Восстанавливаем реестр Windows XP
Во время обсуждения борьбы с вирусом Internet Security я советовал одному из посетителей по имени Сергей, воспользоваться способом восстановления реестра Windows XP описанном на сайте Microsoft. Понимая, что для неопытных пользователей такая статья может оказаться сложной, решил сделать видеоролик на тему как восстановить реестр Windows XP.
Заранее прошу прощения за опечатки или ошибки которые в нем встречаются.
Восстановление реестра может помочь во многих случаях, в частности и в борьбе с вирусом Internet Security. Для практического применения, показанного в ролике способа, необходим также диск WinPE. Который можно записать либо на диск, либо на флешку.
Судя по отзывам посетителей, вирус Internet Security уже имеет несколько модификаций, и возможно восстановление реестра, показанное в ролике, единственный способ (для некоторых модификаций) убрать надоедливый баннер и разблокировать работу приложений. Только не забывайте затем удалить данные из временных каталогов и проверить систему антивирусом.
Прежде чем проводить эксперименты с реестром убедитесь, что у вас есть резервная копия реестра, а также проверьте, что ваш компьютер загружается с диска WinPE.
Как всегда большая благодарность за отзывы и комментарии.
IgorKa - Информационный ресурс » Internet Security вирус:
[...] 20.01.2010 Выложил видео инструкцию как восстановить реестр Windows XP с помощью диска WinPE. После восстановления реестра [...]
20 января 2010, 23:27MATPOC:
Спасибо,чувак! Случилась такая же ситуация.Твоя статья сильно помогла. Спасибо!
Ответить
Igorka Reply:
января 21, 2010 at 16:32
:) Пожалуйста!
Ответить
Mr.Toy:
Вопрос: если использовать файлы из Windows/repair, то что конкретно изменится в реестре?
Ответить
Igorka Reply:
января 22, 2010 at 12:13
Реестр будет приведен к первоначальному виду. То есть вы получите компьютер почти в том же состоянии в котором он у вас был после самого первого запуска системы. Не будет ссылок на драйвера (соответственно нужно будет их устанавливать заново), не будут запускаться некоторые приложения (работа которых сильно зависит от информации в реестре), не будет пользователей которых вы создавали (если вы работали не под администратором, то не увидите свой рабочий стол) и т.д. Также не будет работать и антивирус! Поэтому обязательно нужно отключить компьютер от сети (интернета)! По идее драйверов на сетевую карту также не будет и она также не будет работать, пока вы их не переустановите, но мало ли… Возможен вариант когда подходят установленные по умолчанию и сетевая карта работает без установки дополнительных драйверов.
Главное, что вы получите доступ к своему компьютеру и к данным на нем!
Хотя Microsoft предупреждает, что копировать нужно все пять типов файлов, можно попробовать сохранив оригиналы, скопировать не все, а только часть из них. Но это уже материал для отдельной статьи…
Ответить
Igorka Reply:
января 22, 2010 at 12:16
В качестве примера: если был установлен Office, то он не запуститься, так как о нем нет информации в реестре, но сами файлы офиса (имеется ввиду файлы программы в папке C:\program files\) будут. и т.д. Программы, драйвера нужно будет переустановить, в общем выполнить все те действия, которые вы выполняли после того как установили Windows.
Ответить
IgorKa - Информационный ресурс » Сохраняем копию реестра Windows XP:
[...] « Восстанавливаем реестр Windows XP [...]
23 января 2010, 18:37Ruydo:
Подскажите пожалуйста, а удалённую строчку реестра можно как-то восстановить? А то получилось так, что строчку в реестре я уже удалил, а в папке System Volume Information папки Restore нет. Восстанавливать реестр совсем как после установки винды очень не хочется, уже почти выкорчевал этот вирус, думал сейчас реестр восстановлю, а тут на тебе. Системник рабочий, и восстанавливать все программы и драйвера очень не хочется. Подскажите существует ои какой-то способ вернуть его к жизни не копируя файлы реестра из папки Windows/repair? Спасибо.
Ответить
Igorka Reply:
января 25, 2010 at 22:54
Удаленную строку можно создать заново, если помнить, что удалялось. На каком этапе сейчас восстановление? Что не работает?
Ответить
Ruydo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\Windows\system32\sdra64.exe из параметра UserInit я удалил, как на первом этапе восстановления реестра в видео, только в ввидео вы удаляли C:\Windows\system32\userinit.exe - это как я понимаю и есть нормальный параметр, который должен быть в не заражённой системе. После чего у меня конечно не стала грузиться винда, всё как в вашем видео. А так антивирусом я всё почистил. В принципе всё было сделано, только “диспетчер задач” оставалось сделать работоспособным, но тут наткнулся на эту ветку с восстановлением реестра и решил это всё опробывать. Начал делать, а потом вы всё знаете:)
Ответить
Igorka Reply:
января 26, 2010 at 7:35
Давайте еще раз. Что вы удалили из параметра UserInit ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и что там осталось?
Ответить
Ruydo:
удалил следующее C:\Windows\system32\sdra64.exe , полностью нажал ок. И ничего там не осталось. Винда не грузится дальше выбора пользователя.
Ответить
Igorka Reply:
января 26, 2010 at 8:26
То есть параметр UserInit сейчас пустой? А изначально там была запись C:\WINDOWS\system32\userinit.exe ? Чтобы восстановить работоспособность необходимо записать в ключ UserInit запись C:\WINDOWS\system32\userinit.exe
Ответить
Ruydo:
Да параметр пустой. но удалял я из него строчку C:\Windows\system32\sdra64.exe Вот вопрос как его туда записать, если я зайти в виндоус не могу и соответсвенно открыть редактор реестра? P.S. Огромное спасибо, что помогаете разобраться в этой проблеме.
Ответить
Igorka Reply:
января 26, 2010 at 9:01
Записать его туда несложно, вопрос как мне это объяснить :) А еще вопрос, как же он оттуда исчез. Диск загрузочный есть в наличии?
Ответить
Ruydo:
ну как исчез, я удалил:) а вообще всё получилось точно так как у вас в видео, когда вы удалили запись C:\WINDOWS\system32\userinit.exe, тоесть винда грузится до выбора пользователя, а потом просто не может зайти в систему. Диск загрузочный есть, есть LiveCD винды и Hirens Boot
Ответить
Igorka Reply:
января 26, 2010 at 9:21
Загружаемся с LiveCD Windows. Запускаем редактор реестра regedit (должен по идее быть). Выбираете в нем раздел HKEY_USERS, затем пункт меню - Файл - загрузить куст. Выбираете файл C:\WINDOWS\system32\config\software, нажимаете Открыть и даете ему какое-то любое имя, например old_software. После этого раскрываете раздел HKEY_USERS и видите в нем раздел old_software. Ищем в нем ключ UserInit, вставляем строчку C:\WINDOWS\system32\userinit.exe, затем не забываем выбрать old_software и выполнить выгрузку куста (меню Файл - Выгрузить куст).
Примерно, так смысл в том чтобы открыть файл реестра C:\WINDOWS\system32\config\software, найти в нем ключ и исправить его.
Ответить
Ruydo:
Огромное спасибо за такие подробные разъяснения и потраченное время! Проблема решилась, всё запускается нормально. Ух…:) Сам бы не догадался как сделать.
Ответить
Igorka Reply:
января 26, 2010 at 10:27
Отлично! Рад, что удалось помочь :)
Ответить
ИгорьКО:
СИНИЙ ЭКРАН. жмем ct-alt-del запустил userinit а затем regedit. скопировал из repair. Но переустановить устройства не могу, пишет что процес уже запущен. wifi не работает. как разблокировать мастер установки устройств.
Ответить
26 января 2010, 18:27ИгорьКО:
Синий экран появляется если удалить строчку с userinit.exe. Запустить его можно каи я указал. Может кто знает где в реестре можно снять блокировку с установки оборудования. Винда пишет что ‘уже запущен процесс установки дождитесь окончания.’ т.о. вирус блокирует и этот процесс и простым копированием 5 файлов из репае не все лечится. У меня вирус прогавил и ДРВЕБ И ОУТПОСТ даже не крякнули.
Ответить
27 января 2010, 2:09IgorKa - Информационный ресурс » Вирус Internet Security - есть контакт:
[...] новостей, то что восстановление реестра как описано здесь полностью восстановить работоспособность [...]
28 января 2010, 7:39Михаил:
метод очень понравился,но у меня почему-то с диска не загружается, что можно предпринять?
Ответить
Igorka Reply:
февраля 15, 2010 at 7:35
Михаил, ответил на вопрос в статье о записи файла iso.
Ответить
Михаил:
WinPE ни при каких условиях запускаться не захотел, пришлось скачать AVAST BART CD. Этот встал без всяких проблем с первого раза, но в нём нет ERD-Comander, а сервант, поэтому работать было менее удобно. Но для меня оказался выход, может кому-то тоже поможет. Однако откатившись на самую раннюю дату проблему не решил. Обычный механизм восстановления системы и блокировка сайтов по-прежнему не работают… Увы!
Ответить
Igorka Reply:
февраля 16, 2010 at 22:40
Как восстановить работу механизма восстановления системы на сайте обсуждалось.
По поводу блокировки сайтов. Выполните команду route print, которая выведет таблицу маршрутизации и если там очень много строк, то проблема именно в ней. По крайнем мере у посетительницы сайта Евгении проблема была именно в том, что вирус изменил таблицу маршрутизации, добавив неверные статические маршруты, которые заведомо ведут в никуда.
Ответить
Михаил Reply:
февраля 20, 2010 at 21:19
Я полагаю, что у меня именно в этом дело. Строк действительно много, но что с ними делать? Помогайте пожалуйста! Чувствую, что близок к цели!
Ответить
Igorka Reply:
февраля 21, 2010 at 0:07
Если вы вручную не прописывали статические маршруты необходимые для функционирования сети Интернет (то есть не выполняли команд наподобие route add), то тогда просто выполните команду route -f в командной строке Windows (Пуск - Выполнить - cmd). route -f - очистит все статические маршруты и сайты будут открываться.
Ответить
Михаил:
Спасибо! Вроде всё открывается!!!
Ответить
21 февраля 2010, 15:22Александр:
у меня проблема с реестром
винда грузится только до выбора пользователя, после того как я удалил из реестра UserInit
Ответить
Igorka Reply:
сентября 23, 2010 at 12:11
Это не проблема - так и должно быть. Восстановите параметр UserInit и все заработает как и прежде.
Ответить
Александр:
пробовал восстановить как описано выше
в реестре есть уже Userinit там все написано правильно
пробовал восстановить как в ролике тоже ничего!
что делать? очень надо!
Ответить
Igorka Reply:
сентября 23, 2010 at 12:43
Зовите ближайшего специалиста по компьютерам и просите его разобраться с проблемой. Попробуйте написать здесь подробно, что произошло и зачем вы редактировали реестр, удаляли параметр и т.д. Возможно получится помочь.
Ответить
Александр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon “Userinit” => “C:\WINDOWS\system32\userinit.exe,”C:\Program Files\Def Group\PC Defender\Antispyware.exe”"
убрал эту запись и нечаяно удалил userinit.exe
после этого винда подменила какието файлы и комп перестал грузиться
Ответить
Igorka Reply:
сентября 23, 2010 at 13:09
В гугле вбивайте C:\Program Files\Def Group\PC Defender\Antispyware.exe и читайте, что пишут по этому вопросу.
Ответить
Леонид:
Спасибо! Очень интересно и познавательно!
Ответить
16 декабря 2010, 22:20