Если что-то отключено

Материал из wiki.drweb.com
Версия от 13:10, 13 февраля 2008; Targ (обсуждение | вклад) (Если запрещен редактор реестра)

Перейти к: навигация, поиск

Современные виды вредоносных программ почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о руткитах, а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают Диспетчер задач винды, редактор реестра, отображение скрытых и системных файлов и т. п. Обычно изменяются настройки текущего пользователя, которые хранятся в ветке реестра HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в HKEY_CURRENT_USER нет, то есть смысл посмотреть его в HKEY_LOCAL_MACHINE.

Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.

Если запрещен редактор реестра

Можно создать такой reg-файл:

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

назвать его restoreRE.reg и запустить его с помощью редактора реестра

regedit /s restoreRE.reg

Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0

Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.

Если отключен Диспетчер задач:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0

Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0"). Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.

Если отключена возможность выбора свойств папки:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000000

или

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000

Если отключено отображение скрытых и системных файлов:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000002

Иногда может понадобиться отключить что-либо

  • Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
  • Запретить восстановление системы можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR"=dword:1