我正在处理一台 Windows 7,它感染了病毒,在启动时立即启动,锁定屏幕。它还在安全模式下运行(即使只有命令提示符)。唯一的选择是按住电源按钮关闭计算机。
电脑上还安装了 Ubuntu,因此可以轻松访问 Linux。我一直在寻找从 Ubuntu 编辑 Windows 启动应用程序的方法,但没有成功。
这可能吗?也就是说,我如何从 Linux 编辑 Windows 注册表?如果不可能,我还有什么其他选择?
答案1
你可以:
- 在 Ubuntu 中挂载 Windows 分区
安装 chntpw:
sudo apt-get chntpw
此程序将允许您编辑 Windows 中的注册表项。然后,您可以编辑以下注册表项,以编辑 Windows 中启动的程序。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
免责声明:在 Windows 机器上编辑注册表是有风险的。如果你编辑了错误的键,很容易导致系统无法运行。
答案2
从 CD 启动 Windows 7。
按 Shift + F10。在 cmd 中运行 regedit。
从您的 HDD 安装注册表配置单元。
删除启动项。
参见\SOFTWARE\Wow6432Node\
类比键。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
cmd自动运行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun
文件系统。
Powershell 自动运行:
%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh
%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh
初始化 MS-DOS 环境 64 位 Windows:
%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT
初始化 MS-DOS 环境 32 位 Windows:
%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT
稍后可以编写一个脚本来自动从注册表和文件系统中删除木马... + 7 天
//TODO: 脚本...
预防病毒活动的措施
禁用自动运行驱动器命令:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
答案3
免责声明:由于我不使用 Windows,所以我没有尝试过这个,但它可能会有效。
Windows 启动程序位于文件夹C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
(针对用户特定的启动程序)或C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
全局启动程序中。任何在其中一个文件夹中有快捷方式的程序都将自动启动。
我不知道这是否是定义启动程序的唯一方法(我怀疑不是),但如果你发现其中有一个奇怪的程序名称,那么它很可能是病毒。只需将其删除并重试。你也可以删除全部启动程序以防万一。
现在,如果您的病毒以服务形式运行,这将不起作用,因为它们的管理方式不同。考虑到病毒在启动到安全模式时也会启动,这似乎很有可能。不过,这可能值得一试。