UAC - samo zmienia się na najwyższy poziom

[EDgar8]

Najnowsze logi FRST bo tamte już są nieaktualne

Addition.txt

Shortcut.txt

FRST.txt

[EDgar8]

Rozumiem, że dużo osób oczekuje pomocy, ale czy mogę coś wiedzieć czy uda się pomóc w tej sprawie?

[picasso]

Chodzi mniej więcej o to dlaczego każesz mi zakładać nowe konto jak mam stare i dlaczego na starym Administrator nie działa a na nowym Administrator zadziała.

A po to to jest, by sprawdzić czy sprawa jest tylko na poziomie konta / kont podobnego typu a nie globalna, bo konto Asus może być uszkodzone, mogą być takie naruszenia, których naprawa jest nieopłacalna lub nie będzie możliwa. Na dodatek robiłeś bardzo dziwne operacje na tym koncie:

 

Nie wiem czy ten trop jest prawdziwy, ale na tym odblokowanym koncie administratora UAC było prawidłowe, więc skopiowałem tam wszystkie pliki z tego konta (łącznie z AppData) a dziś patrzę i UAC jest podwyższone.

Z tego co rozumiem kopiowałeś jakieś pliki z wbudowanego Administratora do konta Asus, to kopiowanie "włącznie z Appdata" wygląda bardzo podejrzanie. Stan poprawności konta Asus jest teraz nie do potwierdzenia, nie wiadomo co nadpisałeś. A ustawienia UAC nie są trzymane w folderach na dysku.

 

Proszę o jasną odpowiedź, czy obecnie będąc zalogowanym na koncie Open (a nie Asus) występuje problem z przestawianiem się UAC. Jeśli nie, to uważam, że komplikujesz sprawy próbując naprawić konto które nie działa poprawnie. Generalnie na razie wysunęłam takie wnioski na temat tego UAC:

 

 

Chodzi o to, że w trybie awaryjnym są te klucze, ale i tak zmian żadnych na tryb normalny nie zapisze.

(...)

na tym odblokowanym koncie administratora UAC było prawidłowe

Wygląda to na problem osadzony po stronie konta Asus lub kont tego samego typu (dlatego drążony tu jest wątek nowego konta), a odczyt z narzędzi sugeruje brak uprawnień do klucza lub inną usterkę tego poziomu uniemożliwiającą otworzenie klucza. Klucz ustawień UAC jest globalny (HKLM), czyli jego zawartość jest prezentowana identycznie dla każdego konta, które ma uprawnienia, by go odczytać. Klucz wyglądał z poziomu dwóch różnych kont inaczej: wbudowany Administrator go widział poprawnie jako pełny, ale konto Asus widziało klucz jako "pusty". Klucz nie może być pusty, skoro jedno z kont widziało jego zawartość i ma działający UAC. Wnioski: konto Asus nie może się dostać do zawartości klucza. Nie wiadomo dlaczego, czy jest to problem uprawnień konta czy też uszkodzenia tego konta. Na razie to podaj dane o uprawnieniach klucza, tzn. z poziomu konta Asus:

 

Do Notatnika wklej:

 

ListPermissions: HKLM\SOFTWARE\Microsoft
ListPermissions: HKLM\SOFTWARE\Microsoft\Windows
ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
CMD: net user Asus

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

 

 

 

PS. A problemu WMI w ogóle nie zanalizowałam jeszcze.

[EDgar8]

1. Kopiowałem z Asus na Administrator (wiem, radykalne kroki)

2. Na koncie Open także jest UAC który nieprawidłowo funkcjonuje

 

Fixlog.txt

[picasso]

1. Kopiowałem z Asus na Administrator (wiem, radykalne kroki)

Trzeba będzie usunąć ten zmodyfikowany folder. Konto zostało już wyłączone, więc będzie to można zrobić. Ale to nie takie istotne, potem podam co i jak. Nic nie kombinuj ręcznie.

 

 

2. Na koncie Open także jest UAC który nieprawidłowo funkcjonuje

Czyli z tego by wynikało, że usterka jest jednak globalna, bo widzę we wcześniejszym poście, że wspominałeś, iż nagle na Administratorze też przestało działać. Poproszę o kopię rejestru do wglądu. Ta utworzona przez FRST pochodzi sprzed wielu manipulacji tu już prowadzonych, więc wygeneruj nową za pomocą narzędzia RegBak. Folder z kopiami plików rejestru spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Analiza tego może zająć dużo czasu, nie obiecuję nic.

[EDgar8]

Proszę: http://www17.zippyshare.com/v/umQ46hNE/file.html

[picasso]

Mam pytanie, bo ten punkt wprowadził zamieszanie (rzekoma widoczność zawartości klucza):

 

Chodzi o to, że w trybie awaryjnym są te klucze, ale i tak zmian żadnych na tryb normalny nie zapisze.

Co ten tekst miał oznaczać, tzn. na co patrzyłeś w rejestrze? Czyżby na same klucze a nie co zawierają? Klucze są od początku, tylko są puste. Chodzi cały czas o import wartości w tych kluczach. Groszexxx już prawidłowo to wytypował na podstawie raportu FRST i zadał operację importu do rejestru, tylko właśnie fakt samego importu nie został tu objaśniony. Skwitowałeś sprawę słowami "Nie poskutkowało". Zero informacji co się działo podczas importu pliku, czy wystąpił jakiś błąd, na czym polegało "nie zapisywanie zmian".

 

Druga sprawa, są inne niekorzystne zmiany względem pierwszych raportów (nie było wcześniej tych usterek):

 

- Widać nieukrytą usługę Microsoftu i korespondujący błąd w Dzienniku. Usługa ta jest uszkodzona (zdewastowany podklucz Parameters):

 

S2 LanmanWorkstation; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)

S2 LanmanWorkstation; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
 

Dziennik System:

=============

Error: (04/24/2016 04:07:03 PM) (Source: Service Control Manager) (EventID: 7023) (User: )

Description: Usługa Stacja robocza zakończyła działanie; wystąpił następujący błąd:

%%2

 

- Usługa Winmgmt wygląda inaczej niż wcześniej. Określone dane (Description, DisplayName i Group) są niepoprawne, wyglądają jak zaimportowane ze starego systemu XP. I ta niezgodność danych pojawiła się w trakcie napraw w temacie - Groszexxx pobierał na początku dane z rejestru i usługa wyglądała OK. Wnioski się nasuwają takie, że ten "Windows Repair (All In One)" wykonał niepoprawny "reset WMI", bo nie widzę tu innej możliwości skąd zmiana danych... Dla pewności cały klucz usunę i zaimportuję "na czysto".

 

- Zawartość klucza SafeBoot przestała być domyślna. Zostały dodane klucze, które nie występują w domyślnym układzie. I też się zdaje, że to robota "Windows Repair (All In One)". Ten wątek omijam na razie.

 

Jeśli chodzi o uszkodzone WMI, sprawa nadal będzie wymagać analizy (nie przejrzałam wszystkich poprzednich materiałów).

 

 

---

 

Kolejne podejście z importem rejestru, w szerszym zakresie:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\AVG]
 
[-HKEY_CURRENT_USER\Software\Chromium]
 
[-HKEY_CURRENT_USER\Software\KasperskyLab]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PandaAgent]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BLEServicesCtrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BTMTrayAgent]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments]
"ScanWithAntiVirus"=dword:00000003
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001
"{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"scforceoption"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"FilterAdministratorToken"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats]
"CF_TEXT"=dword:00000001
"CF_BITMAP"=dword:00000002
"CF_OEMTEXT"=dword:00000007
"CF_DIB"=dword:00000008
"CF_PALETTE"=dword:00000009
"CF_UNICODETEXT"=dword:0000000d
"CF_DIBV5"=dword:00000011
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN]
"Local Page"="C:\\Windows\\SysWOW64\\blank.htm"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\8052240E.sys]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cpuz136]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cpuz138]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IntcAzAudAddService]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,6b,00,73,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"EnablePlainTextPassword"=dword:00000000
"EnableSecuritySignature"=dword:00000001
"RequireSecuritySignature"=dword:00000000
"OtherDomains"=hex(7):00,00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[-HKEY_USERS\S-1-5-18\SOFTWARE\Policies\Microsoft\Internet Explorer]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG na Pulpicie

 

Plik ten będzie importowany za pomocą FRST a nie ręcznie.

 

2. Otwórz Notatnik i wklej w nim:

 

Reg: reg import C:\Users\Asus\Desktop\fix.reg


CMD: sc sdset winmgmt D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

CMD: type C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\42h046m9.default-1457814586723\user.js

Reboot:

 

Plik zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie plik fixlog.txt.

 

3. Wyczyść błędy w Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System. Rozwiń gałąź Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawoliku wyczyść Operational. Po czyszczeniu zresetuj system, by zostały złapane nowe błędy.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition i tylko plik Addition dostarcz. Dołącz też fixlog.txt.

[EDgar8]

Mam pytanie, bo ten punkt wprowadził zamieszanie (rzekoma widoczność zawartości klucza):

 

 

Co ten tekst miał oznaczać, tzn. na co patrzyłeś w rejestrze? Czyżby na same klucze a nie co zawierają? Klucze są od początku, tylko są puste. Chodzi cały czas o import wartości w tych kluczach. Groszexxx już prawidłowo to wytypował na podstawie raportu FRST i zadał operację importu do rejestru, tylko właśnie fakt samego importu nie został tu objaśniony. Skwitowałeś sprawę słowami "Nie poskutkowało". Zero informacji co się działo podczas importu pliku, czy wystąpił jakiś błąd, na czym polegało "nie zapisywanie zmian".

Ten rzekomy klucz to jest to:

A teraz z normalnego trybu:

Nie jestem ekspertem, więc nie mogę się wypowiedzieć. Po prostu scaliłem ten plik z rejestrem a nadal nie działało UAC w zwykłym trybie i brakowało kluczy.

[picasso]

Na tym drugim obrazu nie podświetliłeś tego samego klucza (jest zaznaczony wyższy), niemniej w Twoim rejestrze one rzeczywiście są puste. Z tego wynika że w trybie awaryjnym jest tymczasowo ładowane inne środowisko. Wszystkie podane powyżej działania są nadal aktualne.

[EDgar8]

Nie jestem ekspertem i nie wiem skąd jest ta różnica, ale tylko mówię, że taką zaobserwowałem.

Polecenia w trakcie.

Addition.txt

Fixlog.txt

[picasso]

Brak zmian w UAC. Import wykonany, klucz odczytywany w FRST jako pusty. Nagraj log co się dzieje podczas operacji na tym kluczu.

 

1. Przygotuj plik FIX.REG o zawartości:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments]
"ScanWithAntiVirus"=dword:00000003
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001
"{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"scforceoption"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"FilterAdministratorToken"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats]
"CF_TEXT"=dword:00000001
"CF_BITMAP"=dword:00000002
"CF_OEMTEXT"=dword:00000007
"CF_DIB"=dword:00000008
"CF_PALETTE"=dword:00000009
"CF_UNICODETEXT"=dword:0000000d
"CF_DIBV5"=dword:00000011

 

2. Uruchom Process Monitor. Zaimportuj plik FIX.REG. Zakończ nagrywanie w Process Monitor klikając w ikonę lupki na pasku narzędzi (ma się przekreślić). Zapisz log w formacie *.PML. Log spakuj do ZIP i shostuj gdzieś podając link.

[EDgar8]

Nie jestem pewnie czy poprawnie wykonany log. Zerknij:

http://www110.zippyshare.com/v/wxOSpVKv/file.html

[picasso]

Nic z tego nie wynika. W dostarczonym logu nagrany pomyślny import pliku REG i zapisanie wartości, żadnych błędów, żadnych rekordów odnośnie dalszych losów klucza.

Pytanie: kiedy konkretnie te ustawienia się samoczynnie zmieniają, zaraz po zaaplikowaniu zmian (użycie dialogu ustawień UAC lub import FIX.REG), czy może po restarcie systemu lub dłuższym jego działaniu? Jeśli suwak UAC zmienia się dopiero po pewnym czasie, to nagraj jeszcze jeden log z Process Monitor zrobiony z czasu między naprawą a wystąpieniem usterki: przywrócenie części lub wszystkich ustawień (użycie dialogu ustawień UAC lub FIX.REG) > zostawiasz otwarty program aż do momentu gdy suwak się przestawi > kończysz nagrywanie i zapisujesz log.

[EDgar8]

A co jeśli resetowanie suwaka następuje podczas uruchamiania komputera? Uruchomiłem od nowa fix.reg i faktycznie suwak jest na pozycji Domyślne. Klucze też są. Myślę, że zmiana następuje po restarcie systemu. Teraz właśnie uruchomiłem komputer od nowa i nie było wcześniejszej zmiany.

 

Ale też mówiłaś, że FRST nie odczytało kluczy, to wykonać ponownie FRST i pokazać?

[picasso]

Nagraj log z Process Monitor podczas startu Windows. Tzn. uruchom program, przekreśl lupkę, Options > Enable Boot Logging, restart systemu, otwierasz Process Monitor i poprosi o zapis loga który nagrał.

 

PS. Jakoś mnie zaćmiło poprzednio z tym "tymczasowym środowiskiem". Ty raczej widzisz te kilka wartości "uzupełnionych" w trybie awaryjnym, ponieważ używasz dialogu ustawień UAC by sprawdzić czy suwak się utrzyma, prawda? Użycie tego dialogu automatycznie zapisuje te trzy wartości do rejestru. I te trzy uzupełnione dialogiem wartości powinny przetrwać podczas uruchomienia w normalnym. U Ciebie najwyraźniej "coś" zeruje klucz, czy pełny (z FIX.REG) czy częściowy (z dialogu ustawień UAC), wszystko jest usuwane.

 

 

Ale też mówiłaś, że FRST nie odczytało kluczy, to wykonać ponownie FRST i pokazać?

Nie. Import się wykonuje poprawnie, więc FRST pokaże przed restartem komputera, że klucz jest OK. Po restarcie zaś log znów przedstawi pusty klucz.

[EDgar8]

Ty raczej widzisz te kilka wartości "uzupełnionych" w trybie awaryjnym, ponieważ używasz dialogu ustawień UAC by sprawdzić czy suwak się utrzyma, prawda?

Czyli to że najpierw sprawdziłem jak jest suwak, a potem otwarłem RegEdit zadecydowało? No właśnie, suwak był na najniższym.

[picasso]

Jeśli używasz suwaka i zapisujesz zmiany w tym dialogu, automatycznie są zapisywane do rejestru trzy wartości: ConsentPromptBehaviorAdmin, EnableLUA, PromptOnSecureDesktop. Pusty klucz powinien być pokazany jako pusty również w awaryjnym, sprawdziłam to. Dlatego też te widoczne w awaryjnym wartości powinny być pochodną dialogu UAC (dodajesz je za pomocą dialogu w awaryjnym). W każdym razie, to już sobie wyjaśniłam. Problemem tu jest, że jakiś mechanizm zeruje wszystkie zmiany w kluczu podczas restartu.

[EDgar8]

Czyli tego mam nie sprawdzać. A jak będę robił nagrywanie to w tej kolejności:

uruchomić program

uruchomić fix.reg

zrobić "Enable Boot Logging"

uruchomić ponownie komputer

zapisać log?

[picasso]

Założyłam, że obecny FIX.REG już był zaimportowany i nie restartowałeś systemu (tzn. zmiany są już w rejestrze zapisane).

- Jeśli tak, to tylko uruchamiasz Process Monitor > Enable Boot Logging > restart.

- Jeśli jednak wcześniej zrestartowałeś komputer i zmiany znów wyzerowane, to importujesz FIX.REG > uruchamiasz Process Monitor > Enable Boot Logging > restart.

[EDgar8]

Powstały trzy logi. Tak ma być?

[picasso]

Wszystko spakuj do ZIP i podaj link. Nie wiem czy dziś zdążę to sprawdzić.

[EDgar8]

Ale powinny być trzy? Czy jeden? Bo trochę ważą.

 

Może być jutro. Ważne że sprawa ruszyła.

[picasso]

Jak powiedziałam, wszystkie pliki które utworzył Procmon podczas tej procedury.

[EDgar8]

OK. http://www18.zippyshare.com/v/vGfqUTsF/file.html

[picasso]

Przejrzałam na szybko log. Log sugeruje, że masz czynne jakieś polityki grup. Oto wyciąg z ProcMon pokazujący, że cały klucz "Policies" tnie z rejestru svchost.exe (instancja typu GPSvcGroup), a zaraz po tym odtwarza klucz (jako niepełny) lsass.exe:

 

 

 

17:00:33,9329017    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    CANNOT DELETE    
17:00:33,9329713    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    
17:00:33,9333251    svchost.exe    1176    RegOpenKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Desired Access: Read
17:00:33,9334697    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Query: Cached, SubKeys: 3, Values: 0
17:00:33,9335942    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Index: 0, Name: Attachments
17:00:33,9336576    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9336812    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments    SUCCESS    Desired Access: Delete
17:00:33,9337133    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments    SUCCESS    
17:00:33,9338976    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments    SUCCESS    
17:00:33,9340333    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Index: 0, Name: NonEnum
17:00:33,9340699    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9341015    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum    SUCCESS    Desired Access: Delete
17:00:33,9341435    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum    SUCCESS    
17:00:33,9342251    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum    SUCCESS    
17:00:33,9342457    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Index: 0, Name: System
17:00:33,9342675    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9342912    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Desired Access: Delete
17:00:33,9343340    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    CANNOT DELETE    
17:00:33,9343804    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    
17:00:33,9344322    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9344839    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Desired Access: Read
17:00:33,9345254    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Query: Cached, SubKeys: 2, Values: 16
17:00:33,9345620    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Index: 0, Name: Audit
17:00:33,9345995    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9346526    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit    SUCCESS    Desired Access: Delete
17:00:33,9347106    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit    SUCCESS    
17:00:33,9347865    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit    SUCCESS    
17:00:33,9348315    lsass.exe    720    RegOpenKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Desired Access: Maximum Allowed, Granted Access: All Access
17:00:33,9348592    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Index: 0, Name: UIPI
17:00:33,9348846    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ApplyPolicyToAnonymousLogon    NAME NOT FOUND    Length: 144
17:00:33,9349949    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9350239    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    Desired Access: Delete
17:00:33,9350248    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLocalLogonSid    NAME NOT FOUND    Length: 144
17:00:33,9350538    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLinkedConnections    NAME NOT FOUND    Length: 144
17:00:33,9350542    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    CANNOT DELETE    
17:00:33,9350752    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken    SUCCESS    Type: REG_DWORD, Length: 4, Data: 0
17:00:33,9350801    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    
17:00:33,9351256    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisplayLastLogonInfo    NAME NOT FOUND    Length: 144
17:00:33,9351399    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9351622    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterNetworkAuthenticationTokens    NAME NOT FOUND    Length: 144
17:00:33,9351845    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    Desired Access: Read
17:00:33,9352041    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy    NAME NOT FOUND    Length: 144
17:00:33,9352447    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    Query: Cached, SubKeys: 1, Values: 0
17:00:33,9352474    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRestrictionTraversal    NAME NOT FOUND    Length: 144
17:00:33,9352880    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ScForceOption    SUCCESS    Type: REG_DWORD, Length: 4, Data: 0
17:00:33,9352934    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    Index: 0, Name: Clipboard
17:00:33,9353309    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9353331    lsass.exe    720    RegQueryValue    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization    SUCCESS    Type: REG_DWORD, Length: 4, Data: 1
17:00:33,9353817    lsass.exe    720    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    
17:00:33,9353853    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    Desired Access: Delete
17:00:33,9354531    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    CANNOT DELETE    
17:00:33,9355433    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    
17:00:33,9356196    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9356437    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    Desired Access: Read
17:00:33,9357124    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    Query: Cached, SubKeys: 1, Values: 0
17:00:33,9357829    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    Index: 0, Name: ExceptionFormats
17:00:33,9359069    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9359239    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats    SUCCESS    Desired Access: Delete
17:00:33,9359819    lsass.exe    720    RegOpenKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NegoExtender\Parameters    NAME NOT FOUND    Desired Access: Read
17:00:33,9359832    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats    SUCCESS    
17:00:33,9360702    lsass.exe    720    RegOpenKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters    NAME NOT FOUND    Desired Access: Read
17:00:33,9361394    lsass.exe    720    RegOpenKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters    NAME NOT FOUND    Desired Access: Read
17:00:33,9362786    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats    SUCCESS    
17:00:33,9363473    lsass.exe    720    RegOpenKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\domain_realm    NAME NOT FOUND    Desired Access: Read
17:00:33,9365298    lsass.exe    720    RegOpenKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\MITRealms    NAME NOT FOUND    Desired Access: Read
17:00:33,9366030    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    NO MORE ENTRIES    Index: 0, Length: 288
17:00:33,9366445    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    
17:00:33,9366552    lsass.exe    720    RegOpenKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\pku2u\Parameters    NAME NOT FOUND    Desired Access: Read
17:00:33,9366588    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9366740    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    Desired Access: Delete
17:00:33,9366914    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    
17:00:33,9367208    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard    SUCCESS    
17:00:33,9367338    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    NO MORE ENTRIES    Index: 0, Length: 288
17:00:33,9367485    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    
17:00:33,9368239    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9369011    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    Desired Access: Delete
17:00:33,9369903    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    
17:00:33,9370849    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI    SUCCESS    
17:00:33,9371255    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    NO MORE ENTRIES    Index: 0, Length: 288
17:00:33,9371969    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    
17:00:33,9372826    svchost.exe    1176    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9373683    svchost.exe    1176    RegOpenKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Desired Access: Delete
17:00:33,9374312    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    
17:00:33,9376034    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    
17:00:33,9376610    svchost.exe    1176    RegEnumKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    NO MORE ENTRIES    Index: 0, Length: 288
17:00:33,9377458    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    
17:00:33,9379809    svchost.exe    1176    RegOpenKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Desired Access: Delete
17:00:33,9380456    svchost.exe    1176    RegDeleteKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    
17:00:33,9381228    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    
17:00:33,9390612    lsass.exe    720    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit    SUCCESS    
17:00:33,9391692    lsass.exe    720    RegCreateKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit    NAME NOT FOUND    Desired Access: Query Value, Notify
17:00:33,9402240    svchost.exe    1176    RegCreateKey    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Desired Access: Write, Disposition: REG_CREATED_NEW_KEY
17:00:33,9402789    lsass.exe    720    RegCreateKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Desired Access: Maximum Allowed, Granted Access: All Access, Disposition: REG_OPENED_EXISTING_KEY
17:00:33,9402937    svchost.exe    1176    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    
17:00:33,9403311    lsass.exe    720    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9403539    lsass.exe    720    RegCreateKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Desired Access: Maximum Allowed, Granted Access: None 0x0, Disposition: REG_CREATED_NEW_KEY
17:00:33,9405716    lsass.exe    720    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies    SUCCESS    
17:00:33,9405984    lsass.exe    720    RegQueryKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS    Query: HandleTags, HandleTags: 0x0
17:00:33,9406207    lsass.exe    720    RegCreateKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit    SUCCESS    Desired Access: Query Value, Notify, Disposition: REG_CREATED_NEW_KEY
17:00:33,9409273    lsass.exe    720    RegCloseKey    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    SUCCESS   

 

Poproszę o przesłanie mi całych folderów spakowanych do ZIP (o ile nie są puste):
 

C:\Windows\System32\GroupPolicy

C:\Windows\System32\GroupPolicyUsers

C:\Windows\SysWOW64\GroupPolicy

C:\Windows\SysWOW64\GroupPolicyUsers