O cenário é assim. Um computador está infectado com um ransomware e você não pode fazer mais nada e tudo o que você tem é uma janela de prompt de comando. Agora, como você define Desktops.exe como um programa de execução automática para poder acioná-lo usando uma combinação de teclado para iniciar uma área de trabalho virtual onde você pode solucionar problemas?
Responder1
Primeiro: você está fazendo isso ao contrário.
A primeira prioridade é LIMPAR a máquina.
E a única maneira certa de fazer isso é inicializar a partir de uma mídia de recuperação e verificar/limpar a máquina a partir daí.
Mas às vezes você não tem escolha. Exemplo: Quando você tem uma máquina que usa alguma forma de criptografia de disco, então você não consegue acessar o disco rígido quando inicializado a partir de outra mídia.
Nesse caso, inicialize-o em "Modo de segurança com prompt de comando".
Em seguida, execute o regedit (há uma GUI, mas não um shell do Explorer em execução no momento).
No regedit vá para HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Adicione seu programa de execução automática como entrada extra nessa chave.
Alternativamente, você pode usar o comando REG.EXE para fazer o mesmo na linha de comando.
(É uma boa ideia remover TODAS as outras entradas da tecla Executar enquanto você estiver fazendo isso. Uma delas pode fazer parte do malware. Você pode usar a função de exportação do Regedit para salvá-las temporariamente em um arquivo.)
Uma alternativa para isso é alterar o shell de logon de explorer.exe para um gerenciador de arquivos (como TotalCommander ou DirOpus).
Às vezes, adicionar entradas de execução automática não funciona, mas usar um shell alternativo funciona.
Isso está na chave HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon. Você terá que alterar o valor da entrada "Shell" para isso (você pode usar um caminho completo para o executável).
Observeque adicionar um programa extra, que depende da entrada do teclado enquanto o malware está ativo, pode NÃO funcionar. O malware pode facilmente sequestrar qualquer entrada do teclado, impedindo assim a ativação do seu programa.
Responder2
Abrir arquivo:
openfiles /Query /FO:csv | more
Visualize os arquivos abertos da rede NetBIOS:
net files
Linha de comando do processo, legenda, Pid:
Wmic process get CommandLine, name, ProcessId | more
Caminho do processo, legenda, Pid:
Wmic process get ExecutablePath, name, ProcessId | more
Processo ativo de rede:
netstat -aon | findstr [1-9]\. | more
Processo ativo de rede com nome:
netstat -baon | more
Lista de empregos:
wmic job list STATUS
Lista de execução automática:
wmic startup list full | more
Veja o módulo dll de importação (versão Embarcadero ou Borland):
tdump -w hal*.dll | find "Imports from "
Remove todas as permissões e permite que o usuário desabilite todos:
cacls <filename> /T /C /P %username%:N
Encerra o processo especificado e quaisquer processos filhos que foram iniciados por ele:
taskkill /PID <pid1> /PID <pid2> /PID <pid3> /T