En windows, cualquiera de sus versiones, existen diferentes formas de que un ejecutable se inicie con el sistema. Casi todas las opciones siempre tiene que ver con los registros de windows, pero otros no tienen nada que ver, como por ejemplo el inicio como servicio de windows.

 

Este es un recopilatorio de las diferentes formas que hay para iniciar cualquier ejecutable con el sistema de Windows y de como encontrar los ejecutables que se incian sin que nos demos cuenta.

 

 

 

Como modificar los registros que vamos a nombrar

Si queremos probar lo que mostramos en el artículo tenemos 2 opciones:

 

icono-regedit

 

Regedit

 Es un editor gráfico de registros de windows, lo ejecutaremos estando en el escritorio de windows y pulsando la tecla windows+r iniciaremos el dialogo de ejecución de programas, le introduces regedit y saldrá el editor. tendrá que ser algo parecido a la ventana que aparec abajo que aparece abajo.

 

 

Ventana de regedit

 

 

 

 Para poder acceder a los diferentes apartados de las keys solo hay que ir abriendo las flechas y navegando como si fueran carpetas.

 

 

 

 

 

 

 

 

 

Consola

Aquí no hay mas misterio que la terminal de siempre para windows. Usaremos comandos para modificar los registros de windows.

Esta será la opción que nosotros usaremos. Sería algo parecido a poner esto en consola.

reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /f /v ejemplp /d c:\ejemplo.exe

 No será solo para los registros, también para las otras opciones.

 

Los métodos

 

Descripción

Tipo de método

Clave/Acceso

Comandos habilitarlo

Comando deshabilitarlo

Inicio

Comentario

Scheduled Programador de tareas  Programa schtasks schtasks /create /tn "ejemplo"  /tr "C:\ejemplo.exe" /sc onlogon /f schtasks /delete /tn  "V9"  /f  1º - Se ejecutan ANTES de iniciar el Desktop  
Run en Winlogon  Registro  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\" /f /v Shell /d "explorer.exe,c:\ejemplo.exe"  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\" /f /v Shell /d "explorer.exe"  2º - Se ejecutan ANTES de iniciar el Desktop  
RunOnce en HKLM Registro   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce  reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /f /v ejemplo /d c:\ejemplo.exe  reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v ejemplo /f  3º - Se ejecutan ANTES de iniciar el Desktop Hasta que no finalice el proceso, no se continuará la carga normal del sistema
Run en componente de ActiveX  Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\StubPath reg delete HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\

reg delete HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\

reg add HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}  /f /v StubPath /d c:\ejemplo.exe
reg delete HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\

reg delete HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\

reg delete HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}  /f /v StubPath
 4º - Se ejecutan ANTES de iniciar el Desktop Hasta que no finalice el proceso, no se continuará la carga normal del sistema.

Notese que se deben borran antes los registros indicados para que funcione correctamente.
Run en HKLM Registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /f /v ejemplo /d c:\ejemplo.exe reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v ejemplo /f 5º - Se ejecutan DESPUES de iniciar el Desktop  
Run en Policies Registro HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /f /v ejemplo /d c:\ejemplo.exe reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v ejemplo /f 6º - Se ejecutan DESPUES de iniciar el Desktop  
Run en HKCU   Registro  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ /f /v ejemplo /d c:\ejemplo.exe reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ /v ejemplo /f  7º - Se ejecutan DESPUES de iniciar el Desktop  
Win32: All Users Startup Folder Carpeta de inicio  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup  copy /y ejemplo.exe %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup\ejemplo.exe  del /f /q %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup\ejemplo.ex  8º - Se ejecutan DESPUES de iniciar el Desktop  
Win32: Startup Folder Carpeta de inicio C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup copy /y ejemplo.exe %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ejemplo.exe del /f /q  %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ejemplo.exe 9º - Se ejecutan DESPUES de iniciar el Desktop  
Run en HKLM (Solo 64) Registro HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run reg add HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /f /v ejemplo /d c:\ejemplo.exe reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /f /v ejemplo Inicio NO comprobado Solo funciona en versiones de 64 bits
RunOnce en HKLM (Solo 64)  Registro HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce reg add HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce /f /v ejemplo /d c:\ejemplo.exe reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce /f /v ejemplo Inicio NO comprobado Solo funciona en versiones de 64 bits
Servicio Servicio de windows sc.exe sc create <nombreservicio> start= auto binpath=C:\ejemplo.exe sc delete <nombreservicio> Inicio NO comprobado  
Command en HKCR Registro  HKEY_CLASSES_ROOT\exefile\shell\open\command reg add "HKCR\exefile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKCR\exefile\shell\open\command" /v ejemplo Se ejecutará cuando se inicie cualquier archivo exe  
Command en HKCR Registro HKEY_CLASSES_ROOT\comfile\shell\open\command reg add "HKCR\comfile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKCR\comfile\shell\open\command" /v ejemplo Se ejecutará cuando se inicie cualquier archivo com  
Command en HKCR Registro HKEY_CLASSES_ROOT\batfile\shell\open\command reg add "HKCR\batfile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKCR\batfile\shell\open\command" /v ejemplo Se ejecutará cuando se inicie cualquier archivo bat  
Command en HKCR Registro HKEY_CLASSES_ROOT\htafile\Shell\Open\Command reg add "HKCR\htafile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKCR\htafile\shell\open\command" /v ejemplo  Se ejecutará cuando se inicie cualquier archivo hta (HTML)  
Command en HKCR Registro HKEY_CLASSES_ROOT\piffile\shell\open\command reg add "HKCR\piffile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKCR\piffile\shell\open\command" /v ejemplo Se ejecutará cuando se inicie cualquier archivopif  
Command en HKLM Registro HKEY_LOCAL_MACHINE\Software\Classes\batfile\shell\open\command reg add "HKLM\Software\Classes\batfile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKLM\Software\Classes\batfile\shell\open\command" /v ejemplo Se ejecutará cuando se inicie cualquier archivo bat  
Command en HKLM Registro HKEY_LOCAL_MACHINE\Software\Classes\comfile\shell\open\command reg add "HKLM\Software\Classes\comfile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKLM\Software\Classes\comfile\shell\open\command" /v ejemplo Se ejecutará cuando se inicie cualquier archivo com  
Command en HKLM Registro HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command reg add "HKLM\Software\Classes\exefile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKLM\Software\Classes\exefile\shell\open\command" /v ejemplo Se ejecutará cuando se inicie cualquier archivo exe  
Command en HKLM Registro HKEY_LOCAL_MACHINE\Software\Classes\htafile\shell\open\command reg add "HKLM\Software\Classes\htafile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKLM\Software\Classes\htafile\shell\open\command" /v ejemplo Se ejecutará cuando se inicie cualquier archivo hta (HTML)  
Command en HKLM Registro HKEY_LOCAL_MACHINE\Software\Classes\piffile\shell\open\command reg add "HKLM\Software\Classes\piffile\shell\open\command" /v ejemplo /t REG_SZ /d  "c:\ejemplo.exe" "%1" "%*" /f reg delete "HKLM\Software\Classes\piffile\shell\open\command" /v ejemplo Se ejecutará cuando se inicie cualquier archivo pif  

 

Como encontrar otros registros de windows para iniciar un exe automáticamente

Existen muchos registros en windows que se inician con el sistema o con la ejecución de un programa. Una forma de encontrarlos es con el mismo programa de Regedit. Una vez lo inicias vas a el arbol de carpetas y pinxas en la raiz, que pondrá algo así como Equipo.

Una vez hayas seleccionado equipo vas a Menu > Edicion > Buscar ...  te saldrá una ventana como la siguiente.

Captura ventana buscar en regedit

Pones que quieres buscar "Run" y marcas que quieres buscar en Claves, Valores, Datos y además Solo cadenas completas.

Tardará un poco en salir resultados pero al final te saldrá el primer registro encontrado, le vas dando a Menu > Edición > Buscar siguiente o puedes darle a F3 y te irán saliendo los demás.

 

 

 

 

 

 Pueden salirte muchos registros, está es una lista que sale en una de las páginas de la webgrafia.

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx   
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx   
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Services
HKLM\System\CurrentControlSet\Services
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCR\batfile\shell\open\command
HKCR\comfile\shell\open\command
HKCR\exefile\shell\open\command
HKCR\htafile\shell\open\command
HKCR\piffile\shell\open\command
HKLM\Software\Classes\batfile\shell\open\command
HKLM\Software\Classes\comfile\shell\open\command
HKLM\Software\Classes\exefile\shell\open\command
HKLM\Software\Classes\htafile\shell\open\command
HKLM\Software\Classes\piffile\shell\open\command
HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\VmApplet
HKLM\Software\Microsoft\Windows NT\CurrentVersion\InitFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Aedebug
HKLM\Software\Classes\CLSID\{CLSID}\Implemented Categories\{00021493-0000-0000-C000-000000000046}
HKLM\Software\Classes\CLSID\{CLSID}\Implemented Categories\{00021494-0000-0000-C000-000000000046}
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bat\Application
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cmd\Application
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.com\Application
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\Application
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.hta\Application
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pif\Application
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.scr\Application
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bat\ProgID
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cmd\ProgID
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.com\ProgID
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\ProgID
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.hta\ProgID
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pif\ProgID
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.scr\ProgID

 

Webgrafia

Recopilación de formas y lista númerada del arranque en el sistema.

http://foro.elhacker.net/analisis_y_diseno_de_malware/aporte_9_metodos_de_autoinicio_en_un_solo_script-t413898.0.html

 

Recopilación de formas y formas de sacar claves del registro con run con busquedas.

 http://www.karmany.net/sistema-operativo/31-windows/225-programas-al-inicio-de-windows-que-programas-se-inician-con-windows

 

 

 

 

Gente en la conversación

  • Invitado - MadAntrax

    Fabuloso artículo! ;)

Deja tus comentarios

Enviar un comentario como invitado

0 / 300 Restricción de Carateres
El texto debe estar entre 2-300 caracteres
Sus comentarios están sujetos a moderación por un administrador.