Skocz do zawartości

Błąd Zapory Windows i Defendera


Rekomendowane odpowiedzi

Nie mogę włączyć zapory Windows - screen w załączniku.

Zacząłem wykonywać kroki opisane w tutorialu "Rekonstrukcja Zapory systemu Windows" ale wyskakiwały błędy i rezultaty były inne niż w "tutku" - może dlatego, że tam opisywany był Win7.

Czy istnieje podobny tutorial dla Windows 10?

Pozdrawiam

Schowek_01-07-2024_01.jpg

 

Cytat

Log z FSS:

Farbar Service Scanner Version: 30-04-2023
Ran by Włodek (administrator) on 08-01-2024 at 13:59:35
Running from "C:\Users\Włodek\Desktop"
Microsoft Windows 10 Pro (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============


Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is OK (Start=Auto).
The ImagePath of MpsSvc service is OK (ImagePath=%SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork).
The ServiceDll of MpsSvc service is OK.


Firewall Disabled Policy: 
==================


System Restore:
============


System Restore Policy: 
========================


Windows Security:
============


Windows Update:
============
dosvc Service is not running. Checking service configuration:
The start type of dosvc service is OK (Start=Auto).
The ImagePath of dosvc service is OK (ImagePath=%SystemRoot%\System32\svchost.exe -k NetworkService -p).
The ServiceDll of dosvc service is OK.


Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => File is digitally signed
C:\Windows\System32\Drivers\nsiproxy.sys => File is digitally signed
C:\Windows\System32\Drivers\netbt.sys => File is digitally signed
C:\Windows\System32\Drivers\tdx.sys => File is digitally signed
C:\Windows\System32\Drivers\afd.sys => File is digitally signed
C:\Windows\System32\Drivers\tcpip.sys => File is digitally signed
C:\Windows\System32\dnsrslvr.dll => File is digitally signed
C:\Windows\System32\dnsapi.dll => File is digitally signed
C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed
C:\Windows\System32\mpssvc.dll => File is digitally signed
C:\Windows\System32\bfe.dll => File is digitally signed
C:\Windows\System32\Drivers\mpsdrv.sys => File is digitally signed
C:\Windows\System32\SDRSVC.dll => File is digitally signed
C:\Windows\System32\vssvc.exe => File is digitally signed
C:\Windows\System32\SecurityHealthService.exe => File is digitally signed
C:\Windows\System32\wscsvc.dll => File is digitally signed
C:\Windows\System32\wbem\WMIsvc.dll => File is digitally signed
C:\Windows\System32\wuaueng.dll => File is digitally signed
C:\Windows\System32\qmgr.dll => File is digitally signed
C:\Windows\System32\es.dll => File is digitally signed
C:\Windows\System32\cryptsvc.dll => File is digitally signed
C:\Windows\System32\usosvc.dll => File is digitally signed
C:\Windows\System32\WaaSMedicSvc.dll => File is digitally signed
C:\Windows\System32\dosvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed
C:\Windows\System32\ipnathlp.dll => File is digitally signed
C:\Windows\System32\iphlpsvc.dll => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed


**** End of log ****

 

 

Chciałem tylko dodać, że komputer coraz bardziej zwalnia a z SysTrya zniknęła ikonka Defendera. W powiadomieniach mam ciągle zalecenie żeby uruchomić Zaporę Windows ale po kliknięciu się nie uruchamia...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Witaj @Markiz

 

Przejrzałem Twoje pliki

Można zauważyć kilka wychwyconych zagrożeń, ale należy przeskanować system innymi programami, aby wykluczyć pozostałości

 

Utworzony plik naprawczy zastosuj według zaleceń

 

1. Zaznacz poniższy kod z okienka włącznie ze START:: i END:: , następnie skopiuj Ctrl+C . Nie musisz go nigdzie wklejać.

 

Spoiler

START::

CreateRestorePoint:
CloseProcesses:
EmptyTemp:
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {184DE69A-7398-44FF-A07D-71A56907A4A3} - Brak ścieżki do pliku. <==== UWAGA
Task: {3D974344-3773-486C-9CFE-4DC29F03A988} - Brak ścieżki do pliku. <==== UWAGA
Task: {41B02E68-D1A5-436B-B64F-A6834C10F298} - Brak ścieżki do pliku. <==== UWAGA
Task: {5030D35E-B24A-4C7D-9C58-9EBA5B9CC7CF} - Brak ścieżki do pliku. <==== UWAGA
Task: {543ADCDC-7964-4BE1-81B4-118A0A4B67C7} - Brak ścieżki do pliku. <==== UWAGA
Task: {73F5621D-E8A9-455D-AF13-3C6DD44D3D9A} - Brak ścieżki do pliku. <==== UWAGA
Task: {950A8D7D-E5D2-4507-AA3F-A641ACE4A550} - Brak ścieżki do pliku. <==== UWAGA
Task: {AEE7E5D4-8ADD-4BD3-81C2-7DA7783BE3A2} - Brak ścieżki do pliku. <==== UWAGA
Task: {B0BA585D-10DD-4B69-954B-9310543D4A68} - Brak ścieżki do pliku. <==== UWAGA
Task: {BFF108C4-A662-4827-99DE-F67167DE3D97} - Brak ścieżki do pliku. <==== UWAGA
Task: {CB68AB60-5249-4064-BF2C-EF651B0EDB5F} - Brak ścieżki do pliku. <==== UWAGA
Task: {D24B6509-E8CD-436B-B6AA-A8B6CAFCD15E} - \Microsoft\Windows\Windows Media Sharing\UpdateLibrary -> Brak pliku <==== UWAGA
Task: {D7F5D1FD-49DD-4A03-B330-728CD6CAAAE2} - Brak ścieżki do pliku. <==== UWAGA
Task: {EF9F8DFE-139B-40DD-AF11-829CE6601823} - Brak ścieżki do pliku. <==== UWAGA
Tcpip\..\Interfaces\{09a6dad3-e927-442e-bde7-bac6a631466d}: [DhcpNameServer] 8.8.8.8 194.204.159.1
S2 KMService; C:\Windows\SysWOW64\srvany.exe [8192 2023-12-22] () [Brak podpisu cyfrowego]
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
FirewallRules: [{CEFED9B4-85B7-4810-A1EB-6C0904292E4C}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\120.0.2210.91\msedgewebview2.exe => Brak pliku
FirewallRules: [{4AC8236C-9473-4BCD-8046-899A5B3020A1}] => (Allow) C2NetCalendars.exe => Brak pliku
FirewallRules: [TCP Query User{D25E0468-CE41-4B96-A21E-F9C590FEF0CD}E:\instalki\!gry\spintires.build.8904972\spintires.exe] => (Allow) E:\instalki\!gry\spintires.build.8904972\spintires.exe => Brak pliku
FirewallRules: [UDP Query User{64ABC83B-2F48-4DA9-AD87-1814190E9469}E:\instalki\!gry\spintires.build.8904972\spintires.exe] => (Allow) E:\instalki\!gry\spintires.build.8904972\spintires.exe => Brak pliku

END::

 

2. Uruchom FRST64.exe i kliknij Napraw

3. Po restarcie wstaw plik wynikowy

4. Poczekaj na kolejne polecenia

 

Pozdrawiam serdecznie
Juliusz

Odnośnik do komentarza

@Markiz

 

Na chwilę obecną podstawowy błąd Zapory to:

 

Cytat

Dziennik System:
=============
Error: (01/10/2024 05:28:43 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi Zapora Windows Defender z powodu następującego błędu:
Program wykonywalny, w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi.

 

Ten błąd zapewne wyprodukowałeś własnoręcznie próbując ładować pliki z mojego opisu rekonstrukcji Zapory dedykowanego wyłącznie Windows 7. W Windows 10 są zasadnicze różnice w kluczach rejestru i nie można w ciemno brać importów ze starszego systemu. W/w błąd to wynik tego, że w Windows 7 usługa Zapory należy do grupy LocalServiceNoNetwork zaś w Windows 10 do grupy LocalServiceNoNetworkFirewall. I to zapewne nie jedyny uszczerbek związany z nieprawidłowymi importami.


Poproszę o więcej danych co właściwie jest obecnie w rejestrze. Tzn. uruchom FRST, CTRL+Y i do Notatnika wklej poniższy tekst, klik w Napraw:

 

ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BFE
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\mpsdrv
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\DoSvc
ExportValue: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender Security Center
ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Notifications\Settings
cmd: sc sdshow BFE
cmd: sc sdshow MpsSvc
cmd: sc sdshow mpsdrv
cmd: sc sdshow SharedAccess
cmd: sc sdshow DoSvc

 

Podaj wynikowe rezultaty.

Odnośnik do komentarza
W dniu 12.01.2024 o 02:18, picasso napisał(a):

Ten błąd zapewne wyprodukowałeś własnoręcznie próbując ładować pliki z mojego opisu rekonstrukcji Zapory dedykowanego wyłącznie Windows 7.

 

Szanowna Picasso. Jestem na tym forum już jakiś czas i WIEM, że nie wolno stosować żadnych rozwiązań nie przeznaczonych dla konkretnego problemu a już na pewno nie z innego systemu operacyjnego.

 

W dniu 12.01.2024 o 02:18, picasso napisał(a):

Podaj wynikowe rezultaty.

 

Fixlog po zastosowaniu Twojego polecenia:

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 11.01.2024
Uruchomiony przez Włodek (12-01-2024 22:04:58) Run:3
Uruchomiony z C:\Users\Włodek\Desktop\Fixit\FRST64
Załadowane profile: Włodek
Tryb startu: Normal
==============================================

fixlist - zawartość:
*****************
̩
*****************


==== Koniec  Fixlog 22:04:58 ====

 

Coś mi się jeszcze przypomniało - może ma znaczenie a może nie.

Otóż z jakimś programem po cichu bez żadnych okien i pól wyboru zainstalował mi się program 360 Total Security. A miałem już wgrany darmowy antywirus Panda. Odinstalowałem 360 Total Revo Uninstalerem i jakby od tamtego czasu komp zwolnił i zaczęły się kłopoty.

Odnośnik do komentarza

Definitywnie jest tu ten uszczerbek:

 

W dniu 12.01.2024 o 02:18, picasso napisał(a):

W/w błąd to wynik tego, że w Windows 7 usługa Zapory należy do grupy LocalServiceNoNetwork zaś w Windows 10 do grupy LocalServiceNoNetworkFirewall.

 

"Coś" zmieniło przynależność grupową usługi na odpowiadającą starszemu systemowi:

 

Cytat

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"ImagePath"="%SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork"

 

vs.

 

Cytat

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"LocalServiceNoNetworkFirewall"="BFE*mpssvc"
"LocalServiceNoNetwork"="DPS*PLA*NcdAutoSetup*CoreMessagingRegistrar"

 

========================================

 

Do przeprowadzenia następujące działania:

 

1. Uruchom FRST. Z klawiatury CTRL+Y i wklej do pliku następującą treść: 

 

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,6f,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,46,00,69,00,\
  72,00,65,00,77,00,61,00,6c,00,6c,00,20,00,2d,00,70,00,00,00
EndRegedit:
cmd: sc sdset mpssvc D:(A;;CCLCLORC;;;AU)(A;;CCDCLCSWRPLORCWDWO;;;SY)(A;;CCLCSWRPLORCWDWO;;;BA)(A;;CCLCLO;;;BU)S:(AU;FA;CCDCLCSWRPWPDTLOSDRCWDWO;;;WD)
Powershell: type C:\FRST\Quarantine\C\Windows\System32\GroupPolicy\Machine\registry.pol.xBAD
2024-01-05 16:54 - 2024-01-05 16:54 - 000000000 _____ C:\autoexec.bat
2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\Windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP
2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\sh4ldr
EmptyEventLogs:
Reboot:
 

Z klawiatury CTRL+S i klik w Napraw. Nastąpi restart systemu.

 

2. Dostarcz wynikowy fixlog.txt oraz świeże raporty z FRST.

 

 

Odnośnik do komentarza

Usterka związana ze złą grupą usługi (i wg mnie to usterka wtórna powstała podczas samodzielnych prób naprawy) została skorygowana. Teraz został odkryty błąd zasadniczy:

 

Dziennik System:
=============
Error: (01/13/2024 03:15:10 AM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Usługa mpssvc zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: 
Odmowa dostępu.

 

Podaj spis uprawnień kluczy, gdzie należy się spodziewać specjalnych kont systemowych. Tzn. ładuj kolejny Fix do FRST o treści:

ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy

Przedstaw wynikowy fixlog.txt.

 

Jestem już zbyt zmęczona, by przeprowadzić analizę wyników. Jutro po południu spodziewaj się mnie.

 

 

 

 

Odnośnik do komentarza

Sprawdzenie Fixlog zajmie mi trochę.

 

Co do trojana to owszem to było widoczne od początku i po wyczyszczeniu Dziennika zdarzeń detekcje nadal występują. Windows Defender czepia się w kółko pliku na Pulpicie i jego rozpakowanej wersji w D:\TEMP:

 

Ścieżka: file:_C:\Users\Włodek\Desktop\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.20433\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.22152\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.27243\stds keygen.exe; process:_pid:9136,ProcessStart:133482772497033166
Pochodzenie wykrycia: Komputer lokalny

 

Nazwa pliku jest oczywista, plik niepewny i do skasowania wszystkie jego wystąpienia. Ponadto, o ile w ostatnim logu nie widać wpisów ładowania infekcji, to nagle pojawiły się blokady Windows Defender:

 

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

 

O ile to nie Ty ręcznie podjąłeś czynności, by Defendera wyłączyć, to wpisy mogą pochodzić z tego "keygena".

 

Odnośnik do komentarza
1 godzinę temu, picasso napisał(a):

Windows Defender czepia się w kółko pliku na Pulpicie i jego rozpakowanej wersji w D:\TEMP:

 

Najciekawsze jest to, że ani na Pulpicie, ani w D:\Temp ani w całym komputerze takiego pliku nie ma.

 

1 godzinę temu, picasso napisał(a):
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

 

O ile to nie Ty ręcznie podjąłeś czynności, by Defendera wyłączyć, to wpisy mogą pochodzić z tego "keygena".

 

Nie podejmowałem takich czynności.

Odnośnik do komentarza

W kwestii uprawnień, naruszenie nastąpiło na pewno w podkluczach PortKeywords:

 

Spoiler
===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================
uprawnienia  "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo":

Owner: DESKTOP-BAll Access2IM7\Włodek

DACL(AI):

DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(NI)
BUILTIN\Users	ALLOW	Read	(CI-I)
BUILTIN\Administrators	ALLOW	All Access	(CI-I)
NT AUTHORITY\SYSTEM	ALLOW	All Access	(CI-I)
DESKTOP-BAll Access2IM7\Włodek	ALLOW	All Access	(I)
CREATOR OWNER	ALLOW	All Access	(CI-I-OI)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES	ALLOW	Read	(CI-I)
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681	ALLOW	Read	(CI-I)

===================================
===================================

 

 

W naturalnych okolicznościach klucze mają "Odmowę dostępu" z poziomu FRST (program działa w kontekście konta administracyjnego a nie SYSTEM):

 

Spoiler
===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP":

5
{EMPTY}

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn":

5
{EMPTY}

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut":

5
{EMPTY}

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap":

5
{EMPTY}

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo":

5
{EMPTY}

===================================
===================================

 

 

Ich uprawnienia można podglądnąć tylko poprzez uruchomienie regedit lub FRST z poziomu konta SYSTEM (np. za pomocą programu AdvancedRun). Ponadto pokazane tu uprawnienia są niewłaściwe. Te widziane z poziomu konta SYSTEM wyglądają tak:

 

Spoiler
===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\Dhcp	ALLOW	Create content/Delete content	(CI)
S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\iphlpsvc	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\iphlpsvc	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\RpcSs	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================
permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo":

Owner: NT AUTHORITY\SYSTEM

DACL(PAI):

NT SERVICE\iphlpsvc	ALLOW	Create content/Delete content	(CI)
NT SERVICE\mpssvc	ALLOW	Create content/ontrol AccessP	(CI)
NT AUTHORITY\SYSTEM	ALLOW	Create content/ontrol AccessP	(OI)
BUILTIN\Administrators	ALLOW	Create content/ontrol AccessP	(OI)

===================================
===================================

 

 

 

=============================================

 

Dla pewności załaduję kopię uprawnień dla całego klucza Zapory. Użyjemy SetACL, gdyż już go masz na dysku:

 

2024-01-07 14:45 - 2021-06-27 00:10 - 000616312 _____ (Helge Klein) C:\Windows\SetACL.exe

 

 

1. Wklej do Notatnika poniższą treść i zapisz jako C:\fix.txt (upewnij się, że nie będzie "podwójnego" rozszerzenia C:\fix.txt.txt).

"machine\SYSTEM\CurrentControlSet\Services\MpsSvc",4,"O:SY"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters",4,"O:SY"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\ACService",4,"O:SYD:PAI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;CIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs",4,"O:SYD:PAI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;CIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs\AppCs",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords",4,"O:SY"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CI;CCDC;;;S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Security",4,"O:SY"

 

2. Uruchom FRST. CTRL+Y i wklej poniższą treść, zapisz przez CTRL+S. Klik w Napraw.

cmd: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\fix.txt
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\ACService
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs\AppCs
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo
ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Security
ExportKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender

Przedstaw wynikowy fixlog.txt.

 

Na razie nie resetuj komputera i nie próbuj podejmować innych akcji z Zaporą.

 

Odnośnik do komentarza

Na szybko, bo muszę się oddalić i nie będzie mnie do późna (a nawet jutra).

 

Wg Fixlog kopia zapasowa C:\fix.txt została otworzona, ale prawie nic nie zostało załadowane, zatrzymanie nastąpiło na pierwszym kluczu od góry:

 

Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\MpsSvc>

 

Sprawdź co poda oryginalna linia komend. Tzn. w polu szukania wklep cmd, wybierz opcję Uruchom jako Administrator, do okna wklej i ENTER:

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\fix.txt

Czekaj cierpliwie dopóki SetACL nie ukończy działania (przejście do mrugającego C:\Windows\system32>). Pokaż zrzut ekranu z tego.

Odnośnik do komentarza

Wygląda na to, że program w starszej wersji wykonał robotę. Teraz jeszcze usunięcie ograniczenia i czyszczenie logów Defendera.

 

Uruchom FRST. CTRL+Y i wklej poniższą treść, zapisz przez CTRL+S. Klik w Napraw.

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
EmptyEventLogs:
Reboot:

 

Przedstaw wynikowy fixlog.txt.

 

Dodaj świeże raporty FRST. Sprawdź czy historia detekcji w Defenderze jest pusta. Opisz na czym stoimy.

Odnośnik do komentarza

To nie jest normalne. Zakończ proces FRST via Menedżer zadań. Następnie sprawdź czy w pliku fixlog.txt jest cokolwiek związanego z tym konkretnym fiksem (być może częściowo informacje nagrane gdzie FRST zastopował).

 

Podejrzewam, że być może czyszczenie historii skanu Defendera jest problemem. Spróbuj ograniczyć fiks do:

 

EmptyEventLogs:
Reboot:

 

 

 

Odnośnik do komentarza
22 minuty temu, picasso napisał(a):

To nie jest normalne. Zakończ proces FRST via Menedżer zadań. Następnie sprawdź czy w pliku fixlog.txt jest cokolwiek związanego z tym konkretnym fiksem (być może częściowo informacje nagrane gdzie FRST zastopował).

 

Po wymuszonym zatrzymaniu FRST:

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 11.01.2024
Uruchomiony przez Włodek (15-01-2024 00:03:19) Run:8
Uruchomiony z C:\Users\Włodek\Desktop\Fixit\FRST64
Załadowane profile: Włodek
Tryb startu: Normal
==============================================

fixlist - zawartość:
*****************
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
EmptyEventLogs:
Reboot:̩
*****************

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => pomyślnie usunięto

"C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service" folder - przenoszenie:

C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service => pomyślnie przeniesiono

=========== EmptyEventLogs: ==========

717 Event logs cleared. 


================================


System wymagał restartu.

==== Koniec  Fixlog 00:59:36 ====

 

 

22 minuty temu, picasso napisał(a):

Spróbuj ograniczyć fiks do: (...)

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 11.01.2024
Uruchomiony przez Włodek (15-01-2024 01:03:06) Run:9
Uruchomiony z C:\Users\Włodek\Desktop\Fixit\FRST64
Załadowane profile: Włodek
Tryb startu: Normal
==============================================

fixlist - zawartość:
*****************
EmptyEventLogs:
Reboot:̩
*****************


=========== EmptyEventLogs: ==========

1172 Event logs cleared. 


================================


System wymagał restartu.

==== Koniec  Fixlog 01:03:40 ====

 

W Tray'u pokazała się ikonka Defendera z zieloną tarczą.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...