Chỉnh sửa các ứng dụng khởi động Windows từ Linux

Tôi đang xử lý một Windows 7 bị virus bắt đầu ngay lập tức khi khởi động, khóa màn hình. Nó cũng chạy trong safemode (thậm chí chỉ với dấu nhắc lệnh). Tùy chọn duy nhất là tắt máy tính bằng cách nhấn và giữ nút nguồn.

Máy tính cũng có cài đặt Ubuntu, vì vậy việc truy cập Linux rất dễ dàng. Tôi đã tìm kiếm một cách để chỉnh sửa các ứng dụng khởi động windows từ Ubuntu, nhưng không thành công.

Là một điều như vậy có thể? Tức là, làm thế nào tôi có thể chỉnh sửa sổ đăng ký từ Linux? Nếu không thể, tôi còn lựa chọn nào khác?

windows-7 linux virus

— Shahbaz
nguồn

Câu trả lời:

Bạn có thể:

gắn kết phân vùng windows trong Ubuntu
cài đặt chntpw:

sudo apt-get chntpw

Chương trình này sẽ cho phép bạn chỉnh sửa khoá đăng ký trong Windows. Sau đó, bạn có thể chỉnh sửa các khóa đăng ký sau để chỉnh sửa chương trình nào khởi động trong windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

TUYÊN BỐ TỪ CHỐI: Chỉnh sửa sổ đăng ký trên máy tính windows là rủi ro. Bạn có thể dễ dàng làm cho hệ thống không thể hoạt động nếu bạn chỉnh sửa các phím sai.

— Atari911
nguồn

Cả hai câu trả lời đều không cho thấy bạn không nên xóa ngay những phím đó, chỉ là những loại cụ thể, những loại thuốc độc hại trong đó.

— Ramhound

Tôi chỉ chỉ vào những nơi lưu trữ thông tin. Tôi không bao giờ đề cập đến việc xóa các phím, chỉ để 'chỉnh sửa' chúng.

— Atari911

Khởi động từ cửa sổ CD 7.

nhập mô tả hình ảnh ở đây

Nhấn Shift + F10. Trong cmd chạy regedit.

nhập mô tả hình ảnh ở đây

Gắn tổ ong đăng ký từ ổ cứng của bạn.

nhập mô tả hình ảnh ở đây

Loại bỏ các mục khởi động.

Xem \SOFTWARE\Wow6432Node\khóa tương tự.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

tự động cmd:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

hệ thống tập tin.

Powershell autorun:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Khởi tạo môi trường MS-DOS Windows 64 bit:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Khởi tạo môi trường MS-DOS Windows 32 bit:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

sau đó có thể viết một tập lệnh để tự động xóa trojan khỏi hệ thống đăng ký và tệp ... + 7 ngày

// TODO: tập lệnh ...

Các biện pháp ngăn chặn hoạt động của virus

vô hiệu hóa lệnh ổ đĩa tự động:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

— STTR
nguồn

Thật tuyệt, bạn có thể giải thích làm thế nào để "Gắn tổ ong đăng ký từ ổ cứng của bạn."?

— terdon

Mát mẻ! Không biết bạn có thể bắt đầu một trình bao từ thiết lập. Làm thế nào bạn chụp ảnh màn hình của các thiết lập, mặc dù?!

— Shahbaz

@Shahbaz Virtualbox, trình phát Vmware, máy trạm Vmware ... và khác)

— STTR

@sttr, haha, vâng tôi đã đi đến kết luận đó sau khi tôi viết bình luận. Cảm ơn vì nỗ lực, nhưng tôi đang suy nghĩ xem tôi có nên chấp nhận câu trả lời thứ hai hay không, vì trong khi giải pháp của bạn giải quyết vấn đề của tôi, câu trả lời khác có lẽ phù hợp hơn với khách truy cập trong tương lai vì nó phù hợp với tiêu đề câu hỏi.

— Shahbaz

@Shahbaz Ném một đồng xu)

— STTR

TUYÊN BỐ TỪ CHỐI: Tôi đã không thử điều này vì tôi không sử dụng Windows, nhưng nó có thể hoạt động.

Các chương trình khởi động Windows được tìm thấy trong thư mục C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(dành cho các chương trình khởi động dành riêng cho người dùng) hoặc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupcho các chương trình khởi động toàn cầu. Bất kỳ chương trình nào có lối tắt trong một trong những thư mục đó sẽ được khởi động tự động.

Tôi không biết liệu đây có phải là cách duy nhất để xác định chương trình khởi động (và nghi ngờ là không) nhưng nếu bạn tìm thấy một tên chương trình kỳ lạ trong đó, thì đó cũng có thể là virus của bạn. chỉ cần xóa nó và thử lại. Bạn cũng có thể loại bỏ tất cả các chương trình khởi động chỉ trong trường hợp.

Bây giờ, nếu vi-rút của bạn đang chạy như một dịch vụ, điều này sẽ không hoạt động vì chúng bị chi phối khác nhau. Cho rằng virus cũng bắt đầu khi khởi động vào chế độ an toàn, điều này có vẻ khá có khả năng. Tuy nhiên, nó có lẽ là giá trị một thử.

— terdon
nguồn

Vâng, nhưng điều đó hầu như luôn trống rỗng và rất ít chương trình cài đặt các phím tắt ở đó. Có rất nhiều ứng dụng tự khởi động (có thể thấy ví dụ thông qua msconfig) và tôi nghi ngờ chúng tự trình bày dưới dạng các tệp khác với .exetệp gốc của chúng .

— Shahbaz

@Shahbaz vâng, tôi không nghĩ nó sẽ dễ đến thế ...

— terdon

dễ dàng khi bạn có thể vào ở vị trí đầu tiên;)

— Shahbaz

@Shahbaz bạn có thể truy cập các thư mục thông qua Linux, nếu virus đã ở đó, nó sẽ dễ dàng bị vô hiệu hóa.

— terdon