Datamix
usetv
 
 
  Меню сайта
 
 
Логин : Пароль :   Регистрация на сайте | Напомнить пароль?
 

O сайте
Антивирусная защита
Мультимедиа
Графика
Программы на каждый день
Офис
Учебники
Новости
Статьи
 
  Пользователям NOD32
 
 

Ключи обновления NOD32
Скачать NOD32
Скачать базы NOD32
Вопросы по NOD32
Новости NOD32
 
  Новости
 
 
 
  Рекомендуем
 
 

Загрузка...

Главная страница » Вопросы по NOD32 » Если что-то отключено в реестре



Если что-то отключено в реестре
Вступление

 Современные виды вредоносных программ почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о руткитах, а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают Диспетчер задач Windows, редактор реестра, отображение скрытых и системных файлов и т. п. Обычно изменяются настройки текущего пользователя, которые хранятся в ветке реестра HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет. Поэтому, если ключа, запрещающего что-либо, в ветке HKEY_CURRENT_USER нет, то есть смысл посмотреть его в ветке HKEY_LOCAL_MACHINE реестра.

Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.

 

Если вы обычный пользователь, и не хотите заниматься ручной работой

Для этого специалисты компании Dr.Web разработали компактную бесплатную утилиту для восстановления настроек реестра в автоматическом режиме. Сперва рекомендуем восстанавливать реестр с помощью нее, а только потом уже заниматься ручной правкой.

Скачать утилиту восстановления системы [attachment=10:plstfix.exe]

Первоначально, утилита была предназначена для восстановления последствий, причиненных вредоносной программой Trojan.Plastix. Сейчас, утилита постоянно развивается, и в нее добавляются новые методы восстановления реестра (и не только), сделанные вредоносными программами, которые попадают к нашим аналитикам на исследование.

 

Если запрещен редактор реестра

 Можно создать такой reg-файл:

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableRegedit"=dword:0

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableRegedit"=dword:0

"DisableRegistryTools"=dword:00000000

назвать его restoreRE.reg и запустить его с помощью редактора реестра, дважды щёлкнув по reg-файлу левой кнопкой мыши. 
regedit /s restoreRE.reg

Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:

reg add HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegedit /t REG_DWORD /d 0

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegedit /t REG_DWORD /d 0

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t REG_DWORD /d 0

Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.

 

Если не запускаются *.exe-файлы

Можно создать такой reg-файл:

Для Windows XP

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTexefileshell]

[HKEY_CLASSES_ROOTexefileshellopen]

"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOTexefileshellopencommand]

@=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunas]

[HKEY_CLASSES_ROOTexefileshellrunascommand]

@=""%1" %*"

В принципе, Windows XP понимает и формат REGEDIT4 в reg-файле

Для Windows 2000 

REGEDIT4

[HKEY_CLASSES_ROOTexefileshell]

[HKEY_CLASSES_ROOTexefileshellopen]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOTexefileshellopencommand]

@=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunas]
"Extended"=""

[HKEY_CLASSES_ROOTexefileshellrunascommand]

@=""%1" %*"

Для Windows 98/Me

REGEDIT4

[HKEY_CLASSES_ROOTexefileshell]
@=""

[HKEY_CLASSES_ROOTexefileshellopen]
@=""

"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOTexefileshellopencommand]

@=""%1" %*"

 

назвать его restoreExe.reg и запустить его с помощью редактора реестра 

regedit /s restoreExe.reg

Как правило, изменение этой ветки реестра происходит из-за вмешательства вируса. Настоятельно рекомендуется обратиться в службу тех. поддержки и подробно описать ситуацию.

 

Если не запускаются программы

Если при запуске программ вам выдается сообщение "В доступе отказано, обратитесь к администратору".

Данная проблема исправляется в реестре, но что делать если не возможно запустить редактор реестра для исправления этой проблемы? Перед выполнением этих действий-распечатайте страницу или дословно перепишите.

1. При перезагрузке нажать F8 и выбрать "безопасный режим с коммандной строкой". Выбираем запись администратора (или пользователя с правами администратора)

2. Ввести

reg add hkey_current_userSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v restrictrun /t REG_DWORD /d 0

3. Появится вопрос Value restrictrun exists,owervrite <Y/N> ? Нажимаем английскую Y и клавишу Enter.

4. Вводим комманду exit и нажимаем Enter.

5. Одновременно нажать CTRL+ALT+DEL

Появится стандартный Диспетчер задач

6. Выбираем вкладку "Приложение" и нажимаем кнопку "Новая задача".

7. В появившемся окошке вводим explorer и жмем Enter.

Загружается рабочий стол

8. Нажимаем "Пуск" и перезагружаемся уже в нормальном режиме.

 

Если отключен Диспетчер задач

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableTaskMgr"=dword:0

Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0").

Из коммандной строки (Безопасный режим с поддержкой командной строки) 
reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 0

Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером [attachment=9:processexplorer.zip] (автор Марк Руссинович). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.

Рекомендуется файл ПроцессЭксплорера переименовать!!!

 Это необходимо для обхода блокировки в [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]... Например я файлик переименовал в procexp2.exe

 

Если отключена возможность выбора свойств папки

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]

"NoFolderOptions"=dword:00000000

или

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoFolderOptions"=dword:00000000

 

Если отключено отображение скрытых и системных файлов

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

"Hidden"=dword:00000001

"HideFileExt"=dword:00000000

"ShowSuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"=dword:00000001

 

Если при открытии диска Windows спрашивает, с помощью какой программы его открыть

Найти и убить все autorun.inf со всех дисков. Запустить редактор реестра, найти ключи [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2]

и

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2]
и удалить их.

 

Если в окне свойств экрана отсутствуют некоторые вкладки

В последнее время часто вирусы изменяют рисунок Рабочего стола Windows с тем, чтобы вывести на экран собственную информацию. При этом блокируют возможность изменения настроек Рабочего стола, скрывая некоторые вкладки окна свойств экрана. Прежде чем восстанавливать отображение этих вкладок, убедитесь, что вирус, который отключил их отображение, уже не действует в системе. Если Вы в этом не уверены, обратитесь в техподдержку. Если вирус уже удалён из системы, то для восстановления скрытых папок используйте следующий reg-файл:

REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"NoDispBackgroundPage"=dword:0

"NoDispScrSavPage"=dword:0

 

Иногда может понадобиться отключить что-либо

Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff

Запретить восстановление системы можно, создав такой ключ:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore]
"DisableSR"=dword:1

 

Если не запускаются определенные программы

Как правило это программы редактирования политик, диспетчер задач, антивирусы...В данном случае могут использоваться несколько настроек в реестре. Рассмотрим основные, используемые вирусописателями...

В данном случае вирус переассоциирует запуск исполняемых файлов на себя. Например:

[HKEY_CLASSES_ROOTexefileshellopencommand]

@="C:\WINDOWS\svchost.com "%1" %*"

Этот ключ необходимо исправить на:

[HKEY_CLASSES_ROOTexefileshellopencommand]

@=""%1" %*"

Непосредственно блокировка запуска.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsregedit.exe]

"Debugger"="ntsd -d"

В данном случае блокируется запуск редактора реестра. Этот ключ можно полностью удалить без последствий для системы.

Рекомендуется вообще удалить ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options а после импортировать данные из файла IFEO-repaired.reg

 

Политики ограниченного использования программ

Использование этих политик позволяет определять и задавать программы, которые разрешено или запрещено запускать. Для создания исключений из политики по умолчанию используются правила для конкретных программ. Ниже перечислены возможные типы правил.

  • Правила для хеша
  • Правила для сертификатов
  • Правила для пути
  • Правила для зоны Интернета

В данном случае нас интересуют только (хеш и пути). Хеш файла после обновления антивируса может изменится,поэтому малоинтересен. 
Если не запускается приложение из определенного каталога, необходимо проверить ключи в ветке

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiersPaths]

Например если не запускается сканер (С:Program FilesDrWeb) необходимо удалить ключи

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiersPaths{58FF6922-BB2F-438E-8DC6-BC04E081E532}]

"ItemData"="C:\Program Files\Common Files\Doctor Web"

"SaferFlags"=dword:00000000

 

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiersPaths{445a7837-c1b0-4c82-89a9-0627207333b1}]

"LastModified"=hex(b):74,7b,3c,db,ac,93,ca,01

"SaferFlags"=dword:00000000

"ItemData"="C:\Program Files\DrWeb"

Существует возможность заблокировать запуск CureIT, поэтому необходимо обратить внимание на блокирование пути к временному каталогу TEMP.

 

Заблокирован выход в сеть

Если содержимое хост файла соответствует вашим настройкам или настройкам по умолчанию, но отсутствует возможность посещать сайты - необходимо произвести проверку статических маршрутов. В консоли (с правами администратора) ввести:

route print >C:log.txt

IP адреса и маски сети будут сохранены в текстовом файле C:log.txt

Для удаления всех статических маршрутов необходимо ввести команду:

route -f

Перезагрузиться.

!!! Уважаемый пользователь, обратите пожалуйста внимание на рекламу. Возможно что-то Вас заинтересует. Спасибо. !!!
Загрузка...
Поделись ссылкой на эту страницу с друзьями:
 
Вопросы по NOD32 | Комментарии (0)
Другие новости по теме:
  • Рекомендации по настройке NOD32 для защиты от блокировщиков Windows
  • Удаление антивируса Dr.Web
  • Произошла ошибка при загрузки файлов обновления NOD32
  • Полное удаление Антивируса NOD32
  • Критическая уязвимость в Microsoft DirectX

  • Информация
    Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
     


    Загрузка...

     
      Программы на сайте
     
     

    Ключи обновления NOD32 (имена и пароли)
    ключи NOD32Для полноценного обновления антивируса NOD32 с официальных серверов eset, нужны ключи обновления NOD32 или проще говоря, регистрационные имена и пароли для обновления вирусных баз. Срок коммерческого использования антивируса определяют именно ключи для NOD32 и они же являются основной лицензией. Имена и пароли NOD32 проходят проверку на работоспособность несколько раз в сутки и меняются как только подходит срок окончания их лицензии, либо они перестают работать, попадая в чёрный список. Мы стараемся выкладывать ключи, которые работают не меньше трёх месяцев, что избавляет вас от необходимости слишком часто их менять. Благодаря этому, Вы всегда имеете возможность зайти и скачать свежие рабочие ключи обновления NOD32. Так же у нас предоставлена расширенная поддержка пользователей NOD32, где в комментариях к темам по антивирусу мы постараемся ответить на все интересующие Вас вопросы.

    Текущая версия вирусной базы: 16319


    Обновление баз для продуктов ESET версий 4.х.х - 9.х.х

    базы NOD32C выходом ESET Endpoint Antivirus и ESET Endpoint Security (бизнес версий пятой линейки NOD32), у пользователей появилась возможность обновлять свои антивирусы используя архив с базой.

     

     

     

    Архив от 29.10.2017

    Версия вирусной базы: 16319


    ESET NOD32 Antivirus 8 RUS
    Антивирус ESET NOD32 8 - новая версия антивируса с облачными технологиями, обеспечивающая усиленную защиту от сложных угроз. Включает мощный HIPS, контроль устройств, эффективную защиту от фишинга и уязвимостей.
    ESET NOD32 Smart Security 8 RUS
    ESET NOD32 Smart Security 8 - новая версия комплексного антивируса с облачными технологиями и многоуровневой защитой. Включает в себя антивирус NOD32, HIPS, фаервол, защиту от фишинга и уязвимостей, антиспам и родительский контроль.
    ESET Endpoit Security для Android
    ESET Endpoint Security для Android обеспечивает высокий уровень антивирусной защиты мобильных устройств под управлением ОС Android. Решение сочетает в себе широкий набор функций и возможностей для безопасности конфиденциальной информации, хранящейся на смартфонах или планшетах.
     
     
      Рекомендуем
     
     

    Загрузка...
     
     
      Реклама