none
Неизвестный контакт Владелец, Неизвестная учотная запись(S-1-5-21-346171....., другие пользователи Windows 7 RRS feed

  • Общие обсуждения

  •   У меня возникла проблема, чтобы вам было легче  понять суть, описываю подробно всё что произошло с компьютером за последнее время :

    Описание проблемы:

         Раньше были у меня 2-а ком.... с ОС Win XP и Windows 7,  между ними создал СЕТЬ Роутер D-Link, потом один комп продал (с  ОС Win XP).

         Возникла проблема в создании нового пользователя (любого, или админа, или простого пользователя), он создавался, но в окне приветствия не отображался, просто написано: "другой пользователь" и надо было вводить и логин и пароль. Искал в интернете, толком ничего (все говорили что надо переустанавливать винду, а причины неизвестны). Переустановил  Windows - (теперь Пользователи отображаются в окне приветствия) но, возникла новая проблемы (подозрение на вирус) с ОС Windows 7, в списке безопасность "Неизвестная учетная запись (S-1-5-21-346171....)" с полным доступом к данной папке, не смог проверить все папки на компьютере ибо их слишком много, но почти у всех что проверил есть Неизвестная учетная запись. Опять переустановил  Windows, но перед тем  проверил Kaspersky Virus Removal Tool 2010, нашел  несколько вирусов(которые давно были, но другие антивирусы молчали)-дал полную очистку. С доса, програмой от Kaspersky "Rescue Disk 10", на основе Linux, проверил весь компьютер-ничего (((, также почему-то не удалялась папка ($RECYCLE.BIN)и всё что в ней???

        После перестановки , думал всё пройдет, но НЕТ. Поставил с нуля, полное ФОРМАТИРОВАНИЕ и Первичного раздела, и Зарезервированного системой, создал 3-пользователя (1. открыл Админа(для установки программ и т.п.), 2. для роботы (тож админ), и 3. простой пользователь ), и теперь (кроме "Неизвестная учетная запись(S-1-5-21-346171...") в свойствах папок - общий доступ создался какой то   " Неизвестный контакт " с правами Владелец. А, и чуть не забыл, сразу после установки захожу в папку а мне пишет "У вас нет прав доступа к папке" открыть ?, жму Да, долго что то делает, а потом пускает в папку.

     

                                                     И вот что меня интересует:

    1. Кем или чем создана "Неизвестная учетная запись (S-1-5-21-346171....)" ???

     "Неизвестная учетная запись (S-1-5-21-346171....)" - можна удалить, но 100 папок, клацать по каждой - это трудоемко и не реально. Если этого пользователя можно удалять, то как автоматезировать этот процесс?

    2. И что это за " Неизвестный контакт " с правами Владелец которого нельзя удалить?

    3. Или это серьезный ВИРУС ?

     

    Пока дописал сообщение в корне диска "С" возникла папка 153b0ebb954f8cd1966a194920cd .

    С системами работаю 7-ой год, но с таким сталкиваюсь  впервые.

     

    Конфиг системы:

    "Виндовс" 
    "Драйвера"
        1. Video карта
        2. nForce4 
        3. Webcam (автоматично)
        4. Звукова (автоматично)
        5. Hp380 принтер (автоматично)
    "Kaspersky Internet Security 2011"
    "Acronis True Image Home 2011"
    "Acronis Online Backup"
    "Тоtal Соmапdeг Версия 7.50КС1 32 ЬИ (13.8.2009)"
        1. Wise Disk Cleaner
        2. Wise Registry Cleaner
    "Mozilla Firefox 4.0"
    "FastStone 4.0"
    "Adobe Reader X"
    "DjVuEditor 6.0"
    "Microsoft Office 2010"
    "Мова екранних підказок у системі Microsoft 2010"
    "Opera 11.01"
    "Adobe Flash Player 10.2"
    "SkypeSetupFull 5.3.0"
    "ICQ 7.4"
    "µTorrent2.2"
    "IMegan Lisa Jones"
    "FineReader 10"
    "AIDA64"
    "AVITrimmer"

    • Изменен тип Vinokurov YuriyModerator 25 апреля 2011 г. 9:04 давность и отсутствие активности в теме
    10 апреля 2011 г. 13:32

Все ответы

  • Что-то сомнительно, что эта запись появилась после новой установки Win 7.

    Ее мог создать касперский, акроникс или еще какая из списка ваших программ.

    Так что ищите... Можно опять переустановить win и после установки каждой проги проверять...

    10 апреля 2011 г. 14:08
  • это системная учетная запись смотрим ПКМ мой компьютер -> управление -> Локальные пользователи и группы -> пользователи и смотрим кто там есть
    11 апреля 2011 г. 17:59
  • Било бы всё так просто! Там был в первую очередь , но .....

    http://s1.ipicture.ru/uploads/20110411/xi1TroQ8.jpg





    11 апреля 2011 г. 18:49
  • Что-то сомнительно, что эта запись появилась после новой установки Win 7.

    Ее мог создать касперский, акроникс или еще какая из списка ваших программ.

    Так что ищите... Можно опять переустановить win и после установки каждой проги проверять...

    "Что-то сомнительно, что эта запись появилась после новой установки Win 7."

    Неизвестная учетная запись (S-1-5-21-346171....)-сразу после установки была

    11 апреля 2011 г. 18:53
  • Сразу вопрос назревает, откуда дистрибутив операционной системы?
    MCP,MCTS
    12 апреля 2011 г. 3:53
  • Да уж, похоже, что дистрибутив - "сборка" А такое здесь не обсуждается. К слову сказать, сменить владельца папок можно быстро, если эта запись прописалась в корне диска. В этом случае включаете наследование и меняете владельца на себя.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    12 апреля 2011 г. 7:05
    Модератор
  • У меня  Лицензионный Win 7, установленный с лицензионного диска ! Устанавливал с этого диска винду не раз, и никогда не было проблем ! А что с "в окне приветствия не отображался новый пользователь, просто написано: "другой пользователь"" с чем это связано ?
    • Изменено Vinokurov YuriyModerator 14 апреля 2011 г. 20:34 Не размножайте посты - пользуйтесь редактированием
    14 апреля 2011 г. 19:02
  • Если уж лицензионный, и так вышло что там какой то неизвестный затисался, Зайдите с в дополнительные параметры системы - управление профилями - и удалите этого неизвестного, предварительно создав учетную запись с правами Администратора на всякий пожарный. и пройдитесь по безопасности начиная с системного диска и посмотрите остался ли там этот индивид... Если есть то удаляйте спокойно...
    MCP,MCTS
    15 апреля 2011 г. 2:47
  • При переустановки  виндовс администротивная запись остаётся заменяется цифровым значением. Вы установили виндовс на старую запись вот и результат это не вирус эта ваша запись. Приятной работы.    

    16 апреля 2011 г. 0:08
  • При переустановки  виндовс администротивная запись остаётся заменяется цифровым значением. Вы установили виндовс на старую запись вот и результат это не вирус эта ваша запись. Приятной работы.    


    100%

    У меня тоже такая учетная запись в системе. Раньше страдал параноей по поводу вируса. Но дело в предыдущих системах. Папки, созданные в предыдущих системах имеют неизвестного владельца (S-1-5-21-346171....). Папки созданные в Windows 7 - нет.

    17 апреля 2011 г. 11:57
  • Этот SID (Sequrity Identifier) имеет каждый пользователь, домен, комп(система оперирует ими). Используется и для доступа к защищённым файлам. Создаётся в момент регистрации пользователя, могут оставаться от старой системы. http://support.microsoft.com/kb/243330


    17 апреля 2011 г. 15:33
  • Этот SID (Sequrity Identifier) имеет каждый пользователь, домен, комп(система оперирует ими). Используется и для доступа к защищённым файлам. Создаётся в момент регистрации пользователя, могут оставаться от старой системы. http://support.microsoft.com/kb/243330



    Судя из постов сверху, человек радикально отнесся к переустановке, и переформатил все что можно... Так что вариант хвостов от старой системы отпадает.
    MCP,MCTS
    18 апреля 2011 г. 3:52
  • У меня такаяже хрень с 7-ой Profeshional,переустановка не помогает ,после очередной перезагрузки она появляется в свойствах папок во вкладке безопасность. Удалял её в ручную-закалебался. А кто такая и откуда ,непонятно. Может кто подскажет ,что-это. Появляется в свойствах папок во вкладке безопасность примерно такая запись:Неизвестная учетная записьS-1-5-21-и полно цифр дальше через тире,а последние три -100 ,102 или103
    18 апреля 2011 г. 19:06
  • Странно, конечно. Компы в сети? Может зараза какая гуляет.

    вот что нашел за 2 минуты гуглинья:

     открываем вкладку «Безопасность» отдельно взятой папки и смотрим там учетные записи. Если находим что-то вроде «неизвестная учетная запись», «S-1-5-21-…», то кидаемся в панику. Я не думаю, что такую учетную запись необходимо сразу удалить (может восстановится тем же способом, что и появилась?), лучше зайти на вкладку «Дополнительно» и понизить ее права до самого тротуара или даже ниже, чтобы нельзя было с ее помощью причинить вред ОС. А далее наблюдаем (в том же диспетчере задач – какой процесс возникает от имени этой учетки?).

    9. Ищем BHO (Browser Helper Object) – помощники, встраиваемые в explorer, iexplore (в основном это относится к поиску Malware). Этот пункт актуален для тех кто задается вопросом – почему антивирус у меня есть, а стартовая страничка браузера постоянно меняется?
    Стартовая страница браузера прописывается в этих ключах реестра:
    HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
    а в нем смотрим параметр StartPage.
    HKEY_USERS\S-1-5-21-....\Software\Microsoft\InternetExplorer\Main
    а в нем смотрим параметр StartPage.
    Ключ «S-1-5-21-….» приведен в качестве примера и может отличаться на разных машинах.
    Смотрите эти параметры – если там www.xxx-ero.ru или что-то вроде этого, то немедленно удаляйте. Я посоветовал бы прописать в этом параметре about:blank и установить ему атрибут «чтение» - проблема со страничкой будет решена, ее никто не изменит и браузер всегда будет стартовать с пустой страницы.
    Объекты типа кнопок, тулбаров и тп. регистрируются в этих ключах реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    Здесь перечислены значения с именем равным CLSID загружаемого объекта. Если у вас нет помощников, то ключ должен быть пустым, если не пуст, то удаляйте и присваивайте атрибут «чтение», чтобы никто не смог там прописаться.
    В ключе реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    находим по CLSID раздел с именем загружаемого CLSID. В нем можно посмотреть параметры объекта, в том числе и путь до загружаемой библиотеки в параметре \InprocServer32\(По умолчанию)= «путь до загружаемого объекта»
    Разделы реестра, отвечающие за загрузку программ, адреса интернет, загрузку BHO в Internet Explorer, также находятся в разделах HKEY_CURRENT_USER и HKEY_USER\.DEFAULT. Не забывайте проверять и их.

    10. Смотрим дополнительно эти ключи реестра (так же в основном для Malware):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
    Значение параметра по умолчанию должно быть "http://"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
    В нем должны находиться параметры со следующими значениями:
    "ftp"="ftp://"
    "gopher"="gopher://"
    "home"="http://"
    "mosaic"="http://"
    "www"="http://"
    Никаких адресов Интернет в этих адресах не должно находиться, если у Вас они там все же есть, то удаляйте, вводите значения по умолчанию и присваивайте указанным ключам атрибут «чтение».

     

     

    http://www.securitylab.ru/virus/395406.php


    MCP,MCTS

     

     

     


    19 апреля 2011 г. 4:08
  • Не стоит ее бояться, это действительно старая учетная запись, ее можно просто удалить. При переустановки ОС права на папки не меняются, остается эта запись. Удалять конечно не удобно, ведь это индивидуальной для каждой папки, но зато это характерно только для сетевых доменных папок, но и для локальных тоже, если предоставлены права для них от доменных записей.

    Конечно перед удалением надо убедиться что сеть нормально работает, поскольку это будет также и для реальных учетных записей, если не удалось получить информацию от контроллера домена. Но ничего смертельного не будет, всяко всегда можно предоставить права по новому, в случае случайного удаления. Удаляется ведь не запись а информация о безопасности. А вот при удаление учетной записи в "Профили пользователей" удаляется и учетная запись и папка с файлами пользователя.

    Но можно сказать, что это не вирус, а артефакты.

     


    http://www.podgoretsky.com
    19 апреля 2011 г. 4:55
  • Хорошо, пусть будем считать что Неизвестная учетная запись (S-1-5-21-346171....) - ЭТО мусор со старой системы, но что такое ( "Неизвестный контакт"(http://s1.ipicture.ru/uploads/20110428/gWWOX2w9.jpg) с правами Владелец) , а и что с "в окне приветствия не отображался новый пользователь, просто написано: "другой пользователь"", и после ввода логина и выхода из системы оставался последний пользователь,  с чем это связано ?
    28 апреля 2011 г. 4:31
  • Если уж лицензионный, и так вышло что там какой то неизвестный затисался, Зайдите с в дополнительные параметры системы - управление профилями - и удалите этого неизвестного, предварительно создав учетную запись с правами Администратора на всякий пожарный. и пройдитесь по безопасности начиная с системного диска и посмотрите остался ли там этот индивид... Если есть то удаляйте спокойно...
    MCP,MCTS
    если я правильно понял:

    http://s1.ipicture.ru/uploads/20110428/S0As7nhp.jpg

    28 апреля 2011 г. 4:52
  • Этот SID (Sequrity Identifier) имеет каждый пользователь, домен, комп(система оперирует ими). Используется и для доступа к защищённым файлам. Создаётся в момент регистрации пользователя, могут оставаться от старой системы. http://support.microsoft.com/kb/243330



    Судя из постов сверху, человек радикально отнесся к переустановке, и переформатил все что можно... Так что вариант хвостов от старой системы отпадает.
    MCP,MCTS
    Это не хвосты, переустановка системы результата не даст, да и не может дать. Если пользователь был, то он будет присутствовать, но имя после переустановок будет отсутствовать, поэтому остаётся SID.
    29 апреля 2011 г. 11:54
  • Простите, вы серьезно считаете, что после форматирования жесткого диска и установки чистой системы (что и проделал автор) где-то останется SID старой учетной записи? Вы не могли бы пояснить механизм данного явления?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    29 апреля 2011 г. 12:13
    Модератор
  • Кроме динамических SID(с некоторым случайным генерированием маркера), есть и предопределённые, например, компьютеры в домене, или некоторые системные процессы. В данном случае, похоже что владелец, только не виден весь SID.
    30 апреля 2011 г. 5:19
  •           То, что вы описали, вполне естественно для компьютера, к которому когда-то был предоставлен доступ по локалке. Аналогичная ситуация бывает также при мультисистемной конфигурации. А если бы папки, к которым был доступ, ещё и принадлежали тому, теперь уже неизвестному пользователю, да ещё имели пароль, то врядли вам удалось бы получить доступ к этим папкам.

               Ненужный идентификатор можно вполне безболезненно удалить. А если вдруг это вирус, то тем более.     

              И если всё-таки сама система изначально кристально чиста, возникают сомнения в использованных вами приложений. Взломанные версии программ вполне могут подсунуть сюрприз. Да и вполне свободные версии также лезут, куда их не просят. Можете сами убедиться в этом, если сможете отследить пути распаковки приложений.

             На мой взгляд, желательно удалить все следы постороннего пользователя, как бы это трудоёмко ни было. И если версия системы позволяет зайти в оснастку lusrmgr, проверить также и там, всё-ли на своих местах. Проверить также целостность системных файлов.

    4 сентября 2011 г. 11:38
  • Такая же проблема как у афтора. Как удалить этого пользователя? ибо достало что не могу удалить папку и вложенные файлы.
    24 января 2012 г. 14:58
  • Подобный пользователь присутствует на папке и файлах Избраного. Домашняя расширеная, лицензия, переустанавливалась начисто, общего доступа нет, того которым я могу управлять. Пользователь я один и Администратор, Гостевая учётка ни разу не активировалась.

    Удалился без проблем.

    Откуда он взялся? След проникновения?

    23 ноября 2012 г. 10:18
  • Мне помогло удалить замену стартовой страницы (пересохранялась как "yamdex"  вот этим :10. Смотрим дополнительно эти ключи реестра (так же в основном для Malware):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
    Значение параметра по умолчанию должно быть "http://" 

    Спасибо за подробную инструкцию.

    16 декабря 2014 г. 22:49
  • Smart_ZS, каждая учетная запись Windows имеет свой ID безопасности SID, который прописывается в свойствах каталогах при их создании. Скорее всего каталоги, о которых вы пишете, созданы не на диске, который вы форматировали, а на другом и остались от учетной записи создателя каталогов предыдущей Windows. исправить ситуацию легко: в свойствах безопасности каталога нажимаете кнопку Дополнительно и в новом окне ищете вкладку смены владельца каталога, меняете владельца на нового, удаляете старого из предыдущего Windows.
    И обязательно проставляете права доступа для вновь созданного владельца как администратор.
    Возможно придётся несколько раз закрывать\открывать окно  свойств каталога.
    Начинать лучше скорневого, используя наследование провести по всему дереву.

    17 декабря 2014 г. 0:06