Flyer Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Witam Laptop HP, Win7 Home Premium SP1 32bit. Niestety nie mogę sobie poradzić z tym problemem. Kilka dni temu, MSE raportował o obecności trojana w pobranym pliku. Prawdopodobnie przez moje zaniedbanie nie została ta infekcja usunięta na czas, nie upewniłem się, że jest czysto. Po ponownych restartach MSE nie mógł już poradzić sobie z usunięciem tego(albo tych) wirusa. Po jednym z ponownych uruchomień system nie rozpoznaje baterii, nie ma dźwięku, wifi nie działa, nie działa klawiatura i trackpad. (po USB wszystko działa) Przeskanowałem najpierw Malwarebytes Anti-malware z najnowszą bazą - znalazł 2 zagrożenia. Następnie Kaspersky Virus Removal Tool 2011 - usunął 7 wirusów. (Czy logi są tworzone w specyficznym miejscu? Niestety nie zapisałem wyników) Przy 7 pozycjach w Menadżerze urządzeń widnieje wykrzyknik i kod błedu nr 3 - nie pomaga odinstalowanie i ponowne uruchomienie. DLL Suite pokazuje 300 brakujących .dll i exe (sporo związanych z Visual Studio itp.) sfc /scannow nie może uleczyć niektórych plików Brak dziwnych, innych objawów (gdybym coś zauważył napiszę) Podejrzewam, że Kaspersky wyczyścił sporo, ale dla pewności zamieszczam logi. Zależy mi na tym, aby nie przeinstalowywać systemu. Z góry bardzo serdecznie dziękuję za pomoc. Pozdrawiam. Results of screen317's Security Check version 0.99.32 Windows 7 Service Pack 1 x86 (UAC is enabled) Internet Explorer 9 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! Microsoft Security Essentials WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Java™ 7 Adobe Flash Player 11.1.102.55 Adobe Reader 9 Adobe Reader out of date! Mozilla Firefox (8.0.1) ```````````````````````````````` Process Check: objlist.exe by Laurent Windows Defender MSMpEng.exe Microsoft Security Essentials msseces.exe Microsoft Security Client Antimalware MsMpEng.exe ``````````End of Log```````````` sfc.txt OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Twój system przeszedł przez ciężką infekcję rootkitem ZeroAccess. Jednakże, wygląda na to, że infekcja jest tu w stanie odpadków, nie jest aktywna. Brak przekierowania w Winsock, brak czynnych modułów i widocznego zainfekowania sterownika SYS w GMER. Widzę tylko w GMER zablokowany link symboliczny C:\Windows\$NtUninstallKB55966$ rootkita, a w OTL kilka pobocznych plików i dodatkowe drobnostki (m.in. złe atrybuty pliku HOSTS). 1. Pobierz i uruchom zgodnie ze wskazówkami ComboFix, powinien się zająć wyliczanymi rzeczami w pewnej mierze. 2. Przedstaw wynikowy raport ComboFix, zrobione już po nowe logi z OTL i Farbar Service Scanner (wszystkie opcje zaznaczone). Również, wylicz mi wszystkie pliki w katalogu C:\Windows\system32\drivers, które mają ikonę kłódki (to pliki z wyzerowanymi przez rootkita uprawnieniami): Po jednym z ponownych uruchomień system nie rozpoznaje baterii, nie ma dźwięku, wifi nie działa, nie działa klawiatura i trackpad. (po USB wszystko działa) Te objawy zdają się być typowe dla skutków pobytu ZeroAccess. Zwykle to jest albo wada plików zmanipulowanych rootkitem, albo skasowane usługi sterowników z rejestru. Wg OTL Extras są jeszcze szkody typu: Error - 2012-03-24 13:12:13 | Computer Name = lookas-HP | Source = Service Control Manager | ID = 7003Description = Usługa Udostępnianie połączenia internetowego (ICS) zależy od następującej usługi: BFE. Ta usługa może nie być zainstalowana. Masz skasowaną z rejestru całą konstrukcję Zapory systemu Windows (jej usługi BFE + MpsSvc). Przy 7 pozycjach w Menadżerze urządzeń widnieje wykrzyknik i kod błedu nr 3 - nie pomaga odinstalowanie i ponowne uruchomienie. Jakich pozycjach? Podaj konkrety (nazwy urządzeń / zrzut ekranu je obejmujący). sfc /scannow nie może uleczyć niektórych plików Wg raportu są nadal problemy z tymi: 2012-03-21 15:58:00, Info CSI 000000d4 [sR] Cannot repair member file [l:24{12}]"drmmgrtn.dll" of Microsoft-Windows-MediaPlayer-DRM, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2012-03-21 16:07:52, Info CSI 000001b1 [sR] Cannot repair member file [l:24{12}]"Wdf01000.sys" of Microsoft-Windows-WDF-Kernel Library, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked2012-03-21 16:07:52, Info CSI 000001b2 [sR] Cannot repair member file [l:24{12}]"Wdf01000.sys" of Microsoft-Windows-WDF-Kernel Library, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked2012-03-21 16:07:52, Info CSI 000001b3 [sR] This component was referenced by [l:198{99}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~x86~~6.1.7601.17514.WindowsFoundationDelivery"2012-03-21 16:07:52, Info CSI 000001b5 [sR] Could not reproject corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:24{12}]"Wdf01000.sys"; source file in store is also corrupted Frazy z "file cannot be checked" sugerują, że plik Wdf01000.sys ma nieprawidłowe uprawnienia. Zajmę się tymi wadami, ale w pierwszej kolejności robota usuwająca w ComboFix. DLL Suite pokazuje 300 brakujących .dll i exe (sporo związanych z Visual Studio itp.) Radzę trzymać się z dala od wszelkich automatów-dziwadeł sugerujących jakieś braki / podmiany / pobieranie plików na platformie Windows 7. Od takich operacji jest narzędzie sfc, gwarant prawidłowych detekcji wersji. Następnie Kaspersky Virus Removal Tool 2011 - usunął 7 wirusów. (Czy logi są tworzone w specyficznym miejscu? Niestety nie zapisałem wyników) Skaner Kasperskiego nie zapisuje wyników w postaci pliku, o ile sam tego nie zrobisz ręcznie. . Odnośnik do komentarza
Flyer Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Dziękuje za pomoc. Combofix wykrył ZeroAccess, po ponownym uruchomieniu usunął go. Załączam nowe logi. Pliki z C:\Windows\system32\drivers z kłódką to: blbdrive.sys netbios.sys npfs.sys FSS.txt OTL.Txt combofix-log.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 ComboFix usunął łącze symboliczne i parę innych rzeczy oraz naprawił Zaporę. Co do obrazka z Menedżera urządzeń: nie wiem czy to będę w stanie zreperować. Dla porównania temat, w którym stoczyłam bój z podobnie wyglądającym przypadkiem i skończyło się na reinstalacji Windows: KLIK. Na razie idziemy dalej: 1. Uruchom GrantPerms, w oknie wklej: C:\Windows\system32\drivers\blbdrive.sys C:\Windows\system32\drivers\netbios.sys C:\Windows\system32\drivers\npfs.sys C:\Windows\system32\drivers\etc\hosts Klik w Unlock. Po tej operacji sprawdź czy zniknęły kłódki z plików w drivers. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files attrib -r -s -h C:\Windows\System32\drivers\etc\hosts /C C:\Windows\0 C:\Windows\System32\0 :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\stwrt.sys -- (STHDA) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\NSNDIS5.SYS -- (NSNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nbdrv.sys -- (Nbdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\clwvd.sys -- (clwvd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\user\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\AMD\System Monitor\atillk64.sys -- (atillk64) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\lookas\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe -- (HP Health Check Service) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll File not found FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{1C8E5692-4C5B-4AA1-AA7E-1A0C9000DA8A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{3A40E547-20FD-44a2-94D0-1C98342D1507}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}] :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Wygeneruj nowy log z OTL na warunku dostosowanym. W sekcji Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt UpperFilters /RS LowerFilters /RS /md5start drmmgrtn.dll Wdf01000.sys /md5stop type D:\autorun.inf /C type E:\autorun.inf /C Klik w Skanuj. Przedstaw log wynikowy. . Odnośnik do komentarza
Flyer Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 GrantPerms nie przywrócił uprawnień tylko do jednego pliku: C:\Windows\system32\drivers\blbdrive.sys Skan OTL trwał kilka godzin - rezultaty w załączniku. wyniki-usuwania-otl1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Długi skan OTL był spodziewany, dałam takie warunki, że nie mogło to odbyć się ekspresem. Tak jak wcześniej mówiłam przy ocenie wyników SFC, problem z uprawnieniami jednej z kopii pliku Wdf01000.sys (adnotacja "Unable to obtain MD5"): [2012-03-20 16:23:13 | 000,445,008 | ---- | M] () Unable to obtain MD5 -- C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys 1. Pobierz SetACL, z katalogu Command line version > x86 przekopiuj SetACL.exe do C:\Windows. Do Notatnika wklej: "\\?\C:\Windows\system32\drivers\blbdrive.sys",1,"O:BAD:PAI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;BU)" Zapisz jako fix.txt. Plik przekopiuj wprost na C:\. Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator, wpisz komendę: SetACL -on "C:\Windows\system32\drivers\blbdrive.sys" -ot file -actn restore -bckp C:\fix.txt Następnie zrób kolejny fix.txt o zawartości: "\\?\C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys",1,"O:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)" I załaduj w cmd komendą: SetACL -on "C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys" -ot file -actn restore -bckp C:\fix.txt 2. Po w/w operacji zresetuj system. Sprawdź czy z blbdrive.sys zniknęła kłódka. Następnie, usuń aktualny C:\Windows\Logs\CBS\CBS.LOG i zrób ponownie komendę sfc /scannow. Podaj log z filtrowanymi wynikami do wystąpień znaczników [sR]. . Odnośnik do komentarza
Flyer Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Na blbdrive.sys zniknęła kłódka, zabezpieczenia wyglądają ok. Niestety drugi fix nie przechodzi, co też potwierdza sfc. (Oczywiscie cmd z uprawnieniami administratora) C:\Windows\system32>SetACL -on "C:\Windows\winsxs\x86_microsoft-windows-wdf-kern ellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys" -o t file -actn restore -bckp C:\fix.txt INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be com bined with -restore. INFORMATION: Input file for restore operation opened: 'C:\fix.txt' INFORMATION: Restoring SD of: <\\?\C:\Windows\winsxs\x86_microsoft-windows-wdf-k ernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys> ERROR: Writing SD to <\\?\C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibr ary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys> failed w ith: Odmowa dostępu. SetACL finished successfully. C:\Windows\system32> sfc.txt Odnośnik do komentarza
picasso Opublikowano 26 Marca 2012 Zgłoś Udostępnij Opublikowano 26 Marca 2012 Istotnie, brak uprawnień do wykonania operacji. 1. Spróbuj przepuścić ten plik przez GrantPerms, a po tym ponów z SetACL. Jeśli zawiedzie: 2. Spróbuj przekonfigurować ręcznie uprawnienia wzorując się na: KLIK. Rozpisuję jakie uprawnienia ma mieć ten plik, w widoku Zaawansowanym: Karta Właściciel:TrustedInstaller Karta Uprawnienia: TrustedInstaller - Pełna Kontrola - nie odziedziczone Administratorzy - Odczyt i wykonanie - nie odziedziczone SYSTEM - Odczyt i wykonanie - nie odziedziczone Użytkownicy - Odczyt i wykonanie - nie odziedziczone Przy czym: najpierw przyznaj jako właściciela grupę Administratorów (a nie TrustedInstaller), następnie ustaw Administratorom Pełną kontrolę, a to po to, by móc edytować uprawnienia. Gdy ukończysz, Administratorom obniżasz uprawnienia i ustawiasz właścicielstwo na TrustedInstaller. . Odnośnik do komentarza
Flyer Opublikowano 26 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2012 GrantPerms dał radę, SetACL przeszedł. Jest natomiast problem z naprawą tego pliku przez sfc (hash mismatch) Dziękuję za poświęcony czas, kolejne działania z mojej strony jutro sfc.txt Odnośnik do komentarza
picasso Opublikowano 26 Marca 2012 Zgłoś Udostępnij Opublikowano 26 Marca 2012 Po odblokowaniu pliku ujawniła się wada główna. Wg uprzedniego skanu OTL kopią o prawidłowej sumie kontrolnej była C:\Windows\System32\drivers\Wdf01000.sys. I tę wezmę do zamiany. 1. Uruchom BlitzBlank i w karcie Script wklej: CopyFile: C:\Windows\System32\drivers\Wdf01000.sys C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys Klik w Execute Now. Zatwierdź restart komputera. 2. Myślę, iż to już formalność, ale wykonaj sfc /scannow, by mieć czarno na białym, że plik jest podstawiony prawidłowo. . Odnośnik do komentarza
Flyer Opublikowano 26 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2012 BlitzBlank nie przeszedł gdyż nie miał uprawnień do stworzenia pliku. Ręcznie przyznałem jako właściciela grupę Administratorów i nadałem Pełną kontrolę Administratorom i Systemowi. Wtedy uruchomiłem BlitzBlank, skrypt przeszedł a później SetACL przywróciłem zabezpieczenia z fix-em który mi podałaś wcześniej: "\\?\C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys",1,"O:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)" Sfc zwraca, że integralność plików jest w porządku. sfc.txt Odnośnik do komentarza
picasso Opublikowano 26 Marca 2012 Zgłoś Udostępnij Opublikowano 26 Marca 2012 Zamykając kwestie czyszczące, odinstaluj ComboFix przez komendę E:\ComboFix.exe /uninstall, po tym w OTL możesz zastosować Sprzątanie. Czyli zostały nam nieszczęsne wykrzykniki w menedżerze urządzeń. Nagraj mi logi czasu rzeczywistego za pomocą Process Monitor z tego co się dzieje podczas reinstalacji tych wadliwych urządzeń. Konkretnie dwa logi: - otwórz Menedżer urządzeń, uruchom Process Monitor, zacznij po kolei deinstalować wadliwe urządzenia, zapisz z tej fazy ręcznie log w Process Monitor. - gdy Menedżer urządzeń poprosi o restart, zaplanuj w Process Monitor nagrywanie Boot Time (punkt 4 z KLIK) i zresetuj system, po restarcie zgłosi się Process Monitor nagrywający log startowy. Wszystkie logi PML zapakuj do ZIP, shostuj gdzieś i podaj mi link do paczki. Te logi to grubsza sprawa i nie obiecuję szybkiej analizy. . Odnośnik do komentarza
Flyer Opublikowano 26 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2012 Czyszczenie zrobione. Przygotowałem logi (mam nadzieję, że poprawnie zrobione). Myślę, że nie ma problemów z pobieraniem z tego hostingu, jak coś to mogę na FTP wrzucić. http://wyslijto.pl/plik/s55zqun302 W przypadku gdyby się nie udało przywrócić sterowników rozumiem, że pozostaje reinstalacja. Czy sądzisz o In-Place Upgrade (np. opisane tutaj)? Są jakieś przeciwwskazania? Odnośnik do komentarza
picasso Opublikowano 27 Marca 2012 Zgłoś Udostępnij Opublikowano 27 Marca 2012 Coś nie mogę tego pobrać. Urywa mi pobierany plik mniej więcej przy ~80MB. Próbowałam kilka razy. Przehostuj paczkę np. na speedyshare.com. Czy sądzisz o In-Place Upgrade (np. opisane tutaj)? Są jakieś przeciwwskazania? Szerszy opis na forum: KLIK. Warunkiem jest użycie płyty w stanie SP1 (posiadasz?). To owszem można przeprowadzić, ale zostawiam ten scenariusz na sam koniec, gdy nic nie osiągniemy. . Odnośnik do komentarza
Flyer Opublikowano 27 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2012 Ok, jest na speedyshare: http://speedy.sh/gVHgM/PMlogs.zip i na dropboxie: http://dl.dropbox.com/u/9983168/PMlogs.zip Mam płytkę Win 7 SP1 ale po angielsku - nie jestem pewien czy to przeszkadza. X17-24208.iso Sam system jest legalny, od producenta mam tylko jakieś płytki recovery... Nigdy do nich nie zaglądałem. Odnośnik do komentarza
picasso Opublikowano 27 Marca 2012 Zgłoś Udostępnij Opublikowano 27 Marca 2012 Mam płytkę Win 7 SP1 ale po angielsku - nie jestem pewien czy to przeszkadza. Niezgodność natywnego pakietu językowego to może być problem przy nadpisie nakładkowym. Warunkiem dla aktualizacji musi być także zgodność MUI. OK, pobrałam. W Process Monitor są m.in. takie rekordy z błędami Odmowy dostępu tyczące obiektów związanych ze sterownikami: Logfile.PML 19:27:08,7246128 mmc.exe 4008 CreateFile C:\Windows\System32\DriverStore\infpub.dat ACCESS DENIED Desired Access: Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: S-1-5-21-1580912841-1977702982-2776578416-101019:27:08,7278194 mmc.exe 4008 CreateFile C:\Windows\System32\DriverStore\infstor.dat ACCESS DENIED Desired Access: Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: S-1-5-21-1580912841-1977702982-2776578416-101019:27:08,7289493 mmc.exe 4008 CreateFile C:\Windows\System32\DriverStore\infstrng.dat ACCESS DENIED Desired Access: Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: S-1-5-21-1580912841-1977702982-2776578416-101019:27:08,7300342 mmc.exe 4008 CreateFile C:\Windows\System32\DriverStore\drvindex.dat ACCESS DENIED Desired Access: Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: S-1-5-21-1580912841-1977702982-2776578416-101019:27:08,7323259 mmc.exe 4008 CreateFile C:\Windows\System32\DriverStore\INFCACHE.1 ACCESS DENIED Desired Access: Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: S-1-5-21-1580912841-1977702982-2776578416-1010 Bootlog.PML 19:32:19,1105936 DrvInst.exe 2952 CreateFile C:\Windows\System32\drivers\amdppm.sys ACCESS DENIED Desired Access: Read Attributes, Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: NT AUTHORITY\SYSTEM19:32:19,1109086 DrvInst.exe 2952 CreateFile C:\Windows\System32\drivers\amdppm.sys ACCESS DENIED Desired Access: Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: NT AUTHORITY\SYSTEM19:32:21,5483287 DrvInst.exe 1764 CreateFile C:\Windows\System32\drivers\amdppm.sys ACCESS DENIED Desired Access: Read Attributes, Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: NT AUTHORITY\SYSTEM19:32:21,5486598 DrvInst.exe 1764 CreateFile C:\Windows\System32\drivers\amdppm.sys ACCESS DENIED Desired Access: Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: NT AUTHORITY\SYSTEM19:32:24,7632146 DrvInst.exe 2984 CreateFile C:\Windows\System32\drivers\hdaudbus.sys ACCESS DENIED Desired Access: Read Attributes, Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: NT AUTHORITY\SYSTEM19:32:24,7635456 DrvInst.exe 2984 CreateFile C:\Windows\System32\drivers\hdaudbus.sys ACCESS DENIED Desired Access: Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: NT AUTHORITY\SYSTEM19:32:28,2942142 DrvInst.exe 2940 CreateFile C:\Windows\System32\drivers\hdaudbus.sys ACCESS DENIED Desired Access: Read Attributes, Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: NT AUTHORITY\SYSTEM19:32:28,3275967 DrvInst.exe 2940 CreateFile C:\Windows\System32\drivers\hdaudbus.sys ACCESS DENIED Desired Access: Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: NT AUTHORITY\SYSTEM Przepisz mi jaki zestaw uprawnień (konta dostępowe oraz Właściciel) jest aktualnie wyasygnowany dla tych obiektów: C:\Windows\System32\DriverStore C:\Windows\System32\DriverStore\infpub.dat C:\Windows\System32\DriverStore\infstor.dat C:\Windows\System32\DriverStore\infstrng.dat C:\Windows\System32\DriverStore\drvindex.dat C:\Windows\System32\DriverStore\INFCACHE.1 C:\Windows\System32\drivers C:\Windows\System32\drivers\amdppm.sys C:\Windows\System32\drivers\hdaudbus.sys . Odnośnik do komentarza
Flyer Opublikowano 28 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2012 Właściciel: Administratorzy Uprawnienia: System - Full Control, Użytkownicy - Read C:\Windows\System32\DriverStore\infpub.dat C:\Windows\System32\DriverStore\infstor.dat C:\Windows\System32\DriverStore\infstrng.dat C:\Windows\System32\DriverStore\drvindex.dat C:\Windows\System32\DriverStore\INFCACHE.1 Właściciel: SYSTEM Uprawnienia: System - Full Control, Wszyscy - Read&Execute C:\Windows\System32\DriverStore C:\Windows\System32\drivers C:\Windows\System32\drivers\hdaudbus.sys C:\Windows\System32\drivers\amdppm.sys Ponownie to samo w formacie 'list' z SetACL: "\\?\c:\Windows\system32\drivers",1,"DACL(protected+auto_inherited):TrustedInstaller,full,allow,no_inheritance:TrustedInstaller,full,allow,container_inherit+inherit_only:SYSTEM,change,allow,no_inheritance:SYSTEM,full,allow,container_inherit+object_inherit+inherit_only:Administratorzy,change,allow,no_inheritance:Administratorzy,full,allow,container_inherit+object_inherit+inherit_only:Użytkownicy,read_execute,allow,no_inheritance:Użytkownicy,read_execute,allow,container_inherit+object_inherit+inherit_only:TWÓRCA-WŁAŚCICIEL,full,allow,container_inherit+object_inherit+inherit_only" "\\?\c:\Windows\system32\drivers\amdppm.sys",1,"DACL(protected+auto_inherited):TrustedInstaller,full,allow,no_inheritance:Administratorzy,read_execute,allow,no_inheritance:SYSTEM,read_execute,allow,no_inheritance:S-1-5-32-547,read_execute,allow,no_inheritance:Użytkownicy,read_execute,allow,no_inheritance" "\\?\c:\Windows\system32\drivers\hdaudbus.sys",1,"DACL(protected+auto_inherited):TrustedInstaller,full,allow,no_inheritance:Administratorzy,read_execute,allow,no_inheritance:SYSTEM,read_execute,allow,no_inheritance:S-1-5-32-547,read_execute,allow,no_inheritance:Użytkownicy,read_execute,allow,no_inheritance" "\\?\c:\Windows\system32\DriverStore",1,"DACL(protected+auto_inherited):SYSTEM,full,allow,no_inheritance:SYSTEM,full,allow,container_inherit+object_inherit+inherit_only:Wszyscy,read_execute,allow,no_inheritance:Wszyscy,read_execute,allow,container_inherit+object_inherit+inherit_only" "\\?\c:\Windows\system32\DriverStore\drvindex.dat",1,"DACL(protected):SYSTEM,full,allow,no_inheritance:Użytkownicy,read,allow,no_inheritance" "\\?\c:\Windows\system32\DriverStore\INFCACHE.1",1,"DACL(protected):SYSTEM,full,allow,no_inheritance:Użytkownicy,read,allow,no_inheritance" "\\?\c:\Windows\system32\DriverStore\infpub.dat",1,"DACL(protected):SYSTEM,full,allow,no_inheritance:Użytkownicy,read,allow,no_inheritance" "\\?\c:\Windows\system32\DriverStore\infstor.dat",1,"DACL(protected):SYSTEM,full,allow,no_inheritance:Użytkownicy,read,allow,no_inheritance" "\\?\c:\Windows\system32\DriverStore\infstrng.dat",1,"DACL(protected):SYSTEM,full,allow,no_inheritance:Użytkownicy,read,allow,no_inheritance" Odnośnik do komentarza
picasso Opublikowano 28 Marca 2012 Zgłoś Udostępnij Opublikowano 28 Marca 2012 Wg Process Monitor dobija się o prawo zapisu konto NT AUTHORITY\SYSTEM i jest różnica między Twoimi uprawnieniami a moimi dla plików: C:\Windows\System32\drivers\amdppm.sys C:\Windows\System32\drivers\hdaudbus.sys Ty masz konto SYSTEM z Read & Execute, a u mnie jest SYSTEM z Full Control. Dokładniej to moje uprawnienia są następujące (i jest różnica właścicielstwa, tzn. amdppm.sys ma SYSTEM a nie TrustedInstaller, drugi jak u Ciebie): Toteż spróbuj zimitować te uprawnienia, ponów próbę z usuwaniem urządzeń via Menedżer urządzeń + restart systemu. Zobaczymy co z tego wyniknie... . Odnośnik do komentarza
Flyer Opublikowano 28 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2012 Osobiście nie chciało mi się wierzyć, że taka 'błahostka', może powodować taki kłopot, ale brak mi tu wiedzy teoretycznej. Niestety nie pomogło. Co z plikami w folderze DriverStore? Log mówi: Impersonating: S-1-5-21-1580912841-1977702982-2776578416-1010 Pozostałe działania na pewno jutro.. Odnośnik do komentarza
picasso Opublikowano 28 Marca 2012 Zgłoś Udostępnij Opublikowano 28 Marca 2012 Czyli ilość poszkodowanych obiektów w menedżerze urządzeń identyczna? Nagraj nowe logi z Process Monitor, czy nie uległo coś zmianie. Co z plikami w podfolderze DriverStore?Log mówi: Impersonating: S-1-5-21-1580912841-1977702982-2776578416-1010 Nie komentowałam, ponieważ nie wygląda na to, by coś było naruszone. DriverStore i pliki w nim zdają się mieć prawidłowe uprawnienia, u mnie są identyczne ustawienia. Zaś S-1-5-21-1580912841-1977702982-2776578416-1010 to jest SID równy Twojemu konto użytkownika (user). Grupa Użytkowników nie ma Pełnej kontroli, tylko Odczyt. . Odnośnik do komentarza
Flyer Opublikowano 28 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2012 Tak, ilość nie uległa zmianie. Nic nie udało się przeinstalować. Nowe logi z Process Monitor: http://dl.dropbox.com/u/9983168/PMlogs.zip Analogicznie z poprzednimi moją uwagę zwróciły wpisy: 17:40:16,2548717 DrvInst.exe 2828 CreateFile C:\Windows\System32\drivers\netr28.sys ACCESS DENIED Desired Access: Read Attributes, Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: ZARZĄDZANIE NT\SYSTEM 17:40:16,2552194 DrvInst.exe 2828 CreateFile C:\Windows\System32\drivers\netr28.sys ACCESS DENIED Desired Access: Read Control, Write DAC, Write Owner, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: ZARZĄDZANIE NT\SYSTEM Odnośnik do komentarza
picasso Opublikowano 29 Marca 2012 Zgłoś Udostępnij Opublikowano 29 Marca 2012 Na razie nie mam grubszego pomysłu i nie przejrzałam jeszcze logów zbyt dokładnie. Odniosę się tylko do tej partii: Analogicznie z poprzednimi moją uwagę zwróciły wpisy W pierwszej fazie z process Monitor wyskoczyły dwa pliki, w bieżącej ujawnił się kolejny z listy ... To nasuwa przypuszczenia, że to się ujawni kolejno dla wszystkich pozostałych plików sterowników, które są związane ze zdefektowanymi urządzeniami. W menedżerze urządzeń pobierz dla zdefektowanych urządzeń (z wyjątkiem tych, których pliki już sprawdzaliśmy) Właściwości > Sterownik > Szczegóły sterownika > dla widzialnych tam plików SYS sprawdź uprawnienia. Konta SYSTEM i TrustedInstaller = Pełna kontrola. . Odnośnik do komentarza
Flyer Opublikowano 31 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2012 To nasuwa przypuszczenia, że to się ujawni kolejno dla wszystkich pozostałych plików sterowników, które są związane ze zdefektowanymi urządzeniami. W menedżerze urządzeń pobierz dla zdefektowanych urządzeń (z wyjątkiem tych, których pliki już sprawdzaliśmy) Właściwości > Sterownik > Szczegóły sterownika > dla widzialnych tam plików SYS sprawdź uprawnienia. Konta SYSTEM i TrustedInstaller = Pełna kontrola. To niestety nie pomaga.. Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 To jeszcze wyszukaj wszystkie kopie tych plików *.SYS na dysku (są nie tylko w system32 ale i w WinSxS i FileRepository) i sprawdź uprawnienia kopii... Na razie nie podejmuję tu prób reinstalacji przetrenowanych w linkowanym temacie, skoro to tam nie zadziałało. . Odnośnik do komentarza
Flyer Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 To jeszcze wyszukaj wszystkie kopie tych plików *.SYS na dysku (są nie tylko w system32 ale i w WinSxS i FileRepository) i sprawdź uprawnienia kopii... Uprawnienia kopi są w porządku (zarówno TrustedInstaller jak i SYSTEM posiadają pełne uprawnienia). Być może ma to jakiekolwiek znaczenie: Odinstalowałem "Magistrala PCI" co spowodowało wyrzucenie wielu urządzeń. Zrestartowałem komputer i w trybie awaryjnym odinstalowało się wszystko dokładnie stanu poprzedniego za wyjątkiem sterowników do procesora(? - AMD E-350 Processor). One nie były z wykrzyknikami (nie występował błąd 3). Po ponownym uruchomieniu - już w trybie normalnym - błąd ponownie występuje. Jutro jeżeli się nie uda tego rozwiązać to wrzucam reinstalację - będę potrzebował tego laptopa. Odnośnik do komentarza
Rekomendowane odpowiedzi