picasso Opublikowano 7 Września 2015 Zgłoś Udostępnij Opublikowano 7 Września 2015 (edytowane) Proszę nie pobierać linkowanych programów z innych stron niż wyliczone (np. polskie portale, hostingi). Ryzyko "bonusów". Najnowsza wersja gwarantowana tylko na stronie domowej. Linki w indeksie oznaczone ikonką oznaczają pełny opis w temacie, pozostałe to tylko przekierowania na strony domowe. Jest tu przyjęty określony przedział czasowy, by narzędzie można było uznać za użyteczne. Większość narzędzi jest stale aktualizowana i należy je pobierać za każdym razem od nowa, a nie gromadzić na dysku "na zapas". Prawie wszystkie wyliczone aplikacje są darmowe - z wyjątkiem Hitman Pro (jednorazowa licencja na 30 dni bezpłatnego usuwania). Lista jest na bieżąco modyfikowana. Jeśli nie widzisz tu narzędzia zlinkowanego w danym temacie, oznacza to że narzędzie wylądowało w Archiwum. Programy stosowane w tematach na forum: AdwCleaner AV block remover (AVbr) Furtivex Malware Removal Script (FMRS) HitmanPro | Sophos Scan & Clean Kaspersky Virus Removal Tool (KVRT) 2020 Malwarebytes (MB) Program Install and Uninstall Troubleshooter ShadowExplorer Ogólna lista podzielona wg typu zadań (rozwiń spoiler): Kompleksowe skanery na żądanie Dr. Web CureIt! Emsisoft Emergency Kit (EEK) eScanAV Anti-Virus Toolkit (MWAV) ESET Online Scanner F-Secure Online Scanner Furtivex Malware Removal Script (FMRS) Hitman Pro | Sophos Scan & Clean Kaspersky Virus Removal Tool (KVRT) 2020 Malwarebytes (MB) Microsoft Safety Scanner Norton Power Eraser Panda Cloud Cleaner RegRun Reanimator RogueKiller ----> Re-branding narzędzia w toku. RogueKiller zostanie przemianowany na Adlice Protect. Póki co, tylko beta do testów i nie wiadomo co dalej. SUPERAntiSpyware Free Edition Trellix Stinger (ex McAfee Stinger) ----> Bootowalne płyty / USB ze skanerami AV Zabijanie procesów malware ProcessClose RKill Usuwanie blokady antywirusów AV block remover (AVbr) AVCertClean (usuwanie Niezaufanych certyfikatów) Adware / PUP AdwCleaner Check Browsers LNK + ClearLNK ZHPCleaner Ransom - zaszyfrowane pliki ------- Informacyjne: ESET EternalBlue Checker ID Ransomware ------- Wyszukiwanie i przenoszenie zaszyfrowanych plików | Usuwanie notatek ransom: CryptoSearch (opiera się na danych z serwisu ID Ransomware) RansomNoteCleaner (opiera się na danych z serwisu ID Ransomware) ------- Dekodery: Archiwum Ransom - zablokowany Windows Kaspersky WindowsUnlocker Infekcje "bezplikowe" Poweliks / Gootkit / Kovter AVG Win32/Poweliks Remover ESET Poweliks Cleaner Modyfikacje DNS Clean_DNS F-Secure Router Checker Problemy z deinstalacją Antivirus Removal Tool ESET AV Remover Program Install and Uninstall Troubleshooter Alternatywny dostęp do magazynu kopii cieniowych (Windows 11 - Vista) PreviousFilesRecovery ShadowCopyView ShadowExplorer Inne pomoce Quick Heal Bot Removal Tool Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione. Edytowane 13 godzin temu przez picasso Odnośnik do komentarza
picasso Opublikowano 7 Września 2015 Autor Zgłoś Udostępnij Opublikowano 7 Września 2015 (edytowane) Identyfikacja infekcji szyfrujących ID Ransomware Strona domowa Strona opisowa BleepingComputer.com ID Ransomware (zastępuje wymarłe już narzędzie IDTool) - Strona, na którą można zuploadować plik infekcji szyfrującej (notatkę ransom lub wybrany zaszyfrowany plik) w celu identyfikacji rodzaju infekcji. Dane mają pomóc precyzyjnie ustalić z jakim wariantem mamy do czynienia, gdyż ta informacja umożliwia zdefiniowanie jakie dalsze kroki można podjąć i czy jest jakakolwiek szansa na odszyfrowanie danych. Dane z tego serwisu są również używane przez dwa narzędzia pomocnicze: CryptoSearch (wyszukiwanie zaszyfrowanych plików i kopiowanie na inny nośnik) i RansomNoteCleaner (usuwanie notatek ransom). Edytowane 29 Marca 2023 przez picasso Odnośnik do komentarza
picasso Opublikowano 7 Września 2015 Autor Zgłoś Udostępnij Opublikowano 7 Września 2015 Pomocnik pod infekcje szyfrujące dane bądź niespodziewaną utratę danych ShadowExplorer Strona domowa Platforma: Windows Vista i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz (klik w odnośnik Portable) Program nie jest przeznaczony dla systemu XP i nie będzie na nim działał. XP posiada inną strukturę Przywracania systemu niż platformy Vista i nowsze. ShadowExplorer - Program umożliwiający wygodny dostęp do zawartości punktów Przywracania systemu i wyciąganie poprzednich wersji pojedynczych plików/folderów bez konieczności uruchamiania kompleksowego Przywracania systemu. Jest alternatywą dla systemowej funkcji "Poprzednie wersje" obecnej w niektórych wyższych edycjach Windows. Oczywiście, program jest zdolny pracować tylko, gdy Przywracanie systemu było włączone i są nagrane jakiekolwiek punkty Przywracania. ShadowExplorer może być przydatny do odzyskiwania skasowanych danych, np. na skutek aktywności infekcji szyfrującej dane (o ile infekcja nie ma zaplanowanego usuwania wszystkich punktów Przywracania systemu), lub błędu w procedurach dezynfekcyjnych. Odnośnik do komentarza
picasso Opublikowano 7 Września 2015 Autor Zgłoś Udostępnij Opublikowano 7 Września 2015 Zabijanie aktywnych procesów malware RKill Strona domowa Wątek dyskusyjny na forum programu Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Pobierz Pobierz RKill - Program autorstwa BleepingComputer.com dedykowany odładowaniu procesów malware, które blokują uruchomienie narzędzi anty-malware. Typowe znaki podczas działania tego rodzaju infekcji: przy próbie uruchomiania programu komunikat proszący o wybranie aplikacji do jego otwierania, bądź też fałszywe komunikaty tego typu zgłaszające podczas uruchomienia dowolnego programu, że program jest zainfekowany jakimś "wirusem z archiwum X". Zadania, które prowadzi RKill, to: zabicie znanych 32-bitowych i 64-bitowych procesów malware działających w tle, import prawidłowych wpisów do rejestru reperujących nieprawidłowe skojarzenia plików oraz likwidujących polisy zapobiegające uruchomieniu określonych narzędzi. W dalszej fazie narzędzie przeładowuje powłokę explorer.exe (widoczne jako zanik Pulpitu i Paska zadań), by uaktywnić zmiany wprowadzone w rejestrze. Po ukończeniu pracy RKill sumuje operacje w logu, podając listę unieszkodliwionych procesów, zarówno tych zakończonych ręcznie przez użytkownika jak i automatycznie via RKill. INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER): Spoiler Program występuje w kilku postaciach, alternatywne kopie mają wspomóc obejście blokady: drugi z podanych linków kieruje do wersji niepodpisanej cyfrowo, trzeci do wersji pod nazwą "IExplore.exe". Pobrany plik uruchamiamy przez dwuklik. Na systemach Vista i nowszych należy potwierdzić dialog UAC: Jeśli w tle działa malware zapobiegające uruchamianiu narzędzi, również podczas uruchomienia RKill mogą wystąpić trudności uniemożliwiające jego start. Niestety nie można temu zapobiec i w puli są tylko niezbyt eleganckie obejścia, które jednak mogą się okazać skuteczne: po otrzymaniu komunikatu fałszywki pozostawienie komunikatu bez jego zamykania i próba ponownego startu RKill lub wielokrotne uruchomienia RKill dopóki nie zaskoczy i nie utrzyma się w procesach dostatecznie długo, by móc przeprowadzić operację. Nie należy się zniechęcać i należy próbować do skutku. Po pomyślnym uruchomieniu otworzy się okno konsolowe notujące postęp operacji: Rkill 2.9.1 by Lawrence Abrams (Grinler) http://www.bleepingcomputer.com/ Copyright 2008-2020 BleepingComputer.com More Information about Rkill can be found at this link: http://www.bleepingcomputer.com/forums/topic308364.html Program started at: 01/24/2020 02:00:21 PM in x86 mode. Windows Version: Windows 10 Pro Checking for Windows services to stop: * No malware services found to stop. Checking for processes to terminate: * No malware processes found to kill. Checking Registry for malware related settings: * No issues found in the Registry. Resetting .EXE, .COM, & .BAT associations in the Windows Registry. Performing miscellaneous checks: * No issues found. Searching for Missing Digital Signatures: * No issues found. Checking HOSTS File: * No issues found. Program finished at: 01/24/2020 02:04:43 PM Execution time: 0 hours(s), 4 minute(s), and 22 seconds(s) Zakończenie działania jest notowane stosownym komunikatem. Na Pulpicie pojawia się log Rkill.txt. RKill jest tylko pośrednikiem. Para się tymczasowym zabiciem procesów malware, nie usuwa elementów infekcji z systemu, dlatego też po jego użyciu nie wolno zresetować komputera, gdyż malware z zaplanowanym startem automatycznym ponownie się uruchomi i sytuacja wróci do stanu początkowego. Po zastosowaniu RKill należy wybrać jedno z dwóch: wygenerować logi do oceny na forum (na podstawie raportów dostarczymy instrukcje usuwania) lub uruchomić ogólny program do czyszczenia infekcji np. Malwarebytes. Odnośnik do komentarza
picasso Opublikowano 7 Września 2015 Autor Zgłoś Udostępnij Opublikowano 7 Września 2015 Usuwanie określonych komponentów adware AdwCleaner Strona domowa pod szyldem Malwarebytes Strona domowa po szyldem ToolsLib Oficjalne forum Platforma: Windows 7 i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Pobierz Pobierz Systemy XP i Vista nie są już obsługiwane. Oficjalnie kompatybilność kończyła się na linii 6.x, ale nadal można było korzystać z linii 7.x. Ostatnia wersja możliwa do uruchomienia: AdwCleaner 7.4.2 Legacy. Z pewnością wersja ta nie będzie się mogła aktualizować. AdwCleaner - Następca archaicznego AD-Remover. Program wybitnie specjalizowany w detekcji i usuwaniu infekcji typu adware/PUP. Narzędzie rozpoznaje preferencje wszystkich głównych przeglądarek w najnowszych wersjach: Firefox, Google Chrome, Microsoft Edge, Opera i inne na silniku Mozilla czy Chromium/Blink. Początkowo niezależny projekt, w październiku 2016 został przejęty przez Malwarebytes. AdwCleaner jest bardzo często aktualizowany. Interfejs jest wyświetlany po polsku na natywnie polskim systemie, a w razie braku automatycznego wykrycia można z menu ustawić pożądany język. INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER): Spoiler Uruchom pobrany plik przez dwuklik i potwierdź dialog UAC: Następnie zgłosi się licencja użytkowa, którą potwierdzamy: Po pomyślnym uruchomieniu pojawi się główny interfejs: Skanowanie bez usuwania Wybierz opcję Skanuj teraz (Scan now). Skanowanie będzie obrazowane dynamicznym pasem postępu, oznajmiającym która część jest w toku, a w przypadku wykrytych zagrożeń pojawi się czerwony status. Nie należy podejmować żadnych innych akcji tylko dostarczyć raport ze skanowania. Tzn. proszę wybrać opcję Pomiń naprawę podstawową (Skip Basic Repair) i zamknąć program. Wynikowo powstanie log C:\AdwCleaner\Logs\AdwCleaner[S#].txt, gdzie # oznacza kolejne numery - najnowszy log ma najwyższy numer. Usuwanie infekcji W menu Ustawienia (Settings) jest konfiguracja które z procedur resetujących powinny zostać uwzględnione podczas usuwania. Domyślnie jedyna zaznaczona pozycja to reset Winsock. O ile nie zaznaczymy inaczej w temacie, proszę zostawić domyślne ustawienia. Wybierz opcję Skanuj teraz (Scan now). W przypadku gdy ocenimy określone wpisy jako fałszywe alarmy, podamy które elementy odznaczyć przed skorzystaniem z opcji oczyszczania. Wynikowo powstanie log C:\AdwCleaner\Logs\AdwCleaner[C#].txt, gdzie # oznacza kolejne numery - najnowszy log ma najwyższy numer. Odnośnik do komentarza
picasso Opublikowano 19 Września 2015 Autor Zgłoś Udostępnij Opublikowano 19 Września 2015 HitmanPro Strona domowa Platforma: Windows XP i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Wersja dla systemów 64-bit: Pobierz Pobierz Wersja dla systemów 32-bit: Pobierz Pobierz W ramach wyjątku jedyny program komercyjny tu wyliczany. Hitman udziela jednorazowej darmowej licencji na usuwanie malware przez 30 dni. Po upłynięciu tego okresu czynny jest tylko skan bez możliwości usuwających. Darmową wersją bez limitu czasowego (opartą na tym samym silniku lecz bez kilku opcji i w innej "skórze") jest Sophos Scan & Clean. Uciążliwością tu jest, że pobieranie programu wymaga wypełnienia formularza rejestracyjnego. INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER): Spoiler Narzędzie uruchamiamy przez dwuklik. Na systemach Vista i nowszych wymagany tryb administracyjny i potwierdzenie dialogu UAC. W przypadku gdy Hitman jest zablokowany przez procesy malware i nie uruchamia się, można wymusić tzw. tryb Force Breach polegający na zabiciu wszystkich nieesencjonalnych procesów. Podczas uruchamiania Hitman przytrzymaj wciśnięty klawisz CTRL. Pojawi się ekran główny, wybierz opcję Dalej (Next). Następnie zaznacz pole Akceptuję wszystkie warunki umowy licencyjnej (I accept the terms of the license agreement) i kliknij Dalej (Next). Ten ekran nie pokaże się, jeśli program był wcześniej używany. Na kolejnym ekranie wybierz opcję Nie, chcę jedynie wykonać jednorazowe skanowanie sprawdzające ten komputer (No, I only want to perform a one-time scan on this computer) i kliknij Dalej (Next). Rozpocznie się notowane pasem postępu skanowanie oraz klasyfikowanie wyników, czekaj cierpliwie. W przypadku gdy Hitman wykryje obiekty typu malware tło programu zmieni się z niebieskiego na czerwone. Gdy program ukończy skanowanie, nie podejmuj akcji czyszczących, gdyż wyniki muszą zostać ocenione. Podświetl dowolny element w wynikach skanu, z rozwijanego menu wybierz opcję Zastosuj do wszystkich (Apply to all) > Ignoruj (Ignore). Po tej operacji wszystkie wyniki w oknie powinny mieć przypisany ten sam status "Ignoruj". Na koniec skorzystaj ze spodniej opcji Zapisz log (Save log) i wskaż jako miejsce zapisu Pulpit. Log jest zapisywany w formacie *.log nieakceptowanym przez załączniki forum. Należy ręcznie zmienić nazwę na *.txt. Archiwum wszystkich logów (niezależnie od tego czy zapisywano logi ręcznie) jest w następującym folderze: C:\ProgramData\HitmanPro\Logs (Windows Vista - Windows 10) C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro\Logs (Windows XP) Odnośnik do komentarza
picasso Opublikowano 19 Września 2015 Autor Zgłoś Udostępnij Opublikowano 19 Września 2015 ESET Online Scanner Strona domowa Platforma: Windows 7 i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz .... opis w budowie .... Odnośnik do komentarza
picasso Opublikowano 19 Września 2015 Autor Zgłoś Udostępnij Opublikowano 19 Września 2015 (edytowane) Kaspersky Virus Removal Tool (KVRT) 2020 Strona domowa Platforma: Windows 7 i nowsze oraz edycje serwerowe 2008 (R2) i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Systemy XP i Vista nie są już obsługiwane. Ostatnia wersja działająca na tych systemach to stara edycja Kaspersky Virus Removal Tool 2015. Zastępuje przestarzały i nieaktualizowany TDSSKiller. ... opis w budowie ... Edytowane Sobota o 01:51 przez picasso Odnośnik do komentarza
picasso Opublikowano 19 Września 2015 Autor Zgłoś Udostępnij Opublikowano 19 Września 2015 (edytowane) Malwarebytes (MB) Strona domowa Platforma: Windows 7 i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Pobierz Pobierz Narzędzia pomocnicze: Malwarebytes Support Tool [Diagnostyk do reperacji lub awaryjnej deinstalacji narzędzia. Zastępuje stary MB-Clean.] Systemy XP i Vista nie są już obsługiwane. Ostatnia wersja działająca na tych systemach to stara edycja Malwarebytes 3.5.1 Legacy. W marcu 2023 potwierdziłam u źródła, że nastąpi całkowite odcięcie od definicji. .... opis w budowie .... Edytowane Sobota o 01:44 przez picasso Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2016 Program Install and Uninstall Troubleshooter Fix problems that block programs from being installed or removed Platforma: Windows 7, Windows 8/8.1 i Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Artykuł pierwotnie kierował do narzędzia Fix-it zgodnego z systemami XP do Windows 8.1. Nastąpiła wymiana narzędzi z MicrosoftFixit.ProgramInstallUninstall.Run.exe na MicrosoftProgram_Install_and_Uninstall.meta.diagcab i odcięcie archaicznych systemów. Program Install and Uninstall Troubleshooter - Narzędzie Microsoftu dedykowane rozwiązywaniu problemów z instalacją i deinstalacją programów opartych na Instalatorze Windows (czyli nie wszystkich), zastępujący stare narzędzie Windows Installer Cleanup (wycofane ze względu na błędy). Na forum m.in. stosowane do usuwania wejść programów oznaczonych flagą "Hidden" w raporcie FRST, ale nie tylko. Narzędzie jest specjalizowane w usuwaniu rejestracji MSI produktu, czyli eliminacji głównie wejść listy deinstalacji. Nie usuwa powiązanych z programem komponentów takich jak sterowniki / usługi czy foldery. Odnośnik do komentarza
picasso Opublikowano wczoraj o 05:01 Autor Zgłoś Udostępnij Opublikowano wczoraj o 05:01 AV block remover (AVbr) Strona domowa Platforma: systemy powyżej XP (infekcja nie jest zainteresowana) Oficjalne autoryzowane linki pobierania: Statyczna nazwa w paczce ZIP: Pobierz Nazwa generowana losowo: Pobierz W razie problemów, dostarczenie alternatywy w gestii autoryzowanego pomocnika. Narzędzie autorstwa regist z serwisu SafeZone, specjalizowane w usuwaniu konkretnej infekcji typu miner, która blokuje zarówno instalację programów AV, jak i dostęp do stron z pobieraniem AV i forów udzielających pomocy. Prócz tych oczywistych znaków, miner charakteryzuje się również: procesy symulujące "poprawne procesy" (np. taskhostw.exe, realtekhd.exe), zamykanie Menedżera zadań i gpedit.msc, ukryte konto o nazwie John, hijack usługi systemowej TermService, utylizacja RMS (prawdopodobny wyciek danych!). Przykładowe logi prezentujące elementy infekcji. Proszę zwrócić uwagę na sekcję "Flock:" oraz konto minera (obecnie powinno mieć flagę ATTENTION / UWAGA w FRST): John (S-1-5-21-2341195396-3742866233-128469134-1002 - Limited - Enabled) Narzędzie eliminuje elementy minera i jego pochodnych, a także usuwa lub odwraca niepożądane modyfikacje w systemie. Wśród funkcji: Odblokowywanie instalacji antywirusów. W skład wchodzi: usuwanie pustych fałszywych folderów blokujących AV, reset uprawnień prawdziwych / niepustych folderów AV, usuwanie restrykcji DisallowRun*, reset zasad AppLocker (jeśli włączone i aktywne), usuwanie blokad charakterystycznych dla trojana CertLock. Rekonstrukcja usługi "Dostawca kopiowania w tle oprogramowania firmy Microsoft" (Microsoft Software Shadow Copy Provider). Odkręcenie zmodyfikowanych ustawień Windows Defender. W tym próba reaktywacji "Ochrony przed naruszeniami" (Tamper Protection), przy niepowodzeniu log poda tę informację. Usuwanie reguł Zapory systemu Windows dodanych przez infekcję. Usuwanie ukrytego konta "John" (aczkolwiek podczas usuwania użytkownik otrzyma pytanie, by potwierdzić akcję). Operacje na pliku Hosts. Odtwarza brakujący plik. Jeśli plik istnieje, ale jego zawartość odbiega od domyślnej, zgodnie z wyborem użytkownika AVbr albo go zresetuje, albo otworzy do bezpośredniej edycji. Miner jest bardzo agresywny i często aktualizowany. Autor AVbr stara się nadążać za "sztuczkami". Narzędzie ma zakodowaną ograniczoną żywotność i po wygaśnieciu poprosi o pobranie nowszej wersji. * FRST jest również blokowany, ale po zmianie nazwy potrafi podczas skanu usunąć blokadę swojego oryginalnego EXE: HKU\S-1-5-21-2341195396-3742866233-128469134-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => removed successfully INSTRUKCJA URUCHOMIENIA: Miner blokuje również AVbr. W związku z naturą infekcji, jest ciężko pobrać narzędzie i zapobiec jego zablokowaniu. Link pobierania powinien być atypowy, a nazwa pliku EXE losowa. Powyżej są podane standardowe linki, w tym o charakterze losowym, ale jest prawdopodobne, że nie przejdą. Autor pozwala na przehostowanie paczki. ----> (opis w budowie) Po użyciu narzędzia ściśle zalecanie zgłoszenie się po pomoc na forum ze świeżymi raportami z FRST w celu doczyszczenia. Odnośnik do komentarza
picasso Opublikowano wczoraj o 05:04 Autor Zgłoś Udostępnij Opublikowano wczoraj o 05:04 Furtivex Malware Removal Script (FMRS) Strona domowa Platforma: Windows 10 i Windows 11 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Skrypt portable od thisisu (autor zlikwidowanego Junkware Removal Tool) orientowany na nowoczesne platformy operacyjne. Multijęzyczny, polskie tłumaczenie mojego autorstwa. Zadania które wykonuje skrypt: - Skan w poszukiwaniu malware, które mogło zostać przeoczone przez standardowe skanery. Autor na bieżąco śledzi krajobraz malware i w razie potrzeby dodaje nowe procedury. W odróżnieniu od większości narzędzi, skrypt nie tworzy żadnej kopii zapasowej usuwanych obiektów. Usuwanie jest permanentne. Dodatkowo, FMRS stosuje zabieg odwrotny niż typowa czarna lista. Narzędzie się nie patyczkuje i usuwa obiekty takie jak zaplanowane zadania spoza wbudowanej "bezpiecznej listy" (tzn. ważne zadania Microsoftu oraz antywirusów), czyli nawet od poprawnych aplikacji. Autor wychodzi z założenia, że te elementy zostaną samoczynnie odtworzone po ponownym uruchomieniu danego programu. Ostrzegam jednak, że są zadania które nie zostaną zrekonstruowane. - Skan pod kątem brakujących plików systemowych (limitowana pula). W przypadku wykrycia braków, narzędzie uruchomi dobrze znane komendy naprawcze *: DISM /Online /Cleanup-Image /RestoreHealth sfc /scannow Winmgmt /salvagerepository Winmgmt /resetrepository Winmgmt /resyncperf - Usuwanie zadań kolejki BITS (Inteligentnego transferu w tle), które posiadają błędy. - Czyszczenie różnych pamięci podręcznych (cache) wliczając też Steam, Discord, Java i CRL URL Cache. Ciasteczka (Cookies) są omijane, toteż nie będzie skutków ubocznych w postaci wylogowania z serwisów online. - Czyszczenie powiadomień Push w przeglądarce Edge (w układzie multi-profilów obecnie tylko 3 zostaną zaadresowane). W przyszłości zostanie prawdopodobnie uwzględnione również Google Chrome. - Czyszczenie Dzienników systemu Windows, wszystkich pięciu: Aplikacja (Application), Zabezpieczenia (Security), Ustawienia (Setup), System, Zdarzenia przesyłane dalej (ForwardedEvents). - Sprawdzanie statusu Aktywacji systemu Windows. Gdy wszystko będzie w porządku, w nagłówku raportu w linii z typem systemu operacyjnego pojawi się fraza Licensed. - W sekcji "Informacje dodatkowe" (Miscellaneous) są gromadzone dane tylko do odczytu, takie jak: zawartość kwarantanny FRST (o ile wykryta), lista plików zrzutów pamięci *.dmp (o ile były awarie) do analizy przez eksperta, wyniki skanów naprawczych * (o ile wykonane) i wyselekcjonowane ustawienia w rejestrze (o ile wykryte). W większości przypadków sekcja będzie pusta. INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER): Spoiler Pobieranie i uruchamianie skryptu może być blokowane przez Windows Defender. Należy potwierdzić, że plik ma być zachowany / dodać do wyjątków. A potem idzie standardowo, tzn. dwuklik i potwierdzenie dialogu UAC. FMRS wymaga minimalnej interwencji ze strony użytkownika. Po uruchomieniu, gdy wystartuje okno cmd oznakowane jako "Administrator", należy cierpliwie poczekać na zgłoszenie dodatkowego okienka licencji i ją potwierdzić: W pierwszej fazie nastąpi próba utworzenia punktu Przywracania systemu. Tekst po angielsku, gdyż jest to bezpośredni zwrot z Powershell (ograniczenia natywnie polskiego systemu): Creating a system restore point ... Creating a system restore point... 16% Completed. [ooooooooooooooooo ] . [Niepowodzenie zostanie oznaczone jako RP Failed w nagłówku raportu końcowego.] Następnie zostaną uruchomione skany właściwe, obrazowane przez postęp w oknie cmd. Na tym etapie następuje zabijanie procesów i cały ekran (z wyjątkiem okna cmd) stanie się czarny. Po zakończeniu skanowania na pulpicie pojawi się log Dostarcz go ekspertowi do sprawdzenia [|| ] Jeśli narzędzie wykryje brakujące pliki systemowe, zgłosi się dodatkowe okienko zawiadamiające o próbie naprawy. Po ukończeniu pracy wróci normalny Pulpit. Narzędzie tworzy na Pulpicie log FMRS_data__czas.txt. Nie jest on otwierany automatycznie. Przykładowy log: # ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ # # Furtivex Malware Removal Script v4.6.4 # https://furtivex.net # Microsoft Windows 11 Pro x64 24H2 0415 // 1250 // 852 # 2025_01_08__05_17_29 - Fixitpc - # ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ # # Procesy: # Sterowniki: # Usługi: # Pliki: C:\Users\Fixitpc\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\data_0 (...) # Foldery: C:\Users\Fixitpc\AppData\Local\D3DSCache\19f4e3cfcda13cab C:\Users\Fixitpc\AppData\Local\D3DSCache\b5a3c58d1e2d9326 C:\WINDOWS\System32\config\systemprofile\AppData\Local\D3DSCache\66e899d838b68dd1 C:\WINDOWS\System32\config\systemprofile\AppData\Local\tw-1fcc-938-bb9af.tmp (...) # Zaplanowane zadania: CreateExplorerShellUnelevatedTask Microsoft\Windows\Application Experience\PcaPatchDbTask MicrosoftEdgeUpdateTaskMachineCore{02BEAEE8-E294-4FBF-AB93-AD351FB2823E} MicrosoftEdgeUpdateTaskMachineUA{1982807F-ACD3-4969-A007-CCC265773BBB} OneDrive Reporting Task-S-1-5-21-4189946868-1245782818-4098920342-1001 # Rejestr: HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager\\SubscribedContent-338389Enabled HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\MicrosoftEdgeAutoLaunch_8E1ED719F26F77210A0C9530892DBB55 # Dodatkowe informacje: # ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ # Tutaj dobrze widać w raporcie o co chodzi z usuwaniem poprawnych elementów: wpis autostartu przeglądarki Edge i jej zaplanowane zadania domyślnie instalowane przez system + inne poprawne (lecz niekrytyczne) zadania. ============================== Elementy FMRS są usuwane przez KpRm. Odnośnik do komentarza
picasso Opublikowano 22 godziny temu Autor Zgłoś Udostępnij Opublikowano 22 godziny temu Temat w trakcie aktualizacji. Póki co: - Dodałam opis AV block remover (zostały tylko drobnostki do uzupełnienia) i Furtivex Malware Removal Script. - Do Archiwum zostały przeniesione programy MBAR i TDSSKiller (stare i zastąpione innymi rozwiązaniami producentów). Do zrobienia: uzupełnić stare brakujące opisy, ew. dodać opis narzędzia Antivirus Removal Tool. [post do skasowania potem] Odnośnik do komentarza
Rekomendowane odpowiedzi