Редагуйте програми запуску Windows з Linux

Я маю справу з Windows 7, у якого потрапив вірус, який запускається відразу при запуску, блокуючи екран. Він також працює в safemode (навіть тільки в командному рядку). Єдиний варіант - вимкнути комп'ютер, натиснувши та утримуючи кнопку живлення.

На комп'ютері також встановлена програма Ubuntu, тому доступ до Linux простий. Я шукав спосіб редагувати програми запуску Windows від Ubuntu, але без успіху.

Чи таке можливо? Тобто, як я можу редагувати реєстр Windows з Linux? Якщо це неможливо, який інший варіант у мене є?

windows-7 linux virus

— Шахбаз
джерело

Відповіді:

Ти можеш:

змонтуйте розділ Windows в Ubuntu
встановити chntpw:

sudo apt-get chntpw

Ця програма дозволить вам редагувати ключ реєстру в Windows. Потім ви можете редагувати наступні ключі реєстру, щоб редагувати, які програми запускаються у Windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

ВИСНОВОК: Редагувати реєстр на машині Windows є ризикованою. Ви можете легко зробити систему непрацездатною, якщо ви редагуєте неправильні клавіші.

— Atari911
джерело

Обидві відповіді не вказують на те, що ви не маєте права видаляти ці ключі, а лише конкретні ентеріали та зловмисні програми.

— Ramhound

Я просто вказував на місця, де зберігається інформація. Я ніколи не згадував про видалення ключів, а лише для їх редагування.

— Atari911

Завантаження з вікон компакт-диска 7.

введіть тут опис зображення

Натисніть Shift + F10. У cmd запустіть regedit.

введіть тут опис зображення

Монтуйте вулики реєстру з вашого жорсткого диска.

введіть тут опис зображення

Видаліть елементи запуску.

Дивіться занадто \SOFTWARE\Wow6432Node\аналогічний ключ.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

Автозапуск cmd:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

файлова система.

Powershell автозапуск:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

64-розрядна ОС Windows: середовище MS-DOS:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

32-розрядна Windows-середовище Init MS-DOS:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

пізніше можна буде написати сценарій для автоматичного видалення троянів з реєстру та файлової системи ... + 7 днів

// TODO: сценарій ...

Заходи щодо запобігання активності вірусів

відключити команду приводу автозапуску:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

— STTR
джерело

Приємно, ви могли б пояснити, як "змонтувати вулики реєстру з вашого жорсткого диска."

— тердон

Класно! Не знав, що можна запустити оболонку з налаштування. Як ти зробив скріншоти налаштування?

— Шахбаз

@Shahbaz Virtualbox, програвач Vmware, робоча станція Vmware ... та інші)

— STTR

@sttr, ха-ха, так, я прийшов до цього висновку після написання коментаря. Дякую за докладені зусилля, але я замислююся над тим, чи варто мені приймати другу відповідь, оскільки, хоча ваше рішення вирішує мою проблему, інша відповідь, ймовірно, більше підходить для майбутніх відвідувачів, оскільки відповідає заголовку питання.

— Шахбаз

@Shahbaz Киньте монету)

— STTR

ВІДМОВА: Я не пробував цього, оскільки не використовую Windows, але це може працювати.

Програми запуску Windows знаходяться в папці C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(для певних користувачів, програм запуску) або C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupдля глобальних програм запуску. Будь-яка програма, яка має ярлик в одній із цих папок, запуститься автоматично.

Я не знаю, чи це єдиний спосіб визначити програми запуску (і, скоріше, підозрюю, що це не так), але якщо ви знайдете там дивне ім’я програми, то це може бути вашим вірусом. просто видаліть його та спробуйте ще раз. Ви також можете видалити всі програми запуску на всякий випадок.

Тепер, якщо ваш вірус працює як послуга, це не працюватиме, оскільки вони керуються інакше. Зважаючи на те, що вірус також запускається при завантаженні в безпечний режим, це здається цілком ймовірним. Але все ж, мабуть, варто спробувати.

— тердон
джерело

Так, але це майже завжди порожньо, і там дуже мало програм встановлюють ярлики. Є багато додатків, які потрапляють під час запуску (що можна побачити, наприклад, через msconfig), і я сумніваюся, що вони представляють себе як інші файли, ніж їх оригінальний .exeфайл.

— Шахбаз

@Shahbaz так, я не думав, що це буде так просто ...

— terdon

легко, коли ви можете ввійти в першу чергу;)

— Шахбаз

@Shahbaz ви можете отримати доступ до папок через Linux, якби вірус був там, його було б легко відключити.

— тердон