Skocz do zawartości

Uszkodzenie rejestru po infekcji


BuddaPL

Rekomendowane odpowiedzi

Witam,

 

Szukam pomocy w sprawie naprawienia rejestru. W logu OTL'a występują pozycje:

 

O4 - Startup: C:\Documents and Settings\admin\PrintHood [2009-09-26 17:59:47 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Documents and Settings\admin\Pulpit [2009-09-26 16:53:37 | 000,000,000 | ---D | M]

O4 - Startup: C:\Documents and Settings\admin\Recent [2009-09-26 17:45:54 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Documents and Settings\admin\SendTo [2009-09-26 17:45:44 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Documents and Settings\admin\Szablony [2009-09-26 16:19:57 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Documents and Settings\admin\Ulubione [2009-09-26 17:45:55 | 000,000,000 | R--D | M]

O4 - Startup: C:\Documents and Settings\admin\Ustawienia lokalne [2009-09-26 17:59:47 | 000,000,000 | -H-D | M]

 

Poinformowano mnie, że to prawdopodobnie uszkodzony rejestr i skierowano tutaj. (dzięki golosuriw :),)

 

Komputer ogólnie jest leczony z infekcji i jeśli ważny jest cały log OTL'a, to podaję linka

 

http://wklej.org/id/899493/ - log OTL'a

 

http://wklej.org/id/899494/ - log Extras

 

Proszę o pomoc z rejestrem.

Robert

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Owszem, masz uszkodzone ścieżki folderów powłoki. Wymagany dodatkowy skan. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

Klik w Look i przedstaw log.

 

 

Komputer ogólnie jest leczony z infekcji i jeśli ważny jest cały log OTL'a, to podaję linka

 

Wiem gdzie jest oryginał, w związku z tym nie ruszam tego co zadano do usuwania, by nie krzyżowały się instrukcje.

 

 

.

Odnośnik do komentarza

Log z SystemLook, o który prosiłaś: http://wklej.org/id/899692/

 

Dodatkowo podaję resztę logów, bo wirusolog powiedział, że infekcji nie ma już i zostały tylko kosmetycznie zmiany, które pewnie naprawisz przy okazji.

 

Usuwanie USBFixem - http://wklej.org/id/899613/

 

Log z usuwania OTL'e, - http://wklej.org/id/899615/

 

Nowy skan OTL'em (ostatni) - http://wklej.org/id/899616/

 

Miał być jeszcze zapuszczony MBAM, ale niestety nie uruchomił się prawdopodobnie przez problemy z tymi ścieżkami powłoki. Wygenerował błąd

Błąd podczas tworzenia klucza rejestru RegCreateKeyEx: code 5.
i cofnął instalację.
Odnośnik do komentarza

Skan z SystemLook pokazuje, że klucze Shell Folders + User Shell Folders są uszkodzone = praktycznie gołe, ale tu chyba rzeczywiście jest jeszcze jeden problem, czyli utracenie katalogu konta Kinga, konto jest logowane przez profil tymczasowy, bo widać to:

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]

"Local AppData"="C:\Documents and Settings\TEMP\Ustawienia lokalne\Dane aplikacji"

 

To też oznacza, że log z OTL poprzednio sprawdzany był w połowie niewiarygodny, załadowany zupełnie inny rejestr użytkownika. I widzę na dysku, że folder konta się replikował:

 

 

 

[2009-06-17 21:10:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga\Application Data

[2008-07-26 22:18:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga\Contacts

[2011-01-24 15:04:50 | 000,000,000 | --SD | M] -- C:\Documents and Settings\Kinga\Cookies

[2009-09-22 21:36:00 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga\Dane aplikacji

[2012-04-16 13:06:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga\Gadu-Gadu

[2009-09-10 15:34:41 | 000,000,000 | R--D | M] -- C:\Documents and Settings\Kinga\Menu Start

[2008-12-11 14:31:57 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga\NetHood

[2008-07-26 20:37:13 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga\PrintHood

[2012-04-16 19:14:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga\Pulpit

[2009-09-17 23:09:53 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga\Recent

[2009-03-02 13:31:14 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga\SendTo

[2008-07-26 18:43:08 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga\Szablony

[2012-04-16 19:17:55 | 000,000,000 | R--D | M] -- C:\Documents and Settings\Kinga\Ulubione

[2009-09-24 02:23:41 | 000,000,000 | --SD | M] -- C:\Documents and Settings\Kinga\UserData

[2009-09-10 16:22:01 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga\Ustawienia lokalne

[2011-05-30 19:20:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\.gstreamer-0.10

[2010-12-21 20:14:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\.thumb

[2011-07-29 19:30:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\AppData

[2012-04-24 20:28:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Cookies

[2012-03-18 13:19:12 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Dane aplikacji

[2010-07-22 20:25:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\DoctorWeb

[2009-09-26 13:10:42 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\IECompatCache

[2009-09-26 12:56:59 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\IETldCache

[2009-09-26 17:59:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Menu Start

[2012-03-14 19:27:48 | 000,000,000 | R--D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Moje dokumenty

[2009-10-02 20:18:03 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\NetHood

[2009-09-26 17:59:47 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\PrintHood

[2009-09-26 13:10:32 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\PrivacIE

[2012-04-16 13:33:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Pulpit

[2012-04-16 13:31:52 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Recent

[2011-05-27 15:00:28 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\SendTo

[2009-09-26 16:19:57 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Szablony

[2009-09-26 12:57:06 | 000,000,000 | R--D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Ulubione

[2009-09-26 12:24:45 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\UserData

[2012-04-17 19:51:56 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Kinga.ABC-404C7113991\Ustawienia lokalne

 

 

 

Podaj mi skan na listę kont i jaki folder używają. Uruchom sid.vbs i podaj log: KLIK (punkt 3).

 

 

 

.

Odnośnik do komentarza

Tak, ewidentny problem i zerwanie łączności konta z folderem, dwukrotnie zrywało dostęp:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1078081533-57989841-682003330-1004]

"ProfileImagePath"="%SystemDrive%\Documents and Settings\TEMP"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1078081533-57989841-682003330-1004.bak]

"ProfileImagePath"="%SystemDrive%\Documents and Settings\Kinga.ABC-404C7113991"

 

Wykonaj następujące operacje:

 

1. Start > Uruchom > regedit i skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1078081533-57989841-682003330-1004.bak

 

2. Uruchom Reprofiler. W programie rozłącz konto Kinga z aktualnie przypisanym folderem TEMP (opcja Detach), następnie połącz to konto z folderem Kinga (opcja Assign). Przeloguj konto.

 

3. Przez SHIFT+DEL skasuj repliki katalogów:

 

C:\Documents and Settings\TEMP

C:\Documents and Settings\Kinga.ABC-404C7113991

 

4. Zrób nowy log OTL z opcji Skanuj. Powinien wyglądać inaczej niż wszystkie dotychczasowe, bo właściwy rejestr użytkownika zostanie załadowany.

 

 

 

.

Odnośnik do komentarza

Wygląda na to, że akcja się wykonała i inny rejestr użytkownika jest załadowany, gdyż zniknęły te odczyty. Ale nadal mi się coś nie zgadza. Jest strasznie łyso w logu, żadne wpisy rejestru użytkownika Kinga nie są pokazane... Przyjrzałam się bliżej pierwszemu logowi z OTL, temu który miał uszkodzone wpisy. Otóż w spisie plików katalogu konta C:\Documents and Settings\Kinga w ogóle nie było pliku rejestru NTUSER.DAT:

 

O4 - Startup: C:\Documents and Settings\Kinga\Application Data [2009-06-17 21:10:58 | 000,000,000 | ---D | M]

O4 - Startup: C:\Documents and Settings\Kinga\Contacts [2008-07-26 22:18:28 | 000,000,000 | ---D | M]

O4 - Startup: C:\Documents and Settings\Kinga\Cookies [2011-01-24 15:04:50 | 000,000,000 | --SD | M]

O4 - Startup: C:\Documents and Settings\Kinga\Dane aplikacji [2009-09-22 21:36:00 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Documents and Settings\Kinga\Gadu-Gadu [2012-04-16 13:06:14 | 000,000,000 | ---D | M]

O4 - Startup: C:\Documents and Settings\Kinga\geni6hz3.jpg ()

O4 - Startup: C:\Documents and Settings\Kinga\Menu Start [2009-09-10 15:34:41 | 000,000,000 | R--D | M]

O4 - Startup: C:\Documents and Settings\Kinga\mugenw.log ()

O4 - Startup: C:\Documents and Settings\Kinga\NetHood [2008-12-11 14:31:57 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Documents and Settings\Kinga\podniebne orly.jpg ()

O4 - Startup: C:\Documents and Settings\Kinga\podniebne orly2.jpg ()

O4 - Startup: C:\Documents and Settings\Kinga\PrintHood [2008-07-26 20:37:13 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Documents and Settings\Kinga\Pulpit [2012-04-16 19:14:33 | 000,000,000 | ---D | M]

O4 - Startup: C:\Documents and Settings\Kinga\Recent [2009-09-17 23:09:53 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Documents and Settings\Kinga\SendTo [2009-03-02 13:31:14 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Documents and Settings\Kinga\Szablony [2008-07-26 18:43:08 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Documents and Settings\Kinga\Ulubione [2012-04-16 19:17:55 | 000,000,000 | R--D | M]

O4 - Startup: C:\Documents and Settings\Kinga\UserData [2009-09-24 02:23:41 | 000,000,000 | --SD | M]

O4 - Startup: C:\Documents and Settings\Kinga\Ustawienia lokalne [2009-09-10 16:22:01 | 000,000,000 | -H-D | M]

 

To by pasowało do biedy w aktualnym raporcie. Na wszelki wypadek sprawdź to ponownie czy w katalogu C:\Documents and Settings\Kinga widzisz ukryty plik NTUSER.DAT? By go widzieć, należy mieć odznaczoną opcję Ukryj chronione pliki systemu operacyjnego. Jeśli pliku nie ma, to niestety trzeba założyć nowe konto użytkownika, bo konto Kinga jest uszkodzone.

 

I czy aktualnie nadal są problemy z uruchomieniem takich narzędzi jak AdwCleaner / MBAM / sid.vbs i reszta, która wcześniej zwracała błąd?

 

 


Co do samego raportu, to jeszcze korekty. Wygląda np. na to, że Symantec + Firefox nie są tu zainstalowane, a to co w logu to szczątki. Poprawiaj:

 

1. Z poziomu Trybu awaryjnego zastosuj Norton Removal Tool.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\mozilla firefox
C:\Documents and Settings\Kinga\Dane aplikacji\Mozilla
C:\Documents and Settings\All Users\Dane aplikacji\1F3BE
C:\Documents and Settings\All Users\Dane aplikacji\3A2AF
C:\Documents and Settings\All Users\Dane aplikacji\45D
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\5157
C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Dane aplikacji\bearsharetb
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&q={searchTerms}"
O4 - HKU\.DEFAULT..\RunOnce: []  File not found
O4 - HKU\S-1-5-18..\RunOnce: []  File not found
O4 - HKU\S-1-5-19..\RunOnce: []  File not found
O4 - HKU\S-1-5-20..\RunOnce: []  File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt73.sys -- (RT73)
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Secondary Start Pages"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"=-
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

.

Odnośnik do komentarza

Plik ntuser.dat istnieje w podanym przez Ciebie katalogu. Programy już się instalują. MBAM właśnie skanuje system, a poniżej masz, jakbyś chciała wynik działania skryptu sid.vbs

 

********************************************************************************
Lista kont, identyfikatorów SID i ścieżek dostępu.
********************************************************************************

Nazwa użytkownika	: admin
SID				: S-1-5-21-1078081533-57989841-682003330-1003
Katalog profilu	  : C:\Documents and Settings\admin
Nazwa użytkownika	: Administrator
SID				: S-1-5-21-1078081533-57989841-682003330-500
Katalog profilu	  :
Nazwa użytkownika	: ASPNET
SID				: S-1-5-21-1078081533-57989841-682003330-1005
Katalog profilu	  :
Nazwa użytkownika	: Gość
SID				: S-1-5-21-1078081533-57989841-682003330-501
Katalog profilu	  :
Nazwa użytkownika	: Kinga
SID				: S-1-5-21-1078081533-57989841-682003330-1004
Katalog profilu	  : C:\Documents and Settings\Kinga
Nazwa użytkownika	: Pomocnik
SID				: S-1-5-21-1078081533-57989841-682003330-1000
Katalog profilu	  :
********************************************************************************

 

Ad.1 Wykonane.

Ad.2 Usuwanie śmieci OTL'em http://wklej.org/id/901442/

Ad.3 Nowy skan http://wklej.org/id/901439/

 

Mam jeszcze problem z katalogiem na pulpicie nazwanym dwoma wykrzyknikami "!!". Nie mogę za cholerę, go usunąć. Mam komunikat, że pliku nie odnaleziono. Spróbuję jeszcze po sprawdzeniu partycji skandiskiem.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...