dziabong Opublikowano 14 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Nie do końca rozumiem jak to działało instalował to jakiś spec z tej sieci i to nie przy mnie. Ale to już nieistotne, bo dzisiaj przyszedł router i jestem już teraz normalnie połączony, odpaliłem z konta administratora WU i.... "nie wprowadzono zmian, bo nie znaleziono usterek". Jesteśmy w punkcie wyjścia.... ------- Wracając do kwestii internetu, żeby nie tworzyć fałszywych tropów: to dziwne połączenie było tylko sprawą przejściową przez ostatnie kilka dni - niemożliwe, żeby miało to jakikolwiek związek ze zwalczanym problemem. Czy podać wspomniany log mimo to? Odnośnik do komentarza
Flavius Opublikowano 14 Lutego 2012 Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Nie do końca rozumiem jak to działało instalował to jakiś spec z tej sieci i to nie przy mnie. Ale to już nieistotne, bo dzisiaj przyszedł router i jestem już teraz normalnie połączonyodpaliłem z konta administratora WU i.... "nie wprowadzono zmian, bo nie znaleziono usterek". Jesteśmy w punkcie wyjścia.... Więc spróbuj jeszcze raz ten pkt 5 z posta #23 - jeśli znowu będą takie same objawy jak poprzednio to uruchom ten net-log... Odnośnik do komentarza
dziabong Opublikowano 14 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Tak jak dopisałem powyżej: To nie może być kwestia połączenia z siecią, bo to dziwne połączenie było tylko przez chwilę, a objawy z windows update były takie same na różnych połączeniach z internetem. Pkt 5 nie znajduje żadnych problemów do rozwiązania. Odnośnik do komentarza
Flavius Opublikowano 14 Lutego 2012 Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Tak jak dopisałem powyżej: To nie może być kwestia połączenia z siecią, bo to dziwne połączenie było tylko przez chwilę, a objawy z windows update były takie same na różnych połączeniach z internetem. Coś jednak musi być nie tak z połączeniem bo WU nie potrafi wyszukać aktualizacji a sama maszyna instalacyjna u ciebie działa prawidłowo,podojrzewam że gdybyś korzystał z alternatywnych narzędzi do np tych http://www.vulnerabi...uk/ctupdate.htm do aktualizacji to by działało.Tu jest jakiś konflikt WU vs połączenie sieciowe choć nie wiem na jakim poziomie 1.Wypróbuj to zlinkowane narzędzie 2. Uruchom narzędzie net-log Odnośnik do komentarza
dziabong Opublikowano 14 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Faktycznie wygląda jakby zainstalował jakieś aktualizacje. Załączam log z działania updatera (download.txt) i net-log. download.txt net-log.txt Odnośnik do komentarza
Flavius Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Aktualizacje się zainstalowały to pewne.Co do reszty to nie widać nic szczególnego (także współtwórca programu nie widzi w tym logu nic szczególnego).Wykonamy jeszcze jeden test.Pobierz Wireshark http://www.wireshark.org/ Uruchom program i wybierz kartę - ponieważ to jest bezprzewodówka więc będziesz musiał wybrać jedna z kart microsoft - po adresie IP poznasz czy odpowiada to twojemu adresowi IP czy nie (w konsoli wpisać ipconfig by poznać aktualny adres IP) Po wyborze karty włącz śledzenie,uruchom klasyczne Windows Update>>Wyszukaj aktualizacje,,gdy ten zwróci błąd to zatrzymaj śledzenie w Wireshark,zapisz log spakuj go czymś,shostuj na jakiś darmowy otwarty serwer np speedyshare.com i wklej tu linka do tego loga. Szczegóły obsługi programu masz w manualu,rozdział : "Capturing Live Network Data" Odnośnik do komentarza
dziabong Opublikowano 20 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Zrobione => link. Mam nadzieję, że nic nie namieszałem. Odnośnik do komentarza
Flavius Opublikowano 20 Lutego 2012 Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Zrobione => link. Mam nadzieję, że nic nie namieszałem. Skonsultuję to jeszcze z Dawidem ale mi to wygląda na niedziałający u ciebie protokół TLS.Według mnie z loga wynika że twój komp usiłuje się łączyć z serwerem MS ale nie wysyła uwierzytelnienia i jest przez serwer odrzucany.Póki co niewiele wiem na ten temat -może on być spowodowany brakiem certyfikatów lub brakiem uprawnień dla konta NetworkService... EDIT Pobierz program RegBak http://www.acelogix.com/freeware.html wykonaj za jego pomocą kopie rejestru - mnie będą interosować pliki SOFTWARE oraz SYSTEM spakuj czymś te pliki shostuj na jakiś otwarty darmowy serwer a linka do shostowanych plików podeślij mi na PM. Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2012 Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Nie mam wprawdzie Twojego rejestru dziabong, ale mam ciągle rejestr Markiza. U niego certyfikaty były reinstalowane. Ale ... Przejrzałam jego rejestr po raz drugi i są różnice w uprawnieniach tego klucza i wszystkich jego podkluczy: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates Spróbuj załadować oryginalne rekursywne uprawnienia na ten klucz i podklucze przez SetACL. Nie mam Twojej kopii rejestru, to doślij mi też to dopasuję do zawartości, bo mimo wszystko między moimi kluczami a Markiza są subtelne różnice i nie mogę importować rzeczy nieistniejących. EDIT Dzięki uprzejmości Flaviusa mam kopię. Pobierz SetACL, ze środka z katalogu x86 wypakuj SetACL.exe i umieść w C:\Windows. Do Notatnika wklej: "machine\SOFTWARE\Microsoft\SystemCertificates",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot",4,"O:BAD:AI(A;;KA;;;S-1-5-80-242729624-280608522-2219052887-3187409060-2225943459)(A;OICIIO;GA;;;S-1-5-80-242729624-280608522-2219052887-3187409060-2225943459)" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\02FAF3E291435468607857694DF5E45B68851868",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\23E594945195F2414803B4D564D2A3A3F5D88B8C",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\317A2AD07F2B335EF5A1C34E4B57E8B7D8F1FCA6",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\3921C115C15D0ECA5CCB5BC4F07D21D8050B566A",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4F65566336DB6598581D584A596C87934D5F2AB4",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\503006091D97D4F5AE39F7CBE7927D7D652D3431",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\6252DC40F71143A22FDE9EF7348E064251B18118",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\627F8D7827656399D27D7F9044C9FEB3F33EFA9A",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\742C3192E607E424EB4549542BE1BBC53E6174E2",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\85371CA6E550143DCE2803471BDE3A09E8F8770F",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\91C6D6EE3E8AC86384E548C299295C756C817B81",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\97817950D81C9670CC34D809CF794431367EF474",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\97E2E99636A547554F838FBA38B82E74F89A830A",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\99A69BE61AFE886B4D2B82007CB854FC317E1539",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\9FAD91A6CE6AC6C50047C44EC9D4A50D92D84979",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\B1BC968BD4F49D622AA89A81F2150152A41D829C",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\D23209AD23D314232174E40D7F9D62139786633A",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DA40188B9189A3EDEEAEDA97FE2F9DF5B7D18A41",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46",4,"O:NSD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\CRLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\CTLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA\Certificates",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA\Certificates\109F1CAED645BB78B3EA2B94C0697C740733031C",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA\Certificates\D559A586669B08F46A30A133F8A9ED3D038E2EA8",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA\Certificates\FEE449EE0E3965A5246F000E87FDE2A065FD89D4",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA\Certificates\3ADD0E7EA2B284FF459E137365B482D188DFBF8A",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA\Certificates\E5958D48FE10D7340311E8C03BB22940DABA2DA3",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs\A377D1B1C0538833035211F4083D00FECC414DAB",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\CA\CTLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\1916A2AF346D399F50313C393200F14140456616",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\2B84BFBB34EE2EF949FE1CBE30AA026416EB2216",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\305F8BD17AA2CBC483A4C41B19A39A0C75DA39D6",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\367D4B3B4FCBBC0B767B2EC0CDB2A36EAB71A4EB",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\40AA38731BD189F9CDB5B9DC35E2136F38777AF4",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\43D9BCB568E039D073A74A71D8511F7476089CC3",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\471C949A8143DB5AD5CDF1C972864A2504FA23C9",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\51C3247D60F356C7CA3BAF4C3F429DAC93EE7B74",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\5DE83EE82AC5090AEA9D6AC4E7A6E213F946E179",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\61793FCBFA4F9008309BBA5FF12D2CB29CD4151A",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\637162CC59A3A1E25956FA5FA8F60D2E1C52EAC6",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\63FEAE960BAA91E343CE2BD8B71798C76BDB77D0",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\6431723036FD26DEA502792FA595922493030F97",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\7D7F4414CCEF168ADF6BF40753B5BECD78375931",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\80962AE4D6C5B442894E95A13E4A699E07D694CF",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\86E817C81A5CA672FE000F36F878C19518D6F844",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\8E5BD50D6AE686D65252F843A9D4B96D197730AB",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9845A431D51959CAF225322B4A4FE9F223CE6D15",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\B533345D06F64516403C00DA03187D3BFEF59156",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\B86E791620F759F17B8D25E38CA8BE32E7D5EAC2",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\C060ED44CBD881BD0EF86C0BA287DDCF8167478C",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\CEA586B2CE593EC7D939898337C57814708AB2BE",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\D018B62DC518907247DF50925BB09ACF4A5CB3AD",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F8A54E03AADC5692B850496A4C4630FFEAA29D83",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\CRLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Disallowed\CTLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Homegroup Machine Certificates",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Homegroup Machine Certificates\Certificates",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Homegroup Machine Certificates\Certificates\E8FE54399738A92C1AC841CD8901DD352295C285",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Homegroup Machine Certificates\CRLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\Homegroup Machine Certificates\CTLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\MY",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\MY\Certificates",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\MY\CRLs",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\MY\CTLs",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\18F7C1FCC3090203FD5BAA2F861A754976C8DD25",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\245C97DF7514E7CF2DF8BE72AE957B9E04741E85",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\7F88CD7223F3C813818C994614A89C99FA3B5247",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\9F78E7FFC487BF3E88B1537C5B8F868AA07E48E0",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A43489159A520F0D93D032CCAF37E7FE20A8B419",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\BE36A4562FB2EE05DBB3D32323ADF445084ED656",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\CDD4EEAE6000AC7F40C3802C171E30148030C072",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\CRLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\CTLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SmartCardRoot",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SmartCardRoot\Certificates",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SmartCardRoot\CRLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SmartCardRoot\CTLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SPC",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\08D8607074D252214E4550EB31307EAB9F20D018",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\2806F097F28A9E44FB0DC79C85D97EF9249C3CFC",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\7A59F84E288ED0218B06E4225893AEDC1E8BBE1A",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\884885E5912E1BA38EE26E19B8CD07AE7A95B49B",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\F850038E4FAC5F83DD0D13078A03AD2E84A16312",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SPC\CRLs",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\SPC\CTLs",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\trust",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\trust\Certificates",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\trust\CRLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\trust\CTLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedDevices",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedDevices\Certificates",4,"O:BAD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedPeople",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedPeople\Certificates",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedPeople\CRLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedPeople\CTLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher\Certificates",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher\CRLs",4,"O:SYD:AI" "machine\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher\CTLs",4,"O:SYD:AI" Zapisz jako fix.txt. Plik przekopiuj wprost na C:\. Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator, wpisz komendę: SetACL -on "HKLM\SOFTWARE\Microsoft\SystemCertificates" -ot reg -actn restore -bckp C:\fix.txt Zresetuj system. No i zobaczymy .... EDIT2 hmmm, jeszcze widzę podobną historię w całych kluczach (czyli tylko grupa Wszyscy): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates Co więcej .... wygląda na to, że praktycznie cała gałąź SOFTWARE tak wygląda ... No to jest gorsze sprawdzanie, a reset tak dużego pola to grubsza robota ..... . Odnośnik do komentarza
dziabong Opublikowano 21 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Nie wiedziałem czy mam wykonywać instrukcje z "EDIT" czy nie, w związku z "EDIT2". Pomyślałem, że spróbuję. Niestety za pierwszym razem skrypt zostął wykonany bez uprawnień administratora. Po dłużdszym namyśle doszedłem do wnosku, że skoro to jest kwestia zmiany ustawień to nic się nie stanie jak to co się dało radę zmienić bez uprawnień zmienię jeszcze raz na to samo i puściłem skrypt jeszcze raz - tym razem jak trzeba (mam nadzieję, że słusznie). Załączam odpowiedź lini komend na skrypt bez uprawnień i z. No i niestety windows update reaguje dokładnie identycznie jak na początku. SetACL_bez_ua.txt SetACL_z_ua.txt Odnośnik do komentarza
Flavius Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Tak się pechowo składa że masz porąbane uprawnienia niemal wszędzie na SOFTWARE nawet HKLM\SOFTWARE masz uprawnienia WSZYSCY - full control (teraz to dopiero zauważyłem więc fix naprawił tylko niewielki skrawek rejestru ) i nic więcej,nie wiem czy da się coś z tym zrobić ale poczekaj... Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Tak, niestety. Flavius ja też się zorientowałam za późno, patrzyłam tylko na jeden klucz ... To musiał zrobić rootkit. U Markiza jest identyczne wyzerowane w całym SOFTWARE... No cóż, ja nie widzę metody polubownej na naprawę tak rozległych szkód. Tu jest możliwy reset całego SOFTWARE przez SetACL, ale to jest koszmarna robota, bo trzeba porównać rejestry między sobą (tyle kluczy!) i dopasować plik.... Ktoś z nas może się owszem tego podjąć, tylko wyniki to nie za szybko. Ponadto, nie mam pewności czy nie ma naruszeń uprawnień i dla katalogów i plików. ZeroAccess robi poważne szkody i resetuje ACL obiektów do których się dobiera. Mogło zostać uszkodzone więcej niż są w stanie to pokazać logi. . Odnośnik do komentarza
dziabong Opublikowano 21 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Hmmm... Czy podane przez Flaviusa alternatywne narzędzie do pobierania update'ów, odpalane ręcznie co jakiś czas, pozwala mi utrzymać system we względnej aktualności? Jeśli tak to może szkoda Waszego czasu jeśli to taka karkołomna analiza. Komputera można używać, aktualizował system będę na razie ręcznie, a jak kiedyś znajdę czas to zrobie format... Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Czy podane przez Flaviusa alternatywne narzędzie do pobierania update'ów, odpalane ręcznie co jakiś czas, pozwala mi utrzymać system we względnej aktualności? Owszem, to obejście pozwoli aktualizować system. Nie jestem jednak pewna co będzie na dłuższą metę, ponieważ u Markiza na końcu jeszcze odmówiło Wat posłuszeństwa, błędy licencji (obszedł przez "legalizator"). Jeśli tak to może szkoda Waszego czasu jeśli to taka karkołomna analiza Już się za to i tak zabraliśmy. Piszę na temat czego innego. Przyszedł mi jeszcze jeden pomysł do głowy. Właśnie mam temat z ZeroAccess w robocie i tam wyszło na jaw, że rootkit zresetował ACL katalogu C:\Users\Konto użytkownika\AppData. W tym katalogu jest głębiej CryptNetUrlCache. Sprawdź czy jesteś w stanie otworzyć tę ścieżkę, czy przypadkiem nie pojawi się "Odmowa dostępu" przy AppData lub głębiej. . Odnośnik do komentarza
Flavius Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Proponuję spróbowayć ale dopiero po sugestii @Picasso - wprawdzie komendy robią tam i tu i ówdzie błędy z przywracaniem uprawniem ale co ciekawe twój szkodnik też tam się wyrżnął i nie zmienił ich - sprawdzając losowo klucze. 1.Pobierz tego ogromnego paka http://netdiag.pl/flavius/Slog.txt i umieść go na dysku C: 2.Uruchom cmd.exe w trybie administratora i wykonaj komendy (najlepiej kopiuj i wklej) setacl -on "HKLM\SOFTWARE" -ot reg -actn setprot -op "dacl:np;sacl:nc" -rec yes -actn setowner -ownr "n:S-1-5-32-544;s:y" >C:\log1.txt <enter> setacl -on "HKLM\SOFTWARE" -ot reg -actn restore -bckp "C:\Slog.txt" >C:\log2.txt <enter> logi log1.txt,log2.txt shostuj i pokaż nam.Niezależne czy wspomniany wyżej problem z AppData jest istotny czy nie uprawnienia trzeba zresetować. Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Nasunął mi się jeszcze jeden trop. Rootkit grzebie także w folderze C:\Windows\ServiceProfiles (KLIK) Wykrytych plików: 2C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Nie wykonano akcji.C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Nie wykonano akcji. Tam gdzie grzebie można się spodziewać rekonfiguracji uprawnień. W ServiceProfiles m.in. są takie foldery jak CryptnetUrlCache, SoftwareProtectionPlatform, SystemCertificates. Dziabong podaj spis uprawnień. W cmd uruchomionym jako Administrator wklej komendę: SetACL -on "C:\Windows\ServiceProfiles" -ot file -actn list -lst "f:sddl;w:d,o;i:y;s:y" -rec yes -bckp C:\lista.txt Pokaż plik C:\lista.txt. . Odnośnik do komentarza
dziabong Opublikowano 28 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2012 Właśnie mam temat z ZeroAccess w robocie i tam wyszło na jaw, że rootkit zresetował ACL katalogu C:\Users\Konto użytkownika\AppData. W tym katalogu jest głębiej CryptNetUrlCache. Sprawdź czy jesteś w stanie otworzyć tę ścieżkę, czy przypadkiem nie pojawi się "Odmowa dostępu" przy AppData lub głębiej. Mam dostęp do całej ścieżki. pliki, o które prosiliście =>link Odnośnik do komentarza
picasso Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 dziabong nic z tego dla mnie nie wynika. Widzę też, że już wyresetowałeś SOFTWARE, więc tylko informacyjnie aktualizacja do tej usterki: To się okazało prostsze niż się wydaje. Po przyjrzeniu się: rootkit nie ruszył ani dziedziczenia ani specjalnych kont dostępowych (tam gdzie np. TrustedInstaller czy CryptSvc mają być, to tak pozostało). Tu wystarczy tylko reset na odgórnej gałęzi SOFTWARE. Po nałożeniu uprawnień tylko na SOFTWARE, wszystkie klucze z dziedziczeniem automatycznie przejmują ustawienie i nie trzeba im regulować uprawnień indywidualnie. Cytat z innego tematu: fix.txt o zawartości: "machine\SOFTWARE",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KA;;;BA)(A;CIIO;GA;;;CO)" Ładujesz w cmd uruchomionym jako Administrator komendą: SetACL -on "HKLM\SOFTWARE" -ot reg -actn restore -bckp C:\fix.txt W innym temacie to zrobiłam i w efekcie uprawnienia są już poprawne prawie wszędzie, bo sprawdzałam ponownie kopię rejestru po wykonaniu zadania. Po tej komendzie to zostało tylko na kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID dopisane do zestawu uprawnienie dla Wszyscy, ale typu niedziedziczonego i nie jest przejęte przez podklucze (i tu wystarczyłoby tylko usunąć ręcznie Wszystkich, nawet SetACL do tego niepotrzebne). To nic nie zmieniło jednak w kwestii błędu WU u delikwenta. I nie tu chyba leży pies pogrzebany. Kolega z zagranicznego forum nie potwierdził tego jako wspólny mianownik dla maszyn z tym błędem WU po ZeroAccess. Ten reset SOFTWARE rzeczywiście nie występuje na każdym systemie naruszonym przez rootkita, w mojej wirtualnej maszynie też nie nastąpiło to zjawisko po zapuszczeniu ZeroAccess. Swoją drogą, nie potrafię tego błędu WU żadnym sposobem odtworzyć u siebie, by mieć jakikolwiek żywy materiał do diagnostyki. . Odnośnik do komentarza
dziabong Opublikowano 5 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2012 Zastanawiam się jakie jeszcze istotne okoliczności towarzyszyły infekcji i jedyne co mi przychodzi do głowy to nieszczęsny combofix użyty na etapie szukania pomocy na elektrodzie, który zawiesił się, nie zostawił raportu i właściwie nie wiadomo co zrobił, ale to nic nowego, bo pisałem o tym. Odnośnik do komentarza
picasso Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 Nie sądzę, by to miało związek. A takie zwieszki ComboFix podczas prób usuwania rootkita, to też osobiście przerabiałam na wirtualu, próbując odtworzyć błąd WU, ale jak mówię nigdy ten błąd się nie pojawił na moich maszynach. I nie potrafię wychwycić schematu, kiedy pojawia się usterka. Mogę jeszcze powiedzieć, że ekspert z zachodu po przetrenowaniu metod naprawy, które w gruncie rzeczy i my zastosowaliśmy, kontaktował się bezpośrednio z pomocą techniczną MS i też nic nie wskórali. Ponadto mówił, że w jednym przypadku, którym się zajmował, komenda DISM wcale nie zadziałała, wywaliło ten sam błąd "zaufania" na jednym z wewnętrznych komponentów CAB. W takiej sytuacji ja nie wiem co można uznać za pewnik, gdyż pewne akcenty z Twojego przypadku nie mają potwierdzenia w innych przypadkach. . Odnośnik do komentarza
dziabong Opublikowano 5 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2012 Rozumiem, że to kończy temat: Póki co ręczna aktualizacja a docelowo format. Bardzo dziękuję za poświęcony ogrom czasu Tobie i Flaviusowi. Odnośnik do komentarza
Flavius Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 Rozumiem, że to kończy temat: Póki co ręczna aktualizacja a docelowo format. Bardzo dziękuję za poświęcony ogrom czasu Tobie i Flaviusowi. Można spróbować jeszcze jednego choć oczywiście gwarancji nie ma że cokolwiek znajdziemy (Dawid zresztą to też sugerował wcześniej) Uruchomić PM przy jednoczesnej probie Windows Update 1.Pobierz PM http://technet.microsoft.com/en-us/sysinternals/bb896645 i uruchom go 2.Uruchom Windows Update i gdy ten zwróci błąd zapisz log w PM w formacie *.PML (File>>Save as),spakuj go czymś i shostuj. Odnośnik do komentarza
dziabong Opublikowano 10 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2012 Zrobione => link Odnośnik do komentarza
Flavius Opublikowano 11 Marca 2012 Zgłoś Udostępnij Opublikowano 11 Marca 2012 Jest problem z uprawnieniami do podfolderów w systemprofile - co najmniej do Mycertificaates ale ja dam prewencyjnie do wszytkich tamtych podfolderów pobierz ten plik Log4.txt i umieść go na dysku C: nastepnie uruchom cmd.exe w trybie admina i wklep komendę setacl -on "C:\Windows\System32\config\systemprofile" -ot file -actn restore -bckp "C:\log4.txt" >C:\raport.txt po operacji pokaż plik raport.txt Odnośnik do komentarza
dziabong Opublikowano 11 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2012 Zrobione.... albo odmowa, albo nie można znaleźć pliku. Cmd napewno było jako admin raport.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się