Rezz
Сообщений: 307
Оценки: 0
Присоединился: 2009-09-04 11:21:33.213333
|
Когда хочешь занести виря в автозагрузку, думаешь как бы сделать чтобы с ним не запалиться.
Приходится запрещать запуск регедита, мсконфига итд. Или понимаешь, что у тебя в масдае
что-то не так работает, отлавливаешь вирей в CurrentVersion Run и больше ничего.
Вот некоторые пути, по которым программы и библиотеки каким-либо образом запускаются при
загрузке виндов. Думаю вам это поможет.
Некоторые ключи могут работать не на всех компах, тк могут быть отключены или не настроены.
И еще в некоторых ключах нужно поменять системные программы на свои. При этом нужно
поставить системный путь в кавычки, а рядом дописать свой(тоже в кавычках).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка
- Стандартные пути автозагрузки(интересно, кто про них не занет)
HKCU\Control Panel\Desktop\Scrnsave.exe
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Classes\Folder\Shellex\Column\Handlers
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\Software\Microsoft\Command Processor\Autorun
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\System\CurrentControlSet\Services
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
ЗЫ:
Большинство вирусов, которые грузятся перед системой, говорят что маздай
не прошла проверку на подлинность, просят ввести регистрационный ключ или отправить смс итд,
изменяют ключ Shell в Винлогоне на свой вирь и блокируют запуск диспетчера задач, реестра и
мсконфига.
|
Внедряемся в автозагрузку - 
