picasso

Registry Finder Strona domowa Platforma: Windows XP do Windows 11 32-bit i 64-bit Licencja: freeware Registry Finder - Początkowo program był tylko ulepszoną wyszukiwarką rejestru, ale przekształcił się w bardzo dobry alternatywny edytor rejestru. Posiada podstawowe możliwości przeglądania i edycji znane z systemowego regedit, ale także pewne udogodnienia i ciekawostki niedostępne w regedit. Wśród udogodnień: pasek narzędziowy i pasek adresów, ulepszona wyszukiwarka oraz funkcja zamiany tekstu, historia operacji, dodatkowa kolumna informacyjna pokazująca rozmiar wartości w bajtach. Obsługuje uruchomienie wielokrotnych instancji okna, które po zamknięciu zostaną przywrócone na ostatnio otworzonych w nich ścieżkach. Potrafi zaimportować ulubione z systemowego regedit. Funkcja wyszukiwania jest szybka i efektywna. W warunkach jest definiowanie zakresu lokalizacji, wyszukiwanie wg daty modyfikacji oraz ukrytych kluczy *. Wyniki wyszukiwania są prezentowane w osobnej karcie w postaci listy, a wyszukiwany tekst jest wyróżniony na czerwono. Z poziomu wyników wyszukiwania można przeskoczyć do danej znalezionej ścieżki lub podjąć bezpośrednią operację modyfikacji czy usuwania. Wyniki wyszukiwania można zapisać do pliku w formacie CSV lub REG. Wszystkie operacje modyfikacji (usuwanie lub podmiana) są gromadzone w oknie historii. Ostatnia wykonana akcja jest oznaczona źółtą strzałką. Operacje modyfikacji rejestru mogą być odwrócone lub ponownie przywrócone. * W odróżnieniu od systemowego regedit, potrafi wykryć klucze ukryte techniką null. W wynikach wyszukiwania znaki null są oznaczane znakiem punktora •. W interfejsie jest dostępna wyszukiwarka takich kluczy z możliwością usuwania, ponadto w paczce zostało dołączone dodatkowe konsolowe narzędzie NReg, które umożliwia także ich tworzenie w celach "testowych" (oraz usuwanie). Dodatkowa mała fajna rzecz graficzna: klucze do których nie ma dostępu ze względu na uprawnienia są oznaczone małą czerwoną ikonką. Program jest dostępny w wersji instalacyjnej oraz portable, są dwie wersje odpowiednio dla systemów 32-bit i 64-bit. Aktywnie rozwijany i nie jest wykluczone, że w przyszłości będzie więcej ciekawych funkcji.

Temat zostanie zamknięty. Bardzo Was proszę takie spory załatwiajcie tam gdzie należy (forum źródłowe). Do licha, nie mam pojęcia co się tam dzieje. Warto podkreślić, że @iJuliusz prowadzi całkowicie niezależną działalność na różnych forach. Na moim forum został oficjalnym pomocnikiem ze względu na udział w szkoleniu na BleepingComputer i pozytywną opinię przekazaną mi w kuluarach od nauczycieli prowadzących.

Zdrowych i radosnych Świąt Wielkanocnych!

RegScanner Strona domowa Platforma: Windows XP do Windows 11 32-bit i 64-bit Licencja: freeware RegScanner - Małe narzędzie cenionej marki NirSoft, będące bardzo dobrym uzupełnieniem dla tradycyjnego regedit. RegScanner umożliwia wyszukanie określonych kluczy/wartości na podstawie zdefiniowanych warunków i szybkie otworzenie wybranej ścieżki w regedit poprzez dwuklik na liście wyników. Wyszukiwane wartości mogą być także bezpośrednio wyeksportowane do pliku REG w formacie regedit. Przewaga funkcji wyszukiwania nad standardowym wyszukiwaniem w systemowym regedit: Podczas skanowania status postępu pokazuje aktualnie skanowany klucz, w odróżnieniu od regedit kwitującego sprawę ogólnym komunikatem "Wyszukiwanie w rejestrze". Kompleksowe rezultaty wyszukiwania są prezentowane zbiorczo. Nie ma potrzeby używania klawisza F3, by wyświetlić kolejne rezultaty. Prócz standardowego wyszukiwania ciągu znanego z regedit, jest możliwe wyszukiwanie wartości na podstawie długości danych, typu wartości (REG_SZ, REG_DWORD, itd.) oraz daty modyfikacji klucza. RegScanner potrafi wyszukać ciągi unicode zlokalizowane wewnątrz wartości binarnej. RegScanner umożliwia wyszukiwanie z rozróżnieniem wielkości liter. Prócz wyszukiwania, dostępne też podstawowe operacje usuwania kluczy/wartości, ale obwarowane określonymi mechanizmami zabezpieczającymi. RegScanner posiada również dwa przełączniki linii komend: /regedit (otwieranie zdefiniowanego klucza w regedit) i /clipregedit (otwieranie klucza skopiowanego do schowka systemowego). W tym kontekście jest to alternatywa dla konsolowego narzędzia RegJump Microsoftu. Program nie wymaga instalacji i nie ma zewnętrznych zależności. Dostępne dwie wersje, 32-bit i 64-bit, oraz spolszczenie.

Usuwanie określonych komponentów adware AdwCleaner Strona domowa pod szyldem Malwarebytes Strona domowa po szyldem ToolsLib Oficjalne forum Platforma: Windows 7 i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Pobierz Pobierz INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

@Markiz Czy są jeszcze jakieś problemy? Początkowo zgłaszałeś też "komputer coraz bardziej zwalnia", toteż czy to nadal ma miejsce? PS. Zapomniałam skomentować: Historia Defendera: Ustawienia > Aktualizacje i zabezpieczenia > Zabezpieczenia Windows > Ochrona przez wirusami i zagrożeniami > Bieżące zagrożenia (Historia ochrony) To powinno być wyczyszczone i nie powinieneś widzieć tego co wcześniej. Jeśli nadal tam coś widać, to jest to pochodna innego mechanizmu niż standardowa Ochrona w czasie rzeczywistym i wyczyszczenie takiej historii to duży ból głowy (trzeba ubić całego Defendera przed wdrożeniem usuwania).

Być może trzeba się wstrzymać. Właśnie się zorientowałam, że u mnie 5 dni temu był ten sam problem z instalacją KB5034441, tylko że przeoczyłam to nie siedząc przy komputerze. Windows Update raportuje, że "Wszystko jest aktualne" i nie podstawia mi tej aktualizacji do powtórnej instalacji. To być może świadczy o tymczasowym jej wstrzymaniu na komputerach nie spełniających wymogów partycji RE i fazą pracy nad nową aktualizacją.

Aktualizacja wedle opisu jest pod scenariusz z szyfrowaniem dysków Bitlocker, więc teoretycznie nie stosując tego szyfrowania nie ma po co się "zabezpieczać". Ponadto MS twierdzi: "Pracujemy nad rozwiązaniem tego problemu i udostępnimy aktualizację w najbliższej wersji.". Aczkolwiek (jeśli MS nie wymyśli "automatu" wykonującego czarną robotę za użytkownika) za mała partycja RE może się okazać przeszkodą w przyszłości i kroki z jej tworzeniem będą nie do uniknięcia.

Problem z instalacją aktualizacji KB5034441 jest opisany przez Microsoft tutaj. By aktualizacja pomyślnie się zainstalowała, jest wymagane 250MB wolnego miejsca na ukrytej partycji RE. Patrząc na spis ukrytych woluminów, środowisko RE to powinna być ta druga pozycja i jest zbyt mało wolnego miejsca: ==================== Dyski ================================ \\?\Volume{80348e04-0000-0000-0000-100000000000}\ (Zastrzeżone przez system) (Fixed) (Total:0.05 GB) (Free:0.02 GB) NTFS \\?\Volume{80348e04-0000-0000-0000-b01a77000000}\ () (Fixed) (Total:0.52 GB) (Free:0.08 GB) NTFS Sposobem na obejście tego jest niestety utworzenie nowej partycji RE wg kroków podlinkowanych przez MS.

Dziwna sprawa, bo ten pierwszy Fixlog po zatrzymaniu FRST jest kompletny, ale definitywnie nie zgadza się ilość wyczyszczonych Dzienników zdarzeń (o wiele mniej niż przewidywane). Drugi Fixlog pokazuje już kompletne wyzerowanie Dzienników. Czyli teraz zrób świeże raporty z FRST. Podaj czy Historia Defendera jest pusta i co z Zaporą.

To nie jest normalne. Zakończ proces FRST via Menedżer zadań. Następnie sprawdź czy w pliku fixlog.txt jest cokolwiek związanego z tym konkretnym fiksem (być może częściowo informacje nagrane gdzie FRST zastopował). Podejrzewam, że być może czyszczenie historii skanu Defendera jest problemem. Spróbuj ograniczyć fiks do: EmptyEventLogs: Reboot:

Wygląda na to, że program w starszej wersji wykonał robotę. Teraz jeszcze usunięcie ograniczenia i czyszczenie logów Defendera. Uruchom FRST. CTRL+Y i wklej poniższą treść, zapisz przez CTRL+S. Klik w Napraw. HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service EmptyEventLogs: Reboot: Przedstaw wynikowy fixlog.txt. Dodaj świeże raporty FRST. Sprawdź czy historia detekcji w Defenderze jest pusta. Opisz na czym stoimy.

Wg komentarzy tutaj ten błąd zdaje się być bugiem w najnowszej dostępnej wersji 3.1.2.86. Wygrzebałam z maszyny wirtualnej starą 64-bitową wersję SetACL 3.0.6.0. Pobierz i podmień SetACL.exe w folderze C:\Windows. Następnie wykonaj to samo co w poprzednim poście i pokaż zrzut ekranu.

Na szybko, bo muszę się oddalić i nie będzie mnie do późna (a nawet jutra). Wg Fixlog kopia zapasowa C:\fix.txt została otworzona, ale prawie nic nie zostało załadowane, zatrzymanie nastąpiło na pierwszym kluczu od góry: Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\MpsSvc> Sprawdź co poda oryginalna linia komend. Tzn. w polu szukania wklep cmd, wybierz opcję Uruchom jako Administrator, do okna wklej i ENTER: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\fix.txt Czekaj cierpliwie dopóki SetACL nie ukończy działania (przejście do mrugającego C:\Windows\system32>). Pokaż zrzut ekranu z tego.

W kwestii uprawnień, naruszenie nastąpiło na pewno w podkluczach PortKeywords: W naturalnych okolicznościach klucze mają "Odmowę dostępu" z poziomu FRST (program działa w kontekście konta administracyjnego a nie SYSTEM): Ich uprawnienia można podglądnąć tylko poprzez uruchomienie regedit lub FRST z poziomu konta SYSTEM (np. za pomocą programu AdvancedRun). Ponadto pokazane tu uprawnienia są niewłaściwe. Te widziane z poziomu konta SYSTEM wyglądają tak: ============================================= Dla pewności załaduję kopię uprawnień dla całego klucza Zapory. Użyjemy SetACL, gdyż już go masz na dysku: 2024-01-07 14:45 - 2021-06-27 00:10 - 000616312 _____ (Helge Klein) C:\Windows\SetACL.exe 1. Wklej do Notatnika poniższą treść i zapisz jako C:\fix.txt (upewnij się, że nie będzie "podwójnego" rozszerzenia C:\fix.txt.txt). "machine\SYSTEM\CurrentControlSet\Services\MpsSvc",4,"O:SY" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters",4,"O:SY" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\ACService",4,"O:SYD:PAI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;CIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs",4,"O:SYD:PAI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;CIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs\AppCs",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords",4,"O:SY" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CI;CCDC;;;S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo",4,"O:SYD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Security",4,"O:SY" 2. Uruchom FRST. CTRL+Y i wklej poniższą treść, zapisz przez CTRL+S. Klik w Napraw. cmd: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\fix.txt ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\ACService ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\AppCs\AppCs ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Security ExportKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Przedstaw wynikowy fixlog.txt. Na razie nie resetuj komputera i nie próbuj podejmować innych akcji z Zaporą.

Sprawdzenie Fixlog zajmie mi trochę. Co do trojana to owszem to było widoczne od początku i po wyczyszczeniu Dziennika zdarzeń detekcje nadal występują. Windows Defender czepia się w kółko pliku na Pulpicie i jego rozpakowanej wersji w D:\TEMP: Ścieżka: file:_C:\Users\Włodek\Desktop\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.20433\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.22152\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.27243\stds keygen.exe; process:_pid:9136,ProcessStart:133482772497033166 Pochodzenie wykrycia: Komputer lokalny Nazwa pliku jest oczywista, plik niepewny i do skasowania wszystkie jego wystąpienia. Ponadto, o ile w ostatnim logu nie widać wpisów ładowania infekcji, to nagle pojawiły się blokady Windows Defender: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA O ile to nie Ty ręcznie podjąłeś czynności, by Defendera wyłączyć, to wpisy mogą pochodzić z tego "keygena".

Usterka związana ze złą grupą usługi (i wg mnie to usterka wtórna powstała podczas samodzielnych prób naprawy) została skorygowana. Teraz został odkryty błąd zasadniczy: Dziennik System: ============= Error: (01/13/2024 03:15:10 AM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa mpssvc zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: Odmowa dostępu. Podaj spis uprawnień kluczy, gdzie należy się spodziewać specjalnych kont systemowych. Tzn. ładuj kolejny Fix do FRST o treści: ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2 ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy Przedstaw wynikowy fixlog.txt. Jestem już zbyt zmęczona, by przeprowadzić analizę wyników. Jutro po południu spodziewaj się mnie.

Definitywnie jest tu ten uszczerbek: "Coś" zmieniło przynależność grupową usługi na odpowiadającą starszemu systemowi: vs. ======================================== Do przeprowadzenia następujące działania: 1. Uruchom FRST. Z klawiatury CTRL+Y i wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc] "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,6f,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,46,00,69,00,\ 72,00,65,00,77,00,61,00,6c,00,6c,00,20,00,2d,00,70,00,00,00 EndRegedit: cmd: sc sdset mpssvc D:(A;;CCLCLORC;;;AU)(A;;CCDCLCSWRPLORCWDWO;;;SY)(A;;CCLCSWRPLORCWDWO;;;BA)(A;;CCLCLO;;;BU)S:(AU;FA;CCDCLCSWRPWPDTLOSDRCWDWO;;;WD) Powershell: type C:\FRST\Quarantine\C\Windows\System32\GroupPolicy\Machine\registry.pol.xBAD 2024-01-05 16:54 - 2024-01-05 16:54 - 000000000 _____ C:\autoexec.bat 2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\Windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP 2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\sh4ldr EmptyEventLogs: Reboot: Z klawiatury CTRL+S i klik w Napraw. Nastąpi restart systemu. 2. Dostarcz wynikowy fixlog.txt oraz świeże raporty z FRST.

Fixlist jest pusty (jakby nic nie skopiowało się ze schowka). Powtórz kroki, by wyprodukować raport.

@Markiz Na chwilę obecną podstawowy błąd Zapory to: Ten błąd zapewne wyprodukowałeś własnoręcznie próbując ładować pliki z mojego opisu rekonstrukcji Zapory dedykowanego wyłącznie Windows 7. W Windows 10 są zasadnicze różnice w kluczach rejestru i nie można w ciemno brać importów ze starszego systemu. W/w błąd to wynik tego, że w Windows 7 usługa Zapory należy do grupy LocalServiceNoNetwork zaś w Windows 10 do grupy LocalServiceNoNetworkFirewall. I to zapewne nie jedyny uszczerbek związany z nieprawidłowymi importami. Poproszę o więcej danych co właściwie jest obecnie w rejestrze. Tzn. uruchom FRST, CTRL+Y i do Notatnika wklej poniższy tekst, klik w Napraw: ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BFE ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\mpsdrv ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\DoSvc ExportValue: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender Security Center ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Notifications\Settings cmd: sc sdshow BFE cmd: sc sdshow MpsSvc cmd: sc sdshow mpsdrv cmd: sc sdshow SharedAccess cmd: sc sdshow DoSvc Podaj wynikowe rezultaty.

@Markiz Dostarcz raporty z FRST, ponieważ wedle opisu zgłaszasz więcej problemów i być może należy podjąć dodatkowe działania.

Szczęśliwego Nowego Roku!

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc!

Lista zmian 2023 Rewizje tutorialu:

ESET SysInspector Strona domowa Polski plik pomocy Platforma: Windows 7 i nowsze oraz edycje serwerowe 32-bit i 64-bit Licencja: freeware W aktualnej wersji 2.0.17.0 (wydanej pod koniec 2023) zmienił się interfejs, co zaprezentowane na zrzucie, a także usunięto funkcjonalność porównywania raportów oraz tworzenia skryptu usuwającego. ESET SysInspector - Narzędzie do analizy komponentów systemu, integrowane również w produktach ESET Smart Security i NOD32. W skład rozpoznawanych obiektów wchodzą: Running processes (aktywne procesy systemu), Network Connections (otwarte porty TCP i UDP oraz serwery DNS), Important Registry Entries (różne czułe lokalizacje rejestru oraz parametry produktów ESET w rejestrze), Services (usługi), Drivers (sterowniki), Critical Files (zawartość plików win.ini i system.ini), System Scheduler Tasks (zaplanowane zadania), File details (szczegóły plików). System information podaje zaś takie dane jak: zainstalowane programy i aktualizacje, zmienne środowiskowe, aktualne uprawnienia użytkownika, sumaryczne właściwości dysków, udziały sieciowe, rekordy z dzienników zdarzeń Aplikacja i System, rozszerzenia przeglądarek (Firefox | Chrome | Edge | IE). Lista ma wbudowaną weryfikację podpisów cyfrowych plików. Menu kontekstowe oferuje opcje otworzenia lokalizacji docelowej w rejestrze lub na dysku. SysInspector wykorzystuje technikę Anti-Stealth umożliwiającą wykrywanie ukrytych obiektów (np. rootkitów) w procesach, usługach, rejestrze i MBR. Aplikacja ma wbudowany system oceny komponentów w skali 1-9, kolory sugerują poziom bezpieczeństwa, a widok może zostać przefiltrowany do pokazywania tylko obiektów określonej skali zagrożenia. Skalę kolorystyczną należy brać z lekkim przymrużeniem oka. Przeważnie wyniki typu "Unknown" należy interpretować, że aplikacja nie ma ich po prostu w bazie i nic więcej. Podczas pierwszego uruchomienia pada pytanie czy utworzyć raport na własny użytek, czy też zanonimizowany pod potencjalną przesyłkę do analizy przez eksperta. Wyniki skanowania można przerzucić do logów *.esil (format własny), *.json lub *.zip. Program w zakresie dla przeciętnego użytkownika ogranicza się do pobrania informacji i ich zapisu do logów. Brak funkcji usuwających. Do pobrania są odrębne edycje 32-bit i 64-bit. Program nie wymaga instalacji. W menu można ustawić polski oraz ciemny motyw.