.com/isapi/
redir.dll?prd=ie&ar=iesearch»
«Search Page»=
«www.microsoft.com/isapi/
redir.dll?prd=ie&ar=iesearch»
«Local Page»=
«Start Page»=
«www.microsoft.com/isapi/
redir.dll?prd=
&ar=home»
«CompanyName»=»Microsoft Corporation»
«Window Title»=
HKEY_USERS\.Default\Software\
Microsoft\Internet Explorer
«SearchURL»=
HKEY_USERS\.Default\Software\
Microsoft\Internet Explorer\Main
«Search Page»=
«www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch»
«Default_Search_URL»=
«Search Bar»=
«Local Page»=
«Start Page»=
HKEY_USERS\.Default\Software\
Microsoft\Internet Explorer\Search
«SearchAssistant»=
Кроме того, непременно проверьте, какие Browser Helper Objects установлены на вашем ПК. Browser Helper Objects (BHO) — это небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer.
Не многие пользователи слышали о подобной весьма небезопасной и достаточно скрытой функции Internet Explorer, но именно с ее помощью делается такая мерзость, как постоянная подмена вводимого в адресной строке браузера URL. Список идентификаторов, установленных BHO, находится в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\Current
Version\explorer\Browser Helper Objects.
Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) — это их полностью дезактивирует. Однако, как выяснить — подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера?
Технология в данном случае такова. Например, если в этом разделе вы обнаружите подраздел HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\
CurrentVersion\explorer\
Browser Helper Objects\
ROOT\CLSID\
InprocServer32
@=»C:\Program Files\Flashget\jccatch.dll»
Из этой записи можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет. Если же вы обнаружите упоминание DLL-библиотеки непонятного происхождения, то смело удаляйте в реестре все упоминания данного BHO — скорее всего именно он и является причиной неприятностей.
Объекты модулей поддержки (Browser Helper Objects)
Эта вкладка отображает объекты модулей поддержки (BHOs), установленные на Вашем компьютере.
Что такое BHO?
BHO — это расширение/плагин для Internet Explorer, которое расширяет функциональность браузера. Расширение представляет собой DLL-модуль, который загружается в процесс Internet Explorer каждый раз при запуске браузера. BHO — это объект компонентной модели (Component Object Model — COM). Такие компоненты исполняются в том же контексте памяти что и браузер, и могут выполнять операции над всеми доступными окнами и модулями. Например, BHO может реагировать на типичные события браузера, такие как GoBack, GoForward, или DocumentComplete; изменять меню и панели инструментов браузера; создавать новые окна для отображения информации; устанавливать хуки для отслеживания сообщений или запускать другие приложения.
Некоторые BHO легитимны и не повредят Вашему компьютеру, например, Google Toolbar, Adobe Acrobat IE helper, Yahoo! Companion и т.д. Но имеется огромное число объектов BHO, единственная цель которых — показывать рекламу или следить за Вами.
Размещение
Идентификаторы CLSID объектов BHO, которые Internet Explorer загружает, расположены в реестре в следующем ключе:
HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects
Действие Выключить
Действие Выключить перемещает идентификатор CLSID объекта из ключа реестра: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects во временный ключ.
Необходимо перезапустить Internet Explorer, чтобы изменения вступили в силу.
Действие Удалить
Действие Удалить выполняет следующие операции (в зависимости от выбранных опций):
- Удаляет идентификатор CLSID объекта из ключей: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects , HKEY_CLASSES_ROOT \CLSID ;
- Удаляет файл, связанный с объектом;
- Отменяет регистрацию (unregister) объекта.
Вам может потребоваться закрыть все окна Internet Explorer, чтобы удалить файл объекта BHO.
Необходимо перезапустить Internet Explorer, чтобы изменения вступили в силу.
Hkey local machine software microsoft windows currentversion explorer browser helper objects
Отслеживание загрузки шпионских программ в системе Windows
Последнее время в Интернете часто встречаются вопросы о том, что при использовании Internet Explorer происходит смена стартовой страницы, при загрузке по ссылке открываются совершенно другие страницы. Я сам столкнулся с этим и поэтому изучал проблему на себе. Первое, что советовали, это воспользоваться специальными программами типа Ad-aware и Антивирус Касперского с новыми базами. Это правильно и на какое-то время решает проблему, но потом опять все повторяется. Я же решил выяснить вручную где прописывается шпион и как мне кажется выяснил это. Я не писатель и не журналист, стиль моей писанины прошу не критиковать, пишу потому что сам не нашел в одном месте подробного описания как и что происходит и решил восполнить это. Может кому будет интересно.
Итак, встретившись с тем, что ваш Internet Explorer стал загружать не те ссылки, первое что можно посоветовать — это поставить Ad-aware и Антивирус Касперского с новыми базами и просканировать компьютер. Но если вы хотите сами решить эту проблему, то моя статья для Вас. Также я постараюсь описать свои действия подробно, может кому из начинающих пригодится в качестве методики поиска шпионов. Специалистам это может будет излишне. Они и без меня это знают, поэтому я адресую статью в первую очередь для начинающих.
Для наблюдений я использовал два компьютера: на работе Windows XP без сервис паков и дома сначала также Windows XP без сервис паков, потом поставил последовательно SP-1 и SP-2.
Когда я впервые столкнулся с этой проблемой, то для выяснения где же что грузиться стал проверять, во-первых, пункт «Автозагрузка». У
меня в нем стоит только загрузка офиса. Во-вторых, ключи реестра ответственные за автозагрузку программ: это раздел реестра
а в нем подразделы Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ. Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа, если надо — то с параметрами. Обратите внимание на разделы, в названии которых присутствует «Once». Это разделы, в которых прописываются программы, запуск которых надо произвести всего один раз после следующей загрузки системы. Например, при установке новых программ некоторые из них прописывают туда ключи, указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера. Такие ключи после своего запуска автоматически удаляются. В параметре
я нашел одну программу с именем из произвольного набора букв. Программа была записана в папке Windows, дата создания оказалась свежая. Поняв что это шпион, решил потом с ним разобраться. Владельцам линейки Win98 рекомендую заглянуть еще и в файл win.ini в раздел [windows]. В нем есть два параметра load и run. Если в них записаны какие то программы, то стоит проверить какие именно и нужны ли они Вам. Кроме этого в реестре есть параметр
В нем можно прописать DLL которые будут грузиться при всех загрузках во все запускаемые Windows процессы, которые используют библиотеку User32.DLL. У меня этот параметр пустой.
Таким образом все проверив я нашел только одного шпиона в параметре реестра, отвечающего за автозагрузку программ. Перезагрузив компьютер я сразу вывел на экран диспетчер задач Windows и понаблюдал, как этот процесс загрузившись при старте системы отработал несколько минут и выгрузился. Решив что он загружает DLL в память и уже потом она играет роль шпиона, я этот параметр удалил из реестра и из папки Windows.
Проверил ключи реестра:
Значение параметра по умолчанию должно быть «http://»
Там должны быть следующие значения параметров:
и не должно быть никаких адресов интернет. У меня там стояли url, которые я и удалил.
Решив, что со шпионом покончено, я успокоился и некоторое время работало все нормально, но через несколько дней повторилось опять то же самое, что было сразу заметно т.к. менялась стартовая страница. Решив, что работая в Интернете я опять ловлю заразу, я также вручную убрал из автозагрузки появившийся файл, в имени которого были уже другой набор букв, но сравнение файлов с предыдущим выдавало, что они одинаковы. Удалил файл и исправил ключи реестра, т.к. там опять прописывались url. Конечно можно было сразу накатить сервис паки, но я решил наблюдать что же будет дальше. Дома поставил SP-1. Поработав я стал более внимательно следить и обратил внимание, что в один день произошли изменения страницы и url в то время, когда я не был подключен к Интернету. Заражение так же произошло и на домашнем компе при работе в Интернет. До этого он не был заражен из чего я сделал вывод что SP-1 не является защитой от используемой шпионом дыры.
Вывод: шпион так и сидел на рабочем компе; на домашнем только что произошло заражение, только вносил изменения он видимо не сразу, а через несколько дней, видимо чтобы привлекать меньше внимания. Если бы он сразу вносил изменения после меня, то я бы раньше сообразил, что шпион продолжает работать и не прекратил бы поиски. А так я потерял несколько недель, думая что ловлю шпиона из Интернета, в то время, как он сидел у меня и продолжал работать.
Проверяя компьютер, и, в первую очередь, папку Windows по дате создания файлов, я обратил внимание на файл qwe7972.ini в папке Windows\System32. Особенность его была в том, что после каждой перезагрузки у него менялась дата и время создания файла, т.е. при каждой загрузке какая-то программа пишет в файл информацию. Причем информация в файле была нечитаемая — просто набор символов в строках. По виду похож на другие ini файлы, т.е. также в файле [разделы], в разделах параметр=значение_параметра, только информация была зашифрована. Сразу вывод, что информацию пытаются от нас скрыть и, естественно, таким файлом надо заинтересоваться. Если бы это была система, то были бы обычные записи хотя бы и на английском. Отсортировав файлы в папке по имени я увидел файл qwe7972.dll. Естественно напрашивается вывод что именно эта библиотека и пишет информацию в файл, учитывая что у них одинаковые имена и дата создания DLL свежая, а систему я ставил давно и никаких обновлений не проводил, во всяком случае на рабочем компе. Поэтому файл с такой датой никак не мог попасть на компьютер в результате моих действий. Осталось разобраться как библиотека грузится. Убрав шпиона из автозагрузки (как я уже писал файл с именем из набора букв) и перезагрузившись я увидел, что время файла qwe7972.ini изменилось, следовательно библиотека продолжает грузиться и работать. Попробовал удалить библиотеку, но система выдала, что объект заблокирован, что подтвердило догадку о работе библиотеки в данный момент. Воспользовавшись программой ProcessInfo из прилагаемых к книге Рихтера «Windows для профессионалов», я посмотрел какие процессы грузят эту DLL. Это оказался EXPLORER и только он ей пользовался (есть и другие программы для просмотра информации о процессах, но я в то время читал книгу Рихтера и для опыта использовал его программы). Я сравнил файл EXPLORER с рабочего компьютера с заведомо исправным файлом с дистрибутива Windows. Оказалось, что они одинаковы и на тот момент у меня не возникло версий как же грузится библиотека, т.е. изменений в заголовок файла не вносились. Перезагрузив комп в безопасном режиме я эту библиотеку удалил. Из антивирусников на то время я использовал Нортон Антивирус с новыми базами, обновляемыми раз в неделю, но Нортон на эту библиотеку не ругался. Я поставил Касперского 5 с новыми базами. В копии этой библиотеки Каспер увидел шпиона.
Около месяца все было нормально пока у меня не был решен один вопрос — как же библиотека грузилась? Через месяц на рабочем компе я опять увидел проблемы, стартовая страница уже так явно не менялась, но происходили изменения url в реестре и при работе в IE открывались совсем другие ссылки, а не те, на которые я нажимал. Идя проторенным путем я обнаружил в папке Windows\System32 библиотеку qweХХХХ.dll,где вместо «ХХХХ» уже другие цифры, а также ini файл с тем же именем. Стоящий на компе Каспер уже не видел в ней шпиона.
Перезагрузившись в безопасном режиме я эту библиотеку удалил. Все опять встало на места. Обновил базы Каспера. Но мне все не давала покоя мысль как библиотека грузилась. Я проверял все ключи ответственные за автозагрузку программ, там удалял все подозрительное, и, даже когда там оставались только необходимые программы, которым я доверяю, библиотека все равно грузилась. Читая литературу я встретил информацию, что есть и еще возможность загрузки которую я не проверял.
В Internet Explorer встроена технология Browser Object Helper. Данная технология позволяет встраивать другим программам свои плагины в IE и выполнять какие-то действия во время его работы. Так, например, поступают качалки. У меня стоит FlashGet. Данная технология может быть использована и для наблюдения за действиями пользователя в IE и вместо его действий выполнять свои, в том числе для загрузки других страниц вместо тех на которые хотим перейти по ссылке.
Объекты загружаемые через BHO хранятся в ключе:
где перечислены значения с именем равным CLSID загружаемого объекта. В ключе
находим по CLSID раздел с именем этого CLSID. В нем можно посмотреть параметры объекта, в том числе и путь до загружаемой библиотеки в параметре \InprocServer32\(По умолчанию)=»путь до загружаемого объекта».
Посмотрев данные ключи я увидел, что через них грузились эти DLL, и хотя фактически сами файлы я удалил, но ключи ответственные за загрузку остались на месте. Т.е. EXPLORER не изменялся, он оставался именно тем каким и был при установке WINDOWS, другие программы не грузили библиотеки, использовалось то, что было встроено разработчиками. При загрузке EXPLORER просматривал ключи реестра и подгружал библиотеки. Если какой-то из них не было, то это просто пропускалось не выводя никаких сообщений.
Таким образом можно вручную разобрать что нам надо в данных ключах реестра, а что нет, и удалить шпиона. А можно воспользоваться спецпрограммами, например, BHO Captor или WinPatrol. Последняя мне особенно понравилась, так как кроме этого выдает много другой полезной информации по тому что запускается на компе. Но первая, что хорошо, имеет в комплекте исходные тексты на DELPHI. Во всяком случае, та версия которую я скачал. По исходникам можно посмотреть используемые ключи реестра.
Вот в принципе и все, что я хотел рассказать в своей статье. Технология загрузки BHO для меня была открытием. Если о вышеописанных ключах и методах загрузки я слышал ранее и при поиске шпиона их использовал, то BHO я открыл для себя впервые, и ранее в общедоступных местах я не встречал описания этого, поэтому решил восполнить пробел.
Конечно, если использовать более новые версии программ для наблюдения за системой и регулярно обновлять базы, то эти шпионы будут удалены (Каспер также сообщает, что объект DLL заражен и удалить его невозможно, т.к. он заблокирован. Приходилось перезагружать в безопасном режиме и удалять вручную), но для меня было интересно разобраться самому где это происходит. Кроме того хочется сказать слово в пользу установки сервис паков: хотя SP-1 позволял шпиону пролезть в систему, то SP-2, стоящий у меня дома, пока не дает этого сделать. Видимо дыру, через которую шпион лез на компьютер, он закрывает. Сейчас подумываю и на работе установить сервис паки.
Еще раз повторюсь — моя статья для начинающих, специалистов прошу меня не ругать. Возможно Вам это было уже давно известно, но ранее среди ответов на решение данной проблемы ссылку на технологию BHO я не видел.