Edit aplikasi startup Windows dari Linux

Saya sedang berurusan dengan Windows 7 yang telah mendapat virus yang segera dimulai saat startup, mengunci layar. Ini juga berjalan di safemode (bahkan dengan command prompt saja). Satu-satunya pilihan adalah mematikan komputer dengan menekan dan menahan tombol daya.

Komputer juga memiliki instalasi Ubuntu, sehingga akses Linux mudah. Saya telah mencari cara untuk mengedit aplikasi startup windows dari Ubuntu, tetapi tidak berhasil.

Apakah hal seperti itu mungkin? Yaitu, bagaimana saya bisa mengedit registry windows dari Linux? Jika tidak memungkinkan, opsi apa lagi yang saya miliki?

windows-7 linux virus Shahbaz
sumber

Jawaban:

Kamu bisa:

pasang partisi windows di Ubuntu
pasang chntpw:

sudo apt-get chntpw

Program ini akan memungkinkan Anda untuk mengedit kunci registri di Windows. Anda kemudian dapat mengedit kunci registri berikut untuk mengedit program yang mulai di windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

PENOLAKAN: Mengedit registri pada mesin windows berisiko. Anda dapat dengan mudah membuat sistem tidak dapat dioperasikan jika Anda mengedit kunci yang salah.

Atari911
sumber

Kedua jawaban tidak menunjukkan bahwa Anda tidak boleh menghapus kunci-kunci itu dengan benar, hanya enteries tertentu, enteries jahat di dalamnya.

Ramhound

Saya hanya menunjuk ke tempat-tempat di mana informasi itu disimpan. Saya tidak pernah menyebutkan untuk menghapus kunci, hanya untuk 'mengeditnya'.

Atari911

Boot dari CD windows 7.

masukkan deskripsi gambar di sini

Tekan Shift + F10. Dalam cmd jalankan regedit.

masukkan deskripsi gambar di sini

Pasang sarang registri dari HDD Anda.

masukkan deskripsi gambar di sini

Hapus item startup.

Lihat juga \SOFTWARE\Wow6432Node\kunci analogi.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

cmd autorun:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

berkas sistem.

Powershell autorun:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Lingkungan MS-DOS Windows 64-bit Init:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Lingkungan MS-DOS Windows 32-bit:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

nanti akan mungkin untuk menulis skrip untuk secara otomatis menghapus trojan dari registri dan sistem file ... + 7 hari

// TODO: skrip ...

Langkah-langkah untuk mencegah aktivitas virus

nonaktifkan perintah drive autorun:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

STTR
sumber

Bagus, bisakah Anda menjelaskan cara "Pasang sarang registri dari HDD Anda."?

terdon

Keren! Tidak tahu Anda dapat memulai shell dari pengaturan. Bagaimana Anda mengambil tangkapan layar pengaturannya ?!

Shahbaz

@Shahbaz Virtualbox, Vmware player, Vmware workstation ... dan lainnya)

STTR

@sttr, haha, ya saya sampai pada kesimpulan itu setelah saya menulis komentar. Terima kasih atas usahanya, tetapi saya merenungkan apakah saya harus menerima jawaban kedua, karena sementara solusi Anda memecahkan masalah saya, jawaban lain mungkin lebih cocok untuk pengunjung masa depan karena cocok dengan judul pertanyaan.

Shahbaz

@ Shahbaz Lempar koin)

STTR

PENOLAKAN: Saya belum pernah mencoba ini karena saya tidak menggunakan Windows, tetapi mungkin berhasil.

Program startup Windows ditemukan di folder C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(untuk program startup khusus pengguna) atau C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupuntuk program startup global. Program apa pun yang memiliki pintasan di salah satu folder itu akan dimulai secara otomatis.

Saya tidak tahu apakah ini satu-satunya cara untuk mendefinisikan program start up (dan lebih tepatnya curiga tidak), tetapi jika Anda menemukan nama program yang aneh di sana, mungkin itu adalah virus Anda. hapus saja dan coba lagi. Anda juga dapat menghapus semua program startup untuk berjaga-jaga.

Sekarang, jika virus Anda berjalan sebagai layanan, ini tidak akan berfungsi karena mereka diatur secara berbeda. Mengingat bahwa virus juga mulai ketika boot ke safe mode, ini sepertinya sangat mungkin. Masih mungkin patut dicoba.

terdon
sumber

Ya, tapi itu hampir selalu kosong dan sangat sedikit program yang menginstal pintasan di sana. Ada banyak aplikasi yang memulai startup (yang dapat dilihat misalnya melalui msconfig) dan saya ragu mereka menampilkan diri sebagai file selain .exefile asli mereka .

Shahbaz

@ Shahbaz ya, saya tidak berpikir itu akan mudah ...

terdon

mudah ketika Anda bisa masuk di tempat pertama;)

Shahbaz

@ Shahbaz Anda dapat mengakses folder melalui Linux, jika virus ada di sana, itu akan mudah dinonaktifkan.

terdon