Zmodyfikowany ekran logowania użytkownika windows 7

[atasuke]

To komputer na którym wczoraj uruchomiony został załącznik z tego maila. Z poprzedniego mojego tematu. 

Antywirus zablokował program tak się mi wydaje. Ale po tym incydencie z okna logowania do mojego profilu zniknęła ikona kwiatka oraz ręcznie muszę wpisywać nazwę użytkownika .

Nie wiem czy infekcja jest dalej aktywna.

Probowałem przywrócić windows z poprzedniego punktu przywracania ekran logowania bez zmian. 

Po wejściu np w narzedzia administracyjne i wybranie zarządzanie komputerem otrzymuje taki błąd:

 

 

Załączam logi :

 

 

Addition.txt FRST.txt Shortcut.txt

 

Edytowane 21 Września 2019 przez atasuke
Dodanie zdjęcia

[jessica]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Users\ENBUD\AppData\Roaming\Dz.exe
C:\Users\ENBUD\AppData\Roaming\HQmHUrt.exe
C:\Users\ENBUD\AppData\Roaming\nyDpKoqehjL.dll
C:\Users\ENBUD\AppData\Roaming\Rie.dll
C:\Users\ENBUD\AppData\Roaming\Microsoft\{0EA2F3D9-15C2-702C-0F22-19A4B3765D18}
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
C:\Users\EB\Desktop\gouwsmnpcaxegtjjs.txt
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

wexvUJaTD.dll

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[atasuke]

Załączam dwa  powstałe logi.

 

Fixlog.txt SearchReg.txt

[jessica]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

 

StartRegedit:
Windows Registry Editor Version 5.00

 

[HKEY_USERS\S-1-5-21-1061460565-1235049904-3688311155-1000\Software\Classes\mscfile\shell\open\command]
""=-

 

[HKEY_USERS\S-1-5-21-1061460565-1235049904-3688311155-1000\Software\Classes\mscfile\shell\open\command]
""="C:\WINDOWS\System32\rundll32.exe"
EndRegedit:
Reboot:

 

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Zrób takie samo wyszukiwanie w Rejestrze, jak ostatnio.

 

jessi

[atasuke]

Szukanie w rejestrze nic nie znalazło. I chyba tak ma być. Zarządzanie komputerem w Narzędziach Administracyjnych zaczęło działać.  

Załączam logi z wykonania.

Został jeszcze ten nieszczęsny panel logowania żebym nie musiałł za każdym razem wpisywać nazwy użytkownika żeby zalogować się do systemu.

Załączę zdjęcie jak to wygląda. 

Fixlog.txt SearchReg.txt

[jessica]

Jeśli tu nikt nie poradzi w sprawie problemu z logowaniem, to założysz temat w dziale https://www.fixitpc.pl/forum/8-windows-7/

Może tam znajdzie się ktoś wiedzący, co zrobić?

 

jessi

[atasuke]

Ok dziękuje za poświęcony czas. 

[Krzesimierz]

Spróbuj ustawić w panelu sterowania > konta użytkowników > wybierz swoje konto i zaznacz logowanie bez użycia hasła oraz wybierz awatar.

[atasuke]

nie mam takiej opcji po wybraniu swojego konta.

Udało mi się ta opcję zmienić  wpisując polecenie netplwiz.

Ale stało się coś dziwnego ikonka wróciła Ale mam drugiego użytkownika którego nawet w logach nie widać

Edytowane 21 Września 2019 przez atasuke

[Krzesimierz]

W netplwiz > zaawansowane > zawaansowane > użytkownicy  możesz wyłączyć tego drugiego użytkownika? Wklej screena.

 

Możesz też spróbować w cmd uruchomionym jako administrator, wpisać Net user "Inny uzytkownik" /active:no

[atasuke]

 

Po wpisaniu komendy nie można znaleźć użytkownika o takiej nazwie. Tutaj też takiego nie ma. Nawet usunąłem to konto EB . Mi się wydaje że któraś gałąź od rejestru jest skopana. 

[Krzesimierz]

A spróbuj Net user "Inny użytkownik" /active:no  (teraz przez ż, bo nie widzę na zdjęciu czy tam jest z czy ż)

 

W panelu sterowania w kontach użytkownika pewnie też nie ma tego konta ?

[atasuke]

opisywałem tak i tak .  Do wczoraj było wszystko ok . Ale jak mbam zgłosił trojana i mnie zablokowalo  na pulpicie . to przy następnym logowaniu musiałem już wpisywać  ręcznie. 

[Krzesimierz]

Jak najbardziej to mógł spowodować wirus, tak wskazują też tutaj https://neosmart.net/wiki/other-user/#About_8220Other_User8221 Spróbuj z tego tekstu punkt fix3 czyli naprawę systemu z nośnika.

 

 

 

[atasuke]

Robię próbę 

 punkt przywracania niepowodzenie z błędem 0x8000ffff

Nie da rady dwa punkty były i każdy z tym samym błędem. 

tego brakuje

ProfileImagePath will show the path to the user profile folder. You will usually have one for each user on the system, and one for each of the three system entries SystemProfile, LocalService, and NetworkServicetego brakuje oprócz ścieżki

[Krzesimierz]

W takim razie spróbuj naprawy przez edycję ręczną rejestru. Fix1 z powyższego linka lub tu masz rozszerzony opis https://www.wintips.org/how-to-fix-a-corrupted-profile-the-user-profile-service-failed-the-logon-solved/

 

Pamiętaj o kopii rejestru przed zabraniem się do naprawy i powodzenia.

[atasuke]

Zrobiłem jak mówiłeś.  

Ale dalej muszę wpisywać hasło i nie ma ikonki. 

Natomiast po po zmianie w rejestrze  widać że konto wróciło  do swojego pierwotnego kształtu.

Moim zdaniem musi być coś skopane w rejestrze przy wyświetlaniu tego ekranu logowania.

Widać zmianę np pojawiły się ikony folderów  z kartkami w środku czego nie było. 

w czasie podmianki ja miałem 2 pliki z rejestru
Ntuser.dat.log1, log2.

przekopiowalem obydwa.

nie mam pliku log. Jeżeli ma to znaczenie

Rozwiązaniem problem . Był banalny

Wystarczyło zrobić tak jak tutaj

https://www.sevenforums.com/general-discussion/65335-welcome-screen-other-user.html