Иногда (после атаки вирусов, например) в Windows нельзя запустить regedit и необходимо отредактировать реестр извне. Сегодня мы покажем, как это сделать через Linux при помощи утилиты chntpw.
Первый вариант. Редактирование реестра:
1. Загружаемся с LiveCD или устанавливаем на компьютер второй системой Ubuntu
2. Устанавливаем утилиту chntpw
sudo aptitude install chntpw
3. Подключаем раздел Windows
sudo fdisk -l
Находим ntfs раздел и монтируем:
$ sudo mkdir /media/windows
$ sudo mount /dev/sda2 /media/windows
4. Редактируем реестр
chntpw -l /media/windows/Windows/system32/config/software
Редактирование осуществляется при помощи перемещения по веткам.
cd Microsoft\Windows NT\CurrentVersion\Winlogon
И непосредственным редактированием ключей, допустим:
ed Shell
Вариант второй. Сброс пароля:
1. Повторяем в точности пункты 1-3 предыдущего параграфа
4. Внимательно смотрим — у какого пользователя будем менять пароль
chntpw -l /media/windows/Windows/system32/config/SAM
5. Сбрасываем пароль
chntpw /media/windows/Windows/system32/config/SAM -u Administrator
В этих записях могут скрываться данные о вирусной деятельности:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Значения по умолчанию в Regedit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe»
«Userinit»=»C:\WINDOWS\system32\userinit.exe»
Также рекомендуется проанализировать файл Explorer.exe на наличие двойника, его обычное место в папке Windows\, а никак не в Windows\System32\…