UAC ถูกปิดวันละครั้งใน Windows 7


10

ฉันมีปัญหาแปลก ๆ กับแล็ปท็อป HP ของฉัน สิ่งนี้เริ่มเกิดขึ้นเมื่อเร็ว ๆ นี้ เมื่อใดก็ตามที่ฉันเริ่มเครื่อง Windows 7 Action Center จะแสดงคำเตือนต่อไปนี้:

คุณต้องรีสตาร์ทคอมพิวเตอร์ของคุณเพื่อให้ UAC ถูกปิด

ที่จริงแล้วสิ่งนี้จะไม่เกิดขึ้นหากเกิดขึ้นครั้งเดียวในวันใดวันหนึ่ง ตัวอย่างเช่นเมื่อฉันเริ่มต้นเครื่องในตอนเช้ามันจะปรากฏขึ้น แต่จะไม่ปรากฏในการรีสตาร์ทครั้งต่อไปภายในวันนั้น ในวันถัดไปสิ่งเดียวกันก็เกิดขึ้นอีกครั้ง

ฉันไม่เคยปิดใช้งาน UAC แต่เห็นได้ชัดว่ารูทคิทหรือไวรัสเป็นสาเหตุให้เกิด ทันทีที่ฉันได้รับคำเตือนนี้ฉันมุ่งไปที่การตั้งค่า UAC และเปิดใช้งาน UAC อีกครั้งเพื่อยกเลิกคำเตือนนี้ นี่เป็นสถานการณ์ที่น่ารำคาญเพราะฉันไม่สามารถแก้ไขได้

ก่อนอื่นฉันทำการสแกนแบบเต็มบนคอมพิวเตอร์เพื่อหาไวรัสและมัลแวร์ / รูทคิตใด ๆ ที่เป็นไปได้ แต่ TrendMicro OfficeScan กล่าวว่าไม่พบไวรัส ฉันไปที่จุดคืนค่าเดิมโดยใช้ Windows System Restore แต่ปัญหาไม่ได้รับการแก้ไข

สิ่งที่ฉันได้ลองมาแล้ว (ซึ่งหารูทคิทไม่ได้):

  • TrendMicro OfficeScan Antivirus
  • AVAST
  • Malwarebytes ต่อต้านมัลแวร์
  • Ad-Aware
  • Vipre Antivirus
  • GMER
  • TDSSKiller (Kaspersky Labs)
  • HijackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • Tizer Rootkit Razor ( * )
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

ไม่มีกิจกรรมแปลก ๆ ในเครื่อง ทุกอย่างทำงานได้ดียกเว้นเหตุการณ์ที่แปลกประหลาดนี้

อะไรคือชื่อของรูทคิทที่น่ารำคาญนี้ ฉันจะตรวจจับและลบออกได้อย่างไร


แก้ไข:ด้านล่างเป็นไฟล์บันทึกที่สร้างโดย HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

ตามที่แนะนำในคำถามที่คล้ายกันนี้ฉันได้เรียกใช้การสแกนเต็มรูปแบบ (+ การสแกนเวลาบูต) ด้วย RegRun และ UnHackMe แต่พวกเขาก็ไม่พบอะไรเลย ฉันได้ตรวจสอบรายการทั้งหมดอย่างรอบคอบใน Event Viewer แต่ไม่มีอะไรผิดปกติ

ตอนนี้ฉันรู้แล้วว่ามีโทรจันที่ซ่อนอยู่ (รูตคิต) ในเครื่องของฉันซึ่งดูเหมือนจะปลอมตัวได้สำเร็จ โปรดทราบว่าฉันไม่มีโอกาสที่จะลบ HDD หรือติดตั้งระบบปฏิบัติการใหม่เพราะนี่เป็นเครื่องจักรที่ใช้งานภายใต้นโยบาย IT บางอย่างในโดเมนของ บริษัท

แม้จะมีความพยายามทั้งหมดของฉันปัญหายังคงอยู่ ฉันต้องการวิธีการแบบจุดต่อจุดหรือตัวถอด rootkit pukka อย่างเคร่งครัดเพื่อลบสิ่งที่มันเป็น ฉันไม่ต้องการลิงด้วยการตั้งค่าระบบเช่นการปิดการใช้งานอัตโนมัติจะทำงานทีละตัวส่งข้อความไปยังรีจิสทรี ฯลฯ


แก้ไข 2:ฉันได้พบบทความที่เกี่ยวข้องกับปัญหาของฉัน:

มัลแวร์สามารถปิด UAC ใน Windows 7; “โดยการออกแบบ” ไมโครซอฟท์กล่าวว่า ขอขอบคุณเป็นพิเศษ (!) ถึง Microsoft

ในบทความรหัส VBScript ถูกกำหนดให้ปิดใช้งาน UAC โดยอัตโนมัติ:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

น่าเสียดายที่ไม่ได้บอกฉันว่าฉันสามารถกำจัดโค้ดอันตรายนี้ที่ทำงานบนระบบของฉันได้อย่างไร


แก้ไข 3:เมื่อคืนนี้ฉันเปิดแล็ปท็อปทิ้งไว้เนื่องจากงาน SQL ที่กำลังทำงานอยู่ เมื่อฉันมาในตอนเช้าฉันเห็นว่า UAC ถูกปิด ดังนั้นฉันสงสัยว่าปัญหาจะไม่เกี่ยวข้องกับการเริ่มต้น มันเกิดขึ้นวันละครั้งอย่างแน่นอนไม่ว่าจะรีบูทเครื่องหรือไม่


แก้ไข 4:วันนี้ฉันเริ่ม "Process Monitor" ทันทีที่ Windows เริ่มหวังว่าจะได้รับความผิด (ขอบคุณ @harrymc สำหรับความคิด) ที่ 9:17 ตัวเลื่อน UAC ถูกเลื่อนไปที่ด้านล่าง (ศูนย์ปฏิบัติการ Windows 7 แจ้งเตือน) ฉันตรวจสอบการดำเนินการของรีจิสทรีทั้งหมดระหว่าง 9:16 ถึง 9:18 ฉันบันทึกไฟล์บันทึกการตรวจสอบกระบวนการ (70MB มีช่วงเวลาเพียง 2 นาทีนั้น) มีรายการEnableLUA = 0(และอื่น ๆ ) จำนวนมาก ฉันโพสต์ภาพหน้าจอของหน้าต่างคุณสมบัติของ 4 รายการแรกด้านล่าง มันบอกว่าsvchost.exeกำลังทำสิ่งนี้และให้หมายเลขเธรดและหมายเลข PID ฉันไม่รู้ว่าฉันควรอนุมานเกี่ยวกับพวกเขา:

ป้อนคำอธิบายรูปภาพที่นี่ ป้อนคำอธิบายรูปภาพที่นี่ ป้อนคำอธิบายรูปภาพที่นี่ ป้อนคำอธิบายรูปภาพที่นี่


1
เป็นสิ่งพิเศษที่ต้องตรวจสอบซึ่งอาจเป็นการตั้งค่าที่ใช้โดยนโยบายกลุ่มจากตัวควบคุมโดเมนของคุณ อาจเป็นไปได้ว่าพวกเขา (ด้วยเหตุผลบางอย่าง) ตั้งค่าให้รีเซ็ต UAC ทุกวัน แน่นอนหากพวกเขาเปิดใช้งานโดยใช้นโยบายกลุ่มและมัลแวร์ปิดใช้งานอยู่แสดงว่าไม่ดี ฉันจะแชทกับพวกไอทีของคุณนั่นคือถ้าพวกเขาเป็นคนช่างพูด
Mokubai

@Mokubai: ขอบคุณสำหรับคำแนะนำของคุณ ฉันพูดคุยกับเพื่อนร่วมงานคนอื่น ๆ ใน บริษัท และไม่มีใครในพวกเขาที่มีปัญหาเช่นนี้ ฉันแน่ใจว่าไอทีของเราไม่ได้ปิดใช้งาน UAC เนื่องจากพวกเขามีความละเอียดอ่อนมากในเรื่องความปลอดภัย สิ่งที่น่าสนใจคือรูทคิท (เป็นไปได้) นั้นป้องกันไวรัสหรือมาตรการรักษาความปลอดภัยอื่น ๆ
Mehper C. Palavuzlar

เป็นวิธีที่คุณอาจมีอากาศนี้เป็นไปได้การติดเชื้อในสถานที่แรกที่มันง่ายการป้องกันมัลแวร์ใด ๆ ที่คุณอาจจะมีปฏิกิริยาโดยทั่วไปในธรรมชาติ แต่การตรวจสอบเชิงรุกเป็นไปได้ว่ามันไม่น่าเชื่อถือ บางคนฝันถึงวิธีที่จะบุกเข้าไปในระบบจากนั้น บริษัท ก็สังเกตเห็นและเขียนวิธีการตรวจจับหรือลบการกระทำและปฏิกิริยา หากคุณมีการติดเชื้อแน่นอนมันอาจเป็นสายพันธุ์ใหม่ที่ไม่ได้รับการเห็นจาก บริษัท AV เป็นวิธีการที่คุณได้รับมันมีช่องโหว่มากเกินไปในสถานที่ที่คุณจะไม่คาดหวังที่จะให้ความคิดใด ๆ ...
Mokubai

HijackThis สะอาด คุณอาจต้องการพิจารณารับไฟล์วอลล์ โปรดลองใช้การทำงานอัตโนมัติและการตรวจสอบกระบวนการตามที่แฮร์รี่อธิบาย
Tamara Wijsman

คุณลองค้นหาใน Task Scheduler แล้วหรือยัง (เริ่มต้น -> แผงควบคุม -> เครื่องมือการดูแลระบบ -> ตัวกำหนดเวลางาน) คลิก "ไลบรารีตัวกำหนดเวลางาน" เพื่อดูงานที่ตั้งค่าโดยสิ่งต่างๆเช่น Google Updater อาจเป็นไปได้ว่าการรีเซ็ต UAC ประจำวันของคุณอยู่ที่อื่นเพราะสามารถตั้งค่างานตามเวลาที่กำหนดและจากนั้นตั้งค่าให้เรียกใช้ X นาทีหลังจากเข้าสู่ระบบหากเวลานั้นผ่านไปแล้ว ... ฉันต้องบอกว่ามันอาจ เป็นงานที่ยาวนานและยากลำบากในการค้นหาผ่านรายการนับพันในนั้น
Mokubai

คำตอบ:


6

คุณควรตรวจสอบก่อนว่าบริการศูนย์ความปลอดภัยสามารถเริ่มต้นได้หรือไม่และถ้าอย่างใด - สิ่งใดสิ่งหนึ่งที่ต้องพึ่งพาที่จะตำหนิ มองหาข้อความแสดงข้อผิดพลาดใน Event Viewer

หากคุณรู้สึกว่าคอมพิวเตอร์ของคุณติดเชื้ออาจเป็นไปได้ว่า:

  1. วิธีการซ่อมแซม Windows 7 แฟ้มระบบด้วย System File Checker
  2. ซ่อมแซมการเริ่มต้น: วิธีการง่ายซ่อมปัญหา Windows 7 Boot ใช้ซ่อมแซมการเริ่มต้น
  3. วิธีสุดท้ายคือการฟอร์แมตฮาร์ดดิสก์และติดตั้ง Windows ใหม่
    ในกรณีของคุณนี้อาจนำไปใช้: การดำเนินการกู้คืนระบบ HP ใน Windows Vista

เพียงกล่าวว่า Windows ค่อนข้างสามารถทำลายตัวเองได้โดยไม่ต้องอาศัยความช่วยเหลือใด ๆ ซึ่งเป็นสาเหตุว่าทำไม Windows Update จึงเป็นอันตรายมากกว่าไวรัสชนิดอื่น ๆ การซ่อมแซมการเริ่มต้นอาจแก้ไขปัญหาในกรณีนี้ได้โดยการกำหนดค่าเริ่มต้นใหม่ให้กับ Windows โดยไม่จำเป็นต้องติดตั้งแอปพลิเคชันใหม่

หากคุณคิดว่าปัญหาเป็นเรื่องของไวรัสและคุณต้องการทราบเพิ่มเติมเกี่ยวกับสิ่งที่เกิดขึ้นในคอมพิวเตอร์ของคุณคุณจะต้องค้นหาสองสิ่ง:

  1. การเปลี่ยนแปลงใดที่เกิดขึ้นกับระบบของคุณ
  2. โปรแกรมนี้เปลี่ยนแปลงอะไรบ้าง

สำหรับอันแรกถ้าเป็นการเปลี่ยนแปลงรีจิสตรีคีย์อาจเป็นHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemไอเท็มEnableLUAซึ่งมีค่าเป็น 0 สำหรับปิดใช้งานและ 1 สำหรับเปิดใช้งาน

เมื่อคุณทราบถึงการเปลี่ยนแปลงที่เกิดขึ้นกับระบบของคุณแล้วคุณสามารถใช้การตรวจสอบกระบวนการและตัวเลือกเปิดใช้งานการบันทึกการบูต (ดูวิธีใช้) เพื่อบันทึกการเข้าถึงคีย์ทั้งหมด

ฉันจะบูตในเซฟโหมดก่อนและดูว่าสิ่งนี้เกิดขึ้นหรือไม่ ถ้าไม่ได้แล้วอีกโจมตีเวกเตอร์คือการใช้Autorunsไปรายการเริ่มต้นปิดการใช้งานในการค้นหาของไบนารีสำหรับผลิตภัณฑ์ (ตั้งแต่นี้อาจจะมีสินค้าที่ถูกต้องตามกฎหมายที่ก่อให้เกิดปัญหามากกว่าไวรัส)


ขอบคุณสำหรับคำแนะนำของคุณ ฉันได้ดำเนินการอยู่แล้วและกล่าวว่าsfc /scannow Windows Resource Protection Did Not Find Any Integrity Violationsขั้นตอนที่ 2 มีความเสี่ยงสำหรับฉันเนื่องจากแล็ปท็อปของ บริษัท อยู่ภายใต้นโยบาย IT ถ้าฉันทำผิดขั้นตอนการบู๊ตฉันจะมีปัญหามากกว่านี้ ขั้นตอนที่ 3 ไม่เป็นปัญหาสำหรับฉัน
Mehper C. Palavuzlar

เข้าใจปัญหานโยบายไอที ผลลัพธ์ใด ๆ จากย่อหน้าที่ 1 ของฉัน
harrymc

ศูนย์ความปลอดภัยเริ่มต้นโดยไม่มีปัญหาในโหมดปกติ ฉันได้ตรวจสอบรายการทั้งหมดอย่างรอบคอบใน Event Viewer (วันที่ที่มีทั้งหมดจนถึงตอนนี้) แต่ไม่มีอะไรผิดปกติตามที่ฉันระบุไว้ในคำถามของฉัน ฉันได้ตรวจสอบบริการที่กำลังทำงานอยู่ทั้งหมดกระบวนการเริ่มต้นรายการรีจิสตรีและไฟล์. dll โดยใช้โปรแกรมป้องกันไวรัสและมัลแวร์ต่างๆ
Mehper C. Palavuzlar

ตกลงฉันได้เพิ่มข้อมูลเพิ่มเติม ไม่ว่าในกรณีใดถ้าคุณคิดว่าคอมพิวเตอร์ของคุณติดไวรัสฉันแน่ใจว่านโยบายไอทีกำหนดให้คุณต้องแจ้งให้ฝ่ายไอทีทราบก่อนที่คุณจะติดไวรัสทั้ง บริษัท
harrymc

1
ใช่สิ่งกำลังปิด UAC (1) คุณได้รับพรอมต์ยกระดับเมื่อเรียกใช้ regedit หรือไม่ หากคุณไม่ทำเช่นนั้น UAC จะปิดอยู่หลังจากการบู๊ต (2) สถานการณ์หลังจากบู๊ตในเซฟโหมดคืออะไร (3) เพียงเพื่อสังเกตว่าข้อความของศูนย์ปฏิบัติการสามารถแสดงได้เนื่องจากการเปลี่ยนแปลงใน ConsentPromptBehaviorAdmin และไม่เพียง แต่สำหรับ EnableLUA
harrymc

5

ในกรณีของฉันมันเป็นนโยบายโดเมนที่ถูกนำไปใช้วันละครั้ง ปัญหาเดียวกัน. การวินิจฉัยทำได้ง่ายขึ้นเนื่องจากการปิด UAC เกิดขึ้นเฉพาะเมื่อลงชื่อเข้าใช้โดเมนหรือเชื่อมต่อผ่าน VPN ดังนั้นจึงพบว่านโยบายโดเมนมีสคริปต์บางตัวที่จะปิด UAC ฉันติดต่อผู้ดูแลระบบของฉันและพวกเขายืนยันว่า ดังนั้นคุณควรปรึกษาผู้ดูแลระบบโดเมนหรือตรวจสอบนโยบายและสคริปต์ของโปรไฟล์หากคุณไม่ได้อยู่ในโดเมน


2

ตัวเลือกที่ 1: ปิดการใช้งานโปรแกรมทั้งหมดในการเริ่มต้น (เริ่ม> เรียกใช้> Msconfig ปิดการใช้งานทุกอย่างภายใต้การเริ่มต้น)

ตัวเลือกที่ 2: ติดตั้ง AVAST home edition และกำหนดการสแกนเวลาบู๊ต ยังดีกว่ายกเลิกการเชื่อมต่อฮาร์ดดิสก์จากเครื่องของคุณและเชื่อมต่อไปยังอีกอันหนึ่งแล้วสแกนจากที่นั่นโดยใช้ AVAST

ตัวเลือก 3 ตัวเลือกอื่นคือการเรียกใช้ HijackThis สร้างรายงานและแบ่งปันที่นี่เพื่อการวิเคราะห์ http://free.antivirus.com/hijackthis/


1
รายการเริ่มต้นเล็กน้อยดูดี เหมือนกันทั้งหมดปิดใช้งานรายการเริ่มต้นและตรวจสอบอีกครั้ง ฉันขอแนะนำให้คุณติดตั้ง Avast และกำหนดการสแกนเวลาบูตโดยเฉพาะอย่างยิ่งหลังจากเชื่อมต่อฮาร์ดดิสก์เข้ากับเครื่องอื่น
bobbyalex

มีอีกสิ่งที่คุณสามารถลองได้: สร้างผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบและเข้าสู่ระบบด้วยผู้ใช้ หากโปรแกรมพยายามเรียกใช้คุณควรได้รับพรอมต์ UAC
bobbyalex

นี่เป็นพีซีที่ทำงานในโดเมน บริษัท ดังนั้นฉันไม่ได้รับอนุญาตให้สร้างผู้ใช้ใหม่ BTW ฉันลองสแกน Avast boot time เช่นกัน แต่ไม่พบไวรัสใด ๆ
Mehper C. Palavuzlar

1

โปรดติดตั้ง Microsoft Security Essentials และทำการสแกนระบบแบบเต็ม เนื่องจาก MSE ใช้ประโยชน์จาก OS APIs และ hooks จึงอาจค้นหามัลแวร์ได้หากเป็นมัลแวร์บางประเภท นอกจากนี้หาก MSE ไม่สามารถติดตั้งหรือเรียกใช้จริงเรารู้ว่าระบบนั้นถูกบุกรุก

เนื่องจากคุณใช้งานโปรแกรม AV และ Anti-Malware จำนวนมากเพื่อตรวจสอบระบบของคุณฉันจึงสงสัยอย่างมากว่าคอมพิวเตอร์ของคุณถูกบุกรุก แทนที่จะติดตั้งโปรแกรม AV และ Anti-Malware จากนั้นทำการบูตสแกนใช้คอมพิวเตอร์เครื่องอื่นเพื่อสแกนไดรฟ์ แนบไดรฟ์เข้ากับระบบอื่นในฐานะทาสจากนั้นเรียกใช้การสแกน คุณควรทำการสแกนการบู๊ตด้วยการบูทจาก CD หรือ DVD ไม่ใช่จากฮาร์ดไดรฟ์เพราะมันจะป้องกันไม่ให้ระบบปฏิบัติการเริ่มทำงานอย่างแท้จริงและรูทคิทจะไม่ทำงานในระหว่างการสแกนจริง

แม้ว่าโดยสุจริตหากคุณแน่ใจว่าระบบของคุณประกอบด้วยชุดอุปกรณ์รูทแล้วให้ทำฮาร์ดไดรฟ์และเริ่มจากศูนย์ ขอให้แผนกไอทีของคุณทำเช่นนี้ นี่เป็นวิธีการพิสูจน์คนโง่เพียงวิธีเดียวที่จะมั่นใจได้ว่าระบบของคุณสะอาด


ก่อนอื่นขอบคุณสำหรับคำแนะนำของคุณ การถอด HDD ไม่ใช่ตัวเลือก (ดูคำถามว่าทำไม) ฉันคิดว่า MSE คุ้มค่าที่จะลอง พรุ่งนี้ฉันจะตรวจสอบและแบ่งปันผลลัพธ์ การสแกนบูตโดยการปิดดิสก์ออปติคัลดูเหมือนว่าสมเหตุสมผลสำหรับฉัน คุณสามารถแนะนำลิงค์ไปยังไฟล์ภาพบางไฟล์เพื่อเขียนลงแผ่นดิสก์ได้หรือไม่? อีกครั้ง nuking HDD เป็นวิธีสุดท้ายสำหรับฉัน ฉันต้องแก้ไขกรณีโดยไม่ทำ ฉันรู้ว่ามันเป็นทางออกที่สมบูรณ์ แต่เรามาดูกันว่าเราสามารถทำอะไรได้บ้าง
Mehper C. Palavuzlar

ฉันค้นหาอย่างรวดเร็ว นี่คือลิงค์ที่มีข้อมูลเกี่ยวกับการสแกนไวรัสที่สามารถบู๊ตได้จากผู้ขายรายอื่น techmixer.com/free-bootable-antivirus-rescue-cds-download-list ลองใช้ดู
Metril

MSE ไม่พบสิ่งใด ตอนนี้ฉันจะลองซีดีกู้ชีพที่สามารถบูตได้
Mehper C. Palavuzlar

0

ฉันแนะนำให้คุณสร้างบัญชีผู้ใช้อื่นในคอมพิวเตอร์ของคุณ อย่าทำให้บัญชีนี้เป็นผู้ดูแลระบบ เก็บไว้เป็นผู้ใช้มาตรฐาน ใช้บัญชีใหม่นี้แทนบัญชีผู้ดูแลระบบของคุณ หากคุณต้องการสิทธิ์ผู้ดูแลระบบ UAC จะแจ้งให้คุณทราบถึงข้อมูลประจำตัวของผู้ดูแลระบบของคุณเสมอ ด้วยวิธีนี้มัลแวร์จะไม่สามารถปิดใช้งาน UAC และเรียกใช้สิ่งชั่วร้ายได้ ...

ลองปิดการใช้งาน UAC โดยไม่มีสิทธิ์ผู้ดูแลระบบ

สิ่งนี้จะไม่กำจัดไวรัส แต่อย่างน้อยมันก็จะหยุดยั้งมันให้แย่ลง จากนั้นเมื่อโปรแกรมป้องกันไวรัสของคุณได้รับคำจำกัดความใหม่ในการตรวจจับมันจะสามารถลบออกได้


ปัญหาคือนี่คือพีซีที่ทำงานในโดเมน บริษัท และฉันไม่มีสิทธิ์ในการสร้างผู้ใช้ใหม่
Mehper C. Palavuzlar

0

ก่อนที่คุณจะย้ายไปยังมาตรการที่มีความซับซ้อนมากขึ้นโปรดอย่าติดตั้งAVG Anti-Virus Free Edition 2011 ปล่อยให้มันทำการสแกนคอมพิวเตอร์ทั้งหมด เมื่อเร็ว ๆ นี้ฉันมีปัญหาที่คล้ายกันและไม่มีโปรแกรมป้องกันไวรัสอื่น ๆ แต่โปรแกรมดังกล่าวสามารถแก้ไขได้ด้วยมาตรการ Anti-Rootkit


ฉันจะลองวันนี้และแจ้งให้คุณทราบ
Mehper C. Palavuzlar

ไม่พบอะไรเลย ...
Mehper C. Palavuzlar

0

นี่เป็นปัญหาที่ค่อนข้างน่าสนใจ ฉันต้องบอกว่าสิ่งนี้จะเกิดจากปัญหาที่แตกต่างกันหนึ่งหรือสองอย่าง:

1) คนส่วนใหญ่สงสัยว่ามีไวรัสและถูกต้องแล้วไวรัสชอบเข้าไปใน windows และแก้ไขการตั้งค่า

คุณมีการสแกนจำนวนมากแล้ว ไวรัสใด ๆ ที่ควรถูกดักจับโดยที่ทำงานอยู่แล้วดังนั้นฉันเชื่อว่ามันเป็นหน้าต่างของไก่

2) Windows fowled up ฉันขอแนะนำให้คุณเรียกใช้การตรวจสอบดิสก์บนคอมพิวเตอร์ของคุณอีกครั้ง สองวิธีที่ต่างกันที่ให้ผลลัพธ์ที่คล้ายกัน

- เปิดคอมพิวเตอร์ของฉันจากนั้นคลิกขวาบนฮาร์ดไดรฟ์ที่หน้าต่างโหลดขึ้นมา จากนั้นเลือกแท็บเครื่องมือและคลิกที่ปุ่มที่ระบุว่า Disk Check [หรือบางอย่างที่คล้ายกัน] ตอนนี้ทำเครื่องหมายในกล่องตัวเลือกสองตัวเลือกหากยังไม่ได้เลือก คอมพิวเตอร์ของคุณควรขอให้คุณรีสตาร์ทคอมพิวเตอร์หากคุณไม่ได้ติ๊กที่กล่องตัวเลือก ให้สแกนนั้นทำงาน มันควรทำความสะอาดสัตว์ปีกใด ๆ ในการติดตั้ง Windows ของคุณ

ตอนนี้ถ้าการสแกนนั้นล้มเหลวให้ใส่ดิสก์การติดตั้งระบบปฏิบัติการของคุณ หากใช้ XP ให้กด R เมื่อหน้าจอสีน้ำเงินปรากฏขึ้นถามว่าคุณต้องการทำงานอะไร ตอนนี้เลือกฮาร์ดไดรฟ์ที่ระบบปฏิบัติการของคุณเปิดอยู่และกด Enter หลังจากป้อนหมายเลขที่เหมาะสม หลังจากนั้นให้ป้อนรหัสผ่านสำหรับบัญชีผู้ดูแลระบบ [โดยปกติจะว่างเปล่า] ตอนนี้ให้ป้อนลงในคอนโซลคำสั่ง: chkdsk / r

สิ่งนี้ควรทำการสแกนแบบเดียวกันอย่างไรก็ตามสามารถแก้ไขปัญหาได้มากขึ้นเนื่องจากการสแกนกำลังเรียกใช้จากดิสก์การติดตั้ง

หากใช้การสแกนหาเครื่อง VISTA หรือ SEVEN ให้ใส่แผ่นดิสก์และเลือกตัวเลือกการซ่อมแซม หลังจากนั้นกดปุ่มยกเลิกและควรเปิดหน้าต่างใหม่ซึ่งคุณสามารถดำเนินการเพิ่มเติมได้ ตัวเลือกสุดท้ายควรพูดว่า "หน้าต่างคอนโซล" หรือบางอย่างของการเรียงลำดับ

เข้าสู่คอนโซลคำสั่ง "chkdsk / r C:"

หวังว่านี่จะช่วยได้


ฉันใช้ Windows 7 (โปรดดูแท็กคำถาม) ฉันทำงานchkdsk /r C:ตอนบูทและใช้เวลาประมาณ 1 ชั่วโมง ไม่พบปัญหา
Mehper C. Palavuzlar

0

ฉันเพิ่งพบข้อความนี้มาก เช้านี้. Java พยายามอัปเดตตัวเองเป็นระยะเวลานานแล้วดังนั้นฉันจึงเปลี่ยนการตั้งค่าการแจ้งเตือนเป็น "ไม่แจ้งเตือน" และได้รับข้อความ msg ที่ฉันต้องรีสตาร์ท cpu ทันทีเพื่อปิดการควบคุม ฉันเข้าไปข้างในและรีเซ็ตระดับการแจ้งเตือนและปัญหาได้รับการแก้ไข หวังว่าจะช่วย


-1

Win 10 โดยใช้ Malwarebytes มัลแวร์ถูกปิด UAC เมื่อเริ่มต้น หยุดการโหลดเมื่อเริ่มต้นและปัญหาดูเหมือนจะแก้ไขได้ จากนั้นปรับการเริ่มต้นให้ล่าช้าในการตั้งค่า Malwarebytes และดูเหมือนว่าจะทำงาน


จะไม่ชะลอการเริ่มต้นซอฟต์แวร์ตรวจจับมัลแวร์เพิ่มโอกาสที่มัลแวร์จริงสามารถซ่อนตัวเองได้หรือไม่
Arjan

คำถามถามอย่างชัดเจนเกี่ยวกับ Windows 7 ดังนั้นฉันไม่แน่ใจว่าทำไมคุณถึงที่อยู่ Windows 10 นอกจากนี้ยังไม่ชัดเจนว่าข้อเสนอแนะของคุณจริงแก้ปัญหาแทนที่จะซ่อนเพียง
David Richerby
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.