Если что-то отключено — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
м (wikify)
Строка 1: Строка 1:
<b>Если что-то отключено...</b>
+
__NOTOC__
 
+
Современные виды [[Вирус|вредоносных программ]] почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о [[Руткит|руткитах]], а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают [[Печально известный Windows Task Manager|Диспетчер задач]] винды, редактор реестра, отображение скрытых и системных файлов и т. п.
Современные виды вредоносных программ почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о руткитах, а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают Диспетчер задач винды, редактор реестра, отображение скрытых и системных файлов и т. п.
+
 
Обычно изменяются настройки текущего пользователя, которые хранятся в ветке HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в HKEY_CURRENT_USER нет, то есть смысл посмотреть его в HKEY_LOCAL_MACHINE.
 
Обычно изменяются настройки текущего пользователя, которые хранятся в ветке HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в HKEY_CURRENT_USER нет, то есть смысл посмотреть его в HKEY_LOCAL_MACHINE.
  
 
Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.
 
Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.
  
<b>Если запрещен редактор реестра</b>, то можно создать такой reg-файл:<br>
+
====Если запрещен редактор реестра====
=======<br>
+
 
REGEDIT 4<br>
+
Можно создать такой reg-файл:
<br>
+
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
+
REGEDIT 4
"DisableRegedit"=dword:0<br>
+
<br>
+
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]<br>
+
"DisableRegedit"=dword:0
"DisableRegedit"=dword:0<br>
+
=======<br>
+
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
назвать его restoreRE.reg и запустить его с помощью редактора реестра<br>
+
"DisableRegedit"=dword:0
<b>regedit /s restoreRE.reg</b><br>
+
 
Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:<br>
+
назвать его restoreRE.reg и запустить его с помощью редактора реестра
<b>reg&nbsp;add&nbsp;HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System&nbsp;/v&nbsp;DisableRegedit&nbsp;/t&nbsp;REG_DWORD&nbsp;0</b><br>
+
 
<b>reg&nbsp;add&nbsp;HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System&nbsp;/v&nbsp;DisableRegedit&nbsp;/t&nbsp;REG_DWORD&nbsp;0</b><br>
+
regedit /s restoreRE.reg
 +
 
 +
Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:
 +
 
 +
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD 0
 +
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD 0
  
 
Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.
 
Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.
  
<b>Если отключен Диспетчер задач:</b>
+
====Если отключен Диспетчер задач:====
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
+
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0<br>
+
"DisableTaskMgr"=dword:0
 +
 
 
Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0").
 
Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0").
 
Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович), который можно найти здесь:
 
Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович), который можно найти здесь:
 
http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx
 
http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx
Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.<br>
+
Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.
  
<b>Если отключена возможность выбора свойств папки:</b>
+
====Если отключена возможность выбора свойств папки:====
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
+
"NoFolderOptions"=dword:00000000<br>
+
или<br>
+
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
+
"NoFolderOptions"=dword:00000000<br>
+
  
<b>Если отключено отображение скрытых и системных файлов:</b>
+
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]<br>
+
"NoFolderOptions"=dword:00000000<br>
"Hidden"=dword:00000001<br>
+
 
"HideFileExt"=dword:00000000<br>
+
или
"ShowSuperHidden"=dword:00000001<br>
+
 
 +
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
 +
"NoFolderOptions"=dword:00000000<br>
 +
 
 +
====Если отключено отображение скрытых и системных файлов:====
 +
 
 +
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 +
"Hidden"=dword:00000001
 +
"HideFileExt"=dword:00000000
 +
"ShowSuperHidden"=dword:00000001
  
 
Также вирус может изменить ключ "CheckedValue" в ветке
 
Также вирус может изменить ключ "CheckedValue" в ветке
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
 
"CheckedValue"=dword:00000002
 
  
Иногда может понадобиться отключить что-либо.<br>
+
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
Например, <b>запретить автозапуск со всех дисков (жестких и сменных)</b> можно, создав такой ключ:
+
"CheckedValue"=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
+
 
"NoDriveTypeAutoRun"=dword:000000ff
+
====Иногда может понадобиться отключить что-либо====
 +
 
 +
* Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:
 +
 
 +
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
 +
"NoDriveTypeAutoRun"=dword:000000ff
 +
 
 +
* Запретить восстановление системы можно, создав такой ключ:
 +
 
 +
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
 +
"DisableSR"=dword:1
  
<b>Запретить восстановление системы</b> можно, создав такой ключ:
+
[[Category:ЧаВо]]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
+
"DisableSR"=dword:1
+

Версия 19:31, 28 января 2008

Современные виды вредоносных программ почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о руткитах, а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают Диспетчер задач винды, редактор реестра, отображение скрытых и системных файлов и т. п. Обычно изменяются настройки текущего пользователя, которые хранятся в ветке HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в HKEY_CURRENT_USER нет, то есть смысл посмотреть его в HKEY_LOCAL_MACHINE.

Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.

Если запрещен редактор реестра

Можно создать такой reg-файл:

REGEDIT 4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

назвать его restoreRE.reg и запустить его с помощью редактора реестра

regedit /s restoreRE.reg

Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD 0

Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.

Если отключен Диспетчер задач:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0

Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0"). Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович), который можно найти здесь: http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.

Если отключена возможность выбора свойств папки:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000000

или

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000

Если отключено отображение скрытых и системных файлов:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000002

Иногда может понадобиться отключить что-либо

  • Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
"NoDriveTypeAutoRun"=dword:000000ff
  • Запретить восстановление системы можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR"=dword:1