user.dat

Múze mi nekdo ríct, co vsechno vyvádí soubor USER.DAT? Podle vsech dostupných zdrojú to má být vedle SYSTEM.DAT druhý soubor, kde jsou ulozeny registrace. Jenze chová se trochu podivne, predevsím nereaguje na editace (konkrétne vymazávky) Regeditem, ty se projeví jenom v SYSTEM.DAT, v USERovi zústává vsechno pri starém a to i po rebootu (s úplným vypnutím kompu) i po vycistení CCleanerem. Jsou pak aplikace, které by mely na úpravu regeditem zareagovat a nereagují, podle vseho se informují v USERovi.

Kdyz si oba soubory prohlízím WordPadem, nacházím v tom málu, co je citelné, pomerne dost shodností. USER je pri tom asi 7x vetsí nez SYSTEM. €dit 21:00 - následující je spatne, tím i dúsledná myslenka níze: Vzhledem k tomu mám podezrení, ze na zacátku po instalaci jsou oba shodní, ale USER roste tím, ze bere vsechno, co se do registrací pridává, ale nemaze nic, co SYSTEM maze. Kdyz jsem po tomhle problému guglil, nasel jsem i stíznosti, co je v USERovi hnoje, co tam vlastne nemá co delat; lidi tam nacházejí treba i pod kterým jménem pred lety ulozili nejaký soubor, co jinak uz dávno neexistuje ap. - delikátní zrádlo pro trojany, nehlede na to, ze i jinak se kvúli tomu komp múze chovat proti vúli uzivatele.

€dit 21:00 - v dúsledku omylu výse je následující myslenka je spatne: Tak me napadá, pokud by se nenaslo lepsí resení, co by to udelalo vyhodit ho a nahradit príslusne prejmenovanou kopií SYSTEMa?

Vyzná se nekdo v tomhle, ze k tomu múze podat spolehlivou informaci?

Rozepsane je to treba tady http://technet.microsoft.com/en-us/l.../cc751049.aspx

Tedy jeden obsahuje registry v HKLM casti, druhy HKU resp. HKCU.
Jinak odpoved na otazku bych vzal strucne: nevymyslej kraviny :)

Pokud citis, ze jsou windows zahnojene, tak muzes smazat profil (user cast), popr. preinstalovat cele. Zadne cistice registru neinstalovat, nepouzivat.

pokud se nepletu, tak v user.dat je obsah HKEY_LOCAL_USER - tj. nech ho na pokoji :-)

Díky vám obema. Mezitím jsem zjistil, ze jsem se nejak prekouk, USER není vetsí nez SYSTEM, je to - celkem podle ocekávání - naopak. Tím padá i ta myslenka ohledne mazání USERa a jeho nahrazením kopii SYSTEMa.

Zústává ovsem, ze jsem potreboval z registrací vyhodit vse co souvisí s jednou malou utilitkou, která mi nechce bezet. Vyhledávání Windows mi jí naslo púvodne v obou souborech, kontrola pres WordPad ukázala, ze v obou je to ve stejné forme a i prinejmensím nejblizsí okolí v rámci souboru (nekolik rádkú na monitoru) je stejné. Kdyz jsem to nasel pomocí Regeditu a odstranil (bylo to tam jen jednou), zmizelo to jenom ze SYSTEMa, v USERovi to zústalo a Utilitka stávkuje stejným zpúsobem jako pred tím (tvrdí mi, ze mám vybehlou zkusební dobu 30 dní, kdyz jsem ji akorát cerstve stáhnul a na 1. pokus - bez rádné instalace - vypadala ze bezí. Pri opakované kontrole registrací to RegEdit nenachází, takze tam je to podle vseho pryc; o to víc ovsem zarází, ze to v tom USERovi porád trcí a utilitka ocividne ví, ze jsem se uz pokusil ji pouzít (v jejích vlastních souborech nejsou oproti originálu zádné zmeny).

Jednodussi varianta: Utilitku zkouset ve virtualu
Tezsi varianta: S pomoci procmonu si zjistit, kam vsude si cte/zapisuje

Tak jsem to zkusil metodou procmon, ale je toho tolik, ze jsem z toho zatím dost tumpachovej. Tech 1. 6 rádek bude spustení pres file shortcut, takze nedúlezité. Pak uz ovsem zacíná rada záznamú se souvislostí (utilitka se jmenuje Hdsleep), prerusená Taskmonem (ani uz nevím, ze ho mám v provozu), co taky sotva bude mít vliv a konec asi od r. 151 bude uz jen hláska, ze to neslo a konec.

Je to pokus o spustení bez instalace, jen s príslusným exe-souborem - vec, která na 1. pokus podle vseho sla, od 2. pokusu ale vzdoruje jak výse uvedeno. Zkusil jsem to jeste se svým rezervním klonem systémového disku a tam se opakovalo totéz: 1. pokus vypadal OK, od 2. ale taky jen hláska, ze uz mám po zkusební dobe. Rozdíl je akorát ten, ze tam nezústává ten klíc HKCU\Software\MWolf\HDSleep (rádek 33; jediný klíc, kde figuruje jméno Hdsleep nebo jméno autora M. Wolf) viset v souboru USER.DAT, i kdyz je z registrací smazán.

Pak je mezi tím nejaký MMTASK, následovaný záhadnými 7 pozicemi s pokazdé 3 otazníky (62..69). Pak v pozici 97 zacne jakýsi Mprexe opakovane tvorit klíc HKCU\Network\Persistent a v nem otvírat neexistující podklíce. Ten HKCU\Network\Persistent existuje, ale je prázdný.

Tak nevím, kde z tohodle najednou zacne brát informaci, ze jsem ten program mel mít uz 30 dní v provozu...