Controllo dell'account utente disattivato una volta al giorno su Windows 7

10

Ho strani problemi sul mio laptop HP. Questo ha cominciato a succedere di recente. Ogni volta che avvio la macchina, Windows 7 Action Center visualizza il seguente avviso:

È necessario riavviare il computer affinché UAC sia disattivato.

In realtà, ciò non accade se è accaduto una volta in un giorno specifico. Ad esempio, quando avvio la macchina al mattino, si presenta; ma non si presenta mai nei riavvi successivi entro quel giorno. Il giorno successivo, la stessa cosa accade di nuovo.

Non disabilito mai UAC, ma ovviamente alcuni rootkit o virus causano questo. Non appena ricevo questo avviso, mi dirigo verso le impostazioni UAC e riattivo l'UAC per chiudere questo avviso. Questa è una situazione fastidiosa perché non riesco a risolverlo.

Innanzitutto, ho eseguito una scansione completa sul computer per rilevare eventuali attività di virus e malware / rootkit, ma TrendMicro OfficeScan ha affermato che non sono stati rilevati virus. Sono andato a un vecchio punto di ripristino utilizzando Ripristino configurazione di sistema di Windows, ma il problema non è stato risolto.

Quello che ho provato finora (che non è stato possibile trovare il rootkit):

  • TrendMicro OfficeScan Antivirus
  • AVAST
  • Malwarebytes 'Anti-malware
  • Ad-Aware
  • Vipre Antivirus
  • GMER
  • TDSSKiller (Kaspersky Labs)
  • HiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • Tizer Rootkit Razor ( * )
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

Non ci sono altre strane attività sulla macchina. Tutto funziona bene tranne questo bizzarro incidente.

Quale potrebbe essere il nome di questo fastidioso rootkit? Come posso rilevarlo e rimuoverlo?

MODIFICA: Di seguito è riportato il file di registro generato da Hijack.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Come suggerito in questa domanda molto simile , ho eseguito scansioni complete (+ scansioni del tempo di avvio) con RegRun e UnHackMe, ma non hanno trovato nulla. Ho esaminato attentamente tutte le voci nel Visualizzatore eventi, ma non c'è nulla di sbagliato.

Ora so che c'è un trojan nascosto (rootkit) sulla mia macchina che sembra mascherarsi con successo. Si noti che non ho la possibilità di rimuovere l'HDD o reinstallare il sistema operativo poiché si tratta di una macchina da lavoro soggetta a determinati criteri IT su un dominio aziendale.

Nonostante tutti i miei tentativi, il problema rimane ancora. Ho assolutamente bisogno di un metodo specifico o di un dispositivo di rimozione del rootkit pukka per rimuovere qualunque cosa sia. Non voglio scimmiottare con le impostazioni di sistema, ovvero disabilitare le corse automatiche una per una, fare casino nel registro, ecc.

EDIT 2: ho trovato un articolo che è strettamente legato al mio problema:

Il malware può disattivare UAC in Windows 7; "Di progettazione" afferma Microsoft . Un ringraziamento speciale (!) A Microsoft.

Nell'articolo, viene fornito un codice VBScript per disabilitare UAC automaticamente:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

Sfortunatamente, questo non mi dice come posso liberarmi di questo codice dannoso in esecuzione sul mio sistema.

EDIT 3: Ieri sera, ho lasciato il laptop aperto a causa di un'attività SQL in esecuzione. Quando sono arrivato la mattina, ho visto che UAC era spento. Quindi, sospetto che il problema non sia correlato all'avvio. Succede sicuramente una volta al giorno, indipendentemente dal riavvio della macchina.

EDIT 4: Oggi ho immediatamente avviato "Process Monitor" non appena Windows ha iniziato a catturare il colpevole (grazie a @harrymc per l'idea). Alle 9:17, il cursore UAC è stato spostato verso il basso (Windows 7 Action Center ha dato l'avvertimento). Ho studiato tutte le azioni del registro tra le 9:16 e le 9:18. Ho salvato il file di registro di Process Monitor (70 MB contenente solo quell'intervallo di 2 minuti). Ci sono molte EnableLUA = 0(e le altre) voci. Sto pubblicando le schermate delle finestre delle proprietà dei primi 4 seguenti. Dice che lo svchost.exesta facendo e fornisce alcuni thread e numeri PID. Non so cosa dovrei dedurre su di loro:

inserisci qui la descrizione dell'immagine inserisci qui la descrizione dell'immagine inserisci qui la descrizione dell'immagine inserisci qui la descrizione dell'immagine

windows-7  virus  uac  malware  rootkit 
Mehper C. Palavuzlar
fonte
1
Come ulteriore indagine, questa potrebbe essere un'impostazione che viene applicata dai Criteri di gruppo dal controller di dominio. Può darsi che (per qualche ragione) lo abbiano impostato per ripristinare l'UAC su base giornaliera. Ovviamente se lo stanno abilitando usando i criteri di gruppo e il malware lo sta disabilitando, allora è un male. Farei una chiacchierata con i tuoi ragazzi IT, cioè se sono il tipo loquace.
Mokubai
@Mokubai: grazie per il tuo suggerimento. Ho parlato con gli altri colleghi dell'azienda e nessuno di loro ha un problema del genere. Sono sicuro che il nostro IT non ha disabilitato l'UAC, poiché sono molto sensibili ai problemi di sicurezza. La cosa interessante è: come ha fatto il rootkit (possibile) a scuotere l'antivirus o altre misure di sicurezza messe in atto dall'IT?
Mehper C. Palavuzlar,
Per quanto riguarda come potresti aver ottenuto questa possibile infezione in primo luogo, nella sua forma più semplice qualsiasi protezione da malware che potresti avere è generalmente di natura reattiva, sebbene sia possibile il rilevamento proattivo non è affidabile. Qualcuno cerca un modo per entrare in un sistema, quindi un'azienda lo individua e scrive un modo per rilevarlo o rimuoverlo, azione e reazione. Se hai effettivamente un'infezione, potrebbe benissimo essere una varietà completamente nuova che non è stata ancora vista dalle aziende AV. Quanto a come lo hai ottenuto ci sono troppe falle di sicurezza in posti che non ti aspetteresti di dare alcuna idea ...
Mokubai
Hijack Questo è pulito. Potresti prendere in considerazione l'idea di ottenere un filewall. Prova Autoruns e Process Monitor come descritto da Harry.
Tamara Wijsman,
Hai provato a cercare nel Task Scheduler? (Start -> Pannello di controllo -> Strumenti di amministrazione -> Utilità di pianificazione) Fai clic su "Libreria Utilità di pianificazione" per visualizzare le attività impostate da cose come Google Updater. È possibile che il tuo UAC reset giornaliero sia da qualche parte lì in quanto le attività possono essere impostate in un determinato momento e quindi essere impostate per l'esecuzione X minuti dopo il login se quel tempo è già passato ... Dovrei dire però, potrebbe essere un compito lungo e arduo cercare tra le migliaia di oggetti presenti.
Mokubai

Risposte:

6

È necessario innanzitutto verificare se il servizio Security Center può essere avviato e, in caso contrario, quale delle sue dipendenze è responsabile. Cerca anche i messaggi di errore nel Visualizzatore eventi.

Se hai la sensazione che il tuo computer sia infetto, le possibili soluzioni potrebbero essere:

  1. Come riparare i file di sistema di Windows 7 con Controllo file di sistema .
  2. Ripristino all'avvio: come riparare facilmente i problemi di avvio di Windows 7 utilizzando Ripristino all'avvio .
  3. L'ultima risorsa è quella di riformattare il disco rigido e reinstallare Windows.
    Nel tuo caso, ciò potrebbe essere applicabile: Esecuzione di un ripristino del sistema HP in Windows Vista .

Solo per notare che Windows è abbastanza in grado di autodistruggersi senza alcun aiuto, motivo per cui Windows Update è più pericoloso di qualsiasi virus. La riparazione all'avvio può risolvere il problema in questo caso reinizializzando Windows, senza richiedere la reinstallazione delle applicazioni.

Se pensi davvero che il problema sia piuttosto quello di un virus e desideri saperne di più su ciò che sta accadendo sul tuo computer, dovrai scoprire due cose:

  1. Quale cambiamento è stato fatto al tuo sistema,
  2. Quale programma cambia?

Per il primo, se si tratta di una modifica del Registro di sistema, la chiave è probabilmente l' HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemelemento EnableLUA , il cui valore è 0 per Disabilitazione e 1 per Abilitazione.

Una volta individuata la modifica apportata al sistema, è possibile utilizzare Process Monitor e l'opzione Abilita registrazione di avvio (consultare la guida) per registrare tutti gli accessi alla chiave.

Vorrei prima avviare in modalità provvisoria e vedere se anche questo sta succedendo. In caso contrario, un altro vettore di attacco è utilizzare Autoruns per disabilitare gli elementi di avvio in una ricerca binaria del prodotto (poiché potrebbe essere un prodotto legittimo che causa il problema, piuttosto che un virus).

harrymc
fonte
Grazie per i vostri suggerimenti. Ho già suonato sfc /scannowe dice Windows Resource Protection Did Not Find Any Integrity Violations. Il passaggio 2 è rischioso per me in quanto si tratta di un laptop aziendale soggetto a criteri IT. Se in qualche modo incasino il processo di avvio, avrò più problemi. Il passaggio 3 è fuori discussione per me.
Mehper C. Palavuzlar,
Problema delle politiche IT compreso. Qualche risultato dal mio primo paragrafo?
harrymc,
Security Center si avvia senza problemi in modalità normale. Ho esaminato attentamente tutte le voci nel Visualizzatore eventi (tutte le date disponibili fino ad ora), ma non c'è nulla di sbagliato, come ho affermato nella mia domanda. Ho anche controllato separatamente tutti i servizi in esecuzione, i processi di avvio, le voci di registro e i file DLL utilizzando vari programmi antivirus e antimalware.
Mehper C. Palavuzlar,
OK, ho aggiunto ulteriori informazioni. In ogni caso, se ritieni che il tuo computer sia infetto, sono sicuro che i criteri IT ti richiedono di annunciarlo all'IT prima di infettare l'intera azienda.
harrymc,
1
Sì, qualcosa sta disattivando l'UAC. (1) Viene visualizzato un messaggio di elevazione durante l'esecuzione di regedit? In caso contrario, UAC è già spento dopo l'avvio. (2) Qual è la situazione dopo un avvio in modalità provvisoria? (3) Solo per notare che il messaggio del Centro operativo può essere visualizzato a causa di una modifica in ConsentPromptBehaviorAdmin e non solo per EnableLUA.
harrymc,
5

Nel mio caso era la politica di dominio che veniva applicata una volta al giorno. Stesso problema. La diagnosi è stata più semplice perché la disattivazione del controllo dell'account utente si è verificata solo durante l'accesso al dominio o la connessione tramite VPN. Così è stato scoperto che la politica del dominio includeva alcuni script per disattivare l'UAC. Ho contattato gli amministratori del mio sistema e loro lo hanno confermato. Quindi, meglio consultare i propri amministratori di dominio o convalidare le politiche e gli script del profilo locale se non si è nel dominio.

Alexey Bondarenko
fonte
2

Opzione 1: disabilitare tutti i programmi all'avvio. (Start> Esegui> Msconfig. Disabilita tutto all'avvio).

Opzione 2: installare AVAST Home Edition e pianificare una scansione del tempo di avvio. Meglio ancora, scollegare il disco rigido dal computer e collegarlo a un altro e scansionarlo da lì utilizzando AVAST.

Opzione 3. Un'altra opzione è eseguire HijackThis. Genera il rapporto e condividilo qui per l'analisi. http://free.antivirus.com/hijackthis/

bobbyalex
fonte
1
I tuoi articoli di avvio sembrano a posto. Tuttavia, disabilitare gli elementi di avvio e ricontrollare. Consiglio vivamente di installare Avast e pianificare una scansione del tempo di avvio, preferibilmente dopo aver collegato il disco rigido a un'altra macchina.
bobbyalex,
C'è un'altra cosa che puoi provare: creare un utente non amministrativo e accedere come tale utente. Se un programma sta tentando di funzionare, dovresti ricevere un prompt UAC.
bobbyalex,
Questo è un PC di lavoro su un dominio aziendale, quindi non sono autorizzato a creare nuovi utenti. A proposito, ho provato anche la scansione del tempo di avvio di Avast, ma non ho trovato virus.
Mehper C. Palavuzlar,
1

Installa Microsoft Security Essentials ed esegui una scansione completa del sistema. Poiché MSE utilizza API e hook del sistema operativo, potrebbe essere in grado di individuare il malware, se in realtà è una sorta di malware. Inoltre, se MSE non è in grado di installare o eseguire effettivamente, allora sappiamo per certo che il sistema è compromesso.

Da allora, hai eseguito così tanti programmi AV e Anti-Malware per controllare il tuo sistema, dubito fortemente che il tuo computer sia stato compromesso. Invece di installare i programmi AV e Anti-Malware e quindi eseguire una scansione di avvio, utilizzare un altro computer per eseguire la scansione dell'unità. Collegare l'unità a un altro sistema come slave e quindi eseguire le scansioni. Dovresti eseguire la scansione di avvio avviando da un CD o DVD e non dal disco rigido stesso poiché ciò impedisce veramente al sistema operativo di avviarsi e il root-kit durante l'esecuzione della scansione vera e propria.

Sinceramente, se sei sicuro che il tuo sistema sia stato composto da un root-kit, allora annulla il disco rigido e parti da zero. Chiedi al tuo dipartimento IT di farlo. Questo è l'unico modo infallibile per essere sicuri che il tuo sistema sia pulito.

Metril
fonte
Innanzitutto, grazie per i tuoi suggerimenti. La rimozione dell'HDD non è un'opzione (vedere la domanda sul perché). Penso che MSE valga la pena provare. Domani controllerò e condividerò il risultato. Una scansione di avvio con l'avvio da un disco ottico mi sembra abbastanza ragionevole. Potete consigliarmi un link ad alcuni file immagine da masterizzare su disco? Ancora una volta, nuking l'HDD è l'ultima risorsa per me. Devo risolvere il caso senza farlo. So che è una soluzione assoluta, ma vediamo cosa possiamo fare.
Mehper C. Palavuzlar,
Ho fatto una ricerca veloce. Ecco un link che contiene informazioni sulle scansioni antivirus avviabili di diversi fornitori. techmixer.com/free-bootable-antivirus-rescue-cds-download-list Provali.
Metril,
MSE non ha trovato nulla. Ora proverò un CD di ripristino di avvio.
Mehper C. Palavuzlar,
0

Ti consiglio di creare un altro account utente sul tuo computer. Non rendere questo account un amministratore; tenerlo come utente standard. Usa questo nuovo account invece del tuo account amministratore. Se hai bisogno dei diritti di amministratore, UAC ti chiederà sempre le credenziali di amministratore. In questo modo, il malware non sarà in grado di disabilitare UAC ed eseguire cose malvagie ...

Prova a disabilitare UAC senza diritti di amministratore

Questo non eliminerà il virus, ma almeno impedirà che peggiori. Quindi, quando il tuo antivirus ottiene nuove definizioni per rilevarlo, sarà in grado di rimuoverlo.

Kranu
fonte
Il problema è che si tratta di un PC di lavoro su un dominio aziendale e non ho i diritti per creare un nuovo utente.
Mehper C. Palavuzlar,
0

Prima di passare a misure più complicate, installare AVG Anti-Virus Free Edition 2011 . Lascia che esegua una scansione dell'intero computer. Di recente, ho avuto un problema simile e nessun altro programma antivirus, ma il suddetto potrebbe risolverlo con le sue misure Anti-Rootkit.

Diaspro
fonte
Lo proverò oggi e ti farò sapere.
Mehper C. Palavuzlar,
Non
ho
0

Questo è un problema piuttosto interessante. Devo dire che questo sarebbe causato da uno o due diversi problemi:

1) La maggior parte delle persone ha sospettato un virus, e giustamente, i virus adorano entrare in Windows e armeggiare con le impostazioni.

Sono già state eseguite numerose scansioni. Qualsiasi virus dovrebbe essere catturato da quelli già in esecuzione, quindi credo che sia un uccello di Windows.

2) Windows è confuso. Consiglierei di eseguire un controllo del disco sul tuo computer. Due metodi diversi che forniscono risultati simili.

- Apri il mio computer, quindi fai clic con il pulsante destro del mouse sul disco rigido da cui viene caricato Windows. Successivamente, seleziona la scheda Strumenti e fai clic sul pulsante che dice Verifica disco [o qualcosa di simile]. Ora spunta le due caselle di opzione se non lo sono già. Il tuo computer dovrebbe chiederti di riavviare il tuo computer, in caso contrario non hai spuntato le caselle delle opzioni. Lascia che la scansione venga eseguita. Dovrebbe ripulire eventuali polli all'interno dell'installazione di Windows.

Ora, se la scansione non riesce, inserire il disco di installazione del sistema operativo. Se si utilizza XP, premere R quando viene visualizzata la schermata blu che chiede quale attività si desidera eseguire. Ora, seleziona su quale disco rigido è attivo il tuo sistema operativo e premi Invio dopo aver inserito il numero appropriato. Successivamente, immettere la password per l'account amministratore [in genere è vuoto]. Ora entra nella console di comando: chkdsk / r

questo dovrebbe fare la stessa scansione, tuttavia può risolvere più problemi perché la scansione viene eseguita dal disco di installazione.

se si esegue la scansione per una macchina VISTA o SEVEN, inserire il disco e selezionare l'opzione di riparazione. Successivamente, premi Annulla e dovrebbe far apparire una nuova finestra, in cui puoi fare più operazioni. L'ultima opzione dovrebbe dire "Finestra console" o qualcosa del genere.

entra nella console di comando "chkdsk / r C:"

Spero che questo ti aiuti.

Flasimbufasa
fonte
Sto eseguendo Windows 7 (vedere i tag della domanda). Ho corso chkdsk /r C:all'avvio e ci sono voluti circa 1 ora. Nessun problema riscontrato.
Mehper C. Palavuzlar,
0

Ho appena incontrato questo messaggio. questa mattina. Java ha cercato di aggiornarsi da un po 'di tempo, quindi ho modificato le impostazioni di notifica in "non avvisare" e ho immediatamente ricevuto il messaggio che dovevo riavviare la mia CPU per disattivare il controllo. Sono entrato e ho ripristinato il livello di notifica e il problema è stato risolto. Spero possa aiutare

user338543
fonte
-1

Vinci 10 usando Malwarebytes. Apparentemente il malware stava disattivando l'UAC all'avvio. Smesso di caricarlo all'avvio e il problema sembrava risolversi. Quindi ha regolato l'avvio per ritardare l'installazione di Malwarebytes e sembrava funzionare.

Maleware può byte UAC
fonte
Ritardare l'avvio del software di rilevamento malware non aumenterebbe le possibilità che il malware effettivo possa nascondersi?
Arjan,
La domanda si pone esplicitamente su Windows 7, quindi non sono sicuro del motivo per cui stai affrontando Windows 10. Inoltre, non è chiaro che il tuo suggerimento risolva effettivamente il problema, piuttosto che nasconderlo.
David Richerby,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.