我的计算机(Windows XP Home Edition SP3)正在更改注册表值通过它自己。
在 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 下,我已将其DisableRegistryTools设置DisableTaskMgr为0:
但是,不知为何,几秒钟后数值就会跳回1。而且无论我设置多少次,一段时间后0它都会很快跳回。1
我认为这可能是一些流氓程序,因此我下载了 Process Explorer 并查看了正在运行的进程:
所有流程均来自微软、苹果、NVIDIA 和 Oracle,而且看起来非常真实。
接下来,按照建议,我终止了 rundll32.exe 并运行了进程监视器。在 Regedit 中,我查询了 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools(它返回1)。然后我将值更改为0,如下所示:
... (there's alot of entries, I was searching for the string "disableregistrytools") ...
12:25:34.8264490 AM regedit.exe 3192 RegQueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
12:25:34.8264696 AM regedit.exe 3192 RegQueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
12:25:35.9547009 AM regedit.exe 3192 RegSetValue HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 0
...
我等了大约 2 分钟。进程监视器不断更新其值,但搜索字符串“disableregistrytools”没有得到进一步的结果。然后在 12:27:35,我在注册表编辑器程序中双击该值,DisableRegistryTools以便读取其更新的值:
值从 0 跳变为 1。
返回到进程监视器,现在我在搜索字符串“disableregistrytools”时看到两个附加条目:
...
12:27:35.6996148 AM regedit.exe 3192 RegQueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
12:27:35.6996148 AM regedit.exe 3192 RegQueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
...
由于某种原因,进程监视器似乎无法记录注册表更改。
什么原因可能导致了这个问题?
答案1
使用进程监控是 Windows 的一个高级监控工具,可显示实时文件系统、注册表和进程/线程活动。
更多信息,请阅读此页面:http://technet.microsoft.com/en-us/sysinternals/bb896645
答案2
我不知道你是否还需要这个,但我遇到了和你一样的问题。我花了 3 天时间才找到并修复它。
只需前往
HKCU\软件\微软\Windows\当前版本\策略\系统
然后将值改为 0。
然后,快速右键单击“系统文件夹”,转到权限并删除所有权限(管理员、系统和其他所有权限),然后应用并确定。它可能会询问您是否确定,只需单击确定即可。
现在没有人(无论是您还是系统)有权更改这些值,它将永远保持为 0。
答案3
不要更改权限。这会损坏您的系统。您必须重新安装 Windows 才能解决此问题。