Miten pääsen pois käynnistyskierteestä? Uusinta...

Ei näytä enää lähtevän mihinkään. Mutta sain tehtyä pojan koneelle ton BartPE cd:n, ja ajattelin jos kokeilis onnistuuko sillä. Mut pitää vissiin eka käydä taas palautuskonsolis muuttamas takas nuo nimeämiset?
Ja sit en tiedä pitäiskö sittekki kokeilla vielä sitä expand juttua palautuskonsolis, kun nyt yht'äkkiä hyväksyy ton xp pro cd:n ja salasana onkin taas tyhjä, eli enter...

 

Pääsin taas komentokehotteeseen, kun otin vikasietotila-valikon ja sieltä viimeisin toimiva kokoonpano...
Nyt taas yritän saada jotain aikaiseks

 

Tuo juttu ei toimi. Ja muuten olis hyvä kans, jos viittit laittaa, että mis 'juures' nuo kaikki aina pitää ajaa, eli pitääkö olla C:\Windows\system32 vai pelkkä windows tms.

Voisko olla kannattavaa ajaa joku toinen komento täällä? Esim chkdsk?

 

Kerron kyllä, jos tarvitsee ajaa jossain muualla.

Eivät toimineet nuo käyttäjätilikomennot, kuten tuonne jo korjasinkin.

chkdsk:n ajaminen vaatii boottaamisen mikäli sen suorittamiseen on oikeudet.

Oletko kokeillut kirjautua esimerkiksi Järjestelmänvalvojana tai muulla tilillä kuin sillä yhdellä(en jaksanut lukea tarkkaan juttua uudestaan läpi). Nimittäin syteeminä onnistuu näköjään kirjautuminen.

Kokeilitko explorer komentoa ja mitä sanoo, jos ei onnistu.

 

Joo, se explorer onnistui ja sain vaihdettua näytönsäästäjä 1 minuuttiin, mut nyt en sit tiedä, mitä tekisin? Meinaat, että ei kannata chkdsk ajaa?

Eikä onnistunu kirjaantuminen millään käyttäjätilillä.

 

Johtuisiko viallisesta tilistä, koska onnistuu kirjautuminen työpöydälle asti SYSTEM-käyttäjänä.

Tai sitten kirjautumistiedoissa ja tiedostoissa on jotain vikaa.
Nyt kirjautuminen SYSTEM-käyttäjätilille ei taida mennä normaaliin tapaan.

Windows toimii kuitenkin melko normaalisti kirjautumisen jälkeen.

ckkdsk:n ajamisesta en osaa arvata mitä tekee.

Lisäystä

Mulla tuli kokeillessa työpöytä kokonaan käynnistä valikkoineen kaikkineen.

 

Mut työpöydällä näkyy vaan se tausta, eli ei tuu mitään käynnitä-valikkoa tms. Nyt pääsin muuten vikasietotilaan ja tohon cmd.exe ruutuun. Kokeilen jos onnistuis täällä tehdä jotain.

 

Ainaki pääsin ajamaan eScanin, tosin pari päivää vanhoilla päivityksillä, mut jos vaikka tulis jotain tietoa tuolta...

Ainaki tuli heti pari silmiinpistävää erroria:
Invalid Entry system32\DRIVERS\pfc027.sys in SYSTEM\CurrentControlSet jne (en ehtiny ottaa enempää ylös nyt)

 

Tuleeko ctrl+alt+del:llä tehtävienhallinta?

Sieltä voisi käynnistää toisen explorerin ja sillä pitäisi käynnistyä resurssienhallinta.

Järjestelmänpalautus (rstrui.exe) ei varmaan toimi, koska SYSTEM ei kuulu Järjestelmänvalvojat -ryhmään.

Lisäys
Sinähän korjasit rekisteristä tuon ctrl+alt+del jutun?

 

Joo, ei toiminu järjestelmänpalautus... Annan vissiin ton eSvanin hoitaa homman loppuun, ennen kuin kokeilen sitä Ctrl+Alt+Del? Viimeks ainakaan se ei toiminu, vaan heitti sinne käyttäjät ruutuun...

Tohon muuten tuli et tähän mennes on löytäny 2 virusta, mut ne on siitä SmitfraudFixistä ja lukee 'tagged as not-a-virus' niin ei ne kait mitään oo?

Toisaalta tuo scan saattaa kesttä pitkälti yli tunnin vielä, että jos sittekki kokeilisin stopata ja Ctrl+Alt+Del yhdistelmää?

 

Ei siitä resurssienhallinnasta suurempaa hyötyä taida olla, kuin helpompi tiedostojen etsintä ja kopiointi sen lisäksi, että se kertoo jotain windosin toimitakyvystä.

Lisäys
Tässä viittaan aikaisempaan viestiini

Huom! Ensimmäinen explorer käynnistää työpöydän ja seuraavat käynnistävät kukin resurssienhallinnan.

 

Joo, niin korjasin, mutta ei ainakaan seuraavaks toiminu, kun pääsin kokeileen siinä pelkällä sinisellä ruudulla, mut tarkistan vielä, että oon tehny kaikki oikeen, ja koitan sit.

 

Niin ei varmaan, mut ajattelin kun se ilmeisesti on joku virus mikä tuon on muuttanu, että olis saanu sen tiedon pois rekisteristä, niin tuntuis että on vähä lähempänä toimintakuntoa.

En tiedä onko hyötyä tietää, mutta ainaki yks haittaohjelma oli sellanen, missä työpöydän taustakuvana on ilmoitus että pitää siitä ladata joku spyware ohjelma, ja sit tuli työkalupalkkiin aina vähän väliä keltainen kolio huutomerkillä ja siitä joku varoitusilmoitus malwaresta tai viruksesta. Ja sit vielä tuli muka niit windowsin security centerin varoituksia...

 

Se logon.scr ja cmd.exe kikka on siihen kirjautumisikkuna luuppaukseen.
log-on = kirjautua sisään, scr = screen.
Siinähän vaihdetaan kirjautumisikkunan tilalle cmd.exe, komentokehoite, jolla pääsee käynnistämään regeditin ja sieltä muuttaa virheellinen kohta, joka kirjautumisen sisään estää.

Pahoittelen pisteen puuttumista ja etten katsonut Muokkaa kohdasta, ettei heittomerkkejä näy. Ylimääräiset tuskin haittaa. Se oli pitkästä enkkusivusta poimittu, turhat, pois ja suomennos. Kaverilla ehkä heittomerkit erheellisesti, kun komentokehoitteessa ne on ainapakolliset, jos välilyöntejä jansion nimessä.

Jos palutupisteet on, niin rekisterin saa poimittua toimivasta päivästä.
Minä kytkisin kovon toiseen koneeseen ja operoisin siellä.
Kansio näkymässä Työkalut > Kansion asetukset... > Näytä
ja siellä Näytä piilotetut tiedostot ja kansiot ja ruksi pois Piilota suojatut käyttöjärjestelmätiedostot (suositus)
Tämä saa näkyviin System Volume Information kansion.

cacls "asema:\System Volume Information" /E /G käyttäjä:F

(Toiseen koneeseen kytkettynä asema: ei ole c:, silloin mennään koneeseen joka toimii. En ole testannut pääseko toisen kovon SVI kansioon ilman cacls komentoa)
Komento antaa tilille käyttäjä oikeudet kansioon. Siellä on ainakin yksi _restore{.....} kansio, jossa RPxx, juoksevin numeroin (xx) luotuja kansioita (..... = pitkä koodi). Ominaisuudet, päivämäärä kertoo milloin piste tehty. Valitun päivän RP-kansion Snapshot alikansiosta kopioit toiseen kansioon -> ja uudelleen nimeät
_REGISTRY_USER_.DEFAULT -> default
_REGISTRY_MACHINE_SECURITY -> security
_REGISTRY_MACHINE_SOFTWARE -> software
_REGISTRY_MACHINE_SYSTEM -> system
_REGISTRY_MACHINE_SAM -> sam
Sitten ne vaan siiretään c:\windows\system32\config\ siellä olevien tilalle. Aina tietenkin neuvotaan varmuuskopiomaan eli udelleen nimetään voimassa olevat system.bak, security.bak, default.bak, software.bak ja sam.bak. Tai siirrät muualle, backup kansioon.

Security stores information about security. The SAM file stores information about the Security Accounts Manager service. Neither of these two files, Security and SAM, are viewable in RegEdit, unless you reset the permissions. System stores all the information about hardware. Software stores information about your software and how Windows will perform and the default Windows settings. The Default file, stores all the default user settings, the NTuser.dat file overrides the default user settings. The UserDiff file stores information about the corresponding SubKeys in the HKEY_USERS Hive for each registered user.

Eli software ja default voi riittää korjaamaan.
Haitakkeita se ei tuhoa, mutta voi estää aktivoinnin, korjata virheelliset winukan kohdat. Sitten haitakkeiden poistoa. Jos haitake on tuhonnut tai kopsannut itsensä järjestelmätiedostoksi, niin ongelmia jää.


cacls "asema:\System Volume Information" /E /R käyttäjä
komento poistaa oikeudet kansioon.
Ja cacls vaatii toimiakseen admin-oikeudet. Muten rajoitetun-tilin elämä olis liian helppoa.

 

Kokeilitko jo sfc /scannow

Rekisterin voi korvata repair kansiosta, jolloin voi saada bootattua jonkunlaiseen näkymään.
Rekisterin voi palauttaa vielä, jollei tuosta ole hyötyä.

Palautuskonsolissa tai BartPEssä, mutta BartPE:ssä pitää tarkistaa polut, eli millä asemakirjaimella nuo ovat.

Koodi:

md tmp
copy c:\windows\system32\config\system  c:\windows\tmp\system.bak
copy c:\windows\system32\config\software  c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam  c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security  c:\windows\tmp\security.bak
copy c:\windows\system32\config\default  c:\windows\tmp\default.bak

delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default

copy c:\windows\repair\system  c:\windows\system32\config\system
copy c:\windows\repair\software  c:\windows\system32\config\software
copy c:\windows\repair\sam  c:\windows\system32\config\sam
copy c:\windows\repair\security  c:\windows\system32\config\security
copy c:\windows\repair\default  c:\windows\system32\config\default

Tämän jälkeen jos ei käynnisty, niin voi kopioida takaisin c:\windows\tmp\ kansiosta alkuperäsen rekisterin.
Nuo tiedostot sisältävät rekisterin sisällön, jota katsotaan regedit ohjelmalla.

Koodi:

delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default

copy c:\windows\tmp\system.bak  c:\windows\system32\config\system 
copy c:\windows\tmp\software.bak  c:\windows\system32\config\software 
copy c:\windows\tmp\sam.bak  c:\windows\system32\config\sam 
copy c:\windows\tmp\security.bak  c:\windows\system32\config\security 
copy c:\windows\tmp\default.bak  c:\windows\system32\config\default 

Jos käynnistyy, niin voi jatkaa ohjeen mukaan.
Vikasietotilaa tarvitaan, koska on Home versio. Muuten ei voi ottaa omistukseen kansioita. Korjaus jos käyttää cacls komentoa graafisen liittymän (=klikkaillaan hiirellä) sijasta, niin ei tarvitse mennä vikasietotilaan.

Windows XP:n käynnistymisen estävän vioittuneen rekisterin palauttaminen

Lisäys
Kuten BforeDusk ehdottikin, toisessa koneesta käsin on helpompi kopioida; Voi käyttää vaikka Resurssienhallintaa ja voi suoraan kopioida palautuspistekansiosta ([malli]C:\System Volume Information\_restore{D86480E3-73EF-47BC-A0EB-A81BE6EE3ED8}\RP1\Snapshot) tiedostot.
Jää välivaihe pois jossa haetaan repair kansiosta.

 

cacls toimii Homessa normaalitilassa.

Ja mä suosittelin operointia toisessa koneessa, jossa taitaa olla Pro, koska vain sen asennuslevykin on käytössä.

 

Joo, koitin monta kertaa tota sfc /scannow komentoa, mutta pitäis taas olla järjestelmänvalvoja.

yritän nyt sit koittaa tolla BartPE:llä, mitä tapahtuu...

 

Mitä tuo cacls sit tekee, ja mitä tarkoitat operoinnilla toises konees?

Voinko siis kopioida toiselta koneelta tuon restore tiedoston? siis onko vissiin pakko kytkeä kaverin kone omaan?

 

Onko salasanat unohtuneet vai onko tuholaiset ne muuttaneet?
sam ja security vois palauttaa ajalta, jolloin winukka kirjoitetun huoli admin-tilille.
Vikasietotilassa muuten tulee kirjautuimisikkunaan vain admin-tilit. Ellei rekisterissä pakota rajoitettua näkymään.

Lisäys:

Operointi toisessa koneessa.
Kun winukka sekoaa, niin toiseen koneeseen kytkettynä kovo se on vain dataa, jota käyttis ei estä käyttämästä, muutamasta. Eli seoneen winukan kansion muutaminen ei ole käyttiksen suojamaa. Ei tarvi niin montaa kiertotietä muutokseen.
Piilotiedostoja osa on

cacls 'näyttää tai muokkaa tiedostojen käyttöoikeusluetteloa ACL'
Admintili voi antaa tai rajoittaa kansion oikeuksia käyttäjille, rajoitetuille. SYSTEM estää jopa Järjestelmänvalvoja (Adminstrator) nimistä tiliä osaan.
Sitten on komentoja, jolla lisäoikeuksia käyttiksen suojaamiin saa.
Tuo SVI kansio on normaalisti "tyhjä". cacls komennolla tulee noilla atribuuteilla täydet oikeudet kansioon, jolloin se käytetty koko näkyy yms.
Palutuspisteeseen talletetaan järjestelmärekisteri. Mutta palautuspisteen käyttäminen vaatii toimivan rekisterin. Paradoksi, jos rekisteri sekoaa. On erillisiä ohjelmia rekisterin varmuuskopioon ja palautukseen.
Tuo on yksi keino winukan omin eväin.

 

Ei oo ollu mitään salasanoja... Ja en pääse tonne vikasietotilaankaan normaalisti, vaan näin, kun oon nimenny uusiks tuon cmd.exe logon.scr jutut...
Pitäis vissiin jo vaihtaa ne takas normiks, ennen ku alottaa jotain uutta kokeilua?