[转]图解System Repair Engineer (SREng) 2.5 常用操作
本帖转自剑盟System Repair Engineer (SREng) 2.5 常用操作
[b]System Repair Engineer[/b],简称 [b]SREng[/b],当前正式版本号:[b]2.5.16.900[/b],官方网站:[url=http://www.kztechs.com/sreng/][color=#0000ff]http://www.kztechs.com/sreng/[/color][/url]
作者:[b]Smallfrogs[/b],网站:[url=http://www.kztechs.com/][color=#0000ff]http://www.kztechs.com/[/color][/url]
下载页面:[url=http://www.kztechs.com/sreng/download.html][color=#0000ff]http://www.kztechs.com/sreng/download.html[/color][/url]
帮助页面:[url=http://www.kztechs.com/sreng/help2/][color=#0000ff]http://www.kztechs.com/sreng/help2/[/color][/url]
[img]http://www.cisrt.org/images/sreng/sreng.gif[/img]
[b]使用 SREng 删除注册表启动项目
[/b]打开 SREng ,依次点击“[b]启动项目[/b]”->“[b]注册表[/b]”,列表中显示注册表中启动信息内容。点击选择需要删除的项目,然后点击“[b]删除[/b]”按钮,弹出删除确认对话框,点击“[b]是[/b]”删除,点击“[b]否[/b]”取消。
[img]http://www.cisrt.org/images/sreng/delreg.gif[/img]
注:删除注册表启动项目的操作支持 Ctrl / Shift 按键多选。
[b]使用 SREng 编辑注册表启动项目[/b]
打开 SREng ,依次点击“[b]启动项目[/b]”->“[b]注册表[/b]”,列表中显示注册表中启动信息内容。点击选择需要编辑的项目,然后点击“[b]编辑[/b]”按钮,弹出编辑对话框,可以编辑的内容有“[b]名字[/b]”和“[b]值[/b]”,编辑完成后点击“[b]确定[/b]”,放弃编辑点击“[b]取消[/b]”。
[img]http://www.cisrt.org/images/sreng/modreg.gif[/img]
[b]使用 SREng 注释注册表启动项目[/b]
打开 SREng ,依次点击“[b]启动项目[/b]”->“[b]注册表[/b]”,列表中显示注册表中启动信息内容。点击需要注释项目前的[b]勾选框[/b],去掉勾选即为注释,同时值数据内容前自动添加“[b]; [/b]”做标记,该启动项目将不起作用;加上勾选恢复原状,该启动项目恢复作用。
[img]http://www.cisrt.org/images/sreng/remreg.gif[/img]
注:有些注册表位置下的项目不支持注释操作,比如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
[b]说明1[/b],SREng 会自动检查以下位置的值数据是否与系统默认相同,如果不同会提示该值被修改为非正常值:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"Load"
"Run"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"UIHost"
[b]说明2[/b],SREng 会自动检查以下位置的值数据是否与系统默认相同,如果不同会提示该值被修改为非正常值并询问是否使用 SREng 自动修复:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"
"Userinit"
[img]http://www.cisrt.org/images/sreng/autofix1.gif[/img]
[img]http://www.cisrt.org/images/sreng/autofix2.gif[/img]
使用 SREng 编辑/删除服务
服务,分为“[b]Win32 服务应用程序[/b]”和“[b]驱动程序[/b]”两部分,对它们的编辑/删除操作类似。
打开 SREng ,依次点击“[b]启动项目[/b]”->“[b]服务[/b]”,点击“[b]Win32 服务应用程序[/b]”或“[b]驱动程序[/b]”,弹出新窗口中显示“[b]Win32 服务应用程序[/b]”或“[b]驱动程序[/b]”的内容。
如果勾选“[b]隐藏已认证的微软项目[/b]”,列表中将隐藏认证的微软项目,只列出非微软项目和没有通过认证的微软项目。
[img]http://www.cisrt.org/images/sreng/service.gif[/img]
[b]使用 SREng 编辑服务[/b]
这里指[b]修改服务的启动类型[/b]。点击选择需要编辑的服务,在下方下拉列表中选择需要调整到的启动类型:
[b]Auto Start[/b]:自动
[b]Manual Start[/b]:手动
[b]Disabled[/b]:已禁用
[b]驱动程序[/b]的启动类型还有:[b]Boot Start[/b] 和 [b]System Start[/b] 。
点选“[b]修改启动类型[/b]”,再点击“[b]设置[/b]”按钮,弹出修改确认对话框,点击“[b]是[/b]”确认,点击“[b]否[/b]”取消。
[img]http://www.cisrt.org/images/sreng/modsrv.gif[/img]
[b]使用 SREng 删除服务[/b]
点击选择需要删除的服务,点选“[b]删除服务[/b]”,再点击“[b]设置[/b]”按钮,弹出删除确认对话框,点击“[b]否[/b]”确认,点击“[b]是[/b]”或“[b]取消[/b]”取消。
注:删除服务的确认与常规认识不同,请仔细阅读确认对话框后再点击“[b]是[/b]”、“[b]否[/b]”、“[b]取消[/b]”按钮以免误操作。
[img]http://www.cisrt.org/images/sreng/delsrv.gif[/img]
[b]使用 SREng 删除浏览器加载项
[/b]打开 SREng ,依次点击“[b]系统修复[/b]”->“[b]浏览器加载项[/b]”,列表中显示浏览器加载项的内容。点击选择需要删除的浏览器加载项,点击“[b]删除所选内容[/b]”,弹出删除确认对话框,点击“[b]是[/b]”确认,点击“[b]否[/b]”取消。
注:删除浏览器加载项的操作支持 Ctrl / Shift 按键多选。
[img]http://www.cisrt.org/images/sreng/delbho.gif[/img]
[b]使用 SREng 禁用浏览器加载项[/b]
打开 SREng ,依次点击“[b]系统修复[/b]”->“[b]浏览器加载项[/b]”,列表中显示浏览器加载项的内容。点击选择需要禁用的浏览器加载项,点击下方“[b]已启用[/b]”勾选框,去掉勾选即为禁用该浏览器加载项,恢复勾选即为启用该浏览器加载项。
[img]http://www.cisrt.org/images/sreng/disabho.gif[/img]
[b]使用 SREng 修复 Winsock[/b]
打开 SREng ,依次点击“[b]系统修复[/b]”->“[b]Winsock 供应者[/b]”,列表中显示系统 Winsock 供应者的内容。
对于被添加的项目(如病毒添加)可以采取删除操作。点击选择需要删除的 Winsock 项目,点击“[b]删除所选内容[/b]”,弹出删除确认对话框,点击“[b]是[/b]”确认,点击“[b]否[/b]”取消。
如果系统原 Winsock 供应者内容被覆盖,或者大部分被修改,可以尝试重置所有内容为默认值。点击“[b]重置所有内容为默认值[/b]”,弹出重置操作的说明及继续操作确认对话框,点击“[b]是[/b]”确认,点击“[b]否[/b]”取消。
[img]http://www.cisrt.org/images/sreng/winsock.gif[/img]
使用 SREng 进行常用系统修复
[b]修复文件关联[/b]
打开 SREng ,依次点击“[b]系统修复[/b]”->“[b]文件关联[/b]”,SREng 自动检查文件关联正确性并显示结果,“[b]状态[/b]”为“[b]错误[/b]”的项目默认勾选,点击选择(同时勾选)需要修复的项目,点击“[b]修复[/b]”按钮进行修复。
[img]http://www.cisrt.org/images/sreng/fixassoc.gif[/img]
[b]修复 Windows Shell / IE 相关内容[/b]
打开 SREng ,依次点击“[b]系统修复[/b]”->“[b]Windows Shell / IE[/b]”,点击选择(同时勾选)需要修复的项目,点击“[b]修复[/b]”按钮进行修复。
[img]http://www.cisrt.org/images/sreng/fixshell.gif[/img]
[b]编辑/重置 HOSTS 文件[/b]
打开 SREng ,依次点击“[b]系统修复[/b]”->“[b]HOSTS 文件[/b]”,下方框中显示当前 HOSTS 文件中的映射内容。
[b]删除[/b]:点击选择需要删除的项目,点击“[b]删除[/b]”按钮,弹出删除确认对话框,点击“[b]是[/b]”确认,点击“[b]否[/b]”取消。
[b]编辑[/b]:点击选择需要编辑的项目,点击“[b]编辑[/b]”按钮,弹出编辑对话框,可以编辑的有“[b]IP 地址[/b]”和“[b]主机名字[/b]”,如勾选“[b]这是一个注释行[/b]”,该行映射前将被添加“[b]# [/b]”,该行映射将不起作用;如去掉该勾选,该行映射恢复作用。
[b]新建[/b]:点击“[b]新建[/b]”按钮,弹出编辑对话框,需要填写的有“[b]IP 地址[/b]”和“[b]主机名字[/b]”,如勾选“[b]这是一个注释行[/b]”,该行映射前将被添加“[b]# [/b]”,该行映射将不起作用。
[b]重置[/b]:点击“[b]重置[/b]”,弹出重置确认对话框,点击“[b]是[/b]”确认,点击“[b]否[/b]”取消。
注:HOSTS 文件编辑完毕需要点击“[b]保存[/b]”按钮保存结果,原 HOSTS 文件备份于原目录下,文件名格式为:
[原始名字]_SREBACK_[操作时间].[原始扩展名]
[img]http://www.cisrt.org/images/sreng/hosts.gif[/img]
[b]高级修复[/b]
打开 SREng ,依次点击“[b]系统修复[/b]”->“[b]高级修复[/b]”。
[b]自动修复级别[/b]有两个:[b]推荐修复级别[/b] 和 [b]高强修复级别[/b]
游标移到下方为推荐修复级别,修复所有已知 Windows 注册表相关错误。
游标移到上方为高强修复级别,删除系统中所有的策略项。
移动游标选择一个修复级别,点击“[b]自动修复[/b]”按钮进行修复。
[img]http://www.cisrt.org/images/sreng/autofix.gif[/img]
[b]高级手动修复[/b]有三个按钮:[b]重置 Winsock[/b] 和 [b]修复安全模式[/b] 和 [b]API HOOK 检查[/b]
重置 Winsock,请见[b]使用 SREng 修复 Winsock[/b] 相关内容。
修复安全模式,当安全模式被病毒破坏时,可以尝试使用此修复功能。
API HOOK 检查,请见[b]使用 SREng 进行 API Hook 检查[/b]相关内容。
[b]使用 SREng 进行 API Hook 检查[/b]
SREng 运行时会自动检查 API Hook ,如果检查到问题会以屏幕右下角气泡弹出方式显示。
手动打开 API Hook 检查:打开 SREng ,依次点击“[b]系统修复[/b]”->“[b]高级修复[/b]”,点击“[b]高级手动修复[/b]”处的“[b]API HOOK 检查[/b]”按钮,屏幕右下角将弹出气泡显示 API Hook 信息。点击弹出气泡窗口中的“[b]查看详细[/b]”按钮,弹出“[b]API Hook 检测详细信息[/b]”窗口,显示详细的 API Hook 信息,点击“[b]修复入口点错误[/b]”按钮可以还原入口点错误类型的 API 。
[img]http://www.cisrt.org/images/sreng/apihook1.gif[/img]
[img]http://www.cisrt.org/images/sreng/apihook2.gif[/img]
[img]http://www.cisrt.org/images/sreng/apihook3.gif[/img]
注:API Hook 修复功能只修正当前 SREng 进程,如果修复以后再打开 SREng ,则还会看到 API Hook 的提示信息。
更多关于 API Hook 和 API Hook 检查的内容请见官方说明:[url=http://www.kztechs.com/sreng/help2/apihook.htm][color=#0000ff]http://www.kztechs.com/sreng/help2/apihook.htm[/color][/url]
[b]使用 SREng 进行智能扫描[/b]
打开 SREng ,点击“[b]智能扫描[/b]”,勾选需要扫描的项目(默认为全选),点击“[b]扫描[/b]”按钮开始扫描。
[img]http://www.cisrt.org/images/sreng/sscan1.gif[/img]
扫描完成后出现“[b]详细报告[/b]”对话框,点击“[b]保存报告[/b]”按钮保存扫描报告为LOG文件,默认文件名:[b]SREngLOG.LOG[/b] 。
[img]http://www.cisrt.org/images/sreng/sscan2.gif[/img]
[[i] 本帖最后由 雨中漫步 于 2007-7-23 17:16 编辑 [/i]] 非常好的文章谢谢楼主
页:
[1]