Zapętlona naprawa systemu, CorruptRegistry

[crooleeck]

Witam!

 

Otrzymałem laptop kolegi do naprawy. Objawy:

Podczas uruchamiania systemu pojawia się narzędzie naprawy systemu, które nie naprawia problemu (w szczegółach Corrupt Registry). Po jego zamknięciu komputer wyłącza się.

 

Nie zadziałały inne opcje uruchamiania.

 

Dysponując pendrivem z WinRE oraz FRST wykonałem skan, którego wynik załączam.

 

Nie patrzyłem na pliki, razi mnie:

Attention: Could not load system hive.

HKLM\...\Winlogon: [userinit] 

HKLM-x32\...\Winlogon: [userinit]  [x]

HKLM\...\Winlogon: [shell]  [0 2014-01-02] () <=== ATTENTION

HKLM-x32\...\Winlogon: [shell]  [0 ] () <=== ATTENTION

HKLM\...\InprocServer32: [Default-wbemess]  ATTENTION! ====> ZeroAccess?

HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox]  ATTENTION! ====> ZeroAccess?

HKLM\...\.exe:  <===== ATTENTION!

HKLM\...\exefile\DefaultIcon:  <===== ATTENTION!

HKLM\...\exefile\open\command:  <===== ATTENTION!

 

Popularny fix z podmianą plików rejestru nie pomógł. Zapewne z powodu dat - widzę że w C:\Windows\System32\config\RegBack\ daty modyfikacji są świerze.

 

Tutaj są ślady ZeroAccess, ale to raczej uszkodzony rejestr jest problemem. Proszę o wsparcie.

 

Dodam, że sprawę utrudnia fakt, że napęd nie czyta płyt, a dysponuję tylko 4GB pendrive, więc chwilowo nie mam jak zainstalować ponownie systemu. Użytkownikowi zależy na uruchomieniu systemu bez reinstalacji - z zachowaniem ustawień.

[picasso]

Temat przeniosę do działu Windows, tylko do którego (Windows 7 / Vista?). Nie został podany cały log z FRST, a te fragmenty nie nadają się do analizy. To co cytujesz nie wygląda na rzeczy do naprawy "punktowej", tylko kompletną niemożność odczytu rejestru Windows i fałszwe zgłoszenia zawartości, te wzmianki "ZeroAccess" to wcale nie jest ZeroAccess (ta infekcja ma inną formę wpisów). Conajmniej nie można załadować pliku SYSTEM, plik SOFTWARE jest w podejrzanym stanie tutaj (wygląda na "spustoszony"), a co z resztą to już czarna masa. Czyli:

 

 

Podczas uruchamiania systemu pojawia się narzędzie naprawy systemu, które nie naprawia problemu (w szczegółach Corrupt Registry).

(...)

Popularny fix z podmianą plików rejestru nie pomógł. Zapewne z powodu dat - widzę że w C:\Windows\System32\config\RegBack\ daty modyfikacji są świerze.

(...)

Użytkownikowi zależy na uruchomieniu systemu bez reinstalacji - z zachowaniem ustawień.

Niestety tu nie ma już zbyt dużego wyboru, bo uszkodzonego rejestru nie da się "reanimować" tylko musi być zastąpiony poprawną kopią. Odpada kopia RegBack (zbyt świeża, ma pewnie nagrane wady), nie ma w systemie już żadnych innych kopii rejestru z wyjątkiem punktów Przywracania systemu. Jeśli Przywracanie systemu było czynne i są jakiekolwiek punkty Przywracania, z poziomu WinRE go zastosuj. W przeciwnym wypadku zostaje reinstalacja Windows.

 

 

.