Если что-то отключено — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
м
 
(не показана 61 промежуточная версия 11 участников)
Строка 1: Строка 1:
__NOTOC__
+
====Вступление====
Современные виды [[Вирус|вредоносных программ]] почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о [[Руткит|руткитах]], а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают [[Печально известный Windows Task Manager|Диспетчер задач]] [[Windows|винды]], [[regedit|редактор реестра]], отображение скрытых и системных файлов и т. п.
+
 
Обычно изменяются настройки текущего пользователя, которые хранятся в ветке [[Registry|реестра]] HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в HKEY_CURRENT_USER нет, то есть смысл посмотреть его в HKEY_LOCAL_MACHINE.
+
Современные виды [[Вирус|вредоносных программ]] почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о [[Руткит|руткитах]], а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают [[Печально известный Windows Task Manager|Диспетчер задач]] [[Windows|Windows]], [[regedit|редактор реестра]], отображение скрытых и системных файлов и т. п.
 +
Обычно изменяются настройки текущего пользователя, которые хранятся в ветке [[Registry|реестра]] HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в ветке HKEY_CURRENT_USER нет, то есть смысл посмотреть его в ветке HKEY_LOCAL_MACHINE реестра.
  
 
Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.
 
Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.
 +
 +
====Если вы обычный пользователь, и не хотите заниматься ручной работой====
 +
 +
Для этого специалисты нашей компании разработали компактную бесплатную утилиту для восстановления настроек реестра в автоматическом режиме. Сперва рекомендуем восстанавливать реестр с помощью нее, а только потом уже заниматься ручной правкой.
 +
 +
[ftp://ftp.drweb.com/pub/drweb/tools/plstfix.exe Скачать утилиту восстановления системы]
 +
 +
Первоначально, утилита была предназначена для восстановления последствий, причиненных вредоносной программой [http://vms.drweb.com/virus/?i=462 Trojan.Plastix]. Сейчас, утилита постоянно развивается, и в нее добавляются новые методы восстановления реестра (и не только), сделанные вредоносными программами, которые попадают к нашим аналитикам на исследование.
  
 
====Если запрещен редактор реестра====
 
====Если запрещен редактор реестра====
Строка 9: Строка 18:
 
Можно создать такой reg-файл:
 
Можно создать такой reg-файл:
  
  REGEDIT 4
+
  REGEDIT4
 
   
 
   
 
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Строка 16: Строка 25:
 
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 
  "DisableRegedit"=dword:0
 
  "DisableRegedit"=dword:0
 +
"DisableRegistryTools"=dword:00000000
  
назвать его restoreRE.reg и запустить его с помощью редактора реестра
+
назвать его restoreRE.reg и запустить его с помощью редактора реестра, дважды щёлкнув по reg-файлу левой кнопкой мыши.
  
 
  regedit /s restoreRE.reg
 
  regedit /s restoreRE.reg
Строка 25: Строка 35:
 
  reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
 
  reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
 
  reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
 
  reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
 +
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0
  
 
Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.
 
Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.
  
====Если отключен Диспетчер задач:====
+
====Если не запускаются *.exe-файлы====
 +
 +
Можно создать такой reg-файл:
 +
<br>
 +
Для Windows XP
 +
<pre>
 +
Windows Registry Editor Version 5.00
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell]
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\open]
 +
"EditFlags"=hex:00,00,00,00
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
 +
@="\"%1\" %*"
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\runas]
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
 +
@="\"%1\" %*"
 +
</pre>
 +
''В принципе, Windows XP понимает и формат REGEDIT4 в reg-файле''<br>
 +
Для Windows 2000
 +
<pre>
 +
REGEDIT4
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell]
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\open]
 +
"EditFlags"=hex:00,00,00,00
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
 +
@="\"%1\" %*"
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\runas]
 +
"Extended"=""
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
 +
@="\"%1\" %*"
 +
</pre>
 +
 
 +
Для Windows 98/Me
 +
<pre>
 +
REGEDIT4
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell]
 +
@=""
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\open]
 +
@=""
 +
"EditFlags"=hex:00,00,00,00
 +
 
 +
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
 +
@="\"%1\" %*"
 +
 
 +
</pre>
 +
<br>
 +
назвать его restoreExe.reg и запустить его с помощью редактора реестра
 +
 
 +
regedit /s restoreExe.reg
 +
 
 +
''Как правило, изменение этой ветки реестра происходит из-за вмешательства вируса. Настоятельно рекомендуется обратиться в [http://support.drweb.com/ службу тех. поддержки] и подробно описать ситуацию.''
 +
 
 +
====Если не запускаются программы====
 +
 
 +
Если при запуске программ вам выдается сообщение "В доступе отказано, обратитесь к администратору".
 +
 
 +
Данная проблема исправляется в реестре, но что делать если не возможно запустить редактор реестра для исправления этой проблемы?
 +
Перед выполнением этих действий-распечатайте страницу или дословно перепишите.
 +
 
 +
1.При перезагрузке нажать F8 и выбрать "безопасный режим с коммандной строкой". Выбираем запись администратора (или пользователя с правами администратора)
 +
 
 +
2.Ввести
 +
 
 +
'''reg add hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v restrictrun /t REG_DWORD /d 0'''
 +
 
 +
3.Появится вопрос
 +
Value restrictrun exists,owervrite <Y/N> ?
 +
Нажимаем английскую Y  и клавишу Enter.
 +
 
 +
4.Вводим комманду exit и нажимаем Enter.
 +
 
 +
5.Одновременно нажать CTRL+ALT+DEL
 +
 
 +
Появится стандартный Диспетчер задач
 +
 
 +
6.Выбираем вкладку "Приложение"  и нажимаем кнопку "Новая задача".
 +
 
 +
7.В появившемся окошке вводим explorer и жмем Enter.
 +
 
 +
Загружается рабочий стол
 +
 
 +
8.Нажимаем "Пуск"  и перезагружаемся уже в нормальном режиме.
 +
[[Изображение:CmdR.PNG]]
 +
 
 +
====Если отключен Диспетчер задач====
 +
 
 
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 
  "DisableTaskMgr"=dword:0
 
  "DisableTaskMgr"=dword:0
  
 
Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0").
 
Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0").
 +
 +
Из коммандной строки(Безопасный режим с поддержкой командной строки)
 +
 +
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0
 +
 
Вместо штатного Диспетчера задач удобнее пользоваться [http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx ПроцессЭксплорером] от Микрософта (автор [http://blogs.technet.com/markrussinovich/ Марк Руссинович]). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.
 
Вместо штатного Диспетчера задач удобнее пользоваться [http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx ПроцессЭксплорером] от Микрософта (автор [http://blogs.technet.com/markrussinovich/ Марк Руссинович]). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.
  
====Если отключена возможность выбора свойств папки:====
+
'''''Рекомендуется файл ПроцессЭксплорера переименовать!!!
 +
 
 +
Это необходимо для обхода блокировки в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]...Например я файлик переименовал в procexp2.exe '''''
 +
 
 +
====Если отключена возможность выбора свойств папки====
  
 
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
 
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
Строка 45: Строка 161:
 
  "NoFolderOptions"=dword:00000000<br>
 
  "NoFolderOptions"=dword:00000000<br>
  
====Если отключено отображение скрытых и системных файлов:====
+
====Если отключено отображение скрытых и системных файлов====
  
 
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Строка 55: Строка 171:
  
 
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
 
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
  "CheckedValue"=dword:00000002
+
  "CheckedValue"=dword:00000001
 +
 
 +
 
 +
====Если при открытии диска Windows спрашивает, с помощью какой программы его открыть====
 +
Найти и убить все autorun.inf со всех дисков. Запустить редактор реестра, найти ключи [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]<br>
 +
и<br>
 +
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]<br>
 +
и удалить их.
 +
 
 +
====Если в окне свойств экрана отсутствуют некоторые вкладки====
 +
 
 +
В последнее время часто вирусы изменяют рисунок Рабочего стола Windows с тем, чтобы вывести на экран собственную информацию. При этом блокируют возможность изменения настроек Рабочего стола, скрывая некоторые вкладки окна свойств экрана.
 +
Прежде чем восстанавливать отображение этих вкладок, убедитесь, что вирус, который отключил их отображение, уже не действует в системе. Если Вы в этом не уверены, обратитесь в [http://support.drweb.com/new техподдержку].
 +
Если вирус уже удалён из системы, то для восстановления скрытых папок используйте следующий reg-файл:
 +
 
 +
 
 +
REGEDIT4
 +
 +
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 +
"NoDispBackgroundPage"=dword:0
 +
"NoDispScrSavPage"=dword:0
  
 
====Иногда может понадобиться отключить что-либо====
 
====Иногда может понадобиться отключить что-либо====
Строка 61: Строка 197:
 
* Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:
 
* Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
+
  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
 
  "NoDriveTypeAutoRun"=dword:000000ff
 
  "NoDriveTypeAutoRun"=dword:000000ff
  
Строка 69: Строка 205:
 
  "DisableSR"=dword:1
 
  "DisableSR"=dword:1
  
 +
 +
== Если не запускаются определенные программы ==
 +
 +
Как правило это программы редактирования политик, диспетчер задач, антивирусы...В данном случае могут использоваться несколько настроек в реестре. Рассмотрим основные, используемые вирусописателями...
 +
 +
В данном случае вирус переассоциирует запуск исполняемых файлов на себя. Например:
 +
 +
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
 +
 +
@="C:\\WINDOWS\\svchost.com \"%1\" %*"
 +
 +
Этот ключ необходимо исправить на:
 +
 +
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
 +
 +
@="\"%1\" %*"
 +
 +
''Непосредственно блокировка запуска.''
 +
 +
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
 +
 +
"Debugger"="ntsd -d"
 +
 +
В данном случае блокируется запуск редактора реестра. Этот ключ можно полностью удалить без последствий для системы.
 +
 +
Рекомендуется вообще удалить ветку '''HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options''' а после импортировать данные из файла [http://mrbelyash.narod.ru/drweb/IFEO-repaired.rar IFEO-repaired.reg]
 +
 +
 +
== Политики ограниченного использования программ  ==
 +
 +
Использование этих политик позволяет определять и задавать программы, которые разрешено или запрещено запускать.
 +
Для создания исключений из политики по умолчанию используются правила для конкретных программ. Ниже перечислены возможные типы правил.
 +
 +
Правила для хеша
 +
 +
Правила для сертификатов
 +
 +
Правила для пути
 +
 +
Правила для зоны Интернета
 +
 +
В данном случае нас интересуют только (хеш и пути). Хеш файла после обновления антивируса может изменится,поэтому малоинтересен.
 +
 +
Если не запускается приложение из определенного каталога, необходимо проверить ключи в ветке
 +
 +
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths]
 +
 +
Например если не запускается сканер(С:\Program Files\DrWeb) необходимо удалить ключи
 +
<pre>
 +
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{58FF6922-BB2F-438E-8DC6-BC04E081E532}]
 +
 +
"ItemData"="C:\\Program Files\\Common Files\\Doctor Web"
 +
 +
"SaferFlags"=dword:00000000
 +
 +
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{445a7837-c1b0-4c82-89a9-0627207333b1}]
 +
 +
"LastModified"=hex(b):74,7b,3c,db,ac,93,ca,01
 +
 +
"SaferFlags"=dword:00000000
 +
 +
"ItemData"="C:\\Program Files\\DrWeb"
 +
</pre>
 +
 +
Существует возможность заблокировать запуск CureIT, поэтому необходимо обратить внимание на блокирование пути к временному каталогу TEMP.
 +
 +
[[Изображение:1263130227-clip-20kb.jpg]]
 +
 +
 +
== Заблокирован выход в сеть  ==
 +
 +
Если содержимое [http://accs-net.com/hosts/how_to_use_hosts.html хост] файла соответствует вашим настройкам или настройкам по умолчанию, но отсутствует возможность посещать сайты- необходимо произвести проверку статических маршрутов. В консоли (с правами администратора)ввести:
 +
<pre>
 +
route print >C:\log.txt
 +
</pre>
 +
IP адреса и маски сети будут сохранены в текстовом файле C:\log.txt
 +
 +
Для удаления всех статических маршрутов необходимо ввести команду:
 +
<pre>
 +
route -f
 +
</pre>
 +
Перезагрузиться.
 +
 +
== Дополнительно ==
 +
*[ftp://ftp.drweb.com/pub/drweb/tools/plstfix.exe Утилита для фикса всего выше перечисленного.]
 +
*[[HijackThis]]
 +
*[[Скрытые процессы]]
 +
*[http://mrbelyash.narod.ru/drweb/Reg.zip Альтернативный редактор реестра]
 +
*[http://mrbelyash.narod.ru/drweb/fix_safe_boot_XPSP2ProREG.zip Восстановление безопасного режима загрузки Windows XP SP2]
 +
*[http://support.microsoft.com/kb/324036 Как использовать политики ограниченного использования программ в Windows Server 2003]
 +
*[http://en.wikipedia.org/wiki/Hosts_file Host file]
 +
----
 +
 +
P.S.
 +
Большинство параметров вступят в силу только после перезагрузки компьютера.
 
[[Category:ЧаВо]]
 
[[Category:ЧаВо]]

Текущая версия на 22:51, 7 июня 2010

Вступление

Современные виды вредоносных программ почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о руткитах, а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают Диспетчер задач Windows, редактор реестра, отображение скрытых и системных файлов и т. п. Обычно изменяются настройки текущего пользователя, которые хранятся в ветке реестра HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в ветке HKEY_CURRENT_USER нет, то есть смысл посмотреть его в ветке HKEY_LOCAL_MACHINE реестра.

Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.

Если вы обычный пользователь, и не хотите заниматься ручной работой

Для этого специалисты нашей компании разработали компактную бесплатную утилиту для восстановления настроек реестра в автоматическом режиме. Сперва рекомендуем восстанавливать реестр с помощью нее, а только потом уже заниматься ручной правкой.

Скачать утилиту восстановления системы

Первоначально, утилита была предназначена для восстановления последствий, причиненных вредоносной программой Trojan.Plastix. Сейчас, утилита постоянно развивается, и в нее добавляются новые методы восстановления реестра (и не только), сделанные вредоносными программами, которые попадают к нашим аналитикам на исследование.

Если запрещен редактор реестра

Можно создать такой reg-файл:

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0
"DisableRegistryTools"=dword:00000000

назвать его restoreRE.reg и запустить его с помощью редактора реестра, дважды щёлкнув по reg-файлу левой кнопкой мыши.

regedit /s restoreRE.reg

Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0

Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.

Если не запускаются *.exe-файлы

Можно создать такой reg-файл:
Для Windows XP

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

В принципе, Windows XP понимает и формат REGEDIT4 в reg-файле
Для Windows 2000

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]
"Extended"=""

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

Для Windows 98/Me

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell]
@=""

[HKEY_CLASSES_ROOT\exefile\shell\open]
@=""
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"


назвать его restoreExe.reg и запустить его с помощью редактора реестра

regedit /s restoreExe.reg

Как правило, изменение этой ветки реестра происходит из-за вмешательства вируса. Настоятельно рекомендуется обратиться в службу тех. поддержки и подробно описать ситуацию.

Если не запускаются программы

Если при запуске программ вам выдается сообщение "В доступе отказано, обратитесь к администратору".

Данная проблема исправляется в реестре, но что делать если не возможно запустить редактор реестра для исправления этой проблемы? Перед выполнением этих действий-распечатайте страницу или дословно перепишите.

1.При перезагрузке нажать F8 и выбрать "безопасный режим с коммандной строкой". Выбираем запись администратора (или пользователя с правами администратора)

2.Ввести

reg add hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v restrictrun /t REG_DWORD /d 0

3.Появится вопрос Value restrictrun exists,owervrite <Y/N> ? Нажимаем английскую Y и клавишу Enter.

4.Вводим комманду exit и нажимаем Enter.

5.Одновременно нажать CTRL+ALT+DEL

Появится стандартный Диспетчер задач

6.Выбираем вкладку "Приложение" и нажимаем кнопку "Новая задача".

7.В появившемся окошке вводим explorer и жмем Enter.

Загружается рабочий стол

8.Нажимаем "Пуск" и перезагружаемся уже в нормальном режиме. CmdR.PNG

Если отключен Диспетчер задач

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0

Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0").

Из коммандной строки(Безопасный режим с поддержкой командной строки)

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0

Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.

Рекомендуется файл ПроцессЭксплорера переименовать!!!

Это необходимо для обхода блокировки в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]...Например я файлик переименовал в procexp2.exe

Если отключена возможность выбора свойств папки

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000000

или

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000

Если отключено отображение скрытых и системных файлов

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001


Если при открытии диска Windows спрашивает, с помощью какой программы его открыть

Найти и убить все autorun.inf со всех дисков. Запустить редактор реестра, найти ключи [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
и
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
и удалить их.

Если в окне свойств экрана отсутствуют некоторые вкладки

В последнее время часто вирусы изменяют рисунок Рабочего стола Windows с тем, чтобы вывести на экран собственную информацию. При этом блокируют возможность изменения настроек Рабочего стола, скрывая некоторые вкладки окна свойств экрана. Прежде чем восстанавливать отображение этих вкладок, убедитесь, что вирус, который отключил их отображение, уже не действует в системе. Если Вы в этом не уверены, обратитесь в техподдержку. Если вирус уже удалён из системы, то для восстановления скрытых папок используйте следующий reg-файл:


REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:0
"NoDispScrSavPage"=dword:0

Иногда может понадобиться отключить что-либо

  • Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
  • Запретить восстановление системы можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR"=dword:1


Если не запускаются определенные программы

Как правило это программы редактирования политик, диспетчер задач, антивирусы...В данном случае могут использоваться несколько настроек в реестре. Рассмотрим основные, используемые вирусописателями...

В данном случае вирус переассоциирует запуск исполняемых файлов на себя. Например:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@="C:\\WINDOWS\\svchost.com \"%1\" %*"

Этот ключ необходимо исправить на:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@="\"%1\" %*"

Непосредственно блокировка запуска.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]

"Debugger"="ntsd -d"

В данном случае блокируется запуск редактора реестра. Этот ключ можно полностью удалить без последствий для системы.

Рекомендуется вообще удалить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options а после импортировать данные из файла IFEO-repaired.reg


Политики ограниченного использования программ

Использование этих политик позволяет определять и задавать программы, которые разрешено или запрещено запускать. Для создания исключений из политики по умолчанию используются правила для конкретных программ. Ниже перечислены возможные типы правил.

Правила для хеша

Правила для сертификатов

Правила для пути

Правила для зоны Интернета

В данном случае нас интересуют только (хеш и пути). Хеш файла после обновления антивируса может изменится,поэтому малоинтересен.

Если не запускается приложение из определенного каталога, необходимо проверить ключи в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths]

Например если не запускается сканер(С:\Program Files\DrWeb) необходимо удалить ключи

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{58FF6922-BB2F-438E-8DC6-BC04E081E532}]

"ItemData"="C:\\Program Files\\Common Files\\Doctor Web"

"SaferFlags"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{445a7837-c1b0-4c82-89a9-0627207333b1}]

"LastModified"=hex(b):74,7b,3c,db,ac,93,ca,01

"SaferFlags"=dword:00000000

"ItemData"="C:\\Program Files\\DrWeb"

Существует возможность заблокировать запуск CureIT, поэтому необходимо обратить внимание на блокирование пути к временному каталогу TEMP.

1263130227-clip-20kb.jpg


Заблокирован выход в сеть

Если содержимое хост файла соответствует вашим настройкам или настройкам по умолчанию, но отсутствует возможность посещать сайты- необходимо произвести проверку статических маршрутов. В консоли (с правами администратора)ввести:

route print >C:\log.txt

IP адреса и маски сети будут сохранены в текстовом файле C:\log.txt

Для удаления всех статических маршрутов необходимо ввести команду:

route -f

Перезагрузиться.

Дополнительно


P.S. Большинство параметров вступят в силу только после перезагрузки компьютера.