picasso

2 godziny temu, Andman napisał:

Miałem okazję i uruchomiłem diagnostykę indeksowania na systemie Win10 w wersji 20H2 zainstalowanym na dysku SSD. I diagnostyka zwraca identyczny problem z uprawnieniami katalogów Windows Search jak w na moim laptopie. Więc problem nie jest jednostkowy.

Na samym początku przyszło mi do głowy, że to może być błąd diagnostyka. Ale to zostało przeze mnie natychmiast wykluczone. Uruchomiłam bowiem diagnostyk na dwóch systemach 21H1 (wg logów to Twoja obecna edycja): moim (angielski z polskim MUI) oraz wirtualnym (natywnie polski). Diagnostyk nie widzi żadnego problemu z uprawnieniami.

Nie wiem gdzie szukać naruszenia uprawnień:

- Nowa lokalizacja indeksera ma idealne uprawnienia. Te porady w internecie polecające przejmowanie na Własność i przyznawanie Pełnej kontroli do konta użytkownika nie wyglądają wiarygodnie. Problem nie powinien mieć miejsca przy oryginalnych uprawnieniach.

- Docelowe indeksowane katalogi (o ile czegoś nie przeoczyłeś): Skorygowaliśmy wszystkie błędy. Swoją drogą, to dziwne że niedostępne konto Administrator figurowało w uprawnieniach. Może jakiś instalator programu dodał to?

Jako ostatni krok mógłbyś pro forma sprawdzić czy diagnostyk widzi błędy uprawnień na nowym testowym koncie użytkownika. To przynajmniej by ograniczyło podejrzenia do strony użytkownika a nie globalnej.

Godzinę temu, Andman napisał:

Od momentu zmiany lokalizacji indeksowania cały czas pracuję na tej alternatywnej ścieżce C:\indeks.

Tak, wiem. Chodziło mi o to, że nowa lokalizacja ma te same uprawnienia jakie powinna mieć stara, tzn. tam będzie brak dostępu, bo Administratorzy mają Pełną kontrolę, a nie ma tam Twojego konta (konto mimo uprawnień administracyjnych i tak działa poprzez filtr ograniczeń). To prawidłowe.

Godzinę temu, Andman napisał:

Od folderu C:\ProgramData\Microsoft\Windows\Start Menu moje konto dostaje uprawnienia specjalne (tylko podfoldery i pliki). Pozostałe uprawnienia pozostają niezmienione. 

U mnie też jest dostęp "Specjalny", ale dziedziczenie jest szersze "Ten folder, podfoldery i pliki".

Godzinę temu, Andman napisał:

Konto zniknęło, ale usunięcie zostało poprzedzone komunikatem:

To w porządku, bo jak sam wcześniej zauważyłeś "Windows PowerShell" ma TrustedInstaller jako Właściciela, co uniemożliwia zmianę uprawnień. Na wszelki wypadek mój układ uprawnień:

W logu figuruje tcpip.sys, co raczej nie oznacza, że to ten konkretny sterownik jest przyczyną, ale prędzej inny sterownik związany z siecią. Należy wykonać dodatkowe analizy w debugerze. Skompresuj plik DMP, shostuj w jakimś serwisie z którego potem będziesz w stanie usunąć ten plik i wyślij link na PW.

18 godzin temu, Andman napisał:

Konto Administrator jest we wszystkich folderach C:\ProgramData\Microsoft\Windows\Start Menu\Programs, z wyjątkiem C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows PowerShell gdzie właścicielem jest TrustedInstaller.

Zabrałem się za usuwanie wpisu Administrator. Przejąłem uprawnienie ale przy próbie usunięcia mam komunikat "Co chcesz zrobić z dziedziczonymi uprawnieniami" albo konwertuj uprawnienia dziedziczone na uprawnienia jawne do tego obiektu lub usuń wszystkie uprawnienia odziedziczone z tego obiektu.

I się tutaj zatrzymałem.

Sprawdź czy najwyższy folder C:\ProgramData\Microsoft ma Administratora, gdyż to z tego folderu powinno być dziedziczenie wgłąb. To oznacza że wystarczy usunąć Administratora tylko z nadrzędnego obiektu. Moje uprawnienia:

Od podfolderu ‪C:\ProgramData\Microsoft\Windows\Start Menu w spisie pojawia się dodatkowy wpis niedziedziczony, czyli moje konto. Każdy kolejny podfolder już ma jednak ustawione dziedziczenie tego rekordu.

18 godzin temu, Andman napisał:

Otworzyłem alternatywną lokalizację indeksowania i nie mam uprawnień do odczytu. Folder jest pusty 0 kb

To normalne. Na początku mówiłam, że tak jest w oryginalnej lokalizacji:

W dniu 3.07.2021 o 23:57, picasso napisał:

Wklej w pasku eksploratora ścieżkę C:\ProgramData\Microsoft\Search\Data i ENTER. Otrzymasz spodziewany komunikat o braku dostępu.

I nie trzeba tego zmieniać. W tamtym czasie przyznanie uprawnień było w innym celu, by się przekonać czy diagnostyk przejdzie do reperacji uprawnień.

Jak mówiłam:

22 godziny temu, picasso napisał:

Logi z FRST wyciągnąłeś z archiwum C:\FRST\Logs. Bieżące logi są zawsze w lokalizacji z której uruchamiasz FRST, czyli w tym przypadku katalog Pobrane.

Czy po deinstalacjach jest jakaś poprawa? Niestety statystyki pamięci są nadal kiepskie:

==================== Statystyki pamięci =========================== 

Procent pamięci w użyciu: 85%
Całkowita pamięć fizyczna: 3935.06 MB
Dostępna pamięć fizyczna: 589.97 MB
Całkowita pamięć wirtualna: 7935.06 MB
Dostępna pamięć wirtualna: 4314.54 MB

4GB pamięci fizycznej to niezbyt dużo dla systemu 64-bit. Problem zamulenia może być nie do rozwiązania bez dorzucenia większej ilości RAM.

To nie jest problem infekcji. Temat przenoszę do właściwego działu Windows. Logi z FRST wyciągnąłeś z archiwum C:\FRST\Logs. Bieżące logi są zawsze w lokalizacji z której uruchamiasz FRST, czyli w tym przypadku katalog Pobrane.

Z raportów nic nie wynika. Aczkolwiek jedna ze świeżych instalacji to Avast i być może to jego sprawka. Wbudowany w system Windows Defender jest bardzo dobrym rozwiązaniem i nie trzeba instalować dodatkowych antywirusów.

1. Sugeruję odinstalować Avast i WebAdvisor firmy McAfee.

2. Następnie drobne czyszczenie szczątków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
FirewallRules: [{BAF118F2-4A72-4476-9C65-5B1FBC1D1192}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
DeleteKey: HKU\S-1-5-21-2646896609-2709708262-2910677975-500\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo App Explorer.lnk
C:\Users\olusk\AppData\Local\{8964DDFA-C129-46D6-9CDE-D68D1859A597}
C:\Users\olusk\AppData\Local\Host App Service
C:\Users\olusk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk
C:\Users\olusk\Downloads\utorrent-6628624360319105-AsystentPobierania_v1.09.43.56.69.4.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition ale bez  Shortcut. Dołącz też plik fixlog.txt.

W dniu 7.07.2021 o 14:39, moniqa napisał:

We właściwościach, w Zabezpieczeniach jak chcę wszystkim kontom nadać "zezwól" to część się robi, ale wyskakuje kilka razy błąd, przy niektórych folderach, że "Nie można wyliczyć obiektów w kontenerze. Odmowa dostępu".

Ten błąd powinien być związany z tym, że próbujesz zmieniać uprawnienia na obiekcie którego Właścicielem jest inne konto / grupa.

W Widoku Komputer prawy klik na dysk > Właściwości > Zabiezpieczenia > Zaawansowane > W polu Właściciel zmień na swoje konto i zaznacz "Zamień właściciela dla podkontenerów i obiektów" > Zastosuj. Następnie na liście kont dodaj swoje konto z Pełną kontrolą, a na dole zaznacz opcję "Zamień wszystkie wpisy uprawnień obiektów podrzędnych".

4 minuty temu, Andman napisał:

W  lokalizacji C:\ProgramData\Microsoft\Windows\Start Menu\Programy\.. w nazwie grup jest konto Administrator z czerwonym X przy ikonie.

Dotyczy to konkretnego podfolderu czy wszystkich? Konto Administrator jest u Ciebie wyłączone (niedostępne), więc możesz usunąć ten rekord z uprawnień.

Administrator (S-1-5-21-2915685255-4076878800-3373238685-500 - Administrator - Disabled)

5 minut temu, Andman napisał:

Proszę o informację, czy znasz źródło, według którego mógłbym zweryfikować wątpliwości we wpisach i uprawnieniach folderów?

Niestety nie znam żadnego żródła tego typu. Do porównań zawsze biorę własny system wiedząc gdzie brak modyfikacji lub czystą wirtualną maszynę.

Folder "Intel" to niedomyślny obiekt utworzony przez instalator Twojej wersji sterowników uruchomiony w konkretnym kontekście uprawnień, więc jest możliwe że Właściciel odbiega od reszty. Właściciel per se to nie problem, liczą się konta z określonym dostępem.

Czy po wykonaniu komendy zrestartowałeś system? I na chwilę obecną nie mam już żadnych pomysłów.

Brak oznak infekcji. Temat przenoszę do działu Windows.

Co widać w Menedżerze zadań w momencie owej aktywności, czy któryś z procesów ma oznaczenie wysokiej aktywności (procesora, pamięci, dysku)? Jednym z podejrzanych może być usługa "Adobe Genuine Software Service" (AGMService), bo widziałam zgłoszenia na temat wysokiej konsumpcji zasobów przez ten proces. Aktywność poszczególnych procesów może być jednak kroplą w morzu, bo wg statystyk pamięci w raporcie FRST bieda, aż 95% zajęte:

==================== Statystyki pamięci =========================== 

Procent pamięci w użyciu: 95%
Całkowita pamięć fizyczna: 8140.59 MB
Dostępna pamięć fizyczna: 353.89 MB
Całkowita pamięć wirtualna: 17365.73 MB
Dostępna pamięć wirtualna: 2182.75 MB

Na chwilę obecną jedyne co mogę poradzić to:

1. Redukcja uruchamianych automatycznie procesów. W pierwszej kolejności sugeruję odinstalować następujące aplikacje:

• Bonjour - Jego zadania produkują błędy w Dzienniku zdarzeń.
• Qualcomm Atheros Killer Performance Suite - To zbędne "fajerwerki", które na dodatek poprzez filtr na kartach sieciowych mogą produkować problemy z szybkością sieci. Potrzebne są tylko czyste sterowniki Qualcomm Atheros Killer E220x Drivers (instalacja jest ukryta, ale obecna w systemie).
• Programy których nie używasz.

Potem w drugiej fazie zajmiemy się wyłączaniem programów uruchamianych przy starcie systemu.

2. W Dzienniku zdarzeń są następujące błędy:

Error: (07/07/2021 08:59:06 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu:
hr=0x8007232B
Argumenty wiersza polecenia:
RuleId=dca14e37-0c5c-444f-9b35-1e2f161f5ac3;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=53

Error: (07/07/2021 08:58:54 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu:
hr=0x8007139F
Argumenty wiersza polecenia:
RuleId=dca14e37-0c5c-444f-9b35-1e2f161f5ac3;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable

Czy Windows jest zaktywowany? Jeśli tak to przy udziale jakiej metody, skąd pochodzi klucz?

Error: (07/07/2021 01:19:10 AM) (Source: Bonjour Service) (EventID: 100) (User: )
Description: Task Scheduling Error: m->NextScheduledSPRetry 15532

To już omówiłam powyżej.

Error: (07/07/2021 09:02:44 PM) (Source: DCOM) (EventID: 10010) (User: ZARZĄDZANIE NT)
Description: Serwer {784E29F4-5EBE-4279-9948-1E8FE941646D} nie zarejestrował się w modelu DCOM w wymaganym czasie.

Error: (07/07/2021 01:18:36 AM) (Source: DCOM) (EventID: 10010) (User: Tymek)
Description: Serwer {3EB3C877-1F16-487C-9050-104DBCD66683} nie zarejestrował się w modelu DCOM w wymaganym czasie.

Z klawiatury klawisz z flagą Windows + R, w polu Uruchom wklej dcomcnfg. Podczas uruchamiania przystawka wykonuje automatyczną reperację uszkodzonych klas DCOM. Po otwarciu okna po prostu je zamknij.

3. Po wykonaniu powyższych działań uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
cmd: ipconfig /flushdns
cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows Live\SOXE\Extractor Definitions Update Task"
cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task"
cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\SkyDrive\Routine Maintenance Task"
cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\Shell\FamilySafetyUpload"
cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor"
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} -  Brak pliku
FF Homepage: Mozilla\Firefox\Profiles\ztnsqm76.default-release -> hxxp://www.gazeta.pl/0,0.html?p=190
FF Homepage: Mozilla\Firefox\Profiles\kca76ew1.default-1482360270345 -> hxxp://www.gazeta.pl/0,0.html?p=190
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Dołącz też plik fixlog.txt. Przedstaw czy działania w punkcie 1 i 2 wniosły coś do sprawy.

U mnie tylko główne katalogi C:\Users\Picasso i C:\Users\defaultuser0 mają jako Właściciela SYSTEM. Natomiast Właścicielem ich podfolderów jest konto do którego należy folder główny. Tak więc sądzę, że nie ma co zmieniać.

Nie wiem czy jest sens dalej drążyć temat uprawnień, bo nie widzę już innych możliwości sprawdzenia co co chodzi konkretnie diagnostykowi. Jako ostatni krok proponuję wykonać jeszcze:

W dniu 3.07.2021 o 23:06, picasso napisał:

Uruchom cmd jako Administrator i wklej komendę:

 

dism /online /cleanup-image /restorehealth

Wszystkie wyliczone katalogi mają identyczne uprawnienia jak Downloads, bo dziedziczą z odgórnego C:\Users\Default i na tym katalogu też powinien figurować dokładnie ten sam zestaw. Oczywiście do korekty wszystkie.

U mnie brak komunikatów o braku dostępu, a uprawnienia są następujące:

Toteż spróbuj podrobić mój układ. Oczywiście u mnie są angielskie nazwy grup, gdyż mam angielski system z doinstalowanym polskim MUI. U Ciebie jest natywnie polski system, więc grupy też są spolszczone.

By móc zmienić uprawnienia w pierwszej kolejności tymczasowo musisz przestawić Właściciela z SYSTEM na Twoje konto. Po zmianie uprawnień ustawiasz ponownie SYSTEM.

Nie sądzę, by ten katalog był problemem, o ile nie zawiera on jakiś kolejnych podfolderów z rozbieżnymi uprawnieniami. Administratorzy i SYSTEM z Pełną kontrolą muszą tam zawsze widnieć, a Twoje konto wspomniałam gdyż to niestandardowa lokalizacja i przypuszczałam, że folder przed załączeniem do indeksowania mógł posiadać ten rekord.

Godzinę temu, Andman napisał:

skupić się tylko na Użytkownikach w oknie "uwzględnione lokalizacje"?

Nie. Sprawdzasz również inne foldery które u Ciebie widnieją. I to właśnie te "niestandardowe" poza katalogiem Użytkowników są bardziej podejrzane.

Godzinę temu, Andman napisał:

Do indeksowanych lokalizacji mam również dodany folder z partycji G: z uprawnieniami Owner: LAPTOP-K****ZZS\Andman (zamaskowałem nr)

Maskowanie Właściciela jest tylko konieczne gdybyś używał konta Microsoft, bo wtedy w polu Właściciel jest jawny adres e-mail. Natomiast to co tu widać to po prostu nazwa komputera i jest ona drukowana w raportach FRST w nagłówku. I tu właśnie jest pierwsze odstępstwo. W Twoim raporcie jest inna nazwa komputera:

Uruchomiony przez Andman (administrator)  LAPTOP-S6E15FKF (LENOVO 80SV) (05-07-2021 20:39:52)

Ponadto, co tam widnieje w szczegółowych uprawnieniach gdy sprawdzasz je z poziomu eksploratora Windows (Właściwości > Zabezpieczenia > Zaawansowane)? Prócz Twojego konta i konta Administratorzy powinien być też SYSTEM z Pełną kontrolą ustawiony na "Ten folder, podfolder i pliki".

Tylko formuły typu ListPermissions: C:\*****\******, bez "Data" na końcu, bo mówimy tu o docelowych indeksowanych katalogach. Czyli np.:

ListPermissions: C:\Users
ListPermissions: C:\Users\Andman
ListPermissions: C:\Users\Andman\Desktop
etc.

Na liście umieszczasz wszystkie katalogi zaznaczone do indeksowania (domyślnie w wykluczeniach powinny być foldery "AppData"). Trochę roboty więc będzie ze stworzeniem kompletnej listy.

Uprawnienia w nowej lokalizacji są identyczne jak moje w oryginalnej i co próbowaliśmy zrzucać za pomocą SetACL. Czyli nie wygląda na to, że problemem jest ten katalog per se. Jak już wspomniałam, nie jest wykluczone że chodzi o katalogi indeksowane, ale sprawdzić ich uprawnienia to mozolna robota. Musiałbyś na podstawie listy indeksowanych katalogów widocznej w "Opcjach indeksowania" po kolei sprawdzić uprawnienia katalogów i szukać tego który nie ma na liście SYSTEM z Pełną kontrolą.

Na wszelki wypadek zapytam czy w tej nowej lokalizacji w uprawnieniach konto SYSTEM ma Pełną kontrolę?

I na razie nic więcej nie przychodzi mi do głowy.

Nadal nie wiemy o co chodzi diagnostykowi w kwestii uprawnień i czy jest sens to drążyć skoro wyszukiwanie i tak działa. Nie jest nawet pewne czy dotyczy to folderu C:\ProgramData\Microsoft\Search\Data, bo istnieje możliwość że problem stanowi jedna z indeksowanych lokalizacji w katalogu Użytkownicy. Mógłbyś jeszcze spróbować w Opcjach indeksowania (tam gdzie przebudowałeś indeks na samym początku) w Zaawansowanych zmienić lokalizację indeksowania i po restarcie usługi sprawdzić czy diagnostyk nadal widzi problem w uprawnieniach.

Zmień nazwę pliku FRST64.exe na uninstall.exe i uruchom. SetACL i fix.txt usuń ręcznie, bo żaden automat nie ma tych obiektów w definicjach.

To domyślny typ uruchomienia dla tej usługi, co nie oznacza że nie będzie i tak odpalana gdy działa w tle jakaś aplikacja bazująca na .NET Framework.

Czy po resecie bufora czcionek jest jakaś poprawa przy starcie systemu?

Tak, wykonaj pierwotne instrukcje. Z pośpiechu pomyliłam usługi. Prawdopodobnie aktywowałeś (lub jakiś instalator programu zrobił to automatycznie) w komponentach systemu starszą wersję .NET Framework, stąd ta usługa u Ciebie, bo ja jej nie mam.

Nowe powtarzające się błędy:

Dziennik System:
=============
Error: (07/04/2021 01:27:08 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: 
Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie.

Ten problem wielokrotnie rozwiązywałam poprzez reset bufora:

Wejście do folderu C:\Windows\ServiceProfiles\LocalService\AppData\Local musisz wykonać poprzez stopniową nawigację. Bezpośrednie wklejenie całej ścieżki do paska adresów zwróci bowiem błąd braku elementu. To konsekwencja braku uprawnień, a przy wchodzeniu stopniowym otrzymasz kilka razy komunikat, by kontynuować przyznawanie dostępu.

EDIT: Reset ogólnego bufora czcionek Windows chowam do spoilera. Na błędzie jest odnośnik do usługi zwiazanej z .NET Framework. Gdyby chodziło o standardową usługę systemu:

1. Jeden odpadkowy wpis od wyszukiwarki Adaware Secure Search jest oporny:

FF NewTab: Mozilla\Firefox\Profiles\oqzqupfm.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName=

W Firefox Ustawienia > Uruchamianie > przestaw Nową kartę na pustą stronę.

2. Wykonaj skan za pomocą Malwarebytes Anti-Malware i przedstaw wynikowy raport.

16 godzin temu, Andman napisał:

Poza tym wróciły demony. Po uruchomieniu systemu i pozostawienie do na kilka minut do załadowania wszystkich składników, wywołanie np. przeglądarki zajmuje kilkadziesiąt sekund.

Dostarcz świeże raporty z FRST. Może pojawiły się jakieś nowe błędy w Dzienniku zdarzeń.

16 godzin temu, Andman napisał:

Dodatkowo przy kopiowaniu lub przenoszeniu plików na partycję C: pojawia się okno "Aby wykonać kopiowanie do tego folderu musisz posiadać uprawnienia administratora". Klikam na kontynuuj i dopiero wówczas plik zostaje skopiowany. 

O jakiej lokalizacji mowa? Jeśli o bezpośrednim kopiowaniu wprost na C:\ to jest to normalne.

Prawie wszystko wykonane, jedna z komend nie weszła, bo zrobiłam literówkę. Drobne poprawki na szczątki:

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {0E6E755C-3DC4-44B0-9631-BA03889AF8F2} - System32\Tasks\Opera scheduled assistant Autoupdate 1617867835 => C:\Users\Patryk\AppData\Local\Programs\Opera\launcher.exe -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Patryk\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {F576E1D0-412F-41AF-8B4E-8C4CBD23AE7E} - System32\Tasks\Opera scheduled Autoupdate 1617867827 => C:\Users\Patryk\AppData\Local\Programs\Opera\launcher.exe
FF NewTab: Mozilla\Firefox\Profiles\oqzqupfm.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName=
2021-07-04 02:47 - 2021-07-04 02:58 - 000000000 ____D C:\Users\Patryk\AppData\Local\Avast Software
2021-07-04 12:59 - 2020-12-30 15:45 - 000000000 ____D C:\Program Files (x86)\QuickTime
2021-07-04 12:58 - 2020-11-24 08:25 - 000000000 ____D C:\Users\Patryk\AppData\Local\Windows Live
DeleteQuarantine:
cmd: netsh advfirewall reset

Z menu Plik > Zapisz. Następnie w oknie FRST klik w Napraw. Tym razem nie będzie restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera.
• W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone.

3. W systemie nagle pojawił się sterownik SPTD. Jeśli został omyłkowo zainstalowany, zastosuj dedykowany deinstalator tego sterownika dostępny w przyklejonym temacie: KLIK.

4. Zrób nowy log FRST z opcji Skanuj (Scan). Dołącz też plik fixlog.txt. Podsumuj obecny stan systemu.