quentin Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Win 7-64 pro SP1 po ostatnich aktualizacjach modemów Ericsson i Huawei, Windows Update i Lenovo Update, przestał trzymać mi ustawienia widoku niektórych folderów /mój komputer/ i wyświetla "kafelki", a także nie trzyma ustawień w tray'u "Pokaż ikony i powiadomienia" tylko zmienia na domyślne "Pokaż tylko powiadomienia", więc zacząłem szukać powodów, no i siłą rzeczy szybko trafiłem na tematy "Zapamiętywanie widoków folderów" i "Problem z ustawieniami folderów...". próbowałem zrobić ten FixIt (KB813711), lecz nie wprowadził zmian, a MiniRegToll wskazał mi brak wpisów w rejestrze: <HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags> <HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU> <HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell> <HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU> <HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags> więc sprawdziłem czy mam w rejestrze ten sfałszowany klucz {42aedc87-2188-41fd-b9a3-0c966feabec1} i okazało się, że mam go w 5 miejscach: HKEY_CLASSES_ROOT\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment lecz SystemLook mi tego folderu nie znalazł, stąd zapytanie, jak w temacie postu, czy te wpisy w rejestrze oznaczają automatycznie już infekcję trojanem ZeroAcces ? a jeśli tak, to od czego zacząć ? skanery online niczego specjalnego nie znalazły (ESET wskazał mi hfs.exe i v9pbr.exe, jako odmiany zagrożeń, a ArcaVir regcat.exe od Lenovo, jako <- Trojan.Spy.Zbot.Bris, ale przeskanowałem te pliki na Avascie i nic, Bitdefender nic, Malwarebytes Anti-Malware nic), więc na razie niczego nie dotykam i w rejestrze też niczego ręcznie nie majstruję, na wszelki wypadek Defogger'em wyłączyłem sterowniki emulacji napędów (MagicISO, PowerISO) i zrobiłem raporty OLT, Extras i SecurityCheck, które załączam, gdyż w OLT są wpisy w sekcji =ZeroAccess Check=, lecz nie mam pojęcia, czy mają jakieś znaczenie ? stąd byłbym wdzięczny za informację od kogoś, kto się w tym orientuje, za co z góry dziękuję. 121214_w530_checkup.txt 121214_w530_Extras.Txt 121214_w530_OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Temat założony w złym dziale. Przenoszę i to do działu Windows a nie diagnostyki infekcji oraz zmieniam tytuł, bo to nie jest ten problem, który sugerujesz. Tu nie ma żadnych oznak infekcji. więc sprawdziłem czy mam w rejestrze ten sfałszowany klucz {42aedc87-2188-41fd-b9a3-0c966feabec1} i okazało się, że mam go w 5 miejscach: HKEY_CLASSES_ROOT\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 ThreadingModel Apartment lecz SystemLook mi tego folderu nie znalazł, stąd zapytanie, jak w temacie postu, czy te wpisy w rejestrze oznaczają automatycznie już infekcję trojanem ZeroAcces ? Nie. Klasa {42aedc87-2188-41fd-b9a3-0c966feabec1} jest prawidłową klasą systemową. To jej lokalizacja w rejestrze jest decydująca. Prawidłowe klasy są w HKEY_LOCAL_MACHINE (+ linki w symboliczne w HKEY_CLASSES_ROOT), a fałszywa robiona przez ZeroAccess w HKEY_CURRENT_USER. U Ciebie jest wszystko poprawnie, klucz w HKCU nie wykryty, a klucze 32-bit + 64-bit mają prawidłowe ustawienia: [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)"ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)"ThreadingModel" = Apartment próbowałem zrobić ten FixIt (KB813711), lecz nie wprowadził zmian, a MiniRegToll wskazał mi brak wpisów w rejestrze: Brak wpisów? To powiedz mi gdzie się kończy w rejestrze ścieżka. Na kluczach lub jeszcze wyżej (?): HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell PS. Rzecz podrzędna. System nieco zabrudzony adware. Ale to potem zadam. . Odnośnik do komentarza
quentin Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Temat założony w złym dziale. no tak, bardzo przepraszam i jednocześnie dziękuję za dobrą wiadomość, podwójnie, a te wpisy w rejestrze kończą się w taki sposób: HKEY_CURRENT_USER\Software\Classes\Local Settings (Domyślna) wartość nie ustalona HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam (Domyślna) wartość nie ustalona HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MuiCache (Domyślna) wartość nie ustalona natomiast pojawił mi się wpis, którego wcześniej nie było (lecz parę aktualizacji jeszcze zrobiłem Secunią PSI): HKEY_CURRENT_USER\Software\Classes\Wow6432Node\ lecz nie mam to tego klucza dostępu, brak uprawnień, a w uprawnieniach czysto bez żadnych użytkowników, bądź ich nie widać - więc na razie siebie nie dodawałem na wszelki wypadek, stąd też na razie nie wiem czy są te wpisy opisane w KB813711: HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU i czy mają takie wartości, czy też próbować je dodawać po przejęciu uprawnień: Create and then set the BagMRU Size registry value to 5000 in the registry subkeys that you created in Step 2. z tym, że to nietrzymanie szczegółów w widoku folderów i ustawień ikon w tray'u może wynikać też ze zmiany rozdzielczości ekranu 1600x900 zamiast natywnej 1920x1080, zbyt niewygodnej już dla mnie przy tej wielkości ekranu (w530) do zwykłych prac codziennych, albo może z ustawienia różnych pulpitów z użyciem programu Dexpot (jeden czysty bez ikon, a drugi z wybranymi ikonami do prac zawodowych) na wzór Maca, albo może też z eksperymentu na próbę i zainstalowania 3 różnych windocków (ukrywających się na brzegach ekranu pasków z wybranymi ikonami - Nexus i RocketDoc, a StarDoc i XWindows Doc - wyłączone), bo to dość dziwne wynalazki, z których na dobrą sprawę mogę zrezygnować, choć rozdzielczość ekranu na 1600x900 i dwa pulpity (Dexpot lub inną metodą), to chętnie bym utrzymał dla większego komfortu pracy, z mojego punktu widzenia, taka konfiguracje działała bez zarzutu od września, lecz podobne rzeczy mogą przecież się gryźć z nowymi aktualizacjami MS i Lenovo i może właśnie z takich powodów Win 7 od 2-3 dni nie trzyma mi wszystkich ustawień widoku folderów i w tray'u ? Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 a te wpisy w rejestrze kończą się w taki sposób: HKEY_CURRENT_USER\Software\Classes\Local Settings (Domyślna) wartość nie ustalona HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam (Domyślna) wartość nie ustalona HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MuiCache (Domyślna) wartość nie ustalona Może te klucze mają złe uprawnienia, dlatego kończą się na ścieżce gdzie podajesz. Podaj mi spis uprawnień kluczy. Pobierz SetACL. Plik SetACL.exe w wersji x64 przekopiuj do katalogu C:\Windows. Otwórz Notatnik i wklej w nim: SetACL -on "HKCU\Software\Classes\Local Settings" -ot reg -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "HKCU\Software\Microsoft\Windows\Shell" -ot reg -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "HKCU\Software\Microsoft\Windows\ShellNoRoam" -ot reg -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. Zaprezentuj wynikowy plik C:\log.txt. stąd też na razie nie wiem czy są te wpisy opisane w KB813711:HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU Te klucze z Wow6432Node sobie odpuść. One należą do exploratora 32-bit. Wyjaśniałam to tu: KLIK. . Odnośnik do komentarza
quentin Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Może te klucze mają złe uprawnienia, dlatego kończą się na ścieżce gdzie podajesz. Podaj mi spis uprawnień kluczy. dziękuję, dziękuję, zaraz postaram się to wszystko wykonać po kolei, w międzyczasie postanowiłem tylko sprawdzić, co się dzieje w przypadku nowego konta z takimi samym uprawnieniami administracyjnymi i okazuje się, że na nowym koncie ustawienia folderów trzyma i w trayu też, lecz nie bardzo uśmiecha mi się zmiana konta (tak jak to zrobił Max17b) i budowa profilu od samego początku, bo ten dotychczasowy budowałem od września pod kątem optymalizacji wydajności (może dlatego ma 2 GB, a ten nowy 15 MB), więc postaram się dojść co mi się rozjechało w rejestrze na koncie macierzystym, ps. oczywiście na nowym koncie te wpisy w rejestrze są (poza Wow6432Node, bo jak widać explorer 32-bit nie był uruchamiany) i nie ma tam wpisu BagMRU Size o wartości 5000, bo widocznie nie było potrzeby, aby miał powstawać. Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 w międzyczasie postanowiłem tylko sprawdzić, co się dzieje w przypadku nowego konta z takimi samym uprawnieniami administracyjnymi i okazuje się, że na nowym koncie ustawienia folerów trzyma i w trayu też, lecz nie bardzo uśmiecha mi się zmiana konta (tak jak to zrobił Max17b) Czyli jest pewne, że problem jest w kluczach HKEY_CURRENT_USER. Jak podałam, oczekuję na skan uprawnień kluczy. . Odnośnik do komentarza
quentin Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Czyli jest pewne, że problem jest w kluczach HKEY_CURRENT_USER. Jak podałam, oczekuję na skan uprawnień kluczy. już jest, a nie jest to długi log, więc wklejam poniżej: current_user\Software\Classes\Local Settings Owner: ZARZĄDZANIE NT\SYSTEM DACL(not_protected): ZARZĄDZANIE NT\SYSTEM full allow no_inheritance BUILTIN\Administratorzy read+KEY_CREATE_LINK allow no_inheritance SetACL finished successfully. current_user\Software\Microsoft\Windows\Shell Owner: Len7\wojtek DACL(not_protected): Len7\wojtek full allow pseudo_inherited+container_inherit+object_inherit ZARZĄDZANIE NT\SYSTEM full allow pseudo_inherited+container_inherit+object_inherit BUILTIN\Administratorzy full allow pseudo_inherited+container_inherit+object_inherit ZARZĄDZANIE NT\Z OGRANICZENIAMI read allow pseudo_inherited+container_inherit+object_inherit SetACL finished successfully. current_user\Software\Microsoft\Windows\ShellNoRoam Owner: BUILTIN\Administratorzy DACL(not_protected): Len7\wojtek full allow pseudo_inherited+container_inherit+object_inherit ZARZĄDZANIE NT\SYSTEM full allow pseudo_inherited+container_inherit+object_inherit BUILTIN\Administratorzy full allow pseudo_inherited+container_inherit+object_inherit ZARZĄDZANIE NT\Z OGRANICZENIAMI read allow pseudo_inherited+container_inherit+object_inherit SetACL finished successfully. Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Klucz Local Settings ma złe uprawnienia, tzn. ogołocony zestaw: bieżący użytkownik nie ma w ogóle dostępu + Administratorzy nie mają Pełnej kontroli. To wyjaśnia brak tworzenia m.in. podkluczy Bags w tym kluczu. Oto jak to powinno wyglądać, cytuję ze swojego rejestru (Aretuza = moje konto): current_user\Software\Classes\Local Settings Owner: NT AUTHORITY\SYSTEM DACL(not_protected): Aretuza-PC\Aretuza full allow pseudo_inherited+container_inherit+object_inherit NT AUTHORITY\SYSTEM full allow pseudo_inherited+container_inherit+object_inherit BUILTIN\Administrators full allow pseudo_inherited+container_inherit+object_inherit NT AUTHORITY\RESTRICTED read allow pseudo_inherited+container_inherit+object_inherit 1. Na początek odblokuj klucz do edycji z poziomu grupy Administratorzy. Z prawokliku na HKEY_CURRENT_USER\Software\Classes\Local Settings pobierz Uprawnienia. Wejdź do Zaawansowanych. W karcie Właściciel przestaw z SYSTEM na grupę Administratorzy. Wróć do karty Uprawnienia i zedytuj wpis Administratorzy przyznając im Pełną kontrolę. 2. Następnie załaduj replikę uprawnień z mojego systemu. Otwórz Notatnik i wklej w nim: "current_user\Software\Classes\Local Settings",4,"O:SY" Plik zapisz pod nazwą fix.txt i przekopiuj go wprost na C:\. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej tę komendę i ENTER: SetACL -on "HKCU\Software\Classes\Local Settings" -ot reg -actn restore -bckp C:\fix.txt 3. Zresetuj system i zrób też nowy plik BAT ciągnący listę uprawnień: SetACL -on "HKCU\Software\Classes\Local Settings" -ot reg -actn list -lst "f:tab;w:d,o;i:y;s:n" >C:\log.txt Przedstaw wynikowy C:\log.txt. . Odnośnik do komentarza
quentin Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Przedstaw wynikowy C:\log.txt. current_user\Software\Classes\Local Settings Owner: ZARZĄDZANIE NT\SYSTEM DACL(not_protected+auto_inherited): ZARZĄDZANIE NT\SYSTEM full allow no_inheritance BUILTIN\Administratorzy full allow no_inheritance SetACL finished successfully. uuuuuuuuuoooooooooaaaaaaaaaaaaaaaaaauuuuuuuu !!!!! działa !!! od razu !!! dziękuję Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Odblokowało się, bo Administratorzy otrzymali Pełną kontrolę. Niby moglibyśmy tu zakończyć, ale te uprawnienia nadal nie wyglądają tak jak u mnie (konto użytkownika jest nieobecne w zestawie). Klucz Local Settings ma teraz dziedziczenie z wyższego klucza Classes, więc może w Classes jest coś przestawione. Pokaż mi zrzuty ekranu z karty Uprawnienia tych kluczy: HKEY_CURRENT_USER\Software\Classes HKEY_CURRENT_USER\Software\Classes\Local Settings . Odnośnik do komentarza
quentin Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 zaraz to przygotuję, ale to może wynikać może z tego, że poza moim kontem administracyjnym nie miałem konta żadnego innego użytkownika, a gość jest wyłączony, no ale w tych uprawnieniach czasem występuje grupa administratorzy i odrębnie moje konto z grupy administratorzy, a czasem nie, więc zaraz posprawdzam, ps. w rejestrze też pokazały się brakujące wcześniej wpisy, bardzo podobne do tych na nowym koncie, choć oczywiście mogą się różnić, lecz tego już sprawdzać nie będę . ------------ już są, mam nadzieję, że wystarczą, jako załączniki HKEY_CURRENT_USER\Software\Classes uprawnienia Adm wyglądają na ograniczone, tak jak poprzednio w Local Settings, a moje konto jest oczywiście w zakładce właściciel w obydwu przypadkach. ------------ ale jeszcze sprawdziłem rejestr nowego konta i tam faktycznie jest nowe konto poza Administratorami i obydwa mają pełną kontrolę i w Classes i w Local Settings, jak niżej: ------------ ps. nie wiem z czego to mogło wyniknąć, staram się nie eksperymentować z rejestrem, tym bardziej w Win7, ale może któryś z czyścicieli coś jednak nabroił, a używałem tylko starego EasyCleanera 2.0, bo on nigdy mi żadnej krzywdy nie zrobił pod XP, CCleaner 3.25 (64) oraz Eusing, lecz z tym ostatnim ostrożniej, bo na XP potrafił "odinstalować" mi sterownik Bluetooth usuwając zapewne niezbędny wpis z rejestrze, ale ze dwa razy użyłem też odkurzacza i te 3 dni temu też, gdyż chciałem powywalać zbędne rzeczy przed zdobieniem lustra całej konfiguracji po tych ostatnich aktualizacjach, chociaż nie jestem pewien czy takie narzędzia potrafią zmieniać uprawnienia, czy tylko usuwają wpisy, które ich algorytmy uznają za niepowiązane lub zbędne. Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Otóż to. Moje uprawnienia są identyczne jak te z nowego konta u Ciebie, stare trzeba poprawić, a usterka idzie od górnego klucza Classes. Przeprowadź następujące działania: 1. Dla klucza Classes w karcie Uprawnienia zaznacz opcję "Zastąp wszystkie uprawnienia obiektów podrzędnych...". Następnie na liście podświetl po kolei konta SYSTEM + Administratorzy i dla każdego zaptaszkuj Pełną kontrolę oraz z menu "Zastosuj do" przestaw z "Tylko ten klucz" na "Ten klucz i podklucze". Przyciskiem Dodaj wprowadź na listę nazwę swojego konta i ustaw tak samo Pełną kontrolę + "Ten klucz i podklucze". Jako ostatnie dodaj na listę RESTRICTED, dla "Ten klucz i podklucze" mają zaznaczone być tylko opcje: Badanie wartości + Wyliczanie podkluczy + Powiadamianie + Kontrola odczytu. Zatwierdź wszystkie zmiany. 2. Sprawdź czy podrzędny klucz Local Settings odziedziczył ustawienia po kluczu Classes. Jeśli tak, dla klucza Classes + Local Settings w karcie Właściciel przestaw na SYSTEM. poza moim kontem administracyjnym nie miałem konta żadnego innego użytkownika, a gość jest wyłączony, no ale w tych uprawnieniach czasem występuje grupa administratorzy i odrębnie moje konto z grupy administratorzy, a czasem nie Konkretne konto a grupa Administratorzy to dwie różne rzeczy. . Odnośnik do komentarza
quentin Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Konkretne konto a grupa Administratorzy to dwie różne rzeczy. to wydaje się logiczne, lecz Win 7 to już zbyt kompleksowy i zagmatwany system, by wszędzie ich logikę dostrzec, już nie wspominając o jej zrozumieniu, co do reszty, to powinienem już sobie z tym poradzić, tak mi się wydaje, lecz oczywiście dla porządku przedstawię rezultaty końcowe po weryfikacjach czy i jak wszystko działa, na ogół lektura Twoich postów wystarczała od lat bez potrzeby pisania, lecz tym razem już wolałem się upewnić czy przypadkiem nie jest to infekcja ZeroAcces, bo w takim przypadku czas byłby na wagę złota - dziękuję jeszcze raz i pozdrawiam serdecznie, q. ---------- tak na gorąco, to zrobiłem, jak w Twoim poprzedzającym poście, choć może jeszcze nie do końca, odmowa - dopóki System był właścicielem Classes, więc przez analogię do Local Settings zmieniłem właściciela na Administratorów, a wtedy zaakceptował i zatwierdził zmiany, i w dół niżej na podrzędnych obiektach też - a po wszystkim przywróciłem System, jako właściciela, ale nie znalazłem pod macierzystym kontem - użytkownika o nazwie Z OGRANICZENIAMI (RESTRICTED), jaki był na nowym koncie, bo tu mam tylko takie, jak na załączonym zrzucie ekranu, więc tymczasowo do tych ograniczonych uprawnień wybrałem po prostu zwykłych Użytkowników i _ISW_RESTRICTED_GROUP_ - mam więc nadzieję, że nie nabroiłem zbytnio i będzie można bezpiecznie usunąć tych obydwu użytkowników w razie błędu z mojej strony, oczywiście przed tymi operacjami wykonałem eksport całego rejestru oraz odrębnie gałęzi HKCU Software, Classes i Local Settings, aby móc te elementy przywrócić do stanu sprzed tych moich manipulacji, zaraz sprawdzę jeszcze jaka jest lista użytkowników pod nowym kontem i dokleję podobny zrzut ekranu z nowego konta. ----------- nie wklejam już zrzutu ekranu z nowego konta, gdyż z jego poziomu lista użytkowników i grup jest identyczna, a we wbudowanych zabezpieczeniach głównych też nie ma nazwy Z OGRANICZENIAMI, więc nie mam pojęcia, którego użytkownika lub grupy ta nazwa może dotyczyć, stąd przypuszczam, że taki wpis może dotyczyć kilku kont lub grup domyślnie ustawianych przez Win 7 i może został usunięty przez jakiś z zastosowanych przeze mnie czyścicieli w ramach odchudzania systemu i rejestru, a przy okazji porównałem wielkości eksportów gałęzi rejestru z obydwu kont i to mnie trochę zdziwiło, bo mam taki rezultat: macierzyste i nowe konto cały rejestr 689'142'290 690'340'394 HKCU Software 12'474'126 4'054'030 .//Classes 1'056'590 2'069'886 .///Local S... 1'056'406 2'060'086 cały rejestr z nowego konta jest trochę większy od dotychczasowego macierzystego - może dziwne, choć już nie dziwi, że Software z nowego jest 4 razy mniejszy niż z macierzystego, na którym instalowane były wszystkie aplikacje z zasady "dla wszystkich użytkowników", tylko dlaczego Classes i Local Settings z macierzystego są połowę mniejsze niż z nowego konta ? czyżby czyściciele i odkurzacz usuwając zbędne wpisy i opcje językowe wycięły z tych gałęzi aż połowę domyślnych wpisów Win 7 ? to trochę skłania mnie do obaw, że może w trosce o optymalizację Win7 sam sobie jednak czymś nieświadomie zrobiłem krzywdę i spowodowałem rozwalenie rejestru w gałęzi HKCU skutkującą zmianą uprawnień i niestabilnością ustawień w widoku folderów, ale to na marginesie, bo nie mam trojana ZeroAcces i mam "mój komputer" ze szczegółami bez konieczności irytującej zmiany widoku za każdym otwarciem folderu i tray też nic mi już nie przestawia - stąd też wnioskuję, że inna od natywnej rozdzielczość ekranu nie miała na to wpływu, ani eksperymenty z pulpitami Dexpot i paskami WinDocks też nie, lecz raczej nieudolne próby optymalizacji systemu, który tak lawinowo się rozrasta, że zaraz te 150 GB mu zabraknie, a przecież to samo oprogramowanie z całym systemem na XP nie zabierało mi więcej niż 20 do maks. 30 GB, by jednak nie angażować Twojego czasu przesadnie w takie dywagacje, napisz tylko, jeśli możesz, czy Twoim zdaniem należałoby jednak usunąć te ograniczone uprawnienia Użytkowników i _ISW_RESTRICTED_GROUP_ z klucza HKUC/Software/Classes, bo w razie czego przywrócę albo rejestr z eksportu, albo cały system z lustra sprzed 2 tygodni i ponownie zainstaluję te modemy oraz ponownie wszystkie aktualizacje MS i Lenovo z 2 ostatnich tygodni. Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 odmowa - dopóki System był właścicielem Classes, więc przez analogię do Local Settings zmieniłem właściciela na Administratorów, a wtedy zaakceptował i zatwierdził zmiany, i w dół niżej na podrzędnych obiektach też - a po wszystkim przywróciłem System, jako właściciela To mnie zmyliło: HKEY_CURRENT_USER\Software\Classes uprawnienia Adm wyglądają na ograniczone, tak jak poprzednio w Local Settings, a moje konto jest oczywiście w zakładce właściciel w obydwu przypadkach. Dlatego nie podałam zmiany Właściciela w punkcie 1. Teraz dopiero widzę, że Tobie chyba o to chodziło, że ono na spodzie było do wyboru a nie jako bieżący Właściciel. ale nie znalazłem pod macierzystym kontem - użytkownika o nazwie Z OGRANICZENIAMI (RESTRICTED), jaki był na nowym koncie, bo tu mam tylko takie, jak na załączonym zrzucie ekranu, więc tymczasowo do tych ograniczonych uprawnień wybrałem po prostu zwykłych Użytkowników i _ISW_RESTRICTED_GROUP_ - mam więc nadzieję, że nie nabroiłem zbytnio i będzie można bezpiecznie usunąć tych obydwu użytkowników w razie błędu z mojej strony, Usuń z uprawnień _ISW_RESTRICTED_GROUP_ (grupa niesystemowa, tworzy ją ZoneAlarm ForceField) i zwykłych Użytkowników. To nie to. Rozpędziłam się, coś mnie zaćmiło. RESTRICTED (Z OGRANICZENIAMI) nie można skonfigurować z poziomu tego graficznego okna uprawnień. Za to w konsoli pojedzie. W cmd uruchomionym jako Administrator wklej: SetACL -on "HKCU\Software\Classes" -ot reg -actn ace -ace "n:Z OGRANICZENIAMI;p:read" Po tym sprawdź uprawnienia Classes oraz czy podklucz Local Settings odziedziczył to. oczywiście przed tymi operacjami wykonałem eksport całego rejestru oraz odrębnie gałęzi HKCU Software, Classes i Local Settings, aby móc te elementy przywrócić do stanu sprzed tych moich manipulacji W jaki sposób eksport robiłeś? Jeśli mówisz o eksporcie via regedit lub jakimkolwiek innym narzędziu zrzucającym do formatu *.REG, to te działania w ogóle nie kopiują uprawnień, są więc zupełnie nieprzydatne w omawianym tu kontekście. By zrobić kopię uprawnień kluczy rejestru, musi to być jedno z dwóch działań: - Pełna kopia rejestru, w postaci plików docelowych a nie wirtualizowanych w regedit, zrobiona narzędziem typu RegBack / ERUNT (KLIK) - Specjalistyczne narzędzie do operacji na uprawnieniach, czyli tu SetACL poinstruowany, by zrzucić uprawnienia do pliku. cały rejestr z nowego konta jest trochę większy od dotychczasowego macierzystego - może dziwne, choć już nie dziwi, że Software z nowego jest 4 razy mniejszy niż z macierzystego, na którym instalowane były wszystkie aplikacje z zasady "dla wszystkich użytkowników", tylko dlaczego Classes i Local Settings z macierzystego są połowę mniejsze niż z nowego konta ? czyżby czyściciele i odkurzacz usuwając zbędne wpisy i opcje językowe wycięły z tych gałęzi aż połowę domyślnych wpisów Win 7 ? To Cię nie powinno dziwić w sytuacji tu oglądanej. Na zdefektowanym koncie uprawnienia Classes uniemożliwiały zapis do tych kluczy, na nowym wręcz przeciwnie. Np. klucz Bags z zapamiętanymi widokami folderów może być potężny, u mnie jest to prawie 4 tysiące kluczy. U Ciebie nic tam się nie nagrywało. Teraz po przyznaniu uprawnień to dopiero rozpoczęło się nagrywanie, klucze będą przyrastać wraz z kolejnym zapamiętywaniem określonych widoków. Nic się nie martw, spasie się prędzej czy później i będziesz żałował swojej dociekliwości. Poza tym, klucze Bags nigdy nie są identyczne na osobnych kontach, to zależy od tego co robi zalogowany użytkownik w eksploratorze, co odwiedza i ustawia. To teraz możemy się zająć tym: PS. Rzecz podrzędna. System nieco zabrudzony adware. Ale to potem zadam. Czyli usuwanie śmieci feed.helperbar.com / search.v9.com / conduit. 1. Firefox. Wyczyść poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Akcja utworzy na Pulpicie folder "Stare dane programu Firefox" = do kosza. 2. Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{ae07101b-46d4-4a98-af68-0333ea26e113}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar] "{ae07101b-46d4-4a98-af68-0333ea26e113}"=- [HKEY_USERS\S-1-5-21-2595274295-1200001338-4032930264-1000\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- [HKEY_USERS\S-1-5-21-2595274295-1200001338-4032930264-1001\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Search Bar"=- "Search Page"=- [HKEY_USERS\S-1-5-21-2595274295-1200001338-4032930264-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\S-1-5-21-2595274295-1200001338-4032930264-1000\Software\Microsoft\Internet Explorer\Search] [-HKEY_USERS\S-1-5-21-2595274295-1200001338-4032930264-1001\Software\Microsoft\Internet Explorer\Search] [-HKEY_USERS\S-1-5-21-2595274295-1200001338-4032930264-1000\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}] [-HKEY_USERS\S-1-5-21-2595274295-1200001338-4032930264-1000\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}] [-HKEY_USERS\S-1-5-21-2595274295-1200001338-4032930264-1001\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}] [-HKEY_USERS\S-1-5-21-2595274295-1200001338-4032930264-1001\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Odinstaluj zbędny Akamai NetSession Interface. 4. Zrób nowy log z OTL poświadczający zmiany, lecz ograniczony do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Odnośnik do komentarza
quentin Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Teraz dopiero widzę, że Tobie chyba o to chodziło, że ono na spodzie było do wyboru a nie jako bieżący Właściciel. powinienem był napisać, że jest na liście wyboru - choć staram się zachować maksimum precyzji słowa dla minimalizacji strat czasu, to jednak zupełnie nie moja dziedzina, nie znam nazewnictwa, więc w 99% skazany jestem na intuicję i maksymalną ostrożność, co oczywiście często nie wystarcza, RESTRICTED (Z OGRANICZENIAMI) nie można skonfigurować z poziomu tego graficznego okna uprawnień. tak, tego się obawiałem i nawet na tą okoliczność próbowałem przeszukać już internet, lecz bez żadnego rezultatu - instrukcje wykonane i podklucz Local Settings te uprawnienia odziedziczył. W jaki sposób eksport robiłeś? ostatnie wczorajsze eksporty faktycznie tylko przez eksport z regedit, lecz przy okazji tych "optymalizacji" sprzed 2-3 dni zrobiłem chyba z 5 sukcesywnych kopii całego rejestru ERUNT, z którego najczęściej korzystam do tworzenia sukcesywnych kopii rejestru, a z innego rodzaju kopii dodatkowo, na wszelki wypadek, lecz oczywiście nie miałem pojęcia o tych aspektach z podanego linka. To Cię nie powinno dziwić... no nie dziwi, bo już nie sposób te wszystkie aspekty zrozumieć, by nad nimi zapanować ze świadomością... , ...usuwanie śmieci feed.helperbar.com / search.v9.com / conduit. takie rzeczy to już się same instalują na potęgę przy byle aktualizacji, jak się przegapi opcję "odhaczania", która nawet nie zawsze jest, jak np. wczoraj gdy Adobe na siłę wmontował mi McAfee - tu może miał rację, lecz później trzeba zastanawiać się, co jest śmieciem, a co nie jest i takich rzeczy, które wzięły się nie wiadomo skąd, to mam już całkiem sporo (np. też ten v9pbr.exe)..., ..."Stare dane programu Firefox" = do kosza... zrobione, tego jeszcze nie ćwiczyłem. Scalanie rejestru też zrobione. Odinstaluj zbędny Akamai NetSession Interface to manager, którego instalację wymusza strona Lenovo w przypadku pobierania więcej niż jednego pliku z ich list oprogramowania, sterowników i dokumentacji, a ja miałem już ponad 100 na ok. 3 GB do pobrania, no i oczywiście instaluje się do uruchamiania ze startem systemu, co natychmiast wyłączyłem, lecz oczywiście teraz odinstalowałem, bo takich operacji nie robi się przecież codziennie, log z OTL w załączeniu, dziękuję za porady i lekcję, którą mam nadzieję odrobiłem w miarę poprawnie 121215_w530_OTL_rejestr.Txt ps. a na przyszłość i dla innych, to zapewne tymi "optymalizacjami" rejestru na intuicję sposobami wypróbownymi w XP (EasyCleaner, CCleaner, Eusing+odkurzacz) sam sobie narobiłem takiego bigosu z uprawnieniami na koncie administracyjnym pod Win7 ? Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 ps. a na przyszłość i dla innych, to zapewne tymi "optymalizacjami" rejestru na intuicję sposobami wypróbownymi w XP (EasyCleaner, CCleaner, Eusing+odkurzacz) sam sobie narobiłem takiego bigosu z uprawnieniami na koncie administracyjnym pod Win7 ? Nie dojdę czym załatwiłeś system, ale jest całkiem prawdopodobne, że tym "zestawem wypróbowanym na XP", bo też to co na XP dobre niekoniecznie na systemie wyższym w ewolucji i to o zupełnie innej architekturze bitowej. Posiadasz system x64, a np. EasyCleaner to 32-bitowe próchno z roku 2004, o zgodności z x64 nie ma mowy, nie wiadomo jak się obchodzi z dualizmem rejestru x64, a kompatybilność zasadnicza z Windows 7 cienka. jak np. wczoraj gdy Adobe na siłę wmontował mi McAfee - tu może miał rację W jaki sposób pobierałeś Adobe? Jeśli wprost ze strony, to na stronie należy odznaczyć instalację tego (nie ma takiej opcji w samym instalatorze, wtedy jest już za późno): Jako dodatkowy i całkowicie zbędny składnik pobierania chce się szmuglować sponsor, różny w zależności od tego w której przeglądarce otworzono pobieranie (obecnie: IE = Google Toolbar, Firefox = McAfee Security Scan Plus, Opera = Google Chrome) i proszę tego nie zaznaczać: Ogólnie akcje z czyszczeniem adware pomyślnie zrobione. Tylko drobniutka korekta na wpisy szczątkowe, sfatygowaną kontrolkę MKS w IE i foldery ArcaBit. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-2595274295-1200001338-4032930264-1000..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-2595274295-1200001338-4032930264-1001..\Run: [Akamai NetSession Interface] "C:\Users\wojtek\AppData\Local\Akamai\netsession_win.exe" File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) [2012.09.13 12:44:31 | 000,000,402 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml [2012.12.13 13:14:27 | 000,000,000 | ---D | M] -- C:\Users\wojtek\AppData\Roaming\ArcaBit [2012.12.13 16:55:15 | 000,000,000 | ---D | M] -- C:\Users\wojtek\AppData\Roaming\ArcaVirMicroScan [2012.09.18 06:21:01 | 000,000,000 | ---D | M] -- C:\Users\wojtek\AppData\Roaming\OpenCandy Klik w Wykonaj skrypt. Po tym w OTL użyj Sprzątanie. Problem główny rozwiązany. Jeśli nie masz więcej pytań, daj sygnał do zamknięcia tematu. . Odnośnik do komentarza
quentin Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 ...np. EasyCleaner to 32-bitowe próchno z roku 2004... tak, miałem tego świadomość, że XP-32 sprzed kilkunastu lat, to nie 7-64, więc nawet jeśli pod XP takie narzędzia krzywdy mi nie zrobiły wcale nie oznacza, że tak się nie stanie pod Win 7, a długo przed tą zmianą się broniłem (Visty nie dopuściłem), gdyż to strata czasu z mojego punktu widzenia, bo praktycznie to samo robię pod Win 7, co wcześniej robiłem pod XP, Win98, Win95 i 3.11 (poza pocztą i szerszym dostępem do internetu), a te wszystkie zbędne nowości i mrugające fajerwerki do niczego nie są mi potrzebne, stąd i nawyki z XP mam wszechobecne szukania rozwiązań metodą prób i błędów, oczywiście bez żadnych agresywnych opcji optymalizacji rejestru, no ale z Win 7 już tak się nie da, niestety..., Adobe ? tak, z ich strony i nie zwróciłem na to uwagi, bo większość takich "prezentów" ma opcję "odznaczania" w instalatorach, więc staram się tego pilnować i na ogół usuwam z autostartu i wyłączam w usługach, gdy nie mam pewności, czym mogę je odinstalować, czy nie, po drodze zabrałem się za porządki, na które na codzień brakuje czasu i już usunąłem EasyCleanera, starszą wersję AirPort, V9, Operę i Google Chrom, które też były takimi niechcianymi, przypadkowymi instalacjami oraz mks, którego ostatnio chciałem uruchomić, ale pod żadnym IE-64, ani IE-32 jednak już się nie uruchomił, tylko naśmiecił..., a skrypt wykonałem, Akamai i MKS już nie było, więc ich nie znalazł rozumiem, że końcowe "sprzątanie" usuwa też OTL, bo mi zniknął, 121215_w530_OTL_skrypt_162315.txt a pytania ? , może tym optymistycznym akcentem zamknijmy temat, miłego weekendu, serdecznie dziękuję, q. Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Komentując na koniec: mks, którego ostatnio chciałem uruchomić, ale pod żadnym IE-64, ani IE-32 jednak już się nie uruchomił, tylko naśmiecił..., MKS umarł dawno. Od dłuższego czasu był skanerem niewiarygodnym, użytkownicy brali go chyba tylko dlatego, że po polsku... A obecnie to nawet nie działa poprawnie. Firma MKS nie istnieje, zaś instalacyjny MKS przejął ArcaBit. A twórcy MKS zrobili nowego koszernego antywirusa FileMedic. a skrypt wykonałem, Akamai i MKS już nie było, więc ich nie znalazł Deinstalacja MKS nie usuwa kontrolki z IE. OTL wyciął tę kontrolkę: Starting removal of ActiveX control {68282C51-9459-467B-95BF-3C0E89627E55}C:\Windows\Downloaded Program Files\SkanerOnline.inf moved successfully.Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{68282C51-9459-467B-95BF-3C0E89627E55}\ deleted successfully.Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}\ deleted successfully.Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{68282C51-9459-467B-95BF-3C0E89627E55}\ not found.Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}\ not found. Te dwa wpisy "not found" to dlatego, że OTL przy przetwarzaniu wpisu robi na własną rękę extra szukanie powieleń klasy w rejestrze w innych miejscach niż wskazane w skrypcie, a klasa wcale nie musi wszędzie występować. Wszystkie wpisy {klas} w taki sposób OTL przetwarza, i to niezależnie czy przez dyrektywę :OTL czy :Reg (import). Tu dygresja: to zachowanie wbudowane powoduje, że skrypt OTL nie nadaje się do usuwania kluczy wprowadzonych przez ZeroAccess, bo mimo że zadany konkretny klucz do usuwania w HKCU, skrypt wali we wszystkie wystąpienia klasy w HKCU (od ZeroAccess) i HKLM (prawidłowe systemu), skrupulatnie dewastując rejestrację systemowych bibliotek. Po takim "skrypcie" potem trzeba naprawiać szkody. Dlatego nigdy nie usuwam tych kluczy przez OTL. Sprawa nie jest limitowana tylko do ZeroAccess, tyczy wszystkich aplikacji, gdzie niepożądanym jest usuwać wszystkie wpisy. . Odnośnik do komentarza
Rekomendowane odpowiedzi