Markiz Opublikowano 7 Stycznia 2024 Zgłoś Udostępnij Opublikowano 7 Stycznia 2024 Nie mogę włączyć zapory Windows - screen w załączniku. Zacząłem wykonywać kroki opisane w tutorialu "Rekonstrukcja Zapory systemu Windows" ale wyskakiwały błędy i rezultaty były inne niż w "tutku" - może dlatego, że tam opisywany był Win7. Czy istnieje podobny tutorial dla Windows 10? Pozdrawiam Cytat Log z FSS: Farbar Service Scanner Version: 30-04-2023 Ran by Włodek (administrator) on 08-01-2024 at 13:59:35 Running from "C:\Users\Włodek\Desktop" Microsoft Windows 10 Pro (X64) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Google IP is accessible. Google.com is accessible. Yahoo.com is accessible. Windows Firewall: ============= MpsSvc Service is not running. Checking service configuration: The start type of MpsSvc service is OK (Start=Auto). The ImagePath of MpsSvc service is OK (ImagePath=%SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork). The ServiceDll of MpsSvc service is OK. Firewall Disabled Policy: ================== System Restore: ============ System Restore Policy: ======================== Windows Security: ============ Windows Update: ============ dosvc Service is not running. Checking service configuration: The start type of dosvc service is OK (Start=Auto). The ImagePath of dosvc service is OK (ImagePath=%SystemRoot%\System32\svchost.exe -k NetworkService -p). The ServiceDll of dosvc service is OK. Windows Autoupdate Disabled Policy: ============================ Windows Defender: ============== Other Services: ============== File Check: ======== C:\Windows\System32\nsisvc.dll => File is digitally signed C:\Windows\System32\Drivers\nsiproxy.sys => File is digitally signed C:\Windows\System32\Drivers\netbt.sys => File is digitally signed C:\Windows\System32\Drivers\tdx.sys => File is digitally signed C:\Windows\System32\Drivers\afd.sys => File is digitally signed C:\Windows\System32\Drivers\tcpip.sys => File is digitally signed C:\Windows\System32\dnsrslvr.dll => File is digitally signed C:\Windows\System32\dnsapi.dll => File is digitally signed C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed C:\Windows\System32\mpssvc.dll => File is digitally signed C:\Windows\System32\bfe.dll => File is digitally signed C:\Windows\System32\Drivers\mpsdrv.sys => File is digitally signed C:\Windows\System32\SDRSVC.dll => File is digitally signed C:\Windows\System32\vssvc.exe => File is digitally signed C:\Windows\System32\SecurityHealthService.exe => File is digitally signed C:\Windows\System32\wscsvc.dll => File is digitally signed C:\Windows\System32\wbem\WMIsvc.dll => File is digitally signed C:\Windows\System32\wuaueng.dll => File is digitally signed C:\Windows\System32\qmgr.dll => File is digitally signed C:\Windows\System32\es.dll => File is digitally signed C:\Windows\System32\cryptsvc.dll => File is digitally signed C:\Windows\System32\usosvc.dll => File is digitally signed C:\Windows\System32\WaaSMedicSvc.dll => File is digitally signed C:\Windows\System32\dosvc.dll => File is digitally signed C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed C:\Windows\System32\ipnathlp.dll => File is digitally signed C:\Windows\System32\iphlpsvc.dll => File is digitally signed C:\Windows\System32\svchost.exe => File is digitally signed C:\Windows\System32\rpcss.dll => File is digitally signed **** End of log **** Rozwiń Chciałem tylko dodać, że komputer coraz bardziej zwalnia a z SysTrya zniknęła ikonka Defendera. W powiadomieniach mam ciągle zalecenie żeby uruchomić Zaporę Windows ale po kliknięciu się nie uruchamia... Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2024 Zgłoś Udostępnij Opublikowano 10 Stycznia 2024 @Markiz Dostarcz raporty z FRST, ponieważ wedle opisu zgłaszasz więcej problemów i być może należy podjąć dodatkowe działania. Odnośnik do komentarza
Markiz Opublikowano 10 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2024 Bardzo proszę. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
iJuliusz Opublikowano 11 Stycznia 2024 Zgłoś Udostępnij Opublikowano 11 Stycznia 2024 Witaj @Markiz Przejrzałem Twoje pliki Można zauważyć kilka wychwyconych zagrożeń, ale należy przeskanować system innymi programami, aby wykluczyć pozostałości Utworzony plik naprawczy zastosuj według zaleceń 1. Zaznacz poniższy kod z okienka włącznie ze START:: i END:: , następnie skopiuj Ctrl+C . Nie musisz go nigdzie wklejać. Pokaż ukrytą zawartość START:: CreateRestorePoint: CloseProcesses: EmptyTemp: GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA Task: {184DE69A-7398-44FF-A07D-71A56907A4A3} - Brak ścieżki do pliku. <==== UWAGA Task: {3D974344-3773-486C-9CFE-4DC29F03A988} - Brak ścieżki do pliku. <==== UWAGA Task: {41B02E68-D1A5-436B-B64F-A6834C10F298} - Brak ścieżki do pliku. <==== UWAGA Task: {5030D35E-B24A-4C7D-9C58-9EBA5B9CC7CF} - Brak ścieżki do pliku. <==== UWAGA Task: {543ADCDC-7964-4BE1-81B4-118A0A4B67C7} - Brak ścieżki do pliku. <==== UWAGA Task: {73F5621D-E8A9-455D-AF13-3C6DD44D3D9A} - Brak ścieżki do pliku. <==== UWAGA Task: {950A8D7D-E5D2-4507-AA3F-A641ACE4A550} - Brak ścieżki do pliku. <==== UWAGA Task: {AEE7E5D4-8ADD-4BD3-81C2-7DA7783BE3A2} - Brak ścieżki do pliku. <==== UWAGA Task: {B0BA585D-10DD-4B69-954B-9310543D4A68} - Brak ścieżki do pliku. <==== UWAGA Task: {BFF108C4-A662-4827-99DE-F67167DE3D97} - Brak ścieżki do pliku. <==== UWAGA Task: {CB68AB60-5249-4064-BF2C-EF651B0EDB5F} - Brak ścieżki do pliku. <==== UWAGA Task: {D24B6509-E8CD-436B-B6AA-A8B6CAFCD15E} - \Microsoft\Windows\Windows Media Sharing\UpdateLibrary -> Brak pliku <==== UWAGA Task: {D7F5D1FD-49DD-4A03-B330-728CD6CAAAE2} - Brak ścieżki do pliku. <==== UWAGA Task: {EF9F8DFE-139B-40DD-AF11-829CE6601823} - Brak ścieżki do pliku. <==== UWAGA Tcpip\..\Interfaces\{09a6dad3-e927-442e-bde7-bac6a631466d}: [DhcpNameServer] 8.8.8.8 194.204.159.1 S2 KMService; C:\Windows\SysWOW64\srvany.exe [8192 2023-12-22] () [Brak podpisu cyfrowego] ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku FirewallRules: [{CEFED9B4-85B7-4810-A1EB-6C0904292E4C}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\120.0.2210.91\msedgewebview2.exe => Brak pliku FirewallRules: [{4AC8236C-9473-4BCD-8046-899A5B3020A1}] => (Allow) C2NetCalendars.exe => Brak pliku FirewallRules: [TCP Query User{D25E0468-CE41-4B96-A21E-F9C590FEF0CD}E:\instalki\!gry\spintires.build.8904972\spintires.exe] => (Allow) E:\instalki\!gry\spintires.build.8904972\spintires.exe => Brak pliku FirewallRules: [UDP Query User{64ABC83B-2F48-4DA9-AD87-1814190E9469}E:\instalki\!gry\spintires.build.8904972\spintires.exe] => (Allow) E:\instalki\!gry\spintires.build.8904972\spintires.exe => Brak pliku END:: 2. Uruchom FRST64.exe i kliknij Napraw 3. Po restarcie wstaw plik wynikowy 4. Poczekaj na kolejne polecenia Pozdrawiam serdecznie Juliusz Odnośnik do komentarza
Markiz Opublikowano 11 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2024 Wszystko wykonane zgodnie z instrukcją - efektu niestety brak....Fixlog.txt Chyba mnie czeka reinstalka Windows niestety..... Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2024 Zgłoś Udostępnij Opublikowano 12 Stycznia 2024 @Markiz Na chwilę obecną podstawowy błąd Zapory to: Cytat Dziennik System: ============= Error: (01/10/2024 05:28:43 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Zapora Windows Defender z powodu następującego błędu: Program wykonywalny, w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi. Rozwiń Ten błąd zapewne wyprodukowałeś własnoręcznie próbując ładować pliki z mojego opisu rekonstrukcji Zapory dedykowanego wyłącznie Windows 7. W Windows 10 są zasadnicze różnice w kluczach rejestru i nie można w ciemno brać importów ze starszego systemu. W/w błąd to wynik tego, że w Windows 7 usługa Zapory należy do grupy LocalServiceNoNetwork zaś w Windows 10 do grupy LocalServiceNoNetworkFirewall. I to zapewne nie jedyny uszczerbek związany z nieprawidłowymi importami. Poproszę o więcej danych co właściwie jest obecnie w rejestrze. Tzn. uruchom FRST, CTRL+Y i do Notatnika wklej poniższy tekst, klik w Napraw: ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BFE ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\mpsdrv ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\DoSvc ExportValue: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender Security Center ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Notifications\Settings cmd: sc sdshow BFE cmd: sc sdshow MpsSvc cmd: sc sdshow mpsdrv cmd: sc sdshow SharedAccess cmd: sc sdshow DoSvc Podaj wynikowe rezultaty. Odnośnik do komentarza
Markiz Opublikowano 12 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2024 W dniu 12.01.2024 o 01:18, picasso napisał(a): Ten błąd zapewne wyprodukowałeś własnoręcznie próbując ładować pliki z mojego opisu rekonstrukcji Zapory dedykowanego wyłącznie Windows 7. Rozwiń Szanowna Picasso. Jestem na tym forum już jakiś czas i WIEM, że nie wolno stosować żadnych rozwiązań nie przeznaczonych dla konkretnego problemu a już na pewno nie z innego systemu operacyjnego. W dniu 12.01.2024 o 01:18, picasso napisał(a): Podaj wynikowe rezultaty. Rozwiń Fixlog po zastosowaniu Twojego polecenia: Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 11.01.2024 Uruchomiony przez Włodek (12-01-2024 22:04:58) Run:3 Uruchomiony z C:\Users\Włodek\Desktop\Fixit\FRST64 Załadowane profile: Włodek Tryb startu: Normal ============================================== fixlist - zawartość: ***************** ̩ ***************** ==== Koniec Fixlog 22:04:58 ==== Coś mi się jeszcze przypomniało - może ma znaczenie a może nie. Otóż z jakimś programem po cichu bez żadnych okien i pól wyboru zainstalował mi się program 360 Total Security. A miałem już wgrany darmowy antywirus Panda. Odinstalowałem 360 Total Revo Uninstalerem i jakby od tamtego czasu komp zwolnił i zaczęły się kłopoty. Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2024 Zgłoś Udostępnij Opublikowano 12 Stycznia 2024 Fixlist jest pusty (jakby nic nie skopiowało się ze schowka). Powtórz kroki, by wyprodukować raport. Odnośnik do komentarza
Markiz Opublikowano 13 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 Sorry - coś musiałem pokręcić. Teraz powinno być ok. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2024 Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 Definitywnie jest tu ten uszczerbek: W dniu 12.01.2024 o 01:18, picasso napisał(a): W/w błąd to wynik tego, że w Windows 7 usługa Zapory należy do grupy LocalServiceNoNetwork zaś w Windows 10 do grupy LocalServiceNoNetworkFirewall. Rozwiń "Coś" zmieniło przynależność grupową usługi na odpowiadającą starszemu systemowi: Cytat [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc] "ImagePath"="%SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork" Rozwiń vs. Cytat [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "LocalServiceNoNetworkFirewall"="BFE*mpssvc" "LocalServiceNoNetwork"="DPS*PLA*NcdAutoSetup*CoreMessagingRegistrar" Rozwiń ======================================== Do przeprowadzenia następujące działania: 1. Uruchom FRST. Z klawiatury CTRL+Y i wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc] "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,6f,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,46,00,69,00,\ 72,00,65,00,77,00,61,00,6c,00,6c,00,20,00,2d,00,70,00,00,00 EndRegedit: cmd: sc sdset mpssvc D:(A;;CCLCLORC;;;AU)(A;;CCDCLCSWRPLORCWDWO;;;SY)(A;;CCLCSWRPLORCWDWO;;;BA)(A;;CCLCLO;;;BU)S:(AU;FA;CCDCLCSWRPWPDTLOSDRCWDWO;;;WD) Powershell: type C:\FRST\Quarantine\C\Windows\System32\GroupPolicy\Machine\registry.pol.xBAD 2024-01-05 16:54 - 2024-01-05 16:54 - 000000000 _____ C:\autoexec.bat 2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\Windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP 2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\sh4ldr EmptyEventLogs: Reboot: Z klawiatury CTRL+S i klik w Napraw. Nastąpi restart systemu. 2. Dostarcz wynikowy fixlog.txt oraz świeże raporty z FRST. Odnośnik do komentarza
Markiz Opublikowano 13 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 Jak gdyby komputer troszeczkę przyśpieszył ale ikonki Defendera w Tray`u nadal nie ma i zapory nie da się włączyć. Addition.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2024 Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 Usterka związana ze złą grupą usługi (i wg mnie to usterka wtórna powstała podczas samodzielnych prób naprawy) została skorygowana. Teraz został odkryty błąd zasadniczy: Dziennik System: ============= Error: (01/13/2024 03:15:10 AM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa mpssvc zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: Odmowa dostępu. Podaj spis uprawnień kluczy, gdzie należy się spodziewać specjalnych kont systemowych. Tzn. ładuj kolejny Fix do FRST o treści: ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2 ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy Przedstaw wynikowy fixlog.txt. Jestem już zbyt zmęczona, by przeprowadzić analizę wyników. Jutro po południu spodziewaj się mnie. Odnośnik do komentarza
Markiz Opublikowano 13 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 W dniu 13.01.2024 o 02:50, picasso napisał(a): Jestem już zbyt zmęczona, by przeprowadzić analizę wyników. Jutro po południu spodziewaj się mnie. Rozwiń Oczywiście rozumiem i bardzo dziękuję, ze zechciałaś się tym zająć. Defender raportuje jakiegoś trojana ale nie mogę z tym nic zrobić. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2024 Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 Sprawdzenie Fixlog zajmie mi trochę. Co do trojana to owszem to było widoczne od początku i po wyczyszczeniu Dziennika zdarzeń detekcje nadal występują. Windows Defender czepia się w kółko pliku na Pulpicie i jego rozpakowanej wersji w D:\TEMP: Ścieżka: file:_C:\Users\Włodek\Desktop\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.20433\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.22152\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.27243\stds keygen.exe; process:_pid:9136,ProcessStart:133482772497033166 Pochodzenie wykrycia: Komputer lokalny Nazwa pliku jest oczywista, plik niepewny i do skasowania wszystkie jego wystąpienia. Ponadto, o ile w ostatnim logu nie widać wpisów ładowania infekcji, to nagle pojawiły się blokady Windows Defender: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA O ile to nie Ty ręcznie podjąłeś czynności, by Defendera wyłączyć, to wpisy mogą pochodzić z tego "keygena". Odnośnik do komentarza
Markiz Opublikowano 13 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 W dniu 13.01.2024 o 13:41, picasso napisał(a): Windows Defender czepia się w kółko pliku na Pulpicie i jego rozpakowanej wersji w D:\TEMP: Rozwiń Najciekawsze jest to, że ani na Pulpicie, ani w D:\Temp ani w całym komputerze takiego pliku nie ma. W dniu 13.01.2024 o 13:41, picasso napisał(a): HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA O ile to nie Ty ręcznie podjąłeś czynności, by Defendera wyłączyć, to wpisy mogą pochodzić z tego "keygena". Rozwiń Nie podejmowałem takich czynności. Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2024 Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 W kwestii uprawnień, naruszenie nastąpiło na pewno w podkluczach PortKeywords: Pokaż ukrytą zawartość =================================== =================================== uprawnienia "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP": Owner: DESKTOP-BAll Access2IM7\Włodek DACL(AI): DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (NI) BUILTIN\Users ALLOW Read (CI-I) BUILTIN\Administrators ALLOW All Access (CI-I) NT AUTHORITY\SYSTEM ALLOW All Access (CI-I) DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (I) CREATOR OWNER ALLOW All Access (CI-I-OI) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES ALLOW Read (CI-I) S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681 ALLOW Read (CI-I) =================================== =================================== uprawnienia "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn": Owner: DESKTOP-BAll Access2IM7\Włodek DACL(AI): DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (NI) BUILTIN\Users ALLOW Read (CI-I) BUILTIN\Administrators ALLOW All Access (CI-I) NT AUTHORITY\SYSTEM ALLOW All Access (CI-I) DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (I) CREATOR OWNER ALLOW All Access (CI-I-OI) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES ALLOW Read (CI-I) S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681 ALLOW Read (CI-I) =================================== =================================== uprawnienia "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut": Owner: DESKTOP-BAll Access2IM7\Włodek DACL(AI): DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (NI) BUILTIN\Users ALLOW Read (CI-I) BUILTIN\Administrators ALLOW All Access (CI-I) NT AUTHORITY\SYSTEM ALLOW All Access (CI-I) DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (I) CREATOR OWNER ALLOW All Access (CI-I-OI) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES ALLOW Read (CI-I) S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681 ALLOW Read (CI-I) =================================== =================================== uprawnienia "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap": Owner: DESKTOP-BAll Access2IM7\Włodek DACL(AI): DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (NI) BUILTIN\Users ALLOW Read (CI-I) BUILTIN\Administrators ALLOW All Access (CI-I) NT AUTHORITY\SYSTEM ALLOW All Access (CI-I) DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (I) CREATOR OWNER ALLOW All Access (CI-I-OI) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES ALLOW Read (CI-I) S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681 ALLOW Read (CI-I) =================================== =================================== uprawnienia "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo": Owner: DESKTOP-BAll Access2IM7\Włodek DACL(AI): DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (NI) BUILTIN\Users ALLOW Read (CI-I) BUILTIN\Administrators ALLOW All Access (CI-I) NT AUTHORITY\SYSTEM ALLOW All Access (CI-I) DESKTOP-BAll Access2IM7\Włodek ALLOW All Access (I) CREATOR OWNER ALLOW All Access (CI-I-OI) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES ALLOW Read (CI-I) S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681 ALLOW Read (CI-I) =================================== =================================== W naturalnych okolicznościach klucze mają "Odmowę dostępu" z poziomu FRST (program działa w kontekście konta administracyjnego a nie SYSTEM): Pokaż ukrytą zawartość =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP": 5 {EMPTY} =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn": 5 {EMPTY} =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut": 5 {EMPTY} =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap": 5 {EMPTY} =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo": 5 {EMPTY} =================================== =================================== Ich uprawnienia można podglądnąć tylko poprzez uruchomienie regedit lub FRST z poziomu konta SYSTEM (np. za pomocą programu AdvancedRun). Ponadto pokazane tu uprawnienia są niewłaściwe. Te widziane z poziomu konta SYSTEM wyglądają tak: Pokaż ukrytą zawartość =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP": Owner: NT AUTHORITY\SYSTEM DACL(PAI): NT SERVICE\Dhcp ALLOW Create content/Delete content (CI) S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966 ALLOW Create content/Delete content (CI) NT SERVICE\mpssvc ALLOW Create content/ontrol AccessP (CI) NT AUTHORITY\SYSTEM ALLOW Create content/ontrol AccessP (OI) BUILTIN\Administrators ALLOW Create content/ontrol AccessP (OI) =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn": Owner: NT AUTHORITY\SYSTEM DACL(PAI): NT SERVICE\iphlpsvc ALLOW Create content/Delete content (CI) NT SERVICE\mpssvc ALLOW Create content/ontrol AccessP (CI) NT AUTHORITY\SYSTEM ALLOW Create content/ontrol AccessP (OI) BUILTIN\Administrators ALLOW Create content/ontrol AccessP (OI) =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut": Owner: NT AUTHORITY\SYSTEM DACL(PAI): NT SERVICE\iphlpsvc ALLOW Create content/Delete content (CI) NT SERVICE\mpssvc ALLOW Create content/ontrol AccessP (CI) NT AUTHORITY\SYSTEM ALLOW Create content/ontrol AccessP (OI) BUILTIN\Administrators ALLOW Create content/ontrol AccessP (OI) =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap": Owner: NT AUTHORITY\SYSTEM DACL(PAI): NT SERVICE\RpcSs ALLOW Create content/Delete content (CI) NT SERVICE\mpssvc ALLOW Create content/ontrol AccessP (CI) NT AUTHORITY\SYSTEM ALLOW Create content/ontrol AccessP (OI) BUILTIN\Administrators ALLOW Create content/ontrol AccessP (OI) =================================== =================================== permissions of "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo": Owner: NT AUTHORITY\SYSTEM DACL(PAI): NT SERVICE\iphlpsvc ALLOW Create content/Delete content (CI) NT SERVICE\mpssvc ALLOW Create content/ontrol AccessP (CI) NT AUTHORITY\SYSTEM ALLOW Create content/ontrol AccessP (OI) BUILTIN\Administrators ALLOW Create content/ontrol AccessP (OI) =================================== =================================== ============================================= Dla pewności załaduję kopię uprawnień dla całego klucza Zapory. Użyjemy SetACL, gdyż już go masz na dysku: 2024-01-07 14:45 - 2021-06-27 00:10 - 000616312 _____ (Helge Klein) C:\Windows\SetACL.exe 1. Wklej do Notatnika poniższą treść i zapisz jako C:\fix.txt (upewnij się, że nie będzie "podwójnego" rozszerzenia C:\fix.txt.txt). "machine\SYSTEM\CurrentControlSet\Services\MpsSvc",4,"O:SY" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters",4,"O:SY" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\ACService",4,"O:SYD:PAI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;CIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs",4,"O:SYD:PAI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;CIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs\AppCs",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords",4,"O:SY" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CI;CCDC;;;S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Security",4,"O:SY" 2. Uruchom FRST. CTRL+Y i wklej poniższą treść, zapisz przez CTRL+S. Klik w Napraw. cmd: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\fix.txt ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\ACService ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs\AppCs ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Security ExportKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Przedstaw wynikowy fixlog.txt. Na razie nie resetuj komputera i nie próbuj podejmować innych akcji z Zaporą. Odnośnik do komentarza
Markiz Opublikowano 13 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2024 Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 Na szybko, bo muszę się oddalić i nie będzie mnie do późna (a nawet jutra). Wg Fixlog kopia zapasowa C:\fix.txt została otworzona, ale prawie nic nie zostało załadowane, zatrzymanie nastąpiło na pierwszym kluczu od góry: Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\MpsSvc> Sprawdź co poda oryginalna linia komend. Tzn. w polu szukania wklep cmd, wybierz opcję Uruchom jako Administrator, do okna wklej i ENTER: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\fix.txt Czekaj cierpliwie dopóki SetACL nie ukończy działania (przejście do mrugającego C:\Windows\system32>). Pokaż zrzut ekranu z tego. Odnośnik do komentarza
Markiz Opublikowano 13 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2024 Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2024 Zgłoś Udostępnij Opublikowano 14 Stycznia 2024 Wg komentarzy tutaj ten błąd zdaje się być bugiem w najnowszej dostępnej wersji 3.1.2.86. Wygrzebałam z maszyny wirtualnej starą 64-bitową wersję SetACL 3.0.6.0. Pobierz i podmień SetACL.exe w folderze C:\Windows. Następnie wykonaj to samo co w poprzednim poście i pokaż zrzut ekranu. Odnośnik do komentarza
Markiz Opublikowano 14 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2024 W dniu 14.01.2024 o 13:45, picasso napisał(a): Wygrzebałam z maszyny wirtualnej starą 64-bitową wersję SetACL 3.0.6.0. Pobierz i podmień SetACL.exe w folderze C:\Windows. Następnie wykonaj to samo co w poprzednim poście i pokaż zrzut ekranu. Rozwiń Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2024 Zgłoś Udostępnij Opublikowano 14 Stycznia 2024 Wygląda na to, że program w starszej wersji wykonał robotę. Teraz jeszcze usunięcie ograniczenia i czyszczenie logów Defendera. Uruchom FRST. CTRL+Y i wklej poniższą treść, zapisz przez CTRL+S. Klik w Napraw. HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service EmptyEventLogs: Reboot: Przedstaw wynikowy fixlog.txt. Dodaj świeże raporty FRST. Sprawdź czy historia detekcji w Defenderze jest pusta. Opisz na czym stoimy. Odnośnik do komentarza
Markiz Opublikowano 14 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2024 FRST pracuje już ponad 45 minut ale chyba go nie zatrzymywać? Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2024 Zgłoś Udostępnij Opublikowano 14 Stycznia 2024 To nie jest normalne. Zakończ proces FRST via Menedżer zadań. Następnie sprawdź czy w pliku fixlog.txt jest cokolwiek związanego z tym konkretnym fiksem (być może częściowo informacje nagrane gdzie FRST zastopował). Podejrzewam, że być może czyszczenie historii skanu Defendera jest problemem. Spróbuj ograniczyć fiks do: EmptyEventLogs: Reboot: Odnośnik do komentarza
Markiz Opublikowano 15 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2024 W dniu 14.01.2024 o 23:51, picasso napisał(a): To nie jest normalne. Zakończ proces FRST via Menedżer zadań. Następnie sprawdź czy w pliku fixlog.txt jest cokolwiek związanego z tym konkretnym fiksem (być może częściowo informacje nagrane gdzie FRST zastopował). Rozwiń Po wymuszonym zatrzymaniu FRST: Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 11.01.2024 Uruchomiony przez Włodek (15-01-2024 00:03:19) Run:8 Uruchomiony z C:\Users\Włodek\Desktop\Fixit\FRST64 Załadowane profile: Włodek Tryb startu: Normal ============================================== fixlist - zawartość: ***************** HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service EmptyEventLogs: Reboot:̩ ***************** HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => pomyślnie usunięto "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service" folder - przenoszenie: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service => pomyślnie przeniesiono =========== EmptyEventLogs: ========== 717 Event logs cleared. ================================ System wymagał restartu. ==== Koniec Fixlog 00:59:36 ==== W dniu 14.01.2024 o 23:51, picasso napisał(a): Spróbuj ograniczyć fiks do: (...) Rozwiń Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 11.01.2024 Uruchomiony przez Włodek (15-01-2024 01:03:06) Run:9 Uruchomiony z C:\Users\Włodek\Desktop\Fixit\FRST64 Załadowane profile: Włodek Tryb startu: Normal ============================================== fixlist - zawartość: ***************** EmptyEventLogs: Reboot:̩ ***************** =========== EmptyEventLogs: ========== 1172 Event logs cleared. ================================ System wymagał restartu. ==== Koniec Fixlog 01:03:40 ==== W Tray'u pokazała się ikonka Defendera z zieloną tarczą. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się