Barman Opublikowano 24 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Witam, Nie wiem dokładnie od kiedy, ale najprawdopodobniej od niedawna, w systemie pojawił się użytkownik jak w temacie, o nazwie vlmbpgrh. Zauważyłem go w okienku, które wysuwa się po naciśnięciu w menu start na użytkownika (są tam opcje zmień awatar, zablokuj, wyloguj i pojawiają się tam inni użytkownicy systemu - do zmiany użytkownika). Bardzo często korzystam z opcji ,,zablokuj" więc gdyby ten użytkownik znajdował się wcześniej, to i wcześniej bym go zobaczył, a zobaczyłem go dopiero dzisiaj, więc podejrzewam, że to świeża sprawa. Nie wiem, czy jest to efekt jakichś infekcji, czy może błędów systemowych. Użytkownik po skasowaniu, pojawia się na nowo po każdym uruchomieniu systemu. Ostatnio miałem problem z połączeniem się z internetem (system przydzielał ip 169.254.x.x) więc wpisywałem komendy, które można znaleźć w internecie (winsock reset catalog, netsh int ip reset ... itp.), jednak okazało się to daremne, gdyż wina jednak leżała po stronie routera (trzeba było zwiększyć limit połączonych użytkowników). W całej tej ,,operacji naprawiania internetu" skorzystałem jeszcze z komendy sfc /scannow i ona wykryła jakieś błędy ale i napisała, że niektórych nie może naprawić (może to te błędy?). Z systemem nie dzieje się nic dziwnego oprócz właśnie tego użytkownika vlmbpgrh, chciałbym wiedzieć, co go tworzy przy każdorazowym uruchamianiu systemu (nie powiela, jeśli nie usunę, to zostaje ten jeden, tworzy go na nowo tylko jeśli zostanie usunięty). Dołączam logi z OTL, FRST oraz log z tego sfc nieszczęsnego. Gmera niestety nie wrzucę, gdyż podczas uruchamiania wywala blue screen WHEA_UNCORRECTABLE_ERROR. Dodam jeszcze, że nie mam żadnego oprogramowania do emulacji napędów. Log z sfc (CBS) nie zmieścił się do załącznika: http://wklej.org/id/1448048/ Z góry dziękuję i pozdrawiam Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Nie widzę tu żadnych oznak infekcji. Temat migruję do działu Windows. Nie wiem dokładnie od kiedy, ale najprawdopodobniej od niedawna, w systemie pojawił się użytkownik jak w temacie, o nazwie vlmbpgrh. To konto tworzone przez ESET Smart Security (ochrona Anti-Theft). Więcej o funkcjonalności w tym artykule: KLIK. What is a Phantom Account? The purpose of the Phantom Account is to protect your real user accounts. In ESET Anti-Theft setup, you are prompted to password-protect all your accounts. A Phantom Account requires no password, and therefore is easily accessible for the person with your device. The Phantom Account: is automatically opened when the missing device starts (while your actual accounts are hidden) collects data on the device location, webcam pictures and screenshots sends the data to your my.eset.com account Konto ma losową nazwę, na każdym komputerze inną. Podobny temat z forum: KLIK. W całej tej ,,operacji naprawiania internetu" skorzystałem jeszcze z komendy sfc /scannow i ona wykryła jakieś błędy ale i napisała, że niektórych nie może naprawić (może to te błędy?). (...) Log z sfc (CBS) nie zmieścił się do załącznika Log się nie zmieścił, bo go nie przefiltrowałeś. Dostarczyłeś cały CBS.LOG z rozmaitymi akcjami, nie został ograniczony do operacji stricte SFC. Uruchom cmd z prawokliku opcją Uruchom jako Administrator > wklej komendę i ENTER: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. Odnośnik do komentarza
Barman Opublikowano 24 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Dzięki za odpowiedź, owszem, mam eseta i mam anti-theft, jednak konto utworzone przez niego nazywa się Piotr, więc chyba eset nie zrobił sobie drugiego (prawda?) I czy mogę to jakoś sprawdzić? (konta anti-theft) Przefiltrowany sfc dołączony sfc.txt Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 To na pewno jest konto tworzone przez ESET. Kolejny temat z forum ESET relatywny do "dziwnych" losowych kont: KLIK. Wersja programu u Ciebie zainstalowana: ==================== Installed Programs ====================== ESET Smart Security (HKLM\...\{B0D9ABD0-A8FD-41CE-85A5-D5AFF3BB3990}) (Version: 7.0.302.26 - ESET, spol s r. o.) Wyniki SFC: 2014-08-23 23:53:05, Info CSI 000008fb [sR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.16384, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-08-23 23:53:05, Info CSI 000008fd [sR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.16384, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-08-23 23:53:05, Info CSI 000008fe [sR] This component was referenced by [l:186{93}]"Microsoft-Windows-Printer-Drivers-Package~31bf3856ad364e35~amd64~~6.3.9600.16384.INF_prncacla" Temat na forum: KLIK. Odnośnik do komentarza
Barman Opublikowano 24 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Dzięki wielkie za pomoc, jak się okazało, to jakiś błąd w esecie rzeczywiście, gdy wszedłem w ustawienia anti-theft, widniało tam właśnie to konto, a poprzednie utworzone przez tą funkcję było jakgdyby... odłączone od tej funkcji, z funkcji anti-theft usunąłem to ,,konto widmo", następnie usunąłem oewgo ,,Piotra" i już nie miałem żadnych kont po restarcie, następnie w anti-thefcie założyłem nowe ,,konto widmo" z inną już nazwą i zostało utworzone poprawnie, ko kolejnym restarcie już było tylko moje i to, z normalną nazwą, które założyłem, nie mam już jakichś dziwnych kont z dziwnymi nazwami. Jednak co do sfc... nie rozumiem tego błędu, link zwiedziłem, ale nie rozumiem co się zepsuło, wszystko mi działa w systemie, żadnych problemów nie widzę, no i sposobu naprawienia tego (nie)problemu jest dla mnie mało zrozumiały. Widzę zapis ,,Microsoft-Windows-Printer-Drivers-Package" jednak drukować mogę bezproblemowo Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Jeśli chodzi o naprawę tego błędu, jak mówi artykuł linkowane tam narzędzie SFCFix ma obecnie wbudowaną jego naprawę, więc by się pozbyć błędów wyliczanych przez skan SFC wystarczy je uruchomić. Dostarcz wynikowy log SFCFix.txt. Odnośnik do komentarza
Barman Opublikowano 24 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Zanim przeczytałem twój post, to zastosowałem się do ,,metody 1" z tamtego poradnika i czekam aż DISM.exe /Online /Cleanup-image /Restorehealth skończy swoje działanie, potem ew. zrobię sfcfix jeżeli to nie zadziała, a jak zadziała to napiszę, wiem jak sprawdzić W każdym razie dzięki za pomoc, edytuję ten post później, gdyby wsztstko poszło ok, albo miałbym jakiś dalszy problem z naprawą tego. //EDIT: Windows Resource Protection did not find any integrity violations. Wszystko działa, problem uznaję za rozwiązany, dziękuję Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi