लिनक्स से विंडोज स्टार्टअप एप्लिकेशन को संपादित करें

मैं एक विंडोज 7 के साथ काम कर रहा हूं जिसमें एक वायरस मिला है जो स्टार्टअप पर तुरंत शुरू होता है, स्क्रीन को लॉक करता है। यह सेफमोड (केवल कमांड प्रॉम्प्ट के साथ भी) में चलता है। पावर बटन को दबाकर और दबाकर कंप्यूटर को बंद करने का एकमात्र विकल्प है।

कंप्यूटर में एक उबंटू इंस्टॉलेशन भी है, इसलिए लिनक्स एक्सेस आसान है। मैं उबंटू से विंडोज़ स्टार्टअप एप्लिकेशन को संपादित करने का एक तरीका खोज रहा हूं, लेकिन कोई सफलता नहीं है।

क्या ऐसा करना संभव है? यानी, मैं लिनक्स से विंडोज़ रजिस्ट्री को कैसे संपादित कर सकता हूं? यदि संभव नहीं है, तो मेरे पास और क्या विकल्प है?

windows-7 linux virus

— शाहबाज
स्रोत

जवाबों:

आप ऐसा कर सकते हैं:

उबंटू में विंडोज़ विभाजन को माउंट करें
स्थापित chntpw:

sudo apt-get chntpw

यह प्रोग्राम आपको विंडोज में रजिस्ट्री कुंजी को संपादित करने की अनुमति देगा। तब आप निम्न रजिस्ट्री कुंजियों को संपादित कर सकते हैं ताकि विंडोज़ में प्रोग्राम के स्टार्टअप को संपादित किया जा सके।

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

अस्वीकरण: एक विंडोज़ मशीन पर रजिस्ट्री का संपादन जोखिम भरा है। यदि आप गलत कुंजियों को संपादित करते हैं तो आप आसानी से सिस्टम को निष्क्रिय बना सकते हैं।

— Atari911
स्रोत

दोनों उत्तर यह नहीं दर्शाते हैं कि आपको उन कुंजियों को हटाना सही नहीं होना चाहिए, बस विशिष्ट एंट्रीज़, उनके भीतर द्वेषपूर्ण एंट्रीज़।

— रामहाउंड

मैं सिर्फ उन जगहों की ओर इशारा कर रहा था, जहाँ जानकारी संग्रहीत है। मैंने कभी भी कुंजियों को हटाने का उल्लेख नहीं किया, केवल उन्हें 'संपादित' करने के लिए।

— अटारी 911

सीडी विंडोज 7 से बूट करें।

यहां छवि विवरण दर्ज करें

Shift + F10 दबाएं। Cmd रन regedit में।

यहां छवि विवरण दर्ज करें

अपने एचडीडी से रजिस्ट्री पित्ती माउंट करें।

यहां छवि विवरण दर्ज करें

स्टार्टअप आइटम निकालें।

बहुत \SOFTWARE\Wow6432Node\अनुरूप कुंजी देखें ।

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths 
HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder 
HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer 
HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews 
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage 
HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles 
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup 
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc 
HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

सीएमडी ऑटोरन:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
AutoRun

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun

फाइल सिस्टम।

पॉवर्सशेल ऑटोरन:

%ALLUSERSPROFILE%\Documents\Msh\profile.msh
%ALLUSERSPROFILE%\Documents\Msh\Microsoft.Management.Automation.msh_profile.msh

%USERPROFILE%\My Documents\msh\profile.msh
%USERPROFILE%\My Documents\msh\Microsoft.Management.Automation.msh_profile.msh

Init MS-DOS वातावरण 64-बिट विंडोज:

%windir%\SysWOW64\AUTOEXEC.NT
%windir%\SysWOW64\CONFIG.NT

Init MS-DOS वातावरण 32-बिट विंडोज:

%windir%\system32\AUTOEXEC.NT
%windir%\system32\CONFIG.NT

बाद में रजिस्ट्री और फ़ाइल सिस्टम से ट्रोजन को स्वचालित रूप से हटाने के लिए एक स्क्रिप्ट लिखना संभव होगा ... + 7 दिन

// TODO: स्क्रिप्ट ...

वायरस गतिविधि को रोकने के उपाय

अक्षम ऑटोरन ड्राइव कमांड:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

— STTR
स्रोत

अच्छा, क्या आप बता सकते हैं कि "अपने एचडीडी से रजिस्ट्री को कैसे माउंट करें?"

— टेराडॉन

ठंडा! नहीं पता था कि आप सेटअप से एक शेल शुरू कर सकते हैं। हालांकि, आपने सेटअप का स्क्रीनशॉट कैसे लिया?

— शाहबाज

@ शहबाज वर्चुअलबॉक्स, Vmware प्लेयर, Vmware वर्कस्टेशन ... और अन्य)

— STTR

@sttr, haha, हाँ, मैं टिप्पणी लिखने के बाद उस निष्कर्ष पर आया था। इस प्रयास के लिए धन्यवाद, लेकिन मैं इस बात पर विचार कर रहा हूं कि क्या मुझे दूसरा उत्तर स्वीकार करना चाहिए, क्योंकि जब तक आपका समाधान मेरी समस्या का हल करता है, तब तक अन्य उत्तर संभवतः भविष्य के आगंतुकों के लिए अधिक फिट होते हैं क्योंकि यह प्रश्न शीर्षक से मेल खाता है।

— शाहबाज

@ शहबाज एक सिक्का फेंकें)

— STTR

अस्वीकरण: मैंने यह कोशिश नहीं की है क्योंकि मैं विंडोज का उपयोग नहीं करता हूं, लेकिन यह काम कर सकता है।

विंडोज स्टार्टअप प्रोग्राम फ़ोल्डर में C:\Users\(User-Name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup(उपयोगकर्ता-विशिष्ट स्टार्टअप प्रोग्राम के लिए) या C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startupवैश्विक स्टार्टअप कार्यक्रमों के लिए पाए जाते हैं । किसी भी प्रोग्राम में उन फ़ोल्डरों में एक शॉर्टकट है जो स्वचालित रूप से शुरू किया जाएगा।

मुझे नहीं पता कि क्या यह स्टार्ट अप प्रोग्राम को परिभाषित करने का एकमात्र तरीका है (और इसके बजाय यह संदेह नहीं है), लेकिन अगर आपको वहां एक अजीब प्रोग्राम का नाम मिलता है, तो यह अच्छी तरह से आपका वायरस हो सकता है। बस इसे हटा दें और पुनः प्रयास करें। आप केवल मामले में सभी स्टार्टअप प्रोग्राम को हटा सकते हैं ।

अब, यदि आपका वायरस एक सेवा के रूप में चल रहा है, तो यह काम नहीं करेगा क्योंकि वे अलग-अलग संचालित होते हैं। यह देखते हुए कि वायरस भी सुरक्षित मोड में बूट होने पर शुरू होता है, यह काफी संभावना है। फिर भी यह शायद एक कोशिश के काबिल है।

— terdon
स्रोत

हाँ, लेकिन यह लगभग हमेशा खाली है और बहुत कम प्रोग्राम वहाँ शॉर्टकट स्थापित करते हैं। बहुत सारे अनुप्रयोग हैं जो स्वयं को स्टार्टअप में प्राप्त करते हैं (जो उदाहरण के माध्यम से देखे जा सकते हैं msconfig) और मुझे संदेह है कि वे खुद को अपनी मूल .exeफ़ाइल के अलावा अन्य फ़ाइलों के रूप में प्रस्तुत करते हैं ।

— शाहबाज

@ शहबाज ने हां, मुझे नहीं लगता था कि यह इतना आसान होगा ...

— टेराड

आसान है जब आप पहली जगह में प्राप्त कर सकते हैं;)

— शाहबाज़

@ शहबाज आप लिनक्स के माध्यम से फ़ोल्डरों तक पहुंच सकते हैं, अगर वायरस वहाँ था, तो इसे निष्क्रिय करना आसान होगा।

— टेराडॉन