Problem z Group Policy/malware Windows 10 Home

[candymelts]

Korzystam z systemu Windows 10 Home. Został zaktualizowany do wersji 1809. Nie było żadnej widocznej zmiany w działaniu urządzenia. Problem wystąpił przy próbie skonfigurowania nowego urządzenia USB, które nie było zainstalowane na moim laptopie przed aktualizacją Windows Update. Komunikat o problemie z uprawnieniami DCOM. Mam tylko jedno konto lokalne z uprawnieniami Administratora.

 

Zaglądając do dziennika zdarzeń występują serie błędów o identyfikatorze 10016.

 

Zgodnie z ustawieniami uprawnienia właściwe dla aplikacji nie jest udzielane uprawnienie Lokalny Aktywacja do aplikacji serwera COM z identyfikatorem klasy CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54}

 i identyfikatorem aplikacji APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402}

 użytkownikowi HPPRO\user o identyfikatorze zabezpieczeń SID (S-1-5-21-3445377763-510582980-2721515247-1000) z adresu LocalHost (użycie LRPC) działającemu w kontenerze aplikacji o identyfikatorze SID Niedostępny (Niedostępny). To uprawnienie zabezpieczeń można modyfikować przy użyciu narzędzia administracyjnego Usługi składowe.

 

Obejściem tego problemu było usunięcie pliku secedit.sdb. (możliwość korzystania z urządzeń USB) Jednak nie mam pewności, czy na komputerze nie kryje się jakiś niewidoczny dla mnie malware/rootkit, który mógłby blokować uprawnienia Administratora.

 

Chętnie wysłucham każdej wskazówki jeśli chodzi o diagnostykę logów. Nie eksperymentuję z modyfikacjami w rejestrze Windows, stąd moje pytanie, gdyż staram się nie narobić więcej szkód. 

Pozdrawiam

Addition.txt FRST.txt Shortcut.txt

[zbycho]

https://support.microsoft.com/pl-pl/help/4022522/dcom-event-id-10016-is-logged-in-windows-10-windows-server

Plus  to.

https://www.tenforums.com/performance-maintenance/110023-why-certain-dcom-10016-events-dont-matter.html

Tak to bywa przy przejściu na 1803 lub na 1809.

Normalka.

A od kiedy to w win 10 jest GPO żeby w przypadku jego błędów usuwać secedit.sdb .

Takie rzeczy i jeszcze pare to robi się win 10 pro.

 

PS.1.

Nazwa dziennika:System
Źródło:        Microsoft-Windows-DistributedCOM
Data:          30.04.2019 00:34:15
Identyfikator zdarzenia:10016
Kategoria zadania:Brak
Poziom:        Błędy
Słowa kluczowe:Klasyczny
Użytkownik:    ZBYCHO\zbycho
Komputer:      Zbycho
Opis:
Zgodnie z ustawieniami uprawnienia właściwe dla aplikacji nie jest udzielane uprawnienie Lokalny Aktywacja do aplikacji serwera COM z identyfikatorem klasy CLSID
{2593F8B9-4EAF-457C-B68A-50F6B8EA6B54}
 i identyfikatorem aplikacji APPID
{15C20B67-12E7-4BB6-92BB-7AFF07997402}
 użytkownikowi Zbycho\zbycho o identyfikatorze zabezpieczeń SID (S-1-5-21-4281125431-1267700493-3978993193-1001) z adresu LocalHost (użycie LRPC) działającemu w kontenerze aplikacji o identyfikatorze SID Niedostępny (Niedostępny). To uprawnienie zabezpieczeń można modyfikować przy użyciu narzędzia administracyjnego Usługi składowe.

 

jest to od aktualizacji do 1803 ......i zyję.

Tobie raczej polecam,sprawdzić, jak juz lubisz, wierszem poleceń dla administratora,poleceniem sfc /verifyonly czy pliki systemowe i ich powiazania sa ok.

Jesli dostaniesz po skanie taką informacjęi "Windows resource Protection did not find any integrity violations" to mozesz spac spokojnie.Jesli będzie bez"not" to masz większe problemy niż te co ci farbar wykaze.

 

 

Edytowane 1 Maja 2019 przez Miszel03
Usuwam informację o analizie raportów. //Miszel03