Modifica le applicazioni di avvio di Windows da Linux

Ho a che fare con un Windows 7 che ha un virus che si avvia immediatamente all'avvio, bloccando lo schermo. Funziona anche in safemode (anche solo con prompt dei comandi). L'unica opzione è quella di spegnere il computer tenendo premuto il pulsante di accensione.

Il computer ha anche un'installazione Ubuntu, quindi l'accesso a Linux è facile. Ho cercato un modo per modificare le applicazioni di avvio di Windows da Ubuntu, ma senza successo.

E 'possibile una cosa del genere? Cioè, come posso modificare il registro di Windows da Linux? Se non è possibile, quale altra opzione ho?

windows-7 linux virus

— Shahbaz
fonte

Risposte:

Puoi:

montare la partizione di Windows in Ubuntu
installa chntpw:

sudo apt-get chntpw

Questo programma ti permetterà di modificare la chiave di registro in Windows. È quindi possibile modificare le seguenti chiavi di registro per modificare i programmi che si avviano in Windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

NOTA BENE: la modifica del registro su un computer Windows è rischiosa. Puoi facilmente rendere il sistema inutilizzabile se modifichi le chiavi sbagliate.

— Atari911
fonte

Entrambe le risposte non indicano che non dovresti essere esatto a cancellare quelle chiavi, solo le voci specifiche, le voci maliche al loro interno.

— Ramhound,

Stavo solo indicando i luoghi in cui sono memorizzate le informazioni. Non ho mai menzionato di eliminare le chiavi, ma solo di "modificarle".

— Atari911,

Avvio dal CD di Windows 7.

inserisci qui la descrizione dell'immagine

Premi Maiusc + F10. In cmd esegui regedit.

inserisci qui la descrizione dell'immagine

Montare gli hive di registro dal proprio HDD.

inserisci qui la descrizione dell'immagine

Rimuovi gli elementi di avvio.

Vedi anche la \SOFTWARE\Wow6432Node\chiave di analogia.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

cmd autorun:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

filesystem.

Esecuzione automatica Powershell:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Ambiente MS-DOS Windows a 64 bit:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Ambiente MS-DOS Windows a 32 bit:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

in seguito sarà possibile scrivere uno script per rimuovere automaticamente i trojan dal registro e dal file system ... + 7 giorni

// TODO: script ...

Misure per prevenire l'attività dei virus

disabilita il comando di avvio automatico:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

— STTR
fonte

Bene, potresti spiegare come "Montare gli alveari del registro dal tuo HDD".

— terdon,

Freddo! Non sapevo che puoi avviare una shell dall'installazione. Come hai fatto a catturare schermate del setup, però ?!

— Shahbaz,

@Shahbaz Virtualbox, Vmware player, Vmware workstation ... e altri)

— STTR

@sttr, haha, sì, sono arrivato a questa conclusione dopo aver scritto il commento. Grazie per lo sforzo, ma sto valutando se dovrei accettare la seconda risposta, poiché mentre la tua soluzione risolve il mio problema, l'altra risposta è probabilmente più adatta per i futuri visitatori poiché corrisponde al titolo della domanda.

— Shahbaz,

@Shahbaz Lancia una moneta)

— STTR

NOTA BENE: non ho provato questo dato che non utilizzo Windows, ma potrebbe funzionare.

I programmi di avvio di Windows si trovano nella cartella C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(per programmi di avvio specifici dell'utente) o C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupper programmi di avvio globali. Qualsiasi programma che ha un collegamento in una di quelle cartelle verrà avviato automaticamente.

Non so se questo è l'unico modo per definire i programmi di avvio (e piuttosto sospetto che non lo sia) ma se trovi un nome di programma strano lì dentro, potrebbe anche essere il tuo virus. cancellalo e riprova. Puoi anche rimuovere tutti i programmi di avvio per ogni evenienza.

Ora, se il tuo virus è in esecuzione come servizio, questo non funzionerà poiché sono regolati in modo diverso. Dato che il virus si avvia anche all'avvio in modalità provvisoria, questo sembra abbastanza probabile. Tuttavia probabilmente vale la pena provare.

— terdon
fonte

Sì, ma è quasi sempre vuoto e pochissimi programmi installano scorciatoie lì. Ci sono molte applicazioni che si avviano all'avvio (che possono essere viste ad esempio attraverso msconfig) e dubito che si presentino come file diversi dal loro .exefile originale .

— Shahbaz,

@Shahbaz sì, non pensavo che sarebbe stato così facile ...

— Terdon

facile quando puoi entrare, in primo luogo;)

— Shahbaz,

@Shahbaz puoi accedere alle cartelle tramite Linux, se il virus fosse stato lì, sarebbe stato facile disabilitarlo.

— terdon,