Answers:
第一:您正在倒退。
首先要清洁机器。
唯一可行的方法是从应急媒体启动并从那里扫描/清洁机器。
但是有时候你别无选择。示例:如果您有一台使用某种形式的磁盘加密的计算机,那么当从其他介质启动时,您将无法使用硬盘。
在这种情况下,请以“带命令提示符的安全模式”启动它。
然后运行regedit(有一个GUI,当时没有运行的Explorer shell)。
在regedit中,转到HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run。将您的自动运行程序添加为该键中的额外条目。
或者,您可以使用REG.EXE命令从命令行执行相同的操作。
(一个好主意是在运行时从“运行”键中删除所有其他条目。其中一个可能是恶意软件的一部分。您可以使用Regedit的导出功能将它们临时保存在文件中。)
替代方法是将登录外壳程序从explorer.exe更改为文件管理器(例如TotalCommander或DirOpus)。
有时添加自动运行项不起作用,但是使用备用外壳则可以。
那是在密钥HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ WinLogon中。您将必须为此更改“ Shell”条目的值(可以使用可执行文件的完整路径)。
请注意,在恶意软件处于活动状态时添加依赖于键盘输入的额外程序可能无法正常工作。该恶意软件可以轻易劫持任何键盘输入,从而阻止您的程序被激活。
打开文件:
openfiles /Query /FO:csv | more
查看NetBIOS网络打开的文件:
net files
处理命令行,标题,Pid:
Wmic process get CommandLine, name, ProcessId | more
处理路径,标题,Pid:
Wmic process get ExecutablePath, name, ProcessId | more
网络活动过程:
netstat -aon | findstr [1-9]\. | more
网络活动进程,名称为:
netstat -baon | more
工作清单:
wmic job list STATUS
自动运行列表:
wmic startup list full | more
查看导入dll模块(Embarcadero或Borland版本):
tdump -w hal*.dll | find "Imports from "
删除所有权限并允许用户禁用所有权限:
cacls <filename> /T /C /P %username%:N
终止指定的进程及其启动的任何子进程:
taskkill /PID <pid1> /PID <pid2> /PID <pid3> /T
you can't do anything else and all you have is a command prompt windowНere没有说您想要使用什么。在这里,您仅在受感染的系统上有一个命令行,并且可以通过它进行操作。