Como configurar o Desktops.exe como um programa autorun usando o cmd

2

O cenário é assim. Um computador está infectado com um ransomware e você não pode fazer mais nada e tudo que você tem é uma janela de prompt de comando. Agora, como você define o Desktops.exe como um programa de execução automática para que você possa acioná-lo usando uma combinação de teclado para iniciar uma área de trabalho virtual onde você possa solucionar o problema?

    
por Neil 02.12.2013 / 09:01

2 respostas

5

Primeiro: você está fazendo isso de trás para a frente.
A primeira prioridade é limpar a máquina.
E a única maneira certa de fazer isso é inicializar a partir de um meio de recuperação e digitalizar / limpar a máquina a partir de lá.

Mas às vezes você não tem escolha. Exemplo: Quando você tem uma máquina que usa alguma forma de criptografia de disco, não é possível acessar o disco rígido quando inicializado de outra mídia.

Nesse caso, inicialize-o em "Modo de segurança com prompt de comando".
Em seguida, execute o regedit (há uma GUI, mas não um shell do Explorer em execução nesse momento). No regedit, vá para HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run. Adicione seu programa autorun como entrada extra nessa chave.
Alternativamente, você pode usar o comando REG.EXE para fazer o mesmo a partir da linha de comando.

(É uma boa idéia remover TODAS as outras entradas da chave Run enquanto você estiver nela. Uma delas pode fazer parte do malware. Você pode usar a função de exportação do Regedit para salvá-las temporariamente em um arquivo. )

Uma alternativa para isso é alterar o shell de logon do explorer.exe para um gerenciador de arquivos (como TotalCommander ou DirOpus). Às vezes, adicionar entradas de execução automática não funciona, mas o uso de um shell alternativo não funciona. Isso está na chave NT \ CurrentVersion \ WinLogon HKLM \ Software \ Microsoft \ Windows. Você terá que alterar o valor da entrada "Shell" para isso (você pode usar um caminho completo para o executável).

Por favor, note que adicionar um programa extra, que depende da entrada do teclado enquanto o malware está ativo, pode não funcionar. O malware pode facilmente seqüestrar qualquer entrada de teclado, impedindo assim que o seu programa seja ativado.

    
por 02.12.2013 / 09:36
0

Abrir arquivo:

openfiles /Query /FO:csv | more

Exibir arquivos abertos da rede NetBIOS:

net files

Linha de comando do processo, legenda, Pid:

Wmic process get CommandLine, name, ProcessId | more

Caminho do processo, legenda, Pid:

Wmic process get ExecutablePath, name, ProcessId | more

Processo ativo de rede:

netstat -aon | findstr [1-9]\. | more

Processo ativo de rede com nome:

netstat -baon | more

Lista de tarefas:

wmic job list STATUS

Lista do Autorun:

wmic startup list full | more

Ver o módulo de importação (versão Embarcadero ou Borland):

tdump -w hal*.dll | find "Imports from "

Remova todas as permissões e permita que o usuário desative todas:

cacls <filename> /T /C /P %username%:N

Encerra o processo especificado e qualquer processo filho iniciado por ele:

taskkill /PID <pid1> /PID  <pid2>  /PID  <pid3>  /T
    
por 02.12.2013 / 10:35