O que é o valor do registro “IsolatedCommand”? Que finalidade serve?

O que você está vendo é aparentemente um sintoma dos Win32 / FakeRean . Resumidamente,

Win32/FakeRean is a family of programs that claim to scan for malware and display fake warnings of malicious files. They then inform the user that they need to pay money to register the software in order to remove these non-existent threats.

Quando o Windows está tentando determinar o que fazer com arquivos de qualquer tipo, ele geralmente consulta a ramificação HKLM no registro para uma entrada para o tipo desejado. No entanto, se você já instalou um software que perguntou se queria que ele estivesse disponível apenas para você ou para todos os usuários da máquina, você viu um recurso integrado ao Windows. Quando você diz "Todos", suas entradas do Registro geralmente são gravadas no HKLM hive. Se você disse sozinho, essas entradas geralmente vão para a seção HKCU . O que o Win32/FakeRean está fazendo é colocar entradas no HKCU hive que têm precedência sobre as do HKLM . Para arquivos executáveis, isso pode ser ruim.

Infelizmente, não consigo encontrar nenhuma documentação para a chave IsolatedCommand (consultei o TechNet e o MSDN), mas, pelo nome, acho que ela controla como um processo é criado. Eu posso dizer-lhe que é normal e necessário no HKLM hive.

Encontrei isso ao pesquisar sobre a mesma pergunta:

link

Under command change the default value to "%1" %* just as it is in HKLM, and add a new String value called 'IsolatedCommand' with the same value as default. With these settings, very little has changed on the system or its operation.

> However, if we change the 'IsolatedCommand' String to 'notepad.exe' and attempt to 'Run As Administrator' on that system using any binary guess what happens? Notepad! (as Admin). w00t.