Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

1 z 17

09-10-14 09:53

Drukowana wersja tematu

Kliknij tu, aby zobaczyć temat w orginalnym formacie

Internet & Windows & Hardware FORUM _ Wirusy i Spyware - Bezpieczeństwo w sieci _
Naprawianie szkód systemowych

Napisany przez: picasso 4/11/2005, 5:43

.

Przywracanie prawidłowego DNS

.

Naprawianie firewalla XP SP2

.

Naprawianie Centrum Zabezpieczeń XP SP2

.

Przywracanie skasowanego trybu awaryjnego

.

Naprawianie uszkodzonych rozszerzeń

.

Znoszenie blokad systemowych (regedit / cmd / taskmgr etc.)

.

-------->

Metody naprawy Windows Vista

.

http://www.searchengines.pl/index.php?showtopic=79791&st=0&p=405820&#entry405820

.

http://www.searchengines.pl/index.php?showtopic=13280&st=0&p=397093&#entry397093

.

http://www.searchengines.pl/index.php?s=&showtopic=5904

.

Napisany przez: picasso 4/11/2005, 5:43

Przywracanie prawidłowego DNS

Resetowanie serwerów DNS

Po użyciu narzędzia http://www.searchengines.pl/Kolekcja-narzedzi-usuwajacych-!-t31936.html mogą
pozostać w logu zapisy szkodliwych DNS przedziału

69.50.x.x

,

195.95.x.x

,

195.225.x.x

,

85.255.x.x

(gdzie x to zmienne liczby). Przykład z forum:

O17 - HKLM\System\CCS\Services\Tcpip\..\{215D38FD-6262-45E2-B17D-8EBD86693A4C}: NameServer
= 85.255.114.102 85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{866F4C4B-4F8F-495E-AFDB-4E59432BF411}: NameServer
= 85.255.114.102,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1926F93-C83D-482E-9010-1D0BF5841009}: NameServer
= 85.255.114.102,85.255.112.83
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

2 z 17

09-10-14 09:53

Wystarczy te wpisy usunąć za pomocą HijackThis. Jeśli po usuwaniu Hijackiem będą naokrągło wracać należy
skorzystać z ręcznej metody przepisania DNS:

Control panel / Panel sterowania >>> Network Connections / Połączenia sieciowe >>> z prawokliku na
widniejące tam a aktualnie używane połączenie wybrać Properties / Właściwości:

Podświetlić Internet Protocol (TCP/IP) >>> klik w Properties / Właściwości >>> zjechać na dół do sekcji
serwerów DNS gdzie wg wszelkiego prawdopodobieństwa powinny widnieć szkodliwe adresy:

I teraz mamy różne scenariusze zależne od waszych typów łącz i dostawców internetowych:

1. Jeśli serwery DNS są przypisywane automatycznie (zmiennie) to zaznaczacie opcję Obtain DNS server
address automatically / Uzyskaj adres serwera DNS automatycznie (pole serwerów ma być puste i
zszarzone):

2. Jeśli serwery DNS są przypisywane statycznie (ściśle określone) to zaznaczacie opcję Use the following
DNS server addresses / Użyj następujących serwerów DNS wpisując wybrane (w przykładzie serwery

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

3 z 17

09-10-14 09:53

Inetii - każdy dobiera zgodne z jego dostawcą):

Po skonfigurowaniu opcji zatwierdzacie wybór i resetujecie komputer. Kolejny krok to:

Opróżnianie cache DNS

Finałowym pociągnięciem po zresetowaniu DNS na właściwe dostawcy internetowego jest opróżnienie
zapamiętanych szkodliwych adresów IP. Opróżnienie bufora wykonujemy poleceniem:

Start >>> Uruchom >>> cmd i wpisz ipconfig /flushdns

Microsoft Windows XP [Version 5.1.2600]
Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Aretuza>

ipconfig /flushdns

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

C:\Documents and Settings\Aretuza>_

UWAGA: Polecenie ipconfig /flushdns nie jest ani konieczne ani nawet nie będzie mogło się wykonać jeśli jest
wyłączona usługa Klient DNS, która odpowiada za keszowanie DNS. Jeśli po wpisaniu polecenia otrzymacie
błąd Could not flush the DNS Resolver Cache: Function failed during execution / Nie można opróżnić pamięci
podręcznej programu rozpoznawania nazw DNS: Niepowodzenie funkcji podczas jej wykonywania to jest
właśnie ten przypadek.

Na koniec, po zresetowaniu cache DNS i wznowieniu aktywności internetowej, można podglądnąć czy
rozpoczęte na nowo keszowanie jest wolne od szkodliwych adresów. Wykonujemy to poleceniem:

Start >>> Uruchom >>> cmd i wpisz ipconfig /displaydns

Microsoft Windows XP [Version 5.1.2600]
Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Aretuza>

ipconfig /displaydns

Windows IP Configuration

www.searchengines.pl
----------------------------------------
Record Name . . . . . : www.searchengines.pl
Record Type . . . . . : 1
Time To Live . . . . : 83733
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 195.149.226.63

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

4 z 17

09-10-14 09:53

... i tak dalej ... cache mo

ż

e by

ć

spore

Jeśli adresy IP będą różne a zgodne z danymi domenami i nie pokaże DNS przedziału 85.255.x.x to wszystko
jest w porządku. Jeśli "od góry do dołu" przy obojętnej ze stron będzie tkwić jeden i ten sam szkodliwy DNS
należy powtórzyć kroki konfiguracji DNS i opróżniania bufora.

.

Napisany przez: picasso 1/05/2006, 3:04

Naprawianie firewalla XP SP2

Objawy

Próba otworzenia apletu Zapora systemu Windows w Panelu sterowania zwraca błąd:

Z powodu niezidentyfikowanego problemu systemu Windows nie można wyświetlic ustawień Zapory systemu
Windows

Inna jego wariacja to:

Nie można wyświetlić ustawień Zapory systemu Windows, ponieważ skojarzona usługa nie jest uruchomiona.
Czy chcesz uruchomić usługę Zapora systemu Windows/Udostępnianie połączenia internetowego?

Zaś zatwierdzenie próby aktywania usługi przyciskiem Tak kończy się kolejnym błędem:

System Windows nie może uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia
internetowego.

W konsoli Usług dostępnej przez Start >>> Uruchom >>> services.msc usługa zapory może być zupełnie
niedostępna, a jeśli nawet tam figuruje, to jej próba uruchomienia zwraca kolejny miły błędzik:

Nie można uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na
komputerze lokalnym.
Błąd 0x80004015: Klasa jest skonfigurowana do pracy jako identyfikator bezpieczeństwa inny niż wywołujący

Wszystko co powyżej świadczy o skasowanym lub uszkodzonym w rejestrze kluczu

SharedAccess

np. na

skutek działalności szkodnika (lubi to przeprowadzać seria rootkitów Backdoor.Haxdoor).

Naprawa

Proszę ściągnąć plik zrobiony przez picasso:

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/reg/firewall.reg

Zastartować do trybu awaryjnego i plik ten uruchomić. Po restarcie komputera skonfigurować Zaporę w
Panelu sterowania.

UWAGI:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

5 z 17

09-10-14 09:53

- Ustawiłam jako otwarte porty NetBIOS na wypadek gdyby korzystający z fixa mieli połączenie internetowe
zależne od działania NetBIOS. W przeciwnym przypadku użyć Windows Woorms Doors Cleaner by je
zamknąć.
- Ustawiłam domyślne parametry zapory (czyli Automatyczny start usługi + domyślne reakcje monitoringu
Centrum Zabezpieczeń). Kogoś nie zadawala = zrekonfigurować.

Jeśli po użyciu rega problem pozostanie nierozwiązany:

Start >>> Uruchom >>>

rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132

%WinDir%\inf\netrass.inf

Jeśli po wszystkich powyższych operacjach opcje firewala będą zszarzałe dla XP Pro można zastosować:

Start >>> Uruchom >>> gpedit.msc

Konfiguracja komputera >>> Szablony administracyjne >>> Sieć >>> Połączenia sieciowe >>> Zapora
systemu Windows

Dla Profil standardowy i Profil domenowy z skonfiguruj opcje włączenia na "nie skonfigurowane". Jeśli już
są "nieskonfigurowane" to przestaw na chwilę na Włącz a po tym wróć do ustawienia nieskonfigurowane.
Po tym zresetuj komputer.

.

Napisany przez: picasso 12/03/2007, 1:34

Naprawianie Centrum zabezpieczeń

Objawy

Wchodząc w Panel sterowania przy próbie kliku na ikonkę Centrum można ujrzeć napis "Centrum
zabezpieczeń jest obecnie niedostępne ponieważ usługa nie jest uruchomiona lub została zatrzymana" / "The
security center is currently unavailable because the security center service has not started or was stopped".
Niemniej próba uruchomienia usługi w services.msc zwróci informację "Nie można uruchomić usługi Centrum
Zabezpieczeń na komputurze lokalnym" / "Could not start the Security Center service on Local Computer" z
następującymi kodami liczbowymi do wyboru:

Error 1083:

Error 1083: The executable program that this service is configured to run in does not implement the service.
Błąd 1083: Program wykonywalny w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie
implementuje usługi

Error 123:

Error 123: The filename, directory name, or volume label syntax is incorrect.
Błąd 123: Nazwa katalogu lub składnika woluminu jest niepoprawna

Error 2:

Error 2: The system cannot find the file specified.
Błąd 2: System nie może znaleźć określonego pliku

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

6 z 17

09-10-14 09:53

Error 3:

Error 3: The system cannot find the specified path
Błąd 3: System nie może odnaleźć określonej ścieżki

Naprawa

Gotowe narzędzie naprawiające Centrum Zabezpieczeń:

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/wscfix.zip

Uruchomić i kliknąć Inspect and Fix:

Otrzymamy komunikat po ukończeniu napraw:

Resetujemy komputer by zmiany weszły w życie.

Notatka dodatkowa: Jeśli Dane Centrum zabezpieczeń są nieadekwatne, np. pokazują nieobecny i już
odinstalowany z systemu program zabezpieczający, należy wykonać przebudowę Repozytorium:
http://www.searchengines.pl/index.php?showtopic=100818.

.

Napisany przez: picasso 12/03/2007, 1:34

Przywracanie Trybu awaryjnego

Komputer nie jest w stanie przejść w tryb awaryjny a log z ComboScan pokazuje taki zapis:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

7 z 17

09-10-14 09:53

SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.

Typowo akcję kasowania z rejestru klucza trybu awaryjnego SafeBoot przeprowadza rootkit Bagle. Sposób
naprawy zależy od życzeń / możliwości użytkownika oraz stanu systemu. Jeśli komputer nie był zresetowany
od czasu infekcji ani też nie zaszły potężne zmiany konfiguracyjne można od razu wykorzystać opcję
Ostatniej dobrej konfiguracji. Jeśli resety się jednak wykonywały mamy cztery potencjalne warianty:

Je

ś

li jest wł

ą

czone Przywracanie systemu

Dla komputera, który w trakcie trwania infekcji był resetowany a jest włączone Przywracanie systemu. Ktoś
kto ma włączone Przywracanie systemu może oczywiście natychmiast z tego skorzystać cofając system do
daty sprzed infekcji i tak już pozostawić bez kombinowania. Jednakże jeśli na komputerze od czasu
ostatniego dobrego punktu przywracania zaszły duże zmiany, które użytkownik chce zachować, można
wykorzystać trik z przywróceniem systemu do tej daty, eksportem klucza SafeBoot i ponownym odwróceniu
właśnie zrobionego Przywracania oraz finalnym importem uzyskanego rega. Akcja:

1. Wykonanie Przywracania systemu:

Uruchamiamy narzędzie Przywracania systemu dostępne w Start >>> Wszystkie programy >>> Akcesoria
>>> Narzędzia systemowe. Zaznaczamy opcję "Przywróć komputer do wcześniejszego stanu" a z kalendarza
wybieramy przedinfekcyjną datę i cofamy system.

2. Eksport klucza Safeboot:

System uzyskał status czysty i posiada klucz tryb awaryjnego, który wyeksportujemy:

Start >>> Uruchom >>> regedit i przejść do klucza:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Z prawokliku na klucz SafeBoot wybrać opcję Eksportu:

Zapisać jako plik safeboot.reg w dowolnym wygodnym miejscu dysku np. na Pulpicie.

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

8 z 17

09-10-14 09:53

3. Odwrócenie Przywracania systemu:

Mamy wyeksportowany klucz to teraz możemy odwrócić wykonane Przywracanie systemu. Skaczemy w to
samo miejsce w Akcesoriach i tam wybieramy opcję "Cofnij moje ostatnie przywracanie". Zmiany zostaną
cofnięte i jako efekt uzyskamy ponownie system z uszkodzonym kluczem trybu awaryjnego. I przechodzimy
do meritum:

4. Import pliku safeboot.reg:

Dwuklik na plik safeboot.reg, potwierdzić import do rejestru. Zresetować komputer i sprawdzić czy ładuje się
tryb awaryjny.

Je

ś

li

ż

adna z opcji powy

ż

ej nie jest dost

ę

pna

Dla komputera, który nie posiada Ostatniej dobrej konfiguracji (bo jest zanieczyszczona zapisami Bagle) ani
włączonego Przywracania systemu lub Przywracanie systemu mięknie. Jest to metoda "przez hive", którą dziś
wymyśliłam. Otóż brakujący klucz SafeBoot można wyciągnąć w łatwy sposób z kopii post-instalacyjnej
tworzonej przez Windows w folderze C:\WINDOWS\Repair. Ten folder trzyma czyste ustawienia Windows
powstałe zaraz po jego zainstalowaniu. Nie są w żaden sposób modyfikowane. Z grupy plików tego folderu
będzie nas interesował tylko jeden o nazwie system. Plik ten załadujemy jako gałąź roboczą do edytora
rejestru i z niego wyeksportujemy SafeBoot. Akcja:

1. Załadowanie gałęzi i eksport klucza Safeboot:

Start >>> Uruchom >>> regedit i podświetlamy klucz HKEY_LOCAL_MACHINE:

Wybieramy menu File (Plik) >>> Load Hive (Załaduj gałąź Rejestru):

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

9 z 17

09-10-14 09:53

- Wskazujemy plik C:\WINDOWS\repair\system

- Padnie pytanie o nazwę "roboczą" = dowolna, tu wpisałam Test:

Jako efekt pojawi się nowa gałązka pod nazwą jaką wybraliście (tu Test):

Rozwinąć tę nową gałązkę i przejść do klucza:

HKEY_LOCAL_MACHINE\Test\ControlSet001\Control\Safeboot

Z prawokliku na klucz SafeBoot wybrać opcję Eksportu:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

10 z 17

09-10-14 09:53

Zapisać jako plik safeboot.reg w dowolnym wygodnym miejscu dysku np. na Pulpicie:

Podświetlamy naszą gałąź Test i z menu File (Plik) >>> Unload Hive (Zwolnij gałąź) :

Dostaniemy pytanie o deinstalację gałęzi, które należy potwierdzić:

Finalnie nasza gałąź ma się upłynnić z widoku:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

11 z 17

09-10-14 09:53

Zamykamy edytor rejestru.

2. Edycja wyeksportowanego pliku:

Ostatni punkt z tych "mozolnych" to wyedytowanie pliku safeboot.reg w Notatniku, gdyż nie zgadzają się na
teraz ścieżki dostępu. Zamiast klucza SYSTEM jest ta nazwa, którą wprowadzaliśmy roboczo (w przykładzie
Test) a także jest odnośnik do ControlSet001 a nie CurrentControlSet. Z prawokliku otwieramy plik
safeboot.reg do edycji w Notatniku:

Z klawiatury trzaskamy kombinację CTRL+H co wywoła okno zamiany tekstu. W pierwszym polu wpisujemy
fragment ścieżki Test\ControlSet001 (przypominam: pod Test podstawiacie tę nazwę jaką nadaliście
gałęzi!) a w drugim polu wpisujemy następny fragment ścieżki SYSTEM\CurrentControlSet (słowo SYSTEM
z dużej litery) i wciskamy Replace all (Zamień wszystkie):

Tekst ulegnie podmianie i otrzymamy wreszcie finalny prawidłowy plik:

Zapisujemy zmiany w pliku!

3. Import pliku safeboot.reg:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

12 z 17

09-10-14 09:53

Dwuklik na plik safeboot.reg, potwierdzić import do rejestru. Zresetować komputer i sprawdzić czy ładuje się
tryb awaryjny.

Je

ś

li nie ma mo

ż

liwo

ś

ci eksportu klucza

Jeśli nie macie skąd brać klucza Safeboot do eksportu w ostateczności możecie skorzystać z mojego (dla XP
SP2):

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/safeboot.zip

Rozpakować, uruchomić i potwierdzić import ..... Zresetować komputer i sprawdzić czy jest możliwe przejście
w tryb awaryjny.

Je

ś

li system zupełnie nie startuje

.... lub są inne problemy wykonawcze wcześniej opisywanych metod. Najgorszy z wariantów stanu systemu.
Zostają wam dwie w miarę polubowne opcje:

1. Nakładkowa reperacja Windows wg tego sposobu:

http://www.searchengines.pl/phpbb203/index.php?showtopic=24500&st=0&p=109540&#entry109540

Nie jest to żaden format lecz reperacja i wasze dane / konta / programy zostaną nietknięte.

2. Stworzenie na innym komputerze płyty LiveCD przy udziale BartPe Builder:

http://www.searchengines.pl/phpbb203/index.php?showtopic=84581

Zbootowanie z tej płyty i próba edycji rejestru przez metodę ładowania gałęzi.

.

Napisany przez: picasso 16/03/2007, 4:18

Naprawianie uszkodzonych rozszerzeń

Objawy

Próba otwierania danych plików zwróci błędy w stylu "Nie można otworzyć ... wybierz program z listy" / "Nie
można odnaleźć określonego pliku". Pliki mogą (lecz nie muszą) mieć zmienioną ikonę na typ "generic":

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

13 z 17

09-10-14 09:53

W logach z Silent Runners i ComboScan będą tego typu zapiski key not found / unable to read key:

Default executables:
--------------------

HKLM\Software\Classes\batfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\batfile\

HKLM\Software\Classes\cmdfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\cmdfile\

HKLM\Software\Classes\comfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\comfile\

HKLM\Software\Classes\exefile\shell\open\command\ = (key not found)
HKLM\Software\Classes\exefile\

HKLM\Software\Classes\scrfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\scrfile\

-- File Associations -----------------------------------------------------------

.bat - unable to read key
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - unable to read key
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - unable to read key
.pif - unable to read key
.reg - unable to read key
.scr - unable to read key
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*

Nie działające *.EXE

Gotowy fix, który odblokowuje EXE / REG / BAT / COM / PIF / SCR mające przepisane komendy otwierające:

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/unhookexec.inf

Ściągnąć plik na dysk (Firefox / Opera: klik prawym na link i opcja Zapisz, inaczej plik INF otworzy się w
nowej zakładce). Po ściągnięciu z prawokliku wybrać opcję Instaluj. Jeśli ta akcja nie pomoże (lub
rozszerzenie *.INF też jest charatnięte) należy skorzystać z gotowych plików reg (naprawiacz fix_exe.reg
naprawia też rozszerzenie *.LNK):

Jeśli rozszerzenie *.REG działa

Seria gotowych zrobionych przeze mnie plików naprawiających dane rozszerzenie:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

14 z 17

09-10-14 09:53

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_bat.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_chm.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_cmd.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_com.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_exe.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_hlp.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_inf.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_ini.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_pif.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_scr.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_txt.reg

Ściągnąć wybrany plik na dysk (Firefox / Opera: klik prawym na link i opcja Zapisz, inaczej plik REG otworzy
się w nowej zakładce). Po ściągnięciu dwuklik na plik a na pytanie o import do rejestru zatwierdzić.
Zresetować komputer.

Uwaga: Jeśli rozszerzenie EXE jest uszkodzone może być trudność z importem plików REG i otwieraniem
edytora REGEDIT. Obejście to: wywołać Menedżer zadań przez ALT+CTRL+DEL. Menu File / Plik i
przytrzymując wciśnięty klawisz CTRL wybrać opcję New Task / Nowe zadanie. To automatycznie wywoła linię
komend Windows, w której wpisać REGEDIT.EXE i z palca w ENTER. Otworzy się edytor rejestru, w którym z
menu File / Plik wybrać opcję Importu wskazując konkretne pliki *.REG.

Jeśli rozszerzenie *.REG jest uszkodzone

Jeśli *.REG widnieje jako pokiereszowany w logach, nie pomaga ani Unhookexec.inf ani obejście z
ALT+CTRL+DEL >>> REGEDIT.EXE >>> Import, w oczywisty sposób nie możecie do naprawy rozszerzeń
brać gotowych plików REG, które linkuję. Nie będą się chciały importować. Naprawa jest o wiele trudniejsza i
zakłada że działa edytor rejestru jako taki. Naprawa roszerzenia REG będzie ręczna i przeklejam z jednego z
tematów jak to ma wyglądać:

Start >>> Uruchom >>> regedit

[jeśli edytor nie otwiera się tą metodą wykorzystać trik z ALT+CTRL+DEL by go uruchomić przez linię
komend]

I przechodzisz do klucza (jeśli go nie ma to go tworzysz):

HKEY_CLASSES_ROOT\.reg

W kluczu .reg dwuklik na wartość (Domyślną) i jako dane wartości wpisujesz regfile:

http://img148.imageshack.us/img148/1959/reg1kt6.gif

W kluczu .reg tworzysz podklucz PersistentHandler a w nim dwuklik na wartość (Domyślną) i jako dane
wartości wpisujesz {5e941d80-bf96-11cd-b579-08002b30bfeb}:

http://img92.imageshack.us/img92/9306/reg23un9.gif

Teraz bardziej zamotana część. Przechodzisz do klucza (jeśli go nie ma to go tworzysz):

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

15 z 17

09-10-14 09:53

HKEY_CLASSES_ROOT\regfile

I oto obrazki jak ma być wyedytowane (wejście Edit With Registrar omijacie = to od mojego dodatkowego
edytora):

http://img87.imageshack.us/img87/3677/reg3zs6.gif

http://img87.imageshack.us/img87/3312/reg4bk2.gif

http://img68.imageshack.us/img68/8537/reg5ui5.gif

http://img155.imageshack.us/img155/8466/reg6uk4.gif

http://img149.imageshack.us/img149/9985/reg7ui2.gif

http://img89.imageshack.us/img89/8034/reg8gp6.gif

http://img465.imageshack.us/img465/71/reg9op7.gif

Tu wyciąg tekstowy by łatwiej było wam edytować:

[HKEY_CLASSES_ROOT\regfile]

(Domyślna)

REG_SZ

Registration Entries

EditFlags

REG_DWORD

w heksadecymalnym

100000

[HKEY_CLASSES_ROOT\regfile\DefaultIcon]

(Domyślna)

REG_EXPAND_SZ

%SystemRoot%\regedit.exe,1

[HKEY_CLASSES_ROOT\regfile\shell]

[HKEY_CLASSES_ROOT\regfile\shell\edit]

[HKEY_CLASSES_ROOT\regfile\shell\edit\command]

(Domyślna)

REG_EXPAND_SZ

%SystemRoot%\system32\NOTEPAD.EXE %1

[HKEY_CLASSES_ROOT\regfile\shell\open]

(Domyślna)

REG_SZ

Merge

[HKEY_CLASSES_ROOT\regfile\shell\open\command]

(Domyślna)

REG_SZ

regedit.exe "%1"

[HKEY_CLASSES_ROOT\regfile\shell\print]

[HKEY_CLASSES_ROOT\regfile\shell\print\command]

(Domyślna)

REG_EXPAND_SZ

%SystemRoot%\system32\NOTEPAD.EXE /p %1

(Nazwa Wartości)

Typ wartości

Dane wartości

Po zedytowaniu jak podane wyżej zresetować komputer. Teraz można importować inne pliki REG
naprawiające resztę uszkodzonych rozszerzeń.

BTW. Jest jeszcze możliwość przywracania rozszerzeń przez linię komend i polecenia assoc i ftype ale na
razie wątek zostawiam. Może kiedyś zrobię takie pliki hurtowo kojarzące.

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

16 z 17

09-10-14 09:53

.

Napisany przez: picasso 23/03/2007, 16:04

Pomocny program System Repair Engineer (SREng):

http://www.searchengines.pl/index.php?showtopic=13280&st=0&p=397093&#entry397093

Zawiadamiam tutaj bo ma opcje naprawy systemu w tym uszkodzonych rozszerzeń i Winsock (patrz
zakładka System Repair).

Napisany przez: picasso 4/05/2007, 0:55

Od autora programu DSS aplikacja Deckard's Association Fix (DAFT):

http://www.techsupportforum.com/sectools/Deckard/daft.exe

Automatyczny naprawiacz rozszerzeń.

Napisany przez: picasso 14/08/2008, 9:55

Zdejmowanie blokad systemowych

Błędy typu "... wyłączone przez administratora sieci"

FixPolicies

Oto zbiorczy fiks dedykowany zwłaszcza komputerom zaatakowanym przez malware, który pozwala
resetować zablokowane przez szkodniki ustawienia systemowe. Jest to możliwe mimo zablokowania narzędzi
systemowych, ponieważ FixPolicies bazuje na alternatywnym konsolowym edytorze rejestru
http://www.xs4all.nl/~fstaal01/swreg-us.html (w zasadzie większość naszych naprawiaczy posługuje się
nim). W skład napraw wchodzi: odblokowywanie rejestru regedit / menedżera zadań / panelu sterowania /
linii komend cmd, przywracanie widoczności Uruchom / Wyszukaj etc w Menu Start, przywracanie
niewidocznych Opcji folderów oraz niektórych menu kontekstowych prawokliku, znoszenie blokad
uniemożliwiających przestawienie opcji relatywnych do pokazywania ukrytych plików (patrz: infekcje z
pendrive). Dodatkowo też ustawień dla Przywracania systemu i Windows Update.

Pobierz: http://downloads.malwareremoval.com/BillCastner/FixPolicies.exe

Pobrane FixPolicies.exe uruchomić przez dwuklik.
Wybrać opcję "Install".
Narzędzie rozpakuje się do folderu FixPolicies.
Ze środka folderu uruchomić plik baczowy Fix_Policies.cmd.
Otworzy się czarne okno linii komend, które po ukończeniu akcji samoczynnie się zamknie.

Dial-a-Fix

Ten program z kolei jest przeznaczony do ogólniejszych reperacji defektów Windows: błędów Windows
Update, problemów z Automatycznymi Aktualizacjami, Usługami kryptograficznymi, SSL, HTTPS,
COM/ActiveX. Również ma opcje resetowania Policies. Niemniej jest to inny program i jest różnica między
nim a FixPolicies. FixPolicies zostało skonstruowane na bazie obserwacji zachowań malware i adresuje triki
nie uwzględnione w Dial-a-Fix. Wywód na ten temat jest tu: http://forums.pcworld.com/docs/DOC-1641.

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

17 z 17

09-10-14 09:53

Pobierz: http://wiki.lunarsoft.net/wiki/Dial-a-fix

.

Powered by Invision Power Board (http://www.invisionboard.com)

© Invision Power Services (http://www.invisionpower.com)