Показать полную графическую версию : Неудаляемые ключи и разделы реестра
DJ Mogarych
21-02-2024, 11:21
Добрый день!
От некоего софта по "безопасности" остались записи в реестре, которые не получается удалить ни под админом, ни под SYSTEM (psexec64 -i -s regedit), ни под TrustedInstaller (regedit через tshell).
Записи находятся в разделе
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Пользовался статьями Как получить доступ к разделу реестра или папке и вернуть все на свои места (https://www.outsidethebox.ms/10539/) и Как выполнять скрипты с правами TrustedInstaller без сторонних утилит (https://www.outsidethebox.ms/21899/).
Под админом, TrustedInstaller и SYSTEM пишет одно и то же:
Ошибка при удалении параметров
Не удается удалить все выделенные параметры
ОК
Что ещё может мешать удалению записей?
Avatar-Lion
21-02-2024, 11:47
Так а владелец-то ветки кто?
DJ Mogarych
21-02-2024, 11:54
Забыл написать, прошу прощения.
У верхней ветки
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<name> - группа локальных администраторов.
У вложенной ветки
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<name>\Security - SYSTEM.
В разрешениях у обеих веток у администраторов разрешён полный доступ.
А те же методы из среды восстановления? https://www.outsidethebox.ms/14711/
Avatar-Lion
21-02-2024, 12:32
DJ Mogarych, Я бы начал с того, чтобы просто везде проставил владельцем именно текущего админа и потом уже пытаться удалять ветку, начиная с самой нижней, чтобы понять на каком этапе всё спотыкается.
DJ Mogarych
21-02-2024, 13:48
А те же методы из среды восстановления? »
Я так понимаю, это безопасный режим? Я попробовал, утилиты не работают.
PsExec:
PsExec64.exe -accepteula -i -s regedit
PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
Connecting to local system...
C:\scripts>
И на этом всё, ничего не запускается.
Advanced Run при попытке запуска %windir%\regedit.exe выдаёт:
Error 1084: Эта служба не запускается в безопасном режиме (Safe Mode)
tshell просто запуститься не может:
STAGE 1 :: Getting token of Winlogon process
Running in session: 1
Host PID: 704
New process created successfully: 3496
STAGE 2 :: Getting token of TrustedInstaller service process
Starting Trusted Installer service...
Running in session: 1
Host PID: 1692
New process created successfully: 3168
_
Внизу мигает курсор, приглашение командной строки так и не выдаёт.
просто везде проставил владельцем именно текущего админа »
Система не даёт это сделать:
Не удалось установить нового владельца на Security.
Отказано в доступе.
Avatar-Lion
21-02-2024, 13:55
Я так понимаю, это безопасный режим? »
Нет, это который при загрузке в режим восстановления или с установочной флэшки.
Не удалось установить нового владельца на Security.
Отказано в доступе. »
Может драйвер какой остался и в памяти висит?
P.S. Как вариант, залей куда-нибудь C:\Windows\System32\config\SYSTEM и дай ссылку, посмотрим что там с правами, любопытно прям стало...
Grabber2006
21-02-2024, 14:22
Можно загрузиться с Live флешки, подгрузить нужный куст и удалить нужные ключи. В данном случае надо загрузить файл C:\Windows\System32\config\SYSTEM,
DJ Mogarych
21-02-2024, 14:57
Охо-хо... Там дело осложняется ещё тем, что диски зашифрованы битлокером, я замонался ключ восстановления вводить при перезагрузках в safe mode.
Как с этим делом быть при всяких лайв-сиди, непонятно. Расшифровывать сначала?
Драйвер - может быть, но как выяснить, что это за драйвер и где он?
Avatar-Lion
21-02-2024, 15:04
DJ Mogarych, Обычно LiveCD на базе Win10\11 поддерживают БитЛокер, т.е. вводим ключ и всё, работаем как обычно. Но проще в режим восстановления тогда загрузиться, суть-то от этого не поменяется - главное, чтобы не из-под текущей системы реестр редактировать.
Что касается драйвера, то Autoruns вполне помогает вычислить сторонние драйвера при запуске ОС.
Я так понимаю, это безопасный режим? »
Нет, это командная строка среды восстановления. По ссылке есть карта. Далее разумеется надо загрузить куст реестра.
DJ Mogarych
21-02-2024, 20:20
В общем, скопировал файлы и завтра буду систему переустанавливать, сегодня весь день угробил на это и больше не хочу.
Всем спасибо.
После 17 лет на форуме надо быть стойким!
Avatar-Lion
22-02-2024, 10:34
DJ Mogarych, Странное решение. Если эта служба так мешается, то что мешает ее просто остановить и выключить? А ветка в реестре едва ли кому-то помешает.
DJ Mogarych
22-02-2024, 11:45
Avatar-Lion, мешает сама служба, которая не даёт с собой ничего сделать - нет прав.
Из-за того, что службы эти не могут запуститься (файлов нет), вход под пользователем длится несколько минут.
После 17 лет на форуме надо быть стойким! »
Стойкость нужна не только для форума, к сожалению.
Обошёлся малой кровью - переустановил систему из раздела восстановления с сохранением профиля.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.