| 1.
Autostart folder |
Все
стартует здесь:
С:\windows\start
menu\programs\startup {english}
С:\WINDOWS\Главное меню\Программы\Автозагрузка
{русский}
Директория автозапуска
сохраняеться в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"
так она может быть изменена легко
любым трояном. |
| 2.
Win.ini |
[windows]
load=file.exe
run=file.exe
Т.е. вы посмотрите туда, и если
увидите подозрительные файлы с .ехе
расширением, то проверьте данные
файлы, мот в них и будут трояны |
| 3.
System.ini |
[boot]
Shell=Explorer.exe file.exe Анологично пункту 2 |
| 4.
c:\windows\winstart.bat |
Запомните
то, что любят создавать бат файлы .
Использовать их для копированияя и
удаления. Автостарт всегда. |
| 5.
Registry |
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] |
| 6.
c:\windows\wininit.ini |
Часто
используються Setup-Programs которые
прописывает в реестре файл в run ONCE и
потом этот файл удаляеться
самой виндой
Например: (wininit.ini)
[Rename]
NUL=c:\windows\picture.exe
Этот пример показывает , что файл
запуститься и потом стереться , вы
магете запустить таким образом
stealth. |
| 7.
Autoexec.bat |
Надеюсь
это всем понятно. Стартует при
включении компа. |
| 8.
Registry Shell Spawning |
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\"
%*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\"
%*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\"
%*" [HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\"
%*"
Насколько я знаю это использует
Subseven. |
| 9.
Icq Inet |
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="test.exe" "Startup"="c:\\test"
"Parameters"="" "Enable"="Yes" |
| 10.
Misc Infomration |
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap]
@="Scrap object"
"NeverShowExt"=""
Тут тож вроде все ястно |
|
Я составил
маленькую табличку в принципе почти
всех способов автостарта любого
файла. Но какими программами можно
отключить автостарт кокретных
программ (в данном случае троянов
или вирусов)? Таких программ хватает,
например, в msconfig (находится в папке
system) или A-spy, которую можно найти по
адресу http://www.energy.com.ua/hosting/aka,
а вообще говоря, существует
множество программ, которые могут
за этим следить.
|
