Błędy i utracony dostęp

[suma]

W wyniku podłapania infekcji , zrobiłem skan MBAMem. NIestety sporo jeszcze jest nie tak. Oto objawy:

1.Deinstalacja Alkohola 52% przerwana komunikatem  - Error launching installer.

2.Firefox i Thunderbird zgubiły profile.

3.Instalacja/deinstalacja jakiegokolwiek programu przerwana komunikatem - Error 2503. Calld run script when not marked in progress

4.Admin ma dostęp tylko do dysku c

5.Przy uruchamianiu programów komunikat: System windows nie może uzyskać dostępu do określonego urządzenia, scieżki lub pliku.Możesz nie mieć uprawnień. Przy drugim uruchomieniu jest ok.

Logi ze skanowania poniżej.

 

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

mbam-log-2014-01-13 (21-49-24).txt

OTL.Txt

[picasso]

MBAM usuwał tylko adware i to nie było nic szczególnego. W bieżących logach również nic szczególnego: adware (IObit Apps Toolbar v7.0, Discount Buddy w profilu konta user) oraz wpisy puste. To wszystko nie może być jednak przyczyną opisywanych objawów z utraconym dostępem. Na razie to zostawiam, bo czyszczenie nie ma sensu, gdy są ograniczenia o niewiadomym podłożu.

 

Dostarczone tu logi pochodzą w ogóle z dwóch różnych kont, OTL pokazuje zalogowane konto:

 

Computer Name: USER-PC | User Name: user | Logged in as Administrator.

 

Ale już FRST mówi, że zalogowano limitowane konto ms_user:

 

Ran by ms_user (ATTENTION: The logged in user is not administrator) on USER-PC on 15-01-2014 09:32:23

 

Rzecz jasna są to dwa różne środowiska, więc elementy kont nie są między sobą dostępne (np. zupełnie inny profil Firefox). To konto ms_user to twór ręczny czy z automatu czymś utworzony? Braki uprawnień mogą pochodzić od programów zabezpieczających, które manipulują w dostępie. W tym przypadku przede wszystkim rzuca się w oczy EMET. Czy przypadkiem w EMET nie ograniczono nieumiejętnie zbyt dużo? Czy problem występuje w Trybie awaryjnym Windows?

 

 

PS. Widzę zainstalowany sfatygowany BootLog XP. To program dla XP, dla systemów Vista i nowszych jest Windows Performance Toolkit: KLIK.

 

 

.

[suma]

Konto ms_user utworzone ręczenie przeze mnie do codziennej pracy. User to administrator, na tym koncie nie pracuję. Programy logujące zapuszczone z konta ms_user przy czym OTL poprosił o uprawnienia i je dostał a FRST nie chciał uprawnień stąd może różnica. EMET chodził na zabezpieczeniach max od pół roku, problem się zaczął po ostatniej aktualizacji windows (takie mam wrażenie). Inna istotna zmiana to instalacja sterowników do Nokii Lumii. BootlogXP był zainstalowany przez przypadek (i nie został odinstalowany). W tej chwili usunięcie niemożliwe. W trybie awaryjnym też są problemy. W Emet przestawiłem ochronę z max na zalecaną. Po resecie próba usunięcia bootlogxp zakończona błędem.

[picasso]

Raporty muszą być tworzone z poziomu właściwego konta, dane pochodzą głównie z konta ms_user, a podnoszenie uprawnień w OTL nie jest do końca pełną zmianą kontekstu konta. Na razie to zostawiam.

 

Skoro twierdzisz, że efekt zbiegł się tak jakby z aktualizacjami, to nasuwa się, by cofnąć system do stanu sprzed. Nie mam tu spisu punktów Przywracania, gdyż widnieje błąd:

 

==================== Restore Points =========================
 

Could not list Restore Points. Check WMI.

 

Zastartuj do WinRE i sprawdź czy są jakieś punkty Przywracania systemu sprzed usterki i czy da się zrolować system.

 

 

 

.

[suma]

Przepraszam za milczenie, ale trafił się wyjazd służbowy. Co do punktów przywracania sprzed momentu wystąpienia usterki to niestety takich brak. Najstarszy punkt przywracania mam datowany na 15.01.2014 r. a więc już z usterkami.

Robić jeszcze raz logi , a koncie admina . czy czekać na coś innego ?

[picasso]

Tworzenie nowych logów tu raczej nie będzie przydatne. A temat przenoszę do działu Windows, bo problematyka podstawowa jest pozainfekcyjna.

 

 

Co do punktów przywracania sprzed momentu wystąpienia usterki to niestety takich brak.

Spróbuj założyć nowe konto użytkownika o statusie administracyjnym z poziomu środowiska zewnętrznego, by sprawdzić czy problem się przenosi na inne konta administracyjne, czy też jest ekskluzywny dla tego szczególnego konta. Konta w środowisku zewnętrznym jest zdolny zakładać niejaki Password Renew. Jest to stary program, ale może chwyci tu na Vista. By go uruchomić: na pendrive umieść PasswdRenew.exe, zbootuj do WinRE > Wiersz polecenia > uruchom ten program z pendrive i wybierz w nim funkcję "Create new Administrator user".

 

 

 

.

[suma]

PasswordRenew zatrzymuje się na "select target" . Klikam żeby wybrać folder systemu i wyskakuje puste okno, bez widocznych dysków , folderów itp. Z palca również nie mogę nic wpisać. Dzieje się tak zarówno przy odpaleniu programu z pendriva jak i z dyku c (wszystko oczywiście w środowisku zewnętrznym).

[Diakon]

Możesz spróbowac tego programu http://www.majorgeeks.com/files/details/tweaking_com_windows_repair.html

pierwsze dwie opcje może coś naprawią

• Reset Registry Permissions
• Reset File Permissions

[suma]

Dzięki za radę, ale zajrzałem tu za późno, miałem ciut więcej czasu więc zgrałem dane i strzeliłem format. W tej chwili piszę już z nowego systemu.

Dziękuję wszystkim za zainteresowanie.