UAC - samo zmienia się na najwyższy poziom

EDgar8 · 2 Maja 2016

1. http://www73.zippyshare.com/v/iLFRHS1v/file.html

2. Nie ma

3. http://www73.zippyshare.com/v/6qTN9R7J/file.html

4. Pusty

picasso · 3 Maja 2016

Całość wygląda jak czynne "przetwarzanie polityk", pomimo iż nie są one ustawione. W tych folderach nie ma nic wyraźnego, tylko inicjujące gpt.ini i pusty registry.pol. Nasuwa się też pytanie czy komputer był migrowany z domeny. Zauważyłam, że w kluczach Group Policy masz dużo podkluczy SID nieistniejących w systemie kont, co wygląda jak cache jakiegoś poprzedniego układu.

W tej sytuacji spróbuj zresetować stan lokalnych polityk (degradacja kluczy History, State, Status i wszystkich SID). Klucze State, Status i SID relatywny do konta Asus powinny się zregenerować od zera po restarcie.

1. Zaimportuj poprzedni FIX.REG. Nie resetuj komputera, to wdroży poniższy punkt.

2. Do Notatnika wklej:

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{426031c0-0b47-4852-b0ca-ac3d37bfcb39}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1000
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1004
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1007
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1008
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1010
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1011
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1012
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-500
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Status
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Editor
C:\Windows\system32\GroupPolicy\Machine
C:\Windows\system32\GroupPolicy\User
C:\Windows\system32\GroupPolicy\gpt.ini
C:\Windows\SysWOW64\GroupPolicy\gpt.ini
Reboot:

Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix), nastąpi restart. Przedstaw fixlog.txt i wypowiedz się czy zmiany UAC się utrzymały.

EDgar8 · 3 Maja 2016

Wydaje mi się, że się zachowały bo są na domyślnym poziomie. Jeszcze sprawdzę jak ze zmianą poziomu.

Fixlog.txt

EDgar8 · 5 Maja 2016

Wygląda na to, że działa i zapamiętuje położenie suwaka.
Jak będziesz miała czas to przeanalizuj proszę problem z WMI.

Myślę, że powinienem załączyć najnowsze logi:

WMIDIAG-V2.2_WIN7_.CLI.SP1.64_ASUS-KOMPUTER_2016.05.05_12.35.45-REPORT.TXT

WMIDIAG-V2.2_WIN7_.CLI.SP1.64_ASUS-KOMPUTER_2016.05.05_12.35.45.LOG.txt

picasso · 5 Maja 2016

Problem z UAC rozwiązany, to był osobny defekt nie związany z WMI. Jeśli chodzi o usterkę WMI:

Logi z FRST nie są mi tu na razie potrzebne i je usuwam. Natomiast w tym świeżym odczycie z Wmidiag pojawił się nowy typ błędu opowiadający o "braku implementacji uługi". Poproszę o ponowne uruchomienie RegBak, zrzucenie rejestru i dostarczenie paczki ZIP z tymi nowymi plikami rejestru. W międzyczasie nic nie kombinuj, nie uruchamiaj żadnych programów "resetujących WMI", ani innych "fiksujących". I nie obiecuję ani szybkiej analizy, ani rozwiązania problemu WMI.

EDgar8 · 5 Maja 2016

Ja nie wiem co i jak z tym WMI, ale posłucham Twoich poleceń.

http://www89.zippyshare.com/v/BzzZj08a/file.html

picasso · 7 Maja 2016

Jeśli chodzi o "brak implementacji usługi", to widzę że w kluczu svchost (we wszystkich kopiach rejestru) są dodane dziwne definicje, domyślnie brak takich elementów usługi winmgmt:

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]

"winmgmt"=hex(7):77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,00,00
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\winmgmt]

"CoInitializeSecurityParam"=dword:00000001

"CoInitializeSecurityAppID"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}"

"AuthenticationLevel"=dword:00000004

"ImpersonationLevel"=dword:00000002

"AuthenticationCapabilities"=dword:00003020

To odpowiada też temu zgłoszeniu z WmiDiag:

.1095 12:35:48 (4) Reading registry (REG_MULTI_SZ) 'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\winmgmt'.
.1096 12:35:48 (2) !! WARNING: 'Windows Management Instrumentation' (WINMGMT) is running as a STANDALONE HOST SERVICE.

Natomiast inne rzeczy z WmiDiag wyglądają na nieistotne. Do zignorowania wszystkie błędy WMI service DCOM setup i DCOM Security, mam identyczne odczyty na moim Windows 7 z nienaruszonym WMI. A ten odczyt nie wiem skąd generowany:

..133 12:35:47 (0) ** Verifying Auto-Recovery MOF files presence.
..134 12:35:47 (1) !! ERROR: (CheckMOFFilesPresence) : 0x1A8 - Wymagany jest obiekt. 'Autorecover MOFs' registry key is missing or is access denied.

W Twoim rejestrze w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM jest wartość "Autorecover MOFs" z listą plików MOF i nie widzę też problemu z uprawnieniami...

Spróbuj przywrócić elementy do stanu domyślnego. Przy okazji zadam też przebudowę liczników WSearchIdxPi (były błędy w Addition wcześniej, w rejestrze klucz WSearchIdxPi nie ma danych o licznikach) i likwidację błędów związanych z wyłączeniem usługi Serwer.

1. Wyczyść Dzienniki zdarzeń jak wcześniej podane: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System.

2. Do Notatnika wklej:

Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{8BC3F05E-D86B-11D0-A075-00C04FB68820} /v EndPoints /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v winmgmt /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\winmgmt" /f
Reg: reg delete HKLM\SYSTEM\CurrentControlSet\services\Winmgmt\Security /f
CMD: lodctr C:\Windows\inf\wsearchidxpi\0000\idxcntrs.ini
CMD: lodctr C:\Windows\inf\wsearchidxpi\0415\idxcntrs.ini
CMD: winmgmt /resyncperf
CMD: winmgmt /verifyrepository
CMD: sc config LanmanServer start= auto

Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix). Przedstaw fixlog.txt.

3. Wykonaj ręczny restart systemu. Zrób nowy log FRST Addition (i tylko Addition dostarcz) oraz log z WmiDiag.

EDgar8 · 7 Maja 2016

Jest z FRST a WMIDiag zaraz będzie. (szkoda, że nie można dołączać plików .log tutaj nawiasem mówiąc)

https://www.sendspace.com/file/jsoqjn

Fixlog.txt

Addition.txt

WMIDIAG-V2.2_WIN7_.CLI.SP1.64_ASUS-KOMPUTER_2016.05.07_12.23.54-REPORT.TXT

picasso · 7 Maja 2016

Pomimo wyrzucenia niedomyślnych danych z klucza Svchost, WmiDiag nadal czepia się tej konfiguracji:

.1764 12:24:07 (2) !! WARNING: WMI registry setup: ........................................................................................ INVALID HOSTING SETUP!
.1765 12:24:07 (0) ** => The WMI service must be configured to run as a STANDALONE service host or

.1766 12:24:07 (0) ** as a SHARED service host but the (SvcHost) configuration contains invalid information.

I też mnie dziwią niektóre niepowiązane z WMI błędy w Dzienniku, niektórych nie powinno być po w/w naprawach. Kolejne podejście:

1. Do Notatnika wklej:

CMD: rundll32 C:\WINDOWS\system32\wbem\WMIsvc.dll,MoveToShared

Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix). Przedstaw fixlog.txt.

2. Wyczyść Dzienniki zdarzeń. Zresetuj system. Wygeneruj świeże logi: Addition oraz WmiDiag.

(szkoda, że nie można dołączać plików .log tutaj nawiasem mówiąc)

To jest po to, by ograniczyć ładowanie określonych logów.

EDgar8 · 7 Maja 2016

http://www73.zippyshare.com/v/TiekBPCQ/file.html

Fixlog.txt

Addition.txt

WMIDIAG-V2.2_WIN7_.CLI.SP1.64_ASUS-KOMPUTER_2016.05.07_13.05.33-REPORT.TXT

picasso · 7 Maja 2016

WMI w końcu naprawione, w Addition nie ma już komunikatu "Sprawdź usługę "winmgmt" lub napraw WMI", a z Dziennika zdarzeń zniknęły wszystkie poprzednie błędy WMI. Wprawdzie WmiDiag teraz zgłasza kilka błędów typu WBEM_E_NOT_FOUND, ale nie wiem czy brać to serio, gdyż wcześniejszy pobór danych poleceniem winmgmt /verifyrepository podawał "Repozytorium jest spójne".

W Dzienniku zostały te błędy już innego typu:

Dziennik Aplikacja:
==================

Error: (05/07/2016 01:04:11 PM) (Source: Winlogon) (EventID: 4103) (User: )

Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005.
 

Error: (05/07/2016 12:52:38 PM) (Source: Windows Search Service) (EventID: 10021) (User: )

Description: Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0.
 

Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3007) (User: )

Description: Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.
 

Kontekst: aplikacja , wykaz SystemIndex
 

Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3006) (User: )

Description: Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.

Pierwszy to wiadomo = crack aktywacji. Pozostałe próbowałam już naprawić przebudową liczników WSearchIdxPi, ale nie widzę efektów. Ten wątek zostawiam sobie na potem.

EDgar8 · 7 Maja 2016

OK, to jak będziesz mieć wolną chwilę (i chęć) to zobacz co i jak, żeby system jak najsprawniej działał. I chciałbym usunąć wszystkie kopie i inne jakbym mógł jak zakończą się operacje.

Groszexxx · 7 Maja 2016

Bajka!

Picasso, a czy można określić dokładnie dlaczego po standardowych komendach restartujących repozytorium WMI, FRST nie stwierdzał aberracji, a dopiero po ponownym uruchomieniu komputera - ponowny skan FRST wykrywał naruszenie usługi bądź repozytorium WMI? Czy to mogło mieć tą samą przyczynę (przetwarzanie polityk) co odtwarzanie wpisu dotyczącym UAC? Pytam, bo jakoś nie mogę tego poskładać w całość.

Dodam, że po użyciu "Windows Repair" zalecałem przywrócenie systemu, bo przecież w raporcie z naprawy wyraźnie była cała masa błędów...

EDgar8 · 7 Maja 2016

Dodam, że po użyciu "Windows Repair" zalecałem przywrócenie systemu, bo przecież w raporcie z naprawy wyraźnie była cała masa błędów...

Nie będę się sprzeczał, ale robiłem w tym czasie wiele razy Repair i przywracania, ale nie pamiętam Twojego nakazu.

Groszexxx · 7 Maja 2016

Spokojnie, Picasso czuwa.

Założ w hardware je.

Edytowane 7 Maja 2016 przez Groszexxx

EDgar8 · 7 Maja 2016

Groszexxx znasz się na sterownikach i sprzęcie bo mam małe pytanie?

EDgar8 · 9 Maja 2016

OK, założyłem temat.

_____

Zabieram się powoli za sprzątanie jeśli można. Użyłem narzędzia DelFix, usunąłem punkty przywracania systemu, różne kopie i konto Open.

DelFix.txt

picasso · 18 Maja 2016

EDgar8

Pod kątem błędów WSearchIdxPi spróbuj zaimportować brakujące u Ciebie dane o licznikach, posługując się danymi występującymi w obrazie instalacyjnym Windows. Czyli:

1. Zmontuj FIX.REG o następującej zawartości:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WSearchIdxPi\Performance]
"First Counter"=dword:0000159c
"Last Counter"=dword:0000161a
"First Help"=dword:0000159d
"Last Help"=dword:0000161b
"Object List"="5532"

Zaimportuj go.

2. W Dzienniku zdarzeń wyczyść gałąź Aplikacja. Zresetuj system. Otwórz Dziennik zdarzeń i sprawdź czy w sekcji Aplikacja pojawiły się ponownie te błędy:

Dziennik Aplikacja:
==================

Error: (05/07/2016 12:52:38 PM) (Source: Windows Search Service) (EventID: 10021) (User: )

Description: Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0.
 

Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3007) (User: )

Description: Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.
 

Kontekst: aplikacja , wykaz SystemIndex
 

Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3006) (User: )

Description: Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.

Groszexxx

Picasso, a czy można określić dokładnie dlaczego po standardowych komendach restartujących repozytorium WMI, FRST nie stwierdzał aberracji, a dopiero po ponownym uruchomieniu komputera - ponowny skan FRST wykrywał naruszenie usługi bądź repozytorium WMI? Czy to mogło mieć tą samą przyczynę (przetwarzanie polityk) co odtwarzanie wpisu dotyczącym UAC? Pytam, bo jakoś nie mogę tego poskładać w całość.

Dodam, że po użyciu "Windows Repair" zalecałem przywrócenie systemu, bo przecież w raporcie z naprawy wyraźnie była cała masa błędów...

To na pewno nie było związane z politykami. Ciąg zdarzeń był następujący, choć trudno odtworzyć wszystkie kroki:

- Post #13 - Główny klucz Winmgmt był w porządku *. W poście dwa odczyty, jak rozumiem ten drugi po przywracaniu rejestru z lutego - czyli dane usługi były poprawne od dawna.

- Post #15 - Na dodatek usługa Winmgmt była uruchomiona (to dopiero potem przestała się już w ogóle uruchamiać), a Repozytorium "spójne". Wykryłeś jednak brak uprawnień do katalogu RtBackup, co zostało wtedy naprawione.

- Post #17 - W Addition nadal błąd WMI, przy czym konsekwentnie FRST zdolny był wyliczyć punkty Przywracania i urządzenia, czyli wykonał określone komendy WMI. Żadnych nowych logów z danymi na temat WMI już nie było w międzyczasie (tylko GMER), więc trudno stwierdzić co było jeszcze źle. Ale w tym momencie stan wyjściowy był taki, że usługa się mimo wszystko uruchamiała. Przeszedłeś do kolejnych napraw i to mi wygląda na punkt, w którym pojawiły się nowe usterki WMI innego typu, które spowodowały, że usługa przestała się uruchamiać:

- Post #22 - Zadany reset Repozytorium które było już wcześniej w poście #15 notowane jako "spójne" - moim zdaniem Repozytorium nie było problemem. Natomiast komenda winmgmt /standalonehost jest odpowiedzialna za nowe ostrzeżenia, które pojawiły się potem we WmiDiag, bo to nie jest domyślna konfiguracja. To działanie odkręciłam moimi ostatnimi poleceniami migrując usługę z powrotem do typu "shared".

- Post #29 - W Addition nadal błąd WMI, aczkolwiek nie jest już pewne czy z tego samego powodu, bo zmodyfikowałeś konfigurację usługi.

- Post #37 - Wykonany nie do końca jasny proceder "Repair WMI" przy udziale narzędzia zewnętrznego. Nie wiem co narzędzie konkretnie resetuje i w jaki sposób, poza tym co widać w jego raporcie (czyli brutalny reset Repozytorium poprzez ogołocenie katalogu), ale chyba wdraża jakieś wielopłaszczyznowe fiksy *. Pierwszy log z Windows Repair już opowiada o problemie z uruchomieniem usługi (poprzednio usługa działała): "Uruchomienie usługi nie powiodło się, ponieważ co najmniej jedna usługa w tym samym procesie ma niezgodne ustawienie typu identyfikatora SID usługi". Ten błąd powiela się we wszystkich późniejszych raportach. Resetowanie Repository to osobny wątek.

- Post #48 + #49 - Te raporty z WmiDiag po kolei zgłaszają niepoprawny konfig Svchost "INVALID HOSTING SETUP" + "The WMI service is configured to run as a STANDALONE service host" (pochodna komendy winmgmt /standalonehost). Czyli błędy zastane przeze mnie również w najnowszych logach z WmiDiag.

- Luka informacyjna - Ten "Windows Repair" był uruchamiany aż kilka razy i ponoć były też jakieś "przywracania" (?), więc tu już naprawdę nie dojdę co się działo i jakie były konsekwencje każdej rundy. Tylko tyle mogę stwierdzić, że nagle wystąpiły jakieś poboczne zmiany *, tzn. coś porobiło się w kluczu głównym Winmgmt (częściowe dane jak z systemu XP), który był przecież na samym początku w poście #13 w prawidłowej formie. Być może to skutki użycia "Windows Repair", bo nie wiem skąd te dane mogły wlecieć, skoro nie robiono żadnych ręcznych importów REG. Na dodatek log sugeruje, że grzebano więcej niż zadane w temacie, bo zastałam nowe niekorzystne zmiany nieznanego pochodzenia (np. naruszenie LanmanWorkstation). W którymś z logów Addition nawet widać, że próbowano innych narzędzi niż zadane, bo były nagrane próby użycia "Microsoft Fix it 50981".

- Post #51 - W Addition widoczne pogorszenie stanu, związane z tym, że usługa w ogóle przestała się uruchamiać. Przestały się wyświetlać uprzednio widoczne listy i w zamian "Niepowodzenie przy listowaniu...". A w kolejnych Addition już z fazy moich śledztw w Dzienniku zdarzeń nowe uprzednio nie występujące błędy związane z niemożnością uruchomienia usługi.

- I od tego momentu zaczyna się mój udział. Zrobiłam dwie akcje: przywrócenie poprzedniej poprawnej wersji klucza Winmgmt (to moim zdaniem nie miało związku, bo złe dane nie dotyczyły konfiguracji uruchomienia per se i nawet zaznaczałam, że problem WMI nadal wymaga analizy) oraz reset informacji Svchost (wycinanie z rejestru konfigu "standalone" nie pomogło, dopiero migracja komendą do "shared" naprawiła stan).

EDgar8 · 28 Maja 2016

Zresetuj system

A nie czasem zrestartuj?

Obecnie system sprawuje się OK, ale robiłem dzisiaj skanowanie antywirusowe i też przy okazji uruchomiłem FRST, jak chcesz możesz zerknąć.

Chciałbym Cię jeszcze zapytać co sądzisz o programach: Odkurzacz, CCleaner, IObit ASC oraz Ashampoo WinOptimizer, JetClean, Glary Utilities? Owszem posiadają przydatne moduły i do odpowiedniego używania, ale czy naprawdę potrafią nagrzebać w systemie?

W załączniku kopia zmian które usunął IObit po czyszczeniu rejestru. Wypowiedz się na ten temat.

FRST.txt

Addition.txt

Shortcut.txt

kopia do cofnięcia zmian.txt