Здравствуйте, господа знатоки, выручите плиз).
Очень нужно реализовать след. вроде простую задачу (но мне пока не по силам ):
script.vbs создает при запуске некий файл, который будет затем стартовать с системой. Как запистаться в автозагрузку - это известно, но нужно всячески скрыть его обнаружение в таких местах, как например MSCONFIG, всяких там АВТОЗАГРУЗКАх и т.п. местах. Чтобы не было видно, среди загружаемых с виндой драйверов и программ данного файла. Или склеиться с каким - либо системным файлом и грузиться на пару с ним, не обноруживая себя при этом.
Кроме веток реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\ и HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ откуда еще можно запускать файлы вместе с системой, чтобы риск их обнаружения был минимальным и особо умный юзер не нашел их следов в этих ветках.
PS. Скажу сразу, речь идет не о вирусе или черве, просто получился небольшой спор с товарищем на эту тему. [Ответ]

RDman, самый простой вариант - просматриваются места автозагрузки, выбирается какой-нть файл оттуда (желательно, не подпадающий под виндовую защиту), делается подмена его екзешника своим (оригинал сохраняется под другим именем, желательно, похожим), при старте, твоей екзешник должен стартовать подмененную программу. Все, никаких видимых следов. [Ответ]

Сообщение от Part!zan:
делается подмена его екзешника своим

Помимо автозащиты надо еще не забыть про вариант что экзешник, запущенный из автозапуска, продолжает работать во время "инсталляции".

Проще повесить свой обработчик на расширение .exe и подождать старта любой программы из автозагрузки или на самый худой конец того же explorer.exe =) [Ответ]

dn2k4, вообще-то, переименовать екзешник запущенного приложения не составляет никакого труда...

Сообщение от dn2k4:
Проще повесить свой обработчик на расширение .exe

Фигасе, "проще"... К тому же, это могут просечь всяческие антиспайвары. [Ответ]

Сообщение от Part!zan:
просечь всяческие антиспайвары.

Про антиспайвары в исходном ТЗ ничего не было =) Запущеный переименованный файл потом ярко светится в списке процессов. А обработку расширения сменить - как 2 пальца из командной строки:
assoc /?
ftype /?

UPD: да, с екзешником запущенного приложения чей-то я погорячился - сейчас проверил. [Ответ]

нда, есче один горевирусописатель........ можно как службу попробовать повесить, название сделать что нить похожее на службу от майкрософт [Ответ]

Сообщение от dn2k4:
обработку расширения сменить - как 2 пальца

Может и так, вот только это куда опаснее переименования, имхо.

Сообщение от дядя Дима:
можно как службу попробовать повесить

Не так уж это и просто - службу написать... Да еще и на скриптовом языке... Давайте уж сразу к руткитам перейдем - скрытнее не бывает. [Ответ]

Может и опаснее... пусть топикстартер решает, вариантов ему дали... Я так понял, роль vbs там сведется просто к инсталлятору, а что автостартовать будет уже неважно [Ответ]

А при чем тут VBScript?

Возможно с помощью WSH можно реализовать расширение для IE и тогда запуск проги будет не при старте Windows, а при старте IE, что менее уловимо . [Ответ]

пасиб всем

Сообщение от Part!zan:
твоей екзешник

там *.vbs, а не *.exe
запускаться будет скрипт. Нужда в том, чтобы он был не заметен и все.

Запуск возможен только из реестра или можно подвизаться к кому-либо))?? [Ответ]

Сообщение от дядя Дима:
нда, есче один горевирусописатель........ можно как службу попробовать повесить, название сделать что нить похожее на службу от майкрософт

Ну да, ну да
если есть у кого сцылочка на тему "как спрятать прогу(файл)" в реестре при запуске, с подробностями - буду благодарен. [Ответ]

Сообщение от RDman:
чтобы он был не заметен и все

Что значит "незаметен"? Все места автозапуска известны, палятся с помощью autoruns и ему подобными прогами "на раз". Добавить незаметно в автозапуск невозможно. Тогда тебе больше пригодится совет dn2k4, с подменой ассоциации ехе. Только это нехороший метод, чуть что случится со скриптом - и винда становится практически неработоспособной. [Ответ]

пасиб........ [Ответ]

RDman, не во что =) [Ответ]