picasso

Sprawdzenie Fixlog zajmie mi trochę. Co do trojana to owszem to było widoczne od początku i po wyczyszczeniu Dziennika zdarzeń detekcje nadal występują. Windows Defender czepia się w kółko pliku na Pulpicie i jego rozpakowanej wersji w D:\TEMP: Ścieżka: file:_C:\Users\Włodek\Desktop\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.20433\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.22152\stds keygen.exe; file:_D:\TEMP\Rar$DRa1236.27243\stds keygen.exe; process:_pid:9136,ProcessStart:133482772497033166 Pochodzenie wykrycia: Komputer lokalny Nazwa pliku jest oczywista, plik niepewny i do skasowania wszystkie jego wystąpienia. Ponadto, o ile w ostatnim logu nie widać wpisów ładowania infekcji, to nagle pojawiły się blokady Windows Defender: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA O ile to nie Ty ręcznie podjąłeś czynności, by Defendera wyłączyć, to wpisy mogą pochodzić z tego "keygena".

Usterka związana ze złą grupą usługi (i wg mnie to usterka wtórna powstała podczas samodzielnych prób naprawy) została skorygowana. Teraz został odkryty błąd zasadniczy: Dziennik System: ============= Error: (01/13/2024 03:15:10 AM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa mpssvc zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: Odmowa dostępu. Podaj spis uprawnień kluczy, gdzie należy się spodziewać specjalnych kont systemowych. Tzn. ładuj kolejny Fix do FRST o treści: ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2 ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy Przedstaw wynikowy fixlog.txt. Jestem już zbyt zmęczona, by przeprowadzić analizę wyników. Jutro po południu spodziewaj się mnie.

Definitywnie jest tu ten uszczerbek: "Coś" zmieniło przynależność grupową usługi na odpowiadającą starszemu systemowi: vs. ======================================== Do przeprowadzenia następujące działania: 1. Uruchom FRST. Z klawiatury CTRL+Y i wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc] "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,6f,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,46,00,69,00,\ 72,00,65,00,77,00,61,00,6c,00,6c,00,20,00,2d,00,70,00,00,00 EndRegedit: cmd: sc sdset mpssvc D:(A;;CCLCLORC;;;AU)(A;;CCDCLCSWRPLORCWDWO;;;SY)(A;;CCLCSWRPLORCWDWO;;;BA)(A;;CCLCLO;;;BU)S:(AU;FA;CCDCLCSWRPWPDTLOSDRCWDWO;;;WD) Powershell: type C:\FRST\Quarantine\C\Windows\System32\GroupPolicy\Machine\registry.pol.xBAD 2024-01-05 16:54 - 2024-01-05 16:54 - 000000000 _____ C:\autoexec.bat 2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\Windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP 2024-01-05 16:53 - 2024-01-05 17:23 - 000000000 ____D C:\sh4ldr EmptyEventLogs: Reboot: Z klawiatury CTRL+S i klik w Napraw. Nastąpi restart systemu. 2. Dostarcz wynikowy fixlog.txt oraz świeże raporty z FRST.

Fixlist jest pusty (jakby nic nie skopiowało się ze schowka). Powtórz kroki, by wyprodukować raport.

@Markiz Na chwilę obecną podstawowy błąd Zapory to: Ten błąd zapewne wyprodukowałeś własnoręcznie próbując ładować pliki z mojego opisu rekonstrukcji Zapory dedykowanego wyłącznie Windows 7. W Windows 10 są zasadnicze różnice w kluczach rejestru i nie można w ciemno brać importów ze starszego systemu. W/w błąd to wynik tego, że w Windows 7 usługa Zapory należy do grupy LocalServiceNoNetwork zaś w Windows 10 do grupy LocalServiceNoNetworkFirewall. I to zapewne nie jedyny uszczerbek związany z nieprawidłowymi importami. Poproszę o więcej danych co właściwie jest obecnie w rejestrze. Tzn. uruchom FRST, CTRL+Y i do Notatnika wklej poniższy tekst, klik w Napraw: ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BFE ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\mpsdrv ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\DoSvc ExportValue: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender Security Center ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Notifications\Settings cmd: sc sdshow BFE cmd: sc sdshow MpsSvc cmd: sc sdshow mpsdrv cmd: sc sdshow SharedAccess cmd: sc sdshow DoSvc Podaj wynikowe rezultaty.

@Markiz Dostarcz raporty z FRST, ponieważ wedle opisu zgłaszasz więcej problemów i być może należy podjąć dodatkowe działania.

Szczęśliwego Nowego Roku!

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc!

Lista zmian 2023 Rewizje tutorialu:

ESET SysInspector Strona domowa Polski plik pomocy Platforma: Windows 11, Windows 10 32-bit i 64-bit Licencja: freeware W wersji 2.0.17.0 (wydanej pod koniec 2023) zmienił się interfejs, co zaprezentowane na zrzucie, a także usunięto funkcjonalność porównywania raportów oraz tworzenia skryptu usuwającego. W wersji 2.1.5.0 (wydanej w 2025) chyba usunięto kompatybilność ze starszymi systemami i edycjami serwerowymi, gdyż obecnie menu pobierania jest zredukowane. ESET SysInspector - Narzędzie do analizy komponentów systemu, integrowane również w produktach ESET Smart Security i NOD32. W skład rozpoznawanych obiektów wchodzą: Running processes (aktywne procesy systemu), Network Connections (otwarte porty TCP i UDP oraz serwery DNS), Important Registry Entries (różne czułe lokalizacje rejestru oraz parametry produktów ESET w rejestrze), Services (usługi), Drivers (sterowniki), Critical Files (zawartość plików win.ini i system.ini), System Scheduler Tasks (zaplanowane zadania), File details (szczegóły plików). System information podaje zaś takie dane jak: zainstalowane programy i aktualizacje, zmienne środowiskowe, aktualne uprawnienia użytkownika, sumaryczne właściwości dysków, udziały sieciowe, rekordy z dzienników zdarzeń Aplikacja i System, rozszerzenia przeglądarek (Firefox | Chrome | Edge | IE). Lista ma wbudowaną weryfikację podpisów cyfrowych plików. Menu kontekstowe oferuje opcje otworzenia lokalizacji docelowej w rejestrze lub na dysku. SysInspector wykorzystuje technikę Anti-Stealth umożliwiającą wykrywanie ukrytych obiektów (np. rootkitów) w procesach, usługach, rejestrze i MBR. Aplikacja ma wbudowany system oceny komponentów w skali 1-9, kolory sugerują poziom bezpieczeństwa, a widok może zostać przefiltrowany do pokazywania tylko obiektów określonej skali zagrożenia. Skalę kolorystyczną należy brać z lekkim przymrużeniem oka. Przeważnie wyniki typu "Unknown" należy interpretować, że aplikacja nie ma ich po prostu w bazie i nic więcej. Podczas pierwszego uruchomienia pada pytanie czy utworzyć raport na własny użytek, czy też zanonimizowany pod potencjalną przesyłkę do analizy przez eksperta. Wyniki skanowania można przerzucić do logów *.esil (format własny), *.json lub *.zip. Program w zakresie dla przeciętnego użytkownika ogranicza się do pobrania informacji i ich zapisu do logów. Brak funkcji usuwających. Do pobrania są odrębne edycje 32-bit i 64-bit. Program nie wymaga instalacji. W menu można ustawić polski oraz ciemny motyw.

TaskSchedulerView Strona domowa Platforma: Windows Vista do Windows 11 32-bit i 64-bit Licencja: freeware TaskSchedulerView - Narzędzie marki Nirsoft będące przyjazną alternatywą dla systemowej przystawki taskschd.msc do zarządzania Harmonogramem zadań systemów Vista i nowszych. Program jest ograniczony do wyświetlenia listy uruchomionych zadań i manipulacji ich statusem. Lista zadań podlega filtrowaniu, można ukryć zadania uruchamiane z folderów Microsoftu oraz wyłączone. Dla każdego zadania są wyświetlane m.in. następujące informacje: nazwa zadania, opis, status, oznaczenie czy zadanie jest ukryte, folder zadania, docelowy plik wykonywalny EXE lub uchwyt COM, detale uruchamiania. Przykładowy rekord: ================================================== Task Name : Firefox Background Update 308046B0AF4A39CB Status : Ready Hidden : No Last Task Result : 21 Last Run : 11.01.2025 00:20:55 Next Run : 11.01.2025 07:20:54 Allow Demand Start: Yes Triggers : Specific Time Run On Boot : No Run On Logon : No Run On Event : No Run Daily : No Run Weekly : No Run Monthly : No Run Only If Network Available: No Wake To Run : No Multi-Instances Policy: Ignore New Missed Runs : 0 Action Types : Run EXE Task Folder : \Mozilla Executable File : C:\Program Files\Mozilla Firefox\firefox.exe Executable Arguments: --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate Start Directory : C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB COM Handler Filename: COM Handler Description: COM Handler Class : Running User Account: Picasso Highest Privileges Run: No Author : Mozilla Description : Zadanie aktualizacji w tle wyszukuje aktualizacje programu Firefox, kiedy nie jest on włączony. To zadanie jest automatycznie instalowane przez program Firefox i jest ponownie instalowane po jego włączeniu. Aby je wyłączyć, zaktualizuj ustawienia przeglądarki lub ustawienie „BackgroundAppUpdate” zasad organizacji w programie Firefox. Source : Task Owner : DESKTOP-3DJ40NK\Picasso Priority : 7 Running Instances : 0 Task File Created Time: 10.11.2024 16:58:40 Task File Modified Time: 10.11.2024 16:58:41 Task Filename : C:\WINDOWS\system32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB ================================================== Zadania w wygodny sposób można hurtem w(y)łączać, nie jest jednak obsługiwane ich permanentne usuwanie. TaskSchedulerView jest dostępny w dwóch edycjach, 32-bit i 64-bit. Opcjonalnie do pobrania także spolszczenie.

@kacper6768 Temat zamykam zanim pójdzie do kosza. Już kilka razy zostałeś zgłoszony przez użytkowników jako spamer, a Twoje tematy do usunięcia. Co więcej, zakładasz masowo te same tematy na innych forach dyskusyjnych. Wprawdzie "Relaxation Room" to miejsce na różne luźne pogawędki, ale należy tu jednak postawić granice co pasuje do "relaksu" na forum o tematyce komputerowej. Większość poruszanych przez Ciebie tematów powinno się znaleźć w zupełnie innych miejscach w sieci. Zaś problemy zdrowotne powinny być omawiane z profesjonalistami a nie losowymi użytkownikami forum.

Changelog 2023

Temat zaktualizowany, linki poprawione. DelFix wymieniony na KpRm. Zostało rozbudowanie opisu KpRm oraz dodanie opisu na temat czyszczenia Przywracania systemu w Windows 11. Styczeń/luty 2023 to czas ubijania ze strony Microsoftu: koniec wsparcia dla Windows 8.1, koniec płatnych ESU dla Windows 7, usuwanie Internet Explorer z systemów Windows 10 przy udziale aktualizacji Edge. Również tandem Chromium (Chrome, Edge, Opera) usunął wsparcie dla systemów Windows 7 i Windows 8.1.

Dodatkowa informacja apropos bugów przeglądarek w kombinacji z naszym forum: Android z Chrome w wersji około 108-110 podczas ładowania określonych stron produkuje rendering strony podobny do problemów ze zdefektowanym urządzeniem, przetwarzaniem GPU, etc. Do wglądu ten temat.

Forum zostało pomyślnie zaktualizowane do wersji 4.7.7. W chwili obecnej forum może się dalej powoli ładować, ponieważ w tle odbywa się przeindeksowanie wszystkich postów. Co nowego: Alerty od Administratorów/Moderatorów System alertów to rozwiązanie zapełniające lukę w puli narzędzi informacyjnych czy ostrzegających (ogłoszenia administracyjne, prywatna wiadomość, nałożenie punktów ostrzeżeń/blokad). Umożliwia wysłanie pełnoekranowego zawiadomienia do grupy użytkowników lub pojedynczego użytkownika. Np. kurtuazyjne powitanie nowych użytkowników, wskazanie zmian w strukturze forum, informacja co stało się z konkretnym tematem. Alerty są zamykalne przyciskiem Odrzuć, a w zależności od ustawień może się pojawić opcjonalna możliwość odpowiedzi lub jej wymuszenie przed zamknięciem. Pokazowy alert na temat aktualizacji forum powinien się wyświetlić wszystkim zalogowanym użytkownikom. Zmiany w interfejsie Pole wyszukiwania przeszło lifting i uległo korzystnemu uproszczeniu. Po najechaniu na pole pojawia się skondensowane menu (dostęp do zaawansowanej konfiguracji nadal zachowany poprzez klik na lupkę). Ponadto, po kilku latach przywrócono jak najbardziej pożądaną adaptację tego pola do sfery strony. Przeglądając konkretne forum lub temat pole automatycznie ustawi z "Wszędzie" na "To forum" czy "Ten temat". Rozwiązuje to tego typu problemy ze znalezieniem opcji: W nagłówku profilu został dodany link do Ustawień konta: Ponadto, ankiety zamknięte mają widoczne dla wszystkich rezultaty głosowania. Komunikator Funkcja "Wyłącz mój komunikator" zmieniła działanie. Uprzednio jej użycie skutkowało całkowitym wyłączeniem komunikatora, a dostęp do zawartości skrzynki wymagał po prostu ponownej aktywacji całego majdanu (via menu konta > Wiadomości > potwierdzenie pytania). Nowością jest, że wyłączenie komunikatora jest połowiczne, tzn. zachowanie dostępu do skrzynki przy jednoczesnym ograniczeniu komunikacji. Zostaje zablokowane otrzymanie wiadomości od użytkowników (z wyjątkiem Administratorów/Moderatorów) i alertów, ale nadal można wysyłać nowe wiadomości do innych lub odpowiadać na istniejące. Po skorzystaniu z opcji pojawi się pop-up objaśniający: Zawartość skrzynki w pełni dostępna, ale figuruje ostrzeżenie umożliwiające re-aktywację: Dodatkowo, Administrator otrzymał opcję automatycznego usuwania po X dniach wiadomości bez żadnej odpowiedzi. Na razie nie zostało tu nic takiego skonfigurowane. Kalendarz Aplikacja zmieniła radykalnie formę z przechodzonego "Kalendarza" na "Wydarzenia", choć polskie tłumaczenie jest "mieszane" (stara nazwa modułu, ale opcje np. w polu wyszukiwania używają słowa "Wydarzenia"). W związku z nową funkcjonalnością zostały usunięte "nie pasujące" do tego systemu urodziny, a w konsekwencji zniknął również ze strony głównej spodni widżet "Kto obchodzi dziś urodziny". Strata żadna. Urodziny użytkowników nadal dostępne w profilach. Moduł zainstalowany u nas pro forma i uprzednio nie używany do niczego innego niż urodziny użytkowników i rocznice forum. Zostawiam go jednak, bo może się przydać w przyszłości do określonych publikacji. Inne zmiany - CKEditor został zaktualizowany do wersji 4.20.1 (Changelog CKEditor). Została w nim przywrócona obsługa Grammarly, o ile użytkownik ma zainstalowane stosowne rozszerzenia w przeglądarce. - Przy procesie rejestracji sfatygowane keyCAPTCHA zostało zastąpione przez hCaptcha. Aktywne również w formularzu kontaktowym. Do Moderatorów Alerty moderacyjne - W dialogach klasycznych funkcji typu zamknięcie, przeniesienie, podzielenie czy ukrycie tematu pojawiła się opcjonalna możliwość wysłania prywatnego alertu do użytkownika z powiadomieniem co się stało z jego zawartością. Włączenie opcji Anonimowo wysyła alert nie wymagający żadnej odpowiedzi. Można jednak wybrać czy użytkownik może lub musi bezpośrednio odpowiedzieć na alert. Alerty są do wglądu w Panelu Moderatora. Jeśli włączono możliwość komunikacji, będzie dostępny licznik odpowiedzi którego kliknięcie przeniesie do prywatnej wiadomości ze wszystkimi odpowiedziami do alertu. W Panelu Moderatora zostały też dodane do Zgłoszonej zawartości filtry wg "aplikacji" (System, Forum, Wydarzenia). Oczekujące na zatwierdzenie mają podane przyczyny (przypominam, że niezatwierdzone są widoczne dla Moderatora tylko w forach przez niego moderowanych) Publikacja tematów z wyprzedzeniem (na razie zawężone tylko do Administratorów) Uwagi i bugi Bardzo proszę o zgłaszanie wszelkich uwag i zauważonych błędów. Póki co, z uciążliwości ale nie z winy oprogramowania forum zanotowany problem na urządzeniach mobilnych Samsung, zobrazowany potężną ilością "ENTER-ów" zwłaszcza na końcu postów. Może pomóc wyłączenie następującej opcji: Klawiatura Samsung > Więcej opcji > szukać polskiego odpowiednika opcji Enhanced accuracy (labs)

Od mniej więcej początku stycznia na rozmaite platformy (Invision, Xenforo, Wordpress, itd.) jest przeprowadzany nalot botów wliczając ataki typu "brute-force", które w zamiarze mają wykryć przejęte konta i zalogować się za ich pomocą, by utworzyć tematy ze spamem. Spamerzy mają w rękach jakiś przeciek danych niewiadomego pochodzenia (Twitter, LastPass?) i używają starych uprzednio poprawnych kont nie logowanych od dawna, które prawdopodobnie używały tych samych danych logowania w różnych serwisach i w jednym z nich nastąpiło przejęcie. Wiele z tych kont można znaleźć w bazie Have I Been Pwned. Nasze forum jest jednym z wielu, gdzie wystąpiło to zjawisko. Takie konta są tu permanentnie blokowane. Zawiadamiam na wszelki wypadek, gdyby ktoś mający tu wcześniej konto nie mógł się ponownie na nie zalogować. Wątpię jednak, by stare porzucone konta były tu zgłoszone przez ich oryginalnych właścicieli.

Szczęśliwego Nowego Roku!

PEBakery Strona domowa Forum PEBakery na theoven.org Platforma: Windows 7 i nowsze - Buduje nośniki: Windows 11, Windows 10, Windows 8/8.1, Windows 7 Licencja: GPL (open source) PEBakery - Silnik skryptowy specjalizowany w dostosowywaniu Windows Preinstalled Environment (WinPE/WinRE). Nowoczesna ulepszona alternatywa dla porzuconego WinBuilder 082, kompatybilna z projektami WinBuilder 082. Program utylizuje wimlib do operacji na obrazach WIM. Domyślna paczka nie posiada żadnych projektów. W skład gotowych projektów, które można załadować, wchodzą: Projekty stworzone dla PEBakery (kolportują PEBakery i nic więcej nie trzeba pobierać): PhoenixPE przeznaczony do generowania nośników opartych na Windows 11 i Windows 10. Projekty WinBuilder 082 zgodne z PEBakery: Win10XPE. Starsze projekty przeniesione do spoilera w pierwszym poście. Projekty te domyślnie dostarczają WinBuilder i komponenty PEBakery należy wstawić ręcznie, tzn.: albo przekopiować do rozpakowanego projektu folder Binary oraz PEBakeryLauncher.exe, albo przekopiować folder Projects do rozpakowanego PEBakery. Program jest aktywnie rozwijany. Zalecaną wersją użytkową jest stabilna datowana na końcówkę 2022. Jednakże są też dostępne wersje Nightly do testów.

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc!

Dzięki jessika! Mam nadzieję, że efekt nie jest zbyt denerwujący.

@0korneliusz Ukryłam Twój powyższy post z adresem e-mail (innym niż który masz w ustawieniach). Ja tu nie mam na myśli podawania danych publicznie tylko sprawdzenie czy e-mail w ustawieniach forum działa i jego ewentualną zmianę w ustawieniach.

Lista zmian 2022 Rewizje tutorialu:

Ze względów bezpieczeństwa IPS jest na drodze do całkowitej eliminacji logowania przy udziale nazwy użytkownika na korzyść logowania przy udziale adresu e-mail. Ogłoszenie IPS pojawiło się dzisiaj i jeszcze nie została wyszczególniona konkretna wersja kiedy zostanie to zaimplementowane. Do zarejestrowanych użytkowników: Proszę się przygotować i potwierdzić jaki e-mail jest obecnie przypisany do konta i czy jest on sprawny, a w razie potrzeby zmienić. Niepoprawny lub tymczasowy wygasający e-mail uniemożliwi logowanie w przyszłości.

@Krzesimierz Zmiana została dokonana w wersji Chrome 105. Nasz certyfikat ISRG Root X1 jest w natywnej bazie Chrome. Proszę daj znać czy po aktualizacji przeglądarki Chrome na Twoim Androidzie problem już nie występuje.