Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 513
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. Czyli to jednak sugeruje, że diagnostyk nadal czepia się globalnego folderu (nie wiadomo dlaczego) i nie należy szukać w obrębie katalogu C:\Users. Naprawdę nie wiem o co chodzi. Ja przeczytałam, że: Folder C:\ProgramData\Microsoft\Windows\Start Menu ma owszem "Tylko podfoldery i pliki" a podfoldery od tego folderu mają "Ten folder, podfoldery i pliki". Nie liczę "Windows PowerShell" o zupełnie odmiennym układzie.
  2. Na samym początku przyszło mi do głowy, że to może być błąd diagnostyka. Ale to zostało przeze mnie natychmiast wykluczone. Uruchomiłam bowiem diagnostyk na dwóch systemach 21H1 (wg logów to Twoja obecna edycja): moim (angielski z polskim MUI) oraz wirtualnym (natywnie polski). Diagnostyk nie widzi żadnego problemu z uprawnieniami. Nie wiem gdzie szukać naruszenia uprawnień: - Nowa lokalizacja indeksera ma idealne uprawnienia. Te porady w internecie polecające przejmowanie na Własność i przyznawanie Pełnej kontroli do konta użytkownika nie wyglądają wiarygodnie. Problem nie powinien mieć miejsca przy oryginalnych uprawnieniach. - Docelowe indeksowane katalogi (o ile czegoś nie przeoczyłeś): Skorygowaliśmy wszystkie błędy. Swoją drogą, to dziwne że niedostępne konto Administrator figurowało w uprawnieniach. Może jakiś instalator programu dodał to? Jako ostatni krok mógłbyś pro forma sprawdzić czy diagnostyk widzi błędy uprawnień na nowym testowym koncie użytkownika. To przynajmniej by ograniczyło podejrzenia do strony użytkownika a nie globalnej.
  3. Tak, wiem. Chodziło mi o to, że nowa lokalizacja ma te same uprawnienia jakie powinna mieć stara, tzn. tam będzie brak dostępu, bo Administratorzy mają Pełną kontrolę, a nie ma tam Twojego konta (konto mimo uprawnień administracyjnych i tak działa poprzez filtr ograniczeń). To prawidłowe. U mnie też jest dostęp "Specjalny", ale dziedziczenie jest szersze "Ten folder, podfoldery i pliki". To w porządku, bo jak sam wcześniej zauważyłeś "Windows PowerShell" ma TrustedInstaller jako Właściciela, co uniemożliwia zmianę uprawnień. Na wszelki wypadek mój układ uprawnień:
  4. picasso

    BSOD 0x0000009f

    W logu figuruje tcpip.sys, co raczej nie oznacza, że to ten konkretny sterownik jest przyczyną, ale prędzej inny sterownik związany z siecią. Należy wykonać dodatkowe analizy w debugerze. Skompresuj plik DMP, shostuj w jakimś serwisie z którego potem będziesz w stanie usunąć ten plik i wyślij link na PW.
  5. Sprawdź czy najwyższy folder C:\ProgramData\Microsoft ma Administratora, gdyż to z tego folderu powinno być dziedziczenie wgłąb. To oznacza że wystarczy usunąć Administratora tylko z nadrzędnego obiektu. Moje uprawnienia: Od podfolderu ‪C:\ProgramData\Microsoft\Windows\Start Menu w spisie pojawia się dodatkowy wpis niedziedziczony, czyli moje konto. Każdy kolejny podfolder już ma jednak ustawione dziedziczenie tego rekordu. To normalne. Na początku mówiłam, że tak jest w oryginalnej lokalizacji: I nie trzeba tego zmieniać. W tamtym czasie przyznanie uprawnień było w innym celu, by się przekonać czy diagnostyk przejdzie do reperacji uprawnień.
  6. picasso

    zamulony komp

    Jak mówiłam: Czy po deinstalacjach jest jakaś poprawa? Niestety statystyki pamięci są nadal kiepskie: ==================== Statystyki pamięci =========================== Procent pamięci w użyciu: 85% Całkowita pamięć fizyczna: 3935.06 MB Dostępna pamięć fizyczna: 589.97 MB Całkowita pamięć wirtualna: 7935.06 MB Dostępna pamięć wirtualna: 4314.54 MB 4GB pamięci fizycznej to niezbyt dużo dla systemu 64-bit. Problem zamulenia może być nie do rozwiązania bez dorzucenia większej ilości RAM.
  7. picasso

    zamulony komp

    To nie jest problem infekcji. Temat przenoszę do właściwego działu Windows. Logi z FRST wyciągnąłeś z archiwum C:\FRST\Logs. Bieżące logi są zawsze w lokalizacji z której uruchamiasz FRST, czyli w tym przypadku katalog Pobrane. Z raportów nic nie wynika. Aczkolwiek jedna ze świeżych instalacji to Avast i być może to jego sprawka. Wbudowany w system Windows Defender jest bardzo dobrym rozwiązaniem i nie trzeba instalować dodatkowych antywirusów. 1. Sugeruję odinstalować Avast i WebAdvisor firmy McAfee. 2. Następnie drobne czyszczenie szczątków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono] Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono] Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono] Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono] FirewallRules: [{BAF118F2-4A72-4476-9C65-5B1FBC1D1192}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku DeleteKey: HKU\S-1-5-21-2646896609-2709708262-2910677975-500\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo App Explorer.lnk C:\Users\olusk\AppData\Local\{8964DDFA-C129-46D6-9CDE-D68D1859A597} C:\Users\olusk\AppData\Local\Host App Service C:\Users\olusk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk C:\Users\olusk\Downloads\utorrent-6628624360319105-AsystentPobierania_v1.09.43.56.69.4.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.
  8. Ten błąd powinien być związany z tym, że próbujesz zmieniać uprawnienia na obiekcie którego Właścicielem jest inne konto / grupa. W Widoku Komputer prawy klik na dysk > Właściwości > Zabiezpieczenia > Zaawansowane > W polu Właściciel zmień na swoje konto i zaznacz "Zamień właściciela dla podkontenerów i obiektów" > Zastosuj. Następnie na liście kont dodaj swoje konto z Pełną kontrolą, a na dole zaznacz opcję "Zamień wszystkie wpisy uprawnień obiektów podrzędnych".
  9. Dotyczy to konkretnego podfolderu czy wszystkich? Konto Administrator jest u Ciebie wyłączone (niedostępne), więc możesz usunąć ten rekord z uprawnień. Administrator (S-1-5-21-2915685255-4076878800-3373238685-500 - Administrator - Disabled) Niestety nie znam żadnego żródła tego typu. Do porównań zawsze biorę własny system wiedząc gdzie brak modyfikacji lub czystą wirtualną maszynę.
  10. Folder "Intel" to niedomyślny obiekt utworzony przez instalator Twojej wersji sterowników uruchomiony w konkretnym kontekście uprawnień, więc jest możliwe że Właściciel odbiega od reszty. Właściciel per se to nie problem, liczą się konta z określonym dostępem. Czy po wykonaniu komendy zrestartowałeś system? I na chwilę obecną nie mam już żadnych pomysłów.
  11. Brak oznak infekcji. Temat przenoszę do działu Windows. Co widać w Menedżerze zadań w momencie owej aktywności, czy któryś z procesów ma oznaczenie wysokiej aktywności (procesora, pamięci, dysku)? Jednym z podejrzanych może być usługa "Adobe Genuine Software Service" (AGMService), bo widziałam zgłoszenia na temat wysokiej konsumpcji zasobów przez ten proces. Aktywność poszczególnych procesów może być jednak kroplą w morzu, bo wg statystyk pamięci w raporcie FRST bieda, aż 95% zajęte: ==================== Statystyki pamięci =========================== Procent pamięci w użyciu: 95% Całkowita pamięć fizyczna: 8140.59 MB Dostępna pamięć fizyczna: 353.89 MB Całkowita pamięć wirtualna: 17365.73 MB Dostępna pamięć wirtualna: 2182.75 MB Na chwilę obecną jedyne co mogę poradzić to: 1. Redukcja uruchamianych automatycznie procesów. W pierwszej kolejności sugeruję odinstalować następujące aplikacje: Bonjour - Jego zadania produkują błędy w Dzienniku zdarzeń. Qualcomm Atheros Killer Performance Suite - To zbędne "fajerwerki", które na dodatek poprzez filtr na kartach sieciowych mogą produkować problemy z szybkością sieci. Potrzebne są tylko czyste sterowniki Qualcomm Atheros Killer E220x Drivers (instalacja jest ukryta, ale obecna w systemie). Programy których nie używasz. Potem w drugiej fazie zajmiemy się wyłączaniem programów uruchamianych przy starcie systemu. 2. W Dzienniku zdarzeń są następujące błędy: Error: (07/07/2021 08:59:06 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0x8007232B Argumenty wiersza polecenia: RuleId=dca14e37-0c5c-444f-9b35-1e2f161f5ac3;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=53 Error: (07/07/2021 08:58:54 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0x8007139F Argumenty wiersza polecenia: RuleId=dca14e37-0c5c-444f-9b35-1e2f161f5ac3;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable Czy Windows jest zaktywowany? Jeśli tak to przy udziale jakiej metody, skąd pochodzi klucz? Error: (07/07/2021 01:19:10 AM) (Source: Bonjour Service) (EventID: 100) (User: ) Description: Task Scheduling Error: m->NextScheduledSPRetry 15532 To już omówiłam powyżej. Error: (07/07/2021 09:02:44 PM) (Source: DCOM) (EventID: 10010) (User: ZARZĄDZANIE NT) Description: Serwer {784E29F4-5EBE-4279-9948-1E8FE941646D} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (07/07/2021 01:18:36 AM) (Source: DCOM) (EventID: 10010) (User: Tymek) Description: Serwer {3EB3C877-1F16-487C-9050-104DBCD66683} nie zarejestrował się w modelu DCOM w wymaganym czasie. Z klawiatury klawisz z flagą Windows + R, w polu Uruchom wklej dcomcnfg. Podczas uruchamiania przystawka wykonuje automatyczną reperację uszkodzonych klas DCOM. Po otwarciu okna po prostu je zamknij. 3. Po wykonaniu powyższych działań uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} cmd: ipconfig /flushdns cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows Live\SOXE\Extractor Definitions Update Task" cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task" cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\SkyDrive\Routine Maintenance Task" cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\Shell\FamilySafetyUpload" cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor" Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono] Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono] Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono] Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono] Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Brak pliku FF Homepage: Mozilla\Firefox\Profiles\ztnsqm76.default-release -> hxxp://www.gazeta.pl/0,0.html?p=190 FF Homepage: Mozilla\Firefox\Profiles\kca76ew1.default-1482360270345 -> hxxp://www.gazeta.pl/0,0.html?p=190 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Dołącz też plik fixlog.txt. Przedstaw czy działania w punkcie 1 i 2 wniosły coś do sprawy.
  12. U mnie tylko główne katalogi C:\Users\Picasso i C:\Users\defaultuser0 mają jako Właściciela SYSTEM. Natomiast Właścicielem ich podfolderów jest konto do którego należy folder główny. Tak więc sądzę, że nie ma co zmieniać. Nie wiem czy jest sens dalej drążyć temat uprawnień, bo nie widzę już innych możliwości sprawdzenia co co chodzi konkretnie diagnostykowi. Jako ostatni krok proponuję wykonać jeszcze:
  13. Wszystkie wyliczone katalogi mają identyczne uprawnienia jak Downloads, bo dziedziczą z odgórnego C:\Users\Default i na tym katalogu też powinien figurować dokładnie ten sam zestaw. Oczywiście do korekty wszystkie.
  14. U mnie brak komunikatów o braku dostępu, a uprawnienia są następujące: Toteż spróbuj podrobić mój układ. Oczywiście u mnie są angielskie nazwy grup, gdyż mam angielski system z doinstalowanym polskim MUI. U Ciebie jest natywnie polski system, więc grupy też są spolszczone. By móc zmienić uprawnienia w pierwszej kolejności tymczasowo musisz przestawić Właściciela z SYSTEM na Twoje konto. Po zmianie uprawnień ustawiasz ponownie SYSTEM.
  15. Nie sądzę, by ten katalog był problemem, o ile nie zawiera on jakiś kolejnych podfolderów z rozbieżnymi uprawnieniami. Administratorzy i SYSTEM z Pełną kontrolą muszą tam zawsze widnieć, a Twoje konto wspomniałam gdyż to niestandardowa lokalizacja i przypuszczałam, że folder przed załączeniem do indeksowania mógł posiadać ten rekord.
  16. Nie. Sprawdzasz również inne foldery które u Ciebie widnieją. I to właśnie te "niestandardowe" poza katalogiem Użytkowników są bardziej podejrzane. Maskowanie Właściciela jest tylko konieczne gdybyś używał konta Microsoft, bo wtedy w polu Właściciel jest jawny adres e-mail. Natomiast to co tu widać to po prostu nazwa komputera i jest ona drukowana w raportach FRST w nagłówku. I tu właśnie jest pierwsze odstępstwo. W Twoim raporcie jest inna nazwa komputera: Uruchomiony przez Andman (administrator) LAPTOP-S6E15FKF (LENOVO 80SV) (05-07-2021 20:39:52) Ponadto, co tam widnieje w szczegółowych uprawnieniach gdy sprawdzasz je z poziomu eksploratora Windows (Właściwości > Zabezpieczenia > Zaawansowane)? Prócz Twojego konta i konta Administratorzy powinien być też SYSTEM z Pełną kontrolą ustawiony na "Ten folder, podfolder i pliki".
  17. Tylko formuły typu ListPermissions: C:\*****\******, bez "Data" na końcu, bo mówimy tu o docelowych indeksowanych katalogach. Czyli np.: ListPermissions: C:\Users ListPermissions: C:\Users\Andman ListPermissions: C:\Users\Andman\Desktop etc. Na liście umieszczasz wszystkie katalogi zaznaczone do indeksowania (domyślnie w wykluczeniach powinny być foldery "AppData"). Trochę roboty więc będzie ze stworzeniem kompletnej listy.
  18. Uprawnienia w nowej lokalizacji są identyczne jak moje w oryginalnej i co próbowaliśmy zrzucać za pomocą SetACL. Czyli nie wygląda na to, że problemem jest ten katalog per se. Jak już wspomniałam, nie jest wykluczone że chodzi o katalogi indeksowane, ale sprawdzić ich uprawnienia to mozolna robota. Musiałbyś na podstawie listy indeksowanych katalogów widocznej w "Opcjach indeksowania" po kolei sprawdzić uprawnienia katalogów i szukać tego który nie ma na liście SYSTEM z Pełną kontrolą.
  19. Na wszelki wypadek zapytam czy w tej nowej lokalizacji w uprawnieniach konto SYSTEM ma Pełną kontrolę? I na razie nic więcej nie przychodzi mi do głowy.
  20. Nadal nie wiemy o co chodzi diagnostykowi w kwestii uprawnień i czy jest sens to drążyć skoro wyszukiwanie i tak działa. Nie jest nawet pewne czy dotyczy to folderu C:\ProgramData\Microsoft\Search\Data, bo istnieje możliwość że problem stanowi jedna z indeksowanych lokalizacji w katalogu Użytkownicy. Mógłbyś jeszcze spróbować w Opcjach indeksowania (tam gdzie przebudowałeś indeks na samym początku) w Zaawansowanych zmienić lokalizację indeksowania i po restarcie usługi sprawdzić czy diagnostyk nadal widzi problem w uprawnieniach. Zmień nazwę pliku FRST64.exe na uninstall.exe i uruchom. SetACL i fix.txt usuń ręcznie, bo żaden automat nie ma tych obiektów w definicjach.
  21. To domyślny typ uruchomienia dla tej usługi, co nie oznacza że nie będzie i tak odpalana gdy działa w tle jakaś aplikacja bazująca na .NET Framework. Czy po resecie bufora czcionek jest jakaś poprawa przy starcie systemu?
  22. Tak, wykonaj pierwotne instrukcje. Z pośpiechu pomyliłam usługi. Prawdopodobnie aktywowałeś (lub jakiś instalator programu zrobił to automatycznie) w komponentach systemu starszą wersję .NET Framework, stąd ta usługa u Ciebie, bo ja jej nie mam.
  23. Nowe powtarzające się błędy: Dziennik System: ============= Error: (07/04/2021 01:27:08 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Ten problem wielokrotnie rozwiązywałam poprzez reset bufora: Wejście do folderu C:\Windows\ServiceProfiles\LocalService\AppData\Local musisz wykonać poprzez stopniową nawigację. Bezpośrednie wklejenie całej ścieżki do paska adresów zwróci bowiem błąd braku elementu. To konsekwencja braku uprawnień, a przy wchodzeniu stopniowym otrzymasz kilka razy komunikat, by kontynuować przyznawanie dostępu. EDIT: Reset ogólnego bufora czcionek Windows chowam do spoilera. Na błędzie jest odnośnik do usługi zwiazanej z .NET Framework. Gdyby chodziło o standardową usługę systemu:
  24. 1. Jeden odpadkowy wpis od wyszukiwarki Adaware Secure Search jest oporny: FF NewTab: Mozilla\Firefox\Profiles\oqzqupfm.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName= W Firefox Ustawienia > Uruchamianie > przestaw Nową kartę na pustą stronę. 2. Wykonaj skan za pomocą Malwarebytes Anti-Malware i przedstaw wynikowy raport.
  25. Dostarcz świeże raporty z FRST. Może pojawiły się jakieś nowe błędy w Dzienniku zdarzeń. O jakiej lokalizacji mowa? Jeśli o bezpośrednim kopiowaniu wprost na C:\ to jest to normalne.
×
×
  • Dodaj nową pozycję...