Места Автозагрузки троянов и вирусов
|
|
|
Внимание!!! Данная статья дана только для ознакомления с возможными местами загрузки троянов и профилактики этих самых мест. За неправильное использование статьи редакция ответственности не несет!!!
И так начнем. В данной статье я постараюсь перечислить все известные мне места загрузки этой гадости под названием трояны и вирусы. Не так давно пришлось столкнуться с этим и потратить немало времени на поиск и удаление трояна и всех ссылающихся на него ключей реестра. И в результате моей крапотливой работы я насобирал более десятка мест для автозагрузки.
Загрузка из специальных папок
Основная. По идее все добропорядочные программы должны
грузиться отсюда.
X:\Documents and Settings\Имя_Пользователя\Главное
меню\Программы\Автозагрузка\
А также папка предназначенная
для всех пользователей:
X:\Documents and Settings\All
Users\Главное меню\Программы\Автозагрузка\
и для
вновь создаваемых пользователей:
X:\Documents and
Settings\Default User\Главное меню\Программы\Автозагрузка\
X:\WINDOWS\Downloaded Program Files\ обычно грузятся с IE
Системные файлы со списком загружаемых программ
win.ini в секции [windows] с параметром run=запускаемая_программаsystem.ini в секции [driver32] с параметром вида "название_драйвера.уникальное_имя"=Путь_к драйверу.
X:\WINDOWS\inf\ здесь расположены драйвера устройств, иногда трояны заглядывают и туда.
Реестр (самая большая "дыра" в Windows)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\, большинство программ записываются в эти два ключа.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
одноразовый запуск программ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\, вроде как должны быть плугины к IE.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
File Execution Options\Имя_прогаммы\,
при запуске
Имя_прогаммы будет запускаться программа указанная в
строковом параметре Debugger.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\ параметр BootExecute для запуска указанной программы на стадии загрузки Windows(программа должна уметь работать в чистом Dos)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\,
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Сервисы и другие службы, параметры
со знаком * перед названием ключа запускаются перед авторизацией пользователя.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices\ загружаются как драйвера устройств.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\ при загрузке любого пользователя.
послесловие
Еще некотрые совершенно обнаглевшие вирусы и трояны умеют встраиваться в список обновляемых файлов при обновлении Windows через интернет. Это я пока неуспел разобрать, но как разберусь сам обязательно поделюся опытом с вами.
На этом пока все, и помните, что неправомерное и неправильное использование вышеприведенной информации может привести к серьезным последствиям.
Интересные команды для cmd.exeУскорение загрузки Windows, программ, устранение ошибокМеста Автозагрузки троянов и вирусов