System działa - po instalacji jakiegokolwiek antywirusa ciągły reset

[Maksio]

Witam,

Dostałem do naprawy komputer znajomych - poszedł dym, komputer się nie uruchamia. Włożyłem stary zasilacz, który miałem pod ręką - Codegen 300W (znam opinie na temat tego zasilacza, ale działa).

 

Krótko:

komputer się uruchomił, ale po 10-30 sekundach następował reset - i tak za każdym razem

 

w trybie awaryjnym tego nie było, więc pomyślałem, że wina jakiegoś sterownika/programu - wywaliłem mks anty wir, inne zbędne programy itd. i poprzez msconfig powyłączałem część programów startujących z systemem

 

komputer się uruchomił i działał, więc ściągnąłem:

1. malwarebytes anti-malware + skan + czyszczenie

2. Adwcleaner + skan + czyszczenie
3. wwdc + zamknięcie wszystkich portów

4. Ccleaner + czyszczenie + czyszczenie rejestru 

5. hijackthis + skan + wywalenie kilku wpisów przy pomocy http://www.hijackthis.de/(no-name oraz jeden niby złośliwy wpis)

5. brakowało jednego sterownika w managerze zadań, znalazłem, że chodzi o sterownik chipsetu intela, dograłem i wykrzyknik zniknął

 

I od tej pory komputer działa dobrze, odpaliłem grę starego typu, call of duty chyba 1, ale wszystko działa, internet przegląda się normalnie itd., ALE:

 

próba instalacji avast'a kończy się resetem przy końcu instalacji i ciągłymi resetami po uruchomieniu komputera - wywalam avasta i wszystko wraca do normalności

 

zainstalowałem AVG - przy końcu instalacji restart i ciągłe restarty po ponownym uruchomieniu komputera.

 

Nie wiem czy to zasilacz, czy coś w tym komputerze siedzi - proszę o sprawdzenie logów bo coś mi tu nie gra....

 

gmer_log.txt

FRST.txt

OTL.Txt

Shortcut.txt

Addition.txt

[picasso]

5. hijackthis + skan + wywalenie kilku wpisów przy pomocy http://www.hijackthis.de/(no-nameoraz jeden niby złośliwy wpis)

Te analizery są mało pomocne i jeszcze można sobie nimi zaszkodzić. A HijackThis to martwy program, nie skanuje nawet połowy tego co obecnie jest wymagane.

 

 

próba instalacji avast'a kończy się resetem przy końcu instalacji i ciągłymi resetami po uruchomieniu komputera - wywalam avasta i wszystko wraca do normalności

zainstalowałem AVG - przy końcu instalacji restart i ciągłe restarty po ponownym uruchomieniu komputera.

Nie wiem czy to zasilacz, czy coś w tym komputerze siedzi - proszę o sprawdzenie logów bo coś mi tu nie gra....

Siedzi, siedzi. System jest zgwałcony przez sterowniki adware grupy Sambreel - ładuje się aż 19 szkodliwych sterowników. I zapewne to te właśnie babole tworzą konflikt ze sterownikami oprogramowania zabezpieczającego. Prócz tego są i inne obiekty adware oraz przeterminowane dziurawe aplikacje i definitywnie jest tu jeszcze co czyścić.

 

Do wdrożenia następujące akcje:

 

1. Deinstalacje:

 

- Za pomocą Dodaj/Usuń odinstaluj: Adobe Flash Player 10 Plugin, Adobe Flash Player 11 ActiveX, Adobe Reader 8 - Polish, Adobe Shockwave Player 11.5, Java 2 Runtime Environment, SE v1.4.0_03. W przypadku problemów z deinstalacją Java zastosuj JavaRA (program nadal można pobrać): KLIK.

- Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > po kolei zaznacz na liście dwa ukryte odpadkowe wpisy AVG 2015 oraz Google Toolbar for Internet Explorer > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {2f1ed632-8cc1-4969-916a-211c6b0412c1}t; C:\WINDOWS\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}t.sys [55832 2014-10-13] (StdLib)
R1 {397e3208-0393-47ca-9748-370b27e14021}t; C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys [55832 2014-10-18] (StdLib)
R1 {4059f7a9-d023-4137-a1c8-01f0f6fe6110}t; C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys [55832 2014-10-19] (StdLib)
R1 {4b6b588f-fe6d-43d5-96e6-6583434569cd}t; C:\WINDOWS\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}t.sys [55832 2014-10-15] (StdLib)
R1 {55825785-0831-456c-8958-bd781398505d}t; C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys [55872 2014-11-26] (StdLib)
R1 {5eeb83d0-96ea-4249-942c-beead6847053}t; C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys [55064 2014-09-12] (StdLib)
R1 {651e31c1-db10-434b-a173-a9b0e6a15ce0}t; C:\WINDOWS\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}t.sys [55832 2014-10-20] (StdLib)
R1 {71d5e150-c72b-4e5b-a773-e49420251642}t; C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys [55832 2014-10-22] (StdLib)
R1 {807699ff-a8ae-4ba9-8010-fe7f44646ff9}t; C:\WINDOWS\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}t.sys [55832 2014-10-17] (StdLib)
R1 {98a55059-ac5d-40d9-81ae-6bff294c9b89}t; C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys [55832 2014-10-19] (StdLib)
R1 {b52a596e-357b-4007-9a88-5592a17b1be9}t; C:\WINDOWS\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}t.sys [55832 2014-10-12] (StdLib)
R1 {bf167862-9559-4b38-94c6-2e5edae3632c}t; C:\WINDOWS\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}t.sys [55832 2014-10-11] (StdLib)
R1 {c9fb27aa-f512-464b-babd-d42f0443465f}t; C:\WINDOWS\System32\drivers\{c9fb27aa-f512-464b-babd-d42f0443465f}t.sys [55832 2014-10-14] (StdLib)
R1 {e168bb47-74a7-440b-bf7d-d17153007d6b}t; C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys [55832 2014-10-11] (StdLib)
R1 {efa349b9-003c-4506-9e55-957c1cff853c}t; C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys [55832 2014-10-23] (StdLib)
R1 {f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t; C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys [55832 2014-10-15] (StdLib)
R1 {fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t; C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys [55832 2014-10-11] (StdLib)
R1 {fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t; C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys [55832 2014-10-17] (StdLib)
R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t; C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys [55832 2014-10-13] (StdLib)
S4 MaintainerSvc7.71.837357; C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe [123680 2014-12-02] ()
S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [X]
Winlogon\Notify\WgaLogon: WgaLogon.dll [X]
HKLM\...\Run: [WOOTASKBARICON] => C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\WACICI~1\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE 
HKU\S-1-5-21-1004336348-1604221776-682003330-1003\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR HKU\S-1-5-21-1004336348-1604221776-682003330-1003\SOFTWARE\Policies\Google: Policy restriction 
CHR HKLM\...\Chrome\Extension: [dopemniaeocfenlpnoannaefnhfcjcgi] - C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\searchswitch.crx [2014-03-25]
CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-25]
HKU\S-1-5-21-1004336348-1604221776-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015&q={searchTerms}
HKU\S-1-5-21-1004336348-1604221776-682003330-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://rts.dsrlte.com?affID=na
http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
URLSearchHook: [s-1-5-21-1004336348-1604221776-682003330-1003] ATTENTION ==> Default URLSearchHook is missing.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" 
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015
SearchScopes: HKLM -> DefaultScope value is missing.
SearchScopes: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.bing.com/search?FORM=UP97DF&PC=UP97&q={searchTerms}&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> {BAE38FD2-12CB-43E1-9AF9-51848C943CA4} URL = http://www.mp3zwrzuta.pl/searchp,,{searchTerms},,1.html
Toolbar: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab
AV: mks_vir 2k7 (Disabled - Up to date) {163C25B5-5987-428D-9426-9C29A96444AB}
FW: Firewall mks_vir 2k7 (Disabled) {69825521-8CA8-4D3F-9F7B-50B5BBE2389F}
C:\$AVG
C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\AVG2015
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10
C:\Documents and Settings\All Users\Dane aplikacji\IePluginService
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\All Users\Dane aplikacji\Norton
C:\Documents and Settings\All Users\Dane aplikacji\OpenFM
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Dane aplikacji\WPM
C:\Documents and Settings\All Users\Menu Start\Programy\AVG
C:\Documents and Settings\właściciel\sqlite3.dll
C:\Documents and Settings\właściciel\Dane aplikacji\.minecraft
C:\Documents and Settings\właściciel\Dane aplikacji\.minecraftzyczu
C:\Documents and Settings\właściciel\Dane aplikacji\.zyczujdk7
C:\Documents and Settings\właściciel\Dane aplikacji\337Games
C:\Documents and Settings\właściciel\Dane aplikacji\aartemis
C:\Documents and Settings\właściciel\Dane aplikacji\AVG2015
C:\Documents and Settings\właściciel\Dane aplikacji\Gadu-Gadu
C:\Documents and Settings\właściciel\Dane aplikacji\Gadu-Gadu 10
C:\Documents and Settings\właściciel\Dane aplikacji\OpenFM
C:\Documents and Settings\właściciel\Dane aplikacji\Pay-By-Ads
C:\Documents and Settings\właściciel\Dane aplikacji\RHEng
C:\Documents and Settings\właściciel\Dane aplikacji\rmi
C:\Documents and Settings\właściciel\Dane aplikacji\SupTab
C:\Documents and Settings\właściciel\Dane aplikacji\TuneUp Software
C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Avg2015
C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\MFAData
C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\mks_vir_2007
C:\Program Files\Norton Security Scan
C:\Program Files\SupTab
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}t.sys
C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys
C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys
C:\WINDOWS\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}t.sys
C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys
C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys
C:\WINDOWS\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}t.sys
C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys
C:\WINDOWS\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}t.sys
C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys
C:\WINDOWS\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}t.sys
C:\WINDOWS\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}t.sys
C:\WINDOWS\System32\drivers\{c9fb27aa-f512-464b-babd-d42f0443465f}t.sys
C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys
C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys
C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys
C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys
C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys
C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI" /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{71A938EF-9C3E-43B5-B7D9-809AAD678B33}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AC60A74B-C508-40C5-9778-59C30DA9480B}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[Maksio]

Witam,

 

Dzięki za szybką odpowiedź i sprawdzenie - tak czułem, że w tym przypadku znajomość programów do skanowania nie wystarczy... co do hijackthis - mam świadomość, ale do "chałupnicznych" napraw komputerów znajomych wystarczał

 

Wszystkie kroki wykonane - problemów nie było. Załączam nowe logi.

 

Proszę o info, czy mogę spróbować zainstalować antywirusa - i prośba, co wybrać do P4 3,0ghz 1gb ram ? avast, avg, panda cloud ?

 

Jak zwykle chylę czoła przed wiedzą i umiejętnościami

FRST.txt

Fixlog.txt

[picasso]

Zadania wykonane zgodnie z planem. Przed próbą instalacji antywirusa (proponuję np. Avast), jeszcze do wykonania dodatkowe akcje:

 

1. Był uruchamiany GMER, toteż upewnij się, że nie został obniżony transfer dysku z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

 

3. Otwórz Notatik i wklej w nim:

 

ListPermissions: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
Unlock: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
URLSearchHook: [s-1-5-21-1004336348-1604221776-682003330-1003] ATTENTION ==> Default URLSearchHook is missing.
RemoveDirectory: C:\MATS
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

 

.

[Maksio]

Niestety musiałem już oddać komputer, przeprowadziłem działania z wątku "kroki finalizujące", użyłem dwóch narzędzi do czyszczenia + wgrałem avasta (działał bez problemu) + zainstalowałem wszystkie najnowsze wersje adobe od nowa + java itd.

 

Komputer działał bez zarzutu. 

 

Przepraszam, że nie domknąłem tego jak powinienem, ale mimo wszystko dziękuję - obyło się bez formatowania.

[marcin878787]

Picasso skąd bierzesz wpisy usuwające rejestr (te Reg: reg delete) Pozostałe wklejasz z logów a tych nie mogłem tam znaleźć. 

Pytam ponieważ się tym interesuje.

[picasso]

Maksio

 

Nie został temat zakończony (zdefektowany wpis URLSearchHooks + AdwCleaner), ale skoro komputera już nie ma, to temat zamykam.

 

 

marcin878787

 

Przecież te wpisy są też wzięte z logów - prawie wszystkie dane masz w obu raportach FRST (wpisy mountpoints2 + startupreg + MozillaPlugins + Mozilla HKLM) i OTL (wpisy SearchScopes), a dodatkowe wpisy Mozilla na zasadzie dośpiewania sobie (usuwanie komponentów które tworzy instalacja np. Firefox). Miej na uwadze, że formatowanie wpisów FRST to tylko formatowanie które sobie wymyślił autor. Jeśli ma być usuwany określony wpis, który nie może być usunięty za pomocą FRST na zasadzie "przeklejania z raportu" lub jest przefiltrowany (widać go tylko po wyłączeniu Whitelist) lub też FRST usuwa go inaczej niż ja to chcę zrobić (tylko podklucz, a ja widzę że można usunąć cały klucz nadrzędny), wtedy bierze się prawdziwe lokalizacje w rejestrze systemowym (a nie te przetworzone narzędziami w systemie skrótów) i usuwa dyrektywą Reg: (lub bezpośredni import do rejestru z pliku REG). W dyrektywie Reg: jest używane systemowe narzędzie reg i jego składnia, a nie składnia FRST.

 

W podsumowaniu: logi to tylko pomoc, by szybko pobrać określone (nie wszystkie) dane, ale trzeba umieć podstawy, czyli oryginalne lokalizacje.