dziabong

wziąć linuksa i z jego poziomu wykasować foldery z nieczytelnymi uprawnieniami z poziomu Windows i założyć nowe dokładnie z taką samą ścieżką jak te stare - uprawnienia powinny przejść z folderów nadrzędnych po ponownym zbootowaniu systemu

A co z zawartością tychże folderów? Rozumiem, że skopiować gdzieś i potem odłożyć na miejsce.

Czy dam radę to zrobić z ubuntu z pendriva?

Zalogowałem się na stałe na konto admina i zacząłem wchodzić w podaną ścieżkę. Parę razy wyskoczył komunikat, że nie mam uprawnień, żeby wejść i że mam kliknąć, żeby je otrzymać. Klikałem. Tak doszedłem do folderu Microsoft, który po wyświetleniu klasycznego alertu o braku uprawnień, nie puścił mnie dalej, informując, że muszę użyć karty zabezpieczeń. Wycofałem się póki co z tego i zacząłem analizować dokładniej link, który mi wysłałeś:

3. Przechodzimy do karty Właściciel / Owner. Domyślnie powinien figurować TrustedInstaller jako Właściciel:

Nie figuruje. To znaczy do System32 jeszcze tak, ale w każdym folderze głębiej (...\config\systemprofile\AppData\Local) jest już "Administratorzy", natomiast folder Microsoft ma w polu właściciel "Nie można wyświetlić bieżącego właściciela."

Rozumiem, że powinienem wpisać folderowi Microsoft właściciel "Administratorzy" i wtedy ponowić komendę w cmd?

Zrobione.... albo odmowa, albo nie można znaleźć pliku. Cmd napewno było jako admin

raport.txt

Zrobione => link

Rozumiem, że to kończy temat: Póki co ręczna aktualizacja a docelowo format.

Bardzo dziękuję za poświęcony ogrom czasu Tobie i Flaviusowi.

Zastanawiam się jakie jeszcze istotne okoliczności towarzyszyły infekcji i jedyne co mi przychodzi do głowy to nieszczęsny combofix użyty na etapie szukania pomocy na elektrodzie, który zawiesił się, nie zostawił raportu i właściwie nie wiadomo co zrobił, ale to nic nowego, bo pisałem o tym.

O. Wielkie dzięki za zwrócenie na to uwagi. Załączam wspomniany raport.

AdwCleanerR1.txt

Ok. Nie pomyślałem, żeby usunąć mimo że nie mogę zatrzymać. Pomogło dziękuje. Temat do zamknięcia, czy wręcz do usunięcia skoro już takie są.

Dla usprawiedliwienia założenia nowego tematu dodam tylko, że przez jakieś problem z łączeniem z forum wczoraj, wyszukiwarka nie zwróciła mi żadnych tematów.

Robię dokładnie to.

zatrzymaj usługę przyciskiem.

Ten przycisk nie reaguje na klik. (dodatkowo zauważyłem, że a po prawokliku na usługę, opcja "zatrzymaj" jest nieaktywna.

W trybie awaryjnym aktywny jest guzik uruchamiania i on reaguje na klik (zwracając komunikat, że tej usłgi nie można włączyć w trybie awaryjnym)

Niestety nie mogę. Przycisk nie reaguje na klik, a jak klikam prawym na proces i wybieram "wszystkie zadania" to wszystkie opcje (w tym zatrzymaj) są nieaktywne. Dla pewności odpalałem dwa razy i jest to samo.

No to teraz dla odmiany mój własny komputer... objaw jest prosty: zużycie procesora 100% bez przerwy. Koszmarne ilości zasobów pochłania proces PresentationFontCache.exe (50-98%). Wyczytałem, że to proces związany z frameworkiem i często ludzie mają ten problem. Zakończyć się go nie da (wraca),

Tyle że u mnie dodatkowo, nawet jak zużycie w tym procesie spadło w pewnym momencie to i tak CPU ani drgnęło od 100%. O ile jeszcze wczoraj rano dało się z tym pracować i po prostu komputer "mulił" tak teraz właściwie się nie da, bo wszystko tyle trwa. Zaczynam mieć wrażenie, że to coś więcej niż po prostu pamięciożerny presentation font cache.

Mam zainstalowaną Avirę + zaporę Comodo.

Konto administatora z hasłem używane tylko gdy konieczne.

Tydzień temu skan robiłem i Avira nic nie znalazła.

Pozdrawiam i dziękuję

OTL.Txt

Extras.Txt

Właśnie mam temat z ZeroAccess w robocie i tam wyszło na jaw, że rootkit zresetował ACL katalogu C:\Users\Konto użytkownika\AppData. W tym katalogu jest głębiej CryptNetUrlCache. Sprawdź czy jesteś w stanie otworzyć tę ścieżkę, czy przypadkiem nie pojawi się "Odmowa dostępu" przy AppData lub głębiej.

Mam dostęp do całej ścieżki.

pliki, o które prosiliście =>link

Hmmm... Czy podane przez Flaviusa alternatywne narzędzie do pobierania update'ów, odpalane ręcznie co jakiś czas, pozwala mi utrzymać system we względnej aktualności? Jeśli tak to może szkoda Waszego czasu jeśli to taka karkołomna analiza. Komputera można używać, aktualizował system będę na razie ręcznie, a jak kiedyś znajdę czas to zrobie format...

Nie wiedziałem czy mam wykonywać instrukcje z "EDIT" czy nie, w związku z "EDIT2". Pomyślałem, że spróbuję. Niestety za pierwszym razem skrypt zostął wykonany bez uprawnień administratora. Po dłużdszym namyśle doszedłem do wnosku, że skoro to jest kwestia zmiany ustawień to nic się nie stanie jak to co się dało radę zmienić bez uprawnień zmienię jeszcze raz na to samo i puściłem skrypt jeszcze raz - tym razem jak trzeba (mam nadzieję, że słusznie).

Załączam odpowiedź lini komend na skrypt bez uprawnień i z.

No i niestety windows update reaguje dokładnie identycznie jak na początku.

SetACL_bez_ua.txt

SetACL_z_ua.txt

Zrobione => link. Mam nadzieję, że nic nie namieszałem.

Faktycznie wygląda jakby zainstalował jakieś aktualizacje. Załączam log z działania updatera (download.txt) i net-log.

download.txt

net-log.txt

Tak jak dopisałem powyżej: To nie może być kwestia połączenia z siecią, bo to dziwne połączenie było tylko przez chwilę, a objawy z windows update były takie same na różnych połączeniach z internetem. Pkt 5 nie znajduje żadnych problemów do rozwiązania.

Nie do końca rozumiem jak to działało instalował to jakiś spec z tej sieci i to nie przy mnie. Ale to już nieistotne, bo dzisiaj przyszedł router i jestem już teraz normalnie połączony, odpaliłem z konta administratora WU i.... "nie wprowadzono zmian, bo nie znaleziono usterek". Jesteśmy w punkcie wyjścia....

-------

Wracając do kwestii internetu, żeby nie tworzyć fałszywych tropów: to dziwne połączenie było tylko sprawą przejściową przez ostatnie kilka dni - niemożliwe, żeby miało to jakikolwiek związek ze zwalczanym problemem. Czy podać wspomniany log mimo to?

no i znów mi wstyd... ale do rzeczy:

Ad 1. Odpowiedź:

Nie można zidentyfikować problemu w ramach rozwiązywania problemów

Ad 2. Przy automacie wyskakuje pytanie czy napewno chce zresetować klikam resetuj, wyskakuje monit, co udało się zrobić (wszystko się udało), klikam zamknij i wyskakuje, że skrypt nie został przetworzony. Zrobiłem potem to samo ręcznie, więc chyba ten krok można uznać za zrobiony

Ad 3. Przed uruchomieniem narzędzia polecali zrobienie skanu rejestru. Zrobiłem. 216 błędów.... Skaner w wersji darmowej naprawia tylko 15, więc nie naprawiałem w ogóle.

FixWin przeskanował, kazał zrestartować - zrobione

Ad 4. Jeden z kroków dotyczył modyfikacji pliku hosts:

W Notatniku usuń lub oznacz jako komentarz wszelkie wiersze w pliku hosts zawierające wpisy dotyczące witryny Windows Update.

Tyle, że plik hosts wygląda tak:

# Copyright © 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

 

# localhost name resolution is handled within DNS itself.

# 127.0.0.1 localhost

# ::1 localhost

Pozostałe kroki nic nie dały.

Ad 5. Uruchamiałem to narzędzie już, ale stwierdziłem, że znów spróbuje i tu niespodzianka: Program żąda uruchomienia nie jako administrator, a z konta administratora i tu rodzi się problem, bo aktualnie korzystam z internetu z osiedlowej sieci i żeby połączyć się z internetem (póki nie przyjedzie router) muszę uruchamiać skrót do połączenia sieciowego... generalnie działa to tylko na jednym koncie użytkownika, przy probie uruchomienia z konta administratora nie wynajduje obiektu. Także tego punktu nie mogę/ nie umiem zrobić na razie

Ad 6. Resetowanie proxy nie przynosi skutku bo tu nie ma serwera proxy - połączenie bezpośrednie (przynajmniej tak twierdzi cmd)

Miałem wrażenie, że już to na którymś etapie robiłem i faktycznie nawet miałem pobraną instalkę. Na wszelki wypadek zainstalowałem jeszcze raz - bez zmian.

powtórz tą metodę dla pozostałych problematycznych łat.Logi dostarcz tylko wtedy jeśli narzędzie dism zawiedzie względem którejś łaty.

Pytanie:

 

Z iloma łatami jest ten problem? Czy dla wszystkich łat przeznaczonych ściśle dla systemu? (pomijam tu łaty dla Office,Silverlight ,Microsoft Visual C itp)

Nie bardzo wiem jak to sprawdzić. Załączony na samym początku alert występuje przy próbie wyszukania nowych aktualizacji, a nie przy ich instalacji. Tą którą instalowałem wybrałem na zasadzie: dowolna łata na win7x86 wydana po awarii.

Przepraszam, za milczenie. Znów straciłem dostęp do naprawianego komputera.

Wygląda, że aktualizacja zainstalowała się poprawnie.

Załączam log.

CBS.txt

Jest jak mówisz.

Leci log.

CBS.txt

Zrobiłem jak mówiłeś.

Odpowiedź konsoli:

 

C:\Windows\system32>dism /online /Add-Package /PackagePath:C:\Users\Olenka\AppData\Local\Temp\Windows6.1-KB2585542-x86.msu

 

Wersja narzędzia do obsługi obrazu wdrażania i zarządzania nim: 6.1.7600.16385

 

Wersja obrazu: 6.1.7601.17514

 

Trwa przetwarzanie: 1 z 1 - Wystąpił błąd - C:\Users\Olenka\AppData\Local\Temp\Windows6.1-KB2585542-x86.msu. Błąd: 0x80070032

 

Błąd: 50

 

Żądanie nie jest obsługiwane.

 

Plik dziennika narzędzia DISM można znaleźć w folderze C:\Windows\Logs\DISM\dism.log

 

Załączam wspomniany dziennik zdarzeń.

Natomiast cbs.log ważył 0k po próbie otwarcia otrzymałem komunikat odmowa dostępu i wyświetlił się pusty notatnik. Po zamknięciu waga pliku skoczyła do 4k, ale po próbie otwarcia znów było to samo z tym, że waga pliku już się nie zmienia.

dism.txt

Jak podejrzewam problem jest raczej w czcionce a nie w samym rozmiarze okna więc: Właściwości -> czcionka i tam największą albo prawie największą.