Отправляет email-рассылки с помощью сервиса Sendsay

Домашний компьютер: от А до Я

  Все выпуски  

"Домашний компьютер: от А до Я"


 

Выпуск 74

 

"Институт развития электронного бизнеса в России"

представляет рассылку:

 

"Домашний компьютер для начинающих"

 

Колонка редактора

ВНИМАНИЕ!!! Стартовал проект: "Путь к стройности"

5 неожиданных путей к плоскому животу

50 СПОСОБОВ ПОХУДЕТЬ БЕЗ ДИЕТ

Есть или не есть после шести вечера?

Как снизить аппетит

7 способов быстро сбросить вес

Правильная осанка – самый быстрый способ стать стройнее

Как похудеть, не испытывая чувства голода?

 

Места Автозагрузки троянов и вирусов

В данной статье я постараюсь перечислить все известные мне места загрузки этой гадости под названием трояны и вирусы. Не так давно пришлось столкнуться с этим и потратить немало времени на поиск и удаление трояна и всех ссылающихся на него ключей реестра. И в результате моей крапотливой работы я насобирал более десятка мест для автозагрузки.

Загрузка из специальных папок

Основная. По идее все добропорядочные программы должны грузиться отсюда.
X:\Documents and Settings\Имя_Пользователя\Главное меню\Программы\Автозагрузка\
А также папка предназначенная для всех пользователей:
X:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\
и для вновь создаваемых пользователей:
X:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\

X:\WINDOWS\Downloaded Program Files\ обычно грузятся с IE

Системные файлы со списком загружаемых программ

win.ini в секции [windows] с параметром run=запускаемая_программа
system.ini в секции [driver32] с параметром вида "название_драйвера.уникальное_имя"=Путь_к драйверу.

X:\WINDOWS\inf\ здесь расположены драйвера устройств, иногда трояны заглядывают и туда.

Реестр (самая большая "дыра" в Windows)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\, большинство программ записываются в эти два ключа.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\ одноразовый запуск программ

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\, вроде как должны быть плугины к IE.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Имя_прогаммы\,
при запуске Имя_прогаммы будет запускаться программа указанная в строковом параметре Debugger.

HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\VxD\ драйвера для 95/98
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\ параметр BootExecute для запуска указанной программы на стадии загрузки Windows(программа должна уметь работать в чистом Dos)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\,
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Сервисы и другие службы, параметры со знаком * перед названием ключа запускаются перед авторизацией пользователя.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_

Catalog5\Catalog_Entries и ее подветки..

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices\ загружаются как драйвера устройств.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\ при загрузке любого пользователя.

Послесловие

Еще некотрые совершенно обнаглевшие вирусы и трояны умеют встраиваться в список обновляемых файлов при обновлении Windows через интернет. Это я пока неуспел разобрать, но как разберусь сам обязательно поделюся опытом с вами.

На этом пока все, и помните, что неправомерное и неправильное использование вышеприведенной информации может привести к серьезным последствиям.

Автор: Беляев Александр

Источник: wm-help.net

 

ЖДЁМ ПИСЕМ

 

В избранное