[HaBo]

Akca

Anzeige

Heii

Kennt ihr den Autostart von Anti-viren bzw. Spybot die Windows überreden sich selber als erster zu starten um alle geloggten viren und spyware zu löschen.

Mich würd gern interessieren wo der eintrag in der registry ist?

coolman

das kann gar kein eintrag in der registry sein, weil (wie du schon sagtest) das prog VOR windows startet. das ding muß sich also (wahrscheinlich, aber keine ahnung) in den mbr schreiben. ich denke so macht das z.b. auch partition magic auch.

Akca

Nein das bezweifle ich dass es sich ins mbr reinschreibt.

Ich denke es gibt ein special eintrag mir hoher priorität dass windows mitteilt dass dieser dienst als erster gestartet werden soll und nachdem es beendet wurde den rest zu starten.

scales

ich denke nicht dass es so einen Eintrag gibt, außerdem würde sich da dann auch die Spyware reinschreiben

@coolman:

wann hat er denn gesagt, dass das Programm vor Windows starten soll?
er meinte nur Windows solle das Programm als erstes starten

Akca

Stimmt!
Daran hab ich nicht gedacht!
Aber so wie es Spybot schafft müsste es einem klugen virenschreiber auch möglich sein so etwas zu schreiben.

R!K3R

Ich denke das es einfach über eine bootfähige CD/DVD gemacht wird.

coolman

@scales:
"die Windows überreden sich selber als erster zu starten" - ich verstehe das so, daß das Programm Win übereden soll, sich vor dem Betriebssystem zu starten

scales

das wäre aber Schwachsinn
ein Registry Eintrag in den man ein Programm schreiben kann, das vor Windows gestartet wird
wer soll denn dann das Programm überhaupt starten?

adrian90

Es gibt nur die Funktion, dass man ein Programm beim Start startet, wie die Laufwerksprüfung. Wo das genau ist, weiss ich leider auch nicht mehr genau. Aber das findest du leicht raus, indem du eine Laufwerksprüfung auf den nächsten Systemstart ansetzst.

CDW

Eine normale Exe ist ohne Windows nicht ausführbar, weil sie bestimmte Windowsfunktionen braucht und außerdem "geladen" werden muss. Es gibt aber bestimmte Registryeinträge, um Sachen beim start, solange noch "nix" läuft, löschen zu lassen - MoveFileEx
(die Funktion erstellt nur einen Registryeintrag mit dem Dateinamen)

Der einizige (mir bekannte - und damit habe ich mich wirklich nur sehr oberflächlich beschäftigt ) Weg ist ein Treiber und ein entsprechender Eintrag in der Registry. Die Laufwerksprüfung wird afaik auch nur "vor der Grafik" gestartet, der Kernel ist da schon geladen (der beste Beweis sind die verschiednenen Fehlermeldungen, die andere Leute dabei Plagen), z.B der Treiber zum Zugriff auf die Festplatte usw. - es gab laut Google in der Vergangenheit manchmal Probleme mit diversen PFWs/Antiviren (ZA 4/5/Norton usw) und dem Checkdisk, weil diese ihre Treiber als erstes laden ließen und so den Zugriff auf die Platte blokierten.

Von Sysinternals gibt es Autoruns - es zeigt meinstens entweder den Weg("Jump"-Button auswählen) oder gibt zumindest einen Tipp zum googeln. Sehr interessant um sich die verschiedenen Autostartmöglichkeiten vor Augen zu führen *und auch wieviele Treiber verschiedne Kopierschutzsysteme aufs System draufknallen können * . Aber bitte vorsicht walten lassen - bei falscher Bedienung kann man sich das System auch sehr schnell zerschießen.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

Gargamel

Also mir fallen da schon ein paar Möglichkeiten ein:

Ich ersetze den Explorer als Shell mit meinem eigenen Programm: Das mach ich hier: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Oder ich hänge mich hiermit rein, und starte nach dem Login, aber vor dem Explorer:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\badpr ogram.exe

Oder wenn ich es komplexer kann und mag, ersetze ich die MS Gina, auch wieder hier:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL