picasso

@Mati420

Wszystkie tematy połączyłam.

44 minuty temu, Mati420 napisał:

ktoś mi się ciągle włamuje na komputer i w plikach systemowych jest za dużo zmian w jednym momencie :

-szyfrowanie dysków

-linux dla windowsa 

-zdalny dostęp do pulpita 

Powiedziałeś, że sformatowałeś system. Z jakiego nośnika (oficjalny legalny czy modyfikowany pobrany "na lewo)? Rozwiń co dokładnie oznaczają te opisywane zmiany, czyli co i gdzie widać.

Dodaj raporty FRST z systemu wykazujące co obecnie w systemie jest ładowane. Przypominam byś skonfigurował raporty z FRST wg instrukcji z linkowanego wcześniej tematu.

15 godzin temu, Mati420 napisał:

mam keylogera na telefonie co teraz - mam dać logi czy jak to mogę wyleczyć?

Ponownie, jakie przesłanki do tego twierdzenia. Co i gdzie widać.

25 minut temu, Krzesimierz napisał:

W tym androidzie nie ma certyfikatu ISRG Root X1, a żeby go dodać do systemu, wyczytałem, że trzeba mieć uprawnienia root (tzw. zrootowany telefon)

W kwestii Chrome jest jeszcze nadzieja. Chrome Root Program - Google pracuje nad własną bazą certyfikatów na podobieństwo Firefox, co uniezależni Chrome od baz certyfikatów urządzeń (z wyjątkiem Apple). Wstępna baza certyfikatów figurująca w/w linku zawiera ISRG Root X1. Nie wiadomo jednak w której wersji Chrome zostanie to zaimplementowane.

Proszę opisz jaki masz problem i dostarcz prawidłowe logi FRST.txt, Addition.txt i Shortcut.txt wstawione jako załączniki a nie wklejone w poście. Instrukcje tworzenia raportów, proszę zaznacz tylko opcje wskazane w instrukcji:

@Penicylina @jessica

Na podstawie wyników z Google Measure wprowadziłam korektę w kwestii ładowania Font Awesome. Raport się poprawił.

Dajcie znać czy widzicie jakieś zmiany. Aktualizacja forum swoją drogą, ale muszę mieć więcej czasu na jej sprawdzenie.

Niestety nic mi nie wiadomo na temat potencjalnego deszyfratora.

16 godzin temu, Penicylina napisał:

Nie wiem jak to nazwać więc piszę "zwiechy" trwają od 1-5 sek. Niby, krótki czas, jednak jak chce przejrzeć większą ilość tematów.... To robi się irytujące i zniechęca do przeglądania forum.
To chyba od czasu kiedy został wprowadzony nowy motyw. Wcześniej nie przypominam sobie, żeby były z tym większe problemy.

Ja niestety tego nie widzę i nie potrafię odtworzyć. Strona ładuje się u mnie błyskawicznie.

Wkrótce będzie nowa aktualizacja forum do wersji 4.6.7, którą obecnie testuję. Być może ona wniesie coś do sprawy.

16 godzin temu, Penicylina napisał:

Niestety z niewyjaśnionych przyczyn powyższy temat został zamknięty.

To stary temat z 2018 dotyczący innej wersji forum. Prawie wszystkie tematy w dziale Serwis są zamykane po określonym upływie czasu. Gdy pojawia się podobny problem, po prostu należy założyć nowy temat.

Zgodnie z podejrzeniem, "PUP.Optional.Legacy" to mała nieaktywna resztka i usunięcie tego z rejestru nie powinno mieć żadnych skutków pod kątem wydajności. Twoim problemem definitywnie nie jest infekcja.

Opisujesz problemy z pierwszą aktualizacją ESET oraz losowe występowanie problemów z wydajnością. Ja jednak sugeruję w pierwszej kolejności odinstalować ESET całkowicie, następnie dla pewności jeszcze przejechać przez ESET Uninstaller, i sprawdzić jak działa system przez dłuższy czas bez tego programu.

Co do legalności systemu, nie jest dla mnie jasne jaki loader był używany i czy rzeczywiście ma jakieś skutki. Ten martwy rekord Chew7Hale możemy usunąć w każdej chwili przy udziale FRST, ale to nie jest tu priorytetem. Najpierw sprawdź ESET.

Temat zostanie przeniesiony do działu Windows.

1. W systemie brak oznak infekcji. Jeśli chodzi o "winowajców":

W dniu 7.10.2021 o 20:06, grzesznik napisał:

Winowajca znaleziony przez  malwarrebytes :

PUP.Optional.Delta
PUP.Optional.Conduit

3 godziny temu, grzesznik napisał:

Adw -cleaner wykazał w jednym pliku obecność tego PUP. Optional . 

Nie podałeś raportów tych programów (dostarcz), ale po nazwie kodowej wątpliwe by miało to coś wspólnego z problemami w systemie, wygląda na jakieś resztki w przeglądarce.

2. Jeśli chodzi o błędy DCOM, to wyglądają na nagrane w Trybie awaryjnym (tu z obsługą Sieci). W takim trybie to norma i nie trzeba podejmować żadnych działań:

Dziennik System:
=============
Error: (10/08/2021 07:30:17 PM) (Source: DCOM) (EventID: 10005) (User: )
Description: Model DCOM odebrał błąd 1068 podczas próby uruchomienia usługi BITS z argumentami  w celu uruchomienia serwera:
{4991D34B-80A1-4291-83B6-3328366B9097}

Error: (10/08/2021 07:29:42 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Moduł wyliczający magistrali PnP-X IP zależy od usługi Host dostawcy odnajdowania funkcji, której nie można uruchomić z powodu następującego błędu: 
Uruchomienie usługi zależności lub grupy nie powiodło się.

Error: (10/08/2021 07:29:12 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: 
Uruchomienie usługi zależności lub grupy nie powiodło się.

Gdyby błędy występowały w Trybie normalnym, następujące działania byłyby zasadne:

W dniu 3.07.2021 o 13:37, picasso napisał:

Z klawiatury klawisz z flagą Windows + R, w polu Uruchom wklej dcomcnfg. Podczas uruchamiania przystawka wykonuje automatyczną reperację uszkodzonych klas DCOM. To może wystarczyć, ale są przypadki gdy trzeba naprawiać błędy dostępowe ręcznie w tej konsoli. Daj znać czy po uruchomieniu dcomcnfg nastąpiły jakieś zmiany.

3. Jeśli chodzi o wydajność systemu:

W dniu 7.10.2021 o 20:06, grzesznik napisał:

Po włączeniu Chrome miałem 15 sekund i komputer zaczął  mulić.  (...) Strasznie przycina przy oglądaniu youtuba czy jakiś filmów online. A  poprawnie wyłączam komputer to raz na 5 razy . Bo inaczej to może cie 3h sam wyłączać.  

Z raportów najbardziej inwazyjny program rzucający się w oczy to niestety ESET, co już zostało zasugerowane przez Krzesimierza.

W raportach są też ślady crackowania systemu:

==================== MSCONFIG/TASK MANAGER - Wyłączone elementy ==

MSCONFIG\startupreg: Chew7Hale => "C:\Windows\System32\hale.exe" /nolog

==================== Usługi (filtrowane) ===================

S3 sppuinotify; C:\Windows\system32\sppuinotify.dll [65536 2014-02-20] (Microsoft Corporation) [Brak podpisu cyfrowego]

Gdyby nie to, że Chew7Hale jest obecnie wyłączony z automatycznego startu via msconfig, byłby to podejrzany numer 1. Jeśli ten proces jest czynny, występuje ogromne zużycie zasobów, co tu na forum zostało udokumentowane wielokrotnie. To nie zmienia faktu, że jest tu ślad czegoś dodatkowego, bo sppuinotify powiązany z systemem aktywacji jest pozbawiony sygnatury. Tak więc, jakie obecnie cracki są tu w obrotach?

Dodam, że z poziomu serwera mam ograniczone pole manewru. IIS obsługuje dwa modele łańcuchów, ale tylko jeden z nich może być aktywny. Na serwerze jest ustawiony łańcuch Modern, co można sprawdzić na stronie Quick Chain Checker:

Na wszelki wypadek uaktualniłam klienta Let's Encrypt, ale wątpię by to wniosło coś do sprawy. Na urządzeniach nie obsługujących nowego certyfikatu widzę tylko dwa rozwiązania:

1. Ręczna instalacja certyfikatu ze strony Let's Encrypt, o ile urządzenie Android to umożliwia.

2. Korzystanie z Firefox, który ma własną bazę certyfikatów aktualizowaną niezależnie od bazy certyfikatów urządzenia.

Bieżący certyfikat: nie jest "self-signed", pochodzi z zaufanego źródła Let's Encrypt, nie wygasł (data kolejnego odświeżenia: 20 grudnia 2021) a test serwera wykonany z poziomu Qualys SSL Labs zgłasza:

Trusted Yes [Mozilla  Apple  Android  Java  Windows]

Handshake Simulation: Android 7.0     RSA 2048 (SHA256)       TLS 1.2 > h2       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   ECDH secp384r1  FS

Jedyne co mi przychodzi do głowy to, że Twój Android próbuje używać starego wygasłego certyfikatu DST Root CA X3, bo pod koniec września Let's Encrypt zmieniło z DST Root CA X3 na ISRG Root X1.

DST Root CA X3 Expiration (September 2021)

Certificate Compatibility

Let’s Encrypt’s root certificate has expired, and it might break your devices

Cytat

While Android, in Let’s Encrypt’s words, has a “long-standing and well known issue with operating system updates”, the nonprofit has a workaround that might prevent the majority of smartphones from being impacted by the expiry. The organization this year transitioned to its own ISRG Root X1 certificate, which doesn’t expire until 2035. While many Android devices still don’t trust this certificate — namely versions of Android (Nougat) 7.1.1 and earlier — Let’s Encrypt obtained a cross-signature for its own certificate that’s valid for longer than the signing root, meaning most Android devices should remain breakage-free for three more years.
 

Some Android devices may still run into issues, Let’s Encrypt said, and it’s recommending that users running Android (Lollipop) 5.0 install Firefox.
 

“For an Android phone’s built-in browser, the list of trusted root certificates comes from the operating system — which is out of date on these older phones,” Let’s Encrypt explains. “However, Firefox is currently unique among browsers — it ships with its own list of trusted root certificates.”

Na swoim Androidzie wejdź do bazy certyfikatów w ustawieniach i sprawdź co figuruje w niej. Tu poglądowo z bazy certyfikatów Firefox:

DST Root CA X3 (Stary wygasły)

ISRG Root X1 (Nowy)

Nie widziałam żadnej wtyczki w Marketplace, która adresowałaby ten teren. Jak sądzę, tu po prostu limit czasowy jest jedynym pewnym rozwiązaniem.

Zatrzymywanie spamu przy rejestracji czy pisaniu postów to osobne zagadnienie, bo blokada może być wykonana wg określonych parametrów (IP, adres e-mail, nazwa użytkownika).

Jeśli chodzi o ostatnie pytanie, to ja również widzę ten obraz w podobny sposób na Desktopie.

Jak mówię, na razie zostawiam ustawienia domyślne.

Tak, zgadzam się z Wami, że jest to nieporęczne, ale niestety nie mogę poluzować ograniczeń. Ten limit czasowy jest konieczny, bo to zabezpieczenie przed zaspamowaniem serwera zapytaniami w pętlach, co mogłoby doprowadzić nawet do padu serwera. Są niebezpieczne automatyczne boty nastawione na takie operacje oraz "żartownisie" zabawiający się w taki sposób.

21 godzin temu, Krzesimierz napisał:

Kilka pierwszych wyszukiwań powinno być nielimitowanych.

Nie jest możliwe rozróżnienie co za rodzaj wyszukiwania został uruchomiony i przez kogo.

21 godzin temu, Krzesimierz napisał:

Dodatkowo może lepszy byłby popup informujący o czasie do kolejnego wyszukiwania, zamiast przenoszenia na osobną stronę.

Nie wiem czy jest to technicznie wykonalne bez grzebania w kodzie forum, czego bardzo chciałabym uniknąć.

14 minut temu, Penicylina napisał:

Siedząc na laptopie mam rozdzielczość 1920x1080
Bo wysokość strony, którą przeglądam w pikselach to około 820.(Teraz sobie sprawdziłem za pomocą lightshota.
Czyli jak ktoś mi wrzuci zdjęcie wielkości 1000 to nawet się nie zmieści na stronie ?

14 minut temu, Penicylina napisał:

ale zdjęcia się nie zmieniają swojej wielkości jak, ktoś wrzuci 1000x720 to przy wielkości u mnie się nie mieszczą nawet w przeglądarce.
Szerokość pola widzenia u mnie postów to 1500 piksela

W mojej opinii to są już kwestie indywidualnej percepcji i nie ma jednolitego rozwiązania kalkulującego wszystkie możliwe kombinacje. Ja też siedzę na rozdzielczości 1920x1080 i nie odczuwam tego samego dyskomfortu co Ty. Cała szerokość posta jest u mnie widoczna niezależnie od wielkości okna przeglądarki (czyli i szerokość obrazu), natomiast z długością to można tu polemizować, że o ile treść posta to nie jest kilka linijek tekstu i tekstowe załączniki, to prędzej czy później i tak trzeba przewijać i nie tylko ze względu na jeden wielki obraz, ale np. 5 obrazów 350x350 w pionowej linii (2 widoczne, 3 ucięty, reszta niewidoczna, i jeszcze kluczowy tekst pod obrazkami).

9 minut temu, Penicylina napisał:

Problem w tym, że mniejszy format, zniwelowałby problemy związane z nowymi użytkownikami, którzy o tym nie wiedzą. Co wrzucają zdjęcia w maksymalnej rozdzielczości. Gdzie na pół ekranu, widzę same obrazki

7 minut temu, Penicylina napisał:

Linijka tekstu i obrazki, które 1000 razy więcej miejsca zajmują. To już estetycznie nie wygląda moim zdaniem.
Forum bardziej się skupia na tym, żeby przekazać treść przez tekst, a dodatkiem są zdjęcia, które pomagają przy diagnozie różnych problemów.
Może lepiej, gdyby z automatu był format do 350 pikseli z możliwością powiększenia, przez kliknięcie w obrazek.

Jeśli chodzi o tematy użytkowników, to gdy widzę kilka kolosów, gdzie trudno nawet przebić się do tekstu właściwego (plecionka z tekstu i obrazów), po prostu ręcznie edytuję rozmiary obrazów w poście. Akurat ten konkretny temat podany przez Ciebie jako przykład niespecjalnie mnie drażni, bo tekst jest odizolowany na początku. Oczywiście ręcznie mogę te obrazy zmniejszyć.

Jak mówię, na razie nie planuję zmiany domyślnego limitu. Są też dodatkowe aspekty sprawy:

• Każda zmiana w limicie, by objęła stare obrazy, wymaga globalnej przebudowy postów. Są jednak obrazy które moim zdaniem powinny pozostać nienaruszone.
• Forum ma układ responsywny i automatycznie dostosowuje elementy do zakresu widoczności ekranu lub urządzenia, więc nie każdy widzi to samo co ja czy Ty. Te same obrazki przy mniejszych oknach czy na urządzeniach mobilnych są proporcjonalnie zmniejszone bez żadnych dodatkowych manipulacji i odczucia wizualne są jednak inne.
• Pod kątem estetycznym jakość obrazów. Obrazek dostatecznie mały ale o te kilka pikseli wykraczający poza ustawiony limit (np. 355x355) wygląda jakby był w słabej jakości ("rozmyty", "rozciągnięty") a nie pomniejszony. Przy czym ustawiony limit powoduje niemożność powiększenia obrazu o te kilka pikseli w poście przy udziale menu edytora (tylko bezpośrednia edycja kodu HTML przez Administratora wchodzi w grę). Irytowało mnie to, dlatego też uznałam, że zostawienie większego marginesu lepiej służy. Jak na ironię po kilku zmianach ostatecznie i tak wróciłam do domyślnego ustawienia.

@Penicylina

8 godzin temu, Penicylina napisał:

Czy jest możliwość, żeby zdjęcia były formatowane automatycznie na forum?

Domyślnie automatyczny limit dla wyświetlania jest ustawiony na 1000x750 i nie widzę potrzeby zmiany gdyż:

8 godzin temu, Penicylina napisał:

Mogłoby być formatowane na jakiś odpowiedni rozmiar, żeby np. nie zajmowało więcej niż 350x350 pikseli i przy tym zachowało proporcje.
Dodatkowo można byłoby je powiększyć do oryginalnych rozmiarów po kliknięciu. 

Każdy użytkownik może dostosować rozmiar własnoręcznie jak omawiałam w starym temacie. Dwuklik na obraz lub kombinacja CTRL+ prawy klik, by wywołać menu edycji obrazu:

Wątpię, że to problem uprawnień.

- Czy pliki we Właściwościach mają zaznaczony atrybut "Tylko do odczytu"?

- Czy w Wordzie nie ma jakiś restrykcji tego typu?

- Czy na tym dysku podczas gdy edytor i wszystkie dokumenty są zamknięte są ukryte pliki ze znakiem tyldy ~? To pliki tymczasowe i powinny samodzielnie zniknąć po ukończeniu pracy nad dokumentem, ale czasami mogą pozostać.

Jeśli chodzi o błąd per se, to może mieć różne podłoże (uszkodzenia w systemie, braki lub kolizje sterowników). Ponadto, tutaj jest opisany trik obchodzący ten błąd, a polegający na nakładkowej reperacji systemu Windows 7 przy udziale płyty Windows 7 odpowiadającej wersji bieżącej systemu, i dopiero potem uruchomienie asystenta aktualizacji do Windows 10. Aczkolwiek zanim w ogóle podejmiesz się kolejnych prób przeczyść atmosferę, ponieważ notuję następujące problemy:

1. SlimDrivers oraz wszelkie inne automatyczne aktualizatory sterowników stanowczo odradzam. Przynoszą więcej szkody niż pożytku. Raporty z FRST powstałe po użyciu tego cudaka przez pośrednie ślady i tak nie wskazują na żadną aktualizację wersji (Intel, Realtek i nVidia stare). A kto to wie czy SlimDrivers nie wykonało nawet jakiegoś niepożądanego downgradu do starszej wersji, bo zostały załadowane sterowniki z 2000:

2021-07-14 01:35 - 2021-07-14 01:35 - 000000000 ____D C:\Program Files\Realtek
2021-07-14 01:35 - 2000-01-01 02:00 - 009078992 _____ C:\Windows\system32\Drivers\RTAIODAT.DAT
2021-07-14 01:35 - 2000-01-01 02:00 - 005556224 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\Drivers\RTKVHD64.sys
2021-07-14 01:35 - 2000-01-01 02:00 - 003503048 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkApi64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 003203968 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RltkAPO64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 003203584 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtPgEx64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 003014656 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RTSnMg64.cpl
2021-07-14 01:35 - 2000-01-01 02:00 - 002202624 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RCoInstII64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 001353824 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RTCOM64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000914016 _____ (Creative Technology Ltd.) C:\Windows\system32\MBAPO64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000768808 _____ (Creative Technology Ltd.) C:\Windows\SysWOW64\MBAPO32.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000689880 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtDataProc64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000532376 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSTSX64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000410024 _____ (Creative Technology Ltd.) C:\Windows\system32\MBWrp64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000387312 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RTEEP64A.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000343704 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtlCPAPI64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000321712 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RP3DHT64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000321712 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RP3DAA64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000221960 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSTSH64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000214832 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RTEED64A.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000209528 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSHP64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000192976 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkCfg64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000166200 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSWOW64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000122320 _____ (Real Sound Lab SIA) C:\Windows\system32\CONEQMSAPOGUILibrary.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000110984 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RTEEL64A.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000088344 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RTEEG64A.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000074600 _____ (Creative Technology Ltd.) C:\Windows\system32\MBppld64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000069920 _____ (Creative Technology Ltd.) C:\Windows\system32\MBPPCn64.dll
2021-07-14 01:35 - 2000-01-01 02:00 - 000023688 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkCoLDR64.dll
2021-07-14 01:17 - 2021-07-14 01:17 - 000003200 _____ C:\Windows\system32\Tasks\{7B0C6C83-A871-4896-BB21-D7B72021CE9F}
2021-07-14 01:14 - 2021-07-14 01:14 - 000003108 _____ C:\Windows\system32\Tasks\{473AC282-D4F2-4FE8-8B28-8D84D4B6C2EC}
2021-07-14 01:13 - 2021-07-14 01:13 - 000000000 ____D C:\Users\test\AppData\Roaming\RadioMaximusCE
2021-07-14 01:11 - 2021-07-14 01:11 - 000000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_TeeDriverx64_01011.Wdf
2021-07-14 01:10 - 2021-07-14 01:10 - 000000000 ____D C:\Users\test\Intel
2021-07-14 00:48 - 2021-07-14 01:16 - 000000000 ____D C:\Users\test\AppData\Local\CrashDumps
2021-07-14 00:46 - 2021-07-14 01:07 - 000000000 ____D C:\Users\test\AppData\Local\NVIDIA Corporation
2021-07-14 00:46 - 2021-07-14 00:46 - 000001454 _____ C:\Users\Public\Desktop\GeForce Experience.lnk
2021-07-14 00:46 - 2021-07-14 00:46 - 000000000 ____D C:\Users\test\AppData\Local\NVIDIA
2021-07-14 00:46 - 2021-07-14 00:46 - 000000000 ____D C:\Users\test\AppData\Local\CEF
2021-07-14 00:46 - 2021-07-14 00:46 - 000000000 ____D C:\Users\test\ansel
2021-07-14 00:46 - 2000-01-01 02:00 - 001035272 _____ (Realtek ) C:\Windows\system32\Drivers\Rt64win7.sys
2021-07-14 00:46 - 2000-01-01 02:00 - 000082544 _____ (Realtek Semiconductor Corporation) C:\Windows\system32\RtNicProp64.dll
2021-07-14 00:33 - 2021-07-14 00:33 - 000004146 _____ C:\Windows\system32\Tasks\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2021-07-14 00:33 - 2021-07-14 00:33 - 000003814 _____ C:\Windows\system32\Tasks\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2021-07-14 00:33 - 2021-07-14 00:33 - 000003798 _____ C:\Windows\system32\Tasks\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2021-07-14 00:33 - 2021-07-14 00:33 - 000003738 _____ C:\Windows\system32\Tasks\NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2021-07-14 00:33 - 2021-07-14 00:33 - 000003738 _____ C:\Windows\system32\Tasks\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2021-07-14 00:33 - 2021-07-14 00:33 - 000003730 _____ C:\Windows\system32\Tasks\NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2021-07-14 00:33 - 2021-07-14 00:33 - 000003554 _____ C:\Windows\system32\Tasks\NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2021-07-14 00:33 - 2021-07-14 00:33 - 000003494 _____ C:\Windows\system32\Tasks\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
2021-07-14 00:33 - 2021-07-14 00:33 - 000000000 ____D C:\Program Files (x86)\VulkanRT
2021-07-14 00:33 - 2018-02-24 14:46 - 002424904 _____ (NVIDIA Corporation) C:\Windows\system32\nvspcap64.dll
2021-07-14 00:33 - 2018-02-24 14:46 - 002090056 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvspcap.dll
2021-07-14 00:33 - 2018-02-24 14:46 - 001309256 _____ (NVIDIA Corporation) C:\Windows\system32\NvRtmpStreamer64.dll
2021-07-14 00:33 - 2018-02-24 14:46 - 000187704 _____ (NVIDIA Corporation) C:\Windows\system32\nvaudcap64v.dll
2021-07-14 00:33 - 2018-02-24 14:46 - 000152976 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvaudcap32v.dll
2021-07-14 00:33 - 2018-02-24 14:46 - 000001951 _____ C:\Windows\NvTelemetryContainerRecovery.bat
2021-07-14 00:33 - 2018-02-23 21:28 - 000136536 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvStreaming.exe
2021-07-14 00:33 - 2017-12-09 00:25 - 000798520 _____ C:\Windows\SysWOW64\vulkan-1.dll
2021-07-14 00:33 - 2017-12-09 00:25 - 000490808 _____ C:\Windows\SysWOW64\vulkaninfo.exe
2021-07-14 00:33 - 2017-12-09 00:24 - 000928568 _____ C:\Windows\system32\vulkan-1.dll
2021-07-14 00:33 - 2017-12-09 00:24 - 000591672 _____ C:\Windows\system32\vulkaninfo.exe
2021-07-14 00:32 - 2021-07-14 00:32 - 000000000 ____D C:\Windows\system32\Drivers\NVIDIA Corporation
2021-07-14 00:32 - 2018-02-24 14:46 - 000001951 _____ C:\Windows\NvContainerRecovery.bat
2021-07-14 00:32 - 2018-02-23 21:22 - 000633984 _____ (NVIDIA Corporation) C:\Windows\system32\nv3dappshext.dll
2021-07-14 00:32 - 2018-02-23 21:22 - 000081752 _____ (NVIDIA Corporation) C:\Windows\system32\nv3dappshextr.dll
2021-07-14 00:31 - 2018-02-25 07:41 - 035619872 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglv64.dll
2021-07-14 00:31 - 2018-02-25 07:40 - 028201048 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglv32.dll
2021-07-14 00:31 - 2018-02-25 07:40 - 017353248 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys
2021-07-14 00:31 - 2018-02-25 07:40 - 000996768 _____ (NVIDIA Corporation) C:\Windows\system32\NvIFR64.dll
2021-07-14 00:31 - 2018-02-25 07:39 - 000948128 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvIFR.dll
2021-07-14 00:31 - 2018-02-25 07:38 - 040277488 _____ (NVIDIA Corporation) C:\Windows\system32\nvcompiler.dll
2021-07-14 00:31 - 2018-02-25 07:38 - 003913016 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuvid.dll
2021-07-14 00:31 - 2018-02-25 07:38 - 003443800 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuvid.dll
2021-07-14 00:31 - 2018-02-25 07:38 - 001985384 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispco6439101.dll
2021-07-14 00:31 - 2018-02-25 07:38 - 001684000 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispgenco6439101.dll
2021-07-14 00:31 - 2018-02-25 07:38 - 001137512 _____ (NVIDIA Corporation) C:\Windows\system32\NvFBC64.dll
2021-07-14 00:31 - 2018-02-25 07:38 - 001064760 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvFBC.dll
2021-07-14 00:31 - 2018-02-25 07:37 - 035188640 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcompiler.dll
2021-07-14 00:31 - 2018-02-25 07:36 - 019925592 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvwgf2um.dll
2021-07-14 00:31 - 2018-02-25 07:36 - 019854312 _____ (NVIDIA Corporation) C:\Windows\system32\nvopencl.dll
2021-07-14 00:31 - 2018-02-25 07:36 - 013571008 _____ (NVIDIA Corporation) C:\Windows\system32\nvptxJitCompiler.dll
2021-07-14 00:31 - 2018-02-25 07:36 - 011131696 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvptxJitCompiler.dll
2021-07-14 00:31 - 2018-02-25 07:36 - 000505232 _____ (NVIDIA Corporation) C:\Windows\system32\nvumdshimx.dll
2021-07-14 00:31 - 2018-02-25 07:36 - 000419488 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvumdshim.dll
2021-07-14 00:31 - 2018-02-25 07:35 - 016496080 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvopencl.dll
2021-07-14 00:31 - 2018-02-25 07:35 - 001153752 _____ (NVIDIA Corporation) C:\Windows\system32\nvfatbinaryLoader.dll
2021-07-14 00:31 - 2018-02-25 07:35 - 000902280 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvfatbinaryLoader.dll
2021-07-14 00:31 - 2018-02-25 07:35 - 000182600 _____ (NVIDIA Corporation) C:\Windows\system32\nvinitx.dll
2021-07-14 00:31 - 2018-02-25 07:35 - 000164952 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglshim64.dll
2021-07-14 00:31 - 2018-02-25 07:35 - 000159712 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvinit.dll
2021-07-14 00:31 - 2018-02-25 07:35 - 000142816 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglshim32.dll
2021-07-14 00:31 - 2018-02-25 07:34 - 018910384 _____ (NVIDIA Corporation) C:\Windows\system32\nvd3dumx.dll
2021-07-14 00:31 - 2018-02-25 07:34 - 015558416 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvd3dum.dll
2021-07-14 00:31 - 2018-02-25 07:34 - 012966032 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuda.dll
2021-07-14 00:31 - 2018-02-25 07:34 - 011000288 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuda.dll
2021-07-14 00:31 - 2018-02-25 07:34 - 004424400 _____ (NVIDIA Corporation) C:\Windows\system32\nvapi64.dll
2021-07-14 00:31 - 2018-02-25 07:34 - 003918512 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvapi.dll
2021-07-14 00:31 - 2018-02-24 14:46 - 000226760 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvhda64v.sys
2021-07-14 00:31 - 2018-02-24 14:46 - 000059240 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvvad64v.sys
2021-07-14 00:31 - 2018-02-24 14:46 - 000057928 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvvhci.sys
2021-07-14 00:31 - 2018-02-24 14:46 - 000045600 _____ (NVIDIA Corporation) C:\Windows\system32\nvhdap64.dll
2021-07-14 00:31 - 2018-02-24 14:46 - 000000669 _____ C:\Windows\SysWOW64\nv-vk32.json
2021-07-14 00:31 - 2018-02-24 14:46 - 000000669 _____ C:\Windows\system32\nv-vk64.json
2021-07-14 00:28 - 2021-07-14 00:28 - 000000000 ____D C:\NVIDIA
2021-07-14 00:25 - 2021-07-14 00:25 - 000000000 ____D C:\ProgramData\SlimWare Utilities, Inc
2021-07-14 00:24 - 2021-07-14 01:12 - 000000000 ____D C:\Users\test\AppData\Local\SlimWare Utilities Inc
2021-07-14 00:23 - 2021-07-14 00:23 - 000002513 _____ C:\Users\Public\Desktop\SlimDrivers.lnk

Niestety nie ma jak tego odkręcić w pewny sposób, bo brak jakichkolwiek punktów Przywracania systemu, a funkcja i tak nie działa (patrz niżej na punkt 3).

2. Pliki Microsoftu są pozbawione podpisu cyfrowego (czytaj uszkodzone):

Task: {E98F1F8C-B660-4C6C-BEB8-DB50DE71B043} - System32\Tasks\Microsoft\Windows\Wininet\CacheTask => {0358b920-0ac7-461f-98f4-58e32cd89148} C:\Windows\system32\wininet.dll [2260480 2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
S3 IEEtwCollectorService; C:\Windows\system32\IEEtwCollector.exe [111616 2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]

2014-04-13 16:44 - 2014-03-06 07:36 - 000722432 _____ (Microsoft Corporation) [Brak podpisu cyfrowego] C:\Program Files\Internet Explorer\ieproxy.dll
2014-04-13 16:44 - 2014-03-06 08:53 - 013551104 _____ (Microsoft Corporation) [Brak podpisu cyfrowego] C:\Windows\System32\ieframe.dll
2014-04-13 16:44 - 2014-03-06 10:53 - 002767360 _____ (Microsoft Corporation) [Brak podpisu cyfrowego] C:\Windows\system32\iertutil.dll
2014-04-13 16:44 - 2014-03-06 07:58 - 001400832 _____ (Microsoft Corporation) [Brak podpisu cyfrowego] C:\Windows\system32\urlmon.dll
2014-04-13 16:44 - 2014-03-06 08:22 - 002260480 _____ (Microsoft Corporation) [Brak podpisu cyfrowego] C:\Windows\system32\wininet.dll

Handler: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\System32\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\Windows\system32\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\Windows\SysWOW64\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\System32\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\System32\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\System32\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\System32\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
Handler-x32: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll [2014-03-06] (Microsoft Corporation) [Brak podpisu cyfrowego]

Log z FRST jest mocno wybiórczy i jest możliwe, że naruszeń jest o wiele więcej.  Zgodnie z instrukcjami w poniższym linku uruchom sfc /scannow, a następnie przefiltruj wyniki z CBS.LOG do pliku sfc.txt:

3. Są błędy tworzenia punktów Przywracania systemu tego typu:

Error: (07/14/2021 01:19:06 AM) (Source: System Restore) (EventID: 8193) (User: )
Description: Nie można utworzyć punktu przywracania (Proces = C:\Windows\system32\msiexec.exe /V; Opis = Usunięto Badanie mające na celu poprawę produktów HP DeskJet 2130 series; Błąd = 0x80070422).

To może być wynik feleru w serwisowaniu lub klonowaniu obrazu Windows.

Panel sterowania > System i zabezpieczenia > System > Ochrona systemu i sprawdź czy przypadkiem na liście nie ma dwóch pozycji: "Dysk lokalny (C:) (System)" ze statusem Wyłączono i (C:) (Brak) ze statusem Włączono. Podświetl pozycję "Brak", klik w Konfiguruj i wyłącz ochronę (wejście powinno zniknąć). W przypadku pierwszej poprawnej pozycji z kolei przestaw stan na włączoną chronę.

4. W systemie są sterowniki odpadkowe po bardzo starych wersjach AdGuard i AVG, część aktywna a część zwraca błędy rozruchowe. Przy okazji usunę też inne szczątki (jest ich cała masa). Wykonaj następujące działania:

• Przez Panel sterowania odinstaluj nieaktualizowane / martwe Adobe AIR, Adobe Flash Player 32 ActiveX, Adobe Flash Player 32 NPAPI.
• Uruchom Program Install and Uninstall Troubleshooter i usuń niewidzialne z poziomu Panelu sterowania ArcaBit x64 Prerequistes oraz AVG 2014.
• Zapisz poniższy plik (nie zmieniaj nazwy!) w tym samym katalogu z którego uruchamiasz FRST. Następnie w oknie FRST klik w Napraw. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

fixlist.txt

5. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition ale bez Shortcut. Dołącz też pliki sfc.txt i fixlog.txt. 

Te uprawnienia dla katalogu głównego wyglądają w porządku. U mnie też jest taki układ na dyskach innych niż systemowe, z jednym wyjątkiem, tzn. Właścicielem jest SYSTEM a nie moje konto. I nie mam problemu z bezpośrednim zapisem pliku tekstowego w tej lokalizacji.

W tej sytuacji powątpiewam w dalsze manipulacje uprawnieniami. Dwa pytania:

- Czy po zmianie Właściciela po ponownym otwarciu okna Zabezpieczeń Właścicielem jest Monika? Jeśli tak, to czy jest czynny przycisk "Dodaj" pod listą kont, by można było dodać konto Monika z Pełną kontrolą?

- Czy błąd występuje jeśli pliki na których pracujesz zostaną przeniesione do nowego podfolderu utworzonego na tym dysku, np. E:\Dokumenty?

To są szczątki usług w rejestrze, które nie mają żadnego wpływu na działanie systemu. Pierwszy wpis usuwałeś za pomocą Autoruns (może go wtedy ominąłeś przez przypadek lub narzędzie nie wykonało roboty do końca), drugi przy udziale natywnego deinstalatora SPTD (możliwe że narzędzie zostawia wpis w rejestrze). Jeśli chodzi o instalatory w FileRepository, to standardowa konfiguracja że nie ma dostępu.

Obiekty możesz przetworzyć przy udziale następującego Fixa do FRST:

S3 dtlitescsibus; \SystemRoot\System32\drivers\dtlitescsibus.sys [X]
S4 sptd2; System32\Drivers\sptd2.sys [X]
RemoveDirectory: C:\Windows\System32\DriverStore\FileRepository\dtlitescsibus.inf_amd64_a0cc27bc19a57edc

Temat wydzielam w osobny. Każdy temat infekcji wymaga osobnego wątku, podpinanie się pod cudze tematy jest zabronione. Nie wolno też wykonywać cudzych fiksów, bo są przeznaczone tylko pod konkretny przypadek i nie zgadzają się dane (SID i foldery konta, nazwy wpisów, etc.). Analiza nie może być wykonana "na oko". Proszę dostarcz wymagane tutaj raporty z FRST:

Pobierz FRST na świeżo, bo uruchamiasz starszą wersję z folderu C:\Users\123\Downloads\FRST-OlderVersion.

1. Tryb jest czynny, w przeciwnym wypadku komunikat byłby "The system firmware does not support this standby state." Zmiana na starszy model zasilania nie jest możliwa. Gdybyś chciał starszy schemat S3 (dający do wyboru wiele planów), musiałbyś w BIOS przestawić schemat i przeinstalować system na czysto. Moim zdaniem mija się to z celem.

2. Skoro wartość jest nieobecna, z prawokliku utworz nową wartość DWORD (32-bit), nadaj jej nazwę SurpriseRemovalSupport i ustaw na 0. Zresetuj komputer.

1. Jeśli komputer obsługuje Modern Standby, domyślnie będzie dostępny tylko plan "Zrównoważony" i nie będzie możliwe ustawienie innego planu jako domyślnego. Toteż sprawdź czy ten tryb jest włączony.

2. To prawdopodobnie bug w sterownikach nVidia. Jaka wersja sterowników jest obecnie zainstalowana i czy dostępna jest aktualizacja? Możesz wypróbować obejście. W polu szukania wpisz regedit i przejdź do klucza:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvlddmkm

Dwuklik na wartość SurpriseRemovalSupport i przestaw z 1 na 0. Zresetuj komputer.

U mnie także są 4 "nieznane konta". Identyfikatory S-1-15-3* to tzw. Capability SIDs. Ten rodzaj SID nie posiada przyjaznych nazw i źródłowe aplikacje nie są znane, ale oceniając typ folderu SID powinny być powiązane z Internet Explorer i Edge (jeśli wykonuje jakieś operacje na Ulubionych IE). Podobny SID S-1-16-4096 oznacza niski poziom integralności. Toteż sądzę, że S-1-15-3-4096 to również niski poziom integralności powiązany z "Trybem chronionym" Internet Explorer dostępnym w Opcjach internetowych > Zabezpieczenia.

22 minuty temu, Andman napisał:

Utworzyłem nowego konto.

Wynik diagnostyka taki sam.

Czyli to jednak sugeruje, że diagnostyk nadal czepia się globalnego folderu (nie wiadomo dlaczego) i nie należy szukać w obrębie katalogu C:\Users. Naprawdę nie wiem o co chodzi.

14 minut temu, Andman napisał:

W nowym koncie uprawnienia też są węższe.

Ja przeczytałam, że:

5 godzin temu, Andman napisał:

Od folderu C:\ProgramData\Microsoft\Windows\Start Menu moje konto dostaje uprawnienia specjalne (tylko podfoldery i pliki).

Folder C:\ProgramData\Microsoft\Windows\Start Menu ma owszem "Tylko podfoldery i pliki" a podfoldery od tego folderu mają "Ten folder, podfoldery i pliki". Nie liczę "Windows PowerShell" o zupełnie odmiennym układzie.