Modifier les applications de démarrage Windows à partir de Linux

9

J'ai affaire à un Windows 7 qui a un virus qui démarre immédiatement au démarrage, verrouillant l'écran. Il s'exécute également en mode sécurisé (même avec une invite de commande uniquement). La seule option consiste à éteindre l'ordinateur en appuyant sur le bouton d'alimentation et en le maintenant enfoncé.

L'ordinateur dispose également d'une installation Ubuntu, donc l'accès Linux est facile. Je cherchais un moyen de modifier les applications de démarrage de Windows à partir d'Ubuntu, mais sans succès.

Une telle chose est possible? Autrement dit, comment puis-je modifier le registre Windows à partir de Linux? Si ce n'est pas possible, quelle autre option ai-je?

windows-7 linux virus Shahbaz
la source

Réponses:

8

Vous pouvez:

  • monter la partition Windows dans Ubuntu

  • installez chntpw:

    sudo apt-get chntpw

Ce programme vous permettra de modifier la clé de registre sous Windows. Vous pouvez ensuite modifier les clés de registre suivantes afin de modifier les programmes qui démarrent dans Windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

AVERTISSEMENT: La modification du registre sur une machine Windows est risquée. Vous pouvez facilement rendre le système inutilisable si vous modifiez les mauvaises clés.

Atari911
la source
1
Les deux réponses n'indiquent pas que vous ne devriez pas être en train de supprimer ces clés, juste des entrées spécifiques, des entrées malveillantes.
Ramhound
Je pointais simplement les endroits où les informations sont stockées. Je n'ai jamais mentionné de supprimer les clés, seulement de les «modifier».
Atari911
12

Démarrez à partir du CD-ROM Windows 7.

entrez la description de l'image ici

Appuyez sur Maj + F10. Dans cmd, exécutez regedit.

entrez la description de l'image ici

Montez les ruches de registre à partir de votre disque dur.

entrez la description de l'image ici

entrez la description de l'image ici

entrez la description de l'image ici

entrez la description de l'image ici

entrez la description de l'image ici

entrez la description de l'image ici

entrez la description de l'image ici

entrez la description de l'image ici

Supprimez les éléments de démarrage.

Voir la \SOFTWARE\Wow6432Node\touche trop d' analogie.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

cmd autorun:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

système de fichiers.

Autorun Powershell:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Initiez l'environnement MS-DOS Windows 64 bits:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Initiez l'environnement MS-DOS Windows 32 bits:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

plus tard, il sera possible d'écrire un script pour supprimer automatiquement les chevaux de Troie du registre et du système de fichiers ... + 7 jours

// TODO: script ...

Mesures de prévention de l'activité virale

désactiver la commande autorun drive:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
STTR
la source
Bien, pourriez-vous expliquer comment «monter les ruches de registre à partir de votre disque dur»?
terdon
Cool! Je ne savais pas que vous pouvez démarrer un shell à partir de la configuration. Comment avez-vous pris des captures d'écran de la configuration, cependant?!
Shahbaz
@Shahbaz Virtualbox, lecteur Vmware, station de travail Vmware ... et autres)
STTR
@sttr, haha, ouais je suis arrivé à cette conclusion après avoir écrit le commentaire. Merci pour l'effort, mais je me demande si je devrais accepter la deuxième réponse, car si votre solution résout mon problème, l'autre réponse est probablement plus adaptée aux futurs visiteurs car elle correspond au titre de la question.
Shahbaz
@Shahbaz Throw a coin)
STTR
0

AVERTISSEMENT: je n'ai pas essayé cela car je n'utilise pas Windows, mais cela pourrait fonctionner.

Les programmes de démarrage de Windows se trouvent dans le dossier C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(pour les programmes de démarrage spécifiques à l'utilisateur) ou C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startuppour les programmes de démarrage globaux. Tout programme comportant un raccourci dans l'un de ces dossiers sera démarré automatiquement.

Je ne sais pas si c'est la seule façon de définir des programmes de démarrage (et plutôt que ce n'est pas le cas), mais si vous y trouvez un nom de programme étrange, ce pourrait bien être votre virus. supprimez-le et réessayez. Vous pouvez également supprimer tous les programmes de démarrage au cas où.

Maintenant, si votre virus fonctionne en tant que service, cela ne fonctionnera pas car ils sont gouvernés différemment. Étant donné que le virus démarre également lors du démarrage en mode sans échec, cela semble très probable. Pourtant, cela vaut probablement la peine d'essayer.

terdon
la source
1
Oui, mais c'est presque toujours vide et très peu de programmes y installent des raccourcis. Il y a beaucoup d'applications qui se lancent au démarrage (ce qui peut être vu par exemple msconfig) et je doute qu'elles se présentent comme des fichiers autres que leur .exefichier d' origine .
Shahbaz
@Shahbaz oui, je ne pensais pas que ce serait aussi simple ...
terdon
facile quand on peut entrer en premier lieu;)
Shahbaz
@Shahbaz vous pouvez accéder aux dossiers via Linux, si le virus avait été là, il aurait été facile de le désactiver.
terdon