Если что-то отключено — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
(Если запрещен редактор реестра)
м (wikify & cleanup)
Строка 1: Строка 1:
 
__NOTOC__
 
__NOTOC__
Современные виды [[Вирус|вредоносных программ]] почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о [[Руткит|руткитах]], а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают [[Печально известный Windows Task Manager|Диспетчер задач]] винды, редактор реестра, отображение скрытых и системных файлов и т. п.
+
Современные виды [[Вирус|вредоносных программ]] почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о [[Руткит|руткитах]], а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают [[Печально известный Windows Task Manager|Диспетчер задач]] [[Windows|винды]], [[regedit|редактор реестра]], отображение скрытых и системных файлов и т. п.
Обычно изменяются настройки текущего пользователя, которые хранятся в ветке HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в HKEY_CURRENT_USER нет, то есть смысл посмотреть его в HKEY_LOCAL_MACHINE.
+
Обычно изменяются настройки текущего пользователя, которые хранятся в ветке [[Registry|реестра]] HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в HKEY_CURRENT_USER нет, то есть смысл посмотреть его в HKEY_LOCAL_MACHINE.
  
 
Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.
 
Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.
Строка 33: Строка 33:
  
 
Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0").
 
Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0").
Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович), который можно найти здесь:
+
Вместо штатного Диспетчера задач удобнее пользоваться [http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx ПроцессЭксплорером] от Микрософта (автор Марк Руссинович). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.
http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx
+
Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.
+
  
 
====Если отключена возможность выбора свойств папки:====
 
====Если отключена возможность выбора свойств папки:====

Версия 23:56, 30 января 2008

Современные виды вредоносных программ почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о руткитах, а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают Диспетчер задач винды, редактор реестра, отображение скрытых и системных файлов и т. п. Обычно изменяются настройки текущего пользователя, которые хранятся в ветке реестра HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в HKEY_CURRENT_USER нет, то есть смысл посмотреть его в HKEY_LOCAL_MACHINE.

Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.

Если запрещен редактор реестра

Можно создать такой reg-файл:

REGEDIT 4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

назвать его restoreRE.reg и запустить его с помощью редактора реестра

regedit /s restoreRE.reg

Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0

Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.

Если отключен Диспетчер задач:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0

Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0"). Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.

Если отключена возможность выбора свойств папки:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000000

или

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000

Если отключено отображение скрытых и системных файлов:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000002

Иногда может понадобиться отключить что-либо

  • Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
"NoDriveTypeAutoRun"=dword:000000ff
  • Запретить восстановление системы можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR"=dword:1