El escenario es el siguiente. Una computadora está infectada con un ransomware y no puedes hacer nada más y todo lo que tienes es una ventana de símbolo del sistema. Ahora, ¿cómo se configura Desktops.exe como un programa de ejecución automática para poder activarlo usando una combinación de teclado para iniciar un escritorio virtual donde pueda solucionar el problema?
Respuesta1
Primero: lo estás haciendo al revés.
La primera prioridad es LIMPIAR la máquina.
Y la única forma segura de hacerlo es arrancar desde un medio de rescate y escanear/limpiar la máquina desde allí.
Pero a veces no tienes otra opción. Ejemplo: cuando tiene una máquina que utiliza algún tipo de cifrado de disco para que no pueda acceder al disco duro cuando arranca desde otros medios.
En ese caso, inícielo en "Modo seguro con símbolo del sistema".
Luego ejecute regedit (hay una GUI, pero no un shell de Explorer ejecutándose en ese momento).
En regedit, vaya a HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Agregue su programa de ejecución automática como entrada adicional en esa clave.
Alternativamente, puede usar el comando REG.EXE para hacer lo mismo desde la línea de comandos.
(Es una buena idea eliminar TODAS las demás entradas de la tecla Ejecutar mientras lo hace. Una de ellas podría ser parte del malware. Puede usar la función de exportación de Regedit para guardarlas temporalmente en un archivo).
Una alternativa a esto es cambiar el shell de inicio de sesión de explorer.exe a un administrador de archivos (como TotalCommander o DirOpus).
A veces, agregar entradas de ejecución automática no funciona, pero usar un shell alternativo sí.
Eso está en la clave HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon. Tendrá que cambiar el valor de la entrada "Shell" para eso (puede usar una ruta completa al ejecutable).
tenga en cuentaque agregar un programa adicional, que depende de la entrada del teclado mientras el malware está activo, puede NO funcionar. El malware puede secuestrar fácilmente cualquier entrada del teclado, evitando así que se active su programa.
Respuesta2
Abrir documento:
openfiles /Query /FO:csv | more
Ver archivos abiertos de la red NetBIOS:
net files
Línea de comando del proceso, título, Pid:
Wmic process get CommandLine, name, ProcessId | more
Ruta del proceso, título, Pid:
Wmic process get ExecutablePath, name, ProcessId | more
Proceso activo de red:
netstat -aon | findstr [1-9]\. | more
Proceso activo de red con nombre:
netstat -baon | more
Lista de trabajo:
wmic job list STATUS
Lista de ejecución automática:
wmic startup list full | more
Ver módulo dll de importación (versión Embarcadero o Borland):
tdump -w hal*.dll | find "Imports from "
Elimina todos los permisos y permite al usuario desactivarlos todos:
cacls <filename> /T /C /P %username%:N
Termina el proceso especificado y cualquier proceso hijo que haya iniciado:
taskkill /PID <pid1> /PID <pid2> /PID <pid3> /T