Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Доступ к реестру из другой системы

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Kluk

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На http://forum.ru-board.com/topic.cgi?forum=62&topic=13187 изложена ситуация, когда система бесконечно перезагружается без возможности входа в безоп. режим и без доступа к реестру из-за конкретного сбоя в реестре, вызванного вирусом.  Просьба дать более развернутое описание следующих операций:  
<1...>  
2. Запускаем RegeditPE, скармливаем ему файлы нашей пострадавшей винды  
3. Лезем - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems  <...>  
 
ДЕТАЛИ в моей ситуации.  
У меня на компе 2 физ. диска и 2 системы Windows xp sp2 (загрузка по выбору). Одна работает, а другая, более важная, порушилась из-за описанной в указанном топике проблемы. От вируса я зачистился, нужно срочно восстановить нормальную загрузку основной системы. То есть КАК "СКОРМИТЬ" (см. выше), Т,К, КАК ВОЙТИ В РЕДАКТИРОВАНИЕ дефектного реестра из другой системы? М.б. сделать импорт и присоединить временно к нормально работающему реестру, а затем экспортировать? Или иначе? Вообще, как пошагово войти в недоступный с самой системы реестр и его отредактировать??   Буду признателен за комментарии!
Всего записей: 52 | Зарегистр. 16-11-2004 | Отправлено: 14:16 28-04-2008
01MDM



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К разделам порушенной системы имеешь доступ? Значит просто подцепляешь файлы к "здоровому" реестру. Например

Код:
 
reg load hku\oldsoftware "C:\windows\system32\config\software"
 

И редактируешь бывшую ветку HKLM\Software, которая пристегнута к HKU\oldsoftware.
 
Где "C:\windows\system32\config\" путь в неактивную систему из активной к файлу software.
Диск наверное будет другим.
 
Рассположение software дал по памяти. Пишу с кпк.
 
Тоже самое делаешь с другими файлами. Лучше всего прицеплять в hku.
Всего записей: 2638 | Зарегистр. 13-02-2006 | Отправлено: 14:51 28-04-2008 | Исправлено: 01MDM, 14:54 28-04-2008
Kluk

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо за реакцию!!
 
"К разделам порушенной системы имеешь доступ?"
 
К разделам 1-й системы (в т.ч. к реестру) доступа нет, система не грузится даже в безопасном режиме.  
Но ко всем системным файлам 1-й системы доступ есть - вторая система вполне жива.  
 
"Значит просто подцепляешь файлы к "здоровому" реестру. Например Код:  
reg load hku\oldsoftware "C:\windows\system32\config\software" "
 
При выполнении этой команды из-под здоровой системы к ее реестру прицепляется реестр больной?  
 
"И редактируешь бывшую ветку HKLM\Software, которая пристегнута к HKU\oldsoftware.  Диск наверное будет другим. "
 
Диск тот самый, С.
 
"Тоже самое делаешь с другими файлами. Лучше всего прицеплять в hku. "
 
Просьба подробнее. Какие еще файлы нужно обработать и как? Что такое hku?  
Судя по http://forum.ru-board.com/topic.cgi?forum=62&topic=13187, нужно утсранить единственную ошибку в реестре, и это всё.  
 
Во всех случаях - спасибо!
Всего записей: 52 | Зарегистр. 16-11-2004 | Отправлено: 15:26 28-04-2008 | Исправлено: Kluk, 15:29 28-04-2008
01MDM



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kluk
 
Загружаешься в "здоровую" систему.  
Проверяешь путь к файлам нерабочей системы (какой диск - C: D: и т.д)
Запускаешь cmd.exe.
Подгружаешь нужный файл реестра для редактирования

Код:
 
reg load hku\soft "С:\windows\system32\software"
reg load hku\sys "С:\windows\system32\system"
reg load hku\Kluk "С:\Documents and Settings\Kluk\ntuser.dat"
 

 
Открываешь regedit, переходишь в HKU и в смонтированных soft, sys и Kluk редактируешь соответственно ветки (зеленым обозначено их нахождение в рабочем состоянии)
 
HKLM\Software
HKLM\System
HKCU\
   
Всего записей: 2638 | Зарегистр. 13-02-2006 | Отправлено: 16:43 28-04-2008 | Исправлено: 01MDM, 16:44 28-04-2008
Kluk

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
01, спасибо, но не все понятно (тупость не врожденная, благоприобретенная - никогда не работал с реестром).  
"Загружаешься в "здоровую" систему. "
Она на G:\, загрузился
 
"Проверяешь путь к файлам нерабочей системы (какой диск - C: D: и т.д)  
Запускаешь cmd.exe.  
Подгружаешь нужный файл реестра для редактирования "
 
Проверил, все файлы сбитой системы (они на С:\)  целы. Как его (или их) подгрузить?? В командной строке есть надпись C:\Doc & Sett\x>     (х - это я).
 
"Код:  
reg load hku\soft "С:\windows\system32\software"  
reg load hku\sys "С:\windows\system32\system"  
reg load hku\Kluk "С:\Documents and Settings\Kluk\ntuser.dat"  "
   
Прошу уточнений.  
Я выполнил в командной строке команду C:\Doc & Sett\x>reg load hku\soft "С:\windows\system32\software
 
Получил в командной строке сообщение:  
Операция успешно завершена
C:\Doc & Sett\x>
 
Что дальше?
И еще - почему Вы указали 3 файла? Дефекты должны быть во всех трех?
 
"Открываешь regedit, переходишь в HKU и в смонтированных soft, sys и Kluk редактируешь соответственно ветки (зеленым обозначено их нахождение в рабочем состоянии) "
 
Перешел. Но не могу найти вновь смонтированые ветки. То есть раздел реестра HKLM\Software и HKLM\System  , HKCU\  там, конечно, есть, но как выяснить, что там примонтировалось и куда и как выгрузить обратно?
 
Жду Ваш комментарий.
 
Всего записей: 52 | Зарегистр. 16-11-2004 | Отправлено: 18:17 28-04-2008
01MDM



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kluk

Цитата:
 
Перешел. Но не могу найти вновь смонтированые ветки. То есть раздел реестра HKLM\Software и HKLM\System  , HKCU\  там, конечно, есть, но как выяснить, что там примонтировалось и куда и как выгрузить обратно?  
 

Выгружать не обязательно, при перезагрузке сами отсоединятся или (reg unload). Если ты смонтировал, к примеру, файл software в HKU\soft, то там этот раздел и находится.  
 
В общем не мучайся с командной строкой, если тебе легче по другому.
 
Запусти regedit.
Выдели hku.
В меню файл выбери загрузить куст.
Выбери нужный файл из Windows\system32\config\ неработающей системы.
От балды назови куда его прикрепить (например 1234).
И редактируй в hku\1234\твой_куст_реестра.
Потом в меню файл его выгрузи.
 
Это будет тот же результат.
 
Какой раздел надо загрузить? Где ошибка?
 
Всего записей: 2638 | Зарегистр. 13-02-2006 | Отправлено: 22:47 28-04-2008 | Исправлено: 01MDM, 22:58 28-04-2008
Kluk

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В http://forum.ru-board.com/topic.cgi?forum=62&topic=13187 лечение ситуации изложено так:
 
base****32 - это вирус, который подменяет dllку basesrv(точнее путь к ней)  
имя файла каждый раз разное (у меня например было basejrdos32), поэтому ты ничего не нашел  
 
лечится так:  
1. Грузимся с MiniPE или другого загрузчика  
2. Запускаем RegeditPE, скармливаем ему файлы нашей пострадавшей винды  
3. Лезем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems  
4. Параметр Windows должен быть следующего вида  
 
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16  
 
5. Перезагружаемся и все должно быть ОК!  
 
P.S. не забываем почиститься от вирусов  
Добавлено:  
P.P.S. Trojan. Win32.SubSys.ce
**************************
Этому диагнозу я готов верить. Но мои попытки применить те средства (MiniPE, EDR Commsnder), которые удалось достать, к успеху не привели - то ли они кривые, то ли я.  А цеплять блоки мертвого реестра к живому для редактирования с целью последующего отцепления боюсь - с высокой вероятностью потеряю и вторую систему. БУДУ ПРИЗНАТЕЛЕН, ЕСЛИ КТО-ТО УМЕЕТ И ГОТОВ ПОМОЧЬ (ЕСТЕСТВЕННО, С ОПЛАТОЙ РАБОТЫ). Живу в Москве, комп подвезу в указанное место. Пишите в личку.  
 
Добавлено:
ПРОБЛЕМУ УДАЛОСЬ РЕШИТЬ.  
Совет  Romeo_SH в топике http://forum.ru-board.com/topic.cgi?forum=62&topic=13187 СПРАВЕДЛИВ.
Я решил проблему с помощью ERD Commander'a, который действительно дает возможность войти в редактирование дохлого реестра.  
Всем спасибо за советы!!  
Всего записей: 52 | Зарегистр. 16-11-2004 | Отправлено: 23:15 28-04-2008
Veselozhopy



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как RegeditPE скормить реестр ХР из под флешки?
Букву щас уточню.
Всего записей: 688 | Зарегистр. 13-11-2012 | Отправлено: 14:27 02-03-2015
bomzzz



Запрет на пост		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
на сборках которые я использовал диски сканируются автоматически и предлагается при запуске подключить реестры любые которые доступные
Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 14:31 02-03-2015
Veselozhopy



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
на сборках  

Где скачать?
Всего записей: 688 | Зарегистр. 13-11-2012 | Отправлено: 14:54 02-03-2015
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Доступ к реестру из другой системы


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru