Настройка микропрограмм AVZ — восстановления системы после вирусов. Последствия и восстановление системы после вируса Petya

A virus is a type of malicious software that penetrates system memory areas, code of other programs, and boot sectors. It is capable of deleting important data from a hard drive, USB drive or memory card.

Most users do not know how to recover files after a virus attack. In this article, we want to tell you how to do it in a quick and easy way. We hope that this information will be useful to you. There are two main methods you can use to easily remove the virus and recover deleted data after a virus attack.

Delete the virus using the command prompt

1) Click the “Start” button. Enter CMD in the search bar. You will see the “Command Prompt” at the top of the pop-up window. Press Enter.

2) Run the Command prompt and type in: “attrib –h –r –s /s /d driver_name\*.*”


After this step, Windows will start recovering the virus-infected hard drive, memory card or USB. It will take some time for the process to be completed.

To start Windows recovery, click the “Start” button. Type Restore in the search bar. In the next window click “Start System Restore” → “Next” and select the desired restore point.


Another variant of the path is “Control Panel” → “System” → “System Protection”. A recovery preparation window will appear. Then the computer will reboot and a message will appear saying “System Restore completed successfully.” If it did not solve your problem, then try rolling back to another restore point. That’s all to be said about the second method.

Magic Partition Recovery: Restoring Missing Files and Folders after a Virus Attack

For reliable recovery of files deleted by viruses , use Magic Partition Recovery. The program is based on direct low-level access to the disk. Therefore, it will bypass the virus blocking and read all your files.

Download and install the program, then analyze the disk, flash drive or memory card. After the analysis, the program displays the list of folders on the selected disk. Having selected the necessary folder on the left, you can view it in the right section.


Thus, the program provides the ability to view the contents of the disk in the same way as with the standard Windows Explorer. In addition to existing files, deleted files and folders will be displayed. They will be marked with a special red cross, making it much easier to recover deleted files.

If you have lost your files after virus attack, Magic Partition Recovery will help you restore everything without much effort.

Мой лучший друг принёс мне посмотреть нетбук, на котором сурово погуляли вирусы, и попросил помочь почистить систему от зоопарка. Впервые увидел воочию забавную ветку в развитии вредоносного ПО: «вымогатели». Такие программы блокируют часть функций операционной системы и требуют отправить SMS сообщение для получения кода разблокировки. Лечение вышло не совсем тривиальным, и я подумал, что возможно эта история сбережёт кому-нибудь немного нервных клеток. Я постарался приводить ссылки на все сайты и утилиты, которые понадобились в ходе лечения.

В данном случае, вирус изображал из себя антивирусную программу Internet Security и требовал отправки SMS K207815200 на номер 4460. На сайте Лаборатории Касперского есть страница позволяющая сгенерировать коды ответа «вымогателям»: support.kaspersky.ru/viruses/deblocker

Тем не менее, после введения кода, функции ОС оставались заблокированными, а запуск любой антивирусной программы приводил к мгновенному открытию окна вируса, старательно эмулировавшего работу антивируса:

Попытки загрузиться в безопасных режимах приводили точно к такому же результату. Также дело осложняло то, что пароли на все учётные записи администраторов были пустые, а вход на компьютер по сети для администраторов с пустым паролем по умолчанию закрыт политикой.
Пришлось загружаться с USB Flash диска (в нетбуке по определению отсутствует привод для дисков). Самый простой способ сделать загрузочный USB-диск:
1. Форматируем диск в NTFS
2. Делаем раздел активным (diskpart -> select disk x -> select partition x -> active)
3. Используем утилиту \boot\bootsect.exe из дистрибутива Vista/Windows 2008/ Windows 7: bootsect /nt60 X: /mbr
4. Копируем все файлы дистрибутива (у меня под рукой был дистрибутив Windows 2008) на usb диск. Всё, можно грузиться.

Так как нам надо не устанавливать ОС, а лечить вирусы, копируем на диск набор бесплатных лечилок (AVZ , CureIt) и вспомогательных утилит (забегая вперёд, мне потребовалась Streams от Марка Руссиновича) и Far . Перезагружаем нетбук, в BIOS выставляем загрузку с USB.

Загружается программа установки Windows 2008, соглашаемся с выбором языка, Install now и после этого нажимаем Shift+F10. Появляется окно командной строки, из которого мы можем запускать наши антивирусные средства и искать заразу на системном диске. Тут я столкнулся с трудностью, CureIt ронял систему в синий экран смерти с руганью на ошибку работы с NTFS, а AVZ, хотя и отрабатывал, ничего не мог найти. Видимо вирус очень и очень свежий. Единственная зацепка - сообщение AVZ о том что обнаружен исполняемый код в дополнительном NTSF-потоке для одного из файлов в каталоге Windows. Мне это показалось странным и подозрительным, поскольку дополнительные потоки NTFS используются в очень специфических случаях и ничего исполняемого там храниться на нормальных машинах не должно.

Поэтому пришлось скачать утилиту Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) от Марка и удалить этот поток. Размер его составлял 126464 байта, точно также как и dll-файлы которые вирус раскладывал на флеш-диски вставленные в систему.

После этого я при помощи Far проискал весь системный диск на предмет файлов такого же размера и обнаружил ещё 5 или 6 подозрительных файлов, созданных за последние 2-3 дня. Они точно так же были удалены. После этого CureIt смог отработать (видимо он спотыкался на дополнительных потоках) и успешно вычистил ещё два трояна:)

После перезагрузки всё заработало, дополнительные прогоны антивирусных сканеров ничего не обнаружили. При помощи AVZ были восстановлены политики, ограничивающие функции ОС. Другу было сделано строгое внушение о том, как важно пользоваться антивирусами, тем более что, есть много бесплатных (

Отличная программа для удаления вирусов и восстановления системы - AVZ (Антивирус Зайцева). Скачать AVZ вы можете нажав по оранжевой кнопке после генерации ссылок. А если вирус блокирует загрузку, то пробуйте скачать весь антивирусный набор!

Основные возможности AVZ - обнаружение и удаление вирусов.

Антивирусная утилита AVZ предназначена для обнаружения и удаления:

  • SpyWare и AdWare модулей - это основное назначение утилиты
  • Dialer (Trojan.Dialer)
  • Троянских программ
  • BackDoor модулей
  • Сетевых и почтовых червей
  • TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.

Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

  • Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
  • Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
  • Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
  • Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
  • Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
  • Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
  • Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
  • Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
  • Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
  • Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
  • Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
  • Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
  • Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
  • Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
  • Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
  • Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
  • Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
  • Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
  • Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
  • Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
  • Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
  • Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.

Восстановление системных параметров.

  • Восстановление параметров запуска.exe .com .pif
  • Сброс настроек IE
  • Восстановление настроек рабочего стола
  • Удаление всех ограничений пользователя
  • Удаление сообщения в Winlogon
  • Восстановление настроек проводника
  • Удаление отладчиков системных процессов
  • Восстановление настроек загрузки Безопасного режима
  • Разблокирование диспетчера задач
  • Очистка файла хост
  • Исправление настроек SPI/LSP
  • Сброс настроек SPI/LSP и TCP/IP
  • Разблокирование редактора реестра
  • Очистка ключей MountPoints
  • Замена DNS серверов
  • Удаление настройки proxy для сервера IE/EDGE
  • Удаление ограничений Google


Инструменты программы:

  • Диспетчер процессов
  • Диспетчер служб и драйверов
  • Модули пространства ядра
  • Менеджер внутренних DLL
  • Поиск в реестре
  • Поиск файлов
  • Поиск по Coocie
  • Менеджер автозагрузки
  • Менеджер расширений браузеров
  • Менеджер апgлетов панели управления (cpl)
  • Менеджер расширений проводника
  • Менеджер расширений печати
  • Менеджер планировщика задач
  • Менеджер протоколов и обработчиков
  • Менеджер DPF
  • Менеджер Active Setup
  • Менеджер Winsock SPI
  • Менеджер файла Hosts
  • Менеджер портов TCP/UDP
  • Менеджер общих сетевых ресурсов и сетевых подключений
  • Набор системных утилит
  • Проверка файла по базе безопасных файлов
  • Проверка файла по каталогу безопасности Microsoft
  • Вычисление MD5 сумм файлов

Вот такой вот немаленький набор для спасения вашего компьютера от различной заразы!

Уже прошла неделя после того как на Украину обсушился Petya. В общем от этого вируса-шифровальщика пострадали более полусотни стан во всем мире, но 75 % массовой кибератаки обрушилось на Украину. Пострадали государственные и финансовые учреждения по всей стране, одними из первых кто сообщил, что их системы подверглись хакерской атаке стали Укрэнерго и Киевэнерго. Для проникновения и блокировки вирус Petya.A использовал бухгалтерскую программу M.E.Doc. Это ПО очень популярно у разного рода учреждениях в Украине, что и стало роковым. В итоге, у некоторых компаний восстановление системы после вируса Petya заняло много времени. Некоторым удалось возобновить работу только вчера, спустя 6 дней после вируса-шифровальщика.

Цель вируса Petya

Целью большинства вирусов-шифровальщиком, является вымогательство. Они шифруют информацию на ПК жертвы и требуют у нее деньги за получение ключа, который возобновит доступ к зашифрованным данным. Но не всегда мошенники держат слово. Некоторые шифровальщики просто не созданы для того чтобы быть расшифрованными и вирус «Петя» один из них.

Эту печальную новость сообщили специалисты из «Лаборатории Касперского». Для того чтобы восстановить данные после вируса-шифровальщика, необходим уникальный идентификатор установки вируса. Но в ситуации в новым вирусом, он вообще не генерирует идентификатор, то есть создатели вредоносного ПО даже не рассматривали вариант восстановления ПК после вируса Petya.

Но при этом жертвы получали сообщение в котором назывался адрес куда перевести 300 $ в биткоинах, для того чтобы восстановить систему. В таких случаях эксперты не рекомендуют содействовать хакерам, но все-таки создателям «Пети» удалось заработать более 10 000 $ за 2 дня после массовой кибератаки. Но эксперты уверены, что вымогательство не было их главной задачей, так как этот механизм был плохо продуман, в отличии от других механизмов вируса. Из этого можно предположить, что цель вируса Petya заключалась в дестабилизации работы глобальных предприятий. Также вполне возможно, что хакеры просто поспешили и плохо продумали часть получения денег.

Восстановление ПК после вируса Petya

К сожалению, после полного заражения Petya данные на компьютере восстановлению не подлежат. Но тем не менее есть способ как разблокировать компьютер после вируса «Петя», если шифровальщик не успел полностью зашифровать данные. Он был обнародован на официальном сайте Киберполиции , 2 июля.

Существует три варианта заражения вирусом Petya

— вся информация на ПК полностью зашифрована, на экране высвечивается окно с вымогательством денег;
— данные ПК частично зашифрованы. Процесс шифровки был прерван внешними факторами (вкл. питание);
— ПК заражен, но процесс шифрования таблиц MFT не был начат.

В первом случае все плохо — система восстановлению не подлежит . По край ней мере на данный момент.
В двух последних вариантах, ситуация поправима.
Чтобы восстановить данные которые частично были зашифрованы рекомендуется загрузить инсталляционный диск Windows:

В случае если жесткий диск не был поврежден вирусом-шифровальщиком, загрузочная ОС увидит файлы начнет восстановление MBR:

Для каждой версии Windows этот процесс имеет свои нюансы.

Windows XP

После загрузки инсталляционного диска, на экран выводится окно «Установки Windows XP Professional», там нужно выбрать «чтобы восстановит Windows XP при помощи консоли восстановления нажмите R». После нажатие R, и начнет загружаться консоль восстановления.

Если на устройства установлена одна операционная система и она находится на диске С, появится уведомление:
«1: C: \ WINDOWS какую копию Windows следует использовать для входа?» Соответственно необходимо нажать клавишу «1» и «Enter».
После чего появится: « Введите пароль администратора». Введите пароль и нажмите «Enter» (в случае если нету пароля жмите «Enter»).
Должно появится приглашение в систему: C: \ WINDOWS> , введите fixmbr.

После чего появится «ПРЕДУПРЕЖДЕНИЕ».
Для подтверждения новой записи MBR, надо нажать «y».
Затем появится уведомление «Проводится новая основная загрузочная запись на физический диск \ Device \ Harddisk0 \ Partition0.»
И: «Новая основная загрузочная запись успешно сделана».

Windows Vista:

Здесь ситуация проще. Загрузите ОС, выберете язык и раскладку клавиатуры. Затем на экране появится «Восстановить работоспособность компьютера» Появится меню, в котором необходимо выбрать «Далее». Появится окно с параметрами восстановленной системы, где надо нажать на командную строку, в которой необходимо ввести bootrec /FixMbr.
После этого надо дождаться завершения процесса, если все прошло успешно, появится сообщение о подтверждении — жмите «Enter», и компьютер начнет перезагружаться. Все.

Windows 7:

Процесс восстановление похож на Vista. Выбрав язык и раскладку клавиатуры, выберете ОС, после чего нажмите «Далее». В новом окне выберете пункт «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».
Все остальные действия аналогичны Vista.

Windows 8 и 10:

Загрузите ОС, на окне которое появится выберете пункт Восстановить компьютер>устранение неисправностей, где нажав на командную строку введите bootrec /FixMbr. После завершения процесса нажмите «Enter» и перезагрузите устройство.

После того как процесс восстановления MBR, завершился успешно (в независимости от версии Windows) необходимо просканировать диск антивирусом.
В случае когда процесс шифрования был начат вирусом, можно использовать ПО по восстановлению файлов, например, такое как Rstudio. После скопировать их на съемный носитель, необходимо переустановить систему.
В случае когда, Вы используете программы восстановления данных записанные на загрузочный сектор, например Acronis True Image, то можете быть уверены «Петя» не затронул это сектор. А это означает, что можете вернуть систему в рабочее состояние, без переустановки.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .

Сегодня я расскажу о том, как локализовать вирус, если он все-таки проник на ваш компьютер, как победить трояны и как восстановить систему после заражения руткитами, если все зашло слишком далеко.

Итак, если у вас есть подозрение на то, что компьютер заражен, первым делом вы должны выполнить следующие действия:

  • отключить компьютер от сети интернет (вытащить UTP-кабель, погасить Wi-Fi);
  • отключить от компьютера все внешние устройства (внешние жесткие диски, флешки, телефоны и прочее).

Все это необходимо сделать для изоляции зараженного компьютер от внешнего мира. Отключать компьютер нужно обязательно от доступа во внешний мир через интернет и от локальной внутренней сети, поскольку вредоносная программа практически со стопроцентной вероятностью попытается распространить себя на весь доступный ей сегмент.

К тому же если зловред является частью сети ботнет или содержит компоненты , то он будет бездействовать и активируется в тот момент когда поступит управляющая команда из внешней сети. Это застрахует нас и от утечки локальных данных в сеть, на пример, через DNS-туннелированные или подобные хакерские штуки.

Восстанавление реестра

Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС.

Сам реестр, который открывается штатной утилитой regedit, физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\. Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.

Первое, что приходит на ум, - это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.

Штатные инструменты Windows для восстановления реестра

«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, - это функциональность морально устаревшей NTBackUp родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде « », предлагающей создать целиком образ системы (всей системы - не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.

Интерфейс утилиты NTBackUp

Загрузившись в Live CD режиме с установочного диска или с локально установленной консоли восстановления (для XP/2003), необходимо выполнить следующие команды, описанные самой Microsoft:

// Создаем резервные копии реестра системы
md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak

// Удаляем битые файлы из системной директории ОС
delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default

// Копируем работоспособные файлы реестра из теневой копии
copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default

Все, перезагружаем машину и смотрим на результат!

Продвинутые методы восстановления реестра

Как мы выяснили, у Windows нет достойного инструмента управления реестром. Поэтому посмотрим, что же нам могут предложить сторонние производители.

Окно утилиты TCPView

Список сетевых служб и соотносящихся с ними резервированных портов для NT-шных систем можно посмотреть в файле %SystemRoot%\system32\drivers\etc\services - это тоже по сути текстовый файл без расширения, который доступен к просмотру любым блокнотом.

Окно утилиты Nirsoft CurrPorts

И напоследок для всего из описанного выше, что мы делали руками, можно использовать тулзы, к примеру . Данная утилита восстанавливает ключи реестра сетевых настроек системы со значениями по умолчанию. Помимо этого, она также:

  • проверяет файл hosts на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1);
  • создает бэкап текущих системных установок (по желанию пользователя);
  • отключает все сетевые адаптеры и переустанавливает их параметры.
Окно утилиты WinSock XP Fix

Нативная тулза с графическим интерфейсом , о которой мы говорили, выполняет то же самое, что и команды netsh int ip reset и netsh winsock reset. Аналогична ей тулза Reset-TCPIP, которая выполняет все описанные комбинации консольных команд под одним GUI.

Окно утилиты Reset-TCPIP

Еще одна хорошая бесплатная тулза предназначена для исправления самых разных ошибок, связанных с работой сети и интернета в Windows. Краткий список ее возможностей:

  • очистить и исправить файл hosts;
  • включить Ethernet и беспроводные адаптеры сети;
  • сбросить Winsock и протокол TCP/IP;
  • очистить кеш DNS, таблицы маршрутизации, очистить статические IP подключений;
  • перезагрузить NetBIOS.
Окно утилиты NetAdapter Repair

Live CD как спасательный круг

И, продолжая нашу тему, мы просто не могли пройти мимо рассказа о Live CD сборках, предназначенных для восстановления системы. Изначально Livе CD позиционировался как инструмент для выполнения административных задач: подготовки жесткого диска, оперативного получения доступа к данным, хранящимся на дисках, и так далее. Сейчас же Live CD напоминают скорее универсальный спасательный круг для реанимации системы в случае различных падений, в том числе и после вирусной атаки. Главное их достоинство заключается в том, что все инструменты собраны под одним капотом и могут работать параллельно. Но есть и недостаток: чтобы загрузиться в Live CD режиме, нужно перезагружать машину, что в некоторых случаях для нас недопустимо.

Все известные антивирусные разработчики имеют бесплатные загрузочные диски для восстановления системы. Мы кратенько по ним пробежимся, но углубляться в детали не станем - мы же договорились в начале нашего материала, что будем использовать только те инструменты, которые не являются антивирусным ПО в чистом виде.

Похожие публикации