Способы Автозапуска

[Alex56]

Способы Автозапуска


Ключи реестра и места на диске, с помощью которых могут запускаться автоматически программы или зловреды, при каждой загрузке системы​

Logon

Спойлер

Начало сеанса. Все что требуется чтобы загрузилась система

%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup
%SystemDrive%\Documents and Settings\<username>\Start Menu\Programs\Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Common Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Common AltStartup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Common Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Common AltStartup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, AltStartup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, AltStartup
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
--
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, run
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, shell
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, shell
--
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Shutdown
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
--
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms
--
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
--
%WinDir%\system.ini
%WinDir%\win.ini
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini


Winlogon

Спойлер

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.
Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
--
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
--
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, AppSetup
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, VmApplet
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
--
HKCU\Control Panel\Desktop, SCRNSAVE.EXE
--
HKLM\SYSTEM\CurrentControlSet\Control\BootVerificationProgram, ImageName


AppInit DLLs

Спойлер

Файлы (.dll), которые прописываются в этот ключ, загружаются в каждое Windows-приложение, использующее библиотеку user32.dll.
С опаской нужно относиться к тому, что здесь прописывается. Но при этом учитывать, что здесь могут быть прописаны программы, связанные с безопасностью компьютера: например, Outpost (wl_hook.dll), BitDefender (sockspy.dll) или Kaspersky (adialhk.dll)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, Appinit_Dlls


Explorer

Спойлер

Explorer.exe. Данный процесс является пользовательской оболочкой, которая отвечает за такие компоненты как Панель задач, Рабочий стол и так далее. Этот процесс не столь важен для работы Windows и может быть остановлен (и перезапущен) с помощью Диспетчера задач, как правило, без отрицательных побочных эффектов.

HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
--
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
--
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\Software\Microsoft\Active Setup\Installed Components
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
--
HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers
HKCU\Software\Classes\Folder\shellex\ColumnHandlers
--
HKLM\SOFTWARE\Microsoft\Ctf\LangBarAddin
HKCU\Software\Microsoft\Ctf\LangBarAddin


Internet Explorer

Спойлер

Все что запускает и может применить Вам в помощь браузер Internet Explorer

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
--
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
--
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
--
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
--
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\Software\Microsoft\Internet Explorer\Extensions
--
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
--
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
--
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
%WinDir%\Downloaded Program Files
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix


Services

Спойлер

Запускаемые сервисы

HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services


Drivers

Спойлер

Запускаемые драйверы

HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services


Boot Execute

Спойлер

Параметр BootExecute реестра содержит одну или несколько команд, которые Диспетчер сеансов выполняет перед загрузкой сервисов. Значением по умолчанию для этого элемента является Autochk.exe

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, BootExecute +
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, Execute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, SetupExecute


Print Monitors

Спойлер

Монитор печати

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors


Known Dlls

Спойлер

Эти библиотеки загружаются во все процессы, запускаемые системой

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDlls


Lsa Providers

Спойлер

Поставщики Lsa

HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Security Packages
--
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders, SecurityProviders


Network Providers

Спойлер

Поставщики Network. Поставщик сетевых услуг

HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order


WinSock Providers

Спойлер

Поставщики WinSock

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5


Image File Execution Options(Debugger)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options


Command Processor
HKLM\SOFTWARE\Microsoft\Command Processor, AutoRun
HKCU\Software\Microsoft\Command Processor, AutoRun


Associations

Спойлер

Ассоциации

HKLM\SOFTWARE\Classes\*\shell\open\command
HKCU\Software\Classes\*\shell\open\command


Апплеты панели управления (Control Panel Libraries)
%WinDir%\system32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls

MVB
HKCU\Control Panel\IOProcs, MVB


Applications

Спойлер

Запускаемые приложения

Спойлер

Запускаемые приложения

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\Cleanuppath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, Debugger
HKLM\SOFTWARE\Microsoft\Windows Script Host
--
Task Scheduler: %WinDir%\Tasks

ICQ Agent Autostart Apps

Спойлер

Автозапуск ICQ

HKCU\Software\Mirabilis\ICQ\Agent\Apps

источник

 

[akok]

Информация

Оффтоп из темы здесь

 

[enzo]

Процесс активируется только после пользователем кнопок CTRL+ALT+DEL

тут, по-моему, слово пропущено) в описании winlogon

 

[regist]

Logon для х64 ветки в реестре

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run (текущий пользователь, только 64-бит версия)
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce (все пользователи, запуск один раз, только 64-бит версия)

 

[Matias]

Надо бы поправить ссылку на , приведенную в первом посте. Та ссылка почему-то ведет на главную страницу сайта (где сейчас висит заглушка). Логичнее было бы поставить ссылку непосредственно на статью.

 

[akok]

Обновил.

 

[glax24]

Неточность в шапке Run является разделом, а не параметром
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"1"="notepad.exe"
"2"="iexplore.exe"

 

[Кирилл]

[sos="information"]Перенес часть постов сюда:
https://safezone.cc/threads/obsuzhdenie-sposoby-avtozapuska.23541/#post-176896[/sos]

 

[JonyStark]

У Меня помимо

C:\Windows\system32 \winlogon.exe

сидит и здесь

C:\Windows\Prefetch\WINLOGON.EXE-DEDDC9B6.pf

Так должно быть?

 

[glax24]

Так должно быть?

Да, вы разницу видите winlogon.exe и WINLOGON.EXE-DEDDC9B6.pf?
Что такое папка Prefetch?

 

[JonyStark]

Да, вы разницу видите winlogon.exe и WINLOGON.EXE-DEDDC9B6.pf?
Что такое папка Prefetch?

Заметил с самого начала разницу, просто так как я не разбираюсь хорошо в системных win файлах, решил все же поинтересоваться, чтобы не блуждать в догадках!
Исходя от имени папки "prefetch-предварительный", Я думаю что это предварительная загрузка или подгрузка...

 

[Dragokas]

JonyStark, близко. .pf создаются после нескольких запусков одного и того же приложения.
Дальше они используются для ускорения повторного запуска. Содержат часть кеша.
Можете "поиграться" с внутренностями своих .pf. Программа в конце статьи.
И заодно почитать: Расширения, которые должен знать каждый.

 

[fseto]

Internet Explorer для x64 ветки в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\URL\Prefix
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

 

[Dragokas]

Это производная от HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix (только для 32-битного IE).
В статье это уже есть.

 

[fseto]

Logon для х64 ветки в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run (текущий пользователь, только 64-бит версия)
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce (все пользователи, запуск один раз, только 64-бит версия)
думаю это тоже "производная". Но Регист все же добавил. И правильно сделал.
Для таких опытных как вы(в хорошем смысле), возможно и сабж этот не нужен.

 

[D'Dragon]

Вопрос, постоянно пользуюсь программой autoruns для анализа автозагрузки, она выделяет всё написанное в первом посте или часть автозагрузки в ней не видно?

 

[regist]

пользуюсь программой autoruns для анализа автозагрузки, она выделяет всё написанное в первом посте

да.

 

[Ntfz]

Кто-нибудь знает, где прописывается в автозапуск "планировщик задач" Windows?

 

[shestale]

А какой смысл ему там прописываться, если файлы заданий из планировщика и так запускаются по расписанию. Это своего рода и есть автозапуск. Сейчас как раз идет шквал заражений запускающихся из планировщика задач.

 

[regist]

автозапуск "планировщик задач" Windows?

Ntfz, это системная служба, так что запускается он как служба.

Сейчас как раз идет шквал заражений запускающихся из планировщика задач.

добавлю ссылку на самостоятельное лечение от этого заражения: При включение компьютера запускается браузер с сайтом dota2game.org