Как восстановить из карантина файлы и записи в реестре, удаленные Combofix

[akok]

Как восстановить из карантина файлы и записи в реестре, удаленные Combofix.​

!!!________________________
Данная инструкция написана для ознакомления, а не как руководство к действию. Используйте данную инструкцию только по рекомендации консультанта!

• Структура папки "Qoobox", созданной Combofix.
  
  Эта папка создается в корне системного диска:
  
   C:\Qoobox\
  !!!________________________
  Где диск C: системный диск (имя диска может отличаться)
  
  В этой папке находятся подкаталоги:
  • BackEnv
  • Quarantine - в этой папке содержится карантин и "снимки реестра" для восстановления.
  
  И файлы:
  • Add-Remove Programs.txt - содержит список установленных программ (см. панель установки/удаления приложений).
  • CFScript_used_[дата]_[время].txt* - так же несколько файлов, в которых хранятся все скрипты, выполняемые пользователем за весь процесс лечения, что позволит провести "разбор ошибок".
  • ComboFix-quarantined-files.txt - тут содержится список файлов, которые были закарантинены Combofix и помещены в папку Quarantine.
  • ComboFix*.txt* - архив отчетов Combofix, содержит столько файлов, сколько раз было запущено сканирование. Является копией ComboFix.txt.
  • SnapShot@[дата_сканирования]_[номер].dat - содержит список файлов и папок (каталога WINDOWS)
    
    !!!________________________
    Где "*" - Порядковый номер.
  
  
  
  
• Восстановление файлов и папок из резервного хранилища.
  
  !!!________________________
  Данный метод дан только для общего развития, так как процесс должен проходить под чутким руководством консультанта!
  1. Необходимо обратиться к файлу ComboFix-quarantined-files.txt и найти запись о файле, который необходимо восстановить:
     
     
     

     
     используем эту запись для составления скрипта.​
     
     
     
  2. Скопируйте текст ниже в блокнот и сохраните, как файл, с названием CFScript.txt на рабочий стол:
     
     DeQuarantine:: 
     C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\VBoxVideo.sys.vir
     C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers
     
     Quit::
     После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe:
     
     
     
     
     Когда ComboFix завершит работу, то создаст в корне системного диска лог DeQuarantine.txt, содержимое которого необходимо скопировать в свое сообщение.
     
     
     
     Спойлер: Пример лога DeQuarantine.txt:

     C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\VBoxVideo.sys.vir -> C:\WINDOWS\system32\drivers\VBoxVideo.sys ( 57872 bytes )
     
     
     
  3. Если после этих действий изменений в положительную сторону не произойдет, то необходимо восстановить ключ реестра:
     • Зайдите в папку Registry_backups, которую можно найти:
       
       C:\Qoobox\Quarantine\Registry_backups
       
       
     • Переименуйте файл имя_восстанавливаемого_файла.reg.dat, убрав приставку .dat.
       
       
     • Запустите файл и подтвердите изменение данных в реестре.
       
       
       
       
       
     • Перезагрузите компьютер.
  
  
  
  
  
• Восстановление системы.
  
  
  Иногда случается, что после работы ComboFix, система работает несколько хуже, в этом случае можно пойти наиболее простым путем.
  
  ComboFix перед началом работы пытается активировать штатное восстановление системы и создать точку восстановления. Для возобновления работы необходимо воспользоваться стандартным механизмом восстановления системы:
  • Восстановление системных файлов и параметров
    
  • Start System Restore from a command prompt - Windows Help
  
  Для Windows Vista:
  • Восстановление системы: часто задаваемые вопросы
  
  Для Windows 7:
  • Защита и восстановление системы в Windows 7
  
  
  
  
  
• Работа с консолью восстановления.
  
  
  Если после работы ComboFix нет возможности запустить систему, то нам понадобится установленная консоль восстановления
  
  !!!________________________
  для Windows Vista понадобится загрузочный диск или загрузка из специального раздела для OEM версий*
  
  Это связано с тем, что Combofix использует для своей работы ERUNT, который выполняет резервное копирование реестра системы.
  Подробнее об использовании ERUNT
  • Установка и использование консоли восстановления в Windows XP
    1. В командной строке консоли восстановления наберите (предполагается, что вы не изменяли стандартное расположение пути в консоли C:\Windows)
       
       cd ERDNT\hiv-backup
    2. Нажмите Enter
    3. В следующей строке наберите
       
       batch erdnt.con
    4. Нажмите Enter. Эта команда запустит систему восстановления реестра.
    5. Дождитесь окончания процесса, выйдите из консоли восстановления и перезагрузите компьютер.
    
    
    
  • How to use the Command Prompt in the Vista Windows Recovery Environment
    
    
  • Использование среды восстановления Windows RE в Windows 7

©Запрещено полное или частичное копирование данного текста без прямого разрешения администрации VirusNet.info.​