25.11.2009, 23:15
|
#1
|
|
Администратор
Регистрация: 13.10.2008
Адрес: Украина
Сообщений: 4,095
Вес репутации: 410
|
Как восстановить из карантина файлы и записи в реестре, удаленные Combofix
Как восстановить из карантина файлы и записи в реестре, удаленные Combofix.
!!!________________________
Данная инструкция написана для ознакомления, а не как руководство к действию. Используйте данную инструкцию только по рекомендации консультанта!
- Структура папки "Qoobox", созданной Combofix.
Эта папка создается в корне системного диска:
!!!________________________
Где диск C: системный диск (имя диска может отличаться)
В этой папке находятся подкаталоги:- BackEnv
- Quarantine - в этой папке содержится карантин и "снимки реестра" для восстановления.
И файлы:- Add-Remove Programs.txt - содержит список установленных программ (см. панель установки/удаления приложений).
- CFScript_used_[дата]_[время].txt* - так же несколько файлов, в которых хранятся все скрипты, выполняемые пользователем за весь процесс лечения, что позволит провести "разбор ошибок".
- ComboFix-quarantined-files.txt - тут содержится список файлов, которые были закарантинены Combofix и помещены в папку Quarantine.
- ComboFix*.txt* - архив отчетов Combofix, содержит столько файлов, сколько раз было запущено сканирование. Является копией ComboFix.txt.
- SnapShot@[дата_сканирования]_[номер].dat - содержит список файлов и папок (каталога WINDOWS)
!!!________________________
Где "*" - Порядковый номер.
- Восстановление файлов и папок из резервного хранилища.
!!!________________________
Данный метод дан только для общего развития, так как процесс должен проходить под чутким руководством консультанта!
- Необходимо обратиться к файлу ComboFix-quarantined-files.txt и найти запись о файле, который необходимо восстановить:
используем эту запись для составления скрипта.
- Скопируйте текст ниже в блокнот и сохраните, как файл, с названием CFScript.txt на рабочий стол:
Код:
DeQuarantine::
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\VBoxVideo.sys.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers
Quit::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe:
Когда ComboFix завершит работу, то создаст в корне системного диска лог DeQuarantine.txt, содержимое которого необходимо скопировать в свое сообщение.
Пример лога DeQuarantine.txt:
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\VBoxVideo.sys.vir -> C:\WINDOWS\system32\drivers\VBoxVideo.sys ( 57872 bytes )
- Если после этих действий изменений в положительную сторону не произойдет, то необходимо восстановить ключ реестра:
- Зайдите в папку Registry_backups, которую можно найти:
Код:
C:\Qoobox\Quarantine\Registry_backups
- Переименуйте файл имя_восстанавливаемого_файла.reg.dat, убрав приставку .dat.
- Запустите файл и подтвердите изменение данных в реестре.
- Перезагрузите компьютер.
- Восстановление системы.
Иногда случается, что после работы ComboFix, система работает несколько хуже, в этом случае можно пойти наиболее простым путем.
ComboFix перед началом работы пытается активировать штатное восстановление системы и создать точку восстановления. Для возобновления работы необходимо воспользоваться стандартным механизмом восстановления системы:
Для Windows Vista:
Для Windows 7:
- Работа с консолью восстановления.
Если после работы ComboFix нет возможности запустить систему, то нам понадобится установленная консоль восстановления
!!!________________________
для Windows Vista понадобится загрузочный диск или загрузка из специального раздела для OEM версий*
Это связано с тем, что Combofix использует для своей работы ERUNT, который выполняет резервное копирование реестра системы.
Подробнее об использовании ERUNT
__________________
 Verbum sapienti sat est
Последний раз редактировалось akoK; 23.04.2010 в 10:11.
Причина: v1.4 от 23.04.10
|
|
|
Линейный вид
