Удалить Webssearches.com из Google Chrome, Mozilla Firefox, Internet Explorer

Webssearches.com

Webssearches.com устанавливается на ваш компьютер вместе с бесплатными программами. Этот способ можно назвать «пакетная установка». Бесплатные программы предлагают вам установить дополнительные модули (Webssearches.com). Если вы не отклоните предложение установка начнется в фоне. Webssearches.com копирует свои файлы на компьютер. Обычно это файл pcm_webssearches.exe. Иногда создается ключ автозагрузки с именем Webssearches.com и значением pcm_webssearches.exe. Вы также сможете найти угрозу в списке процессов с именем pcm_webssearches.exe или Webssearches.com. также создается папка с названием Webssearches.com в папках C:\Program Files\ или C:\ProgramData. После установки Webssearches.com начинает показывать реламные баннеры и всплывающую рекламу в браузерах. рекомендуется немедленно удалить Webssearches.com. Если у вас есть дополнительные вопросы о Webssearches.com, пожалуйста, укажите ниже. Вы можете использовать программы для удаления Webssearches.com из ваших браузеров ниже.

Что такое реестр?

Это своего рода база данных, которая содержит массив атрибутов и значений, отвечающих за конфигурацию Windows и установленных приложений. Также, там храниться информация об учётных записях пользователей.

Когда Вы деинсталлируете софт, то в реестре остаются следы. В статье про оптимизацию работы ПК я писиал об этом. К примеру, после удаления графического редактора Photoshop я обнаружил немного «мусора»:

А после использования утилиты для поиска рекламных вирусов Anti-Malware (от Malwarebytes) было найдено множество ключей, которые пришлось почистить вручную:

Представьте, сколько подобного «хлама» может собраться за месяц, год. И всё это замедляет систему, потребляя ресурсы ПК.

Хорошо, что есть доступ к утилите «regedit», где можно самостоятельно отыскать неиспользуемые записи и удалить их. Это также очень эффективный способ для выявления вирусов (точнее последствий их активности).

Вообще-то, реестр не может содержать трояны и прочие вредоносные скрипты, но в нём могут храниться измененные записи, влияющие на работоспособность системы. Вирусы могут влиять на автозагрузку, выполнение процессов и т.д. С этим нужно бороться, согласны?

Не беспокойтесь, работать с файлами реестра в другой учётной записи пользователя ПК из учётной записи администратора вполне можно, что сэкономит ваше время, избавит от огорчений и необходимости сохранять содержащие все нужные изменения текстовые и конфигурационные файлы, не говоря уж о перенесении этих файлов с одного аккаунта на другой.

Ранее мы уже видели насколько в Windows важен реестр и как изменения в нём влияют на работу ПК. В рамках предприятия, системные администраторы для настройки, развёртывания, управления приложениями и установки пользовательских настроек персональных компьютеров часто используют групповые политики.

Regedit.exe

Инструмент RegEdit уже был описан в предыдущей статье, так что сосредоточимся на том, как использовать этот встроенный инструмент для редактирования реестра на другом компьютере. Если вы тестируете определённый сценарий, вы всегда можете экспортировать копию своего реестра, чтобы потом при необходимости его импортировать.
Откройте окно командной строки (от имени администратора), поиск в меню «Пуск», либо нажав Windows+X в Windows 8 или 8.1, и введите следующую команду:

C:\mkdir c:\Temp
Regedit.exe /e c:\temp\yourname.reg

Для того, чтобы загрузить другую ветвь реестра в текущую, выполните следующие действия:

  • Войдите на компьютер в качестве администратора.
  • На стартовом экране введите RegEdit и нажмите Enter.
  • Согласитесь с предупреждением User Account Control (UAC).
  • Выберите ветку HKEY_LOCAL_MACHINE.
  • В меню «Файл» выберите команду «Загрузить куст реестра».
  • Найдите нужный файл узла реестра и нажмите кнопку OK.
  • Дайте понятное имя для загружаемого файла реестра.

После того, как вы просмотрели или изменили параметры реестра, выгрузите этот файл, выбрав в меню «Файл» пункт выгрузки куста реестра.

Если вы хотите подключиться к реестру, принадлежащему другой учётной записи пользователя, как и раньше запустите программу regedit.exe, затем из профиля пользователя, к которому вы хотите получить доступ, откройте NTuser.dat. Файлы ntuser.dat (или NTUSER.MAN) в Windows Vista находятся в папке «Документы и настройки», в Windows 7 или более поздних версиях, в папке пользователя. По сути вы загрузите на свой ПК файл узла реестра другого пользователя.

  • Войдите в систему в качестве администратора.
  • На стартовом экране введите RegEdit и нажмите Enter.
  • Согласитесь с предупреждением контроля учётных записей.
  • Выберите ветку HKEY_USERS.
  • В меню «Файл» выберите команду «Загрузить куст».
  • Перейдите к папке профиля и выберите ntuser.dat.
  • При появлении запроса на имя ключа, введите имя пользователя в качестве справочной метки.
  • RegEdit будет импортировать данные реестра пользователя.
  • После того, как вы просмотрели или сделали изменения, выделите куст и из меню «Файл» выберите опцию выгрузки куста.

Загрузка_RegEdit_Ntuser.dat

Для того, чтобы загрузить один и тот же куст в RegEdit, в командной строке с повышенными правами или административной консоли PowerShell, введите следующую команду, с именем учётной записи загружаемого куста:

reg.exe load HKLM\User «c:\users\User\ntuser.dat»

Внимание. С помощью RegEdit вы можете получить доступ только к кустам HKEY_USERS и HKEY_LOCAL_MACHINE другого пользователя.

По умолчанию система скрывает NTuser файлы, так что для отображения скрытых системных файлов вам придётся, в файловом проводнике, изменить настройки свойства папки.

Если у вас нет сторонних инструментов, а вы хотите сравнить два реестра, в административной консоли PowerShell, для запуска другого экземпляра RegEdit, используйте следующую команду:

Regedit.exe –m

Если RegEdit у вас не запущен, вы получите сообщение об ошибке. После запуска двух экземпляров RegEdit, если вы используете Windows 7 или более позднюю версию ОС, для сравнения результатов, вы можете использовать функцию Windows Snap.

Сравнение_двух_окон_RegEdit

Если вы ещё не знакомы с функцией привязки, используйте сочетания следующих клавиш:
Windows + стрелка влево, чтобы привязать окно к левой стороне или Windows + стрелка вправо, чтобы привязать к правой.

Внимание. Команда regedit.exe -m будет работать в Windows XP и более поздних версиях операционных систем, и требует, по крайней мере одного запущенного экземпляра RegEdit.

Удалённое администрирование

Для активации удалённого администрирования на ПК нужно пройти несколько шагов. Первый — открыть редактор групповой политики (gpedit.msc в поле поиска или на стартовом экране) и перейти к Конфигурация компьютера ➤ Административные шаблоны ➤ Сеть ➤ Сетевые подключения ➤ Межсетевой экран, затем, в зависимости от того, как вы будете подключаться и управлять ПК, выбрать либо профиль домена либо стандартный профиль.

Потом нужно добавить разрешение в брандмауэр Windows: Разрешить входящие исключения для удалённого управления. Когда вы сделаете это, вас проинформируют, что теперь вам доступны дополнительные инструменты удалённого администрирования компьютера, такие как консоль управления Microsoft (MMC) и инструментарий управления Windows (WMI).

А также вам понадобится открыть в брандмауэре TCP-порты 135 и 445. Для чего, в открытом брандмауэре нажмите в левой панели на ссылку «Дополнительные настройки», или откройте с панели управления пункт администрирования, где в списке увидите брандмауэр Windows.

В расширенных настройках сетевого экрана, нажмите в левой панели на ссылку «Правила для входящих подключений», затем пункт «Новое правило» на правой панели. Теперь вы можете создать новое правило входящего трафика, разрешающее доступ к портам 135 и 445.

Открытие_портов_брандмауэр

И последний шаг настройки удалённого администрирования, активация службы удалённого реестра ПК. Служба удалённого реестра находится на панели служб Windows, как альтернатива — services.msc в поле поиска или на стартовом экране.

Запуск_службы_удаленного_реестра

Для активации службы, щёлкните правой кнопкой мыши и в появившемся контекстном меню выберите «Свойства». По умолчанию служба отключена, но в появившемся диалоговом окне вы можете включить и запустить её.

Внимание. Чтобы включить и запустить службу удалённого реестра из командной строки, введите: sc start RemoteRegistry. А также вы можете настроить её автоматический запуск при загрузке компьютера: sc config RemoteRegistry start = auto.

Подключение к удалённому реестру

Перед тем как пытаться получить информацию с другого компьютера, сначала убедитесь, что служба удалённого реестра запущена и работает.

Если на локальном или удалённом ПК запущена и работает служба удалённого реестра, вы можете попытаться подключиться к RegEdit по сети:

  • Войдите в систему как администратор.
  • Введите на стартовом экране regedit и нажмите Enter.
  • Согласитесь с предупреждением контроля учётных записей.
  • Щёлкните файл и выберите пункт подключения сетевого реестра.
  • Введите имя компьютера к которому вы хотите подключиться. А также, вы можете нажать кнопку «Дополнительно» и кнопку «Найти» для получения списка всех доступных в сети компьютеров.
  • Нажмите кнопку ОК.
  • Теперь вы увидите список ПК и в regedit появятся две новые ветки: HKLU и HKU.
  • После просмотра или внесения изменений, выделите значок компьютера и в меню «Файл» выберите пункт «Отключить сетевой реестр».

Если вы предпочитаете использовать командную строку, а не инструменты с графическим интерфейсом, для включения и запуска службы удалённого реестра, введите следующие команды, соответственно:

sc config remoteregistry start=demand

net start remoteregistry

Использование предпочтений групповой политики

Администраторы предприятий, в своих организациях, могут обслуживать тысячи компьютеров и серверов. А ручное изменение настроек каждого ПК занимает очень много времени и подвержено ошибкам. Групповая политика — характерная черта популярных сервисов Microsoft Active Directory Directory (AD DS), позволяющая централизованное управления такими ресурсами как учётные записи пользователей, групп, компьютеров и серверов.

Предпочтения групповой политики (GPPS) были введены ещё в Windows XP. Они позволили администратору более легко и быстро развёртывать и изменять параметры реестра на нескольких компьютерах и серверах организации. Параметры реестра — это всего лишь один из возможных для администратора типов настроек. Попробуем получить некоторое представление о использовании GPPS для развёртывания и изменения параметров реестра в своей среде.

Если вы вошли в домен компьютера и имеете учётную запись с правами администратора, вы можете использовать средства удалённого администрирования сервера (rsat) для управления AD DS со своего компьютера. В качестве альтернативы, вы можете открыть консольное подключение к серверу (если это возможно) с использованием протокола удалённого рабочего стола (RDP) и выполнять AD DS инструменты в интерактивном режиме.

Внимание. Скачать нужную вам версию вы можете с веб-сайта Microsoft. Для различных версий Windows существуют различные версии RSAT, так что найдите ту, что вам нужно.

Теперь используя свой ПК или сервер, вы можете просмотреть групповые политики и узнать как они могут быть использованы для управления параметрами реестра в рамках предприятия:

  • С помощью ПК, установив RSAT или серверную консоль RDP, откройте консоль управления групповыми политиками (gpmc).
  • Правой кнопкой мыши щёлкните на объектах групповой политики (gpo) и выберите «Новый», затем назовите его, например, ModifySoftware.
  • Щёлкните правой кнопкой мыши по объекту ModifySoftware и выберите команду изменить.
  • Дополнительные конфигурации компьютера ➤ параметры ➤ настройки Windows, дважды щёлкните по значку реестра.
  • Щёлкните правой кнопкой мыши на реестре и выберите «Новый».

Создание_нового_ключа_реестра_групповая_политика

На выбор доступны три опции ключа реестра.

Новая опция — Описание

Registry Item (элемент реестра) — позволяет создать один элемент реестра.
Collection Item (коллекция элементов) — создаёт и организует элементы реестра в папке. Полезно, если нужно добавить группу элементов реестра.
Registry Wizard (мастер реестра) — мастер, в качестве опорного, должен использовать локальный реестр или подключение к удалённому компьютеру. Позволяет создать одну или несколько записей.

  • Выберите мастера реестра.
  • Перейдите в нужное место и настройте необходимые ключи и значения для импорта в GPP.
  • Нажмите кнопку «Готово».
  • Разверните записи реестра и просмотрите их.
  • По умолчанию действие установлено для обновления.

Настройка_действий_групповая_политика

На выбор доступно четыре варианта действий.

Доступные действия — Описание

Create (создать) — Создаёт элемент реестра. Существующий элемент игнорируется
Update (обновление (по умолчанию)) — Если элемент уже существует, он будет обновляться. Если элемент не существует, он будет создан
Replace (заменить) — Удаляет существующий элемент и создаёт новый
Delete (удалить) — Удаляет элемент.

  • После того как вы проверили опции, нажмите кнопку ОК.
  • Для подключения, свяжите GPO с подразделом.
  • Закройте консоль.

Примечание. При запуске групповой политики на локальном компьютере, вы используете не содержащую предпочтений локальную групповую политику. Групповыми политиками можно управлять в системах с клиентскими расширениями GPP. Эти расширения должны быть отдельно загружены для Windows XP и Windows Server 2003, но доступны как встроенная функция на клиентских компьютерах под управлением Windows Vista Service Pack 1 (или более поздних версий) с RSAT или Windows Server 2008 (или более поздних версий).

Сравнение реестра

Как мы уже упоминали, почти все, что устанавливается или настраивается на ПК под управлением Windows хранится в реестре. При стандартной установке программного обеспечения вы удивитесь масштабам происходящих в реестре операции. Часто десятки тысяч ключей реестра добавляются или изменяются в течение даже относительно небольшой установки программного обеспечения. Если сравнить реестр компьютера до и после одного из таких мероприятий, вы увидите все сделанные в реестре изменения.

Для эффективного сравнения снимков реестра до и после событий удобно использовать специальные утилиты. Другая методика — сравнение реестров одной машины и другой эталонной. Некоторые инструменты сравнения реестра приведены ниже.

Не забудьте, работать с реестром Windows нужно очень осторожно, и не важно, что вы собираетесь делать: добавлять что-либо, удалять, или как-то изменять настройки системы. Так что первым делом проверьте, не забыли ли вы сделать резервную копию реестра и создать резервный образ системы.

Внимание. Каждое изменение реестра для функций Windows требует перезапуска компьютера; при изменении записи в реестре для какой-либо программы, обычно достаточно перезапуска этой программы.

Основы реестра Windows

Реестр — база данных всех настроек и параметров конфигурации Windows, ваших аппаратных средств и всего установленного программного обеспечения. Это — основной файл (фактически серия файлов), который указывает операционной системе, что и где находится. Повторимся еще раз, если вы делаете изменения в реестре, вы должны сделать резервную копию файлов.

Работа с реестром осуществляется в редакторе реестра. Для его открытия пропишите в поиске regedit. Затем, в меню «Файл» щелкните по параметру «Экспорт» и сохраните резервную копию вашего файла реестра в каком-нибудь безопасном месте.

резервная_копия_реестра

Если вам потребуется восстановить свои ключи реестра, также откройте редактор реестра и в меню «Файл», щелкните по параметру «Импорт». Вас спросят, какой файл вы хотите импортировать и затем попросят подтвердить это действие.

Внимание. Добавление ключей из резервной копии реестра, перезаписывает любые ранее там произведенные изменения.

Добавление в контекстное меню проводника опции «копировать/переместить в папку»

Хотя при щелчке по файлу или папке в контекстном меню проводника полезные команды «Вырезать» и «Копировать» уже включены, туда же можно добавить и опции «Копировать в папку» и «Переместить в папку».

добавление_опций_переместить_копировать_в_папку

Как добавить команду копирования в папку:

  1. Откройте редактор реестра, regedit.
  2. Переместитесь к ключу «HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers».
  3. Щелкните правой кнопкой по ключу ContextMenuHandlers и создайте раздел с именем Copy to folder.
  4. Двойной щелчок по появившемся в правом окне параметру вызовет окно его значения по умолчанию, измените его на .

Чтобы добавить в контекстное меню ключ «Переместить в папку», повторите эти шаги, но создайте новый раздел Move to folder со значением по умолчанию .

Внимание. Не забудьте про скобки «<>«, без них опция не работает.

Добавление/Удаление в опцию «отправить в» своих программ

Когда вы кликаете в проводнике по файлу или папке правой кнопкой, перед вами открывается опция, позволяющая отправить этот элемент в определенную программу, часть аппаратных средств или расположение. Причем программу или средство вы можете добавить или удалить самостоятельно. Для этого переместитесь в проводнике в расположение:

и вставьте сюда ярлыки на нужные вам приложения, устройства, сетевые расположения и так далее.

Добавление в контекстное меню опции дефрагментирования

Вы можете сделать так, чтобы при щелчке правой кнопкой на жестком диске, в контекстное меню проводника появилась опция дефрагментирования.

Этот инструмент запускается из командной строки.

опция_дефрагментирования_в_контекстном_меню

Чтобы добавить опцию дефрагментации:

  1. Откройте редактор реестра.
  2. Переместитесь к ключу «HKEY_CLASSES_ROOT\Drive\shell».
  3. Создайте новый раздел под названным runas.
  4. Выделите его, дважды щелкните на значении с правой стороны и установите значение по умолчанию Defragment.
  5. Создайте подраздел runas под названием command.
  6. Дважды щелкните по значению подраздела command и измените его значение по умолчанию, на defrag %1 -v.

Добавление в контекстное меню опции командной строки

Также легко добавить в контекстное меню проводника командную строку.

  1. Перейдите к регистрационному ключу «HKEY_LOCAL_MACHINE\Software\Classes\Folder\Shell».
  2. Создайте новый раздел под названием Command Prompt.
  3. Дважды щелкните по его значению и в настройках по умолчанию измените на Open Command

Другой вариант, если вы хотите что-то другое.

  1. Создайте подраздел Command Prompt под названием Command.
  2. Дважды щелкните по нему и значению по умолчанию измените на Cmd.exe /k pushd %L.

Где значение /k, вместо того, чтобы выполнить команду и закрыть открытое на экране окно, переключает его листы. Значение pushd содержит имя текущей папки, а переключатель %L открывает окно команд в этой папке.

Отображение перед названием тома буквы диска

Возможно вам понадобится отображение в проводнике буквы диска, что вы легко можете сделать, перейдя в нем же на вкладку «Вид». Выберите здесь опцию изменения параметров папок и в новом окне, во вкладке «Вид» отметьте опцию отображения буквы диска.

А также можно настроить отображение буквы диска перед названием тома:

  1. Откройте редактор реестра.
  2. Переместитесь к следующему ключу: «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer».
  3. Щелкните правой кнопкой и создайте новый DWORD (32-бита) под названием ShowDriveLettersFirst.
  4. Дважды щелкните по нему и измените его значение с 0 до 4.

Добавление в проводник FTP расположение

Если вы работаете с веб-сервером, вы можете добавить прямую ссылку к своей FTP службе непосредственно в проводник. Это позволит вам управлять файлами на сервере, также, как на собственном ПК. Давая возможность перетаскивать и бросать файлы по FTP, а при необходимости и удалять, без потребности в отдельном программном обеспечении.

  1. В окне проводника, на ленте, щелкните по вкладке «Компьютер».
  2. Нажмите кнопку «Добавить сетевое расположение».
  3. Щелкните в появившемся окне по кнопке «Далее».
  4. Щелкните по «Выбрать пользовательское сетевое расположение» и нажмите далее.
  5. Введите название FTP своего сайта в формате ftp://ftp.datbaze.ru и щелкните по далее.
  6. Если вы заходите на свой сайт по FTP с именем пользователя и паролем, снимите галку с поля анонимного пользователя и введите свое имя пользователя, щелкните далее.
  7. Назовите свое FTP соединение и щелкните далее.
  8. Оставьте это сетевое расположение открытым и нажмите кнопку «Финиш».
  9. В появившемся окне введите свой пароль для этого FTP соединения и дополнительно отметьте поле «Помнить пароль».

Теперь у вас есть прямой доступ к вашему сайту по FTP непосредственно в пределах проводника.

Изменение миниатюры программ на панели задач

Простой настройкой реестра вы можете изменить размер миниатюр предварительного просмотра рабочих программ в панели задач Windows 8.1

  1. Откройте редактор реестра, regedit.
  2. Переместитесь к ключу «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\ Taskband».
  3. Щелкните правой кнопкой и создайте новый DWORD (32-бита) под названием MinThumbSizePX.
  4. Дважды щелкните по этой записи и измените ее значение на нужный вам размер миниатюр (в пикселях). Например, если вы хотите огромные миниатюры, в 500 пикселей (измените число на 500), или хотите маленькие миниатюры, в 50 пикселей (измените значение на 50).

У 32-битного реестра DWORD для управления изображениями миниатюр есть и другие значения ключей:

  • NumThumbnails (число изображений миниатюр)
  • MinThumbSizePX (минимальный размер миниатюры)
  • MaxThumbSizePX (максимальный размер миниатюры)
  • TextHeightPX (текстовая высота заголовка миниатюры в пикселях)
  • TopMarginPX (верхнее поле в пикселях)
  • LeftMarginPX (левое поле в пикселях)
  • RightMarginPX (правое поле в пикселях)
  • BottomMarginPX (нижнее поле в пикселях)
  • ThumbSpacingXPx (пространство по горизонтали между миниатюрами в пикселях)
  • ThumbSpacingYPx (пространство по вертикали между миниатюрами в пикселях).

Изменение панели задач в групповой политике

Хотя не мало средств для изменения панели задач доступны простым щелчком правой кнопки и открытием свойств панели задач, в Windows 8.1 Pro, Enterprise, и RT Windows имеются и дополнительные.

Они находятся в групповой политике, открыть которую можно введя в поле поиска gpedit.msc.

Переместитесь в редакторе групповой политики к User Configuration\Administrative Templates\StartMenu and Taskbar. Здесь вы увидите большое меню с дополнительными опциями, включая возможность выключения уведомлений и полное сокрытие области уведомлений.

Запрет команды отключения ПК

Иногда вам может понадобится запрет на выключение ПК; например, если у вас выполняется какая-то серьезная задача. Вы легко можете отключить возможность отключения компьютера.

  1. Найдите регистрационный ключ «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\Explore».
  2. Создайте новый DWORD и назовите его NoClose.
  3. Дайте этому DWORD значение 1.

Этот процесс не препятствует завершению работы ПК нажатием кнопки, но препятствует отключению компьютера стандартным способом.

Разблокирование скрытой учетной записи суперадминистратора

Хотя основные пользователи ПК всегда устанавливаются под учетной записью администратора, что позволяет им делать все необходимые изменения, иногда вам может понадобится и скрытая учетная запись суперадминистратора. Эта учетная запись не контролируется управлением учетных записей (UAC) и имеет такие полномочия, в которых вы, возможно, нуждаетесь, но они вам недоступны по причинам устойчивости и безопасности ОС.

Чтобы разблокировать эту учетную запись, из своей учетной записи Администратора, клавишами Win+X, откройте командную строку (администратор) и введите следующую команду: net user administrator /active:yes. При выходе из системы вам будет доступна учетная запись суперадминистратора. Когда вы внесете нужные вам изменения, отключите эту возможность прописав /active:no.

Сокрытие на панели управления неиспользуемых элементов

Панель управления в Windows 8.1, со всеми отображаемыми в ней средствами управления, может быть очень громоздкой. К счастью, некоторые из средств управления при желании можно удалить:

  1. Откройте редактор реестра, regedit.
  2. Переместитесь в редакторе реестра к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Control Panel\don’t load
    .
  3. Здесь вы увидеть список уже скрытых элементов панели управления.

скрытие_элементов_панели_управления

Чтобы скрыть дополнительный элемент, создайте новый строковой параметр именем .cpl, который соответствует нижеследующим.

Апплет панели управления — Имя

Опции доступа — access.cpl

Добавление новых аппаратных средств — hdwwiz.cpl

Свойства дисплея — desk.cpl

Игровые контролеры — joy.cpl

Свойства интернета — inetcpl.cpl

Свойства мыши — main.cpl

Сетевые соединения — ncpa.cpl

Источники данных ODBC — odbccp32.cpl

Свойства телефона и модема — telephon.cpl

Свойства электропитания — powercfg.cpl

Программы и функции — appwiz.cpl

Время и дата — timedate.cpl

Учетные записи пользователя — nusrmgr.cpl

Windows традиционно был высоконастраиваемой системой, и Windows 8.1 не исключение. И мы надеемся, что эта статья дала вам представление о том, как некоторые полезные хаки и твики реестра могут ее изменить.

Как влияет замусоренность реестра на работу операционной системы

Единого мнения о связи между «засоренностью» реестра и быстродействием не существует. Есть как противники, так и защитники данного тезиса. Реестр содержит порядка 500 тысяч различных ключей, при этом ОС занимает лишь отдельные области. Таким образом, какая-то пара сотен неучтенных записей почти не влияет на быстродействие, запуск Windows в целом.

замусоренность реестра пк

Реестр создан так, что повредить его, нарушить работоспособность достаточно сложно. Как и «замусорить». Но все же реально, если совершать необдуманные действия. В сети предлагается множество «оптимизаторов», ускоряющих работу Windows. Не все они одинаковы, некоторые просто являются рекламными продуктами, не приносящими пользы. Но есть и действительно эффективные приложения.

Что касается вопроса очистки реестра, то проводить процедуру нужно. Но вдумчиво, осторожно, используя проверенные утилиты. Возможно, данная операция не приведет к скачкообразному росту быстродействия. Зато улучшит «здоровье» вашей системы, ПК. Но следует внимательно выбирать оптимизатор, чтобы не наткнуться на обманку, которая может содержать вредоносный код и даже вирус.

Шаг 3. Выполните обновление Windows.

Когда первые два шага не устранили проблему, целесообразно запустить Центр обновления Windows. Во многих случаях возникновение сообщений об ошибках DOMStorage.js может быть вызвано устаревшей операционной системой Windows. Чтобы запустить Центр обновления Windows, выполните следующие простые шаги:

  1. Нажмите кнопку «Пуск» в Windows
  2. В поле поиска введите «Обновить» и нажмите ENTER.
  3. В диалоговом окне Центра обновления Windows нажмите «Проверить наличие обновлений» (или аналогичную кнопку в зависимости от версии Windows)
  4. Если обновления доступны для загрузки, нажмите «Установить обновления».
  5. После завершения обновления следует перезагрузить ПК.

Если Центр обновления Windows не смог устранить сообщение об ошибке DOMStorage.js, перейдите к следующему шагу. Обратите внимание, что этот последний шаг рекомендуется только для продвинутых пользователей ПК.

HKEY_USERS

Сохраняет все настройки для всех пользователей системы. Для доступа к своим настройкам, вы обычно используете HKCU, но если вам нужно проверить настройки для другого пользователя на вашем компьютере, вы можете использовать этот раздел.

HKEY_USERS, иногда называемый HKU, является одним из многих кустов реестра в реестре Windows.

Он содержит пользовательскую информацию о конфигурации для всех в настоящее время активных пользователей на компьютере. Это означает, что пользователи, вошедшие в систему в данный момент (вы) и любые другие пользователи, которые также вошли в систему, но находятся в состоянии «переключение пользователей».

Каждый раздел реестра, расположенный в кусте HKEY_USERS, соответствует пользователю в системе и назван с идентификатором безопасности этого пользователя или SID. Разделы реестра и значения реестра, расположенные под каждым параметром управления SID, относящимся к данному пользователю, например подключённые диски, установленные принтеры, переменные среды, фон рабочего стола и многое другое, загружаются при первом входе пользователя в систему.

Подразделы реестра в HKEY_USERS

Вот пример того, что вы можете найти под этим ульем:

  • HKEY_USERS\.DEFAULT
  • HKEY_USERS\S-1-5-18
  • HKEY_USERS\S-1-5-19
  • HKEY_USERS\S-1-5-20
  • HKEY_USERS\S-1-5-21-1461214404-118510055-3688602372-1001
  • HKEY_USERS\S-1-5-21-1461214404-118510055-3688602372-1001_Classes

Идентификаторы безопасности, которые вы видите здесь, безусловно, будут отличаться от списка, который мы включили выше.

Хотя у вас, скорее всего, будут .DEFAULT, S-1-5-18, S-1-5-19 и S-1-5-20, которые соответствуют встроенным системным учётным записям, ваши ключи S-1-5-21-xxx будут уникальными для вашего компьютера, поскольку они соответствуют «реальным» учётным записям пользователей в Windows.

Подробнее о HKEY_USERS и SID

Улей HKEY_CURRENT_USER действует как своего рода ярлык для подраздела HKEY_USERS, соответствующего вашему SID.

Другими словами, когда вы вносите изменения в HKEY_CURRENT_USER, вы вносите изменения в ключи и значения под ключом в HKEY_USERS, который назван так же, как ваш SID.

Например, если ваш SID следующий:

… HKEY_CURRENT_USER укажет на это:

Редактировать можно в любом месте, поскольку они являются одним и тем же.

Как найти идентификатор безопасности пользователя (SID) в Windows

Если вы хотите изменить данные реестра для пользователя, чей SID не отображается в HKEY_USERS, вы можете либо войти в систему как этот пользователь, и внести изменения, либо загрузить куст реестра этого пользователя вручную. Смотрите раздел ниже «Как загрузить куст реестра», если вам нужна помощь.

Помните, что, поскольку они одинаковы, если вы редактируете свои собственные настройки (настройки для пользователя, под которым вы в настоящее время вошли в систему), гораздо проще просто открыть HKEY_CURRENT_USER, чем определить свой собственный SID и затем вносить изменения в HKEY_USERS. Использование HKEY_USERS для доступа к папке SID для пользователя обычно полезно только в том случае, если вам нужно изменить значения реестра для пользователя, который в настоящее время не вошёл в систему.

Подключ HKEY_USERS\.DEFAULT в точности совпадает с подразделом HKEY_USERS\S-1-5-18. Любые изменения, внесённые в один, автоматически и мгновенно отражаются в другом, точно так же, как подключ SID текущего пользователя в HKEY_USERS идентичен значениям, найденным в HKEY_CURRENT_USER.

Также важно знать, что HKEY_USERS\.DEFAULT используется учётной записью LocalSystem, а не учётной записью обычного пользователя. Часто ошибочно принимают этот ключ за тот, который можно отредактировать, чтобы его изменения применялись ко всем пользователям, учитывая, что он называется «по умолчанию» (DEFAULT), но это не так.

Два других подраздела HKEY_USERS в реестре Windows, которые используются системными учётными записями, включают S-1-5-19, который предназначен для учётной записи LocalService, и S-1-5-20, который используется учётной записью NetworkService.

ВЫПОЛНЕНИЕ ЯРЛЫКА К СИСТЕМНЫМ ПАПКАМ

Подобный пункт используется с целью создания ярлыка к определенным системным папкам. В дальнейшем, он помещается в удобное место для быстрого доступа. Для реализации поставленной задачи требуется создать папку, которая получает соответствующее название, а после него в фигурных скобках задаётся уникальный код. Он является индивидуальным для каждого из объектов. Необходимо рассмотреть основные варианты.

  • Удаленный доступ к сети.
  • Устройства печати.
  • Панель управления.
  • Мой компьютер.
  • Сетевое окружение.
  • Входящие.
  • Корзина.

Все необходимые параметры установлены в ключе HKEY_CLASSES_ROOT\CLSID

Создание и удаление разделов и параметров через файл с расширением reg

Все reg файлы обладают строго установленным синтаксисом, который должен в обязательном порядке соблюдаться. Это является особенностью документов подобного типа. REG файлы допускается применять в качестве средства для создания или удаления подразделов, а также параметров.

Создание подразделов или изменение параметров

  1. Осуществляем доступ к редактору реестра
  2. Выбирается тот подраздел, изменения для которого должны быть проведены
  3. Происходит нажатие на вкладку «Файл», где надо нажать «Экспорт»
  4. В поле «Имя файла» прописывается название документа для сохранения REG-файла с изначальными элементами реестра и нажимается кнопку «Сохранить»

Удаление разделов реестра или параметров

Для выполнения поставленной задачи требуется поместить дефис перед путем реестра. Следует рассмотреть это на простом примере. Имеем:

Из него необходимо выполнить удаление раздела Program. Это будет выглядеть следующим образом:

Удаление значения имеет схожий способ. В данном случае, дефис должен располагаться непосредственно перед знаком равенства. Расширим прошлый пример – теперь нужно удалить параметр ProgramValue. Это выполняется следующим образом:

Вносить изменения можно через обычную программу-блокнот. Не забывайте предварительно делать копии.

Разделы реестра

  1. HKEY_CURRENT_USER ( HKCU )
    Данный раздел является корневым для данных настройки пользователя, вошедшего в систему в настоящий момент. Здесь хранятся папки пользователя, цвета экрана и настройки панели управления. Эти данные называются профилем пользователя.
  2. HKEY_USERS ( HKU )
    Данный раздел содержит все профили пользователей компьютера. HKEY_CURRENT_USER является подразделом HKEY_USERS. В него данные помещаются при каждом входе («логине») пользователя.
  3. HKEY_LOCAL_MACHINE ( HKLM )
    Раздел содержит данные настройки, относящиеся к данному компьютеру (для всех пользователей).
  4. HKEY_CLASSES_ROOT ( HKLM )
    Данный раздел является подразделом HKEY_LOCAL_MACHINE\Software. Хранящиеся здесь сведения обеспечивают открытие необходимой программы при открытии файла с помощью проводника. По сути, этот подраздел привязывает используемые программами расширения файлов, переменные, значения к самим программам за счет регистрации типов и классов.
  5. HKEY_CURRENT_CONFIG ( HKCC )
    Данный раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы

Внутри корневого раздела находятся разделы и подразделы, которые аналогичны каталогам и подкаталогам жесткого диска. Раздел может содержать информацию или данные. Раздел и подраздел могут содержать 0, 1 или несколько параметров, параметр по умолчанию, а также 0 или несколько подразделов. Каждый параметр имеет имя, тип и значение.

Три части параметра реестра всегда располагаются в определенном порядке: Имя, Тип данных, значение ([RegistrySizeLimit] [REG_DWORD] [0x8000000]).

REG_BINARY
Необработанные двоичные данные. Большинство сведений об аппаратных компонентах хранится в виде двоичных данных и выводится в редакторе реестра в шестнадцатеричном формате.

REG_DWORD
Данные, представленные целым числом (4 байта, 32 бита). Многие параметры служб и драйверов устройств имеют этот тип и отображаются в двоичном, шестнадцатеричном или десятичном форматах.

REG_EXPAND_SZ
Расширяемая строка данных. Эта строка представляет собой текст, содержащий переменную, которая может быть заменена при вызове со стороны приложения.

REG_MULTI_SZ
Многострочное поле. Значения, которые фактически представляют собой списки текстовых строк в формате, удобном для восприятия человеком, обычно имеют именно этот тип данных. строки разделены символом NULL.

REG_SZ
Текстовая строка в формате, удобном для восприятия человеком. Значениям, представляющим собой описания компонентов, обычно присваивается именно этот тип данных.

DESCRIPTOR
Последовательность вложенных массивов, разработанная для хранения списка ресурсов аппаратного компонента или драйвера.

Domstorage в реестре что это

&nbsp &nbsp Реестр (системный реестр) — это иерархическая база данных, содержащая записи, определяющие параметры и настройки операционных систем Microsoft Windows. Реестр в том виде, как он выглядит при просмотре редактором реестра, формируется из данных, источниками которых являются файлы реестра и информация об оборудовании, собранная в процессе загрузки. В описании файлов реестра на английском языке используется термин «Hive». В некоторых работах его переводят на русский как «Улей». Microsoft в своих документах переводит это как «Куст». Файлы реестра создаются в процессе установки операционной системы и хранятся в папке %SystemRoot%\system32\config (обычно C:\windows\system32\config). Для операционных систем Windows 2000/XP это файлы с именами
default
sam
security
software
system
.В процессе загрузки система получает монопольный доступ к данным файлам и, поэтому, стандартными средствами работы с файлами вы ничего с ними сделать не сможете (открыть для просмотра, скопировать, удалить, переименовать). Для работы с содержимым системного реестра используется специальное программное обеспечение — редакторы реестра (REGEDIT.EXE, REGEDT32.EXE), являющиеся стандартными компонентами операционной системы. Для запуска реестра используется «Пуск» «Выполнить» — regedit.exe

Редактор реестра

&nbsp &nbsp В левой половине окна вы видите список корневых разделов (root keys) реестра. Каждый корневой раздел может включать в себя вложенные разделы (subkeys) и параметры (value entries).
Коротко о назначении корневых разделов:
HKEY_CLASSES_ROOT ( сокращенное обозначение HKCR ) — Ассоциации между приложениями и расширениями файлов и информацию о зарегистрированных объектах COM и ActiveX.
HKEY_CURRENT_USER (HKCU) — Настройки для текущего пользователя (рабочий стол, настройки сети, приложения). Этот раздел представляет собой ссылку на раздел HKEY_USERS\Идентификатор пользователя (SID) в виде S-1-5-21-854245398-1035525444-.
SID — уникальный номер, идентифицирующий учетную запись пользователя, группы или компьютера. Он присваивается учетной записи при ее создании . Внутренние процессы Windows обращаются к учетным записям по их кодам безопасности, а не по именам пользователей или групп. Если удалить, а затем снова создать учетную запись с тем же именем пользователя, то предоставленные прежней учетной записи права и разрешения не сохранятся для новой учетной записи, так как их коды безопасности будут разными. Аббревиатура SID образована от Security ID. Для просмотра соответствия SID и имени пользователя можно воспользоваться утилитой PsGetSID.exe из пакета PSTools
HKEY_LOCAL_MACHINE (HKLM) — Глобальные аппаратные и программные настройки системы. Применимы ко всем пользователям. Это самая большая и самая важная часть реестра. Здесь сосредоточены основные параметры системы, оборудования, программного обеспечения.
HKEY_USERS ( HKU) — индивидуальные настройки среды для каждого пользователя системы (пользовательские профили) и профиль по умолчанию для вновь создаваемых пользователей.
HKEY_CURRENT_CONFIG (HKCC) — конфигурация для текущего аппаратного профиля. Обычно профиль один единственный, но имеется возможность создания нескольких с использованием «Панель управления» — «Система» — «Оборудование»- «Профили оборудования». На самом деле HKCC не является полноценным разделом реестра, а всего лишь ссылкой на раздел из HKLM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CurrentControlSet\Hardware Profiles\Current

&nbsp &nbsp Возможности конкретного пользователя при редактировании данных реестра определяются его правами в системе. Далее по тексту, предполагается, если это не оговорено особо, что пользователь имеет права администратора системы.
&nbsp &nbsp Вообще-то, в корневом разделе HKLM есть еще 2 подраздела с именами SAM и SECURITY, но доступ к ним разрешен только под локальной системной учетной записью (Local System Account), под которой обычно выполняются системные службы (system services). Т.е для доступа к ним нужно, чтобы редактор реестра был запущен с правами Local System, для чего можно воспользоваться утилитой PSExec
psexec.exe -i -s regedit.exe
Подробное описание утилиты — на странице «Утилиты PSTools»

&nbsp &nbsp В процессе загрузки и функционирования операционной системы выполняется постоянное обращение к данным реестра как для чтения, так и для записи. Даже один неверный параметр в реестре может привести к краху системы, как и нарушение целостности отдельных файлов. Поэтому, прежде чем экспериментировать с реестром, позаботьтесь о возможности его сохранения и восстановления.

Сохранение и восстановление реестра

1. Использование точек восстановления (Restore Points)

&nbsp &nbsp В Windows XP , существует механизм ,с помощью которого, при возникновении проблем, можно восстановить предыдущее состояние компьютера без потери личных файлов (документы Microsoft Word, перечень просмотренных страниц, рисунки, избранные файлы и сообщения электронной почты). Точки восстановления (Restore Points) создаются системой автоматически во время простоя компьютера, а также во время существенных системных событий (таких, как установка приложения или драйвера). Пользователь также имеет возможность в любое время создавать их принудительно. Эти точки восстановления позволяют вернуть систему к состоянию на момент их создания.
&nbsp &nbsp Для работы с точками восстановления используется приложение \windows\system32\restore\rstrui.exe ( Пуск-Программы-Стандартные-Служебные- Восстановление системы ).

Rstrui.exe - Восстановление системы

&nbsp &nbsp Данные контрольных точек восстановления хранятся в каталоге System Volume Information системного диска. Это скрытый системный каталог, доступ к которому разрешен только локальной системной учетной записи (Local System, т.е. «Службе восстановления системы»). Поэтому, если вы хотите получить доступ к его содержимому, вам придется добавить права вашей учетной записи с использованием вкладки «Безопасность» в свойствах каталога «System Volume Information». В папке System Volume Information есть подкаталог с именем, начинающемся с _restore. и внутри него — подкаталоги RP0, RP1. : — это и есть данные контрольных точек восстановления (Restore Point — RPx). Внутри папки RPx имеется каталог snapshot , содержащий копии файлов реестра на момент создания контрольной точки. При выполнении операции восстановления системы восстанавливаются основные системные файлы и файлы реестра. Механизм довольно эффективный, но воспользоваться им можно только в среде самой Windows. Если же система повреждена настолько, что загрузка невозможна, выход из ситуации все равно есть. Как — читайте в статье «Проблемы с загрузкой ОС» раздел Использование точек восстановления

2. Использование утилиты резервного копирования/восстановления NTBACKUP.EXE

&nbsp &nbsp В Windows 2000 механизма точек восстановления нет. Однако, как и в Windows XP, имеется утилита архивации, а точнее — резервного копирования и восстановления NTBACKUP.EXE , позволяющая выполнить практически то же, что делается при создании точек восстановления (и даже намного больше). NTBACKUP позволяет создать архив состояния системы из 2-х частей, — загрузочной дискеты, позволяющей выполнить восстановление даже на незагружающейся системе и собственно архив данных для восстановления (в виде обычного файла с расширением .bkf, сохраняемого на жестком диске или съемном носителе). Для получения копии состояния системы жмем «Пуск» — «Выполнить»- ntbackup.exe

NTBakup.exe

Запускаем «Мастер архивации» , и указываем ему, что нужно архивировать состояние системы.

Мастер архивации

и где хранить данные архива

Где хранить архив

&nbsp &nbsp После завершения работы мастера будет создан архив состояния системы (D:\ntbackup.bkf) С помощью «Мастера восстановления» вы можете всегда вернуть состояние системы на момент создания архива.

3. Использование утилиты для работы с реестром из командной строки REG.EXE

&nbsp &nbsp В Windows 2000 утилита REG.EXE входит в состав пакета Support tools (можно также использовать REG.EXE из комплекта Windows XP — просто скопируйте ее в каталог \winnt\system32). Запускается из командной строки. При запуске без параметров выдает краткую справку по использованию:

Программа редактирования системного реестра из командной строки, версия 3.0
(C) Корпорация Майкрософт, 1981-2001. Все права защищены

REG [Список параметров]

== [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ]

Код возврата: (за исключением REG COMPARE)
0 — Успешно
1 — С ошибкой

Для получения справки по определенной операции введите:
REG /?

REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG COMPARE /?
REG EXPORT /?
REG IMPORT /?

Для резервного копирования реестра используется REG.EXE SAVE, для восстановления — REG.EXE RESTORE

Для получения справки

REG.EXE SAVE /?
REG SAVE

Полный путь к разделу реестра в виде: КОРЕНЬ\Подраздел
Корневой раздел. Значения: [ HKLM | HKCU | HKCR | HKU | HKCC ].
Полный путь к разделу реестра в выбранном корневом разделе.
Имя сохраняемого файла на диске. Если путь не указан, файл
создается вызывающим процессом в текущей папке.

Примеры:
REG SAVE HKLM\Software\MyCo\MyApp AppBkUp.hiv
Сохраняет раздел MyApp в файле AppBkUp.hiv в текущей папке

&nbsp &nbsp Синтаксис REG SAVE и REG RESTORE одинаков и вполне понятен из справки. Есть, правда некоторые моменты. В версии утилиты из ОС Windows 2000 нельзя было указывать путь в имени файла для сохранения раздела реестра и сохранение выполнялось только в текущий каталог. Справка самой утилиты и примеры ее использования для сохранения (REG SAVE) вполне можно использовать для сохранения любых разделов реестра, в т.ч. HKLM\software, HKLM\system и т.п. однако, если вы попробуете восстановить, например, HKLM\system, то получите сообщение об ошибке доступа, вызванную занятостью данного раздела реестра, а поскольку он занят всегда, восстановление с помощью REG RESTORE выполнить не удастся.

Для сохранения куста SYSTEM:
REG SAVE HKLM\SYSTEM system.hiv
Для сохранения куста SOFTWARE:
REG SAVE HKLM\SOFTWARE software.hiv
Для сохранения куста DEFAULT:
reg save HKU\.Default default.hiv

Если файл существует, то REG.EXE выдаст ошибку и завершится.

&nbsp &nbsp Сохраненные файлы можно использовать для восстановления реестра ручным копированием в папку %SystemRoot%\system32\config.

4. Ручное копирование файлов реестра.

&nbsp &nbsp Если загрузиться в другой операционной системе, то с файлами из папки реестра можно делать все, что угодно. В случае повреждения файла system, можно воспользоваться, например, сохраненным с помощью REG SAVE файлом system.hiv, скопировав его в папку реестра и переименовав в system. Или выполнить это же действие, используя сохраненную копию файла system из контрольной точки восстановления. Довольно подробно данный метод восстановления реестра описан в статье «Проблемы с загрузкой ОС»

5. Использование режима экспорта-импорта реестра.

Редактор реестра позволяет делать экспорт как всего реестра, так и отдельных разделов в файл с расширением reg Импорт полученного при экспорте reg-файла позволяет восстановить реестр. Щелкаете на «Реестр»—> «Экспорт (Импорт) файла реестра». Импорт также можно выполнить двойным щелчком по ярлыку reg-файла.

6. Использование специальных утилит для работы с реестром сторонних производителей.

&nbsp &nbsp Существует немало программ сторонних производителей для работы с реестром, позволяющих не только сохранять и восстанавливать данные реестра, но и выполнять массу других полезных операций, таких, как диагностика и удаление ошибочных или ненужных данных, оптимизация, дефрагментация и т.п. Большинство из них платные — jv16 Power Tools, Registry Mechanic, Super Utilities Pro, Reg Organizer и другие. Список и краткое описание на secutiylab.ru
К основным преимуществам данных программ можно отнести, как правило, простой интерфейс пользователя, возможность выполнить тонкую настройку операционной системы и предпочтений пользователя, чистку от ненужных записей, расширенные возможности по поиску и замене данных, резервное копирование и восстановление.
&nbsp &nbsp Пожалуй, самым популярным программным обеспечением для работы с реестром является jv16 Power Tools компании Macecraft Software. Главные достоинства — высокая надежность, многофункциональность, простота и удобство использования, поддержка нескольких языков, в т.ч. русского. Однако не все знают, что существует и бесплатный вариант, называющийся Power Tools Lite . Конечно, до полнофункциональной jv16 ему далеко, но для поиска данных, чистки и оптимизации реестра вполне подойдет. Замечу, что резервная копия создаваемая данной программой является всего лишь reg-файлом для восстановления состояния реестра до момента его изменения. Многие (если не большинство) программы для работы с реестром создают аналогичные копии, пригодные только для восстановления тех данных, которые они изменяют. В случае порчи реестра они вам не помогут. Поэтому, выбирая (особенно бесплатную) программу с возможностью резервного копирования реестра, разберитесь, какие же копии она создает. Идеальный вариант — программа, создающая копии всех кустов реестра. При наличии такой копии вы всегда сможете полностью восстановить реестр обычным копированием файлов. Я бы порекомендовал бесплатную консольную утилиту regsaver.exe Скачать, 380кб
Сайт программы.
Утилита сохраняет файлы реестра в каталог, указываемый в качестве параметра командной строки:
regsaver.exe D:\regbackup
После выполнения программы в каталоге D:\regbackup будет создан подкаталог с уникальным именем, состоящим из года, месяца, числа и времени создания резервной копии файлов реестра («yyyymmddhhmmss»). После выполнения резервирования программа может выключить компьютер или перевести его в спящий режим:

regsaver.exe D:\regbackup /off /ask — Выключить компьютер. Ключ /ask требует подтверждения пользователя при выключении питания.
regsaver.exe D:\regbackup /standby — Перевести в спящий режим без подтверждения (нет /ask)
regsaver.exe D:\regbackup /hibernate /ask — Перевести в режим Hibernate

Вместо стандартного выключения компьютера можно использовать резервное копирование реестра с выключением по его завершению.

7. Восстановление реестра, при отсутствии резервных копий.

&nbsp &nbsp К примеру, при загрузке системы, вы видите сообщение о нарушении целостности куста реестра SYSTEM:

Windows XP could not start because the following file is missing or corrupt: \WINDOWS\SYSTEM32\CONFIG\SYSTEM

Если у вас не выполнялось резервирование данных реестра, был отключен механизм создания контрольных точек восстановления или вы использовали Win2K, где этого механизма просто не существует, то все равно есть шансы оживить систему, загрузившись в другой ОС и восстановив файл system. Даже если содержимое этого файла будет не совсем актуальным, система, с большой долей вероятности, останется работоспособной. Возможно, придется переустановить некоторые программные продукты, или обновить драйверы.

Загрузитесь в Windows XP (Windows Live, Winternals ERD Commander, установленная в другой каталог WinXP, другой компьютер с возможностью загрузки проблемного куста реестра по сети или с внешнего носителя). Запустите редактор реестра.
В левой части дерева реестра выберите один из разделов:
HKEY_USERS или HKEY_LOCAL_MACHINE.
В меню Реестр (Registry) (В других версиях редактора реестра этот пункт меню может называться » Файл «) выберите команду «Загрузить куст(Load Hive)» .
Найдите испорченный куст ( в нашем случае — system).
Нажмите кнопку Открыть .
В поле Раздел введите имя, которое будет присвоено загружаемому кусту. Например BadSystem.
После нажатия OK появится сообщение:

Восстановление загрузкой куста в regedit

В левом окне редактора реестра выберите подключенный куст (BadSystem) и выполните команду «Выгрузить куст» . Поврежденный system будет восстановлен. При чем, редактор реестра Windows XP вполне успешно восстановит реестр и более старой ОС Windows 2000.

Мониторинг реестра.

&nbsp &nbsp Одной из лучших программ для мониторинга реестра, с моей точки зрения, является RegMon Марка Руссиновича — маленькая и функциональная утилита, не требующая инсталляции и работающая в операционных системах Windows NT, 2000, XP, 2003, Windows 95, 98, Me и 64-разрядных версиях Windows для архитектуры x64. Скачать RegMon.exe v7.04, 700кб

&nbsp &nbsp Regmon позволяет в реальном масштабе времени отслеживать, какие приложения обращаются к реестру, в какие разделы, какую информацию они читают или пишут. Информация выдается в удобном виде, который можно настроить под свои нужды — исключить из результатов мониторинга данные о работе с реестром неинтересных вам приложений, подчеркнуть выбранным цветом то, что считаете особо важным, включить в результаты мониторинга только выбранные процессы. Программа позволяет быстро и легко выполнить запуск редактора реестра с переходом к указанному разделу или параметру. Имеется возможность выполнять мониторинг в процессе загрузки операционной системы с записью результатов в специальный журнал %SystemRoot\Regmon.log.
&nbsp &nbsp После старта RegMon, можно определить критерии фильтрации результатов мониторинга реестра:

Настройка фильтра для мониторинга реестра

По умолчанию протоколируются все события обращения к реестру. Фильтр задается значениями полей:

Include — Если * — выполнять мониторинг для всех процессов. Имена процессов разделяются символом «;» . Например — FAR.EXE;Winlogon.exe — будут фиксироваться обращения к реестру только для процессов far.exe и winlogon.exe.
Exclude
— какие процессы исключить из результатов мониторинга.
Highlight — какие процессы выделить выбранным цветом (по умолчанию — красным).

&nbsp &nbsp Значения полей фильтра запоминаются и выдаются при следующем старте Regmon. При нажатии кнопки Defaults выполняется сброс фильтра в установки по умолчанию — фиксировать все обращения к реестру. Значения полей фильтра удобнее формировать не при старте RegMon, а в процессе мониторинга, используя меню правой кнопки мыши для выбранного процесса — Include process — включить данный процесс в мониторинг, Exclude process — исключить данный процесс из мониторинга. После старта Regmon с фильтрами по умолчанию, вы увидите большое количество записей об обращении к реестру и, используя Include/Exclude process, можете настроить вывод результатов только нужного вам процесса (процессов).

Registry Monitor - Sysinternals

# — номер по порядку
Time — Время. Формат времени можно изменить с помощью вкладки Options
Process — имя процесса:идентификатор процесса (PID)
Request — тип запроса. OpenKey — открытие ключа (подраздела) реестра, CloseKey — закрытие, CreateKey — создание, QueryKey — проверка наличия ключа и получение количества вложенных ключей (подразделов, subkeys), EnumerateKey — получить список имен подразделов указанного раздела, QueryValue — прочитать значение параметра, SetValue — записать значение.
Path — путь в реестре.
Result — результат выполнения операции. SUCCESS — успешно, NOT FOUND — ключ (параметр) не найден. ACCESS DENIED — доступ запрещен (недостаточно прав). Иногда бывает BUFFER OVERFLOW — переполнение буфера — результат операции не помещается в буфере программы.
Other — дополнительная информация — результат выполненного запроса.

&nbsp &nbsp Программа очень проста в использовании. После старта, лучше выбрать фильтр по умолчанию, т.е. фиксировать все обращения к реестру, а затем, в основном окне программы, выбрать ненужный процесс и с помощью правой кнопки мыши вызвать контекстное меню — Exclude process — информация об обращении к реестру данного процесса выводиться не будет. И таким же образом отфильтровать другие, не интересующие вас процессы.

&nbsp &nbsp При работе с программой можно использовать меню File, Edit, Options или сочетание клавиш:

CTRL-S — сохранить результаты
CTRL-P — свойства выбранного процесса
CTRL-E — включить/выключить мониторинг
CTRL-F — поиск по контексту
CTRL-C — копировать выбранную строку в буфер обмена
CTRL-T — изменить формат времени
CTRL-X — очистить окно результатов мониторинга
CTRL-J — запустить редактор реестра и открыть ветвь указанную в колонке Path. Это же действие выполняется при двойном щелчке левой кнопки мыши. Очень полезная возможность, позволяет значительно экономить время.
CTRL-A — включить/выключить автоматическую прокрутку
CTRL-H — позволяет задать число строк результатов мониторинга

&nbsp &nbsp Еще одна очень полезная возможность — получить журнал обращений к реестру в процессе загрузки операционной системы.
Для этого выбираете меню Options-Log Boot . Программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в процессе следующей перезагрузки ОС:

Regmon - мониторинг в процессе загрузки

&nbsp &nbsp После перезагрузки ОС, в корневом каталоге системы (C:\Windows) будет находиться файл Regmon.log с журналом результатов мониторинга. Режим записи в журнал будет продолжаться до запуска Regmon.exe вошедшим в систему пользователем и выполняется только для одной перезагрузки системы. Конечно же, содержимое журнала не будет полностью отображать абсолютно все обращения к реестру. Поскольку Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, все обращения к реестру, произошедшие до его старта, в журнале не зафиксируются. Однако большая часть все же туда попадет, и вы увидите, что таких обращений будет несколько сотен тысяч.

Уход за реестром.

&nbsp &nbsp Мониторинг реестра наглядно демонстрирует интенсивное использование его данных прикладным и системным программным обеспечением. Установка и удаление программ, замена устройств, обновление прикладного ПО и т.п. — все это приводит к добавлению, удалению или изменению разделов и ключей реестра. Рано или поздно, в реестре появляются некондиционные или бесполезные данные, растет его размер и увеличивается фрагментированность. В некоторй степени падает быстродействие системы и снижается ее надежность. Чтобы этого не происходило, желательно периодически выполнять процедуры устранения ошибок и дефрагментации данных реестра. Практически все утилиты для работы с реестром сторонних производителей умеют выполнять не только копирование и восстановление, но и операции по уходу за реестром. Как-то так вышло, что я много лет пользовался (начиная с Windows 98) утилитой Ontrack Fix-It Utility 2000 и продолжаю пользоваться ею по сей день. Выходили новые версии, появлялись новые утилиты других производителей, но по надежности, простоте и удобству обслуживания реестра получалось что-то, все же, не так. И я возвращался опять к Fix-It. Сайт компании-производителя Ontrack Data International Ink. Данную версию Fix-it на сайте производителя вы не найдете — она давным-давно не поддерживается и из нее вырос новый (платный) пакет Fix-It Utilities Pro . Скачать Ontrack Fix-It Utility 2000 можно по этой ссылке (16Mb)

Ontrack Fix-It Utility 2000

Для сохранения и восстановления реестра используется раздел «Disk and Files» — «SystemSaver». Для обслуживания и оптимизации реестра — «System Registry» — «RegistryFixer» и «RegistryDefrag».

Автозапуск программ.

Кроме папки «Автозагрузка» для запуска программ используются разделы реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Последние 2 раздела (. Once) отличаются тем, что программы,прописанные в них запускаются только 1 раз и после выполнения параметры ключа удаляются..

Записи в HKLM относятся ко всем пользователям компьютера. Для текущего пользователя запуск определяется ключами в разделе HKU:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Пример раздела HKLM\. \RUN:

&nbsp &nbsp В правом окне вы видите список параметров , значениями которых является строка, ссылающаяся на программу. При входе пользователя в систему, все перечисленные программы будут выполнены. Удалите параметр — программа не запустится. Но удалять можно не все. Поэкспериментируйте меняя расширение exe на ex_.

&nbsp &nbsp Кроме программ, запускающихся при регистрации пользователя в системе, запускается еще огромное количество других, не всегда очевидных, — это и системные службы (сервисы), различные драйверы, программы оболочки (Shell) и т.п. Кроме полезных ( а иногда и бесполезных) программ могут выполняться, используя автоматический запуск и внедрившиеся в систему вирусы. Более подробно о вирусах здесь. Точек возможного автоматического запуска исполняемых модулей огромное множество, и для их поиска в реестре удобнее использовать специальные программы — мониторы автозапуска, наиболее популярной из которых, является Autoruns.exe , обладающей более широким спектром возможностей, чем служебная программа MSConfig, входящая в состав Windows.

Autoruns

Инсталляция не требуется. Просто скачайте Autoruns, разархивируйте его и запустите файл Autoruns.exe (autorunsc.exe — консольная версия). Программа покажет, какие приложения настроены на автоматический запуск, а также представит полный список разделов реестра и каталогов файловой системы, которые могут использоваться для задания автоматического запуска. Элементы, которые показывает программа Autoruns, принадлежат к нескольким категориям: объекты, автоматически запускаемые при входе в систему, дополнительные компоненты проводника, дополнительные компоненты Internet Explorer (включая объекты модулей поддержки обозревателя (BHO)), библиотеки DLL инициализации приложений, подмены элементов, объекты, исполняемые на ранних стадиях загрузки, библиотеки DLL уведомлений Winlogon, службы Windows и многоуровневые поставщики услуг Winsock.
Чтобы просмотреть автоматически запускаемые объекты требуемой категории, достаточно выбрать нужную вкладку.

&nbsp &nbsp Для поиска записей в реестре, относящихся к выбранному объекту достаточно использовать пункт «Jump to» контекстного меню, вызываемого правой кнопкой мыши. Произойдет запуск редактора реестра и откроется ключ, обеспечивающий его запуск.

Драйверы и службы.

Информация о драйверах и системных службах (сервисах) находится в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Каждому драйверу или сервису соответствует свой раздел. Например, «atapi» — для драйвера стандартного IDE контроллера жестких дисков, «DNScache» — для службы «DNS клиент». Назначение основных ключей:
DisplayName — выводимое имя — то что вы видите в качестве осмысленного названия при использовании, например, элементов панели управления.

ErrorControl — режим обработки ошибок.
0 — игнорировать (Ignore) при ошибке загрузки или инициализации драйвера не выдается сообщение об ошибке и система продолжает работу.
1 — нормальный (Normal) режим обработки ошибки. Работа системы продолжается после вывода сообщения об ошибке. Параметры ErrorControl для большинства драйверов устройств и системных служб равна 1.
2 — особый (Severe) режим. Используется для обеспечения загрузки последней удачной конфигурации (LastKnownGood).
3 — критическая (Critical) ошибка. Процесс загрузки останавливается, и выводится сообщение о сбое.

Group — название группы, к которой относится драйвер, например — «Видеоадаптеры»

ImagePath путь и имя исполняемого драйвера. Файлы драйверов обычно имеют расширение .sys и располагаются в папке \Windows\System32\DRIVERS\. Файлы сервисов — обычно .exe и располагаются в \Windows\System32\.

Start управление загрузкой и инициализацией. Определяет, на каком этапе загрузки системы производится загрузка и инициализация данного драйвера или службы. Значения Start:
0 — BOOT — драйвер загружается загрузчиком.
1 — SYSTEM — драйвер загружается в процессе инициализации ядра.
2 — AUTO — служба запускается автоматически при загрузке системы.
3 — MANUAL — служба запускается вручную.
4 — DISABLE — отключено.
Загрузка драйверов и запуск служб с параметрами Start от 0 до 2 выполняются до регистрации пользователя в системе. Для отключения драйвера или службы достаточно установить значение Start равным 4. Отключение драйверов и служб через редактирование этого ключа реестра — довольно опасная операция. Если вы случайно или по незнанию отключите драйвер или сервис, без которых невозможна загрузка или работа — получите аварийное завершение системы (чаще всего — синий экран смерти BSOD).

Драйверы и службы для безопасного режима.

При загрузке операционной системы для инициализации драйверов и служб используется набор управляющих параметров из раздела текущей конфигурации
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
При возникновении проблем с работой операционной системы нередко используется безопасный режим загрузки (Safe Mode). Отличие данного режима от обычной загрузки, заключается в том, что используется минимально необходимая конфигурация драйверов и системных служб, перечень которых задается разделом:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Подразделы:
Minimal — список драйверов и служб, запускаемых в безопасном режиме (Safe Mode)
Network — то же, но с поддержкой сети.

Кроме раздела HKLM\SYSTEM\CurrentControlSet, в реестре присутствуют и
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002
По своей структуре они идентичны HKLM\SYSTEM\CurrentControlSet, и предназначены для дополнительной возможности восстановления работоспособности системы с использованием загрузки последней удачной конфигурации системы (Last Known Good Configuration). Возможные варианты загрузки управляющих наборов определяются содержимым раздела :
HKEY_LOCAL_MACHINE\SYSTEM\Select

Загрузка последней удачной конфигурации

Current — управляющий набор, который был использован для текущей загрузки.
Default — управляющий набор, который будет использоваться при следующей загрузке.
LastKnownGood — управляющий набор, который будет использоваться, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
Failed — сбойный управляющий набор, который будет создан, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
&nbsp &nbsp После успешной загрузки и входа пользователя в систему, данные из CurrentControlSet и ControlSet001 копируются в ControlSet002. При изменении конфигурации, данные записываются в CurrentControlSet и ControlSet001. Если изменение настроек привело к краху системы, имеется возможность ее восстановления при использовании варианта последней успешной загрузки, берущей данные из ControlSet002. После удачной загрузки в этом режиме, появится новый подраздел с управляющим набором, ControlSet003, — на тот случай, если вам снова понадобится использовать Last Known Good Configuration. При каждом использовании загрузки последней удачной конфигурации значение ControlSet00x будет увеличиваться.

Ограничиваем доступ пользователя к ресурсам.

Скрываем логические диски

Изменяем меню кнопки «ПУСК»

NoRun =dword:00000001 нет кнопки «Выполнить»
NoLogOff=hex:01 00 00 00 ( не dword а hex) нет «Завершение сеанса »
NoFind =dword:00000001 — нет пункта «Найти»
NoFavoritesMenu =dword:00000001 нет «Избранное»
NoRecentDocsMenu =dword:00000001 нет «Документы»
NoSetFolders =dword:00000001 нет «Панели управления» в подменю «Настройка»
NoSetTaskbar =dword:00000001 нет «Панель задач» там же
NoPrinters =dword:00000001 нет «Принтеры» в Панели управления
NoAddPrinter =dword:00000001 нет «Добавить принтер»
NoDeletePrinter=dword:00000001 нет «Удалить принтер»
NoDesktop=dword:00000001 Пустой рабочий стол
NoNetHood =dword:00000001 нет «Сетевое окружение»
NoInternetIcon =dword:00000001 нет значка «Интернет» на Рабочем столе Windows
NoTrayContextMenu =hex:01,00,00,00 -Отключить меню, вызываемое правой кнопкой мыши на панели задач
NoViewContextMenu =hex:01,00,00,00 — Отключить меню, вызываемое правой кнопкой мыши на Рабочем столе: Чтобы включить обратно, надо 01 заменить на 00.
NoFileMenu
=hex:01,00,00,00 скрыть » File » в верхней строке меню Проводника
ClearRecentDocsOnExit =hex:01,00,00,00 не сохранять список последних открываемых документов по выходу из системы.

Следующие параметры относятся к разделу реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Network

NoNetSetup =dword:00000001 отключает доступ к значку «Сеть» в Панели управления
NoFileSharingControl
=dword:00000001 скрывает диалоговое окно управления совместным использованием файлов и принтеров, не позволяя пользователям управлять созданием новых совместных файлов или принтеров
NoNetSetupIDPage =dword:00000001 скрывает вкладку «Идентификация»
NoNetSetupSecurityPage =dword:00000001 скрывает вкладку «Управление доступом»
NoEntireNetwork=dword:00000001 скрывает элемент «Вся сеть» в Сетевом окружении
NoWorkgroupContents =dword:00000001 скрывает всё содержание Рабочей группы в Сетевом окружении

Следующие параметры относятся к ограничениям для всех пользователей, поскольку используется раздел HKEY_LOCAL_MACHINE, а не HKEY_CURRENT_USER. Для редактирования данных нужно обладать правами администратора системы
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ System

NoSecCPL =dword:00000001 отключает доступ к значку «Пароли» в Панели управления
NoAdminPage=dword:00000001 скрывает вкладку «Удаленное управление»
NoProfilePage =dword:00000001 скрывает вкладку «Профили пользователей»
NoPwdPage«=dword:00000001 скрывает вкладку «Смена паролей»
NoDispCPL=dword:00000001 отключает доступ к значку «Экран» в Панели управления
NoDispAppearancePage=dword:00000001 скрывает «Оформление» в окне свойств экрана
NoDispBackgroundPage=dword:00000001 скрывает «Фон» в окне свойств экрана
NoDispScrSavPage скрывает «Заставка» в окне свойств экрана
NoDispSettingsPage=dword:00000001 скрывает «Настройка» в окне свойств экрана
NoConfigPage=dword:00000001 скрывает «Профили оборудования» в окне свойств системы
NoDevMgrPage=dword:00000001 скрывает вкладку «Устройства» в окне свойств системы
NoFileSysPage=dword:00000001 скрывает кнопку «Файловая система. » на вкладке «Быстродействие» в окне свойств системы
NoVirtMemPage=dword:00000001 скрывает кнопку «Виртуальная память. » на вкладке «Быстродействие» в окне свойств системы
DisableRegistryTools=dword:00000001 запрет Regedit.exe или Regedt32.exe

&nbsp &nbsp Некоторые из перечисленных запретов на действия пользователя используют не только системные администраторы, но и внедрившиеся в систему вирусы. Обычно выполняется запись в реестр данных, блокирующих возможность поиска и удаления внедрившегося вредоносного программного обеспечения и, в качестве завершающего аккорда — запрет на запуск редактора реестра (DisableRegistryTools). Как следствие, даже обладая правами администратора, пользователь не имеет возможности что-либо сделать со своим собственным реестром. Попытка запуска редактора завершается подобным сообщением:

DisableRegistryTools

Конечно же, пользователю, тем более, администратору, должно быть обидно, когда «Редактирование реестра запрещено администратором системы». Поэтому я добавил еще один небольшой раздел:

Обходим ограничения доступа пользователя к ресурсам.

&nbsp &nbsp Все вышеперечисленные ограничения могут касаться либо конкретного пользователя, либо всех пользователей системы, точнее их учетных записей. Однако в каждой ОС Windows есть еще одна учетная запись, права которой, в некоторой степени, даже выше прав локального администратора — локальная системная учетная запись (Local System Account) от имени которой запускаются системные службы (сервисы) еще до входа пользователя в систему. Если программу (тот же regedit.exe) запустить с правами Local System, то никакие ограничения, связанные с учетными записями любых реальных пользователей действовать не будут. Как запустить редактор реестра с правами локальной системной учетной записи, используя утилиту PSExec, я уже рассказывал в начале статьи, и там же разместил ссылку на страничку загрузки и описания пакета PSTools. Для тех же , кому нет надобности в скачивании всего пакета и нужно, не разбираясь в тонкостях, просто обойти ограничения — пошаговая инструкция:

&nbsp &nbsp Конечно, можно придумать и другие варианты обхода ограничений, как например, загрузка с использованием Winternals ERD Commander и редактирование проблемного реестра, или использование утилиты командной строки REG.EXE (Скачать bat-файл для разблокировки редактора реестра и менеджера задач) , или редактора реестра стороннего производителя, но данный способ — наиболее необычный, простой и быстрый. Необычность решения проблемы, как правило, дает то преимущество, что против ваших действий по обходу ограничений нет, или пока нет заранее подготовленных контрмер.
Кстати, данным способом можно воспользоваться не только для запуска regedit.exe, но и других программ — проводника (Explorer.exe) например
psexec -s -i C:\WINDOWS\EXPLORER.EXE
что позволит получить доступ к каталогам и файлам, недоступным реальному пользователю, как, например, скрытая системная папка System Volume Information.

Очень неплохой способ обхода ограничений — использование редактора реестра стороннего производителя.

Resplendent Registrar Registry Manager — приблизительно 3Мб — в версии «Lite Edition» — бесплатный редактор реестра с удобным интерфейсом и полезными дополнительными возможностями по поиску, мониторингу, дефрагментации, сохранению и восстановлению реестра.

Как бороться с ограничениями доступа

Как запустить regedit.exe если у вас на рабочем столе нет ни кнопки «Пуск»-«Выполнить», ни проводника, а в меню «Программы» есть только Winword и «Игры». Вариантов много. Вот некоторые из них:
— используем Internet Explorer. Запускаем его. Жмем на «Файл» — «Открыть» и в окне «Введите адрес документа или папки Интернет» пишем : regedit.exe Кстати таким образом можно запустить любую программу, даже окно ДОС, а уж на него все вышеперечисленные ограничения не действуют. В описываемом выше окошке вместо regedit.exe пишем command.com (или cmd.exe для WINNT) — и стартует окно ДОС.
А из него можно запустить, например, Volkov Commander с дискеты и творить что угодно.
— используем файл с расширением .reg. Если на рабочем столе создать файл с расширением .reg и сделать по нему двойной щелчок, то запустится редактор реестра и данные из файла будут занесены в реестр. Пример содержимого файла для запуска редактора реестра по каждому старту windows 9Х:

REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] «1»=»regedit.exe»

REGEDIT4 Эта строка обязательна- иначе редактор реестра не возьмет файл
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] Это раздел реестра, в который будут записаны параметры.
«1»=»regedit.exe» — это параметр — строка с именем «1» (можете написать вместо 1 что угодно) и значением regedit.exe .
После того как появится сообщение , что данные успешно внесены в реестр, спокойно перезагружаетесь и вместе с windows у вас стартанет редактор реестра. Если же этого не произойдет то скорее всего злобный админ запретил использование regystry tools, как описано в предыдущем разделе ( DisableRegistryTools=dword:00000001 в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies) или вообще поменял имя для regedit.exe. Обойти это — тоже не составляет проблем. Попробуйте создать и выполнить файл .reg с содержимым:
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
«DisableRegistryTools»=dword:00000000

Это снимет ограничения на использование редактора реестра
— используем Outlook Express. Попросите своего знакомого прислать вам по почте письмо с вложением файла regedit.exe и откройте файл вложения, а не сохраняйте его на диске.
— используем редактор реестра стороннего производителя. Если у вас есть, например REG ORGANIZER Константина Полякова www.chemtable.com
—>

Полезные советы

В списке установленных программ висит программа давно удаленная

Постоянно приходится указывать путь на дистрибутив Windows

Проблемы с русским шрифтом на некоторых программах

Снятие пароля с заставки (ScreenSaver’а)

Параметры рабочего стола для профиля по умолчанию задаются параметрами раздела реестра
HKEY_USERS\.DEFAULT\Control Panel\Desktop
Параметры рабочего стола текущего пользователя — разделом реестра
HKEY_CURRENT_USER\Control Panel\Desktop
Для снятия пароля с заставки для рабочего стола текущего пользователя нужно открыть раздел реестра
HKEY_CURRENT_USER\Control Panel\Desktop
и установить значение ключа ScreenSaverIsSecure равным нулю.

Для отключения заставки — установить в 0 значение ScreenSaveActive

Создание своего окна при входе в систему

Очистка имени предыдущего пользователя

Запрет на запуск редактора реестра и диспетчера задач.

Для запрета запуска редактора реестра любого пользователя используется раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools =dword:00000001 запрещено запускать
DisableRegistryTools =dword:00000000 разрешено запускать
DisableTaskMgr — =dword:00000001 запрещено запускать
DisableTaskMgr — =dword:00000000 разрешено запускать
Для ограничения запуска редактора реестра и диспетчера задач текущего пользователя аналогичные значения устанавливаются в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Обязательный ввод пароля в Windows 9X

Изменить поведение компьютера при выключении

Изменение языка по умолчанию в окне входа в систему

Если в окне ввода пароля используется русская раскладка клавиатуры, то изменить это можно подредактировать раздел HKEY_USERS\.DEFAULT\Keyboard Layout\Preload. Он имеет 2 строковых параметра — «1» и «2».
Если значения равны:
1=00000409
2=00000419
то раскладка в окне входа в систему станет английской.
Если значения параметрам присвоить наоборот («1″=00000419, «2»= 00000409) — то раскладка станет русской.

Domstorage в реестре что это

Реестр Windows (системный реестр) — это иерархическая (древовидная) база данных, содержащая записи, определяющие параметры и настройки операционных систем Microsoft Windows. Реестр в том виде, как он выглядит при просмотре редактором реестра, формируется из данных, источниками которых являются файлы реестра и информация об оборудовании, собираемая в процессе загрузки. В описании файлов реестра на английском языке используется термин «Hive». В некоторых работах его переводят на русский язык как «Улей». В документации от Microsoft этот термин переводится как «Куст».

Файлы реестра создаются в процессе установки операционной системы и хранятся в папке %SystemRoot%\system32\config (обычно C:\windows\system32\config). Для операционных систем Windows это файлы с именами

default
sam
security
software
system
.
В операционных системах Windows Vista/Windows 7/8/10, файлы реестра располагаются также в каталоге \Windows\system32\config и имеют такие же имена, однако в этих ОС добавился новый раздел реестра для хранения данных конфигурации загрузки (Boot Configuration Data) с именем BCD00000000 . Файл с данными этого раздела имеет имя bcd и находится в скрытой папке Boot активного раздела ( раздела, с которого выполняется загрузка системы). Обычно, при стандартной установке Windows 7, создается активный раздел небольшого размера ( около 100 мегабайт), который скрыт от пользователя и содержит только служебные данные для загрузки системы – загрузочные записи, менеджер загрузки bootmgr , хранилище конфигурации загрузки BCD, файлы локализации и программы тестирования памяти . Расположение куста bcd зависит от того, как сконфигурирован загрузчик системы при ее установке, и может находиться на том же разделе, где и каталог Windows.

Место расположения файлов реестра в любой версии Windows можно просмотреть с помощью редактора реестра. В разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist хранится информация о всех кустах, включая пользовательские профили, со ссылками на их расположение в файловой системе Windows.

В процессе загрузки система получает монопольный доступ к файлам реестра и, поэтому, их невозможно открыть для просмотра, скопировать, удалить или переименовать обычным образом. Для работы с содержимым системного реестра используется специальное программное обеспечение — редакторы реестра (REGEDIT.EXE, REGEDT32.EXE), являющиеся стандартными компонентами операционной системы. Для запуска редактора реестра можно использовать меню кнопки «Пуск»- «Выполнить» — regedit.exe

Редактор реестра Windows

После старта редактора, в левой части основного окна вы видите список корневых разделов (root keys) реестра. Каждый корневой раздел может включать в себя вложенные разделы (subkeys) и параметры (value entries) или ключи реестра.
Основное назначение корневых разделов:
HKEY_CLASSES_ROOT ( Общепринятое сокращенное обозначение HKCR ) — Ассоциации между приложениями и расширениями файлов и информацию о зарегистрированных объектах COM и ActiveX.
HKEY_CURRENT_USER (HKCU) — Настройки для текущего пользователя (рабочий стол, личные папки, настройки приложений). Этот раздел представляет собой ссылку на раздел HKEY_USERS\Идентификатор пользователя (SID) в виде S-1-5-21-854245398 -1035525444-.
SID — это уникальный номер, идентифицирующий учетную запись пользователя, группы или компьютера. Он присваивается учетной записи при создании каждого нового пользователя системы. Внутренние процессы Windows обращаются к учетным записям по их кодам SID, а не по именам пользователей или групп. Если удалить, а затем снова создать учетную запись с тем же самым именем пользователя, то предоставленные прежней учетной записи права и разрешения не сохранятся для новой учетной записи, так как их коды безопасности будут разными. Аббревиатура SID образована от Security ID.

Идентификатор SID представляет собой числовое значение переменной длины, формируемое из номера версии структуры SID, 48-битного кода агента идентификатора и переменного количества 32-битных кодов субагентов и/или относительных идентификаторов (Relative IDentifiers, RID). Код агента идентификатора определяет агент, выдавший SID, и обычно таким агентом является локальная операционная система или домен под управлением Windows. Коды субагентов идентифицируют попечителей, уполномоченных агентом, который выдал SID, а RID — дополнительный код для создания уникальных SID на основе общего базового SID.
Для идентификатора S-1-5-21-854245398 -1035525444: 1000, номер версии равен 1, код агента идентификатора — 5, а далее следуют коды четырех субагентов. В Windows NT и старше, при установке системы, создается один фиксированный (код 21) и три генерируемых случайным образом (числа после «S-1-5-21») кода субагентов. Также в процессе установки создаются некоторые (одинаковые для всех систем) учетные записи, как например, учетная запись администратора, которая всегда имеет RID равный 500

Для просмотра соответствия SID и имени пользователя можно воспользоваться утилитой PsGetSID.exe из пакета PSTools

HKEY_LOCAL_MACHINE (HKLM) — в данном разделе реестра хранятся глобальные аппаратные и программные настройки системы — записи для системных служб, драйверов, наборов управляющих параметров, общие настройки программного обеспечения, применимые ко всем пользователям . Это самая большая и самая важная часть реестра. Здесь сосредоточены основные параметры операционной системы, оборудования, программного обеспечения.

HKEY_USERS ( HKU) — индивидуальные настройки среды для каждого пользователя системы (пользовательские профили) и профиль по умолчанию для вновь создаваемых пользователей.

HKEY_CURRENT_CONFIG (HKCC) — конфигурация для текущего аппаратного профиля. Обычно профиль один единственный, но имеется возможность создания нескольких с использованием «Панель управления» — «Система» — «Оборудование»- «Профили оборудования». На самом деле HKCC не является полноценным разделом реестра, а всего лишь ссылкой на подраздел из HKLM
HKLM\SYSTEM\Current ControlSet\Hardware Profiles\Current

Параметры или ключи реестра имеют имена , представленные в обычном текстовом виде и значения , которые хранятся в виде стандартизированных записей определенного типа. Допустимые типы данных реестра:

REG_BINARY — двоичный параметр. Большинство сведений об аппаратных компонентах хранится в виде двоичных данных и выводится в редакторе реестра в шестнадцатеричном формате.

REG_DWORD — двойное слово. Данные представлены в виде значения, длина которого составляет 4 байта (32-разрядное целое). Этот тип данных используется для хранения параметров драйверов устройств и служб. Значение отображается в окне редактора реестра в двоичном, шестнадцатеричном или десятичном формате. Эквивалентами типа DWORD являются DWORD_LITTLE_ENDIAN (самый младший байт хранится в памяти в первом числе) и REG_DWORD_BIG_ENDIAN (самый младший байт хранится в памяти в последнем числе).

REG_QWORD — Данные, представленные в виде 64-разрядного целого. Начиная с Windows 2000, такие данные отображаются в окне редактора реестра в виде двоичного параметра.

REG_SZ — строковый параметр.

REG_EXPAND_SZ — Расширяемая строка данных. Многострочный параметр. Многострочный текст. Этот тип, как правило, имеют списки и другие записи в формате, удобном для чтения. Записи разделяются пробелами, запятыми или другими символами.

REG_RESOURCE_ LIST — Двоичный параметр. Последовательность вложенных массивов. Служит для хранения списка ресурсов, которые используются драйвером устройства или управляемым им физическим устройством. Обнаруженные данные система сохраняет в разделе \ResourceMap. В окне редактора реестра эти данные отображаются в виде двоичного параметра в шестнадцатеричном формате.

REG_RESOURCE_ REQUIREMENTS_LIST — двоичный параметр. Последовательность вложенных массивов. Служит для хранения списка драйверов аппаратных ресурсов, которые могут быть использованы определенным драйвером устройства или управляемым им физическим устройством. Часть этого списка система записывает в раздел \ResourceMap. Данные определяются системой. В окне редактора реестра они отображаются в виде двоичного параметра в шестнадцатеричном формате.

REG_FULL_RESOURCE_DESCRIPTOR — двоичный параметр. Последовательность вложенных массивов. Служит для хранения списка ресурсов, которые используются физическим устройством. Обнаруженные данные система сохраняет в разделе \HardwareDescription. В окне редактора реестра эти данные отображаются в виде двоичного параметра в шестнадцатеричном формате.

REG_NONE — Данные, не имеющие определенного типа. Такие данные записываются в реестр системой или приложением. В окне редактора реестра отображаются в виде двоичного параметра в шестнадцатеричном формате.

REG_LINK — Символическая ссылка в формате Юникод.

При добавлении новых параметров в реестр, необходимо задавать не только имя и значение, а также правильный тип данных.

Возможности конкретного пользователя при работе с данными реестра определяются правами его учетной записи. Далее по тексту, предполагается, если это не оговорено особо, что пользователь имеет права администратора системы.

При просмотре данных реестра в среде Windows XP, 2 подраздела с именами SAM и SECURITY, не отображаются, и доступ к ним разрешен только для локальной системной учетной записью (Local System Account), под которой обычно выполняются системные службы (system services). Обычно, учетные записи пользователей и даже администраторов, таких прав не имеют, и редактор реестра, запущенный от их имени, не отображает содержимое разделов SAM и SECURITY. Для доступа к ним нужно, чтобы regedit был запущен от имени учетной записи с правами Local System, для чего можно воспользоваться утилитой PSExec

psexec.exe -i -s regedit.exe

Можно также воспользоваться стандартными средствами операционной системы, например, планировщиком заданий. С помощью команды at создаем задание на запуск regedit.exe в интерактивном режиме через 2-3 минуты от текущего времени (например- в 16час 14 мин.)

at 16:14 /interactive regedit.exe

Поскольку сам планировщик работает как системная служба, то порожденная им задача также будет выполняться с наследуемыми правами, а ключ /interactive позволит текущему пользователю взаимодействовать с запущенным заданием, т.е. с редактором реестра, выполняющимся с правами локальной системной учетной записи.

В Windows 7 разделы реестра SAM и SECURITY отображаются , однако не отображается их содержимое, для просмотра которого можно воспользоваться аналогичным приемом.

В процессе загрузки и функционирования операционной системы выполняется постоянное обращение к данным реестра, как для чтения, так и для записи. Файлы реестра постоянно изменяются, поскольку не только система, но и отдельные приложения могут использовать реестр для хранения собственных данных, параметров и настроек. Другими словами, обращение к реестру — это одна из наиболее распространенных операций. Даже если пользователь не работает за компьютером, обращения к реестру все равно выполняются системными службами, драйверами и приложениями.

Нарушение целостности файлов реестра (нарушение структуры данных) или неверное значение отдельных критических параметров может привести к краху системы . Поэтому, прежде чем экспериментировать с реестром, позаботьтесь о возможности его сохранения и восстановления.

Особенности реестра Windows Vista и последующих версий ОС семейства Windows

Главным отличием реестра операционных систем Windows Vista / Windows 7 / Windows Server 2008 и более поздних выпусков — появление нового раздела с данными конфигурации загрузки системы HKEY_LOCAL_MACHINE\BCD00000000 .

Хранилище конфигурации загрузки BCD как раздел реестра

Этот раздел содержит объекты и элементы конфигурации, используемые новым диспетчером загрузки BOOTMGR пришедшим на смену традиционному загрузчику NTLDR . Раздел HKLM\BCD00000000 является системным хранилищем данных конфигурации загрузки ( BCD — Boot Configuration Data ) и физически, представляет собой файл реестра c именем bcd , находящийся в каталоге \BOOT активного раздела ( раздела диска с загрузочной записью и файлом диспетчера BOOTMGR) . При стандартной установке Windows 7 на новый жесткий диск, в качестве активного раздела создается небольшой ( размером около 100Мб) раздел, который содержит файлы и каталоги, необходимые для работы диспетчера загрузки. Обычно, этот раздел скрыт от пользователя, поскольку ему не присваивается буква логического диска и к его содержимому невозможно получить доступ стандартными средствами, такими, как например «Проводник» Windows (Explorer) . При просмотре с использованием Диспетчера логических дисков, данный раздел отображается под названием «Зарезервировано системой» и имеет признак «Активный».

Активный раздел Windows 7

Загрузочный сектор данного раздела (Partition Boot Sector или PBR) выполняет загрузку файла диспетчера bootmgr , который должен находиться в его корне. В свою очередь, диспетчер загрузки bootmgr для своих целей использует системное хранилище конфигурации, которое должно находиться в папке с именем BOOT .

Подразделы и ключи раздела HKLM\BCD00000000 имеют определенные имена, типы данных, и связи, которые обрабатываются диспетчером загрузки BOOTMGR и задают весь ход процесса дальнейшей загрузки — вид меню выбора загружаемых систем, таймаут выбора, систему, загружаемую по умолчанию, используемые устройства и приложения загрузки, и другие параметры. Иерархическая структура данных хранилища конфигурации загрузки не предназначена для редактирования с использованием редактора реестра и по умолчанию подраздел HKLM\BCD00000000 имеет разрешение только на чтение. Разрешение можно изменить с использованием контекстного меню, вызываемого правой кнопкой мыши, однако нужно учитывать то, что неквалифицированное изменение отдельных параметров данной ветви реестра может нарушить конфигурацию и системная загрузка станет невозможной. Тем не менее, экспорт данных ветви реестра HKLM\BCD00000000 иногда полезен, как дополнительная возможность анализа конфигурации загрузки в удобном для просмотра виде, а импорт — как восстановление ранее сохраненных данных BCD.

Для работы с данными конфигурации загрузки используется специальная утилита командной строки BCDEDIT.EXE , позволяющая сохранять конфигурацию, восстанавливать из ранее сохраненной копии, просматривать содержимое хранилища, редактировать отдельные объекты конфигурации и их элементы . Новый механизм загрузки операционных систем семейства Windows довольно сложен для понимания и не имеет прямого отношения к работе с реестром, поэтому привожу ссылки на дополнительные материалы:

Сохранение и восстановление реестра

1. Использование точек восстановления (Restore Points)

В операционных системах Windows, начиная с Windows XP, существует механизм ,с помощью которого, при возникновении проблем, можно восстановить предыдущее состояние компьютера без потери личных файлов (документов Microsoft Word, рисунков, Избранного, Рабочего стола) с использованием точек восстановления (Restore Points) , которые при стандартных настройках, создаются системой автоматически во время простоя компьютера или во время существенных системных событий, таких, как установка нового приложения или драйвера. Кроме того, имеется возможность в любое время создать точку восстановления принудительно, с помощью «Панель управления» – «Система» – «Дополнительные параметры» – «Защита системы» – «Создать»

Точки восстановления представляют собой набор файлов операционной системы и реестра, скомпонованный по определенным правилам и сохраняемый в виде подкаталога в скрытой системной папке System Volume Information . Сохраненные в точке восстановления данные позволяют, практически гарантировано, вернуть операционную систему к состоянию на момент их создания. При изучении реестра (и отсутствии практического опыта работы с ним) принудительное создание точки восстановления перед началом работы позволит восстановить работоспособность Windows даже в случае краха системы. Стандартное средство восстановления системы работает только в среде самой Windows, однако существуют способы, которые позволяют вернуть систему к жизни даже при возникновении «синего экрана смерти» по причине неудачного редактирования реестра. Об этом чуть позже.

Для восстановления системы используется точками восстановления используется приложение «Восстановление системы» — \windows\system32\restore\rstrui.exe для Windows XP и \windows\system32\rstrui.exe

Rstrui.exe - Восстановление системы

Можно также воспользоваться меню «Панель управления» – «Система» – «Дополнительные параметры» – «Защита системы» – «Восстановление»

Данные точек восстановления хранятся в каталоге System Volume Information системного диска. Это скрытый системный каталог, доступ к которому разрешен только локальной системной учетной записи (Local System), или, другими словами, не пользователям, а «Службе восстановления системы». Поэтому, если вы хотите получить доступ к его содержимому, вам придется добавить права вашей учетной записи с использованием вкладки «Безопасность» в свойствах каталога «System Volume Information».

В случае Windows XP в папке System Volume Information есть подкаталог с именем, начинающемся с _restore. и внутри него — подкаталоги RP0, RP1. : — это и есть данные контрольных точек восстановления (Restore Point — RPn) для Windows XP. Внутри папок RPn имеется каталог с именем snapshot , содержащий копии файлов реестра на момент создания контрольной точки. При выполнении операции восстановления системы восстанавливаются основные системные файлы и файлы реестра. Соответственно, например, если крах системы вызван установкой нового драйвера, то после отката на точку восстановления, даже при наличии в каталоге Windows исполняемого файла драйвера, записи в реестре, обеспечивающие его загрузку, исчезнут, и система вернется в рабочее состояние. Подобным же образом можно избавиться от вирусного заражения, когда выполняется откат системы на тот момент, когда в реестре еще не было записей, обеспечивающих запуск вредоносного ПО.

Структура данных точек восстановления для Windows 7 отличается от той, что используется в Windows XP. Начиная с ОС Windows Vista, используется не только копирование файлов реестра и важнейших системных файлов, но и создаются снимки файловой системы (snapshot) службой теневого копирования томов. Снимки файловой системы также хранятся в каталоге System Volume Information и представляют собой сжатые файлы, в имени которых содержится глобальный идентификатор:

Количество снимков зависит от настроек системы и наличия свободного места на диске. Однако порядок отката системы на состояние сохраненной точки восстановления такой же, как и для Windows XP.

Откат системы на точку восстановления является простым и эффективным способом восстановления работоспособности без потери пользовательских данных не только в случаях неудачного редактирования реестра, установки некорректно работающего системного программного обеспечения, но и, например, при вирусном заражении компьютера, когда имеется точка восстановления на момент времени, когда вируса еще не было в системе. Именно поэтому многие вредоносные программы пытаются уничтожить данные точек восстановления и отключить средства восстановления системы. В подавляющем большинстве случаев, запуск внедрившегося вируса обеспечивается определенными записями в реестре, а после отката эти записи исчезнут, и вирус не сможет получить управление, и тем самым, будет нейтрализован даже без использования антивирусного программного обеспечения. Как видно, механизм точек восстановления довольно эффективен, но воспользоваться им можно только в среде самой Windows — для выполнения отката неработоспособной системы, стандартно, нужно в ней же и загрузиться. А если система повреждена настолько, что загрузка невозможна, задача становится невыполнимой. Тем не менее, выход из данной ситуации ( и даже не один) — есть. Можно, например, воспользоваться загрузочным диском Microsoft Diagnostic and Recovery Toolset (MS DaRT), он же (Winternals) ERD СOMMANDER (ERDC), — инструментом на базе специальной версии Windows PE, загружаемой с компакт диска или другого внешнего носителя. ERD Commander умеет работать с точками восстановления той ОС Windows, которая была подключена к нему при загрузке, и позволяет легко выполнить откат на ее работоспособное состояние через меню «Start — System Tools — System Restore»

С помощью System Restore Wizard восстановление выполняется так же, как это можно было бы выполнить в среде рухнувшей системы.

Если же ERDC нет под рукой, или полный откат системы не нужен, можно воспользоваться ручным восстановлением отдельных файлов реестра, копии которых можно взять из данных точки восстановления для Windows XP, или из автоматически создаваемых копий файлов реестра в Windows 7. Для этого достаточно получить доступ к файловой системе жесткого диска с поврежденной Windows. Можно загрузиться в другой системе (Windows PE, Live CD, даже DOS с поддержкой файловых систем FAT32 / NTFS), получить доступ к данным системного диска проблемной Windows и просто заменить испорченный файл (ы) раздела реестра на файл (ы) из каталога точки восстановления .

Восстановление файлов реестра для Windows XP

В папке, где хранятся данные точек восстановления, System Volume Information на системном диске, находим подкаталог с именем, начинающемся с _restore. и внутри него — подкаталоги RP0, RP1 : — это и есть искомые контрольные точки (Restore Point — RPx). Внутри папки RPx открываем каталог SNAPSHOT , содержащий копии файлов реестра, на момент создания контрольной точки.

Файл REGISTRY_MACHINE_SYSTEM — это и есть копия файла SYSTEM , он же — раздел реестра HKEY_LOCAL_MACHINE\SYSTEM . Остается лишь перетащить этот файл в каталог \WINDOWS\SYSTEM32\CONFIG\ и переименовать его. Запорченный файл system можно, на всякий случай, переименовать в system.bad или удалить.

Обычно, для восстановления работоспособности поврежденной операционной системы, достаточно копирования только файла SYSTEM, поскольку именно в нем хранятся наиболее важные параметры, необходимые для загрузки и функционирования ОС. Копирование файла SOFTWARE влияет на изменение состава установленного программного обеспечения для всех пользователей. При необходимости восстановления настроек пользователя нужно взять соответствующий ему файл _REGISTRY_USER_NTUSER_S-1-5-21: и скопировать его в каталог профиля (для Windows XP — обычно это «:\Documents and Settings\Имя пользователя») под именем ntuser.dat

Если при таком способе восстановления реестра будет использоваться ERD Commander, в режиме работы с выбранной Windows, то могут возникнуть проблемы с занятостью файлов. Чтобы этого не случилось, лучше в процессе загрузки не подключаться к проблемной операционной системе и выбрать None :

Восстановление файлов реестра для Windows 7 и более поздних ОС Windows

Для восстановления работоспособности Windows 7 и более поздних версий, удобнее всего воспользоваться средством Microsoft Diagnostic and Recovery Tools ( MS DaRT ), версии соответствующей версии и разрядности операционной системы. Для 32-разрядных и 64-разрядных ОС используются свои загрузочные диски. Наборы инструментов и их функциональные возможности, практически не отличаются от использовавшихся в ERD Commander, однако немного изменился их внешний вид и добавилась официальная поддержка русского языка. Описание работы с ERDC и MS DaRT 7.0 / 8.0 приводится в отдельной статье. В тех случаях, когда невозможно выполнить загрузку Windows, и запустить средство восстановления системы, инструменты MS DaRT позволяют выполнить ее откат на работоспособное состояние, практически так же, как и в случае с применением классического ERD Commander для Windows XP. Однако, описанный выше способ с частичной или полной заменой файлов реестра из данных точек восстановления применить не получится, поскольку возникает проблема извлечения их них отдельных кустов реестра. Тем не менее, в современных ОС семейства Windows существует более простая методика восстановления реестра, основанная на использовании автоматически создаваемых копий кустов (файлов реестра), создаваемых периодически специальной, задачей «Планировщика заданий». Задача RegIdleBackup создается в библиотеке планировщика заданий и выполняется скрытно, вне зависимости от регистрации пользователя, по умолчанию, один раз в 10 дней. Параметры задачи и сведения о ее выполнении можно посмотреть с помощью оснастки «Панель управления»- «Администрирование» — «Планировщик заданий». Открыть дерево «Библиотека планировщика» – Microsoft – Windows – Registry .

Задание на архивирование файлов реестра в планировщике

Хотя задано время выполнения 00:00, в параметрах задачи установлен режим немедленного запуска, если просрочен плановый запуск. Таким образом, задача будет выполнена, даже если компьютер на момент планового запуска был выключен, и в случае успешного завершения, каталоге \windows\system32\config\RegBack будет создана резервная копия файлов реестра default, sam, security, software и system. Следовательно, в тех случаях, когда восстановление системы стандартными средствами невозможно ( например, нет данных точек восстановления ), можно воспользоваться ручным копированием файлов реестра из каталога windows\system32\config\RegBack в каталог windows\system32\config так же, как и для случая описанного выше.

Кроме того, как уже упоминалось выше, в операционных системах Windows Vista и старше, при создании точки восстановления системы, создается и теневая копия тома, представляющая собой полный снимок файловой системы (snapshot, снапшот ), который тоже может помочь в восстановлении не только файлов реестра, но и любых других, существовавших на момент создания снимка. Для получения информации о существующих теневых копиях файловой системы можно воспользоваться командой:

vssadmin list shadows

Для доступа к данным теневых копий можно использовать , например, создание символической ссылки на корневой каталог теневой копии тома, командой:

mklink /D C:\shadow1 \\?\GLOBALROOT\Device\ HarddiskVolumeShadow Copy1\

Командная строка должна быть запущена от имени администратора. После выполнения команды, на диске C: появится папка shadow1 , содержимое которой представляет собой копию диска C: на момент создания точки восстановления. Более подробно о теневом копировании и использовании снимков файловой системы – в статье Восстановление данных с использованием теневых копий томов

Для доступа к файлам и папкам из снимка файловой системы, можно использовать и сторонние программы, умеющие работать с томами теневых копий, как, например, популярная программа восстановления данных Recuva . Более подробно об использовании данных теневых копий рассказывается в отдельной статье по применению Recuva для эффективного восстановления файлов.

2. Использование утилиты для работы с реестром из командной строки REG.EXE

В ОС Windows 2000 утилита REG.EXE входила в состав пакета Support tools, в Windows XP , windows 7 /8 — входит в стандартный набор программ, устанавливаемых в процессе инсталляции системы. На практике, можно для Windows 2000 использовать REG.EXE из комплекта Windows XP — просто скопируйте ее в каталог \winnt\system32). Запускается из командной строки. При запуске без параметров выдает краткую справку по использованию:

Программа редактирования системного реестра из командной строки, версия 3.0
(C) Корпорация Майкрософт, 1981-2001. Все права защищены

REG [Список параметров]

== [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ]

Код возврата: (за исключением REG COMPARE)
0 — Успешно
1 — С ошибкой

Для получения справки по определенной операции введите:
REG /?

REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG COMPARE /?
REG EXPORT /?
REG IMPORT /?

Для резервного копирования реестра используется REG.EXE SAVE, для восстановления — REG.EXE RESTORE

Для получения справки

REG.EXE SAVE /?
REG SAVE

Полный путь к разделу реестра в виде: КОРЕНЬ\Подраздел
Корневой раздел. Значения: [ HKLM | HKCU | HKCR | HKU | HKCC ].
Полный путь к разделу реестра в выбранном корневом разделе.
Имя сохраняемого файла на диске. Если путь не указан, файл
создается вызывающим процессом в текущей папке.

Примеры:
REG SAVE HKLM\Software\MyCo\MyApp AppBkUp.hiv
Сохраняет раздел MyApp в файле AppBkUp.hiv в текущей папке

Синтаксис REG SAVE и REG RESTORE одинаков и вполне понятен из справки. Есть, правда некоторые моменты. В версии утилиты из ОС Windows 2000 нельзя было указывать путь в имени файла для сохранения раздела реестра и сохранение выполнялось только в текущий каталог. Справка самой утилиты и примеры ее использования для сохранения (REG SAVE) вполне можно использовать для сохранения любых разделов реестра, в т.ч. HKLM\software, HKLM\system и т.п. однако, если вы попробуете восстановить, например, HKLM\system, то получите сообщение об ошибке доступа, по причине занятости данного раздела реестра, а поскольку он занят всегда, восстановление с помощью REG RESTORE выполнить не удастся.

Для сохранения куста SYSTEM:
REG SAVE HKLM\SYSTEM system.hiv
Для сохранения куста SOFTWARE:
REG SAVE HKLM\SOFTWARE software.hiv
Для сохранения куста DEFAULT:
reg save HKU\.Default default.hiv

Если файл существует, то REG.EXE выдаст ошибку и завершится. В Windows 7, при наличии существующего файла, выдается стандартный запрос на разрешение его перезаписи.

Сохраненные файлы можно использовать для восстановления реестра с использованием ручного копированием в папку %SystemRoot%\system32\config.

3. Ручное копирование файлов реестра.

Этот способ возможен, если имеется копия файлов реестра, созданная на момент работоспособного состояния. Как уже упоминалось выше, если загрузиться в другой ОС с возможностью доступа к файловой системе проблемной Windows, то с файлами из папки реестра можно делать все, что угодно. В случае повреждения файла system, можно воспользоваться, например, сохраненным с помощью команды REG SAVE файлом system.hiv, скопировав его в папку реестра и переименовав в system. Для Windows 7 – скопировать файл system из папки \windows\system32\config\RegBack в папку \windows\system32\config

4. Использование режима экспорта-импорта реестра.

Данный способ не является в полном смысле слова способом полного восстановления реестра и более подходит для случаев, когда нужно сохранить и затем восстановить определенную его часть. Редактор реестра позволяет делать экспорт как всего реестра, так и отдельных разделов в файл с расширением reg Импорт полученного при экспорте reg-файла, позволяет восстановить реестр. Щелкаете на «Реестр»—> «Экспорт (Импорт) файла реестра». Импорт также можно выполнить двойным щелчком по ярлыку reg-файла.

Вполне понятно, что наличие резервных копий реестра делает систему почти «не убиваемой», однако, нередко случается так, что при возникновении необходимости восстановления реестра актуальной копии просто нет. Например, вирус отключил систему восстановления и удалил контрольные точки, а резервное копирование вручную просто не выполнялось. И если в Windows 7 существует задание планировщика для копирования файлов реестра, созданное при установке системы, то в Windows XP, такого задания нет, и, при нарушении целостности реестра, шансов на восстановление становится меньше. Что бы исключить подобную ситуацию, было бы неплохо, позаботиться об автоматическом резервирования файлов реестра без участия человека. Например, с помощью командного файла, выполняемого планировщиком или в процессе регистрации пользователя.

Для создания полной копии реестра Windows XP в командной строке удобно использовать бесплатную консольную утилиту regsaver.exe Скачать, 380кб

Утилита сохраняет файлы реестра в каталог, указываемый в качестве параметра командной строки:
regsaver.exe D:\regbackup
После выполнения программы в каталоге D:\regbackup будет создан подкаталог с уникальным именем, состоящим из года, месяца, числа и времени создания резервной копии файлов реестра («yyyymmddhhmmss»). После выполнения резервирования программа может выключить компьютер или перевести его в спящий режим:

regsaver.exe D:\regbackup /off /ask — Выключить компьютер. Ключ /ask требует подтверждения пользователя на выполнение выключения питания.
regsaver.exe D:\regbackup /standby — Перевести в спящий режим без подтверждения (нет /ask)
regsaver.exe D:\regbackup /hibernate /ask — Перевести в режим Hibernate

Вместо стандартного выключения компьютера можно использовать резервное копирование реестра с выключением по его завершению.

Важным преимуществом консольной версии является то, что можно создать командный файл и выполнять его с помощью планировщика заданий для автоматического создания резервных копий файлов реестра.

Я неоднократно использовал regsaver в сценариях регистрации пользователей при входе в домен для периодического ( например, 1 раз в неделю) копирования файлов реестра, и наличие резервной копии нередко выручало в критической ситуации. Для периодического создания резервных копий файлов реестра можно воспользоваться запуском утилиты от имени администратора с сохранением полномочий.

runas /savecred administrator «regsaver.exe D:\regbackup»

Параметр /savecred используется для запоминания полномочий (credentials) пользователя с именем administrator при выполнении от его имени задания regsaver.exe D:\regbackup . При первом запуске runas , будет выдан запрос на ввод пароля указанного пользователя, который будет запомнен и не будет запрашиваться при последующих запусках.

Утилита regsaver выполняется без ошибок в среде Windows 7, однако, копии файлов реестра будут не полными, и использовать их в полной мере невозможно, да и нет необходимости, поскольку автоматическое резервирование файлов реестра выполняется заданием RegIdleBackup, автоматически выполняемым «Планировщиком заданий» Windows. Копии файлов реестра Windows 7/8 хранятся в каталоге C:\Windows\System32\config\RegBack\. Состояние задачи планировщика, в том числе, запланированное время выполнения резервного копирования файлов реестра можно посмотреть при выполнении команды

schtasks /query /tn \Microsoft\Windows\Registry\RegIdleBackup

Пример отображаемой информации:

6. Восстановление реестра, при отсутствии резервных копий в Windows XP.

Иметь актуальные резервные копии реестра — это практически, всегда выход из ситуации когда работа Windows завершается критической ошибкой или, например, при загрузке системы, вы видите сообщение о нарушении целостности куста реестра SYSTEM:

Windows XP could not start because the following file is missing or corrupt: \WINDOWS\SYSTEM32\CONFIG\SYSTEM

Если есть резервная копия, выполняем за 5-10 минут восстановление файла SYSTEM, как описывалось выше, и система продолжает работать, как ни в чем не бывало. Я, конечно, не рассматриваю здесь случай, когда некондиционность файла реестра вызвана сбоями оборудования компьютера.

Если же, резервирование данных реестра никогда не выполнялось, был отключен механизм создания контрольных точек восстановления, или вы использовали Win2K, где этого механизма просто отсутствует, то все равно, некоторые шансы оживить систему, есть.

Возможно, поможет восстановить систему:

Редактор реестра позволяет открывать файлы не только «своего» реестра, но и файлы, являющиеся реестром другой операционной системы. И имеется возможность восстановления поврежденного куста при загрузке в редакторе реестра. Для этого

— Загрузитесь в другой операционной системе Windows с возможностью загрузки проблемного куста реестра .
— Запустите редактор реестра.
— В левой части дерева реестра выберите один из разделов:
HKEY_USERS или HKEY_LOCAL_MACHINE.
— В меню Реестр (Registry) (В других версиях редактора реестра этот пункт меню может называться » Файл «) выберите команду «Загрузить куст(Load Hive)» .
— Найдите испорченный куст ( в нашем случае — system).
— Нажмите кнопку Открыть .
— В поле Раздел введите имя, которое будет присвоено загружаемому кусту. Например BadSystem.
После нажатия OK появится сообщение:

Восстановление загрузкой куста в regedit

В левом окне редактора реестра выберите подключенный куст (BadSystem) и выполните команду «Выгрузить куст» . Поврежденный system будет восстановлен. При чем, редактор реестра Windows XP вполне успешно восстановит реестр и более старой ОС Windows 2000. Даже если содержимое восстановленного таким образом файла будет не совсем актуальным, система, с большой долей вероятности, останется работоспособной. Возможно, придется переустановить некоторые программные продукты, или обновить драйверы.

Мониторинг реестра. Как определить, какие программы обращаются к реестру.

Одной из лучших программ для мониторинга реестра, является утилита Process Monitor , которую можно загрузить с сайта Microsoft, по ссылке на странице программы:

Программа Process Monitor является усовершенствованным инструментом отслеживания активности приложений и системных служб , который в режиме реального времени отображает активность файловой системы, реестра, сети, процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ. Недостатком программы можно считать вероятность зависания при большом количестве отслеживаемых событий.

Методике использования утилиты Process Monitor для анализа активности процессов в Windows посвящена отдельная статья:

Не смотря на появление Process Monitor , в среде Windows XP удобнее использовать хотя и устаревшую, но по прежнему эффективную, утилиту Regmon , поддержка которой прекращена автором. Фактически, Regmon , является частью утилиты Process Monitor , и выполняет только мониторинг обращений к реестру. Параметры программы, панель инструментов, принципы фильтрации и выделения отслеживаемых событий, а также результатов мониторинга в обеих программах практически одинаковы.

Информация выдается в удобном виде, который можно настроить под свои нужды — исключить из результатов мониторинга данные о работе с реестром неинтересных вам приложений, подчеркнуть выбранным цветом то, что считаете особо важным, включить в результаты мониторинга только выбранные процессы. Программа позволяет быстро и легко выполнить запуск редактора реестра с переходом к указанному разделу или параметру. Имеется возможность выполнять мониторинг в процессе загрузки операционной системы с записью результатов в специальный журнал %SystemRoot\Regmon.log.
После старта RegMon, можно определить критерии фильтрации результатов мониторинга реестра:

Настройка фильтра для мониторинга реестра

По умолчанию протоколируются все события обращения к реестру. Фильтр задается значениями полей:

Include — Если * — выполнять мониторинг для всех процессов. Имена процессов разделяются символом «;» . Например — FAR.EXE;Winlogon.exe — будут фиксироваться обращения к реестру только для процессов far.exe и winlogon.exe.
Exclude
— какие процессы исключить из результатов мониторинга.
Highlight — какие процессы выделить выбранным цветом (по умолчанию — красным).

Значения полей фильтра запоминаются и выдаются при следующем старте Regmon. При нажатии кнопки Defaults выполняется сброс фильтра в установки по умолчанию — фиксировать все обращения к реестру. Значения полей фильтра удобнее формировать не при старте RegMon, а в процессе мониторинга, используя меню правой кнопки мыши для выбранного процесса

— Include process — включить данный процесс в мониторинг
— Exclude process — исключить данный процесс из мониторинга.

После старта Regmon с фильтрами по умолчанию, вы увидите большое количество записей об обращении к реестру и, используя Include/Exclude process, можете настроить вывод результатов только нужного вам процесса (процессов).

Registry Monitor - Sysinternals

# — номер по порядку
Time — Время. Формат времени можно изменить с помощью вкладки Options
Process — имя процесса: идентификатор процесса (PID)
Request — тип запроса. OpenKey — открытие ключа (подраздела) реестра, CloseKey — закрытие, CreateKey — создание, QueryKey — проверка наличия ключа и получение количества вложенных ключей (подразделов, subkeys), EnumerateKey — получить список имен подразделов указанного раздела, QueryValue — прочитать значение параметра, SetValue — записать значение.
Path — путь в реестре.
Result — результат выполнения операции. SUCCESS — успешно, NOT FOUND — ключ (параметр) не найден. ACCESS DENIED — доступ запрещен (недостаточно прав). Иногда бывает BUFFER OVERFLOW — переполнение буфера — результат операции не помещается в буфере программы.
Other — дополнительная информация, результат выполненного запроса.

Программа очень проста в использовании. После старта, лучше выбрать фильтр по умолчанию, т.е. фиксировать все обращения к реестру, а затем, в основном окне программы, выбрать ненужный процесс и с помощью правой кнопки мыши вызвать контекстное меню — Exclude process — информация об обращении к реестру данного процесса выводиться не будет. И таким же образом отфильтровать другие, не интересующие вас процессы. Небольшим недостатком программы является ограниченное количество возможных фильтров.

При работе с программой можно использовать меню File, Edit, Options или сочетание клавиш:

CTRL-S — сохранить результаты
CTRL-P — свойства выбранного процесса
CTRL-E — включить/выключить мониторинг
CTRL-F — поиск по контексту
CTRL-C — копировать выбранную строку в буфер обмена
CTRL-T — изменить формат времени
CTRL-X — очистить окно результатов мониторинга
CTRL-J — запустить редактор реестра и открыть ветвь, указанную в колонке Path. Это же действие выполняется при двойном щелчке левой кнопки мыши. Очень полезная возможность, позволяет значительно экономить время.
CTRL-A — включить/выключить автоматическую прокрутку
CTRL-H — позволяет задать число строк результатов мониторинга

Еще одна очень полезная возможность — получить журнал обращений к реестру в процессе загрузки операционной системы.
Для этого выбираете меню Options-Log Boot . Программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в ходе следующей перезагрузки ОС:

Regmon - мониторинг в процессе загрузки

После перезагрузки ОС, в корневом каталоге системы (C:\Windows) будет находиться файл Regmon.log с журналом результатов мониторинга. Режим записи в журнал будет продолжаться до запуска Regmon.exe вошедшим в систему пользователем и выполняется только для одной перезагрузки системы. Конечно же, содержимое журнала не будет полностью отображать абсолютно все обращения к реестру. Поскольку Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, все обращения к реестру, произошедшие до его старта, в журнале не зафиксируются. Однако большая часть все же туда попадет, и вы увидите, что таких обращений будет несколько сотен тысяч.

Поскольку утилита Regmon больше не поддерживается Microsoft, скачать ее с официального сайта невозможно.

Автозапуск программ.

В операционных системах семейства Windows предусмотрена возможность автоматического запуска программ для создания определенной пользовательской среды. Простейшим способом автоматического запуска является размещение ярлыков приложений или файлов сценариев в специальной папке Автозагрузка . Автоматический запуск по ссылкам в данной папке возможен как для отдельного пользователя, так и для всех пользователей, регистрирующихся в системе. Кроме папки «Автозагрузка», для запуска программ могут использоваться и разделы реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Последние 2 раздела (. Once) отличаются тем, что программы, прописанные в них запускаются только 1 раз и после выполнения параметры ключа удаляются.

Записи в HKLM относятся ко всем пользователям компьютера. Для текущего пользователя запуск определяется ключами в разделе HKU:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Пример раздела HKLM\. \RUN:

В правом окне вы видите список параметров , значениями которых является строка, ссылающаяся на программу. При входе пользователя в систему, все перечисленные программы будут выполнены. Удалите параметр — программа не запустится. В связи с тем, что автозапуск программ через реестр используется очень многими программными продуктами, причем, как правило, не в интересах пользователя, большинство автоматически запускаемых программ для работы не нужны, и их запуск можно отключить, удалив соответствующие записи из данного раздела реестра. Если у вас недостаточно знаний для выбора претендентов на удаление из автозапуска, попробуйте поэкспериментировать, меняя расширение exe на ex_. В случае необходимости можно вернуть автозапуск, изменив расширение исполняемого файла.

Для просмотра и отключения автоматически запускаемых программ можно воспользоваться системной утилитой настройки системы от Microsoft — msconfig.exe

Кроме программ, запускающихся при регистрации пользователя в системе, запускается еще огромное количество других, не всегда очевидных, — это и системные службы (сервисы), различные драйверы, программы оболочки (Shell) и т.п. Кроме полезных ( а иногда и бесполезных) программ могут выполняться, используя автоматический запуск и внедрившиеся в систему вирусы. Более подробно о вирусах здесь. Точек возможного автоматического запуска исполняемых модулей огромное множество, и для их поиска в реестре удобнее использовать специальные программы — мониторы автозапуска, наиболее популярной из которых, является Autoruns.exe , обладающей более широким спектром возможностей, чем служебная программа MSConfig, входящая в состав Windows.

Autoruns

Инсталляция не требуется. Просто скачайте Autoruns, разархивируйте его и запустите файл Autoruns.exe (в пакет включена утилита autorunsc.exe — консольная версия). Программа покажет, какие приложения настроены на автоматический запуск, а также представит полный список разделов реестра и каталогов файловой системы, которые могут использоваться для задания автоматического запуска. Элементы, которые показывает программа Autoruns, принадлежат к нескольким категориям: объекты, автоматически запускаемые при входе в систему, дополнительные компоненты проводника, дополнительные компоненты обозревателя Internet Explorer (включая объекты модулей поддержки обозревателя (Browser Helper Objects или сокращенно — BHO), библиотеки DLL инициализации приложений, подмены элементов, объекты, исполняемые на ранних стадиях загрузки, библиотеки DLL уведомлений Winlogon, службы Windows и многоуровневые поставщики услуг Winsock.
Чтобы просмотреть автоматически запускаемые объекты требуемой категории, достаточно выбрать нужную вкладку.

Поскольку Autoruns разрабатывалась тем же автором, что и рассмотренная выше утилита Regmon.exe, у них много общего. Для поиска записей в реестре, относящихся к выбранному объекту достаточно использовать пункт «Jump to» контекстного меню, вызываемого правой кнопкой мыши. Произойдет запуск редактора реестра и откроется ключ, обеспечивающий его запуск.

Драйверы и службы.

Информация о драйверах и системных службах (сервисах) находится в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Каждому драйверу или сервису соответствует свой раздел. Например, «atapi» — для драйвера стандартного IDE контроллера жестких дисков, «DNScache» — для службы «DNS клиент». Назначение основных ключей:
DisplayName — выводимое имя — то что вы видите в качестве осмысленного названия при использовании, например, элементов панели управления.

ErrorControl — режим обработки ошибок.
0 — игнорировать (Ignore) при ошибке загрузки или инициализации драйвера не выдается сообщение об ошибке и система продолжает работу.
1 — нормальный (Normal) режим обработки ошибки. Работа системы продолжается после вывода сообщения об ошибке. Параметры ErrorControl для большинства драйверов устройств и системных служб равна 1.
2 — особый (Severe) режим. Используется для обеспечения загрузки последней удачной конфигурации (LastKnownGood).
3 — критическая (Critical) ошибка. Процесс загрузки останавливается, и выводится сообщение о сбое.

Group — название группы, к которой относится драйвер, например — «Видеоадаптеры»

ImagePath путь и имя исполняемого драйвера. Файлы драйверов обычно имеют расширение .sys и располагаются в папке \Windows\System32\DRIVERS\. Файлы сервисов — обычно .exe и располагаются в \Windows\System32\.

Start управление загрузкой и инициализацией. Определяет, на каком этапе загрузки системы производится загрузка и инициализация данного драйвера или службы. Значения Start:
0 — BOOT — драйвер загружается загрузчиком системы.
1 — SYSTEM — драйвер загружается в процессе инициализации ядра.
2 — AUTO — служба запускается автоматически при загрузке системы.
3 — MANUAL — служба запускается вручную.
4 — DISABLE — драйвер или сервис отключен.
Загрузка драйверов и запуск служб с параметрами Start от 0 до 2 выполняются до регистрации пользователя в системе. Для отключения драйвера или службы достаточно установить значение параметра Start равным 4 . Отключение драйверов и служб через редактирование этого ключа реестра — довольно опасная операция. Если вы случайно или по незнанию отключите драйвер или сервис, без запуска которых невозможна загрузка или функционирование операционной системы, то получите ее аварийное завершение (чаще всего — синий экран смерти Blue Screen Of Death или сокращенно — BSOD).

Во многих случаях, раздел драйвера содержит параметр типа DWORD с именем Tag . Основное его назначение — определение порядка загрузки драйвера или службы внутри группы. Сначала загружаются драйверы и службы в соответствии со значением параметра Start , затем — в соответствии с номером группы, определяемым разделом реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList
и затем — по номерам тегов отдельных драйверов или служб внутри группы. Если поле тега отсутствует, то загрузка драйвера выполняется только после того, как будут загружены драйверы с установленными значениями Tag .

Неверный порядок загрузки драйверов и служб может быть вызван ошибками их установки, недоработками разработчиков и, в редких случаях, — приводить к проблемам функционирования системы (захват ресурсов, необходимых другим драйверам, загрузка раньше другого драйвера, который необходим для работы, и т.п.). Чем меньше значение Tag , тем выше приоритет загрузки драйвера в группе.
Для получения информации о порядке загрузки драйверов, можно воспользоваться специальной утилитой от Sysinternals LoadOrder

Определение порядка загрузки драйверов с помощью LoadOrder

Информация, выдаваемая программой не полностью отсортирована в соответствии с реальным порядком загрузки драйверов и служб, но собрана в компактном виде и значение поля Tag присутствует. Иногда этой информации вполне достаточно для анализа ситуации, связанной с проблемой функционирования конкретного устройства. При нажатии кнопки Copy выходные данные LoadOrder копируются в буфер обмена, после чего их можно сохранить в текстовый файл. Текст можно открыть в Excel, что позволит сортировать, фильтровать и отбирать результаты.
Из приведенного снимка экрана видно, что в самом начале загрузки Windows, загружаются драйверы группы Boot Bus Extender . Первым, в соответствии со значением Tag = 1, будет загружен Драйвер Microsoft ACPI , затем — Драйвер шины PCI , затем — Драйвер шины PnP ISA/EISA и т.д.

Утилита LoadOrd входит в стандартный пакет утилит Sysinternals Suite , не требует установки и работает во всех версиях Windows.

Драйверы и службы для безопасного режима.

При загрузке операционной системы для инициализации драйверов и служб используется набор управляющих параметров из раздела текущей конфигурации
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
Практически, этот раздел определяет набор драйверов, которые известны системе, их параметры, системные службы и дополнительные наборы, которые используются в различных вариантах загрузки ОС. Для загрузки системы в безопасном режиме (Safe Mode) используется минимально необходимая конфигурация драйверов и системных служб, перечень которых задается разделом:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Там имеются подразделы:
Minimal — список драйверов и служб, запускаемых в безопасном режиме (Safe Mode)
Network — то же, но с поддержкой сети.

Кроме раздела HKLM\SYSTEM\CurrentControlSet, в реестре присутствуют и
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002
По своей структуре они идентичны HKLM\SYSTEM\CurrentControlSet, и предназначены для дополнительной возможности восстановления работоспособности системы с использованием загрузки последней удачной конфигурации системы (Last Known Good Configuration). Возможные варианты загрузки управляющих наборов определяются содержимым раздела :
HKEY_LOCAL_MACHINE\SYSTEM\Select

Загрузка последней удачной конфигурации

Current — управляющий набор, который был использован для текущей загрузки.
Default — управляющий набор, который будет использоваться при следующей загрузке.
LastKnownGood — управляющий набор, который будет использоваться, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
Failed — сбойный управляющий набор, который будет создан, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
После успешной загрузки и входа пользователя в систему, данные из CurrentControlSet и ControlSet001 копируются в ControlSet002. При изменении конфигурации, данные записываются в CurrentControlSet и ControlSet001. Если изменение настроек привело к краху системы, имеется возможность ее восстановления при использовании варианта последней успешной загрузки, берущей данные из ControlSet002. После удачной загрузки в этом режиме, появится новый подраздел с управляющим набором, ControlSet003, — на тот случай, если вам снова понадобится использовать Last Known Good Configuration. При каждом использовании загрузки последней удачной конфигурации значение ControlSet00x будет увеличиваться, поэтому в реестре некоторых ОС имеются разделы ControlSet003, ControlSet004 и т.д.

Использование загрузки с параметрами последней удачной конфигурации позволяют восстановить работоспособное состояние системы в тех случаях, когда ошибка не позволяет войти пользователю в систему и загрузка завершается синим экраном смерти или зависанием до момента регистрации.

Список установленных приложений в реестре Windows.

Подавляющее большинство программ, установленных в системе стандартным образом, выполняют запись в раздел реестра:

Каждый подраздел раздела \Uninstall\ содержит подразделы с именами в виде уникальных глобальных идентификаторов (GUID) в виде:

Также, возможны имена в виде обычных строк символов, например Recuva . Каждый подраздел содержит информацию об отдельном установленном в системе программном продукте:

Записи реестра для установленной программы

Наиболее интересные параметры ключей из раздела \Uninstall :

DisplayName — имя программы.

InstallDate — дата установки.

InstallLocation — каталог, в который установлена программа. Publisher — автор.

UninstallString — строка для запуска процесса удаления программы. VersionMajor — старшая часть версии.

VersionMinor — младшая часть версии.

Для получения текстового файла со списком установленных программ и некоторых их характеристик, можно использовать сценарий .vbs , работающий с данными раздела \Uninstall реестра: Готовый файл сценария в виде ZIP-архива pkg_info.zip – скачать, менее 1кб. . При выполнении сценария, в текущем каталоге будет создан текстовый файл, содержащий список установленных программ с датой установки и номером версии. Имя текстового файла с результатами выполнения сценария — Имя компьютера.progs.txt

Пароли приложений в реестре Windows.

Единого места хранения паролей для прикладных программ в реестре Windows не предусмотрено, однако, имеется несколько разделов, которые стандартно используются популярными приложениями.

Сразу добавлю, практически нет никаких шансов получить какой-либо пароль с помощью простого просмотра данных реестра. Пароли, в подавляющем большинстве случаев, хранятся в зашифрованном виде, и для их дешифрации потребуется специальное программное обеспечение.

Для доступа к некоторым разделам реестра, где хранятся данные о паролях, потребуется запуск редактора реестра с правами локальной системной учетной записи (Local System).

В качестве места хранения паролей обозревателя Internet Explorer (до версии 7.0) для доступа к сайтам, паролей для почтовых учетных записей и паролей FTP-доступа используется Защищенное хранилище ( Protected Storage ) . Информация запоминается в специальном разделе реестра

HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider

Новые версии Internet Explorer (7.0 и старше) хранят пароли и информацию для автозаполнения форм в двух разных местах — в защищенном хранилище, определяемом разделом реестра

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2 и в специальном файле ( credentials ) в каталоге пользователя Windows XP

Documents and Settings\имя пользователя\Application Data\Microsoft\Credentials

Для Windows 7 используются скрытые папки Credentials в каталогах профилей пользователя, например «C:\Users\Имя пользователя\Local Settings\Microsoft\Credentials\»

Данные об учетных записях почтовых клиентов и некоторых других сетевых приложений можно найти в разделе

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts

Но информация о паролях также зашифрована.

Учетные записи для dialup (VPN) — подключений и данные об учетных записях некоторых других типов можно найти в разделе

Для доступа к разделу нужны права локальной системной учетной записи. Информацию о паролях в открытом виде найти не удастся.

Есть очень редко встречающиеся приложения, хранящие пароли доступа в ключах реестра в открытом виде, но это не правило, а исключение из правила, поэтому, если вам нужно восстановить забытый пароль, редактор реестра вам не поможет. Пользуйтесь например, программами для восстановления забытых паролей от Nirsoft

Ассоциации расширений файлов и приложений.

Как я уже упоминал выше, корневой раздел реестра HKEY_CLASSES_ROOT ( сокращенное обозначение HKCR ) — используется для ассоциации между приложениями и расширениями файлов. Другими словами, содержимое данного раздела, определяет, какие приложения, и каким образом, обрабатывают файлы с определенными расширениями. Например, при установленном пакете Microsoft Office, файлы с расширением .doc отображаются в проводнике с иконкой ассоциированного с данным типом файлов приложения Microsoft Word, а двойной щелчок на ярлыке такого файла вызовет его открытие для редактирования в Word’е.
Для просмотра и изменения ассоциаций файлов и приложений можно воспользоваться меню
Панель управления — Свойства папки — Типы файлов
При создании ассоциаций выполняется запись определенных данных в раздел HKCR, что позволяет сопоставить определенному типу файла нужное для его обработки приложение и соответствующую ему иконку. В качестве примера я взял записи в HKCR, относящиеся к файлам с расширением .3gp
Отрываем раздел HKEY_CLASSES_ROOT\.3gp

Ассоциации для файлов .3gp

Первый строковый параметр (Параметр по умолчанию) определяет имя раздела в HKCR, данные которого, описывают приложение, сопоставленное расширению файла .3gp. Остальные параметры не обязательны, и описывают тип содержимого для файлов .3gp.
В данном случае, раздел реестра для ассоциации приложения с типом файлов .3gp — HKEY_CLASSES_ROOT\mplayerc.3gp

Ассоциации для файлов .3gp

Количество и содержание подразделов и отдельных ключей определяется особенностями конкретных типов файлов и ассоциируемых с ними приложений, однако практически всегда присутствуют

DefaultIcon — параметр по умолчанию указывает на файл, содержащий иконку, сопоставленную файлам с данным расширением. В данном примере для открытия файлов с расширением .3gp используется приложение Media Player Classic , набор иконок которого хранится в библиотеке mpciconlib.dll в каталоге программы. Значение строкового параметра
«C:\Program Files\K-Lite Codec Pack\Media Player Classic\mpciconlib.dll»,28
Где 28 — порядковый номер иконки. Одно и то же приложение может быть ассоциировано с несколькими типами файлов, и иметь несколько разных вариантов отображаемых иконок.

Shell — раздел определяет набор возможных действий над файлом данного типа.

Подраздел Open раздела Shell определяет действие при открытии файла .3gp
Подраздел Command раздела Open задает команду, выполняемую при открытии файлов .3gp. В данном случае:
«C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe» «%1»
Т.о. при открытии файла с расширением .3gp, например, двойным щелчком мышки, будет запущен проигрыватель Media Player Classic, и в качестве входного параметра ему будет передано имя проигрываемого файла («%1» в строке команды).

В ветви HKEY_CLASSES_ROOT есть раздел с именем «*» . Параметры, задаваемые в данном разделе определяют действия, выполняемые по отношению ко всем расширениям файлов, в том числе и не зарегитрированным. Действия по отношению к папкам определяются содержимым раздела HKEY_CLASSES_ROOT\ Folder .

Ограничение доступа пользователя к ресурсам.

Скрываем логические диски

Изменяем меню кнопки «ПУСК»

NoRun =dword:00000001 нет кнопки «Выполнить»
NoLogOff=hex:01 00 00 00 ( не dword а hex) нет «Завершение сеанса »
NoFind =dword:00000001 — нет пункта «Найти»
NoFavoritesMenu =dword:00000001 нет «Избранное»
NoRecentDocsMenu =dword:00000001 нет «Документы»
NoSetFolders =dword:00000001 нет «Панели управления» в подменю «Настройка»
NoSetTaskbar =dword:00000001 нет «Панель задач» там же
NoPrinters =dword:00000001 нет «Принтеры» в Панели управления
NoAddPrinter =dword:00000001 нет «Добавить принтер»
NoDeletePrinter=dword:00000001 нет «Удалить принтер»
NoDesktop=dword:00000001 Пустой рабочий стол
NoNetHood =dword:00000001 нет «Сетевое окружение»
NoInternetIcon =dword:00000001 нет значка «Интернет» на Рабочем столе Windows
NoTrayContextMenu =hex:01,00,00,00 -Отключить меню, вызываемое правой кнопкой мыши на панели задач
NoViewContextMenu =hex:01,00,00,00 — Отключить меню, вызываемое правой кнопкой мыши на Рабочем столе: Чтобы включить обратно, надо 01 заменить на 00.
NoFileMenu
=hex:01,00,00,00 скрыть » File » в верхней строке меню Проводника
ClearRecentDocsOnExit =hex:01,00,00,00 не сохранять список последних открываемых документов по выходу из системы.

Параметры, изменяющие системные настройки среды пользователей Windows XP хранятся в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ System

NoSecCPL =dword:00000001 отключает доступ к значку «Пароли» в Панели управления
NoAdminPage=dword:00000001 скрывает вкладку «Удаленное управление»
NoProfilePage
=dword:00000001 скрывает вкладку «Профили пользователей»
NoPwdPage«=dword:00000001 скрывает вкладку «Смена паролей»
NoDispCPL=dword:00000001 отключает доступ к значку «Экран» в Панели управления
NoDispAppearancePage=dword:00000001 скрывает «Оформление» в окне свойств экрана
NoDispBackgroundPage=dword:00000001 скрывает «Фон» в окне свойств экрана
NoDispScrSavPage скрывает «Заставка» в окне свойств экрана
NoDispSettingsPage=dword:00000001 скрывает «Настройка» в окне свойств экрана
NoConfigPage=dword:00000001 скрывает «Профили оборудования» в окне свойств системы
NoDevMgrPage=dword:00000001 скрывает вкладку «Устройства» в окне свойств системы
NoFileSysPage=dword:00000001 скрывает кнопку «Файловая система. » на вкладке «Быстродействие» в окне свойств системы
NoVirtMemPage=dword:00000001 скрывает кнопку «Виртуальная память. » на вкладке «Быстродействие» в окне свойств системы
DisableRegistryTools=dword:00000001 запрет Regedit.exe или Regedt32.exe

Некоторые из перечисленных запретов на действия пользователя используют не только системные администраторы, но и внедрившиеся в систему вирусы. Обычно выполняется запись в реестр данных, блокирующих возможность поиска и удаления внедрившегося вредоносного программного обеспечения и, в качестве завершающего аккорда — запрет на запуск редактора реестра (DisableRegistryTools). Как следствие, даже обладая правами администратора, пользователь не имеет возможности что-либо сделать со своим собственным реестром. Попытка запуска редактора завершается подобным сообщением:

DisableRegistryTools

Администратор компьютера получает сообщение Редактирование реестра запрещено администратором системы . Иногда вирусное заражение сопровождается еще и блокировкой запуска менеджера программ, блокировкой некоторых пунктов контекстного меню проводника или невозможностью его запуска вообще.

Для управления разрешениями, на практике используются редакторы групповых политик, предоставляющие более удобный пользовательский интерфейс при выполнении задач по разграничению прав пользователей.

Практические примеры и советы

Настройка автозапуска сменных носителей.

Тип дисков, с которых необходимо разрешить или запретить автозапуск определяется значением ключа NoDriveTypeAutoRun в разделе
HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
NoDriveTypeAutoRun — это маска запрета автозапуска — шестнадцатеричное число, биты которого, установленные в единицу, означают запрет, а в ноль — разрешение автозапуска:

Типам дисков соответствуют биты маски (начиная со старшего разряда)

7 разряд — неопределенный (зарезервированный) тип (Unspecified Reserved Type)
6 разряд — виртуальный диск в оперативной памяти (DRIVE_RAMDISK)
5 разряд — CD/DVD диск (DRIVE_CDROM)
4 разряд — сетевой диск (DRIVE_REMOTE)
3 разряд — несъемный жесткий диск (DRIVE_FIXED)
2 разряд — съемный диск (DRIVE_REMOVABLE)
1 разряд — диск без каталога в корне диска (DRIVE_NO_ROOT_DIR)
0 разряд — диск не распознан (DRIVE_UNKNOWN)

Значение маски NoDriveTypeAutoRun по умолчанию — 0x95, т.е. 10010101 в двоичном виде. Таким образом, запрещен автозапуск с устройств, тип которых задан 7,4,2,0 разрядами — с дисков неопределенного типа, сетевых, съемных и нераспознанных. Разрешен автозапуск с дисков, тип которых определяется 6,5,3,1 разрядами, т.е. для ramdisk, CD/DVD, несменных жестких дисков, и дисков без каталога в корне. Для разрешения автозапуска с любых дисков все биты маски NoDriveTypeAutoRun нужно установить в ноль (0x0), для разрешения — в единицу (0xFF). для разрешения автозапуска только с CD/DVD носителей NoDriveTypeAutoRun должен быть равен 0x20.
С появлением вирусов, распространяющихся через съемные USB диски (флешки), автозапуск программ с внешних носителей стал серьезной угрозой безопасности компьютера и практически, как способ запуска программ, не используется. Обновления безопасности Майкрософт полностью блокируют данную возможность не только для маски NoDriveTypeAutoRun, но и настройками запрета обработки самого файла autorun.inf, в котором содержится информация о запускаемом приложении. Например, следующим образом

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=»@SYS:DoesNotExist»

Для полного исключения автозапуска программ с любых носителей можно выполнить импорт в реестр reg-файла следующего содержания:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
«AutoRun»=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
«NoDriveTypeAutoRun»=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=»@SYS:DoesNotExist»
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
«*.*»=»»

В списке установленных программ присутствует программа, которая уже была удалена

Постоянно приходится указывать путь на дистрибутив Windows

Проблемы с русским шрифтом на некоторых программах

Снятие пароля с заставки (ScreenSaver’а)

Параметры рабочего стола текущего пользователя задаются значениями ключей раздела реестра
HKEY_CURRENT_USER\Control Panel\Desktop
Ключи данного раздела реестра определяют не только внешний вид рабочего стола, но и некоторые другие параметры поведения системы, например, при выключении и перезагрузке. Так, ключ WaitToKillAppTimeout определяет время ожидания принудительного завершения приложения в миллисекундах( стандартное значение — 20000 или 20 секунд).
Использование экранной заставки определяется значением параметра ScreenSaveActive
1 — заставка используется
0 — заставка не используется

Параметр ScreenSaveTimeOut определяет время ожидания в секундах для активации заставки.
Параметр SCRNSAVE.EXE указывает на файл с расширением .scr используемый для формирования заставки.
Для снятия пароля с заставки для рабочего стола нужно установить значение ключа ScreenSaverIsSecure равным нулю.

Очистка имени пользователя в окне регистрации при входе в систему

Запрет /разрешение запуска редактора реестра и диспетчера задач.

Для запрета запуска редактора реестра любым пользователем используется раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools =dword:00000001 запрещено запускать
DisableRegistryTools =dword:00000000 разрешено запускать
DisableTaskMgr — =dword:00000001 запрещено запускать
DisableTaskMgr — =dword:00000000 разрешено запускать
Для ограничения запуска редактора реестра и диспетчера задач текущего пользователя аналогичные значения устанавливаются в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Изменение языка по умолчанию в окне входа в систему

Выбор языка ввода определяется разделом реестра

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload .
В разделе имеется два строковых параметра — «1» и «2».
Если значения равны:
1=00000409
2=00000419
то раскладка в окне входа в систему станет английской.
Если значения параметрам присвоить наоборот («1″=00000419, «2»= 00000409) — то раскладка станет русской.

Информация о версии Service Pack

При установке Service Pack проверяется ключ реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\CSDVersion .
Значение REG_DWORD = 0x00000100 указывает на Service Pack 1 ( Windows 7 )
Значение REG_DWORD = 0x00000400 указывает на SP4 ( Windows XP )
Если номер версии устанавливаемого обновления ниже, то установка не выполняется. Если вам нужно все же установить более раннюю версию, можно подправить это значение, например на REG_DWORD = 0x00000300 для Service Pack 3

В реестре также имеется ключ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \CSDVersion
где хранится текстовое значение для версии Service Pack
«CSDVersion»=»Service Pack 1»

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Типы значений реестра

При создании нового параметра реестра вам будут представлены следующие опции:

  • REG_BINARY: этот тип ключей хранит необработанные двоичные данные.
  • REG_DWORD: 32-разрядное целое число переменной длины.
  • DWORDS: обычно используется для определения параметров настройки драйверов устройств и настройки программного обеспечения.
  • REG_SZ: строковое значение фиксированной длины.
  • REG_EXPAND_SZ: расширяемая длина строкового значения, также используется для переменные среды.
  • REG_MULTI_SZ: мульти-строка, которая может содержать список значений, обычно через запятую или пробел.
  • REG_RESOURCE_LIST: список ресурсов, вложенных массивов, используемых драйверов устройств.
  • REG_RESOURCE_REQUIRMENTS_LIST: список ресурсов оборудования, используемые драйвера устройств.
  • REG_FULL_RESOURCE_DESCRIPTOR: вложенные, используемые для хранения списков ресурсов физических устройств, массивы.
  • REG_LINK: символьная ссылка (ЮНИКОД) в следующий ключ реестра, что определяет корневой ключ и путь к целевому ключу.
  • REG_NONE: данные, не имеющие определенного типа.
  • REG_QWORD: переменные 64-битной длины.

Примечание. Между реестрами 32-разрядной (x86) и 64-разрядной (x64) ОС Windows существует некоторое различие. 64-разрядный параметр qword не поддерживается в 32-разрядных версиях операционной системы Windows. Кроме того, реестр работает с 32-разрядными и 64-разрядными ключами настолько умным образом, что файловая система обрабатывает несколько версий одних и тех же dll файлов, но сохраняет совместимость, которую вы можете найти в секции реестра HKEY_LOCAL_MACHINE\Software\WOW6432Node.

.REG-файлы

.REG-файлы отличаются от файлов реестра по нескольким важным направлениям. Во-первых, хотя они хранят ключи и значения реестра, они предназначены для резервного копирования и переноса между ПК, и установке Windows из этих значений и ключей. Кроме того, .REG-файлы, в отличие от файлов базы данных реестра, которые содержат двоичную систему, хранятся в текстовом формате ASCII.

.REG-файлы открываются автоматически (или, по крайней мере, должны если все правильно установлено и организовано) при двойном нажатии в редакторе реестра Windows.

Вы можете .REG-файлами, в самом редакторе реестра, экспортировать весь реестр или отдельные его ключи.

А также вы можете вручную редактировать содержимое .REG файла в Windows блокноте или любом другом текстовом файловом редакторе. Щелкните правой кнопкой мыши по .REG файлу в проводнике, в появившемся контекстном меню откройте опцию «редактировать».

редактирование_содержимого_REG_файла

В примере на рисунке указан ключ HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics, и он здесь выделен потому, что включает в себя дополнение к конфигурации по умолчанию.

В конце ключа находится раздел под названием «MinWidth», который имеет численное значение 54. Этот ключ изменяет поведение значков на панели задач Windows (не группировать), так, чтобы значки программ, при запуске нескольких экземпляров, отображались раздельно, но без их подписей.

В целом, хотя реестр Windows — это огромный раздутый бегемот с тысячами сложных двоичных, шестнадцатеричных и ASCII значений и кодов, он довольно прост в работе.

Ссылка на основную публикацию