Traxter

Przyczyną może być bałagan w aplikacjach zabezpieczających - oprócz aktualnego ESET Smart Security widać startujące z systemem usługi G DATA oraz Aviry, które powodują zamieszanie w Centrum Zabezpieczeń.

Dodatkowo pewnie masz infekcję, w logach masz podejrzane pliki c:\windows\svohost.exe, C:\8rh4ngud.exe.

Więc temat nadaje się do działu Wirusy, a mój post można skasować w razie czego.

Ja mogę Ci polecić Avirę free - korzystam z niego na kompie z XP, P4 1.8GHz (anytk) i nie obciąża wcale procesora w czasie pracy w tle (ok 5 - 10%, czasem podskoczy do 30%). Skuteczność w wykrywaniu jest również dobra, ale czasem wyświetla fałszywe alarmy.

Jestem tu nowy i baardzo zielony (przynajmniej w porównaniu do większosci użytkowników tego forum)

dobre, sami specjaliści

Tak, domyślnie pliki w piaskownicy pozostają dopóki sami ich nie usuniemy, przez co mogą być wykorzystane do złych celów, a uruchomione loggery mogą nas kontrolować. Ale uruchomienie w izolacji to zawsze jakieś zabezpieczenie, że nic nie wdostanie się do systemu.

W opcjach można ustawić automatyczne usuwanie:

Obecnie istnieją dwa rodzaje infekcji z dysków przenośnych:

• 
   
  
• wykorzystujące pliki autorun.inf, w których zapisane jest jaki program ma się uruchomić i mają możliwość automatycznego wykonywania programów z dysków. W przypadku włączonej funkcji autouruchamiania "Autorun" infekowanie zachodzi już w momencie podłączenia zarażanego nośnika
  
• wykorzystujące lukę w przetwarzaniu plików .lnk (skrótów) gdzie aby zostać zainfekowanym, wystarczy podłączyć tylko zainfekowany dysk przenośny jeśli autoodtwarzanie "Autoplay" jest włączone lub wyświetlić zawartość dysku USB za pomocą dowolnego programu, który automatycznie pokazuje ikonki plików (np. Total Commander czy Windows Explorer), jeśli autoodtwarzanie jest wyłączone.
  

Aby dobrze się zabezpieczyć przed tymi infekcjami:

- instalacja łaty eliminującej lukę w przetwarzaniu skrótów: KB2286198 Biuletyn zabezpieczeń firmy Microsoft MS10-046 - krytyczny

- koniecznie wyłączyć rozpoznawanie przez system plików autorun.inf

https://www.fixitpc.pl/index.php?/topic/56-zabezpieczenia-infekcje-z-pendrive-mediow-przenosnych/page__view__findpost__p__300

- można też wyłączyć autoodtwarzanie "Autoplay". Tutaj mozna użyć ciekawej nakładki AutoRunSettings, która umożliwia włączanie / wyłączanie funkcji Autoplay dla typów oraz liter napędów. Zaznaczona opcja oznacza aktywną funkcję Autoplay. Aby wyłączyć odznaczamy. Z kolei zaznaczona opcja "block autorun.inf" wyłącza rozpoznawanie plików autorun.inf

Istnieje również ciekawa aplikacja No Autorun (strona domowa), która monitoruje każdy podłączany dysk USB i blokuje znajdujące się na nim plik autorun.inf wraz z zapisanymi w nim plikami wykonywalnymi. Po wykryciu pliku autorun.inf wyświetlane jest okienko z wyborem akcji. Do czasu podjęcia stosownej akcji pliki nie mogą się wykonać i nie zaszkodzą systemowi, nie można także ich usuwać z poziomu Explorera. Aby usunąć wszystkie pliki wybieramy Delete Autorun Files / Delete All. Pojedyncze pliki kasujemy Delete. Przyciskiem Unlock zdejmujemy blokadę z plików i mamy do nich dostęp. Quarantine - kwarantanna.

Wybierając Config mamy dostęp do konfiguracji:

disable autorun - opcja wyłącza funkcje autoodtwarzania Autoplay

when a usb disk is inserted, safely open the disk folder - opcja pozwala na bezpieczne otwarcie folderu dysku USB po określonym czasie w sekundach

lock autorun.inf file when it contains more than 4 lines. ( prevent potential parsing error.) - blokada pliku autorun.inf, jeśli zawiera więcej niż 4 linie. (zapobiega potencjalnym błędom parsowania)

Edit: Wypełniając te warunki myślę, że nic się automatycznie nie uruchomi. A pozostałą zawartość nośnika możesz sprawdzić poprzez skanowanie antywirusami.

Także aplikacja Sandboxie ma możliwość uruchomienia dysku w piaskownicy - po prostu po zainstalowaniu w oknie Mój komputer klikamy PPM na dysku >>> Uruchom w piaskownicy.

Pliki na dysku po szybkim formacie zapewne są nienaruszone, więc nic nie zapisuj aby czegoś nie nadpisać. Najłatwiej chyba jest je odzyskać jako pliki usunięte, do czego można użyć również powiązanego PhotoRec. Tablica partycji na pewno nie jest zamazana, ponieważ partycje są na dysku.

Ile plików chcesz odzyskać?

Spróbuj TestDisk wg tutoriala

http://www.youtube.com/watch?v=XXtdOsLVfu4

http://www.youtube.com/watch?v=tGvHNNOLnCk

Oczywiście filmy z Jet Li - zwłaszcza Nieustraszony, oraz Donnie Yen - kultowy IP Man.

Ważna jest także aktualizacja systemu i zainstalowanego oprogramowania. Duża liczba szkodników wykorzystuje luki w systemie i oprogramowaniu. Aktualizacje likwidują te luki, uniemożliwiając wtargnięcie do systemu i przejęcia nad nim kontroli. Jeśli chodzi o dodatkowe oprogramowanie firm trzecich, najważniejsza jest aktualizacja aplikacji korzystających z internetu (przeglądarki, wtyczki Flash & Shockwawe Player, Java) oraz służących do otwierania poszczególnych plików (przeglądarki dokumentów PDF, odtwarzacze multimedialne).

Aby zobrazować wagę problemu, przykładem mogą być słynne robaki Blaster oraz Conficker czy ostatnie infekcje wykorzystujące lukę w skrótach (pliki .lnk), które właśnie wykorzystują niezałatane luki w systemie. Załatanie tych luk chroni system przed tymi robakami.

Kolejnym sposobem uniknięcia infekcji to praca na koncie z ograniczeniami na XP lub migracja na nowe platformy Vista / 7, które zapewniają większe bezpieczeństwo dzięki mechanizmowi UAC. Dla wygodniejszej pracy na XP na koncie limitowanym można zainstalować aplikację Surun (strona domowa), która wprowadza funkcjonalność podobną do UAC z systemów Vista / 7.

Unikajmy także nielegalnego oprogramowania - wszelkiego rodzaju "cracki", "keygeneratory" to źródło trojanów. Sugeruję aby zakończyć z "piraceniem" i stosować darmowe, legalne oprogramowanie. Wszystkie pliki instalacyjne pobieramy ze stron producenta lub z uznanych vortali z oprogramowaniem.

Podejrzane aplikacje możemy uruchamiać w wirtualizowanym środowisku.

Polecam także regularne oczyszczanie systemu z plików tymczasowych - szkodniki lubią przebywać w folderach z plikami tymczasowymi, pamięci cache przeglądarek internetowych. Regularne usuwanie lokalizacji tymczasowych likwiduje te źródło.

"Bunkrowanie" kompa i robienie z niego niedostępnej twierdzy poprzez instalację ogromnej ilości aplikacji zabezpieczających (czasem instalacja dwóch i więcej pakietów zabezpieczających / antywirusów / firewalli) to postępowanie niedoświadczonych użytkowników, którzy korzystają z internetu bez zastanowienia. Ktoś, kto rozsądnie korzysta z kompa i ma świadomość istniejących zagrożeń z internetu, może sobie pozwolić na lekkie rozwiązania.

To doskonały marketing producenta wykorzystujący strach użytkowników w celu reklamy swoich produktów i przyciągnięcia najwięcej osób na ich forum, gdzie można im powiedzieć do widzenia.

Firma ma gdzieś opinie użytkowników, ważniejsza jest kasa. Tylko myślę, że sami się pogrążają takimi praktykami. ZA Free to dla mnie produkt nie godny zaufania za sprawą integrowania Ask toolbar-a w starszych wersjach i aktualnie prowadzonych praktykach.

Zacznij od tej strony: link

Największa kopalnia wiedzy.

Udostępniona została bardzo ciekawa aplikacja Cameyo do tworzenia zwirtualizowanych programów, które mogą być uruchamiane bez instalacji. Aplikacja działa w ten sposób, że monitoruje zachodzące zmiany w systemie (pliki + rejestr) podczas instalowania programu, którego chcemy zwirtualizować. Następnie tworzony jest jeden plik wykonywalny, który możemy uruchamiać na dowolnym komputerze bez potrzeby instalacji, a także skopiować na pamięć USB. Programy w ten sposób utworzone są uruchamiane w izolowanym Sandbox-ie.

Co ważne, aplikacja jest całkowicie darmowa i może stanowić alternatywę na VMware ThinApp.

Strona domowa

Źródłowy artykuł

http://www.youtube.com/watch?v=hQyS24OY6PM&feature=player_embedded

Usuń też podany klucz w rejestrze

A spróbuj całkowicie usunąć sterownik z systemu i ponowną instalację wg tego sposobu

https://www.fixitpc.pl/index.php?/forum-6/announcement-2-wazne-oprogramowanie-emulujace-napedy/

Slawek popieram Cię

W całym łańcuchu zabezpieczeń najważniejsze jest postępowanie użytkownika. Często użycie głowy i wiedzy o systemie zabezpiecza komputer lepiej niż inne sposoby.

Dodatkowo antywirus (Avira) + systemowy firewall + uruchamianie tylko zaufanych aplikacji + jakiś wirtualizator do nieznanych (np. Sandboxie) + Malwarebytes' Anti-Malware na żądanie

Te aplikacje nie są przeznaczone dla systemów Windows Vista/7, które mają inną architekturę i nie są narażone na ataki poprzez te specyficzne porty. W nowych systemach część usług blokowanych przez WWDC została usunięta, a część nie wolno blokować.

Do kontroli portów wystarczy użycie firewalla.

https://www.fixitpc.pl/index.php?/topic/49-archiwalny-zabezpieczenia-robaczywe-ataki-poslaniec/

Windows XP ma wbudowaną już wersję 1.1 Dlatego na XP możemy od razu zainstalować .NET Framework 3.5 SP1, który zainstaluje jednocześnie wersje 2.0 i 3.0. Sam tak instalowałem i jak na razie nie mam problemów z uruchamianiem aplikacji, choć raz jakaś aplikacja w najnowszej wersji nie uruchomiła się, bo wymagała najnowszego .net frameworka 4.0. I wg mnie nie warto ściągać pełnych pakietów, ponieważ instalator i tak będzie dodatkowo chciał coś tam pobrać z internetu.

A co do wersji 4.0 to na stronach MSDN jest artykuł Version Compatibility in the .NET Framework 4:

The .NET Framework 4 is backward-compatible with applications that were built with the .NET Framework versions 1.1, 2.0, 3.0, and 3.5. In other words, applications and components built with previous versions of the .NET Framework will work on the .NET Framework 4.

 

However, in practice, this compatibility can be broken by seemingly inconsequential changes in the .NET Framework and changes in programming techniques. For example, performance improvements in the .NET Framework 4 can expose a race condition that did not occur on earlier versions. Similarly, using a hard-coded path to .NET Framework assemblies, performing an equality comparison with a particular version of the .NET Framework, and getting the value of a private field by using reflection are not backward-compatible practices. In addition, each version of the .NET Framework includes bug fixes and security-related changes that can affect the compatibility of some applications and components.

W skrócie oznacza to, że aplikacje zbudowane na poprzednich wersjach. NET Framework będą działać na. NET Framework 4, lecz mogą wystąpić sporadyczne komplikacje. Więc teoretycznie wystarczy zainstalować tylko wersje 4.0. Ważne jest też, że .NET Framework 4 pracuje równolegle z wersjami 1.1, 2.0 i 3.5. Dlatego w przypadku problemów instalujemy odpowiednią wersję. NET Framework na komputerze, aby uruchomić aplikację w najlepszym środowisku.

Przeanalizuj dysk aplikacją SpaceSniffer i zobacz co zajmuje Ci miejsce na dysku

XP PRO na NTFS (najczęstszy przypadek)

tworzysz prywatny folder i klikasz na nim PPM >>> Właściwości >>> zakładka Zabezpieczenia

wybierasz konto i na dole w Uprawnienia zaznaczasz odpowiednie opcje w sekcji Odmów

Przy próbie otwarcia folderu użytkownik dostanie komunikat brak dostępu:

Jeśli masz edycję Home możesz odblokować zakładkę zabezpieczenia instalując FaJo XP File Security Extension

Nom komputer jakby żwawiej teraz działa

Aplikacje usuwające nieprawidłowe wpisy w rejestrze nie spowodują wyraźnej poprawy wydajności systemu. Obniżenie wydajności powodują puste przestrzenie w plikach rejestru po usunięciu wielu wpisów. Aby temu zapobiec trzeba wykonać kompaktowanie rejestru za pomocą np. RegCompact Pro

Eusing Free Registry Cleaner - jeden z lepszych programów tego typu, a do tego po polsku.

zarejestruj bibliotekę wpisując "regsvr32 shimgvw.dll"

a jeżeli chodzi Ci o pozycję "Podgląd" w menu dla obrazków to skasuj klucz wcześniej robiąc jego kopię tak abyś mógł przywrócić w razie czego

HKEY_CLASSES_ROOT\SystemFileAssociations\image\ShellEx\ContextMenuHandlers\ShellImagePreview]

A wpisy media info dla mp3 znajdują się w kluczu (jeżeli masz zainstalowaną aplikację)

HKEY_CLASSES_ROOT\SystemFileAssociations\.mp3\Shell\MediaInfo

Proponuje jednak skorzystać z przydatnych aplikacji do tego wszystkiego od firmy Nirsoft: ShellMenuNew, ShellMenuView, ShellExView - wszystkie PL, darmowe i nie wymagaja instalacji, są portable

//EDIT

Opcja opróżniania kosza przy każdym pliku powinna być w lokalizacji

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{645FF040-5081-101B-9F08-00AA002F954E}

media info - opcje --> preferencje --> odznaczasz Rozszerzenie powłoki

Winrar - tez poszukaj sekcji integracja z menu kontekstowym

podgląd obrazów - wyrejestruj bibliotekę wpisując w Uruchom komendę " regsvr32 /u shimgvw.dll "

możesz też poszukać wpisów w rejestrze

dla plików

HKEY_CLASSES_ROOT\SystemFileAssociations\Directory.Audio\shell
HKEY_CLASSES_ROOT\SystemFileAssociations\Directory.Audio\shellex
\ContextMenuHandlers

dla dysków

HKEY_CLASSES_ROOT\Drive\Shell
HKEY_CLASSES_ROOT\Drive\ShellEx\ContextMenuHandlers

nowy skrót usuwasz w kluczu HKEY_CLASSES_ROOT\.lnk\ShellNew

Ja również wszystkich witam i pozdrawiam na nowym forum i uważam, że to bardzo dobra decyzja. Strona na pewno odniesie sukces w sieci, a to za sprawą doskonałych fachowców i braku ograniczeń z niekompetentnej administracji. Teraz ważna jest promocja strony.