Есть windows 8.1 Enterprise original x86 en + русский MUI. Есть две учетные записи Microsoft: одна с правами администратора, другая с обычными правами. Антивирус и файрвол родные. sfc /scannow ошибок не находит. Из стороннего софта только 7z и mtorrent. UAC включен. Вирусов нет, система чистая.
Проблема в следующем: работа ведется из под учетки обычного пользователя. Перестали запускаться программы требующие права администратора. Ранее программа требующие права админа выдавала запрос на ввод пароля и после успешного ввода запускала нужную утилиту. Спустя некоторое время запуск срабатывал через раз. Т.е. чтобы запустить например установку программы с первого раза после ввода пароля ничего не происходило, после повторной попытки со второго или третьего раза запуск происходил. Спустя некоторое время все функции требующие ввода пароля админа перестали работать. Вернее выдается запрос на ввод пароля, ввожу правильный пароль и... ничего не происходит.
Поиск в инете дал такое решение: включить встроенную запись администратора. Решение работает, НО:
1. Хочу понять, что произошло?
2. Решить вопрос, отключив встроенную запись администратора. Ведь раньше работало.
Надеюсь на помощь в решении вопроса. Какие будут идеи и предложения?

spispi, приведите ошибки из журнала событий (http://www.oszone.net/10680) -> Журналы Windows -> в разделах Приложение и Система (правой кнопкой мыши -> Копировать -> Копировать сведения как текст).

Попробуйте рекомендации
Как определить, является проблема системной или вызвана сторонним приложением/службой (http://www.outsidethebox.ms/10368/)

Вернее выдается запрос на ввод пароля, ввожу правильный пароль и... ничего не происходит
Сделайте лог Process Monitor (http://technet.microsoft.com/ru-ru/sysinternals/bb896645) следующим образом:
запустите Process Monitor;
попытайтесь запустить какую-либо программу от имени администратора, чтобы ничего не произошло;
сохраните лог: меню File -> Save -> PML-формат;
заархивируйте и выложите на любой файлообменник, например http://rghost.ru

spispi, приведите ошибки из журнала событий -> Журналы Windows -> в разделах Приложение и Система (правой кнопкой мыши -> Копировать -> Копировать сведения как текст). »
Ошибок нет, хотя журналы ведутся.

Попробуйте рекомендации
Как определить, является проблема системной или вызвана сторонним приложением/службой »
Пробовал. В защищенном режиме с правами с правами обычного пользователя все отрабатывает как надо. С совсеми отключенными элементами автозагрузки (один относится к тачпад и два к wi-fi) и службами не Microsoft (одна относится к видеокарте вторая к HP сервису ноутбука) в обычном режиме с правами обычного пользователя - не работает. Подпись драйверов проверил - все подписаны.


Цитата:
Сделайте лог Process Monitor следующим образом:запустите Process Monitor;попытайтесь запустить какую-либо программу от имени администратора, чтобы ничего не произошло;сохраните лог: меню File -> Save -> PML-формат;заархивируйте и выложите на любой файлообменник, например http://rghost.ru »

Не получается. Для запуска нужны права администратора.


Пробовал еще:

1. cоздал учетную запись "testwork" (не Microsoft, а локальную с правами обычного пользователя) ситуация такая же. Работа непосредственно из-под учетки "admsergey" (админа) проблем никаких не вызывает.

2. под учеткой обычного юзера c зажатым шыфтом правой кнопкой на софтину запустить от имени другого пользователя (затем ввожу логин и пароль админа) выдает следующее (пример):

===================

[Window Title]
C:\Users\ipad4_000\Downloads\ProcessMonitor\Procmon.exe
[Content]
Windows не удается получить доступ к указанному устройству, пути или файлу. Возможно, у вас нет нужных разрешений для доступа к этому объекту.
[ОК]

===================

3. сперва отключил учетку обычного юзера, затем перезагрузился и включил. Ситуация не изменилась.

spispi, выложите логи RSIT (http://safezone.cc/forum/showthread.php?t=389).

spispi, выложите логи RSIT. »
Любое приложение запускаемое из под обычной учетки и требующее прав админа - не отрабатывает (после ввода пароля ничего не происходит). Поэтому сделал так (не знаю верно это или нет): включил встроенную учетку админа и под учеткой обычного пользователя запустил RSIT. Эти логи в файле с именем rsit-RunUnderUser.7z
http://rghost.ru/51256965

Дополнительно запускал утилиту под учеткой созданного мной Администратора. Эти логи в файле с именем rsit-RunUnderAdm.7z

Подпись драйверов проверил - все подписаны
У этих драйверов:
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2008-12-01 4179968]
R3 GTIPCI21;GTIPCI21; C:\Windows\system32\DRIVERS\gtipci21.sys [2006-04-07 88192]
R3 NETw2v32;@oem4.inf,%NIC_Service_DispName_BG_VISTA%;Intel(R) PRO/Wireless 2200BG Network Connection Driver for Windows Vista; C:\Windows\system32\DRIVERS\NETw2v32.sys [2007-03-07 2595840]
R3 SMSCIRDA;@oem1.inf,%SMCIRDA.ServiceDesc%;SMSC Infrared Device Driver; C:\Windows\system32\DRIVERS\SMSCirda.sys [2007-04-25 31232]
R3 smwdm;smwdm; C:\Windows\system32\drivers\smwdm.sys [2005-03-29 220992]
R3 SynTP;@oem2.inf,%SynTP.SvcDesc%;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2007-09-15 191408]
R3 tifm21;tifm21; C:\Windows\system32\drivers\tifm21.sys [2006-07-06 168448]

цифровой подписи быть не может: дата задолго до релиза Windows 8.1 (и даже до Windows 7, если на то пошло).

У этих драйверов:
Код:
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2008-12-01 4179968]
R3 GTIPCI21;GTIPCI21; C:\Windows\system32\DRIVERS\gtipci21.sys [2006-04-07 88192]
R3 NETw2v32;@oem4.inf,%NIC_Service_DispName_BG_VISTA%;Intel(R) PRO/Wireless 2200BG Network Connection Driver for Windows Vista; C:\Windows\system32\DRIVERS\NETw2v32.sys [2007-03-07 2595840]
R3 SMSCIRDA;@oem1.inf,%SMCIRDA.ServiceDesc%;SMSC Infrared Device Driver; C:\Windows\system32\DRIVERS\SMSCirda.sys [2007-04-25 31232]
R3 smwdm;smwdm; C:\Windows\system32\drivers\smwdm.sys [2005-03-29 220992]
R3 SynTP;@oem2.inf,%SynTP.SvcDesc%;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2007-09-15 191408]
R3 tifm21;tifm21; C:\Windows\system32\drivers\tifm21.sys [2006-07-06 168448]
цифровой подписи быть не может: дата задолго до релиза Windows 8.1 (и даже до Windows 7, если на то пошло). »
Тогда у меня возникает еще 2 вопроса:

1. Для проверки подписи я запускал sigverif. Вот лог его работы:
http://rghost.ru/51258293
Везде стоит подписано. Отсюда у меня и вопросы: либо я что-то не так делаю для проверки подписи, либо я что-то не так интерпретирую, либо я чего-то не понимаю? Можно этот момент прояснить?

2. Момент второй. Я попробовал отключить эти драйвера через autoruns и перезагрузился. Результат не изменился. Правильно ли я сделал или нужно было пробовать делать как-то по другому?

Сделайте лог Process Monitor следующим образом
Не получается. Для запуска нужны права администратора.
Запустите через runas, например:
runas /user:имя_пользователя C:\procmon\procmon.exe

Отсюда у меня и вопросы: либо я что-то не так делаю для проверки подписи, либо я что-то не так интерпретирую, либо я чего-то не понимаю? Можно этот момент прояснить?
Не знаю, почему sigverif считает их нормальными.
Если у драйвера цифровая подпись для Vista или XP, нет никакой гарантии совместимости с Windows 8.1.

Запустите через runas, например:
Код:
runas /user:имя_пользователя C:\procmon\procmon.exe »
Тоже не запускает. Я под админом дал полный доступ на procmon.exe обычному пользователю - только после этого запустилось.

Сейчас перезалью файл.

Пробовал запускать cmd.exe c правами администратора. И еще пробовал запускать на установку файл install.exe c подмонтированного iso.

Сейчас перезалью файл. »
Вот файл:
http://rghost.ru/51270929

Пробовал запускать cmd.exe c правами администратора. И еще пробовал запускать на установку файл install.exe c подмонтированного iso. »
Пробовал запускать cmd.exe c правами администратора. И еще пробовал запускать на установку файл g:\setup.exe c подмонтированного iso содержащего оригинальный дистрибутив visio. Причем, что странно, начиная с этого момента:

=========================
Date & Time: 28.12.2013 22:37:31
Event Class: File System
Operation: CreateFile
Result: PATH NOT FOUND
Path: G:\ui\SwDRM.dll
TID: 5688
Duration: 0.0000489
Desired Access: Read Attributes
Disposition: Open
Options: Open Reparse Point
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
=========================

Везде ниже где пишет PATH NOT FOUND и пытается создать файлы на диске G: - какой-то бред. Я такие файлы первый раз в глаза вижу да и какого лешего он там пытается что-то создавать.

spispi, лог не помог определить причину.
По-прежнему подозрения на драйверы кардридера (попытка использования smart card для аутентификации) или видеокарты (процесс consent.exe должен вывести запрос UAC на secure desktop, но не делает этого).

А как посоветуете наиболее корректно удалить драйвера. Через диспетчер устройств или вручную удалить файлы inf и sys? Либо еще как?
В любом случае благодарю за участие. Попробую начать с smart card, потому как в окне ввода пароля кроме запроса данных админа есть и запись от smart card. Если получится что - отпишу.

Path: G:\ui\SwDRM.dll »
Похоже это файл библиотеки цифровой подписи флешевых игр и обычно располагается по адресам:
The file "swdrm.dll" is known to be created under the following filenames:
%ProgramFiles%\shockwave.com\backspin billiards\ui\swdrm.dll
%ProgramFiles%\shockwave.com\cake mania\ui\swdrm.dll
%ProgramFiles%\shockwave.com\carrie the caregiver\ui\swdrm.dll
%ProgramFiles%\shockwave.com\wedding dash\ui\swdrm.dll
Не знаю почему он у вас пытается установиться вместе с Visio (может не вместе, а просто параллельно).
Думаю имеет смысл также провериться на наличие в системе каких-нибудь Adware.Trojan или Trojan.Downloader (но это вам в другую тему).

Нет такого файла у меня, да и других из лога тоже. Да и сослался я на него потому что в логах начиная с Path: G:\ui\SwDRM.dll на диске везде ниже, наблюдаются непонятные попытки где пишет PATH NOT FOUND и пытается создать файлы на диске G:. Я не знаю как в данном случае интерпретировать эти строки, просто складывается впечатление что где-то в образе хранятся эти пути. Это как посмотреть strings в файлах и иногда можно увидеть пути к файлам по которым находился проект, поэтому корее всего в этом проблемы никакой нет. Тем более, что проблема с запуском от админа возникла намного до этого.

В общем снес через диспетчер устройств указанные выше драйвера плюс отключил на всякий случай эти устройства. Удалил абсолютно весь софт. Удалил все установленные обновления. В итоге проблема не пропала. Видимо если что-то из этого и было причиной, то обратно вернуть просто так не получится. Подожду несколько дней может кто еще что предложит, затем переустановлю все заново и буду отсматривать (если получится) поэтапно.

spispi, выложите результаты выполнения в командной строке (cmd.exe)
sc query atikmdag
sc query GTIPCI21
sc query NETw2v32
sc query SMSCIRDA
sc query smwdm
sc query SynTP
sc query tifm21
sc query R300

результаты выполнения в командной строке (cmd.exe) »
http://rghost.ru/private/51291271/46a2ebcd7d0a111af79fd02114451e94

Переустановил ОС. Все работает как надо. Вопрос можно закрывать, правда как не решенный.