Skocz do zawartości
Ten temat
14 stycznia 2020 - Koniec wsparcia Microsoftu dla Windows 7 ×
Zakładanie tematu: pomocne raporty i informacje

UAC - samo zmienia się na najwyższy poziom

EDgar8

Przez EDgar8
w Windows 7

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
  Cytat

Chodzi mniej więcej o to dlaczego każesz mi zakładać nowe konto jak mam stare i dlaczego na starym Administrator nie działa a na nowym Administrator zadziała.

A po to to jest, by sprawdzić czy sprawa jest tylko na poziomie konta / kont podobnego typu a nie globalna, bo konto Asus może być uszkodzone, mogą być takie naruszenia, których naprawa jest nieopłacalna lub nie będzie możliwa. Na dodatek robiłeś bardzo dziwne operacje na tym koncie:

 

  Cytat

Nie wiem czy ten trop jest prawdziwy, ale na tym odblokowanym koncie administratora UAC było prawidłowe, więc skopiowałem tam wszystkie pliki z tego konta (łącznie z AppData) a dziś patrzę i UAC jest podwyższone.

Z tego co rozumiem kopiowałeś jakieś pliki z wbudowanego Administratora do konta Asus, to kopiowanie "włącznie z Appdata" wygląda bardzo podejrzanie. Stan poprawności konta Asus jest teraz nie do potwierdzenia, nie wiadomo co nadpisałeś. A ustawienia UAC nie są trzymane w folderach na dysku.

 

Proszę o jasną odpowiedź, czy obecnie będąc zalogowanym na koncie Open (a nie Asus) występuje problem z przestawianiem się UAC. Jeśli nie, to uważam, że komplikujesz sprawy próbując naprawić konto które nie działa poprawnie. Generalnie na razie wysunęłam takie wnioski na temat tego UAC:

 

 

  Cytat

Chodzi o to, że w trybie awaryjnym są te klucze, ale i tak zmian żadnych na tryb normalny nie zapisze.

(...)

na tym odblokowanym koncie administratora UAC było prawidłowe

Wygląda to na problem osadzony po stronie konta Asus lub kont tego samego typu (dlatego drążony tu jest wątek nowego konta), a odczyt z narzędzi sugeruje brak uprawnień do klucza lub inną usterkę tego poziomu uniemożliwiającą otworzenie klucza. Klucz ustawień UAC jest globalny (HKLM), czyli jego zawartość jest prezentowana identycznie dla każdego konta, które ma uprawnienia, by go odczytać. Klucz wyglądał z poziomu dwóch różnych kont inaczej: wbudowany Administrator go widział poprawnie jako pełny, ale konto Asus widziało klucz jako "pusty". Klucz nie może być pusty, skoro jedno z kont widziało jego zawartość i ma działający UAC. Wnioski: konto Asus nie może się dostać do zawartości klucza. Nie wiadomo dlaczego, czy jest to problem uprawnień konta czy też uszkodzenia tego konta. Na razie to podaj dane o uprawnieniach klucza, tzn. z poziomu konta Asus:

 

Do Notatnika wklej:

 

ListPermissions: HKLM\SOFTWARE\Microsoft
ListPermissions: HKLM\SOFTWARE\Microsoft\Windows
ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
CMD: net user Asus

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

 

 

 

PS. A problemu WMI w ogóle nie zanalizowałam jeszcze.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat

1. Kopiowałem z Asus na Administrator (wiem, radykalne kroki)

Trzeba będzie usunąć ten zmodyfikowany folder. Konto zostało już wyłączone, więc będzie to można zrobić. Ale to nie takie istotne, potem podam co i jak. Nic nie kombinuj ręcznie.

 

 

  Cytat

2. Na koncie Open także jest UAC który nieprawidłowo funkcjonuje

Czyli z tego by wynikało, że usterka jest jednak globalna, bo widzę we wcześniejszym poście, że wspominałeś, iż nagle na Administratorze też przestało działać. Poproszę o kopię rejestru do wglądu. Ta utworzona przez FRST pochodzi sprzed wielu manipulacji tu już prowadzonych, więc wygeneruj nową za pomocą narzędzia RegBak. Folder z kopiami plików rejestru spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Analiza tego może zająć dużo czasu, nie obiecuję nic.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mam pytanie, bo ten punkt wprowadził zamieszanie (rzekoma widoczność zawartości klucza):

 

  Cytat

Chodzi o to, że w trybie awaryjnym są te klucze, ale i tak zmian żadnych na tryb normalny nie zapisze.

Co ten tekst miał oznaczać, tzn. na co patrzyłeś w rejestrze? Czyżby na same klucze a nie co zawierają? Klucze są od początku, tylko są puste. Chodzi cały czas o import wartości w tych kluczach. Groszexxx już prawidłowo to wytypował na podstawie raportu FRST i zadał operację importu do rejestru, tylko właśnie fakt samego importu nie został tu objaśniony. Skwitowałeś sprawę słowami "Nie poskutkowało". Zero informacji co się działo podczas importu pliku, czy wystąpił jakiś błąd, na czym polegało "nie zapisywanie zmian".

 

Druga sprawa, są inne niekorzystne zmiany względem pierwszych raportów (nie było wcześniej tych usterek):

 

- Widać nieukrytą usługę Microsoftu i korespondujący błąd w Dzienniku. Usługa ta jest uszkodzona (zdewastowany podklucz Parameters):

 

S2 LanmanWorkstation; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)

S2 LanmanWorkstation; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
 

Dziennik System:

=============

Error: (04/24/2016 04:07:03 PM) (Source: Service Control Manager) (EventID: 7023) (User: )

Description: Usługa Stacja robocza zakończyła działanie; wystąpił następujący błąd:

%%2

 

- Usługa Winmgmt wygląda inaczej niż wcześniej. Określone dane (Description, DisplayName i Group) są niepoprawne, wyglądają jak zaimportowane ze starego systemu XP. I ta niezgodność danych pojawiła się w trakcie napraw w temacie - Groszexxx pobierał na początku dane z rejestru i usługa wyglądała OK. Wnioski się nasuwają takie, że ten "Windows Repair (All In One)" wykonał niepoprawny "reset WMI", bo nie widzę tu innej możliwości skąd zmiana danych... Dla pewności cały klucz usunę i zaimportuję "na czysto".

 

- Zawartość klucza SafeBoot przestała być domyślna. Zostały dodane klucze, które nie występują w domyślnym układzie. I też się zdaje, że to robota "Windows Repair (All In One)". Ten wątek omijam na razie.

 

Jeśli chodzi o uszkodzone WMI, sprawa nadal będzie wymagać analizy (nie przejrzałam wszystkich poprzednich materiałów).

 

 

 

Kolejne podejście z importem rejestru, w szerszym zakresie:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\AVG]
 
[-HKEY_CURRENT_USER\Software\Chromium]
 
[-HKEY_CURRENT_USER\Software\KasperskyLab]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PandaAgent]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BLEServicesCtrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BTMTrayAgent]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments]
"ScanWithAntiVirus"=dword:00000003
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001
"{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"scforceoption"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"FilterAdministratorToken"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats]
"CF_TEXT"=dword:00000001
"CF_BITMAP"=dword:00000002
"CF_OEMTEXT"=dword:00000007
"CF_DIB"=dword:00000008
"CF_PALETTE"=dword:00000009
"CF_UNICODETEXT"=dword:0000000d
"CF_DIBV5"=dword:00000011
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN]
"Local Page"="C:\\Windows\\SysWOW64\\blank.htm"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\8052240E.sys]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cpuz136]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cpuz138]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IntcAzAudAddService]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,6b,00,73,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"EnablePlainTextPassword"=dword:00000000
"EnableSecuritySignature"=dword:00000001
"RequireSecuritySignature"=dword:00000000
"OtherDomains"=hex(7):00,00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[-HKEY_USERS\S-1-5-18\SOFTWARE\Policies\Microsoft\Internet Explorer]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG na Pulpicie

 

Plik ten będzie importowany za pomocą FRST a nie ręcznie.

 

2. Otwórz Notatnik i wklej w nim:

 

Reg: reg import C:\Users\Asus\Desktop\fix.reg



CMD: sc sdset winmgmt D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)



CMD: type C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\42h046m9.default-1457814586723\user.js



Reboot:

 

Plik zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie plik fixlog.txt.

 

3. Wyczyść błędy w Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System. Rozwiń gałąź Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawoliku wyczyść Operational. Po czyszczeniu zresetuj system, by zostały złapane nowe błędy.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition i tylko plik Addition dostarcz. Dołącz też fixlog.txt.

Odnośnik do komentarza
EDgar8

EDgar8

Opublikowano
  • Autor
Opublikowano
  W dniu 2.05.2016 o 10:11, picasso napisał(a):

Mam pytanie, bo ten punkt wprowadził zamieszanie (rzekoma widoczność zawartości klucza):

 

 

Co ten tekst miał oznaczać, tzn. na co patrzyłeś w rejestrze? Czyżby na same klucze a nie co zawierają? Klucze są od początku, tylko są puste. Chodzi cały czas o import wartości w tych kluczach. Groszexxx już prawidłowo to wytypował na podstawie raportu FRST i zadał operację importu do rejestru, tylko właśnie fakt samego importu nie został tu objaśniony. Skwitowałeś sprawę słowami "Nie poskutkowało". Zero informacji co się działo podczas importu pliku, czy wystąpił jakiś błąd, na czym polegało "nie zapisywanie zmian".

Ten rzekomy klucz to jest to:

R4hLrOm.png

A teraz z normalnego trybu:

X0cgQhO.png

Nie jestem ekspertem, więc nie mogę się wypowiedzieć. Po prostu scaliłem ten plik z rejestrem a nadal nie działało UAC w zwykłym trybie i brakowało kluczy.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Brak zmian w UAC. Import wykonany, klucz odczytywany w FRST jako pusty. Nagraj log co się dzieje podczas operacji na tym kluczu.

 

1. Przygotuj plik FIX.REG o zawartości:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments]
"ScanWithAntiVirus"=dword:00000003
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001
"{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"scforceoption"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"FilterAdministratorToken"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats]
"CF_TEXT"=dword:00000001
"CF_BITMAP"=dword:00000002
"CF_OEMTEXT"=dword:00000007
"CF_DIB"=dword:00000008
"CF_PALETTE"=dword:00000009
"CF_UNICODETEXT"=dword:0000000d
"CF_DIBV5"=dword:00000011

 

2. Uruchom Process Monitor. Zaimportuj plik FIX.REG. Zakończ nagrywanie w Process Monitor klikając w ikonę lupki na pasku narzędzi (ma się przekreślić). Zapisz log w formacie *.PML. Log spakuj do ZIP i shostuj gdzieś podając link.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nic z tego nie wynika. W dostarczonym logu nagrany pomyślny import pliku REG i zapisanie wartości, żadnych błędów, żadnych rekordów odnośnie dalszych losów klucza.

Pytanie: kiedy konkretnie te ustawienia się samoczynnie zmieniają, zaraz po zaaplikowaniu zmian (użycie dialogu ustawień UAC lub import FIX.REG), czy może po restarcie systemu lub dłuższym jego działaniu? Jeśli suwak UAC zmienia się dopiero po pewnym czasie, to nagraj jeszcze jeden log z Process Monitor zrobiony z czasu między naprawą a wystąpieniem usterki: przywrócenie części lub wszystkich ustawień (użycie dialogu ustawień UAC lub FIX.REG) > zostawiasz otwarty program aż do momentu gdy suwak się przestawi > kończysz nagrywanie i zapisujesz log.

Odnośnik do komentarza
EDgar8

EDgar8

Opublikowano
  • Autor
Opublikowano

A co jeśli resetowanie suwaka następuje podczas uruchamiania komputera? Uruchomiłem od nowa fix.reg i faktycznie suwak jest na pozycji Domyślne. Klucze też są. Myślę, że zmiana następuje po restarcie systemu. Teraz właśnie uruchomiłem komputer od nowa i nie było wcześniejszej zmiany.

 

Ale też mówiłaś, że FRST nie odczytało kluczy, to wykonać ponownie FRST i pokazać?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nagraj log z Process Monitor podczas startu Windows. Tzn. uruchom program, przekreśl lupkę, Options > Enable Boot Logging, restart systemu, otwierasz Process Monitor i poprosi o zapis loga który nagrał.

 

PS. Jakoś mnie zaćmiło poprzednio z tym "tymczasowym środowiskiem". Ty raczej widzisz te kilka wartości "uzupełnionych" w trybie awaryjnym, ponieważ używasz dialogu ustawień UAC by sprawdzić czy suwak się utrzyma, prawda? Użycie tego dialogu automatycznie zapisuje te trzy wartości do rejestru. I te trzy uzupełnione dialogiem wartości powinny przetrwać podczas uruchomienia w normalnym. U Ciebie najwyraźniej "coś" zeruje klucz, czy pełny (z FIX.REG) czy częściowy (z dialogu ustawień UAC), wszystko jest usuwane.

 

 

  Cytat

Ale też mówiłaś, że FRST nie odczytało kluczy, to wykonać ponownie FRST i pokazać?

Nie. Import się wykonuje poprawnie, więc FRST pokaże przed restartem komputera, że klucz jest OK. Po restarcie zaś log znów przedstawi pusty klucz.

Odnośnik do komentarza
EDgar8

EDgar8

Opublikowano
  • Autor
Opublikowano
  W dniu 2.05.2016 o 14:28, picasso napisał(a):

Ty raczej widzisz te kilka wartości "uzupełnionych" w trybie awaryjnym, ponieważ używasz dialogu ustawień UAC by sprawdzić czy suwak się utrzyma, prawda?

Czyli to że najpierw sprawdziłem jak jest suwak, a potem otwarłem RegEdit zadecydowało? No właśnie, suwak był na najniższym.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jeśli używasz suwaka i zapisujesz zmiany w tym dialogu, automatycznie są zapisywane do rejestru trzy wartości: ConsentPromptBehaviorAdmin, EnableLUA, PromptOnSecureDesktop. Pusty klucz powinien być pokazany jako pusty również w awaryjnym, sprawdziłam to. Dlatego też te widoczne w awaryjnym wartości powinny być pochodną dialogu UAC (dodajesz je za pomocą dialogu w awaryjnym). W każdym razie, to już sobie wyjaśniłam. Problemem tu jest, że jakiś mechanizm zeruje wszystkie zmiany w kluczu podczas restartu.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Założyłam, że obecny FIX.REG już był zaimportowany i nie restartowałeś systemu (tzn. zmiany są już w rejestrze zapisane).

- Jeśli tak, to tylko uruchamiasz Process Monitor > Enable Boot Logging > restart.

- Jeśli jednak wcześniej zrestartowałeś komputer i zmiany znów wyzerowane, to importujesz FIX.REG > uruchamiasz Process Monitor > Enable Boot Logging > restart.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Przejrzałam na szybko log. Log sugeruje, że masz czynne jakieś polityki grup. Oto wyciąg z ProcMon pokazujący, że cały klucz "Policies" tnie z rejestru svchost.exe (instancja typu GPSvcGroup), a zaraz po tym odtwarza klucz (jako niepełny) lsass.exe:

 

 

  Pokaż ukrytą zawartość



Poproszę o przesłanie mi całych folderów spakowanych do ZIP (o ile nie są puste):
 

C:\Windows\System32\GroupPolicy

C:\Windows\System32\GroupPolicyUsers

C:\Windows\SysWOW64\GroupPolicy

C:\Windows\SysWOW64\GroupPolicyUsers

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...