Kann nicht in WindowsApps-Verzeichnisse schreiben und Dateien wiederherstellen

0

Mit zwei Worten kann ich diese Datei nicht wiederherstellen

SQLite3Wrapper.dll 

an ihrem Standort

c:\Program Files\WindowsApps\Microsoft.BingWeather_4.8.239.0_x86__8wekyb3d8bbwe

Die Geschichte dahinter und was ich probiert habe.

Alles beginnt, wenn Comodo Antivirus eine Virenwarnung über SQLite3Wrapper.dll ausgibt und mich auffordert , die Datei in die Quarantäne zu verschieben. Ich sage ok, lass es uns in die Quarantäne stellen und auschecken. So weit, ist es gut. Nachdem ich überprüft habe, ob es sich um einen Fehlalarm handelt, fordere ich comodo auf, die Datei wiederherzustellen. Hier ist mein erster Fehler, da Windows 10 das Zurückschreiben nicht zugelassen hat. Und danach scheitern alle meine Versuche ...

Zuerst übernehme ich den Besitz des Verzeichnisses und erteile dem Administrator und meinem Link die Erlaubnis, uneingeschränkt darauf zuzugreifen. Deaktivieren Sie auch alle Antivirenprogramme von Comodo und Windows.

  1. Also versuche ich nach Erlaubnis zu kopieren, scheitere aber auch.
  2. Ich habe Windows im abgesicherten Modus gestartet , aber die Datei nicht zurückkopiert
  3. Ich habe Windows im Befehlsmodus gestartet , aber die Datei nicht zurückkopiert
  4. Ich starte Windows mit der neuesten Version von MsDart, aber damit kann ich die Datei auch nicht kopieren. Dies ist am seltsamsten, da MsDart angeblich über die Fenster läuft und dieses Problem bei älteren Windows-Versionen nie auftritt.
  5. Dann versuche ich, die Datei mit Acronis Backup wiederherzustellen, das ich vor einigen Tagen habe. Acronis konnte auch nicht in dieses Verzeichnis schreiben - habe nicht gefragt, ob es beim Booten wiederhergestellt werden soll, da ich Acronis nicht fragen kann. Acronis hat nicht erkannt, dass Acronis nicht in dieses Verzeichnis schreiben kann.
  6. Ich habe versucht, es mit Explorer und mit Total Commander und mit einfacher Eingabeaufforderung zu kopieren
  7. Ich benutze auch Hyper-X und Windows 10, mache mehr Tests und versuche, eine Datei in eines dieser Verzeichnisse zu kopieren, scheitere aber.
  8. Wenn ich auch die Zugriffsfenster überprüfe, kann ich dort schreiben

    Bildbeschreibung hier eingeben

    aber sowas lass mich nicht:

    Bildbeschreibung hier eingeben

Einige Notizen zu meiner Forschung

Ich bin Programmierer, habe Administratorrechte und muss alle Einstellungen für die Benutzerkontensteuerung auf ein Minimum beschränken. Lesen und probieren Sie diese Antwort auch von hier aus. Wie erhalte ich Zugriff auf C: \ Programme \ WindowsApps? und hier Wo finde ich den Quellcode der Windows Modern UI-Apps? und viele andere ähnliche Antworten und Notizen im Internet, ohne einen Weg zu finden, diese Datei zurück an ihren Platz zu kopieren.

Über das Programm selbst

Das Programm, das nicht mehr funktioniert, ist das im Microsoft Store vorhandene "MSN-Wetter". Ich benutze diesen Befehl Get-AppxPackage *bingweather* | Remove-AppxPackageund entferne ihn und installiere ihn dann neu, aber tatsächlich wurde er nie vom System entfernt, so dass die Dateien nie aktualisiert wurden. Ich habe das einmal gemacht, das zweite Mal mit einem Neustart, das dritte Mal, um es zu überprüfen ... etc ... Die Datei fehlt immer noch im Verzeichnis und das Programm funktioniert immer noch nicht.

Debuggen Sie den Kopiervorgang

Ich habe auch Process Monitor von Sysinternals verwendet, um herauszufinden, was das Kopieren dieser Datei verhindert. Hier ist der Stapel:

"Frame","Module","Location","Address","Path"
"0","FLTMGR.SYS","FltDecodeParameters + 0x18e1","0xfffff801e5066d21","C:\WINDOWS\System32\drivers\FLTMGR.SYS"   

"1","FLTMGR.SYS","FltDecodeParameters + 0x148c","0xfffff801e50668cc","C:\WINDOWS\System32\drivers\FLTMGR.SYS"    

"2","FLTMGR.SYS","FltQueryInformationFile + 0x723","0xfffff801e50962c3","C:\WINDOWS\System32\drivers\FLTMGR.SYS"    

"3","ntoskrnl.exe","ProbeForWrite + 0xc08","0xfffff803b7aa6d68","C:\WINDOWS\system32\ntoskrnl.exe"   

"4","ntoskrnl.exe","NtQueryInformationFile + 0x1026","0xfffff803b7a9d6d6","C:\WINDOWS\system32\ntoskrnl.exe"   

"5","ntoskrnl.exe","ObOpenObjectByNameEx + 0x1ec","0xfffff803b7a9c0dc","C:\WINDOWS\system32\ntoskrnl.exe"    

"6","ntoskrnl.exe","ObOpenObjectByName + 0x488","0xfffff803b7a89b78","C:\WINDOWS\system32\ntoskrnl.exe"    

"7","ntoskrnl.exe","NtCreateFile + 0x79","0xfffff803b7a896d9","C:\WINDOWS\system32\ntoskrnl.exe"    

"8","ntoskrnl.exe","setjmpex + 0x3943","0xfffff803b77ddca3","C:\WINDOWS\system32\ntoskrnl.exe"    

"9","ntdll.dll","NtCreateFile + 0x14","0x7ffbc09f5b24","C:\WINDOWS\SYSTEM32\ntdll.dll"   

"10","guard64.dll","Exported + 0xd341","0x7ffbbcda6161","C:\Windows\system32\guard64.dll"   

"11","<unknown>","0x7ffbc0da0052","0x7ffbc0da0052",""    

Ich entschuldige mich für diese lange Frage

aber ich bin frustriert, dies ist das erste für mich, nicht in der Lage zu sein, die Kontrolle über meinen Computer zu übernehmen und eine Datei wiederherzustellen.
Natürlich ist dies nicht die einzige Datei, die in diesen Verzeichnissen nicht erstellt werden darf ... aber in diesen Verzeichnissen ist nichts erlaubt ...

Wie kann ich also die Kontrolle über meinen Computer übernehmen, was habe ich hier vermisst, welche Erlaubnis muss ich geben oder welches Programm muss ich anhalten, damit ich diese Datei wiederherstellen kann?

Icacls ausführen

C:\Program Files>icacls WindowsApps
WindowsApps NT SERVICE\TrustedInstaller:(F)
            NT SERVICE\TrustedInstaller:(CI)(IO)(F)
            S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(RX)
            S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(OI)(CI)(IO)(RX)
            NT AUTHORITY\SYSTEM:(RX,W)
            NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
            BUILTIN\Administrators:(RX)
            BUILTIN\Administrators:(OI)(CI)(IO)(RX)
            NT AUTHORITY\LOCAL SERVICE:(Rc,S,X,RA)
            NT AUTHORITY\LOCAL SERVICE:(OI)(CI)(IO)(RX)
            NT AUTHORITY\NETWORK SERVICE:(Rc,S,X,RA)
            NT AUTHORITY\NETWORK SERVICE:(OI)(CI)(IO)(RX)
            Aristos\MyNameHere:(OI)(CI)(F)
            Mandatory Label\Low Mandatory Level:(OI)(CI)(NW)

Successfully processed 1 files; Failed processing 0 files

und

C:\Program Files\WindowsApps>icacls Microsoft.BingWeather_4.8.239.0_x86__8wekyb3d8bbwe
Microsoft.BingWeather_4.8.239.0_x86__8wekyb3d8bbwe NT AUTHORITY\SYSTEM:(OI)(CI)(F)
Aristos\MyName:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
NT AUTHORITY\Authenticated Users:(OI)(CI)(F)
BUILTIN\Users:(OI)(CI)(F)
NT SERVICE\TrustedInstaller:(CI)(F)
S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(OI)(CI)(RX)
NT AUTHORITY\LOCAL SERVICE:(OI)(CI)(RX)
NT AUTHORITY\NETWORK SERVICE:(OI)(CI)(RX)
NT SERVICE\TrustedInstaller:(I)(CI)(F)
S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(I)(OI)(CI)(RX)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(RX)
NT AUTHORITY\LOCAL SERVICE:(I)(OI)(CI)(RX)
NT AUTHORITY\NETWORK SERVICE:(I)(OI)(CI)(RX)
Aristos\MyName:(I)(OI)(CI)(F)
Mandatory Label\Low Mandatory Level:(I)(OI)(CI)(NW)
S-1-19-512-4096:(OI)(CI)(RX,D,WDAC,WO,WA)
Aristos
quelle
Warum die -1? Ich verstehe nicht ....
Aristos
Windows hat sich geändert, von 8 auf 8,1 auf 10 verschoben. Diese Frage betrifft 10, das Problem der Erlaubnis ist nicht dasselbe wie bei älteren Fragen. Dies ist kein Duplikat und erfordert Ihre Aufmerksamkeit und Ihre Nachforschungen.
Aristos

Antworten:

1

Laden Sie PsExec ( vorheriger Link ) von Sysinternals, einer Microsoft-Tochtergesellschaft, herunter . Öffnen Sie eine administrative Eingabeaufforderung in dem Verzeichnis, psexec.exedas Folgendes enthält, und geben Sie Folgendes ein:

psexec -s -i cmd.exe

Warten Sie einen Moment, und es wird eine Eingabeaufforderung angezeigt, die als ausgeführt SYSTEMwird und über vollständigen Zugriff auf das WindowsApps-Verzeichnis verfügt. Verwenden Sie diese Eingabeaufforderung, um movedie Datei an den richtigen Speicherort zu verschieben. Wenn Sie fertig sind, können Sie die Eingabeaufforderung und die übergeordnete Konsole wie jede andere Konsole schließen.

Ben N
quelle
Gute Idee, ich versuche es einfach, aber es schlägt fehl ... ("Zugriff verweigert") Nachricht.
Aristos
Der Prozess-Explorer zeigt, dass cmd.exe unter meinem Konto ausgeführt wird ... Ich überprüfe es noch ein wenig mehr
Aristos
@Aristos Sind Sie sicher, dass Sie psexecüber eine administrative Eingabeaufforderung gestartet wurden ? Das zählt.
Ben N
Ja, ich mache es einfach noch einmal, öffne mit der Verwaltung des Befehls, mache genau das, was du hier sagst, und trotzdem wird der Zugriff verweigert. Versuchen Sie das gleiche mit der virtuellen Maschine auch ...
Aristos
@Aristos Interessant - es funktioniert bei mir unter Windows 8.1. Könnten Sie dies tun, icacls WindowsAppswenn sich Ihre SYSTEM-Eingabeaufforderung im Verzeichnis "Programme" befindet und die Ausgabe in Ihre Frage stellt?
Ben N