Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

utrata uprawnien, utrata konta w win xp

#11
RE: utrata uprawnien, utrata konta w win xp
BrycH: następnym razem logi jako załączniki. http://www.pcformat.pl/forum/showthread.php?tid=2793
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#12
RE: utrata uprawnien, utrata konta w win xp
No wiec po kolei:

Zalaczylem aktualny log z hjt. Jak widac kilku rzeczy nie zfixowal

dalej...

~Anonim napisał(a):Do wywalenia z dysku:

C:/Program Files/MyWaySrchAstt1.bin/MYSRCHAS.DLL
C:/WINDOWS/System32/hp100.tmp
C:/program files/seekmo/seekmo.exe
C:/WINDOWS/System32/IEHost.exe
C:/WINDOWS/System32/mswindtc.exe
C:/WINDOWS/System32/win32bootcfg.exe
C:/WINDOWS/System32/ms.exe
C:/WINDOWS/System32/mzoeut.dll
C:WINDOWS/win32host.exe


Prawie wszystkich tych plikow nie moglem znalezc ani ja ani killerbox mimo tego ze robilem to w trybie awaryjnym na koncie administratorskim z odchaczonymi wszystkimi "skrytkami" w ustawieniach. Bylo tak byc moze dla tego ze najpierw zfixowalem wszystkie te pliki

~Anonim napisał(a):Mam spore i jak sądzę słuszne wątpliwości co do wpisów 017, ale żeby być pewnym, muszę znać Twój adres IP, który przydzielił Ci Twój ASP. Pytanie: czy wiesz coś na temat serwera Apache?

IP wyslalem Ci na priva

Jesli chodzi o Apache to wiem ze jest to serwer www i zainstalowalem go swiadomie w celu cwiczenia programowania w php.

~Anonim napisał(a):Napisz dokładnie jaki komunikat Ci wyskakuje podczas próby otwarcia SR!

"ladowanie ustawien nie powiodlo sie. (Odmowa dostepu)"

W trybie awaryjnym na koncie administratora wlaczajac sr dostaje taki komunikat:

Kod:
skrypt: c:\documents and settings\temp\pulpit\silent runners.vbs
wiersz: 89
znak: 13
błąd: nie mozna utworzyc obiektu o nazwie "WScript.Shell".
Kod: 80040154
Źródło: WSscript.CreateObject


Załączone pliki
.log   hijackthis.log (Rozmiar: 4,52 KB / Pobrań: 56)
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#13
RE:  utrata uprawnien, utrata konta w win xp
BrYcH napisał(a):
~Anonim napisał(a):Do wywalenia z dysku:

C:/Program Files/MyWaySrchAstt1.bin/MYSRCHAS.DLL
C:/WINDOWS/System32/hp100.tmp
C:/program files/seekmo/seekmo.exe
C:/WINDOWS/System32/IEHost.exe
C:/WINDOWS/System32/mswindtc.exe
C:/WINDOWS/System32/win32bootcfg.exe
C:/WINDOWS/System32/ms.exe
C:/WINDOWS/System32/mzoeut.dll
C:WINDOWS/win32host.exe

Prawie wszystkich tych plikow nie moglem znalezc ani ja ani killerbox mimo tego ze robilem to w trybie awaryjnym na koncie administratorskim z odchaczonymi wszystkimi "skrytkami" w ustawieniach. Bylo tak byc moze dla tego ze najpierw zfixowalem wszystkie te pliki
a włączyłeś pokazywanie ukrytych plików i folderów ?

jeśli nie to proszę -> w dowolnym folderze=>Narzędzia =>Opcje folderów=> Widok=> zaznaczyć Pokaz ukryte pliki i foldery
PS
nie pisz posta pod postem - jest opcja "Edytuj"Oczko
 System operacyjny: windows_xp_2003 Przeglądarka: opera
#14
RE: utrata uprawnien, utrata konta w win xp
Do zafixowania:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O15 - ProtocolDefaults: 'Ativt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AF78C3-3E26-42E2-8A9D-FB384A071CD1}: Domain = bbb
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AF78C3-3E26-42E2-8A9D-FB384A071CD1}: NameServer = 1.1.1.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC43FB20-3610-4378-A7D3-04A10DED7A12}: Domain = bbb
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC43FB20-3610-4378-A7D3-04A10DED7A12}: NameServer = 1.1.1.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{C9AF78C3-3E26-42E2-8A9D-FB384A071CD1}: Domain = bbb
O17 - HKLM\System\CS1\Services\Tcpip\..\{C9AF78C3-3E26-42E2-8A9D-FB384A071CD1}: NameServer = 1.1.1.222
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)


Wpisy 015 załatwiasz dokładnie jak z opisem tutaj. Przy okazji dajesz log z SmitFraudFix. Jeśli nie będziesz wiedział jak, to proszę użyć KillTrusted.

Wpis 023 ubijasz zakładką Delete an NT Service w opcjach Open the Misc Tools section w HJT.

Przepis na SR, odblokowanie Rejestru i co tam jeszcze, dam Ci jutro, bo teraz idę Śpioch

Aha i jeszcze jedno:
'Amandi w przyklejonym temacie napisał(a):Logujemy się na konto Administrator. Jeżeli z poziomu konta Administrator nie widać wpisów, które były widoczne w normalnym trybie, to należy się zalogować na swoje własne konto!
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#15
RE: utrata uprawnien, utrata konta w win xp
Zalaczam raporty z SmitfraudFix oraz z hj. Nic z tych wpisow nie dalo sie usunac. 23 nie moglem skasowac: hj mowi ze jest to proces aktywny i nie da sie go skasowac. Ostatecznie skasowalem plik ktory byl w sciezce w wpisie 23. Po czym stala sie rzecz dosyc dziwna. Nie moge otwierac stron. Na poczatku myslalem ze interent padl, ale okazalo sie ze emule normalnie dziala. No to pomyslalem ze albo ja cos zwalilem i zblokowal mi sie port 80, albo moj admin ma podobne problemy z wirusami co ja... Jednak najbardziej rozwalilo mnie gdy okazalo sie ze ze zwyklego modemu strony wchodza (dzieki czemu moge teraz pisac)Kwaśny Nie wiem co o tym myslec...


Załączone pliki
.txt   rapport (moje konto).txt (Rozmiar: 1,26 KB / Pobrań: 69)
.txt   rapport (administrator).txt (Rozmiar: 870 bajtów / Pobrań: 49)
.log   hijackthis.log (Rozmiar: 4,37 KB / Pobrań: 48)
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#16
RE: utrata uprawnien, utrata konta w win xp
BrYcH napisał(a):hj mowi ze jest to proces aktywny i nie da sie go skasowac

Czy robiłeś to w trybie awaryjnym?

Do wywalenia z autostartu:

Kod:
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

Masz dwa antywirusy?


~Anonim napisał(a):R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O15 - ProtocolDefaults: 'Ativt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AF78C3-3E26-42E2-8A9D-FB384A071CD1}: Domain = bbb
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AF78C3-3E26-42E2-8A9D-FB384A071CD1}: NameServer = 1.1.1.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC43FB20-3610-4378-A7D3-04A10DED7A12}: Domain = bbb
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC43FB20-3610-4378-A7D3-04A10DED7A12}: NameServer = 1.1.1.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{C9AF78C3-3E26-42E2-8A9D-FB384A071CD1}: Domain = bbb
O17 - HKLM\System\CS1\Services\Tcpip\..\{C9AF78C3-3E26-42E2-8A9D-FB384A071CD1}: NameServer = 1.1.1.222
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)

Nie mogłeś tego zafixować? Jakiś powód? Jakiś komunikat? Jakiś błąd?
Cyk, cyk, cyk, zegar tyka.

KUTNOTRANS - usługi transportowe
 System operacyjny: windows_98_nt Przeglądarka: opera
#17
RE: utrata uprawnien, utrata konta w win xp
Teraz to już przesada! Chytry

Ściągnij Gmera. W zakładce CMD=>CMD wklej:
Cytat:CD C:\WINDOWS\
ATTRIB -R -S -H win32host.exe
DEL win32host.exe

W zakładce Procesy wybierz opcję Zabij wszystko, a po tym wróć do zakładki CMD i kliknij na Uruchom.

W zakładce Procesy przez trzy kropki [...] wskazać narzędzie HijackThis i skosić wpisy (jeśli będą):

O15 - ProtocolDefaults: 'Ativt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)


Nie zrobiłeś tego, o co Cię prosiłem! Gmer musi pomóc! SmitfraudFix poradził sobie z SpyQuake, ale Generic.Trojan.Downloader nie chce się poddać... Używając KillBox próbujesz skasować pliki jeśli będą:

1 C:WINDOWS\SYSTEM32\ERASEME_01052.EXE
2 C:WINDOWS\SYSTEM32\ERASEME_01776.EXE
3 C:WINDOWS\SYSTEM32\ERASEME_06708.EXE
4 C:WINDOWS\SYSTEM32\ERASEME_12212.EXE
5 C:WINDOWS\SYSTEM32\ERASEME_15585.EXE
6 C:WINDOWS\SYSTEM32\ERASEME_23557.EXE
7 C:WINDOWS\SYSTEM32\ERASEME_23738.EXE
8 C:WINDOWS\SYSTEM32\ERASEME_25824.EXE
9 C:WINDOWS\SYSTEM32\ERASEME_28308.EXE
10 C:WINDOWS\SYSTEM32\ERASEME_33103.EXE


Czy wciąż masz zablokowany pulpit i Rejestr?

Co do SR, to spróbuj ściągnąć i odpalić Silent RunnersRED.vbs (PPM=>Zapisz jako). Próbowałeś w awaryjnym?

Dodatkowo daj log z Gmera. Zakładka Rootkit i odznacz Pokaż wszystko (odznacz a nie zaznacz!). To co pokaże do Notatnika i dajesz do analizy. Kolejne logi z HJT i jeśli będziesz mógł, to SR i Gmer.

 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#18
RE: utrata uprawnien, utrata konta w win xp
~Anonim napisał(a):Ściągnij Gmera. W zakładce CMD=>CMD wklej:
Cytat:CD C:\WINDOWS\
ATTRIB -R -S -H win32host.exe
DEL win32host.exe


W zakładce Procesy wybierz opcję Zabij wszystko, a po tym wróć do zakładki CMD i kliknij na Uruchom.

efekt: nie ma takiego pliku (cos mis ie wydaje ze juz wczesniej udalo mi sie go skasowac)

[quote=~Anonim]
W zakładce Procesy przez trzy kropki [...] wskazać narzędzie HijackThis i skosić wpisy (jeśli będą):

O15 - ProtocolDefaults: 'Ativt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)

15-stki trzymaja sie jak wczesniej, win32kernel rownierz nie dalo sie ubic pomimo rzekomego nieistnienia pliku win32host.exe. Odbywa sie to w ten sposob ze w hj nie pokazuje bledu, tylko poprostu po ponownym skanowaniu wszystkie te wpisy sa obecne.

~Anonim napisał(a):Nie zrobiłeś tego, o co Cię prosiłem!

Wiec czego nie zrobilem bo nie wydaje mi sie bym cos pominal...

~Anonim napisał(a):Używając KillBox próbujesz skasować pliki jeśli będą:

1 C:WINDOWS\SYSTEM32\ERASEME_01052.EXE
2 C:WINDOWS\SYSTEM32\ERASEME_01776.EXE
3 C:WINDOWS\SYSTEM32\ERASEME_06708.EXE
4 C:WINDOWS\SYSTEM32\ERASEME_12212.EXE
5 C:WINDOWS\SYSTEM32\ERASEME_15585.EXE
6 C:WINDOWS\SYSTEM32\ERASEME_23557.EXE
7 C:WINDOWS\SYSTEM32\ERASEME_23738.EXE
8 C:WINDOWS\SYSTEM32\ERASEME_25824.EXE
9 C:WINDOWS\SYSTEM32\ERASEME_28308.EXE
10 C:WINDOWS\SYSTEM32\ERASEME_33103.EXE

nie bylo tych plikow...

~Anonim napisał(a):Czy wciąż masz zablokowany pulpit i Rejestr?

tak. w zasadzie wizualnie nic sie nie poprawilo od poczatku tych wszystkich dzialan

~Anonim napisał(a):Co do SR, to spróbuj ściągnąć i odpalić Silent RunnersRED.vbs (PPM=>Zapisz jako). Próbowałeś w awaryjnym?

juz próbowałem wcześniej, nic z tego. Co do pytania to tak, wszystkie Twoje zalecenia wykonuje w trybie awaryjnych na obydwu kontach

~Anonim napisał(a):Dodatkowo daj log z Gmera. Zakładka Rootkit i odznacz Pokaż wszystko (odznacz a nie zaznacz!). To co pokaże do Notatnika i dajesz do analizy. Kolejne logi z HJT i jeśli będziesz mógł, to SR i Gmer.

Prosze bardzo...




Załączone pliki
.log   hijackthis.log (Rozmiar: 3,88 KB / Pobrań: 36)
.txt   gmer_log.txt (Rozmiar: 35,18 KB / Pobrań: 54)
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#19
RE: utrata uprawnien, utrata konta w win xp
Zainstaluj SP2.

Można wywalić z autostartu:
Cytat:O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
Cyk, cyk, cyk, zegar tyka.

KUTNOTRANS - usługi transportowe
 System operacyjny: windows_98_nt Przeglądarka: opera
#20
RE: utrata uprawnien, utrata konta w win xp
Czy próbowałeś skasować 015 programem KillTrusted?
W Gmerze nic nie ma, ale daj jeszcze log z zaznaczonum Pokaż wszystko. W załaczniku masz fix, który wklejasz do Notatnika. Z menu Plik dajesz Zapisz jako=>Wszystkie pliki=>Fix.reg. Na pytanie dajesz OK. Gdyby nie pomógł, to jest drugi, z którym robisz to samo.
Czy próbowałeś Przywracania systemu?

To teraz z innej beczki:

Wchodzisz do Konsoli Odzyskiwania i w niej dajesz komendy:

cd system32
ren kernel32.dll kernel32.old
expand X:\i386\kernel32.dl_


cd C:\windows\system32\config
ren system system.old
copy system.old system


expand X:\i386\userinit.ex_ C:\Windows\sytem32\userinit.exe

expand X:\i386\winlogon.ex_ C:\Windows\sytem32\winlogon.exe

Gdzie X - litera Twojego napędu.
C - litera partycji z systemem.

Po każdej komendzie dajesz ENTER!

A teraz zajmiemy się Twoim kontem. Skoro fizycznie masz do niego dostęp, to spróbujemy go po prostu utworzyć na nowo. W tym celu logujesz się na koncie Administrator i z jego poziomu tworzysz nowe konto. Będąc cały czas na koncie Admina - to ważne! - przechodzisz do:

Mój komputer=>Narzędzia=>Opcje folderów=>Widok i tam haczykujesz Pokaż ukryte pliki i foldery i odhaczasz Ukryj chronione pliki systemu operacyjnego (zalecane). Przejdź do folderu:

C:\Documents and Settings\Nazwa Uszkodzonego Konta

i podświetl wszystkie pliki z wyjątkiem Ntuser.dat, Ntuser.dat.log i Ntuser.ini. To ważne abyś ich nie kopiował!

Wszystkie pozostałe skopiuj do:

C:\Documents and Settings\Nazwa Nowego Konta - tego, które utworzyłeś na początku.

Zaloguj się na nowe konto i sprawdź czy wszystko jest OK. Możesz mieć problemy z np. Outlook'iem, ale wtedy zajrzyj tutaj.
Stare konto na razie zostawiasz w systemie, na wszelki wypadek.

Co do wpisu 023, to czy próbowałeś zlokalizować tę usługę w services.msc? Szukaj Win32Kernel, win32host lub czegoś w tym stylu.

W pierwszej kolejności wykonaj działania w Konsoli a jeśli nic się nie zmieni, to wtedy dalej.


Załączone pliki
.txt   Odb.Rejestr.txt (Rozmiar: 160 bajtów / Pobrań: 38)
.txt   Odb.Rejestr2.txt (Rozmiar: 291 bajtów / Pobrań: 61)
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
nie można utworzyć obiektu o nazwie 'WScript.Shell"

Podobne wątki (utrata uprawnien, utrata konta w win xp)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  AMD Radeon Software, utrata sterowników Jakubes 1 457 06.10.2020, 03:16
Ostatni post: Illidan
  win 10 po przejściu z win 7 nie działa normalnie loginowski 17 2633 27.09.2020, 23:35
Ostatni post: Illidan
Cry konfiguracja konta win 10 z ograniczeniami szakal87 2 7668 02.11.2017, 21:21
Ostatni post: szakal87

Skocz do:


Wybrane wątki (utrata uprawnien, utrata konta w win xp)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  NVENC GTX1660 NIE DZIAŁA VEGAS PRO 17 piotrek2555 0 3140 02.06.2020 09:56
Ostatni post: piotrek2555
  [Win10 Home 64 bit]Dobór sterowników do płyty głównej ASRockFatal1tyB450Gaming-ITX/ac Maniek18zdw 3 3066 31.05.2020 18:48
Ostatni post: pieterman09
  Dystrybucja Linuxa Smart TV na laptopa szymucha120 5 3261 31.05.2020 16:36
Ostatni post: pieterman09
  Instalacja/Aktualizacja do Windows 10 restartuje do Windows 8.1 bez oznak dalszej in comPREhensive7 2 3095 31.05.2020 15:48
Ostatni post: comPREhensive7
  Modyfikacja powiadomień: Czy chcesz zezwolić aplikacji [Win10] konsultant 0 2607 30.05.2020 21:57
Ostatni post: konsultant
  Sterowniki pod Win7/8.1 Lenovo Ideapad 330-17AST JestemKuba 8 2966 30.05.2020 13:03
Ostatni post: JestemKuba
  potrzebna pomoc doświadczonego zawodnika bolbu 7 2841 27.05.2020 13:04
Ostatni post: bolbu
  Błąd podczas startowania laptopa Szpyro 6 3068 26.05.2020 22:42
Ostatni post: Szpyro
  Indeksowanie zawartości folderu zdalnego wsadx 7 2810 26.05.2020 14:10
Ostatni post: Michu_PL
  Problem z klonem systemu. cyberbrain666666 2 2815 23.05.2020 16:49
Ostatni post: Illidan
  Folder zakładki xikom 0 2582 21.05.2020 19:45
Ostatni post: xikom
  Kopia przyrostowa bez pełnej (lokalnie) comPREhensive7 1 2644 18.05.2020 23:48
Ostatni post: jerzyf
  Autoruns - Zaawansowane zarządzanie auto startem. jou300 0 2582 15.05.2020 19:39
Ostatni post: jou300
  Nowy komputer+dysk SSD, czy muszę formatowac stary dysk HDD? Lukso 3 2759 15.05.2020 18:37
Ostatni post: pieterman09
  VEGAS PRO 17 - NVENC GTX1660 - nie działa piotrek2555 0 2385 14.05.2020 14:42
Ostatni post: piotrek2555