picasso

Malwarebytes (MB) Strona domowa Platforma: Windows 7 i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Pobierz Pobierz Narzędzia pomocnicze: Malwarebytes Support Tool [Diagnostyk do reperacji lub awaryjnej deinstalacji narzędzia. Zastępuje stary MB-Clean.] Systemy XP i Vista nie są już obsługiwane. Ostatnia wersja działająca na tych systemach to stara edycja Malwarebytes 3.5.1 Legacy. W marcu 2023 potwierdziłam u źródła, że nastąpi całkowite odcięcie od definicji. .... opis w budowie ....

Malwarebytes Anti-Malware (MBAM) 3.x Malwarebytes for Windows v3 Product Lifecycle Systemy XP i Vista nie są już obsługiwane. Ostatnią kompatybilną wersją jest 3.5.1: Pobierz INSTRUKCJA URUCHOMIENIA WERSJI 3.x Uruchom pobrany instalator mb3-setup-consumer-[wersja].exe i postępuj zgodnie ze wskazówkami na ekranach instalacyjnych. Wersja 3.x w odróżnieniu od starszej linii 2.x nie umożliwia odznaczenia opcji trial w instalatorze i domyślnie jest instalowana wersja próbna z aktywną osłoną, która wygasa po 14 dniach (program przełączy się na wersję darmową oferującą nielimitowany skan i usuwanie na żądanie). W przypadku gdy instalacja i/lub uruchomienie programu są zablokowane przez malware, skorzystaj z Chameleon. Po rozpakowaniu w folderze są liczne kopie imitujące inne procesy, np. "svchost.exe". Uruchom jedną z tych kopii. Po uruchomieniu programu nie zmieniaj domyślnych ustawień skanowania, wejdź do karty Skanowanie i wybierz opcję zalecaną:

Kaspersky Virus Removal Tool (KVRT) 2015 Strona domowa Platforma: Windows XP SP2+, Vista, Windows 7, Windows 8/8.1, Windows 10 oraz edycje serwerowe 2003, 2008, 2012 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Zastąpiony przez Kaspersky Virus Removal Tool 2020 który w wymaganiach ma Windows 7 i nowsze systemy. Kaspersky Virus Removal Tool (KVRT) - Ogólny miniaturowy skaner Kasperskiego do usuwania rozmaitych typów zagrożeń takich jak: wirusy, trojany, rootkity, adware, riskware. W zamiarze narzędzie ma być awaryjnym skanerem, który po rozwiązaniu problemów powinien zostać usunięty z dysku. KVRT nie posiada opcji aktualizacji baz - program musi być pobierany za każdym razem od nowa. Wersja 2015 jest oparta na TDSSKiller, w odróżnieniu od starej edycji 2011 nie wymaga instalacji. KVRT można uruchamiać także z poziomu dysków przenośnych lub sieciowych. INSTRUKCJA URUCHOMIENIA: Narzędzie uruchamiamy przez dwuklik. Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC. Następnie pokaże się licencja użytkowa, którą zatwierdzamy za pomocą Accept: Narzędzie rozpocznie pracę: Pojawi się ekran ogłaszający gotowość do skanowania: ----> W przypadku używania starszej wersji niż dostępna pojawi się w tym oknie komunikat This version is obsolete kierujący do pobierania najnowszej wersji: ----> Jest tu zlokalizowany link do konfiguracji skanowania (Change parameters). Domyślnie KVRT ma zaznaczone skanowanie pamięci, startujących obiektów oraz sektorów rozruchowych dysków. Pełny skan dysku systemowego jest odznaczony. Poinstruujemy użytkownika czy zostawić domyślne ustawinia, czy coś ewentualnie zmienić. Sprawdzanie systemu rozpoczynamy przyciskiem Start scan. W oknie zostanie odnotowany postęp skanowania. W przypadku wykrycia infekcji pokaże się okno ze spisem obiektów. Względem wykrytego obiektu można podjąć akcje: Cure (leczenie), Copy to Quarantine (przenoszenie do kwarantanny), Delete (usuwanie), Restore (przywrócenie niezmodyfikowanej wersji), Skip (nie podejmowanie żadnych akcji). Materiał referencyjny: How to select the action on threat detection Skanowanie bez usuwania: proszę dobrać akcję Skip all. Po ocenie wyników zostanie podane jak postąpić z wykrytymi zagrożeniami. Raporty Dostęp do czytelnej postaci raportów odbywa się poprzez opcję Report w głównym oknie. Niestety obecna wersja KVRT posiada uciążliwość, która ma być rozwiązana dopiero w nowszej wersji: nie jest możliwe skopiowanie raportu. Zaszyfrowane (czyli nieczytelne) raporty narzędzia są gromadzone na dysku systemowym w folderze C:\KVRT_Data\Reports. Deinstalacja Zamknięcie głównego okna programu powinno powodować automatyczne skasowanie śladów narzędzia z dysku. Ten proces nie usuwa jednak wszystkich składników - na dysku m.in. zostaje folder C:\KVRT_Data.

Kaspersky Virus Removal Tool (KVRT) 2020 Strona domowa Platforma: Windows 7 i nowsze oraz edycje serwerowe 2008 (R2) i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Systemy XP i Vista nie są już obsługiwane. Ostatnia wersja działająca na tych systemach to stara edycja Kaspersky Virus Removal Tool 2015. Zastępuje przestarzały i nieaktualizowany TDSSKiller. ... opis w budowie ...

ESET Online Scanner Strona domowa Platforma: Windows 7 i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz .... opis w budowie ....

HitmanPro Strona domowa Platforma: Windows XP i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Wersja dla systemów 64-bit: Pobierz Pobierz Wersja dla systemów 32-bit: Pobierz Pobierz W ramach wyjątku jedyny program komercyjny tu wyliczany. Hitman udziela jednorazowej darmowej licencji na usuwanie malware przez 30 dni. Po upłynięciu tego okresu czynny jest tylko skan bez możliwości usuwających. Darmową wersją bez limitu czasowego (opartą na tym samym silniku lecz bez kilku opcji i w innej "skórze") jest Sophos Scan & Clean. Uciążliwością tu jest, że pobieranie programu wymaga wypełnienia formularza rejestracyjnego. INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

Malwarebytes Anti-Rootkit (MBAR) Strona domowa Artykuł opisowy na BleepingComputer.com Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Tradycyjna wersja: Pobierz Specjalna wersja, gdy instalacja MBAM zwraca błąd "Żądane zasoby są w użyciu" / "The requested resource is in use": Pobierz Status of MBAR - Narzędzie nieaktualizowane i wycofane przez producenta. Zastępuje go nowocześniejszy silnik anty-rootkit wbudowany do Malwarebytes. Malwarebytes Anti-Rootkit (MBAR) - Typ podobny do TDSSKiller w rozumieniu adresowanego tematu i rodzaju infekcji. MBAR jest zdolny wykrywać i usuwać rootkity trybu User Mode, rootkity trybu Kernel Mode, rootkity patchujące tablicę partycji (tworzona odrębna partycja rootkit), rootkity MBR i VBR, oraz inne typy anomalii. Jako dodatkową funkcję realizuje naprawę uszkodzeń systemowych. MBAR jest wbudowany także do MBAM, ale producent utrzymuje dwie odrębne linie narzędzi, gdyż MBAR w wersji indywidualnej jest szybciej aktualizowany. Poza tym, specjalne wersje standalone mogą odblokować instalację czy uruchomienie MBAM. INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

Kaspersky TDSSKiller Strona domowa Platforma: Windows XP SP2+ i nowsze oraz edycje serwerowe 2003 i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Doszły mnie słuchy w kuluarach, że narzędzie jest "przestarzałe" i należy korzystać zamiennie z Kaspersky Virus Removal Tool. Nie jestem w stanie tego potwierdzić w 100%, a narzędzia jednak się różnią konfiguracją (TDSSKiller ma do wyboru opcję skanu BIOS/UEFI). Aktualizacja: Oficjalnie potwierdzone. Narzędzie usunięte przez producenta. Uwaga, narzędzie może być utylizowane przez malware. Szczegóły w artykule: RansomHub ransomware abuses Kaspersky TDSSKiller to disable EDR software. TDSSKiller - Aplikacja od Kasperskiego dedykowana wykrywaniu i usuwaniu określonych rootkitów / bootkitów (infekcje w MBR i VBR) oraz detekcji rootkit-podobnych anomalii systemowych. W skład rozpoznawanych znanych infekcji wchodzą, m.in: cała rodzina rootkitów TDL we wszystkich wersjach (z uwzględnieniem wariantu TDL4 atakującego MBR i systemy 64-bitowe), Sinowal (Mebroot, MaosBoot), Phanta (Phantom, Mebratix), Trup (Alipop), Whistler, Stoned, Necurs i ZeroAccess (w tym wariant consrv.dll na systemie 64-bit oraz 32-bit i 64-bit atakujące services.exe). Nieznane bootkity są namierzane metodą heurystyczną. TDSSKiller w obszarze usuwania bootkitów zastępuje archaiczne narzędzie Antiboot tego samego producenta. INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

Narzędzia informacyjne Bitdefender Ransomware Recognition Tool (2018) IDTool (martwe narzędzie, zastąpione przez ID Ransomware) ListCWall (do starej infekcji CryptoWall) Zbiory ogólne dekoderów Avast Ransomware Decryption Tools AVG Decryption Tools Bitdefender Decryptors BleepingComputer Decrypters Emsisoft Decrypters Kaspersky Decryptors No More Ransom Decryption Tools (kombinowane zbiory różnych dostawców antywirusowych) Dekodery do Tesla (2016) ESET TeslaCrypt decrypter (TeslaCrypt w wersjach 3 i 4: rozszerzenia *.xxx, *.ttt, *.micro, *.mp3 lub brak zmiany w rozszerzeniach) Kaspersky RakhniDecryptor (TeslaCrypt w wersjach 3 i 4: rozszerzenia *.xxx, *.ttt, *.micro, *.mp3 lub brak zmiany w rozszerzeniach | również m.in. pliki z przyrostkiem helpme@freespeechmail.org) Talos (Cisco) TeslaCrypt Decryption Tool (TeslaCrypt we wszystkich wersjach) TeslaDecoder (TeslaCrypt we wszystkich wersjach, ale wersja TeslaCrypt 2 .vvv, .ccc, .zzz, .aaa, .abc, .xyz wymaga ręcznej mozolnej procedury rozpisanej w pliku Instructions.html) Trend Micro Ransomware File Decryptor (CryptXXX 2.0 i starsze, ale 3.0 tylko częściowo | TeslaCrypt w wersjach 3 i 4) Trend Micro TeslacryptDecryptor (wszystkie warianty TeslaCrypt, obecnie dekoder niedostępny do pobrania i wysyłany przez pomoc techniczną) Inne stare dekodery ESET Crysis decryptor (2017) FileCryptor.XTBL Decryptor (2016, martwa strona choć z Github można pobrać) (Shade/Troldesh w wariancie ...xtbl) GhostCrypt Decrypter (2017) Kaspersky RannohDecryptor (CryptXXX 2.0 i starsze: rozszerzenie *.crypt) Malwarebytes Telecrypt Decryptor (2016) McAfee Ransomware Recover (Mr2) (po złączeniu McAfee Enterprise i FireEye pod marką Trellix zlikwidowany) Petya Decryptor (2017) Petya Sector Extractor | Password Generator (niedostępny) ------------------------------------------------------------- Avira Ransom File Unlocker (2012/2013) DeBlock (2012, niedostępny) DeCrypt Cryptolocker (niedostępny) Emsisoft Decrypt_mblblock.exe (2013) Emsisoft Decrypter for CryptoDefense (2014) Emsisoft Decrypter for Harasom (2013) ESET Trustezeb.A Decryptor (2012) F-Secure Ransomcrypt Decryption Script (2012) Locker Unlocker (2015, martwy link) Panda Ransomware Decrypt (niedostępny, obecnie przekierowanie na ogólny skaner Panda Cloud Cleaner) Utilities for Virus.Win32.Gpcode.ak ZeroLocker Decryption Tool (2014) Inne narzędzia

Wracając do mojej wypowiedzi: Obecnie pojawił się kandydat spełniający ten warunek. Weryfikacja w toku. Gdy będą konkrety na tak lub nie, jasno się tu wypowiem.

Zappa Masz napisane w różnych wątkach: przedtem długotrwałe problemy ze zdrowiem (i już nigdy nie będę w pełni sprawna, do końca życia będę się borykać z pewnymi problemami) i tłumaczenie FRST, ostatni tydzień pisanie tutoriala i przygotowania do przeniesienia serwera na nowy dysk SSD. jessika Może nikt nie wie jak to rozwiązać. Problem jest spoza infekcji, czyli wg zasad działu jest możliwe udzielenie przez osobę nieautoryzowaną odpowiedzi innej niż instrukcje usuwania infekcji. Masz ten komfort, że możesz używać takich argumentów.

Wątek przeklejam do bardziej pasującego tematu. Na forum jestem, tylko na razie nie prowadzę pomocy - widać było czym się zajmowałam przez ostatni tydzień, pisanie tutorialu (chcę ożywić ten dział) oraz migracja serwera na inny sprzęt (wymagane były przygotowania z tym związane). A nowy moderator, jeśli się nie zgłosi, zostanie prawdopodobnie usunięty. Nie wywiązał się z żadnej obietnicy, stawiając mnie w dziwnej sytuacji. Wypadków losowych nie mogę kwestionować, ani wymagać określonych rzeczy w układzie nieodpłatnym, ale obecna sytuacja prowadzi donikąd. Na razie opieka działu pozostaje bez zmian, bo nie mam dodatkowej sprawdzonej pod kątem tej szczególnej tematyki osoby. Chętnie przyjmę każdego kto zda egzamin w jednej ze szkół bloku UNITE - to ma gwarantować jakieś podstawy wyszkolenia w tematyce malware i prowadzeniu tematów tego rodzaju. Obecnie w dziale udziela się jessika. Jak napisałam wcześniej, proponowałam jej formalną opiekę nad działem (zakładając, że będę to pilotować), odmówiła. Skoro proponowałam, to i przymykam oko na nieautoryzowaną działalność.

O dziesiątej rozpocznie się migracja sprzętowa dostawcy. Wg teorii proces nie powinien zająć długo (maksymalnie do 40 minut). Forum musi zostać wyłączone na czas tej operacji. EDIT: Migracja pomyślnie wykonana. Zajęło to dłużej, gdyż proces obejmował wiele serwerów i nasz serwer nie był przenoszony w pierwszej kolejności.

Zasady grupy: Link referencyjny: Microsoft Docs: Available policies for Microsoft Edge Microsoft Docs: Use Enterprise Mode to improve compatibility gpedit.msc > Konfiguracja komputera lub Konfiguracja użytkownika > Szablony Administracyjne > Składniki systemu Windows > MicrosoftEdge Ekwiwalenty rejestru (domyślnie klucze nie występują): HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\MicrosoftEdge HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Internet Settings] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Internet Settings\Zones] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Internet Settings\Zones\3] "1400"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main] "Use FormSuggest"="yes" "DoNotTrack"=dword:00000001 "FormSuggest Passwords"="yes" "AllowPopups"="yes" "Cookies"=dword:00000000 "SendIntranetTraffictoInternetExplorer"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main\EnterpriseMode] "SiteList"="http://localhost:8080/sites.xml" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter] "EnabledV9"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\SearchScopes] "ShowSearchSuggestionsGlobal"=dword:00000001 Aktualizacja: Tzw. Listopadowa aktualizacja (Wersja 1511) oraz Rocznicowa aktualizacja (Wersja 1607) wprowadzają więcej polityk. Dodatkowo, w Wersji 1511 usunięto politykę "Umożliwia uruchamianie skryptów, takich jak skrypty Javascript" (Allows you to run scripts, like Javascript), czyli wartość "1400" widoczną powyżej.

Ustawienia Inne funkcje Wtyczki: Natywnie wbudowane: Natywnie zintegrowana obsługa PDF oraz Adobe Flash. Aktualizacje Adobe Flash są wykonywane z Windows Update lub linków Microsoftu, a nie ze stron Adobe. Obecnie aktualizacje można pobrać także z Microsoft Catalog: Wyniki wyszukiwania w Microsoft Catalog Wcześniej najnowsza dostępna wersja była wyliczana w poniższym artykule, ale nie jest już aktualizowany: Microsoft Security Advisory 2755801 Wyłączenie Adobe Flash w opcjach tworzy nowy klucz: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Addons Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Addons] "FlashPlayerEnabled"=dword:00000000 0 = wyłączony 1 = włączony Zewnętrzne: Zewnętrzne wtyczki nie są w ogóle obsługiwane, czyli nie ma możliwości np. obsługi Java czy Silverlight. Rozszerzenia: Aktualizacja: Tzw. Rocznicowa aktualizacja (Wersja 1607) wprowadza obsługę rozszerzeń. Dostępne rozszerzenia oficjalne ze Sklepu Windows oraz nieoficjalne. Instalacja rozszerzeń ze Sklepu wymaga posiadania konta Microsoft. Natomiast instalacja rozszerzeń nieoficjalnych spoza Sklepu (nie jest wymagane konto MS) wymaga uaktywnienia dodatkowej opcji: wpisz about:flags w pasku adresów > Włącz funkcje rozszerzeń dla deweloperów (może to spowodować zagrożenie urządzenia) (Enable extension developer features (this might put your device at risk)) > strona Rozszerzeń w opcjach pokaże nową opcję Załaduj rozszerzenie (Load extension) > wskaż rozpakowany folder rozszerzenia. Nieoficjalne rozszerzenia będą deaktywowane po każdym restarcie przeglądarki, ale po chwili pojawi się komunikat umożliwiący ponowne włączenie. Rozszerzenia są skonfigurowane w rejestrze w następujących kluczach: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Extensions HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore Rozszerzenia oficjalne ze Sklepu są instalowane w folderze C:\Program Files\WindowsApps, natomiast nieoficjalne mogą być rozpakowane w dowolnej ścieżce. Jest używany format JSON, ten sam co w rozszerzeniach przeglądarek opartych na silniku Chromium/Blink (np. Google Chrome, Opera) oraz nowych rozszerzeniach Firefox WebExtensions. Przykład instalacji Adblock Plus (rozszerzenie oficjalne) oraz uBlock Origin (wersje beta nie są dostępne z poziomu Sklepu): Lista obiektów w rejestrze i na dysku Aktualizacja: Tzw. jesienna aktualizacja (Wersja 1709) wprowadza wbudowane rozszerzenia, zintegrowane na stałe i niewidoczne na liście normalnych rozszerzeń. Edge Extension: (AutoFormFill) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions [2017-09-29] Edge Extension: (LearningTools) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions [2017-09-29] Proxy: Brak ustawień proxy w konfiguracji przeglądarki. Ustawienia proxy wpływające na Edge są w ogólnych ustawieniach Windows: Menu Start > Ustawienia > Sieć i Internet > Proxy Ale używane klucze rejestru i wartości są takie same jak we wcześniejszych wersjach Windows: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyEnable"=dword:00000001 "ProxyServer"="127.0.0.1:8080" "AutoConfigURL"="http://127.0.0.1:8080/proxy.pac" "ProxyOverride"="" Na Edge mają też wpływ polityki relatywne do proxy widzialne w gpedit.msc.

Dane przeglądania: Baza danych (współdzielona - używana przez Edge, IE i inne aplikacje Windows): Główna baza danych indeksująca wszystkie rekordy: %localappdata%\Microsoft\Windows\WebCache\WebCacheV01.dat Plik jest zablokowany, permanentnie w użyciu przez taskhost.exe, zwalniany przy wylogowaniu. 1. Plik można otworzyć za pomocą darmowego programiku ESEDatabaseView. Z menu File > Open Locked IE10/IE11 Database File. Podpowiedzi nawigacyjne: - By przejrzeć ogólną listę indeksowanych ścieżek, wybierz z menu rozwijanego pozycję Containers, przez dwuklik w kolumnę "Directory" posortuj ścieżki tak by ścieżki Edge zostały zgrupowane wspólnie. Również, odnotuj ContainerId - identyfikator kontenera przypisany do danej ścieżki. Te ID mogą być różnie przypisane w zależności od systemu. - By przeanalizować każdą ścieżkę oddzielnie, wybierz z menu rozwijanego pozycję Container ID dopasowaną do danej ścieżki. 2. Rekordy bazy danych relatywne do cache Edge i IE (z wyłączeniem Cookies i innych obiektów) są parsowane przez darmowy IECacheView. 3. Do przejrzenia również głębsza analiza pliku WebCacheV01.dat. Artykuł odnosi się do poprzedniej testowej wersji "Spartan" i pewne detale się nie zgadzają. W obecnej wersji Edge są nieco inne ścieżki, brak też odrębnego pliku WebCacheV01.dat ekskluzywnego dla Edge. Plik WebCacheV01.dat jest współdzielony. Project Spartan Forensics Foldery: Określone ścieżki nie istnieją domyślnie, pojawią się dopiero podczas wykonywania specyficznych akcji przeglądania. Dane Recovery / Sesja przeglądania (wspominane wcześniej): %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Recovery\Active Cache, Cookies, Historia: %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\INetCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\INetCookies %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\INetHistory %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\Cache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\Cookies %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\History %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\INetCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\INetCookies %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\INetHistory %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cookies %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\History %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\INetCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\INetCookies %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\INetHistory %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\Cache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\Cookies %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\History %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\INetCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\INetCookies %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\INetHistory %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\MicrosoftEdge\Cache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\MicrosoftEdge\Cookies %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\MicrosoftEdge\History Extensible Cache: (Downloads history, DOMStorage, Do not track (DNT), Internet Explorer Compatibility Cache, i parę innych) Ścieżki są zdefiniowane w rejestrze: %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DownloadHistory %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\User\Default\DownloadHistory %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\User\Default\DownloadHistory %localappdata%\Packages\microsoft.microsoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\User\Default\DOMStore %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\User\Default\DOMStore %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DNTException %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\IECompatCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\IECompatUaCache %localappdata%\Packages\microsoft.microsoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\IECompatCache %localappdata%\Packages\microsoft.microsoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\IECompatUaCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\IECompatCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\IECompatUaCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\MicrosoftEdge\IECompatCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\MicrosoftEdge\IECompatUaCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\BingPageDataCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\IEFlipAheadCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\IEFlipAheadCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\IEFlipAheadCache %localappdata%\MicrosoftEdge\SharedCacheContainers\MicrosoftEdge_bingpagedata %localappdata%\MicrosoftEdge\SharedCacheContainers\MicrosoftEdge_DNTException %localappdata%\MicrosoftEdge\SharedCacheContainers\MicrosoftEdge_iecompat %localappdata%\MicrosoftEdge\SharedCacheContainers\MicrosoftEdge_iecompatua HTML5 Application Cache? %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\AppCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\User\Default\AppCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\User\Default\AppCache %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\MicrosoftEdge\User\Default\AppCache Pliki Temp: %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\Temp %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\Temp %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\Temp %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!121\Temp [Foldery Temp wyliczam w tej sekcji, ale raczej nie mają one związku z danymi przeglądania i są tymczasowymi plikami aplikacji per se]

Ustawienia Związane z prywatnością Cookies Ustawienia są gromadzone w dwóch kluczach: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Main Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Main] "Cookies"=dword:00000001 0 = Blokuj wszystkie pliki cookie 1 = Blokuj tylko pliki cookie innych firm 2 = Nie blokuj plików cookie (domyślna opcja, ale wartość pojawia się dopiero po pierwszej rekonfiguracji) HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Internet Settings\Zones\3 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Internet Settings\Zones\3] "{AEBA21FA-782A-4A90-978D-B72164C80120}"=hex:1a,37,61,59,23,52,35,0c,7a,5f,20,\ 17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,14,1a,15,2a "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=hex:1a,37,61,59,23,52,35,0c,7a,5f,20,\ 17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,14,1a,15,2a Do wglądu KB182569 - artykuł dedykuje Strefy zabezpieczeń Internet Explorer, ale w Edge zachowano pewne identyfikatory: 3 - Strefa Internet {AEBA21FA-782A-4A90-978D-B72164C80120} - First party cookies {A8A88C49-5EB2-4990-A1A2-0876022C854F} - Third party cookies Dane wartości odpowiadają opcji "Nie blokuj plików cookie". Ustawienie "Blokuj wszystkie pliki cookie" / "Blokuj tylko pliki cookie innych firm" modyfikuje te dane w następujący sposób (końcowy fragment ulega zmianie 2a > 39): Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Internet Settings\Zones\3] "{AEBA21FA-782A-4A90-978D-B72164C80120}"=hex:1a,37,61,59,23,52,35,0c,7a,5f,20,\ 17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,14,1a,15,39 "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=hex:1a,37,61,59,23,52,35,0c,7a,5f,20,\ 17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,14,1a,15,39 Strefy zabezpieczeń / Security Zones: Jak widać, Edge stosuje klucz "Zones" przypominający odpowiednik z IE, ale nie ma żadnego interfejsu konfiguracji stref zabezpieczeń i nie wiadomo ile ustawień jest tu zaplanowanych. Nie miałam czasu tego sprawdzić, ale prawdopodobnie klucz Zones akceptuje więcej wartości znanych ze stref IE. Przykładowo, w dalszej części materiału w sekcji "Zasady grup" na obrazku gpedit.msc występuje polityka "Umożliwia uruchamianie skryptów, takich jak skrypty Javascript" wprowadzająca wartość 1400 - porównaj z listą KB182569. W wersji 1511 usunięto tę politykę. Do Not Track (DNT) Why is Do Not Track (DNT) off by default in Microsoft Edge? Domyślnie wyłączone. Aktywowanie funkcji tworzy nową wartość "DoNotTrack": Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Main] "DoNotTrack"=dword:00000001 0 - wyłączone 1 - włączone Pop-up blocker: Ustawienia są przetrzymywane w kluczu "New Windows": HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\New Windows Domyślnie klucz jest prawie pusty (zawiera tylko pusty podklucz AllowInPrivate). Wyłączenie funkcji tworzy nową wartość "PopupMgr": Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\New Windows] "PopupMgr"="no" [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\New Windows\AllowInPrivate] Wyjątki: Edge oferuje tylko komunikat umożliwiający zezwolenie na pop-up, ale brak ogólnego interfejsu konfiguracji listy wykluczeń. Wyjątki mogą zostać dodane lub usunięte ręcznie w kluczu "New Windows" w nowym podkluczu "Allow" gromadzącym wartości REG_BINARY: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\New Windows\Allow Można sprawdzić to zachowanie wykorzystując testowe pop-upy ze strony PopupTest.com. Po potwierdzeniu komunikatu Edge zostanie utworzona nowa struktura: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\New Windows\Allow] "www.popuptest.com"=hex:00,00 Klucz oczyszcza z wpisów opcja Ustawienia > Wyczyść dane przeglądania > Pokaż więcej > Wyjątki wyskakujących okienek. Uprawnienia: Uprawnienia dotyczące pełnego ekranu: Podobne do w/w listy wyjątków pop-upów. Ustawienia są gromadzone w kluczu "FullScreen" (domyślnie nieobecny): HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\FullScreen Autoryzowanie stron skutkuje utworzeniem następującej struktury w rejestrze: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\FullScreen] [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\FullScreen\AllowDomains] "player.vimeo.com"=dword:00000001 "youtube.com"=dword:00000001 Klucz oczyszcza z wpisów opcja Ustawienia > Wyczyść dane przeglądania > Pokaż więcej > Uprawnienia dotyczące pełnego ekranu. SmartScreen: Status SmartScreen jest zapisany w kluczu "PhishingFilter": HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\PhishingFilter Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\PhishingFilter] "EnabledV9"=dword:00000001 1 - włączony (wartość domyślna) 0 - wyłączony Funkcja przewidywania stron (Page prediction) Program Microsoft Edge, przeglądanie danych a prywatności Treść polityki prywatności została zmieniona, wcześniej był następujący tekst: Ustawienie jest trzymane w kluczu "FlipAhead": HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\FlipAhead FPEnabled: 0 - wyłączone 1 - włączone (wartość forsowana jako domyślna podczas instalacji systemu)

Ustawienia [są także ukryte ustawienia dostępne przez wpisanie w pasku adresów about:flags i ENTER.] Strona startowa, strona nowej karty i ustawienia dostawcy wyszukiwania: Strona startowa i dostawca wyszukiwania: Microsoft Edge and ProtectedHomepages Ustawienia są przetrzymywane w rejestrze, ale są zabezpieczone i nieczytelne: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy "ProtectedHomepages"=hex:01,00,00,00,f2,d5,5e,ab,ec,64,b4,b0,ca,63,9f,07,cf,62,\ cb,6b,52,72,70,eb,c0,1f,36,73,81,83,36,66,47,14,f1,d2,fb,2d,7e,cd,d7,7c,d0,\ a5,52,bc,5c,e6,96,79,bc,23,b1,cc,a0,1a,5d,30,90,e0,3c,f2,0c,23,89,e7,7c,a1,\ 02,53,50,0e,bd,2d,4c,ac,8c,49,d5,7c,51,a4,7d,bd,0f,30,d6,fb,f2,8c,30,95 "ProtectedSearchScopes"=hex:01,00,00,00,2e,c5,00,99,38,87,0e,b9,98,2c,91,46,7b,\ 77,b5,43,56,e4,33,cf,cf,b9,26,08,5d,e5,73,5e,e1,5e,cb,5d,cd,fe,c7,07,97,fa,\ 3b,c4,d3,72,c4,06,66,c6,fc,a7,69,98,f2,e3,f1,bd,3a,82,93,79,b6,59,fa,c1,d4,\ 80,09,75,b4,76,6f,b7,5c,b3,e9,dd,ba,3f,8d,a5,18,bd,4f,99,30,dd,ac,da,9d,70,\ dd,c2,27,5c,bd,05,44,ec,84,48,75,3e,34,5c,c4,0e,31,8d,5c,9d,73,b6,a1,ba,6a,\ 07,0f,70,85,b0,3a,b4,34,e1,e6,cf,27,cb,e8,42,4e,99,e9,d3,d9,8a,08,5d,38,a2,\ 84,23,1b,98,9e,6a,72,02,03,21,6d,df,45,09,15,f4,c0,9a,28,b1,7e,86,d7,86,b0,\ 27,0f,e2,67,01,7b,3c,fb,3a,f5,ea,87,ff,49,aa,e9,cf,10,07,ee,6d,f7,1c,be,ea,\ 33,58,6a,aa,69,31,c5,d5,84,02,b0,ab,ff,7a,78,16,0d,4e,11,f6,c3,1f,b7,0d,7b,\ c8,33,1a,21,7a,e9,52,ae,60,84,46,d7,b8,aa,27,53,8c,27,55,d2,7e,1d,06,56,63,\ d5,06,cb,81,80,46,25,c2,30,06,54,2c,89,37,c7,69,4e,4e,6e,3d,2a,e2,79,1e,d5,\ d0,2c,67,06,25,cb,c8,39,29,a8,f0,e7,bb,22,95,1f,fe,eb,53,dc,8b,c1,13,4c,da,\ 9f,de,da,ea,86,59,0d,e8,43,55,50,b9,0e,1f,4a,a6,e9,8c,13,47,94,e0,9b,4c,87,\ 0f,61,dc,28,ff,9e,03,43,bd,26,b1,3a,de,b9,0a,89,67,04,25,68,07,7d,3b,f6,75,\ 82,f9,af,45,f8,ee,5f,81,f1,ac,19,cb,12,d0,49,f9,b3,76,fc,4b,85,8c,cb,bf,59,\ 31,d6,1f,f8,4a,cf,cb,a2,7f,b7,63,ae,59,06,c7,a9,24,14,18,ad,29,fb,b1,e2,5a,\ 7a,42,2d,74,05,7c,27,9b,59,09,28,21,a2,ae,3b,5b,db,b5,9e,8d,f8,36,3f,4e,cd,\ a3,f3,88,5f,22,7e,5f Z tego co mi wiadomo, zaszyfrowane wartości ProtectedHomepages i ProtectedSearchScopes są nieedytowalne i musi być użyty interfejs przeglądarki do ich edycji. Ponadto, wygląda na to, iż wartości mają "znak wodny" i są przypisane do konkretnej maszyny, ponieważ przygotowany import REG, poprzez ustawienie wybranej strony startowej i dostawcy wyszukiwania w opcjach Edge i eksport całego klucza "Protected" z nagranymi zmianami, ma różne rezultaty w zależności od maszyny na której zostanie wykonany: - Przywraca ustawienia na systemie z którego wyeksportowano klucz "Protected" - Nie ma żadnych skutków na innym systemie, brak zmian w opcjach Ale wartości można skasować. Ich usunięcie działa jak częściowy "reset" przeglądarki, Edge startuje z czystymi domyślnymi ustawieniami, wartości są regenerowane od zera. Wykrywanie dostawców wyszukiwania Search provider discovery Domyślnie jedyny dostawca wyszukiwania to Bing i pozornie nie można dodać nowego (pusta lista i szare pola wyboru). Wyszukiwanie alternatywnych dostawców jest po prostu wykonywane automatycznie podczas wizytowania stron posiadających wyszukiwarkę (zgodną ze standardem OpenSearch), bez żadnej interwencji użytkownika. Podobny system samoistnego autoryzowania na liście jest zresztą w Google Chrome. Przykładowo, by Google czy Wikipedia pojawiły się na liście, wystarczy tylko otworzyć ich strony (nawet nie trzeba nic wyszukiwać) i automatycznie pojawią się jako nowy wybór w opcjach. Wykryci dostawcy są gromadzeni w kluczu OpenSearch: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch] "OpenSearchDescriptionData"=hex:ba,ff,c4,9e,e3,83,37,4a,8a,bf,67,e9,96,35,ea,\ 1e,01,00,00,00,53,b0,6a,1a,be,27,33,48,98,10,82,31,55,2c,52,91,1f,00,4a,b1,\ 2a,00,00,00,65,00,6e,00,2e,00,77,00,69,00,6b,00,69,00,70,00,65,00,64,00,69,\ 00,61,00,2e,00,6f,00,72,00,67,00,00,00,1f,00,c0,23,66,00,00,00,68,00,74,00,\ 74,00,70,00,73,00,3a,00,2f,00,2f,00,65,00,6e,00,2e,00,77,00,69,00,6b,00,69,\ 00,70,00,65,00,64,00,69,00,61,00,2e,00,6f,00,72,00,67,00,2f,00,77,00,2f,00,\ 6f,00,70,00,65,00,6e,00,73,00,65,00,61,00,72,00,63,00,68,00,5f,00,64,00,65,\ 00,73,00,63,00,2e,00,70,00,68,00,70,00,00,00,1f,00,00,0e,26,00,00,00,57,00,\ 69,00,6b,00,69,00,70,00,65,00,64,00,69,00,61,00,20,00,28,00,65,00,6e,00,29,\ 00,00,00,00,00,00,00 Wartość OpenSearchDescriptionData nie jest zaszyfrowana i można wykonać konwersję hex do czytelnej postaci tekstowej. Klucz OpenSearch nie istnieje domyślnie i gromadzi tylko niedomyślnych dostawców innych niż wbudowany Bing. Usunięcie tego klucza z rejestru oczyści listę wykrytych dostawców z pokazanego na obrazku interfejsu, ale nie usunie dostawców już dodanych do listy wyboru "Wyszukaj na pasku adresów przy użyciu". Ta lista wyboru jest zgromadzona w wartości ProtectedSearchScopes. Sugestie wyszukiwania: Przekonfigurowanie opcji tworzy nowy klucz "User" z podkluczem "SearchScopes": HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\User\Default\SearchScopes Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\User\Default\SearchScopes] "ShowSearchSuggestionsGlobal"=dword:00000000 ShowSearchSuggestionsGlobal: 0 - Sugestie wyłączone 1 - Sugestie włączone Strona nowej karty: Ustawienia figurują w kluczu: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ServiceUI Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ServiceUI] "NewTabPageDisplayOption"=dword:00000002 "NewTabPageFlightReceivedTime"=hex:cf,1e,9b,b7,c7,e5,d0,01 "NewTabPageFlightId"="muidflt27cf,hpnat-nlnl040,muidflt50cf,d-thshldie1,d-thshldie2" "NewTabPageFlightMUID"="1DA7927B94D8611B15F59A6D955A60AE;2f9e082eb69541acbd80bec8a9aed9a4" "NewTabPageFlightWebIG"="2f9e082eb69541acbd80bec8a9aed9a4" "NewTabPageFlightUrlKind"="AboutStart" NewTabPageDisplayOption: 0 = Najpopularniejsze witryny i sugerowana zawartość 1 = Najpopularniejsze witryny 2 = Pusta strona Przycisk strony głównej: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Main] "HomeButtonEnabled"=dword:00000001 "HomeButtonPage"="http://google.pl/" To tylko przycisk na pasku, nie jest tożsamy ze stroną startową. Te dwa ustawienia mogą mieć przypisane dwa kompletnie różne adresy w tym samym czasie. Wartości nie istnieją domyślnie, mogą być modyfikowane / usuwane ręcznie. Przywracanie poprzedniej sesji: "Continuous Browsing" "Otwórz za pomocą" > "Poprzednie strony" ustawione w opcjach Edge jest przetrzymywane w kluczu: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ContinuousBrowsing Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ContinuousBrowsing] "Enabled"=dword:00000001 1 = włączone 0 = wyłączone Klucz ContinuousBrowsing nie istnieje domyślnie i pojawia się dopiero po rekonfiguracji opcji. Klucz może zostać usunięty w celu rozwiązania bieżących problemów z ofensywnymi pop-upami malware blokującymi przeglądarkę. Edge przełączy się na otworzenie domyślnej strony startowej zamiast poprzednio otwartych. "Crash Recovery" Wymuszenie zamknięcia procesu przeglądarki uaktywnia proces przywracania poprzedniej sesji. Poprzednio otwarte strony są otwierane przy starcie niezależnie od ustawień strony startowej. W obecnej wersji przeglądarki brak opcji kontrolującej to zachowanie. Dane "Recovery" są zgromadzone w następujących miejscach: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Recovery Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Recovery] [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Recovery\Active] "{7A8E7029-5197-11E5-93D2-0800273BAE5C}"=dword:00000000 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Recovery\PendingRecovery] "Active"=dword:00000000 %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Recovery\Active ===== Folder: C:\Users\Fixitpc\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Recovery\Active ==== 2015-09-02 19:24 - 2015-09-02 19:24 - 0003584 _____ () C:\Users\Fixitpc\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Recovery\Active\{7A8E702B-5197-11E5-93D2-0800273BAE5C}.dat 2015-09-02 19:24 - 2015-09-02 19:25 - 0007168 _____ () C:\Users\Fixitpc\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Recovery\Active\{7A8E702C-5197-11E5-93D2-0800273BAE5C}.dat 2015-09-02 19:24 - 2015-09-02 19:39 - 0005120 _____ () C:\Users\Fixitpc\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Recovery\Active\RecoveryStore.{7A8E7029-5197-11E5-93D2-0800273BAE5C}.dat ====== End of Folder: ====== Zawartość folderu "Active" może zostać usunięta w celu rozwiązania bieżących problemów z ofensywnymi pop-upami malware blokującymi przeglądarkę. Podczas następnego startu Edge odtworzy nowe elementy (pod innym ID) i zsynchronizuje klucz w rejestrze.

Zarejestrowane skojarzenia Domyślna przeglądarka: Start Menu > Ustawienia > System > Aplikacje domyślne > Przeglądarka sieci Web Ustawienia definiujące Edge jako domyślną przeglądarkę są zgromadzone w kluczu: HKEY_CURRENT_USER\Software\Classes\ActivatableClasses\Package\DefaultBrowser_NOPUBLISHERID Application User Model ID (AUMID) jest równe: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\ActivatableClasses\Package\DefaultBrowser_NOPUBLISHERID\Server\DefaultBrowserServer] "ExePath"="C:\\Windows\\system32\\LaunchWinApp.exe" "AppUserModelId"="DefaultBrowser_NOPUBLISHERID!Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" W spoilerze pełny eksport rejestru: Edge nie korzysta z kluczy StartMenuInternet: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\RegisteredApplications] "AppX0jdgwsgpsq2tx1x8eptfkes6txmr5qtn"="Software\\Classes\\Local Settings\\Software\\Microsoft\\Windows\\CurrentVersion\\AppModel\\Repository\\Packages\\Microsoft.MicrosoftEdge_20.10240.16384.0_neutral__8wekyb3d8bbwe\\MicrosoftEdge\\Capabilities" "Firefox"="Software\\Clients\\StartMenuInternet\\FIREFOX.EXE\\Capabilities" Obsługiwane przez Edge skojarzenia FileAssociations i URLAssociations są zarejestrowane w kluczu: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\Repository\Packages\Microsoft.MicrosoftEdge_20.10240.16384.0_neutral__8wekyb3d8bbwe\MicrosoftEdge\Capabilities W spoilerze pełny eksport rejestru i powiązane klasy: Bieżące domyślne skojarzenia są zdefiniowane w kluczach UserChoice: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*\UserChoice HKEY_CURRENT_USER\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.*\UserChoice HKEY_CURRENT_USER\Software\Microsoft\Windows\Roaming\OpenWith\UrlAssociations\UserChoice HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\UserChoice FileAssociations i URLAssociations nie mogą być bezpośrednio modyfikowane w rejestrze. Od Windows 8 funkcjonuje system zabezpieczenia via hash. Klucze DefaultBrowser_NOPUBLISHERID są używane tylko przez typ aplikacji "modern". Ustawienie przeglądarki typu Desktop (np. Firefox) jako domyślnej usuwa wszystkie instancje DefaultBrowser_NOPUBLISHERID i podmienia klasy Edge klasami Firefox w kluczach FileExts + UrlAssociations: Zarejestrowane protokoły: Protokół microsoft-edge był wspominany przy wątku tworzenia skrótów. Przy jego pomocy można otwierać bezpośrednio określone adresy w Edge, np.: microsoft-edge:https://www.fixitpc.pl Dane o obsługiwanych protokołach można pobrać z pliku: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AppxManifest.xml <Extensions> <uap:Extension Category="windows.protocol"> <uap:Protocol Name="http"/> </uap:Extension> <uap:Extension Category="windows.protocol"> <uap:Protocol Name="https"/> </uap:Extension> <uap:Extension Category="windows.protocol"> <uap:Protocol Name="read"/> </uap:Extension> <uap:Extension Category="windows.protocol"> <uap:Protocol Name="microsoft-edge"/> </uap:Extension> (...) </Extensions> Lub z rejestru: HKEY_CURRENT_USER\Software\Classes\Extensions\ContractId\Windows.Protocol\PackageId\Microsoft.MicrosoftEdge_20.10240.16384.0_neutral__8wekyb3d8bbwe .

Ogólne informacje Dane o zainstalowanym pakiecie: Detale instalacji można pobrać z poziomu linii komend PowerShell przy udziale polecenia Get-AppxPackage. Link referencyjny: Microsoft Docs: PowerShell: Get-AppxPackage Uruchom wyszukiwarkę Windows, w polu wyszukiwania wpisz powershell i z prawokliku "Uruchom jako administrator": Wpisz polecenie listowania zainstalowanych pakietów (zawężenie wyników przy użyciu frazy *edge*) dla wszystkich użytkowników: Windows PowerShell Copyright (C) Microsoft Corporation. All rights reserved. PS C:\WINDOWS\system32> Get-AppxPackage *edge* -AllUsers Name : Microsoft.MicrosoftEdgeDevToolsClient Publisher : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US Architecture : Neutral ResourceId : neutral Version : 1000.17134.1.0 PackageFullName : Microsoft.MicrosoftEdgeDevToolsClient_1000.17134.1.0_neutral_neutral_8wekyb3d8bbwe InstallLocation : C:\Windows\SystemApps\Microsoft.MicrosoftEdgeDevToolsClient_8wekyb3d8bbwe IsFramework : False PackageFamilyName : Microsoft.MicrosoftEdgeDevToolsClient_8wekyb3d8bbwe PublisherId : 8wekyb3d8bbwe PackageUserInformation : {S-1-5-21-4039329557-1884442314-1735908846-1003 [Picasso]: Installed} IsResourcePackage : False IsBundle : False IsDevelopmentMode : False IsPartiallyStaged : False SignatureKind : System Status : Ok Name : Microsoft.MicrosoftEdge Publisher : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US Architecture : Neutral ResourceId : Version : 42.17134.1.0 PackageFullName : Microsoft.MicrosoftEdge_42.17134.1.0_neutral__8wekyb3d8bbwe InstallLocation : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe IsFramework : False PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe PublisherId : 8wekyb3d8bbwe PackageUserInformation : {S-1-5-21-4039329557-1884442314-1735908846-1003 [Picasso]: Installed} IsResourcePackage : False IsBundle : False IsDevelopmentMode : False IsPartiallyStaged : False SignatureKind : System Status : Ok PS C:\WINDOWS\system32> Dane są także na poziomie rejestru, w kluczu globalnym oraz bieżącego zalogowanego użytkownika: Aplikacja trwale zintegrowana z systemem operacyjnym i nie podlegająca normalnej deinstalacji poprzez polecenie Remove-AppxPackage jak inne dostarczane z systemem aplikacje "modern". Ogólne ścieżki: Ścieżki zawierają ciąg PackageFamilyName. Poprzednio: Microsoft.Windows.Spartan_cw5n1h2txyewy. Obecnie: Microsoft.MicrosoftEdge_8wekyb3d8bbwe. W przyszłości aktualizacje mogą mieć przypisany inny ciąg. Lokalizacja Edge (globalna): C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe -------- MicrosoftEdge.exe -------- MicrosoftEdgeCP.exe W związku z tym, iż jest to aplikacja typu "modern" nie jest możliwe bezpośrednie uruchomienie plików MicrosoftEdge.exe / MicrosoftEdgeCP.exe (przez dwuklik, czy z linii komend). Specjalne skróty / komendy Edge muszą być użyte. Skróty Edge (strony użytkownika): %localappdata%\Microsoft\Windows\Application Shortcuts\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.lnk Specjalny niedostępny obiekt - puste pola, niemożność edycji, czy bezpośredniego uruchomienia. Prezentacja w FRST Shortcut.txt: Shortcut: C:\Users\Fixitpc\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.lnk -> Tile and icon assets Domyślnie w systemie są widoczne skróty przypięte do Menu Start i Paska zadań, a od Wersji 1803 też skrót na Pulpicie. %UserProfile%\Desktop\Microsoft Edge.lnk Prezentacja w FRST Shortcut.txt: Shortcut: C:\Users\Fixitpc\Desktop\Microsoft Edge.lnk -> Tile and icon assets Tworzenie niedomyślnych skrótów punktujących bezpośrednio MicrosoftEdge.exe nie będzie działać. Metody tworzenia skrótów na Pulpicie, zbędne od Wersji 1803: 1. Najprostsza metoda tworząca najwierniejszą postać skrótu, włącznie z poprawną ikoną, to przytrzymać wciśnięty SHIFT + prawy klik na ikonę Edge na pasku zadań > z menu kontekstowego wybrać opcję "Utwórz skrót". System zwróci błąd podający, że taki skrót już istnieje, ale zaproponuje stworzenie nowego skrótu na Pulpicie. Prezentacja w FRST Shortcut.txt: Shortcut: C:\Users\Fixitpc\Desktop\Edge\Microsoft Edge — skrót.lnk -> C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe () 2. Można także tworzyć inne skróty za pomocą tradycyjnego dialogu, wtedy należy wykorzystać specjalną komendę (explorer.exe shell:Appsfolder) lub protokół (microsoft-edge:). Takie skróty nie będą mieć przypisanej automatycznie ikony Edge, ale można to ręcznie skorygować. Prezentacja w FRST Shortcut.txt: ShortcutWithArgument: C:\Users\Fixitpc\Desktop\Edge.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> shell:Appsfolder\Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge InternetURL: C:\Users\Fixitpc\Desktop\Edge.url -> microsoft-edge:hxxp://google.com/ 3. Jest też dostępna nieoficjalna konsolowa aplikacja EdgeLaunch dedykowana tworzeniu skrótów do Edge. Ustawienia Edge (strony użytkownika): 1. Poniższy klucz przetrzymuje ustawienia przeglądarki: HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe Jeśli Edge nigdy nie zostało uruchomione, klucz jest prawie pusty: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe] [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children] Pierwsze uruchomienie (oraz dalsze modyfikacje opcji) tworzą bogatą strukturę: Edge_Storage.txt 2. Folder w którym Edge przetrzymuje ustawienia to: %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe Porównanie stanu folderu przed pierwszym uruchomieniem i po pierwszym uruchomieniu: Edge_localappdata.txt Pojawia się też dodatkowy folder: %localappdata%\MicrosoftEdge

Microsoft Edge (nowa wersja) Bieżący build ----> stabilna do pobrania ze strony domowej, dostępne też wersje testowe Silnik renderujący: Chromium Microsoft Edge (stara wersja) Poprzedni build: 44.18362.449.0 ----> składnik November 2019 Update (Wersja 1909) Poprzedni build: 44.18362.387.0 ----> składnik May 2019 Update (Wersja 1903) Poprzedni build: 44.17763.1.0 ----> składnik October 2018 Update (Wersja 1809) Poprzedni build: 42.17134.1.0 ----> składnik April 2018 Update (Wersja 1803) Poprzedni build: 41.16299.15.0 ----> składnik jesiennej aktualizacji | Fall Creators Update (Wersja 1709) Poprzedni build: 40.15063.0.0 ----> składnik aktualizacji dla twórców (Wersja 1703) Poprzedni build: 38.14393.0.0 ----> składnik Rocznicowej aktualizacji (Wersja 1607) Poprzedni build: 25.10586.0.0 ----> składnik Listopadowej aktualizacji (Wersja 1511) Preinstalowany build w wersji początkowej (RTM): 20.10240.16384.0 Typ aplikacji: Universalna/Modern (nie Desktop) Silnik renderujący: Microsoft EdgeHTML Windows 10 ma zintegrowaną nową przeglądarkę Microsoft Edge, ustawioną jako domyślna. W Windows 10 nadal jest dostępny IE11 (tylko wersja Desktop, brak wersji Modern IE), ale bardziej "schowany" - Microsoft wycofuje się z tej przeglądarki i nie będzie już nowych wersji, za wyjątkiem łat bezpieczeństwa. Przeglądarka Edge jest niezależna od Internet Explorer. W starej preinstalowanej z systemem wersji nowy silnik renderujący, odrębna struktura i ścieżki. Najnowsza edycja oparta na Chromium nie jest już ekskluzywna dla Windows 10, można ją zainstalować także w Windows 8.1 i Windows 7. Poniżej podstawowe informacje gdzie szukać komponentów i ustawień starszej wersji preinstalowanej w Windows 10, m.in. pod kątem ewentualnej naprawy / resetu ustawień lub modyfikacji przez malware. Nowa wersja oparta na Chromium wymaga totalnego przepisania tutorialu i to mam w planach. Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Usuwanie określonych komponentów adware Shortcut Cleaner Strona domowa Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Shortcut Cleaner - Dedykuje skan skrótów przeglądarek w predefiniowanych miejcach (Pulpit / Menu Start / Pasek zadań) zmodyfikowanych przez szkodniki (w Elemencie docelowym dopisane otwieranie przeglądarki z określoną stroną reklamodawczą). Typowy przykład adware zachowującego się w taki sposób to: 22apple.com, 22find.com, certified-toolbar.com, v9.com. Dodatkowo, narzędzie usuwa niektóre wpisy rejestru wprowadzone przez adware, ale zakres akcji dość mierny i nie jest tożsamy z zastosowaniem np. AdwCleaner. INSTRUKCJA URUCHOMIENIA: Narzędzie jest bardzo proste obsługowo: uruchamiamy przez dwuklik, zgłosi się konsolowe okno prezentujące postępujący skan, na koniec wyświetla się komunikat o raporcie sc-cleaner.txt utworzonym na Pulpicie. Jeżeli narzędzie wykona jakąś modyfikację rejestru, na Pulpicie powstanie folder sc-cleaner zawierający kopię zapasową w postaci plików REG umożliwiających reimport usuniętych wpisów.

Usuwanie określonych komponentów adware RepairDNS Strona domowa Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Program już niedostępny, wycofany ze względu na fałszywe alarmy. Proszę go nie pobierać z innych serwisów. Alternatywnie można skorzystać z Clean_DNS. Niemniej obecnie główne antywirusy nie powinny mieć już problemu z wykryciem tej modyfikacji. RepairDNS - Narzędzie autorstwa Nicolasa Coolmana dedykowane usuwaniu specyficznej infekcji DNS wprowadzanej przez adware Jabuticaba, La Superba, V-Bates i podobne. Infekcja ta modyfikuje wszystkie wystąpienia systemowego pliku dnsapi.dll, tworząc w nim odniesienie do niedomyślnego pliku Hosts utworzonego przez infekcję w innym miejscu niż standardowe. RepairDNS sprawdza wszystkie instancje pliku dnsapi.dll, a w przypadku wykrycia tej modyfikacji próbuje znaleźć poprawną kopię pliku i użyć ją do zamiany. Narzędzie typu portable, nie wymaga instalacji. INSTRUKCJA URUCHOMIENIA: Uruchom pobrany plik przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC: Pojawi się okno główne, wybierz przycisk GO i poczekaj na ukończenie skanu. Na Pulpicie zostanie utworzony raport RepairDNS.txt z akcji. Plik ten należy doczepić w postaci załącznika.

Usuwanie określonych komponentów adware Junkware Removal Tool (JRT) Oficjalna strona domowa Oficjalne forum Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Program został zlikwidowany, używanie go mija się z celem (przestarzała baza danych). Skorzystaj z AdwCleaner. Junkware Removal Tool (JRT) - Program o podobnym przeznaczeniu jak AdwCleaner, tzn. dedykowany usuwaniu adware/PUP. Obsługiwane przeglądarki: Firefox, Google Chrome i Internet Explorer. Aplikacja jest konsolowa i pół automatyczna, nie przewiduje dużej interakcji z użytkownikiem. Nie ma też wpływu na to co zostanie usunięte (brak systemu wykluczeń). Program próbuje jedynie utworzyć punkt Przywracania systemu, nie jest tworzona indywidualna kopia zapasowa obiektów przed ich usunięciem. Program zaczynał jako niezależny projekt, w roku 2015 został przejęty przez Malwarebytes. Od 26 października 2017 już niedostępny, firma zainwestowała w rozwój AdwCleaner i linia AdwCleaner 7.x ma zintegrowaną funkcjonalność JRT. INSTRUKCJA URUCHOMIENIA: Zamknij wszystkie otwarte okna, wyłącz program antywirusowy. Uruchom pobrany plik przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC: Po uruchomieniu otworzy się okno cmd proszące o wciśnięcie jakiegokolwiek klawisza, by kontynuować: Checking for update ================================================================ [ ] [ Junkware Removal Tool (JRT) by Malwarebytes ] [ Version 8.0.0 (11.12.2015:1) ] [ Information about this tool can be found at ] [ www.malwarebytes.org ] [ ] [ This software is free to download and use ] [ ] [ Please save any unsaved work before proceeding as ] [ the program will terminate most applications during cleanup ] [ ] [ ] [ ** DISCLAIMER ** ] [ ] [ This software is provided "as is" without ] [ warranty of any kind. You may use this software ] [ at your own risk. ] [ ] [ Click the [X] in the top-right corner of this window ] [ if you wish to exit. Otherwise, ] ================================================================ Press any key to continue . . . Po naciśnięciu dowolnego klawisza narzędzie przechodzi do tworzenia punktu Przywracania systemu. W przypadku błędu tego procesu, pokaże się zawiadomienie i kolejne pytanie czy kontynuować: Creating restore point... FAILED 0x80070422 The tool failed to create a restore point!!! Tool paused. If you would like to continue... Press any key to continue . . . Zatwierdzenie kontynuacji dowolnym klawiszem uruchamia automatyczny skan. W oknie będzie notowany postęp. Ukończenie skanowania jest notowane komunikatem w oknie: Creating restore point... SUCCESS (* ) Processes (** ) Startup - Logon (*** ) Startup - Scheduled Tasks (**** ) Services (***** ) File System (****** ) Browsers (******* ) Shortcuts (********) Preparing Report JRT has successfully been run. Please review the report in JRT.txt. Automatycznie otwiera się w Notatniku log z wynikami. Jest on zapisany na Pulpicie pod nazwą JRT.txt. Plik ten należy doczepić w postaci załącznika.

Usuwanie określonych komponentów adware Chrome Cleanup Tool Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Opis w pomocy Chrome Aktualizacja: Narzędzie zostało zintegrowane w Google Chrome 65+. Poniższe linki mają zasadność tylko dla starych wersji Chrome, tzn. dla XP i Vista: Pobierz Chrome Cleanup Tool (dawniej Google Software removal tool) - Narzędzie przeznaczone tylko dla przeglądarki Google Chrome, orientowane na usuwanie z niej predefiniowanego zestawu adware modyfikującego ustawienia. Wśród procedur uwzględniony też reset przeglądarki. Od wersji Chrome 65 jest częścią opcji. Więcej tutaj i tutaj.