Wyłączony menadżer zadań i edytor rejestru


(Micadam) #1

Niedawno usunąłem z komputera trojana BackDoor (chyba tak się nazywał) - po tym jak zauważyłem, że nie mogę uruchomić menedżera zadań.

W tej chwili komp jest czysty.

Ale nadal przy kombinacji ALT+CTRL+DELETE wyskakuje komunikat "menedżer zadań został wyłączony przez administratora"

Widziałem, że w innych tematach poleciacie wklejenie fix'a do edytora rejestru lub stworzenie takowego za pomocą notanika.

Ale edytor rejestrów równiez nie działa.

"edytor rejestru został wyłączony przez administratora"

Uruchomiłem Windows w trybie awaryjnym i znalazłem tam drugie konto użytkownika o nazwie Administrator zabezpieczone hasłem. (konto jest niewidoczne w trubie normalnym) Hasło udało mi się zdjąć z mojego konta użytkownika. Tylko gdy jestem zalogowany jako Administrator w trybie awaryjnym mam dostęp do menedżera zadań i edytora rejestrów.

Gotowe fix'y polecane w innych tematach uruchomione w trybie awaryjnym nie dają skutku po przełączeniu się z powrotem na normalny tryb. Pradopodobnie dlatego, że odnoszą się do "CURRENT USER" a potrzeba zmian dotyczących wszystkich kont.

Do tego rejestr

LOCAL_MACHINE\Software\Classes\exefile\shell\open\command ma wartość 1 - a dokładnie "%1" %* tak jak było proponowane w innym temacie...

Jeśli ktoś ma jeszcze jakieś pomysły to bardzo proszę o pomoc... Reinstalka Windowsa kosztowałaby mnie wiele zachodu z powodu przenoszenia baz danych i maili z komputera więc staram się jej uniknąć za wszelką cenę...

PS. Właśnie zauważyłem, że komenda cmd (konsola) z menu start->uruchom również jest "zablokowana przez administratora" - "znak zachęty wiersza polecenia został wyłączony przez administratora"

A ja nie mam administratora! To mój komp! :stuck_out_tongue:


(huber2t) #2

zapewne wirus ci poprzestawiał coś w rejestrze


(Leon$) #3

Nie wiem jakie tam fixy próbowałeś na odblokowanie rejestru ale spróbuj ten

Otwórz notatnik i wklej do niego:

[Version]

Signature="$Chicago$"

Provider=Symantec


[DefaultInstall]

AddReg=UnhookRegKey


[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

zapisz jako plik.inf >> wszystkie pliki >> PPM na plik >> zainstaluj >> restart

:slight_smile:


(Micadam) #4

Fix zapisany jako .inf i zainstalowany. Po restarcie nadal wszystko zablokowane...

EDIT: Jest postęp! Edytor rejestru już działa! Reszta nie...

Może trzeba to zrobić z poziomu administratora w trybie awaryjnym??

Aha, używam Windows XP Service Pack 2 jakby to robiło róznicę. Bo może rejestry się różnią w róznych wersjach.


(Leon$) #5

Teraz menadżer

Otwórz notatnik i wklej do niego:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=–


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=–


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"DisableTaskMgr"=–

Zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

Jeżeli zadziała to daj logi Combofixa i HijackThisa

:slight_smile:


(Micadam) #6

Fix nie zadziałał...

Może ręcznie zmienić któryś wpis rejestru?

Tylko nie wiem który :smiley:

Jeśli dzięki temu będzie szybciej to moje GG to 5780903...


(Leon$) #7

Ręcznie

Start >> uruchom >> regedit

odszukaj te ścieżki

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

po prawej w każdej ścieżce odszukaj DisableTaskMgr >> usuń lub zmień 1 na 0

oczywiście po zmianach restart

Na GG nie odpowiadam od tego jest forum

:slight_smile:


(Micadam) #8

OK, menedżer działa. Pierwszy wpis z podanych miał 1 i zmieniłem na 0 i działa.

Dzięki wielkie!

Jakby to nie sprawiało problemu to może wiesz jak odblokować konsolę cmd? Przydaje się do sprawdzania czy padła sieć (polecenie ping i inne)


(Leon$) #9

Wiersz poleceń (cmd)

Start .. Uruchom >> regedit

odszukaj

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

w oknie po prawej jak będzie DisableCMD >> usuń lub zmień na 0

:slight_smile:


(Micadam) #10

Ok, konsola cmd juz działa.

Wklejam log z HijackThis. Niestety z Combofix nie da rady bo wyskakuje mi bluescreen o błędzie i po zgraniu pamięci na dysk następuje restart. Wolę nie ryzykować, że znowu coś się przez to popsuje :wink:


(Leon$) #11

Log czysty

:slight_smile: