Naprawianie szkód systemowych

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

1 z 17

09-10-14 09:53

Drukowana wersja tematu

Kliknij tu, aby zobaczyć temat w orginalnym formacie

Internet & Windows & Hardware FORUM _ Wirusy i Spyware - Bezpieczeństwo w sieci _
Naprawianie szkód systemowych

Napisany przez: picasso 4/11/2005, 5:43

Przywracanie prawidłowego DNS

Naprawianie firewalla XP SP2

Naprawianie Centrum Zabezpieczeń XP SP2

Przywracanie skasowanego trybu awaryjnego

Naprawianie uszkodzonych rozszerzeń

Znoszenie blokad systemowych (regedit / cmd / taskmgr etc.)

-------->

Metody naprawy Windows Vista

http://www.searchengines.pl/index.php?showtopic=79791&st=0&p=405820&#entry405820

http://www.searchengines.pl/index.php?showtopic=13280&st=0&p=397093&#entry397093

http://www.searchengines.pl/index.php?s=&showtopic=5904

Napisany przez: picasso 4/11/2005, 5:43

Przywracanie prawidłowego DNS

Resetowanie serwerów DNS

Po uŜyciu narzędzia http://www.searchengines.pl/Kolekcja-narzedzi-usuwajacych-!-t31936.html mogą
pozostać w logu zapisy szkodliwych DNS przedziału

69.50.x.x

195.95.x.x

195.225.x.x

85.255.x.x

(gdzie x to zmienne liczby). Przykład z forum:

O17 - HKLM\System\CCS\Services\Tcpip\..\{215D38FD-6262-45E2-B17D-8EBD86693A4C}: NameServer
= 85.255.114.102 85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{866F4C4B-4F8F-495E-AFDB-4E59432BF411}: NameServer
= 85.255.114.102,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1926F93-C83D-482E-9010-1D0BF5841009}: NameServer
= 85.255.114.102,85.255.112.83
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

2 z 17

09-10-14 09:53

Wystarczy te wpisy usunąć za pomocą HijackThis. Jeśli po usuwaniu Hijackiem będą naokrągło wracać naleŜy
skorzystać z ręcznej metody przepisania DNS:

Control panel / Panel sterowania >>> Network Connections / Połączenia sieciowe >>> z prawokliku na
widniejące tam a aktualnie uŜywane połączenie wybrać Properties / Właściwości:

Podświetlić Internet Protocol (TCP/IP) >>> klik w Properties / Właściwości >>> zjechać na dół do sekcji
serwerów DNS gdzie wg wszelkiego prawdopodobieństwa powinny widnieć szkodliwe adresy:

I teraz mamy róŜne scenariusze zaleŜne od waszych typów łącz i dostawców internetowych:

1. Jeśli serwery DNS są przypisywane automatycznie (zmiennie) to zaznaczacie opcję Obtain DNS server
address automatically / Uzyskaj adres serwera DNS automatycznie (pole serwerów ma być puste i
zszarzone):

2. Jeśli serwery DNS są przypisywane statycznie (ściśle określone) to zaznaczacie opcję Use the following
DNS server addresses / UŜyj następujących serwerów DNS wpisując wybrane (w przykładzie serwery

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

3 z 17

09-10-14 09:53

Inetii - kaŜdy dobiera zgodne z jego dostawcą):

Po skonfigurowaniu opcji zatwierdzacie wybór i resetujecie komputer. Kolejny krok to:

OpróŜnianie cache DNS

Finałowym pociągnięciem po zresetowaniu DNS na właściwe dostawcy internetowego jest opróŜnienie
zapamiętanych szkodliwych adresów IP. OpróŜnienie bufora wykonujemy poleceniem:

Start >>> Uruchom >>> cmd i wpisz ipconfig /flushdns

C:\Documents and Settings\Aretuza>

ipconfig /flushdns

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

C:\Documents and Settings\Aretuza>_

UWAGA: Polecenie ipconfig /flushdns nie jest ani konieczne ani nawet nie będzie mogło się wykonać jeśli jest
wyłączona usługa Klient DNS, która odpowiada za keszowanie DNS. Jeśli po wpisaniu polecenia otrzymacie
błąd Could not flush the DNS Resolver Cache: Function failed during execution / Nie moŜna opróŜnić pamięci
podręcznej programu rozpoznawania nazw DNS: Niepowodzenie funkcji podczas jej wykonywania to jest
właśnie ten przypadek.

Na koniec, po zresetowaniu cache DNS i wznowieniu aktywności internetowej, moŜna podglądnąć czy
rozpoczęte na nowo keszowanie jest wolne od szkodliwych adresów. Wykonujemy to poleceniem:

Start >>> Uruchom >>> cmd i wpisz ipconfig /displaydns

C:\Documents and Settings\Aretuza>

ipconfig /displaydns

Windows IP Configuration

         www.searchengines.pl
         ----------------------------------------
         Record Name . . . . . : www.searchengines.pl
         Record Type . . . . . : 1
         Time To Live  . . . . : 83733
         Data Length . . . . . : 4
         Section . . . . . . . : Answer
         A (Host) Record . . . : 195.149.226.63

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

4 z 17

09-10-14 09:53

... i tak dalej ... cache mo

e by

spore

Jeśli adresy IP będą róŜne a zgodne z danymi domenami i nie pokaŜe DNS przedziału 85.255.x.x to wszystko
jest w porządku. Jeśli "od góry do dołu" przy obojętnej ze stron będzie tkwić jeden i ten sam szkodliwy DNS
naleŜy powtórzyć kroki konfiguracji DNS i opróŜniania bufora.

Napisany przez: picasso 1/05/2006, 3:04

Naprawianie firewalla XP SP2

Objawy

Próba otworzenia apletu Zapora systemu Windows w Panelu sterowania zwraca błąd:

Z powodu niezidentyfikowanego problemu systemu Windows nie moŜna wyświetlic ustawień Zapory systemu
Windows

Inna jego wariacja to:

Nie moŜna wyświetlić ustawień Zapory systemu Windows, poniewaŜ skojarzona usługa nie jest uruchomiona.
Czy chcesz uruchomić usługę Zapora systemu Windows/Udostępnianie połączenia internetowego?

Zaś zatwierdzenie próby aktywania usługi przyciskiem Tak kończy się kolejnym błędem:

System Windows nie moŜe uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia
internetowego.

W konsoli Usług dostępnej przez Start >>> Uruchom >>> services.msc usługa zapory moŜe być zupełnie
niedostępna, a jeśli nawet tam figuruje, to jej próba uruchomienia zwraca kolejny miły błędzik:

Nie moŜna uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na
komputerze lokalnym.
Błąd 0x80004015: Klasa jest skonfigurowana do pracy jako identyfikator bezpieczeństwa inny niŜ wywołujący

Wszystko co powyŜej świadczy o skasowanym lub uszkodzonym w rejestrze kluczu

SharedAccess

np. na

skutek działalności szkodnika (lubi to przeprowadzać seria rootkitów Backdoor.Haxdoor).

Naprawa

Proszę ściągnąć plik zrobiony przez picasso:

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/reg/firewall.reg

Zastartować do trybu awaryjnego i plik ten uruchomić. Po restarcie komputera skonfigurować Zaporę w
Panelu sterowania.

UWAGI:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

5 z 17

09-10-14 09:53

- Ustawiłam jako otwarte porty NetBIOS na wypadek gdyby korzystający z fixa mieli połączenie internetowe
zaleŜne od działania NetBIOS. W przeciwnym przypadku uŜyć Windows Woorms Doors Cleaner by je
zamknąć.
- Ustawiłam domyślne parametry zapory (czyli Automatyczny start usługi + domyślne reakcje monitoringu
Centrum Zabezpieczeń). Kogoś nie zadawala = zrekonfigurować.

Jeśli po uŜyciu rega problem pozostanie nierozwiązany:

Start >>> Uruchom >>>

rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132

%WinDir%\inf\netrass.inf

Jeśli po wszystkich powyŜszych operacjach opcje firewala będą zszarzałe dla XP Pro moŜna zastosować:

Start >>> Uruchom >>> gpedit.msc

Konfiguracja komputera >>> Szablony administracyjne >>> Sieć >>> Połączenia sieciowe >>> Zapora
systemu Windows

Dla Profil standardowy i Profil domenowy z skonfiguruj opcje włączenia na "nie skonfigurowane". Jeśli juŜ
są "nieskonfigurowane" to przestaw na chwilę na Włącz a po tym wróć do ustawienia nieskonfigurowane.
Po tym zresetuj komputer.

Napisany przez: picasso 12/03/2007, 1:34

Naprawianie Centrum zabezpieczeń

Objawy

Wchodząc w Panel sterowania przy próbie kliku na ikonkę Centrum moŜna ujrzeć napis "Centrum
zabezpieczeń jest obecnie niedostępne poniewaŜ usługa nie jest uruchomiona lub została zatrzymana" / "The
security center is currently unavailable because the security center service has not started or was stopped".
Niemniej próba uruchomienia usługi w services.msc zwróci informację "Nie moŜna uruchomić usługi Centrum
Zabezpieczeń na komputurze lokalnym" / "Could not start the Security Center service on Local Computer" z
następującymi kodami liczbowymi do wyboru:

Error 1083:

Error 1083: The executable program that this service is configured to run in does not implement the service.
Błąd 1083: Program wykonywalny w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie
implementuje usługi

Error 123:

Error 123: The filename, directory name, or volume label syntax is incorrect.
Błąd 123: Nazwa katalogu lub składnika woluminu jest niepoprawna

Error 2:

Error 2: The system cannot find the file specified.
Błąd 2: System nie moŜe znaleźć określonego pliku

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

6 z 17

09-10-14 09:53

Error 3:

Error 3: The system cannot find the specified path
Błąd 3: System nie moŜe odnaleźć określonej ścieŜki

Naprawa

Gotowe narzędzie naprawiające Centrum Zabezpieczeń:

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/wscfix.zip

Uruchomić i kliknąć Inspect and Fix:

Otrzymamy komunikat po ukończeniu napraw:

Resetujemy komputer by zmiany weszły w Ŝycie.

Notatka dodatkowa: Jeśli Dane Centrum zabezpieczeń są nieadekwatne, np. pokazują nieobecny i juŜ
odinstalowany z systemu program zabezpieczający, naleŜy wykonać przebudowę Repozytorium:
http://www.searchengines.pl/index.php?showtopic=100818.

Napisany przez: picasso 12/03/2007, 1:34

Przywracanie Trybu awaryjnego

Komputer nie jest w stanie przejść w tryb awaryjny a log z ComboScan pokazuje taki zapis:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

7 z 17

09-10-14 09:53

SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.

Typowo akcję kasowania z rejestru klucza trybu awaryjnego SafeBoot przeprowadza rootkit Bagle. Sposób
naprawy zaleŜy od Ŝyczeń / moŜliwości uŜytkownika oraz stanu systemu. Jeśli komputer nie był zresetowany
od czasu infekcji ani teŜ nie zaszły potęŜne zmiany konfiguracyjne moŜna od razu wykorzystać opcję
Ostatniej dobrej konfiguracji. Jeśli resety się jednak wykonywały mamy cztery potencjalne warianty:

li jest wł

czone Przywracanie systemu

Dla komputera, który w trakcie trwania infekcji był resetowany a jest włączone Przywracanie systemu. Ktoś
kto ma włączone Przywracanie systemu moŜe oczywiście natychmiast z tego skorzystać cofając system do
daty sprzed infekcji i tak juŜ pozostawić bez kombinowania. JednakŜe jeśli na komputerze od czasu
ostatniego dobrego punktu przywracania zaszły duŜe zmiany, które uŜytkownik chce zachować, moŜna
wykorzystać trik z przywróceniem systemu do tej daty, eksportem klucza SafeBoot i ponownym odwróceniu
właśnie zrobionego Przywracania oraz finalnym importem uzyskanego rega. Akcja:

1. Wykonanie Przywracania systemu:

Uruchamiamy narzędzie Przywracania systemu dostępne w Start >>> Wszystkie programy >>> Akcesoria
>>> Narzędzia systemowe. Zaznaczamy opcję "Przywróć komputer do wcześniejszego stanu" a z kalendarza
wybieramy przedinfekcyjną datę i cofamy system.

2. Eksport klucza Safeboot:

System uzyskał status czysty i posiada klucz tryb awaryjnego, który wyeksportujemy:

Start >>> Uruchom >>> regedit i przejść do klucza:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Z prawokliku na klucz SafeBoot wybrać opcję Eksportu:

Zapisać jako plik safeboot.reg w dowolnym wygodnym miejscu dysku np. na Pulpicie.

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

8 z 17

09-10-14 09:53

3. Odwrócenie Przywracania systemu:

Mamy wyeksportowany klucz to teraz moŜemy odwrócić wykonane Przywracanie systemu. Skaczemy w to
samo miejsce w Akcesoriach i tam wybieramy opcję "Cofnij moje ostatnie przywracanie". Zmiany zostaną
cofnięte i jako efekt uzyskamy ponownie system z uszkodzonym kluczem trybu awaryjnego. I przechodzimy
do meritum:

4. Import pliku safeboot.reg:

Dwuklik na plik safeboot.reg, potwierdzić import do rejestru. Zresetować komputer i sprawdzić czy ładuje się
tryb awaryjny.

adna z opcji powy

ej nie jest dost

pna

Dla komputera, który nie posiada Ostatniej dobrej konfiguracji (bo jest zanieczyszczona zapisami Bagle) ani
włączonego Przywracania systemu lub Przywracanie systemu mięknie. Jest to metoda "przez hive", którą dziś
wymyśliłam. OtóŜ brakujący klucz SafeBoot moŜna wyciągnąć w łatwy sposób z kopii post-instalacyjnej
tworzonej przez Windows w folderze C:\WINDOWS\Repair. Ten folder trzyma czyste ustawienia Windows
powstałe zaraz po jego zainstalowaniu. Nie są w Ŝaden sposób modyfikowane. Z grupy plików tego folderu
będzie nas interesował tylko jeden o nazwie system. Plik ten załadujemy jako gałąź roboczą do edytora
rejestru i z niego wyeksportujemy SafeBoot. Akcja:

1. Załadowanie gałęzi i eksport klucza Safeboot:

Start >>> Uruchom >>> regedit i podświetlamy klucz HKEY_LOCAL_MACHINE:

Wybieramy menu File (Plik) >>> Load Hive (Załaduj gałąź Rejestru):

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

9 z 17

09-10-14 09:53

- Wskazujemy plik C:\WINDOWS\repair\system

- Padnie pytanie o nazwę "roboczą" = dowolna, tu wpisałam Test:

Jako efekt pojawi się nowa gałązka pod nazwą jaką wybraliście (tu Test):

Rozwinąć tę nową gałązkę i przejść do klucza:

HKEY_LOCAL_MACHINE\Test\ControlSet001\Control\Safeboot

Z prawokliku na klucz SafeBoot wybrać opcję Eksportu:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

11 z 17

09-10-14 09:53

Zamykamy edytor rejestru.

2. Edycja wyeksportowanego pliku:

Ostatni punkt z tych "mozolnych" to wyedytowanie pliku safeboot.reg w Notatniku, gdyŜ nie zgadzają się na
teraz ścieŜki dostępu. Zamiast klucza SYSTEM jest ta nazwa, którą wprowadzaliśmy roboczo (w przykładzie
Test) a takŜe jest odnośnik do ControlSet001 a nie CurrentControlSet. Z prawokliku otwieramy plik
safeboot.reg do edycji w Notatniku:

Z klawiatury trzaskamy kombinację CTRL+H co wywoła okno zamiany tekstu. W pierwszym polu wpisujemy
fragment ścieŜki Test\ControlSet001 (przypominam: pod Test podstawiacie tę nazwę jaką nadaliście
gałęzi!) a w drugim polu wpisujemy następny fragment ścieŜki SYSTEM\CurrentControlSet (słowo SYSTEM
z duŜej litery) i wciskamy Replace all (Zamień wszystkie):

Tekst ulegnie podmianie i otrzymamy wreszcie finalny prawidłowy plik:

Zapisujemy zmiany w pliku!

3. Import pliku safeboot.reg:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

12 z 17

09-10-14 09:53

Dwuklik na plik safeboot.reg, potwierdzić import do rejestru. Zresetować komputer i sprawdzić czy ładuje się
tryb awaryjny.

li nie ma mo

liwo

ci eksportu klucza

Jeśli nie macie skąd brać klucza Safeboot do eksportu w ostateczności moŜecie skorzystać z mojego (dla XP
SP2):

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/safeboot.zip

Rozpakować, uruchomić i potwierdzić import ..... Zresetować komputer i sprawdzić czy jest moŜliwe przejście
w tryb awaryjny.

li system zupełnie nie startuje

.... lub są inne problemy wykonawcze wcześniej opisywanych metod. Najgorszy z wariantów stanu systemu.
Zostają wam dwie w miarę polubowne opcje:

1. Nakładkowa reperacja Windows wg tego sposobu:

http://www.searchengines.pl/phpbb203/index.php?showtopic=24500&st=0&p=109540&#entry109540

Nie jest to Ŝaden format lecz reperacja i wasze dane / konta / programy zostaną nietknięte.

2. Stworzenie na innym komputerze płyty LiveCD przy udziale BartPe Builder:

http://www.searchengines.pl/phpbb203/index.php?showtopic=84581

Zbootowanie z tej płyty i próba edycji rejestru przez metodę ładowania gałęzi.

Napisany przez: picasso 16/03/2007, 4:18

Naprawianie uszkodzonych rozszerzeń

Objawy

Próba otwierania danych plików zwróci błędy w stylu "Nie moŜna otworzyć ... wybierz program z listy" / "Nie
moŜna odnaleźć określonego pliku". Pliki mogą (lecz nie muszą) mieć zmienioną ikonę na typ "generic":

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

13 z 17

09-10-14 09:53

W logach z Silent Runners i ComboScan będą tego typu zapiski key not found / unable to read key:

Default executables:
--------------------

HKLM\Software\Classes\batfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\batfile\

HKLM\Software\Classes\cmdfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\cmdfile\

HKLM\Software\Classes\comfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\comfile\

HKLM\Software\Classes\exefile\shell\open\command\ = (key not found)
HKLM\Software\Classes\exefile\

HKLM\Software\Classes\scrfile\shell\open\command\ = (key not found)
HKLM\Software\Classes\scrfile\

-- File Associations -----------------------------------------------------------

.bat - unable to read key
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - unable to read key
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - unable to read key
.pif - unable to read key
.reg - unable to read key
.scr - unable to read key
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*

Nie działające *.EXE

Gotowy fix, który odblokowuje EXE / REG / BAT / COM / PIF / SCR mające przepisane komendy otwierające:

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/unhookexec.inf

Ściągnąć plik na dysk (Firefox / Opera: klik prawym na link i opcja Zapisz, inaczej plik INF otworzy się w
nowej zakładce). Po ściągnięciu z prawokliku wybrać opcję Instaluj. Jeśli ta akcja nie pomoŜe (lub
rozszerzenie *.INF teŜ jest charatnięte) naleŜy skorzystać z gotowych plików reg (naprawiacz fix_exe.reg
naprawia teŜ rozszerzenie *.LNK):

Jeśli rozszerzenie *.REG działa

Seria gotowych zrobionych przeze mnie plików naprawiających dane rozszerzenie:

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

14 z 17

09-10-14 09:53

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_bat.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_chm.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_cmd.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_com.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_exe.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_hlp.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_inf.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_ini.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_pif.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_scr.reg

Pobierz: http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/fix_txt.reg

Ściągnąć wybrany plik na dysk (Firefox / Opera: klik prawym na link i opcja Zapisz, inaczej plik REG otworzy
się w nowej zakładce). Po ściągnięciu dwuklik na plik a na pytanie o import do rejestru zatwierdzić.
Zresetować komputer.

Uwaga: Jeśli rozszerzenie EXE jest uszkodzone moŜe być trudność z importem plików REG i otwieraniem
edytora REGEDIT. Obejście to: wywołać MenedŜer zadań przez ALT+CTRL+DEL. Menu File / Plik i
przytrzymując wciśnięty klawisz CTRL wybrać opcję New Task / Nowe zadanie. To automatycznie wywoła linię
komend Windows, w której wpisać REGEDIT.EXE i z palca w ENTER. Otworzy się edytor rejestru, w którym z
menu File / Plik wybrać opcję Importu wskazując konkretne pliki *.REG.

Jeśli rozszerzenie *.REG jest uszkodzone

Jeśli *.REG widnieje jako pokiereszowany w logach, nie pomaga ani Unhookexec.inf ani obejście z
ALT+CTRL+DEL >>> REGEDIT.EXE >>> Import, w oczywisty sposób nie moŜecie do naprawy rozszerzeń
brać gotowych plików REG, które linkuję. Nie będą się chciały importować. Naprawa jest o wiele trudniejsza i
zakłada Ŝe działa edytor rejestru jako taki. Naprawa roszerzenia REG będzie ręczna i przeklejam z jednego z
tematów jak to ma wyglądać:

Start >>> Uruchom >>> regedit

[jeśli edytor nie otwiera się tą metodą wykorzystać trik z ALT+CTRL+DEL by go uruchomić przez linię
komend]

I przechodzisz do klucza (jeśli go nie ma to go tworzysz):

HKEY_CLASSES_ROOT\.reg

W kluczu .reg dwuklik na wartość (Domyślną) i jako dane wartości wpisujesz regfile:

http://img148.imageshack.us/img148/1959/reg1kt6.gif

W kluczu .reg tworzysz podklucz PersistentHandler a w nim dwuklik na wartość (Domyślną) i jako dane
wartości wpisujesz {5e941d80-bf96-11cd-b579-08002b30bfeb}:

http://img92.imageshack.us/img92/9306/reg23un9.gif

Teraz bardziej zamotana część. Przechodzisz do klucza (jeśli go nie ma to go tworzysz):

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

15 z 17

09-10-14 09:53

HKEY_CLASSES_ROOT\regfile

I oto obrazki jak ma być wyedytowane (wejście Edit With Registrar omijacie = to od mojego dodatkowego
edytora):

http://img87.imageshack.us/img87/3677/reg3zs6.gif

http://img87.imageshack.us/img87/3312/reg4bk2.gif

http://img68.imageshack.us/img68/8537/reg5ui5.gif

http://img155.imageshack.us/img155/8466/reg6uk4.gif

http://img149.imageshack.us/img149/9985/reg7ui2.gif

http://img89.imageshack.us/img89/8034/reg8gp6.gif

http://img465.imageshack.us/img465/71/reg9op7.gif

Tu wyciąg tekstowy by łatwiej było wam edytować:

[HKEY_CLASSES_ROOT\regfile]

(Domyślna)

REG_SZ

Registration Entries

EditFlags

REG_DWORD

w heksadecymalnym

100000

[HKEY_CLASSES_ROOT\regfile\DefaultIcon]

(Domyślna)

REG_EXPAND_SZ

%SystemRoot%\regedit.exe,1

[HKEY_CLASSES_ROOT\regfile\shell]

[HKEY_CLASSES_ROOT\regfile\shell\edit]

[HKEY_CLASSES_ROOT\regfile\shell\edit\command]

(Domyślna)

REG_EXPAND_SZ

%SystemRoot%\system32\NOTEPAD.EXE %1

[HKEY_CLASSES_ROOT\regfile\shell\open]

(Domyślna)

REG_SZ

Merge

[HKEY_CLASSES_ROOT\regfile\shell\open\command]

(Domyślna)

REG_SZ

regedit.exe "%1"

[HKEY_CLASSES_ROOT\regfile\shell\print]

[HKEY_CLASSES_ROOT\regfile\shell\print\command]

(Domyślna)

REG_EXPAND_SZ

%SystemRoot%\system32\NOTEPAD.EXE /p %1

(Nazwa Wartości)

Typ wartości

Dane wartości

Po zedytowaniu jak podane wyŜej zresetować komputer. Teraz moŜna importować inne pliki REG
naprawiające resztę uszkodzonych rozszerzeń.

BTW. Jest jeszcze moŜliwość przywracania rozszerzeń przez linię komend i polecenia assoc i ftype ale na
razie wątek zostawiam. MoŜe kiedyś zrobię takie pliki hurtowo kojarzące.

Internet & Windows & Hardware FORUM [Powered by Invision Power...

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99...

16 z 17

09-10-14 09:53

Napisany przez: picasso 23/03/2007, 16:04

Pomocny program System Repair Engineer (SREng):

http://www.searchengines.pl/index.php?showtopic=13280&st=0&p=397093&#entry397093

Zawiadamiam tutaj bo ma opcje naprawy systemu w tym uszkodzonych rozszerzeń i Winsock (patrz
zakładka System Repair).

Napisany przez: picasso 4/05/2007, 0:55

Od autora programu DSS aplikacja Deckard's Association Fix (DAFT):

http://www.techsupportforum.com/sectools/Deckard/daft.exe

Automatyczny naprawiacz rozszerzeń.

Napisany przez: picasso 14/08/2008, 9:55

Zdejmowanie blokad systemowych

Błędy typu "... wyłączone przez administratora sieci"

FixPolicies

Oto zbiorczy fiks dedykowany zwłaszcza komputerom zaatakowanym przez malware, który pozwala
resetować zablokowane przez szkodniki ustawienia systemowe. Jest to moŜliwe mimo zablokowania narzędzi
systemowych, poniewaŜ FixPolicies bazuje na alternatywnym konsolowym edytorze rejestru
http://www.xs4all.nl/~fstaal01/swreg-us.html (w zasadzie większość naszych naprawiaczy posługuje się
nim). W skład napraw wchodzi: odblokowywanie rejestru regedit / menedŜera zadań / panelu sterowania /
linii komend cmd, przywracanie widoczności Uruchom / Wyszukaj etc w Menu Start, przywracanie
niewidocznych Opcji folderów oraz niektórych menu kontekstowych prawokliku, znoszenie blokad
uniemoŜliwiających przestawienie opcji relatywnych do pokazywania ukrytych plików (patrz: infekcje z
pendrive). Dodatkowo teŜ ustawień dla Przywracania systemu i Windows Update.

Pobierz: http://downloads.malwareremoval.com/BillCastner/FixPolicies.exe

Pobrane FixPolicies.exe uruchomić przez dwuklik.
Wybrać opcję "Install".
Narzędzie rozpakuje się do folderu FixPolicies.
Ze środka folderu uruchomić plik baczowy Fix_Policies.cmd.
Otworzy się czarne okno linii komend, które po ukończeniu akcji samoczynnie się zamknie.

Dial-a-Fix

Ten program z kolei jest przeznaczony do ogólniejszych reperacji defektów Windows: błędów Windows
Update, problemów z Automatycznymi Aktualizacjami, Usługami kryptograficznymi, SSL, HTTPS,
COM/ActiveX. RównieŜ ma opcje resetowania Policies. Niemniej jest to inny program i jest róŜnica między
nim a FixPolicies. FixPolicies zostało skonstruowane na bazie obserwacji zachowań malware i adresuje triki
nie uwzględnione w Dial-a-Fix. Wywód na ten temat jest tu: http://forums.pcworld.com/docs/DOC-1641.