Добрый день!

От некоего софта по "безопасности" остались записи в реестре, которые не получается удалить ни под админом, ни под SYSTEM (psexec64 -i -s regedit), ни под TrustedInstaller (regedit через tshell).

Записи находятся в разделе
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Пользовался статьями Как получить доступ к разделу реестра или папке и вернуть все на свои места (https://www.outsidethebox.ms/10539/) и Как выполнять скрипты с правами TrustedInstaller без сторонних утилит (https://www.outsidethebox.ms/21899/).

Под админом, TrustedInstaller и SYSTEM пишет одно и то же:

Ошибка при удалении параметров
Не удается удалить все выделенные параметры
ОК

Что ещё может мешать удалению записей?

Так а владелец-то ветки кто?

Забыл написать, прошу прощения.

У верхней ветки
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<name> - группа локальных администраторов.

У вложенной ветки
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<name>\Security - SYSTEM.

В разрешениях у обеих веток у администраторов разрешён полный доступ.

А те же методы из среды восстановления? https://www.outsidethebox.ms/14711/

DJ Mogarych, Я бы начал с того, чтобы просто везде проставил владельцем именно текущего админа и потом уже пытаться удалять ветку, начиная с самой нижней, чтобы понять на каком этапе всё спотыкается.

А те же методы из среды восстановления? »
Я так понимаю, это безопасный режим? Я попробовал, утилиты не работают.

PsExec:
PsExec64.exe -accepteula -i -s regedit

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com

Connecting to local system...

C:\scripts>

И на этом всё, ничего не запускается.

Advanced Run при попытке запуска %windir%\regedit.exe выдаёт:
Error 1084: Эта служба не запускается в безопасном режиме (Safe Mode)

tshell просто запуститься не может:
STAGE 1 :: Getting token of Winlogon process
Running in session: 1
Host PID: 704
New process created successfully: 3496

STAGE 2 :: Getting token of TrustedInstaller service process
Starting Trusted Installer service...
Running in session: 1
Host PID: 1692
New process created successfully: 3168
_

Внизу мигает курсор, приглашение командной строки так и не выдаёт.

просто везде проставил владельцем именно текущего админа »
Система не даёт это сделать:

Не удалось установить нового владельца на Security.
Отказано в доступе.

Я так понимаю, это безопасный режим? »
Нет, это который при загрузке в режим восстановления или с установочной флэшки.

Не удалось установить нового владельца на Security.
Отказано в доступе. »
Может драйвер какой остался и в памяти висит?

P.S. Как вариант, залей куда-нибудь C:\Windows\System32\config\SYSTEM и дай ссылку, посмотрим что там с правами, любопытно прям стало...

Можно загрузиться с Live флешки, подгрузить нужный куст и удалить нужные ключи. В данном случае надо загрузить файл C:\Windows\System32\config\SYSTEM,

Охо-хо... Там дело осложняется ещё тем, что диски зашифрованы битлокером, я замонался ключ восстановления вводить при перезагрузках в safe mode.

Как с этим делом быть при всяких лайв-сиди, непонятно. Расшифровывать сначала?

Драйвер - может быть, но как выяснить, что это за драйвер и где он?

DJ Mogarych, Обычно LiveCD на базе Win10\11 поддерживают БитЛокер, т.е. вводим ключ и всё, работаем как обычно. Но проще в режим восстановления тогда загрузиться, суть-то от этого не поменяется - главное, чтобы не из-под текущей системы реестр редактировать.

Что касается драйвера, то Autoruns вполне помогает вычислить сторонние драйвера при запуске ОС.

Я так понимаю, это безопасный режим? »
Нет, это командная строка среды восстановления. По ссылке есть карта. Далее разумеется надо загрузить куст реестра.

В общем, скопировал файлы и завтра буду систему переустанавливать, сегодня весь день угробил на это и больше не хочу.
Всем спасибо.

После 17 лет на форуме надо быть стойким!

DJ Mogarych, Странное решение. Если эта служба так мешается, то что мешает ее просто остановить и выключить? А ветка в реестре едва ли кому-то помешает.

Avatar-Lion, мешает сама служба, которая не даёт с собой ничего сделать - нет прав.
Из-за того, что службы эти не могут запуститься (файлов нет), вход под пользователем длится несколько минут.

После 17 лет на форуме надо быть стойким! »
Стойкость нужна не только для форума, к сожалению.
Обошёлся малой кровью - переустановил систему из раздела восстановления с сохранением профиля.