Editar aplicaciones de inicio de Windows desde Linux

Estoy tratando con un Windows 7 que tiene un virus que se inicia inmediatamente al inicio, bloqueando la pantalla. También se ejecuta en modo seguro (incluso solo con el símbolo del sistema). La única opción es apagar la computadora presionando y manteniendo presionado el botón de encendido.

La computadora también tiene una instalación de Ubuntu, por lo que el acceso a Linux es fácil. He estado buscando una manera de editar aplicaciones de inicio de Windows desde Ubuntu, pero sin éxito.

¿Es posible tal cosa? Es decir, ¿cómo puedo editar el registro de Windows desde Linux? Si no es posible, ¿qué otra opción tengo?

windows-7 linux virus Shahbaz
fuente

Respuestas:

Usted puede:

montar la partición de windows en Ubuntu
instalar chntpw:

sudo apt-get chntpw

Este programa te permitirá editar la clave de registro en Windows. Luego puede editar las siguientes claves de registro para editar qué programas se inician en Windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

DESCARGO DE RESPONSABILIDAD: Editar el registro en una máquina con Windows es arriesgado. Puede hacer que el sistema deje de funcionar fácilmente si edita las teclas incorrectas.

Atari911
fuente

Ambas respuestas no indican que no debería acertar eliminando esas claves, solo entradas específicas, entradas maliciosas dentro de ellas.

Ramhound

Solo apuntaba a los lugares donde se almacena la información. Nunca mencioné eliminar las claves, solo para 'editarlas'.

Atari911

Arranque desde el CD de Windows 7.

ingrese la descripción de la imagen aquí

Presione Mayús + F10. En cmd ejecute regedit.

ingrese la descripción de la imagen aquí

Monte las colmenas de registro de su HDD.

ingrese la descripción de la imagen aquí

Eliminar elementos de inicio.

Ver también \SOFTWARE\Wow6432Node\tecla de analogía.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

cmd ejecución automática:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

sistema de archivos

Powershell autorun:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Entorno MS-DOS inicial de Windows de 64 bits:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Entorno MS-DOS inicial de Windows de 32 bits:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

más tarde será posible escribir un script para eliminar automáticamente los troyanos del registro y el sistema de archivos ... + 7 días

// TODO: script ...

Medidas para prevenir la actividad del virus.

Deshabilitar el comando de ejecución automática:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

STTR
fuente

Bien, ¿podría explicar cómo "Montar las colmenas de registro desde su HDD"?

terdon

¡Frio! No sabía que puede iniciar un shell desde la configuración. Sin embargo, ¿cómo tomaste capturas de pantalla de la configuración?

Shahbaz

@Shahbaz Virtualbox, reproductor Vmware, estación de trabajo Vmware ... y otros)

STTR

@sttr, jaja, sí, llegué a esa conclusión después de escribir el comentario. Gracias por el esfuerzo, pero estoy considerando si debería aceptar la segunda respuesta, ya que si bien su solución resuelve mi problema, la otra respuesta probablemente sea más adecuada para futuros visitantes, ya que coincide con el título de la pregunta.

Shahbaz

@Shahbaz Lanza una moneda)

STTR

DESCARGO DE RESPONSABILIDAD: No lo he intentado ya que no uso Windows, pero podría funcionar.

Los programas de inicio de Windows se encuentran en la carpeta C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(para programas de inicio específicos del usuario) o C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startuppara programas de inicio globales. Cualquier programa que tenga un acceso directo en una de esas carpetas se iniciará automáticamente.

No sé si esta es la única forma de definir los programas de inicio (y sospecho que no lo es), pero si encuentra un nombre de programa extraño allí, puede ser su virus. simplemente elimínelo e intente nuevamente. También puede eliminar todos los programas de inicio por si acaso.

Ahora, si su virus se está ejecutando como un servicio, esto no funcionará, ya que se rigen de manera diferente. Dado que el virus también se inicia al arrancar en modo seguro, esto parece bastante probable. Aún así, probablemente valga la pena intentarlo.

terdon
fuente

Sí, pero eso casi siempre está vacío y muy pocos programas instalan accesos directos allí. Hay muchas aplicaciones que se inician (que se pueden ver, por ejemplo, a través de msconfig) y dudo que se presenten como archivos distintos de su .exearchivo original .

Shahbaz

@Shahbaz sí, no pensé que sería tan fácil ...

terdon

fácil cuando puedes entrar en primer lugar;)

Shahbaz

@Shahbaz puede acceder a las carpetas a través de Linux, si el virus hubiera estado allí, habría sido fácil de deshabilitar.

terdon