picasso Opublikowano 20 Maja 2016 Zgłoś Udostępnij Opublikowano 20 Maja 2016 No rozumiem, tyle, że nie mam pewności czy ten Windows będzie działał. Skoro mój klucz nie wchodzi na stronce Mirosoft, to zastanawiam się, czy nie ma ryzyka, że po zainstalowaniu ściągniętej wersji również nie będzie działał. i wtedy będę i bez starego i bez nowego systemu czyli wiadomo gdzie. Do Twojej maszyny powinny być przypisane dwa klucze: OEM_SLP (używany do automatycznej aktywacji systemu z Recovery) oraz COA_SLP (na naklejce). I to ten klucz z naklejki powinien zostać zastosowany przy użyciu zwykłej płyty nie-Recovery. Przy użyciu klucza z naklejki prawdopodobnie trzeba będzie telefonicznie skontaktować się z Microsoftem, by aktywowali system. Podczas samej instalacji systemu można pominąć aktywację i dopiero po zainstalowaniu systemu ją przeprowadzić. pojawił mi się komunikat, że SpyShelter (automatem) zezwala na akcję : explorer.exe (tworzenie zrzutu ekranu) - wydaje mi się nie jest normalne, żeby komputer sam z siebie tworzył zrzuty ekranu? Owszem, to nie wygląda normalnie. Nic więcej na tym komunikacie nie było pokazane? Przeklej z dziennika SpyShelter jak dokładnie ta akcja była sformułowana. Czy zezwoliłaś na nią, czy też ją zablokowałaś? Odnośnik do komentarza
aga123 Opublikowano 20 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2016 nie umiem znaleźć dziennika z wczoraj, dzisiaj zablokowałam to:2016-05-20 08:28:27,C:\Windows\explorer.exe,53,Blocked ;Uruchamianie aplikacji ("C:\Windows\System32\osk.exe" ) gdyż wyskoczył komunikat o przechwytywaniu obrazu z kamery. ale zablokowało mi również to: 2016-05-20 08:29:36,C:\Program Files (x86)\Skype\Phone\Skype.exe,31,Blocked ;Dostęp do kamery, -więc nie wiem, czy dobrze kombinuje wczoraj zablokowałam proces. Odnośnik do komentarza
picasso Opublikowano 23 Maja 2016 Zgłoś Udostępnij Opublikowano 23 Maja 2016 Nic z tego dla mnie nie wynika, a ten odczyt ze Skype wygląda normalnie. Proponuję wdrożyć tę koncepcję reinstalacji systemu z zupełnie innego nośnika: 1. Na wszelki wypadek obecną partycję Recovery możesz skopiować za pomocą narzędzia typu Macrium Reflect Free na zewnętrzny nośnik. Partycja Recovery jest ogromna, ponad 15 GB. Jeśli masz jakieś inne cenne dane, ewentualnie ręcznie je zachować na dodatkowym nośniku zewnętrznym, ale danych tych nie ładować na świeżym systemie. 2. Przygotować instalatory, które zostaną uruchomione zaraz po świeżej instalacji Windows bez dostępu do internetu. Na osobnym pendrive zapisać następujące instalatory: - Update for Windows 7 for x64-based Systems (KB3125574) - Instaluje prawie wszystkie łaty wydane od czasu SP1 do kwietnia 2016. By pobrać tę paczkę, stronę musisz uruchomić z poziomu Internet Explorer a nie Firefox, podczas jej uruchamiania padnie pytanie o instalację ActiveX, którą należy zatwierdzić, by pokazała się zawartość katalogu. - Internet Explorer 11 (dla systemu 64-bit) - Instalator typu "offline". - Dodatkowe programy zabezpieczające. W kontekście Twojego problemu przede wszystkim program specjalizowany w detekcji loggerów SpyShelter (sugeruję zainwestować w komercyjną wersję Premium lub nawet Firewall), a jeśli nie zdecydujesz się na komercyjny SpyShelter Firewall to prócz SpyShelter dodatkowy firewall np. może to być Comodo Firewall. Programy wyliczane w tym spisie: KLIK. 3. Zrobić nową płytę instalacyjną Windows 7 Home Premium SP1 (x64) z obrazu pobranego z TechBench wg podanych wskazówek. Odpiąć kabel sieciowy / zdeaktywować całkowicie fizyczny dostęp do sieci na czas instalacji systemu oraz jego wstępnej konfiguracji. Podczas instalacji usunąć wszystkie partycje, wliczając Recovery, oraz założyć konto użytkownika o innej nazwie i haśle niż poprzednio. O aktywacji już mówiłam, i przy braku dostępu do sieci trzeba odłożyć ten punkt. 4. Na świeżym systemie: - Bez dostępu do sieci: Z pendrive zainstalować KB3125574 i IE11 oraz programy zabezpieczające. - Podłączyć sieć, skonfigurować jej dane logowania w inny sposób niż poprzednio. - Uruchomić Windows Update i dociągnąć resztę brakujących łat. - Zmienić wszystkie hasła logowania (Skype, konto synchronizacji Firefox, poczta, serwisy społecznościowe i wszelkie inne hasła dostępowe). - Nie kopiować żadnych danych z poprzedniego systemu (np. profilu Firefox, zachowanych gdzieś instalatorów, dokumentów, etc). Nie instalować VPN, HotspotShield ani żadnych innych tego typu wynalazków. Zainstalować tylko niezbędne używane programy pobierając ich instalatory na świeżo. Odnośnik do komentarza
aga123 Opublikowano 27 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2016 Dziękuję za całą instrukcję. Wszystko poszło dobrze, ale w pewnym momencie komputer zaczął sam sobie instalować jakieś pliki z dysku zewnętrznego (poniżej oznaczonego F:) i utworzył na nim folder o dziwacznej nazwie. Spyshelter zezwolił na instalacje bez pytania. Tutaj wycinek z loga : 2016-05-27 12:27:54,F:\3156b46fa25b4a394168\Setup.exe,57,Allowed ;Otwieranie chronionego procesu w celu zmiany (explorer.exe(pid=968))2016-05-27 12:27:58,C:\Windows\System32\svchost.exe,53,Allowed ;Uruchamianie aplikacji ("C:\Program Files\Sony\VAIO Update\InternetWrapper.exe" -Embedding)2016-05-27 12:28:00,F:\3156b46fa25b4a394168\Setup.exe,48,Allowed ;Dostęp do sieci2016-05-27 12:28:04,C:\Windows\System32\services.exe,53,Allowed ;Uruchamianie aplikacji (C:\Windows\System32\svchost.exe -k WerSvcGroup)2016-05-27 12:28:12,F:\3156b46fa25b4a394168\Setup.exe,53,Allowed ;Uruchamianie aplikacji (SetupUtility.exe /aupause)2016-05-27 12:28:24,F:\3156b46fa25b4a394168\Setup.exe,53,Allowed ;Uruchamianie aplikacji (SetupUtility.exe /screboot) Odnośnik do komentarza
kosa4321 Opublikowano 27 Maja 2016 Zgłoś Udostępnij Opublikowano 27 Maja 2016 aga123 Przecież w SpyShelter, w ustawieniach, możesz zmienić domyślną akcję zezwól/zablokuj procesu. Odnośnik do komentarza
aga123 Opublikowano 27 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2016 Tak, zablokowałam, ale to był plik exe. więc jak coś zainstalował, to trzeba to wywalić o ile to szkodliwe działanie. wstecz to chyba nie da się zablokować.. Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 aga123, ten folder F:\3156b46fa25b4a394168 wygląda normalnie. Takie foldery o losowych nazwach na dysku z największą ilością wolnego miejsca (czyli niekonieczne na C:) tworzy Windows Update w momencie rozpakowywania łat na dysk. Plik SetupUtility.exe może należeć przykładowo do instalacji .NET Framework. Jeśli to był proces od Windows Update, należało go dopuścić a nie blokować. Mnie co innego zastanawia, podałam do pobrania czystą płytę instalacyjną Windows 7 pozbawioną integracji VAIO, a tu widzę próbę uruchamiania (zbędnej) aplikacji VAIO Update. Skąd ten program się tu znalazł? Czy ręcznie go instalowałaś (i w jakim celu)? Odnośnik do komentarza
aga123 Opublikowano 31 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2016 Picasso, być może, miałam na tym dysku zewnętrznym jakieś Framework, a jak zablokowałam proces, to folder został, ale większość zawartości zniknęła. Windows Update dopiero dzisiaj mi poinstalowało aktualizacje, ponieważ dopiero udało się aktywować system, więc nie wiem, czy ten dziwny folder tego dotyczył. jeśli chodzi o Vaio Update, to sama wcześniej ściągnęłam, żeby doinstalowało sterowniki do komputera. Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Nieaktywowany system bez przeszkód się aktualizuje (z wyłączeniem pewnych opcjonalnych aktualizacji), więc brak aktywacji w owym czasie nie jest dowodem że nie wykonywało się w tle Windows Update, jeśli było połączenie z siecią. I nie ma kontroli gdzie Windows Update rozpakowuje łaty przed ich instalacją, takie foldery będą powstawać przed instalacją aktualizacji zawsze tam gdzie jest więcej wolnego miejsca (w kontekście ogólnych proporcji dysku). Po instalacji aktualizacji te losowe foldery raczej nie znikają same, a niekiedy nawet nie można ich ręcznie skasować ze względu na blokadę uprawnień. Jak rozumiem, wszystkie akcje wykonane. Czy po przeładowaniu całego systemu od zera nadal są problemy ze "śledzeniem"? Odnośnik do komentarza
EDgar8 Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Nie chcę się za bardzo wtrącać. Ale koleżanka rozmawia z kimś i ten ktoś wie co koleżanka robi na komputerze tak? Potrafi wszystko opisać? Odnośnik do komentarza
aga123 Opublikowano 31 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2016 @ Picasso, póki co nie mogę stanowczo powiedzieć, że ktoś ma dostęp do treści na komputerze, wiec możliwe, że formatowanie pomogło. mam jeszcze małe pytanie, czysto teoretyczne, czy można wgrać jakieś śledzące oprogramowanie do bios-u? szukałam w internecie, ale nie znalazłam jednoznacznej odpowiedzi. @EDgar8 - to trochę bardziej skomplikowane. po prostu ktoś wiedział co robię na komputerze. Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 mam jeszcze małe pytanie, czysto teoretyczne, czy można wgrać jakieś śledzące oprogramowanie do bios-u? szukałam w internecie, ale nie znalazłam jednoznacznej odpowiedzi. Malware w firmware (BIOS/UEFI) owszem możliwe, z tym że to rozwiązania bardzo rzadkie, niekiedy tylko koncepcja teoretyczna, a celem są raczej instytucje a nie pojedyncze komputery domowe. Orientacyjnie ten i ten materiał. Osobiście nigdy nie natknęłam się na taki przypadek na komputerze domowym. Bardzo wątpię, że z tym mam tu do czynienia. Odnośnik do komentarza
ichito Opublikowano 1 Czerwca 2016 Zgłoś Udostępnij Opublikowano 1 Czerwca 2016 @picasso. pojawił mi się komunikat, że SpyShelter (automatem) zezwala na akcję : explorer.exe (tworzenie zrzutu ekranu) - wydaje mi się nie jest normalne, żeby komputer sam z siebie tworzył zrzuty ekranu? Taki alert zależy m.in. od - przyjętego poziomu ochrony...SS posiada własną zdefiniowaną listę zaufanych dostawców/aplikacji i tym samym automatem pozwala na ich akcje, ponadto na poziomie "zezwól aplikacjom Microsoft" pozwala z automatu na działanie tych aplikacji bez alertów...ewentualnie tylko powiadamia...natomiast aplikacje innych firm są monitorowane - dokonanych wcześniejszych zezwoleń dla explorer.exe...mowa o pojedynczych akcjach (sprawdź reguły - w nowym widoku jest to łatwiejsze), reguły dla procesu można zmieniać w oknie zaawansowanych reguł po wklikaniu się w niego na liście reguł. Producent ostrzega co prawda przed bezgranicznym zaufaniem dla explorer.exe Czy mogę w pełni ufać procesom takim jak explorer.exe? Nie do końca. Złośliwe oprogramowanie może użyć technik polegających na wstrzykiwaniu własnego kodu do procesów które popularnie uznawane są za bezpieczne, umożliwiając tym samym na przeprowadzenie ataku pod przykrywką systemowego procesu. SpyShelter chroni Twoje pliki systemowe przed złośliwym wstrzykiwaniem kodu. Pamiętaj, że SpyShelter to nie antywirus. Jeśli zezwolisz na iniekcję kodu, proces ten będzie nieodwracalny. https://www.spyshelter.com/pl/pl-faq/ ale z drugiej strony jeśli komputer jest po "leczeniu" to można raczej oczekiwać, że próba wykonania zrzutu ekranowego jest czymś prawidłowym...podobnie zresztą jak np. próba przechwycenia schowka. Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2016 Zgłoś Udostępnij Opublikowano 16 Czerwca 2016 (edytowane) aga133, na czym stoimy, czy jest już pewne że śledzenie (nie)odbywa się? Edytowane 19 Lipca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi