Esses últimos dias vim estudando bastante área de segurança, e descobri uma "nova" maneira (pelo menos pra mim) de colocar um programa inicializando com windows, fiz questão de me infectar com alguns malwares para justamente saber se era comum os malware utilizarem esse método que para mim é novo.
E sim é comum, então sempre que suspeitar de algo, não olhe apenas nos registros Run e RunOnce e sim na AppInit_DLLs também, talvez muitos já sabem, mas acredito que irá ajudar os que desconhecem, o caminho onde fica o registro logo abaixo:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
Para colocar um programa para inicializar, é só colocar o diretório do programa no campo dados.
Notei também que os drivers de vídeo da nvidia costuma usar esse método.
Obs: Descobri isso, mas ainda não estudei a fundo sobre esse registro, então se alguém tiver mais informação sobre e puder compartilhar agradeço também.
E sim é comum, então sempre que suspeitar de algo, não olhe apenas nos registros Run e RunOnce e sim na AppInit_DLLs também, talvez muitos já sabem, mas acredito que irá ajudar os que desconhecem, o caminho onde fica o registro logo abaixo:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
Para colocar um programa para inicializar, é só colocar o diretório do programa no campo dados.
Notei também que os drivers de vídeo da nvidia costuma usar esse método.
Obs: Descobri isso, mas ainda não estudei a fundo sobre esse registro, então se alguém tiver mais informação sobre e puder compartilhar agradeço também.