Если что-то отключено — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
м (вкключено содержание)
(добавлен пункт "Если не запускаются программы")
Строка 91: Строка 91:
  
 
''Как правило изменение этой ветки реестра происходит из-за вмешательства вируса. Настоятельно рекомендуется обратиться в [http://support.drweb.com/ службу тех. поддержки] и подробно описать ситуацию.''
 
''Как правило изменение этой ветки реестра происходит из-за вмешательства вируса. Настоятельно рекомендуется обратиться в [http://support.drweb.com/ службу тех. поддержки] и подробно описать ситуацию.''
 +
 +
====Если не запускаются программы====
 +
 +
Если при запуске программ вам выдается сообщение "В доступе отказано, обратитесь к администратору"
 +
 +
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
 +
"RestrictRun"=dword:00000000
 +
 +
Либо просто удалите ключ "RestrictRun" (Дефолтное значение "0").
  
 
====Если отключен Диспетчер задач====
 
====Если отключен Диспетчер задач====
 +
 
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 
  "DisableTaskMgr"=dword:0
 
  "DisableTaskMgr"=dword:0

Версия 11:28, 22 июля 2008

Вступление

Современные виды вредоносных программ почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о руткитах, а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают Диспетчер задач винды, редактор реестра, отображение скрытых и системных файлов и т. п. Обычно изменяются настройки текущего пользователя, которые хранятся в ветке реестра HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в HKEY_CURRENT_USER нет, то есть смысл посмотреть его в HKEY_LOCAL_MACHINE.

Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.

Если запрещен редактор реестра

Можно создать такой reg-файл:

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

назвать его restoreRE.reg и запустить его с помощью редактора реестра

regedit /s restoreRE.reg

Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0

Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.

Если не запускаются *.exe файлы

Можно создать такой reg-файл:
Для Windows XP

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

В принципе Windows XP понимает и REGEDIT4 в reg файле
Для Windows 2000

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]
"Extended"=""

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

Для Windows 98/Me

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell]
@=""

[HKEY_CLASSES_ROOT\exefile\shell\open]
@=""
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"


назвать его restoreExe.reg и запустить его с помощью редактора реестра

regedit /s restoreExe.reg

Как правило изменение этой ветки реестра происходит из-за вмешательства вируса. Настоятельно рекомендуется обратиться в службу тех. поддержки и подробно описать ситуацию.

Если не запускаются программы

Если при запуске программ вам выдается сообщение "В доступе отказано, обратитесь к администратору"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000000

Либо просто удалите ключ "RestrictRun" (Дефолтное значение "0").

Если отключен Диспетчер задач

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0

Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0"). Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.

Если отключена возможность выбора свойств папки

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000000

или

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000

Если отключено отображение скрытых и системных файлов

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001


Если при открытии диска винда спрашивает, с помощью какой программы его открыть

Найти и убить все autorun.inf со всех дисков. Запустить редактор реестра, найти ключи [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
и
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
и удалить их.


Иногда может понадобиться отключить что-либо

  • Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
  • Запретить восстановление системы можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR"=dword:1

P.S. Большинство параметров всупят в силу только после перезагрузки компьютера.