BuddaPL Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Witam, Szukam pomocy w sprawie naprawienia rejestru. W logu OTL'a występują pozycje: O4 - Startup: C:\Documents and Settings\admin\PrintHood [2009-09-26 17:59:47 | 000,000,000 | -H-D | M]O4 - Startup: C:\Documents and Settings\admin\Pulpit [2009-09-26 16:53:37 | 000,000,000 | ---D | M] O4 - Startup: C:\Documents and Settings\admin\Recent [2009-09-26 17:45:54 | 000,000,000 | RH-D | M] O4 - Startup: C:\Documents and Settings\admin\SendTo [2009-09-26 17:45:44 | 000,000,000 | RH-D | M] O4 - Startup: C:\Documents and Settings\admin\Szablony [2009-09-26 16:19:57 | 000,000,000 | -H-D | M] O4 - Startup: C:\Documents and Settings\admin\Ulubione [2009-09-26 17:45:55 | 000,000,000 | R--D | M] O4 - Startup: C:\Documents and Settings\admin\Ustawienia lokalne [2009-09-26 17:59:47 | 000,000,000 | -H-D | M] Poinformowano mnie, że to prawdopodobnie uszkodzony rejestr i skierowano tutaj. (dzięki golosuriw ,) Komputer ogólnie jest leczony z infekcji i jeśli ważny jest cały log OTL'a, to podaję linka http://wklej.org/id/899493/ - log OTL'a http://wklej.org/id/899494/ - log Extras Proszę o pomoc z rejestrem. Robert Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Owszem, masz uszkodzone ścieżki folderów powłoki. Wymagany dodatkowy skan. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Klik w Look i przedstaw log. Komputer ogólnie jest leczony z infekcji i jeśli ważny jest cały log OTL'a, to podaję linka Wiem gdzie jest oryginał, w związku z tym nie ruszam tego co zadano do usuwania, by nie krzyżowały się instrukcje. . Odnośnik do komentarza
BuddaPL Opublikowano 17 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Log z SystemLook, o który prosiłaś: http://wklej.org/id/899692/ Dodatkowo podaję resztę logów, bo wirusolog powiedział, że infekcji nie ma już i zostały tylko kosmetycznie zmiany, które pewnie naprawisz przy okazji. Usuwanie USBFixem - http://wklej.org/id/899613/ Log z usuwania OTL'e, - http://wklej.org/id/899615/ Nowy skan OTL'em (ostatni) - http://wklej.org/id/899616/ Miał być jeszcze zapuszczony MBAM, ale niestety nie uruchomił się prawdopodobnie przez problemy z tymi ścieżkami powłoki. Wygenerował błąd Błąd podczas tworzenia klucza rejestru RegCreateKeyEx: code 5. i cofnął instalację. Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Skan z SystemLook pokazuje, że klucze Shell Folders + User Shell Folders są uszkodzone = praktycznie gołe, ale tu chyba rzeczywiście jest jeszcze jeden problem, czyli utracenie katalogu konta Kinga, konto jest logowane przez profil tymczasowy, bo widać to: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Local AppData"="C:\Documents and Settings\TEMP\Ustawienia lokalne\Dane aplikacji" To też oznacza, że log z OTL poprzednio sprawdzany był w połowie niewiarygodny, załadowany zupełnie inny rejestr użytkownika. I widzę na dysku, że folder konta się replikował: [2009-06-17 21:10:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga\Application Data [2008-07-26 22:18:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga\Contacts [2011-01-24 15:04:50 | 000,000,000 | --SD | M] -- C:\Documents and Settings\Kinga\Cookies [2009-09-22 21:36:00 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga\Dane aplikacji [2012-04-16 13:06:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga\Gadu-Gadu [2009-09-10 15:34:41 | 000,000,000 | R--D | M] -- C:\Documents and Settings\Kinga\Menu Start [2008-12-11 14:31:57 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga\NetHood [2008-07-26 20:37:13 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga\PrintHood [2012-04-16 19:14:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga\Pulpit [2009-09-17 23:09:53 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga\Recent [2009-03-02 13:31:14 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga\SendTo [2008-07-26 18:43:08 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga\Szablony [2012-04-16 19:17:55 | 000,000,000 | R--D | M] -- C:\Documents and Settings\Kinga\Ulubione [2009-09-24 02:23:41 | 000,000,000 | --SD | M] -- C:\Documents and Settings\Kinga\UserData [2009-09-10 16:22:01 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga\Ustawienia lokalne [2011-05-30 19:20:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\.gstreamer-0.10 [2010-12-21 20:14:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\.thumb [2011-07-29 19:30:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\AppData [2012-04-24 20:28:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Cookies [2012-03-18 13:19:12 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Dane aplikacji [2010-07-22 20:25:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\DoctorWeb [2009-09-26 13:10:42 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\IECompatCache [2009-09-26 12:56:59 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\IETldCache [2009-09-26 17:59:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Menu Start [2012-03-14 19:27:48 | 000,000,000 | R--D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Moje dokumenty [2009-10-02 20:18:03 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\NetHood [2009-09-26 17:59:47 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\PrintHood [2009-09-26 13:10:32 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\PrivacIE [2012-04-16 13:33:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Pulpit [2012-04-16 13:31:52 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Recent [2011-05-27 15:00:28 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\SendTo [2009-09-26 16:19:57 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Szablony [2009-09-26 12:57:06 | 000,000,000 | R--D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Ulubione [2009-09-26 12:24:45 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\UserData [2012-04-17 19:51:56 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Ustawienia lokalne Podaj mi skan na listę kont i jaki folder używają. Uruchom sid.vbs i podaj log: KLIK (punkt 3). . Odnośnik do komentarza
BuddaPL Opublikowano 17 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Niestety skrypt nie chce zadziałać. Wyskakuje okienko Windows Host Script z komunikatem Ładowanie ustawień nie powiodło się. (Odmowa dostępu.) Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Widzę, że problem jest gruby. Zamiennie do SystemLook wklej ten skan: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s . Odnośnik do komentarza
BuddaPL Opublikowano 17 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 http://wklej.org/id/899763/ Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Tak, ewidentny problem i zerwanie łączności konta z folderem, dwukrotnie zrywało dostęp: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1078081533-57989841-682003330-1004]"ProfileImagePath"="%SystemDrive%\Documents and Settings\TEMP" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1078081533-57989841-682003330-1004.bak]"ProfileImagePath"="%SystemDrive%\Documents and Settings\Kinga.ABC-404C7113991" Wykonaj następujące operacje: 1. Start > Uruchom > regedit i skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1078081533-57989841-682003330-1004.bak 2. Uruchom Reprofiler. W programie rozłącz konto Kinga z aktualnie przypisanym folderem TEMP (opcja Detach), następnie połącz to konto z folderem Kinga (opcja Assign). Przeloguj konto. 3. Przez SHIFT+DEL skasuj repliki katalogów: C:\Documents and Settings\TEMP C:\Documents and Settings\Kinga.ABC-404C7113991 4. Zrób nowy log OTL z opcji Skanuj. Powinien wyglądać inaczej niż wszystkie dotychczasowe, bo właściwy rejestr użytkownika zostanie załadowany. . Odnośnik do komentarza
BuddaPL Opublikowano 18 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Zrobione. Oto nowy log z OTL'a - http://wklej.org/id/900456/ Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Wygląda na to, że akcja się wykonała i inny rejestr użytkownika jest załadowany, gdyż zniknęły te odczyty. Ale nadal mi się coś nie zgadza. Jest strasznie łyso w logu, żadne wpisy rejestru użytkownika Kinga nie są pokazane... Przyjrzałam się bliżej pierwszemu logowi z OTL, temu który miał uszkodzone wpisy. Otóż w spisie plików katalogu konta C:\Documents and Settings\Kinga w ogóle nie było pliku rejestru NTUSER.DAT: O4 - Startup: C:\Documents and Settings\Kinga\Application Data [2009-06-17 21:10:58 | 000,000,000 | ---D | M]O4 - Startup: C:\Documents and Settings\Kinga\Contacts [2008-07-26 22:18:28 | 000,000,000 | ---D | M]O4 - Startup: C:\Documents and Settings\Kinga\Cookies [2011-01-24 15:04:50 | 000,000,000 | --SD | M]O4 - Startup: C:\Documents and Settings\Kinga\Dane aplikacji [2009-09-22 21:36:00 | 000,000,000 | RH-D | M]O4 - Startup: C:\Documents and Settings\Kinga\Gadu-Gadu [2012-04-16 13:06:14 | 000,000,000 | ---D | M]O4 - Startup: C:\Documents and Settings\Kinga\geni6hz3.jpg ()O4 - Startup: C:\Documents and Settings\Kinga\Menu Start [2009-09-10 15:34:41 | 000,000,000 | R--D | M]O4 - Startup: C:\Documents and Settings\Kinga\mugenw.log ()O4 - Startup: C:\Documents and Settings\Kinga\NetHood [2008-12-11 14:31:57 | 000,000,000 | -H-D | M]O4 - Startup: C:\Documents and Settings\Kinga\podniebne orly.jpg ()O4 - Startup: C:\Documents and Settings\Kinga\podniebne orly2.jpg ()O4 - Startup: C:\Documents and Settings\Kinga\PrintHood [2008-07-26 20:37:13 | 000,000,000 | -H-D | M]O4 - Startup: C:\Documents and Settings\Kinga\Pulpit [2012-04-16 19:14:33 | 000,000,000 | ---D | M]O4 - Startup: C:\Documents and Settings\Kinga\Recent [2009-09-17 23:09:53 | 000,000,000 | RH-D | M]O4 - Startup: C:\Documents and Settings\Kinga\SendTo [2009-03-02 13:31:14 | 000,000,000 | RH-D | M]O4 - Startup: C:\Documents and Settings\Kinga\Szablony [2008-07-26 18:43:08 | 000,000,000 | -H-D | M]O4 - Startup: C:\Documents and Settings\Kinga\Ulubione [2012-04-16 19:17:55 | 000,000,000 | R--D | M]O4 - Startup: C:\Documents and Settings\Kinga\UserData [2009-09-24 02:23:41 | 000,000,000 | --SD | M]O4 - Startup: C:\Documents and Settings\Kinga\Ustawienia lokalne [2009-09-10 16:22:01 | 000,000,000 | -H-D | M] To by pasowało do biedy w aktualnym raporcie. Na wszelki wypadek sprawdź to ponownie czy w katalogu C:\Documents and Settings\Kinga widzisz ukryty plik NTUSER.DAT? By go widzieć, należy mieć odznaczoną opcję Ukryj chronione pliki systemu operacyjnego. Jeśli pliku nie ma, to niestety trzeba założyć nowe konto użytkownika, bo konto Kinga jest uszkodzone. I czy aktualnie nadal są problemy z uruchomieniem takich narzędzi jak AdwCleaner / MBAM / sid.vbs i reszta, która wcześniej zwracała błąd? Co do samego raportu, to jeszcze korekty. Wygląda np. na to, że Symantec + Firefox nie są tu zainstalowane, a to co w logu to szczątki. Poprawiaj: 1. Z poziomu Trybu awaryjnego zastosuj Norton Removal Tool. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\mozilla firefox C:\Documents and Settings\Kinga\Dane aplikacji\Mozilla C:\Documents and Settings\All Users\Dane aplikacji\1F3BE C:\Documents and Settings\All Users\Dane aplikacji\3A2AF C:\Documents and Settings\All Users\Dane aplikacji\45D C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\5157 C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Dane aplikacji\bearsharetb :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&q={searchTerms}" O4 - HKU\.DEFAULT..\RunOnce: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-19..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt73.sys -- (RT73) :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Secondary Start Pages"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- :Commands [emptytemp] Klik w Wykonaj skrypt. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
BuddaPL Opublikowano 19 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Plik ntuser.dat istnieje w podanym przez Ciebie katalogu. Programy już się instalują. MBAM właśnie skanuje system, a poniżej masz, jakbyś chciała wynik działania skryptu sid.vbs ******************************************************************************** Lista kont, identyfikatorów SID i ścieżek dostępu. ******************************************************************************** Nazwa użytkownika : admin SID : S-1-5-21-1078081533-57989841-682003330-1003 Katalog profilu : C:\Documents and Settings\admin Nazwa użytkownika : Administrator SID : S-1-5-21-1078081533-57989841-682003330-500 Katalog profilu : Nazwa użytkownika : ASPNET SID : S-1-5-21-1078081533-57989841-682003330-1005 Katalog profilu : Nazwa użytkownika : Gość SID : S-1-5-21-1078081533-57989841-682003330-501 Katalog profilu : Nazwa użytkownika : Kinga SID : S-1-5-21-1078081533-57989841-682003330-1004 Katalog profilu : C:\Documents and Settings\Kinga Nazwa użytkownika : Pomocnik SID : S-1-5-21-1078081533-57989841-682003330-1000 Katalog profilu : ******************************************************************************** Ad.1 Wykonane. Ad.2 Usuwanie śmieci OTL'em http://wklej.org/id/901442/ Ad.3 Nowy skan http://wklej.org/id/901439/ Mam jeszcze problem z katalogiem na pulpicie nazwanym dwoma wykrzyknikami "!!". Nie mogę za cholerę, go usunąć. Mam komunikat, że pliku nie odnaleziono. Spróbuję jeszcze po sprawdzeniu partycji skandiskiem. Odnośnik do komentarza
Anonim8 Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Mam jeszcze problem z katalogiem na pulpicie nazwanym dwoma wykrzyknikami "!!". Nie mogę za cholerę, go usunąć. Posłuż się Delete FXP Files z tego wątku https://www.fixitpc.pl/topic/50-kasowanie-nieusuwalnych-plikow-i-folderow/ Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się