» Удаление неудаляемых ключей реестра

Поставил одну триальную прогу а она (защищена EXECryptor'ом) записала ключ в реестр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6714759D-C8E5-CDB6-B367-D3B336D189D8} и теперь этот ключ заблокирован, удалить его невозмаожно, изменить - тоже, а счётчик тикает.
Пробовал программой RegASSASIN, которая якобы удаляет подобные ключи, но и она его не берёт.
Как удалить заблокированный ключ или хотя бы изменить права на редактирвоание?

immortal223

Цитата:

Как удалить заблокированный ключ или хотя бы изменить права на редактирвоание?

правой кнопкой мыши на ключе и попробуй выставить необходимые права.

los2



Не знаю как тут можно что-то выставить

Попробуйте прогу Registry Workshop.

Ohotnic

Ничего не помогает. Не удаляется и всё тут.

immortal223
А в безопасном режиме пробовали?

immortal223
А если загрузиться с чего-нибудь типа WinPE и из-под него удалить ключи?

Можно запретить каким-нибудь HIPS`ом доступ этой программе к реестру. Я так многие программы "лечил"

Man_in_White

Цитата:

А если загрузиться с чего-нибудь типа WinPE и из-под него удалить ключи?

А как это сделать? Как открыть реестр, если загрузиться с какого-нибудь live-диска?

возникла одна хрень при чистке системы одного из компов фирмы- заново ставить систему нельзя, бо лицензионка на ней и проверяется регулярно удаленно, что не поменялась ... а проблема в том, что не могу удалить некоторые ключики из реестра (связанные с эмуляторами хаспа для компаса, юзер наставил и наудалял разных его версий, а теперь 9-я версия, которую он очень хочет, работает в деморежиме, поскольку проверяет наличие ключиков эмуляторов в реестре), пробовал выставить разрешения на ветки - не дает, даже в безопасном режиме, эмуляторов давно уже нет в системе, равно как и компасы все (пока) снесены, через WinPE (LiveCD) загрузился, всосал кусты реестра системы - все равно не дает ни разрешения поставить, ни удалить - ошибка 5 (ни ерд коммандер, ни аваст, ни другие проги для редактирования реестра, причем только эти, с другими ветками и ключами проблем нет - хоть все поудаляй), перенес бинарники кустов реестра на другой комп - та же фигня ... как удалить закрытые ветки, кто подскажет?

Цитата:

Как удалить заблокированный ключ или хотя бы изменить права на редактирвоание?

а regedt32 (отдельная оснастка, не regedit) - не срабатывает?

malshin vlad
такая глупая идея удаления гланд через анус появилась:
а если экспортнуть весь улей, содержащий данные ветки, в экспортнутом удалить нужные ветки, подменить файл улья "чистым" и импортнуть в него экспортнутое ранее?

Попробуй скачать последнюю версию RegAssasin`а и воспользуйся им из безопасного режима. У меня он всё удалял нормально, ни разу проблем не было...

Regsnap
пробовал - не помогает ... сообщает, что ключ удалил, а на самом деле - нет ...
bredonosec
отдельная оснастка тож не сработала (даже на другом компе, куда перенес кусты) ... насчет подмены улья "чистым" не допер (хотя экспортом в рег с последующим удалением из него перед импортом пробовал ...
... проблему решил утилкой RegDatXP (правда демкой, но тем не менее она удалила подключи в нужных мне ветках, и видимо сбросила запреты на редактирование веток, потому что потом пустые ветки легко удалились сами из загруженной винды) ...
... проблема была видимо в том (покопался в логах), что ось навернулась как-то достаточно давно и по умолчанию профиль локального админа (с которым ставилась ось) запортился - ось создала новый профиль, потом прошло какое-то время, и старый сбойный профиль был удален кем-то (видимо пришедшим разруливать очередной глюк админом), а все эмуляторы сажались при старом профиле и ключики в реестре потеряли своего владельца ... но тогда непонятно, почему я не мог выставить разрешения на ветки даже перенеся реестр на другой комп или из под ВинПЕ?

malshin vlad
Что то я не совсем понял как ты это сделал... проблема схожая - после виря остались записи в ветках Run, теперь ветки не редактируемые - читай я не могу добить остатки вируса и не могу ничего в них прописать, включая антивирус... RegDatXP - я не нашел в этой тулзе как удалить ключь, а если пробовать его редактировать, то кнопка Save неактивна...?
З.Ы.:Права на ветки менять пробовал - по-барабану...
может как то свзано с политикой безопасности? даже не знаю в какую сторону думать...

у меня такая же беда, навертел дел с Канопусом, сейчас пытаюсь поставить говорит типа обнаружен драйвер устройства. В реестре есть запись про этот драйвер а удалить не могу ни как, не в безопасном, ни так

immortal223
immortal223

Цитата:

Поставил одну триальную прогу а она (защищена EXECryptor'ом) записала ключ в реестр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6714759D-C8E5-CDB6-B367-D3B336D189D8} и теперь этот ключ заблокирован, удалить его невозмаожно, изменить - тоже, а счётчик тикает.
Пробовал программой RegASSASIN, которая якобы удаляет подобные ключи, но и она его не берёт.
Как удалить заблокированный ключ или хотя бы изменить права на редактирвоание?

Цитата:

Поставил одну триальную прогу а она (защищена EXECryptor'ом) записала ключ в реестр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6714759D-C8E5-CDB6-B367-D3B336D189D8} и теперь этот ключ заблокирован, удалить его невозмаожно, изменить - тоже, а счётчик тикает.
Пробовал программой RegASSASIN, которая якобы удаляет подобные ключи, но и она его не берёт.
Как удалить заблокированный ключ или хотя бы изменить права на редактирвоание?

У меня такая фигня была с авастовскими ключами, хер удалишь. залез в реестр выделил нужный ключик для удаления и зашел в регедите в "разрешения", там поковырялся, наставил все и вся полный доступ и теперь вот сижу удаляю, вроде удаляются.

aleshka 2007
+1
Таким же образом удалял остатки трояна

Может у кого есть идеи.. у меня на сегодня кончились

Нужно удалить раздел реестра вида HKLM\Software\SCCID\{646847-4654-1345-467-467446}
Раздел пуст, прав выше крыши, в резделе ключи создавать и удалять могу.
1. regedit, regedit32, reg.exe удалить раздел не могут - "Ошибка при удалении раздела"
2. спец утилиты которые попробовал также не помогают
3. При загрузке в безопасном режиме и с LiveCD тоже не удаляется
4. Если выудить сам файл реестра "software" и загрузить куст на другой ОС, то тоже не удаляется

..уже посещают дикие мысли а не отредктировать ли непосредственно файл реестра каким-нибудь редактором

gbcfkf
А переименовать пробовал?

Добавлено:
Ещё из тяжёлой артиллерии или просто бредовые идеи:
1) AVZ (надо знать язык его скриптов):
а)удаление ключа реестра при загрузке,
б)поставить драйвер расширенного мониторинга процессов и попробовать включить противостояние перехватчикам на уровне ядра системы. При этом по слухам отрубается какая-то защита реестра, реализуемая в Windows XP на уровне ядра.

2) Gmer тоже что-то такое делает.

Кстати, некоторые нехорошие программы добавляют нулевой символ в имена разделов или параметров. Их обычными программами удалить нельзя, а эти двое (по-моему) справляются.

Коллеги, кто-нибудь может дать ссылку на эту волшебную прогу - RegASSASIN? У меня тоже одна прога напакостила, теперь не могу избавиться от ее следов в реестре и установить ее новую версию. Не сносить же из-за этого отлично работающую Win7 и кучу программ!
Спасибо.

y4itel
http://www.malwarebytes.org/regassassin.php
а самому в яндексе слабо?

Maz
Спасибо, дедушка!

Добавлено:
Maz
Спасибо, дедушка!

Очень необходимо удалить в реестре ветвь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spdt для продления одной триальной программы. Удалить из самого реестра не получается из-за невозможности дать полный доступ пользователю "Создатель-Владелец".
OC Windows 7 x64

После глюка сфтинки одной такая же беда, РегАссасин пишет - "Куст возвращает нуль" Чем еще ковырнуть можно?



Кстати, разобрался с "нулём" - ветку для удаления надо вводить БЕЗ квадратных скобок в конце и начале, если сохранить рег-файл... Один фиг - не сработало

Добавлено:
Вот, к чему я пришел... В общем, при удалении софтинка куст не удалила, а удалила владельца, оставив ему права... ппц, народ софт пишет! Софтинка - DVD Architect 4.5 И только Registry Workshop справился с присвоением мне, админу, нужных прав 3 часа в задницу...

Uncle KILLER
Supplement
не пробовали редактор реестра под DOS

Нарыл по поводу сабжа отличную тему :
http://drachev.com/projects/launch-as-system/
Запускает CMD окно от имени Local System. Из него собственно запускаем regedit и мочим все что нужно... , также можно запустив например TotalCommander пошарить в SYSTEM VOLUME INFORMATION и там тоже порулить .

Автору мегареспект.

The_best_must_have .

P.S. Почитать на страничке автора как юзать. В 7ке (Vist-e) запускать от имени админа.

Цитата:

После глюка сфтинки одной такая же беда, РегАссасин пишет - "Куст возвращает нуль" Чем еще ковырнуть можно?

Скорее всего имеется ввиду ключ нулевой длинны. Тогда RegDelNull Руссиновича тебе в помощь. В консоли набирай
Код: regdelnull -s hklm

ComradG

Цитата:

Автору по шапке надо дать за такое.

Напрасно вы, батенька. И что с того ?
По вашим суждениям работать надо только из под Гостя и никаких "гвоздей" !
Мне, например сабж отменно помог.

Цитата:

Нарыл по поводу сабжа отличную тему :
http://drachev.com/projects/launch-as-system/

sergkms2007
Спасибо, дорогуша, за троянчик.

Sorok
Думаю это стандартная ругань антивируса на упакованный ехе-шник.
Разработчик не прячется и выкладывает весь свой софт в паблик.

sergkms2007
Спасибо за наводку, прога реально помогла быстро удалить защищенные системой ветки реестра в Вин7 ошибочно установленных драйверов DVB-T стика (до этого мудохался на каждом подключе меняя права владельца + полный доступ => удаление, а их там с полсотни было этих ключей, подключей, думал уже никогда не осилю ) Только после этого удаления вновь установленный (в этот раз уже правильный) драйвер встал как влитОй и прекрасно заработал.

sergkms2007
золотой вы человек!
я случайно год назад затёр эту прогу,а тут она вновь понадобилась,и название её уже конкретно забыл... спасибо!

з.ы. вот кстати ещё по теме нарыл,пока искал решение,правда сам её ещё не пробовал: http://www.resplendence.com/registrar