Сценарий выглядит так. Компьютер заражен вирусом-вымогателем, и вы не можете ничего сделать, и все, что у вас есть, это окно командной строки. Теперь как вам установить Desktops.exe в качестве программы автозапуска, чтобы вы могли запустить ее с помощью комбинации клавиш для запуска виртуального рабочего стола, где вы можете выполнить устранение неполадок?
решение1
Во-первых: вы делаете это наоборот.
Первым приоритетом является ОЧИСТКА машины.
И единственный верный способ сделать это — загрузиться с аварийного носителя и просканировать/очистить машину оттуда.
Но иногда у вас нет выбора. Пример: когда у вас есть машина, которая использует какую-то форму шифрования диска, так что вы не можете получить доступ к жесткому диску при загрузке с других носителей.
В этом случае загрузите его в "Безопасном режиме с командной строкой".
Затем запустите regedit (есть графический интерфейс, просто в это время не запущена оболочка Explorer).
В regedit перейдите в HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Добавьте свою программу автозапуска как дополнительную запись в этот ключ.
В качестве альтернативы вы можете использовать команду REG.EXE, чтобы сделать то же самое из командной строки.
(Пока вы заняты этим, лучше удалить ВСЕ остальные записи из раздела «Выполнить». Одна из них может быть частью вредоносной программы. Вы можете использовать функцию экспорта Regedit, чтобы временно сохранить их в файле.)
Альтернативой этому является изменение оболочки входа с explorer.exe на файловый менеджер (типа TotalCommander или DirOpus).
Иногда добавление записей автозапуска не работает, но использование альтернативной оболочки работает.
Она находится в ключе HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon. Для этого вам придется изменить значение записи "Shell" (вы можете использовать полный путь к исполняемому файлу).
Пожалуйста, обрати вниманиечто добавление дополнительной программы, которая полагается на ввод с клавиатуры, пока вредоносная программа активна, может НЕ работать. Вредоносная программа может легко перехватить любой ввод с клавиатуры, тем самым не давая вашей программе активироваться.
решение2
Открыть файл:
openfiles /Query /FO:csv | more
Просмотр открытых файлов сети NetBIOS:
net files
Командная строка процесса, заголовок, Pid:
Wmic process get CommandLine, name, ProcessId | more
Путь процесса, заголовок, Pid:
Wmic process get ExecutablePath, name, ProcessId | more
Активный сетевой процесс:
netstat -aon | findstr [1-9]\. | more
Сетевой активный процесс с именем:
netstat -baon | more
Список вакансий:
wmic job list STATUS
Список автозапуска:
wmic startup list full | more
Просмотреть импорт модуля dll (версия Embarcadero или Borland):
tdump -w hal*.dll | find "Imports from "
Удалить все разрешения и разрешить пользователю отключить все:
cacls <filename> /T /C /P %username%:N
Завершает указанный процесс и все дочерние процессы, которые были им запущены:
taskkill /PID <pid1> /PID <pid2> /PID <pid3> /T