В связи с вирусами в винде и невозможностью запусить regedit, понадобилась возможность редактировать реестр извне. Нашел, пока, единственную утилиту в линуксе chntpw, которая изначально разрабатывалась для сброса паролей, а потом приобрела функцию редактирования реестра.
Редактирование реестра:
1. Загружаемся с LiveCD или устанавливаем второй системой Ubuntu
2. Устанавливаем утилиту chntpw
sudo aptitude install chntpw
3. Подключаем раздел windows
Смотрим где он:
sudo fdisk –l
ищем ntfs раздел и монтируем:
$ sudo mkdir /media/windows
$ sudo mount /dev/sda2 /media/windows
4. Редактируем реестр
chntpw –l /media/windows/Windows/system32/config/software
Редактирование осуществляется перемещением по веткам, например:
cd Microsoft\Windows NT\CurrentVersion\Winlogon
и самим редактированием ключей, например:
ed Shell
Сброс пароля:
1. Пункты 1–3 предыдущего параграфа
4. Смотрим у какого пользователя будем менять пароль
chntpw –l /media/windows/Windows/system32/config/SAM
5. Сбрасываем пароль
chntpw /media/windows/Windows/system32/config/SAM –u Administrator
Сразу привожу места в реестре где могут скрываться записи о запуске вирусов:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Значения по умолчанию в Regedit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=“Explorer.exe“
“Userinit”=“C:\WINDOWS\system32\userinit.exe”
Проверьте файл Explorer.exe на наличие двойника… правильно лежать ему в папке Windows\ но не в Windows\System32\…
Эта статья была написана в дополнение темы борьбы с вирусами и sms-вымогателями
Статья была взята с habrahabr.ru
Comments are disabled for this post