Как восстановить из карантина файлы и записи в реестре, удаленные Combofix

Тема в разделе "FAQ по утилитам лечения", создана пользователем akok, 25 ноя 2009.

Метки:
Статус темы:
Закрыта.
  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Как восстановить из карантина файлы и записи в реестре, удаленные Combofix.

    !!!________________________
    Данная инструкция написана для ознакомления, а не как руководство к действию. Используйте данную инструкцию только по рекомендации консультанта!


    • Структура папки "Qoobox", созданной Combofix.

      Эта папка создается в корне системного диска:
      Код (Text):
       C:\Qoobox\
      !!!________________________
      Где диск C: системный диск (имя диска может отличаться)


      В этой папке находятся подкаталоги:
      • BackEnv
      • Quarantine - в этой папке содержится карантин и "снимки реестра" для восстановления.

      И файлы:
      • Add-Remove Programs.txt - содержит список установленных программ (см. панель установки/удаления приложений).
      • CFScript_used_[дата]_[время].txt* - так же несколько файлов, в которых хранятся все скрипты, выполняемые пользователем за весь процесс лечения, что позволит провести "разбор ошибок".
      • ComboFix-quarantined-files.txt - тут содержится список файлов, которые были закарантинены Combofix и помещены в папку Quarantine.
      • ComboFix*.txt* - архив отчетов Combofix, содержит столько файлов, сколько раз было запущено сканирование. Является копией ComboFix.txt.
      • SnapShot@[дата_сканирования]_[номер].dat - содержит список файлов и папок (каталога WINDOWS)

        !!!________________________
        Где "*" - Порядковый номер.



    • Восстановление файлов и папок из резервного хранилища.

      !!!________________________
      Данный метод дан только для общего развития, так как процесс должен проходить под чутким руководством консультанта!
      1. Необходимо обратиться к файлу ComboFix-quarantined-files.txt и найти запись о файле, который необходимо восстановить:

        c09da0892131.jpg
        используем эту запись для составления скрипта.


      2. Скопируйте текст ниже в блокнот и сохраните, как файл, с названием CFScript.txt на рабочий стол:
        Код (Text):

        DeQuarantine::
        C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\VBoxVideo.sys.vir
        C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers

        Quit::
        После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe:

        [​IMG]

        Когда ComboFix завершит работу, то создаст в корне системного диска лог DeQuarantine.txt, содержимое которого необходимо скопировать в свое сообщение.


        C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\VBoxVideo.sys.vir -> C:\WINDOWS\system32\drivers\VBoxVideo.sys ( 57872 bytes )


      3. Если после этих действий изменений в положительную сторону не произойдет, то необходимо восстановить ключ реестра:
        • Зайдите в папку Registry_backups, которую можно найти:
          Код (Text):
          C:\Qoobox\Quarantine\Registry_backups
        • Переименуйте файл имя_восстанавливаемого_файла.reg.dat, убрав приставку .dat.

        • Запустите файл и подтвердите изменение данных в реестре.

          dad544652ca5.jpg

        • Перезагрузите компьютер.




    • Восстановление системы.


      Иногда случается, что после работы ComboFix, система работает несколько хуже, в этом случае можно пойти наиболее простым путем.

      ComboFix перед началом работы пытается активировать штатное восстановление системы и создать точку восстановления. Для возобновления работы необходимо воспользоваться стандартным механизмом восстановления системы:
      Для Windows Vista:
      Для Windows 7:



    • Работа с консолью восстановления.


      Если после работы ComboFix нет возможности запустить систему, то нам понадобится установленная консоль восстановления

      !!!________________________
      для Windows Vista понадобится загрузочный диск или загрузка из специального раздела для OEM версий*

      Это связано с тем, что Combofix использует для своей работы ERUNT, который выполняет резервное копирование реестра системы.
      Подробнее об использовании ERUNT

    ©Запрещено полное или частичное копирование данного текста без прямого разрешения администрации VirusNet.info.
     
    Последнее редактирование модератором: 8 июн 2016
    35 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей