Восстановление доступа к папкам через реестр

[грум]

Привет.У меня вот такой вопрос.Возможно ли сделать батник что бы он реестр по умолчанию восстанавливал.
Я заразил систему и после лечения не могу открыть ни одну папку.Пишет вот что.Из безопасного режима тоже не открывает.Пришлось через командер запускать ERUNT и оттуда восстанавливать.Но не у всех есть ERUNT.

Спойлер

 

[Dragokas]

Есть такая команда

reg restore HKLM %windir%\system32\config\software

которая импортирует в реестр куст HKLM из бинарного файла резервной копии реестра Software
Могу ошибаться в соответствии улья с файлом.

Только здесь батник не справится, т.к. файлы system и software заблокированы в эксклюзивном режиме доступа системой.
Читать нужно на низком уровне. Это например, умеет делать WinHex -> Tools -> Open Disk -> ... Recover/Copy.

Как вариант, родными средствами, можно попробовать поднять теневую копию:

vssadmin list shadows

Но, по-умолчанию, на XP она не создается.
А на Win7 может быть очищена вследствие действий тех же вирусов.
Выглядеть список копий должен примерно так:

 

[грум]

Я так понял ничего сделать невозможно.

 

[Dragokas]

Если команда выше не выдается список теневых копий,
получить доступ к копии реестра штатными средствами не получиться.

Может, Кирилл еще добавит свое слово.Можно еще пакетным файлом через Native Shell: http://hex.pp.ua/ncmd.php
Но это опять сторонняя утилита.

 

[Кирилл]

Добавляю.

Твики имеются,надо :
Определяем ОС,меняем владельца раздела,экспортируем,заменяем.
Ребут.

Если это можно записать в код (можно-можно) то твики сейчас сделаю.

 

[грум]

Определяем ОС,меняем владельца раздела,экспортируем,заменяем.

Виндоус XP.

 

[Кирилл]

Выслал тестовый reg в личку,если работет -то дело во флагах,останется обсудить технические моменты и перевести в код.Переместил задачу в тему.

 

[Кирилл]

Подготовленный твик:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

[-HKEY_USERS\S-1-5-21-1214440339-920026266-1957994488-500\SOFTWARE\Policies\Microsoft\Windows\System]

[HKEY_USERS\S-1-5-21-1214440339-920026266-1957994488-500\SOFTWARE\Policies\Microsoft\Windows\System]

[-HKEY_USERS\S-1-5-21-1214440339-920026266-1957994488-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_USERS\S-1-5-21-1214440339-920026266-1957994488-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]

[-HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]


[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Uninstall]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Uninstall]


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.Folder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.Folder\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"



[HKEY_CLASSES_ROOT\Folder]
@="Folder"
"EditFlags"=hex:d2,03,00,00
"TileInfo"="prop:Size"

[HKEY_CLASSES_ROOT\Folder\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,00,00

[HKEY_CLASSES_ROOT\Folder\shell]

[HKEY_CLASSES_ROOT\Folder\shell\explore]
"BrowserFlags"=dword:00000022
"ExplorerFlags"=dword:00000021

[HKEY_CLASSES_ROOT\Folder\shell\explore\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\
  00,25,00,49,00,2c,00,25,00,4c,00,00,00

[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec]
@="[ExploreFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""

[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\application]
@="Folders"

[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\ifexec]
@="[]"

[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\topic]
@="AppProperties"

[HKEY_CLASSES_ROOT\Folder\shell\open]
"BrowserFlags"=dword:00000010
"ExplorerFlags"=dword:00000012

[HKEY_CLASSES_ROOT\Folder\shell\open\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\
  00,25,00,4c,00,20,00,00,00

[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec]
@="[ViewFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""

[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\application]
@="Folders"

[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\ifexec]
@="[]"

[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\topic]
@="AppProperties"

[HKEY_CLASSES_ROOT\Folder\shell\open test directory]

[HKEY_CLASSES_ROOT\Folder\shell\open test directory\command]
@="notepad.exe"

[HKEY_CLASSES_ROOT\Folder\shellex]

[HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers]

[HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}]
@=""

[HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}]
@=""

[HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}]
@=""

[HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}]
@=""

[HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\Folder\shellex\DragDropHandlers]

[HKEY_CLASSES_ROOT\Folder\shellex\DragDropHandlers\{BD472F60-27FA-11cf-B8B4-444553540000}]
@=""

[HKEY_CLASSES_ROOT\Folder\shellex\PropertySheetHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder]
@="Folder"
"EditFlags"=hex:d2,03,00,00
"TileInfo"="prop:Size"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\explore]
"BrowserFlags"=dword:00000022
"ExplorerFlags"=dword:00000021

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\explore\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\
  00,25,00,49,00,2c,00,25,00,4c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\explore\ddeexec]
@="[ExploreFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\explore\ddeexec\application]
@="Folders"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\explore\ddeexec\ifexec]
@="[]"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\explore\ddeexec\topic]
@="AppProperties"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\open]
"BrowserFlags"=dword:00000010
"ExplorerFlags"=dword:00000012

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\open\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\
  00,25,00,4c,00,20,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\open\ddeexec]
@="[ViewFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\open\ddeexec\application]
@="Folders"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\open\ddeexec\ifexec]
@="[]"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\open\ddeexec\topic]
@="AppProperties"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\open test directory]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\open test directory\command]
@="notepad.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\DragDropHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\DragDropHandlers\{BD472F60-27FA-11cf-B8B4-444553540000}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\.Folder]

[HKEY_CLASSES_ROOT\.Folder\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

Тут неслучайно допущена тавтология в нескольких строках,но в скрипт не включаем.

Если пользователю это поможет-надо будет обсудить алгоритм создания универсального автоскрипта.

 

[Кирилл]

Итак твик отработал на ура и проблема пользователя решена.

Соответственно имеет смысл попытаться собрать скрипт для исправления.
Что требуется:

• Проверить не отключен ли запрос UAC
• определить потребность в запросе UAC через функцию Getsystem
• Создать точку восстановления
• Определять количество sid пользователей
• Выводить сообщение о том что будут сброшены все настройки политик
• Согласно твику пересоздать подразделы и параметры.

Внимание пользователям!
Представленный в сообщении твик пригоден только для пользователя участвовавшего в эксперименте!
Не применяйте его,если нужен подобный твик напишите об этом.