Bearbeiten Sie Windows-Startanwendungen unter Linux

9

Ich habe es mit einem Windows 7 zu tun, das einen Virus hat, der sofort beim Start startet und den Bildschirm sperrt. Es wird auch im Sicherheitsmodus ausgeführt (auch nur mit Eingabeaufforderung). Die einzige Möglichkeit besteht darin, den Computer auszuschalten, indem Sie den Netzschalter gedrückt halten.

Der Computer verfügt auch über eine Ubuntu-Installation, sodass der Linux-Zugriff einfach ist. Ich habe nach einer Möglichkeit gesucht, Windows-Startanwendungen von Ubuntu aus zu bearbeiten, aber ohne Erfolg.

Ist so etwas möglich? Dh wie kann ich die Windows-Registrierung unter Linux bearbeiten? Wenn nicht möglich, welche andere Option habe ich?

windows-7 linux virus Shahbaz
quelle

Antworten:

8

Du kannst:

  • Hängen Sie die Windows-Partition in Ubuntu ein

  • installiere chntpw:

    sudo apt-get chntpw

Mit diesem Programm können Sie den Registrierungsschlüssel in Windows bearbeiten. Sie können dann die folgenden Registrierungsschlüssel bearbeiten, um zu bearbeiten, welche Programme in Windows gestartet werden.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

HAFTUNGSAUSSCHLUSS: Das Bearbeiten der Registrierung auf einem Windows-Computer ist riskant. Sie können das System leicht funktionsunfähig machen, wenn Sie die falschen Schlüssel bearbeiten.

Atari911
quelle
1
Beide Antworten bedeuten nicht, dass Sie nicht richtig liegen sollten, wenn Sie diese Schlüssel löschen, sondern nur bestimmte Eingaben, bösartige Eingaben in ihnen.
Ramhound
Ich habe nur auf die Orte gezeigt, an denen die Informationen gespeichert sind. Ich habe nie erwähnt, die Schlüssel zu löschen, nur um sie zu "bearbeiten".
Atari911
12

Booten Sie von der CD Windows 7.

Geben Sie hier die Bildbeschreibung ein

Drücken Sie Umschalt + F10. Führen Sie in cmd regedit aus.

Geben Sie hier die Bildbeschreibung ein

Hängen Sie die Registrierungsstrukturen von Ihrer Festplatte ein.

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

Startelemente entfernen.

Siehe auch \SOFTWARE\Wow6432Node\Analogie-Taste.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

cmd autorun:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

Dateisystem.

Powershell Autorun:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Init MS-DOS-Umgebung 64-Bit-Windows:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Init MS-DOS-Umgebung 32-Bit-Windows:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

später wird es möglich sein, ein Skript zu schreiben, um Trojaner automatisch aus der Registrierung und dem Dateisystem zu entfernen ... + 7 Tage

// TODO: Skript ...

Maßnahmen zur Verhinderung der Virusaktivität

Autorun-Laufwerksbefehl deaktivieren:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
STTR
quelle
Könnten Sie erklären, wie Sie "die Registrierungsstrukturen von Ihrer Festplatte mounten"?
Terdon
Cool! Ich wusste nicht, dass Sie eine Shell vom Setup aus starten können. Wie haben Sie Screenshots des Setups gemacht?!
Shahbaz
@ Shahbaz Virtualbox, VMware-Player, VMware-Workstation ... und andere)
STTR
@sttr, haha, ja, ich bin zu diesem Schluss gekommen, nachdem ich den Kommentar geschrieben habe. Vielen Dank für die Mühe, aber ich überlege, ob ich die zweite Antwort akzeptieren soll, da Ihre Lösung mein Problem löst, die andere Antwort jedoch wahrscheinlich besser für zukünftige Besucher geeignet ist, da sie mit dem Fragentitel übereinstimmt.
Shahbaz
@ Shahbaz Werfen Sie eine Münze)
STTR
0

HAFTUNGSAUSSCHLUSS: Ich habe dies nicht versucht, da ich kein Windows verwende, aber es könnte funktionieren.

Windows-Startprogramme befinden sich im Ordner C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(für benutzerspezifische Startprogramme) oder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupfür globale Startprogramme. Jedes Programm, das eine Verknüpfung in einem dieser Ordner enthält, wird automatisch gestartet.

Ich weiß nicht, ob dies der einzige Weg ist, Startprogramme zu definieren (und eher zu vermuten, dass dies nicht der Fall ist), aber wenn Sie dort einen seltsamen Programmnamen finden, kann es sich durchaus um Ihren Virus handeln. Löschen Sie es einfach und versuchen Sie es erneut. Sie können auch alle Startprogramme für alle Fälle entfernen .

Wenn Ihr Virus als Dienst ausgeführt wird, funktioniert dies nicht, da sie unterschiedlich geregelt werden. Angesichts der Tatsache, dass der Virus auch beim Booten im abgesicherten Modus startet, scheint dies sehr wahrscheinlich. Trotzdem ist es wahrscheinlich einen Versuch wert.

Terdon
quelle
1
Ja, aber das ist fast immer leer und nur sehr wenige Programme installieren dort Verknüpfungen. Es gibt viele Anwendungen, die sich selbst starten (was zum Beispiel durch zu sehen ist msconfig), und ich bezweifle, dass sie sich als andere Dateien als ihre Originaldatei präsentieren .exe.
Shahbaz
@ Shahbaz ja, ich dachte nicht, dass es so einfach sein würde ...
Terdon
einfach, wenn du überhaupt einsteigen kannst;)
Shahbaz
@ Shahbaz Sie können über Linux auf die Ordner zugreifen. Wenn der Virus dort gewesen wäre, wäre es einfach gewesen, ihn zu deaktivieren.
Terdon