Объекты загружаемые через BHO хранятся в
ключе:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects
где перечислены значения с именем равным
CLSID загружаемого объекта.
В ключе HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
находим по CLSID раздел с именем этого CLSID.
В нем можно посмотреть параметры объекта,
в том числе и путь до загружаемой библиотеки
в параметре \InprocServer32\(По умолчанию)="путь
до загружаемого объекта".
Посмотрев данные ключи я увидел, что через
них грузились эти DLL, и хотя фактически
сами файлы я удалил, но ключи ответственные
за загрузку остались на месте. Т.е. EXPLORER
не изменялся, он оставался именно тем каким
и был при установке WINDOWS, другие проги
не грузили библиотеки, использовалось то,
что было встроено разработчиками. При загрузке
EXPLORER просматривал ключи реестра и подгружал
библиотеки. Если какой-то из них не было,
то это просто пропускалось не выводя никаких
сообщений.
Таким образом можно вручную разобрать что
нам надо в данных ключах реестра, а что нет,
и удалить шпиона. А можно воспользоваться
спецпрограммами, например, BHO Captor или
WinPatrol. Последняя мне особенно понравилась,
так как кроме этого выдает много другой полезной
информации по тому что запускается на компе.
Но первая, что хорошо, имеет в комплекте
исходные тексты на DELPHI. Во всяком случае,
та версия которую я скачал. По исходникам
можно посмотреть используемые ключи реестра.
Вот в принципе и все, что я хотел рассказать
в своей статье. Технология загрузки BHO для
меня была открытием. Если о вышеописанных
ключах и методах загрузки я слышал ранее
и при поиске шпиона их использовал, то BHO
я открыл для себя впервые, и ранее в общедоступных
местах я не встречал описания этого, поэтому
решил восполнить пробел.
Конечно, если использовать более новые версии
программ для наблюдения за системой и регулярно
обновлять базы, то эти шпионы будут удалены
(Каспер также сообщает, что объект DLL заражен
и удалить его невозможно, т.к. он заблокирован.
Приходилось перезагружать в безопасном режиме
и удалять вручную), но для меня было интересно
разобраться самому где это происходит. Кроме
того хочется сказать слово в пользу установки
сервис паков: хотя SP-1 позволял шпиону пролезть
в систему, то SP-2, стоящий у меня дома,
пока не дает этого сделать. Видимо дыру,
через которую шпион лез на компьютер, он
закрывает. Сейчас подумываю и на работе установить
сервис паки.
Еще раз повторюсь - моя статья для начинающих,
специалистов прошу меня не ругать. Возможно
Вам это было уже давно известно, но ранее
среди ответов на решение данной проблемы
ссылку на технологию BHO я не видел