TÌM LẠI CÁC CÔNG CỤ BỊ MẤT TRONG WIN DO VIRUS

CÁCH TÌM LẠI CÁC CÔNG CỤ CỦA WINDOWS BỊ VIRUS KHÓA
Trong Microsoft Windows thì ngoài Registry (Regedit.exe) được xem như trái tim của hệ thống vẫn còn một số những công cụ khác cũng đóng phần quan trọng không kém chẳng hạn như Group Policy (gpedit.msc), hộp thoại RUN, Micosoft Management Console (mmc.exe), Task manager (taskmgr.exe) và Comander (Cmd.exe).
Vậy chuyện gì sẽ xãy ra nếu 1 trong các thành phần trên bị khóa, bị xóa hoặc nguy hiểm hơn là tất cả các thành phần trên đều bị khóa.
Sau đây ta hãy thử đặt trưởng hợp từng thành phần bị khóa và cho đến khi tất cả đều bị khóa nhé:

1. Regedit bị khóa:
Ở trường hợp này chúng ta có thể sử dụng gpedit.msc để khôi phục lại
Đầu tiên ta vào RUN gõ vào gpedit.msc -> enter
Cửa sổ group policy sẽ xuất hiện, ta để ý sẽ thấy có 2 khung chính bên trái (nhỏ) và bên phải (lớn) -> sau đó ta nhìn vào ở khung bên trái tìm click dấu + ở mục User Configuration -> click tiếp dấu + ở mục Administrative Templates -> rồi click chọn dòng System -> nhìn qua cửa sổ bên phải tìm đến dòng Prevent access to registry editing tools -> đúp chuột lên dòng này -> Có 3 lựa Not Configured (Giữ nguyên mặc định như của Microsoft), Enable (Chấp nhận cấu hình lại) và Disable (Không chấp nhận cấu hình). Trong trường hợp này ta chọn Enable rồi sau đó chọn Disable (Vì có trường hợp lệnh ko được hiểu ngay) -> chọn ok rồi logoff là phục hồi được Regedit.



2. Gpedit.msc bị khóa:
Ở trường hợp này ta có thể dùng Regedit để mở khóa.
Đầu tiên ta vào RUN gõ regedit -> enter
Cửa sổ Registry Editor sẽ xuất hiện, ta tìm đến nhánh khóa sau:
HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC và click phải lên chữ MMC chọn delete. Xong xuôi logoff là khôi phục được gpedit.msc


3. Trường hợp Run, Cmd, Taskmanager bị khóa:
Ta vào gpedit.msc ở cửa số bên trái tím đếm các nhánh sau:
- Phục hồi RUN: User Configuration -> Administrative Templates -> chọn dòng Start Menu And Taskbar -> đúp click dòng Remover Run Menu From Start Menu -> chọn enable rồi chọn disable.
Thu nhỏ từ 69% (was 1024 x 768) - Click vào hình để xem kích thước thật


- Phục hồi Cmd: User Configuration -> Administrative Templates -> chọn dòng System -> đúp click ở dòng Prevent Access To The Comnand Prompt -> chọn enable rồi chọn disable.


- Phục hồi Task manager: User Configuration -> Administrative Templates -> chọn dòng System -> chọn dòng Ctrl + Alt + Del Options -> đúp click vào dòng Remover Task Manager -> chọn enable rồi chọn disable.


4. Trường hợp regedit, gpedit.msc bị khóa:
Ta dùng cmd gõ vào dòng lệnh sau:
reg delete HKCU\Software\policies\microsoft\mmc -> enter -> chọn Yes (tức chữ Y) -> enter

Rồi vào gpedit.msc mở khóa cho regedit giống như trường hợp 1.



5. Trường hợp regedit, gpedit.msc, task manager, cmd, mmc đều bị khóa:
Thông thường trong 3 công cụ task manager, cmd và run thì luôn còn lại 1 trong 3 cái không bị khóa (nếu là do virus)
Vì vậy ta sẽ nhớ đến RUN để kích hoạt 1 chương trình ẩn của Windows đó chính là SC.exe. Chương trình này tên đầy đủ là Service Controler dùng để điều hành các dịch vụ trong windows. Tuy nhiên rất ít được nghiên cứu rộng rãi.
Ta dùng cú pháp sau để tạo ra một file cmd.exe thứ 2 chạy với quyền hệ thống. Trong phân quyền của Microsoft thì quyền hệ thống là quyền cao nhất.
Vào run gõ như sau:
SC create abc binpath= "cmd.exe /k start" type= own type= interact -> enter (abc là tên file mới tạo, có thể đặt 1 cái tên bất kỳ nào đó)

Sau đó gõ tiếp trong RUN là: SC start abc -> enter
File abc.exe này sẽ chạy lên và các chức năng của nó sẽ giống như cmd.exe nhưng nó sẽ chạy dưới quyền hệ thống.
Từ đây ta chỉ cần gõ gpedit.msc -> enter rồi vào đó mở khóa cho regedit
Vào regedit tìm đến nhánh HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC và xóa khóa MMC đi
Vào gpedit.msc mở khóa lần lượt cho các công cụ còn lại.
Sau khi đã thực hiện xong việc khôi phục. Ta vào RUN 1 lần nữa gõ: SC delete abc để xóa dịch vụ này đi. Vì cùng trên windows tồn tại nhiều cmd sẽ có thể gây xung đột.

6. Trường hợp tất cả các công cụ trên đều bị khóa hết:
Ta có 3 cách để khôi phục:
Cách 1: Dùng đĩa soure Windows để repair lại (cách này hơi mất thời gian)
Cách 2: Dùng win mini PE để xóa khóa HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC
Có thể down load tại www.minipe.org
Hoặc dùng ERD (Cũng là windows trên CD)down load tại đây:
Part 1: http://www.mediafire.com/download.php?mzjkknovg5j
Part 2: http://www.mediafire.com/download.php?zwk5uiljjzz

Cách 3: Bạn cần có đĩa Hiren boot (9.6 càng tốt)
Đấu tiên bạn khởi động máy lại -> cho boot từ CD-ROM -> ở mạng hiìh khởi động của Hiren chọn Next -> chọn tiếp DOS -> DOS tiếp rồi chớ chương trình chạy -> từ dấu nhắc đợi lệnh bạn gõ như sau
C:\windows\system32 ->enter
ren sethc.exe *.bkf -> enter
copy cmd.exe sethc.exe -> enter
Rồi lấy đĩa Hiren ra, khởi động máy lại -> tại màn hình logon bạn nhấn Shift 5 lần -> cửa sổ DOS sẽ hiện lên -> gõ regedit hoặc gpedit.msc để kích hoạt 1 trong 2 cái này. Rồi vào đó mở khóa cho những chương trình dã bị khóa.
sau khi phục hồi xong các công cụ bạn nên vào Hiren làm lại 1 lần như trên nhưng với chiều hướng ngược lại để trả tất cả những chương trình trở về vị trí cũ. Từ dos di chuyển đến thư mục:
C:\windows\system32 ->enter
del sethc.exe -> enter
ren sethc.bkf *.exe -> enter

Thank cho a Tư nhà ta đã post bài hay nè,nhưng lần sau post nhớ bôi đỏ vào những cái cần chú ý là được,OK.

Cho phép Bảo bổ sung thêm là Nếu mà đã không vào được mấy cái trên thì cách hay nhất là làm cách 3 của Tư ấy,nhưng vào Win Mini cho nó khỏe,đánh lệnh CMD trong WinMini ấy.
Sau đó làm lại y như Tư chỉ.OK