[ dava @ 12.11.2004. 09:27 ] @
Pozdrav svima i jedno pitanje.
Pricamo o XP, Posto svi virusi, koliko sam primjetio, prave u registry key za njihovo startanje u HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run. A onda se oni lako mogu iskljuciti u msconfig pa startup. Sad me zanima da li se moze napraviti odnosno da li neki virus to koristi da u msconfig-startup se on ne vidi, da se tu ne moze iskljuciti, ili da ga tu nema, a da se pokrece iz registry.
Ili da li neko zna jos neku lokaciju u registry odakle se mogu startati programi prilikom startanja win.
[ Slavisa @ 12.11.2004. 10:20 ] @
Postoji mnogo nacina ...
Recimo pod
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
imas string vrijednost shell koja je obicno postavljena na explorer.exe. Ti to mozes da zamijenis sa explorer.exe tvojprogram.exe.

Zatim HKEY_CLASSES_ROOT\exefile\shell\open\command je postavljen na "%1" %*.
Ti to mozes da postavis na tvojprogram.exe %*. Na taj nacin ce se tvoj program startovati prilikom svakog pokretanja nekog .exe programa. Za ovo moras napisati svoj program da provjerava da li je vec pokrenut i mora da pokrene program koji mu je prosledjen kao parametar komandne linije inace neces moci pokrenuti ni jedan program.
[ Shadowed @ 12.11.2004. 15:11 ] @
Mnogi virusi to koriste ali se to vidi u MSconfig-u pa koriste i alternativne metode od kojih je neke Slavisa pomenuo. I jedna ispravka; Servisi ne prave entry-e za svoje startovanje u tom kljucu.
[ dava @ 20.11.2004. 10:54 ] @
Hvala vam na ovim odgovorima. Sada me jos zanima da li se moze virus startati uz neki program ili prilikom konekcije. Znaci da je neaktivan sve dok se neostvari konekcije ili dok se ne pokrene neki program. Ako moze volio bih da mi napisete kako se oni startaju.
[ VRKY @ 18.12.2004. 20:25 ] @
Ima mnogo startup načina... Potraži malo po virima neke primjere.

Citat:
dava: Hvala vam na ovim odgovorima. Sada me jos zanima da li se moze virus startati uz neki program ili prilikom konekcije. Znaci da je neaktivan sve dok se neostvari konekcije ili dok se ne pokrene neki program. Ako moze volio bih da mi napisete kako se oni startaju.


Može, imaš par fora. Jedna od njih je kad se npr. pokrene .reg fajl pokreće se virus itd. to se radi editiranjem ovog ključa (primjer je za .reg fajl)

Code:

HKEY_CLASSES_ROOT\regfile\shell\open\command\
[ reiser @ 19.12.2004. 00:46 ] @
Downloaduj Autoruns i vidi odakle se startuje gamad. Mada ima jos dosta fora odakle se moze startovati virus a koje ne mozes videti u Autoruns-u...
[ Sundance @ 19.12.2004. 01:05 ] @
A koje to Paunovicu? :)

BTW sa SP2 dobijes u Control Panelu Start up applet...
[ reiser @ 19.12.2004. 01:35 ] @
Pa recimo nama toliko poznata ActiveX metoda... ;)
Ili preko autoexec.bat-a :)
I imam jos neke halucinacije kako se program moze startovati uz OS, samo ako uspem to da izvedem :)

Gde je taj Startup applet, ja ne mogu da ga nadjem na WinXP SP2 ?
[ Sundance @ 19.12.2004. 03:03 ] @
Ima i ActiveX, pogledaj malo bolje :)

Meni je u CP pod nazivom Startup, mislim da sam je dobio sa SP2. Mada nisam 100% siguran, trebalo bi googleat malo, evo ni to mi se ne da :)
[ reiser @ 19.12.2004. 03:21 ] @
yep, ipak ima, treba chekirati view explorer addons :)

poz
[ VRKY @ 19.12.2004. 12:32 ] @
Startup preko Wini.ini fajla je isto dosta nepoznat za "lajce"