Jak zrobić backup całego rejestru Windows 11?

Otwórz regedit (Win+R → regedit), kliknij prawym przyciskiem na 'Komputer' (najwyższy poziom drzewa) → Eksportuj → wybierz lokalizację (np. C:\RegBackup\) i nadaj opisową nazwę z datą (Full-Registry-Backup-2026-05-31.reg) → upewnij się, że na dole zaznaczone jest 'Wszystko' (Export range: All) → Zapisz. Plik będzie miał typowo 200–500 MB, zapis trwa 1–3 minuty. Komplementarnie utwórz System Restore Point (sysdm.cpl → Ochrona systemu → Utwórz) — to zabezpieczy także pliki systemowe poza samym rejestrem.

Zaimportowałem plik .reg i system działa źle — jak cofnąć?

Trzy ścieżki w kolejności. (1) Jeśli przed importem zrobiłeś eksport zmienianego klucza — dwukliknij ten plik .reg, potwierdź UAC, zrestartuj. (2) Jeśli masz System Restore Point sprzed importu — Win+R → rstrui.exe → wybierz punkt → Dalej, system zrestartuje się i wykona rollback. (3) Jeśli system w ogóle się nie uruchamia — wymuś twardy reset 3× podczas bootu, otworzy się Windows Recovery Environment → Rozwiązywanie problemów → Opcje zaawansowane → Przywracanie systemu lub Naprawa systemu uruchamiania. Jeśli żadne nie pomaga: Resetuj ten komputer → Zachowaj moje pliki.

Jakie jest najlepsze narzędzie 3rd-party do edycji rejestru?

Zależy od zastosowania. Dla użytkownika domowego: WinAero Tweaker (free) — GUI nakładka na 200+ popularnych hacków bez konieczności znajomości ścieżek. Dla power-usera: Registry Workshop (~30 USD) — multi-pane, edycja zdalnego rejestru, porównywanie maszyn, drag&drop. Do wyszukiwania konkretnych wartości w całym rejestrze: RegScanner (NirSoft, free) — sub-30s pełne skany. Do audytu malware persistence: Sysinternals Autoruns (Microsoft, free) — pokazuje wszystkie autostart points jednym widokiem z weryfikacją podpisów.

Jak wyłączyć reklamy w menu Start Windows 11 przez regedit?

Przejdź do HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager i zmień następujące REG_DWORD na 0: SubscribedContent-338388Enabled (sugestie aplikacji w Start), SubscribedContent-338393Enabled (sugestie w Settings), SubscribedContent-310093Enabled (Tips & Tricks notifications), RotatingLockScreenEnabled (reklamy Windows Spotlight na ekranie blokady). Restart nie jest wymagany, ale dla Start Menu zrestartuj Eksploratora (Ctrl+Shift+Esc → Eksplorator Windows → Zrestartuj zadanie). Alternatywnie: WinAero Tweaker robi to wszystko jednym kliknięciem.

Jak przywrócić klasyczne menu kontekstowe Windows 11 (jak w Win 10)?

W HKCU\Software\Classes\CLSID utwórz nowy klucz o nazwie {86ca1aa0-34aa-4e8b-a509-50c905bae2a2}. Wewnątrz tego klucza utwórz podklucz InprocServer32. W InprocServer32 ustaw wartość (Default) jako REG_SZ na pusty string (lewy klik na (Default) → Modyfikuj → zostaw pole 'Dane wartości' puste → OK). Zrestartuj Eksploratora Windows (Ctrl+Shift+Esc → Eksplorator Windows → Zrestartuj zadanie). Klasyczne menu z pełnym Copy/Cut/Paste/Properties w pierwszym kliknięciu wraca natychmiast — bez Shift+F10 i 'Show more options'. Cofnięcie: usuń cały klucz {86ca1aa0-34aa-4e8b-a509-50c905bae2a2}.

Autologon w Windows 11 — czy to ryzyko?

Tak, znaczące. Autologon wymaga zapisania hasła konta w postaci JAWNEGO TEKSTU w HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultPassword (REG_SZ). Każdy z dostępem administratora lub fizycznym do komputera może to hasło odczytać 5-sekundowym kliknięciem w regedit. NIE używaj na laptopach mobilnych, komputerach w biurach z dostępem stron trzecich ani na maszynach z aktywnym Microsoft Account. Akceptowalne tylko w specyficznych scenariuszach: kiosk display, home server pod kluczem, dedicated media PC. Bezpieczniejsza alternatywa: Microsoft Sysinternals Autologon — szyfruje hasło przez LSA Secrets API zamiast zapisywać plaintext.

Czy CCleaner Registry Cleaner jest bezpieczny?

Z ostrożnością — tak, ale z 'jeśli'. CCleaner skanuje rejestr w poszukiwaniu osieroconych wpisów (po deinstalacji aplikacji, niepoprawne ścieżki, brakujące shared DLL). Większość znalezisk to rzeczywiście śmieci, ale ponad dekada raportów społeczności pokazuje, że agresywne czyszczenie czasem usuwa wpisy, które wyglądają na osierocone, ale są wymagane przez instalator aplikacji przy następnym update. Reguły: zawsze pozwól CCleaner zrobić backup przed czyszczeniem (oferuje to automatycznie — kliknij TAK), nigdy nie używaj 'Auto-Clean on schedule', uruchamiaj ręcznie raz na 3-6 miesięcy, nie po każdej deinstalacji. Realny zysk wydajności: zerowy w 95% przypadków — wykonuj głównie 'dla porządku', nie dla performance.

Podejrzewam trojan w HKCU\Run — jak sprawdzić?

Otwórz regedit i przejdź do HKCU\Software\Microsoft\Windows\CurrentVersion\Run oraz HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (i Wow6432Node\... wariant dla 32-bit). Każdy wpis to nazwa + REG_SZ z pełną ścieżką do exe. Sprawdź wszystkie wpisy: (1) czy znasz aplikację (rozpoznawalna nazwa producenta)? (2) czy ścieżka prowadzi do Program Files (OK) vs %TEMP%, %APPDATA%, C:\Users\Public, C:\Windows\Temp (czerwona flaga)? (3) czy plik exe ma podpis cyfrowy (prawym → Właściwości → Podpisy cyfrowe)? Najszybszy audyt całościowy: Sysinternals Autoruns (free, Microsoft) — pokazuje WSZYSTKIE autostart points z kolorowym oznaczeniem niepodpisanych plików. Po wykryciu: skan Microsoft Defender Offline + Malwarebytes Free.

PowerShell vs regedit — czego używać?

regedit do jednorazowych zmian eksploracyjnych (klikasz, widzisz strukturę, modyfikujesz, restartujesz). PowerShell (Set-ItemProperty, New-Item, Remove-ItemProperty) do automatyzacji, skryptów, deploymentu na wielu maszynach, provisioningu nowych komputerów oraz Group Policy startup scripts. PowerShell ma przewagę: skrypt jest dokumentacją, można go uruchomić zdalnie przez Invoke-Command, łatwo zrobić warunki (if klucz istnieje → modify, else → create). Trzecia opcja: reg.exe (CLI) — działa identycznie w CMD i PowerShell, kompatybilne wstecz aż do Windows XP, używane w MDT/SCCM provisioningu i obrazach Sysprep. Praktyka: nauki zaczynaj w regedit, produkcję rób w PowerShell lub reg.exe.

Rejestr padł po edycji i komputer nie startuje — co teraz?

Po kolei: (1) Wymuś twardy reset 3× pod rząd podczas bootu — Windows 11 automatycznie wejdzie w Windows Recovery Environment (WinRE). (2) W WinRE: Rozwiązywanie problemów → Opcje zaawansowane → Naprawa systemu uruchamiania (automatyczna, działa w 60% przypadków). (3) Jeśli nie pomaga: Opcje zaawansowane → Przywracanie systemu — wybierz Restore Point sprzed edycji (jeśli zrobiłeś przed hackiem). (4) Jeśli brak Restore Point: Opcje zaawansowane → Wiersz polecenia → bootrec /fixmbr → bootrec /fixboot → bootrec /rebuildbcd. (5) Ostatnia deska ratunku: Opcje zaawansowane → Resetuj ten komputer → Zachowaj moje pliki (dokumenty zostają, aplikacje deinstalowane). (6) Brak success — czysta instalacja Windows 11 z USB, dokumenty odzyskaj z Diskpart + montażu dysku z innego systemu.

regedit Windows 11 — backup, edycja, hacki rejestru

Czym jest rejestr Windows i dlaczego regedit jest niebezpieczny

Rejestr Windows to hierarchiczna baza danych konfiguracji całego systemu — od ustawień użytkownika i wyglądu pulpitu, przez konfigurację sterowników i usług, po wpisy startupowe trojanów, które chcą przeżyć restart. W Windows 11 (2026) rejestr fizycznie składa się z plików w C:\Windows\System32\Config\ (SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT) plus per-user NTUSER.DAT w profilu — ale jako użytkownik nie ruszasz tych plików bezpośrednio. Edytujesz je przez regedit — Edytor Rejestru, narzędzie graficzne dostarczane z każdą wersją Windows od 95.

Dlaczego trzeba ostrzec na samym wstępie? Bo rejestr to nie folder z plikami konfiguracyjnymi, które można odzyskać z kosza. Jedna źle ustawiona wartość w HKLM\SYSTEM\CurrentControlSet\Services\ może uniemożliwić start systemu. Jeden źle ustawiony klucz w HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon może wylogować Cię z każdej sesji i nie wpuścić z powrotem. Każda zmiana w rejestrze poprzedzona musi być backupem — kropka. Reszta tego artykułu zakłada, że tę zasadę traktujesz bezwzględnie.

W tym przewodniku pokażemy: jak otworzyć regedit i czym różni się tryb admin od standardowego, strukturę pięciu kluczy głównych (HKLM, HKCU, HKCR, HKU, HKCC), pięć typów wartości i kiedy którego używać, procedurę backupu (pełny eksport vs eksport selektywny klucza vs System Restore Point), 20+ sprawdzonych hacków rejestru aktualnych na 2026 (klasyczne menu kontekstowe Win 11, wyłączenie reklam w Start Menu, autologon, optymalizacja wydajności), format plików .reg, alternatywę PowerShell (Set-ItemProperty, New-Item), procedury awaryjne, gdy rejestr padnie po edycji, oraz listę kluczy, których nigdy nie wolno ruszać.

Uruchomienie regedit — trzy metody i tryb administratora

Najszybsza metoda: kombinacja Win+R → wpisz regedit → Enter. Pojawi się okienko UAC (Kontrola konta użytkownika) z pytaniem o zgodę na podniesienie uprawnień — to normalne, regedit ZAWSZE wymaga uprawnień administratora do odczytu HKLM i pełnej edycji. Kliknij „Tak".

Druga metoda: menu Start → wpisz regedit → kliknij prawym przyciskiem myszy na wyniku „Edytor Rejestru" → „Uruchom jako administrator". Tej metody używaj, gdy potrzebujesz świadomie wymusić tryb admin (np. po przełączeniu konta).

Trzecia metoda — z linii poleceń (przydatne w skryptach instalacyjnych): otwórz PowerShell lub CMD jako admin i wpisz regedit.exe. Możesz też od razu otworzyć konkretną gałąź: regedit /m uruchamia drugą instancję (przydatne przy porównywaniu dwóch lokalizacji), a regedit /e backup.reg HKLM\SOFTWARE\Microsoft eksportuje gałąź do pliku bez otwierania GUI.

Co się dzieje, jeśli uruchomisz regedit BEZ uprawnień admina? Zobaczysz cały rejestr, ale wszystkie klucze w HKEY_LOCAL_MACHINE będą tylko do odczytu — próba zapisu zwróci błąd „Cannot edit: Error writing the value's new contents". Klucze w HKEY_CURRENT_USER (Twój własny profil) można edytować bez admin, ale większość przydatnych hacków systemowych żyje w HKLM.

Struktura rejestru — 5 root keys i co w nich siedzi

Cały rejestr to drzewo z pięcioma „korzeniami" — root keys. Każdy ma swoje zadanie i swój zakres dostępu:

Root key	Skrót	Co przechowuje	Edytowalne bez admin?
`HKEY_LOCAL_MACHINE`	HKLM	Konfiguracja sprzętu, sterowników, usług i aplikacji zainstalowanych dla wszystkich użytkowników	Nie (tylko admin)
`HKEY_CURRENT_USER`	HKCU	Ustawienia aktualnie zalogowanego użytkownika — pulpit, drukarki, panel sterowania, sieć	Tak
`HKEY_CLASSES_ROOT`	HKCR	Skojarzenia plików (.docx → Word), klasy COM, ShellEx (menu kontekstowe) — merge HKLM\Software\Classes + HKCU\Software\Classes	HKCU\Classes część — tak, HKLM\Classes — nie
`HKEY_USERS`	HKU	Profile WSZYSTKICH użytkowników na komputerze (HKCU to alias do jednego z poddrzew HKU)	Nie (tylko admin)
`HKEY_CURRENT_CONFIG`	HKCC	Bieżący profil sprzętowy — dynamiczny alias do `HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current`	Nie

Najczęściej edytujesz HKCU i HKLM. HKCR to zwykle wynik scalania innych kluczy — bezpieczniej edytować źródło niż HKCR bezpośrednio. HKU i HKCC w 95% przypadków lepiej zostawić w spokoju.

Wewnątrz HKLM najważniejsze poddrzewa to:

HKLM\SOFTWARE — konfiguracja zainstalowanych aplikacji (klucz \Microsoft\Windows\CurrentVersion\ to skarbnica hacków systemowych)
HKLM\SYSTEM\CurrentControlSet\Services — wszystkie usługi i sterowniki (UWAGA: błędna edycja = brak bootu)
HKLM\SYSTEM\CurrentControlSet\Control — sterowniki sesji, ustawienia mocy, zasady bezpieczeństwa
HKLM\SECURITY i HKLM\SAM — zaszyfrowane przez SYSTEM, niewidoczne nawet dla admina (dobrze!)

Wewnątrz HKCU najczęściej zaglądasz do:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer — wygląd Eksploratora, paska zadań, menu Start
HKCU\Software\Microsoft\Windows\CurrentVersion\Run — programy uruchamiane przy każdym logowaniu (popularna lokalizacja malware persistence)
HKCU\Control Panel\Desktop — animacje, czcionki, opóźnienia menu
HKCU\Software\Classes — Twoje osobiste skojarzenia plików i menu kontekstowe

5 typów wartości — REG_SZ, REG_DWORD, REG_BINARY, REG_MULTI_SZ, REG_EXPAND_SZ

Każda wartość w rejestrze ma typ. Wpisanie tekstu tam, gdzie system spodziewa się liczby, oznacza ignorowanie wartości w najlepszym wypadku, a crash usługi w najgorszym. Te pięć typów obejmuje 99% zastosowań:

Typ	Co przechowuje	Przykład	Kiedy używać
`REG_SZ`	String — tekst Unicode zakończony NULL	"C:\Program Files\App\app.exe"	Ścieżki, nazwy, GUID-y
`REG_DWORD`	Liczba 32-bit (0–4294967295)	`1` (włącz), `0` (wyłącz), `300` (timeout ms)	Flagi true/false, liczniki, milisekundy
`REG_BINARY`	Dowolne dane binarne (hex)	`04 00 00 00 1A B2 ...`	Dane sterowników, zaszyfrowane wartości
`REG_MULTI_SZ`	Lista stringów rozdzielonych NULL	"string1\0string2\0string3\0\0"	Listy ścieżek, listy DLL
`REG_EXPAND_SZ`	String z rozwijaniem zmiennych środowiskowych	"%SystemRoot%\system32\drivers"	Ścieżki z `%WINDIR%`, `%USERPROFILE%`

Mniej popularne, ale dobrze wiedzieć: REG_QWORD (64-bit, używane w nowszych aplikacjach), REG_DWORD_BIG_ENDIAN (rzadko, głównie w sterownikach starszych architektur), REG_LINK (link symboliczny, używane wewnętrznie przez system).

Najczęstszy błąd początkujący: wpisanie "1" jako REG_SZ tam, gdzie system spodziewa się 1 jako REG_DWORD. System nie skonwertuje typu — po prostu zignoruje wpis. Jeśli hack „nie działa", sprawdź typ wartości.

BACKUP rejestru — KRYTYCZNE przed JAKĄKOLWIEK zmianą

To jest sekcja, której nie wolno przeskoczyć. Mamy trzy poziomy backupu, używane w różnych sytuacjach:

Poziom 1: Eksport selektywny klucza (zalecane do pojedynczych zmian)

To najszybsza i najczęściej używana metoda. W regedit przejdź do klucza, który chcesz edytować, kliknij prawym przyciskiem → Eksportuj → wybierz lokalizację (najlepiej Pulpit lub osobny folder C:\RegBackup\) → nadaj opisową nazwę (HKCU-Explorer-2026-05-31.reg) → zapisz.

Powstanie plik .reg zawierający ten klucz i wszystkie jego podklucze. Jeśli zmiana pójdzie źle, dwukliknij ten plik (lub w regedit: Plik → Importuj) i klucz wróci do stanu sprzed edycji. Eksport selektywny jest szybki (kilobajty) i precyzyjny. Zawsze rób go przed każdym hackiem opisanym dalej w artykule.

Poziom 2: Eksport pełny rejestru

W regedit kliknij prawym na Komputer (najwyższy poziom drzewa) → Eksportuj → zapisz jako Full-Registry-Backup-YYYY-MM-DD.reg. Plik będzie miał typowo 200–500 MB, zapis trwa 1–3 minuty. Pełny eksport jest przydatny przed eksperymentowaniem na nieznanym systemie (np. po zakupie nowego komputera), ale w praktyce rzadko go importujesz z powrotem — to import też trwa długo i może wprowadzić niespójności, jeśli w międzyczasie zainstalowałeś/usunąłeś oprogramowanie.

Poziom 3: System Restore Point (zalecane komplementarnie)

Backup selektywny zabezpieczy Cię przed JEDNĄ konkretną zmianą. System Restore Point to siatka bezpieczeństwa na cały system — przywróci rejestr (i część plików systemowych) do stanu z określonego momentu. Tworzenie: Win+R → sysdm.cpl → zakładka „Ochrona systemu" → Utwórz → opisz punkt („Przed regedit hack — autologon") → Utwórz. Trwa 30–60 sekund.

Przywrócenie z punktu: Win+R → rstrui.exe → wybierz punkt → Dalej. System się zrestartuje i wykona rollback. System Restore Point ratuje sytuację, gdy regedit zepsuł Ci boot — uruchamiasz wtedy z trybu odzyskiwania (F11 podczas bootu) → Rozwiązywanie problemów → Opcje zaawansowane → Przywracanie systemu.

Procedura złota standard przed każdym hackiem:

Utwórz System Restore Point (30 s)
Eksportuj klucz, który będziesz edytować (5 s)
Wprowadź zmianę
Zrestartuj, jeśli zmiana tego wymaga (większość systemowych — tak)
Sprawdź, czy wszystko działa
Jeśli nie — zaimportuj plik .reg z kroku 2 lub odpal Przywracanie systemu z kroku 1

Najprzydatniejsze hacki rejestru Windows 11 (2026)

Poniższa tabela zbiera 20 najczęściej używanych hacków rejestru w Windows 11 — każdy zweryfikowany na buildach 23H2 i 24H2 (stan: maj 2026). Wszystkie typu „bezpiecznie odwracalne" — pamiętaj o backupie selektywnym przed każdym.

Cel	Klucz	Wartość	Typ	Restart
Klasyczne menu kontekstowe (jak w Win 10)	`HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32`	(Default) = "" (pusty)	REG_SZ	Restart Explorera
Wyłącz reklamy w Start Menu (Suggested)	`HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager`	`SubscribedContent-338388Enabled` = 0	REG_DWORD	Nie
Wyłącz reklamy w Settings (Suggested)	`HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager`	`SubscribedContent-338393Enabled` = 0	REG_DWORD	Nie
Wyłącz „Tips & Tricks" notifications	`HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager`	`SubscribedContent-310093Enabled` = 0	REG_DWORD	Nie
Pasek zadań — wyrównanie do lewej (Win 10 style)	`HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced`	`TaskbarAl` = 0	REG_DWORD	Restart Explorera
Wyłącz Cortana w Search	`HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search`	`AllowCortana` = 0	REG_DWORD	Restart
Wyłącz Bing Search w Start Menu	`HKCU\Software\Policies\Microsoft\Windows\Explorer`	`DisableSearchBoxSuggestions` = 1	REG_DWORD	Restart Explorera
Autologon (bez ekranu hasła)	`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`	`AutoAdminLogon` = "1", `DefaultUserName` = "user", `DefaultPassword` = "haslo"	REG_SZ	Restart
Verbose boot messages	`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System`	`verbosestatus` = 1	REG_DWORD	Restart
Pokaż rozszerzenia plików zawsze	`HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced`	`HideFileExt` = 0	REG_DWORD	Restart Explorera
Pokaż ukryte pliki	`HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced`	`Hidden` = 1	REG_DWORD	Restart Explorera
Wyłącz Web Search w Start Menu	`HKCU\Software\Microsoft\Windows\CurrentVersion\Search`	`BingSearchEnabled` = 0	REG_DWORD	Restart Explorera
Wyłącz Windows Defender SmartScreen	`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer`	`SmartScreenEnabled` = "Off"	REG_SZ	Restart
Wyłącz akcelerację sprzętową kursora	`HKCU\Control Panel\Mouse`	`MouseSpeed` = "0", `MouseThreshold1` = "0", `MouseThreshold2` = "0"	REG_SZ	Restart
Wyłącz „Recent files" w Start	`HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced`	`Start_TrackDocs` = 0	REG_DWORD	Restart Explorera
Wyłącz Lock Screen ads (Windows Spotlight)	`HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager`	`RotatingLockScreenEnabled` = 0	REG_DWORD	Nie
Pokaż „This PC" zamiast „Quick Access" w Eksploratorze	`HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced`	`LaunchTo` = 1	REG_DWORD	Restart Explorera
Wyłącz News and Interests w pasku zadań	`HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Feeds`	`EnableFeeds` = 0	REG_DWORD	Restart Explorera
Wyłącz auto-restart po Windows Update	`HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU`	`NoAutoRebootWithLoggedOnUsers` = 1	REG_DWORD	Nie
Zmień nazwę OEM komputera	`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OEMInformation`	`Manufacturer` = "Twoja firma", `Logo` = "C:\logo.bmp"	REG_SZ	Nie

Najczęstszy hack 2026: klasyczne menu kontekstowe. Windows 11 ukrywa większość opcji za „Show more options" (Shift+F10) — dodanie pustego klucza {86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 przywraca pełne menu z pierwszego kliknięcia. Po zmianie zrestartuj Eksploratora: Ctrl+Shift+Esc → znajdź „Eksplorator Windows" → Zrestartuj zadanie.

Rejestr dla wydajności

Te hacki nie zrobią ze starego laptopa rakietowca, ale na każdej maszynie odczujesz różnicę w responsywności UI. Wszystkie żyją w HKCU\Control Panel\Desktop:

Cel	Wartość	Typ	Domyślnie	Optymalnie
Opóźnienie pokazania menu	`MenuShowDelay`	REG_SZ	"400"	"100"
Czas oczekiwania na hung-app przed wymuszeniem	`HungAppTimeout`	REG_SZ	"5000"	"2000"
Czas oczekiwania na zamknięcie aplikacji przy logoff	`WaitToKillAppTimeout`	REG_SZ	"20000"	"5000"
Wyłącz animacje okien (przyrost FPS na słabym GPU)	`UserPreferencesMask` (binary)	REG_BINARY	`90 12 03 80...`	`90 12 01 80...` (bit `00000010` = 0)
Wyłącz miniaturki taskbar (więcej RAM)	`HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband\NumThumbnails`	REG_DWORD	7	0

W HKLM\SYSTEM\CurrentControlSet\Control znajdziesz WaitToKillServiceTimeout (REG_SZ, domyślnie "20000") — zmniejszenie do "5000" przyspiesza zamykanie systemu, ale ryzykujesz utratę danych w usługach, które wolno zapisują (Bitlocker, DB, niektóre antywirusy). Nie ruszaj na produkcji serwerowej.

Rejestr dla bezpieczeństwa

Cel	Klucz	Wartość	Typ
Wyłącz zdalny pulpit (RDP)	`HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server`	`fDenyTSConnections` = 1	REG_DWORD
Wyłącz Remote Registry service	`HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry`	`Start` = 4	REG_DWORD
Wyłącz DDE w Office (CVE-2017-11826 i podobne)	`HKCU\Software\Microsoft\Office\<wersja>\Word\Options`	`DontUpdateLinks` = 1	REG_DWORD
Wymuś TLS 1.2+ dla .NET	`HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319`	`SchUseStrongCrypto` = 1	REG_DWORD
Wyłącz LM/NTLMv1 (wymuś NTLMv2)	`HKLM\SYSTEM\CurrentControlSet\Control\Lsa`	`LmCompatibilityLevel` = 5	REG_DWORD
Wyłącz Windows Script Host (blokuje .vbs/.js malware)	`HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings`	`Enabled` = 0	REG_DWORD
Wymuś PIN/hasło po wybudzeniu	`HKLM\SOFTWARE\Policies\Microsoft\Power\PowerSettings\0e796bdb-100d-47d6-a2d5-f7d2daa51f51`	`ACSettingIndex` = 1	REG_DWORD

fDenyTSConnections=1 to najczęstszy hack po świeżej instalacji — Microsoft od czasu do czasu włącza RDP domyślnie, a na laptopie konsumenckim nie potrzebujesz tej powierzchni ataku. Razem z wyłączeniem RemoteRegistry (Start=4 = Disabled) zamykasz dwa wektory ataku z LAN.

Eksport/import .reg — format pliku i dwa rodzaje

Plik .reg to zwykły tekstowy plik UTF-16 LE (od Windows 2000), który można otworzyć w Notatniku lub VS Code. Jego struktura jest prosta:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\TwojaAplikacja]
"WartoscString"="tekst"
"WartoscDword"=dword:00000001
"WartoscBinary"=hex:01,02,03,04
"WartoscMultiSz"=hex(7):73,00,74,00,72,00,69,00,6e,00,67,00,31,00,00,00,00,00
"WartoscExpandSz"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,00,00

Pierwsza linia musi być dokładnie Windows Registry Editor Version 5.00 — to identyfikator wersji formatu (Unicode od XP wzwyż). Stary format REGEDIT4 (ANSI, używany w Windows 95/98/NT4) nadal jest akceptowany, ale nie obsługuje polskich znaków w wartościach — używaj 5.00 zawsze.

Linia w nawiasach kwadratowych to pełna ścieżka klucza. Można podać wiele kluczy w jednym pliku — wystarczy nowy nagłówek [...].

Usuwanie wartości lub klucza przez .reg:

Usunięcie wartości: "NazwaWartosci"=- (myślnik)
Usunięcie całego klucza: [-HKEY_CURRENT_USER\Software\TwojaAplikacja] (myślnik wewnątrz nawiasów)

Ta składnia jest niezwykle przydatna do tworzenia „uninstaller" .reg — przygotowujesz dwa pliki: apply.reg (włącz hack) i revert.reg (cofnij). Klikasz dwukrotnie, potwierdzasz UAC, gotowe.

Bezpieczeństwo .reg: plik .reg z internetu jest tak samo niebezpieczny jak .exe. Może wpisać do HKCU\...\Run dowolny malware lub zmodyfikować zachowanie systemu. Zawsze otwórz .reg w Notatniku PRZED kliknięciem, sprawdź, do których kluczy pisze, i porównaj wartości z dokumentacją. Jeśli nie rozumiesz wpisu — nie importuj.

PowerShell + regedit — alternatywne metody

Dla skryptów, automatyzacji i provisioningu nowych maszyn regedit GUI jest niewygodny. PowerShell ma natywne polecenia, które robią to samo, ale w formie skryptu:

Odczyt wartości:

Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" -Name "TaskbarAl"

Zapis wartości DWORD:

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" -Name "TaskbarAl" -Value 0 -Type DWord

Utworzenie klucza (jeśli nie istnieje):

New-Item -Path "HKCU:\Software\TwojaAplikacja" -Force

Utworzenie wartości z konkretnym typem:

New-ItemProperty -Path "HKCU:\Software\TwojaAplikacja" -Name "MojaWartosc" -Value "tekst" -PropertyType String -Force

Usunięcie wartości lub klucza:

Remove-ItemProperty -Path "HKCU:\Software\TwojaAplikacja" -Name "MojaWartosc"
Remove-Item -Path "HKCU:\Software\TwojaAplikacja" -Recurse -Force

Mapowanie nazw root keys w PowerShell:

Regedit	PowerShell PSDrive
HKEY_LOCAL_MACHINE	`HKLM:\`
HKEY_CURRENT_USER	`HKCU:\`
HKEY_CLASSES_ROOT	`HKCR:\` (wymaga `New-PSDrive HKCR Registry HKEY_CLASSES_ROOT` w nowszych sesjach)
HKEY_USERS	`HKU:\` (wymaga `New-PSDrive`)

Alternatywa: reg.exe — staromodne CLI, działa identycznie w CMD i PowerShell, nie wymaga uprawnień PSDrive:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v TaskbarAl /t REG_DWORD /d 0 /f
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v TaskbarAl
reg delete "HKCU\Software\TwojaAplikacja" /f
reg export "HKCU\Software\TwojaAplikacja" backup.reg
reg import backup.reg

reg.exe to absolutny standard w skryptach Group Policy startup, MDT/SCCM provisioningu i obrazach Sysprep — używaj go, jeśli skrypt ma działać na każdej wersji Windows od XP w górę.

Reset rejestru po błędzie — co robić, gdy system się nie uruchamia

Najczarniejszy scenariusz: edytowałeś coś w HKLM\SYSTEM\..., zrestartowałeś i widzisz BSOD lub blue „Recovery" screen. Spokojnie — Windows 11 ma cztery warstwy ratunku, w takiej kolejności:

1. Last Known Good Configuration (zniknęło w Windows 8+, ale...) — w starym Windows ten tryb cofał CurrentControlSet do poprzedniej działającej wersji. W Windows 11 zostało to wbudowane w mechanizm Restore Points i nie jest dostępne jako osobna opcja w boot menu.

2. System Restore (z trybu Recovery) — Włącz komputer, przy logo Windows wymuś twardy reset (przytrzymaj power). Powtórz 2× — przy trzecim bocie automatycznie otworzy się Windows Recovery Environment (WinRE). Wybierz: Rozwiązywanie problemów → Opcje zaawansowane → Przywracanie systemu → wybierz punkt sprzed edycji → Dalej. System wykona rollback rejestru i części plików.

3. Startup Repair — w tym samym menu WinRE: Rozwiązywanie problemów → Opcje zaawansowane → Naprawa systemu uruchamiania. Automatycznie wykrywa problemy z bootem (w tym uszkodzony rejestr) i próbuje naprawić. Działa w ~60% przypadków.

4. Reset This PC (Keep my files) — ostatnia deska ratunku przed czystą instalacją. Rozwiązywanie problemów → Resetuj ten komputer → Zachowaj moje pliki. Reinstaluje Windows zachowując dokumenty, ale wszystkie aplikacje zostaną odinstalowane (dostaniesz listę na pulpicie).

5. Tryb awaryjny — jeśli system bootuje, ale Explorer crashuje albo nie możesz się zalogować, włącz tryb awaryjny: WinRE → Opcje zaawansowane → Ustawienia uruchamiania → Uruchom ponownie → naciśnij 4 (lub F4) podczas bootu. Tryb awaryjny ładuje minimalny zestaw sterowników i pozwala uruchomić regedit, by cofnąć zmianę ręcznie.

6. Backup rejestru z C:\Windows\System32\Config\RegBack\ — historycznie Windows tworzył tu kopie SYSTEM/SOFTWARE co 10 dni, ale od Windows 10 1803 ten mechanizm jest domyślnie wyłączony dla oszczędności miejsca. Możesz włączyć przez REG_DWORD EnablePeriodicBackup=1 w HKLM\System\CurrentControlSet\Control\Session Manager\Configuration Manager. Po restarcie backup powstaje co Patch Tuesday.

Niebezpieczne edycje — czego NIE ruszać NIGDY

Te lokalizacje są minowymi polami. Nie wchodź tam, jeśli nie wiesz dokładnie, co robisz, i nie masz pełnego backupu systemu (nie tylko rejestru):

Klucz	Dlaczego nie ruszać
`HKLM\SYSTEM\CurrentControlSet\Services\*` (większość)	Zmiana `Start` na 4 (Disabled) dla krytycznej usługi (np. RpcSs, DCOMlaunch, EventLog) = brak bootu
`HKLM\SYSTEM\CurrentControlSet\Control\Class\*`	Klasy sterowników — błąd = niedziałający dysk/karta sieciowa/GPU
`HKLM\SYSTEM\Setup`	Stan instalacji — modyfikacja może spowodować pętlę re-instalacji
`HKLM\SECURITY` i `HKLM\SAM`	Zaszyfrowane — nawet jeśli zdobędziesz dostęp, zmiana = utrata logowania wszystkich kont lokalnych
`HKLM\BCD00000000`	Konfiguracja Boot Configuration Data — błąd = brak bootu (używaj `bcdedit.exe`, nie regedit)
`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit`	Lista programów uruchamianych przy logowaniu — błąd = pętla logowania
`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell`	Domyślnie `explorer.exe` — zmiana = pulpit się nie ładuje
`HKCR\\shellex\ContextMenuHandlers\` (usuwanie)	Eksplorator może crashować przy każdym kliknięciu prawym

Złota zasada: jeśli musisz zmienić coś w HKLM\SYSTEM lub HKLM\SECURITY, najpierw zbadaj to na maszynie wirtualnej (Hyper-V, VirtualBox, VMware), nie na produkcji.

Anty-malware regedit — wykrywanie persistence

Rejestr to ulubione miejsce malware na utrwalenie się w systemie (persistence). Po infekcji uruchamiamy regedit i sprawdzamy znane lokalizacje autorun. Jeśli widzisz tu wpis, którego nie rozpoznajesz — zacznij od skanu antywirusowego.

Autostart globalny (wszyscy użytkownicy):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — wykonywane przy każdym logowaniu
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce — wykonywane RAZ przy następnym logowaniu, potem wpis znika
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx — to samo co RunOnce, ale obsługuje DLL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices (starsza, ale działa)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run — 32-bit aplikacje na 64-bit Windows

Autostart per-user:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Usługi i sterowniki:

HKLM\SYSTEM\CurrentControlSet\Services\* — sprawdź usługi z dziwnymi nazwami lub ImagePath wskazującym do %TEMP%, %APPDATA% lub C:\Users\Public

Image File Execution Options (IFEO hijacking):

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<nazwa.exe> z wartością Debugger — klasyczna technika malware: ustawia siebie jako debugger dla notepad.exe lub taskmgr.exe, więc uruchamia się przy każdym otwarciu Notatnika/Menedżera Zadań

Userinit i Shell:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit — powinno być DOKŁADNIE C:\Windows\system32\userinit.exe, (z przecinkiem). Cokolwiek innego = malware
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell — powinno być explorer.exe. Jeśli widzisz explorer.exe, costam.exe = malware

Narzędzia, które robią ten audyt za Ciebie:

Sysinternals Autoruns (free, Microsoft) — pokazuje WSZYSTKIE punkty autostart (rejestr + Task Scheduler + WMI + drivers + boot execute) jednym widokiem, z weryfikacją podpisu cyfrowego. To narzędzie nr 1 dla każdego, kto zarządza Windows
Process Monitor (free, Microsoft) — live trace operacji rejestru w czasie rzeczywistym, świetne do złapania, „co właściwie pisze do mojego HKCU\Run, gdy uruchamiam tę aplikację"

Narzędzia 3rd-party — alternatywy dla regedit

regedit od Windows 95 praktycznie się nie zmienił. Wbudowany ma kilka frustracji: brak ulubionych z poziomu eksportu, brak undo (poza Edit → Undo dla ostatniej akcji), brak masowej edycji, brak porównywarki dwóch maszyn. Te zewnętrzne narzędzia robią to lepiej:

Narzędzie	Cena	Co dodaje
Registry Workshop (TorchSoft)	~30 USD	Multi-pane edytor, klient/serwer (edycja zdalnego rejestru jak lokalnego), wbudowane porównywanie, drag&drop kluczy, syntax highlighting w eksportach
RegScanner (NirSoft)	Free	Szybkie wyszukiwanie po całym rejestrze z filtrami (typ, długość wartości, data modyfikacji) — czas typu „znajdź wszystkie REG_SZ zawierające 'malware.exe'" < 30 s
Reg Organizer (ChemTable)	~30 USD	Czyszczenie nieużywanych wpisów po deinstalacji + dezfragmentacja plików rejestru
CCleaner Registry (Piriform)	Free / Pro	Skanuje rejestr w poszukiwaniu „błędów" (osierocone wpisy, niepoprawne ścieżki) i je usuwa — z OGROMNĄ OSTROŻNOŚCIĄ: ponad dekada raportów społeczności pokazuje, że agresywne czyszczenie CCleanera czasem usuwa wpisy, które wyglądają na osierocone, ale są wymagane przez instalator aplikacji przy następnym update. Jeśli używasz — zawsze rób backup, który CCleaner oferuje przed czyszczeniem
WinAero Tweaker	Free	NIE jest edytorem rejestru per se, ale GUI nakładką na 200+ popularnych hacków rejestru Windows 11 (klasyczne menu, wyłączenie reklam, wyłączenie Cortany jednym kliknięciem) — najszybsze narzędzie dla użytkowników, którzy nie chcą uczyć się ścieżek rejestru
Sysinternals Autoruns	Free	Już wspomniany — do audytu persistence

Najpopularniejszy stack 2026 dla użytkownika domowego: WinAero Tweaker do codziennego dostrajania + Autoruns do audytu po podejrzanej instalacji + regedit do precyzyjnych zmian, których nie ma w GUI.

Stack dla admina IT: Registry Workshop do edycji + RegScanner do wyszukiwania + PowerShell DSC (Set-ItemProperty w skryptach Group Policy) do masowego deploymentu konfiguracji.

Podsumowanie — checklist bezpiecznej edycji rejestru

Zanim klikniesz „OK" w regedit:

Czy zrobiłem System Restore Point? (sysdm.cpl → Ochrona systemu → Utwórz)
Czy wyeksportowałem klucz, który zmieniam? (prawym → Eksportuj)
Czy mam zapasowy plan na wypadek BSOD? (USB z Windows do bootu w trybie Recovery)
Czy ten hack jest udokumentowany w wiarygodnym źródle? (Microsoft Learn, XDA, How-To Geek, Bleeping Computer — NIE losowy YouTube z 2019)
Czy znam typ wartości, którą wpisuję? (REG_SZ vs REG_DWORD)
Czy widzę dokładną ścieżkę i nie mylę HKLM z HKCU? (95% błędów to wpis do złego root key)
Czy hack wymaga restartu, żeby zadziałał? (większość systemowych — tak)

Jeśli odpowiedź na wszystkie to TAK — możesz klikać. Jeśli na którekolwiek NIE — wróć krok wstecz, zrób backup, sprawdź źródło, sprawdź typ. Rejestr nie wybacza pośpiechu, ale nagradza ostrożnych: kilka minut przygotowania oszczędza godziny odzyskiwania systemu po błędzie.

Powodzenia — i pamiętaj, że największą wartością regedit nie są spektakularne hacki, ale kontrola, jaką dają nad swoim systemem. Windows 11 GUI ukrywa coraz więcej opcji za rozproszonymi ekranami Settings, a regedit pokazuje surową prawdę: jedna wartość, jeden efekt, zero magii.

regedit — rejestr Windows 11: backup i bezpieczna edycja (2026)