OTL logi, nie można uruchomić aplikacji

Post16 paź 2012, 12:28

Witam. Wczoraj moja siostra na koncie usera zassała jakiś syf i płacze mi że nic nie może uruchomić. Wszystkie programy ze skrótu ani ze startu nie uruchamią się, zamiast uruchamiania pojawia się to: Dostępne tylko dla zarejestrowanych użytkowników
Na moim koncie admina wszystko gra. Proszę o pomoc . Oto logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post16 paź 2012, 19:49

"ESET Online Scanner" = ESET Online Scanner v3
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"InstallShield_{809D7E6D-915D-4EAD-821F-E13D93F37161}" = ASUS Smart Doctor

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nvhda32v.sys -- (NVHDA)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\drivers\hardlock.sys -- (Hardlock)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a8rpp1y8)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2640983812-4245727085-1391461855-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Marian\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Marian\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
CHR - Extension: Skype Click to Call = C:\Users\Marian\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\6.3.0.11079_0\
O4 - HKU\S-1-5-21-2640983812-4245727085-1391461855-1003..\Run: [Clock Widget (HTC Home)] "D:\Programy\HTC Home\Clock.exe" File not found
O4 - HKU\S-1-5-21-2640983812-4245727085-1391461855-1003..\Run: [Facebook Update] C:\Users\Aneta\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll File not found
O9 - Extra 'Tools' menuitem : Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll File not found
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office12\GR469A~1.DLL File not found

:Files
C:\Users\Aneta\AppData\Local\Facebook\Update
C:\Program Files\Google\Update
C:\Users\Marian\AppData\Local\Google\Update
C:\Users\Marian\AppData\Roaming\ArcaVirMicroScan
C:\Program Files\ESET
C:\Windows\System32\drivers\hardlock.bak
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post17 paź 2012, 19:49

log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
TDS log : Dostępne tylko dla zarejestrowanych użytkowników
OTL txt: Dostępne tylko dla zarejestrowanych użytkowników
OTL Extras : Dostępne tylko dla zarejestrowanych użytkowników
Autoruns : Dostępne tylko dla zarejestrowanych użytkowników

Zauważyłem, że wszystkie niemogące uruchomić się skróty do programów mają rozszeżenie .lnk.

Już naprawiłem. Pomogło to:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.lnk]
@="lnkfile"

[HKEY_CLASSES_ROOT\.lnk\ShellEx]

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellNew]
"Handler"="{ceefea1b-3e29-4ef1-b34c-fec79c4f70af}"
"IconPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,\
31,00,36,00,37,00,36,00,39,00,00,00
"ItemName"="@shell32.dll,-30397"
"MenuText"="@shell32.dll,-30318"
"NullFile"=""
"Command"=-

[HKEY_CLASSES_ROOT\.lnk\ShellNew\Config]
"DontRename"=""

[HKEY_CLASSES_ROOT\lnkfile]
@="Shortcut"
"EditFlags"=dword:00000001
"FriendlyTypeName"="@shell32.dll,-4153"
"NeverShowExt"=""
"IsShortcut"=""

[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\OpenContainingFolderMenu]
@="{37ea3a21-7493-4208-a011-7f9ea79ce9f5}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\UserChoice]

Dzięki za pomoc. :clap:

Post18 paź 2012, 15:47

Już naprawiłem. Pomogło to:

OK, ale to jeszcze nie koniec.

Zauważyłem, że wszystkie niemogące uruchomić się skróty do programów mają rozszeżenie .lnk.

Wszelkie skróty mają taki format

.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ASUSGamerOSD
BrMfcWnd
ControlCenter3
RtHDVCpl
SunJavaUpdateSched

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Google Update

HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers

XXX Groove GFS Context Menu Handler XXX

HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers

Wszystko.

HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers

XXX Groove GFS Context Menu Handler XXX

HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers

XXX Groove GFS Context Menu Handler XXX

HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers

XXX Groove GFS Context Menu Handler XXX

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

gupdate
gupdatem
gusvc
IDriverT
nvsvc
nvUpdatusService
odserv
ose
PSI_SVC_2
Skype C2C Service
SkypeUpdate
Stereo Service
WinDefend
WMPNetworkSvc

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.

Post18 paź 2012, 18:21

OTL : Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post18 paź 2012, 20:09

Logi.

W Autoruns nie usunięto do końca tego o co prosiłem. Popraw i podaj nowe logi z OTL.

Post21 paź 2012, 12:34

Zapomniałem odpalić autorunsa jako admin dlatego nie usunęło tego co trzeba. Teraz powinno być ok:
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Swoją drogą ciekawi mnie jak się analizuje co wywalić z rejestrów a co nie. Jest do tego jakiś program ?

Post21 paź 2012, 21:18

Swoją drogą ciekawi mnie jak się analizuje co wywalić z rejestrów a co nie. Jest do tego jakiś program ?

Nie wszystko to odbywa się ręcznie

.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: File not found
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O20 - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found

:Files
C:\Users\Aneta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
C:\Users\Marian\Desktop\autoruns.exe
C:\Users\Marian\AppData\Roaming\ArcaVirMicroScan
C:\TDSSKiller_Quarantine
C:\Windows\tasks\*.*

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

Post22 paź 2012, 12:33

Trochę tego było. Oto log:
Dostępne tylko dla zarejestrowanych użytkowników

Przy okazji mam dwa pytania
1. Jak przywrócić uruchamianie niektórych aplikacji.
2. Jak udostępnić userowi dostęp do niektórych programów tzn. usunąć tę żółto-niebieską tarczę przy ikonie skrótu ?

Post22 paź 2012, 20:45

2. Jak udostępnić userowi dostęp do niektórych programów tzn. usunąć tę żółto-niebieską tarczę przy ikonie skrótu ?

Chodzi o UAC?

1. Jak przywrócić uruchamianie niektórych aplikacji.

Zależy o jakich mowa.

Malwarebytes.

Opróżnij jego kwarantannę (Usuń Wszystko). Znalazł bzdety.

Post23 paź 2012, 14:09

kominekl pisze:
2. Jak udostępnić userowi dostęp do niektórych programów tzn. usunąć tę żółto-niebieską tarczę przy ikonie skrótu ?

Chodzi o UAC?

Dokładnie. Czytałem różne poradniki ale u mnie to nie działa i nadal na koncie usera przy odpalaniu niektórych aplikacji wymagane jest hasło admina.

1. Jak przywrócić uruchamianie niektórych aplikacji.

Zależy o jakich mowa.

Na przykład menedżer Realtek, Asus Smart Doctor, Brother Control Center

Post23 paź 2012, 20:12

Dokładnie. Czytałem różne poradniki ale u mnie to nie działa i nadal na koncie usera przy odpalaniu niektórych aplikacji wymagane jest hasło admina.

UAC -> Dostępne tylko dla zarejestrowanych użytkowników.

Na przykład menedżer Realtek, Asus Smart Doctor, Brother Control Center

Powinny działać, tylko nie są w autostarcie.

Post24 paź 2012, 03:45

kwacker pisze:
1. Jak przywrócić uruchamianie niektórych aplikacji.

Zależy o jakich mowa.

Na przykład menedżer Realtek, Asus Smart Doctor, Brother Control Center

Możesz je przywrócić do uruchamiania razem z systemem zaznaczając z powrotem w Autoruns:
ASUSGamerOSD
ControlCenter3
RtHDVCpl

Post24 paź 2012, 20:18

Możesz je przywrócić do uruchamiania razem z systemem zaznaczając z powrotem w Autoruns:
ASUSGamerOSD
ControlCenter3
RtHDVCpl

W Autoruns to już nie, bo usunęliśmy dezaktywowane wpisy. Możesz je jednak wrzucić po prostu do autostartu w Menu Start, jeśli są Ci rzeczywiście tak niezbędne.

Post24 paź 2012, 20:26

deFco247 pisze:Możesz je przywrócić do uruchamiania razem z systemem zaznaczając z powrotem w Autoruns:
ASUSGamerOSD
ControlCenter3
RtHDVCpl

Nie mogę bo w autoruns zostały odznaczone i usunięte. Jedynie chyba reinstalacja pomoże.

-- 24 paź 2012, 20:26 --

kominekl pisze:
W Autoruns to już nie, bo usunęliśmy dezaktywowane wpisy. Możesz je jednak wrzucić po prostu do autostartu w Menu Start, jeśli są Ci rzeczywiście tak niezbędne.

A nie da się jakichś modyfikacji w rejestrze poczynić co by to wróciło ? Pytam się nie dla tego że jestem leniwy i nie chce mi się instalować tego na nowo tylko widzę że kolega ogarnia ten temat i może czegoś jeszcze mnie nauczyć