Nadam se da ti niko nece odgovoriti.

I neko ce mozda iskoristiti tvoj kod da napravi neko izmenjeno g**** koje nece prepoznati av-ovi itd...

Prouči malo ključeve ispod HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Ako viri instaliraš kao servis, možeš dodati entry u Minimal ili Network ključeve.
Eksperimentiraj malo, ne da mi se sada ulaziti u detalje.

Previše čitaš Kasperskyeve demagogije. Situacija je potpuno suprotna.

@Marko: Zamijeni u registriju sve reference u kojima se explorer.exe koristi kao shell sa imenom tvog crva ili explorer.exe crv.exe. Pogledaj i userinit.exe koji je zaslužan za pokretanje explorera i logon skripti. Ne bih ti savjetovao instaliranje kao win32 servis jer će to svaki inteligentniji admin skužiti.

Servise zaboravimo...


Tacno tako. Zamenio sam HKLM\SOFTWARE\Windows NT\CurrentVersion\Winlogon\[UserInit] string, ali ne radi, majku mu, a gotovo sam siguran da je pre 2-3 dana radilo...

Postoji li neki manje poznati nacin osim menjanja putanje do shell-a ?

Inace, worm ce pokretati jedan mali dll pisan u asm-u, znaci u registryu ide otprilike ovako rundll32.exe ime_dlla.dll,procedura

Mislim da bi trebalo raditi, sigurno si nešto sjebao :>

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell

što bi bilo kad bismo cmd.exe promijenili u cmd.exe crv.exe? :)

A što je sa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost ?

Baš mi ide nešto većeras, evo upcah još jednog:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute

U mene ima vrijednost "autocheck autochk *"

Problem je što se autochk izvodi pod nativnim subsystemom. Imaš jedan Rusinovičev primjer kako podesiti Visual Studio da ti kompajlira pod nativnim subsystemom (moraš koristiti samo Nt* API-je :)

Ma sta sam mogao da sjebem, cak sam i zamenio onaj windowsov rundll32.exe sa programcicem koji ce zapisati u fajlu sve parametre sa kojim se poziva i onda izvrsiti pravi rundll32 i nema nijednog jedinog parametra ???!

Sad cu da probam sa donjim kljucem.

HKEY_LOCAL_MACHINE\SYSTEM\Setup

SystemSetupInProgress postavi na 1

CmdLine -> ime crva

PS: Nisam probao :>

Ovo je još sesija brainstorminga... :)))

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\VmApplet

Mada treba otkriti kako natjerati winlogon da potjera ovaj control panel applet :)))

Aj molim te dodji na ICQ ako mozes na casak, brze cemo naci resenje tako ;) ?

Nikada u zivotu nisam procitao nista od tog pisca :p
Naime radi se o zdravom razumu ;)

Da znam :p vi ste dobri momci koji pomazu da softver bude bolji tako sto otkrivate rupe u istom i pisete neke dobre viruse koji nikome nece uciniti nista nazao jer ce te ih vi vec poslati av kompanijama na analizu :p

Ok, ok nisam ja policija.

I na koji način ga pokrećeš?

Inače nisam ciljao na obične servise, već driver servise (njih ne vidiš u services appletu), a par puta mi se dogodilo da su me win admini čudno pogledali kada sam ih pitao za driver servise pri riješavanju nekih problema (što znači da ih nema baš puno "inteligentnih" :-)).

Jedna nova metoda...razradismo je na pvt...detalji u pH #2 :>

PS: Uopće se ima trojana/crva ne stavlja u registry :>>>