dkdnt Opublikowano 28 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2013 Witam Znajoma złapała znanego ostatnio wirusa wyrzucającego komunikat o przyłapaniu przez policję na gorącym uczynku;) Przy starcie systemu pojawia się fullscreen z pseudo stroną policji i nic nie można zrobić. Na stronie wyświetla się w okienku wizja z kamerki internetowej...widać swoją twarz. Maszyna laptop służbowy z win 7 64bit Konto użytkownika bez praw administratora... nie ma możliwości dostępu do admina wysyłka do serwisu może się wiązać z utratą pracy przez tą osobę(podpisana odpowiednia umowa). Brak możliwości odinstalowywania i instalowania programów nawet w trybie awaryjnym. Wykonywane próby w takiej kolejności: - Próba uruchomienia skanera comodo CCE z usb z wiersza poleceń w trybie awaryjnym ...nie może się uruchomić... udało mi się uruchomić Autoruns.exe pokazujący jakie procesy uruchamiają się przy starcie i chyba daje możliwość wyłączenia wybranych ale nie wiem które w razie czego wyłączyć. - Szukanie w rejestrze wpisu WinLogon a w nim explorer.exe + coś dodatkowego po uruchomieniu trybu awaryjnego z linią poleceń nic nie znalazłem(jestem laikiem w sprawach rejestru) ... instrukcje znalazłem na stronie Faktu. - Skan z płyty butowalnej Kaspersky Rescue Disk 10 nic nie znalazł - Próba uruchomienia Combofix z usb - komunikat: brak praw administratora - Skanowanie AVG Rescue CD wykrył: wpisy cookie oraz LockScreen.A trojan, eebdeaccdfbeedc.exe Generic34.BOKQ niestety nie udało mi się zrobić logów coś chyba zchrzaniłem - nie wiem czy prawidłowo go usunąłem spróbuję jeszcze raz z tym skanem bo nie przyniosło to rezultatów. Jeśli macie jakieś instrukcje które mogą mi pomóc to będę wdzięczny... dziewczyna ma ostrego doła bo w poniedziałek ma być na jakimś zebraniu/szkoleniu z tym laptopem. Z góry dziękuję za pomoc i pozdrawiam dkdnt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Maszyna laptop służbowy z win 7 64bit Konto użytkownika bez praw administratora... Podaj raporty stworzone w środowisku zewnętrznym przez FRST. - Szukanie w rejestrze wpisu WinLogon a w nim explorer.exe + coś dodatkowego po uruchomieniu trybu awaryjnego z linią poleceń nic nie znalazłem(jestem laikiem w sprawach rejestru) ... instrukcje znalazłem na stronie Faktu. Jest mnóstwo wariantów blokady. Wpis Winlogon to tylko jedna z możliwości. . Odnośnik do komentarza
dkdnt Opublikowano 29 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Dziękuję za odpowiedź. Trochę to trwało zanim udało mi się załatwić załatwić płytę instalacyjną win7:/ W międzyczasie próbowałem uruchomić OTLPE ale podczas uruchamiania pojawia się blue screen. poniżej log FRST: FRST.txt Odnośnik do komentarza
dkdnt Opublikowano 29 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Teraz zacząłem scan DrWebem live CD 21% i znalazł Trojan.Winlock.9360 i leci dalej Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Logi proszę wstawiaj w załączniki, nie wklejaj w poście i to jeszcze w CODE. Przeniosłam do pliku. Teraz zacząłem scan DrWebem live CD 21% i znalazł Trojan.Winlock.9360 i leci dalej Zacząłeś skan w niefortunnym momencie, tzn. podany raport do analizy i nie wiadomo czy coś tu się nie skrzyżuje podczas próby usuwania, nie można też zacząć usuwania obiektów widzianych w skanie FRST dopóki trwa skan Dr. Web. Tak więc czekam, aż ukończysz ten skan. Poza tym, nie dodałeś informacji w czym Trojan.Winlock.9360 został wykryty: konkretna ścieżka dostępu jest istotna. Podaj te dane. W międzyczasie próbowałem uruchomić OTLPE ale podczas uruchamiania pojawia się blue screen. OTLPE to stara płyta, nie posiada odpowiednich sterowników obsługi kontrolerów dysku i na nowszych platformach nie zbootuje. . Odnośnik do komentarza
dkdnt Opublikowano 29 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Logi proszę wstawiaj w załączniki, nie wklejaj w poście i to jeszcze w CODE. Przeniosłam do pliku. Ok i sorki... ...nie wiadomo czy coś tu się nie skrzyżuje podczas próby usuwania, Mogę poddać je kwarantannie lub pozostawić i wstawić log ze skanu z lokalizacją plików jak zakończy skanowanie. (???) Poza tym, nie dodałeś informacji w czym Trojan.Winlock.9360 został wykryty: konkretna ścieżka dostępu jest istotna. Podaj te dane. Ta wersja DrWeb nie posiada sterowników do pada i nie mam jak rozwinąć podglądnąć tej ścieżki ...znalazłem myszkę bezprzewodową ale wolę jej nie podłączać w trakcie skanowania, żeby się przypadkiem nic nie wysypało. Ale wyniki powinny być w logu, więc jak zakończy to to podrzucę loga... tym razem w pliku;) Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Mogę poddać je kwarantannie lub pozostawić i wstawić log ze skanu z lokalizacją plików jak zakończy skanowanie. (???) W takiej sytuacji nie podejmuj działań usuwania i zaprezentuj wynikowy raport Dr. Web. Na tej podstawie będę robić usuwanie w FRST. . Odnośnik do komentarza
dkdnt Opublikowano 29 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 OK. Jeszcze 6%... Skończyło ale mogę jedynie dać do kwarantanny... lub leczyć czy usunąć... Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Zapisz raport ze skanowania Dr. Web. Uważaj co wskazujesz jako miejsce docelowe zapisu, by raport nie został przekierowany do pamięci płyty. Ma powstać na dysku. Dodaj wyniki do kwarantanny. Po tym zrób nowy skan FRST. . Odnośnik do komentarza
dkdnt Opublikowano 29 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Niestety nie udało mi się wyrzucić raportu... Wygląda na to, że DrWeb w wersji liveCd nie posiada takiej możliwości, albo ja jej nie znalazłem:/ Porobiłem zdjęcia z ekranu i wyłączyłem na twardo kompa żeby nie usuwać. Zdjęcia powinny być pod tymi adresami: http://after-party.pl/vir1.jpg http://after-party.pl/vir2.jpg :/ mam nadzieje że to coś pomoże... Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Przejdźmy do usuwania FRST i zobaczymy co z tego wyniknie. Akcja: 1. Otwórz Notatnik i wklej w nim: C:\ProgramData\xuhevoboaparptyomwe.reg C:\ProgramData\xuhevoboaparptyomwe.bat C:\ProgramData\libnspr4.dll C:\ProgramData\qpxefhcumwctwpg C:\ProgramData\eebdeaccdfbeedc.cfg C:\ProgramData\qtrypbpmdbykowi C:\Users\Konto\Appdata\Local\Temp\ewmoytprapaobovehux.bfg Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Spróbuj zalogować się do Windows. Jeśli da radę, uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST już spod Windows (ma powstać też plik Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
dkdnt Opublikowano 29 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Niestety po zalogowaniu do windy dalej wyskakuje fullscreen policji poniżej podaję to co wyrzucił frst po zaimportowaniu fixa: http://after-party.pl/vir3.jpg ps. mogę jeszcze raz zeskanować tylko wybrane katalogi DrWebem i wrzucić wszystko do kwarantanny? Może zostawmy to na jutro... bo rano muszę do tyrki lecieć? Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Logi FRST proszę dołączaj w formie tekstowej. Podaj mi skan dostosowany. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Konto\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Folder: C:\Users\Konto\AppData\Local\Temp Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup Reg: reg query HKLM\SYSTEM\ControlSet002\Services\Winmgmt\Parameters CMD: dir /a C:\Users Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go, jak mówię w oryginalnej formie TXT w postaci załącznika forum. . Odnośnik do komentarza
dkdnt Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Powstanie plik fixlog.txt. Przedstaw go, jak mówię w oryginalnej formie TXT w postaci załącznika forum. Przepraszam ale nie widzę tu możliwości wstawienia załącznika...nie ma takiego przycisku, chyba że robi się to w inny sposób? Na tą chwilę wrzucam w takiej postaci: http://after-party.pl/Fixlog.txt Przepraszam już się zorientowałem dodania pliku nie ma w wersji odpowiedzi na dole strony(szybka odpowiedź) u góry jest. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Widzę, że konto Agata_* nie istnieje już na dysku, a tam Dr. Web wykrywał infekcję. Ale jest folder konta Administrator. Podaj mi kolejny skan. Do Notatnika wklej: Folder: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Folder: C:\Users\Administrator\AppData\Local\Temp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. Przepraszam już się zorientowałem dodania pliku nie ma w wersji odpowiedzi na dole strony(szybka odpowiedź) u góry jest. W polu szybkiej odpowiedzi klik w Więcej opcji. . Odnośnik do komentarza
dkdnt Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Coś chyba nie tak bo właśnie zalogowałem się na to konto w trybie awaryjnym...więc musi istnieć Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Skan FRST nie pokazuje takiego folderu na dysku: Katalog: C:\Users 2012-04-26 19:27 . 2012-04-26 19:27 .. 2012-12-05 20:05 Administrator 2009-07-14 06:08 All Users [C:\ProgramData] 2013-08-20 12:37 Default 2009-07-14 06:08 Default User [C:\Users\Default] To komputer podpięty pod domenę? Jeśli Agata jest zablokowana: mówisz, że do Trybu awaryjnego gładko wchodzisz na to konto, więc spod Windows zrób raporty FRST. . Odnośnik do komentarza
dkdnt Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Niestety nie wiem czy jest podpięty pod domenę... możliwe że tak bo ponoć serwis robił coś zdalnie na tym komputerze, ale bez dostępu do internetu konto też jest dostępne. Ogólnie to zauważyłem, że konto Agata_.. fizycznie jest na dysku D: nie wiem czy to ma jakieś znaczenie. Przepraszam Cię ale muszę teraz iść spać ...rano wstaję o 6:00 a mam odpowiedzialną robotę i muszę się chwilę zdrzemnąć. Jeśli mogę to odezwę się jutro? Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Ogólnie to zauważyłem, że konto Agata_.. fizycznie jest na dysku D: nie wiem czy to ma jakieś znaczenie. Skan FRST zawsze pokazuje literę C dla Windows, gdyż przemontowuje litery tymczasowo w środowisku RE. Ale nie wykluczam, że jednak ścieżka tego szczególnego konta jest na zupełnie innym dysku, bo DIR jest zbyt dziwny. Wg FRST są następujące dyski twarde: ==================== Drives ================================ Drive c: () (Fixed) (Total:100 GB) (Free:55.29 GB) NTFS Drive e: (DATA) (Fixed) (Total:67.58 GB) (Free:52.97 GB) NTFS Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS Drive y: (System Reserved) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[system with boot components (obtained from reading drive)] Skoro w folderze C:\Users nie ma konta Agaty, to nasuwa się E jako ścieżka: 1. Gdy uruchomisz FRST w WinRE (przemontuje litery), w Wierszu polecenia wklep polecenie notepad, w Notatniku z menu Plik > Otwórz > z boku klik w Komputer > wejdź na dysk oznaczony jako E i powiedz mi czy tam widać folder E:\Users z folderem konta. 2. I podaj mi skan FRST z poziomu Trybu awaryjnego z zalogowanego konta Agata. Porównam jak narzędzie widzi układ startowy w innych środowiskach. Jeśli mogę to odezwę się jutro? Tak jest. . Odnośnik do komentarza
dkdnt Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Drive c: () (Fixed) (Total:100 GB) (Free:55.29 GB) NTFS Drive e: (DATA) (Fixed) (Total:67.58 GB) (Free:52.97 GB) NTFS W trybie awaryjnym te dyski wyglądają tak: Drive c: () (Fixed) (Total:100 GB) (Free:55.29 GB) NTFS Drive D: (DATA) (Fixed) (Total:67.58 GB) (Free:52.97 GB) NTFS.......... to samo widać w logu z trybu awaryjnego CD E: na D: jest Users>Agata_... 1. Gdy uruchomisz FRST w WinRE (przemontuje litery), w Wierszu polecenia wklep polecenie notepad, w Notatniku z menu Plik > Otwórz > z boku klik w Komputer > wejdź na dysk oznaczony jako E i powiedz mi czy tam widać folder E:\Users z folderem konta. Po uruchomieniu notepada itd przypisuje literę D: do systemowej partycji a E: do partycji z Users>Agata_.. Dzieje się tak chyba dlatego, że tą linię poleceń wywołuję z płyty instalacyjnej Win7 ...tzn bootuję z CD Zastanawiam się czy jest taka potrzeba bo mogę linię poleceń uruchamiać z trybu awaryjnego lub awaryjnego z linią poleceń... wtedy może nie było by powyższych problemów? 2. I podaj mi skan FRST z poziomu Trybu awaryjnego z zalogowanego konta Agata. Porównam jak narzędzie widzi układ startowy w innych środowiskach. W załączniku log FRST z trybu awaryjnego. FRST.txt Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Po uruchomieniu notepada itd przypisuje literę D: do systemowej partycji a E: do partycji z Users>Agata_.. Dzieje się tak chyba dlatego, że tą linię poleceń wywołuję z płyty instalacyjnej Win7 ...tzn bootuję z CD W środowisku zewnętrznym liternictwo może być inne, a dlatego, że jest tu ukryta partycja rozruchowa "Zastrzeżone przez system", która otrzymuje pierwszą literę w WinRE, dlatego Windows jest widziany pod dalszą. Dodatkowo, jak mówię, FRST i tak stara się przetasować litery, by Windows był pokazany na C, więc z kolei "Zastrzeżoną" przesuwa pod Y: Drive y: (System Reserved) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[system with boot components (obtained from reading drive)] Nie w tym jednak problem. Problem jest w tym, że faktycznie Windows jest na innej partycji niż ten szczególny folder użytkownika. Konto jest zablokowane przez ten wpis startowy: HKCU\...\Run: [eebdeaccdfbeedc] - "C:\ProgramData\eebdeaccdfbeedc.exe" [x] Startup: D:\Users\Konto\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xuhevoboaparptyomwe.lnk ShortcutTarget: xuhevoboaparptyomwe.lnk -> D:\Users\Konto\AppData\Local\Temp\ewmoytprapaobovehux.bfg () Akcja: 1. Zastartuj do WinRE z płyty instalacyjnej. Uruchom Wiersz polecenia, wklep notepad, by upewnić się, że partycja z Windows to D:, a z folderem konta Agata to E:. Następnie wklep następujące komendy: rd /s /q E:\Users\Konto\AppData\Local\Temp del /q "E:\Users\Konto\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xuhevoboaparptyomwe.lnk" del /q D:\ProgramData\xuhevoboaparptyomwe.bat del /q D:\ProgramData\xuhevoboaparptyomwe.reg 2. W Wierszu polecenia wklep regedit. Podświetl gałąź HKEY_USERS. Z menu Plik > Załaduj gałąź rejestru i wskaż plik E:\Users\Konto\NTUSER.DAT. Przy pytaniu o nazwę roboczą wklep byle co, np. AGATA. Pojawi się klucz AGATA, wejdź tu: HKEY_USERS\AGATA\Software\Microsoft\Windows\CurrentVersion\Run Ze środka skasuj eebdeaccdfbeedc. Po kasacji podświetl HKEY_USERS i z menu Plik > Zwolnij gałąź rejestru. 3. Spróbuj zastartować do Windows w Trybie normalnym. Jeśli się uda, zrób nowy skan FRST (ma powstać też plik Additin). . Odnośnik do komentarza
dkdnt Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Ad1.1 Uruchom Wiersz polecenia, wklep notepad, by upewnić się, że partycja z Windows to D:, a z folderem konta Agata to E:. Te elementy są pod wskazanymi literami ale poniższych ścieżek nie ma...tzn nie widać katalogu "AppData" na partycji E: i nie widać katalogu "ProgramData" Ad1.2 rd /s /q E:\Users\Konto\AppData\Local\Temp del /q "E:\Users\Konto\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xuhevoboaparptyomwe.lnk" Daje komunikat: System nie może odnaleźć określonej ścieżki Ad1.3 del /q D:\ProgramData\xuhevoboaparptyomwe.bat del /q D:\ProgramData\xuhevoboaparptyomwe.reg Nie wiem czy się wykonały - nie dały żadnego komunikat ani o błędzie ani o pozytywnej operacji 2. W Wierszu polecenia wklep regedit. Podświetl gałąź HKEY_USERS. Z menu Plik > Załaduj gałąź rejestru i wskaż plik E:\Users\Konto\NTUSER.DAT. Przy pytaniu o nazwę roboczą wklep byle co, np. AGATA. Pojawi się klucz AGATA, wejdź tu:... Nie widać ścieżki a konkretnie pliku NTUSER.DAT więc nie wykonałem polecenia Ad.3 dalej ten sam fullscreen DODATKOWO: Po uruchomieniu systemu w trybie awaryjnym z linią poleceń(z tego co czytałem w necie niby ten vir nie ładuje się w tym trybie) i w notepad wyszukanie tych ścieżek nie stanowi problemu ale są to katalogi ukryte... chodzi o "AppData" na partycji C: i "ProgramData" na D: Więc może wykonać te wszystkie operacjie z wiersza poleceń w trybie awaryjnym? Odnośnik do komentarza
dkdnt Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Wykonałem te polecenia z wiersza poleceń trybu awaryjnego z uwzględnieniem zmiany liter partycji Ad1 rd /s /q E:\Users\Konto\AppData\Local\Temp del /q "E:\Users\Konto\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xuhevoboaparptyomwe.lnk" del /q D:\ProgramData\xuhevoboaparptyomwe.bat del /q D:\ProgramData\xuhevoboaparptyomwe.reg Wszystko ładnie usunęło Ad2 W Wierszu polecenia wklep regedit. Podświetl gałąź HKEY_USERS. Z menu Plik > Załaduj gałąź rejestru i wskaż plik E:\Users\Konto\NTUSER.DAT. Niema w tej lokalizacji tego pliku, więc nie wykonałem tej operacji ale znalazłem podobne pliki w lokalizacji: C:\Użytkownicy\Default\ Są to takie pliki: NTUSER.DAT.LOG NTUSER.DAT.LOG1 NTUSER.DAT.LOG2 i nie wiem co z tym zrobić? Uruchomiłem z cmd jeszcze raz FRST64 ale log jest pusty tylko linia End Of Log Na razie mam obawę przed uruchomieniem win7 w trybie normalnym bez wykonania zmian w rejestrze... można to zrobić? Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2013 Daje komunikat: System nie może odnaleźć określonej ścieżki Nie mam już danych, ani czy liternictwo na pewno pozostało zmienne, ani czy komendy wklepane bez błędu. Nie wiem czy się wykonały - nie dały żadnego komunikat ani o błędzie ani o pozytywnej operacji Brak komunikatu i automatyczne przejście do nowej linii oznacza pomyślne wykonanie zadania. Te elementy są pod wskazanymi literami ale poniższych ścieżek nie ma...tzn nie widać katalogu "AppData" na partycji E: i nie widać katalogu "ProgramData" Jeśli sprawdzałeś to via "Notatnik" uruchomiony z linii komend, to metoda jest do niczego, bo nie pokazuje ukrytych. Metodę z Notatnikiem stosuję tylko do pobrania liter, usuwanie tą metodą ma bardzo krótkie nogi (nie widać wielu rzeczy). Po uruchomieniu systemu w trybie awaryjnym z linią poleceń(z tego co czytałem w necie niby ten vir nie ładuje się w tym trybie) i w notepad wyszukanie tych ścieżek nie stanowi problemu ale są to katalogi ukryte... chodzi o "AppData" na partycji C: i "ProgramData" na D: I znowu notepad. To nie jest dobra metoda w tym przypadku. Nie widać ścieżki a konkretnie pliku NTUSER.DAT więc nie wykonałem polecenia Pytanie: czy Ty przypadkiem nie próbowałeś szukać pliku ... przez Notatnik? To oczywiście też odpada. Miałeś uruchomić regedit i wskazać plik. Niema w tej lokalizacji tego pliku, więc nie wykonałem tej operacji ale znalazłem podobne pliki w lokalizacji: C:\Użytkownicy\Default\ Są to takie pliki: NTUSER.DAT.LOG NTUSER.DAT.LOG1 NTUSER.DAT.LOG2 Plik powinien być inaczej w ogóle byś nie zalogował konta Agata. Pewnie po prostu nie widzisz pliku, bo nie masz wyłączonej opcji Ukrywaj chronione pliki systemu operacyjnego. A te co wyliczasz to zupełnie inny obiekt, C:\Users\Default (Użytkownicy to fałszywa nazwa nakładkowo wyświetlania plikiem desktop.ini) to matryca zakładania nowych kont. I ta operacja jest awykonalna z poziomu Trybu awaryjnego. Nie można zamontować rejestru, który jest już załadowany. No to sprawdź czy da się usunąć to w już załadowanym rejestrze. Uruchom regedit i wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Sprawdź czy da się skasować eebdeaccdfbeedc Uruchomiłem z cmd jeszcze raz FRST64 ale log jest pusty tylko linia End Of Log Czy mówisz o CMD Trybu awaryjnego czy CMD WinRE? . Odnośnik do komentarza
dkdnt Opublikowano 31 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2013 I ta operacja jest awykonalna z poziomu Trybu awaryjnego. Nie można zamontować rejestru, który jest już załadowany. No to sprawdź czy da się usunąć to w już załadowanym rejestrze. Uruchom regedit i wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Sprawdź czy da się skasować eebdeaccdfbeedc Dało się usunąć ...niema już tego wpisu. Uruchomiłem z cmd jeszcze raz FRST64 ale log jest pusty tylko linia End Of Log Czy mówisz o CMD Trybu awaryjnego czy CMD WinRE? mówię o cmd trybu awaryjnego Odnośnik do komentarza
Rekomendowane odpowiedzi