@echo off

echo (c) paganoid 2001
echo порядка 20-40 методов запуска приложений Windows при загрузке системы
echo некоторые "параноидальные" методы запуска закомментарены
echo Отдельное спасибо Imm0rtal, grok, +Mikhail
echo два ключа найдены в 'xakep'

mkdir c:\stinfo

rem стандартные ключи запуска из HKEY_LOCAL_MACHINE
regedit /e c:\stinfo\HKLM_Run.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\stinfo\HKLM_RunOnce.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
regedit /e c:\stinfo\HKLM_RunServices.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
regedit /e c:\stinfo\HKLM_RunServicesOnce.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

rem похожий ключ, но с другим форматом параметра "DllFileName|FunctionName|CommandLineArguements"    
rem "RunMyApp"="||notepad.exe"
regedit /e c:\stinfo\HKLM_RunOnceEx.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

rem стандартные ключи запуска из HKEY_CURRENT_USER
regedit /e c:\stinfo\HKCU_Run.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\stinfo\HKCU_RunOnce.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
regedit /e c:\stinfo\HKCU_RunServices.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

rem обработчики страниц свойств файла и контекстного меню explorer
rem  там будут списки GUIDов, по которым надо искать соответствующие COM-объекты
rem  в HKEY_CLASSES_ROOT .
rem  средствами bat файла это сделать сложновато.. 
regedit /e c:\stinfo\HKCR_anyfile.reg HKEY_CLASSES_ROOT\*\shellex
regedit /e c:\stinfo\HKCR_file.reg HKEY_CLASSES_ROOT\file\shell
regedit /e c:\stinfo\HKCR_folderEx.reg HKEY_CLASSES_ROOT\Folder\shellex
regedit /e c:\stinfo\HKCR_folder.reg HKEY_CLASSES_ROOT\Folder\shell
regedit /e c:\stinfo\HKCR_driveEx.reg HKEY_CLASSES_ROOT\Drive\shellex
regedit /e c:\stinfo\HKCR_drive.reg HKEY_CLASSES_ROOT\Drive\shell

rem ключи запуска исполняемых файлов из HKEY_CLASSES_ROOT
rem естественно, есть и файлы с другими расширениями... :/
regedit /e c:\stinfo\HKCR_ShellExe.reg HKEY_CLASSES_ROOT\exefile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellCom.reg HKEY_CLASSES_ROOT\comfile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellBat.reg HKEY_CLASSES_ROOT\batfile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellHta.reg HKEY_CLASSES_ROOT\htafile\shell\open\command
regedit /e c:\stinfo\HKCR_ShellPif.reg HKEY_CLASSES_ROOT\piffile\shell\open\command

rem кстати, о других расширениях. Есть весьма недурсный способ создания чёрного хода -
rem создать в реестре новое расширение tхt (Hint! Буква Х посередине -
rem - РУССКАЯ), чтобы оно выглядело точно так же, как txt (иконка...), но запускало vbscript с нужными командами 
rem (также vbs при запуске должен затирать себя текстовым файлом нужного содержания). Если поставить
rem к этому расширению параметр IsShortCut (вроде так), то и свойства файла через Explorer просмотреть
rem не удастся. Также можно выставить параметр "Спрашивать при загрузке" так, чтоб не спрашивал :)
rem Тогда управление компом становится очень простым - присылаешь жертве письмо с таким аттачем  или посылаешь 
rem его на нужную страницу, где в IFRAME стоит ссылка на этот файл. Можно еще усугУбить ситуацию, и использовать
rem не VBScript, а JScript. В силу того, что можно выставлять комментарии /* */ на несколько строк,
rem можно сделать такой файл, в котором очень трудно найти исполняемый код даже при просмотре из DOS.
rem Вотщем, не зная, вычислить такой backdoor весьма сложно.

rem ключи запуска исполняемых файлов из HKEY_LOCAL_MACHINE
regedit /e c:\stinfo\HKLM_ShellExe.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellCom.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellBat.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellHta.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafile\shell\open\command
regedit /e c:\stinfo\HKLM_ShellPif.reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command

rem папка автозагрузки как она есть
regedit /e c:\stinfo\HKUS_AutoRus.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\&Programs\Автозагрузка
regedit /e c:\stinfo\HKUS_AutoEng.reg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\&Programs\StartUp

rem ключ подгрузки explorer'ом сторонних dll. Там может лежать Webcheck... Самый хитрый способ imho
regedit /e c:\stinfo\HKLM_DelayLoad.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

rem ключ автозапуска приложений ICQ
regedit /e c:\stinfo\HKCU_ICQ.reg HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps

rem стандартные директории, в т.ч. и пути к директориям автозапуска

rem   директории для всех пользователей NT
regedit /e c:\stinfo\HKCU_StartUp.reg "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"

rem   директории для текущего пользователя (NT в бинарном формате :( )
regedit /e c:\stinfo\HKCU_StartUpUser.reg "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"

rem в вышеупомянутых директориях (StartUp) надо отыскать все файлы

rem пути к запускаемым файлам NT
regedit /e c:\stinfo\HKLM_WinLogon.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
regedit /e c:\stinfo\HKLM_AppInitDll.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"

rem Обработчики элементов меню Explorer "Сервис > Поиск "
regedit /e c:\stinfo\HKLM_Find.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions

rem абсолютно неизвестный мне ключ, что-то IEшное. Там столько дряни набито, что страшно становится. 
rem Формат записи непонятен. Мне автозапустить оттуда ничего не удалось. Но очень хочется.
 rem regedit /e c:\stinfo\HKLM_ActiveSetup.reg "HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components"

rem облазив сайты по тематике автостарта, узнал, что везде парятся насчёт ключа CLASSES\ShellScrap
rem и рекомендуют глядеть на его параметр NeverShowExt.
rem Его наличие говорит о том, что файлы с расширением SHS никогда не показывают своего реального
rem расширения (кто-нибудь умеет эти SHS-файлы ДЕЛАТЬ хехе ?..). Парится нечего, поскольку если уже проникли в комп, то могут поставить
rem такой параметр к любому расширению. И иконка у таких файлов подозрительная....
 rem regedit /e c:\stinfo\HKLM_SHS.reg HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap

rem Excel 97 - пути к запускаемым надстройкам. Все, что начинается с OPEN, запускается (*.xla). Также содержит пути к подключаемым lib'ам
regedit /e c:\stinfo\HKCU_Excel97.reg "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Excel\Microsoft Excel"

rem Excel 2000 - пути к запускаемым надстройкам. Все, что начинается с OPEN, запускается (*.xla)
regedit /e c:\stinfo\HKCU_Excel2000.reg "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Excel\Options"

rem файлы из автозагрузки Win9x и NT. Путь может быть другой..
rem кстати, следует обратить внимание на содержимое ярлыков. Они могут указывать не на то, что предполагается
copy "%windir%\Profiles\All Users\Главное меню\Программы\Автозагрузка\*.*" c:\stinfo\*.*
copy "%windir%\Главное меню\Программы\Автозагрузка\*.*" c:\stinfo\*.*

rem английское
copy "%windir%\Profiles\All users\start menu\programs\startup\*.*" c:\stinfo\*.*
copy "%windir%\start menu\programs\startup\*.*" c:\stinfo\*.*

rem французское главное меню.. 
copy "%windir%\Profiles\All Users\Menu Dйmarrer\Programmes\Dйmarrage\*.*" c:\stinfo\*.*
copy "%windir%\Menu Dйmarrer\Programmes\Dйmarrage\*.*" c:\stinfo\*.*

rem до кучи и португальскогого, там же лежало
copy "%windir%\Profiles\All Users\Menu Iniciar\Programas\Iniciar\*.*" c:\stinfo\*.*
copy "%windir%\Menu Iniciar\Programas\Iniciar\*.*" c:\stinfo\*.*

rem итальянский
copy "%windir%\Profiles\All Users\Menu Avvio\Programmi\Esecuzione automatica\*.*" c:\stinfo\*.*
copy "%windir%\Menu Avvio\Programmi\Esecuzione automatica\*.*" c:\stinfo\*.*

rem немецкий
copy "%windir%\Profiles\All Users\Startmenu\Programme\Autostart\*.*" c:\stinfo\*.*
copy "%windir%\Startmenu\Programme\Autostart\*.*" c:\stinfo\*.*

rem испанский, я в нем не силён, а разных источниках разногласия в написании Menu...
copy "%windir%\Profiles\All Users\Menu Inicio\Programas\Inicio\*.*" c:\stinfo\*.*
copy "%windir%\Profiles\All users\Menъ Inicio\programas\Inicio\*.*" c:\stinfo\*.*
copy "%windir%\Menu Inicio\Programas\Inicio\*.*" c:\stinfo\*.*
copy "%windir%\Menъ Inicio\Programas\Inicio\*.*" c:\stinfo\*.*

rem автозапуск "Setup Updating Your System"
copy %windir%\wininit.ini c:\stinfo\wininit.ini

rem батник запуска Win9x
copy %windir%\winstart.bat c:\stinfo\winstart.bat

rem win.ini. Ключи load= и run=
copy %windir%\win.ini c:\stinfo\win.ini

rem system.ini. Ключ Shell= на запуск оболочки
copy %windir%\system.ini c:\stinfo\system.ini

rem autoexec.bat
copy c:\autoexec.bat c:\stinfo\autoexec.bat

rem подставной автозапускаемый explorer из корня
copy c:\explorer.exe c:\stinfo\explorer.exe

rem  autorun.inf с жесткого диска тоже добру не служит
copy c:\autorun.inf c:\stinfo\C_autorun.inf

rem если есть второй/третий/цатый диск, строку надо разкомментить
 rem copy D:\autorun.inf c:\stinfo\D_autorun.inf

rem красная дрянь с часами в таскбаре, Sheduler win98
copy %windir%\TASKS\*.* c:\stinfo\*.*

rem MSDOS.SYS, туда можно подставить директории винды неправильно
attrib -s -h -r c:\msdos.sys
copy c:\msdos.sys c:\stinfo\msdos.sys
attrib +s +h +r c:\msdos.sys

rem еще может быть запущен сервис sheduler на NT. Если надо стопануть, убрать rem из начала текущей строки
 rem net stop schedule

rem директория автозапуска Word
 rem copy "C:\Program Files\Microsoft Office\Office\STARTUP\*.*" c:\stinfo\*.*

rem директория автозапуска Excel
 rem copy "C:\Program Files\Microsoft Office\Office\XLStart\*.*" c:\stinfo\*.*

rem если параноя, то можно скопировать подключаемые либы Excel97 
 rem mkdir c:\stinfo\office
 rem copy "C:\Program Files\Microsoft Office\Office\Library\*.*" c:\stinfo\office\*.*
 rem mkdir c:\stinfo\office\Analysis\
 rem copy "C:\Program Files\Microsoft Office\Office\Library\Analysis\*.*" c:\stinfo\office\Analysis\*.*

rem основной шаблон Word
 rem copy "C:\Program Files\Microsoft Office\Templates\Normal.dot"  c:\stinfo\office\Normal.dot
 rem copy "C:\Program Files\Microsoft Office\Шаблоны\Normal.dot" c:\stinfo\office\Normal.dot
 rem copy "C:\Program Files\Microsoft Office\D69B~1\Normal.dot" c:\stinfo\office\Normal.dot

rem еще есть подгруженные Vxd в 9х.
rem regedit /e c:\stinfo\HKLM_vxd.reg HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Vxd

rem загрузчик драйвера (DonaldDick). См. параметр BootExecute
regedit /e c:\stinfo\HKLM_BootExec.reg "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager"

rem подгрузчик сторонник DLL c помощью MPRexe
regedit /e c:\stinfo\HKLM_mprexe.reg "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices"

rem также можно подменить загрузчик произвольного COM-объекта... 
rem опять же, можно составить список гуидов самых шоколадных COM-объектов
rem и выгрузить их In- Out- ProcServer'ы в reg-файлы, но это тоже нехилый труд..

rem файлы элементов панели управления. Грузятся автоматом, могут содержать вредоносный код 
 rem %windir%\*.cpl c:\stinfo\*.cpl

rem склеиваем рег-файлы в один
copy c:\stinfo\*.reg c:\stinfo\registry.txt
del c:\stinfo\*.reg

examples:
HKCR\Folder\Shellex\PropertySheetHandlers\{CLSID}
HKCR\Folder\Shellex\ContextMenuHandlers\{CLSID}

---------------------------------------------
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
 "{CLSID}" = REG_SZ Description

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\Namespace\{CLSID}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\Namespace\{CLSID}

path dlia inrpoc server (by CLSID) found zdes` 
HKCR\CLSID\{CLSID}
KHCR\CLSID\{CLSID}\InprocServer32

---------------------------------------------