Skocz do zawartości

Nie da się zapisać pliku ściągniętego z sieci


Bella

Rekomendowane odpowiedzi

Witam,

 

mój problem wygląda następująco:

 

1. Żadna przeglądarka (IE, Firefox) nie może zapisać żadnego pliku na dysku (nawet tekstowego czy jpg). Niby zapisuje i ściąga, ale pliku nie ma. Przy zaznaczeniu w oknie dialogowym "otwórz" wyrzuca komunikat, że dany program "otwierający" nie może znaleźć żądanego pliku w C:\Users\user1\AppData\Local\Temp\plik. W związku z tym nic nie da się zainstalować. Nie da się również zainstalować żadnej aktualizacji, nawet programy same ściągające sobie aktualizacje, gdzieś ją "gubią".

 

2. Nie jest to chyba problem atrybutów w.wym. katalogu C:\Users...., gdyż da się "ręcznie" skopiować do tego katalogu plik, czy też utworzyć plik tekstowy w tym katalogu. Zapisują się też w nim jakieś pliki tmp. Ale ściągnąć się nie da.

 

3. Problem pojawił się przy okazji walki z trojanem Personal Shield. Po trojanie został mi katalog "Program Data" a w nim kilka podkatalogów, których nie da się usunąć. Trojana z rejestru wykopywałam ręcznie w trybie awaryjnym i być może coś usunęłam za dużo (nie działa też windowski search).

 

Ktoś pomoże?

z góry dzięki!

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
3. Problem pojawił się przy okazji walki z trojanem Personal Shield. Po trojanie został mi katalog "Program Data" a w nim kilka podkatalogów, których nie da się usunąć. Trojana z rejestru wykopywałam ręcznie w trybie awaryjnym i być może coś usunęłam za dużo (nie działa też windowski search).

 

Dokładnie mi opisz o co Ci chodzi z ProgramData (to jest folder Windows) oraz gdzie w rejestrze usuwałaś trojana.

 

 

Żadna przeglądarka (IE, Firefox) nie może zapisać żadnego pliku na dysku (nawet tekstowego czy jpg).

 

Co jest wybrane jako miejsce docelowe pobierania plików?

 

 

 

.

Odnośnik do komentarza

Trojan zainstalował się w katalogu ProgramData i utworzył tam fikcyjne foldery. Skasowałam z tego katalogu co się dało (nie wszystko, bo część zabezpieczona i ciężko mi stwierdzić, czy zabezpieczona przez system czy trojan coś namieszał). Prawdopodobnie wyleciało więcej rzeczy niż tylko trojan. Z rejestru wyrzucałam wszystko, gdzie były jakiekolwiek odnośniki do trojana (na jakiejś stronie znalazłam, jakie wpisy wirus tworzy, z tym że fakt - części z tych wpisów u mnie nie było a część wydawała mi się podejrzana (odwołująca się m.in. do plików w ProgramData) i mogło być tak, że wyrzuciłam z rejestru coś mającego wpis odwołujący się do ProgramData a nie będącego wirusem.

 

Przy pobieraniu plików system się pyta gdzie zapisać, w przypadku IE pojawia się na chwilę pasek pobierania, po czym znika a pliku nie ma w miejscu docelowym (ani w Temp); w Firefoxie otwiera się okno pobierania, program stwierdza, że plik się zapisał, natomiast kliknięcie w "pobrany" plik z okna pobierania nie działa, po kliknięciu prawym opcje "otwórz" i "otwórz folder zapisu" są nieczynne. Próbowałam wskazywać różne miejsca zapisu z pendrivem włącznie i nigdzie się nic nie zapisuje. Jakby po prostu nie mógł zapisywać w temp.

Odnośnik do komentarza

A czy jest jakikolwiek punkt Przywracania, który pochodzi z czasu infekcji, ale sprzed Twojego usuwania? Ciężko tu coś wywnioskować nie mając precyzyjnych danych co zostało usunięte. Ta operacja może mieć skutek w przymusowej reinstalacji całego Windows.

 

 

Trojan zainstalował się w katalogu ProgramData i utworzył tam fikcyjne foldery. Skasowałam z tego katalogu co się dało (nie wszystko, bo część zabezpieczona i ciężko mi stwierdzić, czy zabezpieczona przez system czy trojan coś namieszał). Prawdopodobnie wyleciało więcej rzeczy niż tylko trojan. Z rejestru wyrzucałam wszystko, gdzie były jakiekolwiek odnośniki do trojana (na jakiejś stronie znalazłam, jakie wpisy wirus tworzy, z tym że fakt - części z tych wpisów u mnie nie było a część wydawała mi się podejrzana (odwołująca się m.in. do plików w ProgramData) i mogło być tak, że wyrzuciłam z rejestru coś mającego wpis odwołujący się do ProgramData a nie będącego wirusem.

 

To nie brzmi dobrze. Te "zabezpieczone" to prawdopodobnie systemowe linki symboliczne, a przy takim założeniu to nasuwa straszne przypuszczenie, że podjęłaś próbę usuwania komponentów systemowych jak leci i tu może być tak, że cały folder C:\ProgramData\Microsoft został ogołocony (tam m.in. Windows Search trzyma dane i bazę indeksu). Pokaż skan zawartości tego folderu, co tam w ogóle jest, oraz podstawowe ścieżki w rejestrze kierujące ogólnie do ProgramData... Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne i w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\IEShims\NormalizedPaths
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Databases\Windows
dir /s /a C:\ProgramData /C

 

Klik w Skanuj.

 

 

 

.

Odnośnik do komentarza

Skan z wpisanym skryptem załączony (opcje brak+żadne). Przywrócić się nic nie da, bo w momencie infekcji, gdy wyskoczył mi ten PersonalShield i zablokował komputer, zrobiłam reset, tryb awaryjny i z komórki sprawdzałam, jak się ustrojstwa pozbyć (bo trojan blokował dostęp do internetu). Na podstawie wskazówek cięłam więc wpisy z rejestru i po nieszczęsnym katalogu ProgramData też. To, że nie da się nic zapisać, zauważyłam dużo później i też nie od razu skojarzyłam.

OTL.Txt

Odnośnik do komentarza

No cóż, niestety sprawdziły się przypuszczenia i bardziej wyczuwam jak to Twoje "usuwanie" wyglądało, reagowałaś jak pies Pawłowa na frazę "ProgramData". Zmasakrowałaś system i stan obecny ma kwalifikację na cofanie Przywracaniem systemu, czego jak twierdzisz nie jesteś w stanie wykonać, lub reinstalację.

 

1. To ledwie wybiórczy skan, który robiłam w rejestrze, a w nim nie ma ani jednego ważnego wpisu ProgramData: uszkodzone zmienne środowiskowe, uszkodzone ścieżki Windows Search i Bóg wie co jeszcze jest narąbane w rejestrze.

 

2. Folder C:\ProgramData również poważnie ogołocony. Pomijając już to, że nie ma ani jednego folderu aplikacji doinstalowanych, jego stricte systemowa zawartość bieżąca to jedynie foldery (!):

 

C:\PROGRAMDATA\Microsoft\Device Stage

C:\PROGRAMDATA\Microsoft\User Account Pictures

C:\PROGRAMDATA\Microsoft\Windows

C:\PROGRAMDATA\Microsoft\Windows NT

 

Brakuje ogromnej ilości obiektów systemowych: brak linków symbolicznych, poważnie przetrzebiony podfolder "Microsoft" m.in. skasowana cała konstrukcja Windows Search (nie ma w ogóle folderu).

 

 

To wszystko wyjaśnia problemy w systemie z zapisywaniem plików i wyszukiwaniem. Jestem też przekonana, że inne usterki są przyczajone, tylko ich po prostu jeszcze nie widzisz. Nie gwarantuję, że jestem w stanie to naprawić ręcznie (choć tego się podejmę), gdyż szkody poczynione przez Ciebie nie są tu w 100% zdowodowane, ja jedynie staram się domyślić co prowadziłaś i "wczuć w klimat" kasowania wszystkiego co związane z ProgramData. Jestem w trakcie przygotowywania instrukcji naprawczych. To nieco potrwa. Zgłoszę się jak dokładnie posprawdzam co należy.

 

 

 

 

.

Odnośnik do komentarza

Prawdopodobnie masz rację, bo wyrzucałam wszystko, co wydawało mi się, że może być wygenerowane przez trojana. I owszem - są też inne usterki, typu brak większości linków do aplikacji w starcie czy właśnie brak searcha, ale to akurat nie jest uciążliwe - search mam w TotalCommanderze, a do aplikacji wchodzę 'ręcznie' (wszystko, jak na razie, działa, poza tym nieszczęsnym zapisywaniem na dysk plików ściągniętych z sieci). Bardzo dziękuję za podjęcie się pomocy :)

Odnośnik do komentarza

Na początek rekonstrukcja w rejestrze wszystkich ścieżek ProgramData obszaru systemowego, dwie z nich zrobione na oko (sygnatury Windows Defender + raporty Windows Error Reporting to obiekty losowe, a coś tu muszę "dorobić"). Pomijam aplikacje doinstalowane, które też mogą kierować na ten folder w licznych miejscach (klucze Instalatora Windows / klucze Uninstall / klucze aplikacji per se), gdyż na razie nie mam tych danych, zresztą określone aplikacje można przeinstalować potem. Po rekonstrukcji w rejestrze dalszy etap to będzie odtworzenie na tyle wiernej zawartości folderu ProgramData, by choć systemowe składniki wróciły na miejsce.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Common Start Menu"="C:\\ProgramData\\Microsoft\\Windows\\Start Menu"
"Common Programs"="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs"
"Common Administrative Tools"="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Administrative Tools"
"Common Startup"="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup"
"OEM Links"="C:\\ProgramData\\OEM Links"
"Common Templates"="C:\\ProgramData\\Microsoft\\Windows\\Templates"
"Common AppData"="C:\\ProgramData"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Common Start Menu"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,\
  00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,\
  66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,53,00,74,\
  00,61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,00,00
"Common Programs"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,\
  00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,53,00,74,00,\
  61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,5c,00,50,00,72,00,6f,00,67,\
  00,72,00,61,00,6d,00,73,00,00,00
"Common Startup"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,\
  00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,53,00,74,00,\
  61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,5c,00,50,00,72,00,6f,00,67,\
  00,72,00,61,00,6d,00,73,00,5c,00,53,00,74,00,61,00,72,00,74,00,75,00,70,00,\
  00,00
"Common AppData"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,\
  61,00,74,00,61,00,25,00,00,00
"Common Templates"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,\
  00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,\
  66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,54,00,65,\
  00,6d,00,70,00,6c,00,61,00,74,00,65,00,73,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList]
"ProgramData"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,44,00,72,00,69,\
  00,76,00,65,00,25,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,\
  61,00,74,00,61,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fax]
"ArchiveFolder"="C:\\ProgramData\\Microsoft\\Windows NT\\MSFax"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fax\ActivityLogging]
"DBFile"="C:\\ProgramData\\Microsoft\\Windows NT\\MSFax\\ActivityLog"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlayReady]
"DataPath"="C:\\ProgramData\\Microsoft\\PlayReady"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug]
"StoreLocation"="C:\\ProgramData\\Microsoft\\Windows\\WER\\ReportQueue\\NonCritical_80070422_76a4385aa7fdcd3dc476f7ea51e8ea5565f02fd_f2a4194d"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Signature Updates]
"SignatureLocation"="C:\\ProgramData\\Microsoft\\Windows Defender\\Definition Updates\\{7E04A376-97B6-4A6C-B412-5E7A6473DB70}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search]
"DataDirectory"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,\
  61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,\
  00,74,00,5c,00,53,00,65,00,61,00,72,00,63,00,68,00,5c,00,44,00,61,00,74,00,\
  61,00,5c,00,00,00
"DefaultDataDirectory"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
  44,00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,\
  00,66,00,74,00,5c,00,53,00,65,00,61,00,72,00,63,00,68,00,5c,00,44,00,61,00,\
  74,00,61,00,5c,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Databases\Windows]
"FileName"="C:\\ProgramData\\Microsoft\\Search\\Data\\Applications\\Windows\\Windows.edb"
"LogPath"="C:\\ProgramData\\Microsoft\\Search\\Data\\Applications\\Windows\\"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\CrawlScopeManager\Windows\SystemIndex\DefaultRules\2]
"URL"="file:///C:\\ProgramData\\Microsoft\\Search\\Data\\*"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\CrawlScopeManager\Windows\SystemIndex\DefaultRules\3]
"URL"="file:///C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\CrawlScopeManager\Windows\SystemIndex\DefaultRules\9]
"URL"="file:///C:\\ProgramData\\*"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\CrawlScopeManager\Windows\SystemIndex\WorkingSetRules\2]
"URL"="file:///C:\\ProgramData\\Microsoft\\Search\\Data\\*"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\CrawlScopeManager\Windows\SystemIndex\WorkingSetRules\3]
"URL"="file:///C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\CrawlScopeManager\Windows\SystemIndex\WorkingSetRules\9]
"URL"="file:///C:\\ProgramData\\*"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex]
"LogDirectory"="C:\\ProgramData\\Microsoft\\Search\\Data\\Applications\\Windows\\Projects\\SystemIndex"
"StreamLogsDirectory"="C:\\ProgramData\\Microsoft\\Search\\Data\\Applications\\Windows\\GatherLogs"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex\Sites\LocalHost\Paths\2]
"Path"="file:///C:\\ProgramData\\Microsoft\\Search\\Data\\*"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex\Sites\LocalHost\Paths\3]
"Path"="file:///C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex\Sites\LocalHost\Paths\8]
"Path"="file:///C:\\ProgramData\\*"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex\StartPages\0]
"URL"="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gathering Manager]
"DefaultApplicationsPath"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,\
  00,44,00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,\
  6f,00,66,00,74,00,5c,00,53,00,65,00,61,00,72,00,63,00,68,00,5c,00,44,00,61,\
  00,74,00,61,00,5c,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,00,\
  6f,00,6e,00,73,00,5c,00,00,00
"TempPath"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,61,00,\
  74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,\
  00,5c,00,53,00,65,00,61,00,72,00,63,00,68,00,5c,00,44,00,61,00,74,00,61,00,\
  5c,00,54,00,65,00,6d,00,70,00,5c,00,75,00,73,00,67,00,74,00,68,00,72,00,73,\
  00,76,00,63,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gathering Manager\Applications\Windows]
"ApplicationPath"="C:\\ProgramData\\Microsoft\\Search\\Data\\Applications\\Windows\\"
"DefaultProjectPath"="C:\\ProgramData\\Microsoft\\Search\\Data\\Applications\\Windows\\Projects"
"GatherLogsPath"="C:\\ProgramData\\Microsoft\\Search\\Data\\Applications\\Windows\\GatherLogs"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gathering Manager\Applications\Windows\Projects\SystemIndex]
"WorkingDirectory"="C:\\ProgramData\\Microsoft\\Search\\Data\\Applications\\Windows\\Projects\\SystemIndex"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup]
"WER"=hex(7):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,61,00,74,00,\
  61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,\
  00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,57,00,45,00,52,00,5c,00,\
  2a,00,20,00,2f,00,73,00,00,00,00,00
"RAC"=hex(7):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,61,00,74,00,\
  61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,\
  00,52,00,41,00,43,00,5c,00,2a,00,00,00,25,00,50,00,72,00,6f,00,67,00,72,00,\
  61,00,6d,00,44,00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,\
  00,73,00,6f,00,66,00,74,00,5c,00,52,00,41,00,43,00,5c,00,53,00,74,00,61,00,\
  74,00,65,00,44,00,61,00,74,00,61,00,5c,00,2a,00,00,00,25,00,50,00,72,00,6f,\
  00,67,00,72,00,61,00,6d,00,44,00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,\
  63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,00,52,00,41,00,43,00,5c,00,4f,\
  00,75,00,74,00,62,00,6f,00,75,00,6e,00,64,00,5c,00,2a,00,00,00,25,00,50,00,\
  72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,61,00,74,00,61,00,25,00,5c,00,4d,\
  00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,00,52,00,41,00,43,00,\
  5c,00,50,00,75,00,62,00,6c,00,69,00,73,00,68,00,65,00,64,00,44,00,61,00,74,\
  00,61,00,5c,00,2a,00,00,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
  44,00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,\
  00,66,00,74,00,5c,00,52,00,41,00,43,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,\
  2a,00,00,00,00,00
"BITS_metadata"=hex(7):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,\
  6d,00,44,00,61,00,74,00,61,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,\
  00,66,00,74,00,5c,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,5c,00,44,00,\
  6f,00,77,00,6e,00,6c,00,6f,00,61,00,64,00,65,00,72,00,5c,00,2a,00,00,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot]
"RAC"=hex(7):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,61,00,74,00,\
  61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,\
  00,52,00,41,00,43,00,5c,00,2a,00,00,00,25,00,50,00,72,00,6f,00,67,00,72,00,\
  61,00,6d,00,44,00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,\
  00,73,00,6f,00,66,00,74,00,5c,00,52,00,41,00,43,00,5c,00,53,00,74,00,61,00,\
  74,00,65,00,44,00,61,00,74,00,61,00,5c,00,2a,00,00,00,25,00,50,00,72,00,6f,\
  00,67,00,72,00,61,00,6d,00,44,00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,\
  63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,00,52,00,41,00,43,00,5c,00,4f,\
  00,75,00,74,00,62,00,6f,00,75,00,6e,00,64,00,5c,00,2a,00,00,00,25,00,50,00,\
  72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,61,00,74,00,61,00,25,00,5c,00,4d,\
  00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,00,52,00,41,00,43,00,\
  5c,00,50,00,75,00,62,00,6c,00,69,00,73,00,68,00,65,00,64,00,44,00,61,00,74,\
  00,61,00,5c,00,2a,00,00,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
  44,00,61,00,74,00,61,00,25,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,\
  00,66,00,74,00,5c,00,52,00,41,00,43,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,\
  2a,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\luafv\Parameters]
"ProgramData"="C:\\ProgramData"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PEAUTH]
"DataPath"="C:\\ProgramData\\Microsoft\\MF"
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\MediaPlayer\Setup\CreatedLinks]
"Shortcut0"="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Windows Media Player.lnk"
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Windows Error Reporting\Debug]
"StoreLocation"="C:\\ProgramData\\Microsoft\\Windows\\WER\\ReportQueue\\NonCritical_80070422_76a4385aa7fdcd3dc476f7ea51e8ea5565f02fd_f2a4194d"
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\MediaPlayer\Setup\CreatedLinks]
"Shortcut0"="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Windows Media Player.lnk"
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Windows Error Reporting\Debug]
"StoreLocation"="C:\\ProgramData\\Microsoft\\Windows\\WER\\ReportQueue\\NonCritical_80070422_76a4385aa7fdcd3dc476f7ea51e8ea5565f02fd_f2a4194d"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\IEShims\NormalizedPaths]
"C:\\Users\\ios"=hex(0):
"C:\\Users\\ios\\$RECYCLE.BIN"=hex(0):
"C:\\ProgramData"=hex(0):
"C:\\ProgramData\\Microsoft\\Windows\\DRM"=hex(0):
"C:\\Users\\ios\\Favorites"=hex(0):
"C:\\Users\\ios\\AppData\\LocalLow"=hex(0):
"C:\\Users\\ios\\AppData\\Roaming\\Microsoft\\Windows\\Cookies"=hex(0):
"C:\\Users\\ios\\AppData\\Local\\Microsoft\\Windows\\History"=hex(0):
"C:\\Users\\ios\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files"=hex(0):
"C:\\Users\\ios\\AppData\\Local\\Microsoft\\Feeds"=hex(0):
"C:\\Users\\ios\\AppData\\Local\\Temp\\Low"=hex(0):
"C:\\Users\\ios\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Virtualized"=hex(0):

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG na Pulpicie > z prawokliku na plik opcja Scal

 

Zglosi się okno importowania i potwierdź. Zresetuj system.

 

2. Wykonaj przebudowę indeksu Windows Search: Panel sterowania > przestaw widok z Kategorii na Duże ikony > Opcje indeksowania > Zaawansowane > Usuń i odbuduj indeks.

 

3. Zrób nowy skan dostosowany w OTL, w celu wykazania jak daleko się posunęła autorekonstrukcja folderów w ProgramData co dopiero zdefiniowanych w rejestrze. Na podstawie tego skanu zajmę się dorabianiem brakujących obiektów na dysku. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w polu Własne opcje skanowania / skrypt wklej:

 

dir /s /a C:\ProgramData /C

 

Klik w Skanuj.

 

 

 

 

.

Odnośnik do komentarza

Zrobiłam wszystko po kolei - niemniej przy scalaniu fix.reg (i zatwierdzeniu zmian) pojawił się komunikat, że "błąd.Nie wszystkie zmiany mogą być wprowadzone, niektóre klucze są używane". Podobnie przy otwarciu regedita (z poziomu wiersza poleceń, który akurat działa:)) i próbie ręcznego importowania (wszystkie aplikacje wyłączyłam i ubiłam procesy). Na oko wygląda, że jednak coś się dopisało w rejestrze z tego pliku. Najnowszy skan w załączniku.

OTL.Txt

Odnośnik do komentarza

Nie wypowiedziałaś się czy po tej operacji ustąpiły niektóre objawy (niedziałające Windows Search oraz problem zapisywania plików na dysku). Ogołocone Menu Start nadal będzie, bo odtworzenie części systemowej wymaga większego nakładu pracy.

 

 

niemniej przy scalaniu fix.reg (i zatwierdzeniu zmian) pojawił się komunikat, że "błąd.Nie wszystkie zmiany mogą być wprowadzone, niektóre klucze są używane".

 

To wbrew pozorom może być błąd uprawnień a nie zajęcia przez proces.

 

 

Na oko wygląda, że jednak coś się dopisało w rejestrze z tego pliku.

 

Na pewno. Nowy skan folderu ProgramData wskazuje, że po tej operacji samoczynnie:

- Zregenerowała się cała struktura Windows Search

- Uzupełniły się katalogi Usługi inteligentnego transferu w tle (Network), Windows Defender, WER od raportowania błędów, Wlansvc oraz Sqm

- Pojawiły się też foldery aplikacji wtórnych (Adobe, AVG, MBAM, Tlen.pl)

 

Tylko mają dziwne daty na rok 2007. To co się nie uzupełniło, wzorując się na czystym obrazie Windows 7 Ultimate, to foldery (niektóre są puste domyślnie):

 

C:\ProgramData\Microsoft\Assistance

C:\ProgramData\Microsoft\Crypto

C:\ProgramData\Microsoft\DeviceSync

C:\ProgramData\Microsoft\DRM

C:\ProgramData\Microsoft\eHome

C:\ProgramData\Microsoft\IdentityCRL

C:\ProgramData\Microsoft\Media Player

C:\ProgramData\Microsoft\MF

C:\ProgramData\Microsoft\RAC

C:\ProgramData\Microsoft\Vault

C:\ProgramData\Microsoft\Windows\AIT

C:\ProgramData\Microsoft\Windows\DRM

C:\ProgramData\Microsoft\Windows\GameExplorer

C:\ProgramData\Microsoft\Windows\Power Efficiency Diagnostics

C:\ProgramData\Microsoft\Windows\Start Menu

C:\ProgramData\Microsoft\Windows\Ringtones

C:\ProgramData\Microsoft\Windows\Templates

C:\ProgramData\Microsoft\WwanSvc

 

Poza tym, jest tu jeszcze sprawa linków symbolicznych (obiekty "z kłódkami"), które należy odtworzyć. Nie wiem jakim cudem udało Ci się to skasować, skoro linki są zabezpieczone przed dostępem.

 

Zanim przejdę dalej do rekonstrukcji już na dysku, jednak wolę potwierdzić co się wykonało w rejestrze, a dlatego że nie uzupełnił się tu folder C:\ProgramData\Microsoft\Windows\Start Menu. Po imporcie moim REG zmiennych środowiskowych (sama góra pliku) + restart systemu folder ten powinien się zregenerować, choć jako pusty (uzupełnienie domyślnych skrótów akcesoriów etc. to osobne zagadnienie i to mam w zamiarze). Tu się tu nie stało. Zrób pełną kopię rejestru za pomocą RegBack (o ile jesteś w stanie to pobrać...), wynikowy folder zapakuj do ZIP i shostuj gdzieś przesyłając mi na PW link do paczki. Analiza tego zajmie więcej czasu.

 

 

 

 

.

Odnośnik do komentarza

Jesteś wielka!!! Zapisywanie plików cudownie powróciło po operacji z rejestrem :) Windows Search działa jakby częściowo - tzn po wpisaniu jakiejś litery wyświetla obiekty z wklepanym ciągiem ale podanie mu np. 'calc' generuje błąd, że "nie może odnaleźć search:query=calc". RegBack udało mi się ściągnąć, kłódki od plików obeszłam, nadając sobie uprawienia, daty to moja wina bo czasem przestawiam. Spakowaną kopię rejestru wrzuciłam, link posyłam na prv.

Ogromne dzięki raz jeszcze!

Odnośnik do komentarza

Sprawdziłam rejestr, ważne miejsca uzupełnione. Zaś błąd "Nie wszystkie zmiany mogą być wprowadzone, niektóre klucze są używane" to zapewne wynik nadziania się na jeden z tych:

- klucz Windows Defender, do którego importowałam SignatureLocation. Do tego klucza Administratorzy nie mają dostępu, mój import tam się nie wykonał, ale to nie było i tak konieczne. Akurat ta ścieżka kierująca do ProgramData ocalała.

- klucz odwołujący się do lokalizacji bazy danych Windows Search. Jak wyżej.

 

Toteż przechodzę do odtwarzania zawartości katalogu:

 

1. Przesyłam brakujące foldery: KLIK. Wstaw gdzie należy. Po tej akcji m.in. w Menu Start odzyskasz domyślne skróty systemu.

 

2. Rekonstrukcja linków symbolicznych. Otwórz Notatnik i wklej w nim:

 

mklink /j "C:\ProgramData\Application Data" C:\ProgramData
mklink /j C:\ProgramData\Desktop C:\Users\Public\Desktop
mklink /j C:\ProgramData\Documents C:\Users\Public\Documents
mklink /j C:\ProgramData\Favorites C:\Users\Public\Favorites
mklink /j "C:\ProgramData\Start Menu" "C:\ProgramData\Microsoft\Windows\Start Menu"
mklink /j C:\ProgramData\Templates C:\ProgramData\Microsoft\Windows\Templates
attrib +H +S /L "C:\ProgramData\Application Data"
attrib +H +S /L C:\ProgramData\Desktop
attrib +H +S /L C:\ProgramData\Documents
attrib +H +S /L C:\ProgramData\Favorites
attrib +H +S /L "C:\ProgramData\Start Menu"
attrib +H +S /L C:\ProgramData\Templates
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > z prawokliku na ten plik Uruchom jako Administrator

 

Popatrz uważnie w oknie czy wszystko wykonało się bez błędu. Jeśli coś stawi opór, podaj błąd. Jeśli wszystko się wykona, przejdź do:

 

3. Rekonstrukcja uprawnień linków symbolicznych. Pobierz SetACL, z katalogu Commandline version > x86 przekopiuj SetACL.exe do katalogu C:\Windows. Otwórz Notatnik i wklej w nim:

 

"\\?\C:\ProgramData\Application Data",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Plik zapisz pod nazwą fix.txt i skopiuj wprost na C:\. Uruchom cmd jako Administrator i wklej komendę:

 

SetACL -on "C:\ProgramData\Application Data" -ot file -actn restore -bckp C:\fix.txt

 

Akcję należy powtórzy po kolei dla każdego z linków, podstawiając pod Application Data kolejne nazwy (Desktop | Documents | Favourites | Start Menu | Templates). Finałowo w katalogu C:\ProgramData mają się pojawić obiekty z kłódkami, a ich próba otworzenia zwróci "Odmowę dostępu".

 

 

Windows Search działa jakby częściowo - tzn po wpisaniu jakiejś litery wyświetla obiekty z wklepanym ciągiem ale podanie mu np. 'calc' generuje błąd, że "nie może odnaleźć search:query=calc".

 

Po odtworzeniu zawartości ProgramData wykonaj przeładowanie Windows Search:

- Panel sterowania > Programy > Włącz lub wyłącz funkcje systemu Windows > odptaszkuj Windows Search i zresetuj system. Następnie ponownie wejdź do komponentów i włącz Windows Search + restart.

- Wykonaj po raz kolejny przebudowę indexu.

Przedstaw jak się sprawy mają, czy Windows Search zaczęło działać.

 

 

 

.

Odnośnik do komentarza

Zgłoszone usterki zdają się być naprawione, to teraz przejdź do korekty tego:

 

1. Zainstalowany przestarzały AVG. Odinstaluj, z poziomu Trybu awaryjnego zapraw AVG Remover.

 

2. Brak aktualizacji systemowych:

 

Ultimate Edition  (Version = 6.1.7100) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7100.0)

 

Windows nie posiada SP1 + IE9 (KLIK). Uruchom Windows Update, zapuść kolejne rundy i zainstaluj co należy.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...