Não é possível gravar em diretórios do WindowsApps e restaurar arquivos

Navegue suas respostas
0

Com duas palavras, não consigo restaurar este arquivo 

SQLite3Wrapper.dll

na sua localização 

c:\Program Files\WindowsApps\Microsoft.BingWeather_4.8.239.0_x86__8wekyb3d8bbwe

A história por trás e o que eu tentei.

Tudo começa quando o antivírus Comodo me fornece um alerta de vírus sobre SQLite3Wrapper.dll e me pede para colocá-lo na quarentena. Eu digo ok, vamos colocar em quarentena e dar uma olhada. Por enquanto, tudo bem. Depois de verificar que este era um alarme falso, peço ao comodo para restaurar o arquivo e aqui está a minha primeira falha, porque o Windows 10 não deixou que ele escrevesse de volta ao seu lugar. E depois disso todas as minhas tentativas falharam ...

Primeiro, tomo a posse do diretório e dou permissão ao administrador e à minha esquerda para acesso total. Também desative todos os antivírus do comodo e do windows.

  1. Então, depois de dar permissão, tento copiar, mas também falho.
  2. eu inicio o windows no modo de segurança mas não deixo copiar o arquivo
  3. eu inicio o windows no modo de comando mas não deixo copiar o arquivo
  4. Eu inicio o Windows com a versão mais recente do MsDart , mas isso também não me permite copiar o arquivo. Este é o mais estranho porque o MsDart supostamente corre sobre as janelas e nunca tem esse problema em versões mais antigas do Windows.
  5. Então eu tento restaurar o arquivo usando o acronis backup que eu tenho alguns dias atrás. Acronis também não conseguem escrever para esse diretório - não pedi para restaurá-lo na inicialização, porque eu não posso pedir isso de acronis, acronis não reconheceu que não pode escrever para esse diretório, então é pilha lá para sempre…
  6. Eu tentei copiá-lo com o explorador e com o comandante total e com o comando simples promt
  7. Também usando o Hyper-X e o Windows 10, faço mais testes e tento copiar um arquivo em qualquer um desses diretórios, mas falho.

  8. Verificando também as janelas de acesso ao efeito diz que eu posso escrever lá

    masalgonãomedeixa:

Algumasnotassobreminhapesquisa

Souprogramadoretenhoprivilégiosdeadministradoreacessomínimoatodasasconfiguraçõesdecontroledecontadeusuário.Tambémlietenteestarespostaaqui Como obter acesso a C: \ Arquivos de Programas \ WindowsApps? e aqui Onde encontrar o código-fonte dos aplicativos Windows UI modernos? e muitas outras respostas e anotações semelhantes na internet sem encontrar uma maneira de copiar o arquivo de volta para o lugar deles.

Sobre o programa sozinho

O programa que não está mais funcionando é o "MSN Weather" que existe na loja da Microsoft. Eu uso este comando Get-AppxPackage *bingweather* | Remove-AppxPackage e removê-lo e, em seguida, reinstalá-lo, mas na verdade nunca foi removido do sistema, para que os arquivos nunca atualizados. Eu fiz isso uma vez, segunda vez com a reinicialização, terceira vez para verificar novamente ... etc ... O arquivo ainda está faltando no diretório e o programa ainda não está funcionando.

Depurar o processo de cópia

Eu também usei o Process Monitor da Sysinternals para descobrir o que está impedindo a cópia desse arquivo e aqui está a pilha: 

"Frame","Module","Location","Address","Path"
"0","FLTMGR.SYS","FltDecodeParameters + 0x18e1","0xfffff801e5066d21","C:\WINDOWS\System32\drivers\FLTMGR.SYS"   

"1","FLTMGR.SYS","FltDecodeParameters + 0x148c","0xfffff801e50668cc","C:\WINDOWS\System32\drivers\FLTMGR.SYS"    

"2","FLTMGR.SYS","FltQueryInformationFile + 0x723","0xfffff801e50962c3","C:\WINDOWS\System32\drivers\FLTMGR.SYS"    

"3","ntoskrnl.exe","ProbeForWrite + 0xc08","0xfffff803b7aa6d68","C:\WINDOWS\system32\ntoskrnl.exe"   

"4","ntoskrnl.exe","NtQueryInformationFile + 0x1026","0xfffff803b7a9d6d6","C:\WINDOWS\system32\ntoskrnl.exe"   

"5","ntoskrnl.exe","ObOpenObjectByNameEx + 0x1ec","0xfffff803b7a9c0dc","C:\WINDOWS\system32\ntoskrnl.exe"    

"6","ntoskrnl.exe","ObOpenObjectByName + 0x488","0xfffff803b7a89b78","C:\WINDOWS\system32\ntoskrnl.exe"    

"7","ntoskrnl.exe","NtCreateFile + 0x79","0xfffff803b7a896d9","C:\WINDOWS\system32\ntoskrnl.exe"    

"8","ntoskrnl.exe","setjmpex + 0x3943","0xfffff803b77ddca3","C:\WINDOWS\system32\ntoskrnl.exe"    

"9","ntdll.dll","NtCreateFile + 0x14","0x7ffbc09f5b24","C:\WINDOWS\SYSTEM32\ntdll.dll"   

"10","guard64.dll","Exported + 0xd341","0x7ffbbcda6161","C:\Windows\system32\guard64.dll"   

"11","<unknown>","0x7ffbc0da0052","0x7ffbc0da0052",""

Minhas desculpas por essa longa pergunta

mas eu sou frustrante, essa é a primeira vez para mim, não conseguir controlar meu computador e restaurar um arquivo.
É claro que este não é o único arquivo que não é permitido criar nestes diretórios ... mas dentro desses diretórios nada é permitido ...

Então, como posso assumir o controle do meu computador, o que sinto falta aqui, que permissão devo dar ou que programa preciso interromper para poder restaurar esse arquivo?

Executar icacls 

C:\Program Files>icacls WindowsApps
WindowsApps NT SERVICE\TrustedInstaller:(F)
            NT SERVICE\TrustedInstaller:(CI)(IO)(F)
            S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(RX)
            S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(OI)(CI)(IO)(RX)
            NT AUTHORITY\SYSTEM:(RX,W)
            NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
            BUILTIN\Administrators:(RX)
            BUILTIN\Administrators:(OI)(CI)(IO)(RX)
            NT AUTHORITY\LOCAL SERVICE:(Rc,S,X,RA)
            NT AUTHORITY\LOCAL SERVICE:(OI)(CI)(IO)(RX)
            NT AUTHORITY\NETWORK SERVICE:(Rc,S,X,RA)
            NT AUTHORITY\NETWORK SERVICE:(OI)(CI)(IO)(RX)
            Aristos\MyNameHere:(OI)(CI)(F)
            Mandatory Label\Low Mandatory Level:(OI)(CI)(NW)

Successfully processed 1 files; Failed processing 0 files

e 

C:\Program Files\WindowsApps>icacls Microsoft.BingWeather_4.8.239.0_x86__8wekyb3d8bbwe
Microsoft.BingWeather_4.8.239.0_x86__8wekyb3d8bbwe NT AUTHORITY\SYSTEM:(OI)(CI)(F)
Aristos\MyName:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
NT AUTHORITY\Authenticated Users:(OI)(CI)(F)
BUILTIN\Users:(OI)(CI)(F)
NT SERVICE\TrustedInstaller:(CI)(F)
S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(OI)(CI)(RX)
NT AUTHORITY\LOCAL SERVICE:(OI)(CI)(RX)
NT AUTHORITY\NETWORK SERVICE:(OI)(CI)(RX)
NT SERVICE\TrustedInstaller:(I)(CI)(F)
S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(I)(OI)(CI)(RX)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(RX)
NT AUTHORITY\LOCAL SERVICE:(I)(OI)(CI)(RX)
NT AUTHORITY\NETWORK SERVICE:(I)(OI)(CI)(RX)
Aristos\MyName:(I)(OI)(CI)(F)
Mandatory Label\Low Mandatory Level:(I)(OI)(CI)(NW)
S-1-19-512-4096:(OI)(CI)(RX,D,WDAC,WO,WA)
    
por Aristos 12.02.2016 / 18:36

1 resposta

1

Faça o download de PsExec (link anterior ) da Sysinternals, uma subsidiária da Microsoft. Abra um prompt de comando administrativo no diretório que contém psexec.exe e digite o seguinte: 

psexec -s -i cmd.exe

Aguarde um momento e você será apresentado a um prompt de comando em execução como SYSTEM , que tem acesso total e eficaz ao diretório WindowsApps. Use esse prompt para move do arquivo no local correto. Quando terminar, você pode fechar o prompt e o console pai como faria com qualquer outro.

    
por 12.02.2016 / 19:28

Tags

Procmon: cria o arquivo pmc via script ou carrega o arquivo pmf através da linha de comando Rdp através da internet, um ip público, alguns computadores [duplicados]