Rezz
Сообщений: 307
Оценки: 0
Присоединился: 2009-09-04 11:21:33.213333
|
Когда хочешь занести виря в автозагрузку, думаешь как бы сделать чтобы с ним не запалиться. Приходится запрещать запуск регедита, мсконфига итд. Или понимаешь, что у тебя в масдае что-то не так работает, отлавливаешь вирей в CurrentVersion Run и больше ничего. Вот некоторые пути, по которым программы и библиотеки каким-либо образом запускаются при загрузке виндов. Думаю вам это поможет. Некоторые ключи могут работать не на всех компах, тк могут быть отключены или не настроены. И еще в некоторых ключах нужно поменять системные программы на свои. При этом нужно поставить системный путь в кавычки, а рядом дописать свой(тоже в кавычках). HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка - Стандартные пути автозагрузки(интересно, кто про них не занет) HKCU\Control Panel\Desktop\Scrnsave.exe HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks HKLM\Software\Classes\Folder\Shellex\Column\Handlers HKLM\SOFTWARE\Classes\Protocols\Filter HKLM\SOFTWARE\Classes\Protocols\Handler HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKLM\Software\Microsoft\Command Processor\Autorun HKLM\Software\Microsoft\Internet Explorer\Extensions HKLM\Software\Microsoft\Internet Explorer\Toolbar HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms HKLM\System\CurrentControlSet\Services HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9 ЗЫ: Большинство вирусов, которые грузятся перед системой, говорят что маздай не прошла проверку на подлинность, просят ввести регистрационный ключ или отправить смс итд, изменяют ключ Shell в Винлогоне на свой вирь и блокируют запуск диспетчера задач, реестра и мсконфига.
|