Skocz do zawartości
atasuke

Zmodyfikowany ekran logowania użytkownika windows 7

Rekomendowane odpowiedzi

To komputer na którym wczoraj uruchomiony został załącznik z tego maila. Z poprzedniego mojego tematu. 

Antywirus zablokował program tak się mi wydaje. Ale po tym incydencie z okna logowania do mojego profilu zniknęła ikona kwiatka oraz ręcznie muszę wpisywać nazwę użytkownika .

Nie wiem czy infekcja jest dalej aktywna.

Probowałem przywrócić windows z poprzedniego punktu przywracania ekran logowania bez zmian. 

Po wejściu np w narzedzia administracyjne i wybranie zarządzanie komputerem otrzymuje taki błąd:

error.png.9e4231e5b6ea28809208fd06def1640c.png

 

 

Załączam logi :

 

 

Addition.txt FRST.txt Shortcut.txt

 

Edytowane przez atasuke
Dodanie zdjęcia

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Users\ENBUD\AppData\Roaming\Dz.exe
C:\Users\ENBUD\AppData\Roaming\HQmHUrt.exe
C:\Users\ENBUD\AppData\Roaming\nyDpKoqehjL.dll
C:\Users\ENBUD\AppData\Roaming\Rie.dll
C:\Users\ENBUD\AppData\Roaming\Microsoft\{0EA2F3D9-15C2-702C-0F22-19A4B3765D18}
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
C:\Users\EB\Desktop\gouwsmnpcaxegtjjs.txt
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

wexvUJaTD.dll


kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

 

StartRegedit:
Windows Registry Editor Version 5.00

 

[HKEY_USERS\S-1-5-21-1061460565-1235049904-3688311155-1000\Software\Classes\mscfile\shell\open\command]
""=-

 

[HKEY_USERS\S-1-5-21-1061460565-1235049904-3688311155-1000\Software\Classes\mscfile\shell\open\command]
""="C:\WINDOWS\System32\rundll32.exe"
EndRegedit:
Reboot:

 

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Zrób takie samo wyszukiwanie w Rejestrze, jak ostatnio.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Szukanie w rejestrze nic nie znalazło. I chyba tak ma być. Zarządzanie komputerem w Narzędziach Administracyjnych zaczęło działać.  

Załączam logi z wykonania.

Został jeszcze ten nieszczęsny panel logowania żebym nie musiałł za każdym razem wpisywać nazwy użytkownika żeby zalogować się do systemu.

Załączę zdjęcie jak to wygląda. 

20190921_145815.thumb.jpg.240a757135b6d99d104687ab35d170b1.jpg

Fixlog.txt SearchReg.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Spróbuj ustawić w panelu sterowania > konta użytkowników > wybierz swoje konto i zaznacz logowanie bez użycia hasła oraz wybierz awatar.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

nie mam takiej opcji po wybraniu swojego konta.

Udało mi się ta opcję zmienić  wpisując polecenie netplwiz.

Ale stało się coś dziwnego ikonka wróciła Ale mam drugiego użytkownika którego nawet w logach nie widać

20190921_174743.thumb.jpg.ea3509cab0d80f0955f3159cffcdddf5.jpg

Edytowane przez atasuke

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W netplwiz > zaawansowane > zawaansowane > użytkownicy  możesz wyłączyć tego drugiego użytkownika? Wklej screena.

 

Możesz też spróbować w cmd uruchomionym jako administrator, wpisać Net user "Inny uzytkownik" /active:no

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

user.png.0d0deccff7800532c7bb4f1fadb31b86.png

 

Po wpisaniu komendy nie można znaleźć użytkownika o takiej nazwie. Tutaj też takiego nie ma. Nawet usunąłem to konto EB . Mi się wydaje że któraś gałąź od rejestru jest skopana. 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

A spróbuj Net user "Inny użytkownik" /active:no  (teraz przez ż, bo nie widzę na zdjęciu czy tam jest z czy ż)

 

W panelu sterowania w kontach użytkownika pewnie też nie ma tego konta ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

opisywałem tak i tak .  Do wczoraj było wszystko ok . Ale jak mbam zgłosił trojana i mnie zablokowalo  na pulpicie . to przy następnym logowaniu musiałem już wpisywać  ręcznie. 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Robię próbę 

 punkt przywracania niepowodzenie z błędem 0x8000ffff

Nie da rady dwa punkty były i każdy z tym samym błędem. 

tego brakuje

ProfileImagePath will show the path to the user profile folder. You will usually have one for each user on the system, and one for each of the three system entries SystemProfile, LocalService, and NetworkServicetego brakuje oprócz ścieżki

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobiłem jak mówiłeś.  

Ale dalej muszę wpisywać hasło i nie ma ikonki. 

Natomiast po po zmianie w rejestrze  widać że konto wróciło  do swojego pierwotnego kształtu.

Moim zdaniem musi być coś skopane w rejestrze przy wyświetlaniu tego ekranu logowania.

Widać zmianę np pojawiły się ikony folderów  z kartkami w środku czego nie było. 

w czasie podmianki ja miałem 2 pliki z rejestru
Ntuser.dat.log1, log2.

przekopiowalem obydwa.

nie mam pliku log. Jeżeli ma to znaczenie

Rozwiązaniem problem . Był banalny

Wystarczyło zrobić tak jak tutaj

https://www.sevenforums.com/general-discussion/65335-welcome-screen-other-user.html

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...