Как вирус может изменить реестр

Обновлено: 18.04.2024

Файлы с расширением REG, нередко встречающиеся в каталогах с программами, скачанными с торрент-трекеров и варезных сайтов, начинающих пользователей смущают не меньше, чем кейгены, кряки и прочие инструменты, использующиеся для нелегальной регистрации программного обеспечения.

реестр,REG-файл

Как правило, поводом для беспокойства чаще всего служит окошко с предупреждением, появляющееся при запуске REG-файла. Неискушенные в делах компьютерных пользователи часто воспринимают это как прямую угрозу и отказываются от дальнейших действий.

Системный реестр имеет древовидную структуру и состоит из пяти основных разделов, содержащих в свою очередь один или несколько подразделов, также называемых ветками. Каждая такая ветка может хранить некий набор параметров.

Наконец ключи имеют значения – именно они то и определяют настройки приложений и самой системы. Реестр – это динамическая структура, способная расширяться. Когда вы устанавливаете какую-нибудь программу, в соответствующем разделе реестра создается отдельная ветка со своими ключами и их значениями. Структура REG-файлов очень похожа на структуру самого реестра.

реестр,REG-файл

По сути, REG-файл это обычный текстовый документ с расширением REG. Как правило, все REG-файлы начинаются с заголовка, в котором указана версия редактора Regedit. Далее следует полный путь к подразделу (заключается в квадратные скобки), после чего в кавычках указываются параметр и его значение. При запуске REG-файла производится или удаление указанных значений в автоматическом режиме.

Создавая, удаляя или изменяя значения параметров можно влиять на работу системы и программ. Кстати, именно на правке реестра основана работа большинства так называемых твикеров. Однако далеко не всегда такое влияние является положительным.

Повреждение важных разделов реестра может привести к подчас серьезным нарушениям в работе Windows. Приведем простейший пример. Если в разделе HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run создать некий параметр, допустим с именем MyReboot и присвоить ему значение shutdown /r /t 0, то это может привести к весьма неприятным последствиям.

Как известно, подраздел Run отвечает за автостарт программ, а команда shutdown с ключом r вызывает перезагрузку компьютера. Из этого следует, что запуск и слияние REG-файла с указанными настройками приведет к тому, что система просто не сможет нормально загрузиться, так как команда shutdown в данном случае будет вызывать постоянный reboot.

реестр,REG-файл

К счастью это очень легко лечится, достаточно при следующей перезагрузке выбрать безопасный режим и удалить зловредную строчку. Да, файлы реестра могут быть потенциально опасными, но это еще не означает, что ими нельзя пользоваться. Вред, который они способны нанести не идет ни в какое сравнение с тем, что могут сделать исполняемые файлы вирусов.

В отличие от вирусов файлы реестра не могут удалить или модифицировать важные системные объекты, не могут украсть ваши конфиденциальные данные, к тому же от нежелательных изменений реестра, вносимых REG-файлами довольно легко защититься.

Регулярное создание системных точек восстановления является одним из самых надежным способом защиты от потенциальных проблем, связанных с некорректной работой реестра. Также не будет излишним создание резервных копий разделов реестра вручную или с помощью специальных программ.

На этом пожалуй все всем пока и до новых познавательных встреч с вами дорогие друзья.

Приветствую всех читателей моего блога. Частенько в своих статьях я предлагаю способы решения проблем, которые предполагают внесение изменений в системный реестр. Но иногда возникают ситуации, когда вирус заблокировал редактор реестра, и редактирование становится невозможным. Сейчас я расскажу, как бороться с такой проблемой.

Суть проблемы

Окно запрета доступа на редактирование реестра

Методы решения

Если мы имеем дело с вирусами или предполагаем это, следует начать с полного сканирования Windows с помощью установленной антивирусной программы или утилит, наподобие DrWeb CureIt. Но даже после устранения причины, проблема не исчезнет. Реестр придется разблокировать вручную. Вот как это делается.

Используем редактор групповых политик

Данный инструмент является очень важным для тонкой настройки системы. Подробно о нём я рассказывал в одной из предыдущих публикаций.

груповые политики

  • Справа появится перечень опций. Нас интересует запрет доступа на редактирование реестра:

Окно редактора gpedit

Окно настройки запрета доступа к regedit

Используем средства Symantec

Используем командную строку

Вот еще один способ для любителей Power Shell и CMD. Запуск этих инструментов нужно производить с админ правами (обязательно!). Если кто не знает, как это сделать, то вот краткая инструкция.

Контекстное меню в Windows 10 (Win + X)

Копируем эту команду:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /t Reg_dword /v DisableRegistryTools /f /d 0

Бывает такое, что утилита CMD тоже не открывается (заблокирована вирусом). Тогда можно пойти другим путем.

Уверен, всё у Вас получилось. По крайней мере, мне неизвестны случаи, когда данная инструкция не помогала возобновить доступ к реестру. Может Ваш случай исключительный? Расскажите о возникших проблемах в комментариях. Я постараюсь помочь.

Доброго времени суток, друзья. Я вот много пишу о борьбе с разными вредоносными программами, которые блокируют запуск системы, замедляют работу компьютера, отображают рекламу в браузерах. Но удаление зараженных файлов и процессов – это лишь вершина айсберга. Необходимо выполнять более глубокое сканирование. Хотите узнать, как проверить реестр на вирусы? Данная статья полностью посвящена этой теме.

Что такое реестр?

Это своего рода база данных, которая содержит массив атрибутов и значений, отвечающих за конфигурацию Windows и установленных приложений. Также, там храниться информация об учётных записях пользователей.

Следы фотошопа в реестре

А после использования утилиты для поиска рекламных вирусов Anti-Malware (от Malwarebytes) было найдено множество ключей, которые пришлось почистить вручную:

Следы Anti Malware в реестре

А Вы не задумывались, почему компания Microsoft до сих пор не создала собственного инструмента для сканирования реестра на ошибки?

Вообще-то, реестр не может содержать трояны и прочие вредоносные скрипты, но в нём могут храниться измененные записи, влияющие на работоспособность системы. Вирусы могут влиять на автозагрузку, выполнение процессов и т.д. С этим нужно бороться, согласны?

С чего начать?

Полное сканирование системы

Для этой цели подойдет разный защитный софт. Наилучшим образом себя проявляет KIS (Internet Security от Kaspersky Lab). Это комплексный инструмент, который я не хочу сейчас расхваливать. Его преимущества всем и так давно известны.

Если нет желания платить деньги за качественную проверку, то в качестве альтернативы советую скачать свеженькую версию Cure It! от Доктор Веб.

После запуска обязательно выберите все объекты сканирования:

Сканирование флешки с помощью CureIt

Конечно же, данный способ не даёт 100%-ой гарантии успеха, но большинство угроз будут удалены. Останется только обезвредить их и перезапустить компьютер.

Автоматический поиск в реестре

Если после вышеупомянутых шагов (сканирования с помощью антивируса nod32 или любого другого подобного софта) поведение ПК всё еще остается загадочным, то следует выполнить очистку конфигурационной базы данных.

Уже более пяти лет я использую именно это ПО из-за его простоты и удобства. Иногда тестирую другие продукты аналогичного типа, но в итоге возвращаюсь к данному оптимизатору.

Вкладка Реестр программы CCleaner

  • Отобразится список ошибок. У меня он оказался небольшим, так как проверку выполняю почти ежедневно. У Вас может быть несколько сотен пунктов, если ни разу не выполняли чистку.

Окно создания копии реестра в СиКлинер

Окно исправления ошибок реестра

Вот и всё. Реестр почищен. Ошибки устранены.

Ручная проверка

Ответственность за дальнейшие действия лежит исключительно на Вас! Я подскажу универсальный способ, но каждая ситуация индивидуальна и требует особого подхода и повышенной внимательности!

Если в чем-то сомневаетесь, обязательно задавайте вопросы мне или ищите ответы через поисковые системы.

Всё указывало на то, что в реестре (разделе автозагрузки) остались следы этого скрипта. Откровенно говоря, CCleaner не помог (увы, он тоже не всесилен). Что я сделал?

Окно редактора реестра с ключами вируса hsgpxjt

Возможно, Вам придется потратить больше времени, если вирус оставил множество следов. Но так будет надежнее.

На этом извольте откланяться. Все вопросы и пожелания можете писать в комментариях. Я не обещаю поддержку 24/7, но обязательно отвечу всем оперативно и, по существу.

screenshot_1

Причины появления этой ошибки

Рассматриваемая ошибка возникает при:

  • открытии фотографий (в основном, в формате JPEG);
  • запуске видеороликов;
  • запуске файла exe;
  • работе с офисными приложениями.

Данная ошибка возникает преимущественно после чистки реестра или удаления ранее установленных приложений. Вызвать подобные сбои способны вредоносные программы.

На официальных ресурсах Microsoft советуют в таких случаях переустановить операционную систему. Однако на практике восстановить работу Windows 10 можно, не прибегая к кардинальным мерам.

screenshot_2

  • Web;
  • Avast;
  • 360 Total Security и другие.

Перед началом сканирования рекомендуется обновить базу данных антивируса. Если программа не нашла подозрительных приложений либо после удаления последних ошибка продолжает появляться, следует воспользоваться приведенными далее советами.

screenshot_3

screenshot_4

В появившемся справа списке нужно найти и выбрать:

screenshot_5

screenshot_6

Удаление записи реестра старой версии приложения

Перед началом данной процедуры рекомендуется создать точку восстановления либо провести резервное копирование системы. Эти действия защитят Windows от ошибок при манипуляциях с реестром. В ином случае придется переустанавливать систему.

Для устранения рассматриваемой ошибки необходимо запустить реестр, для чего нужно:

screenshot_7

  • Перейти в раздел HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVers.
  • Принять и запустить ключ Windows.Photos_8wekyb3d8bbwe (если ошибка возникает при открытии фотографий).
  • В открывшемся списке удалить старые ключи реестра (располагаются ниже новых).

screenshot_8

После завершения процедуры следует перезагрузить компьютер.

Удаление и переустановка приложения

Для переустановки проблемного приложения необходимо запустить от имени Администратора PowerShell. Затем в новом окне нужно написать команду Get-AppxPackage *Photos* | Foreach .

screenshot_9

screenshot_10

После выполнения данной команды приложение автоматически переустановится, и файлы начнут открываться.

Запуск средства устранения неполадок приложений Магазина Windows

Windows Store связан с системными процессами. Поэтому неполадки, возникающие в этой программе, нередко оказывают влияние на работоспособность других приложений.

screenshot_11

Запуск сканирования SFC/DISM

Нередко ошибки в работе встроенных приложений возникают из-за поврежденных файлов или библиотек Windows. Чаще подобные неполадки беспокоят после запуска программ-чистильщиков. Устранить такие ошибки можно за счет утилит SFC и DISM. Причем первую рекомендуется запускать раньше второй.

screenshot_12

screenshot_13

Вторую утилиту нужно запускать, если SFC не удалось восстановить поврежденные файлы. При выполнении данной операции рекомендуется подключить компьютер к интернету и активировать автоматическое обновление Windows.

screenshot_14

Читайте также: