Удаление ключей реестра

583

Редактор реестра (regedit)

Windows 7 : в меню Пуск >>> введите regedit в поле поиска
Windows XP : меню Пуск >>> Выполнить >>> введите regedit

Расположение файла на диске: C: Windowsregedit.exe

После открытия редактора нажмите на ключ и выберите «Добавить» или «Удалить»:

Консольный инструмент REG

полный синтаксис команды можно увидеть, набрав REG /? в командной строке , Инструмент позволяет удалять, добавлять, экспортировать, импортировать … ключи реестра.

Мы используем параметр «удалить» для удаления.

  REG DELETE KeyName / v ValueName / f 

Примеры:
удаление значения: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok / v flags

ключ удаления: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok

Выполнение команды требует подтверждения путем ввода буквы «т». Добавление параметра / f автоматически удаляет ключ без запроса.

Файлы .Reg

Файлы реестра всегда начинаются с заголовка:

  Редактор реестра Windows, версия 5.00 

(для более старых систем заголовок REGEDIT4)

Затем оставьте пустую строку с полным путем к ключу в квадратных скобках.

пример добавления ключа

  Редактор реестра Windows, версия 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"SuperHidden" = DWORD: 00000001 

пример удаления ключа
Чтобы удалить ключ, добавьте знак минуса «-» в начале имени ключа.

  Редактор реестра Windows, версия 5.00
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2] 

пример удаления значения
чтобы удалить значение, установите знак минус “-” в качестве значения

  Редактор реестра Windows, версия 5.00
[HKEY_CURRENT_USERSoftwareGame MakerScores705627]
"Rank1" = - 

Мы создаем файлы .reg в Блокноте. В меню «Блокнот» >>> Файл >>> Сохранить как >>> Установите расширение «Все файлы» >>> Сохраните файл с расширением .reg, например, fix.reg Запустите файл и подтвердите операцию.
pliki-reg

Скрытые ключи NULL

используются для скрытия содержимого ключей реестра, используемых руткитами.

Работа с NULL-клавишами на примере инструмента Reghide

После запуска Reghide.exe (в Windows 7 мы работаем в режиме запуска от имени администратора), нажмите кнопку ОК. Мы оставляем следующее окно открытым, чтобы инструмент всегда был активен (после закрытия нулевая клавиша автоматически удаляется).

Будет создан нулевой ключ. Приложения на основе Native API увидят весь созданный ключ:
HKEY_LOCAL_MACHINESOFTWARESEs InternalsCount не трогай меня! 0

Редактор реестра, основанный на Win32 API, увидит только:
HKEY_LOCAL_MACHINESOFTWARESEs InternalsCount не трогай меня! 0

Ключ не может быть открыт, потому что имя не читается правильно – редактор реестра попытается открыть «Не могу коснуться меня!» Без NULL в конце (ноль «0» рассматривается как маркер конца имени, не учитывается). Распространенные сообщения: «Ошибка препятствует открытию ключа» / «Ошибка удаления ключа»

Удаление ключей реестра

Ключ может быть правильно обнаружен приложениями для поиска руткитов.
GMER обнаружит скрытое значение, которое называется Hidden Value:
regnull

Обнаружение и удаление нулевых ключей

Для просмотра / создания / удаления таких ключей нам нужно использовать инструменты на основе Native API. Примером является NtRegEdit – редактор собственного реестра , который будет видеть все содержимое ключа:
NtRegEdit

Ключ может быть открыт и удален – приложение открывает «Не могу коснуться меня!» Вместе с NULL в конце (ноль «0» рассматривается как часть имени).

Другое приложение для удаления ключей работает из командной строки RegDelNull .

После загрузки скопируйте файл в каталог C: Windows. Затем введите в командной строке следующую команду:

  regdelnull [-s] 

например, regdelnull hklm -s (параметр -s сканирует все подключи

Если обнаружен ключ NULL, приложение спросит, нужно ли его удалить. Введите Y, чтобы удалить, или N, чтобы оставить ключ:

RegDelNull

Вы по-прежнему можете использовать приложение SWReg , которое является альтернативой системному редактору reg.exe, но с параметрами для просмотра, удаления и добавления ключей NULL. Поддержка командной строки.

Например, удалив ключ с помощью команды:

swreg null delete “HKEY_LOCAL_MACHINESOFTWARES Внутренние компоненты системы. Не трогай меня!”

Ключи без разрешений

Распространенные сообщения: «Доступ запрещен» / «Ошибка удаления ключа»

Удаление ключей реестра

Удаление ключей реестра

изменить разрешения для ключей

Запускаем редактор реестра (в Windows 7 требуется запуск от имени администратора). Для Windows 7 вы должны сначала взять на себя ответственность за ключ, став его владельцем.
Перейдите к ключу, который вы хотите удалить, и щелкните по нему PPM, выбрав Permissions. Откроется окно с разрешениями для отдельных учетных записей:

Удаление ключей реестра

В Windows 7 нажмите кнопку «Дополнительно». Переходим на вкладку Владелец, выбираем нашу учетную запись и опцию Заменить владельца для подконтейнеров и объектов. Мы принимаем кнопку Применить и ОК.

Мы вернемся к главному окну с разрешениями для отдельных учетных записей. Если нашей учетной записи нет в списке, нажмите кнопку Добавить >>> и введите имя нашей учетной записи >>> OK. Теперь выберите нашу учетную запись и выберите Полный контроль внизу >>> OK.

Ключ теперь должен быть удален. Win XP: если все еще есть ошибка удаления ключа: Разрешения >>> Дополнительно >>> в первой вкладке внизу замените Заменить записи разрешений для всех дочерних объектов

запуск редактора реестра с разрешениями учетной записи SYSTEM
Вы можете запустить редактор реестра Windows с правами учетной записи SYSTEM: изменить права пользователя . Затем ключи реестра могут быть удалены без предоставления разрешений.

Учетная запись SYSTEM является отдельной учетной записью в Windows и имеет разрешения, превышающие права администратора. В Win XP это высшая иерархическая учетная запись. В Win 7 TrustedInstaller является ключевой учетной записью, но также может быть полезен запуск с учетной записи SYSTEM. Признаком того, что редактор реестра работает с разрешениями учетной записи SYSTEM, является видимость подразделов ключа SAM / SECURITY, которые обычно невидимы.
Следующим способом является использование LiveCD PC Regedit .

Полезные приложения:

RegASSASSIN

Лицензия: бесплатная
Платформа: Windows

Приложение позволяет удалять ключи, которые возвращают Отказано в доступе / Ошибка при удалении ключа в результате отсутствия авторизации. Программа сбрасывает разрешения и очищает ключ. Просто запустите программу, вставьте ключ в адресную строку, выберите Сбросить разрешения и Удалить раздел реестра и все подразделы, нажмите Удалить.
В Windows 7: запуск от имени администратора

Загрузить: последняя версия , RegASSASSIN_1.03.zip

Снимок экрана:
Удаление ключей реестра

Приложение MiniRegTool

инструмент позволяет:
– ключевой экспорт
– отображение текущих прав доступа
– сбросить и предоставить ключевые разрешения
– поиск в реестре заданного значения, заблокированных ключей и нулевых ключей
– удаление ключей, в том числе заблокированных, из-за отсутствия разрешений

Скачать: 32-битная версия, 64-битная версия
резервное копирование – MiniRegTool_05.01.2012.zip , MiniRegTool64_05.01.2012.zip

Снимок экрана:
miniregtool