8

Я имею дело с Windows 7, в которой есть вирус, который запускается сразу при запуске, блокируя экран. Он также работает в безопасном режиме (даже только с командной строкой). Единственный вариант - выключить компьютер, нажав и удерживая кнопку питания.

На компьютере также установлена Ubuntu, поэтому доступ к Linux прост. Я искал способ редактирования приложений запуска Windows из Ubuntu, но безуспешно.

Это возможно? То есть, как я могу редактировать реестр Windows из Linux? Если это невозможно, какой другой вариант у меня есть?

3 ответа3

12

Загрузка с компакт-диска Windows 7.

Нажмите Shift + F10. В CMD запустить regedit.

Смонтируйте реестр кустов с вашего жесткого диска.

Удалить элементы автозагрузки.

Смотрите также \SOFTWARE\Wow6432Node\ аналог.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

CMD автозапуск:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

файловая система.

Автозапуск Powershell:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Начальная среда MS-DOS 64-битной Windows:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Начальная среда MS-DOS 32-битной Windows:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

позже можно будет написать скрипт для автоматического удаления троянов из реестра и файловой системы ... + 7 дней

//TODO: скрипт ...

Меры по предотвращению вирусной активности

отключить команду автозапуска:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
7

Вы можете:

  • смонтировать раздел windows в Ubuntu
  • установить chntpw:

    sudo apt-get chntpw

Эта программа позволит вам редактировать раздел реестра в Windows. Затем вы можете отредактировать следующие ключи реестра, чтобы редактировать, какие программы запускаются в Windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\ Программное обеспечение \Microsoft\Windows\CurrentVersion\RunServices] [Программное обеспечение HKEY_CURRENT \USER \WindowsER RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT \CurrentVersion\Windows]

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Редактирование реестра на компьютере с Windows рискованно. Вы можете легко сделать систему неработоспособной, если отредактируете неправильные ключи.

0

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Я не пробовал это, так как я не использую Windows, но это может работать.

Программы запуска Windows находятся в папке C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (для пользовательских программ запуска) или C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup глобальных программ запуска. Любая программа, которая имеет ярлык в одной из этих папок, будет запущена автоматически.

Я не знаю, является ли это единственным способом определения запускаемых программ (и скорее подозреваю, что это не так), но если вы найдете там странное название программы, это может быть ваш вирус. просто удалите его и попробуйте снова. Вы также можете удалить все запускаемые программы на всякий случай.

Теперь, если ваш вирус работает как служба, это не будет работать, поскольку они управляются по-разному. Учитывая, что вирус также запускается при загрузке в безопасном режиме, это кажется вполне вероятным. Тем не менее, это, вероятно, стоит попробовать.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .