Загрузка файлов реестра другой ОС с другого диска:
Win+R -> regedit - выделяем ветку HKEY_LOCAL_MACHINE (HKEY_USERS - не проверял), выбераем в меню Файл (File) пункт "Загрузить куст" (Load hive).
Ветка реестра «HKEY_LOCAL_MACHINE\Software\» формируется из файла «WINDOWS\system32\config\software»
Ветка реестра «HKEY_LOCAL_MACHINE\System\» формируется из файла «WINDOWS\system32\config\system».
Ветка реестра «HKEY_USERS\» формируется из файлов «WINDOWS\system32\config\default» и других.
Точки возможного запуска врага. Есть и другие способы автозапуска (как драйверы, как службы), но это - основное.
=============================================================================
HKLM\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Microsoft\Windows\CurrentVertion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVertion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LsaStart
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SaveDumpStart
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ServiceControllerStart
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\System\CurrentControlSet\Control\Session Manager\S0InitialCommand
======================================================================
HKCU\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKCU\Control Panel\Desktop\Scrnsave.exe
HKCU\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows\CurrentVertion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVertion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKCU\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop\Scrnsave.exe
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
======================================================================
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\Имя_Пользователя\Start Menu\Programs\Startup
======================================================================
Восстановление Брандмауэра Windows
Для сброса настроек локальной групповой политики, регулирующих работу брандмауэра Windows, откройте оснастку Политика «Локальный компьютер»(Local Computer Policy) и установите все значения в ветке Конфигурация компьютера\Административные шаблоны\Сеть\Сетевые подключения\Брандмауэр Windows (Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall) в папках Профиль домена (Domain Profile) и Стандартный профиль (Standard Profile) как Не задана(Not Configured).
Не удается запустить службу брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)
=====================================================================
Восстановление Диспечера Задач (TaskManedger) CTRL+ALT+DEL
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System SetValue "DisableTaskMgr"=dword:00000000
gpedit.msc–>OK–>Групповая политика–>Локальный компьютер–>Конфигурация пользователя–>Административные шаблоны–>Система–>Сделать недоступными средства редактирования реестр
gpedit.msc–>OK–>Групповая политика–>Локальный компьютер–>Конфигурация пользователя–>Административные шаблоны–>Система–>CTRL+ALT+DEL Options
=====================================================================
Восстановление реестра копированием
batch regcopy1.txt:
md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak
delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default
copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default
Из c:\System Volume Information\_restore{F276954E-DC1A-4C74-93ED-0CA18A265E4B}\RP45\snapshot\ :
_REGISTRY_USER_.DEFAULT в DEFAULT
_REGISTRY_MACHINE_SECURITY в SECURITY
_REGISTRY_MACHINE_SOFTWARE в SOFTWARE
_REGISTRY_MACHINE_SYSTEM в SYSTEM
_REGISTRY_MACHINE_SAM в SAM
batch regcopy2.txt:
del c:\windows\system32\config\sam
del c:\windows\system32\config\security
del c:\windows\system32\config\software
del c:\windows\system32\config\default
del c:\windows\system32\config\system
copy c:\windows\tmp\software c:\windows\system32\config\software
copy c:\windows\tmp\system c:\windows\system32\config\system
copy c:\windows\tmp\sam c:\windows\system32\config\sam
copy c:\windows\tmp\security c:\windows\system32\config\security
copy c:\windows\tmp\default c:\windows\system32\config\default
=======================================================================
Восстановление mmc:
HKEY_CLASSES_ROOT\.msc
HKEY_CLASSES_ROOT\mscfile
[HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command]
@="%SystemRoot%\\System32\\mmc.exe \"%1\" %*"
"default"="%SystemRoot%\\System32\\mmc.exe \"%1\" %*"
regsvr32 msxml3.dll
regsvr32 msxml3r.dll
========================================================================
Смена букв с помощью реестра:
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\DosDevices\C:
========================================================================
Восстановление прав. В командной строке:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
Чистка Winlogon:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v Shell /f
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v Userinit /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe, /f
Чистка ImgFileExecutionOptions:
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f
Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE/System/Current/ControlSet/Control/SafeBoot
HKEY_CURRENT_USER/System/Current/ControlSet/Control/SafeBoot