ukash blokada komputera :(

[sw89]

Witam, mój komputer zostal zablokowany przez Weelsof, prosze o pomoc

Extras.Txt

OTL.Txt

[picasso]

Log z OTL zrobiony z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: USER-3E752D7B06 | User Name: Administrator | Logged in as Administrator.

 

Konta mają inne rejestry i foldery. Poproszę o log OTL z konta właściwego, gdyż w tu podanym nawet nie widać wpisu startowego infekcji. Ponadto, stosowałeś ComboFix (co my na ten temat: KLIK), przedstaw też i raport który utworzył wtedy C:\ComboFix.txt, by było jasne co zostało usunięte.

 

 

.

[sw89]

na komputerze mam założone dwa konta jedno moje i jedno wspólne z innymi domownikami. w trybie awaryjnym jest wystwietlane tylko konto Adminsitrator i to moje i wobec tego moje pytanie jeżeli nie wyświetla się to konto wspólne (na którym został zablkowany komputer) to czy raproty mogę przeprowadzić z mojego konta?

 

tymczasem raport z Combofix

ComboFix.txt

[picasso]

Jak mówiłam: konta mają różne rejestry i foldery. Raporty muszą pochodzić z konta na którym jest problem. Skoro są wyświetlane tylko dwa konta z trzech, na ekranie logowania spróbuj użyć z klawiatury znak dolnej strzałki w celu "przewinięcia" listy kont. Może pozycja trzeciego konta jest po prostu poza widocznością ekranową (zbyt niska rozdzielczość w Trybie awaryjnym).

 

 

 

.

[sw89]

niestety to nie przyniosło zamierzonego skutku po uzyciu strzałek nie pojawia się to konto wspólne. nie wiem czym to jest spowodowane.

[picasso]

Z poziomu konta Administrator zrób log z wyciągiem kont za pomocą sid.vbs: KLIK (punkt 3).

 

 

[sw89]

konta:

 

********************************************************************************

 

Lista kont, identyfikatorów SID i ścieżek dostępu.

 

********************************************************************************

 

 

Nazwa użytkownika : Administrator

SID : S-1-5-21-1417001333-1604221776-725345543-500

Katalog profilu : C:\Documents and Settings\Administrator

 

Nazwa użytkownika : ASPNET

SID : S-1-5-21-1417001333-1604221776-725345543-1004

Katalog profilu :

 

Nazwa użytkownika : Gość

SID : S-1-5-21-1417001333-1604221776-725345543-501

Katalog profilu :

 

Nazwa użytkownika : Mamusia

SID : S-1-5-21-1417001333-1604221776-725345543-1006

Katalog profilu : C:\Documents and Settings\Mamusia

 

Nazwa użytkownika : Pomocnik

SID : S-1-5-21-1417001333-1604221776-725345543-1000

Katalog profilu :

 

Nazwa użytkownika : Właściciel

SID : S-1-5-21-1417001333-1604221776-725345543-1003

Katalog profilu : C:\Documents and Settings\Właściciel

 

********************************************************************************

[picasso]

Rozumiem, że chodzi o konto Mamusia?

 

1. Zaloguj się na konto Administratora, żadne inne konto nie może być zalogowane.

 

2. Start > Uruchom > regedit i podmontuj rejestr tego konta, na którym jest blokada. Czyli podświel gałąź HKEY_USERS, z menu Plik > Załaduj gałąź rejestru > wskaż plik:

 

C:\Documents and Settings\Mamusia\NTUSER.DAT

 

Przypisz umowną nazwę NAPRAWA. W rejestrze pojawi się nowa gałąź robocza o tej nazwie.

 

3. W edytorze rejestru wejdź do klucza:

 

HKEY_USERS\NAPRAWA\Software\Microsoft\Windows\CurrentVersion\Run

 

Z prawokliku wyeksportuj do pliku REG i przeklej tu jego zawartość.

 

 

 

.

Edytowane 18 Września 2012 przez picasso
18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso