Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
Drukowana wersja tematu
Kliknij tu, aby zobaczyć temat w orginalnym formacie
Internet & Windows & Hardware FORUM _ Wirusy i Spyware - Bezpieczeństwo w sieci _
Naprawianie szkód systemowych
Napisany przez: picasso 4/11/2005, 5:43
. Przywracanie prawidłowego DNS
. Naprawianie firewalla XP SP2
. Naprawianie Centrum Zabezpieczeń XP SP2
. Przywracanie skasowanego trybu awaryjnego
. Naprawianie uszkodzonych rozszerzeń
. Znoszenie blokad systemowych (regedit / cmd / taskmgr etc.)
. --------> Metody naprawy Windows Vista
. http://www.searchengines.pl/index.php?showtopic=79791&st=0&p=405820entry405820
. http://www.searchengines.pl/index.php?showtopic=13280&st=0&p=397093entry397093
. http://www.searchengines.pl/index.php?s=&showtopic=5904
.
Napisany przez: picasso 4/11/2005, 5:43
Przywracanie prawidłowego DNS
Resetowanie serwerów DNS
Po u\yciu narzędzia http://www.searchengines.pl/Kolekcja-narzedzi-usuwajacych-!-t31936.html mogą
pozostać w logu zapisy szkodliwych DNS przedziału 69.50.x.x, 195.95.x.x, 195.225.x.x, 85.255.x.x
(gdzie x to zmienne liczby). Przykład z forum:
O17 - HKLM\System\CCS\Services\Tcpip\..\{215D38FD-6262-45E2-B17D-8EBD86693A4C}: NameServer
= 85.255.114.102 85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{866F4C4B-4F8F-495E-AFDB-4E59432BF411}: NameServer
= 85.255.114.102,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1926F93-C83D-482E-9010-1D0BF5841009}: NameServer
= 85.255.114.102,85.255.112.83
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83
1 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
Wystarczy te wpisy usunąć za pomocą HijackThis. Jeśli po usuwaniu Hijackiem będą naokrągło wracać nale\y
skorzystać z ręcznej metody przepisania DNS:
Control panel / Panel sterowania >>> Network Connections / Połączenia sieciowe >>> z prawokliku na
widniejące tam a aktualnie u\ywane połączenie wybrać Properties / Właściwości:
Podświetlić Internet Protocol (TCP/IP) >>> klik w Properties / Właściwości >>> zjechać na dół do sekcji
serwerów DNS gdzie wg wszelkiego prawdopodobieństwa powinny widnieć szkodliwe adresy:
I teraz mamy ró\ne scenariusze zale\ne od waszych typów łącz i dostawców internetowych:
1. Jeśli serwery DNS są przypisywane automatycznie (zmiennie) to zaznaczacie opcję Obtain DNS server
address automatically / Uzyskaj adres serwera DNS automatycznie (pole serwerów ma być puste i
zszarzone):
2. Jeśli serwery DNS są przypisywane statycznie (ściśle określone) to zaznaczacie opcję Use the following
DNS server addresses / U\yj następujących serwerów DNS wpisując wybrane (w przykładzie serwery
2 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
Inetii - ka\dy dobiera zgodne z jego dostawcÄ…):
Po skonfigurowaniu opcji zatwierdzacie wybór i resetujecie komputer. Kolejny krok to:
Opró\nianie cache DNS
Finałowym pociągnięciem po zresetowaniu DNS na właściwe dostawcy internetowego jest opró\nienie
zapamiętanych szkodliwych adresów IP. Opró\nienie bufora wykonujemy poleceniem:
Start >>> Uruchom >>> cmd i wpisz ipconfig /flushdns
Microsoft Windows XP [Version 5.1.2600]
Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Aretuza>ipconfig /flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
C:\Documents and Settings\Aretuza>_
UWAGA: Polecenie ipconfig /flushdns nie jest ani konieczne ani nawet nie będzie mogło się wykonać jeśli jest
wyłączona usługa Klient DNS, która odpowiada za keszowanie DNS. Jeśli po wpisaniu polecenia otrzymacie
błąd Could not flush the DNS Resolver Cache: Function failed during execution / Nie mo\na opró\nić pamięci
podręcznej programu rozpoznawania nazw DNS: Niepowodzenie funkcji podczas jej wykonywania to jest
właśnie ten przypadek.
Na koniec, po zresetowaniu cache DNS i wznowieniu aktywności internetowej, mo\na podglądnąć czy
rozpoczęte na nowo keszowanie jest wolne od szkodliwych adresów. Wykonujemy to poleceniem:
Start >>> Uruchom >>> cmd i wpisz ipconfig /displaydns
Microsoft Windows XP [Version 5.1.2600]
Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Aretuza>ipconfig /displaydns
Windows IP Configuration
www.searchengines.pl
----------------------------------------
Record Name . . . . . : www.searchengines.pl
Record Type . . . . . : 1
Time To Live . . . . : 83733
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 195.149.226.63
3 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
... i tak dalej ... cache mo\e być spore
Jeśli adresy IP będą ró\ne a zgodne z danymi domenami i nie poka\e DNS przedziału 85.255.x.x to wszystko
jest w porządku. Jeśli "od góry do dołu" przy obojętnej ze stron będzie tkwić jeden i ten sam szkodliwy DNS
nale\y powtórzyć kroki konfiguracji DNS i opró\niania bufora.
.
Napisany przez: picasso 1/05/2006, 3:04
Naprawianie firewalla XP SP2
Objawy
Próba otworzenia apletu Zapora systemu Windows w Panelu sterowania zwraca błąd:
Z powodu niezidentyfikowanego problemu systemu Windows nie mo\na wyświetlic ustawień Zapory systemu
Windows
Inna jego wariacja to:
Nie mo\na wyświetlić ustawień Zapory systemu Windows, poniewa\ skojarzona usługa nie jest uruchomiona.
Czy chcesz uruchomić usługę Zapora systemu Windows/Udostępnianie połączenia internetowego?
Zaś zatwierdzenie próby aktywania usługi przyciskiem Tak kończy się kolejnym błędem:
System Windows nie mo\e uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia
internetowego.
W konsoli Usług dostępnej przez Start >>> Uruchom >>> services.msc usługa zapory mo\e być zupełnie
niedostępna, a jeśli nawet tam figuruje, to jej próba uruchomienia zwraca kolejny miły błędzik:
Nie mo\na uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na
komputerze lokalnym.
Błąd 0x80004015: Klasa jest skonfigurowana do pracy jako identyfikator bezpieczeństwa inny ni\ wywołujący
Wszystko co powy\ej świadczy o skasowanym lub uszkodzonym w rejestrze kluczu SharedAccess np. na
skutek działalności szkodnika (lubi to przeprowadzać seria rootkitów Backdoor.Haxdoor).
Naprawa
Proszę ściągnąć plik zrobiony przez picasso:
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/reg/firewall.reg
Zastartować do trybu awaryjnego i plik ten uruchomić. Po restarcie komputera skonfigurować Zaporę w
Panelu sterowania.
UWAGI:
4 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
- Ustawiłam jako otwarte porty NetBIOS na wypadek gdyby korzystający z fixa mieli połączenie internetowe
zale\ne od działania NetBIOS. W przeciwnym przypadku u\yć Windows Woorms Doors Cleaner by je
zamknąć.
- Ustawiłam domyślne parametry zapory (czyli Automatyczny start usługi + domyślne reakcje monitoringu
Centrum Zabezpieczeń). Kogoś nie zadawala = zrekonfigurować.
Jeśli po u\yciu rega problem pozostanie nierozwiązany:
Start >>> Uruchom >>> rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132
%WinDir%\inf\netrass.inf
Jeśli po wszystkich powy\szych operacjach opcje firewala będą zszarzałe dla XP Pro mo\na zastosować:
Start >>> Uruchom >>> gpedit.msc
Konfiguracja komputera >>> Szablony administracyjne >>> Sieć >>> Połączenia sieciowe >>> Zapora
systemu Windows
Dla Profil standardowy i Profil domenowy z skonfiguruj opcje włączenia na "nie skonfigurowane". Jeśli ju\
są "nieskonfigurowane" to przestaw na chwilę na Włącz a po tym wróć do ustawienia nieskonfigurowane.
Po tym zresetuj komputer.
.
Napisany przez: picasso 12/03/2007, 1:34
Naprawianie Centrum zabezpieczeń
Objawy
Wchodząc w Panel sterowania przy próbie kliku na ikonkę Centrum mo\na ujrzeć napis "Centrum
zabezpieczeń jest obecnie niedostępne poniewa\ usługa nie jest uruchomiona lub została zatrzymana" / "The
security center is currently unavailable because the security center service has not started or was stopped".
Niemniej próba uruchomienia usługi w services.msc zwróci informację "Nie mo\na uruchomić usługi Centrum
Zabezpieczeń na komputurze lokalnym" / "Could not start the Security Center service on Local Computer" z
następującymi kodami liczbowymi do wyboru:
Error 1083:
Error 1083: The executable program that this service is configured to run in does not implement the service.
Błąd 1083: Program wykonywalny w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie
implementuje usługi
Error 123:
Error 123: The filename, directory name, or volume label syntax is incorrect.
Błąd 123: Nazwa katalogu lub składnika woluminu jest niepoprawna
Error 2:
Error 2: The system cannot find the file specified.
Błąd 2: System nie mo\e znalezć określonego pliku
5 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
Error 3:
Error 3: The system cannot find the specified path
Błąd 3: System nie mo\e odnalezć określonej ście\ki
Naprawa
Gotowe narzędzie naprawiające Centrum Zabezpieczeń:
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/wscfix.zip
Uruchomić i kliknąć Inspect and Fix:
Otrzymamy komunikat po ukończeniu napraw:
Resetujemy komputer by zmiany weszły w \ycie.
Notatka dodatkowa: Jeśli Dane Centrum zabezpieczeń są nieadekwatne, np. pokazują nieobecny i ju\
odinstalowany z systemu program zabezpieczający, nale\y wykonać przebudowę Repozytorium:
http://www.searchengines.pl/index.php?showtopic=100818.
.
Napisany przez: picasso 12/03/2007, 1:34
Przywracanie Trybu awaryjnego
Komputer nie jest w stanie przejść w tryb awaryjny a log z ComboScan pokazuje taki zapis:
6 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.
Typowo akcję kasowania z rejestru klucza trybu awaryjnego SafeBoot przeprowadza rootkit Bagle. Sposób
naprawy zale\y od \yczeń / mo\liwości u\ytkownika oraz stanu systemu. Jeśli komputer nie był zresetowany
od czasu infekcji ani te\ nie zaszły potę\ne zmiany konfiguracyjne mo\na od razu wykorzystać opcję
Ostatniej dobrej konfiguracji. Jeśli resety się jednak wykonywały mamy cztery potencjalne warianty:
Jeśli jest włączone Przywracanie systemu
Dla komputera, który w trakcie trwania infekcji był resetowany a jest włączone Przywracanie systemu. Ktoś
kto ma włączone Przywracanie systemu mo\e oczywiście natychmiast z tego skorzystać cofając system do
daty sprzed infekcji i tak ju\ pozostawić bez kombinowania. Jednak\e jeśli na komputerze od czasu
ostatniego dobrego punktu przywracania zaszły du\e zmiany, które u\ytkownik chce zachować, mo\na
wykorzystać trik z przywróceniem systemu do tej daty, eksportem klucza SafeBoot i ponownym odwróceniu
właśnie zrobionego Przywracania oraz finalnym importem uzyskanego rega. Akcja:
1. Wykonanie Przywracania systemu:
Uruchamiamy narzędzie Przywracania systemu dostępne w Start >>> Wszystkie programy >>> Akcesoria
>>> Narzędzia systemowe. Zaznaczamy opcję "Przywróć komputer do wcześniejszego stanu" a z kalendarza
wybieramy przedinfekcyjnÄ… datÄ™ i cofamy system.
2. Eksport klucza Safeboot:
System uzyskał status czysty i posiada klucz tryb awaryjnego, który wyeksportujemy:
Start >>> Uruchom >>> regedit i przejść do klucza:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Z prawokliku na klucz SafeBoot wybrać opcję Eksportu:
Zapisać jako plik safeboot.reg w dowolnym wygodnym miejscu dysku np. na Pulpicie.
7 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
3. Odwrócenie Przywracania systemu:
Mamy wyeksportowany klucz to teraz mo\emy odwrócić wykonane Przywracanie systemu. Skaczemy w to
samo miejsce w Akcesoriach i tam wybieramy opcjÄ™ "Cofnij moje ostatnie przywracanie". Zmiany zostanÄ…
cofnięte i jako efekt uzyskamy ponownie system z uszkodzonym kluczem trybu awaryjnego. I przechodzimy
do meritum:
4. Import pliku safeboot.reg:
Dwuklik na plik safeboot.reg, potwierdzić import do rejestru. Zresetować komputer i sprawdzić czy ładuje się
tryb awaryjny.
Jeśli \adna z opcji powy\ej nie jest dostępna
Dla komputera, który nie posiada Ostatniej dobrej konfiguracji (bo jest zanieczyszczona zapisami Bagle) ani
włączonego Przywracania systemu lub Przywracanie systemu mięknie. Jest to metoda "przez hive", którą dziś
wymyśliłam. Otó\ brakujący klucz SafeBoot mo\na wyciągnąć w łatwy sposób z kopii post-instalacyjnej
tworzonej przez Windows w folderze C:\WINDOWS\Repair. Ten folder trzyma czyste ustawienia Windows
powstałe zaraz po jego zainstalowaniu. Nie są w \aden sposób modyfikowane. Z grupy plików tego folderu
będzie nas interesował tylko jeden o nazwie system. Plik ten załadujemy jako gałąz roboczą do edytora
rejestru i z niego wyeksportujemy SafeBoot. Akcja:
1. Załadowanie gałęzi i eksport klucza Safeboot:
Start >>> Uruchom >>> regedit i podświetlamy klucz HKEY_LOCAL_MACHINE:
Wybieramy menu File (Plik) >>> Load Hive (Załaduj gałąz Rejestru):
8 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
- Wskazujemy plik C:\WINDOWS\repair\system
- Padnie pytanie o nazwę "roboczą" = dowolna, tu wpisałam Test:
Jako efekt pojawi się nowa gałązka pod nazwą jaką wybraliście (tu Test):
Rozwinąć tę nową gałązkę i przejść do klucza:
HKEY_LOCAL_MACHINE\Test\ControlSet001\Control\Safeboot
Z prawokliku na klucz SafeBoot wybrać opcję Eksportu:
9 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
Zapisać jako plik safeboot.reg w dowolnym wygodnym miejscu dysku np. na Pulpicie:
Podświetlamy naszą gałąz Test i z menu File (Plik) >>> Unload Hive (Zwolnij gałąz):
Dostaniemy pytanie o deinstalację gałęzi, które nale\y potwierdzić:
Finalnie nasza gałąz ma się upłynnić z widoku:
10 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
Zamykamy edytor rejestru.
2. Edycja wyeksportowanego pliku:
Ostatni punkt z tych "mozolnych" to wyedytowanie pliku safeboot.reg w Notatniku, gdy\ nie zgadzajÄ… siÄ™ na
teraz ście\ki dostępu. Zamiast klucza SYSTEM jest ta nazwa, którą wprowadzaliśmy roboczo (w przykładzie
Test) a tak\e jest odnośnik do ControlSet001 a nie CurrentControlSet. Z prawokliku otwieramy plik
safeboot.reg do edycji w Notatniku:
Z klawiatury trzaskamy kombinację CTRL+H co wywoła okno zamiany tekstu. W pierwszym polu wpisujemy
fragment ście\ki Test\ControlSet001 (przypominam: pod Test podstawiacie tę nazwę jaką nadaliście
gałęzi!) a w drugim polu wpisujemy następny fragment ście\ki SYSTEM\CurrentControlSet (słowo SYSTEM
z du\ej litery) i wciskamy Replace all (Zamień wszystkie):
Tekst ulegnie podmianie i otrzymamy wreszcie finalny prawidłowy plik:
Zapisujemy zmiany w pliku!
3. Import pliku safeboot.reg:
11 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
Dwuklik na plik safeboot.reg, potwierdzić import do rejestru. Zresetować komputer i sprawdzić czy ładuje się
tryb awaryjny.
Jeśli nie ma mo\liwości eksportu klucza
Jeśli nie macie skąd brać klucza Safeboot do eksportu w ostateczności mo\ecie skorzystać z mojego (dla XP
SP2):
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/safeboot.zip
Rozpakować, uruchomić i potwierdzić import ..... Zresetować komputer i sprawdzić czy jest mo\liwe przejście
w tryb awaryjny.
Jeśli system zupełnie nie startuje
.... lub są inne problemy wykonawcze wcześniej opisywanych metod. Najgorszy z wariantów stanu systemu.
ZostajÄ… wam dwie w miarÄ™ polubowne opcje:
1. Nakładkowa reperacja Windows wg tego sposobu:
http://www.searchengines.pl/phpbb203/index.php?showtopic=24500&st=0&p=109540entry109540
Nie jest to \aden format lecz reperacja i wasze dane / konta / programy zostaną nietknięte.
2. Stworzenie na innym komputerze płyty LiveCD przy udziale BartPe Builder:
http://www.searchengines.pl/phpbb203/index.php?showtopic=84581
Zbootowanie z tej płyty i próba edycji rejestru przez metodę ładowania gałęzi.
.
Napisany przez: picasso 16/03/2007, 4:18
Naprawianie uszkodzonych rozszerzeń
Objawy
Próba otwierania danych plików zwróci błędy w stylu "Nie mo\na otworzyć ... wybierz program z listy" / "Nie
mo\na odnalezć określonego pliku". Pliki mogą (lecz nie muszą) mieć zmienioną ikonę na typ "generic":
12 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
W logach z Silent Runners i ComboScan będą tego typu zapiski key not found / unable to read key:
Default executables:
--------------------
HKLM\Software\Classes\batfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\batfile\
HKLM\Software\Classes\cmdfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\cmdfile\
HKLM\Software\Classes\comfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\comfile\
HKLM\Software\Classes\exefile\shell\open\command\ = (key not found)
HKLM\Software\Classes\exefile\
HKLM\Software\Classes\scrfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\scrfile\
-- File Associations -----------------------------------------------------------
.bat - unable to read key
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - unable to read key
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - unable to read key
.pif - unable to read key
.reg - unable to read key
.scr - unable to read key
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*
Nie działające *.EXE
Gotowy fix, który odblokowuje EXE / REG / BAT / COM / PIF / SCR mające przepisane komendy otwierające:
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/unhookexec.inf
Ściągnąć plik na dysk (Firefox / Opera: klik prawym na link i opcja Zapisz, inaczej plik INF otworzy się w
nowej zakładce). Po ściągnięciu z prawokliku wybrać opcję Instaluj. Jeśli ta akcja nie pomo\e (lub
rozszerzenie *.INF te\ jest charatnięte) nale\y skorzystać z gotowych plików reg (naprawiacz fix_exe.reg
naprawia te\ rozszerzenie *.LNK):
Jeśli rozszerzenie *.REG działa
Seria gotowych zrobionych przeze mnie plików naprawiających dane rozszerzenie:
13 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_bat.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_chm.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_cmd.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_com.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_exe.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_hlp.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_inf.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_ini.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_pif.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_scr.reg
Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_txt.reg
Ściągnąć wybrany plik na dysk (Firefox / Opera: klik prawym na link i opcja Zapisz, inaczej plik REG otworzy
się w nowej zakładce). Po ściągnięciu dwuklik na plik a na pytanie o import do rejestru zatwierdzić.
Zresetować komputer.
Uwaga: Jeśli rozszerzenie EXE jest uszkodzone mo\e być trudność z importem plików REG i otwieraniem
edytora REGEDIT. Obejście to: wywołać Mened\er zadań przez ALT+CTRL+DEL. Menu File / Plik i
przytrzymując wciśnięty klawisz CTRL wybrać opcję New Task / Nowe zadanie. To automatycznie wywoła linię
komend Windows, w której wpisać REGEDIT.EXE i z palca w ENTER. Otworzy się edytor rejestru, w którym z
menu File / Plik wybrać opcję Importu wskazując konkretne pliki *.REG.
Jeśli rozszerzenie *.REG jest uszkodzone
Jeśli *.REG widnieje jako pokiereszowany w logach, nie pomaga ani Unhookexec.inf ani obejście z
ALT+CTRL+DEL >>> REGEDIT.EXE >>> Import, w oczywisty sposób nie mo\ecie do naprawy rozszerzeń
brać gotowych plików REG, które linkuję. Nie będą się chciały importować. Naprawa jest o wiele trudniejsza i
zakłada \e działa edytor rejestru jako taki. Naprawa roszerzenia REG będzie ręczna i przeklejam z jednego z
tematów jak to ma wyglądać:
Start >>> Uruchom >>> regedit
[jeśli edytor nie otwiera się tą metodą wykorzystać trik z ALT+CTRL+DEL by go uruchomić przez linię
komend]
I przechodzisz do klucza (jeśli go nie ma to go tworzysz):
HKEY_CLASSES_ROOT\.reg
W kluczu .reg dwuklik na wartość (Domyślną) i jako dane wartości wpisujesz regfile:
http://img148.imageshack.us/img148/1959/reg1kt6.gif
W kluczu .reg tworzysz podklucz PersistentHandler a w nim dwuklik na wartość (Domyślną) i jako dane
wartości wpisujesz {5e941d80-bf96-11cd-b579-08002b30bfeb}:
http://img92.imageshack.us/img92/9306/reg23un9.gif
Teraz bardziej zamotana część. Przechodzisz do klucza (jeśli go nie ma to go tworzysz):
14 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
HKEY_CLASSES_ROOT\regfile
I oto obrazki jak ma być wyedytowane (wejście Edit With Registrar omijacie = to od mojego dodatkowego
edytora):
http://img87.imageshack.us/img87/3677/reg3zs6.gif
http://img87.imageshack.us/img87/3312/reg4bk2.gif
http://img68.imageshack.us/img68/8537/reg5ui5.gif
http://img155.imageshack.us/img155/8466/reg6uk4.gif
http://img149.imageshack.us/img149/9985/reg7ui2.gif
http://img89.imageshack.us/img89/8034/reg8gp6.gif
http://img465.imageshack.us/img465/71/reg9op7.gif
Tu wyciąg tekstowy by łatwiej było wam edytować:
[HKEY_CLASSES_ROOT\regfile]
(Domyślna) REG_SZ Registration Entries
EditFlags REG_DWORD w heksadecymalnym 100000
[HKEY_CLASSES_ROOT\regfile\DefaultIcon]
(Domyślna) REG_EXPAND_SZ %SystemRoot%\regedit.exe,1
[HKEY_CLASSES_ROOT\regfile\shell]
[HKEY_CLASSES_ROOT\regfile\shell\edit]
[HKEY_CLASSES_ROOT\regfile\shell\edit\command]
(Domyślna) REG_EXPAND_SZ %SystemRoot%\system32\NOTEPAD.EXE %1
[HKEY_CLASSES_ROOT\regfile\shell\open]
(Domyślna) REG_SZ Merge
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
(Domyślna) REG_SZ regedit.exe "%1"
[HKEY_CLASSES_ROOT\regfile\shell\print]
[HKEY_CLASSES_ROOT\regfile\shell\print\command]
(Domyślna) REG_EXPAND_SZ %SystemRoot%\system32\NOTEPAD.EXE /p %1
(Nazwa Wartości) Typ wartości Dane wartości
Po zedytowaniu jak podane wy\ej zresetować komputer. Teraz mo\na importować inne pliki REG
naprawiające resztę uszkodzonych rozszerzeń.
BTW. Jest jeszcze mo\liwość przywracania rozszerzeń przez linię komend i polecenia assoc i ftype ale na
razie wÄ…tek zostawiam. Mo\e kiedyÅ› zrobiÄ™ takie pliki hurtowo kojarzÄ…ce.
15 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
.
Napisany przez: picasso 23/03/2007, 16:04
Pomocny program System Repair Engineer (SREng):
http://www.searchengines.pl/index.php?showtopic=13280&st=0&p=397093entry397093
Zawiadamiam tutaj bo ma opcje naprawy systemu w tym uszkodzonych rozszerzeń i Winsock (patrz
zakładka System Repair).
Napisany przez: picasso 4/05/2007, 0:55
Od autora programu DSS aplikacja Deckard's Association Fix (DAFT):
http://www.techsupportforum.com/sectools/Deckard/daft.exe
Automatyczny naprawiacz rozszerzeń.
Napisany przez: picasso 14/08/2008, 9:55
Zdejmowanie blokad systemowych
Błędy typu "... wyłączone przez administratora sieci"
FixPolicies
Oto zbiorczy fiks dedykowany zwłaszcza komputerom zaatakowanym przez malware, który pozwala
resetować zablokowane przez szkodniki ustawienia systemowe. Jest to mo\liwe mimo zablokowania narzędzi
systemowych, poniewa\ FixPolicies bazuje na alternatywnym konsolowym edytorze rejestru
http://www.xs4all.nl/~fstaal01/swreg-us.html (w zasadzie większość naszych naprawiaczy posługuje się
nim). W skład napraw wchodzi: odblokowywanie rejestru regedit / mened\era zadań / panelu sterowania /
linii komend cmd, przywracanie widoczności Uruchom / Wyszukaj etc w Menu Start, przywracanie
niewidocznych Opcji folderów oraz niektórych menu kontekstowych prawokliku, znoszenie blokad
uniemo\liwiających przestawienie opcji relatywnych do pokazywania ukrytych plików (patrz: infekcje z
pendrive). Dodatkowo te\ ustawień dla Przywracania systemu i Windows Update.
Pobierz: http://downloads.malwareremoval.com/BillCastner/FixPolicies.exe
Pobrane FixPolicies.exe uruchomić przez dwuklik.
Wybrać opcję "Install".
Narzędzie rozpakuje się do folderu FixPolicies.
Ze środka folderu uruchomić plik baczowy Fix_Policies.cmd.
Otworzy się czarne okno linii komend, które po ukończeniu akcji samoczynnie się zamknie.
Dial-a-Fix
Ten program z kolei jest przeznaczony do ogólniejszych reperacji defektów Windows: błędów Windows
Update, problemów z Automatycznymi Aktualizacjami, Usługami kryptograficznymi, SSL, HTTPS,
COM/ActiveX. Równie\ ma opcje resetowania Policies. Niemniej jest to inny program i jest ró\nica między
nim a FixPolicies. FixPolicies zostało skonstruowane na bazie obserwacji zachowań malware i adresuje triki
nie uwzględnione w Dial-a-Fix. Wywód na ten temat jest tu: http://forums.pcworld.com/docs/DOC-1641.
16 z 17 09-10-14 09:53
Internet & Windows & Hardware FORUM [Powered by Invision Power... http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...
Pobierz: http://wiki.lunarsoft.net/wiki/Dial-a-fix
.
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)
17 z 17 09-10-14 09:53
Wyszukiwarka
Podobne podstrony:
Struktura chromatyny a powstawanie i naprawa uszkodzieĹ„ DNANaprawa uszkodzonego archiwum rarKonserwacja i naprawa uszkodzonych konstrukcji żelbetowychProcedura naprawy uszkodzonej bazy FirebirdWykonywanie konserwacji i napraw uszkodzonych elementów konstrukcji metalowychiCare Format Recovery naprawa systemu plikowWykonywanie naprawy i konserwacji urządzeń i systemów (23 54)Komisja Majątkowa naprawiła część szkód Ale tylko częśćmb kontrola systemu naprawczego oponbrak pliku NTLDR pliku SYSTEM brak BOOT INI naprawa MBR WinXPuszkodzone głosniki tylne naprawabrak pliku NTLDR pliku SYSTEM brak BOOT INI naprawa MBR WinXP(1)edukomp kl 3?u przy naprawcze[Audi A4 8E ] Zestaw naprawczy do luzujacej sie rolety w Avancie B6 i B7Tylko ciebie naprawdę kochałem Stachurskywięcej podobnych podstron