Cmd exe c reg add hkey current user software microsoft windows

Шпаргалка по работе с реестром Windows из командной строки. Примеры выборки, добавления, удаления данных.

Обновлено Обновлено: 02.12.2018
Опубликовано Опубликовано: 24.03.2017

Что такое реестр Windows простыми словами.

Большинство команд лучше выполнять, запустив командную строку от имени администратора. Для этого найдите ее по ключу cmd — кликните по файлу правой кнопкой мыши — выберите Запустить от имени администратора. Или в Windows 10 правой кнопкой по ПускКомандная строка (администратор).

Чтение данных
Добавление параметров
Удаление
Редактирование
Импорт
Описание всех команд

Выборка (query)

reg query HKLMSoftwareMicrosoft

* в данном примере будет выведен на экран список веток, которые находятся в HKLMSoftwareMicrosoft

Если в пути встречается пробел, необходимо весь путь поместить в кавычки, например:

reg query «HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings»

Чтобы вывести все вложенные ветки, запускаем команду с параметром /s:

reg query «HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings» /s

Добавление (add)

Синтаксис:

reg add <Ключ> /v <Параметр> /t <Тип> /d <Значение>

Например, добавим настройки использования прокси-сервера для браузера Internet Explorer:

reg add «HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings» /v ProxyEnable /t REG_DWORD /d 1

reg add «HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings» /v ProxyServer /t REG_SZ /d «192.168.0.15:3128»

reg add «HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings» /v ProxyOverride /t REG_SZ /d «<local>»

* где первая команда включает использование прокси-сервера; вторая прописывает использовать прокси с IP-адресом 192.168.0.15 и портом 3128; третья указывает не использовать прокси для локальных адресов.

Удаление (delete)

Синтаксис:

reg delete <Ключ> /v <Параметр>

Например, чтобы удалить одну из ранее созданной настройки, вводим следующую команду:

reg delete «HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings» /v ProxyEnable /f

Чтобы удалить всю ветку с ее параметрами и значениями, вводим такую команду:

reg delete «HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings» /va /f

Редактирование

Для редактирования значения нужно выполнить команду на добавление. Если ключ уже существует, команда заменить значение на новое:

reg add «HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings» /v ProxyEnable /t REG_DWORD /d 0 /f

* в данном примере будет изменено значение ключа ProxyEnable на 0 (или создан с таким значением); ключ f указывает на замену значения без вывода подтверждения.

Импорт

Во многих случаях проще выполнить импорт из файла, кликнув по нему дважды. Но, иногда необходимо выполнить импорт из командной строки:

reg import <путь к файлу>

Например:

reg import C:Tempimport_proxy_settings.reg

* в данном примере мы импортировали настройки из файла import_proxy_settings.reg, который находится в каталоге C:Temp.

Краткое описание всех операций

В данной таблице приведены все возможные операции над коандой REG.

Операция Описание
REG QUERY Делает выборку ключей, параметров и значений
REG ADD Добавляет новую запись (параметр, ключ, значение)
REG DELETE Удаляет одну или несколько записей
REG COPY Копирует данные из одной ветки в другую
REG SAVE Сохраняет ветку со всеми параметрами и значениями в файл
REG RESTORE Восстанавливает ветку и данные из файла
REG LOAD Загружает данные в указанную ветку
REG UNLOAD Выгружает данные из указанной ветки
REG COMPARE Сравнивает две ветки
REG EXPORT Экспортирует все подразделы и параметры в файл .reg
REG IMPORT Импортирует все подразделы и параметры из файла .reg
REG FLAGS Показывает и устанавливает флаги для ветки

Подробное описание всех ключей можно увидеть, введя команду reg <операция> /?
Например: reg add /?

Дмитрий Моск — частный мастер

Была ли полезна вам эта инструкция?

Да            Нет

Ни для кого не секрет, что операционные системы Windows собирают и отправляют данные в Microsoft. Но Windows 10 переплюнула всех предшественниц. Отправка диагностических, а может и не только, сведений осуществляется постоянно и огромными объемами, что отрицательно сказывается на конфиденциальности пользовательских данных. Этот факт подрывает доверие к данной операционной системе и напрочь отбивает желание устанавливать ее на компьютер. Вдобавок, обновления, выпускаемые производителем, порой абсолютно неожиданным образом нарушают работу системы. Но так ли все неисправимо? В этой статье мы расскажем, как добиться снижения рисков утечки сведений и отключить автоматическое обновление.

Прежде чем приступить к настройке Windows 10 создадим бэкап ресстра.

Бэкапим реестр

Рекомендуется делать резервную копию (он же — бэкап) реестра каждый раз, прежде чем производить какие бы то ни было манипуляции. Для этого в строке поиска введите команду regedit. Щелкните правой кнопкой мыши и выберите Запуск от имени администратора.

Бэкапим реестр

В окне редактора реестра нажмите правой клавишей на Компьютер и выберите пункт Экспортировать.

Выберите пункт Экспортировать

Укажите название бэкапа и путь для его хранения. Диапазон экспорта — Весь реестр. В результате получится файл .reg. В дальнейшем для восстановления реестра щелкните дважды на файле, подтвердите действие.

Укажите название бэкапа и путь для его хранения

Получаем доступ к реестру

Доступ ко многим веткам реестра ограничен даже для пользователей, имеющих администраторские права. Чтобы вносить в них изменения необходимо получить полный доступ к реестру. Это можно сделать используя редактор реестра regedit, запустив его от имени администратора, либо используя штатную утилиту SubInACL.

Доступ к реестру через regedit

В редакторе реестра regedit находим необходимый ключ реестра, щелкаем по нему правой кнопкой мыши и настраиваем разрешения.

Доступ к реестру через regedit

Для смены владельца жмем кнопку Дополнительно.

Для смены владельца жмем кнопку Дополнительно

В верхней части окна жмем Изменить для изменения владельца.

В верхней части окна жмем Изменить

Вводим имена объектов, жмем кнопку Проверить имена. Готово. Жмем кнопку ОК. Даем разрешения. Аналогичным образом настраиваем разрешения для всех необходимых ключей реестра.

Настраиваем разрешения для всех необходимых ключей реестра

Доступ к реестру через штатную утилиту SubInACL

Для использования утилиты SubInACL, скачиваем ее с сайта Microsoft, устанавливаем. Чтобы не вводить каждый раз путь до нее, скопируйте ее в системный каталог Windows: запустите командную строку от имени администратора и введите команду:

copy «C:Program Files (x86)Windows Resource KitsToolssubinacl.exe» %Windir%System32

Доступ к реестру через штатную утилиту SubInACL

Меняем владельца командой вида:

subinacl /keyreg «HKEY_LOCAL_MACHINESYSTEM ControlSet001ControlWMIAutoLogger» /setowner=Имя учетной записи /grant=Имя учетной записи=f

Разблокируем реестр:

subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=Имя учетной записи=f

subinacl /subkeyreg HKEY_CURRENT_USER /grant=Имя учетной записи=f

Меняем Имя учетной записи на вашу учетную запись. Аналогично поступаем со всеми ветками реестра.

Отключаем Кортану

Кортана — виртуальный голосовой помощник с элементами искусственного интеллекта от Microsoft. Она сильно интегрирована в систему, поэтому ее удаление может повлиять на стабильность операционной системы. Для ее отключения воспользуйтесь следующими командами или добавьте соответствующие параметры вручную через редактор реестра.

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Windows Search» /v «AllowCortana» /t REG_DWORD /d 0 /f

reg add»HKEY_LOCAL_MACHINESOFTWAREMicrosoftPolicyManager default Experience AllowCortana» /v «value» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionSearch» /v «CortanaEnabled» /t REG_DWORD /d 0 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftWindows CurrentVersionSearch» /v «CortanaEnabled» /t REG_DWORD /d 0 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftWindows CurrentVersionSearch» /v «CanCortanaBeEnabled» /t REG_DWORD /d 0 /f

Отключаем сбор данных

Windows 10 собирает и отправляет в Microsoft очень много данных. Таким образом неизбежно нарушается конфиденциальность пользователей. Чтобы ограничить отправку сведений о системе необходимо отключить службы, которые производят сбор и отправку данных. Для этого откроем Службы, например, введя в поисковую строку services.msc.

Отключаем сбор данных

В списке служб найдем те, которые необходимо остановить и запрещаем их автозапуск.

В списке служб найдем те, которые необходимо остановить

Список служб всегда подбирается индивидуально, в первую очередь отключаем Diagnostic Execution Service, которая выполняет диагностические мероприятия для устранения неполадок.

Список служб, которые будете останавливать, необходимо определить самостоятельно. Вышеуказанные службы актуальны на момент написания статьи, но есть прецеденты, когда Microsoft переименовывала свои службы и они загружались с очередным обновлением. Имеет смысл периодически просматривать список служб после обновления.

Внести изменения в реестр можно вручную, переходя по редактору реестра, либо создать файл .bat или .cmd, который выполнит все изменения.

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DataCollection» /v AllowTelemetry /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices diagnosticshub.standardcollector.service» /v «Start» /t REG_DWORD /d 4 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftPersonalizationSettings» /v «AcceptedPrivacyPolicy» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESYSTEMControlSet001ControlWMIAutoLogger AutoLogger-Diagtrack-Listener» /v «Start» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutoLogger AutoLogger-Diagtrack-Listener» /v «Start» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutoLogger SQMLogger» /v «Start» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsAppCompat» /v «AITEnable» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsAppCompat» /v «DisableUAR» /t REG_DWORD /d 1 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftInputPersonalization» /v «RestrictImplicitInkCollection» /t REG_DWORD /d 1 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftInputPersonalization» /v «RestrictImplicitTextCollection» /t REG_DWORD /d 1 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftInputPersonalization TrainedDataStore» /v «HarvestContacts» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsTabletPC» /v «PreventHandwritingDataSharing» /t REG_DWORD /d 1 /f

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows HandwritingErrorReports» /v «PreventHandwritingErrorReports» /t REG_DWORD /d 1

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftSQMClientWindows» /v «CEIPEnable» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftSQMClient» /v «CorporateSQMURL» /t REG_SZ /d «0.0.0.0» /f

reg add «HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftOffice16.0osm» /v «Enablelogging» /t REG_DWORD /d 0 /f

reg add «HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftOffice16.0osm» /v «EnableUpload» /t REG_DWORD /d 0 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftMediaPlayerPreferences» /v «UsageTracking» /t REG_DWORD /d 0 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftSiufRules» /v «NumberOfSIUFInPeriod» /t REG_DWORD /d 0 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftSiufRules» /v «PeriodInNanoSeconds» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DataCollection» /v «DoNotShowFeedbackNotifications» /t REG_DWORD /d 1 /f

reg add «HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftAssistanceClient1.0» /v «NoExplicitFeedback» /t REG_DWORD /d 1 /f

reg add «HKEY_LOCAL_MACHINESOFTWAREMicrosoftInputTIPC» /v «Enabled» /t REG_DWORD /d 0 /f

reg add «HKEY_CURRENT_USERSOFTWAREMicrosoftInputTIPC» /v «Enabled» /t REG_DWORD /d 0 /f

Отключаем небезопасные сервисы

Убираем из автозагрузки лишние сервисы типа RemoteRegistry, TermService, TrkWks, DPS, SensorDataService, SensorService, SensrSvc, XblAuthManager, XblGameSave, XboxNetApiSvc. Данное действие позволит не только повысить безопасность вашей windows 10, но и ускорит ее загрузку.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun — автозагрузка текущего пользователя

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun — автозагрузка всех пользователей

Отключаем удаленного помощника:

reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlRemote Assistance» /v «fAllowToGetHelp» /t REG_DWORD /d 0 /f

reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlRemote Assistance» /v «fAllowFullControl» /t REG_DWORD /d 0 /f

Удаляем предустановленные приложения

Любой компонент Windows 10 можно удалить через командную строку. Завершаем процесс и затем удаляем компонент.

taskkill /f /im OneDrive.exe

start %SystemRoot%SysWOW64OneDriveSetup.exe /uninstall

Режим бога (делаем быстрый вызов любых настроек)

Доступ ко всем настройкам в один клик или «режим бога» настраивается так: от имени администратора создадим рабочем столе папку с именем Любой текст.{ED7BA470-8E54-465E-825C-99712043E01C}. После сохранения имя папки скроется и ярлык изменится. Вы получите быстрый доступ к настройкам операционной системы.

Режим бога

Отключаем автообновления

Для отключения автоматического обновления введите в командной строке:

reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows WindowsUpdateAU» /v » AUOptions» /t REG_DWORD /d 2 /f

Итоги

Теперь вы знаете, как настроить операционную систему Windows 10 таким образом, чтобы снизить риски утечки данных и отключить автоматические обновления. Также эти настройки помогут повысить производительность системы, ускорить ее загрузку. Безусловно, это далеко не полный перечень действий, которые можно предпринять. После каждого обновления системы рекомендуем вам просматривать основные параметры, к примеру, службы на предмет каких-то изменений.

Понравилась статья? Делитесь ею со своими знакомыми, чтобы они тоже могли воспользоваться нашими советами и настроить свою Windows 10, тем самым повысив ее безопасность.

Жду ваших вопросов в комментариях, ваш Mr. Whoer

Смотрите наше видео, где Mr. Whoer, более подробно рассказывает как безопасно настроить Windows 10, и как включить GodMode:

Muhammad97

10 / 10 / 2

Регистрация: 10.11.2013

Сообщений: 238

1

Как добавить запись в реестр?

06.02.2014, 19:34. Показов 23474. Ответов 14

Метки нет (Все метки)


Пытаюсь добавить программу в автозагрузку, но выдает ошибку

Windows Batch file
1
2
3
reg add 
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v "abc" /t REG_SZ /d "D:program.exe" /f
pause

пытался и так

Windows Batch file
1
2
3
reg add 
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v MyProgram /t REG_SZ /d D:program.exe /f
pause

__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь



0



sov44

1778 / 760 / 130

Регистрация: 09.04.2011

Сообщений: 1,325

06.02.2014, 19:44

2

Лучший ответ Сообщение было отмечено Muhammad97 как решение

Решение

Windows Batch file
1
Reg Add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "abc" /t REG_SZ /d "D:program.exe" /f



1



10 / 10 / 2

Регистрация: 10.11.2013

Сообщений: 238

06.02.2014, 19:56

 [ТС]

3

Выдает «Ошибка синтаксиса»



0



1778 / 760 / 130

Регистрация: 09.04.2011

Сообщений: 1,325

06.02.2014, 21:12

4

Цитата
Сообщение от Muhammad97
Посмотреть сообщение

Выдает «Ошибка синтаксиса»

а у меня нет

Миниатюры

Как добавить запись в реестр?
 



0



Eva Rosalene

Pure Free Digital Ghost

4598 / 1910 / 370

Регистрация: 06.01.2013

Сообщений: 4,564

07.02.2014, 16:48

5

Цитата
Сообщение от sov44

а у меня нет

А должно. Символы » нужно удваивать
Т.е

Windows Batch file
1
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "abc" /t REG_SZ /d "D:\program.exe" /f



0



1778 / 760 / 130

Регистрация: 09.04.2011

Сообщений: 1,325

07.02.2014, 17:07

6

Цитата
Сообщение от FraidZZ
Посмотреть сообщение

Символы » нужно удваивать

это в файле конфигурации, а не в батнике



0



Эксперт WindowsАвтор FAQ

17953 / 7590 / 889

Регистрация: 25.12.2011

Сообщений: 11,320

Записей в блоге: 17

07.02.2014, 23:01

7

FraidZZ, в пути к файлу, но не к ветке реестра.

а… нет, тоже стоят одиночные.

Muhammad97, приложите скрин Вашего ввода, когда возникает ошибка.



0



Muhammad97

10 / 10 / 2

Регистрация: 10.11.2013

Сообщений: 238

08.02.2014, 19:56

 [ТС]

8

Все получилось, оказывается в пути были пробелы

Windows Batch file
1
2
Reg Add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "abc" / t REG_SZ / d "D:program.exe" /f
pause

Но, т. к. батник работает с реестром, приходится запускать от имени админа, иначе выдает ошибку. Мне нужно запускать его из программы. Кто-нибудь знает как это обойти (UAC)?



0



Эксперт WindowsАвтор FAQ

17953 / 7590 / 889

Регистрация: 25.12.2011

Сообщений: 11,320

Записей в блоге: 17

08.02.2014, 20:29

9

Цитата
Сообщение от Muhammad97
Посмотреть сообщение

Мне нужно запускать его из программы

Например, запускать свою программу с повышенными привилегиями (обычно добавляется манифест).



0



prostofirma

2 / 2 / 0

Регистрация: 10.08.2015

Сообщений: 37

13.05.2018, 11:59

10

Цитата
Сообщение от Muhammad97
Посмотреть сообщение

Но, т. к. батник работает с реестром, приходится запускать от имени админа, иначе выдает ошибку. Мне нужно запускать его из программы. Кто-нибудь знает как это обойти (UAC)?

Не хочу ворошить «мёртвую» тему, но вдруг кому пригодится, просто возникла такая же проблема.

Для себя нашёл более-менее рабочий вариант, это не прописывать в батнике regadd, а импортировать готовую ветку в реестр, работает даже в 10-ке с её любовью к повышенным привилегиям.

в bat пишем

Windows Batch file
1
regedit /s "D:Run.reg"

ну и сам reg изнутри

Код

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"нашапрога.exe"="C:\Program Files\нашапрога\нашапрога.exe"



1



fROB

0 / 0 / 0

Регистрация: 16.05.2018

Сообщений: 7

17.05.2018, 00:18

11

Здравствуйте, подскажите пожалуйста. Хочу добавить файл в автозагрузку использую

Windows Batch file
1
2
Reg Add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "abc" /t REG_SZ /d "C:Program FilesAbsvhost.exe" /f
pause

Запускаю с правами админа, операция пишет успешна, захожу в regedit и не вижу прогресса. Ничего не добавилось.



0



Джоуи

1073 / 635 / 240

Регистрация: 05.05.2015

Сообщений: 3,546

Записей в блоге: 2

17.05.2018, 14:27

12

Цитата
Сообщение от fROB
Посмотреть сообщение

захожу в regedit и не вижу прогресса

Вы наверное смотрите в HKCU…Run, а запись в это время находится по пути HKLM…Run



1



FlasherX

17.05.2018, 16:46

Не по теме:

C:Program FilesAbsvhost.exe в автозагрузку? Ну-ну..



0



fROB

0 / 0 / 0

Регистрация: 16.05.2018

Сообщений: 7

21.05.2018, 10:48

14

Windows Batch file
1
2
Reg Add "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun" /v "abc" /t REG_SZ /d "C:Program Files1o1t.exe" /f
pause

Добавляется в реестр, но автозагрузка не срабатывает. В реестре заметил, чтобы автозагрузка файла сработала, нужно чтобы были кавычки « к путю. Но если в коде дополнительно дописать перед путем к файлу «, то пишет ошибка. Как исправить эту ситуацию?

Windows Batch file
1
... ""C:Program Files1o1t.exe"" /f



0



Joey

Джоуи

1073 / 635 / 240

Регистрация: 05.05.2015

Сообщений: 3,546

Записей в блоге: 2

25.05.2018, 18:49

15

Лучший ответ Сообщение было отмечено Joey как решение

Решение

fROB, используйте четыре кавычек

Windows Batch file
1
Reg Add "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun" /v "abc" /t REG_SZ /d """"C:Program Files1o1t.exe"""" /f



1



how can I add an entry to the autorun registry by using cmd or powershell?

Assuming that the .exe that i want to start is located in %userprofile%desktop
and the registry entry shall be added to HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun, what command do I have to enter?

GeralexGR's user avatar

GeralexGR

2,6476 gold badges21 silver badges31 bronze badges

asked Jun 21, 2018 at 19:14

bashish's user avatar

If your looking to add an registry entries using cmd, then the command your looking for is REG add

Syntax:

Add: REG ADD KeyName [{/v ValueName | /ve}] [/t Type] [/f]
Delete: REG DELETE KeyName [{/v ValueName | /ve | /va}] [/f]

Your code should look as the following:

reg.exe add "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun" /f /v ProgramName /t REG_SZ /d "%userprofile%desktopyourfile.exe"

answered Jul 7, 2018 at 23:47

John Kens's user avatar

John KensJohn Kens

1,5972 gold badges10 silver badges28 bronze badges

The registry is the place where most of the applications store the settings but not only. Used also from the windows system to store important settings in order to be available to operate. We will cover a series of articles to explain how can be added, edited, and deleted the registry keys and values. This will be done using the Windows command prompt but not only. Will try to use also the PowerShell and GPO. In the end, you will be available to change them individually or over the network using batch. In this part, we will cover how to add registry key and values with command line, PowerShell, and batch file.

Check Also:

How to Edit Registry Key/value

How to Delete Registry Key/value

How to add registry key and value with CMD:

Below is the default commands line to add new registry key and  “NewTestKey” on path “HKEY_CURRENT_USERSoftware” – To run it:

  1. Start
  2. Search “CMD”
  3. Run as Administrator
  4. Execute Below Command
reg add HKEY_CURRENT_USERSoftwareNewTestKey

Add Registry Key CMD

Add Registry Key CMD

Below is the default command to add new registry value entry “TestValue” of type “DWORD (32-bit)” on path “HKEY_CURRENT_USERSoftwareNewTestKey” and add the value of “1”. To run it:

  1. Start
  2. Search “CMD”
  3. Run as Administrator
  4. Execute Below Command

Customized:

reg  add  HKEY_CURRENT_USERSoftwareNewTestKey /v  TestValue /t  REG_DWORD /d  1

Default Command:

Reg Add Regkey /v RegValue /t RegType /d data

Command Description:

  • Regkey – Path where the new value should be added.
  • RegValue – Name of the value that should be added
  • /t – Type of the value (REG_SZ, REG_DWORD, REG_BINARY)
  • /d Data – Specifies the data for the new entry in the registry.

Add Registry Value CMD

Add Registry Value CMD

How to add Registry key and value with PowerShell:

Below is the PowerShell default command to add new registry key “NewTestKey” on path “HKEY_CURRENT_USERSoftware” – To run it:

  1. Start
  2. Search PowerShell
  3. Run as Administrator
  4. Execute Below Command
# Set the location to the registry
Set-Location -Path 'HKCU:Software'
# Create a new Key
Get-Item -Path 'HKCU:Software' | New-Item -Name 'NewTestKey' –Force

Add Registry Key Powershell

Add Registry Key Powershell


Below is the PowerShell default command to add new registry value entry “TestValue” of type “DWORD (32-bit)” on the path “HKEY_CURRENT_USERSoftwareNewTestKey” and add the value of “1” – To run it:

  1. Start
  2. Search PowerShell
  3. Run as Administrator
  4. Execute Below Command
# Create new items with values
New-ItemProperty -Path 'HKCU:SoftwareNewTestKey' -Name  'TestValue' -Value '1' -PropertyType 'DWORD' –Force
# Get out of the Registry
Pop-Location

Add Registry Value PowerShell

Add Registry Value PowerShell

How to add Registry key and value on a remote computer:

Below is the command to add registry key on a remote computer. To run it:

  1. Start
  2. Search “CMD”
  3. Run as Administrator
  4. Execute Below Command
REG ADD \ComputerNameHKCUSoftwareNewTestKey

Below is the command to add registry value on a remote computer. To run it:

  1. Start
  2. Search “CMD”
  3. Run as Administrator
  4. Execute Below Command
REG ADD \ComputerNameHKCUSoftwareNewTestKey /v TestValue /t REG_DWORD /d 1

How to add registry key and value with batch file:

The same commands used above to add the registry key from the command prompt can be integrated on the batch file. The commands can be used on the existing batch along with other commands or on the new batch file. To create a new batch file:

  1. Open a notepad files
  2. Write the below command
@echo off

reg add HKEY_CURRENT_USERSoftwareNewTestKey

reg  add  HKEY_CURRENT_USERSoftwareNewTestKey /v  TestValue /t  REG_DWORD /d  1
  1. Save it as regedit.bat
  2. Run it with DoubleClick and the command will be executed.

The bat files used mostly when you want to spread it over the network using GPO or SCCM

How to add registry key and value with regedit file (.reg)

You can add registry key and value by using .reg file. This file structure can be found by exporting certain keys from the regedit interface by right-clicking on it and the export option. To create it from the screech:

  1. Open a notepad file
  2. Copy and paste the below command
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareNewTestKey2]
  1. Save it at addkey.reg

This command with creates NewTestKey2 key if does not exist. To add registry value copy and paste the following command:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareNewTestKey2]
@="HKEY_CURRENT_USER\Software"
"TestValue"=dword:00000001

The command with creating new value “TestValue” of type dword with value “1”. To execute .reg files, double-click it and after typing to the confirmation yes the changes with be done.

Add Registry Key with regedit

Add Registry Key with regedit

Conclusion:

Those are the methods to add registry key and values using command prompt, PowerShell, and batch files. Follow us for the next articles where we will explain the methods to edit and delete keys and values from the registry

В продолжении статьи Первоначальная настройка Windows 10 через реестр решил продвинуть часть по настройке, а именно созданию настроенного default пользователя плюс небольшие дополнения. Оговорюсь сразу, речь уже пойдет не только о windows 10, но и о любых других версиях.

Начнем с дополнений.

Отключаем контроль учетных записей

C:WindowsSystem32cmd.exe /k %windir%System32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f

Включаем RDP доступ

reg add «hklmSYSTEMCurrentControlSetControlTerminal Server» /v fDenyTSConnections /t REG_DWORD /d 0 /f

reg add «hklmSYSTEMCurrentControlSetServicesTlntSvr» /v Start /t REG_DWORD /d 2 /f

Отключаем защитник windows

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender]

«DisableAntiSpyware»=dword:00000001

Уменьшаем задержку запуска приложений из автозагрузки

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorer]

«StartupDelayInMSec»=dword:00000000

Отключаем экран блокировки. После обновлений windows до следующих версий, придется повторить данный путь.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsPersonalization]

«NoLockScreen»=dword:00000001

Теперь переходим плавно к настройкам профиля пользователя, ярлыки от установленных приложений на рабочий стол можно положить в C:UsersPublicDesktop, остальное вроде закрепленных ярлыков на панели задач настраиваются руками. Не забываем очистить список недавних документов, настроить по своему желанию меню пуск и т. д.

Когда профиль пользователя будет создан, необходимо будет произвести перезагрузку и осуществить вход под другими учетными данными и запустить программу Windows Enabler (скачать Windows Enabler). Программа позволит нам активировать кое какие не доступные функции.

Запускать программу Windows Enable необходимо от имени администратора, иначе должного эффекта не получим. После запуска нажимаем на иконку и видим измененное состояние программы.

Открываем свойства компьютера, переходим в дополнительные параметры и смотрим параметры профилей пользователей

В открывшемся окне, можно увидеть список профилей пользователей. В нашем случае нас интересует только что настроенный профиль, выбираем его и смотрим на кнопку «Копировать», если она не доступна даже после наведения курсора, необходимо перезапустить программу Windows Enable.

В случае удачи картина должна быть такой

Жмем кнопку копировать, в открывшемся окне выставляем все согласно скриншоту.

Жмем кнопку ОК и ждем.

В случае, если ошибок не возникло, то создаем нового пользователя и осуществляем первый вход в систему. Теперь у Вас будет такой же настроенный рабочий стол, ярлыки и т.д.

  • #1

При работе за компьютером сначала открылась командная строка, а после в «Автозагрузке» появился элемент с командой «cmd.exe /c start www.dinoraptzor.org». В дальнейшем при запуске ПК открывается браузер с данным сайтом.
Проверка антивирусами (avast, avg) ничего не выявила. Использовал «AdwCleaner», но не помогло.
При удалении строки в реестре данный элемент исчезал из «Автозагрузки» на некоторое время, но потом опять открывалась командная строка, и все по новой.

  • CollectionLog-2019.05.18-12.21.zip

    51.6 KB
    · Просмотры: 4

Последнее редактирование: 18 Май 2019

akok


  • #2

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл — Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 RegKeyParamDel('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionRun','Grecha','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionRun','Grecha','x64');
 DeleteSchedulerTask('Grecha');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер

перезагрузится

.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .Quarantine*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

«Пофиксите» в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: Grecha - C:Windowssystem32cmd.exe /c REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /f /v Grecha /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"

Для

повторной

диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите «ОК», удерживая нажатой клавишу «Shift».

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку «Scan Now» («Сканировать») и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:AdwCleanerLogsAdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • #3

Все сделал, лишь в HiJack This не было нужной строчки. (во время работы очень сильно вис компьютер, надеюсь, что так и должно быть))

  • AdwCleaner[S03].txt

    1.5 KB
    · Просмотры: 2

  • CollectionLog-2019.05.18-13.36.zip

    57.6 KB
    · Просмотры: 2

Sandor


  • #4

Файл AdwCleaner[C00].txt тоже покажите.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

akok


  • #5

во время работы очень сильно вис компьютер, надеюсь, что так и должно быть

Если машина слабовата, то все может быть. +++ если включен был антивирус, то нагрузка была намного выше.

  • #6

Сделал. Логи тут.

  • AdwCleaner[C00].txt

    1.6 KB
    · Просмотры: 1

  • FRST.txt

    536 байт
    · Просмотры: 1

  • Addition.txt

    36.3 KB
    · Просмотры: 1

Sandor


  • #7

Отчёт FRST.txt неполный. Переделайте, пожалуйста (антивирус при этом временно отключите).

  • #8

Отчёт FRST.txt неполный. Переделайте, пожалуйста (антивирус при этом временно отключите).

Простите)
Сделано!

  • FRST.txt

    29.5 KB
    · Просмотры: 1

Sandor


  • #9

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLMSOFTWAREPoliciesMicrosoftWindows Defender: Restriction <==== ATTENTION
    HKUS-1-5-21-3243789550-1399299117-3026553852-1000...MountPoints2: {ea1c6eda-1679-11e9-9797-aaf70fa81254} - F:setup.exe
    HKUS-1-5-21-3243789550-1399299117-3026553852-1000...MountPoints2: {ea1c6ee0-1679-11e9-9797-aaf70fa81254} - H:run.exe
    FF HKLMSOFTWAREPoliciesMozillaFirefox: Restriction <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой — Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • #10

Воть:Bye:

  • Fixlog.txt

    2.1 KB
    · Просмотры: 1

Sandor


  • #12

Ну вроде бы ничего не появляется.
Благодарю за помощь!)

Sandor


  • #13

В завершение:
1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки — Удалить AdwCleaner — выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:SecurityCheckSecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • #14

Вот

  • SecurityCheck.txt

    10.1 KB
    · Просмотры: 1

Sandor


  • #15

——————————- [ Windows ] ——————————-
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
————————— [ OtherUtilities ] —————————-
Microsoft Office Excel 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Proof (German) 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (English) 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Russian) 2007 v.12.0.4518.1022 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Ukrainian) 2007 v.12.0.4518.1022 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proofing (Russian) 2007 v.12.0.4518.1022 Данная программа больше не поддерживается разработчиком.
——————————— [ Arch ] ———————————
WinRAR 5.70 (32-разрядная) v.5.70.0 Внимание! Скачать обновления
——————————— [ P2P ] ———————————
µTorrent v.3.5.5.45231 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
————————— [ AdobeProduction ] —————————
Adobe Flash Player 32 ActiveX & Plugins 64-bit v.32.0.0.114 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

Читайте Рекомендации после удаления вредоносного ПО

App init process injection registry keys:

App init DLLS:

  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
  • HKLMSoftwareWow6432NodeMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs

Description: DLLs specified by this value are loaded in all applications with User32.dll linked (very few do not).
Interestingly, it seems there is another registry value that defines the registry HKLMSoftware subbranch whereas App init DLLs should be searched for:
ComputerHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingwin.iniWindowsAPPINIT_DLLS
the default value (Win10 x64): SYS:MICROSOFTWINDOWS NTCURRENTVERSIONWINDOWS

Also, there is a ComputerHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsLoadAppInit_DLLs key (default value 0x0), suggesting a switch for this feature.

External resources: https://support.microsoft.com/en-us/help/197571/working-with-the-appinit-dlls-registry-value
Remark: What about HKCU?

App cert DLLs

  • HKLMSystemCurrentControlSetControlSession ManagerAppCertDlls

Description: DLLs specified by this value are loaded into any application that makes use of the following API functions: CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW, WinExec

External resources: https://attack.mitre.org/techniques/T1182/

cmd.exe keys

  • HKEY_LOCAL_MACHINESoftwareMicrosoftCommand ProcessorAutoRun
  • HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun

Image file execution options

  • HKLMSoftwareMicrosoftWindows NTcurrentversionimage file execution options

Description:
Contains subkeys corresponding to individual executable names, with custom execution options.
If «Debugger» option is defined, it points to the binary that is called by the OS instead of the target executable, passing the path to the original executable (along with its command line parameters) as command line parameters (this feature is intended for defining application-custom debugger). Hence, it is a great persistence method.

External resources:
https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/
https://support.microsoft.com/en-us/help/238788/how-to-debug-common-gateway-interface-applications-running-under-iis-b

Winlogon packages

reg add «HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon» /v Userinit
/t REG_SZ /d «C:SomeEvilBinary.exe»,»C:Windowssystem32userinit.exe»

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Userinit REG_SZ C:Windowssystem32userinit.exe

External resources:
https://docs.microsoft.com/en-us/windows/desktop/SecAuthN/registry-entries

reg add «HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun» /v Userinit /t REG_SZ /d «c:usersninaappdatalocaltemplownina.exe»,»C:Windowssystem32userinit.exe»

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Other, more exotic:
HKLMSYSTEMCurrentControlSetControlLsaNotification Packages
HKLMSYSTEMCurrentControlSetControlPrintMonitors
HKLMSoftwareMicrosoftWindows NTCurrentVersionDrivers32
HKLMSOFTWAREClassesHtmlfileShellOpenCommand(Default)
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

  • BAM
    BAM is a Windows service that Controls activity of background applications. This service exists in Windows 10 only after Fall Creators update – version 1709 (contains a list of executables run):
    HKLMSYSTEMCurrentControlSetServicesbamUserSettings{SID}

  • RecentApps
    Windows 10:
    HKCUSoftwareMicrosoftWindowsCurrent VersionSearchRecentApps

  • ShimCache:
    Last 1024 apps
    HKLMSYSTEMCurrentControlSetControlSession ManagerAppCompatCache

  • Image Execution Options
    reg add «HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe» /v «Debugger» /t REG_SZ /d «»…pathtonppLauncher.bat»» /f

[Cortana]
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.Windows.Cortana_1.10.7.17134_neutral_neutral_cw5n1h2txyewy /d «C:windowssystem32cmd.exe»
OR
reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.Windows.Cortana_1.10.7.17134_neutral_neutral_cw5n1h2txyewyDebugInformationCortanaUI.AppXy7vb4pc2dr3kc93kfc509b1d0arkfb2x.mca /v DebugPath /d «C:windowssystem32cmd.exe»

[People app]
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe /d «C:windowssystem32cmd.exe»
OR
reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbweDebugInformationx4c7a3b7dy2188y46d4ya362y19ac5a5805e5x.AppX368sbpk1kx658x0p332evjk2v0y02kxp.mca /v DebugPath /d «C:windowssystem32cmd.exe»

People app:

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe /d «C:windowssystem32cmd.exe»
OR
reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbweDebugInformationx4c7a3b7dy2188y46d4ya362y19ac5a5805e5x.AppX368sbpk1kx658x0p332evjk2v0y02kxp.mca /v DebugPath /d «C:windowssystem32cmd.exe»

Like this post? Please share to your friends:
  • Classic windows games for windows 10
  • Codelite скачать на русском windows 10
  • Cmak что это за папка windows 10
  • Classic sticky notes for windows 10
  • Codec vob windows media player 12