Если что-то отключено

Содержание

Вступление

Современные виды вредоносных программ почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о руткитах, а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают Диспетчер задач Windows, редактор реестра, отображение скрытых и системных файлов и т. п. Обычно изменяются настройки текущего пользователя, которые хранятся в ветке реестра HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в ветке HKEY_CURRENT_USER нет, то есть смысл посмотреть его в ветке HKEY_LOCAL_MACHINE реестра.

Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.

Если вы обычный пользователь, и не хотите заниматься ручной работой

Для этого специалисты нашей компании разработали компактную бесплатную утилиту для восстановления настроек реестра в автоматическом режиме. Сперва рекомендуем восстанавливать реестр с помощью нее, а только потом уже заниматься ручной правкой.

Первоначально, утилита была предназначена для восстановления последствий, причиненных вредоносной программой Trojan.Plastix. Сейчас, утилита постоянно развивается, и в нее добавляются новые методы восстановления реестра (и не только), сделанные вредоносными программами, которые попадают к нашим аналитикам на исследование.

Если запрещен редактор реестра

Можно создать такой reg-файл:

назвать его restoreRE.reg и запустить его с помощью редактора реестра, дважды щёлкнув по reg-файлу левой кнопкой мыши.

Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:

Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.

Если не запускаются *.exe-файлы

Можно создать такой reg-файл:
Для Windows XP

В принципе, Windows XP понимает и формат REGEDIT4 в reg-файле
Для Windows 2000

Для Windows 98/Me

назвать его restoreExe.reg и запустить его с помощью редактора реестра

Как правило, изменение этой ветки реестра происходит из-за вмешательства вируса. Настоятельно рекомендуется обратиться в службу тех. поддержки и подробно описать ситуацию.

Если не запускаются программы

Если при запуске программ вам выдается сообщение «В доступе отказано, обратитесь к администратору».

Данная проблема исправляется в реестре, но что делать если не возможно запустить редактор реестра для исправления этой проблемы? Перед выполнением этих действий-распечатайте страницу или дословно перепишите.

1.При перезагрузке нажать F8 и выбрать «безопасный режим с коммандной строкой». Выбираем запись администратора (или пользователя с правами администратора)

reg add hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v restrictrun /t REG_DWORD /d 0

3.Появится вопрос Value restrictrun exists,owervrite ? Нажимаем английскую Y и клавишу Enter.

4.Вводим комманду exit и нажимаем Enter.

5.Одновременно нажать CTRL+ALT+DEL

Появится стандартный Диспетчер задач

6.Выбираем вкладку «Приложение» и нажимаем кнопку «Новая задача».

7.В появившемся окошке вводим explorer и жмем Enter.

Загружается рабочий стол

8.Нажимаем «Пуск» и перезагружаемся уже в нормальном режиме.

Если отключен Диспетчер задач

Либо просто удалить ключ «DisableTaskMgr» (Дефолтное значение «0»).

Из коммандной строки(Безопасный режим с поддержкой командной строки)

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0

Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.

Рекомендуется файл ПроцессЭксплорера переименовать.

Это необходимо для обхода блокировки в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]. Например я файлик переименовал в procexp2.exe

Если отключена возможность выбора свойств папки

Если отключено отображение скрытых и системных файлов

Также вирус может изменить ключ «CheckedValue» в ветке

Если при открытии диска Windows спрашивает, с помощью какой программы его открыть

Найти и убить все autorun.inf со всех дисков. Запустить редактор реестра, найти ключи [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
и
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
и удалить их.

Если в окне свойств экрана отсутствуют некоторые вкладки

В последнее время часто вирусы изменяют рисунок Рабочего стола Windows с тем, чтобы вывести на экран собственную информацию. При этом блокируют возможность изменения настроек Рабочего стола, скрывая некоторые вкладки окна свойств экрана. Прежде чем восстанавливать отображение этих вкладок, убедитесь, что вирус, который отключил их отображение, уже не действует в системе. Если Вы в этом не уверены, обратитесь в техподдержку. Если вирус уже удалён из системы, то для восстановления скрытых папок используйте следующий reg-файл:

Иногда может понадобиться отключить что-либо

• Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:

• Запретить восстановление системы можно, создав такой ключ:

Если не запускаются определенные программы

Как правило это программы редактирования политик, диспетчер задач, антивирусы. В данном случае могут использоваться несколько настроек в реестре. Рассмотрим основные, используемые вирусописателями.

В данном случае вирус переассоциирует запуск исполняемых файлов на себя. Например:

Этот ключ необходимо исправить на:

Непосредственно блокировка запуска.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]

В данном случае блокируется запуск редактора реестра. Этот ключ можно полностью удалить без последствий для системы.

Рекомендуется вообще удалить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options а после импортировать данные из файла IFEO-repaired.reg

Политики ограниченного использования программ

Использование этих политик позволяет определять и задавать программы, которые разрешено или запрещено запускать. Для создания исключений из политики по умолчанию используются правила для конкретных программ. Ниже перечислены возможные типы правил.

Правила для хеша

Правила для сертификатов

Правила для пути

Правила для зоны Интернета

В данном случае нас интересуют только (хеш и пути). Хеш файла после обновления антивируса может изменится,поэтому малоинтересен.

Если не запускается приложение из определенного каталога, необходимо проверить ключи в ветке

Например если не запускается сканер(С:\Program Files\DrWeb) необходимо удалить ключи

Существует возможность заблокировать запуск CureIT, поэтому необходимо обратить внимание на блокирование пути к временному каталогу TEMP.

Заблокирован выход в сеть

Если содержимое хост файла соответствует вашим настройкам или настройкам по умолчанию, но отсутствует возможность посещать сайты- необходимо произвести проверку статических маршрутов. В консоли (с правами администратора)ввести:

IP адреса и маски сети будут сохранены в текстовом файле C:\log.txt

Для удаления всех статических маршрутов необходимо ввести команду:

Интересные настройки реестра – секреты реестра Windows

В данной статье мы рассмотрим интересные, а может для кого и полезные настройки операционной системы Windows с помощью реестра. С помощью этих настроек Вы сможете отключить надоедающие Вам функции Windows или изменить их по своему вкусу.

Добавление своей папки на боковую панель

Давайте приступим и для начала я покажу как добавить свои директории на боковую панель диалогового окна Explorer’а «Открыть/Сохранить».

Мне кажется, что Вы хоть раз хотели, чтобы при открытии или сохранении файлов, Вы имели доступ к любимой директории одним кликом мыши. WinXP предлагает стандартный набор — Сеть, Мои Документы, Рабочий стол и т.д., что не всегда удобно. Если Вас данный набор ярлыков не устраивает, то можно добавить свои, например следующим образом:

1. Пуск->Выполнить->Regedit
2. Найдите ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\comdlg32
3. Щелкните правой кнопкой мыши на ключ comdlg32 и выберите Новый->Раздел
4. Назовите новый раздел PlacesBar
5. Щелкните правой кнопкой мыши на правой панели и выберите Новый->Расширенный Строковой параметр
6. Назовите его Place0
7. Щелкните правой кнопкой мыши на параметр Place0, выберите Изменить и пропишите в строке путь к желаемой директории, например C:\Downloads или %USERPROFILE%\Desktop
8. Аналогичным образом создайте параметры Place1, Place2, Place3, Place4, прописывая путь к желаемым директориям (максимальное количество ярлыков — 5)
9. Закройте Regedit.

Теперь давайте разберемся с клавишами клавиатуры, случайное нажатие на которых раздражает некоторых пользователей.

Отключение клавиши Windows

На некоторых современных клавиатурах присутствует клавиша Windows (как правило, логотип-флажок Майкрософт). Некоторым пользователям она мешает при быстрой печати. Чтобы отключить ее, нужно в реестре найти ключ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout.

Создайте новый двоичный параметр, с заголовком Scancode Map и присвойте ему значение

00 00 00 00 00 00 00 00 03 00 00 00 00 00 5B E0 00 00 5C E0 00 00 00 00.

После перезагрузки клавиша Windows будет отключена.

Недостаточно места на диске

Если Windows постоянно выводит сообщения о том, что на диске мало места, то в разделе реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer

создайте параметр NoLowDiskSpaceChecks типа DWORD со значением, равным 1, — и Windows перестанет Вас оповещать.

Очистка файла подкачки перед перезагрузкой системы

Очистить файл pagefile.sys перед перезагрузкой системы. В данном файле может храниться конфиденциальная информация. Если данная опция включена, возможно, значительное увеличение времени выключения компьютера. Для того чтобы очищать этот файл сделайте вот что:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

ClearPageFileAtShutdown:DWORD =1 или 0

Включать Num Lock при загрузке

Определяет состояние кнопки Num Lock при вводе логина и пароля. Windows XP отключает Num Lock в любом случае, даже если в BIOS состояние Num Lock находится в положении включено, для того чтобы контролировать этот параметр используйте следующие настройки:

HKEY_USERS\.DEFAULT\Control Panel\Keyboard

InitialKeyboardIndicators:DWORD =2 — Num Lock включен, 0 — выключен

Автоматически выгружать не используемые библиотеки

При выключении компьютера в памяти загружено много ненужных библиотек и поэтому компьютер может очень долго выключаться, можно настроить так, что при выключении компьютера эти библиотеки будут сами выгружаться. Если наблюдается нестабильная работа системы при включенной опции, отключите её. Используйте следующие настройки:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

AlwaysUnloadDLL:DWORD = 1 — выгружать библиотеки, 0 — не выгружать

Отключить слежение Windows XP за пользователем

Операционная система Windows XP постоянно записывает действия пользователя, какие программы он запускал, какие открывал документы и т.д. В целях безопасности (да и просто, если охота) данную опцию можно отключить следующим образом:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoInstrumentation:DWORD = 1 — отключить слежение, 0 — включить.

Но помните, что при выключенной опции НЕ БУДЕТ СОХРАНЯТЬСЯ список часто вызываемых программ, недавние документы и пр.

Запрашивать пароль после выхода из ждущего режима

Для того чтобы при выходе из ждущего режима операционная система запрашивала пароль Вам необходимо сделать вот что:

HKCU\Software\Policies\Microsoft\Windows\System\Power

PromptPasswordOnResume:DWORD = 1 – запрашивать пароль

Показывать выполняемые команды при запуске и выходе из системы

Очень полезная настройка, с помощью которой Windows показывает информацию о выполняемых процессах во время загрузки системы. Поможет быстро выяснить, на запуск чего система тратит много времени и если возможно, отключить не нужные сервисы. Для этого сделайте следующее:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

verbosestatus:DWORD значение 1 — показывать, 0 — стандартная загрузка

Не показывать имя последнего пользователя

В операционной системе Windows, при загрузке системы, когда Вы вводите пользователя и пароль, сохраняется этот пользователь, т.е. при следующем запуске он там уже будет стоять, нужно просто ввести пароль, но если Вы не хотите, чтобы он там сохранялся, Вам нужно сделать следующую настройку:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

DontDisplayLastUserName:DWORD = 1 — убрать имя пользователя

Автоматически перезагрузить компьютер

Операционная система Windows всегда думает о пользователях, не прошёл мимо и факт зависания компьютера. Теперь Вам не надо тянуться к кнопке Reset (перезагрузка), компьютер может перезагрузиться самостоятельно, если произойдет непоправимая ошибка. Данную опцию можно настроить в «Свойствах системы», вкладка «Дополнительно», раздел «Загрузка и восстановление». А в реестре можно изменить следующую настройку:

HKLM\SYSTEM\CurrentControlSet\Control\CrashControl

AutoReboot: DWORD =1 – перезагружать компьютер, 0 – не перезагружать

Использовать свою программу дефрагментации диска

Дефрагментацию диска выполнять очень полезно, но многим стандартный дефрагментатор Windows не нравится, но Вы легко можете задать свою программу дефрагментации диска. Она будет вызываться, если Вы в свойствах диска, на вкладке Сервис нажмёте на кнопку «Выполнить дефрагментацию», для этого выполните следующие действия:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ MyComputer\DefragPath

EXPAND STRING (По умолчанию), система использует следующую командную строку %systemroot%\system32\dfrg.msc %c:

С помощью параметра %с передается имя диска. Замените программу на свою и все!

Использовать свою программу очистки системы

При очистке системы, по умолчанию Windows XP использует утилиту для очистки системы — CleanUP, которая также многим пользователям не нравится, вы можете заменить её на свою, следующим образом:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ MyComputer\cleanuppath

EXPAND STRING (по умолчанию), система использует следующую командную строку %SystemRoot%\system32\cleanmgr.exe /D %c

С помощью параметра %с передается имя диска. Для CleanUp если не задан параметр /D, то параметр %с игнорируется и система предлагает пользователю выбрать диск самостоятельно.

Проверка диска — изменение времени ожидания

При загрузке Windows после неправильного выключения запускается проверка дисков. При этом пишется что-то типа «Через 10 секунд начну проверять…«. Чтобы уменьшить время ожидания надо в разделе

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager

создать или отредактировать параметр AutoChkTimeOut типа DWORD и присвоить ему значение в секундах. По умолчанию установлена пауза в 10 секунд. Если Вы присвоите ему значение больше чем 259200 секунд (около 3 дней), то будет использоваться значение по умолчанию.

Активация Windows

Если Вам понадобилось по каким-то причинам сбросить текущую активацию Windows, то Вам необходимо в разделе реестра

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WPAEvents

изменить любую цифру в значении параметра OOBETimer. Это аннулирует текущую активацию. Далее запускаем активизацию системы, набираем в «Пуск -> Выполнить» следующее:

В окне «активизировать по телефону» вводим в окошке для серийника новый серийный номер.

Вот пока и все что я хотел рассказать и показать про настройки реестра или как многие называют – секреты реестра, т.к. в реестре можно изменить практически все, что можно настроить в Windows, т.е. в реестре хранятся все настройки операционной системы Windows, но не все умеют пользоваться этими настройками.