Вирус внес изменения в реестр. Не запускаются *.exe-файлы, программы, etc. Исправление поврежденных ключей реестра вручную 1. Не запускается (запрещен) "Редактор реестра". необходимо создать reg-файл: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegedit"=dword:0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegedit"=dword:0 назвать его произвольным именем, например, restorere.reg, и запустить дважды щёлкнув по reg-файлу левой кнопкой мыши; альтернативно - Пуск > Выполнить > ввести regedit /s restorere.reg и нажать кнопку "ОК" Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe: reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0 2. Не запускаются *.exe-файлы. надо создать reg-файл: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\exefile\shell] [HKEY_CLASSES_ROOT\exefile\shell\open] "EditFlags"=hex:00,00,00,00 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\exefile\shell\runas] [HKEY_CLASSES_ROOT\exefile\shell\runas\command] @="\"%1\" %*" назвать его произвольным именем, например, restoreexe.reg, и запустить дважды щёлкнув по reg-файлу левой кнопкой мыши. 3. Не запускаются программы и выдается сообщение "В доступе отказано, обратитесь к администратору". смотрим, чтобы в реестре было так: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "RestrictRun"=dword:00000000 альтернативно просто удалите ключ "RestrictRun" (Дефолтное значение "0"). 4. Отключен (запрещен) Диспетчер задач. проверяем реестр: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=dword:0 альтернативно можно просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0") или Исправить можно через управление групповой политикой: "Пуск" - "Выполнить" - gpedit.msc "Конфигурация пользователя" - "Административные шаблоны" - "Система" - "Возможности Ctrl + Alt + Del" - "Удалить Диспетчер Задач" - надо выбрать вариант "Не задана" 5. Отключена возможность выбора свойств папки. проверяем ключи реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoFolderOptions"=dword:00000000 или [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"=dword:00000000 6. Отключено отображение скрытых и системных файлов. проверяем ключи реестра: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 "HideFileExt"=dword:00000000 "ShowSuperHidden"=dword:00000001 вредоносная программа может также изменить ключ "CheckedValue" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 7. При открытии диска ОС Windows спрашивает, с помощью какой программы его открыть: Найти и убить все autorun.inf со всех дисков. Запустить редактор реестра, найти следующие ключи и удалить их: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] 8. В окне свойств экрана отсутствуют некоторые вкладки. Часто вирусы изменяют рисунок Рабочего стола Windows с тем, чтобы вывести на экран собственную информацию. При этом блокируют возможность изменения настроек Рабочего стола, скрывая некоторые вкладки окна свойств экрана. Прежде чем восстанавливать отображение этих вкладок, убедитесь, что вирус, который отключил их отображение, уже не действует в системе. Если вирус уже удалён из системы, то для восстановления скрытых папок необходимо создать reg-файл и запустить его, дважды щёлкнув по reg-файлу левой кнопкой мыши. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "NoDispBackgroundPage"=dword:0 "NoDispScrSavPage"=dword:0 9. После воздействия вируса Sector отключилось восстановление системы... При попытке запуска восстановления (Из Винды) выскакивает сообщение - Восстановление системы отключено групповой политикой. Для включения восстановления системы свяжитесь с администратором домена.... Насколько я понимаю вирус отключил восстановление через реестр.... Подскажите как исправить данную проблему? Жду дельных советов... ==================== Выберите в меню Пуск пункт Выполнить, введите команду gpedit.msc и нажмите кнопку OK. В дереве Конфигурация компьютера последовательно разверните узлы Административные шаблоны,-Система, -Восстановление системы,-Отключить восстановление системы. ======================== Т.е. сначала фиксируется один из параметров: -Включен или -Отключен, а затем ставится параметр -Не задан. Вступит в действие после перезагрузки (скорее всего). Реестр - 1. Запустите программу Regedit.exe и раскройте следующий ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT - 2. Под ключом HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows NT создайте новый вложенный ключ с именем SystemRestore. - 3. В этом ключе создайте новый значимый элемент DisableConfig типа REG_DWORD и установите его значение равным 0. Или же просто удалите HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore - 4. Закройте редактор Regedit.exe и перезагрузите систему.
Источник: http://chaika2.ucoz.ru/publ/virus_vnes_izmenenija_v_reestr_ispravlenie_povrezhdennykh_kljuchej_reestra_vruchnuju/9-1-0-4 |