ciemcio Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Witam, Od soboty mam poważny problem z laptopem(windows 7 x64) Problem polega na tym, iż część usług podczas startu systemu nie uruchamia się(zapora,dostęp do internetu i zapewne kilka innych które są wymagane do prawidłowego działania systemu). Gdy próbuje ręcznie odpalić usługi dostaje komunikat "Odmowa dostępu" W załączeniu logi z OTL. Proszę o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Problem polega na tym, iż część usług podczas startu systemu nie uruchamia się(zapora,dostęp do internetu i zapewne kilka innych które są wymagane do prawidłowego działania systemu).Gdy próbuje ręcznie odpalić usługi dostaje komunikat "Odmowa dostępu" Wypisz dokładnie jakich usług to dotyczy. Dodaj też log z Farbar Service Scanner, zaznacz wszystkie opcje do skanowania. Nie widzę tu żadnych oznak infekcji, temat przesuwam do działu Windows 7. Tylko mam pytanie, te zadania w Harmonogramie to Twoja robota (?): [2011-05-05 15:58:46 | 000,000,734 | ---- | M] () -- C:\Windows\Tasks\job_test.job[2011-05-10 09:01:47 | 000,000,692 | ---- | M] () -- C:\Windows\Tasks\sdf.job[2011-05-05 20:01:27 | 000,000,724 | ---- | M] () -- C:\Windows\Tasks\test.job[2011-05-05 19:42:16 | 000,000,772 | ---- | M] () -- C:\Windows\Tasks\test4.job I drobnostki do korekty: 1. Odinstaluj śmiecia paskowego SweetPacks Toolbar for Internet Explorer 4.4. 2. W Google Chrome, Firefox i Internet Explorer w menedżerze wyszukiwarek usuń wyszukiwarkę kierującą do klit.startnow.com. W Firefox w pasku adresów wklep about:config, wyszukaj ciąg keyword.URL i z prawokliku zresetuj do poziomu domyślnego. Skasuj te pliki z dysku: [2012-02-02 13:03:29 | 000,003,915 | ---- | M] () -- C:\Users\pchaber\AppData\Roaming\Mozilla\Firefox\Profiles\ppmb5h20.default\searchplugins\sweetim.xml[2011-10-22 16:27:29 | 000,001,390 | ---- | M] () -- C:\Users\pchaber\AppData\Roaming\Mozilla\Firefox\Profiles\ppmb5h20.default\searchplugins\yahoo-zugo.xml 3. Skasuj wszystkie pliki modelu C:\Users\pchaber\AppData\Local\Temp*.html. To śmieci GG10. Czyszczenie nie ma charakteru permanentnego. Ponowne uruchomienie GG10 znów nabije to śmietnisko. . Odnośnik do komentarza
ciemcio Opublikowano 2 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Co do usług to udało mi się zlokalizować takie: Zapora systemu windows(błąd 1068) Podstawowy aparat filtrowania(bład 5 - odmowa dostępu) Rozpoznawanie lokalizacjiw sieci (-1073741288) Usługa klient DHCP(odmowa dostępu) Testy harmonogramów jak najbardziej moja robota. FSS.txt Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Być może określone konta dostępowe są usunięte z zestawu uprawnień. Na początek spróbuj nałożyć oryginalne uprawnienia dla wymienionych przez Ciebie usług. 1. Dla usług BFE + MpsSvc akcja z SetACL opisana w ustępie "Rekonstrukcja uprawnień kluczy": KLIK. Dodaję zestawy do SetACL dla pozostałych usług: Dhcp "machine\SYSTEM\CurrentControlSet\Services\Dhcp",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;CCLCSWRPRC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;CCLCSWRPRCGR;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Configurations",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KA;;;NO)(A;CIIO;GA;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Linkage",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Linkage\Disabled",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;CCLCSWRPRC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;CCLCSWRPRCGR;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KA;;;NO)(A;CIIO;GA;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\1",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\15",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\220",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\3",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\44",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\46",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\47",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\6",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\DhcpNetbiosOptions",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parametersv6",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;CCLCSWRPRC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;CCLCSWRPRCGR;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parametersv6\Options",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KA;;;NO)(A;CIIO;GA;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parametersv6\Options\23",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parametersv6\Options\24",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)" "machine\SYSTEM\CurrentControlSet\Services\Dhcp\Security",4,"O:BAD:AI" SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\Dhcp" -ot reg -actn restore -bckp C:\fix.txt NlaSvc "machine\SYSTEM\CurrentControlSet\Services\NlaSvc",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCLCRP;;;IU)(A;;CCLCSWRC;;;SU)(A;;CCLCSWRPRC;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWRPRC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)" "machine\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPRC;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)" "machine\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\ManualProxies",4,"O:BAD:P(A;NP;DC;;;IU)(A;CI;KR;;;BU)(A;CI;KA;;;BA)(A;CI;KA;;;SY)(A;;CCDCLCSWRPRC;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)" "machine\SYSTEM\CurrentControlSet\Services\NlaSvc\Security",4,"O:BAD:AI" SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc" -ot reg -actn restore -bckp C:\fix.txt 2. Po nałożeniu uprawnień przez SetACL zresetuj system i zobaczymy co się wydarzy. . Odnośnik do komentarza
ciemcio Opublikowano 2 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Po rekonstrukcji kluczy część usług wstała ale i zapora i dhcp dalej mają jakiś problem. W logach systemowych po restarcie mam teraz następujące błędy: Wystąpił błąd inicjowania protokołu DHCPv4. Kod błędu: 0x5 Wystąpił błąd zatrzymywania usługi klienta Dhcpv4. Kod błędu: 0x5. Wartość flagi ShutDown: 0 Usługa Klient DHCP zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu. Usługa Zapora systemu Windows zakończyła działanie; wystąpił specyficzny dla niej błąd Odmowa dostępu.. Usługa Usługa zasad diagnostyki zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu. Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie; wystąpił następujący błąd: %%-2147024891 Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Czy przy nakładaniu uprawnień na klucz Dhcp nie wystąpiły aby jakieś błędy? 1. Załaduj uprawnienia kolejnych kluczy: SharedAccess Temat z forum: KLIK. W temacie jest tylko część klucza SharedAccess resetowana, poszerzam. "machine\SYSTEM\CurrentControlSet\Services\SharedAccess",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy",4,"O:BAD:AI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OICIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile\Logging",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile\Logging",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile\Logging",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch",4,"O:BAD:AI(A;CI;CCDC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2",4,"O:BAD:AI(A;CI;CCDC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy",4,"O:BAD:AI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OICIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\Logging",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Logging",4,"O:BAD:AI" SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" -ot reg -actn restore -bckp C:\fix.txt DPS "machine\SYSTEM\CurrentControlSet\Services\DPS",4,"O:BAD:PAI(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCSWRPWPRC;;;BA)(A;CIIO;GXGR;;;BA)(A;;CCSWRPWPRC;;;BU)(A;CIIO;GXGR;;;BU)" "machine\SYSTEM\CurrentControlSet\Services\DPS\Parameters",4,"O:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464D:PAI(A;;KA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;CIIO;GA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;KR;;;SY)(A;CIIO;GR;;;SY)(A;;KR;;;BA)(A;CIIO;GR;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)" "machine\SYSTEM\CurrentControlSet\Services\DPS\Security",4,"O:BAD:AI" SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\DPS" -ot reg -actn restore -bckp C:\fix.txt FDResPub "machine\SYSTEM\CurrentControlSet\Services\FDResPub",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\FDResPub\Parameters",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\FDResPub\Security",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\FDResPub\ServiceData",4,"O:BAD:AI(A;;CCDCLCSWRPRC;;;LS)" SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\FDResPub" -ot reg -actn restore -bckp C:\fix.txt 2. Po wszystkim zresetuj system. Jeżeli nadal będą się ujawniać "Odmowy dostępu", stwórz kopię rejestru za pomocą RegBack, z kopii wybierz plik SYSTEM, do ZIP > na hosting > podeślij tu do analizy. Ta analiza może potrwać dłużej. Poza tym, objawy mi się nie podobają ... taka masowa utrata uprawnień kluczy wystąpiła na forum na skutek infekcji: KLIK. W temacie wyszło na jaw, że zostały wyzerowane wszystkie uprawnienia w SYSTEM. Naprawa kosztowała mnie potworną ilość czasu, odtwarzanie klucz po kluczu wszystkich uprawnień, gdyż na początku nie zorientowałam się jak dużo uszkodzone i brnęłam w naprawę, a po tylu wysiłkach postanowiłam jednak dokończyć ręcznie. Jeżeli coś takiego tu zdefiniuję przy przeglądaniu rejestru, tak porażająca usterka to kwalifikacja na całościowe Przywracanie systemu. . Odnośnik do komentarza
ciemcio Opublikowano 2 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Po zaktualizowaniu SharedAccess z posta powyżej pozostała jedna usługa, z którą jest problem(Dhcp).Sam skrypt nakładania uprawnień nie wykazuje błędów ale dla pewności wykonam go ponownie. Dziennik pokazuje jeszcze: "Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu: Odmowa dostępu." Tak czy siak jest już za co dziękować. Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Ja jednak proszę o kopię rejestru SYSTEM, uzyskam pełny obraz uprawnień i będę mogła sprawdzić uprawnienia wielu kluczy bez strzelania w ciemno fiksami SetACL. Odnośnik do komentarza
ciemcio Opublikowano 2 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 ok poszło hxxp://www.sendspace.com/file/qve7n2 Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Nie przejrzałam zbyt dokładnie, ale już widzę, że to niestety jest historia jak w zlinkowanym temacie z systemem po ataku Conficker. Po Twoim Windows przeszła torpeda. Praktycznie wszędzie są wyresetowane uprawnienia, o wiele więcej usług i innych kluczy ma uszkodzenia i usunięte specjalne konta dostępowe z uprawnień, nie tylko to co definiujesz via Dziennik zdarzeń. Przyczyna "Odmowy dostępu" dla Dhcp jest znana (konto Dhcp nie ma dostępu do pewnych sfer), tylko że tu już nie tylko o Dhcp chodzi. Musi być odtworzona cała struktura uprawnień w pliku SYSTEM. Czy masz punkt Przywracania systemu pochodzący sprzed momentu wystąpienia usterki? . Odnośnik do komentarza
ciemcio Opublikowano 2 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Niestety ochrona systemu jest wyłączona. Czy jest jakis sposób aby te uprawnienia "zaimportować" w całości(z innego komputra)? Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Czy jest jakis sposób aby te uprawnienia "zaimportować" w całości(z innego komputra)? Przecież sposób jest, w temacie z Confickerem zostało to przeze mnie wykonane = reset przez SetACL wszystkich kluczy. Tylko, że to jest czasochłonna robota, ponieważ nie sztuka zrzucić uprawnienia gałęzi SYSTEM przez SetACL z mojego systemu (wykonane błyskiem), tylko sztuka dopasować liczbę kluczy między moim a Twoim systemem, ponieważ nie wszystko jest identyczne (i to porównanie klucz po kluczu jest bardzo czasochłonne). Skoro Przywracanie systemu jest wyłączone (to było celowe?), nie pozostaje mi nic innego niż zabrać się za zrobienie pliku rekursywnie resetującego SYSTEM w dół. Dziś tego nie dam rady jednak zrobić. . Odnośnik do komentarza
ciemcio Opublikowano 2 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Ok dzieki za wsparcie. Jeśli chodzi o przywracanie to nie pamiętam czy wyłączałem. Generalnie system działa już ponad 2 lata bez zadnych reinstalacji i problemów tak więc nigdy nie korzystałem z tej opcji. Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Spędziłam calą noc nad materiałem i zrobiłam plik naprawczy. Plik omija pewne rzeczy, których nie ma potrzeby resetować, tzn. kopie ControlSet00X (Failed w ogóle nie brana pod uwagę + Ostatnia poprawna konfiguracja, którą i tak nadpisze pomyślny boot). 1. Plik fix.txt do pobrania: KLIK. Komenda wdrażająca reset: SetACL -on "HKLM\SYSTEM" -ot reg -actn restore -bckp C:\fix.txt Plik jest potężny, przetwarza koszmarną ilość kluczy. Rekursywny reset całego SYSTEM może zająć nawet do kilku minut. 2. Resetujesz system. Potwierdź ustąpienie "Odmowy dostępu". Jeśli chodzi o przywracanie to nie pamiętam czy wyłączałem. Generalnie system działa już ponad 2 lata bez zadnych reinstalacji i problemów tak więc nigdy nie korzystałem z tej opcji. Nie polecam wyłączać Przywracania systemu na Windows 7. Cenna funkcja ratunkowa i możliwa do uruchomienia, gdy system w ogóle już nie startuje (WinRE). Gdybyś miał włączone, naprawa powyższej usterki odbyłaby się w sposób szybki i bez kozackich sztuk. Gdy ukończymy naprawy, aktywuj Ochronę dla dysku systemowego, by mieć w zapasie opcję ratowniczą. . Odnośnik do komentarza
ciemcio Opublikowano 3 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Po około 20 sekundach rekonstrukcji zwróciło poniższy błąd: Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Przepraszam, wkradła mi się literówka. "machine\SYSTEM\CurrentControlSet\services\sdbus",4,"O:SAD:AI" "machine\SYSTEM\CurrentControlSet\services\sdbus\Parameters",4,"O:SYD:AI" Pobieraj poprawiony plik: KLIK. . Odnośnik do komentarza
ciemcio Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Bogato! Dhcp wstało. Faktycznie sama rekonstrukcja trwała około 7 minut. Jakieś kroki finalizujące temat oprócz włączenia ochrony systemu? Btw. Wielkie dzięki za pomoc! Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Jakieś kroki finalizujące temat oprócz włączenia ochrony systemu? Nic szczególnego mi się nie nasuwa na myśl. Weryfikowałam już raporty z OTL. Ale podejrzana sprawa, że nastąpiła tak masowa utrata uprawnień. Nie przypominasz sobie w którym momencie to nastąpiło / związek z określonymi akcjami? . Odnośnik do komentarza
ciemcio Opublikowano 5 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 W piątek 30.03 system pracował normalnie. W pracy korzystałem z pendriva kolegi i może tu był chochlik. W sobote rano po uruchomieniu system był już posiekany. Zastanawiające jest również to że serwer, który był przygotowany dla jednego z klientów do uruchomienia produkcyjnego po restarcie w piątek wieczorem(dołożenie ramu) również padł(kolega od którego pożyczyłęm pendriva jest tam kierownikiem projektu). Uruchomienie miało być w poniedziałek więc skończyło się na przesunięciu startu na maj. Do tej pory osoba, która próbowała reanimować ten serwer nie jest w stanie go żaden sposób uruchomić. Zastanawiam się czy jest sposób(narzędzia) aby namierzyć czy rejestr na serwerze również jest "posiekany"(Windows Server 2008 R2)? Odnośnik do komentarza
picasso Opublikowano 5 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 Ten "pendrive kolegi" wydaje się prawdopodobny. W temacie z Confickerem szkody w uprawnieniach również wystąpiły po podpięciu pendrive. Zastanawiające jest również to że serwer, który był przygotowany dla jednego z klientów do uruchomienia produkcyjnego po restarcie w piątek wieczorem(dołożenie ramu) również padł(kolega od którego pożyczyłęm pendriva jest tam kierownikiem projektu). Uruchomienie miało być w poniedziałek więc skończyło się na przesunięciu startu na maj. Do tej pory osoba, która próbowała reanimować ten serwer nie jest w stanie go żaden sposób uruchomić. Jeżeli po dołożeniu RAM bezpośrednią konsewencją brak startu, to wygląda to na problem sprzętowy. . Odnośnik do komentarza
Rekomendowane odpowiedzi