10

У меня странная проблема на моем ноутбуке HP. Это стало происходить недавно. Каждый раз, когда я запускаю свой компьютер, Windows 7 Action Center отображает следующее предупреждение:

Вам необходимо перезагрузить компьютер, чтобы отключить UAC.

На самом деле этого не происходит, если это произошло один раз в определенный день. Например, когда я запускаю машину утром, она появляется; но он никогда не обнаруживается при последующих перезапусках в течение этого дня. На следующий день снова происходит то же самое.

Я никогда не отключаю UAC, но, очевидно, некоторые руткиты или вирусы вызывают это. Как только я получаю это предупреждение, я направляюсь к настройкам UAC и снова включаю UAC, чтобы отключить это предупреждение. Это неприятная ситуация, так как я не могу ее исправить.

Во-первых, я запустил полное сканирование компьютера на наличие возможных вирусов и вредоносных программ / руткитов, но TrendMicro OfficeScan сказал, что вирусов не обнаружено. Я пошел на старую точку восстановления с помощью Windows System Restore, но проблема не была решена.

Что я пробовал до сих пор (что не смог найти руткит):

  • TrendMicro OfficeScan Antivirus
  • AVAST
  • Malwarebytes 'Антивирус
  • Ad-Aware
  • Vipre Antivirus
  • GMER
  • TDSSKiller («Лаборатория Касперского»)
  • HiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • Бритва Ризки Тизер (*)
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

На машине нет других странных действий. Все отлично работает, кроме этого странного инцидента.

Как может называться этот надоедливый руткит? Как я могу обнаружить и удалить это?


РЕДАКТИРОВАТЬ: Ниже файл журнала, созданный HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Как и предполагалось в этом очень похожем вопросе, я выполнил полное сканирование (+ сканирование во время загрузки) с RegRun и UnHackMe, но они также ничего не нашли. Я внимательно изучил все записи в Event Viewer, но в этом нет ничего плохого.

Теперь я знаю, что на моей машине есть скрытый троян (руткит), который, похоже, довольно успешно маскируется. Обратите внимание, что у меня нет возможности удалить жесткий диск или переустановить ОС, поскольку это рабочая машина, на которую распространяются определенные ИТ-политики в домене компании.

Несмотря на все мои попытки, проблема все еще остается. Мне строго нужен точечный метод или средство для удаления руткитов pukka, чтобы удалить что бы то ни было. Я не хочу вмешиваться в системные настройки, т.е. отключать автозапуск по очереди, портить реестр и т.д.


РЕДАКТИРОВАТЬ 2: Я нашел статью, которая тесно связана с моей проблемой:

Вредоносное ПО может отключить UAC в Windows 7; «По замыслу» говорит Microsoft. Особая благодарность(!) в Microsoft.

В статье дан код VBScript для автоматического отключения UAC:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

К сожалению, это не говорит мне, как я могу избавиться от этого вредоносного кода, работающего в моей системе.


РЕДАКТИРОВАТЬ 3: прошлой ночью я оставил ноутбук открытым из-за запущенной задачи SQL. Когда я пришел утром, я увидел, что UAC был выключен. Итак, я подозреваю, что проблема не связана с запуском. Это происходит раз в день, независимо от того, перезагружена ли машина.


РЕДАКТИРОВАТЬ 4: Сегодня я сразу же запустил "Process Monitor", как только Windows была запущена, чтобы надеяться поймать виновного (спасибо @harrymc за идею). В 9:17 ползунок UAC был сдвинут вниз (предупреждение появилось в Windows 7 Action Center). Я исследовал все действия реестра между 9:16 и 9:18. Я сохранил файл журнала Process Monitor (70 МБ, содержащий только этот 2-минутный интервал). Есть много EnableLUA = 0 (и других). Я выкладываю скриншоты окон свойств первых 4 ниже. Он говорит, что svchost.exe делает это, и дает некоторые номера потоков и PID. Я не знаю, что я должен сделать из них вывод:

9 ответов9

6

Сначала вы должны проверить, может ли служба Центра безопасности запускаться, а если нет - какая из ее зависимостей виновата. Посмотрите также сообщения об ошибках в окне просмотра событий.

Если вы чувствуете, что ваш компьютер заражен, возможны следующие решения:

  1. Как восстановить системные файлы Windows 7 с помощью средства проверки системных файлов.
  2. Восстановление при загрузке: как легко устранить проблемы загрузки Windows 7 с помощью восстановления при загрузке.
  3. Последнее средство - переформатировать жесткий диск и переустановить Windows.
    В вашем случае это может применяться: Выполнение восстановления системы HP в Windows Vista.

Просто отметим, что Windows вполне способна уничтожить себя без посторонней помощи, поэтому Центр обновления Windows более опасен, чем любой вирус. Восстановление при загрузке может решить проблему в этом случае путем повторной инициализации Windows, не требуя переустановки приложений.

Если вы действительно думаете, что проблема скорее в вирусе, и вы хотите узнать больше о том, что происходит на вашем компьютере, вам нужно будет выяснить две вещи:

  1. Какие изменения вносятся в вашу систему,
  2. Какая программа это меняет.

Для первого, если это изменение реестра, ключом, вероятно, является HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System , элемент EnableLUA , значение которого равно 0 для отключения и 1 для включения.

После того, как вы обнаружили, что изменение вносится в вашу систему, вы можете использовать Process Monitor и его опцию Enable Boot Logging (см. Справку) для регистрации всех обращений к ключу.

Сначала я загрузился бы в безопасном режиме и посмотрел, происходит ли это тоже. Если нет, то еще одно нападение вектор является использование Autoruns , чтобы отключить элементы автозагрузки в бинарном поиске продукта (так как это может быть законным продукт вызывает проблему, а не вирус).

5

В моем случае это была политика домена, которая применялась один раз в день. Та же проблема. Диагностика была проще, потому что отключение UAC происходило только при входе в домен или при подключении через VPN. Таким образом, было обнаружено, что политика домена включает в себя некоторый сценарий для отключения UAC. Я связался со своими системными администраторами, и они подтвердили это. Поэтому вам лучше проконсультироваться со своими администраторами домена или проверить профиль локальной политики и сценариев, если вы не в домене.

2

Вариант 1. Отключите все программы при запуске. (Пуск> Выполнить> Msconfig. Отключить все при запуске).

Вариант 2. Установите AVAST Home Edition и запланируйте сканирование при загрузке. А еще лучше, отсоедините жесткий диск от вашего компьютера, подключите его к другому и отсканируйте его оттуда с помощью AVAST.

Вариант 3 Другой вариант - запустить HijackThis. Создайте отчет и поделитесь им здесь для анализа. http://free.antivirus.com/hijackthis/

1

Пожалуйста, установите Microsoft Security Essentials и выполните полное сканирование системы. Поскольку MSE использует API-интерфейсы ОС и ловушки, она может найти вредоносное ПО, если оно фактически является каким-то видом вредоносного ПО. Кроме того, если MSE не может на самом деле установить или запустить, то мы точно знаем, что система взломана.

Поскольку для проверки системы вы запустили так много программ AV и Anti-Malware, я очень сомневаюсь, что ваш компьютер был взломан. Вместо того чтобы устанавливать программы AV и защиты от вредоносных программ, а затем выполнять сканирование при загрузке, используйте другой компьютер для сканирования диска. Подключите диск к другой системе в качестве ведомого, а затем запустите сканирование. Вы должны выполнять сканирование при загрузке с CD или DVD, а не с самого жесткого диска, поскольку это действительно предотвращает запуск ОС и запуск руткита во время фактического сканирования.

Хотя, если честно, если вы уверены, что ваша система состоит из руткита, запустите жесткий диск и начните с нуля. Попросите ваш ИТ-отдел сделать это. Это единственный надежный способ убедиться, что ваша система чистая.

0

Я рекомендую вам создать еще одну учетную запись на вашем компьютере. Не делайте эту учетную запись администратором; сохраните это как обычный пользователь. Используйте эту новую учетную запись вместо учетной записи администратора. Если вам нужны права администратора, UAC всегда будет запрашивать ваши учетные данные администратора. Таким образом, вредоносное ПО не сможет отключить UAC и запускать вредоносные программы ...

Попробуйте отключить UAC без прав администратора

Это не избавит от вируса, но, по крайней мере, предотвратит его ухудшение. Затем, когда ваш антивирус получит новые определения для его обнаружения, он сможет удалить его.

0

Это довольно интересный вопрос. Я должен сказать, что это будет вызвано одной или двумя различными проблемами:

1) Большинство людей заподозрили вирус, и вполне справедливо, что вирусы любят проникать в окна и манипулировать настройками.

У вас уже есть исчерпывающее количество сканирований. Любой вирус должен быть пойман теми, кто уже запущен, поэтому я считаю, что это окно Windows.

2) Окна закрыты. Я бы порекомендовал вам запустить проверку диска на вашем компьютере. Два разных метода, которые дают похожие результаты.

- Откройте мой компьютер, а затем щелкните правой кнопкой мыши на жестком диске, с которого загружаются окна. Затем выберите вкладку «Инструменты» и нажмите кнопку с надписью «Проверка диска» [или что-то подобное]. Теперь отметьте два флажка, если они уже нет. Ваш компьютер должен попросить вас перезагрузить компьютер, если вы этого не сделали, вы не отметили галочкой опции. Пусть это сканирование запустится. Это должно очистить все домашние птицы в вашей установке Windows.

Теперь, если проверка не удалась, вставьте установочный диск вашей операционной системы. Если вы используете XP, нажмите R, когда появится синий экран с вопросом, какую задачу вы хотите выполнить. Теперь выберите, на каком жестком диске установлена ваша операционная система, и нажмите клавишу ввода после ввода соответствующего номера. После этого введите пароль для учетной записи администратора [обычно это пустой). Теперь войдите в командную консоль: chkdsk /r

это должно сделать то же самое сканирование, однако это может решить больше проблем, потому что сканирование запускается с установочного диска.

если выполняется сканирование на компьютере VISTA или SEVEN, вставьте диск и выберите вариант восстановления. После этого нажмите "Отмена", и должно появиться новое окно, в котором вы можете выполнять больше операций. Последний вариант должен сказать "Консольное окно" или что-то в этом роде.

введите в командной консоли "chkdsk /r C:"

Надеюсь это поможет.

0

Я только что столкнулся с этим самым сообщением. этим утром. Java уже некоторое время пытается обновить себя, поэтому я изменил настройки уведомлений на "не уведомлять" и сразу же получил сообщение о том, что мне пришлось перезапустить процессор, чтобы отключить управление. Я вошел и сбросил уровень уведомлений, и проблема была решена. надеюсь, это поможет

0

Прежде чем перейти к более сложным мерам, пожалуйста, установите AVG Anti-Virus Free Edition 2011. Позвольте ему выполнить полное сканирование компьютера. Недавно у меня была похожая проблема, и никакие другие антивирусные программы, кроме вышеупомянутой, не могли решить ее с помощью мер Anti-Rootkit.

-1

Выиграй 10, используя Malwarebytes. Вредоносное ПО, по-видимому, отключало UAC при запуске. Перестал загружать его при запуске, и проблема, похоже, решена. Затем настроил запуск, чтобы задержать установку Malwarebytes, и она, похоже, заработала.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .