picasso

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc!

Czy sprawdziłaś w skrzynkach tych serwisów czy aby e-mail aktywacyjny nie wylądował w sekcji Spam?

W logach e-mail forum i serwera nie ma błędów, poza wzmianką "użytkownik nie odpowiedział na e-mail aktywacyjny".  W chwili obecnej trudno mi to sprawdzić namacalnie, gdyż nie posiadam kont w tych serwisach, a dodatkowo darmowa skrzynka Vivaldi jest dostępna na bazie systemu reputacji (aktywny udział w społeczności). Aczkolwiek przypuszczam, że jeśli rzeczywiście e-mail nie dochodzą, to prawdopodobnie chodzi o ustawienie identyfikacji typu SPF lub DKIM. Zajmę się tym.

Przy okazji, czy mam połączyć konto "10minut" z "Medium" pod nazwą "Medium" utrzymując e-mail "10 minute"?

Lista zmian 2024

Rewizje tutorialu:

28/02/2024 Usunięte wszystkie odnośniki do VirusTotal (brak obsługi)
28/02/2024 Dodane objaśnienie "Chrome apps" w sekcji "Zainstalowane programy"
13/03/2024 Dodana dyrektywa Virusscan:
13/03/2024 Zaktualizowany wyciąg z dyrektywy File:
29/03/2024 Zaktualizowane notatki w opisach "Punkty Przywracania systemu" i CreateRestorePoint:
02/08/2024 Sekcja "Network Binding" zaktualizowana

Temat zostanie zamknięty. Bardzo Was proszę takie spory załatwiajcie tam gdzie należy (forum źródłowe). Do licha, nie mam pojęcia co się tam dzieje.

Warto podkreślić, że @iJuliusz prowadzi całkowicie niezależną działalność na różnych forach. Na moim forum został oficjalnym pomocnikiem ze względu na udział w szkoleniu na BleepingComputer i pozytywną opinię przekazaną mi w kuluarach od nauczycieli prowadzących.

Zdrowych i radosnych Świąt Wielkanocnych!

@Markiz

Czy są jeszcze jakieś problemy? Początkowo zgłaszałeś też "komputer coraz bardziej zwalnia", toteż czy to nadal ma miejsce?

PS. Zapomniałam skomentować:

W dniu 15.01.2024 o 01:32, Markiz napisał(a):

Defender niczego nie zgłasza ale nie wiem gdzie ma historię :-).

Historia Defendera: Ustawienia > Aktualizacje i zabezpieczenia > Zabezpieczenia Windows > Ochrona przez wirusami i zagrożeniami > Bieżące zagrożenia (Historia ochrony)

To powinno być wyczyszczone i nie powinieneś widzieć tego co wcześniej. Jeśli nadal tam coś widać, to jest to pochodna innego mechanizmu niż standardowa Ochrona w czasie rzeczywistym i wyczyszczenie takiej historii to duży ból głowy (trzeba ubić całego Defendera przed wdrożeniem usuwania).

Być może trzeba się wstrzymać. Właśnie się zorientowałam, że u mnie 5 dni temu był ten sam problem z instalacją KB5034441, tylko że przeoczyłam to nie siedząc przy komputerze. Windows Update raportuje, że "Wszystko jest aktualne" i nie podstawia mi tej aktualizacji do powtórnej instalacji. To być może świadczy o tymczasowym jej wstrzymaniu na komputerach nie spełniających wymogów partycji RE i fazą pracy nad nową aktualizacją.

Aktualizacja wedle opisu jest pod scenariusz z szyfrowaniem dysków Bitlocker, więc teoretycznie nie stosując tego szyfrowania nie ma po co się "zabezpieczać". Ponadto MS twierdzi: "Pracujemy nad rozwiązaniem tego problemu i udostępnimy aktualizację w najbliższej wersji.".

Aczkolwiek (jeśli MS nie wymyśli "automatu" wykonującego czarną robotę za użytkownika) za mała partycja RE może się okazać przeszkodą w przyszłości i kroki z jej tworzeniem będą nie do uniknięcia.

Problem z instalacją aktualizacji KB5034441 jest opisany przez Microsoft tutaj. By aktualizacja pomyślnie się zainstalowała, jest wymagane 250MB wolnego miejsca na ukrytej partycji RE. Patrząc na spis ukrytych woluminów, środowisko RE to powinna być ta druga pozycja i jest zbyt mało wolnego miejsca:

==================== Dyski ================================

\\?\Volume{80348e04-0000-0000-0000-100000000000}\ (Zastrzeżone przez system) (Fixed) (Total:0.05 GB) (Free:0.02 GB) NTFS
\\?\Volume{80348e04-0000-0000-0000-b01a77000000}\ () (Fixed) (Total:0.52 GB) (Free:0.08 GB) NTFS

Sposobem na obejście tego jest niestety utworzenie nowej partycji RE wg kroków podlinkowanych przez MS.

Dziwna sprawa, bo ten pierwszy Fixlog po zatrzymaniu FRST jest kompletny, ale definitywnie nie zgadza się ilość wyczyszczonych Dzienników zdarzeń (o wiele mniej niż przewidywane). Drugi Fixlog pokazuje już kompletne wyzerowanie Dzienników.

Czyli teraz zrób świeże raporty z FRST. Podaj czy Historia Defendera jest pusta i co z Zaporą.

To nie jest normalne. Zakończ proces FRST via Menedżer zadań. Następnie sprawdź czy w pliku fixlog.txt jest cokolwiek związanego z tym konkretnym fiksem (być może częściowo informacje nagrane gdzie FRST zastopował).

Podejrzewam, że być może czyszczenie historii skanu Defendera jest problemem. Spróbuj ograniczyć fiks do:

EmptyEventLogs:
Reboot:

Wygląda na to, że program w starszej wersji wykonał robotę. Teraz jeszcze usunięcie ograniczenia i czyszczenie logów Defendera.

Uruchom FRST. CTRL+Y i wklej poniższą treść, zapisz przez CTRL+S. Klik w Napraw.

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
EmptyEventLogs:
Reboot:

Przedstaw wynikowy fixlog.txt.

Dodaj świeże raporty FRST. Sprawdź czy historia detekcji w Defenderze jest pusta. Opisz na czym stoimy.

Wg komentarzy tutaj ten błąd zdaje się być bugiem w najnowszej dostępnej wersji 3.1.2.86.

Wygrzebałam z maszyny wirtualnej starą 64-bitową wersję SetACL 3.0.6.0. Pobierz i podmień SetACL.exe w folderze C:\Windows. Następnie wykonaj to samo co w poprzednim poście i pokaż zrzut ekranu.

Na szybko, bo muszę się oddalić i nie będzie mnie do późna (a nawet jutra).

Wg Fixlog kopia zapasowa C:\fix.txt została otworzona, ale prawie nic nie zostało załadowane, zatrzymanie nastąpiło na pierwszym kluczu od góry:

Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\MpsSvc>

Sprawdź co poda oryginalna linia komend. Tzn. w polu szukania wklep cmd, wybierz opcję Uruchom jako Administrator, do okna wklej i ENTER:

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\fix.txt

Czekaj cierpliwie dopóki SetACL nie ukończy działania (przejście do mrugającego C:\Windows\system32>). Pokaż zrzut ekranu z tego.

W kwestii uprawnień, naruszenie nastąpiło na pewno w podkluczach PortKeywords:

===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================

W naturalnych okolicznościach klucze mają "Odmowę dostępu" z poziomu FRST (program działa w kontekście konta administracyjnego a nie SYSTEM):

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP":

5
{EMPTY}

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn":

5
{EMPTY}

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut":

5
{EMPTY}

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap":

5
{EMPTY}

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo":

5
{EMPTY}

===================================
===================================

Ich uprawnienia można podglądnąć tylko poprzez uruchomienie regedit lub FRST z poziomu konta SYSTEM (np. za pomocą programu AdvancedRun). Ponadto pokazane tu uprawnienia są niewłaściwe. Te widziane z poziomu konta SYSTEM wyglądają tak:

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\Dhcp	ALLOW	Create content/Delete content	(CI)
S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\iphlpsvc	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\iphlpsvc	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\RpcSs	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\iphlpsvc	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================

=============================================

Dla pewności załaduję kopię uprawnień dla całego klucza Zapory. Użyjemy SetACL, gdyż już go masz na dysku:

2024-01-07 14:45 - 2021-06-27 00:10 - 000616312 _____ (Helge Klein) C:\Windows\SetACL.exe

1. Wklej do Notatnika poniższą treść i zapisz jako C:\fix.txt (upewnij się, że nie będzie "podwójnego" rozszerzenia C:\fix.txt.txt).

"machine\SYSTEM\CurrentControlSet\Services\MpsSvc",4,"O:SY"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters",4,"O:SY"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\ACService",4,"O:SYD:PAI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;CIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs",4,"O:SYD:PAI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;CIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs\AppCs",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords",4,"O:SY"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CI;CCDC;;;S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Security",4,"O:SY"

2. Uruchom FRST. CTRL+Y i wklej poniższą treść, zapisz przez CTRL+S. Klik w Napraw.

cmd: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\fix.txt
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\ACService
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs\AppCs
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Security
ExportKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender

Przedstaw wynikowy fixlog.txt.

Na razie nie resetuj komputera i nie próbuj podejmować innych akcji z Zaporą.

Sprawdzenie Fixlog zajmie mi trochę.

Co do trojana to owszem to było widoczne od początku i po wyczyszczeniu Dziennika zdarzeń detekcje nadal występują. Windows Defender czepia się w kółko pliku na Pulpicie i jego rozpakowanej wersji w D:\TEMP:

Ścieżka: file:_C:\Users\Włodek\Desktop\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.20433\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.22152\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.27243\stds keygen.exe; process:_pid:9136,ProcessStart:133482772497033166
Pochodzenie wykrycia: Komputer lokalny

Nazwa pliku jest oczywista, plik niepewny i do skasowania wszystkie jego wystąpienia. Ponadto, o ile w ostatnim logu nie widać wpisów ładowania infekcji, to nagle pojawiły się blokady Windows Defender:

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

O ile to nie Ty ręcznie podjąłeś czynności, by Defendera wyłączyć, to wpisy mogą pochodzić z tego "keygena".

Usterka związana ze złą grupą usługi (i wg mnie to usterka wtórna powstała podczas samodzielnych prób naprawy) została skorygowana. Teraz został odkryty błąd zasadniczy:

Dziennik System:
=============
Error: (01/13/2024 03:15:10 AM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Usługa mpssvc zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: 
Odmowa dostępu.

Podaj spis uprawnień kluczy, gdzie należy się spodziewać specjalnych kont systemowych. Tzn. ładuj kolejny Fix do FRST o treści:

ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy

Przedstaw wynikowy fixlog.txt.

Jestem już zbyt zmęczona, by przeprowadzić analizę wyników. Jutro po południu spodziewaj się mnie.

Definitywnie jest tu ten uszczerbek:

W dniu 12.01.2024 o 02:18, picasso napisał(a):

W/w błąd to wynik tego, że w Windows 7 usługa Zapory należy do grupy LocalServiceNoNetwork zaś w Windows 10 do grupy LocalServiceNoNetworkFirewall.

"Coś" zmieniło przynależność grupową usługi na odpowiadającą starszemu systemowi:

Cytat

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"ImagePath"="%SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork"

vs.

Cytat

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"LocalServiceNoNetworkFirewall"="BFE*mpssvc"
"LocalServiceNoNetwork"="DPS*PLA*NcdAutoSetup*CoreMessagingRegistrar"

========================================

Do przeprowadzenia następujące działania:

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,6f,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,46,00,69,00,\
  72,00,65,00,77,00,61,00,6c,00,6c,00,20,00,2d,00,70,00,00,00
EndRegedit:
cmd: sc sdset mpssvc D:(A;;CCLCLORC;;;AU)(A;;CCDCLCSWRPLORCWDWO;;;SY)(A;;CCLCSWRPLORCWDWO;;;BA)(A;;CCLCLO;;;BU)S:(AU;FA;CCDCLCSWRPWPDTLOSDRCWDWO;;;WD)
Powershell: type C:\FRST\Quarantine\C\Windows\System32\GroupPolicy\Machine\registry.pol.xBAD
2024-01-05 16:54 - 2024-01-05 16:54 - 000000000 _____ C:\autoexec.bat
2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\Windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP
2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\sh4ldr
EmptyEventLogs:
Reboot:

Fixlist jest pusty (jakby nic nie skopiowało się ze schowka). Powtórz kroki, by wyprodukować raport.

@Markiz

Na chwilę obecną podstawowy błąd Zapory to:

Cytat

Dziennik System:
=============
Error: (01/10/2024 05:28:43 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi Zapora Windows Defender z powodu następującego błędu:
Program wykonywalny, w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi.

Ten błąd zapewne wyprodukowałeś własnoręcznie próbując ładować pliki z mojego opisu rekonstrukcji Zapory dedykowanego wyłącznie Windows 7. W Windows 10 są zasadnicze różnice w kluczach rejestru i nie można w ciemno brać importów ze starszego systemu. W/w błąd to wynik tego, że w Windows 7 usługa Zapory należy do grupy LocalServiceNoNetwork zaś w Windows 10 do grupy LocalServiceNoNetworkFirewall. I to zapewne nie jedyny uszczerbek związany z nieprawidłowymi importami.

Poproszę o więcej danych co właściwie jest obecnie w rejestrze. Tzn. uruchom FRST, CTRL+Y i do Notatnika wklej poniższy tekst, klik w Napraw:

ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BFE
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\mpsdrv
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\DoSvc
ExportValue: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender Security Center
ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Notifications\Settings
cmd: sc sdshow BFE
cmd: sc sdshow MpsSvc
cmd: sc sdshow mpsdrv
cmd: sc sdshow SharedAccess
cmd: sc sdshow DoSvc

Podaj wynikowe rezultaty.

@Markiz

Dostarcz raporty z FRST, ponieważ wedle opisu zgłaszasz więcej problemów i być może należy podjąć dodatkowe działania.

Szczęśliwego Nowego Roku!

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc!

Lista zmian 2023

Rewizje tutorialu:

03/09/2023 Zaktualizowany zrzut ekranu w celu pokazania nowej opcji "Zaplanowane zadania" w sekcji Filtrowanie
03/09/2023 Do nagłówka dodany docelowy plik wykonywalny FRST
03/09/2023 Dodana dyrektywa Symlink:
03/09/2023 Dodane czyszczenie pamięci podręcznej DNS do dyrektywy EmptyTemp:
03/09/2023 Korekta różnych linków
13/12/2023 W sekcji Rejestru dodane przekierowania folderów Startup
13/12/2023 Opis dyrektywy Unlock: skorygowany i odchudzony
13/12/2023 Korekta notatki dotyczącej uszkodzonej zmiennej Path

@kacper6768

Temat zamykam zanim pójdzie do kosza. Już kilka razy zostałeś zgłoszony przez użytkowników jako spamer, a Twoje tematy do usunięcia. Co więcej, zakładasz masowo te same tematy na innych forach dyskusyjnych.

Wprawdzie "Relaxation Room" to miejsce na różne luźne pogawędki, ale należy tu jednak postawić granice co pasuje do "relaksu" na forum o tematyce komputerowej. Większość poruszanych przez Ciebie tematów powinno się znaleźć w zupełnie innych miejscach w sieci. Zaś problemy zdrowotne powinny być omawiane z profesjonalistami a nie losowymi użytkownikami forum.