Windows 7

[mackal83 0]

Witam

Wczoraj skanowałem komputer antywirusem G DATA INTERNET SECURITY.

Wykrył mi kilkanaście wirusów.

Niestety od tego momentu przestały mi działać niektóre opcje w windowsie.

Nie mogę utworzyć nowego folderu (nie ma takiej opcji przy kliknięciu PPM).W panelu sterowania nie działają poszczególne opcje takie jak konta użytkowników , programy itd.

Do tego nie można otworzyć folderów w programach takich jak VLC(do oglądania filmów).Nie otwiera się po prostu nic.Myślę,że to sprawka antywirusa i wrzucił jakiś ważny plik do kwarantanny(podesłałem screena jakby co).

Proszę o pomoc.

Oto screen:

Mój link

[glauks 419]

nie widać związku problemów z kwarantanną

 

nowy folder jest w rejestrze, to klucz

 

HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\New

 

directory=folder, background=tło folderu, także pulpit\tapeta, shellex=shell extensions=rozszerzenia powłoki, czyli explorera, context menu handlers=funkcje\moduły dll obsługujące menu kontekstowe

 

w tym kluczu new w prawym panelu wartość domyślna z {D969A300-E7FF-11d0-A93B-00A0C90F2719} w dane wartości

 

to tzw guid=global identifier modułu\funkcji dll - w tym przypadku dll to dll powłoki czyli shell32.dll

 

ten guid musi być w kluczu HKEY_CLASSES_ROOT\CLSID (clsid=class identifier) - są tam wszystkie guid dll i innych plików systemowych - łatwo znaleźć i sprawdzić, bo guid są porządkowane wg zasady najpierw cyfry, potem litery - w tym kluczu guid jest podklucz inproc server32, i w domyślna w prawym panelu powinna być ścieżka do shell32.dll

 

ewentualnie sprawdź, ewentualnie gdyby wszystko było ok poszukaj w sieci pliczku reg do naprawy tego wpisu, wpisz w google np repair registry key directory\background\..\new in windows 7, itp, i powinno coś być - nie jestem pewien, czy w 7 nie ma w tym kluczu new dodatkowych wpisów, itd

 

co do panelu - konta to plik nusrmgr.cpl, a programy (odinstalowanie?) to appwiz.cpl, w system32 - sprawdź, czy działa 2klik na nich - konta możesz sprawdzić w prawy klik na ikonkę mój komputer - zarządzaj - grupy\użytkownicy

 

ewentualnie cmd w trybie administratora, i wpisz

 

regsvr32 nusrmgr.cpl

 

i enter

 

i tak samo dla appwiz.cpl

 

ale nie wiem, czy w 7 działa, bo to z xp - .cpl (= control panel) się rejestruje w clsid tak samo jak dll

 

jaki to 7, jesli wersja pro mogą działać wpisy tzw zasad grupy - te wpisy są w kluczach

 

HKEY_CURRENT_USER\Control Panel\don't load - nie ładuj, czyli chyba? nie pokazuj ikonek w panelu - jeśli ikonki są raczej ok u ciebie

 

klucze do wpisów dla zasad grupy to

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

 

podklucze explorer i system

 

HKEY_CURRENT_USER\Software\Policies

 

podklucze podklucza microsoft, zwłaszcza windows, w nim jest podklucz control panel

 

i takie same klucze w kluczu local machine - w current user dla konta, w local machine dla komputera, jeśli 1 konto mogą być tu i tu

 

to z reguły wartości tzw dword, dla nowy folder np NoNewFolderInMenu, itp - tylko przykład bez sprawdzania jak jest dokładnie, z 1 jako dane - 2klik na wpisie i zmień 1 na 0, albo prawy klik na wartosci, i usuń - ale gdyby były powinno się wyświetlić, że zostały zakazane przez administratora, więc raczej nie to

 

co znaczy nie działają opcje? - wyświetla się coś, czy nic, itd; ewentualnie spróbuj to polecenie z regsvr32, bo odrejestrowanie miałoby chyba taki skutek, tzn brak reakcji; ale jeśli masz 64 rejestracja może być inna, tzn chyba? są 2 regsvr32, dla dll i cpl 64 i 32, musiałabyś sprawdzić w sieci

 

ps - dla nowy folder, jeśli klucz new ok, możesz spróbować polecenia (w cmd, tryb administratora)

 

regsvr32 /i shell32.dll

 

/i = install, czyli zainstaluj na nowo, tzn zarejestruj wszystkie moduły tej dll - ale nie wiem, czy dla 64 tak samo

[mackal83 0]

Dobra chyba wszystko jasne.Otóż mój antywirus wywalił do kwarantanny masę rejestru takie jak.:

-..../contexmenuhandlers/open with encryptionmenu

-...../contexmenuhandlers/openwith

-....../eventlog/application/software protection platform service

 

a wszystko przez jakiś trojan BAT trojan-downloader,którego antywirus nie chce zrobić dezynfekcji.

Co mam teraz zrobić?

[glauks 419]

trudno powiedzieć, najlepiej jakbyś podmienił rejestr - jeśli nie masz kopii automatyczna kopia jest w folderze config\regback

 

wejdź przez f8 w napraw komputer - wiersz polecenia, i wpisz

 

c:

 

cd windows\system32\config

 

ren software software.old

 

cd regback

 

copy software c:\windows\system32\config

 

tzn przekopiujesz plik software kopii rejestru do folderu config, gdzie jest rejestr, i podmienisz stary plik software

 

uwaga - litera systemu może nie być c, bo odzyskiwanie może widzieć inną - żeby sprawdzić wpisz w wierszu notepad, jak się pokaże notatnik w menu plik kliknij otwórz, i sprawdź, pod jaką literą widzi partycję z 7, itd

 

czy zadziała trudno powiedzieć, tzn nie wiadomo czy kopie też nie są zarażone, itd - trzeba zabezpieczać rejestr, bo to newralgiczny punkt systemu, zrobi to np erunt, a przywrócenia takiego rejestru to normalnie 1 klik, ewentualnie można i z płytki, i z odzyskiwania, itd

 

ewentualnie przywracanie systemu, zabiera trochę miejsca, ale potrzebne na takie przypadki

 

jeśli zadziała plik software.old można usunąć, ale chyba też tylko z odzyskiwania; ewentualnie można wykorzystać do zaimportowania kluczy rejestru, itd - nie wiem dokładnie, wg jakich zasad robione są te kopie, tzn w jakich okresach - ale jeśli antywirus usunął za dużo kluczy ostatnio, to ta kopia software powinna być ok