私は、起動直後にウイルスが起動して画面をロックするWindows 7を扱っています。また、セーフモードで実行されます(コマンドプロンプトのみでも)。唯一のオプションは、電源ボタンを押し続けてコンピュータの電源を切ることです。
コンピューターにはUbuntuもインストールされているため、Linuxへのアクセスは簡単です。UbuntuからWindowsスタートアップアプリケーションを編集する方法を探していましたが、成功しませんでした。
そのようなことは可能ですか?つまり、LinuxからWindowsレジストリを編集するにはどうすればよいですか?できない場合、他にどのようなオプションがありますか?
回答:
あなたはできる:
chntpwをインストールします。
sudo apt-get chntpw
このプログラムを使用すると、Windowsでレジストリキーを編集できます。次に、Windowsで起動するプログラムを編集するために、次のレジストリキーを編集できます。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
免責事項: Windowsマシンでレジストリを編集することは危険です。間違ったキーを編集すると、システムを簡単に操作不能にすることができます。
CDウィンドウから起動します7。
Shift + F10を押します。cmdでregeditを実行します。
HDDからレジストリハイブをマウントします。
スタートアップ項目を削除します。
\SOFTWARE\Wow6432Node\アナロジーキーも参照してください。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
cmd autorun:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun
ファイルシステム。
PowerShellの自動実行:
%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh
%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh
MS-DOS環境64ビットWindowsの初期化:
%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT
MS-DOS環境32ビットWindowsの初期化:
%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT
後で、レジストリとファイルシステムからトロイの木馬を自動的に削除するスクリプトを書くことが可能になります... + 7日
// TODO:スクリプト...
自動実行ドライブコマンドを無効にする:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
免責事項:Windowsを使用していないため、これを試していませんが、動作する可能性があります。
Windowsスタートアッププログラムは、フォルダーC:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(ユーザー固有のスタートアッププログラムの場合)またはC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupグローバルスタートアッププログラムにあります。これらのフォルダの1つにショートカットがあるプログラムはすべて自動的に起動されます。
これが起動プログラムを定義する唯一の方法であるかどうかはわかりませんが(そうではないのではないかと思います)、そこで奇妙なプログラム名を見つけた場合は、ウイルスである可能性があります。削除して再試行してください。万が一に備えて、すべてのスタートアッププログラムを削除することもできます。
ウイルスがサービスとして実行されている場合、管理方法が異なるため、ウイルスは機能しません。セーフモードで起動するとウイルスも起動することを考えると、これはかなりありそうです。それでも、おそらく試す価値があります。
msconfig).exe。元のファイル以外のファイルとして表示されることはないと思います。