Модули Internet Explorer
Популярный браузер имеет мало известное, но достаточно опасное свойство вместе со своим запуском загружать посторонние модули, так называемые Browser Helper Objects (BHO) - небольшие программы, не имеющие пользовательского интерфейса.
Эти BHO могут быть как действительно ценными дополнениями (например, модуль, который прописывает в систему программа FlashGet), так и зловредными вирусами, а потому при проверке автозагрузки нелишним будет проконтролировать и список установленных в системе BHO. Список этот можно увидеть в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Browser Helper Objects.
Подозрительные Browser Helper Objects можно удалить из этого списка.
Например, если в этом разделе вы обнаружите подраздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A5366673-E8CA-11D3-9CD9-0090271D075B},
то следует произвести поиск во всем реестре найденного идентификатора {A5366673-E8CA-11D3-9CD9-0090271D075B}. Можно обнаружить его упоминание также и в разделе HKEY_CLASSES_ROOT\CLSID\
{A5366673-E8CA-11D3-9CD9-0090271D075B}.
Просмотрев все содержимое найденного раздела, можно увидеть к какой программе относится этот BHO. В данном случае вы найдете такую запись: HKEY_CLASSES_ROOT\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}\
InprocServer32@="C:\PROGRAM FILES\FLASHGET\
JCCATCH.DLL", - из которой можно сделать вывод, что обнаруженный BHO создан программой FlashGet (менеджер закачек) и никакой угрозы совершенно не представляет.
В случае, когда обнаружится упоминание библиотеки непонятного происхождения (например, в свойствах этого файла нет никаких данных о его разработчике), то следует удалить из реестра все упоминания данного BHO - скорее всего, именно он и является причиной неприятностей.
Для более удобного поиска, идентификации и удаления установленных BHO можно использовать специальные программы: BHODemon (
www.definitivesolutions.com) или прямо (
http://files4.majorgeeks.com/files/fd3ae753500ad06fd8fa224f28bcac59/spyware/bhod...) или BHOCaptor (
http://www.xcaptor.org/downloads/bhoc05.zip) - невзрачная, но тоже программка
Существуют и другие способы запустить вирус без ведома пользователя, например, с помощью плагина какой-либо программы, хотя бы того же браузера Internet Explorer. Файлы подключаемых модулей Internet Explorer находятся в папке C:\Program Files\Internet Explorer\Plugins, по свойствам каждого файла можно выяснить его предназначение.