пусть запустит батник какойнить вроде
@echo off
echo (c) paganoid 2001
echo порядка 20-40 методов запуска приложений Windows при загрузке системы
echo некоторые "параноидальные" методы запуска закомментарены
echo Отдельное спасибо Imm0rtal, grok, +Mikhail
echo два ключа найдены в 'xakep'
mkdir c:\stinfo
rem стандартные ключи запуска из HKEY_LOCAL_MACHINE
regedit /e c:\stinfo\HKLM_Run.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\stinfo\HKLM_RunOnce.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
regedit /e c:\stinfo\HKLM_RunServices.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
regedit /e c:\stinfo\HKLM_RunServicesOnce.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
rem похожий ключ, но с другим форматом параметра "DllFileName|FunctionName|CommandLineArguements"
rem "RunMyApp"="||notepad.exe"
regedit /e c:\stinfo\HKLM_RunOnceEx.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
rem стандартные ключи запуска из HKEY_CURRENT_USER
regedit /e c:\stinfo\HKCU_Run.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\stinfo\HKCU_RunOnce.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
regedit /e c:\stinfo\HKCU_RunServices.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
rem обработчики страниц свойств файла и контекстного меню explorer
rem там будут списки GUIDов, по которым надо искать соответствующие COM-объекты
rem в HKEY_CLASSES_ROOT .
rem средствами bat файла это сделать сложновато..
regedit /e c:\stinfo\HKCR_anyfile.reg HKEY_CLASSES_ROOT\*\shellex
regedit /e c:\stinfo\HKCR_file.reg HKEY_CLASSES_ROOT\file\shell
regedit /e c:\stinfo\HKCR_folderEx.reg HKEY_CLASSES_ROOT\Folder\shellex
regedit /e c:\stinfo\HKCR_folder.reg HKEY_CLASSES_ROOT\Folder\shell
regedit /e c:\stinfo\HKCR_driveEx.reg HKEY_CLASSES_ROOT\Drive\shellex
regedit /e c:\stinfo\HKCR_drive.reg HKEY_CLASSES_ROOT\Drive\shell
rem ключи запуска исполняемых файлов из HKEY_CLASSES_ROOT
rem естественно, есть и файлы с другими расширениями... :/
regedit /e c:\stinfo\HKCR_ShellExe.reg HKEY_CLASSES_ROOT\exefile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellCom.reg HKEY_CLASSES_ROOT\comfile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellBat.reg HKEY_CLASSES_ROOT\batfile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellHta.reg HKEY_CLASSES_ROOT\htafile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellPif.reg HKEY_CLASSES_ROOT\piffile\shell\open\command
rem кстати, о других расширениях. Есть весьма недурсный способ создания чёрного хода -
rem создать в реестре новое расширение tхt (Hint! Буква Х посередине -
rem - РУССКАЯ), чтобы оно выглядело точно так же, как txt (иконка...), но запускало vbscript с нужными командами
rem (также vbs при запуске должен затирать себя текстовым файлом нужного содержания). Если поставить
rem к этому расширению параметр IsShortCut (вроде так), то и свойства файла через Explorer просмотреть
rem не удастся. Также можно выставить параметр "Спрашивать при загрузке" так, чтоб не спрашивал :)
rem Тогда управление компом становится очень простым - присылаешь жертве письмо с таким аттачем или посылаешь
rem его на нужную страницу, где в IFRAME стоит ссылка на этот файл. Можно еще усугУбить ситуацию, и использовать
rem не VBScript, а JScript. В силу того, что можно выставлять комментарии /* */ на несколько строк,
rem можно сделать такой файл, в котором очень трудно найти исполняемый код даже при просмотре из DOS.
rem Вотщем, не зная, вычислить такой backdoor весьма сложно.
rem ключи запуска исполняемых файлов из HKEY_LOCAL_MACHINE
regedit /e c:\stinfo\HKLM_ShellExe.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellCom.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellBat.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellHta.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellPif.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
rem папка автозагрузки как она есть
regedit /e c:\stinfo\HKUS_AutoRus.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\&Programs\Автозагрузка
regedit /e c:\stinfo\HKUS_AutoEng.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\&Programs\StartUp
rem ключ подгрузки explorer'ом сторонних dll. Там может лежать Webcheck... Самый хитрый способ imho
regedit /e c:\stinfo\HKLM_DelayLoad.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
rem ключ автозапуска приложений ICQ
regedit /e c:\stinfo\HKCU_ICQ.reg HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps
rem стандартные директории, в т.ч. и пути к директориям автозапуска
rem директории для всех пользователей NT
regedit /e c:\stinfo\HKCU_StartUp.reg "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
rem директории для текущего пользователя (NT в бинарном формате :( )
regedit /e c:\stinfo\HKCU_StartUpUser.reg "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
rem в вышеупомянутых директориях (StartUp) надо отыскать все файлы
rem пути к запускаемым файлам NT
regedit /e c:\stinfo\HKLM_WinLogon.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
regedit /e c:\stinfo\HKLM_AppInitDll.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
rem Обработчики элементов меню Explorer "Сервис > Поиск "
regedit /e c:\stinfo\HKLM_Find.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions
rem абсолютно неизвестный мне ключ, что-то IEшное. Там столько дряни набито, что страшно становится.
rem Формат записи непонятен. Мне автозапустить оттуда ничего не удалось. Но очень хочется.
rem regedit /e c:\stinfo\HKLM_ActiveSetup.reg "HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components"
rem облазив сайты по тематике автостарта, узнал, что везде парятся насчёт ключа CLASSES\ShellScrap
rem и рекомендуют глядеть на его параметр NeverShowExt.
rem Его наличие говорит о том, что файлы с расширением SHS никогда не показывают своего реального
rem расширения (кто-нибудь умеет эти SHS-файлы ДЕЛАТЬ хехе ?..). Парится нечего, поскольку если уже проникли в комп, то могут поставить
rem такой параметр к любому расширению. И иконка у таких файлов подозрительная....
rem regedit /e c:\stinfo\HKLM_SHS.reg HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap
rem Excel 97 - пути к запускаемым надстройкам. Все, что начинается с OPEN, запускается (*.xla). Также содержит пути к подключаемым lib'ам
regedit /e c:\stinfo\HKCU_Excel97.reg "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Excel\Microsoft Excel"
rem Excel 2000 - пути к запускаемым надстройкам. Все, что начинается с OPEN, запускается (*.xla)
regedit /e c:\stinfo\HKCU_Excel2000.reg "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Excel\Options"
rem файлы из автозагрузки Win9x и NT. Путь может быть другой..
rem кстати, следует обратить внимание на содержимое ярлыков. Они могут указывать не на то, что предполагается
copy "%windir%\Profiles\All Users\Главное меню\Программы\Автозагрузка\*.*" c:\stinfo\*.*
copy "%windir%\Главное меню\Программы\Автозагрузка\*.*" c:\stinfo\*.*
rem английское
copy "%windir%\Profiles\All users\start menu\programs\startup\*.*" c:\stinfo\*.*
copy "%windir%\start menu\programs\startup\*.*" c:\stinfo\*.*
rem французское главное меню..
copy "%windir%\Profiles\All Users\Menu Dйmarrer\Programmes\Dйmarrage\*.*" c:\stinfo\*.*
copy "%windir%\Menu Dйmarrer\Programmes\Dйmarrage\*.*" c:\stinfo\*.*
rem до кучи и португальскогого, там же лежало
copy "%windir%\Profiles\All Users\Menu Iniciar\Programas\Iniciar\*.*" c:\stinfo\*.*
copy "%windir%\Menu Iniciar\Programas\Iniciar\*.*" c:\stinfo\*.*
rem итальянский
copy "%windir%\Profiles\All Users\Menu Avvio\Programmi\Esecuzione automatica\*.*" c:\stinfo\*.*
copy "%windir%\Menu Avvio\Programmi\Esecuzione automatica\*.*" c:\stinfo\*.*
rem немецкий
copy "%windir%\Profiles\All Users\Startmenu\Programme\Autostart\*.*" c:\stinfo\*.*
copy "%windir%\Startmenu\Programme\Autostart\*.*" c:\stinfo\*.*
rem испанский, я в нем не силён, а разных источниках разногласия в написании Menu...
copy "%windir%\Profiles\All Users\Menu Inicio\Programas\Inicio\*.*" c:\stinfo\*.*
copy "%windir%\Profiles\All users\Menъ Inicio\programas\Inicio\*.*" c:\stinfo\*.*
copy "%windir%\Menu Inicio\Programas\Inicio\*.*" c:\stinfo\*.*
copy "%windir%\Menъ Inicio\Programas\Inicio\*.*" c:\stinfo\*.*
rem автозапуск "Setup Updating Your System"
copy %windir%\wininit.ini c:\stinfo\wininit.ini
rem батник запуска Win9x
copy %windir%\winstart.bat c:\stinfo\winstart.bat
rem win.ini. Ключи load= и run=
copy %windir%\win.ini c:\stinfo\win.ini
rem system.ini. Ключ Shell= на запуск оболочки
copy %windir%\system.ini c:\stinfo\system.ini
rem autoexec.bat
copy c:\autoexec.bat c:\stinfo\autoexec.bat
rem подставной автозапускаемый explorer из корня
copy c:\explorer.exe c:\stinfo\explorer.exe
rem autorun.inf с жесткого диска тоже добру не служит
copy c:\autorun.inf c:\stinfo\C_autorun.inf
rem если есть второй/третий/цатый диск, строку надо разкомментить
rem copy D:\autorun.inf c:\stinfo\D_autorun.inf
rem красная дрянь с часами в таскбаре, Sheduler win98
copy %windir%\TASKS\*.* c:\stinfo\*.*
rem MSDOS.SYS, туда можно подставить директории винды неправильно
attrib -s -h -r c:\msdos.sys
copy c:\msdos.sys c:\stinfo\msdos.sys
attrib +s +h +r c:\msdos.sys
rem еще может быть запущен сервис sheduler на NT. Если надо стопануть, убрать rem из начала текущей строки
rem net stop schedule
rem директория автозапуска Word
rem copy "C:\Program Files\Microsoft Office\Office\STARTUP\*.*" c:\stinfo\*.*
rem директория автозапуска Excel
rem copy "C:\Program Files\Microsoft Office\Office\XLStart\*.*" c:\stinfo\*.*
rem если параноя, то можно скопировать подключаемые либы Excel97
rem mkdir c:\stinfo\office
rem copy "C:\Program Files\Microsoft Office\Office\Library\*.*" c:\stinfo\office\*.*
rem mkdir c:\stinfo\office\Analysis\
rem copy "C:\Program Files\Microsoft Office\Office\Library\Analysis\*.*" c:\stinfo\office\Analysis\*.*
rem основной шаблон Word
rem copy "C:\Program Files\Microsoft Office\Templates\Normal.dot" c:\stinfo\office\Normal.dot
rem copy "C:\Program Files\Microsoft Office\Шаблоны\Normal.dot" c:\stinfo\office\Normal.dot
rem copy "C:\Program Files\Microsoft Office\D69B~1\Normal.dot" c:\stinfo\office\Normal.dot
rem еще есть подгруженные Vxd в 9х.
rem regedit /e c:\stinfo\HKLM_vxd.reg HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Vxd
rem загрузчик драйвера (DonaldDick). См. параметр BootExecute
regedit /e c:\stinfo\HKLM_BootExec.reg "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager"
rem подгрузчик сторонник DLL c помощью MPRexe
regedit /e c:\stinfo\HKLM_mprexe.reg "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices"
rem также можно подменить загрузчик произвольного COM-объекта...
rem опять же, можно составить список гуидов самых шоколадных COM-объектов
rem и выгрузить их In- Out- ProcServer'ы в reg-файлы, но это тоже нехилый труд..
rem файлы элементов панели управления. Грузятся автоматом, могут содержать вредоносный код
rem %windir%\*.cpl c:\stinfo\*.cpl
rem склеиваем рег-файлы в один
copy c:\stinfo\*.reg c:\stinfo\registry.txt
del c:\stinfo\*.reg
---
и вс,, что в c:\stinfo окажется, тебе вышлет
|