Zniknęło konto drugiego użytkownika

[EDgar8]

https://imgur.com/a/53jvs

 

 

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne, bez związku z problemem.

 

 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3268135465-591020038-312475966-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
S4 dbupdate; "C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe" /svc [X]
S4 dbupdatem; "C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe" /medsvc [X]
S4 HuaweiHiSuiteService64.exe; "C:\Program Files (x86)\HiSuite\HandSetService\HuaweiHiSuiteService64.exe" -/service [X]
C:\Users\Szymon\Desktop\Angry Birds — skrót.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

 

 

Administrator (S-1-5-21-3268135465-591020038-312475966-500 - Administrator - Disabled) => C:\Users\Administrator
Asus (S-1-5-21-3268135465-591020038-312475966-1000 - Administrator - Enabled) => C:\Users\Asus
Gość (S-1-5-21-3268135465-591020038-312475966-501 - Limited - Disabled)
Szymon (S-1-5-21-3268135465-591020038-312475966-1015 - Limited - Enabled) => C:\Users\Szymon

Nie widzę konta "Inny użytkownik", Administrator i Gość są wyłączone, ale konto Gość w tej chwili jest nieistotne.. 

Włącz wszystkie konta, oprócz Gościa i zobacz efekty. Jeśli nadal będzie problem wykonaj poniższe kroki.

 

Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts /s

 

Następnie kliknij w Look. Momentalnie wyskoczy okno z raportem - dostarcz go.

[EDgar8]

Zniknęło konto Szymon.

Po kliknięciu na Inny użytkownik i tam wpisaniu loginu i hasła Szymon można się dostać na to konto.
Kiedy jest się na tym koncie to jak chce się przełączyć to nie ma znowuż Asus.

 

Fixlog.txt

[EDgar8]

Obecnie usunąłem konto Szymon i mam zamiar utworzyć je od nowa (sprawa była dość pilna)

 

SystemLook.txt

[Groszexxx]

Czesc Edgar. 

Mogles najpierw skopiowac najwazniejsze pliki z konta starego uzytkownika, nastepnie utworzyc nowe - i to nowe podmienic starymi plikami. Tak na poczatek. 

Sprobuj odzyskac to stare konto np. przez przywracanie systemu. 

[EDgar8]

Cześć, nie liczą się pliki bo to było kilka ikonek na pulpicie i zapisów gier w appdata.

Chodzi o to dlaczego (nadal) pokazuje Inny użytkownik zamiatast konta.

[Groszexxx]

Tak naprawdę chodziło mi o pliki: ntuser.dat ntuser.log1 ntuser.log2 i ntuser.ini 

 

Tak więc spod innego konta (drugiego konta) załóż trzecie konto i pliki tego trzeciego konta podmień tymi z tego problemowego. Wszystko spod poziomu konta nr 2.   

[EDgar8]

Tylko dlaczego każde nowe konto jest jako "inne konto" to co pisaleś to pomoże?

 

To jest podobny kłopot do:

https://www.fixitpc.pl/topic/24887-dziwne-zablokowane-konto-inny-użytkownik/

https://forum.pcformat.pl/Windows-7-Przymusowe-wpisywanie-nazwy-uzytkownika-t?page=2

[Groszexxx]

Nie. W takim razie musisz zastosować się do porady Picasso w poście drugim. Zerknę co tam jest, bo najpewniej problem jest podobny. 

[EDgar8]

OK, czyli mogę bezpiecznie uruchomić ten skrypt?

[Groszexxx]

No tak, przecież tak napisałem. 

[EDgar8]

I co dalej?

 

Fixlog.txt

[Groszexxx]

Cześć. 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

cmd: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" c:\klucz.reg
cmd: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

I powiedz czy to pomoże. Widzę jeszcze jakieś dziwne klucze odnosnie profili uzytkownika, ale nimi zajmiemy się jak nie pomoże ta procedura. Tyle na początek. Czy Ty widzisz konto: Asus-Komputer.Asus-Komputer ? 

[EDgar8]

Nie, widzę tylko Asus i Inny użytkownik jak na zdjeciach.
Wcześniej Asus i Szymon.

^przy logowaniu

 

https://prnt.sc/fpmx00

 

[Groszexxx]

Gdzie fixlog? Czy konto "Inny uzytkownik" dalej widnieje? Wykonales w ogole skrypt? Potem sie dziwisz, ze niechętnie Ci ludzie odpisują, a nie stosujesz się do zaleceń. 

[EDgar8]

Fixlist cały czas się wykonuje

 

https://prnt.sc/fpo2h8

Natomiast powstał fixlog

 

Fixlog.txt

[Groszexxx]

A uruchom cmd jako admin i wklej

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts"

 

Na jakim profilu jesteś zalogowany? Być może tę operację trzeba przeprowadzić spod WinRE.

[EDgar8]

Nadal jest "inny użytkownik" zamiast Szymon

[picasso]

Zgłoszony problem z Fiksem FRST na PW, więc komentuję (nie sprawdzałam reszty tematu):

 

FRST wisiał na nieskończoności przy tym:

 

cmd: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts"

 

... bo nie został dodany przełącznik cichy i cmd/reg czekało na potwierdzenie akcji. W FRST powinno być użyte:

 

cmd: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" /f

 

W takiej sytuacji należało zabić proces FRST via Menedżer zadań i uruchomić poprawiony skrypt ponownie.

[picasso]

Przyjrzałam się na szybko wynikom. SpecialAccounts nie powinno mieć tu nic do rzeczy (klucz był pusty). Natomiast odczyt z ProfileList wykazuje kupę kluczy nie powiązanych z istniejącymi kontami (i to jeden z powodów dla "Innego użytkownika"):

W FRST były wykryte następujące konta:

 

Administrator (S-1-5-21-3268135465-591020038-312475966-500 - Administrator - Disabled) => C:\Users\Administrator
Asus (S-1-5-21-3268135465-591020038-312475966-1000 - Administrator - Enabled) => C:\Users\Asus
Gość (S-1-5-21-3268135465-591020038-312475966-501 - Limited - Disabled)
Szymon (S-1-5-21-3268135465-591020038-312475966-1015 - Limited - Enabled) => C:\Users\Szymon

Odczyt z klucza pokazał jakieś dodatkowe fantomy punktujące nieistniejące SID:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1004
    Flags    REG_DWORD    0x0
    State    REG_DWORD    0x304
    Sid    REG_BINARY    01050000000000051500000029CACBC206403A233E01A012EC030000
    ProfileLoadTimeLow    REG_DWORD    0x0
    ProfileLoadTimeHigh    REG_DWORD    0x0
    RefCount    REG_DWORD    0x0
    RunLogonScriptSync    REG_DWORD    0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1007
    Flags    REG_DWORD    0x0
    State    REG_DWORD    0x100
    Sid    REG_BINARY    01050000000000051500000029CACBC206403A233E01A012EF030000
    ProfileLoadTimeLow    REG_DWORD    0x0
    ProfileLoadTimeHigh    REG_DWORD    0x0
    RefCount    REG_DWORD    0x0
    RunLogonScriptSync    REG_DWORD    0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1008
    Flags    REG_DWORD    0x0
    State    REG_DWORD    0x0
    Sid    REG_BINARY    01050000000000051500000029CACBC206403A233E01A012F0030000
    ProfileLoadTimeLow    REG_DWORD    0x0
    ProfileLoadTimeHigh    REG_DWORD    0x0
    RefCount    REG_DWORD    0x0
    RunLogonScriptSync    REG_DWORD    0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1010
    Flags    REG_DWORD    0x0
    State    REG_DWORD    0x204
    Sid    REG_BINARY    01050000000000051500000029CACBC206403A233E01A012F2030000
    ProfileLoadTimeLow    REG_DWORD    0x0
    ProfileLoadTimeHigh    REG_DWORD    0x0
    RefCount    REG_DWORD    0x0
    RunLogonScriptSync    REG_DWORD    0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1011
    ProfileImagePath    REG_EXPAND_SZ    C:\Users\Asus-Komputer.Asus-Komputer
    Flags    REG_DWORD    0x0
    State    REG_DWORD    0x204
    Sid    REG_BINARY    01050000000000051500000029CACBC206403A233E01A012F3030000
    ProfileLoadTimeLow    REG_DWORD    0x0
    ProfileLoadTimeHigh    REG_DWORD    0x0
    RefCount    REG_DWORD    0x0
    RunLogonScriptSync    REG_DWORD    0x0 

 

Mówisz, że manipulowałeś z kontami (usunięty Szymon i próba zakładania nowych kont), więc układ widziany wyżej jest nieaktualny. Poproszę o świeży log FRST Addition pokazujący aktualnie wykryte konta oraz wyniki skryptu FRST zawierającego tę komendę:

 

Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s

 

[Groszexxx]

Widziałem te fantomy i planowałem je usunąć, gdy usunie najpierw ten klucz SpecialAccounts, jako, ze nie spotkałem się nigdy z takim przypadkiem, myslalem, ze samo wystąpienie tego klucza powoduje, ze pojawia się  "inny uzytkownik". 

A o przełączniku to fakt, zapomniałem.

[EDgar8]

Załączam logi

 

Addition.txt

Fixlog.txt

[picasso]

Tylko Addition był mi potrzebny, resztę logów FRST usuwam (FRST.txt zresztą uszkodzony).

 

1. Załaduj skrypt do FRST o zawartości:

 

Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\Asus\Desktop\profilelist.reg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1004
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1007
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1008
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1010
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1011

 

Przedstaw wynikowy Fixlog.txt.

 

2. Zresetuj komputer i sprawdź co widać na ekranie logowania. Wg odczytu obecnie konto Szymon ma nowy SID, ale nie ma powiązanego folderu na dysku i nie jest zarejestrowane w kluczu ProfileList (wygląda na konto nigdy niezainicjowane/niezalogowane).

[EDgar8]

Już sprawdzam

 

Zadziałało, dziękuję.

Czy potrzebny jest jeszcze skan FRST?

 

Fixlog.txt

[picasso]

Problem naprawiony, nie są potrzebne nowe logi FRST.

 

Usuń FRST i jego raporty, katalog C:\FRST oraz plik profilelist.reg z Pulpitu (to była asekuracyjna kopia zapasowa).