Skocz do zawartości
14 stycznia 2020 - Koniec wsparcia Microsoftu dla Windows 7 ×

UAC - samo zmienia się na najwyższy poziom


EDgar8

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Całość wygląda jak czynne "przetwarzanie polityk", pomimo iż nie są one ustawione. W tych folderach nie ma nic wyraźnego, tylko inicjujące gpt.ini i pusty registry.pol. Nasuwa się też pytanie czy komputer był migrowany z domeny. Zauważyłam, że w kluczach Group Policy masz dużo podkluczy SID nieistniejących w systemie kont, co wygląda jak cache jakiegoś poprzedniego układu.

 

W tej sytuacji spróbuj zresetować stan lokalnych polityk (degradacja kluczy History, State, Status i wszystkich SID). Klucze State, Status i SID relatywny do konta Asus powinny się zregenerować od zera po restarcie.

 

1. Zaimportuj poprzedni FIX.REG. Nie resetuj komputera, to wdroży poniższy punkt.

 

2. Do Notatnika wklej:

 

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{426031c0-0b47-4852-b0ca-ac3d37bfcb39}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1000
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1004
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1007
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1008
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1010
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1011
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1012
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-500
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Status
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Editor
C:\Windows\system32\GroupPolicy\Machine
C:\Windows\system32\GroupPolicy\User
C:\Windows\system32\GroupPolicy\gpt.ini
C:\Windows\SysWOW64\GroupPolicy\gpt.ini
Reboot:

 

Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix), nastąpi restart. Przedstaw fixlog.txt i wypowiedz się czy zmiany UAC się utrzymały.

Odnośnik do komentarza

Wygląda na to, że działa i zapamiętuje położenie suwaka.
Jak będziesz miała czas to przeanalizuj proszę problem z WMI.

 

Myślę, że powinienem załączyć najnowsze logi:

WMIDIAG-V2.2_WIN7_.CLI.SP1.64_ASUS-KOMPUTER_2016.05.05_12.35.45-REPORT.TXTPobieranie informacji ...

WMIDIAG-V2.2_WIN7_.CLI.SP1.64_ASUS-KOMPUTER_2016.05.05_12.35.45.LOG.txtPobieranie informacji ...

Odnośnik do komentarza

Problem z UAC rozwiązany, to był osobny defekt nie związany z WMI. Jeśli chodzi o usterkę WMI:

 

Logi z FRST nie są mi tu na razie potrzebne i je usuwam. Natomiast w tym świeżym odczycie z Wmidiag pojawił się nowy typ błędu opowiadający o "braku implementacji uługi". Poproszę o ponowne uruchomienie RegBak, zrzucenie rejestru i dostarczenie paczki ZIP z tymi nowymi plikami rejestru. W międzyczasie nic nie kombinuj, nie uruchamiaj żadnych programów "resetujących WMI", ani innych "fiksujących". I nie obiecuję ani szybkiej analizy, ani rozwiązania problemu WMI.

Odnośnik do komentarza

Jeśli chodzi o "brak implementacji usługi", to widzę że w kluczu svchost (we wszystkich kopiach rejestru) są dodane dziwne definicje, domyślnie brak takich elementów usługi winmgmt:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]

"winmgmt"=hex(7):77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\winmgmt]

"CoInitializeSecurityParam"=dword:00000001

"CoInitializeSecurityAppID"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}"

"AuthenticationLevel"=dword:00000004

"ImpersonationLevel"=dword:00000002

"AuthenticationCapabilities"=dword:00003020

 

To odpowiada też temu zgłoszeniu z WmiDiag:

 

.1095 12:35:48 (4) Reading registry (REG_MULTI_SZ) 'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\winmgmt'.

.1096 12:35:48 (2) !! WARNING: 'Windows Management Instrumentation' (WINMGMT) is running as a STANDALONE HOST SERVICE.

 

Natomiast inne rzeczy z WmiDiag wyglądają na nieistotne. Do zignorowania wszystkie błędy WMI service DCOM setup i DCOM Security, mam identyczne odczyty na moim Windows 7 z nienaruszonym WMI. A ten odczyt nie wiem skąd generowany:

 

..133 12:35:47 (0) ** Verifying Auto-Recovery MOF files presence.

..134 12:35:47 (1) !! ERROR: (CheckMOFFilesPresence) : 0x1A8 - Wymagany jest obiekt. 'Autorecover MOFs' registry key is missing or is access denied.

 

W Twoim rejestrze w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM jest wartość "Autorecover MOFs" z listą plików MOF i nie widzę też problemu z uprawnieniami...

 

 


 

Spróbuj przywrócić elementy do stanu domyślnego. Przy okazji zadam też przebudowę liczników WSearchIdxPi (były błędy w Addition wcześniej, w rejestrze klucz WSearchIdxPi nie ma danych o licznikach) i likwidację błędów związanych z wyłączeniem usługi Serwer.

 

1. Wyczyść Dzienniki zdarzeń jak wcześniej podane: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System.

 

2. Do Notatnika wklej:

 

Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{8BC3F05E-D86B-11D0-A075-00C04FB68820} /v EndPoints /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v winmgmt /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\winmgmt" /f
Reg: reg delete HKLM\SYSTEM\CurrentControlSet\services\Winmgmt\Security /f
CMD: lodctr C:\Windows\inf\wsearchidxpi\0000\idxcntrs.ini
CMD: lodctr C:\Windows\inf\wsearchidxpi\0415\idxcntrs.ini
CMD: winmgmt /resyncperf
CMD: winmgmt /verifyrepository
CMD: sc config LanmanServer start= auto

 

Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix). Przedstaw fixlog.txt.

 

3. Wykonaj ręczny restart systemu. Zrób nowy log FRST Addition (i tylko Addition dostarcz) oraz log z WmiDiag.

Odnośnik do komentarza

Pomimo wyrzucenia niedomyślnych danych z klucza Svchost, WmiDiag nadal czepia się tej konfiguracji:

 

.1764 12:24:07 (2) !! WARNING: WMI registry setup: ........................................................................................ INVALID HOSTING SETUP!

.1765 12:24:07 (0) ** => The WMI service must be configured to run as a STANDALONE service host or

.1766 12:24:07 (0) ** as a SHARED service host but the (SvcHost) configuration contains invalid information.

 

I też mnie dziwią niektóre niepowiązane z WMI błędy w Dzienniku, niektórych nie powinno być po w/w naprawach. Kolejne podejście:

 

1. Do Notatnika wklej:

 

CMD: rundll32 C:\WINDOWS\system32\wbem\WMIsvc.dll,MoveToShared

 

Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix). Przedstaw fixlog.txt.

 

2. Wyczyść Dzienniki zdarzeń. Zresetuj system. Wygeneruj świeże logi: Addition oraz WmiDiag.

 

 

 

  Cytat

(szkoda, że nie można dołączać plików .log tutaj nawiasem mówiąc)

To jest po to, by ograniczyć ładowanie określonych logów.

Odnośnik do komentarza

WMI w końcu naprawione, w Addition nie ma już komunikatu "Sprawdź usługę "winmgmt" lub napraw WMI", a z Dziennika zdarzeń zniknęły wszystkie poprzednie błędy WMI. Wprawdzie WmiDiag teraz zgłasza kilka błędów typu WBEM_E_NOT_FOUND, ale nie wiem czy brać to serio, gdyż wcześniejszy pobór danych poleceniem winmgmt /verifyrepository podawał "Repozytorium jest spójne".

 

W Dzienniku zostały te błędy już innego typu:

 

Dziennik Aplikacja:

==================

Error: (05/07/2016 01:04:11 PM) (Source: Winlogon) (EventID: 4103) (User: )

Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005.

 

Error: (05/07/2016 12:52:38 PM) (Source: Windows Search Service) (EventID: 10021) (User: )

Description: Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0.

 

Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3007) (User: )

Description: Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.

 

Kontekst: aplikacja , wykaz SystemIndex

 

Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3006) (User: )

Description: Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.

 

Pierwszy to wiadomo = crack aktywacji. Pozostałe próbowałam już naprawić przebudową liczników WSearchIdxPi, ale nie widzę efektów. Ten wątek zostawiam sobie na potem.

Odnośnik do komentarza

Bajka! 

 

Picasso, a czy można określić dokładnie dlaczego po standardowych komendach restartujących repozytorium WMI, FRST nie stwierdzał aberracji, a dopiero po ponownym uruchomieniu komputera - ponowny skan FRST wykrywał naruszenie usługi bądź repozytorium WMI? Czy to mogło mieć tą samą przyczynę (przetwarzanie polityk) co odtwarzanie wpisu dotyczącym UAC? Pytam, bo jakoś nie mogę tego poskładać w całość. 

Dodam, że po użyciu "Windows Repair" zalecałem przywrócenie systemu, bo przecież w raporcie z naprawy wyraźnie była cała masa błędów... 

Odnośnik do komentarza
  W dniu 7.05.2016 o 12:36, Groszexxx napisał(a):

Dodam, że po użyciu "Windows Repair" zalecałem przywrócenie systemu, bo przecież w raporcie z naprawy wyraźnie była cała masa błędów... 

Nie będę się sprzeczał, ale robiłem w tym czasie wiele razy Repair i przywracania, ale nie pamiętam Twojego nakazu.

Odnośnik do komentarza
  • 2 tygodnie później...

EDgar8

 

Pod kątem błędów WSearchIdxPi spróbuj zaimportować brakujące u Ciebie dane o licznikach, posługując się danymi występującymi w obrazie instalacyjnym Windows. Czyli:

 

1. Zmontuj FIX.REG o następującej zawartości:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WSearchIdxPi\Performance]
"First Counter"=dword:0000159c
"Last Counter"=dword:0000161a
"First Help"=dword:0000159d
"Last Help"=dword:0000161b
"Object List"="5532"

 

Zaimportuj go.

 

2. W Dzienniku zdarzeń wyczyść gałąź Aplikacja. Zresetuj system. Otwórz Dziennik zdarzeń i sprawdź czy w sekcji Aplikacja pojawiły się ponownie te błędy:

 

Dziennik Aplikacja:

==================

Error: (05/07/2016 12:52:38 PM) (Source: Windows Search Service) (EventID: 10021) (User: )

Description: Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0.

 

Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3007) (User: )

Description: Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.

 

Kontekst: aplikacja , wykaz SystemIndex

 

Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3006) (User: )

Description: Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.

 

 

Groszexxx

 

  Cytat

Picasso, a czy można określić dokładnie dlaczego po standardowych komendach restartujących repozytorium WMI, FRST nie stwierdzał aberracji, a dopiero po ponownym uruchomieniu komputera - ponowny skan FRST wykrywał naruszenie usługi bądź repozytorium WMI? Czy to mogło mieć tą samą przyczynę (przetwarzanie polityk) co odtwarzanie wpisu dotyczącym UAC? Pytam, bo jakoś nie mogę tego poskładać w całość.

Dodam, że po użyciu "Windows Repair" zalecałem przywrócenie systemu, bo przecież w raporcie z naprawy wyraźnie była cała masa błędów...

To na pewno nie było związane z politykami. Ciąg zdarzeń był następujący, choć trudno odtworzyć wszystkie kroki:

 

 

  Pokaż ukrytą zawartość

 

Odnośnik do komentarza
  • 2 tygodnie później...
  W dniu 18.05.2016 o 09:38, picasso napisał(a):

Zresetuj system

A nie czasem zrestartuj?

 

Obecnie system sprawuje się OK, ale robiłem dzisiaj skanowanie antywirusowe i też przy okazji uruchomiłem FRST, jak chcesz możesz zerknąć.

 

Chciałbym Cię jeszcze zapytać co sądzisz o programach: Odkurzacz, CCleaner, IObit ASC oraz Ashampoo WinOptimizer, JetClean, Glary Utilities? Owszem posiadają przydatne moduły i do odpowiedniego używania, ale czy naprawdę potrafią nagrzebać w systemie?

W załączniku kopia zmian które usunął IObit po czyszczeniu rejestru. Wypowiedz się na ten temat.

FRST.txtPobieranie informacji ...

Addition.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

kopia do cofnięcia zmian.txtPobieranie informacji ...

Odnośnik do komentarza
  • 3 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...