Gefahrenquelle Winlogon über USERINIT.EXE
Diese Methode wird auch gerne von Schadsoftware eingesetzt, um sich auf einem Computer ungewollt zu installieren
Problem
Sie möchten beim Start von Windows 2000 oder XP stets ein bestimmtes Programm laden. Sie suchen eine weniger bekannte Alternative zu üblichen Startrampen wie Autostart-Ordner oder die Registry-Schlüssel "Run" und "RunServices", um Manipulationen zu unterbinden.Lösung
Im Registry-Schlüssel"Hkey_Local_Machine\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon"
erscheint eine Zeichenfolge "Userinit". Sie enthält standardmäßig den Eintrag "c:\windows\system32\userinit.exe,". Das kleine Programm USERINIT.EXE dient nur dazu, den Shell-Wert im gleichen Schlüssel auszulesen und das dort genannte Programm dann zu starten - im Normalfall also den Explorer.
Das Komma im Eintrag nach USERINIT.EXE weist darauf hin, dass theoretisch weitere Programmaufrufe folgen können. Tatsächlich akzeptieren Windows 2000 und XP hier weitere Einträge beliebiger Länge, auch mit Parameter. Sie können die Registry-Zeichenfolge also etwa so ergänzen:
c:\windows\system32\userinit.exe,c:\tools\myprog.exe
Künftig startet dann weiterhin die Standard-Shell, also der Windows-Explorer, zusätzlich aber auch noch die angefügte Myprog.exe.
Achtung: Wenn Sie die USERINIT.EXE aus der Zeichenfolge entfernen und nur Ihr Programm eintragen, startet Windows ohne Explorer-Oberfläche. Als Windows-Shell dient dann das von Ihnen eingetragene Programm.
Keine Kommentare:
Kommentar veröffentlichen