.reg файлик, изменение параметров реестра

,

изменение параметров реестра

Дата обновления: 13.01.2012 - 12:51, перейти к новому сообщению
icon14
#1
Taras



Опытный юзверь
**

Группа: Пользователи
Сообщений: 108
Регистрация: 23.01.2006
Из: Муданьзянь
Пользователь №: 112.916


Респектов: 0
----------


Предупреждений: 0


...итак, создал я reg файлик с такими параметрами:
Windows Registry Editor Version 5.00

Code

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer12.exe"
"Userinit"="С:\WINDOWS\system32\userinit12.exe"


после его запуска параметр "Shell" изменается в реестре на "Explorer12.exe", а "Userinit" так и остается неизменным, что не так делаю...

А вообще у меня возникла идея, может она уже и реализована, не знаю...
так вот, из-за расспространенных случаев заражения машин СМС вымогателями, я решил попробовать сделать Флешку с автораном, которая запускает на выполнение bat'ник и reg файлик, который меняет значения реестра (именно те, которые чаще всего подвергаются изменению по причине заражения) на дефолтовые... может будут у кого идеи по этому поводу и вообще реализуемо ли это?
User is offline
Go topGo end
 

Ответов(1 - 8)
Отправлено: 12.01.2012 - 13:11
#2
middleman



профи!
[SoftoRooMTeaM] Group Icon

Группа: Модераторы
Сообщений: 3.366
Регистрация: 15.03.2005
Из: Украина, Харьков
Пользователь №: 8.829


Респектов: 743
-----XXXX-




Вродебы с рег файликом всё в порядке. разве что значение юзеринит на той системе где сейчас сижу почему-то заканчивается на запятую, но меняться оно должно в любом случае. В связи с этим приходят в голову два варианта: либо для изменения этого параметра не хватает прав и нужно запускать всё это под администратором либо какая-то программа на компе (антивирус, антималварь, не исключено что даже сам юзеринит) защищает этот путь запуска и обнаруживая подмену сразу меняет его обратно на оригинальный.

Чтобы понять что происходит нужно поставить программку-монитор например Procmon, потом задать в ней фильтр на этот параметр и посмотреть кто и с каким результатом обращается к этому ключу во время запуска рег-файлика.
User is offline
Go topGo end
Отправлено: 12.01.2012 - 13:43
#3
Taras



Опытный юзверь
**

Группа: Пользователи
Сообщений: 108
Регистрация: 23.01.2006
Из: Муданьзянь
Пользователь №: 112.916


Респектов: 0
----------


Предупреждений: 0


Дело в том, что если я вместо
"С:\WINDOWS\system32\userinit12.exe"
пишу к примеру просто "userinit12.exe" без пути, то всё меняется нормально
"Userinit"="userinit12.exe"
User is offline
Go topGo end
Отправлено: 12.01.2012 - 13:53
#4
middleman



профи!
[SoftoRooMTeaM] Group Icon

Группа: Модераторы
Сообщений: 3.366
Регистрация: 15.03.2005
Из: Украина, Харьков
Пользователь №: 8.829


Респектов: 743
-----XXXX-




Блин. Все оказывается просто до гениальности. Обратные слэши надо экранировать smile.gif

"Userinit"="C:\\Windows\\system32\\userinit12.exe"
User is offline
Go topGo end
Отправлено: 12.01.2012 - 14:06
#5
Taras



Опытный юзверь
**

Группа: Пользователи
Сообщений: 108
Регистрация: 23.01.2006
Из: Муданьзянь
Пользователь №: 112.916


Респектов: 0
----------


Предупреждений: 0


Спасибо, с этим разобрались...
И всё же, если у кого-то есть идеи по созданию такой флешки, буду только рад )
User is offline
Go topGo end
Отправлено: 12.01.2012 - 17:53
#6
middleman



профи!
[SoftoRooMTeaM] Group Icon

Группа: Модераторы
Сообщений: 3.366
Регистрация: 15.03.2005
Из: Украина, Харьков
Пользователь №: 8.829


Респектов: 743
-----XXXX-




Проблема не поменять значения реестра на дефолтные, а вычистить зловреда, который при первой же возможности, т.е. в течение нескольких милисекунд после такого лечения поменяет их обратно.
Все это вместе с восстановлением реестра уже давно написано, реализовано и называется AVZ. запускать можно в том числе прописав в авторане флешки (толко непонятно зачем).
Гораздо больше пользы будет от флешки с WinPE, где можно будет запустить антивирус. Если стоит проблема вылечить комп - это лучший вариант, если стоит задача просто чем-то пострадать - вперед. описание командного интерпретатора винды валяется на каждом втором сайте (этот не исключение)
Создать файлик .cmd и там прописать все что нужно, потом прописать его в autorun.inf
User is offline
Go topGo end
Отправлено: 12.01.2012 - 19:11
#7
TAPZAH



Специалист
****

Группа: Пользователи
Сообщений: 469
Регистрация: 22.10.2007
Из: Владимир
Пользователь №: 565.349


Респектов: 53
-----X----


Предупреждений:


Лекарь от блокираторов уже придуман и называется AntiWinLocker. Сайт называется аналогично. Качаем образ диска, записываем на болванку/флешку и лечим любой компьютер. Делается все в автоматическом режиме, либо в ручном. Показываются зараженные ветки реестра, заблокированные процессы и, собственно, пути к вирусным файлам
User is offline
Go topGo end
Отправлено: 13.01.2012 - 8:40
#8
Taras



Опытный юзверь
**

Группа: Пользователи
Сообщений: 108
Регистрация: 23.01.2006
Из: Муданьзянь
Пользователь №: 112.916


Респектов: 0
----------


Предупреждений: 0


TAPZAH, тема не об этом, тем более он платный!
middleman, поробую поэксперементировать, может что получится, а про AVZ знаю, моного раз выручал.
User is offline
Go topGo end
Отправлено: 13.01.2012 - 12:51
#9
egor007



Специалист
****

Группа: Пользователи
Сообщений: 432
Регистрация: 4.07.2005
Из: Moscow
Пользователь №: 27.280


Респектов: 156
-----X----


Предупреждений:


Образ диска AntiWinLocker бесплатный. Платная сама программа, которая устанавливается как антивирус на компьютер. Не вижу смысла в данной теме, если есть отличный образ диска, загрузился с диска и проблем нет. Хотя автору темы виднее =)
User is offline
Go topGo end

Topic Options
Сейчас: 20.08.2017 - 11:06
Мобильная версия | Lite версия