Запрещен доступ к реестру после вирусной атаки

ChalnoDon · 22.02.2008, 17:10

После вирусной атаки запрещен доступ к реестру и свойствам папки в Windows XP. Как это восстановить не переустанавливая операционную систему.

**garniv** · 22.02.2008, 17:41

http://z-oleg.com/secur/avz/index.php

il72 · 23.02.2008, 08:28

создай рег файл
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

Fakir · 23.02.2008, 10:57

il72, так ведь доступа к реестру нет.
Или я чего не понимаю?

il72 · 23.02.2008, 11:44

Fakir а регфайлу то это зачем?

Fakir · 23.02.2008, 12:06

il72 а регфайл что делает? Добавляет инфу в реестр. Так? А к реестру нет доступа.
Или я совсем о другом думаю?

**garniv** · 23.02.2008, 12:13

ChalnoDon
http://www.winall.ru/xp/tweaks/regno.html

il72 · 23.02.2008, 13:12

Fakir регфайл сработает даже если ты удалишь regedit.exe

**garniv** · 23.02.2008, 16:31

il72
Ты сначала попробуй, а потом советуй.
1. Если запрещено, то ничего не сработает. И безразлично есть regedit или нет - это уже не имеет значения.
2. Неправильное содержимое файла *.reg - он должен начинаться с указателя:

Код:

Windows Registry Editor Version 5.00

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

il72 · 23.02.2008, 20:56

Цитата

Windows Registry Editor Version 5.00

напиши REGEDIT и попробуй...
не тормози

**garniv** · 24.02.2008, 20:47

Цитата (il72;1448510) »

не тормози

Прошу прощения если чем обидел, но ведь ты не прав...

Цитата (il72;1448510) »

напиши REGEDIT и попробуй...

Ничего непонял - куда написать, что попробовать? Пожалуйста, распиши свою мысль подробнее, или я опять торможу?

il72 · 25.02.2008, 10:15

garniv вместо

Цитата

Цитата:
Windows Registry Editor Version 5.00

просто напиши

Цитата

REGEDIT

работать будет точно также...или нужно разжевывать как работают файлы реестра? ну тогда нужно хотя научится работать с виндой

il72 добавил :

Цитата

il72, так ведь доступа к реестру нет.
Или я чего не понимаю?

допустим нет у тебя доступу к реестру - тогда как винда вообще без реестра то работает????

Smirnoff · 25.02.2008, 11:48

Цитата (il72;1448510) »

напиши REGEDIT и попробуй...

Я бы предложил написать REGEDIT4 - так как-то привычнее...

Цитата (garniv;1448402) »

Неправильное содержимое файла *.reg - он должен начинаться с указателя:
Windows Registry Editor Version 5.00

Если всё делать уж совсем по правилам - придётся набирать файлик в двухбайтовом Unicode - а это может быть слегка утомительно, проще сказать, что версия regedit-а четвёртая...

Flier · 27.02.2008, 08:33

у меня такая же проблема, Вошел в реестор до [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
создал раздел еще один "System]"
в ней создал параметр DWORD ,назвал его: DisableRegistryTools, в значении написалал 00000000.
Теперь в реестре выглядит так

isableRegistryTools REG DWORD 0x00000000(0)
я все правильно сделал?
Но скрытые папки у меня все равно не показывает.

**garniv** · 27.02.2008, 09:31

Flier
Прости, я немного не это имел ввиду

Ссылку дал для того, чтобы ты дополнительно прошелся этой утилитой. Сорри за дезу

Показать скрытые папки:
Влюбой папке: Сервис->Свойства папки->Вид:
1. Убрать галку с пункта "Скрывать защищенные системные файлы(рекомендуется)"
2. Переключатель "Скрытые файлы и папки" в положение "Показывать скрытые файлы и папки"

Flier · 27.02.2008, 09:37

garniv он все равно не показывает. "Показывать скрытые файлы и папки-ок нажимаю,ничего не поменялось.Опять входишь в Сервис->Свойства папки->Вид:и галка опять стоит в "Скрывать защищенные системные файлы(рекомендуется)"
В компе был обнаружен вирус autoran,после этого перестали показывать папки.

**garniv** · 28.02.2008, 15:24

Flier
Я бы прошелся еще другим антивирем - возможно твой не все вычистил...

Flier · 28.02.2008, 16:05

garniv после этого,еще двумя походился,ничего нету.

Bazel · 28.02.2008, 17:24

Flier скачай авз, сделай файл - стандартные скрипты - скрипт сбора "помогите" после отработки в п/папке LOG появится virusinfo_syscheck.zip приложи его сюда: посмотрим что у тебя еще живет.
и еще: файл - Восстановление системы - 5,6,8,16,17 - выполнить.

Flier · 29.02.2008, 01:36

авз-что это?

**garniv** · 29.02.2008, 03:40

Цитата (Flier;1451175) »

авз-что это?

Запрещен доступ к реестру после вирусной атаки#1447972

Flier · 29.02.2008, 08:00

garniv классно,ссылка опять на эту тему

Flier · 29.02.2008, 08:10

Bazel все сделал

Flier добавил :

ооо,сстему восстановил,папки скрытые появились.Спасибо, осталось вопрос с принтером решить.

Bazel · 29.02.2008, 08:55

Flier

Цитата (virusinfo_syscheck.zip) »

C:\WINDOWS\system32\ntos.exe

дружище! сколько раз тебя уже видел

вот лекарство:

Цитата (авз - файл - выполнить скрипт) »

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('c:\WINDOWS\system32\wsnpoem\video.dll');
DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('c:\WINDOWS\system32\wsnpoem\video.dll');
BC_DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после него комп уйдет в ребут и по идее если не всплывет чего другого должен быть чистым.
НОД - какашка, а не антивирус, имей ввиду.

Flier · 29.02.2008, 11:59

спасибо, со скрытими папками все норм,антивир до этого кас 6 был. а принтера как нет так и нет.

Bazel · 29.02.2008, 13:02

Flier скрипт выполнил?
и про принтер подробнее...

Bazel добавил :

+ у тебя неопознанный модуль пространства ядра стоит (".sys" без подписей и местоположения) , который тоже надо как-то выгонять...

Flier · 29.02.2008, 13:20

скрипт да,все ок
тема про принтер пропал принтер
Сервер Rpc недоступен

rafka · 02.04.2009, 14:58

Цитата (Bazel;1451384) »

Flier скрипт выполнил?
и про принтер подробнее...

+ у тебя неопознанный модуль пространства ядра стоит (".sys" без подписей и местоположения) , который тоже надо как-то выгонять...

у меня была таже проблема - не было доступа в реестр и к скрытым папкам, все сделал как указано в этом форуме и все заработало. Вот выкладываю свой файлик, посмотрите плиззз...мне кажется какое то зверье у меня точно живет ))

Bazel · 02.04.2009, 16:38

еще как живет, но мы это исправим

файл - выполнить скрипт:
---------------
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
BC_DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
BC_DeleteFile('C:\WINDOWS\system32\locale.exe');
BC_ImportDeletedList;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer',' NoDriveTypeAutoRun', 221);
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.
----------------------

rafka · 03.04.2009, 09:38

Спасибо Вам большое !!! )

Но помоему не всё зверье обнаружено.....
Если зайти в управление компьютером - управление другим компьютером - запоминающие устройства - управление дисками ,то вылетает вначале табличка - generic host process for win 32 services - отправлять отчет об ошибке в майкрософт или нет, затем вылетает табличка виндовс необходимо перезагрузиться.Сбой при удаленном вызове процедур.Удаленный вызов процедур RPC. и отчет времени в 1 минуту, затем ребут.

Что это может быть ?

Smirnoff · 03.04.2009, 13:15

Цитата (rafka;1635536) »

Что это может быть ?

Это может быть отсутствие обновлений (патчей). Какой SP и когда винда последний раз обновлялась?..

rafka · 03.04.2009, 14:44

sp3, обновлялся последний раз вчера.

rafka · 09.04.2009, 15:14

Спасибо Вам большое !!! )

Smirnoff · 09.04.2009, 17:01

Цитата (rafka;1638242) »

Спасибо

Спасибо - много; ты напиши в чём дело было...

22.02.2008, 17:10	Вверх #1
ChalnoDon Новенький Автор темы Регистрация: 20.02.2008	Запрещен доступ к реестру после вирусной атаки После вирусной атаки запрещен доступ к реестру и свойствам папки в Windows XP. Как это восстановить не переустанавливая операционную систему.

22.02.2008, 17:41	Вверх #2
garniv Модератор Регистрация: 29.06.2004	http://z-oleg.com/secur/avz/index.php __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

23.02.2008, 10:57	Вверх #4
Fakir Экс-модератор Регистрация: 26.04.2004 Адрес: Тольятти	il72, так ведь доступа к реестру нет. Или я чего не понимаю? __________________ Решил проблему, сообщи мне, как…

23.02.2008, 12:06	Вверх #6
Fakir Экс-модератор Регистрация: 26.04.2004 Адрес: Тольятти	il72 а регфайл что делает? Добавляет инфу в реестр. Так? А к реестру нет доступа. Или я совсем о другом думаю? __________________ Решил проблему, сообщи мне, как…

23.02.2008, 12:13	Вверх #7
garniv Модератор Регистрация: 29.06.2004	ChalnoDon http://www.winall.ru/xp/tweaks/regno.html __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

23.02.2008, 08:28	Вверх #3
il72 Умудрённый Регистрация: 10.11.2004 Адрес: Пермская обл.	создай рег файл [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000

23.02.2008, 11:44	Вверх #5
il72 Умудрённый Регистрация: 10.11.2004 Адрес: Пермская обл.	Fakir а регфайлу то это зачем?

23.02.2008, 13:12	Вверх #8
il72 Умудрённый Регистрация: 10.11.2004 Адрес: Пермская обл.	Fakir регфайл сработает даже если ты удалишь regedit.exe

23.02.2008, 16:31	Вверх #9
garniv Модератор Регистрация: 29.06.2004	il72 Ты сначала попробуй, а потом советуй. 1. Если запрещено, то ничего не сработает. И безразлично есть regedit или нет - это уже не имеет значения. 2. Неправильное содержимое файла *.reg - он должен начинаться с указателя: Код: Windows Registry Editor Version 5.00 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

23.02.2008, 20:56	Вверх #10
il72 Умудрённый Регистрация: 10.11.2004 Адрес: Пермская обл.	Цитата Windows Registry Editor Version 5.00 напиши REGEDIT и попробуй... не тормози Последний раз редактировалось il72; 23.02.2008 в 21:00.

24.02.2008, 20:47	Вверх #11
garniv Модератор Регистрация: 29.06.2004	Цитата (il72;1448510) » не тормози Прошу прощения если чем обидел, но ведь ты не прав... Цитата (il72;1448510) » напиши REGEDIT и попробуй... Ничего непонял - куда написать, что попробовать? Пожалуйста, распиши свою мысль подробнее, или я опять торможу? __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

25.02.2008, 10:15	Вверх #12
il72 Умудрённый Регистрация: 10.11.2004 Адрес: Пермская обл.	garniv вместо Цитата Цитата: Windows Registry Editor Version 5.00 просто напиши Цитата REGEDIT работать будет точно также...или нужно разжевывать как работают файлы реестра? ну тогда нужно хотя научится работать с виндой il72 добавил : Цитата il72, так ведь доступа к реестру нет. Или я чего не понимаю? допустим нет у тебя доступу к реестру - тогда как винда вообще без реестра то работает????

25.02.2008, 11:48	Вверх #13
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (il72;1448510) » напиши REGEDIT и попробуй... Я бы предложил написать REGEDIT4 - так как-то привычнее... Цитата (garniv;1448402) » Неправильное содержимое файла *.reg - он должен начинаться с указателя: Windows Registry Editor Version 5.00 Если всё делать уж совсем по правилам - придётся набирать файлик в двухбайтовом Unicode - а это может быть слегка утомительно, проще сказать, что версия regedit-а четвёртая... __________________ С уважением, Олег Р. Смирнов

27.02.2008, 08:33	Вверх #14
Flier Интересующийся Регистрация: 03.09.2006	у меня такая же проблема, Вошел в реестор до [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ создал раздел еще один "System]" в ней создал параметр DWORD ,назвал его: DisableRegistryTools, в значении написалал 00000000. Теперь в реестре выглядит такisableRegistryTools REG DWORD 0x00000000(0) я все правильно сделал? Но скрытые папки у меня все равно не показывает.

27.02.2008, 09:31	Вверх #15
garniv Модератор Регистрация: 29.06.2004	Flier Прости, я немного не это имел ввиду Ссылку дал для того, чтобы ты дополнительно прошелся этой утилитой. Сорри за дезу Показать скрытые папки: Влюбой папке: Сервис->Свойства папки->Вид: 1. Убрать галку с пункта "Скрывать защищенные системные файлы(рекомендуется)" 2. Переключатель "Скрытые файлы и папки" в положение "Показывать скрытые файлы и папки" __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

27.02.2008, 09:37	Вверх #16
Flier Интересующийся Регистрация: 03.09.2006	garniv он все равно не показывает. "Показывать скрытые файлы и папки-ок нажимаю,ничего не поменялось.Опять входишь в Сервис->Свойства папки->Вид:и галка опять стоит в "Скрывать защищенные системные файлы(рекомендуется)" В компе был обнаружен вирус autoran,после этого перестали показывать папки.

28.02.2008, 15:24	Вверх #17
garniv Модератор Регистрация: 29.06.2004	Flier Я бы прошелся еще другим антивирем - возможно твой не все вычистил... __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

28.02.2008, 16:05	Вверх #18
Flier Интересующийся Регистрация: 03.09.2006	garniv после этого,еще двумя походился,ничего нету.

28.02.2008, 17:24	Вверх #19
Bazel Экс-модератор Регистрация: 19.04.2004 Адрес: AMD 3DNclan, Москва	Flier скачай авз, сделай файл - стандартные скрипты - скрипт сбора "помогите" после отработки в п/папке LOG появится virusinfo_syscheck.zip приложи его сюда: посмотрим что у тебя еще живет. и еще: файл - Восстановление системы - 5,6,8,16,17 - выполнить.

29.02.2008, 01:36	Вверх #20
Flier Интересующийся Регистрация: 03.09.2006	авз-что это?

29.02.2008, 03:40	Вверх #21
garniv Модератор Регистрация: 29.06.2004	Цитата (Flier;1451175) » авз-что это? Запрещен доступ к реестру после вирусной атаки#1447972 __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

29.02.2008, 08:00	Вверх #22
Flier Интересующийся Регистрация: 03.09.2006	garniv классно,ссылка опять на эту тему

29.02.2008, 08:55	Вверх #24
Bazel Экс-модератор Регистрация: 19.04.2004 Адрес: AMD 3DNclan, Москва	Flier Цитата (virusinfo_syscheck.zip) » C:\WINDOWS\system32\ntos.exe дружище! сколько раз тебя уже видел вот лекарство: Цитата (авз - файл - выполнить скрипт) » begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('c:\WINDOWS\system32\wsnpoem\video.dll'); DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_DeleteFile('c:\WINDOWS\system32\wsnpoem\video.dll'); BC_DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll'); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. после него комп уйдет в ребут и по идее если не всплывет чего другого должен быть чистым. НОД - какашка, а не антивирус, имей ввиду.

29.02.2008, 11:59	Вверх #25
Flier Интересующийся Регистрация: 03.09.2006	спасибо, со скрытими папками все норм,антивир до этого кас 6 был. а принтера как нет так и нет.

29.02.2008, 13:02	Вверх #26
Bazel Экс-модератор Регистрация: 19.04.2004 Адрес: AMD 3DNclan, Москва	Flier скрипт выполнил? и про принтер подробнее... Bazel добавил : + у тебя неопознанный модуль пространства ядра стоит (".sys" без подписей и местоположения) , который тоже надо как-то выгонять...

29.02.2008, 13:20	Вверх #27
Flier Интересующийся Регистрация: 03.09.2006	скрипт да,все ок тема про принтер пропал принтер Сервер Rpc недоступен

02.04.2009, 16:38	Вверх #29
Bazel Экс-модератор Регистрация: 19.04.2004 Адрес: AMD 3DNclan, Москва	еще как живет, но мы это исправим файл - выполнить скрипт: --------------- begin SetAVZGuardStatus(True); SearchRootkit(true, true); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); BC_DeleteFile('C:\WINDOWS\system32\ntfsours.exe'); BC_DeleteFile('C:\WINDOWS\system32\locale.exe'); BC_ImportDeletedList; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer',' NoDriveTypeAutoRun', 221); ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(11); ExecuteRepair(16); RebootWindows(true); end. ----------------------

03.04.2009, 09:38	Вверх #30
rafka Новенький Регистрация: 02.04.2009	Спасибо Вам большое !!! ) Но помоему не всё зверье обнаружено..... Если зайти в управление компьютером - управление другим компьютером - запоминающие устройства - управление дисками ,то вылетает вначале табличка - generic host process for win 32 services - отправлять отчет об ошибке в майкрософт или нет, затем вылетает табличка виндовс необходимо перезагрузиться.Сбой при удаленном вызове процедур.Удаленный вызов процедур RPC. и отчет времени в 1 минуту, затем ребут. Что это может быть ? Последний раз редактировалось rafka; 03.04.2009 в 09:49.

03.04.2009, 13:15	Вверх #31
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (rafka;1635536) » Что это может быть ? Это может быть отсутствие обновлений (патчей). Какой SP и когда винда последний раз обновлялась?.. __________________ С уважением, Олег Р. Смирнов

03.04.2009, 14:44	Вверх #32
rafka Новенький Регистрация: 02.04.2009	sp3, обновлялся последний раз вчера.

09.04.2009, 15:14	Вверх #33
rafka Новенький Регистрация: 02.04.2009	Спасибо Вам большое !!! )

09.04.2009, 17:01	Вверх #34
Smirnoff 12.12.1959 - 5.11.2025 Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата (rafka;1638242) » Спасибо Спасибо - много; ты напиши в чём дело было... __________________ С уважением, Олег Р. Смирнов