Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 10 (http://forum.oszone.net/forumdisplay.php?f=118)
-   -   Неудаляемые ключи и разделы реестра (http://forum.oszone.net/showthread.php?t=354957)

DJ Mogarych 21-02-2024 11:21 3024457
Неудаляемые ключи и разделы реестра
 
Добрый день!

От некоего софта по "безопасности" остались записи в реестре, которые не получается удалить ни под админом, ни под SYSTEM (psexec64 -i -s regedit), ни под TrustedInstaller (regedit через tshell).

Записи находятся в разделе
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Пользовался статьями Как получить доступ к разделу реестра или папке и вернуть все на свои места и Как выполнять скрипты с правами TrustedInstaller без сторонних утилит.

Под админом, TrustedInstaller и SYSTEM пишет одно и то же:

Цитата:
Ошибка при удалении параметров
Не удается удалить все выделенные параметры
ОК
Что ещё может мешать удалению записей?

Avatar-Lion 21-02-2024 11:47 3024458
Так а владелец-то ветки кто?

DJ Mogarych 21-02-2024 11:54 3024461
Забыл написать, прошу прощения.

У верхней ветки
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<name> - группа локальных администраторов.

У вложенной ветки
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<name>\Security - SYSTEM.

В разрешениях у обеих веток у администраторов разрешён полный доступ.

Vadikan 21-02-2024 12:13 3024462
А те же методы из среды восстановления? https://www.outsidethebox.ms/14711/

Avatar-Lion 21-02-2024 12:32 3024465
DJ Mogarych, Я бы начал с того, чтобы просто везде проставил владельцем именно текущего админа и потом уже пытаться удалять ветку, начиная с самой нижней, чтобы понять на каком этапе всё спотыкается.

DJ Mogarych 21-02-2024 13:48 3024466
Цитата:
Цитата Vadikan
А те же методы из среды восстановления? »
Я так понимаю, это безопасный режим? Я попробовал, утилиты не работают.

PsExec:
Код:
PsExec64.exe -accepteula -i -s regedit

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com

Connecting to local system...

C:\scripts>
И на этом всё, ничего не запускается.

Advanced Run при попытке запуска %windir%\regedit.exe выдаёт:
Код:
Error 1084: Эта служба не запускается в безопасном режиме (Safe Mode)
tshell просто запуститься не может:
Код:
STAGE 1 :: Getting token of Winlogon process
Running in session: 1
Host PID: 704
New process created successfully: 3496

STAGE 2 :: Getting token of TrustedInstaller service process
Starting Trusted Installer service...
Running in session: 1
Host PID: 1692
New process created successfully: 3168
_
Внизу мигает курсор, приглашение командной строки так и не выдаёт.

Цитата:
Цитата Avatar-Lion
просто везде проставил владельцем именно текущего админа »
Система не даёт это сделать:
Цитата:
Не удалось установить нового владельца на Security.
Отказано в доступе.

Avatar-Lion 21-02-2024 13:55 3024467
Цитата:
Цитата DJ Mogarych
Я так понимаю, это безопасный режим? »
Нет, это который при загрузке в режим восстановления или с установочной флэшки.

Цитата:
Цитата DJ Mogarych
Не удалось установить нового владельца на Security.
Отказано в доступе. »
Может драйвер какой остался и в памяти висит?

P.S. Как вариант, залей куда-нибудь C:\Windows\System32\config\SYSTEM и дай ссылку, посмотрим что там с правами, любопытно прям стало...

Grabber2006 21-02-2024 14:22 3024468
Можно загрузиться с Live флешки, подгрузить нужный куст и удалить нужные ключи. В данном случае надо загрузить файл C:\Windows\System32\config\SYSTEM,

DJ Mogarych 21-02-2024 14:57 3024469
Охо-хо... Там дело осложняется ещё тем, что диски зашифрованы битлокером, я замонался ключ восстановления вводить при перезагрузках в safe mode.

Как с этим делом быть при всяких лайв-сиди, непонятно. Расшифровывать сначала?

Драйвер - может быть, но как выяснить, что это за драйвер и где он?

Avatar-Lion 21-02-2024 15:04 3024471
DJ Mogarych, Обычно LiveCD на базе Win10\11 поддерживают БитЛокер, т.е. вводим ключ и всё, работаем как обычно. Но проще в режим восстановления тогда загрузиться, суть-то от этого не поменяется - главное, чтобы не из-под текущей системы реестр редактировать.

Что касается драйвера, то Autoruns вполне помогает вычислить сторонние драйвера при запуске ОС.

Vadikan 21-02-2024 16:24 3024476
Цитата:
Цитата DJ Mogarych
Я так понимаю, это безопасный режим? »
Нет, это командная строка среды восстановления. По ссылке есть карта. Далее разумеется надо загрузить куст реестра.

DJ Mogarych 21-02-2024 20:20 3024486
В общем, скопировал файлы и завтра буду систему переустанавливать, сегодня весь день угробил на это и больше не хочу.
Всем спасибо.

Vadikan 22-02-2024 00:48 3024499
После 17 лет на форуме надо быть стойким!

Avatar-Lion 22-02-2024 10:34 3024503
DJ Mogarych, Странное решение. Если эта служба так мешается, то что мешает ее просто остановить и выключить? А ветка в реестре едва ли кому-то помешает.

DJ Mogarych 22-02-2024 11:45 3024506
Avatar-Lion, мешает сама служба, которая не даёт с собой ничего сделать - нет прав.
Из-за того, что службы эти не могут запуститься (файлов нет), вход под пользователем длится несколько минут.

Цитата:
Цитата Vadikan
После 17 лет на форуме надо быть стойким! »
Стойкость нужна не только для форума, к сожалению.
Обошёлся малой кровью - переустановил систему из раздела восстановления с сохранением профиля.


Время: 23:59.

Время: 23:59.
© OSzone.net 2001-