Новости

Якщо щось відключено

  1. Матеріал з wiki.drweb.com вступ
  2. Якщо ви звичайний користувач, і не хочете займатися ручною роботою
  3. Якщо заборонений редактор реєстру
  4. Якщо не запускаються * .exe-файли
  5. Якщо не запускаються програми
  6. Якщо відключений Диспетчер завдань
  7. Якщо відключена можливість вибору властивостей папки
  8. Якщо відключено відображення прихованих і системних файлів
  9. Якщо при відкритті диска Windows запитує, за допомогою якої програми його відкрити
  10. Якщо у вікні властивостей екрана відсутні деякі вкладки
  11. Іноді може знадобитися відключити що-небудь
  12. Якщо не запускаються певні програми
  13. Політики обмеженого використання програм
  14. Заблокований вихід в мережу
  15. додатково

Матеріал з wiki.drweb.com

вступ

Сучасні види шкідливих програм майже завжди вживають заходів по приховуванню себе в системі. Мова, звичайно ж, не йде про руткіти, а про віруси, які відключають можливість візуального виявлення їх користувачем. Наприклад, забороняють Диспетчер завдань Windows, редактор реєстру, відображення прихованих і системних файлів і т. П. Зазвичай змінюються настройки поточного користувача, які зберігаються в гілці реєстру HKEY_CURRENT_USER, але іноді такі зміни зачіпають всіх користувачів цієї машини, оскільки вони прописані в HKEY_LOCAL_MACHINE, т . к. ключ, записаний в HKEY_LOCAL_MACHINE, має більш високий пріоритет. Тому, якщо ключа, який забороняє що-небудь, в гілці HKEY_CURRENT_USER немає, то є сенс подивитися його в гілці HKEY_LOCAL_MACHINE реєстру.

Як правило, антивірус не відновлює такі ключі реєстру. Антивірус не знає, чи зробив це вірус, або це відключено політиками. Тому тут зібрані ключі реєстру, часто змінювані вірусами. Виправити можна як вручну редактором реєстру, так і згодувавши йому створений reg-файл.

Якщо ви звичайний користувач, і не хочете займатися ручною роботою

Для цього фахівці нашої компанії розробили компактну безкоштовну утиліту для відновлення налаштувань реєстру в автоматичному режимі. Спершу рекомендуємо відновлювати реєстр за допомогою неї, а тільки потім вже займатися ручної правкою.

Завантажити утиліту відновлення системи

Спочатку, утиліта була призначена для відновлення наслідків, завданих шкідливою програмою Trojan.Plastix. Зараз, утиліта постійно розвивається, і в неї додаються нові методи відновлення реєстру (і не тільки), зроблені шкідливими програмами, які потрапляють до наших аналітикам на дослідження.

Якщо заборонений редактор реєстру

Можна створити такий reg-файл:

REGEDIT4 [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] "DisableRegedit" = dword: 0 [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] "DisableRegedit" = dword: 0 "DisableRegistryTools" = dword : 00000000

назвати його restoreRE.reg і запустити його за допомогою редактора реєстру, двічі клацнувши по reg-файлу лівою кнопкою миші.

regedit / s restoreRE.reg

Якщо ж редактор реєстру regedit не запуститься, то за допомогою редактора реєстру з командного рядка reg.exe:

reg add HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableRegedit / t REG_DWORD / d 0 reg add HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableRegedit / t REG_DWORD / d 0 reg add HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableRegistryTools / t REG_DWORD / d 0

Можливо, буде потрібно перезавантаження. Після перезавантаження можна спокійно запускати віконний редактор реєстру.

Якщо не запускаються * .exe-файли

Можна створити такий reg-файл:
Для Windows XP

Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT \ exefile \ shell] [HKEY_CLASSES_ROOT \ exefile \ shell \ open] "EditFlags" = hex: 00,00,00,00 [HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command] @ = "\" % 1 \ "% *" [HKEY_CLASSES_ROOT \ exefile \ shell \ runas] [HKEY_CLASSES_ROOT \ exefile \ shell \ runas \ command] @ = "\"% 1 \ "% *"

В принципі, Windows XP розуміє і формат REGEDIT4 в reg-файл
Для Windows 2000

REGEDIT4 [HKEY_CLASSES_ROOT \ exefile \ shell] [HKEY_CLASSES_ROOT \ exefile \ shell \ open] "EditFlags" = hex: 00,00,00,00 [HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command] @ = "\"% 1 \ " % * "[HKEY_CLASSES_ROOT \ exefile \ shell \ runas]" Extended "=" "[HKEY_CLASSES_ROOT \ exefile \ shell \ runas \ command] @ =" \ "% 1 \"% * "

Для Windows 98 / Me

REGEDIT4 [HKEY_CLASSES_ROOT \ exefile \ shell] @ = "" [HKEY_CLASSES_ROOT \ exefile \ shell \ open] @ = "" "EditFlags" = hex: 00,00,00,00 [HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command] @ = "\"% 1 \ "% *"


назвати його restoreExe.reg і запустити його за допомогою редактора реєстру

regedit / s restoreExe.reg

Як правило, зміна цієї гілки реєстру відбувається через втручання вірусу. Настійно рекомендується звернутися в службу тех. підтримки і детально описати ситуацію.

Якщо не запускаються програми

Якщо при запуску програм вам видається повідомлення "У доступі відмовлено, зверніться до адміністратора".

Дана проблема виправляється в реєстрі, але що робити якщо не можливо запустити редактор реєстру для виправлення цієї проблеми? Перед виконанням цих дій-роздрукуйте сторінку або дослівно перепишіть.

1.При перезавантаження натиснути F8 і вибрати "безпечний режим з командного рядком". Вибираємо запис адміністратора (або користувача з правами адміністратора)

2.Ввесті

reg add hkey_current_user \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer / v restrictrun / t REG_DWORD / d 0

3.Появітся питання Value restrictrun exists, owervrite <Y / N>? Натискаємо англійську Y і клавішу Enter.

4.Вводім комманду exit і натискаємо Enter.

5.Одновременно натиснути CTRL + ALT + DEL

З'явиться стандартний Диспетчер завдань

6.Вибіраем вкладку "Додаток" і натискаємо кнопку "Нова задача".

7. У віконці, що з'явилося вводимо explorer і тиснемо Enter.

Завантажується робочий стіл

8.Нажімаем "Пуск" і перезавантажуємося вже в нормальному режимі.

Нажімаем Пуск і перезавантажуємося вже в нормальному режимі

Якщо відключений Диспетчер завдань

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] "DisableTaskMgr" = dword: 0

Або просто видалити ключ "DisableTaskMgr" (дефолтні значення "0").

З командного рядка (Безпечний режим з підтримкою командного рядка)

reg add HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableTaskMgr / t REG_DWORD / d 0

Замість штатного Диспетчера завдань зручніше користуватися ПроцессЕксплорером від Мікрософтвера (автор Марк Руссинович). Він може заміщати собою віндовий Диспетчер завдань і не звертає уваги на заборону запуску в реєстрі.

Рекомендується файл ПроцессЕксплорера перейменувати !!!

Це необхідно для обходу блокування в [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options] ... Наприклад я файлик перейменував в procexp2.exe

Якщо відключена можливість вибору властивостей папки

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer] "NoFolderOptions" = dword: 00000000

або

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] "NoFolderOptions" = dword: 00000000

Якщо відключено відображення прихованих і системних файлів

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced] "Hidden" = dword: 00000001 "HideFileExt" = dword: 00000000 "ShowSuperHidden" = dword: 00000001

Також вірус може змінити ключ "CheckedValue" в гілці

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL] "CheckedValue" = dword: 00000001

Якщо при відкритті диска Windows запитує, за допомогою якої програми його відкрити

Знайти і вбити все autorun.inf з усіх дисків. Запустити редактор реєстру, знайти ключі [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2]
і
[HKEY_USERS \ .DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2]
і видалити їх.

Якщо у вікні властивостей екрана відсутні деякі вкладки

Останнім часом часто віруси змінюють малюнок Робочого столу Windows з тим, щоб вивести на екран власну інформацію. При цьому блокують можливість зміни налаштувань Робочого столу, приховуючи деякі вкладки вікна властивостей екрана. Перш ніж відновлювати відображення цих вкладок, переконайтеся, що вірус, який відключив їх відображення, вже не діє в системі. Якщо Ви в цьому не впевнені, зверніться в техпідтримку. Якщо вірус вже видалений з системи, то для відновлення прихованих папок використовуйте наступний reg-файл:

REGEDIT4 [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] "NoDispBackgroundPage" = dword: 0 "NoDispScrSavPage" = dword: 0

Іноді може знадобитися відключити що-небудь

  • Наприклад, заборонити автозапуск з усіх дисків (жорстких і змінних) можна, створивши такий ключ:

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer] "NoDriveTypeAutoRun" = dword: 000000ff

  • Заборонити відновлення системи можна, створивши такий ключ:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SystemRestore] "DisableSR" = dword: 1

Якщо не запускаються певні програми

Як правило це програми редагування політик, диспетчер задач, антивіруси ... В даному випадку можуть використовуватися кілька налаштувань в реєстрі. Розглянемо основні, які використовуються вірусопісателямі ...

В даному випадку вірус переассоціірует запуск виконуваних файлів на себе. наприклад:

[HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command]

@ = "C: \\ WINDOWS \\ svchost.com \"% 1 \ "% *"

Цей ключ необхідно виправити на:

[HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command]

@ = "\"% 1 \ "% *"

Безпосередньо блокування запуску.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ regedit.exe]

"Debugger" = "ntsd -d"

В даному випадку блокується запуск редактора реєстру. Цей ключ можна повністю видалити без наслідків для системи.

Рекомендується взагалі видалити гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options а після імпортувати дані з файлу IFEO-repaired.reg (скачати)

Політики обмеженого використання програм

Використання цих політик дозволяє визначати і задавати програми, які дозволено або заборонено запускати. Для створення виключень з політики за замовчуванням використовуються правила для конкретних програм. Нижче перераховані можливі типи правил.

Правила для хешу

Правила для сертифікатів

Правила для шляху

Правила для зони Інтернету

В даному випадку нас цікавлять тільки (хеш і шляхи). Хеш файлу після оновлення антивіруса може зміниться, тому малоцікавий.

Якщо не запускається додаток з певного каталогу, необхідно перевірити ключі в гілці

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers \ 0 \ Paths]

Наприклад якщо не запускається сканер (С: \ Program Files \ DrWeb) необхідно видалити ключі

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers \ 0 \ Paths \ {58FF6922-BB2F-438E-8DC6-BC04E081E532}] "ItemData" = "C: \\ Program Files \\ Common Files \\ Doctor Web "" SaferFlags "= dword: 00000000 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers \ 0 \ Paths \ {445a7837-c1b0-4c82-89a9-0627207333b1}]" LastModified "= hex (b): 74, 7b, 3c, db, ac, 93, ca, 01 "SaferFlags" = dword: 00000000 "ItemData" = "C: \\ Program Files \\ DrWeb"

Існує можливість заблокувати запуск CureIT, тому необхідно звернути увагу на блокування шляху до тимчасового каталогу TEMP.

Існує можливість заблокувати запуск CureIT, тому необхідно звернути увагу на блокування шляху до тимчасового каталогу TEMP

Заблокований вихід в мережу

якщо вміст хост файлу відповідає вашим налаштувань або налаштувань, але відсутня можливість відвідувати сайти- необхідно провести перевірку статичних маршрутів. В консолі (з правами адміністратора) ввести:

route print> C: \ log.txt

IP адреси і маски мережі будуть збережені в текстовому файлі C: \ log.txt

Для видалення всіх статичних маршрутів необхідно ввести команду:

route -f

Перезавантажитися.

додатково

PS Більшість параметрів вступлять в силу тільки після перезавантаження комп'ютера.

Дана проблема виправляється в реєстрі, але що робити якщо не можливо запустити редактор реєстру для виправлення цієї проблеми?
3.Появітся питання Value restrictrun exists, owervrite <Y / N>?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: