Вернуться   Forum 3Dnews Tech > Софт > Операционные системы Microsoft Windows
Вход через: 

Ответ Создать новую тему
 
Опции темы Поиск в этой теме Опции просмотра
Старый 22.02.2008, 17:10   Вверх   #1
ChalnoDon
Мужской Новенький
Автор темы
 
Регистрация: 20.02.2008
Запрещен доступ к реестру после вирусной атаки

После вирусной атаки запрещен доступ к реестру и свойствам папки в Windows XP. Как это восстановить не переустанавливая операционную систему.
ChalnoDon вне форума  
Ответить с цитированием
Старый 22.02.2008, 17:41   Вверх   #2
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
http://z-oleg.com/secur/avz/index.php
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.
garniv на форуме  
Конфигурация ПК
Ответить с цитированием
Старый 23.02.2008, 08:28   Вверх   #3
il72
Мужской Умудрённый
 
Аватар для il72
 
Регистрация: 10.11.2004
Адрес: Пермская обл.
создай рег файл
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
il72 вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 23.02.2008, 10:57   Вверх   #4
Fakir
Мужской Экс-модератор
 
Аватар для Fakir
 
Регистрация: 26.04.2004
Адрес: Тольятти
il72, так ведь доступа к реестру нет.
Или я чего не понимаю?
__________________
Решил проблему, сообщи мне, как…
Fakir вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 23.02.2008, 11:44   Вверх   #5
il72
Мужской Умудрённый
 
Аватар для il72
 
Регистрация: 10.11.2004
Адрес: Пермская обл.
Fakir а регфайлу то это зачем?
il72 вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 23.02.2008, 12:06   Вверх   #6
Fakir
Мужской Экс-модератор
 
Аватар для Fakir
 
Регистрация: 26.04.2004
Адрес: Тольятти
il72 а регфайл что делает? Добавляет инфу в реестр. Так? А к реестру нет доступа.
Или я совсем о другом думаю?
__________________
Решил проблему, сообщи мне, как…
Fakir вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 23.02.2008, 12:13   Вверх   #7
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
ChalnoDon
http://www.winall.ru/xp/tweaks/regno.html
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.
garniv на форуме  
Конфигурация ПК
Ответить с цитированием
Старый 23.02.2008, 13:12   Вверх   #8
il72
Мужской Умудрённый
 
Аватар для il72
 
Регистрация: 10.11.2004
Адрес: Пермская обл.
Fakir регфайл сработает даже если ты удалишь regedit.exe
il72 вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 23.02.2008, 16:31   Вверх   #9
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
il72
Ты сначала попробуй, а потом советуй.
1. Если запрещено, то ничего не сработает. И безразлично есть regedit или нет - это уже не имеет значения.
2. Неправильное содержимое файла *.reg - он должен начинаться с указателя:
Код:
Windows Registry Editor Version 5.00

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.
garniv на форуме  
Конфигурация ПК
Ответить с цитированием
Старый 23.02.2008, 20:56   Вверх   #10
il72
Мужской Умудрённый
 
Аватар для il72
 
Регистрация: 10.11.2004
Адрес: Пермская обл.
Цитата
Windows Registry Editor Version 5.00
напиши REGEDIT и попробуй...
не тормози

Последний раз редактировалось il72; 23.02.2008 в 21:00.
il72 вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 24.02.2008, 20:47   Вверх   #11
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Цитата (il72;1448510) »
не тормози
Прошу прощения если чем обидел, но ведь ты не прав...

Цитата (il72;1448510) »
напиши REGEDIT и попробуй...
Ничего непонял - куда написать, что попробовать? Пожалуйста, распиши свою мысль подробнее, или я опять торможу?
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.
garniv на форуме  
Конфигурация ПК
Ответить с цитированием
Старый 25.02.2008, 10:15   Вверх   #12
il72
Мужской Умудрённый
 
Аватар для il72
 
Регистрация: 10.11.2004
Адрес: Пермская обл.
garniv вместо
Цитата
Цитата:
Windows Registry Editor Version 5.00
просто напиши
Цитата
REGEDIT
работать будет точно также...или нужно разжевывать как работают файлы реестра? ну тогда нужно хотя научится работать с виндой

il72 добавил :

Цитата
il72, так ведь доступа к реестру нет.
Или я чего не понимаю?
допустим нет у тебя доступу к реестру - тогда как винда вообще без реестра то работает????
il72 вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 25.02.2008, 11:48   Вверх   #13
Smirnoff
Мужской 12.12.1959 - 5.11.2025
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (il72;1448510) »
напиши REGEDIT и попробуй...
Я бы предложил написать REGEDIT4 - так как-то привычнее...
Неправильное содержимое файла *.reg - он должен начинаться с указателя:
Windows Registry Editor Version 5.00
Если всё делать уж совсем по правилам - придётся набирать файлик в двухбайтовом Unicode - а это может быть слегка утомительно, проще сказать, что версия regedit-а четвёртая...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 27.02.2008, 08:33   Вверх   #14
Flier
Мужской Интересующийся
 
Регистрация: 03.09.2006
у меня такая же проблема, Вошел в реестор до [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
создал раздел еще один "System]"
в ней создал параметр DWORD ,назвал его: DisableRegistryTools, в значении написалал 00000000.
Теперь в реестре выглядит такisableRegistryTools REG DWORD 0x00000000(0)
я все правильно сделал?
Но скрытые папки у меня все равно не показывает.
Flier вне форума  
Ответить с цитированием
Старый 27.02.2008, 09:31   Вверх   #15
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Flier
Прости, я немного не это имел ввиду Ссылку дал для того, чтобы ты дополнительно прошелся этой утилитой. Сорри за дезу

Показать скрытые папки:
Влюбой папке: Сервис->Свойства папки->Вид:
1. Убрать галку с пункта "Скрывать защищенные системные файлы(рекомендуется)"
2. Переключатель "Скрытые файлы и папки" в положение "Показывать скрытые файлы и папки"
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.
garniv на форуме  
Конфигурация ПК
Ответить с цитированием
Старый 27.02.2008, 09:37   Вверх   #16
Flier
Мужской Интересующийся
 
Регистрация: 03.09.2006
garniv он все равно не показывает. "Показывать скрытые файлы и папки-ок нажимаю,ничего не поменялось.Опять входишь в Сервис->Свойства папки->Вид:и галка опять стоит в "Скрывать защищенные системные файлы(рекомендуется)"
В компе был обнаружен вирус autoran,после этого перестали показывать папки.
Flier вне форума  
Ответить с цитированием
Старый 28.02.2008, 15:24   Вверх   #17
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Flier
Я бы прошелся еще другим антивирем - возможно твой не все вычистил...
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.
garniv на форуме  
Конфигурация ПК
Ответить с цитированием
Старый 28.02.2008, 16:05   Вверх   #18
Flier
Мужской Интересующийся
 
Регистрация: 03.09.2006
garniv после этого,еще двумя походился,ничего нету.
Flier вне форума  
Ответить с цитированием
Старый 28.02.2008, 17:24   Вверх   #19
Bazel
Мужской Экс-модератор
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
Flier скачай авз, сделай файл - стандартные скрипты - скрипт сбора "помогите" после отработки в п/папке LOG появится virusinfo_syscheck.zip приложи его сюда: посмотрим что у тебя еще живет.
и еще: файл - Восстановление системы - 5,6,8,16,17 - выполнить.
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 29.02.2008, 01:36   Вверх   #20
Flier
Мужской Интересующийся
 
Регистрация: 03.09.2006
авз-что это?
Flier вне форума  
Ответить с цитированием
Старый 29.02.2008, 03:40   Вверх   #21
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Цитата (Flier;1451175) »
авз-что это?
Запрещен доступ к реестру после вирусной атаки#1447972
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.
garniv на форуме  
Конфигурация ПК
Ответить с цитированием
Старый 29.02.2008, 08:00   Вверх   #22
Flier
Мужской Интересующийся
 
Регистрация: 03.09.2006
garniv классно,ссылка опять на эту тему
Flier вне форума  
Ответить с цитированием
Старый 29.02.2008, 08:10   Вверх   #23
Flier
Мужской Интересующийся
 
Регистрация: 03.09.2006
Bazel все сделал

Flier добавил :

ооо,сстему восстановил,папки скрытые появились.Спасибо, осталось вопрос с принтером решить.
Вложения
Тип файла: zip virusinfo_syscheck.zip (22.8 Кб, 183 просмотров)
Flier вне форума  
Ответить с цитированием
Старый 29.02.2008, 08:55   Вверх   #24
Bazel
Мужской Экс-модератор
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
Flier
Цитата (virusinfo_syscheck.zip) »
C:\WINDOWS\system32\ntos.exe
дружище! сколько раз тебя уже видел

вот лекарство:
Цитата (авз - файл - выполнить скрипт) »
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('c:\WINDOWS\system32\wsnpoem\video.dll');
DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('c:\WINDOWS\system32\wsnpoem\video.dll');
BC_DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после него комп уйдет в ребут и по идее если не всплывет чего другого должен быть чистым.
НОД - какашка, а не антивирус, имей ввиду.
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 29.02.2008, 11:59   Вверх   #25
Flier
Мужской Интересующийся
 
Регистрация: 03.09.2006
спасибо, со скрытими папками все норм,антивир до этого кас 6 был. а принтера как нет так и нет.
Flier вне форума  
Ответить с цитированием
Старый 29.02.2008, 13:02   Вверх   #26
Bazel
Мужской Экс-модератор
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
Flier скрипт выполнил?
и про принтер подробнее...

Bazel добавил :

+ у тебя неопознанный модуль пространства ядра стоит (".sys" без подписей и местоположения) , который тоже надо как-то выгонять...
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 29.02.2008, 13:20   Вверх   #27
Flier
Мужской Интересующийся
 
Регистрация: 03.09.2006
скрипт да,все ок
тема про принтер пропал принтер
Сервер Rpc недоступен
Flier вне форума  
Ответить с цитированием
Старый 02.04.2009, 14:58   Вверх   #28
rafka
Мужской Новенький
 
Регистрация: 02.04.2009
Цитата (Bazel;1451384) »
Flier скрипт выполнил?
и про принтер подробнее...

+ у тебя неопознанный модуль пространства ядра стоит (".sys" без подписей и местоположения) , который тоже надо как-то выгонять...


у меня была таже проблема - не было доступа в реестр и к скрытым папкам, все сделал как указано в этом форуме и все заработало. Вот выкладываю свой файлик, посмотрите плиззз...мне кажется какое то зверье у меня точно живет ))
Вложения
Тип файла: zip virusinfo_syscheck.zip (28.5 Кб, 99 просмотров)
rafka вне форума  
Ответить с цитированием
Старый 02.04.2009, 16:38   Вверх   #29
Bazel
Мужской Экс-модератор
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
еще как живет, но мы это исправим
файл - выполнить скрипт:
---------------
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
BC_DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
BC_DeleteFile('C:\WINDOWS\system32\locale.exe');
BC_ImportDeletedList;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer',' NoDriveTypeAutoRun', 221);
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.
----------------------
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 03.04.2009, 09:38   Вверх   #30
rafka
Мужской Новенький
 
Регистрация: 02.04.2009
Спасибо Вам большое !!! )

Но помоему не всё зверье обнаружено.....
Если зайти в управление компьютером - управление другим компьютером - запоминающие устройства - управление дисками ,то вылетает вначале табличка - generic host process for win 32 services - отправлять отчет об ошибке в майкрософт или нет, затем вылетает табличка виндовс необходимо перезагрузиться.Сбой при удаленном вызове процедур.Удаленный вызов процедур RPC. и отчет времени в 1 минуту, затем ребут.

Что это может быть ?

Последний раз редактировалось rafka; 03.04.2009 в 09:49.
rafka вне форума  
Ответить с цитированием
Старый 03.04.2009, 13:15   Вверх   #31
Smirnoff
Мужской 12.12.1959 - 5.11.2025
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (rafka;1635536) »
Что это может быть ?
Это может быть отсутствие обновлений (патчей). Какой SP и когда винда последний раз обновлялась?..
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 03.04.2009, 14:44   Вверх   #32
rafka
Мужской Новенький
 
Регистрация: 02.04.2009
sp3, обновлялся последний раз вчера.
rafka вне форума  
Ответить с цитированием
Старый 09.04.2009, 15:14   Вверх   #33
rafka
Мужской Новенький
 
Регистрация: 02.04.2009
Спасибо Вам большое !!! )
rafka вне форума  
Ответить с цитированием
Старый 09.04.2009, 17:01   Вверх   #34
Smirnoff
Мужской 12.12.1959 - 5.11.2025
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (rafka;1638242) »
Спасибо
Спасибо - много; ты напиши в чём дело было...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 02:25. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4 Patch Level 5
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd. Перевод: zCarot