Hklm software microsoft windows nt currentversion drivers32

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:Program Filesnovirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker.

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.

Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:Temp, C:WINDOWSTemp, C:Documents and SettingsuserLocal SettingsTemp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) — типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun и

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

При нахождении в них подозрительных элементов — мочить гадов!

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:WINDOWSsystem32h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:WINDOWSsystem32userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Оригинальные параметры записи в реестре должны быть следующими:

Userinit = C:WINDOWSsystem32userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Вирус может прописать себя например так:

Userinit = C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32gertinw.exe

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:WINDOWSsystem32) и explorer.exe (находится в C:WINDOWS) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:windowssystem32driversetchosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes

и

HKEY_LOCAL_MACHINESYSTEMControlSet {номера 001 или 002}ServicesTcpipParameters PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Системный реестр Windows. Оптимизация и настройка реестра. Автозагрузка

Для удобства пользования используется следующая система, позволяющая наглядно представить все возможности реестра.

Используемые сокращения

HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKCR = HKEY_CLASSES_ROOT

Продолжение: страница 1. 2. 3. 4.

Вход в Windows

Также необходимо установить строковые значения DefaultUserName и DefaultPassword в этом же разделе равными имени пользователя и пароля, которые используются для входа в Windows. Возможно, вам также придется установить строковое значение DefaultDomainName, если ваш компьютер используется как домен. Однако, вы должны понимать, что при автоматическом входе любой пользователь, получивший доступ к вашем компьютеру, может узнать ваш пароль, который хранится в реестре в открытом виде.

создайте строковый параметр UIHost, в котором и пропишите полный путь к вашему новому файлу

и установить значения 2 для параметров FontSmoothing и FontSmoothingType и значение 1 для параметра FontSmoothingOrientation

Регистрационные данные
Если вы нажмете на пункт меню О программе в Проводнике или в других программах, поставляемых с Windows, то увидите, кто обладает правом использования этой копии. Также эти данные можно увидеть в апплете Система Панели управления. Возможно, вам компьютер достался от вашего босса Пупкина, и вы страстно хотели бы изменить регистрационные данные. Для этого нужно изменить строковые параметры RegisteredOwner (Ваше имя) и RegisteredOrganization (название организации) в разделе

строковый параметр SourcePath, указав в нем ваш путь

Диспетчер задач Windows
Чтобы запретить пользователю возможность запуска Диспетчера задач Windows, установите значение параметра типа DWORD DisableTaskMgr в разделе

равным 1

и присвойте параметру типа DWORD CrashOnCtrlScroll значение 1
Удерживая правую клавишу Ctrl, нажмите два раза на клавишу Scroll Lock и вы увидите этот синий экран

Сообщение при загрузке
Можно настроить систему таким образом, чтобы при загрузке выводилось окно с вашим сообщением. Для этого откройте раздел

и создайте строковый параметр LegalNoticeCaption и введите вашу строку, которая будет выводиться в заголовке вашего сообщения, а для текста самого сообщения используйте строковый параметр LegalNoticeText в том же разделе. Теперь перед входом в систему появится созданное вами сообщение

Восстановление системы
Восстановление системы используется для отмены конфигурации Windows. Программа позволяет вернуть настройки компьютера в более раннее состояние (контрольная точка). Все описываемые настройки являются параметрами DWORD и происходят в разделе

Панель переключателя задач

отредактировать значения строковых параметров CoolSwitchRows и CoolSwitchColumns соответственно

Всплывающие подсказки

Пароль после ждущего режима
Можно настроить систему таким образом, чтобы при включении компьютера после Ждущего режима появлялось диалоговое окно с приглашением ввести пароль. Для этого в разделе

создаем параметр типа DWORD PromptPasswordOnResume со значением 1

Автозагрузка

Внимательно проверьте, что за программы у вас запускаются. Подумайте, все ли они нужны вам при загрузке и лишнее просто удалите. Это позволит значительно ускорить загрузку Windows. В разделе

есть только два подраздела, отвечающие за автозагрузку: Run и Runonce. Изначально они пустые, так что все записи сделаны другими программами

Для запрета запуска программ, прописанных в подразделе Run раздела LOCAL MACHINE используется параметр DisableLocalMachineRun со значением 1. В этом случае система игнорирует содержимое списка Run, находящегося в LOCAL MACHINE.

Аналогично действует запрет списка Run Once для LOCAL MACHINE. За состояние этой политики отвечает параметр DisableLocalMachineRunOnce. Система игнорирует содержимое RunOnce в LOCAL MACHINE.
Для запрета списка Run раздела CURRENT USER используется параметр DisableCurrentUserRun.
Для запрета списка Run Once раздела CURRENT USER используется параметр DisableCurrentUserRunOnce

Контекстное меню панели задач
Если вы хотите запретить контекстное меню панели задач, то откройте раздел

и создайте параметр типа DWORD NoTrayContextMenu со значением 1

Диалоговое окно открытия и сохранения файла
Windows XP имеет новое диалоговое окно «ОткрытьСохранить файл», которое можно изменить по Вашему желанию.
В левой части диалогового окна расположены пять системных папок, которые можно поменять местами или изменить на те, которыми вы часто пользуетесь. Создайте в ветви

раздел «PlacesBar». В нем хранятся имена папок. Как я уже говорил, их пять. И у каждой свой параметр. У первой Place0, у второй Place1, а у пятой Place4. Системные папки имеют значение типа DWORD:

Название папки	Значение
Рабочий стол	00000000
Мои документы	00000005
Мои рисунки	00000027
Мои видеозаписи	0000000e
Мой компьютер	00000011
Избранное	00000006
Мое сетевое окружение	00000012
Шрифты	00000014
History	00000022

Папки могут быть и обычные, где строковое значение параметра Place указывает путь к папке. Например: Place1=»C:WindowsSystems»
Если вы не используете все пять параметров, а только часть из них, например Place0 и Place1, то в левой части диалогового окна будут отображаться столько же папок

Третий этап. Работаем с реестром. Итак, ищем раздел

и создаем раздел ShellNew. В этом разделе создаем строковый параметр FileName в качестве значения которого надо указать имя созданного нами шаблона (index.html). После перезагрузки в контекстном меню появится новый пункт.

Существуют и другие способы. Можно не создавать шаблон файла. Он может быть и пустым, но тогда вместо параметра FileName надо создать пустой строковый параметр NullFile

Источник

Hklm software microsoft windows nt currentversion font drivers

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

1. В автозагрузке операционной системы

В столбце «Команда» не должно быть подозрительных элементов, например C:Program Filesnovirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker.

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Дополнительно:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun и

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

2. Вместо проводника

В ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:WINDOWSsystem32h6d8dn.exe или подобную хрень.

Нужно посмотреть запись в реестре по адресу HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Оригинальные параметры записи в реестре должны быть следующими :

Userinit = C:WINDOWSsystem32userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Вирус может прописать себя например так :

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:WINDOWSsystem32) и explorer.exe (находится в C:WINDOWS) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:windowssystem32driversetchosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes

HKEY_LOCAL_MACHINESYSTEMControlSet <номера 001 или 002>ServicesTcpipParameters PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Источник

Hklm software microsoft windows nt currentversion font drivers

Профиль | Отправить PM | Цитировать

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Font Drivers
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/FontDPI
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/FontLink
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/FontMapper
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Fonts
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/FontSubstitutes
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/LanguagePack

Сообщения: 12426
Благодарности: 2328

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

Сообщения: 2
Благодарности:

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 36075
Благодарности: 6525

Источник

Опасные ветви реестра

Потенциально опасные параметры и ветви реестра

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/ControlMiniNT. Этому разделу вообще не место в Windows XP и тем более Windows 7, поэтому если он будет присутствовать в системе, то при каждой загрузке система будет выводить сообщение о нехватке размера файла подкачки pagefile.sys и создавать новый файл.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/ — об этом разделе уже упоминалось не раз — если он окажется удаленным, то диалоговое окно «Поиск» работать не будет.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/ — это еще один раздел, без которого не будет работать диалоговое окно «Поиск».

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon. Вообще эти ветви реестра могут включать в себя множество параметров, за содержимым которых необходимо следить. Например, к ним можно отнести следующие параметры строкового типа.

• System — определяет программы, которые будут запускаться с правами системы процессом WINLOGON.EXE при инициализации. Программы пишутся через запятую, то есть параметр может содержать вызов сразу нескольких программ. По умолчанию он ничему не равен.

• Userinit — указывает программы, которые будут запускаться с правами пользователя при его регистрации процессом WINLOGON.EXE. Программы пишутся через запятую, это опять-таки означает, что в данной ветви могут находиться сразу несколько вызовов программ. По умолчанию значение данного параметра равно %systemroot%system32userinit.exe.

• VmApplet — определяет программы, которые будут запускаться для настройки параметров виртуальной памяти процессом WINLOGON.EXE. Программы пишутся через запятую. По умолчанию значение данного параметра равно rundll32 shell32, Control_RunDLL «sysdm.cpl».

• Shell — указывает файлы оболочки, которые будут запускаться при входе пользователя. Он как раз и определяет, что вы используете стандартную оболочку Windows explorer.exe — именно эта строка является значением параметра Shell по умолчанию. Но если вы измените значение этого параметра, например, на explorer.exe, notepad.exe, то наряду с оболочкой Windows при вашем входе в систему будет запускаться и Блокнот. Этот параметр может находиться как в корневом разделе HKEY_CURRENT_USER, так и в разделе HKEY_LOCAL_MACHINE.

Опасные ветви реестра

HKEY_LOCAL_MACHINE SYSTEM

• GinaDLL — определяет путь к библиотеке msgina.dll, которая запускается вместе с системой по умолчанию и необходима для взаимодействия с оболочкой Windows. Если изменить значение этого параметра на вызов какой-нибудь программы, а не библиотеки, то при инициализации процесса

WINLOGON.EXE будет выдано сообщение об ошибке и вы не сможете войти в систему.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/ CurrentVersion/Windows.

Может содержать несколько потенциально опасных параметров, среди которых можно выделить следующие параметры строкового типа:
• Run — определяет программы, которые будут запускаться с правами пользователя при его входе. Как и рассмотренные выше параметры, он может вызывать сразу несколько программ — в этом случае они пишутся через запятую. Параметр может находиться как в корневом разделе реестра HKEY_CURRENT_USER, так и в корневом разделе HKEY_LOCAL_MACHINE.

• Load — указывает программы, которые будут запускаться с правами системы при входе любого пользователя. Как и рассмотренные выше параметры, он может вызывать сразу несколько программ — в этом случае они пишутся через запятую.

• AppInit_DLLs — определяет библиотеки, необходимые для совместимости с каким_нибудь оборудованием или программой. Все описанные в данном параметре библиотеки будут запускаться перед запуском любой программы.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser/Helper/Objects — определяет все CLSID, но мера ActiveX_объектов (в виде разделов, названных в честь CLSID_номера ActiveX_объекта), которые будут запускаться при каждом запуске браузера

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session/Manager — содержит REG_MULTI_SZ_параметр BootExecute, его значением являются команды, которые будут запускаться при каждой перезагрузке компьютера. Он используется системой для запуска таких системных программ работы с дисками, как автопроверка диска (значение этого параметра autocheck autochk *) или преобразование файловой системы диска FAT в NTFS (значение данного параметра autoconv DosDevicex: /FS:NTFS).

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current/Version/Image/File/Execution/Options — используется для возможности определения программ, при выполнении которых происходит утечка памяти. Но можно воспользоваться этой ветвью и для других целей. Например, если создать в ней раздел explorer.exe, а в нем создать DWORD-параметр ShutdownFlags и присвоить ему значение 3, то после выгрузки оболочки Windows существует вероятность, хотя и малая, что вы не сможете ее загрузить. Система может не дать вам этого сделать. Но даже если вы и сможете загрузить оболочку, то, скорее всего, увеличится количество ошибок неправильной адресации к памяти, выдаваемых различными программами.

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBootoption — определяет, в каком режиме будет загружаться операционная система — обычном или безопасном. Именно поэтому возможен такой режим — создайте в этой ветви реестра DWORD_параметр OptionValue и присвойте ему значение, равное 1. Теперь вы всегда будете загружаться в режиме, в чем-то подобном безопасному, т.е. будет загружаться лишь минимальный набор сервисов, но драйверы устройств, таких как видеокарта, будут использоваться обычные, устанавливаемые вместе с устройством (а не стандартные, как при полноценном безопасном режиме). При этом, даже если вы являетесь администратором компьютера, вам будет запрещено запускать такие службы, как, например, Windows Audio, которые нельзя запускать в безопасном режиме. Раздел «option» создается только в безопасном режиме.

Опасные ветви реестра: здесь могут быть трояны

За автозапуск служб и приложений операционной системы ответственность можно возложить на следующие ветви, которые разделю на несколько групп:

параметр Common Startup

параметр Common Startup

параметр Startup

параметр Startup

параметр load (если существует)

Источник

Каково назначение основных разделов реестра Windows

Вступление

В данной статье будут рассмотрены основные ветки реестра Windows, а также их назначение. Список корневых разделов можно увидеть ниже:

Типы данных в реестре

В реестре могут храниться данные семи типов:

При добавлении параметров в реестр нужно обязательно использовать тот тип данных, который указан в источнике, откуда взята информация о необходимости добавить параметр. Если тип данных не будет соответствовать тому, который ожидает найти приложение в указанном месте, то последствия могут быть непредсказуемыми.

HKEY_LOCAL_MACHINE (HKLM)

HKLMHardware

В разделе HKLMHardware хранится информация об устройствах, обнаруженных в компьютере. Все параметры этого раздела хранятся не на жестком диске, а в оперативной памяти. Когда компьютер распознает запуск устройства, он нумерует найденное устройство, исследуя шину и отдельные классы устройств (например, порты или клавиатуру). В этом разделе имеются три основных подраздела:

Могут быть и дополнительные подразделы, в зависимости от конфигурации компьютера. Например, компьютеры с поддержкой интерфейса управления питанием (ACPI), будут иметь подраздел ACPI, содержащий информацию о конкретных возможностях ACPI на этом компьютере.

HKLMSAM

В разделе HKLMSAM хранятся локальные учетные записи или группы, созданные на компьютере. Раздел скрыт.

HKLMSecurity

В разделе HKLMSecurity содержится всевозможная информация, относящаяся к защите. Формат не документирован. Используется для кэширования верительных данных для входа в систему, настроек политики и разделяемых секретных данных сервера. Подраздел SecuritySAM содержит копию большинства данных из HKLMSAM

HKLMSoftware

HKLMSystemCurrentControlSet

Последним действием фазы загрузки Windows является обновление реестра, которое должно зафиксировать набор служб и управляющих настроек, применявшийся при последней успешной загрузке. CurrentControlSet всегда указывает на набор управляющих настроек, используемых системой в текущий момент. В HKLMSystem есть много подразделов ControlSetXXX, каждый из которых описывает набор управляющих настроек, существовавших в какой-либо момент времени, независимо от того, была ли загрузка успешной или нет. CurrentControlSet является указателем на последний набор управляющих настроек, при котором загрузка была успешной. Поскольку трудно определить сразу, какая из загрузок была успешной, то операционная система и приложения пользуются указателем CurrentControlSet.
В разделе, описывающем набор управляющих настроек, среди прочих, имеются четыре следующих раздела:

HKEY_USERS (HKU)

HKEY_CURRENT_CONFIG (HKCC)

HKEY_CURRENT_USER (HKCU)

Раздел HKEY_CURRENT_USER (HKCU) указывает на профиль текущего пользователя (вошедшего в данный момент в систему) внутри HKU. Microsoft требует, чтобы приложения хранили все предпочтения пользователей в подразделах под HKCU. Например, HKCUSoftwareMicrosoftWindowsCurrentVersionAppletsPaint содержит личные настройки пользователей программы Paint.

HKEY_CLASSES_ROOT (HKCR)

Источник

Adblock
detector

App init process injection registry keys:

App init DLLS:

• HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
• HKLMSoftwareWow6432NodeMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs

Description: DLLs specified by this value are loaded in all applications with User32.dll linked (very few do not).
Interestingly, it seems there is another registry value that defines the registry HKLMSoftware subbranch whereas App init DLLs should be searched for:
ComputerHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingwin.iniWindowsAPPINIT_DLLS
the default value (Win10 x64): SYS:MICROSOFTWINDOWS NTCURRENTVERSIONWINDOWS

Also, there is a ComputerHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsLoadAppInit_DLLs key (default value 0x0), suggesting a switch for this feature.

External resources: https://support.microsoft.com/en-us/help/197571/working-with-the-appinit-dlls-registry-value
Remark: What about HKCU?

App cert DLLs

• HKLMSystemCurrentControlSetControlSession ManagerAppCertDlls

Description: DLLs specified by this value are loaded into any application that makes use of the following API functions: CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW, WinExec

External resources: https://attack.mitre.org/techniques/T1182/

cmd.exe keys

• HKEY_LOCAL_MACHINESoftwareMicrosoftCommand ProcessorAutoRun
• HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun

Image file execution options

• HKLMSoftwareMicrosoftWindows NTcurrentversionimage file execution options

Description:
Contains subkeys corresponding to individual executable names, with custom execution options.
If «Debugger» option is defined, it points to the binary that is called by the OS instead of the target executable, passing the path to the original executable (along with its command line parameters) as command line parameters (this feature is intended for defining application-custom debugger). Hence, it is a great persistence method.

External resources:
https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/
https://support.microsoft.com/en-us/help/238788/how-to-debug-common-gateway-interface-applications-running-under-iis-b

Winlogon packages

reg add «HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon» /v Userinit
/t REG_SZ /d «C:SomeEvilBinary.exe»,»C:Windowssystem32userinit.exe»

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Userinit REG_SZ C:Windowssystem32userinit.exe

External resources:
https://docs.microsoft.com/en-us/windows/desktop/SecAuthN/registry-entries

reg add «HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun» /v Userinit /t REG_SZ /d «c:usersninaappdatalocaltemplownina.exe»,»C:Windowssystem32userinit.exe»

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Other, more exotic:
HKLMSYSTEMCurrentControlSetControlLsaNotification Packages
HKLMSYSTEMCurrentControlSetControlPrintMonitors
HKLMSoftwareMicrosoftWindows NTCurrentVersionDrivers32
HKLMSOFTWAREClassesHtmlfileShellOpenCommand(Default)
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

• BAM
  BAM is a Windows service that Controls activity of background applications. This service exists in Windows 10 only after Fall Creators update – version 1709 (contains a list of executables run):
  HKLMSYSTEMCurrentControlSetServicesbamUserSettings{SID}

• RecentApps
  Windows 10:
  HKCUSoftwareMicrosoftWindowsCurrent VersionSearchRecentApps

• ShimCache:
  Last 1024 apps
  HKLMSYSTEMCurrentControlSetControlSession ManagerAppCompatCache

• Image Execution Options
  reg add «HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe» /v «Debugger» /t REG_SZ /d «»…pathtonppLauncher.bat»» /f

[Cortana]
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.Windows.Cortana_1.10.7.17134_neutral_neutral_cw5n1h2txyewy /d «C:windowssystem32cmd.exe»
OR
reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.Windows.Cortana_1.10.7.17134_neutral_neutral_cw5n1h2txyewyDebugInformationCortanaUI.AppXy7vb4pc2dr3kc93kfc509b1d0arkfb2x.mca /v DebugPath /d «C:windowssystem32cmd.exe»

[People app]
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe /d «C:windowssystem32cmd.exe»
OR
reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbweDebugInformationx4c7a3b7dy2188y46d4ya362y19ac5a5805e5x.AppX368sbpk1kx658x0p332evjk2v0y02kxp.mca /v DebugPath /d «C:windowssystem32cmd.exe»

People app:

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe /d «C:windowssystem32cmd.exe»
OR
reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbweDebugInformationx4c7a3b7dy2188y46d4ya362y19ac5a5805e5x.AppX368sbpk1kx658x0p332evjk2v0y02kxp.mca /v DebugPath /d «C:windowssystem32cmd.exe»

Вступление

В данной статье будут рассмотрены основные ветки реестра Windows, а также их назначение. Список корневых разделов можно увидеть ниже:

• HKEY_LOCAL_MACHINE (HKLM)
• HKEY_USERS
• HKEY_CURRENT_CONFIG
• HKEY_CURRENT_USER
• HKEY_CLASSES_ROOT

Типы данных в реестре

В реестре могут храниться данные семи типов:

• REG_BINARY хранит произвольные двоичные данные в «сыром» виде, без переформатирования и синтаксического разбора. Эти данные можно просматривать в двоичном или шестнадцатеричном виде при помощи редактора реестра.
• REG_DWORD хранит параметры, представленные восьмибайтными (длинные) целыми числами. Этот тип данных обычно применяется, когда параметр обозначает счетчик или интервал. Еще одно его применение в качестве флага (0 — флаг снят, 1 — установлен).
• REG_SZ представляет собой обычную строку в кодировке Unicode любой длины. Наиболее часто в этом типе данных хранится информация, которая будет читаться пользователем, пути доступа, названия устройств и т.п.
• REG_EXPAND_SZ — вид REG_SZ, используемый приложениями для хранения конструкций вида %SystemRoot%System32, например. При чтении этой строки Windows заменяет %SystemRoot% на имя папки, куда она установлена.
• REG_MULTI_SZ представляет собой набор произвольного количества параметров типа REG_SZ. В этом типе данных хранится, например, список IP адресов, назначенных сетевому интерфейсу.
• REG_FULL_RESOURCE_DESCRIPTOR применяется для кодирования информации о системных ресурсах, необходимых для какого-либо из устройств.
• REG_NONE служит как семафор, т.е. параметр существует, но не содержит ни какого значения. Некоторые приложения проверяют наличие этого параметра и, исходя из результата проверки, выполняют или не выполняют действие.

При добавлении параметров в реестр нужно обязательно использовать тот тип данных, который указан в источнике, откуда взята информация о необходимости добавить параметр. Если тип данных не будет соответствовать тому, который ожидает найти приложение в указанном месте, то последствия могут быть непредсказуемыми.

HKEY_LOCAL_MACHINE (HKLM)

Раздел HKEY_LOCAL_MACHINE (HKLM) — хранит все настройки, относящиеся к локальному компьютеру. Например, в подразделе HARDWARE хранятся записи операционной системы и драйверов и совместно используемая (разделяемая) информация о физических устройствах, обнаруживаемых операционной системой во время загрузки (как и остальных устройств Plug-and-Play, которые могут быть добавлены после загрузки операционной системы). Приложения должны хранить здесь данные только в том случае, когда они относятся ко всем, кто пользуется компьютером. Например, драйвер принтера может хранить здесь набор настроек принтера, применяемых по умолчанию, и копировать эти данные для каждого профиля пользователя при входе пользователя в систему.

HKLMHardware

В разделе HKLMHardware хранится информация об устройствах, обнаруженных в компьютере. Все параметры этого раздела хранятся не на жестком диске, а в оперативной памяти. Когда компьютер распознает запуск устройства, он нумерует найденное устройство, исследуя шину и отдельные классы устройств (например, порты или клавиатуру). В этом разделе имеются три основных подраздела:

• Подраздел Descriptions содержит описания центральных процессоров, процессоров для операций вещественными числами («с плавающей точкой») и многофункциональных устройств компьютера.
• Подраздел DeviceMap сопоставляет устройства драйверам. Например, DeviceMapvideo имеет параметр с именем DeviceVideo1, содержащий строку REGISTRYMachineSYSTEMControlSet001ServicesmnmddDevice0, являющуюся указателем на место, где хранятся параметры для драйвера этого видеоконтроллера.
• В подразделе ResourceMap имеются три основных подраздела. Один — для уровня аппаратных абстракций (HAL, hardware abstraction layer), применяемый при отслеживании найденных устройств. Второй — для Plug-and-Play Manager, для записи устройств, про которые известно, как с ними работать. Третий — для отображения объема оперативной памяти.

Могут быть и дополнительные подразделы, в зависимости от конфигурации компьютера. Например, компьютеры с поддержкой интерфейса управления питанием (ACPI), будут иметь подраздел ACPI, содержащий информацию о конкретных возможностях ACPI на этом компьютере.

HKLMSAM

В разделе HKLMSAM хранятся локальные учетные записи или группы, созданные на компьютере. Раздел скрыт.

HKLMSecurity

В разделе HKLMSecurity содержится всевозможная информация, относящаяся к защите. Формат не документирован. Используется для кэширования верительных данных для входа в систему, настроек политики и разделяемых секретных данных сервера. Подраздел SecuritySAM содержит копию большинства данных из HKLMSAM

HKLMSoftware

Раздел HKLMSoftware — является корнем структуры подразделов, хранящих глобальную (в пределах компьютера) информацию приложений и компонент. Программы создают свои собственные подразделы в HKLMSoftware для храниения своей служебной информации. В разделе HKLMSoftwareMicrosoftWindowsCurrentVersion хранится большинство данных о настройках пользовательского интерфейса (GUI). Подраздел HKLMSoftwareMicrosoftWindows NTCurrentVersion, среди прочих, содержит разделы для автоматического восстановления, для шифруемой файловой системы, для редактора конфигурации безопасности, для терминальных служб и т.д

HKLMSystemCurrentControlSet

Последним действием фазы загрузки Windows является обновление реестра, которое должно зафиксировать набор служб и управляющих настроек, применявшийся при последней успешной загрузке. CurrentControlSet всегда указывает на набор управляющих настроек, используемых системой в текущий момент. В HKLMSystem есть много подразделов ControlSetXXX, каждый из которых описывает набор управляющих настроек, существовавших в какой-либо момент времени, независимо от того, была ли загрузка успешной или нет. CurrentControlSet является указателем на последний набор управляющих настроек, при котором загрузка была успешной. Поскольку трудно определить сразу, какая из загрузок была успешной, то операционная система и приложения пользуются указателем CurrentControlSet.
В разделе, описывающем набор управляющих настроек, среди прочих, имеются четыре следующих раздела:

• Control — Содержит управляющую информацию для служб и системных инструментальных средств. Например, ControlBackupRestoreKeysNotToRestore содержит список разделов, которые утилита Backup на должна восстанавливать при восстановлении реестра.
• Enum — Содержит по одному элементу данных для каждого из найденных системой устройств. Если устройство имелось на на момент загрузки, то оно будет включено в этот список.
• Hardware Profiles — Содержит по одному элементу данных для каждого из профилей оборудования, найденных на компьютере. Как и сам HKLMSystem, каждый профиль имеет порядковый номер, начинающийся с 0001. HKLMSystemHardware ProfilesCurrent всегда указывает на профиль, выбранный при загрузке.
• HKLMSystemMountedDevices — Тома динамических дисков зависят от наличия информации о текущей конфигурации о логических томах на диске. Приложения и оснастки берут эту информацию из службы Logical Volume Manager, которая хранит свой список смонтированных и доступных устройств и подразделе MountedDevices

HKEY_USERS (HKU)

Раздел HKEY_USERS (HKU) — содержит записи для каждого из пользователей, когда-либо входивших в систему. Владельцем каждой из этих записей является соответствующая пользовательская учетная запись, там содержатся настройки профиля этого пользователя. Если используются групповая политика, то задаваемые в ней настройки применяются здесь к профилям отдельных пользователей.

HKEY_CURRENT_CONFIG (HKCC)

Раздел HKEY_CURRENT_CONFIG (HKCC) — хранит информацию о текущей загрузочной конфигурации компьютера. В частности, здесь хранится информация о текущем наборе системных служб и об устройствах, имевшихся во время загрузки. На самом деле, этот корневой раздел является указателем на раздел внутри HKLM.

HKEY_CURRENT_USER (HKCU)

Раздел HKEY_CURRENT_USER (HKCU) указывает на профиль текущего пользователя (вошедшего в данный момент в систему) внутри HKU. Microsoft требует, чтобы приложения хранили все предпочтения пользователей в подразделах под HKCU. Например, HKCUSoftwareMicrosoftWindowsCurrentVersionAppletsPaint содержит личные настройки пользователей программы Paint.

HKEY_CLASSES_ROOT (HKCR)

Раздел HKEY_CLASSES_ROOT (HKCR) — сопоставляет расширения файлов и идентификаторы классов OLE. Фактически он указывает на HKLMSoftwareClasses. Система использует эти соответствия чтобы определить, какие приложения или компоненты нужно использовать при открытии или создании тех или иных типов файлов или объектов данных.

Для удобства пользования используется следующая система, позволяющая наглядно представить все возможности реестра.

Используемые сокращения

HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKCR = HKEY_CLASSES_ROOT

• Вход в Windows
• Регистрационные данные
• Путь установки Windows
• Диспетчер задач Windows
• Синий Экран Смерти
• Сообщение при загрузке
• Восстановление системы
• Панель переключателя задач
• Всплывающие подсказки
• Пароль после ждущего режима
• Автозагрузка
• Контекстное меню панели задач
• Диалоговое окно открытия и сохранения файла
• Добавление нового пункта в меню «Создать»

Продолжение: страница 1…2…3…4…

Вход в Windows

• Автоматический вход в Windows
  Существует возможность автоматического входа в Windows, минуя экран приветствия. Учтите, что данный способ не совсем безопасен, так как любой может войти в систему, если не требуется вводить пароль. Для автоматического входа в систему требуется изменить строковый параметр AutoAdminLogon на 1 в разделе
  

  HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogon

  Также необходимо установить строковые значения DefaultUserName и DefaultPassword в этом же разделе равными имени пользователя и пароля, которые используются для входа в Windows. Возможно, вам также придется установить строковое значение DefaultDomainName, если ваш компьютер используется как домен. Однако, вы должны понимать, что при автоматическом входе любой пользователь, получивший доступ к вашем компьютеру, может узнать ваш пароль, который хранится в реестре в открытом виде.

• Лимит на число попыток автоматического входа в Windows.
  Данная настройка является логическим продолжением предыдущей настройки. Можно задать число попыток для автоматического входа в Windows. В этом случае в том же разделе надо создать параметр Dword AutoLogonCount и присвоить ему некоторое значение. Например, если вы присвоите значение 5, то система пять раз автоматически войдет в Windows. Причем, при каждом входе данный параметр в реестре будет автоматически уменьшаться на единицу. Когда значение параметра достигнет 0, ключи AutoLogonCount и DefaultPassword будут удалены из реестра, а параметру AutoAdminLogo будет присвоено значение 0.
• Экран приветствия
  Существует возможность замены экрана приветствия без модификации самого файла logonui.exe, в котором содержится внешний вид экрана. Для этого скачайте из интернета или создайте самостоятельно такой экран. Затем в разделе
  

  HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/WinLogon

  создайте строковый параметр UIHost, в котором и пропишите полный путь к вашему новому файлу

• ClearType
  Совет для пользователей ноутбуков или жидкокристаллических мониторов. Для дисплеев такого типа Microsoft разработала технологию ClearType, значительно улучшающую восприятие текста. Но эта опция в настройках экрана включается отдельно для каждого пользователя и не работает до тех пор, пока профиль пользователя не загружен (экран приветствия, например). Чтобы включить этот режим и для экрана приветствия, нужно открыть раздел:
  

  HKU.DEFAULTControl PanelDesktop

  и установить значения 2 для параметров FontSmoothing и FontSmoothingType и значение 1 для параметра FontSmoothingOrientation

Регистрационные данные
Если вы нажмете на пункт меню О программе в Проводнике или в других программах, поставляемых с Windows, то увидите, кто обладает правом использования этой копии. Также эти данные можно увидеть в апплете Система Панели управления. Возможно, вам компьютер достался от вашего босса Пупкина, и вы страстно хотели бы изменить регистрационные данные. Для этого нужно изменить строковые параметры RegisteredOwner (Ваше имя) и RegisteredOrganization (название организации) в разделе

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersion

Путь установки Windows
Иногда приходится переустанавливать Windows с разных мест — с жесткого диска, с компакт-диска, с записывающего CD-RW. Но Windows запоминает путь инсталляционных файлов, что порой создает проблему. Чтобы «обмануть» Windows, используйте в разделе

HKLMSOFTWAREMicrosoftWindowsCurrentVersionSetup

строковый параметр SourcePath, указав в нем ваш путь

Диспетчер задач Windows
Чтобы запретить пользователю возможность запуска Диспетчера задач Windows, установите значение параметра типа DWORD DisableTaskMgr в разделе

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

равным 1

Синий Экран Смерти
Если вы хотите полюбоваться на культовый Синий Экран Смерти — Blue Screen of Death (BSOD) в любое время, то откройте раздел

HKLMSYSTEMCurrentControlSetServisesi8042prtParameters

и присвойте параметру типа DWORD CrashOnCtrlScroll значение 1
Удерживая правую клавишу Ctrl, нажмите два раза на клавишу Scroll Lock и вы увидите этот синий экран

Сообщение при загрузке
Можно настроить систему таким образом, чтобы при загрузке выводилось окно с вашим сообщением. Для этого откройте раздел

HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon

и создайте строковый параметр LegalNoticeCaption и введите вашу строку, которая будет выводиться в заголовке вашего сообщения, а для текста самого сообщения используйте строковый параметр LegalNoticeText в том же разделе. Теперь перед входом в систему появится созданное вами сообщение

Восстановление системы
Восстановление системы используется для отмены конфигурации Windows. Программа позволяет вернуть настройки компьютера в более раннее состояние (контрольная точка). Все описываемые настройки являются параметрами DWORD и происходят в разделе

HKLMSoftwareMicrosoftWindows NTCurrentVersionSystemRestore

• CompressionBurst — задает время сжатия в секундах при простое системы. Восстановление системы сохраняет данные в течение данного времени и прекращает свою работу до следующего периода простоя системы
• DiskPersent — указывает, какой объем дискового пространства будет использовать программа. Для дисков с объемом более 4 Гигабайт по умолчанию используется 12 процентов
• DSMax — указывает, какой объем дискового пространства будет использовать программа. Для дисков с объемом менее 4 Гигабайт по умолчанию используется 400 мегабайт
• DSMin — указывает минимальное количество свободного дискового пространства, которое потребуется программе восстановления системы для создания точек восстановления
• RestoreStatus — статус последней операции восстановления системы (0 — ошибка, 1 — успешное восстановление, 2 — прерванная операция)
• RPGlobalInterval — число секунд, в течении которого программа ожидает перед созданием новой контрольной точки. По умолчанию — 24 часа (86400)
• RPLifeInterval— число секунд, в течении которого программа хранит точки восстановления перед их удалением. По умолчанию 90 дней (7776000)
• RPSessionInterval — число секунд, в течении которого ожидает перед созданием новой контрольной точки при включенном компьютере. По умолчанию установлено 0 (выключено), вы можете установить свое значение (например, интервал в один час), чтобы программа создавала контрольные точки через заданный интервал
• ThawInterval — число секунд, в течении которого программа ожидает перед возобновлением своей работы, если появился свободный объем дискового пространства.

Панель переключателя задач

• Отключение панели переключателя задач
  Чтобы отключить панель переключателя задач (который выводится по Alt+Tab), надо в разделе
  

  HKCUControl PanelDesktop

  присвоить строковому параметру CoolSwitch значение 0 (чтобы включить — значение 1)

• Изменение числа строк и колонок
  Чтобы изменить число строк и колонок, показываемое на панели переключателя задач (который выводится по Alt+Tab), надо в разделе
  

  HKCUControl PanelDesktop

  отредактировать значения строковых параметров CoolSwitchRows и CoolSwitchColumns соответственно

Всплывающие подсказки

• Описания папок и файлов на Рабочем столе и в Проводнике
  Если подвести указатель какому-нибудь элементу рабочего стола или оболочки, то открывается небольшое окно, содержащее текст описания этого элемента. Чтобы запретить появление этих окон, нужно присвоить параметру типа DWORD ShowInfoTip значение 0 в разделе
  

  HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

• Всплывающие подсказки на панели задач
  Windows XP показывает всплывающие подсказки для начинающих пользователей. Чтобы отключить подсказки, нужно присвоить параметру типа DWORD EnableBalloonTips значение 0 в разделе
  

  HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

Пароль после ждущего режима
Можно настроить систему таким образом, чтобы при включении компьютера после Ждущего режима появлялось диалоговое окно с приглашением ввести пароль. Для этого в разделе

HKCUSoftwarePoliciesMicrosoftWindowsSystemPower

создаем параметр типа DWORD PromptPasswordOnResume со значением 1

Автозагрузка

• Что скрывается в автозагрузке?
  Существует несколько способов прописать программу в автозагрузку. Самый простой — скопировать программу или ярлык в папку Автозагрузка. Но существует другой способ — через реестр. Этим способом часто пользуются вредоносные программы (вирусы, трояны, шпионы) Сперва откройте раздел
  

  HKLMSoftwareMicrosoftWindowsCurrentVersion.

  Найдите там подразделы Run, RunOnce В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ. Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа, если надо — то с параметрами. Обратите внимание на разделы, в названии которых присутствует «Once». Это разделы, в которых прописываются программы, запуск которых надо произвести всего один раз. Например, при установке новых программ некоторые из них прописывают туда ключи, указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера. Такие ключи после своего запуска автоматически удаляются.

  Внимательно проверьте, что за программы у вас запускаются. Подумайте, все ли они нужны вам при загрузке и лишнее просто удалите. Это позволит значительно ускорить загрузку Windows. В разделе

  HKCUSOFTWAREMicrosoftWindowsCurrentVersion

  есть только два подраздела, отвечающие за автозагрузку: Run и Runonce. Изначально они пустые, так что все записи сделаны другими программами

• Запрет на автозагрузку
  Существуют способы наложения запрета на автозагрузку программ через записи в реестре, указанные выше. Используются параметры типа DWORD. Все параметры должны храниться в разделе
  

  HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

  Для запрета запуска программ, прописанных в подразделе Run раздела LOCAL MACHINE используется параметр DisableLocalMachineRun со значением 1. В этом случае система игнорирует содержимое списка Run, находящегося в LOCAL MACHINE.

  Аналогично действует запрет списка Run Once для LOCAL MACHINE. За состояние этой политики отвечает параметр DisableLocalMachineRunOnce. Система игнорирует содержимое RunOnce в LOCAL MACHINE.
  Для запрета списка Run раздела CURRENT USER используется параметр DisableCurrentUserRun.
  Для запрета списка Run Once раздела CURRENT USER используется параметр DisableCurrentUserRunOnce

Контекстное меню панели задач
Если вы хотите запретить контекстное меню панели задач, то откройте раздел

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplоrer

и создайте параметр типа DWORD NoTrayContextMenu со значением 1

Диалоговое окно открытия и сохранения файла
Windows XP имеет новое диалоговое окно «ОткрытьСохранить файл», которое можно изменить по Вашему желанию.
В левой части диалогового окна расположены пять системных папок, которые можно поменять местами или изменить на те, которыми вы часто пользуетесь. Создайте в ветви

HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciescomdlg32

раздел «PlacesBar». В нем хранятся имена папок. Как я уже говорил, их пять. И у каждой свой параметр. У первой Place0, у второй Place1, а у пятой Place4. Системные папки имеют значение типа DWORD:

Название папки	Значение
Рабочий стол	00000000
Мои документы	00000005
Мои рисунки	00000027
Мои видеозаписи	0000000e
Мой компьютер	00000011
Избранное	00000006
Мое сетевое окружение	00000012
Шрифты	00000014
History	00000022

Папки могут быть и обычные, где строковое значение параметра Place указывает путь к папке. Например: Place1=»C:WindowsSystems»
Если вы не используете все пять параметров, а только часть из них, например Place0 и Place1, то в левой части диалогового окна будут отображаться столько же папок

• Старый вид диалогового окна
  Чтобы вернуться к старому виду диалогового окна Windows 95/98, создайте строковый параметр NoPlacesBar со значением 1 (или любым другим) в
  

  HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciescomdlg32

• Убираем кнопку Назад
  Чтобы убрать кнопку Назад из Общего диалогового окна, создайте параметр NoBackButton типа DWORD со значением 1 в
  

  HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciescomdlg32

• Списки последних открытых и сохранённых файлов в стандартных окнах открытия и сохранения файлов
  Каждый раз, когда мы пользуемся стандартными диалоговыми окнами, то Windows сохраняет список последних открытых и сохранённых файлов в реестре. Порой эти записи слишком разрастаются. Кроме того, возможно вам не хотелось бы оставлять следы своей деятельности на компьютере. Этот список можно безболезненно удалить (или часть записей). Данный список хранится по адресу
  

  HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerComDlg32

Добавление нового пункта в меню «Создать»
Пункт контекстного меню «Создать» появляется, если щелкнуть на Рабочем столе или в Проводнике на свободном месте открытой папки. Существует возможность добавления нового пункта в это меню. Например, если вы веб-дизайнер, то было бы удобно иметь пункт Документ HTML, который позволит вам сразу создать заготовку для вашей странички.
Разобъем работу на несколько этапов. Для начала найдем каталог ShellNew в папке Windows. Там хранятся заготовки для файлов, которые создаются с помощью контекстного меню. Например, если у вас установлен Microsoft Office, то вы увидите в этом каталоге файлы-заготовки для Word и Exce.
Следующий шаг — создайте в папке файл, например index.html. Внутри него напишите шаблон вашей странички. Например, так:

Мой заголовок

Третий этап. Работаем с реестром. Итак, ищем раздел

HKEY_CLASSES_ROOT.html

и создаем раздел ShellNew. В этом разделе создаем строковый параметр FileName в качестве значения которого надо указать имя созданного нами шаблона (index.html). После перезагрузки в контекстном меню появится новый пункт.

Существуют и другие способы. Можно не создавать шаблон файла. Он может быть и пустым, но тогда вместо параметра FileName надо создать пустой строковый параметр NullFile