Как восстановить из карантина файлы и записи в реестре, удаленные Combofix

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
15,613
Симпатии
12,662
Баллы
2,203
#1
Как восстановить из карантина файлы и записи в реестре, удаленные Combofix.

!!!________________________
Данная инструкция написана для ознакомления, а не как руководство к действию. Используйте данную инструкцию только по рекомендации консультанта!


  • Структура папки "Qoobox", созданной Combofix.

    Эта папка создается в корне системного диска:
    Код:
     C:\Qoobox\
    !!!________________________
    Где диск C: системный диск (имя диска может отличаться)


    В этой папке находятся подкаталоги:
    • BackEnv
    • Quarantine - в этой папке содержится карантин и "снимки реестра" для восстановления.

    И файлы:
    • Add-Remove Programs.txt - содержит список установленных программ (см. панель установки/удаления приложений).
    • CFScript_used_[дата]_[время].txt* - так же несколько файлов, в которых хранятся все скрипты, выполняемые пользователем за весь процесс лечения, что позволит провести "разбор ошибок".
    • ComboFix-quarantined-files.txt - тут содержится список файлов, которые были закарантинены Combofix и помещены в папку Quarantine.
    • ComboFix*.txt* - архив отчетов Combofix, содержит столько файлов, сколько раз было запущено сканирование. Является копией ComboFix.txt.
    • SnapShot@[дата_сканирования]_[номер].dat - содержит список файлов и папок (каталога WINDOWS)

      !!!________________________
      Где "*" - Порядковый номер.



  • Восстановление файлов и папок из резервного хранилища.

    !!!________________________
    Данный метод дан только для общего развития, так как процесс должен проходить под чутким руководством консультанта!
    1. Необходимо обратиться к файлу ComboFix-quarantined-files.txt и найти запись о файле, который необходимо восстановить:


      используем эту запись для составления скрипта.


    2. Скопируйте текст ниже в блокнот и сохраните, как файл, с названием CFScript.txt на рабочий стол:
      Код:
      DeQuarantine:: 
      C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\VBoxVideo.sys.vir
      C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers
      
      Quit::
      После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe:

      cfscript.gif

      Когда ComboFix завершит работу, то создаст в корне системного диска лог DeQuarantine.txt, содержимое которого необходимо скопировать в свое сообщение.


      C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\VBoxVideo.sys.vir -> C:\WINDOWS\system32\drivers\VBoxVideo.sys ( 57872 bytes )


    3. Если после этих действий изменений в положительную сторону не произойдет, то необходимо восстановить ключ реестра:
      • Зайдите в папку Registry_backups, которую можно найти:
        Код:
        C:\Qoobox\Quarantine\Registry_backups
      • Переименуйте файл имя_восстанавливаемого_файла.reg.dat, убрав приставку .dat.

      • Запустите файл и подтвердите изменение данных в реестре.


      • Перезагрузите компьютер.




  • Восстановление системы.


    Иногда случается, что после работы ComboFix, система работает несколько хуже, в этом случае можно пойти наиболее простым путем.

    ComboFix перед началом работы пытается активировать штатное восстановление системы и создать точку восстановления. Для возобновления работы необходимо воспользоваться стандартным механизмом восстановления системы:
    Для Windows Vista:
    Для Windows 7:



  • Работа с консолью восстановления.


    Если после работы ComboFix нет возможности запустить систему, то нам понадобится установленная консоль восстановления

    !!!________________________
    для Windows Vista понадобится загрузочный диск или загрузка из специального раздела для OEM версий*

    Это связано с тем, что Combofix использует для своей работы ERUNT, который выполняет резервное копирование реестра системы.
    Подробнее об использовании ERUNT

©Запрещено полное или частичное копирование данного текста без прямого разрешения администрации VirusNet.info.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу