Skocz do zawartości
Ten temat
14 stycznia 2020 - Koniec wsparcia Microsoftu dla Windows 7 ×
Zakładanie tematu: pomocne raporty i informacje

UAC - samo zmienia się na najwyższy poziom

EDgar8

Przez EDgar8
w Windows 7

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
EDgar8

EDgar8

Opublikowano
  • Autor
Opublikowano

Tak jak pisałem (lub nie) wpisy się jakby same kasują. 

SystemLook 30.07.11 by jpshortstuff
Log created at 09:50 on 19/03/2016 by Asus
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
(No values found)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit]
(No values found)


-= EOF =-

Logi są aktualne bo wykonywałem je kiedy chciałem uzyskać pomoc właśnie na ten temat, ale proszę świeże:
http://wklejaj.pl/551x
http://wklejaj.pl/551x

http://wklejaj.pl/551x

Odnośnik do komentarza
Groszexxx

Groszexxx

Opublikowano
Opublikowano

W ogóle nie masz wpisów odpowiedzialnych za UAC.  

 

Otwórz notatnik, nazwij go fixreg.reg (Najpierw musisz zmienic widok, wg tej instrukcji http://windows.microsoft.com/pl-pl/windows/show-hide-file-name-extensions#show-hide-file-name-extensions=windows-7)

i wklej do niego: 

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"scforceoption"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"FilterAdministratorToken"=dword:00000000
"LocalAccountTokenFilterPolicy"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats]
"CF_TEXT"=dword:00000001
"CF_BITMAP"=dword:00000002
"CF_OEMTEXT"=dword:00000007
"CF_DIB"=dword:00000008
"CF_PALETTE"=dword:00000009
"CF_UNICODETEXT"=dword:0000000d 
"CF_DIBV5"=dword:00000011

 

Zapisz, zamknij, następnie kliknij 2x na niego i wprowadź zmiany do rejestru, uruchom ponownie komputer, zmień uac, ponownie uruchom ponownie i zobacz czy zmiany zostaną zachowane. 

 

I trzeba by jeszcze odbudować zaporę zgodnie z zawartością tego tematu https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/

Odnośnik do komentarza
Groszexxx

Groszexxx

Opublikowano
Opublikowano

Kolega w ogóle wysuwa złe wnioski. Przecież w trybie awaryjnym działa po dodaniu klucza. Sam pisałeś, że wcześniej w awaryjnym nie działało. Na dokładkę tylko część z nich została na stałe. 

 

Może spróbuj dodać też te klucze (uruchomienie pliku reg, o którym pisałem wyżej - bezpośrednio w trybie awaryjnym) 

 

Druga sprawa, że tutaj nie ma co wróżyć z fusów, potrzeba się opierać na konkretnych informacjach.  Sztuką jest oczywiście wiedzieć, na których. Tak jak pisałem wcześniej - miałeś ogołocone wpisy odnośnie UAC. Widać to w logu FRST. Typ, który Ci pomagal na forum nawet go wkleił, jednakże zabrakło wniosków, że brak wartości oznaczał iż nie miał ich skąd pobrać. Druga sprawa, że to Kolega robi źle, że sprawę prowadzi równolegle w różnych miejscach. To prowadzi do całkowitej dezinformacji. 

Skąd ja mam wiedzieć co Ci radziło tych trzech typów z chata? Co kazali Ci edytować i pozmieniać? 

 

Kolejnym faktem jest uszkodzenie dwóch usług systemowych, a przynajmniej ich wyłączenie. Jestem w trakcie pisania co masz zrobić, ale to potrwa.  

 

Cofniemy kolejność i zaczniemy od przywrócenia tych usług. 

 

I kolejna rzecz - masz może punktu przywracania systemu? Kopie rejestru w C:\Windows\System32\config (jeśli włączyć pokazywanie rozszerzeń to powinny mieć rozszerzenie bak lub iobit, bo widzialem, ze tego programu uzywales) lub w C:\Windows\System32\config\RegBack . Zrób screena i pokaż daty. 

Odnośnik do komentarza
EDgar8

EDgar8

Opublikowano
  • Autor
Opublikowano

Chodzi o to, że w trybie awaryjnym są te klucze, ale i tak zmian żadnych na tryb normalny nie zapisze.
Punktu nie mam.
Inni konsultanci za bardzo nic nie poradzili i nie kazali zmieniać przez jakieś zaawansowane opcje. Tylko polecali np. dysk naprawy, dodanie wpisów czy użycie narzędzia MS.
http://prntscr.com/ahsq4i
http://prntscr.com/ahsqdw
http://prntscr.com/ahsqn1

 

Już piszę. Jedyny użytkownik (Administrator).
http://prntscr.com/ahstco
Patrząc na to to nawet mogę podejrzewać że ten program coś pomajstrował, ale nie zauważałem, żadnych błędów od grudnia, a programu nie aktualizowałem.

Odnośnik do komentarza
Groszexxx

Groszexxx

Opublikowano
Opublikowano

Zrób kopie obecnego rejestru za pomocą programu ERUNT http://www.bleepingcomputer.com/download/erunt/dl/97/

Pobierz wersje zip i uruchom Erunt.exe jako administrator, po uruchomieniu programu wciśnij OK. 

Przywróć też za pomocą tego Advanced Care  rejestr do jakiegoś odległego punktu - np. z lutego, możesz też spróbować do pierwszego jaki w ogóle jest dostępny i ponowić procedurę z postu 7. 

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt /s

Odnośnik do komentarza
EDgar8

EDgar8

Opublikowano
  • Autor
Opublikowano

 

  Pokaż ukrytą zawartość

 

 

Przywracałem aż do 20.02

 

 

  Pokaż ukrytą zawartość

 

 

Przywracałem nawet dalej i to w trybie awaryjnym.

 

Może nie działa dlatego, że program przywraca swoje zmiany?

Odnośnik do komentarza
Groszexxx

Groszexxx

Opublikowano
Opublikowano

Ta część Advanced Care robi tylko kopie rejestru, nic więcej.

 

Klucz zaś jest w porządku. 

Szukamy dalej, kolejna porcja: 

stwórz plik fixlist w tym samym folderze co FRST i wklej do niego: 

 

  Cytat

CMD: sc query winmgmt

CMD: winmgmt /salvagerepository

ListPermissions: C:\Windows\System32\LogFiles\WMI

ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup

następnie zapisz, uruchom frst i kliknij "napraw"

 

Fixlog wstaw tutaj.

Odnośnik do komentarza
EDgar8

EDgar8

Opublikowano
  • Autor
Opublikowano

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:05-03-2016 01

Uruchomiony przez Asus (2016-03-22 21:01:12) Run:1

Uruchomiony z C:\Users\Asus\Desktop

Załadowane profile: Asus (Dostępne profile: Asus & Administrator)

Tryb startu: Normal

==============================================

 

fixlist - zawartość:

*****************

CMD: sc query winmgmt

CMD: winmgmt /salvagerepository

ListPermissions: C:\Windows\System32\LogFiles\WMI

ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup

*****************

 

 

========= sc query winmgmt =========

 

 

SERVICE_NAME: winmgmt

TYPE : 20 WIN32_SHARE_PROCESS

STATE : 4 RUNNING

(STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)

WIN32_EXIT_CODE : 0 (0x0)

SERVICE_EXIT_CODE : 0 (0x0)

CHECKPOINT : 0x0

WAIT_HINT : 0x0

 

========= Koniec CMD: =========

 

 

========= winmgmt /salvagerepository =========

 

Repozytorium WMI jest spójne.

 

========= Koniec CMD: =========

 

===================================

uprawnienia "C:\Windows\System32\LogFiles\WMI":

 

Owner: BUILTIN\Administrators

 

DACL(PAI):

 

NT AUTHORITY\SYSTEM ALLOW FULL (OI-CI)

NT AUTHORITY\LOCAL SERVICE ALLOW FULL (OI-CI)

NT AUTHORITY\NETWriteOwner+RK SERVICE ALLOW FULL (OI-CI)

BUILTIN\Administrators ALLOW FULL (OI-CI)

LU ALLOW FULL (OI-CI)

 

===================================

===================================

uprawnienia "C:\Windows\System32\LogFiles\WMI\RtBackup":

 

Owner: BUILTIN\Administrators

 

DACL(P):

 

BUILTIN\Administrators ALLOW FULL (OI-CI)

 

===================================

 

==== Koniec Fixlog 21:01:16 ====

Odnośnik do komentarza
EDgar8

EDgar8

Opublikowano
  • Autor
Opublikowano

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:05-03-2016 01
Uruchomiony przez Asus (2016-03-23 14:57:30) Run:2
Uruchomiony z C:\Users\Asus\Desktop
Załadowane profile: Asus (Dostępne profile: Asus & Administrator)
Tryb startu: Normal
==============================================

fixlist - zawartość:
*****************
CMD: icacls C:\Windows\System32\LogFiles\WMI\RtBackup /grant SYSTEM:F /T
Reboot:
*****************


========= icacls C:\Windows\System32\LogFiles\WMI\RtBackup /grant SYSTEM:F /T =========

przetworzono plik: C:\Windows\System32\LogFiles\WMI\RtBackup
przetworzono plik: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
przetworzono plik: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl
przetworzono plik: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
przetworzono plik: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
przetworzono plik: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl
Liczba plików przetworzonych pomyślnie: 6; liczba plików, których przetwarzanie nie powiodło się: 0.

========= Koniec CMD: =========



System wymagał restartu.

==== Koniec Fixlog 14:57:30 ====

 
http://wklej.to/efIX-
http://wklej.to/WeBJ-
http://wklej.to/MXVq-

Odnośnik do komentarza
EDgar8

EDgar8

Opublikowano
  • Autor
Opublikowano

Właśnie dlatego uruchomiłem:

 

  Pokaż ukrytą zawartość

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...