Edytuj aplikacje startowe Windows z Linuksa

Mam do czynienia z systemem Windows 7, który ma wirusa, który uruchamia się natychmiast po uruchomieniu, blokując ekran. Działa również w trybie awaryjnym (nawet tylko z wierszem poleceń). Jedyną opcją jest wyłączenie komputera poprzez naciśnięcie i przytrzymanie przycisku zasilania.

Komputer ma również instalację Ubuntu, więc dostęp do Linuksa jest łatwy. Szukałem sposobu edycji aplikacji do uruchamiania systemu Windows z Ubuntu, ale bez powodzenia.

Czy coś takiego jest możliwe? Tj. Jak mogę edytować rejestr systemu Windows w systemie Linux? Jeśli nie jest to możliwe, jaką inną opcję mam?

windows-7 linux virus Shahbaz
źródło

Odpowiedzi:

Możesz:

zamontuj partycję Windows w Ubuntu
zainstaluj chntpw:

sudo apt-get chntpw

Ten program pozwala edytować klucz rejestru w systemie Windows. Następnie możesz edytować następujące klucze rejestru, aby edytować programy uruchamiane w systemie Windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

ZASTRZEŻENIE: Edycja rejestru na komputerze z systemem Windows jest ryzykowna. Możesz łatwo uniemożliwić działanie systemu, jeśli edytujesz niewłaściwe klucze.

Atari911
źródło

Obie odpowiedzi nie wskazują, że nie powinieneś usuwać tych kluczy, tylko określone podmioty, złośliwe podmioty w nich zawarte.

Ramhound,

Właśnie wskazałem miejsca, w których przechowywane są informacje. Nigdy nie wspominałem o usunięciu kluczy, a jedynie o ich „edycji”.

Atari911

Uruchom z Windows CD 7.

wprowadź opis zdjęcia tutaj

Naciśnij Shift + F10. W cmd uruchom regedit.

wprowadź opis zdjęcia tutaj

Zamontuj ule rejestru z dysku twardego.

wprowadź opis zdjęcia tutaj

Usuń elementy startowe.

Zobacz też \SOFTWARE\Wow6432Node\klucz analogii.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

cmd autorun:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

system plików.

Autorun PowerShell:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Początkowe środowisko MS-DOS 64-bitowy system Windows:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Początkowe środowisko MS-DOS 32-bitowy system Windows:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

później będzie można napisać skrypt, który automatycznie usunie trojany z rejestru i systemu plików ... + 7 dni

// TODO: skrypt ...

Środki zapobiegające aktywności wirusów

wyłącz polecenie autorun drive:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

STTR
źródło

Fajnie, czy możesz wyjaśnić, jak „zamontować ule rejestru z dysku twardego”?

terdon

Fajne! Nie wiedziałem, że możesz uruchomić powłokę z poziomu konfiguracji. Jak zrobiliście zrzuty ekranu z instalacji ?!

Shahbaz

@Shahbaz Virtualbox, odtwarzacz Vmware, stacja robocza Vmware ... i inne)

STTR

@sttr, haha, tak doszedłem do tego wniosku po napisaniu komentarza. Dzięki za wysiłek, ale zastanawiam się, czy powinienem zaakceptować drugą odpowiedź, ponieważ podczas gdy twoje rozwiązanie rozwiązuje mój problem, druga odpowiedź jest prawdopodobnie bardziej odpowiednia dla przyszłych gości, ponieważ pasuje do tytułu pytania.

Shahbaz

@Shahbaz Rzuć monetą)

STTR

ZASTRZEŻENIE: Nie próbowałem tego, ponieważ nie używam systemu Windows, ale może działać.

Programy startowe systemu Windows znajdują się w folderze C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(dla programów startowych specyficznych dla użytkownika) lub C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupdla globalnych programów startowych. Każdy program, który ma skrót w jednym z tych folderów, zostanie uruchomiony automatycznie.

Nie wiem, czy jest to jedyny sposób na zdefiniowanie programów startowych (a raczej podejrzewam, że tak nie jest), ale jeśli znajdziesz tam dziwną nazwę programu, może to być twój wirus. po prostu usuń go i spróbuj ponownie. Na wszelki wypadek możesz również usunąć wszystkie programy startowe.

Teraz, jeśli twój wirus działa jako usługa, to nie będzie działać, ponieważ są zarządzane inaczej. Biorąc pod uwagę, że wirus zaczyna się także podczas uruchamiania w trybie awaryjnym, wydaje się to całkiem prawdopodobne. Mimo to warto spróbować.

terdon
źródło

Tak, ale to prawie zawsze jest puste i niewiele programów instaluje tam skróty. Istnieje wiele aplikacji, które uruchamiają się (co można zobaczyć na przykład przez msconfig) i wątpię, aby prezentowały się jako pliki inne niż oryginalny .exeplik.

Shahbaz

@Shahbaz tak, nie sądziłem, że to będzie takie łatwe ...

terdon

łatwe, kiedy możesz dostać się w pierwszej kolejności;)

Shahbaz,

@Shahbaz możesz uzyskać dostęp do folderów za pośrednictwem Linuksa, gdyby wirus tam był, łatwo byłoby go wyłączyć.

terdon