Способы Автозапуска

Тема в разделе "Подготовительное отделение", создана пользователем Alex56, 27 апр 2009.

  1. Alex56
    Оффлайн

    Alex56 Активный пользователь

    Сообщения:
    33
    Симпатии:
    301
    Способы Автозапуска


    Ключи реестра и места на диске, с помощью которых могут запускаться автоматически программы или зловреды, при каждой загрузке системы

    Logon
    Начало сеанса. Все что требуется чтобы загрузилась система
    %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup
    %SystemDrive%\Documents and Settings\<username>\Start Menu\Programs\Startup
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Common Startup
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Common AltStartup
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Common Startup
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Common AltStartup
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Startup
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, AltStartup
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, AltStartup
    --
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
    --
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, load
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, run
    --
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, run
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, run
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, shell
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, shell
    --
    HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
    HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Shutdown
    HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
    HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
    --
    HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms
    --
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
    --
    %WinDir%\system.ini
    %WinDir%\win.ini
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini


    Winlogon
    WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.
    Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    --
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
    --
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, AppSetup
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, GinaDLL
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, VmApplet
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
    --
    HKCU\Control Panel\Desktop, SCRNSAVE.EXE
    --
    HKLM\SYSTEM\CurrentControlSet\Control\BootVerificationProgram, ImageName


    AppInit DLLs
    Файлы (.dll), которые прописываются в этот ключ, загружаются в каждое Windows-приложение, использующее библиотеку user32.dll.
    С опаской нужно относиться к тому, что здесь прописывается. Но при этом учитывать, что здесь могут быть прописаны программы, связанные с безопасностью компьютера: например, Outpost (wl_hook.dll), BitDefender (sockspy.dll) или Kaspersky (adialhk.dll)
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, Appinit_Dlls


    Explorer
    Explorer.exe. Данный процесс является пользовательской оболочкой, которая отвечает за такие компоненты как Панель задач, Рабочий стол и так далее. Этот процесс не столь важен для работы Windows и может быть остановлен (и перезапущен) с помощью Диспетчера задач, как правило, без отрицательных побочных эффектов.
    HKLM\SOFTWARE\Classes\Protocols\Filter
    HKLM\SOFTWARE\Classes\Protocols\Handler
    --
    HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
    --
    HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
    HKCU\Software\Microsoft\Active Setup\Installed Components
    --
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
    --
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    --
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    HKCU\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    --
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
    --
    HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers
    HKCU\Software\Classes\Folder\shellex\ColumnHandlers
    --
    HKLM\SOFTWARE\Microsoft\Ctf\LangBarAddin
    HKCU\Software\Microsoft\Ctf\LangBarAddin


    Internet Explorer
    Все что запускает и может применить Вам в помощь браузер Internet Explorer
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    --
    HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
    --
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    --
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
    HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
    --
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
    HKCU\Software\Microsoft\Internet Explorer\Extensions
    --
    HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
    --
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
    --
    HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
    %WinDir%\Downloaded Program Files
    --
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix


    Services
    Запускаемые сервисы
    HKLM\SYSTEM\CurrentControlSet\Services
    HKLM\SYSTEM\ControlSet001\Services
    HKLM\SYSTEM\ControlSet002\Services
    HKLM\SYSTEM\ControlSet003\Services


    Drivers
    Запускаемые драйверы
    HKLM\SYSTEM\CurrentControlSet\Services
    HKLM\SYSTEM\ControlSet001\Services
    HKLM\SYSTEM\ControlSet002\Services
    HKLM\SYSTEM\ControlSet003\Services


    Boot Execute
    Параметр BootExecute реестра содержит одну или несколько команд, которые Диспетчер сеансов выполняет перед загрузкой сервисов. Значением по умолчанию для этого элемента является Autochk.exe
    HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, BootExecute +
    HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, Execute
    HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, SetupExecute


    Print Monitors
    Монитор печати
    HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors


    Known Dlls
    Эти библиотеки загружаются во все процессы, запускаемые системой
    HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDlls


    Lsa Providers
    Поставщики Lsa
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Authentication Packages
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Notification Packages
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Security Packages
    --
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders, SecurityProviders


    Network Providers
    Поставщики Network. Поставщик сетевых услуг
    HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order


    WinSock Providers
    Поставщики WinSock
    HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
    HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5


    Image File Execution Options(Debugger)
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options


    Command Processor
    HKLM\SOFTWARE\Microsoft\Command Processor, AutoRun
    HKCU\Software\Microsoft\Command Processor, AutoRun


    Associations
    Ассоциации
    HKLM\SOFTWARE\Classes\*\shell\open\command
    HKCU\Software\Classes\*\shell\open\command


    Апплеты панели управления (Control Panel Libraries)
    %WinDir%\system32
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls

    MVB
    HKCU\Control Panel\IOProcs, MVB


    Applications
    Запускаемые приложения
    Запускаемые приложения
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\Cleanuppath
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, Debugger
    HKLM\SOFTWARE\Microsoft\Windows Script Host
    --
    Task Scheduler: %WinDir%\Tasks

    ICQ Agent Autostart Apps
    Автозапуск ICQ
    HKCU\Software\Mirabilis\ICQ\Agent\Apps

    источник
     
    Последнее редактирование модератором: 11 окт 2013
    E100, LiK_75, machito и 40 другим нравится это.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    [INFO]Оффтоп из темы здесь[/INFO]
     
  3. enzo
    Онлайн

    enzo Гость

    тут, по-моему, слово пропущено) в описании winlogon
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Logon для х64 ветки в реестре

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run (текущий пользователь, только 64-бит версия)
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce (все пользователи, запуск один раз, только 64-бит версия)
     
    1 человеку нравится это.
  5. Matias
    Оффлайн

    Matias Активный пользователь

    Сообщения:
    86
    Симпатии:
    34
    Надо бы поправить ссылку на статью о способах автозапуска, приведенную в первом посте. Та ссылка почему-то ведет на главную страницу сайта (где сейчас висит заглушка). Логичнее было бы поставить ссылку непосредственно на статью.
     
    Последнее редактирование: 31 мар 2013
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Обновил.
     
  7. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    Неточность в шапке Run является разделом, а не параметром
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
    "1"="notepad.exe"
    "2"="iexplore.exe"
     
    Soft и Dragokas нравится это.
  8. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.211
    Симпатии:
    4.978
  9. JonyStark
    Оффлайн

    JonyStark Новый пользователь

    Сообщения:
    28
    Симпатии:
    0
    У Меня помимо
    Код (Text):
    C:\Windows\system32 \winlogon.exe
    сидит и здесь
    Код (Text):
    C:\Windows\Prefetch\WINLOGON.EXE-DEDDC9B6.pf
    Так должно быть?
     
    Последнее редактирование: 22 сен 2014
  10. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    Да, вы разницу видите winlogon.exe и WINLOGON.EXE-DEDDC9B6.pf?
    Что такое папка Prefetch?
     
    shestale нравится это.
  11. JonyStark
    Оффлайн

    JonyStark Новый пользователь

    Сообщения:
    28
    Симпатии:
    0
    Заметил с самого начала разницу, просто так как я не разбираюсь хорошо в системных win файлах, решил все же поинтересоваться, чтобы не блуждать в догадках!
    Исходя от имени папки "prefetch-предварительный", Я думаю что это предварительная загрузка или подгрузка...
     
    Последнее редактирование: 22 сен 2014
  12. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    JonyStark, близко. .pf создаются после нескольких запусков одного и того же приложения.
    Дальше они используются для ускорения повторного запуска. Содержат часть кеша.
    Можете "поиграться" с внутренностями своих .pf. Программа в конце статьи.
    И заодно почитать: Расширения, которые должен знать каждый.
     
    Drongo и Kиpилл нравится это.
  13. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    Internet Explorer для x64 ветки в реестре
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\URL\Prefix
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
     
    Последнее редактирование: 13 янв 2015
    Kиpилл, shestale и akok нравится это.
  14. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Это производная от HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix (только для 32-битного IE).
    В статье это уже есть.
     
  15. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    Logon для х64 ветки в реестре
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run (текущий пользователь, только 64-бит версия)
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce (все пользователи, запуск один раз, только 64-бит версия)
    думаю это тоже "производная". Но Регист все же добавил. И правильно сделал.
    Для таких опытных как вы(в хорошем смысле), возможно и сабж этот не нужен.
     
  16. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    Вопрос, постоянно пользуюсь программой autoruns для анализа автозагрузки, она выделяет всё написанное в первом посте или часть автозагрузки в ней не видно?
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    да.
     
  18. Ntfz
    Оффлайн

    Ntfz Новый пользователь

    Сообщения:
    1
    Симпатии:
    0
    Кто-нибудь знает, где прописывается в автозапуск "планировщик задач" Windows?
     
  19. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.048
    Симпатии:
    4.486
    А какой смысл ему там прописываться, если файлы заданий из планировщика и так запускаются по расписанию. Это своего рода и есть автозапуск. Сейчас как раз идет шквал заражений запускающихся из планировщика задач.
     
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Ntfz, это системная служба, так что запускается он как служба.
    добавлю ссылку на самостоятельное лечение от этого заражения: При включение компьютера запускается браузер с сайтом dota2game.org
     

Поделиться этой страницей