Pokiereszowane usługi w rejestrze

[ciemcio]

Witam,

Od soboty mam poważny problem z laptopem(windows 7 x64)

Problem polega na tym, iż część usług podczas startu systemu nie uruchamia się(zapora,dostęp do internetu i zapewne kilka innych które są wymagane do prawidłowego działania systemu).

Gdy próbuje ręcznie odpalić usługi dostaje komunikat "Odmowa dostępu"

W załączeniu logi z OTL.

Proszę o pomoc.

Extras.Txt

OTL.Txt

[picasso]

Problem polega na tym, iż część usług podczas startu systemu nie uruchamia się(zapora,dostęp do internetu i zapewne kilka innych które są wymagane do prawidłowego działania systemu).

Gdy próbuje ręcznie odpalić usługi dostaje komunikat "Odmowa dostępu"

 

Wypisz dokładnie jakich usług to dotyczy. Dodaj też log z Farbar Service Scanner, zaznacz wszystkie opcje do skanowania.

 

 

---

Nie widzę tu żadnych oznak infekcji, temat przesuwam do działu Windows 7. Tylko mam pytanie, te zadania w Harmonogramie to Twoja robota (?):

 

[2011-05-05 15:58:46 | 000,000,734 | ---- | M] () -- C:\Windows\Tasks\job_test.job
[2011-05-10 09:01:47 | 000,000,692 | ---- | M] () -- C:\Windows\Tasks\sdf.job
[2011-05-05 20:01:27 | 000,000,724 | ---- | M] () -- C:\Windows\Tasks\test.job
[2011-05-05 19:42:16 | 000,000,772 | ---- | M] () -- C:\Windows\Tasks\test4.job

 

I drobnostki do korekty:

 

1. Odinstaluj śmiecia paskowego SweetPacks Toolbar for Internet Explorer 4.4.

 

2. W Google Chrome, Firefox i Internet Explorer w menedżerze wyszukiwarek usuń wyszukiwarkę kierującą do klit.startnow.com. W Firefox w pasku adresów wklep about:config, wyszukaj ciąg keyword.URL i z prawokliku zresetuj do poziomu domyślnego. Skasuj te pliki z dysku:

 

[2012-02-02 13:03:29 | 000,003,915 | ---- | M] () -- C:\Users\pchaber\AppData\Roaming\Mozilla\Firefox\Profiles\ppmb5h20.default\searchplugins\sweetim.xml
[2011-10-22 16:27:29 | 000,001,390 | ---- | M] () -- C:\Users\pchaber\AppData\Roaming\Mozilla\Firefox\Profiles\ppmb5h20.default\searchplugins\yahoo-zugo.xml

 

3. Skasuj wszystkie pliki modelu C:\Users\pchaber\AppData\Local\Temp*.html. To śmieci GG10. Czyszczenie nie ma charakteru permanentnego. Ponowne uruchomienie GG10 znów nabije to śmietnisko.

 

 

 

 

 

.

[ciemcio]

Co do usług to udało mi się zlokalizować takie:

Zapora systemu windows(błąd 1068)

Podstawowy aparat filtrowania(bład 5 - odmowa dostępu)

Rozpoznawanie lokalizacjiw sieci (-1073741288)

Usługa klient DHCP(odmowa dostępu)

 

 

Testy harmonogramów jak najbardziej moja robota.

FSS.txt

[picasso]

Być może określone konta dostępowe są usunięte z zestawu uprawnień. Na początek spróbuj nałożyć oryginalne uprawnienia dla wymienionych przez Ciebie usług.

 

1. Dla usług BFE + MpsSvc akcja z SetACL opisana w ustępie "Rekonstrukcja uprawnień kluczy": KLIK. Dodaję zestawy do SetACL dla pozostałych usług:

 

Dhcp

 

"machine\SYSTEM\CurrentControlSet\Services\Dhcp",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;CCLCSWRPRC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;CCLCSWRPRCGR;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Configurations",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KA;;;NO)(A;CIIO;GA;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Linkage",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Linkage\Disabled",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;CCLCSWRPRC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;CCLCSWRPRCGR;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KA;;;NO)(A;CIIO;GA;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\1",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\15",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\220",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\3",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\44",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\46",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\47",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\6",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\DhcpNetbiosOptions",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parametersv6",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;CCLCSWRPRC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;CCLCSWRPRCGR;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parametersv6\Options",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KA;;;NO)(A;CIIO;GA;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parametersv6\Options\23",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Parametersv6\Options\24",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;KR;;;NS)(A;CIIO;GR;;;NS)(A;;KA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CIIO;GA;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;;KR;;;LS)(A;CIIO;GR;;;LS)(A;;KR;;;NO)(A;CIIO;GR;;;NO)"
"machine\SYSTEM\CurrentControlSet\Services\Dhcp\Security",4,"O:BAD:AI"

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\Dhcp" -ot reg -actn restore -bckp C:\fix.txt

 

 

NlaSvc

 

"machine\SYSTEM\CurrentControlSet\Services\NlaSvc",4,"O:BAD:AI"

"machine\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCLCRP;;;IU)(A;;CCLCSWRC;;;SU)(A;;CCLCSWRPRC;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWRPRC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)"
"machine\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet",4,"O:BAD:PAI(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPRC;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)"
"machine\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\ManualProxies",4,"O:BAD:P(A;NP;DC;;;IU)(A;CI;KR;;;BU)(A;CI;KA;;;BA)(A;CI;KA;;;SY)(A;;CCDCLCSWRPRC;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)"
"machine\SYSTEM\CurrentControlSet\Services\NlaSvc\Security",4,"O:BAD:AI"

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc" -ot reg -actn restore -bckp C:\fix.txt

 

2. Po nałożeniu uprawnień przez SetACL zresetuj system i zobaczymy co się wydarzy.

 

 

 

.

[ciemcio]

Po rekonstrukcji kluczy część usług wstała ale i zapora i dhcp dalej mają jakiś problem.

W logach systemowych po restarcie mam teraz następujące błędy:

Wystąpił błąd inicjowania protokołu DHCPv4. Kod błędu: 0x5
Wystąpił błąd zatrzymywania usługi klienta Dhcpv4. Kod błędu: 0x5. Wartość flagi ShutDown: 0
Usługa Klient DHCP zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.
Usługa Zapora systemu Windows zakończyła działanie; wystąpił specyficzny dla niej błąd Odmowa dostępu..
Usługa Usługa zasad diagnostyki zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.
Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie; wystąpił następujący błąd: %%-2147024891

[picasso]

Czy przy nakładaniu uprawnień na klucz Dhcp nie wystąpiły aby jakieś błędy?

 

1. Załaduj uprawnienia kolejnych kluczy:

 

SharedAccess

 

Temat z forum: KLIK. W temacie jest tylko część klucza SharedAccess resetowana, poszerzam.

 

"machine\SYSTEM\CurrentControlSet\Services\SharedAccess",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy",4,"O:BAD:AI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OICIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch",4,"O:BAD:AI(A;CI;CCDC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2",4,"O:BAD:AI(A;CI;CCDC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy",4,"O:BAD:AI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OICIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Logging",4,"O:BAD:AI"

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" -ot reg -actn restore -bckp C:\fix.txt

 

DPS

 

"machine\SYSTEM\CurrentControlSet\Services\DPS",4,"O:BAD:PAI(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCSWRPWPRC;;;BA)(A;CIIO;GXGR;;;BA)(A;;CCSWRPWPRC;;;BU)(A;CIIO;GXGR;;;BU)"

"machine\SYSTEM\CurrentControlSet\Services\DPS\Parameters",4,"O:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464D:PAI(A;;KA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;CIIO;GA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;KR;;;SY)(A;CIIO;GR;;;SY)(A;;KR;;;BA)(A;CIIO;GR;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)"
"machine\SYSTEM\CurrentControlSet\Services\DPS\Security",4,"O:BAD:AI"

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\DPS" -ot reg -actn restore -bckp C:\fix.txt

 

FDResPub

 

"machine\SYSTEM\CurrentControlSet\Services\FDResPub",4,"O:BAD:AI"

"machine\SYSTEM\CurrentControlSet\Services\FDResPub\Parameters",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\FDResPub\Security",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\FDResPub\ServiceData",4,"O:BAD:AI(A;;CCDCLCSWRPRC;;;LS)"

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\FDResPub" -ot reg -actn restore -bckp C:\fix.txt

 

2. Po wszystkim zresetuj system. Jeżeli nadal będą się ujawniać "Odmowy dostępu", stwórz kopię rejestru za pomocą RegBack, z kopii wybierz plik SYSTEM, do ZIP > na hosting > podeślij tu do analizy. Ta analiza może potrwać dłużej.

 

 

Poza tym, objawy mi się nie podobają ... taka masowa utrata uprawnień kluczy wystąpiła na forum na skutek infekcji: KLIK. W temacie wyszło na jaw, że zostały wyzerowane wszystkie uprawnienia w SYSTEM. Naprawa kosztowała mnie potworną ilość czasu, odtwarzanie klucz po kluczu wszystkich uprawnień, gdyż na początku nie zorientowałam się jak dużo uszkodzone i brnęłam w naprawę, a po tylu wysiłkach postanowiłam jednak dokończyć ręcznie. Jeżeli coś takiego tu zdefiniuję przy przeglądaniu rejestru, tak porażająca usterka to kwalifikacja na całościowe Przywracanie systemu.

 

 

 

.

[ciemcio]

Po zaktualizowaniu SharedAccess z posta powyżej pozostała jedna usługa, z którą jest problem(Dhcp).Sam skrypt nakładania uprawnień nie wykazuje błędów ale dla pewności wykonam go ponownie.

Dziennik pokazuje jeszcze: "Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu:

Odmowa dostępu."

Tak czy siak jest już za co dziękować.

[picasso]

Ja jednak proszę o kopię rejestru SYSTEM, uzyskam pełny obraz uprawnień i będę mogła sprawdzić uprawnienia wielu kluczy bez strzelania w ciemno fiksami SetACL.

[ciemcio]

ok poszło hxxp://www.sendspace.com/file/qve7n2

[picasso]

Nie przejrzałam zbyt dokładnie, ale już widzę, że to niestety jest historia jak w zlinkowanym temacie z systemem po ataku Conficker. Po Twoim Windows przeszła torpeda. Praktycznie wszędzie są wyresetowane uprawnienia, o wiele więcej usług i innych kluczy ma uszkodzenia i usunięte specjalne konta dostępowe z uprawnień, nie tylko to co definiujesz via Dziennik zdarzeń. Przyczyna "Odmowy dostępu" dla Dhcp jest znana (konto Dhcp nie ma dostępu do pewnych sfer), tylko że tu już nie tylko o Dhcp chodzi. Musi być odtworzona cała struktura uprawnień w pliku SYSTEM.

 

Czy masz punkt Przywracania systemu pochodzący sprzed momentu wystąpienia usterki?

 

 

.

[ciemcio]

Niestety ochrona systemu jest wyłączona.

Czy jest jakis sposób aby te uprawnienia "zaimportować" w całości(z innego komputra)?

[picasso]

Czy jest jakis sposób aby te uprawnienia "zaimportować" w całości(z innego komputra)?

 

Przecież sposób jest, w temacie z Confickerem zostało to przeze mnie wykonane = reset przez SetACL wszystkich kluczy. Tylko, że to jest czasochłonna robota, ponieważ nie sztuka zrzucić uprawnienia gałęzi SYSTEM przez SetACL z mojego systemu (wykonane błyskiem), tylko sztuka dopasować liczbę kluczy między moim a Twoim systemem, ponieważ nie wszystko jest identyczne (i to porównanie klucz po kluczu jest bardzo czasochłonne).

 

Skoro Przywracanie systemu jest wyłączone (to było celowe?), nie pozostaje mi nic innego niż zabrać się za zrobienie pliku rekursywnie resetującego SYSTEM w dół. Dziś tego nie dam rady jednak zrobić.

 

 

 

.

[ciemcio]

Ok dzieki za wsparcie.

Jeśli chodzi o przywracanie to nie pamiętam czy wyłączałem. Generalnie system działa już ponad 2 lata bez zadnych reinstalacji i problemów tak więc nigdy nie korzystałem z tej opcji.

[picasso]

Spędziłam calą noc nad materiałem i zrobiłam plik naprawczy. Plik omija pewne rzeczy, których nie ma potrzeby resetować, tzn. kopie ControlSet00X (Failed w ogóle nie brana pod uwagę + Ostatnia poprawna konfiguracja, którą i tak nadpisze pomyślny boot).

 

1. Plik fix.txt do pobrania: KLIK. Komenda wdrażająca reset:

 

SetACL -on "HKLM\SYSTEM" -ot reg -actn restore -bckp C:\fix.txt

 

Plik jest potężny, przetwarza koszmarną ilość kluczy. Rekursywny reset całego SYSTEM może zająć nawet do kilku minut.

 

2. Resetujesz system. Potwierdź ustąpienie "Odmowy dostępu".

 

 

Jeśli chodzi o przywracanie to nie pamiętam czy wyłączałem. Generalnie system działa już ponad 2 lata bez zadnych reinstalacji i problemów tak więc nigdy nie korzystałem z tej opcji.

 

Nie polecam wyłączać Przywracania systemu na Windows 7. Cenna funkcja ratunkowa i możliwa do uruchomienia, gdy system w ogóle już nie startuje (WinRE). Gdybyś miał włączone, naprawa powyższej usterki odbyłaby się w sposób szybki i bez kozackich sztuk. Gdy ukończymy naprawy, aktywuj Ochronę dla dysku systemowego, by mieć w zapasie opcję ratowniczą.

 

 

 

.

[ciemcio]

Po około 20 sekundach rekonstrukcji zwróciło poniższy błąd:

[picasso]

Przepraszam, wkradła mi się literówka.

 

"machine\SYSTEM\CurrentControlSet\services\sdbus",4,"O:SAD:AI"

"machine\SYSTEM\CurrentControlSet\services\sdbus\Parameters",4,"O:SYD:AI"

 

Pobieraj poprawiony plik: KLIK.

 

 

 

.

[ciemcio]

Bogato! Dhcp wstało. Faktycznie sama rekonstrukcja trwała około 7 minut.

Jakieś kroki finalizujące temat oprócz włączenia ochrony systemu?

 

Btw. Wielkie dzięki za pomoc!

[picasso]

Jakieś kroki finalizujące temat oprócz włączenia ochrony systemu?

 

Nic szczególnego mi się nie nasuwa na myśl. Weryfikowałam już raporty z OTL. Ale podejrzana sprawa, że nastąpiła tak masowa utrata uprawnień. Nie przypominasz sobie w którym momencie to nastąpiło / związek z określonymi akcjami?

 

 

 

.

[ciemcio]

W piątek 30.03 system pracował normalnie. W pracy korzystałem z pendriva kolegi i może tu był chochlik. W sobote rano po uruchomieniu system był już posiekany.

Zastanawiające jest również to że serwer, który był przygotowany dla jednego z klientów do uruchomienia produkcyjnego po restarcie w piątek wieczorem(dołożenie ramu) również padł(kolega od którego pożyczyłęm pendriva jest tam kierownikiem projektu). Uruchomienie miało być w poniedziałek więc skończyło się na przesunięciu startu na maj. Do tej pory osoba, która próbowała reanimować ten serwer nie jest w stanie go żaden sposób uruchomić.

Zastanawiam się czy jest sposób(narzędzia) aby namierzyć czy rejestr na serwerze również jest "posiekany"(Windows Server 2008 R2)?

[picasso]

Ten "pendrive kolegi" wydaje się prawdopodobny. W temacie z Confickerem szkody w uprawnieniach również wystąpiły po podpięciu pendrive.

 

 

Zastanawiające jest również to że serwer, który był przygotowany dla jednego z klientów do uruchomienia produkcyjnego po restarcie w piątek wieczorem(dołożenie ramu) również padł(kolega od którego pożyczyłęm pendriva jest tam kierownikiem projektu). Uruchomienie miało być w poniedziałek więc skończyło się na przesunięciu startu na maj. Do tej pory osoba, która próbowała reanimować ten serwer nie jest w stanie go żaden sposób uruchomić.

 

Jeżeli po dołożeniu RAM bezpośrednią konsewencją brak startu, to wygląda to na problem sprzętowy.

 

 

 

.