none
U盘写保护的问题 RRS feed

  • 问题

  • 一台WIN732位旗舰版的笔记本, 可以识别U盘和打开,但是往U盘里复制文件的时候,系统提示写保护,无法复制文件.  查看了

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\StorageDevicePolicies;

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\StorageDevicePolicies;

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies 三项中的WriteProtect值确实为1, 但是在将值改为0之后,一刷新,WriteProtect值又被系统改回了1。用卡巴杀毒找出了几个恶意程序。但是问题仍然存在。360也能扫描出USB设备服务异常,修复后仍然存在。 求大家帮忙。

    2012年6月30日 5:15

答案

  • 以管理員權限對註冊表項

    HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

    啟用對象為 everyone 的 "創建項" 和 "設置數值" 的審核.

    以管理員權限對本地安全策略中審核策略中的 "審核對象訪問" 設置為成功.

    最後以管理員身份運行 eventvwr 觀察安全性中類別為 "註冊表" 的日誌記錄.

    在找到修改源後, 關閉該審核跟踪.


    Folding@Home

    2012年7月4日 14:14

全部回复

  • 你可以以管理員權限運行

    regedit

    對該項啟用審核,  然後通過

    eventvwr

    的安全性查看修改記錄.

    或者通過 Autoruns 實用工具進行排查啟動項或服務.

    Autoruns
    http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx


    Folding@Home

    2012年6月30日 7:35
  • 注册表项修改后马上被修改回去应该是注册表被特定后台程序进程监控并锁定所致,如果不是恶意程序,就是安全防护程序。请检查是否有任何程序设置有闪存软写保护之类的功能。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "yujun"
     
    一台WIN732位旗舰版的笔记本, 可以识别U盘和打开,但是往U盘里复制文件的时候,系统提示写保护,无法复制文件. 查看了\
     
     
    2012年6月30日 10:27
  • 启动项看起来好像没什么问题,也去掉了一些启动项试验更改也不行。而且删除这个WriteProtect值,重新新建一个也不行,系统自动重建一个WriteProtect,并且值仍然为1.试了很多安全软件,找不到任何具有威胁的恶意程序。

    2012年7月2日 10:29
  • 启动项看起来好像没什么问题,也去掉了一些启动项试验更改也不行。而且删除这个WriteProtect值,重新新建一个也不行,系统自动重建一个WriteProtect,并且值仍然为1.试了很多安全软件,找不到任何具有威胁的恶意程序。

    2012年7月2日 10:30
  • 试一试以安全模式启动 Windows,阻止所有后台程序的运行,看看是否还有注册表项修改后自动恢复的现象发生。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "yujun"
     
    启动项看起来好像没什么问题,也去掉了一些启动项试验更改也不行。而且删除这个WriteProtect值,重新新建一个也不行,系统自动重建一个WriteProtect,并且值仍然为1.试了很多安全软件,找不到任何具有威胁的恶意程序。
     
     
    2012年7月3日 8:55
  • 之前建議的啟用註冊表審核, 有無相關記錄?

    Folding@Home

    2012年7月4日 13:37
  • 以管理員權限對註冊表項

    HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

    啟用對象為 everyone 的 "創建項" 和 "設置數值" 的審核.

    以管理員權限對本地安全策略中審核策略中的 "審核對象訪問" 設置為成功.

    最後以管理員身份運行 eventvwr 觀察安全性中類別為 "註冊表" 的日誌記錄.

    在找到修改源後, 關閉該審核跟踪.


    Folding@Home

    2012年7月4日 14:14