dnk

Sandor Просканировал систему сегодняшними базами Cureit в режиме повышенной защите - он тоже нашел зараженные объекты и грохнул их. Далее воспользовался KIS по полной, но он пошел медленно (до 1% он дошел, ничего не нашел и я его выключил пока). Параллельно с KIS воспользовался программой Malwarebytes' Anti-Malware 1.75.0.1300 и вот только она, по ходу дела, уже на первых минутах запуска полной проверки нашла 4 подозрительных объекта и отправила их на карантин. Причем сразу же после этого тут же пропали ссылки-баннеры sesearch.ru в яндексе, вместо него появился ничего не появилось, а потом появился штатный flash-баннер яндекса (реклама машин и пр.) и все. Нашла программа аж 30 опасных объектов, но эта дрянь поисковая. Вот привожу лог Malwarebytes' Anti-Malware 1.75.0.1300: Обнаруженные процессы в памяти: 0(Вредоносных программ не обнаружено)Обнаруженные модули в памяти: 0(Вредоносных программ не обнаружено)Обнаруженные ключи в реестре: 7HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\ADWare (Malware.Trace) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Помещено в карантин и успешно удалено.Обнаруженные параметры в реестре: 0(Вредоносных программ не обнаружено)Объекты реестра обнаружены: 5HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pqeeeq.exe,) Хорошо: (userinit.exe) -> Помещено в карантин и успешно исправлено.Обнаруженные папки: 0(Вредоносных программ не обнаружено)Обнаруженные файлы: 27C:\Program Files\BurnAware Professional\burnaware.professional..4.7.0-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\GlobalSCAPE\CuteFTP 8 Professional\cuteftp.pro.8.3.4.0007-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\ImTOO\DVD Audio Ripper 5\DVD Audio Ripper 5.0.46.1212 (patch).exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Internet Download Manager\IDM.v6.xx.release.3-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Multi Password Recovery\HookLib.dll (PUP.Hooker) -> Помещено в карантин и успешно удалено.C:\Program Files\Multi Password Recovery\UpdateChecker.exe (Riskware.MPR) -> Помещено в карантин и успешно удалено.C:\Program Files\Offline Explorer Enterprise\Patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\PasswordsPro 3.1.0.0\PasswordsPro.exe (PUP.PasswordsPro) -> Помещено в карантин и успешно удалено.C:\Program Files\PRMT9\Patch PROMT 9.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Replay Media Catcher\patch.exe (Trojan.Agent.gen) -> Помещено в карантин и успешно удалено.C:\Program Files\WinRAR\Unipatch.exe (RiskWare.Tool.CK) -> Помещено в карантин и успешно удалено.C:\RECYCLER\S-1-5-18\$a76943e7ccd4e8b98e353355565db735\U\00000008.@ (Trojan.0Access) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038966.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038967.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038968.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038969.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038970.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038972.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038973.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038974.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038975.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038977.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038978.dll (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP129\A0039035.exe (Trojan.Downloader) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP132\A0039833.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\WINDOWS\Installer\1e3990b.msi (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\Documents and Settings\dnk\Application Data\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено. Так вот, эта дрянь была где-то в первых указанных обнаруженных файлах - по ходу дела, в ключах реестра, т.к. патчеры это просто патчеры, но эта хорошая программа, разумеется (что правильно) посчитала и их хактулами, но я вам говорю, что дело здесь было не в патчерах, я в ключах реестра и в файлах восстановления, а также вот в последних указанных файлах. Последний (igfxtray) мне знаком еще по Conficker - эта дрянь, попавшая с зараженной машины через съемные накопители с работы, часто не давала мне покоя дома (на работе ПК общий - а раз общий, то никому ничего не надо, в плане "вирусной чистоты"). Обратите внимание: SweetPacks - это часть какой-то фишинговой программы-мессенджера типа SweetIM - дрянь какая-то, вообщем, которая, как я начинаю мимолетно вспоминать, по-моему, шла вместе с т.н. "torch-браузером", когда я то ли пытался скачать какой-то файл. Сейчас просто завал в интернете вот такой дряни, где предлагают, якобы, для скачивания файла еще что-то скачать, с помощью которого пойдет загрузка требуемого файла (на файлообменниках липовых это часто бывает), в т.ч. и т.н. margetgid.ru со своей рекламой, баннеры которого так любят помещать на торрент-ресурсах, потому что именно там постоянно вскакивают всплывающие окна, бесконечные баннеры, которые так и норовят залезть по мышь. Кстати, после перезагрузки ПК с установленым KIS 14 ПК рухнул в BSOD (0x0000008E (0x000000C5.....) - видно, когда при старте ПК касперский начинает "шуровать", как он обычно и делает, он напарывается на какой-то драйвер, то ли свой то ли системный и все - этого уже достаточно, чтобы всё накрылось. Я уже давно им не пользуюсь (уже года 3 или 4), хотя раньше даже 1 раз в "белом ветре" лицензию покупал, но потом после заражения из-за того, что истек срок годовой лицензии (хотя ключ еще действовал 8 месяцев!!!!!!) меня по телефону послали на..., а также из-за того, что это ПО ужасно тормозит систему, вызывает, как выяснилось и до сих пор синие экраны, я удалил его тогда и сделал это сейчас. Хотя, не спорю, в новую оболочку разработчики внедрили много функционала... Я, конечно, сделал точку восстановления, сейчас делаю бакап системы Acronis'ом. Посмотрю ситуацию в динамике, чтобы не дай Бог опять "вдруг" не возникло. Если подытожить, что помогло: 1) откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров. 2) ПО Cureit (усиленный режим), GMER, Scan&Destroy 1.62 и самое главное это ПО Malwarebytes' Anti-Malware 1.75.0.130: Примерно сдедующие участки: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\ADWare (Malware.Trace) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pqeeeq.exe,) Хорошо: (userinit.exe) -> Помещено в карантин и успешно исправлено.C:\RECYCLER\S-1-5-18\$a76943e7ccd4e8b98e353355565db735\U\00000008.@ (Trojan.0Access) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038966.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038967.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038968.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038969.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038970.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038972.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038973.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038974.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038975.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038977.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038978.dll (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP129\A0039035.exe (Trojan.Downloader) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP132\A0039833.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\WINDOWS\Installer\1e3990b.msi (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\Documents and Settings\dnk\Application Data\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено. mbam-log-2013-08-07 (20-37-44).txt mbam-log-2013-08-07 (20-37-44).txt

Gashak и все, кто связан с virusinfo - спасибо Выполнил: Dnk, откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров. Действительно в двух CCS была эта дрянь 5.104.108.204, оставил только DNS-адреса провайдера - сайты касперского и прочих стали открываться, чистил кеш DNS, но, к сожалению эта гадость (sesearch.ru) со своими баннерами еще присутствует и гадит своими редиректами, несмотря даже на то, что в hosts прописал 127.0.0.1 mg.dt00.net188.127.240.12 sesearch.ru

Сканировал систему еще раз и GMER 2.1.19163 и Spybot - Search & Destroy 1.6.2 и Kaspersky Virus Removal Tool 11.0.0.1245 (2013.08.06) - никакого толку - по-прежнему отображаются объявления с этого сайта, вместо сайтов kaspersky.ru, cyberforum.ru, pchelpforum.ru и еще, наверняка, многих идет редирект на yandex.ru (секретный уровень какой-то) или вообще сайт не открывается - сервер не найден и все. Ничего не одолевает этот вирус. Обращаю внимание, что указанными выше программами я производил полную проверку всех дисков и почты на тщательном уровне всех файлов с эвристическим анализом и лечением - да касперский нашел 10 вирусов, удалил, GMER тоже находил, но толку все равно никакого. Найти и уничтожить тоже много нашел, в т.ч. остаток от Seneka 2-хлетней давности, удалил, а толку все равно никакого - в системе что-то надо еще править. Sandor, вот, похоже, тот же случай, потому что тот же тизер-seo-оптимизатор гадит. Объявления с сайта sesearch.ru отображаются на том самом месте, куда яндекс обычно вставляет рекламный баннер на flash-анимации. P.S. Sandor, скрипт выше постом я выполнял, qbwncl удалилось из реестра. Обнаруженные угрозы.txt GMER 2.1.19163 (7.08.2013, 15.33).log Обнаруженные угрозы.txt GMER 2.1.19163 (7.08.2013, 15.33).log

добавляю лог GMER 2.1.19163.log GMER 2.1.19163.log

Не открывает эту ссылку, выводит страницу яндекса http://yandex.ru/thread-221666.html на которой:

Переделал. А что никто вообще ни в курсе что ли этого вируса sesearch, яндекс уже кишит запросами...virusinfo.info - не открывается сайт, вместо него открывается yandex.ru. В яндексе над сводками погоды отображается информационная лента sesearch. Не всегда, но часто - стоит только щелкнуть по какой-то ссылке или просто по окну вводу текста, а то и по дропбоксу или вообще окну - сразу идет редирект на этот сайт, а с него - на магазины одежды. Причем замечу, что, оказывается не только в opera, но и в firefox тоже, но реже, в IE пока не наблюдал. Отключал все настройки, удалял какой-то torch-браузер, разные тулбары, чистил temp, кеш, отключал средства поиска, блокировал содержимое http://www.sesearch.ru/* http://js.smi2.ru/* http://imgg.dt00.net/* http://static.smi2.ru/* http://s0.teasermaster.ru/* - удалось только сделать так, чтобы браузер блокировал открытие этих сайтов, но не более. log.zip log.zip

Логи.rar Логи.rar

кто-нибудь сталкивался с этой проблемой?

В браузере Opera 12.16.1860 ни с того ни с сего при щелкании по любой ссылке, в окне ввода текста или просто даже иногда по полю страницы идет редирект на сайт поисковой системы http://www.sesearch.ru, а затем с него на сайт магазина. CureiT'ом сканировал - нашел 2 вируса, очистил, но все равно продолжается. Кеши и куки чистил. Вопрос: Что и где погасить? P.S. Авторство картинок во вложении принадлежит пострадавшему человеку с другого сайта. hijackthis.log hijackthis.log

А есть ли ПО, позволяющее синхронизировать с ПК или выводить на ПК в формате .csv или .txt список всех вызовов (входящих, исходящих, пропущенных), SMS, MMS ?

Ясно, а как тогда понаблюдать и сохранить в отчет, то чем занимается сама ОС в данный момент, какие операции проводит как можно промониторировать?

Загрузочного диска не было да и меню выбрать загрузку Windows тоже не появлялось - он просто начинал стартовать меню Acronis и все.

При попытке произвести восстановление системы через True image home после перезагрузки и загрузки меню Acronis при попытке открыть файл с бакапом .tib пишет и после нажатия Отмена вместо того, чтобы грузить систему XP вновь - опять начинает загружать меню AcronisВопросы: 1) Нужно бакап кидать в корень диска что ли, так как он не понимает длинные пути? 2) Как вот в таких случаях отключить загрузку меню Acronis, а то пришлось форматировать жесткий диск и переустанавливать ОС

Есть ли ПО, чтобы можно было визуально наблюдать и чтобы она фиксировала в .log, что в данный момент делает жесткий диск, над каким процессом занят и как можно подробней, а то вообще бывает не поймешь, то ли он службы стартует при запуске, то ли он сектора считать не может...

Есть ли способы востановить ОС (на примере Windows XP Professional), если предварительно требуется отформатировать HDD в быстром темпе? Обычно процедура идети следующим образом: Вставлется загрузочным носитель XP, форматируется HDD, заново устанавливается чистая ОС XP и далее после установки соответствующего ПО (например, Acronis TIH) производится восстановление ОС. Вопросы: Есть ли способы востановить ОС (на примере Windows XP Professional), если предварительно требуется отформатировать HDD в быстром темпе: не производя, скажем, форматирование HDD или же если программа по восстановлению полностью затрет более новые файлы и значения и заменит их теми, что имелись на момент создания резервной копии. Так, скажем, бакапер XP или Acronis почему-то вместо того, чтобы удалить более поздние файлы (те, что были созданы после резерного копирования) начивает объединять старое с новым и происходит чехарда и, как следстие, - всякие синие экраны. Т.е. неоходимо, чтобы файловая структура и реестр приобрели в точности тот вид, который был строго на момент создания резервной копии