Редактирование приложений запуска Windows из Linux

Я имею дело с Windows 7, в которой есть вирус, который запускается сразу при запуске, блокируя экран. Он также работает в безопасном режиме (даже с командной строкой). Единственный вариант - выключить компьютер, нажав и удерживая кнопку питания.

На компьютере также установлена Ubuntu, поэтому доступ к Linux прост. Я искал способ редактирования приложений запуска Windows из Ubuntu, но безуспешно.

Это возможно? Т.е. как я могу редактировать реестр Windows из Linux? Если это невозможно, какой другой вариант у меня есть?

windows-7 linux virus

— Shahbaz
источник

Ответы:

Вы можете:

смонтировать раздел windows в Ubuntu
установить chntpw:

sudo apt-get chntpw

Эта программа позволит вам редактировать раздел реестра в Windows. Затем вы можете отредактировать следующие разделы реестра, чтобы редактировать, какие программы запускаются в Windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Редактирование реестра на компьютере с Windows рискованно. Вы можете легко сделать систему неработоспособной, если вы отредактируете неправильные ключи.

— Atari911
источник

Оба ответа не означают, что вы не должны быть правы, удаляя эти ключи, только конкретные кишечные, вредоносные кишечные растворы в них.

— Ramhound

Я просто указывал на места, где хранится информация. Я никогда не упоминал, чтобы удалить ключи, только чтобы «отредактировать» их.

— Atari911

Загрузка с компакт-диска Windows 7.

введите описание изображения здесь

Нажмите Shift + F10. В CMD запустить regedit.

введите описание изображения здесь

Смонтируйте кусты реестра с вашего жесткого диска.

введите описание изображения здесь

Удалить элементы автозагрузки.

Смотрите слишком \SOFTWARE\Wow6432Node\аналогичный ключ.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

CMD автозапуск:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

файловая система.

Автозапуск Powershell:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Начальная среда MS-DOS 64-битной Windows:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Начальная среда MS-DOS 32-битной Windows:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

позже можно будет написать скрипт для автоматического удаления троянов из реестра и файловой системы ... + 7 дней

// TODO: скрипт ...

Меры по предотвращению вирусной активности

отключить команду автозапуска:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

— STTR
источник

Хорошо, не могли бы вы объяснить, как "Монтировать кусты реестра с вашего жесткого диска."

— тердон

Круто! Не знал, что вы можете запустить оболочку из установки. Как вы делали скриншоты установки, хотя ?!

— Шахбаз

@Shahbaz Virtualbox, Vmware player, рабочая станция Vmware ... и другие)

— STTR

@sttr, ха-ха, да, я пришел к такому выводу после того, как написал комментарий. Спасибо за усилия, но я обдумываю, должен ли я принять второй ответ, поскольку, хотя ваше решение решает мою проблему, другой ответ, вероятно, больше подходит для будущих посетителей, поскольку он соответствует названию вопроса.

— Шахбаз

@ Shahbaz Бросай монетку)

— STTR

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Я не пробовал это, так как я не использую Windows, но это может сработать.

Программы запуска Windows находятся в папке C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(для пользовательских программ запуска) или C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupдля глобальных программ запуска. Любая программа с ярлыком в одной из этих папок будет запущена автоматически.

Я не знаю, является ли это единственным способом определения запускаемых программ (и скорее подозреваю, что это не так), но если вы найдете там странное название программы, это может быть ваш вирус. просто удалите его и попробуйте снова. Вы также можете удалить все запускаемые программы на всякий случай.

Теперь, если ваш вирус работает как служба, это не будет работать, поскольку они управляются по-другому. Учитывая, что вирус также запускается при загрузке в безопасном режиме, это кажется вполне вероятным. Тем не менее, это, вероятно, стоит попробовать.

— terdon
источник

Да, но это почти всегда пусто, и очень немногие программы устанавливают там ярлыки. Есть много приложений, которые запускаются при запуске (что можно увидеть, например, через msconfig), и я сомневаюсь, что они представляют себя как файлы, отличные от их исходного .exeфайла.

— Шахбаз

@ Shahbaz да, я не думал, что это будет так просто ...

— тердон

Легко, когда вы можете войти в первую очередь;)

— Шахбаз

@ Shahbaz вы можете получить доступ к папкам через Linux, если бы вирус был там, его было бы легко отключить.

— тердон