Kompмой компьютер (Windows XP Home Edition SP3) изменяет значения реестра сама по себе.
в разделе HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem у меня DisableRegistryTools и DisableTaskMgr значение 0:
однако по какой-то причине значения возвращаются к 1 через пару секунд. И независимо от того, сколько раз я установить его в 0, он скоро вернется к 1 после a время.
думая, что это может быть какая-то изгоев программа, Я скачал Process Explorer и взглянул на запущенные процессы:
все процессы от Microsoft, Apple, NVIDIA и Oracle, и они выглядят довольно аутентичными.
далее, как и предполагалось, я убил rundll32.exe и побежал монитор процесса. В Regedit я запросил HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystemDisableRegistryTools (он возвращает 1). Затем я изменил значение на 0, как показано ниже:
... (there's alot of entries, I was searching for the string "disableregistrytools") ...
12:25:34.8264490 AM regedit.exe 3192 RegQueryValue HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystemDisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
12:25:34.8264696 AM regedit.exe 3192 RegQueryValue HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystemDisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
12:25:35.9547009 AM regedit.exe 3192 RegSetValue HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystemDisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 0
...
Я ждал примерно 2 минуты. Process Monitor постоянно обновляет свои значения, но поиск строки "disableregistrytools" не дает никаких дальнейших результатов. Затем в 12: 27: 35 я выполнил двойной клик в Редакторе реестра по значению DisableRegistryTools Так что я могу прочитать его обновленное значение:
значение перепрыгнуло с 0 на 1.
возвращаясь назад к Process Monitor, теперь я вижу две дополнительные записи при поиске строки "disableregistrytools":
...
12:27:35.6996148 AM regedit.exe 3192 RegQueryValue HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystemDisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
12:27:35.6996148 AM regedit.exe 3192 RegQueryValue HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystemDisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
...
по какой-то причине Process Monitor, кажется, не в состоянии войти изменения реестра.
что может быть причиной проблемы?
3373
