Сценарий идет так. Компьютер заражен с помощью вымогателей, и вы ничего не можете сделать, и все, что у вас есть, это окно командной строки. Теперь, как настроить Desktops.exe в качестве программы автозапуска, чтобы можно было запускать его с помощью комбинации клавиш для запуска виртуального рабочего стола, на котором можно выполнять поиск и устранение неисправностей?
2 ответа
Первое: вы делаете это задом наперед.
Первым приоритетом является ОЧИСТКА машины.
И единственный верный способ сделать это - загрузиться с загрузочного носителя и отсканировать / очистить компьютер оттуда.
Но иногда у тебя нет выбора. Пример: если у вас есть машина, которая использует некоторую форму шифрования диска, поэтому вы не можете получить доступ к жесткому диску при загрузке с другого носителя.
В этом случае загрузите его в "Безопасном режиме с командной строкой".
Затем запустите regedit (есть графический интерфейс, только не оболочка Explorer, запущенная в то время).
В regedit перейдите в раздел HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
Добавьте вашу программу автозапуска в качестве дополнительной записи в этом ключе.
В качестве альтернативы вы можете использовать команду REG.EXE, чтобы сделать то же самое из командной строки.
(Это хорошая идея, чтобы удалить ВСЕ другие записи из ключа Run, пока вы находитесь на нем. Один из них может быть частью вредоносной программы. Вы можете использовать функцию экспорта Regedit, чтобы временно сохранить их в файл.)
Альтернативой этому является изменение оболочки входа с explorer.exe на файловый менеджер (например, TotalCommander или DirOpus).
Иногда добавление записей автозапуска не работает, но использование альтернативной оболочки работает.
Это находится в ключе HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon. Для этого вам придется изменить значение записи "Shell" (вы можете использовать полный путь к исполняемому файлу).
Обратите внимание, что добавление дополнительной программы, которая использует ввод с клавиатуры, когда вредоносная программа активна, может НЕ работать. Вредоносная программа может легко взломать любой ввод с клавиатуры, тем самым препятствуя активации вашей программы.
Открыть файл:
openfiles /Query /FO:csv | more
Просмотр открытых файлов NetBIOS:
net files
Обработка командной строки, заголовок, Pid:
Wmic process get CommandLine, name, ProcessId | more
Путь процесса, подпись, Pid:
Wmic process get ExecutablePath, name, ProcessId | more
Сетевой активный процесс:
netstat -aon | findstr [1-9]\. | more
Сетевой активный процесс с именем:
netstat -baon | more
Список вакансий:
wmic job list STATUS
Список автозапуска:
wmic startup list full | more
Просмотр модуля импорта dll (версия Embarcadero или Borland):
tdump -w hal*.dll | find "Imports from "
Удалить все разрешения и позволяет пользователю отключить все:
cacls <filename> /T /C /P %username%:N
Завершает указанный процесс и любые дочерние процессы, которые были запущены им:
taskkill /PID <pid1> /PID <pid2> /PID <pid3> /T