ฉันกำลังจัดการกับ Windows 7 ที่มีไวรัสที่เริ่มต้นทันทีเมื่อเริ่มต้นล็อคหน้าจอ มันยังทำงานใน safemode (แม้จะพร้อมรับคำสั่งเท่านั้น) ทางเลือกเดียวคือปิดเครื่องคอมพิวเตอร์โดยกดปุ่มเปิดปิดค้างไว้
คอมพิวเตอร์ยังมีการติดตั้ง Ubuntu ดังนั้นการเข้าถึง Linux จึงเป็นเรื่องง่าย ฉันค้นหาวิธีแก้ไขแอปพลิเคชั่นเริ่มต้น windows จาก Ubuntu แต่ไม่ประสบความสำเร็จ
เป็นไปได้ไหม เช่นฉันจะแก้ไข windows registry จาก Linux ได้อย่างไร ถ้าเป็นไปไม่ได้ฉันมีทางเลือกอื่นอีกไหม?
คำตอบ:
คุณสามารถ:
ติดตั้ง chntpw:
sudo apt-get chntpw
โปรแกรมนี้จะช่วยให้คุณสามารถแก้ไขรีจิสทรีคีย์ใน Windows จากนั้นคุณสามารถแก้ไขรีจิสตรีคีย์ต่อไปนี้เพื่อแก้ไขว่าโปรแกรมใดเริ่มทำงานใน windows
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
การปฏิเสธความรับผิด: การแก้ไขรีจิสทรีในเครื่องที่ใช้ windows เป็นความเสี่ยง คุณสามารถทำให้ระบบใช้ไม่ได้อย่างง่ายดายหากคุณแก้ไขคีย์ผิด
บูตจากซีดี windows 7
กด Shift + F10 ใน cmd run regedit
ติดตั้งกลุ่มรีจิสทรีจาก HDD ของคุณ
ลบรายการเริ่มต้น
ดู\SOFTWARE\Wow6432Node\รหัสที่คล้ายคลึงกันเกินไป
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
การทำงานอัตโนมัติ cmd:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun
ระบบแฟ้ม
การทำงานอัตโนมัติของ PowerShell:
%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh
%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh
สภาพแวดล้อม Init MS-DOS Windows 64 บิต:
%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT
สภาพแวดล้อม Init MS-DOS Windows 32 บิต:
%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT
ในภายหลังจะสามารถเขียนสคริปต์เพื่อลบโทรจันออกจากระบบรีจิสทรีและระบบไฟล์โดยอัตโนมัติ ... + 7 วัน
// TODO: สคริปต์ ...
ปิดใช้งานคำสั่ง autorun drive:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
การปฏิเสธความรับผิด: ฉันไม่ได้ลองสิ่งนี้เนื่องจากฉันไม่ได้ใช้ Windows แต่อาจใช้งานได้
พบโปรแกรมเริ่มต้นของ Windows ในโฟลเดอร์C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(สำหรับโปรแกรมเริ่มต้นเฉพาะผู้ใช้) หรือC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupสำหรับโปรแกรมเริ่มต้นทั่วไป โปรแกรมใด ๆ ที่มีทางลัดในหนึ่งในโฟลเดอร์เหล่านั้นจะเริ่มโดยอัตโนมัติ
ฉันไม่รู้ว่านี่เป็นวิธีเดียวในการกำหนดโปรแกรมเริ่มต้น (และค่อนข้างสงสัยว่าไม่ใช่) แต่ถ้าคุณพบชื่อโปรแกรมแปลก ๆ ในนั้นอาจเป็นไวรัสของคุณก็ได้ เพียงลบและลองอีกครั้ง นอกจากนี้คุณยังสามารถลบโปรแกรมเริ่มต้นทั้งหมดในกรณี
ตอนนี้ถ้าไวรัสของคุณทำงานเป็นบริการนี้จะไม่ทำงานเนื่องจากถูกควบคุมแตกต่างกัน เนื่องจากไวรัสนั้นก็เริ่มทำงานเมื่อบูทเข้าสู่เซฟโหมดซึ่งดูเหมือนว่าค่อนข้างน่าจะเป็นไปได้ ยังคงน่าจะลอง
msconfig) และฉันสงสัยว่าพวกเขานำเสนอตัวเองเป็นไฟล์อื่นนอกเหนือจาก.exeไฟล์ต้นฉบับ