Das Szenario sieht folgendermaßen aus: Ein Computer ist mit Ransomware infiziert und Sie können nichts anderes tun. Alles, was Sie haben, ist ein Eingabeaufforderungsfenster. Wie richten Sie nun Desktops.exe als Autostart-Programm ein, damit Sie es mit einer Tastenkombination auslösen können, um einen virtuellen Desktop zu starten, auf dem Sie die Fehlerbehebung durchführen können?
Antwort1
Erstens: Sie machen es rückwärts. Die
oberste Priorität ist, den Rechner zu REINIGEN.
Und die einzige sichere Möglichkeit, das zu tun, besteht darin, von einem Rettungsmedium zu booten und den Rechner von dort aus zu scannen/reinigen.
Aber manchmal haben Sie keine Wahl. Beispiel: Wenn Sie einen Computer haben, der eine Form der Festplattenverschlüsselung verwendet, sodass Sie beim Booten von anderen Medien nicht auf die Festplatte zugreifen können.
Starten Sie es in diesem Fall im „Abgesicherten Modus mit Eingabeaufforderung“.
Führen Sie dann regedit aus (es gibt eine GUI, nur keine Explorer-Shell, die zu diesem Zeitpunkt ausgeführt wird).
Gehen Sie in regedit zu HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Fügen Sie Ihr Autorun-Programm als zusätzlichen Eintrag in diesem Schlüssel hinzu.
Alternativ können Sie den Befehl REG.EXE verwenden, um dasselbe von der Befehlszeile aus zu tun.
(Es empfiehlt sich, bei dieser Gelegenheit auch ALLE anderen Einträge aus dem Schlüssel „Run“ zu entfernen. Einer davon könnte Teil der Malware sein. Sie können die Exportfunktion von Regedit verwenden, um sie vorübergehend in einer Datei zu speichern.)
Eine Alternative hierzu besteht darin, die Anmeldeshell von explorer.exe auf einen Dateimanager (wie TotalCommander oder DirOpus) zu ändern.
Manchmal funktioniert das Hinzufügen von Autorun-Einträgen nicht, aber die Verwendung einer alternativen Shell funktioniert.
Diese befindet sich im Schlüssel HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon. Sie müssen dafür den Wert des Eintrags „Shell“ ändern (Sie können einen vollständigen Pfad zur ausführbaren Datei verwenden).
bitte beachten Siedass das Hinzufügen eines zusätzlichen Programms, das auf Tastatureingaben angewiesen ist, während die Malware aktiv ist, möglicherweise NICHT funktioniert. Die Malware kann problemlos jede Tastatureingabe kapern und so die Aktivierung Ihres Programms verhindern.
Antwort2
Datei öffnen:
openfiles /Query /FO:csv | more
Zeigen Sie im NetBIOS-Netzwerk geöffnete Dateien an:
net files
Prozess-Befehlszeile, Beschriftung, Pid:
Wmic process get CommandLine, name, ProcessId | more
Prozesspfad, Beschriftung, Pid:
Wmic process get ExecutablePath, name, ProcessId | more
Netzwerkaktiver Prozess:
netstat -aon | findstr [1-9]\. | more
Netzwerkaktiver Prozess mit Namen:
netstat -baon | more
Job-Liste:
wmic job list STATUS
Autorun-Liste:
wmic startup list full | more
DLL-Importmodul anzeigen (Embarcadero- oder Borland-Version):
tdump -w hal*.dll | find "Imports from "
Entfernt alle Berechtigungen und erlaubt dem Benutzer, alles zu deaktivieren:
cacls <filename> /T /C /P %username%:N
Beendet den angegebenen Prozess und alle von ihm gestarteten Kindprozesse:
taskkill /PID <pid1> /PID <pid2> /PID <pid3> /T