Montag, 4. Juli 2011

Gefahrenquelle Winlogon über USERINIT.EXE


Gefahrenquelle Winlogon über USERINIT.EXE

Diese Methode wird auch gerne von Schadsoftware eingesetzt, um sich auf einem Computer ungewollt zu installieren


Problem

Sie möchten beim Start von Windows 2000 oder XP stets ein bestimmtes Programm laden. Sie suchen eine weniger bekannte Alternative zu üblichen Startrampen wie Autostart-Ordner oder die Registry-Schlüssel "Run" und "RunServices", um Manipulationen zu unterbinden.

Lösung

Im Registry-Schlüssel


"Hkey_Local_Machine\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon"


erscheint eine Zeichenfolge "Userinit". Sie enthält standardmäßig den Eintrag "c:\windows\system32\userinit.exe,". Das kleine Programm USERINIT.EXE dient nur dazu, den Shell-Wert im gleichen Schlüssel auszulesen und das dort genannte Programm dann zu starten - im Normalfall also den Explorer.


Das Komma im Eintrag nach USERINIT.EXE weist darauf hin, dass theoretisch weitere Programmaufrufe folgen können. Tatsächlich akzeptieren Windows 2000 und XP hier weitere Einträge beliebiger Länge, auch mit Parameter. Sie können die Registry-Zeichenfolge also etwa so ergänzen:


c:\windows\system32\userinit.exe,c:\tools\myprog.exe
Künftig startet dann weiterhin die Standard-Shell, also der Windows-Explorer, zusätzlich aber auch noch die angefügte Myprog.exe.


Achtung: Wenn Sie die USERINIT.EXE aus der Zeichenfolge entfernen und nur Ihr Programm eintragen, startet Windows ohne Explorer-Oberfläche. Als Windows-Shell dient dann das von Ihnen eingetragene Programm.

Keine Kommentare:

Kommentar veröffentlichen

Related Posts Plugin for WordPress, Blogger...