none
Regedit portable alternativo RRS feed

  • Domanda

  • Ciao, qualcuno conosce un programma portable  alternativo al regedit che possa leggere le chiavi di tutti i profili esistenti.

    L'esigenza nasce dal dover eliminare chiavi di avvio (run) nei vari profili che potrebbero essere infetti partendo da un unico utente amministratore.

    Saluti

    Nino

    martedì 5 febbraio 2013 15:55

Risposte

  • Con il regedit standard puoi operare anche sui profili non attivi, caricando la hive NTUSER.DAT e importantissimo non dimenticare "Scarica hive" al termine!!!  HKEY_CURRENT_USER = %userprofile%\ntuser.dat

    oppure si potrebbe fare uno script che carica la hive  del registro offline, cancella la chiave e  scarica la hive...

    $P=Loop sui profili {
     REG LOAD HKLM\TempHive C:\Users\$P\NTUSER.DAT
     REG DEL  HKLM\TempHive\xxx\xx\x /v RUN /f
     REG UNLOAD HKLM\TempHive
    }

    Ciao Gas


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI

    venerdì 8 febbraio 2013 00:38
    Moderatore

Tutte le risposte

  • Ciao Nino.

    Su diversi siti ho visto menzionato Registry Commander. Ti segnalo un paio di links

    http://punto-informatico.it/s_1839181/Download/News/registry-commander.aspx
    http://www.portablefreeware.com/?id=408

    Ciao.


    Luigi Bruno

    martedì 5 febbraio 2013 19:08
  • Ciao Luigi, grazie per la risposta.

    Approfitto per espandere la richiesta. Tutto nasce da una ricerca che sto effettuando per mitigare le incursioni del famigerato "Virus della Polizia o Guardia di Finanza". Sto cercando informazioni (ma con poco successo) su eventuali vulnerabilità note a livello di sistema operativo e chiavi di registro da controllare. Purtroppo le firme di questi Ransomware cambiano spesso e gli antivirus a volte bacano.

    Saluti

    Nino

    martedì 5 febbraio 2013 19:45
  • Ciao Luigi, grazie per la risposta.

    Approfitto per espandere la richiesta. Tutto nasce da una ricerca che sto effettuando per mitigare le incursioni del famigerato "Virus della Polizia o Guardia di Finanza". Sto cercando informazioni (ma con poco successo) su eventuali vulnerabilità note a livello di sistema operativo e chiavi di registro da controllare. Purtroppo le firme di questi Ransomware cambiano spesso e gli antivirus a volte bacano.

    Saluti

    Nino

    Non dimenticare nel tuo arsenale gli strumenti di Sysinternals come Process Monitor, Process Explorer ed Autoruns: mi sono stati spesso utili per snidare spyware et similia.

    Ciao.


    Luigi Bruno

    martedì 5 febbraio 2013 21:24
  • Autoruns è molto interessante. Ho visto un paio di utility ma lavorano tutte col il profilo attivo. Mi sa che per adesso devo continuare con il live di Kaspersky che permette di leggere tutti i file HKCU.

    Saluti

    Nino

    martedì 5 febbraio 2013 22:11
  • Con il regedit standard puoi operare anche sui profili non attivi, caricando la hive NTUSER.DAT e importantissimo non dimenticare "Scarica hive" al termine!!!  HKEY_CURRENT_USER = %userprofile%\ntuser.dat

    oppure si potrebbe fare uno script che carica la hive  del registro offline, cancella la chiave e  scarica la hive...

    $P=Loop sui profili {
     REG LOAD HKLM\TempHive C:\Users\$P\NTUSER.DAT
     REG DEL  HKLM\TempHive\xxx\xx\x /v RUN /f
     REG UNLOAD HKLM\TempHive
    }

    Ciao Gas


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI

    venerdì 8 febbraio 2013 00:38
    Moderatore
  • A conferma della soluzione proposta da Gastone Canali posto il link al seguente articolo esemplificativo: Leggere il contenuto del registro di sistemi che non si avviano

    Saluti

    Nino

    venerdì 8 febbraio 2013 12:45