Andman

Wykonałem skan z wyłączoną przeglądarką i menadżerem haseł. W logu nie pojawił się wpis:

(H:\Program Files H\Slimjet\slimjet.exe ->) (DroidMonkey Apps, LLC -> ) C:\Program Files\KeePassXC\keepassxc-proxy.exe

Przepraszam za zamieszanie.

Dziękuję za zainteresowanie tematem. 

Cieszę się, że adresy IP są w porządku. Faktycznie dostawcą internetu i routera jest operator kablowy.

W sprawie przekierowania to sugerowałem się wpisem:

(H:\Program Files H\Slimjet\slimjet.exe ->) (DroidMonkey Apps, LLC -> ) C:\Program Files\KeePassXC\keepassxc-proxy.exe

Lecz prawdopodobnie to proces menadżera haseł. Widocznie był otwarty w trakcie skanu.

Dzień  dobry.

Z ciekawości po długim czasie wykonałem skan FRST i w logu niepokoi mnie bałagan w Tcpip i przekierowanie w sekcji "procesy".

W działaniu Windowsa nie zauważyłem żadnych anomalii.

Proszę o przejrzenie logów i ewentualnie udzielenie pomocy.

Addition.txt FRST.txt Shortcut.txt

12 godzin temu, jessica napisał:

Teoretycznie Twój router może być zainfekowany (a nie komputer).

To mnie niepokoi. Internet w smartfonie jest za pośrednictwem danych pakietowych. Natomiast w smartfonie udostępniłem Internet poprzez WiFi tylko dla laptopa. 

Próbowałem wyczyścić DNS w smartfonie oraz uruchomiłem wipe cache partition lecz to nie pomogło. Nadal po podłączeniu laptopa jest DNS 192.168.43.1

Czy warto zresetować ustawienia Winsock w laptopie?

Dobry wieczór.

Wczoraj po raz pierwszy, a dzisiaj ponownie, zostałem zablokowany. Pojawił się komunikat:

Proszę o pomoc, co może być przyczyną blokowania. Wczoraj sytuacja wystąpiła na stronie gov.pl, a dzisiaj na allegro.pl.

Komputer podłączony do sieci poprzez udostępnienie internetu przez smartfon.

Addition.txt FRST.txt Shortcut.txt

Sytuacja jest patowa?

W usługach znalazłem:

Nazwa usługi: McpManagementService

Ścieżka do pliku wykonywalnego: C:\WINDOWS\system32\svchost.exe -k McpManagementServiceGroup

Opis: <Nie można odczytać opisu. Kod błędu: 15100 > 

Stan usługi: zatrzymano

Nazwa usługi: VSS

Ścieżka do pliku wykonywalnego: C:\WINDOWS\system32\vssvc.exe

Opis: Zarządza i implementuje kopie woluminów w tle używane dla kopii zapasowej i do innych celów. Jeśli ta usługa zostanie zatrzymana, kopie w tle będą niedostępne dla kopii zapasowej, co może spowodować błąd kopii zapasowej.              Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać.

Stan usługi: zatrzymano

Zrobiłem naprawę w FRST. W załączeniu wynik. 

Fixlog.txt

Wykonałem czynności w FRST.

Załączam logi.

Addition.txt FRST.txt Shortcut.txt Fixlog.txt

Dziękuję za zajęcie się problemem. W załączeniu przesyłam log z Farbar Service Scanner

FSS.txt

Od kilku dni borykałem się z drenażem baterii na wyłączonym laptopie. Pomimo wyłączonej opcji szybkiego uruchamiania po nocy poziom naładowania baterii nie pozwalał na uruchomienie laptopa. Ponownie włączyłem a następnie znowu wyłączyłem szybkie uruchamianie w opcjach zasilanie i dzisiaj po nocy bateria nie utraciła poziomu naładowania. 

Za to system stał się ociężały. Druga i kolejna kolejna karta w przeglądarce ciężko się ładuje. Włączenie dwóch aplikacji jednocześnie zmraża system na kilkanaście sekund.

Proszę o spojrzenie na logi i ewentualną pomoc.

Addition.txt FRST.txt Shortcut.txt

Nadal poszukuję przyczyn problemu i przypominałem sobie, że poprzez Windows Update nie mogłem pobrać aktualizacji systemu z wersji 1909 do wersji 2004. Był jedynie baner w Windows Update, że aktualizacja będzie dostępna wkrótce. Znalazłem informację, że powodem braku aktualizacji do wersji 2004 jest niekompatybilność sterowników urządzeń Conexant. W przypadku pobrania ww. aktualizacji mogły pojawić się BSOD. Mimo wszystko za pośrednictwem asystenta aktualizacji pobrałem i zainstalowałem wersję 2004 Windowsa 10. Wszystko wydawało się działać poprawnie. Potem była wersja 20H1, która była dostępna już poprzez Windows Update tak jak kolejne do bieżącej wersji. Lecz na stronie Lenovo, posiadany przeze mnie laptop, jest uznany za niekompatybilny (nie przetestowany) z wersjami od 2004 wzwyż. 

Sprawdź, czy w BIOS nie jest wyłączony Touch-Pad. 

Przeglądałem ten temat od początku i wykonałem nowe logi FRST. Moją uwagę zwróciły wpisy:

S3 dtlitescsibus; \SystemRoot\System32\drivers\dtlitescsibus.sys [X]
S4 sptd2; System32\Drivers\sptd2.sys [X]
pomimo, że sterownik sptd2 i plik dtlitescsibus.sys zostały usunięte.

Plik dtlitescsibus.sys mam na dysku ale w lokalizacji innej niż wskazuje FRST, bo w: C:\Windows\System32\DriverStore\FileRepository\dtlitescsibus.inf_amd64_a0cc27bc19a57edc, z której nie można go usunąć.

Pliku sptd2.sys na dysku nie znajduję.

Addition.txt FRST.txt Shortcut.txt

15 godzin temu, picasso napisał:

Docelowe indeksowane katalogi (o ile czegoś nie przeoczyłeś): Skorygowaliśmy wszystkie błędy

Jeszcze raz sprawdziłem uprawnienia według drzewa "Opcji Indeksowania"

Jedynie znalazłem trzy wpisy, które wykraczają poza schemat.

W nowym koncie Busy w tożsamej lokalizacji rekordy noszą nazwę Konto nieznane

13 godzin temu, picasso napisał:

Folder C:\ProgramData\Microsoft\Windows\Start Menu ma owszem "Tylko podfoldery i pliki" a podfoldery od tego folderu mają "Ten folder, podfoldery i pliki".

 Też mam taką konfigurację.

4 godziny temu, picasso napisał:

U mnie też jest dostęp "Specjalny", ale dziedziczenie jest szersze "Ten folder, podfoldery i pliki".

W nowym koncie uprawnienia też są węższe.

2 godziny temu, picasso napisał:

Jako ostatni krok mógłbyś pro forma sprawdzić czy diagnostyk widzi błędy uprawnień na nowym testowym koncie użytkownika. To przynajmniej by ograniczyło podejrzenia do strony użytkownika a nie globalnej.

Utworzyłem nowego konto.

Wynik diagnostyka taki sam.

Gdy zalogowałem się ponownie na dotychczasowe konto, Defender wykrył zagrożenie w G:\Z Internetu\pctrans.exe.

To instalka (EaseUS Todo PCTrans Setup) pobrana w 2017 r. więc to chyba false alarm.

Godzinę temu, picasso napisał:

U mnie też jest dostęp "Specjalny", ale dziedziczenie jest szersze "Ten folder, podfoldery i pliki".

Powieliłem u siebie taki sam układ.

Godzinę temu, picasso napisał:

To w porządku, bo jak sam wcześniej zauważyłeś "Windows PowerShell" ma TrustedInstaller jako Właściciela, co uniemożliwia zmianę uprawnień. Na wszelki wypadek mój układ uprawnień:

Po sprawdzeniu mam taki sam zestaw uprawnień.

Diagnostyk dalej nie współpracuje.

Informacja.

Miałem okazję i uruchomiłem diagnostykę indeksowania na systemie Win10 w wersji 20H2 zainstalowanym na dysku SSD. I diagnostyka zwraca identyczny problem z uprawnieniami katalogów Windows Search jak w na moim laptopie. Więc problem nie jest jednostkowy.

2 godziny temu, picasso napisał:

Sprawdź czy najwyższy folder C:\ProgramData\Microsoft ma Administratora, gdyż to z tego folderu powinno być dziedziczenie wgłąb. To oznacza że wystarczy usunąć Administratora tylko z nadrzędnego obiektu.

U mnie folder C:\ProgramData\Microsoft nie ma Administratora. Uprawnienia mam identyczne. Od folderu C:\ProgramData\Microsoft\Windows\Start Menu moje konto dostaje uprawnienia specjalne (tylko podfoldery i pliki). Pozostałe uprawnienia pozostają niezmienione. 

2 godziny temu, picasso napisał:

I nie trzeba tego zmieniać. W tamtym czasie przyznanie uprawnień było w innym celu, by się przekonać czy diagnostyk przejdzie do reperacji uprawnień.

Od momentu zmiany lokalizacji indeksowania cały czas pracuję na tej alternatywnej ścieżce C:\indeks.

Z  C:\ProgramData\Microsoft\Windows\Start Menu usunąłem konto Administrator. Konto zniknęło, ale usunięcie zostało poprzedzone komunikatem:

Konto Administrator jest we wszystkich folderach C:\ProgramData\Microsoft\Windows\Start Menu\Programs, z wyjątkiem C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows PowerShell gdzie właścicielem jest TrustedInstaller.

Zabrałem się za usuwanie wpisu Administrator. Przejąłem uprawnienie ale przy próbie usunięcia mam komunikat "Co chcesz zrobić z dziedziczonymi uprawnieniami" albo konwertuj uprawnienia dziedziczone na uprawnienia jawne do tego obiektu lub usuń wszystkie uprawnienia odziedziczone z tego obiektu.

I się tutaj zatrzymałem.

Otworzyłem alternatywną lokalizację indeksowania i nie mam uprawnień do odczytu. Folder jest pusty 0 kb

Tak, zrobiłem restart i test po nim. Według "Opcji indeksowania" dalej przeglądam poszczególne foldery. W  lokalizacji C:\ProgramData\Microsoft\Windows\Start Menu\Programy\.. w nazwie grup jest konto Administrator z czerwonym X przy ikonie.

Proszę o informację, czy znasz źródło, według którego mógłbym zweryfikować wątpliwości we wpisach i uprawnieniach folderów?

Dla przykładu ‪C:\Users\Andman\Intel właściciel Administratorzy (LAPTOP-S6E15FKF\Administratorzy)

Komenda wykonana, diagnostyka nadal zgłasza problem.

Zmieniłem uprawnienie i nadal diagnostyka zwraca problem.

Sprawdzałem kolejny raz uprawnienia i na koncie C:\Users\defaultuser0, w uprawnieniach katalogów właścicielem jest defaultuser0 (LAPTOP-S6E15FKF\defaultuser0). Natomiast we wcześniej zmienianych był właścicielem System. Podobnie jest na moim koncie. Niektórych katalogów właścicielem jest Andman innych Administratorzy. Proszę o informację, czy to prawidłowość, czy błąd?

Zmieniłem uprawnienia, zresetowałem system i uruchomiłem diagnostykę. Nadal zwracany jest tan sam problem z katalogiem Windows Search.

Czy taki zakres uprawnień i ich ilość są prawidłowe?

Teraz pokazały się błędy przy próbie otwarcia zabezpieczeń (jak było w folderze Downloads) i posypały się uprawnienia i w lokalizacjach C:\Users\Default\Music, C:\Users\Default\Pictures, C:\Users\Default\Saved Games, C:\Users\Default\Video.

Czy mam zmienić uprawnienia podobnie jak w przypadku C:\Users\Default\Downloads?

Na razie żadnych odstępstw od podanych warunków nie znalazłem. Czasami są zdublowane konta i uprawnienia ze względu m.in. na dziedziczenia.  Ale w "Opcjach indeksowania" widnieje lokalizacja, bez żadnego podporządkowania, "Historia programu Internet Explorer", której nie mogę znaleźć celem sprawdzenia. 

Jedyna anomalia (na zrzutach ekranu) to lokalizacja C:\Users\Default\Downloads. 

Po przeklikaniu dwukrotnie komunikatów jest dostęp do wglądu uprawnień.

W tej indeksowanej lokalizacji nie ma mojego konta. Katalog nadrzędny też nie zawiera mojego konta. Czyżby to był winowajca?

Cytat

Maskowanie Właściciela jest tylko konieczne gdybyś używał konta Microsoft, bo wtedy w polu Właściciel jest jawny adres e-mail. Natomiast to co tu widać to po prostu nazwa komputera i jest ona drukowana w raportach FRST w nagłówku. I tu właśnie jest pierwsze odstępstwo. W Twoim raporcie jest inna nazwa komputera:

Zmieniłem również widoczne litery, nazwa komputera jest wszędzie taka sama.