Уточните, если статья на сайте Microsoft, помогла справиться с проблемой?
В случае если нет, покажите результат выполнения команды в командной строке (cmd.exe)
Код:sc query windefend
Уточните, если статья на сайте Microsoft, помогла справиться с проблемой?
В случае если нет, покажите результат выполнения команды в командной строке (cmd.exe)
Код:sc query windefend
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
К сожалению статья не помогла. Даже несколько версий из сети попробовал, всё безрезультатно: Ошибка прав доступа 0x80070005.
Вот результат команды:
ofoj5FP.png
Так не хочется систему откатывать в исходное состояние, но всё идёт к этому.
Последний раз редактировалось Hekk0; 18.12.2015 в 10:20.
Уточните если в службах (services.msc) была включена служба Служба Защитника Windows (windefend), для этого покажите результат следующей команды в командной строке(cmd.exe):
Код:reg query HKLM\SYSTEM\CurrentControlSet\services\WinDefend | findstr "Start"
P.S. Cлужба Служба Защитника Windows обычно переход в состояние отключенной, в случае если установлен сторонний антивирусный продукт.
Также проверьте включена ли зависимая служба Удаленный вызов процедур (RPS).
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
В том то и дело, что не получается включить Службу Защитника Windows, код ошибки писал неоднократно выше. Я не понимаю с чего вдруг Защитник вообще выключился и перестал вызываться, аномалия какая-то. Да и в поддержку не напишешь, продукт не лицензионный. Именно после этого я и проверил систему, а после и создал эту тему.Сообщение от SQ
Никогда ничем не пользовался, кроме Защитника Windows, бывшего Microsoft Security Essentials.
Данная служба включена.
А вообще, в ответ на команду выше, система выдает: Start REG_DWORD 0x2
Выполните следующую команду в Powershell в привилегированном режиме (Run as Administrator)
или внесите следующие изменения в реестре:Код:Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\WinDefend -Name Start -Value 0x00000003
После этого перегрузите компьютер.Код:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "Start"=dword:00000003
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
При попытке выполнить команду в Powersell с правами администратора получаю:
При изменении параметра реестра вручную и через .reg файл:Код:Set-ItemProperty : Попытка выполнить несанкционированную операцию. строка:1 знак:1 + Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\WinDef ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (Start:String) [Set-ItemProperty], UnauthorizedAccessException + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.SetItemPropertyCommand
Код:Не удаётся изменить "Start". Ошибка при записи нового значения параметра.
Выполните следующую команду в Powershell в привилегированном режиме (Run as Administrator)
Код:Get-Acl -path HKLM:\SYSTEM\CurrentControlSet\Services\WinDefend | Format-list
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Выполнил, но вам, наверное, ответ от Powershell нужен:
Код:Path : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend Owner : BUILTIN\Администраторы Group : G:S-1-5-21-397955417-626881126-188441444-513 Access : BUILTIN\Пользователи Allow FullControl BUILTIN\Пользователи Allow ReadKey BUILTIN\Администраторы Allow FullControl NT AUTHORITY\СИСТЕМА Allow FullControl СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Allow FullControl ЦЕНТР ПАКЕТОВ ПРИЛОЖЕНИЙ\ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ Allow ReadKey Audit : Sddl : O:BAG:S-1-5-21-397955417-626881126-188441444-513D:AI(A;CI;KA;;;BU)(A;CIID;KR;;;BU)(A;CIID;KA;;;BA)(A;CIID;KA;; ;SY)(A;CIIOID;KA;;;CO)(A;CIID;KR;;;AC)
- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
P.S. самостоятельно ничего не удаляйте.
- Также попробуйте выполнить изменения в реестре в безопасном режиме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
В безопасном режиме удалось изменить параметр Start в реестре с 2 на 3, но это ничего не изменило. Служба защитника всё так же не запускается с той же ошибкой.
TDSSKiller.3.1.0.9_20.12.2015_22.25.38_log.txt (лимит во вложениях)
покажите результат выполнения команды в командной строке (cmd.exe)
Уточните, если так запускается Windows Defender:Код:reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection"
Покажите пожалуйста скрин в панели управления ->Безопасность и обслуживание.Код:%ProgramFiles%\Windows Defender\MSASCui.exe
интересую все параметры указанные во вкладке "Безопасность".Панель управления\Все элементы панели управления\Безопасность и обслуживание
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Также покажите пожалуйста результат следующей команды в командной строке (cmd.exe) в привилегированном режиме:
Проверьте права на файл необходимый для запуска сервиса, для этого пожалуйста результат следующей команды в командной строке (cmd.exe) в привилегированном режиме:Код:winmgmt /verifyrepository
Код:icacls "C:\Program Files\Windows Defender\MsMpEng.exe"
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот результаты всех команд, которые вы запросили в cmd.exe:
6Igb8Pn.png
Вкладка Безопасность и обслуживание в панели управления:
ScDP1VV.png
Кнопки «включить сейчас» не реагируют на нажатия, даже ошибок не выдают.
Попробуйте следующее в командной строке(cmd.exe):
Выбрать Y и нажать ENTER далее выполнитеКод:net stop winmgmt
Попробуйте запустить Windows Defender и сообщите результат.Код:cd %windir%\system32\wbem ren Repository Repository.old net start winmgmt
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Командная строка отвечает что службы успешно останавливаются, потом создается Repository.old и успешно запускаются, однако на Защитник это никак не влияет, его служба как была выключена и не включалась из-за ошибки, так и не включается.
Скачайте WMI Diagnosis Utility -- Version 2.2 и приложите лог следующей команды (только как ссылку на файл):
Код:cscript WMIDiag.vbs checkconsistency
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Не совсем понял какой из трёх файлов вам нужен, но вот ссылка на LOG и ссылка на TXT.
Следующие ошибки логируются на Вашем ПК:
33570 00:55:21 (1) !! ERROR: Overall DCOM security status: .................................................. .............................. ERROR!
33589 00:55:21 (1) !! ERROR: WMI CONNECTION errors occured for the following namespaces: .................................................. 2 ERROR(S)!
33590 00:55:21 (0) ** - Root/nap, 0x8004100E - (WBEM_E_INVALID_NAMESPACE) Namespace specified cannot be found.
33591 00:55:21 (0) ** - Root/aspnet, 0x8004100E - (WBEM_E_INVALID_NAMESPACE) Namespace specified cannot be found.
33592 00:55:21 (0) **
33593 00:55:21 (1) !! ERROR: WMI GET operation errors reported: .................................................. ......................... 8 ERROR(S)!
33594 00:55:21 (0) ** - Root/CIMV2, Win32_FloppyDrive, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33595 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33596 00:55:21 (0) ** - Root/CIMV2, Win32_FloppyController, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33597 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33598 00:55:21 (0) ** - Root/CIMV2, Win32_PerfFormattedData_PerfNet_ServerWorkQueues, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33599 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33600 00:55:21 (0) ** - Root/CIMV2, Win32_PerfRawData_PerfNet_ServerWorkQueues, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33601 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33602 00:55:21 (0) ** - Root/CIMV2, Win32_PerfFormattedData_Spooler_PrintQueue, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33603 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33604 00:55:21 (0) ** - Root/CIMV2, Win32_PerfRawData_Spooler_PrintQueue, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33605 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33606 00:55:21 (0) ** - Root/CIMV2, Win32_PerfFormattedData_TermService_TerminalServic esSession, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33607 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33608 00:55:21 (0) ** - Root/CIMV2, Win32_PerfRawData_TermService_TerminalServicesSess ion, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33609 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33615 00:55:21 (1) !! ERROR: WMI GET VALUE operation errors reported: .................................................. ................... 1 ERROR(S)!
33616 00:55:21 (0) ** - Root/CIMV2, Instance: Win32_Service='WSCSVC', Property: Displayname='Центр обеспечения безопасности' (Expected default='Security Center').
Попробуйте в качестве решения пере-регистрировать библиотеки WMI DLL и пере-компилировать файлы WMI mof, используя следующую инструкцию:
1. Установите режим запуска Выключен и остановите службу Windows Management Instrumentation.
2. Запустите Command Prompt в привилегированном режиме Run as Administrator.
3. В Command Prompt наберите cd %windir%\system32\wbem и нажмите Enter.
4. Наберите for /f %s in ('dir /b *.dll') do regsvr32 /s %sи нажмите Enter для пере-регистраций библиотек DLL.
5. После завершению предыдущей команды, наберите for /f %s in ('dir /b *.mof') do mofcomp %s и нажмите Enter для пере-компилировать файлы WMI mof.
6. По завершению, наберите wmiprvse /regserver и нажмите Enter.
7. Запустите службу Windows Management Instrumentation и смените тип запуска на автоматический.
Перегрузите компьютер.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Выполнил инструкцию, ничего не изменилось, так же ошибка доступа у службы Защитника Windows.
Можем вам лично посмотреть или это как-то противоречит правилам? На крайний случай придётся откатывать систему в исходное состояние раз ничего не помогает.
Предоставьте пожалуйста лог сторонней утилиты SFCFix.exe.
P.S. Вообще в крайнем случае требуется предоставление доступа к ПК и только в личной переписке (системные ошибки не относятся к данной категории).
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ваши права в разделе
Ответить с цитированием
