Hklm software microsoft windows currentversion explorer browser helper objects

Слишком часто стал возникать этот вопрос, а т.к. самому было лень писать все это, то воспользовавшись инетом нарыл достаточно хороший мануал на эту тему:

Эта проблема в последнее время стала настолько распространена, что заслуживает отдельного рассмотрения. Если вам не повезло, то сносить под корень операционную систему не спешите — вот самая подробная инструкция по решению этой проблемы.

Запустите ПК в режиме защиты от сбоев и выгрузите из памяти все запущенные программы от сторонних разработчиков (то есть не от Microsoft — автора файла можно узнать в его свойствах), если таковые оказались — для этого используйте не только комбинацию клавиш Ctrl+Alt+Del, но ОБЯЗАТЕЛЬНО и утилиту типа TaskInfo (www.iarsn.com ) или аналогичную программу — только с ее помощью можно увидеть, что в действительности находится в памяти ПК.

Затем, с помощью утилиты msconfig.exe проверьте всю автозагрузку и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название — набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из автозагрузки — для ОС это абсолютно безопасно.

Разумеется, сразу после этого просканируйте систему свежим антивирусом и утилитой Ad-aware www.lavasoft.de/aaw/index.html, удаляющей с диска более-менее известные рекламно-шпионские программные модули, формально вирусами не являющиеся.
Можно так же просканировать компютер другими программами из этого списка http://virusinfo.info/index.php?boar. ay;threadid=24
Далее обнулите в свойствах обозревателя домашнюю страницу и перегрузите ПК.

Если ваши установки на этот раз не изменились и проблема исчезла, то была виновата одна из автоматически загружаемых программ — по очереди возвращая автозагрузку каждой программы и перегружая ПК, можно выяснить конкретного виновника — после включения его автозагрузки (или после ручного запуска) страница опять окажется подменена.

В редких случаях программа, меняющая домашнюю страницу, не прописывает себя в автозагрузку и вносит изменения в настройки системы не при каждой загрузке Windows, а при своем обычном запуске — попробуйте в таком случае запускать каждую из установленных программ и смотрите, после загрузки которой из них изменились настройки обозревателя.

Определить вредоносную программу можно и по URL-адресу, прописывающемуся в качестве домашней страницы, а также по названию исполнимого файла — поиск в интернете поможет определить назначение каждой программы из автозагрузки.

Если же вы полностью отключили автозагрузку (вплоть до ручной проверки файлов win.ini, autoexec.bat, winstart.bat), но проблема не исчезла, то следующим этапом удалите все временные интернет-файлы (Temporary интернет Files), очистите Журнал (History), очистите папку C:\Windows\Cookies и посмотрите, какие плагины установлены для Internet Explorer — возможно страницу изменяет какой-то из них.

Файлы подключаемых модулей-плагинов находятся в папке C:\Program Files\Internet Explorer\Plugins — по свойствам каждого файла можно выяснить его предназначение. Временно удалите все файлы из этой папки и посмотрите результат — если проблема исчезла, значит, виноват один из плагинов.

Если нет, то откройте на этот раз в Блокноте файл Windows\hosts (без расширения, в Windows XP он находится в папке Winnt\System32\Drivers\Etc) и просмотрите его содержание — строки с упоминанием IP-адреса сайта вредоносной программы следует удалить.

Если же вы не используете файл hosts или первый раз о нем слышите (учтите только, что его мог создать администратор вашей локальной сети), можно удалить (или временно переместить в другую папку) и его.

Следующим этапом, даже если вы нашли виновника, запустите поиск этого зловредного URL-адреса (или IP) в редакторе реестра — везде, где встретите его упоминание — удаляйте.

Обычно в Windows поражены чужеродным URL следующие параметры реестра (параметры, значение которых не указано, можно удалить):
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer
«SearchURL»=
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Main
«Default_Search_URL»=
«Search Page»=»www.microsoft.com/
isapi/redir.dll?prd=ie&ar=
iesearch»
«Search Bar»=
«SearchURL»=
«Window Title»=
«Window_Placement»=
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Search
«SearchAssistant»=
HKEY_CURRENT_USER\Software\
Micrsoft\Internet Explorer\Toolbar\WebBrowser
«ITBarLayout»=
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Internet Explorer\Search
«SearchAssistant»=»ie.search.msn.com//
srchasst/srchasst.htm»
«CustomizeSearch»=»ie.search.
msn.com//
srchasst/srchcust.htm»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
«NavigationFailure»=»res://
shdoclc.dll/navcancl.htm»
«DesktopItemNavigationFailure»
=»res://shdoclc.dll/
navcancl.htm»
«NavigationCanceled»=»res://shdoclc.dll/navcancl.htm»
«OfflineInformation»=»res://shdoclc.dll/offcancl.htm»
«blank»=»res://mshtml.dll/
blank.htm»
«PostNotCached»=»res://
mshtml.dll/repost.htm»
«mozilla»=»res://mshtml.dll/about.moz»
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Internet Explorer\Main
«Default_Page_URL»=
«www.microsoft.com/isapi/
redir.dll?prd=ie&pver=6&ar=
msnhome»
«Default_Search_URL»=
«www.microsoft.com/isapi/
redir.dll?prd=ie&ar=iesearch»
«Search Page»=
«www.microsoft.com/isapi/
redir.dll?prd=ie&ar=iesearch»
«Local Page»=
«Start Page»=
«www.microsoft.com/isapi/
redir.dll?prd=&clcid=
&pver=
&ar=home»
«CompanyName»=»Microsoft Corporation»
«Window Title»=
HKEY_USERS\.Default\Software\
Microsoft\Internet Explorer
«SearchURL»=
HKEY_USERS\.Default\Software\
Microsoft\Internet Explorer\Main
«Search Page»=
«www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch»
«Default_Search_URL»=
«Search Bar»=
«Local Page»=
«Start Page»=
HKEY_USERS\.Default\Software\
Microsoft\Internet Explorer\Search
«SearchAssistant»=
Кроме того, непременно проверьте, какие Browser Helper Objects установлены на вашем ПК. Browser Helper Objects (BHO) — это небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer.

Не многие пользователи слышали о подобной весьма небезопасной и достаточно скрытой функции Internet Explorer, но именно с ее помощью делается такая мерзость, как постоянная подмена вводимого в адресной строке браузера URL. Список идентификаторов, установленных BHO, находится в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\Current
Version\explorer\Browser Helper Objects.

Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) — это их полностью дезактивирует. Однако, как выяснить — подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера?

Технология в данном случае такова. Например, если в этом разделе вы обнаружите подраздел HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\
CurrentVersion\explorer\
Browser Helper Objects\, то произведите поиск во всем реестре найденного идентификатора BHO — — обнаружите его упоминание также и в разделе HKEY_CLASSES_ROOT\CLSID\
. Просмотрите все содержимое найденного раздела, чтобы определить, к какой программе относится этот BHO — в данном случае вы обнаружите такую запись: HKEY_CLASSES_
ROOT\CLSID\\
InprocServer32
@=»C:\Program Files\Flashget\jccatch.dll»

Из этой записи можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет. Если же вы обнаружите упоминание DLL-библиотеки непонятного происхождения, то смело удаляйте в реестре все упоминания данного BHO — скорее всего именно он и является причиной неприятностей.

Объекты модулей поддержки (Browser Helper Objects)

Эта вкладка отображает объекты модулей поддержки (BHOs), установленные на Вашем компьютере.

Что такое BHO?

BHO — это расширение/плагин для Internet Explorer, которое расширяет функциональность браузера. Расширение представляет собой DLL-модуль, который загружается в процесс Internet Explorer каждый раз при запуске браузера. BHO — это объект компонентной модели (Component Object Model — COM). Такие компоненты исполняются в том же контексте памяти что и браузер, и могут выполнять операции над всеми доступными окнами и модулями. Например, BHO может реагировать на типичные события браузера, такие как GoBack, GoForward, или DocumentComplete; изменять меню и панели инструментов браузера; создавать новые окна для отображения информации; устанавливать хуки для отслеживания сообщений или запускать другие приложения.

Некоторые BHO легитимны и не повредят Вашему компьютеру, например, Google Toolbar, Adobe Acrobat IE helper, Yahoo! Companion и т.д. Но имеется огромное число объектов BHO, единственная цель которых — показывать рекламу или следить за Вами.

Размещение

Идентификаторы CLSID объектов BHO, которые Internet Explorer загружает, расположены в реестре в следующем ключе:

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects

Действие Выключить

Действие Выключить перемещает идентификатор CLSID объекта из ключа реестра: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects во временный ключ.

Необходимо перезапустить Internet Explorer, чтобы изменения вступили в силу.

Действие Удалить

Действие Удалить выполняет следующие операции (в зависимости от выбранных опций):

• Удаляет идентификатор CLSID объекта из ключей: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects , HKEY_CLASSES_ROOT \CLSID ;
• Удаляет файл, связанный с объектом;
• Отменяет регистрацию (unregister) объекта.

Вам может потребоваться закрыть все окна Internet Explorer, чтобы удалить файл объекта BHO.
Необходимо перезапустить Internet Explorer, чтобы изменения вступили в силу.

Секретные приемы автозагрузки

Содержание

Специфика Windows NT / 2000 / XP

В операционных системах серии Windows NT способы автозапуска программ в целом почти идентичны системам Windows 9x, однако имеется ряд разделов в реестре, специфичных только для Windows NT.

Кроме того, в этих ОС отсутствует возможность запуска программ с помощью файлов autoexec.bat (при запуске DOS-приложения, правда, происходит автоматическая обработка файла %SystemRoot%\SYSTEM32\AUTOEXEC.NT, если в настройках свойств этой DOS-программы не указан другой файл), winstart.bat, dosstart.bat.

Итак, в Windows NT могут иметь место дополнительные параметры автозапуска в разделах реестра:

HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

HKEY_CURRENT_USER\ Software\Microsoft\Windows NT\ CurrentVersion\Windows

могут присутствовать строковые параметры Load (программы, запуск которых в нем прописан, загружаются минимизированными) и Run, в которые при установке Windows NT поверх Windows 9x переносится соответствующий список программ автозапуска из аналогичных параметров файла win.ini.

К этим параметрам реестра применимы те же правила написания, что и к соответствующим параметрам win.ini. Если же наследования этого списка из предыдущей ОС не происходит, то по умолчанию значением этих параметров является пробел.

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon

также содержится ряд строковых параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:

• Userinit — определяет список программ, запускаемых процессом WinLogon в контексте пользователя при его регистрации в системе. По умолчанию это userinit.exe, nddeagnt.exe для Windows NT и userinit.exe для Windows 2000 / XP.
• Shell — задает оболочку (вернее, список программ, формирующих пользовательский интерфейс)
  Windows (по умолчанию taskman, progman, wowexec для Windows NT и explorer.exe для Windows 2000 / XP).
• System — определяет список программ, запускаемых процессом WinLogon в контексте системы во время ее инициализации. По умолчанию — lsass.exe, spoolss.exe для Windows NT и lsass.exe для Windows 2000 / XP.
• VmApplet — определяет список программ или программу, запускаемую процессом WinLogon для оперативной настройки параметров виртуальной памяти -по умолчанию его значение rundll32 shell32, Control_ RunDLL «sysdm.cpl».

Неявные способы автозагрузки

К сожалению, операционные системы семейства Windows и их внутреннее устройство довольно сложны для рядового пользователя — к копанию в реестре расположен далеко не каждый. Тем более, что помимо вышеперечисленных способов автозапуска программ на старте системы существует еще и такой вариант, как запуск исполнимого модуля одной программы при загрузке другого, вполне легитимного приложения. Подобный симбиоз (или, скорее, что-то типа паразитирования) можно наблюдать при использовании утилит класса ad-ware, то есть таких программ, в которых вы расплачиваетесь с их авторами не живыми деньгами, а своими нервными клетками, попорченными из-за просмотра рекламных баннеров внутри интерфейса самой программы.

Подобных модулей-баннерососов создано уже довольно много, и отловить их вручную слишком сложно даже для опытного пользователя, а потому всегда полезно периодически сканировать систему не только антивирусным сканером, но программами типа Ad-Aware , или Opt Out grc.com/optout.htm , или SpyBot — Search & Destroy ( security.kolla.de ), призванными находить и удалять из системы эти модули.

Такие программы обычно абсолютно бесплатны и имеют в своих постоянно обновляемых базах данных информацию о десятках известных шпионско-рекламных модулях и даже троянских вирусах. Учтите только, что некоторые программы не работают без таких «пауков» (тот же ReGet) — в этом случае можно либо заблокировать баннеры персональным файрволлом, например, AtGuard или Norton Internet Security, либо найти альтернативную программу аналогичного назначения, но уже без мерзопакостной нагрузки. Всеми обожаемый браузер от повсеместно любимой корпорации Microsoft также имеет мало известную, но достаточно коварную возможность вместе со своим запуском загружать посторонние модули, так называемые Browser Helper Objects (BHO) — небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer.

Эти самые BHO могут быть как действительно ценными дополнениями (например, модуль, который прописывает в систему программа FlashGet), так и зловредными троянскими вирусами или шпионскими модулями, а потому при проверке автозагрузки нелишним будет проконтролировать и список установленных в системе BHO. Список этот можно увидеть в разделе реестра

HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Подозрительные или явно зловредные Browser Helper Objects можно удалить из этого списка (ленивым пользователям желательно предварительно сделать резервную копию реестра, а добросовестным — обязательно) — это их полностью дезактивирует.

Например, если в этом разделе вы обнаружите подраздел

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\

то произведите поиск во всем реестре найденного идентификатора Browser Helper Objects — — обнаружите его упоминание также и в разделе

Просмотрите все содержимое найденного раздела, чтобы определить, к какой программе относится этот Browser Helper Objects. В данном случае вы найдете такую запись:

— из которой можно сделать вывод, что обнаруженный Browser Helper Objects создан программой FlashGet (менеджер закачек) и никакой угрозы совершенно не представляет.

Если же обнаружится упоминание библиотеки непонятного происхождения (например, в свойствах этого файла нет никаких данных о его разработчике), то попробуйте удалить в реестре все упоминания данного Browser Helper Objects — скорее всего, именно он и является причиной неприятностей.

Удобнее же всего для поиска и идентификации установленных Browser Helper Objects использовать специально для этого предназначенные программы, такие как BHODemon ( definitivesolutions.com ) или BHOCaptor, которые выдадут всю информацию об установленных модулях Browser Helper Objects и помогут деактивировать подозрительные модули.

Конечно, существуют и другие доступные способы загрузить программный код без ведома пользователя, например, с помощью плагина какой-либо программы, хотя бы того же всеми любимого браузера Internet Explorer. Файлы подключаемых модулей-плагинов Internet Explorer находятся в папке \Program Files\Internet Explorer\Plugins, по свойствам каждого файла можно выяснить его предназначение.

Не исключено также, что зловредной программе удастся прописать себя в системе как системный драйвер или сервис, одним словом, борьба с вирусами или другими, запускающимися без ведома пользователя программами, весьма и весьма непроста.

С некоторой натяжкой, правда, к автозапуску можно отнести еще и возможность использования файла autorun.inf в корневой директории жесткого диска.

Утилита TaskInfo

В особо же тяжелых случаях советую попробовать определить имя исполнимого файла непонятно каким образом запущенного процесса с помощью программы типа TaskInfo ( iarsn.com/download.html ), а затем произвести тщательный поиск этого файла на диске и его упоминаний в системном реестре. Утилита эта вообще очень примечательна.

Она в реальном времени показывает информацию обо всех запущенных процессах (использование памяти и CPU, открытые файлы, используемые библиотеки и прочее).
Иконка программы помещается в системный трей и показывает загрузку процессора. С ее помощью также можно устанавливать уровень приоритета для запущенных приложений.

Эта программа позволяет не только просмотреть почти все способы автозагрузки, но обладает еще целым рядом полезных функций. Например, с помощью утилиты Starter вы легко отредактируете любую запись в реестре, относящуюся к автоматически загружаемым программам, удалите, временно отключите или добавите в автозагрузку любое новое приложение или документ.

Также эта программа позволяет делать резервную копию автозагрузочных разделов реестра в виде текстового файла, документа HTML или стандартного reg-файла и, естественно, восстанавливать их из нее. Любую замеченную в автозагрузке программу можно запустить непосредственно из интерфейса Starter, просмотреть свойства исполнимого файла этой программы и открыть ее папку на диске.

Кроме того, с помощью Starter можно просмотреть и список запущенных процессов, задать любому из них нужный приоритет или принудительно выгрузить его из памяти. Словом, возможностей даже у далеко не идеального, на мой взгляд, Starter гораздо больше, чем у msconfig (впрочем, msconfig — более универсальная программа, призванная решать и другие задачи настройки системы), а пользоваться ей заметно удобнее, что, конечно, не исключает наличия и более продвинутых утилит мониторинга автозагрузки.

Поэтому я советую при активной работе с автозагрузкой пользоваться именно такими, более мощными программами.