AVZ - obnovení nastavení systému a odstranění virů. Obnovení souborů po viru ransomware

:: Úvod

Po odstranění virů může systém selhat (nebo se vůbec nenačíst), může dojít ke ztrátě přístupu k internetu nebo k určitým stránkám, proto poté, co antivirus nahlásil " Všechny viry jsou zničeny"Uživatel zůstává s vadným systémem sám. Problémy mohou být také způsobeny chybami programu nebo jejich nekompatibilitou s vaším systémem. Podívejme se na možnosti řešení problémů.

:: Internet nefunguje

Příčinou problémů se sítí může být jak důsledek viru, tak práce křivého softwaru. Existuje několik řešení tohoto problému. Podívejme se na jeden zde - AntiSMS nástroj.

Spusťte jako správce a spusťte plné zotavení nastavení sítě. Obsluha nástroje je jednoduchá: jedno kliknutí myší a je hotovo.

:: Standardní obnovení systému Windows

Pokud není v systému Obnovení systému zakázáno, použijte toto standardní funkčnost Windows pro odstraňování problémů. Taky tudy Obnovení systému je účinné, pokud je poškození systému způsobeno akcemi nezkušených uživatelů nebo chybami programu.

Windows XP: Start -> Všechny programy -> Standard -> Servis -> Obnovení systému. A vyberte bod obnovení několik dní předtím, než se problémy objevily.
: Otevřete nástroj Obnovení systému kliknutím na tlačítko Start. Do vyhledávacího pole zadejte obnovení systému a poté v seznamu výsledků vyberte možnost Obnovení systému. Pokud budete vyzváni, zadejte heslo správce nebo potvrzení hesla. Podle pokynů průvodce vyberte bod obnovení a obnovte počítač.

Pokud se počítač nespustí pak zkuste jít do bezpečný Režim Windows . Chcete-li jej vybrat, musíte přejít na servisní menu- Chcete-li jej zavolat, stiskněte více kláves F8(nebo F5) ihned po zapnutí počítače. V nouzovém režimu také použijte " Start" k obnovení systému, jak je popsáno výše.

Dobré vědět: v systému Windows „7 lze Obnovení vyvolat pomocí položky „Odstraňování problémů s počítačem“.

Jídelní lístek další možnosti Spuštění systému Windows XP:

Nabídka rozšířených možností spouštění systému Windows"7:

Pokud nouzový režim nefunguje pak zkuste jít do Nouzový režim s podporou příkazového řádku. V tomto režimu již nebude tlačítko "Start" existovat, takže budete muset zavolat obnovení systému příkazový řádek Chcete-li to provést, zadejte na příkazovém řádku řádek:

%SystemRoot%\system32\restore\rstrui.exe

a stiskněte klávesu Vstupte. Toto je pro Windows XP!

Pro Verze Windows Vista/7/8 stačí zadat příkaz rstrui.exe a stiskněte Vstupte.

Pokud by to nefungovalo a máte bootovací disk Windows , pak z něj můžete zavést a pokusit se obnovit systém. Zvažte příklad systému Windows "7:

vložte spouštěcí disk do počítače a spusťte z něj.

Vyberte " Obnovení systému".

Otevře se okno s možnostmi.

Vyberte " Spusťte zotavení“, pak zkuste zavést obvyklým způsobem. Pokud to nepomůže, vyberte " Obnovení systému" (toto je analogie obnovení systému, která je popsána výše) a v tuto chvíli vyberte bod obnovení normální operace systémy. Zkuste normálně nabootovat. Pokud to nepomůže, vyberte " Příkazový řádek“ a zadejte do příkazového řádku chkdsk c: /f /r a stiskněte Vstupte- spustí kontrolu chyby těžké disku, možná tento test poskytne pozitivní výsledek.

:: Obnovení systémových souborů pomocí příkazu sfc

Pokud po Ošetření oken pak dojde k poruše Start -> Spustit, zadejte příkaz:

sfc /scannow

a stiskněte Vstupte- Systém Windows zkontroluje integritu chráněných souborů ve vašem počítači. Obnova může vyžadovat instalační disk OS.

Pokud nenajdete tlačítko "Spustit", můžete jej vyvolat kombinací kláves [ Vyhrát] + [R]. Pokud se systém nespustí do normální mód pak použijte Nouzový režim.

Dále se pojďme podívat na seriál programy třetích stran obnovit systém po viru. doporučuji použijte je v nouzovém režimu Windows. Nezapomeňte na administrátorská práva.

:: Oprava pomocí opravy Windows (vše v jednom)

Oprava Windows (vše v jednom) je nástroj, který pomůže opravit chyby v systémový registr, obnovit původní nastavení změněná během infekce počítače nebo instalace programů, obnovit stabilní práci prohlížeč internet Explorer, Služba Windows Aktualizace, firewall Brána firewall systému Windows a další služby a součásti operačního systému.

Rozbalte stažený archiv a spusťte program. Nezbytně aktualizovat to: Soubor -> Aktualizace databáze.

Běh" Průvodce odstraňováním problémů" (v nabídce" Soubor").

Klikněte na " Start". Pokud AVZ nalezlo nějaké problémy, zkontrolujte je a klikněte na " Opravte označené problémy".

Pak v menu Soubor"vybrat" Obnovení systému Zaškrtněte všechna zaškrtávací políčka AŽ NA tyto:

• Automatická oprava nastavení SPl/LSP;
• Obnovení nastavení SPI/LSP a TCP/IP (XP+);
• Kompletní opětovné vytvoření nastavení SPI;
• Změňte DNS všech připojení na Google DNS

Poté stiskněte " Proveďte označené operace“, chvíli počkejte, ukončete program a restartujte počítač.

Pokud se po infikování počítače objeví problémy s přístupem na některé stránky, jako např sociální média falešně nahlásit zablokování nebo něco podobného levá reklama, tedy možnost nahrazení DNS škodlivým - v tomto případě můžete použít položku " Změňte DNS všech připojení na Google DNS". Udělejte to ale až po kontrole počítače antivirové skenery(pokud nepomohly). Tuto položku můžete také vyzkoušet, pokud se po infekci nemůžete vrátit k internetu.

odstavec" Automatická oprava nastavení SPl/LSP" lze použít, pokud se po viru ztratí přístup k internetu (po aplikaci restartujte počítač). Položka " Obnovení nastavení SPI/LSP a TCP/IP (XP+)"Je určena i pro obnovení přístupu k síti, ale tuto položku lze použít pouze v případě, že nic jiného nepomůže (po aplikaci restartujte počítač). Pokud obě výše uvedené položky nepomohly vrátit internet, pak je zde ještě jedna položka " Kompletní opětovné vytvoření nastavení SPI" - aplikujte pouze v případě, že nic jiného nepomůže. Věnujte pozornost těmto třem bodům, že mluvíme o tom, že neexistuje vůbec žádný přístup k síti.

:: Zkontrolujte pevný disk (chkdsk)

Toto je o standardní program Windows zkontrolovat chyby na pevném disku. OTEVŘENO" Můj počítač" (ve Windows "7 je jen" Počítač") zapnuto plocha počítače nebo přes menu Start". Vyberte požadovaný oddíl nebo disk, klikněte na něj pravým tlačítkem, klikněte na " Vlastnosti", vyberte kartu " Servis"a stiskněte" Proveďte kontrolu", zaškrtněte políčka " automatické opravy systémové chyby " A " Skenujte a opravte vadné sektory". Pokud zkontrolujete systémový oddíl, pak budete muset naplánovat kontrolu na další zapnutí (pro kontrolu budete muset restartovat počítač).

Příklad spouštění přes příkazový řádek: chkdsk c: /f /r

:: Windows se nespustí v žádném režimu

Příčinou selhání systému Windows může být poškození registru nebo systémové soubory. Budete muset použít LiveCD - to je disk nebo flash disk, který obchází systém nainstalovaný v počítači. Budete si muset stáhnout obrázek (soubor s příponou iso) na zdravý počítač a připojit jej na disk nebo flash disk a poté z něj.

budeme používat LiveCD AntiSMS: stránka ke stažení . Pro zápis na flash disk je na stránce stahování speciální program.

Po spuštění z LiveCD na problémovém počítači uvidíte normální plochu. Klikněte na štítek " AntiSMS". Poté, co obslužný program AntiSMS ohlásí, že je vše v pořádku, odeberte LiveCD a spusťte běžným způsobem. Obslužný program AntiSMS obnoví některé větve registru a systémové soubory, které jsou nezbytné pro správné fungování Windows - snad to bude stačit k obnovení systému.

Pokud to nepomůže, zkuste obnovit registr ze zálohy:

Pro Windows 7 : nabootujte z LiveCD AntiSMS a spusťte Total Commander, který je součástí tohoto LiveCD. Přejděte do složky Windows\System32\Config(Tento složka Windows nainstalován na problémovém počítači). Soubory SYSTÉM A SOFTWARE přejmenovat na SYSTÉM.špatný A SOFTWARE.špatný respektive. Poté zkopírujte soubory ze složky SYSTÉM A SOFTWARE do složky Windows\System32\Config To by mělo pomoci, zkuste normálně spustit počítač.

Pro Windows XP : přejděte do složky windows\system32\config, soubory Systém A software přejmenovat na systém.špatný A software.špatný respektive. Dále zkopírujte soubory Systém A software ze složky okna\oprava do složky windows\system32\config

Pro referenci: ve složce Windows\System32\Config\RegBack být zachován zálohy registrační úly. Vytváří je Plánovač úkolů každých deset dní.

Nástroj je zdarma, funguje bez instalace, je překvapivě funkční a pomohl mi v různých situacích. Virus zpravidla provádí změny v systémovém registru (přidává jej do spouštění, upravuje parametry spouštění programu atd.). Abyste se neponořili do systému a ručně opravovali stopy viru, měli byste použít operaci „obnovení systému“ dostupnou v AVZ (ačkoli je tento nástroj velmi, velmi dobrý jako antivirus, je dokonce dobré zkontrolovat disky pro viry pomocí nástroje).

Chcete-li spustit obnovu, spusťte nástroj. Poté klikněte na Soubor - Obnovení systému

a takové okno se před námi otevře

zaškrtněte políčka, která potřebujeme, a klikněte na „Provést označené operace“

1. Obnovte soubory launch options.exe, .com, .pif

Tento firmware obnovuje odezvu systému na .exe soubory, com, pif, scr.

Indikace k použití: Po odstranění viru se programy zastaví.

2. Obnovte nastavení předpony protokolu Internet Explorer na standardní

Tento firmware obnovuje nastavení předpon protokolu v aplikaci Internet Explorer

Indikace k použití: když zadáte adresu jako www.yandex.ru, bude nahrazena něčím jako www.seque.com/abcd.php?url=www.yandex.ru

3.Obnova úvodní stránka internet Explorer

Tento firmware obnoví úvodní stránku v Internet Exploreru

Indikace k použití: změna úvodní stránky

4. Obnovte výchozí nastavení vyhledávání v aplikaci Internet Explorer

Tento firmware obnoví nastavení vyhledávání v aplikaci Internet Explorer

Indikace k použití: Když v IE kliknete na tlačítko "Hledat", dojde k volání na nějakou cizí stránku

5.Obnovte nastavení plochy

Tento firmware obnoví nastavení plochy. Obnova zahrnuje odstranění všech aktivních prvků ActiveDesctop, tapet, odstranění zámků v nabídce odpovědné za nastavení plochy.

Indikace k použití: Karty nastavení plochy v okně „Vlastnosti zobrazení“ zmizely, na ploše se zobrazují cizí nápisy nebo kresby

6.Odstranění všech zásad (omezení) aktuálního uživatele

Systém Windows poskytuje mechanismus omezení uživatelských akcí nazvaný Zásady. Tuto technologii používá mnoho malwaru, protože nastavení jsou uložena v registru a lze je snadno vytvořit nebo upravit.

Indikace k použití: Funkce Průzkumníka souborů nebo jiné systémové funkce jsou blokovány.

7. Odstranění zprávy zobrazené během WinLogon

Windows NT a následné systémy v řadě NT (2000, XP) umožňují nastavit hlášení zobrazované při spouštění. Toho využívá řada škodlivých programů a zničení škodlivého programu nevede ke zničení této zprávy.

Indikace k použití: Během spouštění systému se zobrazí nadbytečná zpráva.

8.Obnovte nastavení průzkumníka

Tento firmware resetuje řadu nastavení Průzkumníka souborů na výchozí nastavení (nastavení změněná malwarem jsou resetována jako první).

Indikace k použití: Nastavení průzkumníka změněno

9.Odstranění debuggerů systémových procesů

Registrace debuggeru systémových procesů umožní neviditelné spuštění aplikace, což využívá řada škodlivých programů.

Indikace k použití: AVZ detekuje nerozpoznané debuggery pro systémové procesy, problémy se spouštěním systémových komponent, zejména plocha zmizí po restartu.

10. Obnovte nastavení spouštění v nouzovém režimu

Některý malware, jako je například červ Bagle, poškozuje nastavení spouštění systému v chráněném režimu. Tento firmware obnoví nastavení spouštění v chráněném režimu.

Indikace k použití: Počítač se nespustí v nouzovém režimu (SafeMode). Tento firmware je nutné použít pouze v případě problémů se spouštěním v chráněném režimu .

11. Odemkněte Správce úloh

Blokování Správce úloh používá malware k ochraně procesů před detekcí a odstraněním. Proto provedení tohoto mikroprogramu odstraní zámek.

Indikace k použití: Správce úloh zablokován, když se pokusíte dovolat správce úloh, zobrazí se zpráva „Správce úloh byl zablokován správcem“.

12. Vymazání seznamu ignorovaných HijackThis

Nástroj HijackThis ukládá do registru řadu svých nastavení, zejména seznam výjimek. Proto, aby se malware zamaskoval před HijackThis, musí pouze zaregistrovat svůj spustitelné soubory v seznamu vyloučení. V v současné době Je známo, že tuto chybu zabezpečení využívá řada škodlivých programů. Firmware AVZ vyčistí seznam vyloučení nástroje HijackThis

Indikace k použití: Podezření, že nástroj HijackThis nezobrazuje všechny informace o systému.

13. Vyčištění souboru Hosts

Čištění souboru Hosts spočívá v nalezení souboru Hosts, odstranění všech významných řádků z něj a přidání standardního řádku „127.0.0.1 localhost“.

Indikace k použití: Podezření, že soubor Hosts byl změněn malwarem. Typickými příznaky jsou blokování aktualizací antivirového softwaru. Obsah souboru Hosts můžete ovládat pomocí správce souborů Hosts zabudovaného do AVZ.

14. Automatická oprava nastavení SPl/LSP

Provádí analýzu nastavení SPI a pokud jsou nalezeny chyby, automaticky je opravuje. Tento firmware lze znovu spustit neomezeně mnohokrát. Po spuštění tohoto firmwaru se doporučuje restartovat počítač. Poznámka! Tento firmware nelze spustit z terminálové relace

Indikace k použití: Po odstranění malwaru byl ztracen přístup k internetu.

15. Obnovení nastavení SPI/LSP a TCP/IP (XP+)

Tento firmware funguje pouze na XP, Windows 2003 a Vista. Jeho princip fungování je založen na resetování a opětovném vytvoření nastavení SPI/LSP a TCP/IP pomocí standardního nástroje netsh, který je součástí Windows.Poznámka! Obnovení továrního nastavení byste měli použít pouze v případě potřeby, pokud máte po odstranění malwaru neodstranitelné problémy s přístupem k internetu!

Indikace k použití: Po odstranění škodlivého programu, přístupu k internetu a spuštění firmwaru „14. Automatická oprava nastavení SPl/LSP“ nefunguje.

16. Obnovení spouštěcího klíče Průzkumníka

Obnoví klíče systémového registru zodpovědné za spuštění Průzkumníka souborů.

Indikace k použití: Průzkumník se nespustí během spouštění systému, ale je možné spustit explorer.exe ručně.

17. Odemkněte Editor registru

Odemkne Editor registru odebráním zásady, která brání jeho spuštění.

Indikace k použití: Nelze spustit Editor registru, při pokusu se zobrazí zpráva, že jeho spuštění bylo zablokováno správcem.

18. Úplné znovuvytvoření nastavení SPI

Vystupuje záloha nastavení SPI / LSP, po kterém je zničí a vytvoří podle standardu, který je uložen v databázi.

Indikace k použití: Vážné poškození nastavení SPI, neopravitelné skripty 14 a 15. Aplikujte pouze v případě potřeby!

19. Vyčistěte základní MountPoints

Vyčistí databázi MountPoints a MountPoints2 v registru. Tato operace často pomáhá v případě, kdy po napadení Flash virem nelze otevřít disky v Průzkumníku

Chcete-li provést obnovu, musíte vybrat jednu nebo více položek a kliknout na tlačítko "Provést označené operace". Klepnutím na tlačítko OK okno zavřete.

Poznámka:

Obnova je k ničemu, pokud systém běží trojský který provádí takové změny konfigurace - musíte nejprve odstranit škodlivý program a poté obnovit nastavení systému

Poznámka:

Chcete-li odstranit stopy většiny únosců, musíte spustit tři firmware – „Obnovit nastavení vyhledávání Internet Exploreru na standardní“, „Obnovit start internetové stránky Explorer", "Obnovit výchozí nastavení předpony protokolu Internet Explorer"

Poznámka:

Jakýkoli firmware lze spustit několikrát za sebou bez poškození systému. Výjimky jsou "5. Obnovení nastavení plochy" (operace tohoto firmwaru resetuje všechna nastavení plochy a budete muset znovu vybrat barvu a tapetu plochy) a "10. Obnovení nastavení spouštění v nouzovém režimu“ (tento firmware znovu vytvoří klíče registru odpovědné za spouštění v nouzovém režimu).

Pokud má počítač textová zpráva, který říká, že vaše soubory jsou šifrované, pak nespěchejte s panice. Jaké jsou příznaky šifrování souborů? Obvyklá přípona se změní na *.vault, *.xtbl, * [e-mail chráněný] _XO101 atd. Soubory nelze otevřít - je vyžadován klíč, který lze zakoupit zasláním dopisu na adresu uvedenou ve zprávě.

Odkud jsi získal zašifrované soubory?

Počítač zachytil virus, který blokoval přístup k informacím. Často je antiviry přeskakují, protože tento program je obvykle založen na nějakém neškodném bezplatný nástrojšifrování. Samotný virus odstraníte dostatečně rychle, ale s dešifrováním informací mohou nastat vážné problémy.

Technická podpora společností Kaspersky Lab, Dr.Web a dalších známých společností zapojených do vývoje antivirového softwaru v reakci na požadavky uživatelů na dešifrování dat uvádí, že to není možné provést v přiměřené době. Existuje několik programů, které mohou kód zachytit, ale mohou pracovat pouze s dříve studovanými viry. Pokud čelíte nové úpravě, pak je šance na obnovení přístupu k informacím extrémně malá.

Jak se ransomware virus dostane do počítače?

V 90 % případů si virus v počítači aktivují sami uživatelé otevíráním neznámých e-mailů. Poté přijde e-mail s provokativním předmětem – „Předvolání k soudu“, „Dluh z půjčky“, „Oznámení daňové inspekce“ atd. Uvnitř falešného emailu je příloha, po jejím stažení se ransomware dostane do počítače a začne postupně blokovat přístup k souborům.

Šifrování neproběhne okamžitě, takže uživatelé mají čas na odstranění viru dříve, než jsou všechny informace zašifrovány. Škodlivý skript můžete zničit pomocí čistících nástrojů Dr.Web CureIt, Kaspersky Internet Zabezpečení a Malwarebytes Antimalware.

Způsoby obnovení souborů

Pokud byla v počítači povolena ochrana systému, pak i po působení viru ransomware existuje šance na obnovení souborů do normálního stavu pomocí stínových kopií souborů. Ransomware se je obvykle snaží odstranit, ale někdy se jim to nepodaří kvůli nedostatku administrátorských práv.

Obnovení předchozí verze:

Chcete-li zachovat předchozí verze, musí být povolena ochrana systému.

Důležité: Před zobrazením ransomwaru musí být povolena ochrana systému, poté už to nepomůže.

1. Otevřete vlastnosti "Počítač".
2. Z nabídky vlevo vyberte „Ochrana systému“.
   
3. Zvýrazněte jednotku C a klikněte na „Konfigurovat“.
4. Zvolte obnovení nastavení a předchozích verzí souborů. Proveďte změny kliknutím na OK.

Pokud jste provedli tato opatření před objevením se viru, který šifruje soubory, pak po vyčištění počítače od škodlivého kódu budete mít velkou šanci na obnovení svých informací.

Pomocí speciálních nástrojů

Společnost Kaspersky Lab připravila několik nástrojů, které vám pomohou otevřít šifrované soubory po odstranění viru. První decryptor, který stojí za vyzkoušení, je Kaspersky RectorDecryptor.

1. Stáhněte si aplikaci z oficiálních stránek společnosti Kaspersky Lab.
2. Poté spusťte nástroj a klikněte na „Spustit skenování“. Zadejte cestu k libovolnému zašifrovanému souboru.

Pokud malware nezměnil příponu souborů, pak je k dešifrování musíte shromáždit do samostatné složky. Pokud je nástroj RectorDecryptor, stáhněte si další dva programy z oficiálního webu Kaspersky - XoristDecryptor a RakhniDecryptor.

Nejnovější nástroj od společnosti Kaspersky Lab se nazývá Ransomware Decryptor. Pomáhá dešifrovat soubory po viru CoinVault, který se v RuNetu zatím příliš nevyskytuje, ale může brzy nahradit ostatní trojské koně.

Děkujeme za pomoc při přípravě materiálu počítačových mistrů servisní středisko Launch.RF. U těchto kluků si můžete objednat opravu notebooků a netbooků v Moskvě.

Do operačního systému jsou zaváděny škodlivé programy osobní počítač způsobit značné škody na celém množství dat. Na tento momentČasem jsou programy škůdců vytvářeny pro různé účely, takže jejich akce jsou zaměřeny na opravu různých struktur operačního systému osobního počítače.

Běžné a zřejmé důsledky pro uživatele jsou problémy s internetem, narušení provozu zařízení připojených k PC.

I když byl škůdce detekován a zničen, nevylučuje to ztrátu informací a další problémy, které vzniknou při následné práci. Seznam možností je nekonečný, nejčastěji uživatel najde úplné nebo částečné zablokování přístupu na World Wide Web, selhání externích zařízení (myš, flash karta), prázdnou plochu a tak dále.

Uvedené důsledky jsou pozorovány v důsledku změn, které program škůdce provedl v systémových souborech osobního počítače. Takové změny nejsou eliminovány eliminací viru, musí být opraveny nezávisle nebo se uchýlit k pomoci specialistů. Tento druh práce ve skutečnosti nevyžaduje speciální školení a může ji provádět každý pokročilý uživatel nastudováním příslušných pokynů.

V praxi organizace obnovy operačního systému existuje několik přístupů v závislosti na důvodech, které vedly k selhání. Zvažme každou z možností podrobně. Snadný způsob dostupný každému uživateli je vrátit operační systém do bodu obnovení, když provoz osobního počítače splňuje požadavky uživatele. Velmi často je však toto řešení nevyhovující, nebo je z objektivních důvodů nemožné jej realizovat.

Jak obnovit OS, když není možné přihlášení k PC?

Spuštění nástroje Obnovení systému je následující. Nabídka Start \ Ovládací panely \ Obnovení systému. Na této adrese vyberte bod obnovení, který potřebujeme, a spusťte proces. Po chvíli bude práce dokončena a počítač je připraven k běžnému provozu. Tato technika je docela použitelná k eliminaci určitých typů virů, protože ke změnám dochází také na úrovni registru. Tato možnost pro obnovení operačního systému je považována za nejjednodušší a je součástí sady standardních nástrojů Windows. Pokyny krok za krokem a pomoc s podrobnými komentáři k procesu vám pomohou zvládnout metodu obnovy zdraví vašeho počítače, i když se uživatel jako správce PC necítí zcela jistě.

Další běžnou možností obnovení OS je spuštění procedury z externího média. Tato možnost je komplikované některými body, například potřebujete mít obraz systému na flash kartě nebo disku a postarat se o to, abyste takovou kopii měli předem. Navíc je často nutné mít určité dovednosti v práci s BIOS. Obraz operačního systému je zapnutý externí média — nejlepší možnost v případě, že obnovení není možné, protože virus zablokoval počítač ve vstupu do systému. Jsou i jiné možnosti.

Není možné použít standardní nástroje Windows k obnovení OS, pokud například není možné přihlášení nebo existují jiné důvody, které brání provedení operace ve standardním režimu. Situace je řešena pomocí nástroje ERD Commander (ERDC).

Jak program funguje, budeme situaci analyzovat postupně. Prvním krokem je stažení programu. Druhým krokem je spuštění nástroje Syst em Restore Wizard, s jeho pomocí se OS vrátí zpět do určené pozice pro obnovení.

Každý nástroj má zpravidla na skladě několik kontrolních bodů a v osmdesáti procentech případů dojde k úplnému oživení výkonu osobního počítače.

Použití AVZ Utility Tools

Níže zvažovaný nástroj nevyžaduje žádné speciální dovednosti a schopnosti uživatele. Softwarový produkt byl vyvinut Olegem Zaitsevem a je navržen tak, aby vyhledával a ničil všechny typy virů a malwaru. Ale kromě hlavní funkce nástroj většinu obnoví nastavení systému které byly napadeny nebo změněny viry škůdců.

Jaké problémy může prezentovaný program vyřešit? Hlavní věc je obnovení systémových souborů a nastavení, které byly napadeny viry. Nástroj si poradí s poškozenými ovladači programu, které se po obnovení odmítnou spustit. Při problémech s prací v prohlížečích nebo při blokování přístupu k internetu a mnoha dalších potížích.

Aktivujeme operaci obnovení v Soubor \ Obnovení systému a vybereme operaci, která je potřebná. Na obrázku je znázorněno rozhraní mikroprogramů, se kterými utilita operuje, u každého z nich uvedeme popis.

Jak vidíte, množinu operací představuje 21 položek a název každé z nich vysvětluje její účel. Všimněte si, že možnosti programu jsou poměrně rozmanité a lze jej považovat za univerzální nástroj při resuscitaci nejen samotného systému, ale také eliminaci následků virů pracujících se systémovými daty.

První parametr se používá, pokud následky virového útoku a procedury obnovy OS odmítají zprovoznit programy potřebné pro uživatele. Zpravidla se to stane, pokud škůdce pronikl do souborů a ovladačů programů a provedl jakékoli změny v tam zaznamenaných informacích.

Druhý parametr je nutný, když viry provedly substituci domén při jejich zadávání do vyhledávače prohlížeče. Taková náhrada je první úrovní úpravy interakce mezi systémovými soubory operačního systému a internetem. Taková funkce programu zpravidla eliminuje provedené změny beze stopy, aniž by se je snažila detekovat, ale jednoduše odhalila plné formátování všech prefixů a dat protokolů a nahradí je výchozím nastavením.

Třetí parametr pokračuje v nastavení úvodní stránky internetového prohlížeče. Stejně jako v předchozím případě program ve výchozím nastavení opravuje problémy prohlížeče Internet Explorer.

Čtvrtý parametr opravuje práci vyhledávač a sady standardní režim práce. Postup se opět týká prohlížeče nainstalovaného systémem Windows ve výchozím nastavení.

V případě problému souvisejícího s fungováním pracovní plochy (vzhled bannerů, obrázků, cizích položek na ploše) se aktivuje pátá položka programu. Takové důsledky činnosti škodlivých programů byly před několika lety velmi populární a způsobily uživatelům mnoho problémů, ale i nyní mohou takové špinavé triky proniknout do operačního systému PC.

Šestý bod je nezbytný, pokud malware omezil akce uživatele při provádění řady příkazů. Tato omezení mohou mít různý charakter, a protože nastavení přístupu jsou uložena v registru, škodlivé programy tyto informace nejčastěji využívají k úpravě práce uživatele s jeho PC.

Pokud se při načítání operačního systému objeví zpráva třetí strany, znamená to, že škodlivý program byl schopen proniknout do nastavení Spuštění Windows NT. Obnovení OS, které zabilo virus, tuto zprávu neodstraní. Chcete-li jej odstranit, musíte aktivovat sedmý parametr nabídky nástroje AVZ.

Osmá možnost nabídky, jak název napovídá, obnovuje nastavení Průzkumníka.

Někdy se problém projevuje ve formě přerušení provozu systémových komponent, například při spouštění operačního systému PC zmizí plocha. Nástroj AVZ diagnostikuje tyto struktury a provede potřebné úpravy pomocí položky devět nabídky nástrojů.

Problémy se spouštěním OS v nouzovém režimu řeší bod deset. Je snadné zjistit potřebu aktivace této položky multiprogramu zde uvažovaného nástroje. Zobrazují se při každém pokusu o provedení práce v bezpečnostním režimu.

Pokud je správce úloh zablokován, musí být aktivována položka nabídky jedenáct. Viry jménem správce provádějí změny v aktivaci této sekce operačního systému a místo pracovního okna se objeví hláška, že je blokována práce se správcem úloh.

Nástroj HijackThis jako jedna ze svých hlavních funkcí využívá ukládání seznamu výjimek do registru. U viru stačí proniknout do databáze utility a zaregistrovat soubory do seznamu registrů. Poté se může samočinně opravit neomezeně mnohokrát. Registr utility se vyčistí aktivací dvanácté položky nabídky nastavení AVZ.

Další, třináctý bod, umožňuje vymazat soubor Hosts, tento soubor upravený virem může způsobovat potíže při práci se sítí, blokovat některé zdroje a narušovat aktualizaci databází antivirových programů. Práce s tímto souborem bude podrobněji popsána níže. Bohužel téměř všechny virové programy se snaží tento soubor upravovat, což je za prvé způsobeno jednoduchostí provádění takových změn a důsledky mohou být více než významné a po odstranění virů mohou být informace zadané do souboru přímá brána k pronikání nových škůdců a špionů do OS.

Pokud je přístup k internetu blokován, znamená to zpravidla chyby v nastavení SPI. K jejich opravě dojde, pokud v menu aktivujete položku čtrnáct. Je důležité, aby tuto položku nastavení nebylo možné použít z relace terminálu.

Podobné funkce obsahuje patnáctá položka nabídky, ale její aktivace je možná pouze při práci v operačních systémech jako XP, Windows 2003, Vista. Tento multiprogram můžete použít, pokud pokusy o nápravu situace se vstupem do sítě pomocí předchozího nastavení nepřinesly požadovaný výsledek.

Možnosti šestnácté položky nabídky jsou zaměřeny na obnovu klíčů systémového registru, které jsou zodpovědné za spuštění internetového prohlížeče.

Dalším krokem v práci na obnovení nastavení OS po virovém útoku je odemknutí editoru registru. Zpravidla externí projev - není možné stáhnout program pro práci se sítí.

Následující čtyři body se doporučují pouze v případě, že je poškození operačního systému tak katastrofální, že v zásadě nezáleží na tom, zda jsou opraveny těmito metodami, nebo zda bude v důsledku toho nutné přeinstalovat celý systém.

Osmnáctý odstavec se tedy znovu vytváří počáteční nastavení S.P.I. Devatenáctá položka vymaže registr přípojných bodů /2.

Dvacátá položka odstraní všechny statické trasy. Nakonec poslední, dvacátá první položka vymaže všechna připojení DNS.

Jak vidíte, prezentované schopnosti utility pokrývají téměř všechny oblasti, do kterých může škodlivý program proniknout a zanechat svou aktivní stopu, kterou není tak snadné odhalit.

Protože antivirové aplikace nezaručují 100% ochranu operačního systému vašeho PC, doporučujeme mít takový program ve svém arzenálu nástrojů pro boj s počítačové viry všechny druhy a formy.

V důsledku ošetření OS PC nefungují zařízení k němu připojená.

Jedna z nejoblíbenějších kamufláží spyware je instalace vlastního virového ovladače kromě skutečného softwaru. V této situaci je skutečným ovladačem nejčastěji soubor myši nebo klávesnice. V souladu s tím po zničení viru zůstává jeho stopa v registru, z tohoto důvodu zařízení, ke kterému se škůdce mohl připojit, přestane fungovat.

Podobná situace je pozorována při nesprávné práci v procesu odstraňování Kaspersky Anti-Virus. S tím souvisí i specifika instalace programu, kdy jeho instalace na PC využívá pomocný ovladač klmouflt. V situaci s Kaspersky musí být tento ovladač nalezen a zcela odstraněn ze systému osobního počítače v souladu se všemi pravidly.

Pokud klávesnice a myš odmítají fungovat požadovaný režim, musíte nejprve obnovit klíče registru.

Klávesnice :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Control\Class\(4D36E 96B-E325-11CE-BF C1-08002BE10318)
UpperFilters=třída kbd

Myš :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Control\Class\(4D36E 96F-E325-11CE-BF C1-08002BE10318)
UpperFilters=třída mou

Problém nepřístupných stránek

Následkem malwarového útoku může být nedostupnost určitých zdrojů na internetu. A tyto důsledky jsou výsledkem změn, které se virům podařilo v systému provést. Problém je detekován okamžitě nebo po nějaké době, ale pokud se v důsledku akcí škůdců programů po nějaké době projevil, nebude těžké jej odstranit.

Existují dvě možnosti blokování a nejběžnější je aktualizace souboru hosts. Druhou možností je vytvoření falešných statických tras. I když je virus zabit, změny, které provedl v těchto nástrojích, nebudou odstraněny.

Dotyčný dokument se nachází v systémové složce na disku C. Jeho adresu a umístění naleznete zde: C:\Windows\System 32\drivers\etc\hosts . Pro rychlé vyhledávání zpravidla použijte příkazový řádek z nabídky Start.

Pokud soubor nelze nalézt pomocí zadaného postupu, může to znamenat, že:

— virový program změnil své umístění v registru;

- spisový dokument má parametr "skrytý".

V druhém případě změníme vlastnosti vyhledávání. Na adrese: Možnosti složky / Zobrazit najdeme řádek „Zobrazit skryté soubory“ a nastavíme štítek naproti, čímž se rozsah vyhledávání rozšíří.

Soubor hosts obsahuje informace o převodu doslovného názvu domény webu na jeho IP adresu, takže do něj malwarové programy zapisují úpravy, které mohou uživatele přesměrovat na jiné zdroje. Pokud k tomu dojde, pak když zadáte adresu požadovaného webu, otevře se úplně jiný. Abyste mohli tyto změny vrátit do původního stavu a opravit je, musíte tento soubor najít a analyzovat jeho obsah. Dokonce i nezkušený uživatel bude moci vidět, co přesně virus opravil, ale pokud to způsobí určité potíže, můžete obnovit výchozí nastavení, čímž odstraníte všechny změny provedené v souboru.

Pokud jde o opravu tras, princip činnosti je stejný. V procesu interakce mezi operačním systémem PC a Internetem však vždy zůstává prioritou soubor hostitelů, takže jeho obnovení stačí k tomu, aby práce probíhala ve standardním režimu.

Potíž nastává, pokud požadovaný soubor nelze nalézt, protože virus mění své umístění v systémových složkách. Poté musíte opravit klíč registru.

HKEY_LOCAL_MACHI NE\SYSTEM\CurrentControlSet\serv ices\Tcpip\Parameters\DataBasePa th

Viry patřící do skupiny Win32/Vundo jsou chytřejší než většina jejich škodlivých bratranců, pokud jde o transformaci souborů hostitelů. Změní samotný název souboru a vymaže jej latinské písmeno o a nahrazení znaku písmenem azbuky. Takový soubor se již nepodílí na převodu doménových jmen stránek na IP adresy, a i když uživatel tento soubor obnoví, výsledek práce zůstane stejný. Jak najít skutečný soubor? Pokud existují pochybnosti, že předmět, který potřebujeme, je skutečný, provedeme následující postup. Prvním krokem je aktivace režimu zobrazení skrytých souborů. Prozkoumáme katalog, vypadá to, že je na obrázku.

Zde jsou dva stejné soubory, ale protože OS neumožňuje použití shodných jmen, je zřejmé, že máme co do činění s falešným dokumentem. Určit, která je správná a která ne, je snadné. Virus vytváří objemný soubor a četné úpravy, takže výsledek jeho sabotáže je znázorněn na obrázku. skrytý soubor 173 kB.

Pokud otevřete soubor dokumentu, informace v něm budou obsahovat následující řádky:

31.214.145.172 vk.com - řetězec, který může nahradit IP adresu webu

127.0.0.1 avast.com je souborový řádek zapsaný virem, aby zabránil přístupu na stránku antivirového programu

Již výše jsme poznamenali, že je také možné blokovat jednotlivé zdroje vytvořením nesprávných tras ve směrovací tabulce. Jak situaci vyřešit, zvažte posloupnost akcí.

Li hostitelský soubor nemá škodlivé úpravy a práce se zdrojem je nemožná, problém spočívá v tabulce směrování. Pár slov o podstatě interakce těchto nástrojů. Pokud je v souboru hostitelů zadána správná adresa adaptivní domény, dojde k přesměrování na tuto adresu na existující prostředek. IP adresa zpravidla nepatří do rozsahu adres lokální podsítě, proto k předávání dochází přes bránu routeru, která je dána nastavením internetového připojení.

Pokud upravíme položky trasy pro konkrétní IP adresu, pak automatické připojení bude vycházet z tohoto záznamu. Pokud taková trasa neexistuje nebo je brána mimo provoz, připojení se nezdaří a zdroj zůstane nedostupný. Virus tak může odstranit položku v tabulce směrování a zablokovat naprosto jakoukoli stránku.

Trasy vytvořené pro konkrétní lokality zůstávají v databázi registru HKLM. K aktualizaci trasy dochází, když je aktivován příkaz programu route add nebo když jsou data ručně opravena. Pokud neexistují žádné statické trasy, je sekce tabulky prázdná. Seznam směrovacích dat můžete zobrazit pomocí příkazu route print. Vykreslí to takto:

Aktivní trasy:

Výše uvedená tabulka je standardní pro PC s jednou síťovou kartou a nastavením síťového připojení:

IP adresa 192.168.0.0

maska ​​255.255.255.0

výchozí brána 192.168.0.1

Výše uvedený záznam obsahuje IP adresu sítě s kódem 192.168.0.0 a masku podsítě s kódem 255.255.255.0. Pokud tato data dešifrujete, informace jsou následující. Maska zahrnuje celý rozsah uzlů s ekvivalentní částí adresy vyššího řádu. Podle metrického systému jsou první tři bajty masky podsítě celkem 1 operační systémy PC (výjimky jsou dekadické, kde je hodnota 255, a hexadecimální, kde je hodnota 0*FF ). Dolní konec adresy přijatého hostitele je hodnota v rozsahu 1-254.

V souladu s výše uvedenými informacemi má nejnižší adresa kódování - 192.168.0.0, tento kód je síťová adresa. Adresa vyššího řádu, kódovaná 192.168.0.255, je charakterizována jako vysílací adresa. A pokud první kód vylučuje jeho použití pro výměnu dat, pak je druhý kód určen pouze k provádění těchto funkcí. Jejich uzly si vyměňují datové pakety pomocí tras.

Představte si následující konfiguraci:

IP adresa - 192.168.0.0

Síťová maska ​​- 255.255.255.0

Brána – 192.168.0.3

Rozhraní - 192.168.0.3

Metrika – 1

Informace jsou logicky dekódovány následovně: v rozsahu adres od 192.168.0.0 - 192.168.0.255 pro výměnu informací jako brány a rozhraní používáme kód síťová karta(192.168.0.3). To vše znamená, že informace jdou přímo k adresátovi.

Když podmínka koncové adresy neodpovídá danému rozsahu 192.168.0.0-192. 168.0.255, nebude možné přenášet informace přímo. Serverový protokol odesílá data do routeru, který je předává do jiné sítě. Pokud nejsou zadány žádné statické trasy, výchozí adresa směrovače zůstane stejná jako adresa brány. Informace jsou odesílány na tuto adresu, poté do sítě a po trasách uvedených v tabulce, dokud adresát nepřijme paket. Obecně řečeno, proces přenosu dat vypadá takto. Představme si ilustraci záznamů ve standardní tabulce směrovačů. V příkladu je pouze několik záznamů, ale jejich počet může dosahovat desítek nebo stovek řádků.

Na základě ukázkových dat popíšeme proces přesměrování na adresy internetového zdroje v. Během kontaktu s adresami internetového zdroje umístěnými ve specifikovaném rozsahu od 74.55.40.0 do 74.55.40.255 se kód směrovače rovná číslu sítě 192.168.0.0, a proto jej nelze použít v procesu výměny informačních dat. IP protokol diagnostikuje adresu (74.55.40.226), která není zahrnuta v paketu adres jednotlivce lokální síť a odkazuje na předepsané statické trasy.

V situaci, kdy tato cesta není specifikována, je informační paket odeslán na identifikační adresu brány nastavenou ve výchozím příkladu.

Vzhledem k tomu, že trasa uvedená v příkladu má vysokou prioritu, potřebuje specifickou bránu, nikoli standard, který vyhovuje všem. Protože v tabulce není žádná brána, která by uspokojila požadavek, server s síťová adresa 74.55.40.226 zůstane mimo rozsah. A za podmínek předepsaných v příkladu s kódem masky podsítě budou blokovány všechny adresy v rozsahu 74.55.40.0 - 74.55.40.255. Právě tento rozsah zahrnuje síťovou cestu k místu antivirového softwaru nainstalovaného na osobním počítači, který nebude přijímat potřebné aktualizace virové databáze a nebude správně fungovat.

Čím více takových dat v tabulce směrování, tím více zdrojů je blokováno. V praxi specialistů virové programy vytvořily až čtyři sta řádků tohoto typu, čímž zablokovaly práci asi tisíce síťových zdrojů. Majitele virů navíc nijak zvlášť nezajímá, že ve snaze zakázat konkrétní zdroj vyloučí z možného přístupu desítky dalších stránek. To je hlavní chyba bezohledných programátorů, protože číslo nedostupné zdroje detekuje samotnou možnost zablokování přenosu dat. Pokud jsou tedy například nejoblíbenější sociální sítě zahrnuty do kruhu vyloučení a uživatel nemůže vstoupit na web VKontakte nebo Odnoklassniki, vzniká podezření na správnou funkci počítače se sítí.

Náprava situace není složitá, k tomuto účelu slouží příkaz route a klávesa delete. Najdeme falešné záznamy v tabulce a odinstalujeme. Malá poznámka, všechny operace jsou proveditelné pouze v případě, že má uživatel administrátorská práva, ale virus může provádět změny trasy pouze v případě, že pronikl do sítě prostřednictvím účtu správce osobního počítače. Uvádíme příklady takových úkolů.

route delete 74.55.40.0 - záznam, který odstraní první verzi řetězce trasy;

route delete 74.55.74.0 - záznam, který odstraní druhou verzi řetězce trasy.

Počet takových linek by měl být celkový počet falešných tras.

Pokud je přístup k postupu jednodušší, pak je nutné aplikovat operaci přesměrování výstupu. To se provede zadáním příkazu tisk trasy > C:\routes.txt. Aktivace příkazu vytváří situaci, kdy systémový disk je vytvořen souborový dokument s názvem routes.txt, který obsahuje tabulku s daty trasy.

Seznam tabulek obsahuje kódy znaků DOS. Tyto znaky jsou nečitelné a nemají pro operaci žádný význam. Přidáním úlohy odstranění trasy na začátek každé trasy odstraníme každý chybný záznam. Tyto vypadají takto:

smazání trasy 84.50.0.0

smazání trasy 84.52.233.0

smazání trasy 84.53.70.0

smazání trasy 84.53.201.0

smazání trasy 84.54.46.0

Dále je třeba změnit příponu souboru, možnosti nahrazení takové přípony jsou cmd nebo bat. Nový soubor se spustí dvojitým kliknutím pravého tlačítka myši. Úkol si můžete zjednodušit pomocí oblíbeného správce souborů FAR, který funguje následovně. Je volán redaktor funkční klíč F 4, melír se speciálním značením pravá strana záznamy trasy. Pomocí kombinace kláves CTRL + F 7 se všechny mezery automaticky přeuspořádají na znak s prázdná hodnota a mezera je zase nastavena na počáteční pozici řetězce. Nová kombinace zadaných kláves nastaví úlohu odstranění trasy na místo, které potřebujeme.

Pokud je v datové tabulce mnoho chybných tras a jejich ruční oprava se zdá být zdlouhavým a zdlouhavým procesem, doporučuje se použít úlohu trasy společně s klávesou F.

Tento přepínač odstraní všechny neuzlové trasy a také zcela odinstaluje trasy s koncovým bodem a adresou vysílání. První a poslední mají digitální kód 255.255.255.255; druhý 127.0.0.0. Jinými slovy, všechny nepravdivé informace zapsané virem do tabulky budou odinstalovány. Zároveň však budou zničeny záznamy o statických trasách napsaných samotným uživatelem a data hlavní brány, takže bude nutné je obnovit, protože síť zůstane nepřístupná. Nebo sledujte proces čištění datové tabulky a zastavte jej, pokud máte v úmyslu odstranit záznam, který potřebujeme.

Pro úpravu nastavení routeru lze také použít antivirový program AVZ. Konkrétní multiprogram zapojený do tohoto procesu je dvacátou položkou konfigurace TCP.

Poslední možnost blokování přístupu uživatelů k IP adresám stránek, které jsou používány virové programy- použití falšování adresy DNS servery. V tomto případě dojde k připojení k síti prostřednictvím škodlivého serveru. Ale takové situace jsou poměrně vzácné.

Po provedení všech prací je nutné restartovat osobní počítač.

Ještě jednou děkuji za pomoc při přípravě materiálu mistrům střediska počítačových služeb Zapuskay.RF - http://launch.rf/information/territory/Kolomenskaya/, u kterých si můžete objednat opravy notebooků a netbooků v Moskvě.

Dnes budu mluvit o tom, jak lokalizovat virus, pokud pronikl do vašeho počítače, jak porazit trojské koně a jak obnovit systém po infekci rootkitem, pokud vše zašlo příliš daleko.

Pokud tedy máte podezření, že je váš počítač infikován, první věc, kterou byste měli udělat, je:

• odpojte počítač od internetu (vytáhněte UTP kabel, vypněte Wi-Fi);
• vše odpojit od počítače externí zařízení(externí pevné disky, flash disky, telefony atd.).

To vše musí být provedeno, aby byl infikovaný počítač izolován od vnějšího světa. Je bezpodmínečně nutné odpojit počítač od přístupu k vnějšímu světu přes internet a od místní vnitřní sítě, protože malware se téměř jistě pokusí rozšířit do celého segmentu, který má k dispozici.

Kromě toho, pokud je malware součástí sítě botnetů nebo obsahuje komponenty, bude neaktivní a aktivuje se v okamžiku, kdy je z externí sítě přijat ovládací příkaz. Tím se také pojistíme proti úniku lokálních dat do sítě například pomocí DNS tunelování nebo podobných hackerských věcí.

Obnova registru

Registr Windows, počínaje úplně prvními verzemi operačního systému, zůstává kritický důležitou složkou systém, v podstatě představující databázi pro ukládání různých parametrů a nastavení pracovního prostředí, instalovaného softwaru a samotného Windows. Je logické, že narušení registru nebo jeho poškození ohrožuje nefunkčnost OS.

Samotný registr, který se otevře běžná užitečnost regedit je fyzicky reprezentován několika soubory uloženými v cestě %SystemRoot%\System32\config\. Jedná se o soubory s názvy SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT bez přípon a dostupné pouze pro systémové procesy NT AUTHORITY\SYSTEM, LocalSystem. Ale pokud je registr otevřen pomocí běžného editoru, pak se tyto soubory objeví jako velký hierarchický strom.

První, co vás napadne, je samozřejmě zálohovat tyto soubory a v případě potřeby ty rozbité jednoduše nahradit zálohami. Ale zpod načteného OS jednoduché kopírování to se nezdaří a export dat pomocí regedit může být vadný. Zvažte proto nástroje, které nám v této věci pomohou.

Běžné nástroje Windows pro obnovu registru

Systém Windows bohužel nemá samostatný nástroj, který by vám umožnil zálohovat registr. Vše, co systém může poskytnout, je funkčnost zastaralého NTBacUp z éry Windows XP / 2003 Server nebo v nových operačních systémech Windows 7, 8, 10 jeho reinkarnace v podobě "", nabízející vytvoření celého obrazu systému. (celého systému - ne registru!). Proto budeme zvažovat pouze malý příklad akcí v konzole pro obnovení, které umožňují ruční obnovení registru. Ve skutečnosti se jedná o operace, které mají nahradit poškozené soubory na infikovaném systému. původní soubory registru z dříve vytvořené zálohy.

Rozhraní nástroje NTBacUp

Spuštěním do režimu Live CD pomocí instalační disk nebo z lokálně nainstalované konzoly pro obnovení (pro XP/2003), musíte spustit následující příkazy, jak je popsáno samotnou společností Microsoft:

// Zálohujte systémový registr
md tmp
zkopírujte c:\windows\system32\config\system c:\windows\tmp\system.bak
zkopírujte c:\windows\system32\config\software c:\windows\tmp\software.bak
zkopírujte c:\windows\system32\config\sam c:\windows\tmp\sam.bak
zkopírujte c:\windows\system32\config\security c:\windows\tmp\security.bak
zkopírujte c:\windows\system32\config\default c:\windows\tmp\default.bak

// Smazat poškozené soubory z adresáře systému OS
odstranit c:\windows\system32\config\system
odstranit c:\windows\system32\config\software
odstranit c:\windows\system32\config\sam
odstranit c:\windows\system32\config\security
odstranit c:\windows\system32\config\default

// Zkopírujte zdravé soubory registru z stínová kopie
zkopírujte c:\windows\repair\system c:\windows\system32\config\system
zkopírujte c:\windows\repair\software c:\windows\system32\config\software
zkopírujte c:\windows\repair\sam c:\windows\system32\config\sam
kopie c:\windows\repair\security c:\windows\system32\config\security
zkopírujte c:\windows\repair\default c:\windows\system32\config\default

Všechno, restartujte stroj a podívejte se na výsledek!

Pokročilé metody opravy registru

Jak jsme zjistili, Windows nemá hodný nástroj správa registru. Pojďme se proto podívat, co nám mohou nabídnout výrobci třetích stran.

Seznam síťových služeb a jim odpovídajících vyhrazených portů pro systémy NT naleznete v souboru %SystemRoot%\system32\drivers\etc\services - jedná se také v podstatě o textový soubor bez přípony, který lze zobrazit s libovolným poznámkový blok.

A nakonec na vše výše popsané, co jsme dělali rukama, můžete použít například nástroje. Tato utilita obnoví klíče registru nastavení sítě systémy s výchozími hodnotami. Kromě toho také:

• zkontroluje v souboru hosts správnost ukazatele localhost (musí odkazovat na adresu 127.0.0.1);
• vytváří zálohu proudu nastavení systému(na žádost uživatele);
• zakáže všechny síťové adaptéry a znovu nainstaluje jejich nastavení.

Nativní nástroj s GUI, o kterém jsme mluvili, dělá to samé jako příkazy netsh int ip reset a netsh reset winsock. Jemu je podobný nástroj Reset-TCPIP, který provádí všechny popsané kombinace konzolových příkazů pod jedním GUI.

Další dobrý bezplatný nástroj je určen k opravě různých chyb souvisejících se sítí a internetem ve Windows. Krátký seznam jeho schopnosti:

• vymazat a opravit soubor hosts;
• povolit ethernet a bezdrátové adaptéry sítě;
• resetovat protokol Winsock a TCP/IP;
• vymazat mezipaměť DNS, směrovací tabulky, vymazat statická IP připojení;
• znovu načíst NetBIOS.

Live CD jako záchranné lano

A pokračujme v našem tématu, prostě jsme nemohli překonat příběh o sestavách Live CD určených pro obnovu systému. Zpočátku bylo Live CD umístěno jako nástroj pro provádění administrativních úkolů: Těžké trénování disk, rychlý přístup k datům uloženým na discích a tak dále. Nyní jsou Live CD spíše univerzálním záchranným lanem pro resuscitaci systému v případě různých pádů, včetně po virový útok. Jejich hlavní výhodou je, že všechny nástroje jsou sestaveny pod jednou kapotou a mohou pracovat paralelně. Má to ale také jednu nevýhodu: pro zavedení do režimu Live CD je nutné restartovat počítač, což je pro nás v některých případech nepřijatelné.

Všichni známí vývojáři antivirů mají zdarma spouštěcí disky k obnovení systému. Krátce je projdeme, ale nebudeme zabíhat do podrobností – na začátku našeho materiálu jsme se dohodli, že budeme používat pouze ty nástroje, které nejsou čistě antivirovým softwarem.