Forum Debian Users Gang

Bodzio · 2010-01-13 18:43:12

Mam jutro zadanie domowe.
- Czy z poziomu linuxa można edytować windowsowy rejestr systemu ?
- Gdzie w windowsie jest plik rejestru systemu ?
- Jak uzyskać status super administratora w systemie ?
Otóż jest w systemie wirus, który się odtwarza z rejestru. Edycja rejestru..."regedit" nawet z poziomu awaryjnego nie pozwala na usunięcie wszystkich wpisów.
Sam wirus zagnieździł się w ProgramFiles\Katalog\plik.dll i jest prosty do usunięcia (Knoppix), no ale jak wspomniałem się odradza.

kayo · 2010-01-13 19:09:07

Sprobuj go usunac najpierw Clam AV Portable

Paciocha · 2010-01-13 19:40:48

ja jeszcze dorzucam Linux Defender, jak na razie wszystkiemu z czym się ostatnio spotkałem dał rady, jak nie usunął to pokazał gdzie i młotem pneumatycznym po dysku.

BiExi · 2010-01-13 19:43:39

Bodzio przeskanuj system z powiomu linux'a i wwal wszstkie virusy. Z poziomu rejestru wisrus nie mzoe sie odnowictzn w reestrze go nie ma nmoze np podcas startu systemu sciagnac sie na komputer.... (po wyczysczeniu windowsa odpal maszyne ale bez dostepu do netu)
Co do aplikacj wspomagajacych ochrone windowsow to CCliner i Spybot zainstaluj :]
Moja znajomosc windowsow skonczyla sie na 98 i winxp troch pliki rejstru to system.dat i user.dat bezposrednio w katalogu windowsa...

Graffi · 2010-01-14 15:58:01

a co do skanowania antywirusowego to jeszcze tym go ew. przejedź:
http://www.arcabit.pl/arcanix

ostatnio mi to wpadło pod ręce i powiem że ładnie się sprawuje chyba :)

Zbooj · 2010-01-14 17:41:31

avast jest też niezły poniewaz po instalacji następuje reboot i przy uruchamianiu sprawdza dysk bez udzialu Windy

djjanek · 2010-01-15 07:28:47

Zbooj napisał(-a):
avast jest też niezły poniewaz po instalacji następuje reboot i przy uruchamianiu sprawdza dysk bez udzialu Windy

Avast skanuje po załadowaniu jądra Windowsa więc nie jest dobrym przykładem. Lepiej już użyć mks czy innego dedykowanego pod DOS.

Co do uzyskania poziomu administratora można to zrobić za pomocą ERD Comander płytki botowalnej i tak samo dojście do rejestru.

Ostatnio edytowany przez djjanek (2010-01-15 07:30:12)

Zbooj · 2010-01-15 09:06:00

djjanek napisał(-a):
Zbooj napisał(-a):
avast jest też niezły poniewaz po instalacji następuje reboot i przy uruchamianiu sprawdza dysk bez udzialu Windy
Avast skanuje po załadowaniu jądra Windowsa więc nie jest dobrym przykładem. Lepiej już użyć mks czy innego dedykowanego pod DOS.

Co do uzyskania poziomu administratora można to zrobić za pomocą ERD Comander płytki botowalnej i tak samo dojście do rejestru.

...ale zazwyczaj przed uruchomieniem szkodliwego kodu.

marg1 · 2010-01-15 10:11:46

Najlepiej użyć Nortona - po prostu wystartować komputer z CD-romu :)
Wiadomo, że może nie być wystarczająco aktualny, to mu można zapodać aktualizacje z dyskietki czy innego źródła, ale to jak w każdym chyba tego typu - to wiadomo...

Ostatnio edytowany przez marg1 (2010-01-15 10:16:54)

Bodzio · 2010-01-15 10:42:41

jest jeszcze linuxowy clamav - ale to wszystko w poniedziałek bo jestem ciut chory.
I jeszcze - ja wiem gdzie siedzi ten wirus. Został usunięty z ProgramFiles i skaner anywirusowy (wvira, awast, nod32) już nic nie wykazały. Po restarcie się odradza. Ma trzy wpisy w rejestr, które nie dadzą się usunąć normalną drogą, dlatego pytałem o dostęp do konta super admina, lub edycję rejestru z poziomu linucha.
Dane zgrałem na płytkę i zawsze mam możliwość zrobienia najlepszej dla windowsa operacji :) -> format C:\ i reinstall

marg1 · 2010-01-15 11:14:26

Wymontuj dysk i skasuj te wpisy na innym kompie :)
albo jeżeli wiesz z których wpisów on się "samokopiuje" to może jakiegoś live zapodaj :D
Acha, bo to jest w rejestsze gdzieś, no to ciężko będzie...

Co do superadmina to chyba czegoś takiego nie ma, natomiast poszukaj coś o wyłączeniu ochrony plików systemowych, czy ochrony systemu, czy coś w tym stylu - chyba da się to przestawić z poziomu rejestru, ale nie pamiętam jak :)

Ostatnio edytowany przez marg1 (2010-01-15 11:28:06)

Yampress · 2010-01-15 11:18:13

SpyBoot Search and Destroy do wszelkiego robactwa -> program free oraz HijackThis :) do usuwania wpisów startowych

djjanek · 2010-01-15 23:19:49

Zbooj napisał(-a):
djjanek napisał(-a):
Zbooj napisał(-a):
avast jest też niezły poniewaz po instalacji następuje reboot i przy uruchamianiu sprawdza dysk bez udzialu Windy
Avast skanuje po załadowaniu jądra Windowsa więc nie jest dobrym przykładem. Lepiej już użyć mks czy innego dedykowanego pod DOS.

Co do uzyskania poziomu administratora można to zrobić za pomocą ERD Comander płytki botowalnej i tak samo dojście do rejestru.
...ale zazwyczaj przed uruchomieniem szkodliwego kodu.

Dobrze napisałeś zazwyczaj a nie zawsze. Chyba nie trzeba tłumaczyć różnicy.

Chcesz mieć dojście do rejestru bez podnoszenia systemu polecam ERD Comander :) zadziała w 100%. A przy okazji zobaczysz co ta mała płytka potrafi.

Ostatnio edytowany przez djjanek (2010-01-15 23:22:32)

bns · 2010-01-15 23:48:32

Wklej loga z Hijackthis tam będzie wszystko wylistowane co się uruchamia.

Do przenoszenia do innego kompa dysku, to odradzam bo może się przenieść nie tylko dysk ale i wirus ;)

Możesz dłubać w rejestrze z konsoli odzyskiwania systemu. Logujesz się na konto z prawami admina i poleceniem 'reg' edytujesz rejestr systemu. Windows też ma swój wiersz poleceń i zdalnie można się na niego wlogowywać. Zatrzymywać usługi, czytać logi, zmieniać rejestr itp ale nie jest tak rozbudowany jak pod Linuksem ;)
Pliki podstawowe trzyma w Windows\System32\Config plus użyszkodnika chyba ntuser.dat w profilu - gałąź HKCU. Sś to binarki więc musiał byś znaleźć jakiś "edytor" do tego.
Może to będzie pomocne http://www.raymond.cc/blog/archives/2008/07/02/how- … g-in-windows/

Zbooj · 2010-01-16 10:40:05

djjanek napisał(-a):
Zbooj napisał(-a):
djjanek napisał(-a):

Avast skanuje po załadowaniu jądra Windowsa więc nie jest dobrym przykładem. Lepiej już użyć mks czy innego dedykowanego pod DOS.

Co do uzyskania poziomu administratora można to zrobić za pomocą ERD Comander płytki botowalnej i tak samo dojście do rejestru.
...ale zazwyczaj przed uruchomieniem szkodliwego kodu.
Dobrze napisałeś zazwyczaj a nie zawsze. Chyba nie trzeba tłumaczyć różnicy.

Chcesz mieć dojście do rejestru bez podnoszenia systemu polecam ERD Comander :) zadziała w 100%. A przy okazji zobaczysz co ta mała płytka potrafi.

...zazwyczaj=nie działa na rootkity ;]

Forum Debian Users Gang

Ogłoszenie

#1 2010-01-13 18:43:12

Bodzio - Ojciec Założyciel

rejestr systemu

#2 2010-01-13 19:09:07

kayo - Członek DUG

Re: rejestr systemu

#3 2010-01-13 19:40:48

Paciocha - Użytkownik

Re: rejestr systemu

#4 2010-01-13 19:43:39

BiExi - matka przelozona

Re: rejestr systemu

#5 2010-01-14 15:58:01

Graffi - Użytkownik

Re: rejestr systemu

#6 2010-01-14 17:41:31

Zbooj - Dark Sith

Re: rejestr systemu

#7 2010-01-15 07:28:47

djjanek - Użytkownik

Re: rejestr systemu

Zbooj napisał(-a):

#8 2010-01-15 09:06:00

Zbooj - Dark Sith

Re: rejestr systemu

djjanek napisał(-a):

Zbooj napisał(-a):

#9 2010-01-15 10:11:46

marg1 - Gentoowy Głupek

Re: rejestr systemu

#10 2010-01-15 10:42:41

Bodzio - Ojciec Założyciel

Re: rejestr systemu

#11 2010-01-15 11:14:26

marg1 - Gentoowy Głupek

Re: rejestr systemu

#12 2010-01-15 11:18:13

Yampress - Imperator

Re: rejestr systemu

#13 2010-01-15 23:19:49

djjanek - Użytkownik

Re: rejestr systemu

Zbooj napisał(-a):

djjanek napisał(-a):

Zbooj napisał(-a):

#14 2010-01-15 23:48:32

bns - unknown

Re: rejestr systemu

#15 2010-01-16 10:40:05

Zbooj - Dark Sith

Re: rejestr systemu

djjanek napisał(-a):

Zbooj napisał(-a):

djjanek napisał(-a):

Stopka forum