Aus SatriaWiki
Wechseln zu: Navigation, Suche

Bei Windows (2000 / XP) gibt es verschiedene Orte, an denen man Programme automatisch beim Starten ausführen lassen kann. Hier liste ich auch die Möglichkeiten auf, wie man Programme unbemerkt zusammen mit anderen Programmen (die möglicherweise automatisch gesatrtet werden) ausführt. Diese Techniken sind beliebt bei Viren und Trojanern! Daher kann es nicht schaden, sie zu kennen, wenn man einen solchen ohne Antivirenprogramme bekämpfen will oder muss.
Das Programm, das hier als Beispiel gestartet werden soll, sei "Programm.exe".

Startmenü -> Autostart

Der offensichtlichste Ort. Programme oder Verknüpfungen können hier abgelegt werden und werden nach dem Anmelden ausgeführt.
Welcher Ordner tatsächlich die Rolle des automatisch ausführenden Ordners einnimmt, kann in der Registry unter

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

eingestellt / verstellt werden. In diesem Schlüssel ist normalerweise so etwas hinterlegt wie:

C:\Dokumente und Einstellungen\Benutzer\Startmenü\Programme\Autostart

Win.ini

Liegt im Windows-Ordner (normal C:\Windows\ oder C:\WINNT\). Eine traditionell beibehaltene Datei, aus relativ alten Windows-Tagen (Windows 3.11, Windows95). Programme die beim Starten von Windows ausgeführt werden sollen, müssen sich hier befinden:

[Windows]
load=Programm.exe
run=Programm.exe

Möglich, dass diese Datei in höheren Windows-Versionen nicht mehr berücksichtigt wird!

System.ini

Liegt im Windows-Ordner (normal C:\Windows\ oder C:\WINNT\). Eine traditionell beibehaltene Datei, aus relativ alten Windows-Tagen (Windows 3.11, Windows95). Programme die beim Starten von Windows ausgeführt werden sollen, müssen sich hier befinden:

[boot]
shell=explorer.exe Programm.exe

Ich vermute mal, die explorer.exe muss angegeben werden (statt nur Programm.exe), weil sonst der normale Desktop nicht gestartet würde.
Möglich, dass diese Datei in höheren Windows-Versionen nicht mehr berücksichtigt wird!

Winstart.bat

Ähnlich der alten Autoexec.bat.
Keine weiteren Informationen vorhanden.

Wininit.ini

Inhalte sollen einmalig ausgeführt und die Datei anschließend gelöscht werden.
Keine weiteren Informationen vorhanden.

Registry

Folge Pfade in der Windows-Registrierung enthalten auch Einträge für den automatischen Start von Programmen:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Die Programme in diesen Schlüsseln sind nur im aktuellen Benutzerprofil gespeichert, und werden auch nur ausgeführt, wenn dieser Benutzer sich anmeldet.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

Die Programme in diesen Schlüsseln werden beim Anmelden von jedem Benutzer ausgeführt.

Geplante Tasks

Auch hier kann es Einträge geben, bei denen eingestellt ist, das jeweilige Programm "Beim Systemstart" oder "Bei der Anmeldung" zu starten.

Startup Scripts

Etwas versteckter / unbekannter dürften die Startup/Shutdown Scripts sein, die man in den Gruppenrichtlinien findet.

Start -> Ausführen -> gpedit.msc -> OK

Skripte, die beim Hoch- und Runterfahren des Systems oder bein An- und Abmelden des jeweiligen Benutzers ausgeführt werden, findet man hier:

Computerkonfiguration
  Windows-Einstellungen
    Skripts (Start/Herunterfahren)

bzw. in den Ordnen

C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Shutdown

oder unter

Benutzerkonfiguration
  Windows-Einstellungen
    Skripts (Anmelden/Abmelden)

bzw. in den Ordnen

C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon
C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logoff

Ich denke, die Skripte können BAT, CMD, oder VBS sein. Die Ordner sind hierbei nur Standard-Ordner! Die Skripte können überall liegen, und werden auch nur ausgeführt, wenn sie in den Gruppenrichtlinien als Skript hinzugefügt wurden. Das alleinige Vorhandensein im Ordner führt nicht zur Ausführung!

Quellen

http://www.gaijin.at/mantrojan.php