[Avatar-Lion]

Так а владелец-то ветки кто?

[DJ Mogarych]

Забыл написать, прошу прощения.

У верхней ветки
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<name> - группа локальных администраторов.

У вложенной ветки
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<name>\Security - SYSTEM.

В разрешениях у обеих веток у администраторов разрешён полный доступ.

[Vadikan]

А те же методы из среды восстановления? https://www.outsidethebox.ms/14711/

[Avatar-Lion]

DJ Mogarych, Я бы начал с того, чтобы просто везде проставил владельцем именно текущего админа и потом уже пытаться удалять ветку, начиная с самой нижней, чтобы понять на каком этапе всё спотыкается.

[DJ Mogarych]

Цитата Vadikan:

А те же методы из среды восстановления? »

Я так понимаю, это безопасный режим? Я попробовал, утилиты не работают.

PsExec:

Код:

PsExec64.exe -accepteula -i -s regedit

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com

Connecting to local system...

C:\scripts>

И на этом всё, ничего не запускается.

Advanced Run при попытке запуска %windir%\regedit.exe выдаёт:

Код:

Error 1084: Эта служба не запускается в безопасном режиме (Safe Mode)

tshell просто запуститься не может:

Код:

STAGE 1 :: Getting token of Winlogon process
Running in session: 1
Host PID: 704
New process created successfully: 3496

STAGE 2 :: Getting token of TrustedInstaller service process
Starting Trusted Installer service...
Running in session: 1
Host PID: 1692
New process created successfully: 3168
_

Внизу мигает курсор, приглашение командной строки так и не выдаёт.

Цитата Avatar-Lion:

просто везде проставил владельцем именно текущего админа »

Система не даёт это сделать:

Цитата:

Не удалось установить нового владельца на Security. Отказано в доступе.

[Avatar-Lion]

Цитата DJ Mogarych:

Я так понимаю, это безопасный режим? »

Нет, это который при загрузке в режим восстановления или с установочной флэшки.

Цитата DJ Mogarych:

Не удалось установить нового владельца на Security. Отказано в доступе. »

Может драйвер какой остался и в памяти висит?

P.S. Как вариант, залей куда-нибудь C:\Windows\System32\config\SYSTEM и дай ссылку, посмотрим что там с правами, любопытно прям стало...

[Grabber2006]

Можно загрузиться с Live флешки, подгрузить нужный куст и удалить нужные ключи. В данном случае надо загрузить файл C:\Windows\System32\config\SYSTEM,

[DJ Mogarych]

Охо-хо... Там дело осложняется ещё тем, что диски зашифрованы битлокером, я замонался ключ восстановления вводить при перезагрузках в safe mode.

Как с этим делом быть при всяких лайв-сиди, непонятно. Расшифровывать сначала?

Драйвер - может быть, но как выяснить, что это за драйвер и где он?

[Avatar-Lion]

DJ Mogarych, Обычно LiveCD на базе Win10\11 поддерживают БитЛокер, т.е. вводим ключ и всё, работаем как обычно. Но проще в режим восстановления тогда загрузиться, суть-то от этого не поменяется - главное, чтобы не из-под текущей системы реестр редактировать.

Что касается драйвера, то Autoruns вполне помогает вычислить сторонние драйвера при запуске ОС.